Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 45 PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA CÔNG TY VỚI ISA SERVER 2004. Trong chương này chúng ta sẽ tìm hiểu biện pháp bảo mật cho hệ thống mạng của công ty sử dụng tường lửa ISA 2004. Bằng cách tìm hiểu về ISA cũng như tác dụng của các mô hình cơ bản của nó(được cung cấp bởi các template có sẵn trong phần trợ giúp) ta có thể tìm ra một cách cấu hình phù hợp mạng của mình. 1. Khái niệm cơ bản ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế điều khiển những được phép qua firewall và những gì bị chặn lại. ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ. Các Network Services và những tính năng trên ISA Server 2004 sẽ được cài đặt và cấu hình gồm:  Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng).  Cài đặt và cấu hình Microsoft Internet Authentication Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho các truy cập từ xa thong qua các remote connections(Dial-up hoặc VPN).  Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 46 cung cấp giải pháp truy vấn NETBIOS name của các Computer trên mạng) .  Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi họ phải mang Computer từ 1 Network (có một ISA SERVER) đến Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và làm việc được với Web Proxy Services và Firewall Service trên ISA SERVER này.  Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN).  Cài đặt ISA Server 2004 firewall software.  Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.  Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004 Network Templates) để cấu hình Firewall.  Cầu hình các loại ISA Server 2004 clients.  Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall.  Publish Web Server trên một Perimeter network.  Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam mails).  Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).  Cài đặt ISA Server 2004 trên Windows Server 2003 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 47 2. Cơ sở lí thuyết 2.1 Các Network Templates (mô hình mẫu các thông số cấu hình mạng) ISA Server 2004 firewall với sự hổ trợ thông qua các Templates, chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng…Các Templates bao gồm 2.1.1 Edge Firewall Network Templates dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có 1 network interface được trực tiếp kết nối đến Internet và 1 Network interface được kết nối với Internal network. Hình III.1 Mô hình Edge Firewall 2.1.2 3-Leg Perimeter Network Templates dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network interface. Một External interface (kết nối Internet), 1 Internal Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 48 interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau. Hình III.2 Mô hình 3-leg perimeter 2.1.3 Front Firewall Dùng Front firewall Template khi ISA Server 2004 firewall đóng vai trò 1 frontend firewall trong mô hình back-to-back firewall. Đây là mô hình kết nối 2 Firewall có thể là Internet, giữa Front và back firewall có thể là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 49 Hình III.3 Mô hình Front Firewall 2.1.4 Back Firewall Được sử dụng cho 1 ISA Server 2004 firewall nắm sau 1 ISA Server 2004 firewall khác phía trước nó (hoặc 1 third-party firewall nào đó). Single Network Active Directoryapter: Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA Server 2004 chỉ có duy nhất 1 Network Card ( unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server. 2.2 Các cấu hình network template Trong đồ án ta chỉ xét đến cách cấu hình của 2 dạng Firewall thường gặp và đơn giản là Edge Firewall và 3-Leg perimeter 2.2.1 Cấu hình cho Edge Firewall: Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có 1 network interface gắn trực tiếp Internet và 1 Network interface thứ 2 kết nối với Internal network. Network template này cho phép Active Directorymin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (Firewall policy Access control) giữa Internal network và Internet. Bảng sau sẽ cho ta thấy các chính sách của Firewall (firewall policies) đã sẵn sang khi sử dụng Edge Firewall Template. Mỗi chính sánh trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập.Từ xác lập tất cả các hoạt động đều được cho phép ( All Open Access Policy) giữa Internal network và Internet cho đến xác lập ngăn chặn tất cả ( Block All policy) hoạt động giữa Internal network và Internet. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 50 Những lựa chọn về chính sách của Firewall khi dùng Network Active Directoryge Firewall Template: Bảng III.1 Chính sách Edge Firewall Firewall Policy Mô t ả Block all Ngăn ch ặn tất cả truy cập qua ISA server Lựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài ngăn chặn tất cả các truy cập Block Internet Access, allow access to ISP Network services Ngăn ch ặn tất cả các truy cập qua ISA Server 2004 , ngoại trừ các truy cập đên các Network services như DNS service. Lựa chọn này sẽ được dùng khi các ISP cung cấp những dịch vụ này. Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau: Allow DNS from Internal Network and Client Network to External Network (internet)-Cho phép Internal Network và VPN clients Network cho phép các truy cập dạng HTTP, HTTPS,FTP từ Internal Network truy cập ra ngoài. Allow all protocol From VPN clients Network to Internal Network cho phép các giao thức từ VPN clients Network (bên ngoài ) vào trong mạng nội bộ. Allow limited web access to ISP Network Ch o phép truy c ập web có giới hạn d ùng HTTP, HTTPS và FTP và cho phép truy cập tới ISP Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 51 Services Network services như DNS. Còn lại ngăn chặn tất cả các Network khác. Các nguyên tắc truy cập sau sẽ được tạo: Allow Http, Https, Ftp from Internal Network and VPN Client Network to External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra External Network (internet) Allow DNS from Internal Network and VPN Client Network to External Network (internet)- cho phép Internal Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài(internet) Allow all protocols from VPN Clients Network to Internal Network – Cho phép tấtc cả các giao thức từ VPN Client Network (bên ngoài VPN Client thực hiện kết nối vào mạng nội thông qua Internet), được truy cập vào bên trong mạng nội bộ. Allow unrestricted access Cho phéptruy c ập không giới hạn ra internet qua ISA Server Các nguyên tắc truy cập sau sẽ được tạo ra: Allow all protocols from Internal Network and VPN Client Network to External Network – Cho phép dùng tất cả các giao thức từ Internal Network và VPN Client Network tới External Network (mạng ngoài) Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 52 Allow all protocols from VPN Client to Internal Network to Internal Network – Cho phép tất cả các giao thức VPN Client Network truy cập vào Internal Network. 2.2.2 Cấu hình 3-Leg Perimeter Cấu hình Firewall theo template dạng 3-Leg Perimeter sẽ tạo ra các mối quan hệ giữa các Network : Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép ngưòi dùng Internet truy cập vào như : public DNS server hoặc 1 caching-only DNS server. Những chọn lựa tại 3-Leg Perimeter Firewall Template Firewall Policy Bảng III.2 Chính sách 3-Leg Perimeter Firewall Policy Mô t ả Block all Ngăn ch ặn tất cả truy cập qua ISA server Lựa chọn này không tạo bất kì Rules nào khác ngoài Dèault Rules ngăn chặn tất cả các truy cập Block Internet Access, allow access to Network services on the Perimeter Network Ngăn ch ặn tất cả các truy cập qua ISA Server 2004 , ngoại trừ các truy cập đên các Network services như DNS service. Các Access rules sau sẽ được tạo: Allow DNS traffic from Internal Network andClient Network to Perimeter Network)-Cho phéptruy nhập DNS từ Internal Network và VPN Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 53 clients Network đ ến Perimeter Network . Allow all protocol From VPN clients Network to Internal Network cho phép các giao thức từ VPN clients Network (bên ngoài ) vào trong mạng nội bộ. Block Internal access, allow access to ISP Network Services Ngăn ch ặn tất cả các truy cập mạng qua Firewall ngoại trừ các Network services như DNS. Lựa chọn này phù hợp khi nhà cung cấp dịch vụ mạng cơ bản là Internet services Provider(ISP). Rules sau sẽ được tạo: Allow DNS from Internal Network , VPN Client Network to External Network – Cho phép DNS từ Internal Network , VPN Client Network và Perimeter Network đến External Network Allow limited web access, allow to access to Network services on Perimeter Network Cho phép truy c ập web có giới hạn d ùng HTTP, HTTPS và FTP và cho phép truy cập tới Network services như DNS trên DMZ. Còn lại ngăn chặn tất cả các Network khác. Các nguyên tắc truy cập sau sẽ được tạo: Allow Http, Https, Ftp from Internal Network andVPN Client Network to Perimeter Network and External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra Perimeter Network và External Network (internet) Allow DNS traffic from Internal Network and Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 54 VPN Network to Perimeter Network Allow all protocols from VPN Clients Network toInternal Network – Cho phép tấtc cả các giao thứtừ VPN Client Network (bên ngoài VPN Clientthực hiện kết nối vào mạng nội thông qua Internet), được truy cập vào bên trong mạng nội bộ. Allow limited web access to ISP Network services Các Network services như DNS là do ISP c ủa ta tạo ra. Tất cả các truy nhập mạng khác đều bị xóa. Các nguyên tắc truy cập sau sẽ được tạo ra: Allow Http, Https, FTP from Internal Network and VPN Client Network to External Network allow all protocols from VPN Clients Network to Internal Network. Allow unrestricted access Cho phép t ất cả các loại truy cập ra internet qua Firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network được bảo vệ từ chính sách cho phép tất cả nấyu đó có thể ngăn chặn bớt một số truy cập không phù hợp với chính sách bảo mật của công ty. Các Rules sau sẽ được tạo: Allow all protocol from Internal Network and VPN Client Network to External Network and Perimeter Network Allow all protocols from VPN Client to Internal 2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy Clients [...]... nhập vào site 64 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hình III.7 Rule ngăn việc downloAdministrators1 File 65 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hình III.8 4 .3 Cho phép truy nhập FTP server Sao lưu dự phòng Lý do cần sao lưu :  Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn định  Việc xây dựng hệ thống ISA đòi hỏi... Access Rules mặc định của System Policy… 4 .3 Mô hình cấu hình ISA vào mạng công ty Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty vinapay Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet 62 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 63 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hình III.5 Cho phép kết nối từ Firewall... hệ thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng Trường hợp 3: hỏng toàn bộ ISA server  Ta thiết lập thêm 1 máy chủ ISA tương tự để dự phòng  Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc phục sự cố 67 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp KẾT LUẬN 1 Những vấn đề đạt được: Theo yêu cầu ban đầu của đề tài là Triển khai, quản trị, duy trì, nâng. .. chính sách của user  Sự cố về phần cứng  Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại Kế hoạch xây dựng hệ thống dự phòng Các phương án dự phòng Trường hợp 1  Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định 66 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp  Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống Cách khắc phục Sử dụng tiện... hiện dựa trên IP nguồn 59 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều khiển việc truy cập đến một số website và việc sử dụng giao thức nào để thực hiện công việc này 3 Hiện trạng hệ thống Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall Các máy client tiếp xúc trực tiếp với mạng internet qua modem nên... Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp PHỤ LỤC 1 Tài liệu tham khảo: Microsoft Exchange Server 20 03 Active Directoryministrator’s Companion (Microsoft Press, 20 03) MCDST Self-Paced Training Kit (Exam 7 0-2 72): Supporting Users and Troubleshooting Desktop Applications on a Microsoft Windows XP Operating System (Microsoft Press, 2004) MCSE Self-Paced Training Kit (Exam 7 0-2 97):... Client Network – mạng VPN cách ly, Local Host Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet User ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào 57 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp các tài... (Microsoft Press, 2004) MCSE Self-Paced Training Kit (Exam 7 0-2 97): Designing a Microsoft Windows Server 20 03 Administratorsand NetworkInfrastructure (Microsoft Press, 20 03) Tài liệu CCNA Tài liệu mạng máy tính Một số tài liệu khác trên Internet 69 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp PHỤ LỤC 2 Các từ chuyên ngành sử dụng trong đề tài: List Contents: danh sách trạng thái (có thể... năng mạnh khác  Có thể tích hợp thêm các phần mềm security khác : Surfcontrol : ngăn chặn trang web xấu Nhược điểm: 60 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp  Cấu hình cài đặt cao, cài đặt tương đối phức tạp  Giá thành cao Với Ipcop Ưu điểm:  Giá thành thấp  Cài đặt đơn giản  Yêu cầu cấu hình thấp Nhược điểm  Khó tương thích với phần mềm khác  Đảm bảo an toàn kém Do... HTTP(HTTPS) Application application Có và FTP filters có thể hỗ nghĩa là hầu hết trợ các ứng dụng các ứng dụng chạy kết hợp trên internet hiện nhiều Protocols- nay multiconnection protocol 56 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp Hỗ trợ xác thực Chỉ hỗ trợ cho người dung, kiểm Có hỗ trợ Có hỗ trợ VPN client soát user truy cập ra ngoài Như vậy ta đã biết đến các ISA Server 2004 . mạng Lan ra Internet. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 63 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 64 Hình III.5 Cho. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 45 PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA CÔNG TY VỚI ISA SERVER 2004. Trong. Services (dịch vụ cung cấp cách xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 46 cung cấp giải pháp truy