61

Đề Tài: TÌM HIỂU VỀ FIREWALL

Thực hiện: Phạm Huy Thuận

Nha Trang tháng 4 năm 2012

61

MỤC LỤC

Contents PageLời mở đầu 3

CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006 4

1. Giới thiệu về ISA server 2006.............................................................................................................4

2. Các phiên bản của ISA server 2006......................................................................................................4

3. Tính năng chính của ISA server 2006...................................................................................................4

CHƯƠNG II: Cài đặt ISA Server 2006 5

1. Yêu cầu cấu hình cơ bản..................................................................................................................5

2. Tiến trình cài đặt..................................................................................................................................6

CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS 11

1. Phân loại............................................................................................................................................11

2. Cấu hình............................................................................................................................................13

a. SecureNAT Client..........................................................................................................................13

b. Web Proxy Client..........................................................................................................................14

c. Firewall Client...............................................................................................................................14

CHƯƠNG IV: Triển khai ISA server 2006 16

1. Tạo Rule.............................................................................................................................................16

2. Publish Web......................................................................................................................................21

3.VPN....................................................................................................................................................30

a. VPN Client to Site.........................................................................................................................30

b. VPN Site to Site.............................................................................................................................36

4. Tạo Caching.......................................................................................................................................49

CHƯƠNG V: MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP 59

1. Edge Firewall....................................................................................................................................59

2. 3-Leg Perimeter.................................................................................................................................60

3. Front/Back Firewall...........................................................................................................................61

CHƯƠNG VI. TỔNG KẾT 62

61

Lời mở đầuTrong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứng

các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàng trực tuyến,…vv…. Không còn là những khái niệm trừu tượng nữa. Với Internet mọi thứ “trong mơ” đã trở thành hiện thực. Trong những năm gần đây vài trò của Công nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét. Sự phát triển của CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ưng dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia. CNTT giúp con người xích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia.

Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin.

Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức năng của ISA như thế nào? Tác dụng của ISA trong môi trường network..vv..vv. Chuyên đề này sẽ giải đáp những câu hỏi đó. Và sẽ cung cấp một cái nhìn chi tiết, rõ nét về ISA server.

61

CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006

1. Giới thiệu về ISA server 2006Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây

dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa

2. Các phiên b n c a ISA server 2006ả ủ Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng

thông cho các công ty có quy mô trung bình. Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng

lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).

3. Tính năng chính c a ISA server 2006ủISA server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise

Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các serverứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý

Truy cập Web nhanh với cache hiệu suất cao:o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ trong

cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc nghẽn.

o Giảm giá thành băng thông nhờ giảm lưu lượng internet

61

o Phân tán nội dung của các Web server và cácứng dụng thương mạiđiện tử

một cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)

Kết nối Internet an toàn nhờ nhiều lớpo Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưu

lượng mạng tại nhiều lớp.o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từ

bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an toàn các yêu cầu đến

o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn. o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng

nội tại nhờ sử dụng mạng riêngảo (VPN) Quản lý thống nhất với sự quản trị tích hợp

o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu lực

của các chính sách vận hànho Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số các ứng

dụng và đích đếno Cấp phát băng thông để phù hợp với các ưu tiên

o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử dụng

như thế nàoo Tự động hóa các dịch vụ nhờ sử dụng script

Khả năng mở rộngo Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server software

development kit (SDK) với các thành phần bổ sungo Chưc năng mở rộng an toàn cho các sản xuất thứ ba

o Tự động các tác vụ quản trị với các đối tượng script COM ( component

object model)

CHƯƠNG II: Cài đặt ISA Server 2006

1. Yêu cầu cấu hình cơ bản

61

Internet link bandwidth

Up to 5 T1 7.5 megabits per second (Mbps)

Up to 25 Mbps Up to T3 45 Mbps

Up to 90 Mbps

Processors/Cores

1 1 2 2/2

Processor type Pentium III750 megahertz(MHz) or higher

Pentium 4 3.0–4.0 gigahertz(GHz)

Xeon3.0–4.0 GHz

Xeon Dual Core

AMD Dual Core

2.0–3.0 GHz

Memory 512 megabytes(MB) 512 MB 1 gigabyte (GB)

2 GB

Disk space 150 MB 2.5 GB 5 GB 10 GB

Network adapter 10/100 Mbps 10/100 Mbps 100/1000 Mbps

100/1000 Mbps

Số VPN đồng thời kết nối

150 700 850 2000

2. Tiến trình cài đặtTrước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng, một card

nối với mạng bên trong (Internal) và card mang còn lại nối ra Internet (External)

Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006

61

Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc định và chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom Next

61

Sau đó chúng ta nhấp Next

Tại cửa sổ Internal Network nhấp Add

61

Chọn tiếp Add Adapter

Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN OK

61

Nhấp Next

Nhấp Next Install Finish

61

Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công

CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS

Một ISA Server 2006 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2006 firewall. Nhìn chung, các ISA Server 2006 client thường được đặt trong một Internal hay perimeter network DMZ và kết nối ra Internet qua ISA Server 2006

1. Phân loạiCó 3 loại ISA Server 2006 client:

SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006 firewall, thông số

61

default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2006 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2006 firewall ra Internet.

Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2006 firewall làm Web Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2006 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User (User name) được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client.

Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2006 firewall.

Dươi đây là bảng so sánh các dạng ISA server 2006 Client

Feature SecureNAT client Firewall client Web Proxy client

Cần phải cài đặt Không, chỉ cần xác lập thông số default gateway

Yes. Cần cài đặt software

Không, chỉ cần cấu hình các thông số phù hợp tại trình duyệt Web- Web browser

Hỗ trợ Hệ điều hành nào

Bất cứ OS nào hỗ trợ TCP/IP

Chỉ Windows Bất kì OS nào có hỗ trợ các Web application

Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng -Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols – multiconnectionprotocols

Hầu hết các ứng dụng trên Internet hiện nay

HTTP, Secure HTTP

(HTTPS), và FTP

61

Có hỗ trợ xác thực người dùng hay không .Nhằm kiểm soát việc User truy cập ra ngoài

có, nhưng chỉ dành cho VPN clients

có có

2. Cấu hình

a. SecureNAT Client Tại máy CLIENT, right click My Network Places icon trên desktop và click

Properties. Trong Network and Dial-up Connections, right click Local Area Connection và

click Properties. Trong Local Area Connection Properties dialog box, click Internet Protocol

(TCP/IP) , click Properties. Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo IP,

Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server.

Mô hình SecureNAT Client

61

b. Web Proxy Client

Chúng ta cấu hình trên Internet Explorer

Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.

Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button.

Trong Local Area Network (LAN) Settings dialog box. Tại Proxy server chúng ta điền IP của ISA server và port 8080

c. Firewall Client

Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe .

61

Chọn option I accept the terms in the licene agreement Next Next.

Chọn option Connect ti this ISA server computer, nhập vào IP internal của máy ISA Next Install.

61

CHƯƠNG IV: Triển khai ISA server 2006

1. T o Rule ạ

Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máy nào trong mạng hay toàn bộ mạng . Sau đây là các bước tạo ra 1 Access Rule

Chạy chương trình ISA bằng các click chuột vào ISA server Management

Right click vào Firewall Policy chọn New chọn Access Rule

Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng hạn như Allow Internal to Internet vào ô Access Rule Name Next

61

Sau đó chúng ta chọn hành động cho rule là Allow ( cho phép) hay Deny ( cấm ) và click next

61

Sau đó chúng ta sẽ chọn Protocol cho rule, nếu chúng ta cho máy trạm truy cập Internet và Email thì chúng ta chỉ chọn các giao thức như DNS, http, https, POP3,SMTP để chọn rule ta click Add Next

Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cái bạn muốn add ở đây tôi chọn Internal và Local Host. Đây là nguồn là những mang hay máy tính bạn muốn cho phép hay cấm

61

Tiếp theo chúng ta sẽ chon Destination click Add chọn điểm đến

Chọn Next sau đó chúng ta chọn User cho rule

61

Sau đó chúng ta có thể xem lại các option chúng ta đã chọn và finish để kết thúc việc tạo rule

Cuối cùng chúng ta chọn Apply để thực thi Rule

61

2. Publish Web

Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New Web Site Publishing Rule

Sau đó chúng ta đặt tên cho Rule ( vd như Publish wed )

61

Trong Rule Action chọn Allow Next

Chọn Publish a single Web site or load balancer trong Publishing Type Next

61

Với Rule này chúng ta sẽ Publish dịch vụ HTTP trước nên trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm Next

Internal site name bạn nhập tên của Wed server và click vào ô “ Use a computer name or IP address to connect to the published server” sau đó điền IP của Wed server vào ô Next

61

Trong Internal Publishing Details bạn chừa trống ô Path Next

Trong tab Accept requests for chúng ta chon Any domain name Next

61

Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó. Nhấp New

Sau đó chúng ta đặt tên cho Web Listener Next

61

Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi Next

Chọn External trong Web Listener IP Address Next

61

Tại Authentications Settings chọn No Authentication Next

Nhấp Next Finish

61

Nhấp Next

61

Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication Delegation Next

Chọn All Users trong User Sets

61

Màn hình tạo Rule Publish Web sau khi hoàn tất

3.VPN

a. VPN Client to Site

Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User trên ISA server, click chuột phải vào User chọn Properties, chọn thẻ Dial-in, chọn option Allow access ok, Tạo 1 Group và add User trên vào Group này

61

Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients

Click vào Configure Address Assignment Method

61

Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool, dải IP này không được trùng với bất kỳ dải nào trong mạng

Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này.

61

Check vào tùy chọn Enable VPN client access

Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dải IP mà ta gán cho các VPN Clients

Sang tab Group add Group chúng ta đã tạo trước đó

61

Tại tab protocols chọn giao thức bảo mật ở đây là PPTP

61

Tiếp tục chúng ta chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network đặt tên cho Rule

Rule Action: Allow

Protocol: All outbound traffic

Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients

61

Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal

Màn hình sau khi hoàn tất

61

b. VPN Site to Site

Trước tiên để HCM và HANOI có thể truy cập được với nhau thông qua VPN chúng ta phải tạo User trên mỗi ISA Server

Tại máy ISA HCM tạo User/Pass là HCM/123

Tại máy ISA HANOI tạo User/Pass là HANOI/123

Sau đó Double click vào User HCM chọn Tab Dial-in

Check tùy chọn Allow Access trong Remote Access Permission

Làm tương tự cho User HANOI

Trên máy ISA server HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites

Tiếp tục nhấp vào Create VPN Site-to-Site Connection

61

Sau đó nhập VPN User vừa được tạo ra trong mạng của mình ( HCM ) Next

61

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP) Next

Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 11.0.0.1->11.0.0.100 ( dãy IP này không được trùng với bất kỳ dải IP nào trong mang ) Next

61

Trong Remote Site Gateway bạn nhập IP Enternal của mạng HANOI Next

Nhập chính xác VPN User của mạng HANOI vào cửa sổ Remote Authentication Next

61

Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng HANOI vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network mạng HANOI

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule Next

61

Tùy theo bạn muốn các mạng truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào Next

Sau đó nhấp Finish

61

Màn hình sau khi hoàn tất

Vào Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới

61

Vào Configuration/Netwoks chọn thẻ Netwok rules sẽ thấy rule HCM to Internal Netwok đã được tạo ra

Trên máy ISA Server HANOI làm tương tự như trên may ISA Server HCM sau khi tạo User HANOI và cho phép Allow Access chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites. Tiếp tục nhấp vào Create VPN Site-to-Site Connection

61

Sau đó nhập VPN User vừa được tạo ra trong mạng của mình ( HANOI ) Next

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP) Next

61

Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 12.0.0.1->12.0.0.100 ( dãy IP này không được trùng với bất kỳ dải IP nào trong mang ) Next

Trong Remote Site Gateway bạn nhập IP Enternal của mạng HCM Next

Nhập chính xác VPN User của mạng HCM vào cửa sổ Remote Authentication Next

61

Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng HCM vào Address ranges. Nghĩa là nhập nguyên cả dãy IP của Internal Network HCM.

Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule Next

61

Tùy theo bạn muốn các mạng truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào Next

Màn hình sau khi hoàn tất

61

61

4. T o Cachingạ

Mặc định sau khi cài đặt hoàn tất ISA Server sẽ tắt Cache đi, để Enable Cache bạn chọn Cache trong mục Configuration

Tại ISA Server trong màn hình ở giữa chọn Tab Cache Drivers , ở cửa sổ bên phải chọn Tab Tasks chọn Define Cache Drives (Enable Caching)

61

Chọn ổ đĩa lưu Cache và dung lượng Cache nhấp set OK

61

Chọn Save the changes and restart the services

Đến đây ta đã cấu hình hoàn tất cho ISA Server Cache thụ động tất cả các trang Web, nghĩa là với những trang Web có nội dung không được lưu trữ trong Cache của ISA sẽ phải tốn công tải nguyên cả trang về.

Như vậy với một số trang Web mà ta muốn ISA tự động Cache vào thời điểm nhất định nào đó thì ta phải tạo một Job cho ISA cập nhật chủ động trang này

Trở lại máy ISA Server chọn Tab Content Download Jobs trong Cache tiếp tục nhấp chọn Schedule a Content Download Job để Enable tính năng chủ động Cache lên

61

Nhập tên cho Schedule Next

Chọn Daily để thực hiện Cache mỗi ngày

61

Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency

Nhập địa chỉ trang Web mà bạn muốn Cache chủ động vào

61

Giữ nguyên giá trị mặc định trong màn hình Content Caching Next Finish

Sau khi hoàn tất ta start lên

61

Như vậy mặc định ISA sẽ Cache toàn bộ các trang Web mà User truy cập. Với một số trang Web mà nội dung thường xuyên thay đổi (các trang Web chứng khoán...) thì tính năng Cache này xem ra là không khả thi

Để giải quyết vấn đề này ta sẽ tạo Rule nhằm loại trừ một số trang mà ta không muốn ISA Cache chúng

Đầu tiên ta phải tạo danh sách các trang wed không cache. Chọn Firewall Policy, ở cửa sổ bên phải chon Tab Toolbox click chuột phải vào URL Sets chọn New URL Set

Trong cửa sổ New URL Set Rule Element ta điền tên danh sách và add các trang wed không lưu cache vào trong danh sách OK

61

Tiếp theo trong màn hình ISA Server chọn Cache nhấp phải vào Cache chọn New -> Cache Rule

61

Đặt tên cho Rule này là Deny Cache

Trong màn hình Cache Rule Destination ta Add vào danh sách mà ta vừa tạo lúc trước

61

Nhấn Next để tiếp tục. Trong màn hình Content Retrieval ta chọn Option đầu tiên là Only if a valid version

Nhấn Next để tiếp tục. Trong màn hình Cache Content chọn vào Never, no content will ever be cached Next

61

Nhấp Finish

CHƯƠNG V: MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP

1. Edge Firewall

Đây là mô hình mạng với 1 ISA Server nối trực tiếp với mạng bên trong Internal . Do dó nếu hệ thống bị bên ngoài tấn công vào và ISA Server bị dánh sập thì chúng có thể truy

61

cập vào tất cả các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.

2. 3-Leg Perimeter

Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm

Nhóm thứ 1 là các máy như Mail Server, Web Server... để người dùng từ External Network có thể truy cập vào

Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1

Tại máy ISA Server ta cần đến 3 Card Lan

Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này

Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISA Server sẽ mở các Port Outbound/Inbound tại Card này

Card thứ 3 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này

Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.

61

3. Front/Back Firewall

Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host

Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.

Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.

61

CHƯƠNG VI. TỔNG KẾT

Hiện nay bảo mật hệ thống mạng đang là vấn đề nhức nhối của các quản trị viên. Mỗi ngày làm việc lại có thêm một nguy cơ tấn công mới, tinh vi, hiện đại hơn với những hình thức phức tạp và quy mô hơn. Sự đe dọa hệ thống luôn “rình rập” và dù chỉ một sai lầm nhỏ cũng dẫn đến hậu quả khó lường. Vì vậy chúng ta với vai trò là một quản trị viên cần có một trình độ nhất định, luôn luôn cập nhật công nghệ bên cạnh đó là xây dựng một server đủ mạnh, một firewall vững chắc..vv.vv.

Hiểm họa luôn luôn tiềm ẩn, đó có thể là bên ngoài hệ thống mạng của mình hay chính từ bên trong tổ chức. Thực tế ở các công ty, hay một tổ chức nào đó thì nhu cầu trao đổi, tìm hiểu thông tin là điều thiết yếu và bắt buộc không những ở trong mạng cục bộ mà còn ra ngoài Internet nữa. Như vậy cần có sự quản lý chặt chẽ, kiểm soát mọi truy cập của local hay Internal ra ngoài Internet và ngược lại.

ISA server 2006 xứng đáng là một sự lựa chọn tin cậy. Không những đáp ứng hai điều kiện trên ISA server còn có giao diện thân thiện dễ sử dụng và quản lý.

Và với một vai trò là quản trị viên chúng ta cần nâng cao kiến thức liên tục cập nhật công nghệ… đưa ra những lựa chọn đúng đắn nhất nhằm bảo vệ tốt nhất, an toàn nhất cho hệ thống mạng của tổ chức hay công ty mình đảm nhiệm. /.