Chào các bạn! Vì nhiều lý do từ nay Truyen2U chính thức đổi tên là Truyen247.Pro. Mong các bạn tiếp tục ủng hộ truy cập tên miền mới này nhé! Mãi yêu... ♥
  1. Home
  2. /
  3. Ngẫu Nhiên
  4. /
  5. win 2k3 sp22
  6. /
  7. win 2k3 sp22

win 2k3 sp22

Trước Sau

Bài 22

DỊCH VỤ PROXY

Mục tiêu Các mục chính Bài tập bắt Bài tập làm

buộc thêm

Kết thúc bài học này giúp

cho học viên có thể tổ

chức và triển khai một

Proxy Server phục vụ chia

sẻ và quản lý kết nối

Internet của các máy

trạm, đồng thời học viên

cũng có thể xây dựng một

hệ thống Firewall để bảo

vệ hệ thống mạng cục bộ

của mình.

I. Firewall

II. Giới thiệu ISA 2004

III. Đặt điểm của ISA 2004.

IV. Cài đặt ISA 2004.

V. Cấu hình ISA Server

Dựa vào bài

tập môn Dịch

vụ mạng

Windows

2003.

Dựa vào bài

tập môn Dịch

vụ mạng

Windows

2003.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

592

I. Firewall.

Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểm yếu này làm

giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạng LAN thì không có vấn đề gì,

nhưng khi đã kết nối Internet thì phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài

nguyên quý giá - nguồn thông tin - như chế độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn

cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền, và phương pháp

chống rò rỉ thông tin trên các mạng truyền dữ liệu công cộng (Public Data Communication Network).

I.1. Giới thiệu về Firewall.

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa

hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống

lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống

của một số thông tin khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ

giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà

thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với

bộ định tuyến (Router) hoặc có chức năng Router. Về mặt chức năng, firewall có nhiệm vụ:

- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.

- Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network) mới được

quyền lưu thông qua firewall.

- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :

Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ thống mạng nội

bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên người

dùng (username) và mật khẩu (password).

Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn

thông tin trên mạng theo từng người, từng nhóm người sử dụng.

Quản lý kiểm toán (Accounting Management): cho phép ghi nhận tất cả các sự kiện xảy ra liên quan

đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian

truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung ...

I.2. Kiến Trúc Của Firewall.

I.2.1 Kiến trúc Dual-homed host.

Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một

máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó

có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là Router

mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với

Internet và bên còn lại nối với mạng nội bộ (LAN).

Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép

users đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ và host

bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

593

Hình 5.1: Kiến trúc Dual-Home Host.

I.2.2 Kiến trúc Screened Host.

Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch

vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến

trúc này, bảo mật chính là phương pháp Packet Filtering.

Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này,

Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới.

Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép

kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong

đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao.

Packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet

filtering trên screening router như sau:

- Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố

định.

- Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch

proxy thông qua bastion host).

- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.

- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.

- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.

Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy

hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới

được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed host đôi khi cũng có lỗi mà cho

phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết

trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này. Hơn nữa, kiến trúc dual-

homed host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host

bên trong mạng.

Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc

Dual-homed host.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

594

So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened

host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có

cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có

một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened

subnet trở thành kiến trúc phổ biến nhất.

Hình 5.2: Mô hình Screened host.

I.2.3 Sreened Subnet.

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng

cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan

một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.

Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn:

mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion

host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened

router:

Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có

chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gì

outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ

để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức

cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router.

Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ

mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering

của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ,

giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host

và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi

bastion host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được

phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

595

kết nối SMTP giữa bastion host và Email Server bên trong.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

596

Hình 5.3: Mô hình Screened Subnet.

I.3. Các loại firewall và cách hoạt động.

I.3.1 Packet filtering (Bộ lọc gói tin).

Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép cho

chúng lưu thông hay ngăn chặn . Các thông số có thể lọc được của một packet như:

- Địa chỉ IP nơi xuất phát (source IP address).

- Địa chỉ IP nơi nhận (destination IP address).

- Cổng TCP nơi xuất phát (source TCP port).

- Cổng TCP nơi nhận (destination TCP port).

Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc truy cập vào hệ thống

mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những

dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng.

I.3.2 Application gateway.

Đây là loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những

giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hình

Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. Một

ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu

cầu này và chuyển đến Server trên Internet. Khi Server trên Internet trả lời, Proxy Server sẽ nhận và

chuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế

"đại diện" của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi

kiểm soát các truy cập từ bên ngoài.

Ví dụ: Một hệ thống mạng có chức năng packet filtering ngăn chặn các kết nối bằng TELNET vào hệ

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

597

thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn kết

nối vào hệ thống bằng TELNET phải qua các bước sau:

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

598

- Thực hiện telnet vào máy chủ bên trong cần truy cập.

- Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hoặc từ chối.

- Người truy cập phải vượt qua hệ thống kiểm tra xác thực.

- Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.

- Proxy Service liên kết lưu thông giữa người truy cập và máy chủ trong mạng nội bộ.

Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng dụng đang phát

triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an toàn sẽ

tăng lên.

Thông thường những phần mềm Proxy Server hoạt động như một gateway nối giữa hai mạng, mạng

bên trong và mạng bên ngoài.

Hình 5.4: Mô hình hoạt động của Proxy.

Đường kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet (Internet

Service Provider - ISP) có thể chọn một trong các cách sau:

- Dùng Modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập Internet.

Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8 Kbps - 36.6 Kbps. Hiện nay đã có Modem

analog tốc độ 56 Kbps nhưng chưa được thử nghiệm nhiều. Phương pháp dùng dial-up qua

Modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng dịch vụ Web và E-Mail.

- Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá phổ biến ở một

số nước tiên tiến. Dịch vụ này dùng tín hiệu số trên đường truyền nên không cần Modem analog,

cho phép truyền cả tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao ISDN (đường truyền

dẫn thông tin giữa người sử dụng và mạng) có thể đạt tốc độ từ 64 Kbps đến 138,24 Mbps. Dịch

vụ ISDN thích hợp cho các công ty vừa và lớn, yêu cầu băng thông lớn mà việc dùng Modem

analog không đáp ứng được.

Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet hoặc thông

qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có bộ phối ghép ISDN

cài trên Server.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

599

Hình 5.5: Mô hình kết nối mạng Internet.

Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào yêu cầu cụ thể của công ty, ví dụ như

số người cần truy cập Internet, các dịch vụ và ứng dụng nào được sử dụng, các đường kết nối và

cách tính cước mà ISP có thể cung cấp.

II. Giới Thiệu ISA 2004.

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của

hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây là một

phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều

tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế

độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính

năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache

và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN)

III. Đặc Điểm Của ISA 2004.

Các đặc điểm của Microsoft ISA 2004:

- Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ

mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con,...

- Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho

phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài

internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ,

demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các

Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ.

- Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.

- NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng

con.

- Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng,

kèm theo một số luật cần thiết cho network templates tương ứng.

- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho

doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access

policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác.

- Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như

Authentication, Publish Server, giới hạn một số traffic.

- Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng,

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

600

giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

601

- Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export

và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông

báo qua E-mail,..

- Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2004, không

giống như packet filtering firewall truyền thống, ISA 2004 có thể thao tác sâu hơn như có thể lọc

được các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của ALF:

- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP.

- Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,...

- Có thể giới hạn HTTP download.

- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập.

- Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).

- Điều khiển một số phương thức truy xuất của HTTP.

IV. Cài Đặt ISA 2004.

IV.1. Yêu cầu cài đặt.

Thành phần Yêu cầu đề nghị

Bộ xử lý (CPU)

Intel hoặc AMD 500Mhz trở lên.

Hệ điều hành (OS)

Windows 2003 hoặc Windows 2000 (Service pack 4).

Bộ nhớ (Memory)

256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching,

1GB cho Web-caching ISA firewalls.

không gian đĩa (Disk

space)

ổ đĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB

dành cho ISA.

NIC

Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC)

IV.2. Quá trình cài đặt ISA 2004.

IV.2.1 Cài đặt ISA trên máy chủ 1 card mạng.

Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là Unihomed ISA Firewall), chỉ hỗ

trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng:

- SecureNAT client.

- Firewall Client.

- Server Publishing Rule.

- Remote Access VPN.

- Site-to-Site VPN.

- Multi-networking.

- Application-layer inspection ( trừ giao thức HTTP)

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

602

Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

603

Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source.

Nhấp chuột vào "Install ISA Server 2004" trong hộp thoại "Microsoft Internet Security and

Acceleration Server 2004".

Nhấp chuột vào nút Next trên hộp thoại "Welcome to the Installation Wizard for Microsoft ISA

Server 2004" để tiếp tục cài đặt.

Chọn tùy chọn Select "I accept" trong hộp thoại " License Agreement", chọn Next.

Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và

Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để

tiếp tục .

Chọn loại cài đặt (Installation type) trong hộp "Setup Type", chọn tùy chọn Custom, chọn Next..

trong hộp thoại "Custom Setup" mặc định hệ thống đã chọn Firewall Services, Advanced Logging,

và ISA Server Management. Trên Unihomed ISA firewall chỉ hỗ trợ Web Proxy Client nên ta có thể

không chọn tùy chọn Firewall client Installation share tuy nhiên ta có thể chọn nó để các Client có

thể sử dụng phần mềm này để hỗ trợ truy xuất Web qua Web Proxy. Chọn Next để tiếp tục.

Hình 5.6: Chọn Firewall Client Installation Share.

Chỉ định address range cho cho Internet network trong hộp thoại "Internal Network", sau đó chọn

nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC.

Hình 5.7: Mô tả Internal Network Range.

Sau khi mô tả xong "Internet Network address ranges", chọn Next trong hộp thoại "Firewall Client

Connection Settings".

Sau đó chương trình sẽ tiến hành cài đặt vào hệ thống, chọn nút Finish để hoàn tất quá trình.

IV.2.2 Cài đặt ISA trên máy chủ có nhiều card mạng.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

604

ISA Firewall thường được triển khai trên dual-homed host (máy chủ có hai Ethernet cards) hoặc

multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA server có thể thực thi đầy đủ

các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN,...

Các bước cài đặt ISA firewall software trên multihomed host:

Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source.

Nhấp chuột vào "Install ISA Server 2004" trong hộp thoại "Microsoft Internet Security and

Acceleration Server 2004".

Nhấp chuột vào nút Next trên hộp thoại "Welcome to the Installation Wizard for Microsoft ISA

Server 2004" để tiếp tục cài đặt.

Chọn tùy chọn Select "I accept" trong hộp thoại " License Agreement", chọn Next.

Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và

Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để

tiếp tục .

Chọn loại cài đặt (Installation type) trong hộp "Setup Type", chọn tùy chọn Custom, chọn Next.

Trong hộp thoại "Custom Setup" mặc định hệ thống đã chọn Firewall Services, Advanced Logging,

và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share . Chọn Next để tiếp

tục.

Hình 5.8: Chọn Firewall Client Installation Share.

Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách

thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Cách thứ hai

ta cấu hình default Internal Network bằng cách chọn nút "Select Network Adapter" Sau đó ta nhấp

chuột vào dấu chọn "Select Network Adapter" kết nối vào mạng nội bộ.

Trong hộp thoại Configure Internal Network, loại bỏ dấu check trong tùy chọn tên Add the following

private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

605

Hình 5.9: Chọn Network Adapter.

Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table.

Chọn OK trong hộp thoại Internal network address ranges.

Hình 5.10: Internal Network Address Ranges.

Chọn Next trong hộp thoại "Internal Network" để tiếp tục quá trình cài đặt.

Chọn dấu check "Allow computers running earlier versions of Firewall Client software to

connect" nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next.

Hình 5.11: Tùy chọn tương thích với ISA Client.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

606

Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin

Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) /

Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)

services.

Chọn Finish để hoàn tất quá trình cài đặt.

V. Cấu hình ISA Server.

V.1. Một số thông tin cấu hình mặc định.

- Tóm tắt một số thông tin cấu hình mặc định:

- System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các

traffic còn lại đều bị cấm.

- Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network.

- Cho phép NAT giữa Internal Network và External Network.

- Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall.

Đặc điểm Cấu hình mặc định (Post-installation Settings)

User permissions

Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của

Administrators group trên máy tính nội bộ có thể cấu hình firewall policy).

Network settings

Các Network Rules được tạo sau khi cài đặt:

Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và

tất cả các mạng khác.

Internet Access: Định nghĩa Network Address Translation (NAT).

VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients

Network và Internal Network.

Firewall policy

Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các

traffic giữa các mạng.

System policy

ISA firewall sử dụng system policy để bảo mật hệ thống. một số system

policy rule chỉ cho phép truy xuất một số service cần thiết.

Web chaining

Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các

request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể

nhận từ Proxy Server khác.

Caching

Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô

hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web

caching.

Alerts

Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

607

Client configuration

Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

Tài liệu hướng dẫn giảng dạy

thông số proxy dụng Web browser.

V.2. Một số chính sách mặc định của hệ thống

Học phần 3 - Quản trị mạng Microsoft Windows Trang 487/555

Order/Comments

Name

Action

Protocol

from/Listener

To

Condition

1. Chỉ sử dụng khi ISA

Firewall là thành viên

của Domain

A

llow access to

Directory services

purposes

A

llow

LDAP ;LDAP (UDP)

LDAP GC (global

catalog)

LDAPS ;LDAPS GC

(Global Catalog)

Local Host

Internal

All Users

2. Cho phép quản lý ISA

Firewall từ xa thông qua

công cụ MMC

Allow remote

management from

selected computers

using MMC

A

llow

NetBIOS datagram

NetBIOS

Name Service

NetBIOS

Remote

Management

Computers

Local

Host

All Users

3. Cho phép quản lý ISA

Firewall thông qua

Terminal Services

Protocol

Allow remote

management from

selected computers

using Terminal

Server Name

A

llow

RDP (Terminal

Services) Protocols

Remote

Management

Computers

From/Listener

Local

Host

All Users

Continued

Condition

4. Cho phép login tới

một số server sử dụng

giao thức NetBIOS

Allow remote

logging to trusted

servers using

NETBIOS

A

llow

NetBIOS Datagram

NetBIOS Name

Service NetBIOS

Session

Local Host

Internal

All Users

5. Cho phép RADIUS

authentication từ ISA đến

một số trusted RADIUS

servers

Allow RADIUS

authentication from

ISA Server to

trusted RADIUS

servers

A

llow

RADIUS

RADIUS

Accounting

Local Host

Internal

All Users

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 488/555

Order/Comments

Name

Action

Protocol

from/Listener

To

Condition

Order/Comments

6. Cho phép chứng

thực kerberos từ ISA

Server tới trusted

server

A

llow Kerberos

authentication

from ISA Server

to trusted servers

A

llow

Kerberos-Sec

(TCP)

K

erberos-Sec

(UDP)

Local Host

Internal

A

ll Users

11. Cho phép ISA

Server gởi ICMP

request tới một số

server

7. Cho phép sử dụng

DNS từ ISA tới một số

DNS Server

A

llow DNS from ISA Server

to selected servers

A

llow

DNS

Local Host

All

Networks

(and

Local

Host)

A

ll Users

12. Cho phép tất cả

các VPN Client bên

ngoài kết nối vào ISA

Server

8. Cho phép DHCP

Request từ ISA gởi

đến tất cả các mạng

A

llow DHCP requests from

ISA Server to all networks

Name

Allow

DHCP(reques

t) Protocols

Local Host

From/Listener

A

nywher

e To

A

ll Users

Continued

Condition

13. Cho phép DHCP

Request từ ISA gởi

đến tất cả các mạng

9. Chấp nhận DHCP

replies từ DHCP

Server tới ISA Server

A

llow DHCP replies from

DHCP servers to ISA Server

A

llow

DHCP (reply)

Internal

Local

Host

A

ll Users

14. Cho phép ISA thiết

lập kết nối VPN (site to

site) đến VPN Server

khác

10. Cho phép một số

máy được quyền gởi

ICMP request đến ISA

Server

A

llow ICMP (PING)

requests from selected

computers to ISA Server

A

llow

Ping

Remote

Management

Computers

Local

Host

A

ll Users

15. Cho phép sử dụng

CIFS để truy xuất

share file từ ISA đến

các server khác

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

Name

Action

Protocol

from/Listener

To

Condition

Order/Comments

Name

Action

A

llow ICMP

requests from ISA

Server to selected

servers

Allow

ICMP

Information

Request ICMP

Timestamp

Local Host

A

ll Networks

(and Local

Host

Network)

A

ll Users

16. Cho phép login từ

xa bằng SQL qua ISA

server

A

llow remote SQL

logging from ISA

servers

A

llow

A

ll VPN client

traffic to ISA

Server

A

llow

PPTP

External

Local Host

A

ll Users

17. Cho phép truy xuất

HTTP/HTTPS từ ISA

đến một số site chỉ định

Allow HTTP/HTTPS

requests from ISA

Server to specified

sites Name

A

llow

A

llow VPN siteto-

site traffic to

ISA Server Name

A

llow

NONE

External

IPSec Remote

Gateways

From/Listener

Local Host

To

All Users

Continued

Condition

18. Cho phép

HTTP/HTTPS từ ISA

đến một số server khác

requests from ISA

Server to selected

servers for

connectivity

verifiers

A

llow

A

llow VPN site-tosite

traffic from

ISA Server

A

llow

NONE

Local Host

External

IPSec

Remote

Gateways

A

ll Users

19. Cho phép một số

máy được truy xuất

Firewall Client

installation share trên

ISA Server

Allow access from

trusted computers

to the Firewall

Client installation

share on ISA

Server

A

llow

CIFS (Common

Internet File

System) from ISA

Server to trusted

A

llow

Microsoft CIFS

(TCP) Microsoft

CIFS (UDP)

Local Host

Internal

A

ll Users

20. Cho phép quan sát

thông suất của ISA

Server từ xa

Allow remote

performance

monitoring of ISA

Server from trusted

servers

A

llow

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 489/555

Allow HTTP/HTTPS

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 490/555

Protocol from/Listen To

Condition Order/Comments Name Action Protocol from/Listen

Microsoft SQL

(TCP) MicrosoftLocal Host

SQL (UDP)

Internal

All Users

21. Cho phép sửAllow NetBIOSAllow

dụng NetBIOS từfrom ISA

ISA Server đến mộtServer to

số Server chỉ địnhtrusted servers

NetBIOS DatagramLocal Host

NetBIOS NameFrom/Listen

Service NetBIOSer

Sessions Protocols

sẵn Name

HTTP HTTPS

HTTP

System

Policy

All Users21. Cho phép sửAllow RPCAllow

RPC (all interfaces) Local Host

Protocols

HTTPS

Protocols

Allowed

Continued

Condition

dụng RPC từ ISAfrom ISA

truy xuất đến mộtServer to

Sites To

All

số server khác

trusted servers

HTTP HTTPS

Local Host

Networks

(and LocalAll Users

Host

Network)

23. Cho phép truyAllow

xuất HTTP/HTTPSHTTP/HTTPS

từ ISA Server tớifrom ISA

một số MicrosoftServer to

Allow HTTP HTTPS Local Host

error reporting site specified

(TCP) Microsoft

CIFS (UDP)

NetBIOS DatagramInternal

Local Host All Users

24. Cho phépauthentication

chứng thựcfrom ISA

SecurID từ ISA đếnServer to

Allow

SecurID

Local Host

NetBIOS Name

Service NetBIOS

Session

NetBIOS Datagram

một số server trusted servers

NetBIOS Name

Service NetBIOS

Remote

Managemen Local Host All Users

t Computers

25. Cho phép giámAllow remote

sát từ xa thông quamonitoring

giao thức Microsoftfrom ISA

Microsoft

Operations

Manager Agent

Local Host

Session Operations Server to

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

To

Condition

Order/Comments

Name

Action

Protocol

from/Listen

To

Condition

Internal To

All Users

Continued

Condition

26. Cho phép HTTP

traffic từ ISA Server tới

một số network hỗ trợ

dịch vụ chứng thực

download CRL

Traffic from ISA

Server to all

networks (for CRL

downloads) Name

Allow + Action

HTTP Protocols Local Host

From/Listen

All Networks

(and Local

Host) To

All Users

Continued

Condition

Internal

A

ll Users

27. Cho phép sử dụng

NTP (giao thức đồng bộ

thời gian trên Windows

NT 2k, XP) từ ISA tới một

Allow NTP from ISA

Server to trusted

NTP servers

Allow

NTP (UDP) Local Host Internal All Users

Microsoft

Error

Reporting

A

ll Users

28. Cho phép traffic

SMTP từ ISA Server tới

một số Server

Allow SMTP from

Allow ISA Server to

trusted servers

SMTP Local Host Internal All Users

Internal

A

ll Users

29. Cho phép một số

máy sử dụng Content

Download Jobs.

ISA Server to

selected computers

for Content

Download Jobs

Allow

HTTP Local Host All Networks

(and Local

Host)

System

and

Network

Service

Internal

A

ll Users

30. Cho phép một số

máy khác sử dụng MMC

điều khiển ISA

Allow Microsoft

communication to

selected computers

Allow

A

ll Outbound

traffic

Local Host Remote

Management

Computers

All Users

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 491/555

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

613

Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách

chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên

cột System policy.

Hình 5.12: System policy Rules.

Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.

Hình 5.13: System Policy Editor.

V.3. Cấu hình Web proxy cho ISA.

Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ

Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

614

Hình 5.14: System Policy Editor.

- Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua

giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả

dưới tên là "system policy allow sites" bao gồm:

- *.windows.com

- *.windowsupdate.com

- *.microsoft.com

Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên

ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System

Policy Rule có tên

+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA

Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào

item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ

truy xuất theo cú pháp *.domain_name.

- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có

tên "Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity

verifiers" (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt

sự thay đổi vào hệ thống.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

615

Hình 5.15: Mô tả System Policy Sites.

Chú ý:

- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại

nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải

mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy

cha lấy thông tin từ Internet Web Server.

+ Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA

Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi

vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them

to specified upstream server, chọn tiếp nút Settings...Chỉ định địa chỉ của upstream

server.

Hình 5.16: Chỉ định Upstream server.

+ Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi

có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta

cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.

- Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của

Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

616

Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

617

- Chỉ định địa chỉ của Web Proxy trong textbox Address.

- Chỉ Web Proxy Port trong Textbox Port là 8080.

Hình 5.16: Chỉ định Client sử dụng Proxy Server.

V.4. Tạo Và Sử Dụng Firewall Access Policy.

- Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server

Publishing Rules và Access Rules.

+ Web Publishing Rules và Server Publishing Rules được sử dụng để cho phép inbound

access.

o Access rules dùng để điều khiển outbound access.

- ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down (Lưu ý rằng

System Policy được kiểm tra trước Access Policy do user định nghĩa), nếu packet phù hợp với

một luật nào đó thì ISA Firewall thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật,

sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu packet không phù hợp với bất kỳ

System Access Policy và User-Defined Policy thì ISA Firewall deny packet này.

- Một số tham số mà Access Rule sẽ kiểm tra trong connection request:

+ Protocol: Giao thức sử dụng.

+ From: Địa chỉ nguồn.

+ Schedule: Thời gian thực thi luật.

+ To: Địa chỉ đích.

+ Users: Người dùng truy xuất.

+ Content type: Loại nội dung cho HTTP connection.

V.4.1 Tạo một Access Rule.

Access Rules trên ISA Firewall luôn luôn áp đặt luật theo hướng ra (outbound). Ngược lại, Web

Publishing Rules, Server Publishing Rules áp đặt theo hướng vào (inbound). Access Rules điều

khiển truy xuất từ source tới destination sử dụng outbound protocol. Một số bước tạo Access

Rule:

3. Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management console,

mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong Task Pane,

nhấp chuột vào liên kết Create New Access Rule.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

618

4. Hiển thị hộp thoại "Welcome to the New Access Rule Wizard". Điền vào tên Access Rule

name, nhấp chuột vào nút Next để tiếp tục.

5. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc

định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp

tục.

6. Hiển thị hộp thoại "Protocols" (tham khảo Hình 5.17). Ta sẽ chọn giao thức (protocol) để cho

phép/cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh

sách This rule applies to.

- All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn

này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì

tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary

protocols đã được định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với

SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã

được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất

tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol

Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client.

- Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng protocols để áp đặt vào luật

(rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một

Protocol Definition.

- All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà

không được định nghĩa trong hộp thoại.

Hình 5.17: Lựa chọn protocol để mô tả cho Rule.

Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật

(tham khảo hình 5.18).

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

619

Hình 5.18: Lựa chọn protocol để mô tả cho Rule.

1. Hiển thị hộp thoại Access Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào

luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa

chỉ nguồn từ hộp thoại này (tham khảo hình), chọn Next để thực hiện bước tiếp theo.

Hình 5.19: Chọn địa chỉ nguồn.

2. Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật

bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này

cho phép ta chọn địa chỉ đích (Destination) được mô tả sẳn trong hộp thoại hoặc có thể định

nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau

khi hoàn tất quá trình ta chọn nút Next để tiếp tục.

3. Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật

sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thông số này bằng cách chọn Edit hoặc

thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục

4. Chọn Finish để hoàn tất.

V.4.2 Thay đổi thuộc tính của Access Rule.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

620

Trong hộp thoại thuộc tính của Access Rule chứa đầy đủ các thuộc tính cần thiết để thiết lập luật, có

một số thuộc tính chỉ có thể cấu hình trong hộp thoại này mà không thể cấu hình trong quá trình tạo

Access Rule, thông thường ta truy xuất hộp thoại thuộc tính của luật khi ta muốn kiểm tra hoặc thay

đổi các điều kiện đã đặt trước đó. Để truy xuất thuộc tính của Access Rule ta nhấp đôi chuột vào tên

luật trong Firewall Policy Panel.

Một số Tab thuộc tính của Access Rule:

- General tab: Cho phép ta có thể thay đổi tên Access rule, Enable/Disable Access rule.

- Action tab: Cung cấp một số tùy chọn để hiệu chỉnh luật như (Tham khảo hình 5.20):

- Allow: Tùy chọn cho phép các kết nối phù hợp (matching) với các điều kiện được mô tả trong

Access rule đi qua ISA firewall.

- Deny: Tùy chọn cấm các kết nối phù hợp (matching) với các điều kiện được mô tả trong Access

rule đi qua ISA firewall.

- Redirect HTTP requests to this Web page: Tùy chọn được cấu hình để chuyển hướng HTTP

requests (phù hợp với điều kiện của Access rule) tới một Web page khác.

- Log requests matching this rule Cho phép ghi nhận lại tất cả các request phù hợp với Access

Rule.

Hình 5.20: Thuộc tính của Access Rule.

- Protocols tab: Cung cấp các tùy chọn để cho phép ta hiệu chỉnh giao thức (protocol) cho

Access rule.

- From tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ nguồn cho Access rule.

- To tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ đích cho Access rule.

- Users tab: Cung cấp các tùy chọn để hiệu chỉnh thông tin User trong Access rule.

- Schedule tab: Hiệu chỉnh thời gian áp đặt (apply) luật.

- Content Types tab: Cho phép hiệu chỉnh Content Type chỉ áp đặt HTTP connection.

V.5. Publishing Network Services.

V.5.1 Web Publishing and Server Publishing.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

621

Publishing services là một kỹ thuật dùng để công bố (publishing) dịch vụ nội bộ ra ngoài mạng

Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các dịch vụ SMTP, NNTP,

POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,,.

- Web publishing: Dùng để publish các Web Site và dịch vụ Web. Web Publishing đôi khi được

gọi là 'reverse proxy' trong đó ISA Firewall đóng vai trò là Web Proxy nhận các Web request từ

bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào Web Site hoặc Web Services nội bộ xử lý (tham

khảo hình 5.21), Một số đặc điểm của Web Publishing:

- Cung cấp cơ chế truy xuất ủy quyền Web Site thông qua ISA firewall.

- Chuyển hướng theo đường dẫn truy xuất Web Site (Path redirection)

- Reverse Caching of published Web Site.

- Cho phép publish nhiều Web Site thông qua một địa chỉ IP.

- Có khả năng thay đổi (re-write) URLs bằng cách sử dụng Link Translator của ISA firewall.

- Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Site (SecurID authentication,

RADIUS authentication, Basic Authentication)

- Cung cấp cơ chế chuyển theo Port và Protocol.

Hình 5.21: Mô hình Web Publishing.

- Server publishing: Tương tự như Web Publishing, Server publishing cung cấp một số cơ chế

công bố (publishing) các Server thông qua ISA Firewall.

V.5.2 Publish Web server.

Để publish một Web Services ta thực hiện các bước sau:

1. kích hoạt màn hình "Microsoft Internet Security and Acceleration Server 2004 management

console", mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.

2. Trên Tasks tab, chọn liên kết "Publish a Web Server", hiển thị hộp thoại "Welcome to the New

Web Publishing Rule Wizard" yêu cầu nhập tên Web publishing rule, chọn Next để tiếp tục.

3. Chọn tùy chọn Allow trong hộp thoại "Select Rule Action", chọn Next.

4. Cung cấp một số thông tin về Web Site cần được publish trong hộp thoại "Define Website to

Publish" (tham khảo hình 5.22):

- "Computer name or IP address": chỉ định địa chỉ của Web Server nội bộ.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

622

- "Forward the original host header instead of the actual one (specified above)": Chỉ định cơ

chế chuyển yêu cầu vào Web Server nội bộ theo dạng host header name, tùy chọn này được sử

dụng trong trường hợp ta muốn publish Web hosting cho một Web Server.

- "Path": Chỉ định tên tập tin hoặc thư mục ta muốn truy xuất vào Web Server nội bộ.

- "Site": Chỉ định tên Web Site được publish.

Hình 5.22: Chỉ định Web Site cần Publish.

1. Chỉ định một số thông tin về FQDN hoặc IP addresses được phép truy xuất tới publish Web Site

thông qua Web Publishing Rule (tham khảo hình 5.23). Các tùy chọn cần thiết:

- Accept requests for: Chỉ định tên publish được Web listener chấp nhận.

- Path (optional): Chỉ định đường dẫn Web Site cho phép truy xuất

- Site: Tên Web Site được phép truy xuất Web Site nội bộ.

Hình 5.23: Chỉ định tên domain được truy xuất publish site.

2. Chọn Web Listener cho Web Publishing Rule (là một Network Object được sử dụng cho Web

Publishing Rule để listen các kết nối đi vào interface (incoming connection) theo port được

định nghĩa trước), ở bước này ta có thể lựa chọn Web Listener đã tạo trước đó hoặc ta có thể tạo

mới Web Listener. Sau đây là một số bước tạo mới Web Listener.

- Từ hộp thoại "Seclect Web Listener" bằng cách nhấp chuột vào nút New..., cung cấp tên Web

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

623

Listener trong hộp thoại "Welcome to the New Web Listener Wizard", chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

624

- Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút

Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add> (tham khảo hình

5.24), cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp

tục.

Hình 5.24: Chọn địa chỉ chấp nhận incoming web request.

3. Chỉ định HTTP port và SSL port trong hộp thoại Port Specification cho phép ISA Server sử

dụng để chấp nhận incoming web requests, chọn Next.

4. Chọn Finish để hoàn tất quá trình.

V.5.3 Publish Mail Server.

Các bước tiến hành publish Mail server:

1. Kích hoạt màn hình "Microsoft Internet Security and Acceleration Server 2004 management

console", mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.

2. Trên Tasks tab, chọn liên kết "Publish a Mail Server", hiển thị hộp thoại "Welcome to the New

Mail Server Publishing Rule Wizard" yêu cầu nhập tên Mail Server Publishing Rule, chọn Next

để tiếp tục.

3. Chọn các tùy chọn về loại truy xuất cho Client trong hộp thoại "Select Client Type" (Tham khảo

hình 5.25).

- Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server

ActiveSync: Publish Web Mail Server để cho phép client có thể truy xuất E-Mail qua Web thông

qua OWA, OMA, ESA,..

- Client access: RPC, IMAP, POP3, SMTP: Publish các giao thức IMAP, POP3, SMTP cho Mail

Server.

- Server-to-server communication: SMTP, NNTP: Cho phép Server Mail bên ngoài có thể giao

tiếp với Server Mail nội bộ thông qua giao thức SMTP, NNTP.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

625

Hình 5.25: Chọn Client Type.

1. Ví dụ trong bước 3 ta chọn tùy chọn Web Client Access, chọn Next, sau đó xuất hiện hộp thoại

"Select Services" cho phép ta chọn các dịch vụ Exchange Web Services bao gồm: Outlook

Web Access, Outlook Mobile Access, Exchange ActiveAsync (tham khảo hình 5.26), chọn

Next để tiếp tục.

Hình 5.26: Chọn Exchange Web Services.

2. Chỉ định địa chỉ Web Mail Server trong hộp thoại "Specify the Web Mail Server", chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

626

Hình 5.27: Chỉ định địa chỉ Web Mail Server.

3. Chỉ định Publish Name được Web Listener chấp nhận trong hộp thoại "Public Name Details",

chọn Next.

Hình 5.28: Chỉ định Publish Name.

4. Chọn Finish để hoàn tất quá trình.

V.5.4 Tạo luật để publish Server.

Tạo luật để publish một Server thực chất các thao tác cũng tương tự như ta publish một Web hoặc

Mail chỉ có điều ta được phép lựa chọn protocol cần được publish, khi ta publish một Server ta cần

chuẩn bị một số thông số sau:

- Protocol mà ta cần publish là protocol gì?

- Địa chỉ IP trên ISA firewall chấp nhận incoming connection.

- Địa chỉ IP address của Publish Server nội bộ (Protected Network server).

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

627

Hình 5.29: Mô hình tạo luật để publish server.

Các bước tạo một Publish Server:

1. Kích hoạt màn hình "Microsoft Internet Security and Acceleration Server 2004 management

console", mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.

2. Trên Tasks tab, chọn liên kết "Create New Server Publishing Rule", hiển thị hộp thoại

"Welcome to the New Server Publishing Rule Wizard" yêu cầu nhập tên Server Publishing

Rule, chọn Next để tiếp tục.

3. Chỉ định địa chỉ của server nội bộ cần để publish, chọn Next để tiếp tục.

Hình 5.30: Chỉ định địa chỉ của Server để publish.

4. Chọn Protocol cần để Publish, chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

628

Hình 5.31: Chọn protocol.

5. Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút

Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add> (tham khảo hình

5.24), cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp

tục.

6. Chọn Finish để hoàn tất quá trình.

V.6. Kiểm tra trạng thái và bộ lọc ứng dụng.

ISA firewall có thể thực thi được hai chức năng quan trọng stateful filtering và stateful application

layer inspection. stateful filtering kiểm tra và thiết lập bộ lọc tại tầng network, transport. Stateful

filtering thường được gọi là bộ kiểm tra trạng thái packet (stateful packet inspection). Trái ngược

với phương thức packet filtering dựa trên hardware firewalls, ISA firewall có thể kiểm tra thông tin

tại tầng ứng dụng (stateful application layer inspection). stateful application layer inspection yêu

cầu Firewall có thể kiểm tra đầy đủ thông tin trên tất cả các tầng giao tiếp bao gồm hầu hết các tầng

qua trọng và application layer trong mô hình tham chiếu OSI.

V.6.1 Lập bộ lọc ứng dụng.

ISA firewall thiết lập bộ lọc ứng dụng (Application filters) với mục đích bảo vệ các publish server

chống lại một số cơ chế tấn công bất hợp pháp từ bên ngoài mạng, để hiệu chỉnh bộ lọc ta chọn mục

Add-ins trong Configuration Panel, sau đó ta nhấp đôi chuột vào tên bộ lọc cần hiệu chỉnh,...Một số

các bộ lọc ứng dụng cần tham khảo như:

- SMTP filter and Message Screener: SMTP filter và Message Screener được sử dụng để bảo vệ

publish SMTP server chống lại cơ chế tấn công làm tràn bộ nhớ (buffer overflow attacks),

SMTP Message Screener bảo vệ mạng nội bộ ngăn một số E-mail messages không cần thiết.

- Dùng SMTP filter để ngăn chặn địa chỉ Mail hoặc domain truy xuất Publish STMP Server (tham

khảo hình 5.32)

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

629

Hình 5.32: ngăn chặn Users/domain sử dụng SMTP.

- Dùng SMTP filter để ngăn chặn gởi file đính kèm (tham khảo hình 5.33), ta có thể xóa, lưu giữ

message, chuyển message đối với file đính kèm có tên file giống với tên được mô tả trong

Attachment name:, hoặc file đính kèm có phần mở rộng được mô tả trong Textbox Attachment

Extensions, hoặc file đính kèm có kích thước lớn hơn hay bằng kích thước mô tả trong textbox

Attachment size limit (bytes):,

Hình 5.33: ngăn chặn Users/domain sử dụng SMTP.

- DNS filter: Được sử dụng để bảo vệ Publish DNS Server để ngăn, chống lại một số cơ chế tấn

công từ bên ngoài vào dịch vụ DNS.

- POP Intrusion Detection filter: Được sử dụng để bảo vệ Publish POP Server để ngăn, chống lại

một số cơ chế tấn công từ bên ngoài vào dịch vụ POP.

- SOCKS V4 filter: được sử dụng để chấp nhận yêu cầu kết nối SOCKS version 4. SOCKS v4

filter mặc định không được kích hoạt. Thông thường hệ thống Windows không cần sử dụng

SOCKS filter vì ta có thể cài đặt Firewall client trên các máy mà ta muốn chứng thực trong suốt

(transparently authenticate) với ISA firewall. Ta có thể enable SOCK v4 fileter để cung cấp

dịch vụ SOCK cho các host không thể cài đặt Firewall clients như Linux và Mac hosts. Để

enbale SOCK services ta nhấp đôi chuột vào mục SOCK V4 Filter, sau đó chọn tùy chọn Enable

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

630

this filter, chọn Networks Tab để chọn interface trên ISA Firewall cho phép listen tại port 1080.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

631

Hình 5.32: Kích hoạt SOCK Service.

V.6.2 Thiết lập bộ lọc Web.

ISA firewall Web filters được sử dụng để ISA firewall lọc các kết nối thông qua giao thức HTTP,

HTTPS, and FTP tunneled (Web proxied).

HTTP Security filter: Là một trong những kỹ thuật chính yếu để thiết lập bộ lọc ứng dụng, HTTP

Security filter cho phép ISA firewall thực hiện một số cơ chế kiểm tra thông tin ứng dụng

(application layer inspection) dựa trên tất cả các HTTP traffic qua ISA firewall và chặn các kết nối

không phù hợp với yêu cầu được mô tả trong HTTP security, để thay đổi HTTP Security Filter ta

nhấp đôi chuột vào Web Publishing Rule | Traffic Tab | Filtering | Configure HTTP.

- General Tab: Quy định chiều dài tối đa của HTTP Request Header, URL Length, giới hạn thông

tin trả về có chứa các code thực thi,..

- Methods Tab: Điều khiển các HTTP method như: GET, PUT, POST, HEAD, SEARCH,

CHECKOUT,...

- Extensions Tab: Giới hạn file extensions trong các thông tin request của user, như ta có thể

block các user truy xuất file có phần mở rộng là .exe, .com, .zip.

- Headers Tab: Giới hạn HTTP header trong các thông tin yêu cầu cũng như thông tin trả lời từ

Web client.

- Signatures Tab: Cho phép điều khiển truy xuất dựa vào HTTP signature. Thông tin chữ ký

(signatures) dựa vào chuỗi ký tự có trong HTTP communication.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

632

Hình 5.32: Cấu hình HTTP policy.

ISA Server Link Translator: Link Translator là một trong những kỹ thuật được xây dựng sẵn trong

ISA firewall Web filter để thực hiện biến đổi địa chỉ URL cho các kết nối của user bên ngoài truy xuất

vào Web publishing nội bộ, Link Translation dictionary được tạo khi ta kích hoạt (enable) link

translation cho Web Publishing Rule. Một số Link Translator dictionary mặc định:

- Bất kỳ sự kiện nào xảy ra trên Web Site được chỉ định trong Tab To của Web Publishing Rule

được thay thế bằng một tên Web Site (hoặc địa chỉ IP). Ví dụ, nếu ta đặt một luật cho Web

Publishing là chuyển tất cả các incoming request theo địa chỉ http://www.microsoft.com của

Client truy xuất vào ISA Server thì sẽ chuyển tới Web Server nội bộ có tên là SERVER1 (có địa

chỉ192.168.1.1), khi đó ISA Server sẽ thay thế tất cả các response của http://SERVER1 thành địa

chỉ http://www.microsoft.com gởi trả lại cho Client bên ngoài.

- Nếu không chỉ định port mặc định trên Web listener, thì port đó sẽ được gởi trả lại cho Client. Ví

dụ, nếu có chỉ định port mặc định trên Web listener thì thông số port sẽ được loại bỏ khi thay thế

địa chỉ URL trong trang trả về (response page). Nếu Web listener lắng nghe (listening) trên port

88 của giao thức TCP thì thông tin trả về cho Web Client có chứa giá trị port 88 của giao thức

TCP.

- Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall thì firewall sẽ thay thế HTTP thành

HTTPS gởi trả về Client.

- Ví dụ: Giả sử ISA firewall publish một site trên máy có tên là SERVER1. ISA firewall publish

site sử dụng tên chính (public name) là www.msfirewall.org/docs. External Web client gởi một

request với thông tin "GET /docs HTTP/1.1Host: www.msfirewall.org" Khi Internet Information

Services (IIS) Server nhận request thì nó sẽ tự động trả về mã số 302 response với header

được mô tả là http://SERVER1/docs/, đây là tên nội bộ (Internal Name) Web server. Link

Translator của ISA firewall sẽ thay đổi (translates) header trả lời (response header) với giá trị

là http://www.msfirewall.org/docs/. Trong ví dụ trên thì một số thông tin (entries) sẽ tự động thêm

vào Link Translation dictionary:

http://SERVER1 --> http://www.msfirewall.org

http://SERVER1:80 --> http://www.msfirewall.org

https://SERVER1 --> https://www.msfirewall.org

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

633

https://SERVER1:443 --> https://www.msfirewall.org

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

634

- Nếu ISA firewall publish một site sử dụng Web listener không phải trên port mặc định

(nondefault ports) ( ví dụ: 85 cho HTTP và 885 cho SSL),thì địa chỉ URL sẽ được thay đổi như

sau theo các mục ánh xạ địa chỉ URL như sau:

http://SERVER1 --> http://www.msfirewall.org:85

http://SERVER1:80 --> http://www.msfirewall.org:85

https://SERVER1 --> https://www.msfirewall.org:885

https://SERVER1:443 --> https://www.msfirewall.org:885

V.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công.

- Một số phương thức tấn công thông dụng:

Denial-of-Service Attacks: Là kiểu tấn công rất lợi hại, với kiểu tấn công này ,bạn chỉ cần 1 máy tính

kết nối đến internet là đã có thể thực hiện việc tấn công đối phương. thực chất của DoS là attacker sẽ

chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của

người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động hay bị treo. Attacker làm tràn

ngập hệ thống có thể là bằng tin nhắn, tiến trình, hay gửi những yêu cầu đến hệ thống mạng từ đó

buộc hệ thống mạng sẽ sử dụng tất cả thời gian để khứ hồi tin nhắn và yêu cầu. nhiều lúc dẫn đến việc

bị tràn bộ nhớ. Khi sự làm tràn ngập dữ liệu là cách đơn giản và thông thường nhất để phủ nhận dịch

vụ thì 1 attacker không ngoan hơn sẽ có thể tắt dịch vụ, định hướng lại và thay thế theo chiều hướng

có lợi cho attacker.

SYN Attack/LAND Attack: bằng cách lợi dụng cơ chế bắt tay đối với một số dịch vụ dựa trên chuẩn

giao thức TCP, Client tấn công theo kiểu SYN attack bằng cách gởi một loạt SYN packets mà có địa

chỉ nguồn giả, điều này Client có thể làm tràn ngập (flooded) hàng đợi ACK của gói SYN/ACK gởi

cho Client từ Server, đến một lúc nào đó Server sẽ bị quá tải.

Ngoài ra còn có một số phương thức tấn công khác như: Ping of Death, Teardrop, Ping Flood

(ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band

Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan.

Để cho phép ISA Firewall có thể dectect và ngăn một số phương thức tấn công trên ta truy xuất vào

hộp thoại Intrusion Detection bằng cách mở giao diện "Microsoft Internet Security and

Acceleration Server 2004 management console", chọn nút Configuration. Chọn nút General, sau

đó ta nhấp chuột vào liên kết "Enable Intrusion Detection and DNS Attack Detection" (tham khảo

hình 5.33)

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

635

Hình 5.33: Phát hiện một số cơ chế tấn công.

Chọn DNS Attacks Tab để hiệu chỉnh một số phương thức ngăn, ngừa tấn công theo dịch vụ DNS

(tham khảo hình 5.34 ).

Hình 5.34: Phát hiện và ngăn tấn công DNS.

- IP option filtering.

Ta có thể thiết lập một số bộ lọc cho giao thức IP để chống lại một số cơ chế tấn công dựa vào một số

tùy chọn của giao thức này. Để cấu hình ta chọn liên kết Define IP preferences trong nút

Configuration (tham khảo hình 5.35).

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

636

Hình 5.35: IP option filtering.

V.7. Một số công cụ bảo mật.

V.7.1 Download Security.

DownloadSecurity là một công cụ tích hợp với ISA được tổ chức GFI Software LtdGFI phát triển.

DownloadSecurity được thiết kế để tăng cường khả năng kiểm soát và quản lý thông tin download từ

Internet. Một số chức năng về DownloadSecurity:

- Scan viruses cho tất cả các tập tin được download từ internet.

- Tự động cập nhật Anti-virus signature.

- Tự động kiểm tra một số loại file nguy hiểm như *.exe, *.doc,...

- Cung cấp cơ chế cảnh báo an ninh cho người quản trị.

- Được tích hợp với ISA Firewall, dễ quản lý và cấu hình.

- Tính hiệu quả cao trong việc thực hiện một số chức năng như lọc nội dung, chống virus, kiểm soát

truy xuất internet.

- Cung cấp cơ chế cảnh báo user hoặc trình duyệt chặn một số ActiveX Control và Java applet

nguy hiểm.

- Phân tích các đoạn code thực thi nguy hiểm để chống Trojans.

- Cấu hình ISA Web Filtering.

Mặc định sau khi ta cài phần mềm DownloadSecurity, DownloadSecurity sẽ tự động được kích hoạt

để hỗ trợ thiết lập bộ lọc Web Filters. Để hiệu chỉnh bộ lọc ta chọn Configuration | Add-ins | Web

Filters | GFI DownloadSecurity Filter | Configuration Tab (tham khảo Hình 5.36).

- Do not scan these URLs: Chỉ định danh sách địa chỉ URL không cần kiểm tra nội dung và virus.

- Scan these Content types: Chỉ định loại nội dung cần kiểm tra bao gồm các đoạn code có thể

thực thi, Java applets, ActiveX Control.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

637

Hình 5.36: Download security Web Filter.

Thiết lập một số chính sách kiểm tra download.

Thiết lập chính sách kiểm tra download để giới hạn hoặc cô lập loại file, dung lượng file download,...

để thay đổi luật download mặc định trong hệ thống bằng cách chọn Start | Programs | GFI

DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đôi chuột vào

rule có tên "Default Attachment Download Checking Rule" (tham khảo hình 5.37)

- General Tab: Cho phép lựa chọn một số chế độ cấm download, cấm download các tập tin có

dung lượng lớn hơn dung lượng định nghĩa.

- Actions Tab: Hiệu chỉnh các Action khi cấm như thông báo Mail, quản lý thông báo qua mail, ghi

nhận nhật ký,...

- Users/Folders Tab: Chọn User hoặc thư mục cần thiết để thiết lập luật.

Hình 5.37: Thay đổi thuộc tính của Download checking rule.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

638

Cấu hình kiểm tra Virus, chống Trojans.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

639

DownloadSecurity tích hợp sẵn các chương trình kiểm tra và quét virus cho các file download, các

chương trình này được cập nhận thường xuyên để có thể ngăn chặn sự tấn công của các loại Virus

mới. Ngoài ra DownloadSecurity còn tích hợp một số scanners để scan và kiểm tra Trojans, đoạn

mã thực thi nguy hiểm (Executable)

Để thay đổi hiệu chỉnh một số bộ kiểm tra Virus (Virus Engine) ta chọn Start | Programs | GFI

DownloadSecurity | DownloadSecurity Configuration | Virus Scanning Engines, Nhấp đôi chuột

vào một engine cụ thể (Tham khảo hình 5.38)

hình 5.38: Hiệu chỉnh thuộc tính của Virus Control Engine.

V.7.2 Surfcontrol Web Filter.

SurfControl Web Filter giúp nâng cao tính năng bảo mật, tối ưu hóa băng thông của hệ thống.

SurfControl Web Filter thiết sẵn một group các đối tượng để cho phép ta quản lý và thiết lập luật để

giới hạn truy xuất Internet dễ dàng hơn.

Một số công cụ hỗ trợ trong SurfControl Web Filter:

- Monitor: Cung cấp một số cách theo dõi và giám sát traffic của các user trong mạng, thông tin về

giám sát hoạt động của user được lưu trong SurfControl database, chúng được hiển thị trong

cửa sổ the Monitor window.

- Real Time Monitor: Giám sát và hiển thị traffic mạng theo thời gian thực.

- Rules Administrator: Cho phép ta có thể tạo luật để điều khiển truy xuất internet.

- Scheduler: Cho phép thiết lập lịch biểu để theo dõi sự kiện hệ thống.

- Virtual Control Agent (VCA): Phân loại Web site theo nội dung truy xuất.

- Report Central: là công cụ mạng hỗ trợ tạo report để thống kê traffic.

- Remote Administration: Cho phép điều khiển từ xa SurfControl Web Filter.

Database của chương trình SurfControl Web Filter được lưu trên một hệ quản trị cơ sở dữ liệu, có

thể là MS SQL Server, msde2000, do đó trước khi cài đặt SurfControl Web Filter ta cần phải cài đặt

một trong hai hệ quản trị cơ sở dữ liệu trên.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

640

V.8. Thiết lập Network Rule.

Mặc định hệ thống tạo ra các Network rule để cho phép thiết lập một số cơ chế như định tuyến

(Route) giữa hai mạng (tham khảo hình 5.39), thay đổi đĩa chỉ (NAT). Mặc định hệ thống tạo ra một số

Network rule sau:

- Local Host Access: Định tuyến traffic localhost đến mạng nội bộ.

- VPN Client to Internal Network: Định tuyến từ VPN Client đến Internal network.

- Internet Access: NAT Internal network ra ngoài mạng internet.

V.8.1 Thay đổi thuộc tính của một Network Rule.

Để thay đổi thuộc tính của Network Rule ta nhấp đôi chuột vào tên luật trong Network Rules tab

(tham khảo hình 5.39).

Hình 5.39: Thay đổi thuộc tính cho Network Rule.

V.8.2 Tạo Network Rule.

Để tạo Network Rule ta thực hiện các bước sau:

1. Chọn nút Configuration, chọn Network, chọn Network Rules tab, Create a New Network Rule

trong Task Panel, chỉ định tên Network Rule, chọn Next.

2. Chỉ định địa chỉ nguồn trong hộp thoại Network Traffic Source.

Hình 5.40: Chỉ định địa chỉ nguồn.

3. Chỉ định địa chỉ đích trong hộp thoại Network Traffic Destination.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

641

Hình 5.41: Chỉ định địa chỉ đích cho Network Rule.

4. Chọn phương thức đặt Network Rule theo NAT (khi ta muốn NAT cho mạng nội bộ ra ngoài mạng

Internet) hay Route (khi ta muốn định tuyến mạng nội bộ ra ngoài mạng khác)

Hình 4.42: Chỉ định Network Relationship.

5. Chọn Finish để hoàn tất quá trình.

V.9. Thiết lập Cache, quản lý và theo dõi traffic.

V.9.1 Thiết lập Cache.

- Để cấu hình Cache ta chọn nút Configuration -> Cache của trình quản lý ISA management:

- Nhấp chuột phải vào nút Cache chọn Define Cache Drives, hoặc ta có thể nhấp chuột vào Cache

Rules sau đó chọn Define Cache Drives (enable caching) từ Tasks panel.

- Trong hộp thoại "Define Cache Drives" chọn một ổ địa định dạng NTFS và chỉ định kích thước

cache Maximum cache size , chọn nút Set (tham khảo hình 5.39).

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

642

Hình 5.43: Chỉ định dung lượng Cache.

V.9.2 Thay đổi tùy chọn về vùng Cache.

- Để cấu hình Cache ta chọn nút Configuration -> Cache của trình quản lý ISA management,

nhấp chuột phải vào nút Cache chọn liên kết Configure Cache Settings từ Tasks panel, chọn

Active Caching tab, chọn Enable active caching (tham khảo hình 5.40).

Hình 5.44: Enable cache.

V.9.3 Tạo Cache Rule.

Tạo Cache Rule để cho phép ta có thể đặt một số luật quy định đối tượng (Object) cần cache, thời

gian lưu trữ cache, kích thước của từng đối tượng cache, ... Các bước tạo cache rule như sau:

1. Nhấp chuột phải vào nút Cache, chọn New, chọn Cache Rule...

2. Chỉ định tên cache rule trong hộp thoại "Welcome to the New Cache Rule Wirzard", chọn Next.

3. Chọn nút Add để chỉ Distination cho Cache Rule (tham khảo hình), chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

643

Hình 5.45: Destination cache.

4. Chỉ định loại Object nào được nhận cho một request cụ thể nào đó trong hộp thoại Cache

retrieval. Một số tùy chọn cần lưu ý:

+ "Only if a valid version of the object exists in the cache if no valid object exists, the

request will be routed to the Web server": Cho phép nhận những Object hợp lệ (Valid

Object) trong cache ngược lại tồn tại hoặc không tồn tại Object hợp lệ thì request sẽ được

chuyển đến Web Server để nhận các Object cần thiết.

+ "If any version of the object exists in the cache it will be returned from cache If no

version exists route request server" : Cho phép request có thể nhận Valid Object hoặc

Invalid Object trong cache, nếu không có Object nào trong cache thì Server sẽ chuyển

request tới server.

+ "If any version of the object exists in cache if no exists the request will be dropped"

Nếu request yêu cầu một Object nào đó không tồn tại trong cache thì nó sẽ bị ngăn chặn

(Drop)

5. Trong hộp thoại Cache Content, chỉ định nội dung cần lưu trong cache(tham khảo hình 5.41),

chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

644

Hình 5.46: cache content.

6. Trong hộp thoại Cache Advanced Configuration, định giới hạn kích thước của các object cần

được cache trong textbox "Do not cache objects larger than" (tham khảo hình 4.42), chọn

Next.

Hình 5.47: Giới hạn kích thước cho đối tượng cache.

7. Chỉ định thời gian lưu trữ HTTP Object trong cache, chọn Next.

Hình 5.48: Chỉ định TTL cho HTTP Object.

8. Chỉ định thời gian lưu trữ FTP Object trong cache, chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

645

Hình 5.49: TTL của HTTP Object.

9. Chọn Finish để hoàn tất quá trình.

V.9.4 Quản lý và theo dõi traffic.

Một trong những chức năng qua trong của Firewall là khả năng giám sát (monitoring) và thống kê

(reporting) sự kiện xảy ra trong hệ thống, nó giúp cho Người quản trị mạng (Network administrator)

có thể theo dõi sự xâm nhập (attempted intrusions) và tấn công từ bên ngoài.

ISA Server 2004 bao gồm một số công cụ như: giám sát hoạt động của hệ thống (monitor ISA Server

activities), tạo và cấu hình cơ chế cảnh báo, thống kê thông tin hệ thống, giám sát thông suất

(performance) của ISA Server. Tất cả các công cụ này đề được đặt tại Monitoring node của trình

quản lý "ISA Server 2004 management console" (tham khảo hình 5.44).

Hình 5.50: Dashboard theo dõi log.

Thiết lập một số cảnh báo (alert) cho hệ thống

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

646

+ Chọn Tab Alerts, chọn liên kết Configure Alert Definitions trên Task panel, chọn nút Add

từ hộp thoại Alert properties, chỉ định tên Alerts, chọn Next (tham khảo hình 5.45).

Hình 5.51: Lập cảnh báo cho hệ thống.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

647

+ Chọn loại sự kiện để lập cảnh báo cho hệ thống, chọn Next.

Hình 5.52: Chọn loại cảnh báo cho hệ thống.

+ Chỉ định loại cảnh báo (Alert) và mức độ kiểm soát (lỗi, cảnh báo, thông báo) trong hộp

thoại Category and Severity, chọn Next.

+ Chỉ định các action để thực hiện cơ chế cảnh báo cho hệ thống, có thể cảnh báo qua Mail,

chương trình, ...(tham khảo hình 5.46)

Hình 5.53: Chọn cơ chế cảnh báo.

+ Chỉ định địa chỉ Email sẽ nhận cảnh báo của hệ thống, chọn Next.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

648

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

649

Hình 5.54: Chọn cơ chế cảnh báo.

+ Chọn dịch vụ sẽ bị stop khi Alert gặp sự cố, chọn Next.

+ Chọn Finish để hoàn tất quá trình.

Theo dõi thông tin truy xuất Web trong mạng nội bộ

Để theo dõi từng máy tình hoặc từng host trong mạng nội bộ truy xuất internet ta chọn Logging Tab

từ màn hình chính của Monitoring node (tham khảo hình 5.47).

Hình 5.55: Theo dõi log truy xuất Web.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

650

Tóm tắt

Lý thuyết 6 tiết - Thực hành 0 tiết

Bạn đang đọc truyện trên: Truyen247.Pro

Trước Sau
Tags: #win