MỤC LỤC:
I/ Giới thiệu:
1.1/Giới thiệu tổng quan về quản lý hệ thống mạng: 6
1.2/Mục đích bài báo cáo: . 7
II/ ISA server:
2.1/ Giới thiệu: 8
2.2/ Chức năng của phần mềm . 9
2.3/Cài đặt ISA Server 2006 9
Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain 10
Bước 2: Cài “ISA 2006” lên ISA1 . 10
Bước 3: Cài đặt SP1 cho ISA Server 15
Bước 4: Tạo Rule kiểm tra đường chuyền . 17
Bước 5: Cấu hình Automatic Discovery . 22
Bước 6:Cấu hình Remote Management . 35
Một số ứng dụng thực tế:
1. Tạo rule cho phép traffic DNS Query để phân giải tên miền 38
2. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 44
3. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế. 52
4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao 53
5. Chỉ cho xem “chữ” 55
6. Cấm xem trang www.kenh14.vn –Redirect về vnexpress.net: 56
7. Cấm chat yahoo 59
8. Cấm down file có đuôi exe 64
9. Monitoring . 66
10. Caching 76
Triển khai Mô hình VPN TO GATEWAY
1. Tạo domain user u1/123, Properties Allow acess 84
2. Xác đinh Pool số IP được gắn . 84
3. Bật tính năng VPN client access, xác định số VPN kết nối tối đa, đồng thời 86
4. Định nghĩa nhóm VPN client 88
5. Tạo Rule cho phép kết nối VPN 89
6. Kiểm tra . 89
2.4/ Đánh giá công cụ ISA server 2006:
2.4.1/ Điểm yếu của của ISA server so với Forefront TMG 94
2.4.2/ Ưu điểm của ISA server 2006 so với ISA server 2004 96
2.5/ Lời khuyên dành cho nhà quản trị ISA server 98
III/ Kết luận 98
IV/ Tài liệu tham khảo . 99
I/ Giới thiệu:
1.1/ Giới thiệu tổng quan về quản lý hệ thống mạng:
Sự phát triển và hội tụ mạng trong những năm gần đây đã tác động mạnh mẽ tới tất cả các khía cạnh của mạng lưới, thậm chí cả về những nhận thức nền tảng và phương pháp tiếp cận Quản lý mạng cũng là một trong những lĩnh vực đang có những sự thay đổi và hoàn thiện mạnh mẽ trong cả nỗ lực tiêu chuẩn hoá của các tổ chức tiêu chuẩn lớn trên thế giới và yêu cầu từ phía người sử dụng dịch vụ. Mặt khác các nhà khai thác mạng, nhà cung cấp thiết bị và người sử dụng thường áp dụng các phương pháp chiến lược khác nhau cho việc quản lý mạng và thiết bị của mình. Mỗi nhà cung cấp thiết bị thường đưa ra giải pháp quản lý mạng riêng cho sản phẩm của mình. Trong bối cảnh hội tụ mạng hiện nay, số lượng thiết bị và dịch vụ rất đa dạng và phức tạp đã tạo ra các thách thức lớn trong vấn đề quản lý mạng.
Nhiệm vụ của quản lý mạng rất rõ ràng về mặt nguyên tắc chung, nhưng các bài toán quản lý cụ thể lại có độ phức tạp rất lớn. Điều này xuất phát từ tính đa dạng của các hệ thống thiết bị và các đặc tính quản lý của các loại thiết bị, và xa hơn nữa là chiến lược quản lý phải phù hợp với kiến trúc mạng và đáp ứng yêu cầu của người sử dụng. Một loạt các thiết bị điển hình cần được quản lý gồm: Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối, thiết bị đo kiểm, máy điện thoại, tổng đài điện thoại nội bộ, các thiết bị truyền hình, máy quay, modem, bộ ghép kênh, bộ chuyển đổi giao thức, CSU/DSU, bộ ghép kênh thống kê, bộ ghép và giải gói, thiết bị tương thích ISDN, card NIC, các bộ mã hoá và giải mã tín hiệu, thiết bị nén dữ liệu, các gateway, các bộ xử lý front-end, các đường trung kế, DSC/DAC, các bộ lặp, bộ tái tạo tín hiệu, các thiết bị chuyển mạch, các bridge, router và switch, tất cả mới chỉ là một phần của danh sách các thiết bị sẽ phải được quản lý.
Toàn cảnh của bức tranh quản lý phải bao gồm quản lý các tài nguyên mạng cũng như các tài nguyên dịch vụ, người sử dụng, các ứng dụng hệ thống, các cơ sở dữ liệu khác nhau trong các loại môi trường ứng dụng. Về mặt kĩ thuật, tất cả thông tin trên được thu thập, trao đổi và được kết hợp với hoạt động quản lý mạng dưới dạng các số liệu quản lý bởi các kĩ thuật tương tự như các kĩ thuật sử dụng trong mạng truyền số liệu. Tuy nhiên sự khác nhau căn bản giữa truyền thông số liệu và trao đổi thông tin quản lý là việc trao đổi thông tin quản lý đòi hỏi các trường dữ liệu chuyên biệt, các giao thức truyền thông cũng như các mô hình thông tin chuyên biệt, các kỹ năng chuyên biệt để có thể thiết kế, vận hành hệ thống quản lý cũng như biên dịch các thông tin quản lý về báo lỗi, hiện trạng hệ thống, cấu hình và độ bảo mật
v Mục đích và tầm bao quát của bài viết:
Bài viết tập trung nói về công cụ quản lý mạng (ở đây là ISA server). Giúp người quản trị quản lý mạng một cách an toàn.
1.2/Mục đích bài báo cáo:
ISA Server là phần mềm chia sẻ Internet của hãng Microsoft. Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt.
Nội dung của bài báo cáo gói gọn trong các vấn đề cấu hình hệ thống ISA SERVER trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các dịch vụ bên trong Mạng tổ chức.
Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạp nhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Mạng (network infrastructure ) mới có thể sử dụng được ISA SERVER như một Network Firewall.
Bài báo cáo mô tả các vấn đề:
Giúp bạn hiểu các tính năng có mặt trên ISA ServerCung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA ServerMô tả chi tiết thực hành triển khai (ISA SERVER)
v Mục đích của đề tài là hướng dẫn cài đặt và cấu hình ISA server. Cách sử dụng công cụ ISA server, giúp người quản trị hệ thống mạng nắm bắt, hiểu rõ cách triển khai 1 hệ thống mạng an toàn.
II/ ISA server:
2.1/ Giới thiệu:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn.
ISA Server là một phần quan trọng trong một kế hoạch tổng thể để bảo mật mạng trong một tổ chức.
ISA Server thông thường được lắp đặt tại vành đai mạng và được sử dụng để ngăn chặn các truy cập trái phép vào một mạng nội bộ, cũng như giới hạn cho phép truy cập từ mạng nội bộ đến Internet.
2.2/ Chức năng của phần mềm:
ISA Server cung cấp các tính năng tường lửa. Như:
· Lọc gói tin(packet filtering)
· Lọc trạng thái(stateful filtering)
· Lọc tầng ứng dụng(application-layer filtering)
ISA Server cho phép truy cập an toàn vào Internet bằng cách đảm bảo rằng khách hàng có thể truy cập chỉ những tài nguyên cần thiết trên Internet, và bằng cách đảm bảo rằng việc kết nối và truyền dữ liệu cả đến và đi từ Inernet được an toàn
ISA Server cho phép truy cập an toàn từ Internet vào tài nguyên mạng cục bộ thông qua việc sử dụng Web publishing rules, secure Web publishing rules và server publishing rules. Những nguyên tắc publishing này giới hạn người có thể truy cập vào mạng cục bộ và những gì có thể được xem cùng một lúc được truy cập mạng cục bộ.
ISA Server có thể cho phép truy cập an toàn đến máy chủ E-mail bằng việc ngăn chặn các cuộc tấn công máy chủ, lọc thư rác đến và file đính kèm. ISA Server cũng cho phép client kết nối an toàn đến Exchange Server sử dụng một loạt các giao thức client.
ISA Server có thể cho phép kết nối an toàn đến tài nguyên mạng cục bộ bằng các kết nối VPN được kích hoạt cho các client từ xa và các trang web.
102 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3894 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Cấu hình hệ thống isa sever 2006 - Môn: Quản trị hệ thống mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG
-----------------o0o-----------------
BÁO CÁO ĐỀ TÀI ISA SERVER
(Internet Security and Acceleration Server)
MÔN: QUẢN TRỊ HỆ THỐNG MẠNG
Giảng viên hướng dẫn:
Thầy: Vũ Trí Dũng
Thầy: Nguyễn Duy
Nhóm sinh viên thực hiện:
Lý Tuấn Anh – 08520011
Lê Hoàng Chánh – 08520036
Vũ Trọng Đắc – 08520088
Lâm Văn Tú – 08520610
TP. HỒ CHÍ MINH, 02/12/2011
NHẬN XÉT CỦA GIÁO VIÊN:
MỤC LỤC:
I/ Giới thiệu:
1.1/Giới thiệu tổng quan về quản lý hệ thống mạng: 6
1.2/Mục đích bài báo cáo: 7
II/ ISA server:
2.1/ Giới thiệu: 8
2.2/ Chức năng của phần mềm 9
2.3/Cài đặt ISA Server 2006 9
Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain 10
Bước 2: Cài “ISA 2006” lên ISA1 10
Bước 3: Cài đặt SP1 cho ISA Server 15
Bước 4: Tạo Rule kiểm tra đường chuyền 17
Bước 5: Cấu hình Automatic Discovery 22
Bước 6: Cấu hình Remote Management 35
Một số ứng dụng thực tế:
1. Tạo rule cho phép traffic DNS Query để phân giải tên miền 38
2. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 44
3. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế 52
4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao 53
5. Chỉ cho xem “chữ” 55
6. Cấm xem trang www.kenh14.vn –Redirect về vnexpress.net: 56
7. Cấm chat yahoo 59
8. Cấm down file có đuôi exe 64
9. Monitoring 66
10. Caching 76
Triển khai Mô hình VPN TO GATEWAY
1. Tạo domain user u1/123, Properties Allow acess 84
2. Xác đinh Pool số IP được gắn 84
3. Bật tính năng VPN client access, xác định số VPN kết nối tối đa, đồng thời 86
4. Định nghĩa nhóm VPN client 88
5. Tạo Rule cho phép kết nối VPN 89
6. Kiểm tra 89
2.4/ Đánh giá công cụ ISA server 2006:
2.4.1/ Điểm yếu của của ISA server so với Forefront TMG 94
2.4.2/ Ưu điểm của ISA server 2006 so với ISA server 2004 96
2.5/ Lời khuyên dành cho nhà quản trị ISA server 98
III/ Kết luận 98
IV/ Tài liệu tham khảo 99
I/ Giới thiệu:
1.1/ Giới thiệu tổng quan về quản lý hệ thống mạng:
Sự phát triển và hội tụ mạng trong những năm gần đây đã tác động mạnh mẽ tới tất cả các khía cạnh của mạng lưới, thậm chí cả về những nhận thức nền tảng và phương pháp tiếp cận Quản lý mạng cũng là một trong những lĩnh vực đang có những sự thay đổi và hoàn thiện mạnh mẽ trong cả nỗ lực tiêu chuẩn hoá của các tổ chức tiêu chuẩn lớn trên thế giới và yêu cầu từ phía người sử dụng dịch vụ. Mặt khác các nhà khai thác mạng, nhà cung cấp thiết bị và người sử dụng thường áp dụng các phương pháp chiến lược khác nhau cho việc quản lý mạng và thiết bị của mình. Mỗi nhà cung cấp thiết bị thường đưa ra giải pháp quản lý mạng riêng cho sản phẩm của mình. Trong bối cảnh hội tụ mạng hiện nay, số lượng thiết bị và dịch vụ rất đa dạng và phức tạp đã tạo ra các thách thức lớn trong vấn đề quản lý mạng.
Nhiệm vụ của quản lý mạng rất rõ ràng về mặt nguyên tắc chung, nhưng các bài toán quản lý cụ thể lại có độ phức tạp rất lớn. Điều này xuất phát từ tính đa dạng của các hệ thống thiết bị và các đặc tính quản lý của các loại thiết bị, và xa hơn nữa là chiến lược quản lý phải phù hợp với kiến trúc mạng và đáp ứng yêu cầu của người sử dụng. Một loạt các thiết bị điển hình cần được quản lý gồm: Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối, thiết bị đo kiểm, máy điện thoại, tổng đài điện thoại nội bộ, các thiết bị truyền hình, máy quay, modem, bộ ghép kênh, bộ chuyển đổi giao thức, CSU/DSU, bộ ghép kênh thống kê, bộ ghép và giải gói, thiết bị tương thích ISDN, card NIC, các bộ mã hoá và giải mã tín hiệu, thiết bị nén dữ liệu, các gateway, các bộ xử lý front-end, các đường trung kế, DSC/DAC, các bộ lặp, bộ tái tạo tín hiệu, các thiết bị chuyển mạch, các bridge, router và switch, tất cả mới chỉ là một phần của danh sách các thiết bị sẽ phải được quản lý.
Toàn cảnh của bức tranh quản lý phải bao gồm quản lý các tài nguyên mạng cũng như các tài nguyên dịch vụ, người sử dụng, các ứng dụng hệ thống, các cơ sở dữ liệu khác nhau trong các loại môi trường ứng dụng. Về mặt kĩ thuật, tất cả thông tin trên được thu thập, trao đổi và được kết hợp với hoạt động quản lý mạng dưới dạng các số liệu quản lý bởi các kĩ thuật tương tự như các kĩ thuật sử dụng trong mạng truyền số liệu. Tuy nhiên sự khác nhau căn bản giữa truyền thông số liệu và trao đổi thông tin quản lý là việc trao đổi thông tin quản lý đòi hỏi các trường dữ liệu chuyên biệt, các giao thức truyền thông cũng như các mô hình thông tin chuyên biệt, các kỹ năng chuyên biệt để có thể thiết kế, vận hành hệ thống quản lý cũng như biên dịch các thông tin quản lý về báo lỗi, hiện trạng hệ thống, cấu hình và độ bảo mật
Mục đích và tầm bao quát của bài viết:
Bài viết tập trung nói về công cụ quản lý mạng (ở đây là ISA server). Giúp người quản trị quản lý mạng một cách an toàn.
1.2/Mục đích bài báo cáo:
ISA Server là phần mềm chia sẻ Internet của hãng Microsoft. Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt.
Nội dung của bài báo cáo gói gọn trong các vấn đề cấu hình hệ thống ISA SERVER trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các dịch vụ bên trong Mạng tổ chức.
Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạp nhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Mạng (network infrastructure ) mới có thể sử dụng được ISA SERVER như một Network Firewall.
Bài báo cáo mô tả các vấn đề:
Giúp bạn hiểu các tính năng có mặt trên ISA Server
Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server
Mô tả chi tiết thực hành triển khai (ISA SERVER)
Mục đích của đề tài là hướng dẫn cài đặt và cấu hình ISA server. Cách sử dụng công cụ ISA server, giúp người quản trị hệ thống mạng nắm bắt, hiểu rõ cách triển khai 1 hệ thống mạng an toàn.
II/ ISA server:
2.1/ Giới thiệu:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn.
ISA Server là một phần quan trọng trong một kế hoạch tổng thể để bảo mật mạng trong một tổ chức.
ISA Server thông thường được lắp đặt tại vành đai mạng và được sử dụng để ngăn chặn các truy cập trái phép vào một mạng nội bộ, cũng như giới hạn cho phép truy cập từ mạng nội bộ đến Internet.
2.2/ Chức năng của phần mềm:
ISA Server cung cấp các tính năng tường lửa. Như:
Lọc gói tin(packet filtering)
Lọc trạng thái(stateful filtering)
Lọc tầng ứng dụng(application-layer filtering)
ISA Server cho phép truy cập an toàn vào Internet bằng cách đảm bảo rằng khách hàng có thể truy cập chỉ những tài nguyên cần thiết trên Internet, và bằng cách đảm bảo rằng việc kết nối và truyền dữ liệu cả đến và đi từ Inernet được an toàn
ISA Server cho phép truy cập an toàn từ Internet vào tài nguyên mạng cục bộ thông qua việc sử dụng Web publishing rules, secure Web publishing rules và server publishing rules. Những nguyên tắc publishing này giới hạn người có thể truy cập vào mạng cục bộ và những gì có thể được xem cùng một lúc được truy cập mạng cục bộ.
ISA Server có thể cho phép truy cập an toàn đến máy chủ E-mail bằng việc ngăn chặn các cuộc tấn công máy chủ, lọc thư rác đến và file đính kèm. ISA Server cũng cho phép client kết nối an toàn đến Exchange Server sử dụng một loạt các giao thức client.
ISA Server có thể cho phép kết nối an toàn đến tài nguyên mạng cục bộ bằng các kết nối VPN được kích hoạt cho các client từ xa và các trang web.
2.3/Cài đặt ISA Server Standard:
Mô hình triển khai:
Tên máy
Card Internet
Card Cross
ISA1
IP
192.168.1.11/24
172.16.1.1/24
GW
192.168.1.2
Null
DNS
null
172.16.1.2
ISA2
IP
disable
172.16.1.2/24
GW
172.16.1.1
DNS
172.16.1.2
Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain.
Bước 2: Cài “ISA 2006” lên ISA1
Chạy file autorun trong bộ cài đặt.
Chọn Intall ISA Server 2006
Trả lời các câu hỏi bản quyền, serial …..
Setup type chọn: Typical
Hộp thoại Internal Network -> Add ->khai báo range IP internal -> OK-> next
Chọn các giá trị mặc định -> Finish
Bước 3: Cài đặt SP1 cho ISA Server
Restart lại máy
Bước 4: Tạo Rule kiểm tra đường chuyền
Mở ISA Management và chọn như hình dưới
Đặt tên Rule là Internet
Action chọn Allow
Protocol chọn All outbound Traffice -> Next
Access Rule Source -> Add -> chọn “Internal”&”Localhost”
Access Rule Destinations -> Add -> External
User Set -> All Users -> Next
Finish
Apply
Kiểm tra truy cập vào Internet ( từ ISA2 ):
Bước 5: Cấu hình Automatic Discovery
+ Tại ISA1:
ISA Server Management -> Configuration -> Network -> Properties Internal -> Publish automatic discovery information
+ Tại ISA2:
1. Cài đặt DHCP:
Control Panel > Add or Remove Programs > Chọn Add/Remove Windows Component > Networking Services > chọn details
Chọn “Dynamic Host Configuration Protocol (DHCP)” > Ok > Next
Start > Program > Administrative tools > DHCP
Chuột phải lên isa2.isa.local > Chọn Authorise
Chuột phải isa2.isa.local > Chọn New scope >
Màn hình welcome > Next > Scope name : đặt tên scope : ISA Scope > Next
Điền dãy IP sẽ cấp cho mạng lan
( Không chọn 172.16.1.3 đến 172.16.1.9 vì để dành cho trường hợp hệ thống phát sinh thêm server và không chọn cấp dãy IP 172.16.1.1 & 172.16.1.2 ).
Add Excutions ( dùng khi không muốn cấp 1 IP nào đó trong dãy IP của scope ) Ở đây để mặc định vì không loại bỏ IP nào trong dãy IP này cả.
Màn hình lease Duration ( thời gian sử dụng 1 IP ) > chọn Next
Màn hình Configure DHCP Options : chọn “Yes , I want to configure these option now” > chọn Next
Màn hình Router (default gateway ) :
Trong ô Parent Domain : isa.localServer name : isa.local > chọn ResolveTrong ô IP address đã nhận đúng IP server > chọn Add
Màn hình Wins > Điền trong ô server name : isa.local > Chọn resolve > Trong ô IP address đã nhận đúng IP server > chọn Add > Next
Màn hình Activate > Chọn “Yes, I want to activate this scope now”> Next > Finish
2. DHCP > Set Predefined options
Chọn Add để khai báo option mới
Chọn Option Name: 252 WPAD
Nhập Valule:
Mở DNS Manager > Khai báo Alias WPAD ứng với tên máy ISA
Bước 6: Cấu hình Remote Management
Tại máy ISA1:
Mở ISA Server Management > Firewall Policy > Toolbox > Network Objects > Computer Sets > Remote Management Computer >Double click
Add > Computer > khai báo tên & địa chỉ máy chẳn (172.16.1.2) > OK ->Trở về cửa sổ chính > Apply
Tại máy ISA2:
Chạy AutoRun của bộ Software ISA 2006 è Chọn cấu hình mặc định èChương trình tự động gợi ý chọn ISA Management è chọn các thông số mặc định để hoàn tất việc cài đặt
Chạy ISA Management c click nút phải chuột trên ISA Management è Connect to è Nhập tên máy lẻ
Lúc này có thể thực hiện các thao tác trên ISA 2006 như tại máy lẻ
MỘT SỐ ỨNG DỤNG THỰC TẾ
Tạo rule cho phép traffic DNS Query để phân giải tên miền:
ISA Management > Firewall Policy > New > Access Rule
Gõ “DNS Query” vào ô Access Rule Name > Next
Action chọn “Allow” > Next
Trong “This Rule Apply to:” chọn “Selected Protocols” Add > Common Protocol > DNS > OK > Next
Trong “Access Rule Source” > Add > Networks > Internal > Add > Close > Next
Trong “Access Rule Destination” > Add > Networks > External > Close > Next
Trong “User Sets” chọn giá trị mặc định “All Users” > Next > Finish
Apply > OK
Kiểm tra tại ISA2:
Dùng lệnh NSLOOKUP để phân giải tên miền bất kỳ
Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc
a – Định nghĩa nhóm “NhanVien”b – Định nghĩa URL Set chứa trang vnexpress.netc – Định nghĩa “giờ làm việc”d – Tạo rulee – Kiểm tra
a- Định nghĩa nhóm “NhanVien”
Dùng chương trình “Active Directory User and Computer” tạo 2 user nv1, nv2 (password 123)
Tạo Group “NhanVien”
Đưa 2 user nv1, nv2 vào Group “NhanVien”
ISA Server Management > Firewall Policy > Toolbox > Users > New
Nhập chuỗi “Nhan Vien ” vào ô User set name > Next
Add > Windows User and Group
Chọn Group “Nhan Vien” > Next > Finish
b- Định nghĩa URL Set chứa trang vnexpress.net+ ISA Server Management > Firewall Policy > Toolbox > Network Objects > New > URL Set
Dòng name đặt tên “vnexpress” > New, khai 2 dònghttp://*.vnexpress.net> OK
c- Định nghĩa giờ làm việc
ISA Server Management > Firewall Policy > Toolbox > Schedule > New
Name: Gio Lam ViecChọn Active từ 8am ->12pm & 2pm ->6 pm > OK
d- Tạo Access rule theo các thông số sau:Rule Name: Nhan Vien – Gio lam viecAction: AllowProtocols: HTTP + HTTPSSource: InternalDestination: URL Set > vnexpressUser: NhanVien(Các thao tác làm tương tự như phần 1)Click nút phải chuột trên rule vừa tạo > Properties
Chọn Schedule > Gio lam viec > OK > Apply Rule
Kiểm tra:
Disable rule Internet:
Logon nv1, kiểm tra giờ của máy: trong giờ làm việc, mở thử vnexpress, mở thử google.Logon User khác (không phải nv1, nv2), mở thử vnexpress, mở thử google.
( xem clip demo kết quả Nhan Vien - Gio lam viec.avi )
3- Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế a- Định nghĩa nhóm “Sếp” b- Tạo rule c- Kiểm traa- Định nghĩa nhóm “Sếp”:Dùng chương trình “Active Directory User and Computer” tạo 2 user s1, s2 (password 123)Tạo Group “Sep” Đưa 2 user s1, s2 vào Group “Sep”Các bước còn lại làm tương tự phần 2a( định nghĩa nhóm NhanVien)
b- Tạo rule
Tạo Access rule theo các thông số sau:Rule Name: SepAction: AllowProtocols: All Outbound TrafficSource: InternalDestination: ExternalUser: SepCác thao tác làm tương tự như phần 1
c- Kiểm traLogon s1, thử truy cập internet ….( xem clip demo ket qua Sep.avi )
4 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải laoa - Định nghĩa giờ giải laob - Tạo rulec - Kiểm tra
a – Định nghĩa giờ giải lao:Làm tương tự 2c
b - Tạo rule:Tạo Access rule theo các thông số sau:Rule Name: Giai LaoAction: AllowProtocols: All Outbound TrafficSource: InternalDestination: ExternalUser: All UsersCác thao tác làm tương tự như phần 1Sau khi tạo rule xong, chọn properties của rule vừa tạo > Schedule >Gio giai lao
c – Kiểm tra:Logon nv1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet ( xem clip demo kết quả Giai lao.avi )
5 - Chỉ cho xem “chữ” :Chọn Properties của Rule “Gia Lao” > Content Types > Selected Content Types:- Documents- HTML Documents- Text
Xem clip demo ket qua: “Chi duoc xem chu.avi”
6 - Cấm xem trang www.kenh14.vn –Redirect về vnexpress.net:a - Định nghĩa các trang web muốn cấmb - Tạo Rulec - Kiểm traa - Định nghĩa các trang web muốn cấm:Tạo URL Set tương tự phần 2b, đặt tên là “Nhung trang web cam”, trong URL Set khai báo:http://*.kenh14.vn
b – Tạo rule:Tạo Access rule theo các thông số sau:Rule Name: Web bi cam Action: DenyProtocols: All Outbound TrafficSource: InternalDestination: URL Set > Nhung trang web camUser: All UsersCác thao tác làm tương tự như phần 1Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
Redirect về vnexpress.net
Click chuột phải lên Rule “Web bi cam” > Properties >Action > check Redirect Http request to this Web page > nhập > OK > Apply > OK
Xem clip demo kết quả “Cam kenh14vn.avi”
7- Cấm chat yahoo
Mở port cho chạy yahoo trong hệ thống
Thực hiện cấm signin yahoo
Mở port cho chạy yahoo trong hệ thống
Mặc định yahoo không sign in được, muốn chạy được yahoo phải thiết lập Access rule
Rule Name: Mo port yahoo Action: Allow
Protocols: Yahoo port
Khi chọn Protocol > Add>New
Đặt tên Yahoo port
Chọn New > Nhập port 5000 -> 5050
Chọn No
Next > FinishSource: InternalDestination: External
User: All UsersCác thao tác làm tương tự như phần 1
Test đăng nhập yahoo trong giờ làm việc ( trước khi cấm ): “SigninYahoo.avi”2. Cấm chat:
Dùng ADUC tạo Group “KeToan”.
Đinh nghĩa nhóm “KeToan”.
Tạo Rule “KeToan”, cho sử dung internet thoải mái.
Làm tương tự như các phần trên.
Cấm group “KeToan”chat:
Chuột phải Rule “KeToan” > Configure HTTP
Tab Signatures > Add
Nhập tương tự như hình
OK > Apply >OK
Xem demo kết quả clip “Deny yahoo.avi”
8- Cấm down file có đuôi exe
Chuột phải Rule “Sep” > Configure HTTP
Extension > Block specified extensions (allow all others ) > Add
Điền thông số Extension: .exe > OK
Apply > OK
Tương tự như vậy cho Rule “Giai Lao” & “Nhan Vien – Gio Lam Viec”
Xem clip demo kết quả “Cam down file duoi exe.avi”
9- Monitoring:
Giám sát các luồng thông tin traffic ra vào hệ thống mạng, tổng hợp thông tin để báo cáo
Bật Authentication
B1: Networks > Internal > Properties
B2: Web proxy > Authentication
B3: Require all users to Authenticate >OK>Apply
+ Xem các phiên giao dịch
Client đi ra bằng webproxy, SecureNat. Xem cột Client Username : biết được người thực hiện.
+ Xem chi tiết hơn với tab Logging:
B1: Monitoring > tab Logging >start Querry
Thấy được luồng traffic đang đi bằng Protocol nào, thành công thất bại, được cho bởi Protocol nào
URL cho biết đối tượng truy cập:
Lập báo cáo thống kê:
B1: Monitoring > Tab Reports > Create And Configure Report Jobs
B2: Report Job Properties > Add
Màn hình Welcome gõ “Test Job”
Report Content > Next
Report Job shedule > Next
( Chọn lịch báo cáo )
Report Publishing > Next
Send E-mail Notification > Next > Finish > Apply
B3: Xem cột Status Completed
B4: Chuột phải > view > xem kết quả
10- Caching
Nội dung: Download 1 trang web thường truy cập về lưu cache, để user truy cập nhanh hơn
Tạo CacheRule
B1- ISAServer Managament > Configuration >Disable the Microsoft Update Cache Rule
B2- Cache Drives > Properties
B3-Maximum cache size (MB): “1000” > Set >OK
Tạo Content Download Job
B1- Configuration > Cache > New > Content Download Job >Yes
B2- Download Job Name : www.tuoitre.vn
Lựa chọn ngày Cache
Thời gian bắt đầu Cache
Content Download >
Content Caching > mặc định >Next > Finish
Chuot phải lên Rule vừa tạo > Start
Triển khai Mô hình VPN TO GATEWAY
Tạo domain user u1/123, Properties Allow acess
Xác đinh Pool số IP được gắn
ISA Management > Virtual Private Network > VPN Client > Taskpane > Task >Define Address Assignments
Static address pool > Add
Starting address: 10.10.10.1
Ending address: 10.10.10.200 ( nhiều hơn Maximum number of VPN client allowed ở bước 3 )
Bật tính năng VPN client access, xác định số VPN kết nối tối đa, đồng thời
B1: Chọn Configure VPN client Acess
B2: Tab General > Enable VPN client access > 100 ( Maximum number of VPN client allowed )
Định nghĩa nhóm VPN client
B1: ISA Server Management > Firewall Policy > Toolbox > Users > New > Nhập “VPN Client”
B2: Add > Windows user and group > chọn u1
Tạo Rule cho phép kết nối VPN
Rule Name: VPN
Action: Allow
Protocols: All Outbound Traffic
Source: VPN Client
Destination:Internal
User: VPN ClientsApply > OK
Kiểm tra:
Máy thứ 3 nối với ISA1 bằng card Internet
B1: Start > Setting > Network Connection
New Connection Wizard > Next > Connect to the network at my workplace >Virtual Private Network connection > nhập “VPN Clients” > IP card “Internet” của ISA1 > Next > Finish
B2: u1/123 > Connect> thành công
B3: Start > \\172.16.1.2 > thành công
2.4/ Đánh giá công cụ ISA server 2006:
2.4.1/ Điểm yếu của của ISA server so với Forefront TMG
ISA server 2006 không hỗ trợ chạy trên windows server 2008 64bit, không lọc URL, …
Forefront TMG có đều có các tính năng của ISA server 2006, và hỗ trợ thêm các tính năng khác :
Forefont TMG là update của ISA 2006. Mục tiêu của TMG ra đời là để hỗ trợ cho các phiên bản 64bit sau này của Microsoft. Ví dụ như hiện giờ Windows 2008 64bit, Exchange 64bit, Sharepoitn.... TMG chỉ hỗ trợ 64bit mà thôi, thêm vào đó TMG có tính ổn định cao hơn (chạy trên 64bit mà).
Do Forefont TMG là thế hệ sau của thằng ISA 2006 có thêm tính năng chính: Web and email anti-malware and virus protection. Trong đó bao gồm: Chỉ chạy trên windows server 2008 R2 64bit, bản EBS.Hỗ trợ thế hệ TCP/IP tiếp theo (IPv6); Web antivirus và web mail-ware protection; Dễ dàng quản lý, giao diện người dùng thân thiện, báo cáo nhanh; Lọc địa chỉ URL; Thẩm định HTTPS: khi client request certificate với server. Forefont TMG đứng giữa, xin certificate thay người dùng. Đồng thời tự sinh ra certificate cho người dùng; Email antivirus và anti spam; Network intrusion prevent; TFTP Filter; Network functionality Enhancement
2.4.2/ Ưu điểm của ISA server 2006 so với ISA server 2004:
Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:
Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/http Publishing
Hỗ trợ SharePoint Portal Server
Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener
Hỗ trợ việc chứng thực LDAP cho Web Publishing RulesĐặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN
Về khả năng Publishing ServiceISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins.Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange ServerRất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
Khả năng kết nối VPNCung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine, Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ...Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet (thế mới gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác, chưa thử cái này đâu nhá).
Về khả năng quản lýDễ dàng quản lý Rất nhiều WizardBackup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/GroupLog và Report cực tốt.Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise)Khai báo thêm server vào array dễ dàng Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này.Có các giải pháp hardware Các tính năng khácHỗ trợ nhiều CPU và RAM max 32 node Network Loadbalancing Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác.Route/NAT theo từng networkFirewall rule đa dạng IDS (cũng tạm được)Flood ResiliencyHTTP compressionDiffserv
2.5/ Lời khuyên dành cho nhà quản trị ISA server
Là một người quản trị ISA Server, bạn phải chịu trách nhiệm hoàn thành việc triển khai ISA Server, bao gồm việc thiết kế, cho đến cấu hình và quản lý.
ISA Server Management Console được dùng để quản lý và giám sát hầu hết các hoạt động của ISA Server. Nó bao gồm nhiều nét đặc trưng có thể đơn giản hóa việc quản lý.
Như một phần của vai trò quản trị ISA Server, bạn nên liên tục giám sát server. ISA Server cung cấp một vài tính năng đặc trưng cho phép bạn thu thập các thông tin thời gian thực về sự thực thi vả bảo mật của server, cũng như cho phép bạn thu thập và phân tích các phương hướng sử dụng lâu dài.
III/ Kết luận:
Bài báo cáo tập trung vào các vấn đề cấu hình hệ thống ISA SERVER trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các dịch vụ bên trong Mạng tổ chức.
Bài báo cáo mô tả các vấn đề:
Giúp bạn hiểu các tính năng của ISA Server
Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server
Mô tả chi tiết thực hành triển khai (ISA SERVER)
Trên đây chỉ là những tìm hiểu sơ bộ của nhóm về ISA server, các thông tin chỉ mang tính chất khái quát quát. ISA server là một lĩnh vực khó và rông, tuy nhiên có rất nhiều điểm hấp dẫn để đi sâu vào tìm hiểu.
IV/ Tài liệu tham khảo:
ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation
Sams Microsoft ISAServer 2006 Unleashed Dec 2007
Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007
Các file đính kèm theo tài liệu này:
- Cấu hình hệ thống ISA sever 2006.doc