Khái niệm mạng toàn cầu Internet không còn mới mẻ, nó trở nên phổ biến và là một phần không thể thiếu của một số không ít người. Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Nhưng nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn. Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Hiện nay, bảo mật mạng trở nên là một vấn đề cấp thiết. Có rất nhiều phương pháp để thực hiện việc bảo mật mạng, cả phần cứng tích hợp sẵn chức năng bảo mật và các phần mềm chuyên dụng. Nhưng ở đây chúng em xin đưa ra một phần mềm có tính năng vượt trội so với các phần mềm cạnh tranh khác, cùng với tính đơn giản trong việc cấu hình và tính tích hợp với một phần mềm thứ 3 tạo nên một bộ công cụ bảo mật mạng toàn diện. Đó là ISA Server 2006, nhưng đây chúng tôi sẽ chỉ đề cập đến một chức năng của nó là ISA FIREWALL.
CHƯƠNG 1.GIỚI THIỆU FIREWALL ISA SERVER 2006 . 1
1.1. Khái niệm chung 1
1.2. Các phiên bản ISA Server 2006 . 2
1.3. Các đặc tính . 3
CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006 . 4
2.1. Mô hình ISA Server 2006 . 4
2.2. Cài Đặt ISA Server 2006 . 4
2.2.1 Chuẩn bị .4
2.2.2 Cài đặt ISA 2006 Enterprise . 5
CHƯƠNG 3: ACCESS POLICY 10
3.1. ISA firewall access rule element . 10
3.1.1 Protocols 11
3.1.2 User Set 11
3.1.3 Content Type . 11
3.1.4 Shedule 11
3.1.5 Network Objects 12
3.2. Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall . 12
3.3. Thuộc tính của Access rule 15
3.4. Các tùy chọn trong Access rule menu 21
3.5. Tạo Rule cho phép các user thuộc nhóm “sinh viên” xem trang
www.hui.edu.com trong giờ học. . 22
3.5.1 Định nghĩa nhóm sinh viên . 22
3.5.2.Định nghĩa URL Set chứ trang web www.hui.edu.vn . 24
3.5.3 Định nghĩa giờ học . 25
3.5.4 Tạo Rule . 26
3.6. Thứ tự vào tổ chức các Access Rule 28
CHƯƠNG 4: PUBLISHING NETWORK . 29
4.1. Khái niệm . 29
4.1.1 Web Publishing Rules . 29
4.1.2 Server Publishing Rules . 30
4.2. Tạo và cấu hình non-ssl web publishing rules 30
4.3. Tạo và cấu hình SSL Web Publishing Rules .39
4.4. Server Publishing Rule . . 40
4.5. Tạo Mail Server Publishing Rules 47
4.6. Publishing Exchange Web Client Access 50
CHƯƠNG 5: REMOTE ACCESS VÀ SITE-TO-SITE VPNS . 56
5.1. Tạo Remote Access PPTP VPN Server .56
5.2. Tạo Remote Access L2PT/IPSec VPN Server .60
5.2.1 Cấp phát một Certificate trên ISA Firewall từ Enterprise CA
trong Internal network . . 60
5.2.2 Yêu cầu và cài đặt Certificate cho máy VPN client 61
5.2.3 Kiểm tra kết nối L2TP/IPSEC . .62
5.2.4 Khởi động kết nối VPN client .63
5.3. Tạo PPTP Site to Site VPN . .64
5.3.1 Tạo Remote Network at the Main Office ISA firewall .64
5.3.2 Tạo Network Rule ở Main Office 71
5.3.3 Tạo Access Rule ở Main Office 71
5.3.4 Tạo VPN Gateway Dial-in Account tại Main Office 72
5.3.5 Tạo Remote Network ở Branch Office ISA firewall 72
5.3.6 Tạo Network Rule ở Branch Office .72
5.3.7 Tạo Access Rule ở Branch Office 72
5.3.8 Tạo VPN Gateway Dial-in Account tại Branch Office . 73
5.4. Tạo môt L2TP/IPse site to site VPN . 73
5.4.1 Kích hoạt System Policy Rule trên firewallMain office
để truy cập enterprise CA .73
5.4.2 Yêu cầu và cài đặt một Certificate cho
Main Office Firewall . 74
5.4.3 Cấu hình Main Office ISA Firewall sử dụng L2TP/IPSec
cho kết nối Site-to-Site 75
5.4.4 Kích hoạt System Policy Rule trên ISA firewall Branch
office để truy cập enterprise CA 76
5.4.5 Yêu cầu và cài đặt một Certificate cho Branch Office
Firewall . 77
5.4.6 Cấu hình Branch Office ISA Firewall sử dụng L2TP/IPSec
cho kết nối Site-to-Site 78
CHƯƠNG 6: CACHING . . 79
6.1.Khái niệm . . 79
6.2. Kích hoạt Caching . 81
6.3. Tạo Cache Rule . 82
6.4.Tạo và cấu hình Schedule Content Download Jobs .87
CHƯƠNG 7: APPLICATION FILTER VÀ WEB FILTER 91
7.1. Khái niệm .91
7.2. HTTP Security Filter Settings . .97
7.3. HTTP Security Filter Logging . 100
7.4. Một số ứng dụng về HTTP Security Filter .100
7.4.1 Cấm chat bằng Yahoo Messenger . . 102
7.4.2 Cấm gửi mail bằng phương thức Post 103
7.4.3 Cấm download file có phàn mở rộng “ .exe ” 104
CHƯƠNG 8:INTRUSION DETECTION 104
CHƯƠNG 9:TEMPLATE 110
9.1.Edge Firewall: 110
9.2.3-Leg Perimeter 111
9.3-Leg Perimeter . 111
112 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 4005 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Firewall ISA Server 2006, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
t
4. Hộp thoại Server Connection Security, chọn Use non-secured connections to connect the published Web server or server farm → Next
5. Hộp thoại Internal Publishing Details, gõ www.hui.com vào internal site name, check vào “Use a computer name of IP Address to connect to the published server” , Computer name or IP address: 172.16.1.2 (IP máy DC) → Next →gõ vào ô Path: /* → Next
6. Hộp thoại Accept request for: chọn “This domain name (type below)”, → Next
Public name: www.hui.com,
Path: /*
7. Hôp thoại Select Web Listener chọn “ New ” → gõ “Non-SSL Web Publishing Rule” vào ô Web listener name → Next
8. Hộp thoại Client Connection Security: chọn Do not Require SSL secured connections with clients → Next
9. Hộp thoại Web Listener IP Addresses: chọn External → Next
10. Hộp thoại Authentication Settings, trong ô Select how clients will provide credentials to ISA Server chọn No Authentication → Next
11. Hộp thoại Single Sign on Settings → Next → Finish
12. Hôp thoại Select Web Listener chọn Non-SSL Web Publishing Rules → Next
13. Hộp thoại Authentication Delagatetion chọn No delegation, and client cannot authenticate directly → Next
14. Trong hộp thoại User Sets :”All user” → Next → Finish
Web Publishing Rules này cho phép người dùng truy cập vào trang www.hui.com được lưu trên Web Server địa chỉ IP 172.16.1.2 trong mạng ISA Firewall
4.3. Tạo và cấu hình SSL Web Publishing Rules
Bạn có thể publish an toàn các web server bằng cách sử dụng SSL Web Publishing Rules. Publishing Secure web servercần phải có được một certificate cho các trang web được publish. Điều này cho phép ISA firewall cung cấp bảo mật rất cao cho SSL web được publish thông qua Web Publishing Rules.
SSL Bridging SSL Bridging là một tính năng của ISA firewall cho phép kiểm tra các ứng dụng trên kết nối SSL đến Published Web. SSL bridging ngăn chặn những kẻ xâm nhập ẩn trong mã hóa SSL tunnel. Thường stateful-bức tường không thể thực hiện stateful ứng dụng lớp kiểm tra trên các kết nối SSL di chuyển qua chúng
ISA firewall hỗ trợ hai phương pháp của SSL Bridging:
■ SSL-to-SSL bridging
■ SSL-to-HTTP bridging
SSL-to-SSL bridging cung cấp một kết nối SSL an toàn từ đầu đến cuối. SSL-to-HTTP bridging đảm bảo một kết nối an toàn giữa Web client và ISA firewall, và sau đó cho phép một văn bản kết nối rõ ràng giữa ISA firewall và web server.
SSL-to-SSL bridging
SSL-to-HTTP bridging kết nối giữa web client và giao diện bên ngoài của ISA firewall được bảo vệ bởi SSL tunnel, nhưng không an toàn khi chuyển tiếp từ ISA firewall đến Web server.
Nhập Web site Certificate vào máy ISA firewal
1. Copy Web site certificate đến máy ISA firewall
2. Start → Run, gõ mmc →OK.
3. File→ Add/Remove Snap-in.
4. Trong hộp thoại Add/Remove Snap-in chọn Add.
5. Chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
6. Hộp thoại Certificates Snap-in chọn Computer account option → Next.
7. Hộp thoại Select Computer chọn Local computer → Finish.
8. Chọn Close trong hộp thoại Add Standalone Snap-in
9. Chọn OK in the Add/Remove Snap-in
10. Mở rộng Certificates (Local Computer) ở bên trái giao diện.
11. Mở rộng Personal ở bên trái giao diện.
12. Phải chuột Certificates → All Tasks → Import.
13. Chọn Next trong hộp thoại Welcome to the Certificate Import Wizard
14. Hộp thoại File to Import, chọn Browse để tìm certificate đã copy đến ISA firewall → Next.
15. Gõ mật khẩu bạn đẽ gán cho Web site certificate → Next.
16. Chấp nhận thiết lập mặc định → Next.
17. Chọn Finish trong hộp thoại Completing the Certificate Import Wizard
18. Chọn OK trong hộp thoại Certificate Import Wizard
19. Web site certificate và CA certificate xuất hiện ở bên phải giao diện
20. Nhấp phải chuột CA certificate → Cut.
21. Mở rộng Trusted Root Certification Authorities bên trái giao diện.
22. Nhấp phải vào Certificates → Paste.
23. Quay lại Personal\Certificates , nhấp đôi vào Web site certificate.
24. Trong hộp thoại Certificate, nhấp vào Certification Path. Các CA certificate không có màu đỏ "x" trên nó. Nếu có một màu đỏ "x" trên CA certificate mà chỉ ra rằng CA certificate đã không được nhập khẩu vào thành công.
25. Đóng hộp thoại Certificate26. Đóng mmc console. Không lưu giao diện điều khiển. Bây giờ mà các trang web certificate được nhập và lưu trữ vào Certificate Store, nó sẽ có sẵn để ràng buộc vào web listenner được sử dụng trong SSL Web Publishing Rule.
4.4. Server Publishing Rule
Tạo Server Publishing Rules thì đơn giản so với các Web Publishing Rules. Những thứ bạn cần biết khi tạo một Server Publishing Rule là: ■ Giao thức hoặc các dịch vụ bạn muốn publish ■ Địa chỉ IP nơi ISA firewall chấp nhận các kết nối ■ Địa chỉ IP của máy chủ mạng bạn muốn publish
1. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish Non-Web Server Protocols..Xuất hiện trang Welcome to the New Server Publishing Rule Wizard, gõ tên rule vào ô Server Publishing Rule name: “ DNS Server” → Next.
2. Hộp thoại Select Server, gõ địa chỉ máy DNS Server vào ô Server IP address → Next.
3. Hộp thoại Select Protocol, chọn giao thức trong danh sách Selected protocol : “DNS Server” → Next
4. Hộp thoại Network Listener IP Addresses, chọn External → Next
5. Chọn Finish trong hộp thoại Completing the New Server Publishing Rule Wizard
Hộp thoại Server Publishing Rule Properties
Nhấp đúp vào Server Publishing Rule để mở hộp thoại Properties. Server Publishing Rule Properties có các tab sau:
General: bạn có thể thay đổi tên của Server Publishing Rule và cung cấp một mô tả cho quy tắc này. Bạn cũng có thể kích hoạt hoặc vô hiệu hóa các quy tắc bằng cách thay đổi trạng thái của các hộp Enable
Action: thiết lập các quy tắc cho hay không để đăng nhập kết nối áp dụng với quy tắc này
Traffic: bạn có thể thay đổi giao thức được sử dụng cho việc publish Server Rule. Bạn có thể tạo ra một giao thức mới cho một Server Publishing Rule bằng cách nhấp vào New, và bạn có thể xem chi tiết Server Rule bằng cách nhấp Properties. Bạn cũng có thể thay đổi port cho phép Server publishing ,nhấn nút Ports.
From: bạn có thể quản lý những máy được kết nối với publised sever.
To: địa chỉ IP của máy Published Sever, bạn có thể cho phép Published Server thấy được địa chỉ IP của mát truy cập bằng cách chọn Requests appear to come from the ISA Server computer
Networks: chọn mạng nào ISA Firewall lắng nghe và chấp nhật kết nối đến published server
Schedule: bạn có thể thiết lập thời gian cho phép kết nối với Published Server
4.5. Tạo Mail Server Publishing Rules
ISA Firewall cho phép bạn có thể sử dụng Mail Server Publishing Wizard để publish các dịch vụ mail sau:■ Secure Exchange RPC■ IMAP4 và Secure IMAP4■ POP3 và Secure POP3■ SMTP và Secure SMTPMail Server Publishing Wizard sẽ tự tạo web thích hợp hoặc Server Publishing Rules theo yêu cầu để cho phép truy cập vào Mail Server thông qua ISA Firewall. Tạo Mail Server Publishing Rules:
Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish a Mail Server. Trong hộp thoại Welcome to the New Mail Server Publishing Rule Wizard gõ tên cho rule: “Publish a Mail Server” trong ô Mail Server Publishing Rule name
2. Trong hộp thoại Select Access Type, có hai lựa chọn:
Client access: RPC, IMAP, POP3, SMTP publish những giao thức này bằng sử dụng Server Publishing Rules, bạn có thể Publish một hoặc nhiều giao thức.
Server-to-server communication: SMTP, NNTP bạn có thể Publish một hoặc cả hai giao thức.
Chọn Client access → Next.
3. Hộp thoại Select Services chọn POP3 và SMTP → Next.
4. Hộp thoại Select Server , gõ địa chỉ mail server: ”172.16.1.2” vào ô Server IP Address → Next.
5. Hộp thoại Network Listener IP Adress, chọn External → Next.
6. Hộp thoại Completing the New Mail Server Publishing Rule Wizard → Finish
4.6. Publishing Exchange Web Client Access
ISA 2006 cho phép bạn publish bốn dịch vụ sau đây: ■ Outlook Web Access ■ Outlook Mobile Access ■ Outlook Anywhere (RPC-over-HTTP), ■ ActiveSync
Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish Exchange Web Client Access. Hộp thoại Welcome to the New Exchange Publishing Rule Wizard xuất hiện gõ tên rule “Exchange Publishing Rule” vào ô Exchange Publishing Rule name → Next
2. Hộp thoại Select Service chọn Outlook Web Access và Exchange Server 2007 → Next
3.Trong hộp thoại Publishing Type , chọn Publish a single Web site or load balancer → Next
4. Hộp thoại Server Connection Security , chọn Use SSL to connect to the published Web server or server farm → Next
5. Hộp thoại Internal Publishing Details,
Internal site name : “mail.hui.com”
Check vào ô Use a computer or IP address to connect to the published server, gõ vào ô Computer name or IP address: “172.16.1.2” → Next
6. Trong hộp thoại Public name Details , Accept request for : “Any domain name” → Next
7. Trong hộp thoại Select Web Listener: chọn HTTP Listener → Next
8. Hộp thọai Authentication Delegation , chọn No delegation,and client canot authenticate directly → Next
9. Hộp thoại User sets, chọn All Users → Next →Finish
CHƯƠNG 5: REMOTE ACCESS VÀ SITE-TO-SITE VPNS
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.
Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty
Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn và hiệu quả.
5.1. Tạo Remote Access PPTP VPN Server
1.1. Máy DC, properties của user VPN ,chọn tab Dial-in , check vào Allow access
1.2. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Define Address Assignments , xác định Pool số IP được gán : nhấp Static address pool → Add
Starting address: 172.16.1.1
Ending address: 172.16.1.100
Cấu hình VPN client
B1: VPN → Tasks Pane → Tasks → chọn Configure VPN client access
B2: Tab General, Bật tính năng VPN client access xác định số VPN tối đa kết nối VPN đồng thời ,chọn Enable VPN Client Access, điền 100 vào Maximum number of VPN clients allowed
B3: Tab Protocols, chọn Enale PPTP
B4: Tab User Mapping Enable , check User Mapping và When username does not contain a domain, use this domain, gõ hui.com vào ô Domain name
1.4. Tạo Access Rule cho phép kết nối VPN :
Tạo access rule theo các yêu cầu sau :
Access rule name : VPN
Rule Action: Allow
Protocol: All outbound Traffic
Access Rule Source: VPN clients
Access Rule Destinations: Internal
User Sets: All user
Apply → Ok
5.2. Tạo Remote Access L2PT/IPSec VPN Server
5.2.1 Cấp phát một Certificate trên ISA Firewall từ Enterprise CA trong Internal network
1. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy → Tasks → Create Access Rule.
2. Hộp thoại Welcome to the New Access Rule Wizard, gõ tên rule vào ô Access Rule name :”All Open from Local Host to Internal ” → Next.
3. Hộp thoại Action , chọn Allow→ Next.
4. Hộp thoại Protocols → All outbound traffic → Next.
5. Hộp thoại Access Rule Sources, nhấp Add. Hộp thoại Add Network Entities chọn Networks folder, nhấp đôi Local Host, → Close.
6. Hộp thoại Access Rule Destinations, chọn Add. Hộp thoại Add Network Entities. Chọn Networks folder , nhấp đôi Internal → Close.
7. Hộp thoại User Sets → All Users → Next.
8. Chọn Finish trong hộp thoại Completing the Access Rule Wizard
9. Nhấp phải chuôt vào Access Rule All Open from Local Host to Internal nhấp vào nút Configure RPC Protocol
10. Hôp thoại Configure RPC protocol policy, bỏ check Enforce strict RPC compliance → Apply → OK.
11. Microsoft Internet Security and Acceleration Server 2006 → Configuration , chọn Add-ins , nhấp phải chuột RPC Filter , chọn Disable.
12. Hộp thoại ISA Server Warning chọn Save the changes and restart the Services → OK.
13. Nhấp Apply để luu sự thay đổi và cập nhật firewall policy.
14. Nhấp OK trong hộp thoại Saving Configuration Changes
15. Start → Run , gõ mmc → OK.
16. Trong Console1 → File → Add/Remove Snap-in
17. Hộp thoại Add/Remove Snap-in, chọn Add.
18. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
19. Hộp thoại Certificates snap-in, chọn Computer account.
20. Hộp thoại Select Computer, chọn Local computer.
21. Nhấp Close trong hộp thoại Add Standalone Snap-in
22. Nhấp OK trong hộp thoại Add/Remove Snap-in
23. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local computer) và nhấp vào Personal. Nhấp phải Personal → All Tasks → Request New Certificate.
24. Nhấp Next trong hộp thoại Welcome to the Certificate Request Wizard
25. Hộp thoại Certificate Types, chọn Computer trong danh sách Certificate types → Next.
26. Hộp thoại Certificate Friendly Name and Description, gõ tên “Firewall Computer Certificate” vào Friendly name → Next.
27. Nhấp Finish trong hộp thoại Completing the Certificate Request Wizard
28. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công
29. Microsoft Internet Security and Acceleration Server 2006 → Firewall Policy, Nhấp phải vào All Open from Local Host to Internal Access Rule, chọn Disable.
30. Microsoft Internet Security and Acceleration Server 2006, mở Configuration → Add-ins, nhấp phải RPC Filter , chọn Enable.
31. Nhấp Apply để luu sự thay đổi và cập nhật firewall policy
32. Hộp thoại ISA Server Warning, ,chọn Save the changes and restart the Services → OK.
33. Nhấp OK trong hộp thoại Saving Configuration Changes
5.2.2 Yêu cầu và cài đặt Certificate cho máy VPN client
1. Thiết lập một kết nối PPTP VPN đến ISA firewall.
2. Mở Internet explore, gõ → OK.
3. Hộp thoại Enter Network Password, nhập Administrator trong User Name . Nhập password → OK.
4. Nhấp Request a Certificate trên trang Welcome
5. Trên trang Request a Certificate, Nhấp advanced certificate request.
6. Trang Advanced Certificate Request, nhấp Create and submit a request to this CA.
7. Trang Advanced Certificate Request, chọn Administrator certificate từ danh sách Certificate Template, bỏ check trong mục Mark keys as exportable. Check vào Store certificate in the local computer certificate , sử dụng Key Sizes là 2048 bits. Nhấp Submit.
8. Nhấp Yes trong hộp thoại Potential Scripting Violation
9. Hộp thoại Certificate Issued , nhấp Install this certificate.
10.Nhấp Yes trong hộp thoại Potential Scripting Violation
11. Đóng trình duyệt sau khi xem Certificate đã cài đặt.
12. Start → Run, nhập mmc → OK.
13. Trong Console1 → File → Add/Remove Snap-in
14. Hộp thoại Add/Remove Snap-in, chọn Add.
15. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
16. Hộp thoại Certificates snap-in, chọn Computer account.
17. Hộp thoại Select Computer, chọn Local computer.
18. Nhấp Close trong hộp thoại Add Standalone Snap-in
19. Nhấp OK trong hộp thoại Add/Remove Snap-in
20. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local Computer) sau đó mở rộng Personal, nhấp PersonalCertificates, nhấp đôivào Administrator certificate trong khung bên phải.
21. Hộp thoại Certificate, nhấp Certification Path, chọn EXCHANGE2003BE certificate ,nhấp View Certificate.
22. Hộp thoại CA certificate’s Certificate , nhấp Details tab → Copy to File.
23. Nhấp Next trong hộp thoại Welcome to the Certifi cate Export Wizard
24. Hộp thoại Export File Format, chọn Cryptographic Message Syntax Standard – PKCS #7 Certifi cates (.P7B), → Next.
25. Hộp thoại File to Export nhập c:\cacert trong ô File name → Next.
26. Nhấp Finish trong hộp thoại Completing the Certifi cate Export Wizard
27. Nhấp OK trong hộp thoại Certificate Export Wizard
28. Nhấp OK trong hộp thoại Certificate → OK
29. Trong cửa sổ bên trái của giao diện, mở rộng Trusted Root Certification Authorities và nhấp vào Certificates. Nhấp chuột phải vào \ Trusted Root Certification Authorities\Certificates. → All Tasks → import
30. Nhấp Next trong hộp thoại Welcome to the Certificate Import Wizard
31. Hộp thoại File to Import Sử dụng nút Browse để chọn CA certificate → Next.
32. Hộp thoại Certificate Store → Next.
33. Hộp thoại Completing the Certificate Import Wizard → Finish.
34. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công
35. Ngắt kết nối từ máy chủ VPN. Nhấp phải chuột vào biểu tượng kết nối bấm vào Disconnect.
5.2.3 Kiểm tra kết nối L2TP/IPSEC
Bây giờ mà cả ISA Firewall và VPN Clients có Certificates, Đầu tiên là khởi động lại Routing and Remote Access Service để nó đăng ký Certificate mới. .Thực hiện các bước sau để kích hoạt tính năng hỗ trợ L2TP/IPSec: 1. Mở Microsoft Internet Security and Acceleration Server 2006, chọn Virtual Private Networking (VPN).
Nhấp vào Configure VPN Client Access, chọn tab Protocols, check Enable L2TP/IPSec
Nhấp Apply, BẠn sẽ được nhắc nhở kích hoạt System Policy “Allow all HTTP traffic from ISA server to all networks (for CRL downloads)” , nhấp Yes→ OK.
Nhấp Apply
Nhấp Ok trong hộp thoại Saving Confi guration Changes
Khởi động lại máy ISA Firewall
5.2.4 Khởi động kết nối VPN client
Từ máy VPN client, mở kết nối VPN client → Properties, trong hộp thoại VPN Properties, nhấp Networking , chuyển Type of VPN thành L2TP/IPSec VPN → Ok
Bắt đầu kết nối VPN đến ISA Firewall
Nhấp OK trong hộp thoại kết nối hoàn thành thông báo cho bạn rằng kết nối được thành lập.
Double-click vào biểu tượng kết nối trong khay hệ thống
Trong hộp thoại ISA VPN Status, chọn tab Details Bạn sẽ thấy một mục nhập cho IPSEC Encryption, chỉ ra rằng các kết nối L2TP/IPSec đã thành công.
Nhấp Ok trong hộp thoại ISA VPN Status
5.3. Tạo PPTP Site to Site VPN
Để tạo một PPTP Site to Site VPN cần thực hiện các bước sau :
5.3.1 Tạo Remote Network at the Main Office ISA firewall:
1. Virtual Private networks (VPN) chọn tab Tasks trong Task Pane. Trên Task Pane, kích vào Create VPN Site to Site Connection.
2.Trên trang Welcome to the Create [sic] VPN Site to Site Connection Wizard, nhập tên “PPTP Site to Site VPN” trong ô Site to site network name → Next
3.Trên trang VPN Protocol, chọn Point-to-Point Tunneling Protocol (PPTP) → Next.
4. Một hộp thoại cảnh báo sẽ xuất hiện, cho bạn biết cần phải tạo tài khoản người dùng có cùng tên với giao diện demand-dial, là tên bạn cung cấp cho Remote Site Network từ lúc bắt đầu khởi động Wizard. Chúng ta sẽ tạo tài khoản này khi kết thúc quá trình tạo kết nối mạng riêng ảo site to site Remote Site Network.chọn OK.
5.Trên trang Local Network VPN Settings, nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 172.16.0.1-172.16.0.100 .Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) → Next.
6.Chấp nhận thiết lập mặc định trên trang Conection Owner. Do đây là mảng ISA Firewall thành viên đơn nên chỉ có một máy đơn có thể là chủ sở hữu của kết nối. → Next.
7.Trên trang Remote Site Gateway, bạn cần nhập FQDN hoặc địa chỉ IP của ISA Firewall nhánh. Nhập 192.168.1.3 vào ô Remote site VPN server → Next.
8.Trên trang Remote Authentication, nhập thông tin thẩm định ISA Firewall chính có thể dùng để kết nối với ISA Firewall nhánh trong kết nối VPN site to site. Đặt dấu kiểm vào ô checkbox Allow the local site to initiate connections to the remote site, using this user account, sau đó nhập thông tin User name: “vpn”, Domain: “hui.com”, Password và Confirm Password:”123”. → Next.
9 Trên trang Network Addresses, bạn cần nhập giới hạn địa chỉ IP sử dụng trên Remote Site Network. Nhấp Add. Trong hộp thoại IP Address Range Properties, nhập giới hạn địa chỉ IP dùng trên văn phòng nhánh. Ở ví dụ này, các máy nhánh được đặt trên mạng 172.16.15.1-172.16.15.100. → OK → Next.
10.Trên trang Remote NLB, bỏ dấu chọn ở hộp checkbox The remote site is enabled for Network Load Balancing → Next.
11.Trên trang Site to Site Network Rule, chấp nhận tuỳ chọn mặc định Create a network specifying a route relationship và Network rule name: “HCM to internet Network” → Next.
12.Trên trang Site to Site Network Access Rule, bạn có thể tạo Access Rule (nguyên tắc chấp nhận) điều khiển lưu lượng chuyển qua mạng riêng ảo site to site tại ISA Firewall main office. Chọn Create an allow access rule., Access Rule name: “Allow access between HCM and Internal”. Từ danh sách sổ xuống Apply the rule to these protocols, chọn All outbound traffic. Sau này chúng ta sẽ khoá một số thứ, nhưng bây giờ, tại thời điểm bắt đầu bạn cần chắc chắc xem liệu các thiết lập VPN site to site có thành công hay không và ISA Firewall nhánh có thể liên kết với domain hay không. Sau khi kết nối VPN site to site được thiết lập, chúng ta sẽ khoá một số chức năng để truy cập tới các liên lạc intradomain (nội miền) thích hợp và để được phép truy cập server.→ Next.
13.Trên trang Completing the New VPN Site to Site Network Wizard → Finish.
17.Hộp thoại Remaining VPN Site to Site Tasks xuất hiện thông báo bạn cần tạo tài khoản người dùng trên ISA Firewall chủ để ISA Firewall nhánh có thể dùng trong thẩm định kết nối VPN site to site. Nhấp OK.
18. Nhấp vào Apply để ghi lại tất cả mọi thay đổi và update chính sách tường lửa. Nhấp OK trong hộp thoại Apply New Configuration.
5.3.2 Tạo Network Rule ở Main Office
ISA firewall phải biết chuyển các gói tin từ Main Office đến Brach Office, có hai sự lựa chọn : ROUTE hoặc NAT. Nhưng NAT an toàn hơn bởi vì nó giấu địa chỉ IP của máy client trên NAEed .Network rule đã được tạo sẵn
5.3.3 Tạo Access Rule ở Main Office
Tạo các Access Rule có các đặc tính sau:
Access Rule 1: Name :”Branch to Main”
Action: “Allow”
Protocols: “All outbound traffic”
From/Listener: Branch
To: Intternal
User set: All Users
Access Rule 2: Name :”Main to branch”
Action: “Allow”
Protocols: “All outbound traffic”
From/Listener: Internal
To: Branch
User set: All Users
5.3.4 Tạo VPN Gateway Dial-in Account tại Main Office
Thực hiện các bước sau đây để tạo tài khoản từ xa ISA 2006 firewall , sử dụng để kết nối với Main Office VPN gateway:
1.Nhấp phải chuột My Computer → Manage
2. Giao diện Computer Management , mở rộng Local Users and Group, nhấp phải chuột Users chọn New User . tạo user có name : Branch, pasword: 123
3. Nhấp đôi vào user Branch, trong hộp thoại Branch Properties chọn tab Dial-in chọn Allow access
4. Nhấp Apply → Ok, khởi đông lại máy ISA firewall
5.3.5 Tạo Remote Network ở Branch Office ISA firewall
Làm tương tự như tạo Remote Network ở the Main Office ISA firewall , nhưng chỉnh sửa một ít:
Network name : “HN”
Remote VPN Server name or IP address : nhập 192.168.1.1
Remote Authentication → user name :”HN”, password và comfirm password “123”
Net work Address → Starting address: 172.16.1.0, Ending address: 172.16.1.255
5.3.6 Tạo Network Rule ở Branch Office:
Network rule này cũng được tạo sẵn
5.3.7 Tạo Access Rule ở Branch Office
Tạo các Access Rule có các đặc tính sau:
Access Rule1: Name :”Main to branch”
Action: “Allow”
Protocols: “All outbound traffic”
From/Listener: Main
To: Internal
User set: All Users
Access Rule 2: Name :”Branch to Main”
Action: “Allow”
Protocols: “All outbound traffic”
From/Listener: Intternal
To: Main
User set: All Users
5.3.8 Tạo VPN Gateway Dial-in Account tại Branch Office
Thực hiện các bước sau đây để tạo tài khoản từ xa ISA 2006 firewall , sử dụng để kết nối với Branch Office VPN gateway::
1.Nhấp phải chuột My Computer → Manage
2. Giao diện Computer Management , mở rộng Local Users and Group, nhấp phải chuột Users chọn New User . tạo user có name : Main, pasword: 123
3. Nhấp đôi vào user Main, trong hộp thoại Branch Properties chọn tab Dial-in chọn Allow access
4. Nhấp Apply → Ok, khởi động lại máy ISA firewall
5.4. Tạo môt L2TP/IPse site to site VPN
Sử dụng L2TP/IPSec cho giao thức VPN thì kết nối site to site VPN sẽ an toàn hơn. Vì vậy phải sử dụng Certificate cho tất cả các ISA firewall VPN gateway.
Thực hiện các bước sau để kích hoạt L2TP/IPSec site to site VPN:
5.4.1 Kích hoạt System Policy Rule trên firewallMain office để truy cập enterprise CA
1.Giao diện Microsoft Internet Security and Acceleration Server 2006 → Firewall Policy.
2. Nhấp phải chuột FirewallPolicy → View → Show System Policy Rules.
3. Trong danh sách System Policy Rule, nhấp đôi vào Allow HTTP from ISA Server to all networks (for CRL downloads). Đây là System Policy Rule #18.
4.Trong hộp thoại System Policy Editor, Chọn Enable trong tab General → Ok
5. Nhấp Apply để lưu sự thay đổi và cập nhật các Firewall Policy.
6. Nhấp OK trong hộp thoại Saving Configuration Changes.
7. Nhấp vào Show / Hide System Policy Rules để ẩn System Policy.
5.4.2 Yêu cầu và cài đặt một Certificate cho Main Office Firewall
1. Mở Internet explore, gõ → OK.
2. Hộp thoại Enter Network Password, nhập Administrator trong User Name Nhập password → OK
3. Hộp thoại Internet Explore → Add, trong hộp thoại Trusted Sites → Add → Close
4. Nhấp Request a Certificate trên trang Welcome
5. Trên trang Request a Certificate, Nhấp advanced certificate request.
6. Trang Advanced Certificate Request, nhấp Create and submit a request to this CA.
7. Trang Advanced Certificate Request, chọn Administrator certificate từ danh sách Certificate Template, bỏ check trong mục Mark keys as exportable. Check vào Store certificate in the local computer certificate sử dụng Key Sizes là 2048 bits. Nhấp Submit.
8. Nhấp Yes trong hộp thoại Potential Scripting Violation
9. Hộp thoại Certificate Issued , nhấp Install this certificate.
10.Nhấp Yes trong hộp thoại Potential Scripting Violation
11. Đóng trình duyệt sau khi xem Certificate đã cài đặt.
12. Start → Run, nhập mmc → OK.
13. Trong Console1 → File → Add/Remove Snap-in
14. Hộp thoại Add/Remove Snap-in, chọn Add.
15. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
16. Hộp thoại Certificates snap-in, chọn Computer account.
17. Hộp thoại Select Computer, chọn Local computer.
18. Nhấp Close trong hộp thoại Add Standalone Snap-in
19. Nhấp OK trong hộp thoại Add/Remove Snap-in
20. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local Computer) sau đó mở rộng Personal, nhấp PersonalCertificates, nhấp đôivào Administrator certificate trong khung bên phải.
21. Hộp thoại Certificate, nhấp Certification Path, chọn EXCHANGE2003BE certificate ,nhấp View Certificate.
22. Hộp thoại CA certificate’s Certificate , nhấp Details tab → Copy to File.
23. Nhấp Next trong hộp thoại Welcome to the Certifi cate Export Wizard
24. Hộp thoại Export File Format, chọn Cryptographic Message Syntax Standard – PKCS #7 Certifi cates (.P7B), → Next.
25. Hộp thoại File to Export nhập c:\cacert trong ô File name → Next.
26. Nhấp Finish trong hộp thoại Completing the Certifi cate Export Wizard
27. Nhấp OK trong hộp thoại Certificate Export Wizard
28. Nhấp OK trong hộp thoại Certificate → OK
29. Trong cửa sổ bên trái của giao diện, mở rộng Trusted Root Certification Authorities và nhấp vào Certificates. Nhấp chuột phải vào Trusted Root Certification Authorities\Certificates. → All Tasks → import
30. Nhấp Next trong hộp thoại Welcome to the Certificate Import Wizard
31. Hộp thoại File to Import Sử dụng nút Browse để chọn CA certificate → Next.
32. Hộp thoại Certificate Store → Next.
33. Hộp thoại Completing the Certificate Import Wizard → Finish.
34. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công.
5.4.3 Cấu hình Main Office ISA Firewall sử dụng L2TP/IPSec cho kết nối Site-to-Site
Trong giao diện Microsoft Internet Security and Acceleration Server 2006 , nhấp Virtual Private Networks (VPN)
Chọn tab Remote Sites, nhấp đôi vào PPTP Site to Site VPN Remote Site
Trong hộp thoại PPTP Site to Site VPN Properties, chọn tab Protocols, chọn L2TP/IPSec (provides a highly secure connection method) → Apply → Ok
5.4.4 Kích hoạt System Policy Rule trên ISA firewall Branch office để truy cập enterprise CA
1.Giao diện Microsoft Internet Security and Acceleration Server 2006 → Firewall Policy.
2. Nhấp phải chuột FirewallPolicy → View → Show System Policy Rules.
3. Trong danh sách System Policy Rule, nhấp đôi vào Allow HTTP from ISA Server to all networks (for CRL downloads). Đây là System Policy Rule #18.
4.Trong hộp thoại System Policy Editor, Chọn Enable trong tab General → Ok
5. Nhấp Apply để lưu sự thay đổi và cập nhật các Firewall Policy.
6. Nhấp OK trong hộp thoại Saving Configuration Changes.
7. Nhấp vào Show / Hide System Policy Rules để ẩn System Policy.
5.4.5 Yêu cầu và cài đặt một Certificate cho Branch Office Firewall
1. Mở Internet explore, gõ → OK.
2. Hộp thoại Enter Network Password, nhập Administrator trong User Name Nhập password → OK
3. Hộp thoại Internet Explore → Add, trong hộp thoại Trusted Sites → Add → Close
4. Nhấp Request a Certificate trên trang Welcome
5. Trên trang Request a Certificate, Nhấp advanced certificate request.
6. Trang Advanced Certificate Request, nhấp Create and submit a request to this CA.
7. Trang Advanced Certificate Request, chọn Administrator certificate từ danh sách Certificate Template, bỏ check trong mục Mark keys as exportable. Check vào Store certificate in the local computer certificate sử dụng Key Sizes là 2048 bits. Nhấp Submit.
8. Nhấp Yes trong hộp thoại Potential Scripting Violation
9. Hộp thoại Certificate Issued , nhấp Install this certificate.
10.Nhấp Yes trong hộp thoại Potential Scripting Violation
11. Đóng trình duyệt sau khi xem Certificate đã cài đặt.
12. Start → Run, nhập mmc → OK.
13. Trong Console1 → File → Add/Remove Snap-in
14. Hộp thoại Add/Remove Snap-in, chọn Add.
15. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
16. Hộp thoại Certificates snap-in, chọn Computer account.
17. Hộp thoại Select Computer, chọn Local computer.
18. Nhấp Close trong hộp thoại Add Standalone Snap-in
19. Nhấp OK trong hộp thoại Add/Remove Snap-in
20. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local Computer) sau đó mở rộng Personal, nhấp PersonalCertificates, nhấp đôivào Administrator certificate trong khung bên phải.
21. Hộp thoại Certificate, nhấp Certification Path, chọn EXCHANGE2003BE certificate ,nhấp View Certificate.
22. Hộp thoại CA certificate’s Certificate , nhấp Details tab → Copy to File.
23. Nhấp Next trong hộp thoại Welcome to the Certifi cate Export Wizard
24. Hộp thoại Export File Format, chọn Cryptographic Message Syntax Standard – PKCS #7 Certifi cates (.P7B), → Next.
25. Hộp thoại File to Export nhập c:\cacert trong ô File name → Next.
26. Nhấp Finish trong hộp thoại Completing the Certifi cate Export Wizard
27. Nhấp OK trong hộp thoại Certificate Export Wizard
28. Nhấp OK trong hộp thoại Certificate → OK
29. Trong cửa sổ bên trái của giao diện, mở rộng Trusted Root Certification Authorities và nhấp vào Certificates. Nhấp chuột phải vào Trusted Root Certification Authorities\Certificates. → All Tasks → import
30. Nhấp Next trong hộp thoại Welcome to the Certificate Import Wizard
31. Hộp thoại File to Import Sử dụng nút Browse để chọn CA certificate → Next.
32. Hộp thoại Certificate Store → Next.
33. Hộp thoại Completing the Certificate Import Wizard → Finish.
34. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công.
5.4.6 Cấu hình Branch Office ISA Firewall sử dụng L2TP/IPSec cho kết nối Site-to-Site
1.Trong giao diện Microsoft Internet Security and Acceleration Server 2006 , nhấp Virtual Private Networks (VPN)
2. Chọn tab Remote Sites, nhấp đôi vào PPTP Site to Site VPN Remote Site
3. Trong hộp thoại PPTP Site to Site VPN Properties, chọn tab Protocols, chọn L2TP/IPSec (provides a highly secure connection method) → Apply → Ok
CHƯƠNG 6: CACHING
6.1.Khái niệm
ISA Server ngoài tính năng bảo mật hệ thống ra còn là công cụ Cache (lưu trữ các bản sao) Web rất hiệu quả nhằm đem lại khả năng lướt Web cho toàn bộ hệ thống mạng với tốc độ nhanh hơn..
Web caching có 2 loại : Forward caching và Reverse caching
Forward caching: Một cách để giảm tiêu thụ băng thông Internet là lưu trữ trang web thường xuyên truy cập web trên Local Network, người dùng nội bộ có thể truy cập những trang web này mà không đi đến một máy chủ trên internet. Điều này được gọi là chuyển tiếp web bộ nhớ đệm, và nó có lợi thế nhất của việc truy cập cho người dùng nội bộ nhanh hơn, vì họ là lấy các đối tượng web (như trang, đồ họa, và âm thanh files) qua kết nối mạng LAN nhanh chóng, điển hình là 100Mbps hoặc nhiều hơn, thay vì một kết nối Internet chậm lúc có lẽ 1.5Mbps.
Reverse caching: làm giảm lưu lượng truy cập trên mạng nội bộ và tốc độ truy cập của người dùng bên ngoài vào web server. Reverse caching làm giảm việc sử dụng băng thông trên mạng nội bộ.và phép nội dung web sẽ được sẵn sàng khi các máy Ewb Server offline.
Kiến trúc Web caching cũng có hai kiểu kiến trúc cơ bản là : Distributed caching và Hierachical caching. Ngoài ra còn có thể tổng hợp hai loại kiến trúc trên tạo kiến trúc Hybrrid caching
Distributed caching
Hierachical caching
Hybrrid caching
Web Caching Protocols: Khi nhiều Web caching server làm việc cùng nhau cần một giao thức cách để giao tiếp với nhau. Nếu yêu cầu Web của client không tìm thấy trong bộ nhớ cache của Web caching Server thì nó có thể truy vấn bộ nhớ cache của Web caching server khác trước khi lấy từ Internet. Có một số giao thức khác nhau mà có thể được sử dụng cho giao tiếp giữa các Web caching Server. Phổ biến nhất trong số này là :
■ Cache Array Routing Protocol (CARP.
■ Internet Cache Protocol (ICP).
■ HyperText Caching Protocol (HTCP)
■ Web Cache Coordination Protocol (WCCP)
■ Cache digest
6.2. Kích hoạt Caching
Trong giao diện ISA, Configulation → Cache → Cache Drives
Trên trang Tasks → chọn Define Cach Drives, chọn ổ đĩa định dạng NTFS, nhập dung lượng của bộ nhớ cache vào ô Maximum cache size → Set → Apply → Ok
6.3. Tạo Cache Rule
Trong màn hình ISA Server chọn Cache nhấp phải vào Cache chọn New -> Cache Rule
Nhập “ Cache” vào ô Cache rule name → Next
Trong cửa sổ Cache Rule Destination tạo một URL Set (Xem lại bài Access Rule) → Add
Chọn Ok → Next
4. Trên trang Content Retrieval, bạn có thể kiểm soát các đối tượng lưu trữ như thế nào sẽ được lấy ra khi chúng được yêu cầu. Chọn từ một trong ba lựa chọn cho các đối tượng lấy từ bộ nhớ cache → Next
Trên trang Cache Content: bạn có thể kiểm soát loại nội dung lưu trữ. Check vào Dynamic content và Content requiring user authentication for retrieval → Next
Trên trang Cache Advanced Configuration: thiết lập giới hạn kích thước của các đối tượng , check vào Do not cache objects larger than, nhập kích thước vào → Next
Trên trang HTTP caching : bạn có thể kích hoạt hoặc vô hiệu hóa bộ nhớ đệm HTTP (nó được kích hoạt mặc định) và thiết lập TTL của các đối tượng. chọn thiết lập mặc định → Next
Trên trang FTP caching:bạn có thể kích hoạt hoặc vô hiệu hóa bộ nhớ đệm FTP (nó được kích hoạt mặc định). Bạn cũng có thể thiết lập một TTL cho các đối tượng FTP. Chọn thiết lập mặc định → Next
Trên trang Completing the New Cache Rule Wizard → Finish
Bạn có thể chỉnh sửa Cache Rule bằng cách phải chuột vào cache rule chọn properties. Chỉnh sửa những đặc tính của Cache ở các tab
6.4.Tạo và cấu hình Schedule Content Download Jobs
Configuration → chuột phải Cache → chọn New → Content Download Job
Hộp thoại Enable Schedule Content Download Jobs → chọn Yes
Download Job name : nhập “ www.hui.edu.vn”
Trên trang Download Frequency, chọn Daily → Next
Trên trang Daily Frequency khai báo thông số ngày giờ bắt đầu công việc
Trên trang Content Download, nhập URL “”→ Next
Trang Content caching , giữ các tthông số mặc định ”→ Next
→ Finish
CHƯƠNG 7: APPLICATION FILTER VÀ WEB FILTER
7.1. Khái niệm
Application Filter và Web Filter kiểm soát nội dung các luồng dữ liệu , can thiệp sâu bên trong lớp ứng dụng
Web Filter thực hiện kiểm tra trạng thái lớp ứng dụng trên đường truyền xử lý bởi thành phần Firewall ISA Web Proxy. Web Proxy xử lý cho các kết nối HTTP, HTTPS (SSL),và kết nối HTTP tunneled FTP. ISA firewall bao gồm một số Web Filter:
■ HTTP Security filter
■ ISA Server Link Translator
■ Web Proxy filter
■ SecurID filter
■ OWA Forms-based Authentication fi lter
Application Filter có trách nhiệm thực hiện kiểm tra trạng thái lớp ứng dụng trên giao thức nonHTTP, như SMTP, POP3, và DNS. ..ISA firewall bao gồm một số Application Filter sau:
■ SMTP filter
■ DNS filter
■ POP Intrusion Detection filter
■ SOCKS V4 filter
■ FTP Access filter
■ H.323 filter
■ MMS filter
■ PNM filter
■ PPTP filter
■ RPC filter
■ RTSP filter
Trong phần này chúng ta sẽ nghiên cứu tìm hiểu HTTP Security filter
7.2. HTTP Security Filter Settings
HTTP Security filter bao gồm một số các tab cho phép bạn kiểm soát chính xác những gì giao tiếp HTTP được phép thông qua ISA Firewall. HTTP Security filter được thực hiện trên các tab sau:
1.General: bạn có thể cấu hình những chọn lựu sau:
Maximum header length: cho phép bạn tùy chọn cấu hình theo chiều dài tối đa của tất cả các tiêu đề trong một yêu cầu giao tiếp HTTP. Thiết lập này được áp dụng cho tất cả các quy tắc sử dụng các HTTP Security filter. Thiết lập này bảo vệ bạn khỏi các cuộc tấn công với mục đích làm tràn bộ đệm trang web bằng cách gửi quá nhiều tiêu đề dài đến Web Server
Request Payload: cho phép bất cứ chiều dài trọng tải (Allow any payload length ) hoặc thiết lập một chiều dài trọng tải chỉ định. Tải trọng là một phần của giao tiếp HTTP đó không phải là một phần của tiêu đề HTTP hoặc cấu trúc lệnh.
Maximum URL length (bytes): cho phép bạn thiết lập các URL tối đa mà người dùng có thể gửi thông qua ISA firewall. Giá trị mặc định là 10.240, nhưng bạn có thể tăng hoặc giảm giá trị này dựa trên yêu cầu tùy chỉnh trang web của riêng bạn.
Maximum query length cho phép bạn thiết lập độ dài tối đa của phần truy vấn của URL. Phần truy vấn của URL sẽ xuất hiện sau khi một dấu hỏi (?) Trong URL yêu cầu. Giá trị mặc định là 10.240, nhưng bạn có thể làm cho nó dài hơn hoặc ngắn hơn, dựa trên yêu cầu của bạn. Chiều dài tối đa của URL phải lớn hơn chiều dài tối đa truy vấn vì truy vấn là một phần của URL.
Verify normalization: giúp ngăn cản các cuộc tấn công vào Web Server bằng “ma hóa đôi”.
Block high bit characters: phép bạn chặn các yêu cầu HTTP bao gồm các URL với các ký tự bit cao trong đó. High bit được sử dụng bởi nhiều ngôn ngữ sử dụng bộ ký tự mở rộng , nếu bạn thấy không thể truy cập trang web có sử dụng bộ ký tự này thì bạn cần phải vô hiệu hóa tùy chọn.
Block responses containing Windows executable content: cho phép bạn ngăn chặn người dùng tải các file thực thi
2. Methods: cho phép bạn kiểm soát các phương thức HTTP sử dụng để thông qua Access Rule hoặc Web Publishing Rule.. Có ba sự lựu chọn
Allow all methods: cho phép tất cả ca1c phương thức HTTP sử dụng trong giao tiếp HTTP
Allow only specified methods: cho phép bạn chỉ định chính xác những phương thức mà bạn cho phép thông qua ISA firewall. Bạn có thể định nghĩa những phương thức mà trang web và ứng dụng web yêu cầu.
Block specified methods( allow all others): cho phép tất cả các phương thức ngoại trừ những phương thức bạn chọn
Allow only specified methods và Block specified methods( allow all others) bạn nhấp Add để chọn phương thức mà bạn cho phép hoặc cấm.
3. Extension:kiểm soát việc cho phép các phần mở rộng của file được yêu cầu thông qua ISA firewall.
Allow all extentions: cho phép bạn cấu hình các Access Rules hoặc Web Publishing Rule cho phép các user truy cập tất cả các loại file.
Allow only specified extensions: cho phép chỉ định những file có phần mở rông mà các user được phép truy cập thông qua ISA firewall.
Block specified extentions (allw all others): khó những file có phần mở rộng nguy hiểm.
Nếu chọn Allow only specified extensions và specified extentions (allw all others ) bạn nhấp vào Add để chọn phần mở rộng file mà bạn cho phép hoặc chặn.
4. Header:Bạn có thể chấp nhận tất cả các tiêu đề HTTP hoặc bạn có thể chặn một số tiêu đề HTTP cụ thể. Nếu bạn muốn chặn một tiêu đề HTTP cụ thể, bấm vào nút Add.Trong hộp thoại Header, chọn Request headers hoặc Response headers từ Search in trong danh sách thả xuống. Trong hộp HTTP header, nhập tiêu đề HTTP bạn muốn chặn. Nhấp OK
Bạn có thể cấu hỉnh Server header bằng cách lựa chọn trong danh sách. Server header là một HTTP header mà web Server gửi lại cho client
thông báo về loại Web Server mà Client được kết nối.
5. Signatures: cho phép bạn kiểm soát truy cập thông qua ISA firewall dựa trên HTTP signature do bạn tạo ra. Chọn Add hộp xuất hiện thoại Signature Trong hộp thoại Signature, nhập tên Signature vào Name, và
mô tả của chữ vào Description.Trong Search in chọn nơi bạn muốn ISA firewall để tìm kiếm .
Request URL: Khi bạn chọn tùy chọn này, bạn có thể nhập một chuỗi khi tìm thấy tại web của các khách hàng yêu cầu URL, kết nối sẽ bị khóa.
Request header: Khi bạn chọn tùy chọn này, bạn nhập HTTP header cụ thể bạn muốn ISA firewall kiểm tra trong HTTP header và sau đó nhập chuỗi trong tiêu đề bạn muốn ISA firewall chặn vào Signalture.
Request body:có thể chặn giao tiếp HTTP dựa trên dung lượng kiểm tra trang web và các tiêu đề. Bạn cần cấu hình phạm vi byte bạn muốn ISA firewall kiểm tra
Response header : Khi bạn chọn tùy chọn này, bạn nhập HTTP header cụ thể bạn muốn chặn dựa trên những HTTP Response trả về của Web Server Bạn nhập HTTP header cụ thể trong HTTP header và giá trị trong HTTP header trong Signature .■ Response body: giống như Request body, nó được áp dụng cho nội dung trả lại cho Web client từ các Web server.
7.3. HTTP Security Filter Logging
Sử dụng các ISA firewall's built-in viewer để xem hoạt động HTTP Security Filter:
1. Trong Microsoft Internet Security and Acceleration Server 2006 → Monitoring
2. Nhấp vào tab Logging. Trong tab Tasks, chọn Start Querry.
3. Nhấp chuột phải vào một trong các tiêu đề cột và nhấp vào Add / Remove Columns
Trong Add / Remove Columns hộp thoại, bấm vào mục Filter Information → Add.
Các Filter Information xuất hiện trong Displayed columns → Ok
7.4. Một số ứng dụng về HTTP Security Filter
7.4.1 Cấm chat bằng Yahoo Messenger
B1: Máy DC cài Yahoo Mesenger
B2: ISA tạo 2 rule :
Rule 1 : Rule name : DNS Rule 2: Rule name : Access internet
Action: Allow Action: Allow
Protocols: DNS Protocols: HTTP, HTTPS
Source : Internal Source : Internal
Destination: External Destination: External
User: All Users User: All Users
B3: Mở Yahoo Mesenger → menu Mesenger → Connection Preferences chọn option Fire with no proxies. YahooMesenger thông qua protocol HTTP để trao đổi dữ liệu với YahooMesenger Server.
B4: Chuột phải trên rule Access Internet → Configure HTTP
B5: Hộp thoại Configure HTTP policy for rule: chọn tab “Signatures” → Add . khai báo các thông số Name: Deny Yahoo Messenger
Search in : Request header
HTTP header: Host
Signature: msg.yahoo.com
Chọn Ok → Ok
7.4.2 Cấm gửi mail bằng phương thức Post
B1: Phải chuột trên rule Access Internet → Configure HTTP
B2: Chọn tab Methods → chọn Block specified methods(allow all others) → Add
B3: Hộp thoại Methods, nhập POST → Ok
Kiểm tra: Soạn và gửi thử 1 mail → không gửi được vì hầu hết quá trình gửi mail đều phải dùng phương thức POST để truyền nội dung
7.4.3 Cấm download file có phàn mở rộng “ .exe ”
B1: Phải chuột trên rule Access Internet → Configure HTTP
B2: Chọn tab Extentions → chọn Block specified extentions(allow all others) → Add
B3: Hộp thoại Extention, nhập Extention: “.exe “→ Ok
Kiểm tra: dùng máy DC thử download 1 file .exe bất kì từ một trang web. Kết quả không thể download
CHƯƠNG 8: INTRUSION DETECTION
Giả sử mạng chúng ta đã dựng thành công ISA Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này.
Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết sự nguy hiểm đang rình rập này. Trong bài này chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công từ bên ngoài vào hệ thống mạng chúng ta.
Bật chương trình ISA Server lên chọn Configuration chọn tiếp mục General
Tiếp tục nhấp chọn liên kết Enable Intrusion Detection and DNS Attack Detection
Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan.
Do trong bài này tôi chỉ sử dụng tính năng Port scan để làm thí dụ. Như vậy từ một máy bên ngoài tôi có gắng dò tìm các Port đã mở trên ISA Server, nếu ISA Server phát hiện ra thao tác này của tôi là xem như thành công.
Chọn Port scan
Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng
Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết
Bây giờ tại máy Client tôi cài đặt một chương trình có tính năng Scan các Port đã mở trên ISA Server đó là SuperScan 4.0
Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi
Trở lại Tab Scan tiến hành Scan Port của máy ISA
Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào mạng chúng ta
Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt, và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà người ta sẽ cấu hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho Administrator khi phát hiện có các xâm nhập bất hợp pháp vào hệ thống mạng
Chọn Tab Alerts chọn tiếp link Configure Alert Definitions
Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit
Chọn tiếp Tab Actions trong Alert Actions và nhập thông tin tài khoản Email của Administrator vào đây
Bạn quay lại máy Client tiến hành Scan Port lại máy ISA.
Lúc này ISA Server phát hiện ra việc Scan Port bất hợp pháp này và ngay lập tức nó gởi một Email cảnh báo cho Administrator để đưa phương án phòng thủ và bạo vệ tốt hơn
CHƯƠNG 9: TEMPLATE
Chúng ta đã biết được nhiệm vụ cơ bản nhất của ISA Server là tạo nên một không gian thế giới mới mà trong đó nó sẽ ngăn chia thế giới chúng ta ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Network: là các máy ngoài mạng Internet.
Trên thực tế có nhiều mô hình dựng ISA Server và Microsoft đã đưa ra cho ta 3 mô hình như sau:
9.1.Edge Firewall:
Với mô hình này chúng ta chỉ cần dựng một ISA Server duy nhất và trên đó có 2 Card Lan:
- Card thứ 1 nối với các máy trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.
9.2.3-Leg Perimeter:
Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm
- Nhóm thứ 1 là các máy như Mail Server, Web Server... để người dùng từ External Network có thể truy cập vào
- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
Tại máy ISA Server ta cần đến 3 Card Lan
- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISA Server sẽ mở các Port Outbound/Inbound tại Card này
- Card thứ 3 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.
9.3-Front/Back Firewall
Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host
Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.
Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.
Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server.
Các file đính kèm theo tài liệu này:
- Firewall ISA Server 2006.doc