1 Tổng quan về ISA Server
Internet Security and Acceleration (ISA) Server đưa ra một giải pháp kết nối chứa cả firewall và cache. ISA Server bảo vệ mạng, cho phép cài đặt một chiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn của những rule, chỉ ra những site, giao thức, và nội dung có thể được truyền qua máy tính ISA Server. ISA Server giám sát cac yêu cầu và trả lời giữa các máy tính trên Internet và các máy khách nội bộ. điều khiển ai có thể truy nhập máy tính nào trên mạng phối hợp. ISA Server cũng điều khiển máy tính nào trên Internet có thể được truy nhập bởi các client nội bộ.
1.1 Tổng quan về Firewall và Security
ISA Server có thể được triển khai như là một hệ thống firewall mong muốn, hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ. ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet. Đơn giản mà nói, máy tính ISA Server có hai cạc giao diện mạng, mọt kết nối tới mạng cục bộ và một kết nối tới Internet.
Chúng ta có thể dụng ISA Server để cấu hình firewall, cấu hình các chiến lượng và tạo các rule để cài đặt các đường hướng nghiệp vụ. Bằng cách thiết lập các chính sách truy nhập an toàn, sẽ chống được các truy nhập không được phép và nội dung có hại xâm nhập từ mạng. Ngoài ra cũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng, đích, kiểu nội dung và lịch trình.
ã Chiến lược truy nhập ra ngoài: cấu hình site và luật nội dung và luật giao thức, điều khiển cách mà các máy khách truy nhập Internet. Các luật cho site và nội dung chỉ ra site nào và nội dung nào được phép truy nhập. Luật giao thức cho biết giao thức nào là có thể truy nhập cho chỉ vào hoặc chỉ ra.
ã Chiến lược xâm nhập: cơ chế tìm xâm nhập tích hợp có thể thông báo khi một tấn công nào đó là đã thâm nhập vào mạng. Ví dụ, có thể cấu hình ISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng.
ã Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộ lọc nhận thức dữ liệu. ISA Server dùng bộ lọc để xác định xem các packet là có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không.
ã Xác thực: ISA Server hỗ trợ các phương thức xác thực sau: xác thực Windows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc.
Mục lục
1 Tổng quan về ISA Server 2
1.1 Tổng quan về Firewall và Security 2
1.2 Tổng quan về Cache 2
Forward caching 3
Reverse caching 3
1.3 Khía cạnh mạng 3
1.4 Khía cạnh Server 5
2 ISA Server Firewall 8
2.1 Điều khiển các yêu cầu ra ngoài 8
2.2 Điều khiển các yêu cầu đến 8
2.3 Lọc các IP packet 9
2.4 Xâm nhập và báo động 9
2.5 SecureNAT (Secure Network Address Translation) 10
3 ISA Server cache 11
3.1 Cách thức hoạt động của ISA Server cache 11
3.2 Cơ chế cache của ISA Server 12
RAM Caching 12
CARP – Giao thức dẫn đường cho dãy cache 12
Cách thức làm việc của CARP 13
4 Các luật của ISA Server 15
4.1 Các luật quản lý chính sách truy cập 15
Lọc IP Packet. 15
Các luật giao thức , các luật địa chỉ và nội dung truy nhập. 16
4.2 Các luật về băng thông 16
4.3 Các luật chính sách quảng bá. 17
5 Xác thực ở ISA Server 18
5.1 Các phương thức xác thực. 18
5.2 Các luật và sự xác thực 18
5.3 ISA Server và Secure Socket Layers (SSL). 19
6 Các dịch vụ của ISA Server. 21
6.1 Dịch vụ điều khiển của ISA 21
6.2 Dịch vụ Download có quản lý lưu trữ nội dung (the Schedule Cache Content Download Service). 21
6.3 Dịch vụ Firewall 22
Cách thức làm việc của dịch vụ Firewall. 22
Firewall client. 23
Các bộ lọc ứng dụng. 24
6.4 Dịch vụ Web Proxy 24
Web Proxy Service Clients. 25
Các bộ lọc Web (ISAPI). 25
Chia cắt các dịch vụ thông tin Internet. 25
7 Cấu trúc các trường của log file của Web proxy và Firewall 27
7.1 Các giá trị của nguồn đối tượng 28
7.2 Giá trị mã kết quả 28
7.3 Giá trị thông tin cache 29
7.4 Giá trị định danh hệ điều hành 29
30 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3589 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Tổng quan về ISA Server, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ong mạng nội bộ của ta giao tiếp với client trên Internet. Một điều khoản bao gồm các luật cho các site và nội dung, luật cho giao thức, luật công khai Web, và các bộ lọc các IP packet.
Một chính sách có thể được áp dụng tại một mức chuỗi hoặc mức xí nghiệp. Xí nghiệp bao gồm tất cả các chuỗi mạng. Các chiến lược mức xí nghiệp có thể được áp dụng cho tất cả các chuỗi của xí nghiệp. Thêm nữa, một chính sách mức chuỗi có thể áp dụng cho một hoặc nhiểu chuỗi.
Bốn ý chính có thể thấy trong khung cảnh mạng:
Quản trị viên quản trị ISA Server tại máy tính từ xa
Chuỗi các ISA Server, bao gồm ít nhất một server.
Active Directory, nằm tại một máy tính riêng biệt. Dịch vụ thư mục chủ động lưu thông tin về các đối tượng trên mạng, bao gồm người dùng và máy tính, enterprise và miền-chuỗi các thông tin đăng ký liên quan đến ISA và các mở rộng của nó. Active Directory phân tán các thông tin trên toàn mạng. Cơ chế đăng ký trên máy ISA có thể thực thi các chức năng này khi không dùng Active Directory.
Các client và server dùng các khả năng của ISA Server là firewall và cache.
Chúng ta có thể lập trình cho các tác vụ quản trị ISA tự động bằn cách truy nhập vào các đối tượng ISA COM.
Khía cạnh Server
ISA Server hoạt động tại nhiều tầng truyền thông khác nhau để bảo vệ mạng phối ghép. Tại tầng xử lý packet, ISA Server thực hiện lọc packet. Khi cơ chế lọc được cho phép, ISA Server có thể điều khiển một cách thống kê các dữ liệu ở giao diện ngoài, đánh giá tải đến trước khi tiếp cận tới tài nguyên. Nếu dữ liệu được cho phép vượt qua tầng lọc packet này, nó sẽ đến với dịch vụ firewall và web proxy, nơi mà các luật ISA Server được xử lý để xác định yêu cầu phục vụ.
Hình dưới đây cho thấy chi tiết về kiến trúc của chuỗi ISA Server.
ISA Server có thể được dùng thành một chuỗi, để cho phép cân bằng tải và chịu lỗi. Tuy nhiên chúng ta sẽ bàn một chút về kiến trúc của ISA Server đơn. Các bộ phận của server gồm có:
Bộ lọc IP packet.
SecureNat, Một chức năng của ISA Server thực hiện công việc dịch địa chỉ mạng thay cho hàm NAT của Windows 2000
Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall, và các bộ lọc ứng dụng :
Dịch vụ Web proxy, bao gồm các bộ lọc Web và cache.
Dịch vụ Firewall, xử lý các yêu cầu kết nối bằng dịch vụ Firewall và các SecureNAT client. Các yêu cầu http được phát tới dịch vụ Web proxy bằng bộ lọc http redirector.
Các bộ lọc ứng dụng, bao gồm bộ lọc http redirector, bộ lọc này tái định hướng các yêu cầu http tới dịch vụ Web proxy, và các bộ lọc giao thức khác với ISA Server. Các bộ lọc của các hãng thứ ba có thể được phát triển cho ISA firewall bằng cách dùng các giao diện bộ lọc ứng dụng.
ISA Server cũng dùng bộ điều khiển băng thông của QoS trong Windows 2000. QoS là một tập hợp các thành phần quản lý việc sử dụng băng thông cho mạng. ISA Server dùng QoS để kết nối theo các luật được thiết lập bởi quản trị viên ISA.
Có thể thấy trên hình vẽ, ISA Server bảo vệ ba loại client sau:
Client ISA Firewall là các máy tính được cài đặt phần mềm ISA Firewall. Các yêu cầu từ các ISA Firewall client được gửi tới dịch vụ ISA Firewall trên máy ISA Server để xác định truy nhập nào là được phép. Kết quả là, các yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và bởi các add-in khác. Nếu các client ISA Firewall client yêu cầu một đối tượng http, bộ lọc http redirector sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache.
SecureNAT client là các máy tính không cài ISA Firewall client software. Các yêu cầu từ SecureNAT là được gửi trước hết tới NAT driver, giúp cho việc chuyển từ IP toàn cầu sang IP nội bộ của SecureNAT client. Các yêu cầu của client sau đó được gửi tới dịch vụ ISA Firewall, để xác định truy nhập nào là được phép. Cuối cùng, yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và các add-in khác. Nếu các SecureNAT client yêu cầu một đối tượng http, bộ lọc http redirectory sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache.
Các máy khách Web proxy là các ứng dụng duyệt bất kỳ tương thích với chuẩn của CERN. ISA chuyển tiếp các yêu cầu từ Web proxy client cho các dịch vụ Web proxy trên máy tính ISA Server để xác định truy nhập nào là được phép. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu hoặc phục vụ các đối tượng từ ISA Server cache.
Cần chú ý rằng Firewall client và các SecureNAT client là không tồn tại đồng thời. Tuy nhiên, các máy khách ISA Firewall và các máy khách SecureNAT đều có thể là các máy khách Web proxy. Nếu ứng dụng Web trên máy tính là được cấu hình mục đích để dùng ISA Server, thì tất cả các Web request (HTTP, FTP, HTTP-S, và Gopher) được gửi trực tiếp tới dịch vụ Web proxy. Tất cả các yêu cầu khác được xử lý bởi dịch vụ Firewall.
ISA Server Firewall
Điều khiển các yêu cầu ra ngoài
Một trong những chức năng chính của ISA Server là kết nối mạng nội bộ với Internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại. Để đơn giản hoá, ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, xác đinh cách client truy nhập vào Internet.
Khi ISA Server xử lý mọt yêu cầu ra ngoài, nó kiểm tra các luật dẫn đường, luật cho nội dung và site, và các luật giao thức để xác định xem yêu cầu có được phép không. Một yêu cầu được cho phép chỉ nếu cả luật về giao thức và nội dung cho phép và không có luật nào khác chủ đích từ chối request này.
Một vài luật có thể được cấu hình để áp dụng cho các client nhất định. Trong trường hợp này, các client có thể được xác định hoặc bằng địa chỉ IP hoặc bằng tên người dùng. ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối tượng và cách cấu hình server.
Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:
Các luật giao thức. Trước hết ISA Server kiểm tra luật giao thức. ISA Server chỉ cho phép yêu cầu nếu luật giao thức cho phép và không một luật nào khác từ chối.
Luật cho nội dung và site. Cơ chế cũng như trên
Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay không, xác đinh xem yêu cầu có bị từ chối hay không.
Các luật dẫn đường hoặc cấu hình chuỗi Firewall, nếu một Web proxy client yêu cầu đối tượng, để xác định cách mà yêu cầu được phục vụ.
Điều khiển các yêu cầu đến
ISA Server cũng có thể tạo ra những chính sách để bảo vê an toàn cho các server nội bộ, bao gồm có các bộ lọc IP packet, các luật công khai Web, hoặc các luật công khai server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra.
Các luật công khai server của ISA Server:
Luật công khai Web, công khai nội dung Web server.
Luật công khai server, công khai nội dung trên tất cả các server khác trong mạng nội bộ.
Lọc IP packet để công khai nội dung trên các server lên mạng vành đai (perimeter network hay screened subnet).
Khi một ISA Server xử lý một yêu cầu từ một client bên ngoài, nó kiểm tra các bộ lọc IP packet, các luật công khai, và các luật dẫn đường để xác định xem yêu cầu có được cho phép không và server nội bộ nào nên phục vụ yêu cầu này. Thứ tự xử lý sẽ như sau:
Các bộ lọc IP packet.
Các luật công khai Web.
Các luật dẫn đường.
Lọc các IP packet
Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn về giao thức và ứng dụng, bao gồm moi IP packet, gồm có TCP packet, UDP packet, v.v… Các bộ lọc có thể được cấu hình để chỉ các packet nhất đinh mới có thể được truyền tới ISA Server. Điều này làm tăng tính an toàn cho mạng. Các bộ lọc có thể chặn các packet đến từ các Internet host nhất định và có thể loại bỏ cãc packet liên quan đến mục đích tấn công. Ngoài ra, cũng có thể chặn các packet dùng trong mạng nội bộ, như Web proxy, Firewall, WWW, hay dịch vụ SMTP.
Với các bộ lọc IP packet, ta có thể chặn hay hoặc cho phép hoặc ngăn các packet dùng cho các máy tính nhất định trên mạng phối ghép, có thể cấu hình hai loại bộ lọc IP packet tĩnh: các bộ lọc cho phép và các bộ lọc chặn.
Các packet không được chặn được truyền tới các dịch vụ ISA tại mức ứng dụng, khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ của Web proxy và ISA Firewall. Các cổng là được mở để truyền và nhận, và sau đó được đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối.
ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP packet đến và đi. ISA Server có thể được cấu hình các luật và chính sách truy nhập, mở cổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc. Cách tiếp cận này làm giảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng.
Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đem lại phương thức an toàn nhất để xử lý các cổng cấp phát động.
Xâm nhập và báo động
ISA Server có các cơ chế kiểm tra xâm nhập, xác định khi nào mạng bị tấn công, và thực thi một chuỗi các hành động được lập sãn trong trường hợp đó.
Để dò tìm những thông tin xâm nhập, ISA Server so sánh tải và danh sách các thông tin đầu vào liên quan đến các phương thức tấn công phổ biến. Cơ chế báo động sẽ được kích hoạt khi có các hoạt động nghi ngờ, bao gồm nhiều hành động đã được định sẵn, gồm có kết thúc kết nối, kết thúc dịch vụ, phát email báo động, và ghi nhật ký lại.
ISA Server giám sát những kiểu tấn công sau:
Tấn công quét mọi cổng
Tấn công quét cổng đã liệt kê sẵn
Tấn công quét kiểu IP-half
Tấn công kiểu ping-of-death
Tấn công bằn UDP bomb
Tấn công tràn cửa sổ băng thông
SecureNAT (Secure Network Address Translation)
SecureNAT là một mở rộng của NAT driver trong MS Windows 2000. NAT thay thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ. Cơ chế này cho phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server.
Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF. ISA Server tăng cường chức năng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức PPTP. NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN proxy.
Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem và tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một máy tính có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu.
Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức, như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm.
Các hạn chế của NAT:
Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt.
NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao thức khác mặc dù có nhúng IP trong gói.
Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server. Thực tế thì chúng không hẳn tương đương nhau.
ISA Server cache
ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host, có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai.
Cách thức hoạt động của ISA Server cache
Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm ngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mới thay mặt client. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho request gốc và gửi response cho phía client.
ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, và reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server.
ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại.
ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không.
Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm tra cache của server nào. Nếu đối tượng không ở trong cache, thì ISA Server sẽ kiểm tra hoạt động của luật dẫn đường để xác định đường đi cho request. Nếu đối tượng nằm trong cache, thì ISA Server sẽ thực hiện các bước sau:
ISA Server kiểm tra xem đối tượng có hợp lệ không. Đối tượng được coi là không hợp lệ nếu các điều kiện sau xảy ra :
TTL (time-to-live) được xác định từ nguồn đã hết.
TTL xác định trong nội dung cache đã hết.
TTL cấu hình cho đối tượng đã hết.
Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường. Nếu các thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache.
Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được yêu cầu
Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA Server sẽ kiểm tra khả năng truy nhập của Web server đó.
Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server có được cấu hình để trả về đối tượng hết hạn từ cache hay không. Nếu được thì đối tượng sẽ được trả về cho người dùng
Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay không. Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng.
Cơ chế cache của ISA Server
Khi cấu hình một ổ đĩa cho việc cache, ISA Server tạo ra một file nội dụng trên ổ đĩa đó với đuôi là .cdat.
Mỗi file nội dung cho cache tối đa là 10 GB. Ví dụ, nếu ta cấp phát 12 GB trên một ổ đĩa nào đó, ISA Server sẽ tạo ra hai file, một file 10 GB và một file 2 GB.
Khi các đối tượng được cache, ISA Server sẽ thêm chúng vào file nội dung cache. Nếu file nội dung quá đầy để lưu các đối tượng mới, ISA Server sẽ loại bỏ các đối tượng cũ ra khỏi cache, bằng cách dùng công thức đánh giá “tuổi”, độ thường xuyên và cỡ của đối tượng.
RAM Caching
Trong ISA Server, các trang được cache là được lưu tức thì trong bộ nhớ để client truy nhập. Một cơ chế “ghi-lười” được dùng để ghi các trang ra đĩa. Kết quả là tăng khả năng sẵn có trên cache của các trang. Không có cơ chế kiểm tra xem trang đã được cache hay lưu lên đĩa hay chưa.
RAM Caching cho phép nâng cao hiệu năng cache. Nếu hệ thống dừng trả lời, các đối tượng Web trong bộ nhớ chưa được ghi lên đĩa sẽ được lấy từ Internet.
CARP – Giao thức dẫn đường cho dãy cache
ISA Server dùng CARP để cung cấp khả năng co dãn và hiệu quả liên tục khi dùng nhiều máy ISA Server được nối kiểu dàn hàng tạo khả năng cache đơn về mặt logic. CARP dùng cơ chế dẫn đường theo nguyên tắc băm để xác định đường đi tối ưu qua một dãy cache để giải quyết yêu cầu. Giải pháp này là dựa vào việc áp dụng thuật toán băm cho dãy các thành viên và các URL. Đối với bất kỳ một yêu cầu URL được cho, trình duyệt hoặc proxy server cấp dưới sẽ biết chính xác sẽ lấy dãy các thông tin ở đâu. Đường tìm kiếm này cho thấy thông tin là đã được lưu từ request trước hay chưa, hoặc phải lấy từ Internet và sau đó lưu lại cho tương lai.
CARP cung cấp các lợi ích sau:
Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các proxy server, như khi tìm kiếm với các giao thức cache thông thường. Bằng cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn, điều mà thường xảy ra trong một số lượng lớn các server.
CARP loại bỏ sự lặp về nội dung - điều mà hay xảy ra đối với chuỗi proxy server. Với cơ chế dẫn đường bằng giải thuật băm, CARP tránh được điều này bằng cách cho phép cả năm ISA Server tồn tại với một cache đơn logic. Kết quả là có trả lời nhanh hơn và dùng hiệu quả hơn tài nguyên server.
CARP có khả năng co dãn cao. Do tìm đường bằng giải thuật băm dẫn đến sự độc lập ngang hàng, CARP trờ nên nhanh hơn và hiệu quả hơn khi nhiều proxy server được thêm vào. Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về tính co dãn – càng nhiều server, càng nhiều truy vấn !
CARP đảm bảo rằng cac đối tượng cache hoặc được phân tán giữa các server, hoặc các nhân tố tải - được cấu hình cho mỗi server.
Cách thức làm việc của CARP
Tiến trình CARP cung cấp cơ chế tìm đường hiệu quả cho các request.
Tất cả các server được theo dõi thông qua một chuỗi danh sách thành viên, được lưu trong Active Directory. Tất cả các thành viên sẽ được thông báo khi thêm hoặc bớt server trong chuỗi.
Theo chu kỳ, máy khách Web proxy hay server cấp dưới sẽ gửi thăm dò và nếu cần thiết, cập nhật danh sách thành viên.
Máy khách Web proxy gửi yêu cầu array.dll?Get.Routing.Script tới server thành viên.
Server cấp dưới (downstream) gửi yêu cầu array.dll?Get.Info.v1 tới server thành viên.
Khi yêu cầu một đối tượng, máy khách hoặc server cấp dưới dùng danh sách thành viên, cùng với hàm băm, CARP tính toán tên của mỗi URL được yêu cầu, để xác định server nào nên phục vụ yêu cầu này.
Giá trị băm của URL được kết hợp với giá trị băm cho mỗi ISA Server, cho kết quả cao hơn, trở thành “người sở hữu” thông tin cache.
Server kiểm tra xem nó nên xử lý request hay không. Nếu không, nó gửi request cho thành viên khác, được xác định danh sách chuỗi. Thành viên gửi gửi kèm theo thông tin xác thực cho thành viên nhận. Trong hoàn cảnh công khai, nó cũng cung cấp GUID của luật công khai
Một khi mà server được chọn để xử lý request, nó sẽ tiếp tục áp dụng luật ISA nếu cần thiết.
Do các hàm băm được dùng để gán các giá trị là rất nhiều nên tải được phân tán và cân đối giữa các phần tử trong chuỗi.
Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó.
Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi.
Ngoài ra có thể cấu hình các yêu cầu đến và đi riêng biệt, ví dụ có thể cho phép yêu cầu Web đến, và không cho phép yêu cầu gửi đi.
Các luật của ISA Server
Chúng ta có thể đặt cấu hình cho ISA để đáp ứng cho các yêu cầu về hiệu năng cũng như an ninh cụ thể bằng cách định nghĩa và cấu hình các luật mà nó sẽ quyết định xem người dùng nào, máy tính nào, hoặc ứng dụng nào được quyền truy cập các máy tính trong hệ thống mạng của chúng ta và trên mạng Internet. ISA Server cho phép chúng ta định nghĩa khá nhiều loại luật:
Luật về chính sách quản lý truy cập, bao gồm lọcIP Packet, các luật giao thức, các luật về site và nội dung.
Các luật về băng thông.
Các luật về chính sách quảng bá.
Khi một máy khách trong mạng yêu cầu tới một đối tượng trên Internet, ISA Server sẽ dựa vào các luật này và quyết định xem yêu cầu có được phép đáp ứng hay không.
Tương tự như vậy, khi một đối tượng từ bên ngoài yêu cầu một đối tượng ở bên trong hệ thống của chúng ta, ISA Server cũng sẽ dựa vào các luật để quyết định xem yêu cầu có được phép đáp ứng hay không.
Các luật quản lý chính sách truy cập
Lọc IP Packet.
Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server . Khi chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua. Chức năng này được thực hiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật quảng bá.
Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các luật sao cho chúng cho phép truyền thông.
Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động. Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần tử phục vụ bên trong hệ thống của chúng ta. Điều này là do các bộ lọc gói tin mở các cổng không mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở các cổng mang tính đáp ứng động(khi có một yêu cầu đến). Ví dụ, giả sử chúng ta muốn cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site HTTP. Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80. Chúng ta nên tạo ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này.
Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ, số hiệu cổng dịch vụ, tên máy nguồn và máy đích. Các bộ lọc gói tin IP là mang tính chất tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng. Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừ một số loại chúng ta mong muốn nào đó. Nếu chúng ta không có một bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng đó được mở mang tính động (tuỳ biến).
Các bộ lọc đóng (block) sẽ đóng một cổng nào đó. Chúng ta có thể tạo ra và cấu hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server. Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa các host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP. Sau đó chúng ta có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server .
Các luật giao thức , các luật địa chỉ và nội dung truy nhập.
Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông giữa hệ thống mạng của chúng ta và Internet. Các luật giao thức được sử lý ở tầng ứng dụng. Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức HTTP.
Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet mà các máy khách được quản lý bởi ISA Server có thể truy cập đến. Các luật địa chỉ và nội dung truy cập được xử lý ở tần ứng dụng. Ví dụ, một luật nội dung và địa chỉ có thể cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet.
Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache, hoặc chế độ kết hợp cả hai. Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập của mỗi chế độ cài đặt.
Rule type
Firewall
Cache
Integrated
Luật về địa điểm và nội dung truy nhập
Có
Có
Có
Luật về giao thức
Có
Có, đối với các giao thức HTTP, FTP, HTTPS
Có
Các luật về băng thông
Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn. Quản lý băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng. Hơn thế, nó thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức ưu tiên cho các kết nối mạng. Bất cứ kết nối nào mà nó không có một luật băng thông đi kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống. Mặt khác, bất cứ một kết nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức ưu tiên cao hơn mức mặc định.
Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp cả hai. Các luật quản lý băng thông có ở tất cả các chế độ.
Các luật chính sách quảng bá.
Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các luật quảng bá server và các luật quảng bá Web. Các chính sách quản lý quảng bá được tạo ra mức chuỗi (array level), chứ không phải ở mức enterprise.
Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống. Các luật quản lý server sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng được quản lý phía sau ISA Server .
Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server tương ứng được quản lý bởi ISA Server .
Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp. Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng bá ở mỗi chế độ cài đặt.
Rule type
Firewall
Cache
Integrated
Các luật quảng bá Web
Không
Có
Có
Các luật quảng bá server
Có
Không
Có
Xác thực ở ISA Server
Các phương thức xác thực.
Chúng ta có thể đặt các phương thức xác thực thích hợp để sử dụng. Chúng ta có thể đặt các phương thức xác thực khác nhau cho các yêu cầu Web từ ngoài đi vào hệ thống và các yêu cầu từ trong hệ thống đi ra.
ISA Server hỗ trợ các phương thức xác thực sau: phương thức xác thực cơ bản, phương thức tóm gọn, phương thức xác thực tích hợp với hệ thống Windows, và chứng nhận client, chứng nhận server.
Microsoft Internet Explorer 5 hỗ trợ tất cả các phương cách xác thực. Các trình duyệt khác có thể chỉ hỗ trợ phương thức cơ bản. Chúng ta cần phải chắc chắn rằng trình duyệt Web có thể sử dụng ít nhất một trong các phương thức xác thực mà chúng ta định ra ở các thuộc tính yêu cầu đi ra cũng như đi vào của một dãy (array). Nếu không, máy khách có thể không thể truy cập được các đối tượng cần thiết.
Các luật và sự xác thực
Khi một máy khách của Firewall yêu cầu nội dung không phải HTTP, ISA Server sẽ quyết định xem đã có luật nào được đặt ra để áp dụng cho người dùng hoặc nhóm người dùng đó hay chưa. Nếu có, ISA Server sẽ yêu cầu máy khách đó xác thực bản thân nó, như vậy ISA Server có thể quyết định luật đó có áp dụng cho máy khách yêu cầu hay không.
Khi một phần tử được quản lý bởi Web proxy hoặc Firewall yêu cầu một nội dung HTTP, ISA Server sẽ kiểm tra các luật để quyết định xem có luật nào đó cho phép các truy cập nặc danh hay không( hoặc bởi vì luật đó áp dụng cho tất cả người dùng, hoặc bởi vì nó áp dụng cho một nhóm địa chỉ client bao gồm địa chỉ của phần tử yêu cầu). Nếu có, yêu cầu sẽ được cho phép. Nếu không, nếu không có một luật nào được đặt ra để cho phép các truy cập nặc danh, ISA Server sẽ yêu cầu client xác thực bản thân nó, để rồi quyết định một luật áp dụng cho người dùng đã được xác thực đó.
Nói cách khác, khi một client yêu cầu nội dung HTTP, các thông tin xác thực sẽ không được chuyển tới ISA Server , trừ khi ISA Server yêu cầu. Điều này chỉ có khi dịch vụ Web proxy yêu cầu xác định người dùng để cho phép thông qua yêu cầu.
Chúng ta có thể đặt ISA Server luôn luông yêu cầu xác thực đối với các yêu cầu Web bằng cách sử dụng thuộc tính FPCWebRequestConfiguration.AlwaysAuthenticate
Với các Firewall clients, các yêu cầu HTTP được truyển tới bộ tái định hướng HTTP (HTTP redirector), nếu bộ lọc đã được thiết lập. Trong trường hợp này, các thông tin xác thực của Firewall client sẽ không được truyền cho dịch vụ Web proxy, và ISA Server sẽ coi yêu cầu này đến từ người dùng nặc danh. Nếu ISA Server không thể truyền yêu cầu từ người dùng không được xác thực, yêu cầu sẽ bị từ chối, bởi lẽ ISA Server sẽ không yêu cầu xác thực.
Ví dụ về xác thực
Giả sử chúng ta định ra cho ISA Server các luật như sau:
Một luật giao thức mà nó cho phép mọi người sử dụng tất cả các loại giao thức.
Một luật địa điểm và nội dung truy cập mà nó cho phép mọi người truy cập tới tất cả các site.
Một luật địa điểm và nội dung truy cập mà nó sẽ luôn từ chối yêu cầu từ người dùng John.
Hai luật đầu sẽ cho phép tất cả các yêu cầu từ phía người dùng nặc danh. Luật thứ ba sẽ từ chối tất cả các yêu cầu từ phía người dùng John, chỉ khi ISA Server yêu cầu John xác thực bản thân anh ta. Ví dụ, xét tình huống như sau:
Máy tính của John được cài đặt Firewall client. John yêu cầu một nội dung phi HTTP. Yêu cầu của John sẽ bị từ chối bởi vì dịch vụ ISA Server Firewall yêu cầu xác thực; Và luật thứ ba sẽ được thực thi.
Máy tính của John được đặt chế độ như một Web proxy client. John yêu cầu một nội dung HTTP, yêu cầu của John sẽ được cho phép bởi lẽ ISA Server không yêu cầu xác thực; và do đó luật thứ ba không được thực thi.
Máy tính của John được cài đặt Firewall client. John yêu cầu nội dung HTTP. Yêu cầu của John sẽ được cho phép bởi vì ISA Server không yêu cầu xác thực ; và như vậy luật thứ ba sẽ không được thực thi.
Để luật thứ ba được áp dụng cho tất cả các yêu cầu Web, chúng ta phải đặt tuỳ chọn array để yêu cầu định danh người dùng đối với những người dùng chưa được xác thực. Yêu cầu của John sẽ luôn bị từ chối trong cả ba tình huống như trên.
ISA Server và Secure Socket Layers (SSL).
Ở ISA Server chúng ta có thể sử dụng thuộc tính an ninh SSL cho xác thực. Sự chứng nhận được sử dụng theo hai cách mỗi khi một client yêu cầu một đối tượng từ server:
Server sẽ xác thực bản thân nó bằng cách gửi chứng nhận server của nó tới client.
Server sẽ yêu cầu client xác thực bản thân nó. Trong trường hợp này, client phải đưa ra một chứng nhận client thích hợp cho server.
SSL thực hiện xác thực bằng cách kiểm tra nội dung của một tên định danh đã được mã hoá, tên này được đăng ký bởi người dùng của Web browser trong quá trình đăng nhập. Chứng nhận server bao gồm các thông tin định danh về server. Chứng nhận client thông thường chứa các thông tin định danh về người dùng và về tổ chức đưa ra chứng nhận đó. Người dùng phải có được chứng nhận client từ một tổ chức đáng tin cậy.
Chứng nhận client
Nếu chứng nhận client là phương thức xác thực được lựa chọn, khi ISA Server yêu cầu một chứng nhận client từ phía client trước khi cho thông qua một yêu cầu nào đó.
Máy tính ISA Server sẽ nhận các yêu cầu và gửi các chứng nhận server cho các client. Máy ISA Server định danh bản thân nó như một SSL Web server. Client sẽ nhận chứng nhận đó, và xác định rằng chứng nhận đó là thuộc về máy ISA Server .
Sau đó, client gửi lại yêu cầu của nó tới máy ISA Server . Tuy nhiên, ISA Server sẽ yêu cầu một chứng nhận từ phía client, chứng nhận này đã được gửi tới ISA Server từ trước. Do đó ISA Server có thể xác định rằng chứng nhận đó đích thực thuộc về client được phép truy cập.
Chứng nhận client cần phải được lưu trong kho lưu trữ chứng nhận Microsoft Web Proxy Service lưu trên máy ISA Server. Chứng nhận cần phải được ánh xạ tới một người dùng thích hợp.
ISA Server chỉ có thể đưa ra các chứng nhận client trong các bối cảnh cầu nối SSL.
Chứng nhận server.
Khi một client yêu cầu một đối tượng SSL từ một server, nó sẽ yêu cầu server đó xác thực bản thân nó. Nếu ISA Server quyết định một kết nối SSL, ISA Server sẽ phải xác thực bản thân nó với client. Chúng ta phải đặt và định ra chứng nhận phía server để xử dụng khi xác thực ISA Server với client.
Chứng nhận server phải được cài đặt ở kho chứng nhận máy tính địa phương lưu trên máy tính ISA Server . Tên chứng nhận phải là duy nhất đối với tên của ISA Server (đối với nhứng yêu cầu Web ra bên ngoài) và đối với tên của các Web server đã được kích hoạt (đối với các yêu cầu Web đi vào hệ thống).
Các dịch vụ của ISA Server.
ISA Server hoạt động như một gateway tới Internet, thực thi an ninh trên ba tầng: lọc gói tin IP, lớp ứng dụng, và lớp mạch (circuit layer). Sự đa tầng này được thực hiện bởi các dịch vụ của ISA Server :
Dịch vụ điều khiển của ISA Server . Dịch vụ này chuyên về lọc gói tin (lọc tĩnh, logging), tái khởi động các dịch vụ khác khi cần, phát thông báo, kích hoạt hành động và các chức năng khác.
Dịch vụ quản lý lưu nội dung download.
Dịch vụ Web proxy. Dịch vụ web proxy được thực thi ở tầng ứng dụng, và chỉ làm việc với các giao thức ứng dụng.
Dịch vụ Firewall. Dịch vụ Firewall được thực thi ở mức circuit
Tất cả các dịch vụ đều cung cấp khả năng lọc động gói tin IP, cung cấp một mô hình an ninh hoàn chỉnh.
Dịch vụ điều khiển của ISA
Dịch vụ điều khiển ISA điều khiển các chức năng ISA sau:
Lọc gói tin IP, bao gồm kích hoạt các bộ lọc, mở các bộ lọc tĩnh, và logging các bộ lọc.
Tái khởi động các dịch vụ khác của ISA Server khi cần thiết.
Sinh các cảnh báo và chạy các hành động.
Đồng bộ mỗi server với chuỗi server. Dịch vụ điều khiển ISA sẽ cập nhật các file cấu hình của client (msplat.txt và mspclnt.ini) và xoá đi các các file log không dùng đến.
Tái khởi động các dịch vụ ISA Server khác khi một thay đổi nào đó trên ISA Management diễn ra.
Chúng ta không thể dùng ISA Management để tắt hay bật Dịch vụ điều khiển ISA . Để dừng dịch vụ này, chúng ta phải dùng lệnh:
net stop msadmin
Nếu chúng ta dừng dịch vụ điều khiển ISA . Mọi dịch vụ khác của ISA Server cũng sẽ dừng theo.
Dịch vụ Download có quản lý lưu trữ nội dung (the Schedule Cache Content Download Service).
ISA Server còn mở rộng khả năng cache với chức năng quản lý download. Dịch vụ lập lịch download cho phép chúng ta có thể download các nội dung HTTP trực tới ISA Server cache, ngay khi yêu cầu, hoặc khi lập kế hoạch. Chức năng này cho phép chúng ta cập nhật ISA Server cache với các nội dung HTTP mà chúng ta dự đoán sẽ được yêu cầu trong tổ chức của chúng ta.
Chúng ta có thể đặt trước những nội dung mà ISA Server có thể cache trước, và lên kế hoạch mỗi khi nội dung cần được cache, và cho phép các truy cập thẳng tới ISA Server cache chứ không cần phải truy cập tới Internet. Bằng cách giám sát và phân tích các truy cập Internet, chngs ta có thể quyết định xem đối tượng Internet nào có nên được lập lịch hay không và khi nào thì nên được lập lịch. Và từ đó, chúng ta có thể sử dụng kế hoạch đã được lập đó để chuẩn bị ISA Server cache tương ứng.
Chúng ta có thể sử dụng chức năng lập lịch nội dung download để lên kế hoạch download các file HTTP từ các Web site về local cache. Chúng ta có thể download một URL đơn, nhiều URL, hoặc một Web site hoàn chỉnh tuỳ theo kế hoạch đã được chọn.
Ghi nhớ Các Site có chứa các pop-up, chẳng hạn các site có yêu cầu uỷ nhiệm, hoặc các đề nghị cài đặt ngôn ngữ, không thể download bằng dịch vụ kế hoạch download . Các Web site mà nó sử dụng cookies để lưu thông tin người dùng cũng không được cache.
Dịch vụ Firewall
Dịch vụ Firewall là dịch vụ rất tổng quát, hoạt động ở mức circuit cho các ứng dụng Winsock. Dịch vụ ISA Firewall sẽ làm cho các ứng dụng Telnet, e-mail, tin tức, Microsoft NetShow, RealNetwork RealAudio, Internet Relay Chat (IRC), và các ứng dụng tương thích Winsock khác chạy như là chúng kết nối trực tiếp tới Internet. Các ứng dụng client gọi các hàm Winsock API để giao tiếp với một ứng dụng các chạy trên một host trên Internet. Dịch vụ ISA Firewall sẽ tái định hướng các hàm cần thiết tới máy ISA Server, khi đó, nó sẽ tạo ra một kênh giao tiếp từ ứng dụng bên trong hệ thống tới ứng dụng Internet thông qua máy ISA Server. Sự tái định hướng này sẽ tránh việc cần phải có một gateway cho mỗi giao thức, chẳng hạn như NNTP, SMTP, Telnet, hay FTP. Dịch vụ ISA Firewall cho phép các ứng dụng không có hỗ trợ sẵn proxy được hưởng lợi từ dịch vụ proxy mà không cần sử dụng giao thức.
Dịch vụ Firewall chạy như một dịch vụ độc lập trên Windows 2000. Nó tạo lập các kết nối gateway giữa các ứng dụng Winsock trên các client vả trên Internet host. Hệ thống mạng địa phương sẽ được duy trì an ninh, bởi lẽ các giao tiếp truyền thông sẽ được thông qua ISA Server. Dịch vụ Firewall có thể được nâng cao bằng cách sử dụng các bộ lọc ứng dụng.
Cách thức làm việc của dịch vụ Firewall.
Các Firewall client sẽ bắt các lời gọi hàm API và tái định hướng nó đến dịch vụ Firewall, và chính dịch vụ này mới thực sự gọi hàm đó. Có nghĩa là trong thực tế sẽ có hai kết nối: Một kết nối trên mạng riêng từ client tới ISA server, và một kết nối trên mạng Internet, từ Internet host tới ISA server.
Dịch vụ Firewall bao gồm hai phần, một DLL chạy trên Firewall client và một dịch vụ chạy trên máy ISA Server.
Khi một phân phần mềm ISA Firewall client được cài đặt trên một computer, nó sẽ cìa đặt hai file dll. Các file này sẽ bắt các lời gọi hàm Winsock API từ các ứng dụng trên client và chuyển chúng tới máy ISA Server , sử dụng kênh điều khiển.
Kênh điều khiển sẽ quản lý các thông điệu Winsock remote, và được thiết kế để làm những việc như sau:
Chuyển Local Address Table(LAT) tới client, LAT sẽ cho biết một điểm đích có nằm trên mạng địa phương hay không.
Tạo ra kết nối TCP từ client tới ISA Server. Kênh này được sử dụng để xây dựng một kết nối ảo trong khi thực hiện kết nối với một ứng dụng ở xa.
Tạo ra các giao tiếp UDP đếnvà từ ISA Firewall client và với ISA Server.
ISA Firewall client .dll được khởi tạo khi kết nối Winsock đầu tiên được thực hiện. Sau đó một kênh điều khiển với ISA Firewall service được tạo ra, và được dùng để kết nối. Cuối cùng, LAT được sao chép từ server để cho biết mạng nào là địa phương và mạng nào là nằm trên Internet.
Ghi nhớ Dịch vụ Firewall của ISA Server sử dụng phần tử cung cấp dịch vụ phân lớp (LSP) Windows Sockets 2.0
Firewall client.
Chúng ta có thể cài đặt phần mềm Firewall client trên các máy tính chạy Microsoft Windows Me, Windows 95, Windows 98, Windows NT 4.0, hoặc Windows 2000. Các ứng dụng Winsock 16-bit vẫn được hỗ trợ, nhưng chỉ trên Windows 2000 và Windows NT 4.0.
Các thành phần Firewall client được phân lớp trên nền của cài đặt Winsock cũ. Trên các nền có hỗ trợ Winsock 2.0, client là một LSP. Trên các nên khác, ứng dụng cài đặt client sẽ đổi tên Winsock DLL gốc (wsock32.dll) và cài đặt phiên bản wsock32.dll của bản thân nó.
Firewall client giao tiếp với dịch vụ Firewall bằng cách sử dụng một kết nối chuyên biệt gọi là kênh điều khiển dịch vụ Firewall. Kết nối kênh điều khiển được khởi tạo lần đầu tiên nó được cần tới.
Khi một ứng dụng client gọi một hàm Winsock, client DLL sẽ can thiệp và quếnt định giựa trên các yêu cầu dụ thể, và các file cấu hình dịch vụ firewall, dù lời gọi hàm là local hay remote. Các lờ gọi local được chuyển tới thành phần Winsock gốc. Những lời gọi xa được tái định hướng tới dịch vụ Firewall.
Mõi khi một lời gọi hàm được tái định hướng tới proxy, thành phần client sẽ gửi một yêu cầu thông qua kênh điều khiển tới dịch vụ Firewall và đợi trả lời. Dịch vụ Firewall sẽ kiểm tra yêu cầu dựa trên chính sách quản lý của ISA Server, xử lý yêu cầu thay mặt cho client, và gửi trả lời thông qua kênh điều khiển. Trả lời sau đó được xử lý bởi Firewall client, và được dịch thành mã lỗi của Winsock trong trường hợp có sự cố xảy ra.
Ghi nhớ phần mềm Firewall client remote hỗ trợ các chức năng của cả Winsock 1.0 cơ bản và của Winsock 2.0. Tuy nhiên, có những giới hạn như sau:
Các vào ra đan xen (Overlapped I/O) trên WSARecvFrom – Hàm Winsock API ở đây vẫn hoạt động, thế nhưng với một socket ở xa, địa chỉ from mà ứng dụng sẽ nhận được là địa chỉ của socket nội tại của dịch vụ firewall. Tuy nhiên, sử dụng một một blocking hay non-blocking recvfrom, ứng dụng sẽ biết được địa chỉ from thực sự của Internet host mà nó đã gửi packet.
Winsock QoS – ISA cài đặt một LSP hỗ trợ cho các yêu cầu chất lượng dịch vụ (QoS). Tuy nhiên, với những kết nối được tạo thông qua dịch vụ Firewall, sự “đặt chỗ” (reservation) tài nguyên của giao thức RSVP sẽ không được chuyển qua dịch vụ.
Các hàm dịch vụ tên Winsock sẽ bị giới hạn – WSALookupService(Begin/Next/End) được thực thi, nhưng nó chi thực hiện những yêu cầu mà sẽ dịch bằng các hàm gethostbyname, gethostbyaddr, getservbyport, hoặc getservbyname.
Các bộ lọc ứng dụng.
Các bộ lọc ứng dụng là một mở rộng của dịch vụ Firewall. Những bộ lọc này đăng ký và xử lý các sự kiện dịch vụ Firewall. Bằng cách cung cấp giao diện COM của nó cho các nhà phát triển, ISA Server cho phép họ mở rộng khả năng an ninh cũng như chức năng của nó. Các nhà phát triển có thể sử dụng các giao diện này để mở rộng khả năng an ninh và dịch vụ Firewall quản lý truy cập, và tạo ra các bộ lọc ứng dụng tuỳ theo giao thức. Những bộ lọc đó có thể chung nhau kiến trúc, cơ chế điều khiển truy cập, và quản trị của dịch vụ Firewall. Các giao diện cho phép các bộ lọc làm những chuyện sau:
Nhận thông báo các sự kiện đặc biệt: Ví dụ, khi một người dùng kết nối tới một cổng remote.
Cho phép hoặc từ chối các truy cập người dùng ở một số hoạt động nào đó; chẳng hạn, gắn (binding) tới một cổng nào đó.
Kiểm tra và có thể hiệu chỉnh dữ liệu đi qua firewall; ví dụ thực thi kiểm tra virus.
Khởi tạo các tác vụ mạng thông qua lọc động gói tin IP
Tích hợp với ISA Management.
Dịch vụ Web Proxy
Dịch vụ Web proxy (W3proxy) là một dịch vụ Windows 2000, hỗ trợ các yêu cầu từ bất cứ trình duyệt nào mà nó tuân theo các tiêu chuẩn của Conseil Europeen pour la Recherch Nucleair (CERN). Dịch vụ Web proxy cho phép các kết nối Web tới gần như tất cả các hệ điều hành desktop, bao gồm Windows NT, Windows 95, Windows 98, Windows 2000, Macintosh, và UNIX.
Dịch vụ Web proxy làm việc ở mức ứng dụng, và sẽ thay mặt cho một HTTP client yêu cầu lấy về một đối tượng Internet thông qua một trong các giao thức được hỗ trợ bởi dịch vụ Web proxy: FTP, HTTP, HTTPS, và Gopher. Web proxy sẽ bảo vệ tất cả các kết nối của các Web browser. Dịch vụ Web proxy hoạt động với một Web proxy client, là bất cứ một máy tính nào mà nó sử dụng các ứng dụng tuân theo chuẩn CERN và được cấu hình để sử dụng dịch vụ Web proxy của ISA server.
Không như Microsoft Proxy Server 2.0, mà nó thực hiện Web proxy như một bộ lọc Web (ISAPI) được tải bởi các IIS Web server địa phương, Web proxy ở đây chạy như một tiến trình của Windows 2000 (W3proxy.exe). Tiến trình có thể được khởi tạo bằng cách khởi động dịch vụ Web proxy. IIS server có thể được cài đặt trên máy ISA Server, mặc dù điều này không bắt buộc.
Chúng ta có thể sử dụng chức năng quảng bá Web an toàn của ISA cùng với IIS hoặc với khác Web server khác để quảng bá tới Internet mà không cần phải thoả hiệp về an nình của hệ thống mạng bên trong của chúng ta. ISA sử dụng Secure Web publishing, và sau đó sẽ đảo chiều hosting và gửi yêu cầu tới Web-publishing server được kết nối phía sau máy tính ISA proxy. Dịch vụ Web proxy của ISA server hỗ trợ sử dụng SSL, và các bộ lọc Web (ISAPI).
Web Proxy Service Clients.
Web proxy clients (các trình duyệt thông thường) phải được cấu hình riêng để sử dụng ISA Server . Khi một người dùng yêu cầu một trang Web, trình duyệt sẽ truyền URL. Nếu như tên có bao gồm các dấu chấm như một Fully Qualified Domain Name (FQDN), trình duyệt coi đích là ở xa và nó sẽ gửi yêu cầu HTTP tới ISA Server để xử lý.
Các bộ lọc Web (ISAPI).
Các bộ lọc Web (ISAPI) sẽ phát hiện và xử lý các xự kiện HTTP, và có thể mở rộng chức năng của dịch vụ Web proxy. Bằng cách sử dụng Internet Server API, ISA Server hỗ trợ mô hình khả năng có thể mở rộng bộ lọc Web, nó tạo khả năng cho các nhà phát triển trung gian có thể kiểm tra và thay đổi dòng yêu cầu và trả lời HTTP. ISA Server không hỗ trợ mở rộng ISAPI.
Chia cắt các dịch vụ thông tin Internet.
Không như Microsoft Proxy Server 2.0, thực thi dịch vụ Web proxy như một bộ lọc ISAPI được tải bởi các IIS Web server địa phương, dịch vụ Web proxy chạy như một dịch vụ Windows 2000 có tên là W3proxy. Tiến trình có thể được khởi tạo bằng cách khởi động dịch vụ Web proxy. IIS server có thể được cài đặt trên máy IIS Server , nhưng không bắt buộc.
Các thuộc tính yêu cầu Web đi vào hệ thống cũng như các yêu cầu đi ra hệ thống có thể chạy trên các cổng TCP khách nhau. Ví dụ, mặc định, ISA Server lắng nghe các yêu cầu Web đi ra hệ thống trên cổng 8080, trong khi ISA Server lắng nghe các yêu cầu Web đi vào hệ thống trên cổng 80. Bằng cách này, ISA Server bảo đảm rằng các yêu cầu Web đi ra hệ thống không xung đột với cá yêu cầu Web đi vào trên cổng 80.
Nếu IIS Server được cài đặt trên máy ISA Server, nó phải được đặt cấu hình để không sử dụng các cổng mà ISA Server sử dụng cho các yêu cầu Web đi ra hệ thống (mặc định là 8080) và các yêu cầu Web đi vào hệ thống (mặc định là 80). Chẳng hạn, chúng ta có thể thay đổi cho IIS Server lắng nghe trên cổng 81. Sau đó chúng ta có thể cấu hình cho ISA Server định hướng các yêu cầu Web đi vào hệ thống tới cổng 81 của IIS Server.
Nếu có một xung đột về cổng giữa ISA Server và IIS Server, chương trình cài đặt sẽ dừng dịch vụ publishing của IIS. Chúng ta có thể thay đổi để IIS Server lắng nghe trên một cổng khác và khởi động lại dịch vụ publishing của IIS server .
Cấu trúc các trường của log file của Web proxy và Firewall
Field Position
Descriptive Name (Field Name)
Description
1
Client IP (c-ip)
Địa chỉ IP của client yêu cầu dịch vụ
2
Client user name (cs-username)
Account của người dùng
3
Client agent (c-agent)
Loại ứng dụng client gửi yêu cầu
Đối với dịch vụ Firewall, trường này có thể bao gồm các thông tin về hệ điều hành của client
4
Authentication status (sc-authenticated)
Trạng thái xác thực của client
5
Date (date)
Ngày của sự kiện được log
6
Time (time)
Giờ của sự kiện được log
7
Service name (s-sitename)
Tên của dịch vụ được log
8
Proxy name (s-computername)
Tên máy tính chạy ISA server
9
Referring server name (cs-referred)
Tên của downtream server gửi yêu cầu
10
Destination name (r-host)
Tên vùng của máy tính remote cung cấp dịch vụ của kết nối hiện thời.
11
Destination IP (r-ip)
Địa chỉ IP đích
12
Destination port (r-host)
Số hiệu cổng của remote computer
13
Processing time (time-taken)
Thời gian xử lý
14
Bytes sent (sc-bytes)
Số byte được gửi
15
Bytes received (cs-bytes)
Số byte được nhận
16
Protocol name (cs-protocol)
Tên giao thức của kết nối
17
Transport (cs-transport)
Tên của giao thức tầng giao vận
18
Operation (s-operation)
Tên tác vụ
19
Object name (cs-url)
Nội dung của yêu cầu URL
20
Object MIME (cs-mime-type)
loại MIME của đối tượng hiện thời
21
Object source (s-object-source)
Nguồn của đối tượng
22
Result code (sc-status)
Các mã lỗi, mã thông báo...
23
Cache info (s-cache-info)
Thông tin về trạng thái cache của đối tượng
24
Rule #1 (rule#1)
Luật thứ nhất được dùng
25
Rule #2 (rule#2)
Luật thứ hai
26
Session ID (sessionid)
Định danh của phiên kết nối
27
Connection ID (connectionid)
Định danh của kết nối
Các giá trị của nguồn đối tượng
Source values
Description
0
Không có thông tin nguồn
Cache
Nguồn đã được cache, thông tin được lấy từ cache
Inet
Nguồn từ Internet
Member
Trả về từ thành phần thành viên khác
NotModified
Đối tượng không bị thay đổi
NVCache
Nguồn đã được cache, đối tượng không thể xác nhận được nguồn
Upstream
Đối tượng được trả về từ upstream proxy cache.
Vcache
Nguồn đã được cache, đối tượng có thể xác nhận được nguồn và không bị thay đổi
VFInet
Nguồn từ Internet, đối tượng có thể xác nhận được nguồn và bị thay đổi
Giá trị mã kết quả
Value
Description
200
OK - Successful connection.
201
Created.
202
Accepted.
204
No content.
301
Moved permanently.
302
Moved temporarily.
304
Not modified.
400
Bad request.
401
Unauthorized.
403
Forbidden.
404
Not found.
500
Internal server error.
501
Not implemented.
502
Bad gateway.
503
Service unavailable.
10060
Connection timed out.
10061
Connection refused by destination.
10065
Host unreachable.
11001
Host not found.
Giá trị thông tin cache
Value
Description
0x00000001
Request should not be served from the cache.
0x00000002
Request includes the IF-MODIFIED-SINCE header.
0x00000004
Request includes one of these headers: CACHE-CONTROL:NO-CACHE or PRAGMA:NO-CACHE.
0x00000008
Request includes the AUTHORIZATION header.
0x00000010
Request includes the VIA header.
0x00000020
Request includes the IF-MATCH header.
0x00000040
Request includes the RANGE header.
0x00000080
Request includes the CACHE-CONTROL: NO-STORE header.
0x00000100
Request includes the CACHE-CONTROL: MAX-AGE, or CACHE-CONTROL: MAX-STALE or CACHE-CONTROL: MIN-FRESH header.
0x00000200
Cache could not be updated.
0x00000400
IF-MODIFIED-SINCE time specified in the request is newer than cached LASTMODIFIED time.
0x00000800
Request includes the CACHE-CONTROL: ONLY-IF-CACHED header.
0x00001000
Request includes the IF-NONE-MATCH header.
0x00002000
Request includes the IF-UNMODIFIED-SINCE header.
0x00004000
Request includes the IF-RANGE header.
0x00008000
More than one VARY header.
0x00010000
Response includes the CACHE-CONTROL: PUBLIC header.
0x00020000
Response includes the CACHE-CONTROL: PRIVATE header.
0x00040000
Response includes the CACHE-CONTROL: NO-CACHE or PRAGMA: NO-CACHE header.
0x00080000
Response includes the CACHE-CONTROL: NO-STORE header.
0x00100000
Response includes either the CACHE-CONTROL: MUST-REVALIDATE or CACHE-CONTROL: PROXY-REVALIDATE header.
0x00200000
Response includes the CACHE-CONTROL: MAX-AGE or S-MAXAGE header.
0x00400000
Response includes the VARY header.
0x00800000
Response includes the LAST-MODIFIED header.
0x01000000
Response includes the EXPIRES header.
0x02000000
Response includes the SET-COOKIE header.
0x04000000
Response includes the WWW-AUTHENTICATE header.
0x08000000
Response includes the VIA header.
0x10000000
Response includes the AGE header.
0x20000000
Response includes the TRANSFER-ENCODING header.
0x40000000
Response should not be cached.
Giá trị định danh hệ điều hành
Value
Description
0:3.95
Windows 95 (16-bit)
2:4.10
Windows 98 (32-bit)
2:4.0
Windows 95 (32-bit)
3:4.0
Windows NT 4.0
3:5.0
Windows 2000
Tài liệu tham khảo.
Microsoft corp ®, Microsoft Internet Security and Acceleration (ISA) Server 2000, Microsoft Express, December 04 2000.
Curt Simmons, Article Configuring ISA Server Log files, ISAServer.org, June 27 2001
Các file đính kèm theo tài liệu này:
- Tổng quan về ISA Server.DOC