MỤC LỤC
MỤC LỤC 2
DANH MỤC TỪ VIẾT TẮT 3
DANH MỤC HÌNH ẢNH 4
LỜI NÓI ĐẦU 5
I. GIỚI THIỆU CHUNG VỀ CƠ SỞ THỰC TẬP 7
I.1. QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIỂN ĐẠI HỌC KINH TẾ QUỐC DÂN HÀ NỘI 7
I.1. 1 Cơ cấu tổ chức 8
I.1.2. Chức năng đào tạo của trường: 10
I.1.3. Công tác nghiên cứu khoa học: 11
I.1.4. Xây dựng đội ngũ: 12
I.1.5. Cơ sở vật chất: 13
I.6.1. Trung tâm quản trị mạng 13
II. HỆ THỐNG MẠNG CỦA TRƯỜNG KINH TẾ QUỐC DÂN 16
II.1. TỔNG QUAN 16
II.2. HỆ THỐNG ISA CỦA TRƯỜNG KTQD 22
III. GIỚI THIỆU VỀ ĐỀ TÀI 24
III.1. Giới thiệu chung 24
III.2.Hoạt động của ISA – Tổng quan 25
III.3. Cài đặt , cấu hình. 27
III.3.1. Cài đặt ISA Server 27
III.3.2. Kết nối ISA Server với Internet và cấu hình các ISA Client 34
III.3.2.1.Tạo Access Rule trên ISA 35
. III.3.2.2. Cấu hình ISA Client: 35
III.4. ISA Server đóng vai trò Firewall hoạt động như thế nào? 38
III.5. ĐỀ NGHỊ 40
KẾT LUẬN 44
44 trang |
Chia sẻ: lynhelie | Lượt xem: 1234 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Chuyên đề Nghiên cứu, cài đặt về ISA2006 cho trường Đại học Kinh tế quốc dân, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hướng XHCN, thực hiện tiến bộ và công bằng xã hội (giai đoạn 1996-2000), Thực trạng và giải pháp đảm bảo sản xuất và đời sống của các hộ nông dân không đất hoặc thiếu đất ở đồng bằng sông Cửu long; Thực trạng và giải pháp phát triển kinh tế trang trạng thời kỳ CNH, HĐH, Hội thảo khoa học chủ đề: Chính sách và các hình thức tổ chức sản xuất trong nông nghiệp nông thôn VN thập niên đầu thế kỷ XXI, liên kết nghiên cứu đề tài với Đại học Thamasat (Thái Lan) năm 1996, ĐH Vũ Hán (Trung quốc) năm 2000.... Hoạt động nghiên cứu khoa học hướng vào 4 mục tiêu cơ bản: nghiên cứu tư vấn hoạch định chủ trương đổi mới nền kinh tế của Đảng, Nhà nước; nghiên cứu phục vụ đào tạo; nghiên cứu khoa học ứng dụng giúp các ngành, các địa phương và các doanh nghiệp; tổ chức triển khai có hiệu quả công tác nghiên cứu khoa học trong sinh viên. Từ năm 1996 đến 2001, trường đã thực hiện 2 chương trình và 20 đề tài, dự án cấp Nhà nước, 127 đề tài cấp Bộ, 154 đề tài cơ sở và hàng trăm đề tài hợp đồng với các ngành, các địa phương và doanh nghiệp. 82 sinh viên đã đoạt giải thưởng về thành tích NCKH. 90% giáo viên có thâm niên công tác từ 5 năm trở lên tham gia NCKH.
I.1.4. Xây dựng đội ngũ:
Trường Đại học KTQD là nơi đào tạo và cung cấp nhiều cán bộ quản lý, giảng dạy, nghiên cứu và cho các trường Đại học và Cao đẳng thuộc khối kinh tế trong cả nước. Trường luôn coi trọng việc xây dựng đội ngũ giáo viên, cán bộ quản lý có chất lượng cao, đội ngũ những người phục vụ nhiệt tình, có trách nhiệm trên cả 3 mặt đạo đức nghề nghiệp; năng lực chuyên môn; phương pháp giảng dạy và công tác. Bên cạnh việc đào tạo lại đội ngũ cán bộ cũ trường luôn tích cực quan tâm bồi đưỡng đội ngũ kế cận, nhờ vậy trình độ năng lực chuyên môn đã khắc phục về cơ bản được những khiếm khuyết đáp ứng nhanh yêu cầu về năng lực của đội ngũ trong cơ chế mới.
Số cán bộ giảng dạy 557 trong đó số cán bộ giảng dạy có trình độ trên Đại học chiếm trên 40,9%.
Củng cố và hoàn thiện tổ chức bộ máy và thể chế lãnh đạo quản lý của trường không ngừng nâng cao hiệu lực và hiệu quả quản lý vừa đảm bảo sự lãnh đạo tập trung, thống nhất của Đảng bộ và lãnh đạo cấp trường vừa phát huy quyền chủ động sáng tạo của các tổ chức quần chúng trong mọi hoạt động nhằm hướng vào mục tiêu nâng cao chất lượng đào tạo và NCKH.
I.1.5. Cơ sở vật chất:
Đời sống của giáo viên, cán bộ CNV không ngừng được cải thiện, cơ sở vật chất nhà trường về cơ bản đã đáp ứng được yêu cầu của hoạt động giảng dạy và học tập trong nhà trường.
Sửa chữa nâng cấp cải tạo hệ thống giảng đường cũ; xây thêm một nhà 5 tầng đưa tổng số phòng học lên 125 phòng với hệ thống ánh sáng, quạt, bàn ghế đủ đáp ứng nhu cầu học tập của sinh viên. Xây thêm một nhà KTX 5 tầng với 130 phòng ở, 01 nhà làm việc 5 tầng với 01phòng Hội thảo lớn. Trang thiết bị văn phòng được bổ sung về cơ bản đủ năng lực đáp ứng công tác phục vụ giảng dạy, học tập và NCKH. Hệ thống máy tính được nối mạng cục bộ trong một số khoa, phòng, ban, nhiều máy tính được nối mạng Internet. 02 trang WEB của trường đã được đưa lên mạng thông tin quốc tế. Hệ thống thư viện nhà trường đủ phục vụ cho sinh viên và nghiên cứu sinh với 105.000 đầu sách và 245 báo và tạp chí.
I.6.1. Trung tâm quản trị mạng
Trung tâm quản trị mạng trực thuộc phòng Quản lý máy tính và quản trị mạng. Trung tâm chịu trách nhiệm quản lý hệ thống mạng của toà trường, hệ thống mạng giữa các dãy nhà trong trường và các phòng ban. Ban đầu, chỉ có 2 trung tâm là : - Trung tâm tin học và quản lý kinh tế
- Trung tâm quản trị mạng máy tính
Ngày 4/11/2006 thành lập phòng Quản lý máy tính và quản trị mạng trên cơ sở sát nhập 2 Trung tâm tin học kinh tế và Trung tâm quản trị mạng máy tính
Nhân sự của phòng
GS.TS Hoàng Ngọc Việt ( Trưởng phòng)
PGS.TS. Cao Đình Thi – Phó phòng (Giám đốc Trung tâm quản lý máy tính)
PGS.TS Lê Văn Năm ( Phó phòng – Giám đốc Trung tâm quản trị mạng).
Ngô Đức Nghị - Kỹ sư
Đoàn Quang Minh - Kỹ sư
Hà Lâm Tùng - Kỹ sư
Đỗ Văn Sang - Kỹ sư
Nguyễn Trung Kiên - Kỹ sư
Hoàng Thị Hiền - Trực tổng đài
Trần Thị Thanh Hương – Văn Thư
Trần Trung Hiếu - Kỹ sư
Nguyễn Văn Xê - Kỹ sư
Nguyễn Thị Lan Hương – Văn Thư
Trần Lê Lâm - Kỹ sư
Tất cả hệ thống mạng của trường chịu sự quản lý của trung tâm quản trị mạng, từ đây là sự kết nối mạng, sự trao đổi thông tin, tài liệu giữa các phòng ban, giữa các Viện, Trung tâm, các Khoa, trong trường với nhau. Trung tâm
Quản lý hệ thống mạng chủ của trường, các dịch vụ mail, web, dịch vụ đào tạo CSDL, phục vụ thi trắc nghiệm
Quản lý hệ thống mạng phần cứng: thiết bị mạng Cisco, Wifi, hệ thống tổng đài điện thoại nội bộ.
Quản lý hệ thống máy tính của các phòng ban.
Viết các phần mền hệ thống như: tổng đài điện thoại, chạy tra cứu, các đề tài khoa học cấp bộ, phần mềm khai thác CSDL điện tử theo WB-C, WB-B.
Quản lý hệ thống mạng chung toàn trường
Xử lý, triển khai, lắp đặt mở rộng mạng.
Phục vụ máy tính và máy chủ phục vụ cáckỳ thi trắc nghiệm cho trường.
Phục vụ đăng ký học tín chỉ.
II. HỆ THỐNG MẠNG CỦA TRƯỜNG KINH TẾ QUỐC DÂN
II.1. TỔNG QUAN
Hệ thống mạng LAN của Trường Đại học Kinh tế quốc dân là một hệ thống mạng mạnh. Với hệ thống mạng ở các tòa nhà A, B,C,D, 5,6,7,9,10, ký túc xá, thư viện khiến cho việc truy cập Internet cũng như việc chia sẻ tài nguyên, thông tin nội bộ diễn ra một cách dễ dàng, tiết kiệm được thời gian và tiền bạc.
Mạng của trường được kết nối với Internet bởi 1 đường truyền Leased – line tốc độ 256Kbps với 2 Pix 525E có tác dụng làm Firewall. Với 3 Proxy và 6 đường ADSL. Hệ thống mạng được phân chia bởi các Switch của Cisco với các Switch chính là bộ Seria Switch 6500 là 2 Switch 6509 và 2 Switch 6506 được đặt ở nhà A và nhà 7, các Switch này được kết nối L2, FO Singlemode (Layer 2, cáp quang, tốc độ truyền trên 1000m).
Switch 6506 – 1 đặt ở Building A có tác dụng như 1 firewall, còn Switch 6506 – 2 có tác dụng phát hiện các xâm nhập và cân bằng giữa Switch 6509 – 1 và Switch 6509 – 2.
Với 9 modul cho mỗi Switch 6509, các bộ chuyển mạch này đã kết nối mạng tới các tòa nhà khác như C, D, 10, 9, 5, 6 ,các nhà trong Ký túc xá, Thư viện, các Trung tâm, các Viện bởi kết nối L2, Multimode hoặc L2, Singlemode. Các Switch đặt tại các tòa nhà, các trung tâm này là Switch 3550 – 24 – SMI , Switch 2950 – 24, Switch 3550 – 12T.
STT
Vị trí đặt Switch
Loại Switch
VTP Domain
VTP Mode
Nhà A3
Switch 6509
NEU.EDU.VN
SERVER
Nhà A3
Switch 6506
A1.NEU
SERVER
Nhà 7
Switch 6509
BUILDING9.NEU
SERVER
Nhà C
Switch 3560
C.NEU
SERVER
Nhà TT Thư viện
Switch 4506
LIBRARY.NEU
SERVER
- Số lượng PC: gần 3000.
Hệ điều hành: Window XP
HDD: 40GB
RAM: 256
Server : 19 máy, Hệ điều hành: Unix
Tham số cài đặt cho VLAN Database trên Switch
STT
VLAN Name
VLAN ID
Địa chỉ IP/Subnet VLAN
Chức năng của VLAN
Default
1
None
Vlan Trunk: Kết nối L2 các Switch với nhau.
BuildingA
15
192.168.15.0
Phục vụ cho các máy trạm thuộc Buiding A– TT thông tin của Trường ĐHKT
BuildingB
2
192.168.2.0
Phục vụ cho các máy trạm thuộc Buiding B
BuildingC
3
192.168.3.0
Phục vụ cho các máy trạm thuộc Buiding C - dự án WB-B
BuildingD
4
192.168.4.0
Phục vụ cho các máy trạm thuộc Buiding D
EVNpop
5
192.168.5.0
Phục vụ cho các máy trạm thuộc toà nhà Environmental & Poplation Centre (Trung tâm dân số)
Itadmin
6
192.168.6.0
Phục vụ cho các máy trạm thuộc tào nhà IT Centre for Econominal and administrator
Library
7
192.168.7.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Library
InstituteSearch
8
192.168.8.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Institute of search economic & development (No. 9 Building):
Buiding7
9
192.168.9.0 /24
Phục vụ cho các máy trạm thuộc Building 7
BusinessAdm
10
192.168.10.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Institute od Business Administration Building (VQTKD)
Building6
11
192.168.11.0 /24
Phục vụ cho các máy trạm thuộc Buiding 6
Building5
12
192.168.12.0 /24
Phục vụ cho các máy trạm thuộc Buiding CVFG (Building5)
Building10
13
192.168.13.0 /24
Phục vụ cho các máy trạm thuộc Buiding 10
Hostel11
14
192.168.14.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Hostel 11
BuildingA2
16
192.168.16.0 /24
Phục vụ cho các máy trạm thuộc TT Tư vấn kinh tế và kinh doanh
Library1
17
192.168.17.0 /24
Phục vụ các máy trạm nâng cấp TT Thư viện
Library2
18
192.168.18.0 /24
Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 43 máy tính
Library3
19
192.168.19.0 /24
Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 33 máy tính
ITAdmin1
20
192.168.20.0 /24
Phục vụ cho các máy tính nâng cấp của TT tin học (~300 máy)
BuildingC1
21
192.168.21.0 /24
Phục vụ cho 03 phòng học nhà C, mỗi phòng có ~ 41 máy tính
BuildingC2
22
192.168.22.0 /24
Phục vụ cho 05 phòng học nhà C, mỗi phòng có ~ 43 máy tính
BuildingC3
23
192.168.23.0 /24
Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ nhât và thứ hai)
BuildingC4
24
192.168.24.0 /24
Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ ba và thứ tư)
Health Centre
25
192.168.25.0 /24
Phục vụ các máy tính thuộc Trung tâm Y tế của Trường
Hostel1234
26
192.168.26.0 /24
Phục vụ 04 phòng học cho 04 KTX sinh viên từ thư 1 đến thứ 4, mỗi phòng ~ 40 máy tính.
ServerFarm
90
192.168.0.0 /24
Các máy chủ của Trung tâm thông tin của Trường
IPPBX
70
192.168.70.0 /24
Phục vụ cho tổng đài cung cấp dịch vụ IP Phone
IPTVFarm
60
192.168.60.0 /24
Phục vụ cho các máy chủ cung cấp dịch vụ IPTV
Gateway
100
192.168.100.0 /24
Vlan cầu nối giữa trung tâm thông tin của Trường với vlan tại cac toà nhà
ProxyClient
101
192.168.101.0 /24
Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy
ProxyServer
102
192.168.102.0 /24
Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy
DmzFarm
201
192.168.1.0 /24
Vlan cầu nỗi giữa 02 Firewall: FWSM và Pix 525E
BSNEU_SF
80
192.168.80.0 /24
Phục vụ các máy chủ của Viện quản trị kinh doanh
II.2. HỆ THỐNG ISA CỦA TRƯỜNG KTQD
Hiện nay trường đang dùng ISA 2004 phiên bản Enterprise, chức năng như 1 firewall. ISA cài trên 3 con máy chủ Proxy.
Phiên bản mà hiện nay trường Đại học Kinh tế quốc dân đang dùng là phiên bản ISA 2004. Cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất. So với bản 2000 thì ISA 2004 hay hơn ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác không cho lên mạng trong giờ làm việc. Trên ISA2000 không hoạt động được như 1 VPN Server. Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều.
Hệ thống NEULan đang dùng ISA Server 2004 phiên bản Enterprise. ISA Server 2004 có 2 phiên bản Standard và Enterprise phục vụ cho 2 môi trường làm việc khác nhau. Bản Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Bản Enterprise được sử dụng trong các môi trường có các mô hình mạng lớn, đáp ứng yêu cầu truy xuất của người dung bên trong và ngoài hệ thống. Chức năng chính của ISA là xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dung theo giao thức thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu cho văn phòng chi nhánh. Ngoài ra thì ISA 2004 còn cho phép triển khai các vùng phi quân sự (DMZ) ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, thì ISA2004 còn có hệ thống đệm Cache giúp kết nối Internet nhanh hơn do thông tin trang Web có thể được lưu sẵn trên RAM hay trên đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng cân bằng tải.
ISA 2004 hoạt động như một Firewall, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ, gồm mạng nội bộ của Trường, mạng vành đai ( DMZ) và mạng công cộng Internet.
Tại Trường hiện nay có 3 máy chủ Proxy, ISA 2004 cấu hình thành một máy chủ Web Proxy cho phép truy nhập an toàn tới các tài nguyên Internet. ISA vận hành như một máy chủ Proxy cho các máy Web proxy và Firewall
III. GIỚI THIỆU VỀ ĐỀ TÀI
III.1. Giới thiệu chung
ISA là gì? ISA : Internet Sercurity Acceleration.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).
ISA Server về căn bản là 1 tường lửa (Firewall) được thiết kế nhằm đảm bảo những luồng thông tin không cần thiết từ Internet sẽ bị chặn lại ở bên ngoài mạng máy tính của một tổ chức. Đồng thời, ISA Server cũng có thể sử dụng để cung cấp phương thức truy cập Internet (đối với người sử dụng bên trong mạng nội bộ); hay cung cấp cách truy nhập một cách chọn lọc vào những nguồn tài nguyên bên trong mạng nội bộ như là Web hay Email (đối với người sử dụng Internet) . ISA Server thường được triển khai ở vành đai mạng của một tổ chức, là nơi mạng nội bộ kết nối với một mạng bên ngoài.
Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006. Bản phổ biến hiện nay là bản ISA2004 .
ISA Server là thành phần quan trọng trong kế hoạch tổng thể nhằm bảo mật mạng máy tính của một tổ chức. Do được triển khai tại điểm nối giữa mạng nội bộ và mạng Internet nên ISA Server đóng vai trò rất quan trọng. Hầu hết các tổ chức đều phân cấp các mức truy cập vào Internet cho người sử dụng. ISA Server dùng để áp đặt các chính sách bảo mật tới người sử dụng khi truy cập Internet. Đồng thời, nhiều tổ chức cũng cho phép những người sử dụng từ xa dùng một số kiểu truy cập vào các máy chủ nội bộ. Ví dụ như hầu hết các tổ chức cho phép các máy chủ email trên mạng Internet. Nhiều công ty cũng đặt máy chủ của Website nội bộ, hoặc cho phép các nhân viên của họ có thể truy cập vào các tài nguyên nội bộ từ mạng Internet. ISA Server có thể dùng để đảm bảo rằng truy cập vào những tài nguyên nội bộ này được bảo mật.
III.2.Hoạt động của ISA – Tổng quan
ISA Server được thiết kế để bảo mật vành đai mạng của 1 tổ chức. Trong hầu hết các trường hợp vành đai gày nằm giữa mạng nội bộ của tổ chức (LAN) và một mạng công cộng như mạng Internet.
VD:
Hình 3 - Mô hình đơn giản về triển khai ISA
Trên đây là ví dụ đơn giản về việc triển khai một ISA Server. Mạng nội bộ hay mạng được bảo vệ thường nằm trong ranh giới của tổ chức và dưới sự điều khiển của đội ngũ nhân viên IT của tổ chức đó. Mạng nội bộ được coi là tương đối an toàn; có ý nghĩa là thường chỉ có users được ủy quyền mới có thể truy cập vật lý vào mạng nội bộ. Cũng vậy, đội ngũ nhân viên IT có quyền kiểm soát lớn về những loại thông tin được phép trong mạng nội bộ.
Nếu một tổ chức không có sự kiểm soát về những ai đang truy cập vào mạng Internet hay về việc bảo mật lưu lượng của mạng Internet thì bất cứ ai trên thế giới với một kết nối Internet có thể định vị và truy cập vào bất cứ kết nối Internet để sử dụng hầu hết các ứng dụng hay giao thức.
III.3. Cài đặt , cấu hình.
Để cài và sử dụng hệ thống ISA ta cần các máy DHCP, DNS, DC, 1 máy client để test
Để sử dụng ISA, chúng ta cần :
Một máy tính cá nhân với tốc độ xử lý trên 550MHz
Hệ điều hành Window Server 2003 Service Pack 1 (SP1) hoặc Window Server R2.
256 MB của bộ nhớ
150MB trống sẵn có của ổ cứng. Đây là ổ dành riêng khi bạn muốn sử dụng để lưu trữ.
Một Card mạng tương thích với hệ điều hành của máy tính, cho giao tiếp với mạng nội bộ.
Cộng thêm một Card mạng cho mỗi mạng để kết nối tới máy ISA Server.
Một phân vùng ổ cứng với định dạng NTFS.
Để cài Win Server 2003 chúng ta cần cài thêm một máy ảo, phần mềm cài máy ảo có thể sử dụng Virtual PC 2007 hoặc VMWare đang rất phổ biến hiện nay.
Sau khi đã thỏa mãn những điều kiện để cài đặt ISA như trên, chúng ta tiến hành Setup ISA 2006.
Có thể cài từ đĩa CD hoặc chạy Autorun.exe từ bộ cài.
III.3.1. Cài đặt ISA Server
- Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache.
- Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam và file đính kèm (cần phải cài IIS 6.0 SMTP trước khi cài Message Screener); Firewall Client Installation Share.
- Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2006.
Ở phần này, chúng ta sử dụng chế độ Typical
Trong cài đặt Microsoft ISA, click vào Install Microsoft ISA
Hình 4 - Bắt đầu setup
Nhấn Next để ISA tự động setup
Hình 5 – Cài đặt ISA
Đồng ý với các lựa chọn được bản quyền cho phép
Hình 6
Serial Product:
Hình 7
Chọn chế độ Typical
Hình 8 – Chọn chế độ
Đợi chương trình tự động chạy
Hình 9
Nhập dải địa chỉ Start IP và End IP trong mạng Local của chúng ta, add vào để tạo một dải địa chỉ IP. Những máy nằm ngoài IP này thì đương nhiên được coi là ngoài vùng phủ sóng.
Hình 10
Và ở bảng tiếp theo, chúng ta cài đặt Firewall client cho Server. Nếu ko thì bỏ qua và nhấn Next.
Tiếp tục chọn Next và chọn Install để ISA tiến hành cài đặt. Sau khi cài đặt xong, nhấn Finish để kết thúc quá trình Setup và chờ Server khởi động lại theo yêu cầu của ISA Server 2006.
Giao diện chính của ISA 2006
Hình 11- Giao diện ISA
Giao diện Monitoring của ISA
Hình 12 – Giao diện Monitoring
Giao diện của Access Policy, tại đây cài đặt các chính sách mà chúng ta đặt ra, ví dụ như:
- www.neu.edu.vn Deny (không cho truy cập vào Website www.neu.edu.vn )
Hinh 13 – Giao diện Access Policy
III.3.2. Kết nối ISA Server với Internet và cấu hình các ISA Client
ISA Server 2006 Firewall có 3 dạng chính sách bảo mật: System policy, Access rule và Publishing rule.
- System policy thường ẩn và được dùng cho việc trong tương tác giữa Firewall và các dịch vụ mạng khác như ICMP, RDPSystem policy được xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như: DHCP, RDP, Ping
- Access rule: là tập hợp các quy tắc truy cập Internet hay Email. Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của Firewall sẽ chấm dứt khi nó gặp policy chặn lại. Ví dụ:
1. Deny Web www.neu.edu.vn (Không cho phép truy cập trang web www.neu.edu.vn )
2. Allow Website www.neu.edu.vn (Cho phép truy cập trang web www.neu.edu.vn )
Chúng ta sẽ không truy cập được vào website www.neu.edu.vn vì ngay ở Access rule đầu tiên đã từ chối.
- Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập.
Khi quá trình cài đặt ISA Server 2006 hoàn tất, chúng ta kết nối ISA Server với Internet và cấu hình các ISA Server client để có thể truy cập Internet thông qua ISA Server với Firewall. Mặc định ISA Server chỉ có một access rule sau khi cài đặt là Deny All, từ chối mọi truy cập vào/ra thông qua ISA Firewall, vì vậy chúng ta cần tạo ra các quy tắc thích hợp với nhu cầu tổ chức hoặc áp dụng các quy tắc mẫu cho ISA Server. Bạn có thể cấu hình ISA Firewall Policy thông qua giao diện ISA Management Console trên chính ISA Server hoặc cài công cụ quản lý ISA Management Console trên một máy khác và kết nối ISA Server để thực hiện thao tác quản trị từ xa. Giao diện quản lý của ISA Server Management Console có 3 phần chính:
Khung bên trái để duyệt các chức năng chính như Server Nam, Monitoring, Firewall Policy, Cache
Khung ở giữa hiển thị chi tiết các thành phần chính mà chúng ta chọn như System Policy, Access Rule,...
Khung bên phải còn được gọi là Taks Pane chứa các tác vụ đặc biệt như Publishing Server, Enable VPN Server,
III.3.2.1.Tạo Access Rule trên ISA
Mở giao diện quản lý ISA Management Server bằng cách chọn Start -> All Program -> Microsoft ISA Server -> ISA Server Management. Nhấn phải vào Firewall Policy và chọn Create New Access Rule hoặc chọn từ khung tác vụ (Task Pane) của màn hình quản lý. Đặt tên cho Access Rule cần tạo cho phù hợp với hệ thống của bạn và chọn Next. Trong phần Rule Action chúng ta chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua firewall
- Xác định những giao thức mà người dùng được sử dụng như HTTP hay FTP... Trong cửa sổ Protocols, hãy chọn All outbond trafic, nếu muốn thay đổi bạn chỉ cần chọn trong danh sách như Selected Protocol để chọn một số giao thức nào đó hay All inbound trafic cho trường hợp cung cấp các kết nối từ bên ngoài vào.
- Hệ thống cần biết đối tượng sử dụng các giao thức trong access rule, ở trường hợp này các client là những người sử dụng trong hệ thống mạng nội bộ cho nên chúng ta chọn Add trên Access Rule Source và chọn Internal. Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group Domain User, Administrator..., khi Firewall không thuộc Domain thì hãy sử dụng local account của Firewall trong Local Users And Groups).
- Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này chúng ta đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và Permit Any Traffic from internal network cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet.
III.3.2.2. Cấu hình ISA Client:
Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau: SecureNAT, Firewall Client, Web Proxy Client hoặc cả 3 dạng trên.
* SecureNAT Client:
Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (trong trường hợp này là 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương pháp này là client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên Internet thông qua ISA. Tuy nhiên có một bất lợi là các SecureNAT client không gởi được những thông tin chứng thực gồm username và password cho firewall được, vì vậy nếu như bạn triển khai dịch vụ kiểm soát truy cập theo domain user đòi hỏi phải có username và password thì các SecureNAT client không ứng dụng được. Ngoài ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này.
Cấu hình SecureNAT client
* Firewall Client:
Vậy nếu chúng ta muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ người dùng phải đăng nhập domain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này. Thông thường khi cài đặt ISA Server bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA Server mở system policy cho phép truy cập tài nguyên chia sẻ và máy tính client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client.
Nếu không muốn cài đặt Firewall Client Installation Share trên từng máy client thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: chọn Setup Type loại Custom và chọn This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share.
Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh \\192.168.1.10\mspclnt\setup.
Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất (bạn có thể tham khảo phương pháp cài đặt tự động thông qua Group Policy trên website www.security365.org). Với Firewall Client, bạn có thể tận dụng được những khả năng mạnh nhất của ISA Server như chứng thực người dùng dựa trên Domain User và Group, cho phép ghi nhật ký những lần truy cập... Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành Windows.
* Web Proxy Client:
Như chúng ta biết, ngoài chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache dùng để lưu trữ các trang web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP/HTTPS, FTP, điều này có nghĩa là người dùng sẽ không thể truy cậ
Các file đính kèm theo tài liệu này:
- 7947.doc