Đề tài Tổng quan về ISA Server

Mục lục

1 Tổng quan về ISA Server 2

1.1 Tổng quan về Firewall và Security 2

1.2 Tổng quan về Cache 2

Forward caching 3

Reverse caching 3

1.3 Khía cạnh mạng 3

1.4 Khía cạnh Server 5

2 ISA Server Firewall 8

2.1 Điều khiển các yêu cầu ra ngoài 8

2.2 Điều khiển các yêu cầu đến 8

2.3 Lọc các IP packet 9

2.4 Xâm nhập và báo động 9

2.5 SecureNAT (Secure Network Address Translation) 10

3 ISA Server cache 11

3.1 Cách thức hoạt động của ISA Server cache 11

3.2 Cơ chế cache của ISA Server 12

RAM Caching 12

CARP – Giao thức dẫn đường cho dãy cache 12

Cách thức làm việc của CARP 13

4 Các luật của ISA Server 15

4.1 Các luật quản lý chính sách truy cập 15

Lọc IP Packet. 15

Các luật giao thức , các luật địa chỉ và nội dung truy nhập. 16

4.2 Các luật về băng thông 16

4.3 Các luật chính sách quảng bá. 17

5 Xác thực ở ISA Server 18

5.1 Các phương thức xác thực. 18

5.2 Các luật và sự xác thực 18

5.3 ISA Server và Secure Socket Layers (SSL). 19

6 Các dịch vụ của ISA Server. 21

6.1 Dịch vụ điều khiển của ISA 21

6.2 Dịch vụ Download có quản lý lưu trữ nội dung (the Schedule Cache Content Download Service). 21

6.3 Dịch vụ Firewall 22

Cách thức làm việc của dịch vụ Firewall. 22

Firewall client. 23

Các bộ lọc ứng dụng. 24

6.4 Dịch vụ Web Proxy 24

Web Proxy Service Clients. 25

Các bộ lọc Web (ISAPI). 25

Chia cắt các dịch vụ thông tin Internet. 25

7 Cấu trúc các trường của log file của Web proxy và Firewall 27

7.1 Các giá trị của nguồn đối tượng 28

7.2 Giá trị mã kết quả 28

7.3 Giá trị thông tin cache 29

7.4 Giá trị định danh hệ điều hành 29

 

 

doc30 trang | Chia sẻ: oanh_nt | Lượt xem: 3356 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Đề tài Tổng quan về ISA Server, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server. Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF. ISA Server tăng cường chức năng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức PPTP. NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN proxy. Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem và tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một máy tính có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu. Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức, như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm. Các hạn chế của NAT: Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt. NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao thức khác mặc dù có nhúng IP trong gói. Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server. Thực tế thì chúng không hẳn tương đương nhau. ISA Server cache ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host, có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai. Cách thức hoạt động của ISA Server cache Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm ngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mới thay mặt client. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho request gốc và gửi response cho phía client. ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, và reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server. ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại. ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không. Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm tra cache của server nào. Nếu đối tượng không ở trong cache, thì ISA Server sẽ kiểm tra hoạt động của luật dẫn đường để xác định đường đi cho request. Nếu đối tượng nằm trong cache, thì ISA Server sẽ thực hiện các bước sau: ISA Server kiểm tra xem đối tượng có hợp lệ không. Đối tượng được coi là không hợp lệ nếu các điều kiện sau xảy ra : TTL (time-to-live) được xác định từ nguồn đã hết. TTL xác định trong nội dung cache đã hết. TTL cấu hình cho đối tượng đã hết. Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường. Nếu các thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache. Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được yêu cầu Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA Server sẽ kiểm tra khả năng truy nhập của Web server đó. Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server có được cấu hình để trả về đối tượng hết hạn từ cache hay không. Nếu được thì đối tượng sẽ được trả về cho người dùng Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay không. Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng. Cơ chế cache của ISA Server Khi cấu hình một ổ đĩa cho việc cache, ISA Server tạo ra một file nội dụng trên ổ đĩa đó với đuôi là .cdat. Mỗi file nội dung cho cache tối đa là 10 GB. Ví dụ, nếu ta cấp phát 12 GB trên một ổ đĩa nào đó, ISA Server sẽ tạo ra hai file, một file 10 GB và một file 2 GB. Khi các đối tượng được cache, ISA Server sẽ thêm chúng vào file nội dung cache. Nếu file nội dung quá đầy để lưu các đối tượng mới, ISA Server sẽ loại bỏ các đối tượng cũ ra khỏi cache, bằng cách dùng công thức đánh giá “tuổi”, độ thường xuyên và cỡ của đối tượng. RAM Caching Trong ISA Server, các trang được cache là được lưu tức thì trong bộ nhớ để client truy nhập. Một cơ chế “ghi-lười” được dùng để ghi các trang ra đĩa. Kết quả là tăng khả năng sẵn có trên cache của các trang. Không có cơ chế kiểm tra xem trang đã được cache hay lưu lên đĩa hay chưa. RAM Caching cho phép nâng cao hiệu năng cache. Nếu hệ thống dừng trả lời, các đối tượng Web trong bộ nhớ chưa được ghi lên đĩa sẽ được lấy từ Internet. CARP – Giao thức dẫn đường cho dãy cache ISA Server dùng CARP để cung cấp khả năng co dãn và hiệu quả liên tục khi dùng nhiều máy ISA Server được nối kiểu dàn hàng tạo khả năng cache đơn về mặt logic. CARP dùng cơ chế dẫn đường theo nguyên tắc băm để xác định đường đi tối ưu qua một dãy cache để giải quyết yêu cầu. Giải pháp này là dựa vào việc áp dụng thuật toán băm cho dãy các thành viên và các URL. Đối với bất kỳ một yêu cầu URL được cho, trình duyệt hoặc proxy server cấp dưới sẽ biết chính xác sẽ lấy dãy các thông tin ở đâu. Đường tìm kiếm này cho thấy thông tin là đã được lưu từ request trước hay chưa, hoặc phải lấy từ Internet và sau đó lưu lại cho tương lai. CARP cung cấp các lợi ích sau: Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các proxy server, như khi tìm kiếm với các giao thức cache thông thường. Bằng cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn, điều mà thường xảy ra trong một số lượng lớn các server. CARP loại bỏ sự lặp về nội dung - điều mà hay xảy ra đối với chuỗi proxy server. Với cơ chế dẫn đường bằng giải thuật băm, CARP tránh được điều này bằng cách cho phép cả năm ISA Server tồn tại với một cache đơn logic. Kết quả là có trả lời nhanh hơn và dùng hiệu quả hơn tài nguyên server. CARP có khả năng co dãn cao. Do tìm đường bằng giải thuật băm dẫn đến sự độc lập ngang hàng, CARP trờ nên nhanh hơn và hiệu quả hơn khi nhiều proxy server được thêm vào. Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về tính co dãn – càng nhiều server, càng nhiều truy vấn ! CARP đảm bảo rằng cac đối tượng cache hoặc được phân tán giữa các server, hoặc các nhân tố tải - được cấu hình cho mỗi server. Cách thức làm việc của CARP Tiến trình CARP cung cấp cơ chế tìm đường hiệu quả cho các request. Tất cả các server được theo dõi thông qua một chuỗi danh sách thành viên, được lưu trong Active Directory. Tất cả các thành viên sẽ được thông báo khi thêm hoặc bớt server trong chuỗi. Theo chu kỳ, máy khách Web proxy hay server cấp dưới sẽ gửi thăm dò và nếu cần thiết, cập nhật danh sách thành viên. Máy khách Web proxy gửi yêu cầu array.dll?Get.Routing.Script tới server thành viên. Server cấp dưới (downstream) gửi yêu cầu array.dll?Get.Info.v1 tới server thành viên. Khi yêu cầu một đối tượng, máy khách hoặc server cấp dưới dùng danh sách thành viên, cùng với hàm băm, CARP tính toán tên của mỗi URL được yêu cầu, để xác định server nào nên phục vụ yêu cầu này. Giá trị băm của URL được kết hợp với giá trị băm cho mỗi ISA Server, cho kết quả cao hơn, trở thành “người sở hữu” thông tin cache. Server kiểm tra xem nó nên xử lý request hay không. Nếu không, nó gửi request cho thành viên khác, được xác định danh sách chuỗi. Thành viên gửi gửi kèm theo thông tin xác thực cho thành viên nhận. Trong hoàn cảnh công khai, nó cũng cung cấp GUID của luật công khai Một khi mà server được chọn để xử lý request, nó sẽ tiếp tục áp dụng luật ISA nếu cần thiết. Do các hàm băm được dùng để gán các giá trị là rất nhiều nên tải được phân tán và cân đối giữa các phần tử trong chuỗi. Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó. Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi. Ngoài ra có thể cấu hình các yêu cầu đến và đi riêng biệt, ví dụ có thể cho phép yêu cầu Web đến, và không cho phép yêu cầu gửi đi. Các luật của ISA Server Chúng ta có thể đặt cấu hình cho ISA để đáp ứng cho các yêu cầu về hiệu năng cũng như an ninh cụ thể bằng cách định nghĩa và cấu hình các luật mà nó sẽ quyết định xem người dùng nào, máy tính nào, hoặc ứng dụng nào được quyền truy cập các máy tính trong hệ thống mạng của chúng ta và trên mạng Internet. ISA Server cho phép chúng ta định nghĩa khá nhiều loại luật: Luật về chính sách quản lý truy cập, bao gồm lọcIP Packet, các luật giao thức, các luật về site và nội dung. Các luật về băng thông. Các luật về chính sách quảng bá. Khi một máy khách trong mạng yêu cầu tới một đối tượng trên Internet, ISA Server sẽ dựa vào các luật này và quyết định xem yêu cầu có được phép đáp ứng hay không. Tương tự như vậy, khi một đối tượng từ bên ngoài yêu cầu một đối tượng ở bên trong hệ thống của chúng ta, ISA Server cũng sẽ dựa vào các luật để quyết định xem yêu cầu có được phép đáp ứng hay không. Các luật quản lý chính sách truy cập Lọc IP Packet. Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server . Khi chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua. Chức năng này được thực hiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật quảng bá. Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các luật sao cho chúng cho phép truyền thông. Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động. Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần tử phục vụ bên trong hệ thống của chúng ta. Điều này là do các bộ lọc gói tin mở các cổng không mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở các cổng mang tính đáp ứng động(khi có một yêu cầu đến). Ví dụ, giả sử chúng ta muốn cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site HTTP. Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80. Chúng ta nên tạo ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này. Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ, số hiệu cổng dịch vụ, tên máy nguồn và máy đích. Các bộ lọc gói tin IP là mang tính chất tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng. Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừ một số loại chúng ta mong muốn nào đó. Nếu chúng ta không có một bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng đó được mở mang tính động (tuỳ biến). Các bộ lọc đóng (block) sẽ đóng một cổng nào đó. Chúng ta có thể tạo ra và cấu hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server. Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa các host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP. Sau đó chúng ta có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server . Các luật giao thức , các luật địa chỉ và nội dung truy nhập. Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông giữa hệ thống mạng của chúng ta và Internet. Các luật giao thức được sử lý ở tầng ứng dụng. Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức HTTP. Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet mà các máy khách được quản lý bởi ISA Server có thể truy cập đến. Các luật địa chỉ và nội dung truy cập được xử lý ở tần ứng dụng. Ví dụ, một luật nội dung và địa chỉ có thể cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet. Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache, hoặc chế độ kết hợp cả hai. Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập của mỗi chế độ cài đặt. Rule type Firewall Cache Integrated Luật về địa điểm và nội dung truy nhập Có Có Có Luật về giao thức Có Có, đối với các giao thức HTTP, FTP, HTTPS Có Các luật về băng thông Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn. Quản lý băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng. Hơn thế, nó thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức ưu tiên cho các kết nối mạng. Bất cứ kết nối nào mà nó không có một luật băng thông đi kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống. Mặt khác, bất cứ một kết nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức ưu tiên cao hơn mức mặc định. Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp cả hai. Các luật quản lý băng thông có ở tất cả các chế độ. Các luật chính sách quảng bá. Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các luật quảng bá server và các luật quảng bá Web. Các chính sách quản lý quảng bá được tạo ra mức chuỗi (array level), chứ không phải ở mức enterprise. Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống. Các luật quản lý server sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng được quản lý phía sau ISA Server . Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server tương ứng được quản lý bởi ISA Server . Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp. Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng bá ở mỗi chế độ cài đặt. Rule type Firewall Cache Integrated Các luật quảng bá Web Không Có Có Các luật quảng bá server Có Không Có Xác thực ở ISA Server Các phương thức xác thực. Chúng ta có thể đặt các phương thức xác thực thích hợp để sử dụng. Chúng ta có thể đặt các phương thức xác thực khác nhau cho các yêu cầu Web từ ngoài đi vào hệ thống và các yêu cầu từ trong hệ thống đi ra. ISA Server hỗ trợ các phương thức xác thực sau: phương thức xác thực cơ bản, phương thức tóm gọn, phương thức xác thực tích hợp với hệ thống Windows, và chứng nhận client, chứng nhận server. Microsoft Internet Explorer 5 hỗ trợ tất cả các phương cách xác thực. Các trình duyệt khác có thể chỉ hỗ trợ phương thức cơ bản. Chúng ta cần phải chắc chắn rằng trình duyệt Web có thể sử dụng ít nhất một trong các phương thức xác thực mà chúng ta định ra ở các thuộc tính yêu cầu đi ra cũng như đi vào của một dãy (array). Nếu không, máy khách có thể không thể truy cập được các đối tượng cần thiết. Các luật và sự xác thực Khi một máy khách của Firewall yêu cầu nội dung không phải HTTP, ISA Server sẽ quyết định xem đã có luật nào được đặt ra để áp dụng cho người dùng hoặc nhóm người dùng đó hay chưa. Nếu có, ISA Server sẽ yêu cầu máy khách đó xác thực bản thân nó, như vậy ISA Server có thể quyết định luật đó có áp dụng cho máy khách yêu cầu hay không. Khi một phần tử được quản lý bởi Web proxy hoặc Firewall yêu cầu một nội dung HTTP, ISA Server sẽ kiểm tra các luật để quyết định xem có luật nào đó cho phép các truy cập nặc danh hay không( hoặc bởi vì luật đó áp dụng cho tất cả người dùng, hoặc bởi vì nó áp dụng cho một nhóm địa chỉ client bao gồm địa chỉ của phần tử yêu cầu). Nếu có, yêu cầu sẽ được cho phép. Nếu không, nếu không có một luật nào được đặt ra để cho phép các truy cập nặc danh, ISA Server sẽ yêu cầu client xác thực bản thân nó, để rồi quyết định một luật áp dụng cho người dùng đã được xác thực đó. Nói cách khác, khi một client yêu cầu nội dung HTTP, các thông tin xác thực sẽ không được chuyển tới ISA Server , trừ khi ISA Server yêu cầu. Điều này chỉ có khi dịch vụ Web proxy yêu cầu xác định người dùng để cho phép thông qua yêu cầu. Chúng ta có thể đặt ISA Server luôn luông yêu cầu xác thực đối với các yêu cầu Web bằng cách sử dụng thuộc tính FPCWebRequestConfiguration.AlwaysAuthenticate Với các Firewall clients, các yêu cầu HTTP được truyển tới bộ tái định hướng HTTP (HTTP redirector), nếu bộ lọc đã được thiết lập. Trong trường hợp này, các thông tin xác thực của Firewall client sẽ không được truyền cho dịch vụ Web proxy, và ISA Server sẽ coi yêu cầu này đến từ người dùng nặc danh. Nếu ISA Server không thể truyền yêu cầu từ người dùng không được xác thực, yêu cầu sẽ bị từ chối, bởi lẽ ISA Server sẽ không yêu cầu xác thực. Ví dụ về xác thực Giả sử chúng ta định ra cho ISA Server các luật như sau: Một luật giao thức mà nó cho phép mọi người sử dụng tất cả các loại giao thức. Một luật địa điểm và nội dung truy cập mà nó cho phép mọi người truy cập tới tất cả các site. Một luật địa điểm và nội dung truy cập mà nó sẽ luôn từ chối yêu cầu từ người dùng John. Hai luật đầu sẽ cho phép tất cả các yêu cầu từ phía người dùng nặc danh. Luật thứ ba sẽ từ chối tất cả các yêu cầu từ phía người dùng John, chỉ khi ISA Server yêu cầu John xác thực bản thân anh ta. Ví dụ, xét tình huống như sau: Máy tính của John được cài đặt Firewall client. John yêu cầu một nội dung phi HTTP. Yêu cầu của John sẽ bị từ chối bởi vì dịch vụ ISA Server Firewall yêu cầu xác thực; Và luật thứ ba sẽ được thực thi. Máy tính của John được đặt chế độ như một Web proxy client. John yêu cầu một nội dung HTTP, yêu cầu của John sẽ được cho phép bởi lẽ ISA Server không yêu cầu xác thực; và do đó luật thứ ba không được thực thi. Máy tính của John được cài đặt Firewall client. John yêu cầu nội dung HTTP. Yêu cầu của John sẽ được cho phép bởi vì ISA Server không yêu cầu xác thực ; và như vậy luật thứ ba sẽ không được thực thi. Để luật thứ ba được áp dụng cho tất cả các yêu cầu Web, chúng ta phải đặt tuỳ chọn array để yêu cầu định danh người dùng đối với những người dùng chưa được xác thực. Yêu cầu của John sẽ luôn bị từ chối trong cả ba tình huống như trên. ISA Server và Secure Socket Layers (SSL). Ở ISA Server chúng ta có thể sử dụng thuộc tính an ninh SSL cho xác thực. Sự chứng nhận được sử dụng theo hai cách mỗi khi một client yêu cầu một đối tượng từ server: Server sẽ xác thực bản thân nó bằng cách gửi chứng nhận server của nó tới client. Server sẽ yêu cầu client xác thực bản thân nó. Trong trường hợp này, client phải đưa ra một chứng nhận client thích hợp cho server. SSL thực hiện xác thực bằng cách kiểm tra nội dung của một tên định danh đã được mã hoá, tên này được đăng ký bởi người dùng của Web browser trong quá trình đăng nhập. Chứng nhận server bao gồm các thông tin định danh về server. Chứng nhận client thông thường chứa các thông tin định danh về người dùng và về tổ chức đưa ra chứng nhận đó. Người dùng phải có được chứng nhận client từ một tổ chức đáng tin cậy. Chứng nhận client Nếu chứng nhận client là phương thức xác thực được lựa chọn, khi ISA Server yêu cầu một chứng nhận client từ phía client trước khi cho thông qua một yêu cầu nào đó. Máy tính ISA Server sẽ nhận các yêu cầu và gửi các chứng nhận server cho các client. Máy ISA Server định danh bản thân nó như một SSL Web server. Client sẽ nhận chứng nhận đó, và xác định rằng chứng nhận đó là thuộc về máy ISA Server . Sau đó, client gửi lại yêu cầu của nó tới máy ISA Server . Tuy nhiên, ISA Server sẽ yêu cầu một chứng nhận từ phía client, chứng nhận này đã được gửi tới ISA Server từ trước. Do đó ISA Server có thể xác định rằng chứng nhận đó đích thực thuộc về client được phép truy cập. Chứng nhận client cần phải được lưu trong kho lưu trữ chứng nhận Microsoft Web Proxy Service lưu trên máy ISA Server. Chứng nhận cần phải được ánh xạ tới một người dùng thích hợp. ISA Server chỉ có thể đưa ra các chứng nhận client trong các bối cảnh cầu nối SSL. Chứng nhận server. Khi một client yêu cầu một đối tượng SSL từ một server, nó sẽ yêu cầu server đó xác thực bản thân nó. Nếu ISA Server quyết định một kết nối SSL, ISA Server sẽ phải xác thực bản thân nó với client. Chúng ta phải đặt và định ra chứng nhận phía server để xử dụng khi xác thực ISA Server với client. Chứng nhận server phải được cài đặt ở kho chứng nhận máy tính địa phương lưu trên máy tính ISA Server . Tên chứng nhận phải là duy nhất đối với tên của ISA Server (đối với nhứng yêu cầu Web ra bên ngoài) và đối với tên của các Web server đã được kích hoạt (đối với các yêu cầu Web đi vào hệ thống). Các dịch vụ của ISA Server. ISA Server hoạt động như một gateway tới Internet, thực thi an ninh trên ba tầng: lọc gói tin IP, lớp ứng dụng, và lớp mạch (circuit layer). Sự đa tầng này được thực hiện bởi các dịch vụ của ISA Server : Dịch vụ điều khiển của ISA Server . Dịch vụ này chuyên về lọc gói tin (lọc tĩnh, logging), tái khởi động các dịch vụ khác khi cần, phát thông báo, kích hoạt hành động và các chức năng khác. Dịch vụ quản lý lưu nội dung download. Dịch vụ Web proxy. Dịch vụ web proxy được thực thi ở tầng ứng dụng, và chỉ làm việc với các giao thức ứng dụng. Dịch vụ Firewall. Dịch vụ Firewall được thực thi ở mức circuit Tất cả các dịch vụ đều cung cấp khả năng lọc động gói tin IP, cung cấp một mô hình an ninh hoàn chỉnh. Dịch vụ điều khiển của ISA Dịch vụ điều khiển ISA điều khiển các chức năng ISA sau: Lọc gói tin IP, bao gồm kích hoạt các bộ lọc, mở các bộ lọc tĩnh, và logging các bộ lọc. Tái khởi động các dịch vụ khác của ISA Server khi cần thiết. Sinh các cảnh báo và chạy các hành động. Đồng bộ mỗi server với chuỗi server. Dịch vụ điều khiển ISA sẽ cập nhật các file cấu hình của client (msplat.txt và mspclnt.ini) và xoá đi các các file log không dùng đến. Tái khởi động các dịch vụ ISA Server khác khi một thay đổi nào đó trên ISA Management diễn ra. Chúng ta không thể dùng ISA Management để tắt hay bật Dịch vụ điều khiển ISA . Để dừng dịch vụ này, chúng ta phải dùng lệnh: net stop msadmin Nếu chúng ta dừng dịch vụ điều khiển ISA . Mọi dịch vụ khác của ISA Server cũng sẽ dừng theo. Dịch vụ Download có quản lý lưu trữ nội dung (the Schedule Cache Content Download Service). ISA Server còn mở rộng khả năng cache với chức năng quản lý download. Dịch vụ lập lịch download cho phép chúng ta có thể download các nội dung HTTP trực tới ISA Server cache, ngay khi yêu cầu, hoặc khi lập kế hoạch. Chức năng này cho phép chúng ta cập nhật ISA Server cache với các nội dung HTTP mà chúng ta dự đoán sẽ được yêu cầu trong tổ chức của chúng ta. Chúng ta có thể đặt trước những nội dung mà ISA Server có thể cache trước, và lên kế hoạch mỗi khi nội dung cần được cache, và cho phép các truy cập thẳng tới ISA Server cache chứ không cần phải truy cập tới Internet. Bằng cách giám sát và phân tích các truy cập Internet, chngs ta có thể quyết định xem đối tượng Internet nào có nên được lập lịch hay không và khi nào thì nên được lập lịch. Và từ đó, chúng ta có thể sử dụng kế hoạch đã được lập đó để chuẩn bị ISA Server cache tương ứng. Chúng ta có thể sử dụng chức năng lập lịch nội dung download để lên kế hoạch download các file HTTP từ các Web site về local cache. Chúng ta có thể download một URL đơn, nhiều URL, hoặc một Web site hoàn chỉnh tuỳ theo kế hoạch đã được chọn. Ghi nhớ Các Site có chứa các pop-up, chẳng hạn các site có yêu cầu uỷ nhiệm, hoặc các đề nghị cài đặt ngôn ngữ, không thể download bằng dịch vụ kế hoạch download . Các Web site mà nó sử dụng cookies để lưu thông tin người dùng cũng không được cache. Dịch vụ Firewall Dịch vụ Firewall là dịch vụ rất tổng quát, hoạt động ở mức circuit cho các ứng dụng Winsock. Dịch vụ ISA Firewall sẽ làm cho các ứng dụng Telnet, e-mail

Các file đính kèm theo tài liệu này:

  • docTổng quan về ISA Server.DOC
Tài liệu liên quan