Đề tài Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006

MỤC LỤC

MỤC LỤC 1

LỜI CẢM ƠN 4

TÓM TẮT CỦA BÁO CÁO 6

MỞ ĐẦU 7

TỔNG QUAN 8

NGHIÊN CỨU THỰC NGHIỆM HOẶC LÍ THUYẾT 16

TRÌNH BÀY, ĐÁNH GIÁ BÀN LUẬN VỀ CÁC KẾT QUẢ 18

CHƯƠNG I CÁC KHÁI NIỆM CƠ BẢN: FIREWALL – PROXY SERVER 20

1.1.Tìm hiểu về Firewall: 20

1.1.1 Khái niệm Firewall 20

1.1.2 Phân loại và đặc điểm Firewall 20

1.1.2.1 Firewall cứng 20

1.1.2.2 Firewall mềm 21

1.1.3 Vì sao cần Firewall 21

1.1.4 Chức năng 22

1.1.5 Cấu trúc của Firewall 22

1.1.6 Những hạn chế của firewall 26

1.1.7 Nhiệm vụ Firewall 27

1.1.8 FireWall chống lại những sự tấn công từ bên ngoài 27

1.1.9 Firewall client là gì 28

1.1.9.1 Cho phép thông tin người dùng và ứng dụng được ghi trong các file bản ghi của ISA 2006 Firewall 31

1.1.9.2 Cung cấp khả năng hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp yêu cầu kết nối thứ cấp 31

1.1.9.3 Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client 32

1.1.9.4 Cơ sở hạ tầng định tuyến mạng trong suốt đối với Firewall Client: 33

1.1.9.5 Firewall Client làm việc như thế nào ? 34

1.2 Tìm hiểu về proxy: 36

1.2.1 Khái niệm về Proxy 36

1.2.2 Tại sao cần Proxy 36

1.2.3 Sự cần thiết của Proxy 37

1.2.4 Chức năng 37

1.2.5 Cơ chế thực hiện của Proxying 39

1.2.6 Các dạng proxy system 41

1.2.7 Các loại proxy và sự khác nhau 43

1.2.8 Các mức độ ẩn danh của proxy 43

CHƯƠNG II: TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN ISA 2006 45

2.1. Tìm hiểu về ISA Standard và Enterprise 2006 45

2.1.1 ISA server 2006 Standard 45

2.1.2 ISA server 2006 Enterprise 45

2.2. Một số tính năng của ISA 46

2.2.1 Cách thức làm việc của ISA Server 2006 46

2.2.2 ISA Server hoạt động như một tường lửa 50

2.2.2.1 Packet Filtering – Lọc gói tin 51

2.2.2.2 Stateful Filtering – Lọc trạng thái 51

2.2.2.3 Application-Layer Filtering – Lọc lớp ứng dụng 52

2.3 Cơ chế ISA Server bảo mật truy cập internet 53

2.4 ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ 54

2.5 ISA Server hoạt động như một VNP Server. 55

2.6 So sánh giữa 2 phiên bản ISA Standard Edition và ISA Enterprise Edition 56

2.7 Một số tính năng của ISA 2006 so với ISA 2004 58

2.8 Cảnh báo bảo mật ISA FIREWALL 60

2.9 Mô hình giải pháp 61

2.10 Tiến hành bảo mật với ISA Server 2006 64

2.10.1 Cài đặt Windows Server 2003: 64

2.10.2 Cài đặt và cấu hình DNS service: 66

2.10.3 Tạo Forward lookup zone: 80

2.10.4 Nâng Computer này lên thành Domain controller 94

2.10.5 Cài đặt WINS Service 108

2.10.6 Cài đặt và cấu hình dịch vụ DHCP 113

2.10.7 Cài đặt Microsoft Exchange trên Domain Controller 134

2.10.7.1 Tiến hành các bước sau để cài đặt ASP.NET (IIS) 135

2.10.7.2 Tiến hành các bước sau để cài đặt Microsoft .NET Framework v2.0: 139

2.10.7.3 Tiến hành các bước sau để cài đặt Windows PowerShell: 143

2.10.7.4 Tiến hành các bước sau để Upgrade DC Server lên Domain Functional Level: 148

2.10.7.5 Tiến hành các bước sau để cài đặt Exchange Server 2007 : 151

2.10.8 Cấu hình gửi mail nội bộ trong Microsoft Exchange Server 2007 163

2.10.9 Cài đặt ISA SERVER 2006 Standard 181

2.10.10 Thiết lập các Access Rule để bảo mật ISA 2006 194

2.10.10.1 Tạo access rule cho internal và ISA ra internet 194

2.10.10.2 Cài Đặt Máy Client theo cách Secure NAT 207

2.10.10.3 Cài Đặt Máy Client theo cách Web Proxy client 209

2.10.10.4 Cài Đặt Máy Client theo cách Firewall Client: 213

2.10.10.5 Tiến hành Back-up cấu hình mặc định ngay sau cài đặt ISA 2006 225

2.10.10.5 Tiến hành Restore 229

2.10.10.6 Cấu hình Access Rules để tạo Group KD và Sếp 235

2.10.10.7 Tạo rule Internal Network truy cập Local Host 236

2.10.10.8 Tạo rule DNS 244

2.10.10.9 Tạo rule cho Group Kinh Doanh bị giới hạn trang web và thời gian truy cập 256

2.10.10.10 Tạo rule cho group Sep được toàn quyền truy cập 278

2.10.10.11 Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express 281

2.10.10.12 Tạo rule cấm Sếp truy cập Web đen: 301

2.2.10.13 Tạo bảng thông báo cấm truy cập 312

2.10.10.14 Tạo Modify Rule cho Group chỉ xem được văn bản text khi truy cập Web 316

2.10.10.15 Tạo rule cấm user chat trong giờ làm việc (cấu hình HTTP Filter) 321

2.10.10.16 Tiến hành khảo sát một số tính năng khác của ISA Server 2006 332

2.10.10.17 Tiến hành giả lập tấn công ISA Server 2006 (Cấu hình Intrusion Detection) 342

2.10.10.18 Report trong ISA Server 2006 353

2.10.10.19 Publish Web Server trong ISA 2006 362

2.10.10.20 Tạo Publishing Rule để Publish RDP(Remote Desktop Protocol) 386

2.10.10.21 Cấu hình NAT Inbound trên Router ADSL (Thực hiện trên ISA) 393

2.10.10.22 VPN Clients to Gateway 399

2.10.10.23 Cấu hình Accesspoint 427

KẾT LUẬN 434

DANH MỤC TÀI LIỆU THAM KHẢO 437

PHỤ LỤC 439

1. Tổng quan về Microsoft Exchange Server 2007 439

2. Tìm hiểu các Server Roles trong Microsoft Exchange Server 2007 439

2.1 Khái niệm về Server Role 439

2.2 Những Server Roles có trong Microsoft Exchange Server 2007 440

2.2.1 Mailbox Server Role 440

2.2.2. Client Access Server Role 441

2.2.3 Hub Transport Server Role 441

2.2.4 Edge Transport Server Role 442

2.2.5 Unified Messaging Server Role 442

2.2.6 Clustered Mailbox Server Role 442

2.2.7 Unified Messaging Server Role: 443

2.2.8 Outlook Voice Access 443

2.2.9 Tương thích và các khả năng không dây 444

3. Những yêu cầu phần cứng và phần mềm trước khi triển khai Microsoft Exchange Server 2007 444

3.1 Yêu cầu phần cứng 444

3.2 Yêu cầu phần mềm 445

3.3 Cài đặt và cấu hình 445

 

 

doc443 trang | Chia sẻ: netpro | Lượt xem: 7192 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đề tài Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
í dụ, theo kịch bản trong Hình 2.2, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau: Cho phép truy cập nặc danh đến Website dùng chung (‘public website’), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website. Chứng thực ‘user’ từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (‘private website’). Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó ‘user’ ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong ‘interal network’. Cho phép nhân viên ở xa truy cập ‘internal Mail Server’, và cho phép ‘client’ truy cập VPN đến ‘internal File Server’. Áp đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới ‘user’, và lọc từng ‘request’ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép. 2.2.2 ISA Server hoạt động như một tường lửa Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những ‘rule’ lọc ‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng. Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể tới được ‘internal network’ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được. Firewall có thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web Server đó. Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ(*) và Internet. ISA Server 2006 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering. 2.2.2.1 Packet Filtering – Lọc gói tin Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng ‘network packet’ đi tới firewall. Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall. 2.2.2.2 Stateful Filtering – Lọc trạng thái Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP. Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại ‘request’ đó. Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’). Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một ‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt. 2.2.2.3 Application-Layer Filtering – Lọc lớp ứng dụng ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua. Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi ‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”. ‘Application filter’ kiểm tra chính sách của nó để quyết định. Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và ‘packet’ bị đánh rớt. ‘HTTP application filter’ được cung cấp cùng với ISA Server 2004 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài ‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật những giao thức và ứng dụng khác. Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’. Tuy nhiên, nhiều ‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’). Và ‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng. Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ ‘internal network’ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức ‘HTTP’. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA. ‘HTTP traffic’ cũng có thể chứa ‘virus’ và mã độc (‘malicious code’). Cách ngăn chặn những ‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng. ‘Application-layer firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức ‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng). ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng. ----------------- (*): DMZ (Demilitarized Zone), đây là từ chỉ vùng "Phi Quân Sự" trong thế giới thực, còn trong môi trường máy tính thì DMZ là vùng dành riêng cho những server "đối ngoại" (như web server) cho phép người dùng bên ngoài (Internet) truy cập đến. 2.3 Cơ chế ISA Server bảo mật truy cập internet Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có nghĩa là không tổ chức nào tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu. ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một ‘proxy server’ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet. Điều này có nghĩa là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ). Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát. ISA Server cũng hoạt động như một ‘caching server’. 2.4 ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn tài nguyên đặt trong mạng nội bộ của tổ chức. Tối thiểu, hầu hết tổ chức đều muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web. Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài nguyên không dựa trên nền Web như DNS Server, hoặc Database Server. Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức. Để giảm thiểu các nguy cơ đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả ‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên internet chỉ có thể truy cập đến những máy chủ cho phép. Để cấu hình việc ‘publish’ trong ISA Server, bạn cấu hình một ‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ internet. ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule. 2.5 ISA Server hoạt động như một VNP Server. Ngoài việc cho phép người dùng trên internet được phép truy cập đến các máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép mức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual Private Network – Mạng riêng ảo). Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng dùng chung như internet. VPN được bảo mật bằng cách sử dụng chứng thực và mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung (internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được. VPN có thể được tạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai văn phòng của công ty với nhau (Site-to-Site). Một người dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nối đến ‘gateway’ của VPN. Tất cả ‘packet’ gửi qua internet dùng VPN được bảo mật. ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm đó được đưa vào mạng ‘VPN Clients network’. Mạng này được xem như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN. ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN quarantine control). ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một ‘client-side-script’. Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạm VPN được cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt qua những sự kiểm tra bảo mật đặc biệt. Bạn có thể cấu hình ‘firewall rule’ để lộc tất cả các ‘traffic’ từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất kỳ mạng nào khác. ISA Server cũng cho phép VPN site-to-site. Trong kịch bản này, bạn cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau. Khi ISA Server ở một nơi nhận ‘network traffic’ từ một nơi khác, ISA Server sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác. Để cấu hình những kết nối VPN Site-to-Site, bạn tạo một ‘remote-site network’ trên ISA Server, và sau đó định nghĩa các ‘access rule’ để giám sát những loại ‘traffic’ được phép trao đổi giữa các mạng. 2.6 So sánh giữa 2 phiên bản ISA Standard Edition và ISA Enterprise Edition - Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. - Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard. + Centralized storage of configuration data Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ như bạn muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình. + Support for Cache Array Routing Protocol – CARP: bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó. Khi một máy client khác đi trang web khác, CARP chỉ định tiếp một máy ISA khác cache lại trang web. Cứ luân phiên như thế. Khi một client bất kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó để trả về cho máy client. CARP giúp tối ưu hóa khả năng cache. + Integration of Network Load Balancing - NLB: (Tích hợp cân bằng tải lên ISA) NBL là một thành phần network có sẵn trong Windows 2000 Server và Windows Server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống. Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB. 2.7 Một số tính năng của ISA 2006 so với ISA 2004 ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như: Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing Hổ trợ SharePoint Portal Server Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN Về khả năng Publishing Service: ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA,qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password). Lock các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007. Khả năng kết nối VPN: Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine. Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet (thế mới gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác, chưa thử cái này đâu nhá). Về khả năng quản lý: Dễ dàng quản lý. Rất nhiều Wizard. Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group. Log và Report cực tốt. Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise). Khai báo thêm server vào array dễ dàng . Tích hợp với giải pháp quản lý của Microsoft: MOM. SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp hardware Các tính năng khác. Hỗ trợ nhiều CPU và RAM . max 32 node Network Loadbalancing Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác. Route/NAT theo từng network Firewall rule đa dạng IDS Flood Resiliency HTTP compression Diffserv 2.8 Cảnh báo bảo mật ISA FIREWALL Bạn có thể có nhiều giao diện  trên cùng một ISA firewall. Tuy nhiên, chỉ có mạng đơn mới có thể có tên Internal (bên trong). Mạng bên trong có một nhóm các máy tính  có độ tin cậy tuyệt đối (ít nhất cũng đủ tin tưởng không yêu cầu đến tường lửa mạng đối với các việc truyền thông  giữa chúng). Bạn cũng có thể có nhiều mạng bên trong, nhưng các mạng bên trong bổ sung thêm này có thể được đặt trong dãy địa chỉ bên trong của mạng bên trong khác. Xem xét một cách tỉ mỉ ISA Firewall  System  Policy sau khi cài đặt được hoàn tất để hạn chế sự truyền thông  giữa ISA Firewall  và Internal Network mặc định chỉ cho truyền thông  được yêu cầu cho kịch bản của bạn. Mặc dù vậy, cấu hình tập trung của Firewall  client có thể được thực hiện trên ISA Firewall  Network; vì vậy bạn có thể kiểm soát được các thiết lập Firewall  client tên mỗi mạng cơ bản. Điều này cho phép bạn có được phép đo về sự kiểm tra các thiết lập cấu hình Firewall  client được quản lý trên mỗi mạng như thế nào. Mặc dù giải pháp này không giúp đỡ trong kịch bản mạng trong mạng, nơi có nhiều ID mạng được đặt đằng sau cùng một card  giao diện  mạng. Trong kịch bản mạng trong mạng, bạn có thể sử dụng file locallat.txt LAT nội bộ để ghi đè các thiết lập mạng bên trong tập trung nếu thấy nó là cần thiết. Nhìn chung, kịch bản mạng trong mạng không tạo ra nhiều vấn đề đáng kể cho Firewall  client. Sự cải thiện đáng kể nhất mà ISA 2004/6 Firewall  client có được hơn so với các phiên bản  trước (Winsock Proxy Client 2.0 và ISA Server  2000 Firewall  Client) là bạn có tùy chọn để sử dụng một kênh được mã hóa giữa the Firewall  client và ISA firewall. Nhớ rằng, Firewall  client gửi các ủy nhiệm người dùng  trong suốt đến ISA firewall. ISA Firewall  client mã hóa kênh để giữ bí mật. Lưu ý rằng bạn có thể tùy chọn việc cấu hình ISA firewall  cho phép truyền thông  kênh kiểm soát không bảo mật  và bảo đảm bảo mật. Lưu ý: Nếu chế độ truyền tải Internet  Protocol  security (IPSec) được kích hoạt cho một mạng để máy Firewall  client sử dụng chế độ này để kết nối đến ISA firewall  thì bạn có thể cảm nhận thấy sự không bình thường hoặc các vấn đề kết nối không dự đoán trước. Nếu Firewall  client trong mạng không thực hiện như mong đợi, hãy vô hiệu hóa IP routing tại giao diện  sử dụng của ISA firewall. Trong giao diện  đó, mở server, mở rộng Configuration, kích vào nút General. Trong cửa sổ chi tiết, kích Define IP Preferences. Trên tab IP Routing, thẩm định rằng hộp kiểm Enable IP Routing là không được tích. Lưu ý rằng việc vô hiệu hóa IP Routing có thể làm giảm đáng kể hiệu suất  của SecureNAT clients yêu cầu truy cập  đến các kết nối thứ cấp. 2.9 Mô hình giải pháp a) b) c) Mục đích xây dựng hệ thống: Một doanh nghiệp cần triển khai một hệ thống mạng bao gồm: Máy server cung cấp các dịch vụ cơ bản: Web Server, Mail Server, FTP Server, Printer Server.. Hệ thống tường lửa Firewall dùng để thiết lập các điều kiện bảo mật và bảo vệ an toàn mạng bên trong từ các tác nhân bên ngoài. Mỗi nhân viên có những quyền khác nhau khi sử dụng tài nguyên cũng như trong việc truy cập internet. Doanh nghiệp sử dụng một thiết bị modem duy nhất từ nhà cung cấp dịch vụ. Khách hàng khi đến doanh nghiệp đều có thể sử dụng laptop để truy cập vào mạng không dây của doanh nghiệp. Ở đây Đề tài chọn mô hình thứ 2 để triển khai viêc bảo mật với ISA 2006 trên windows server 2003 và đáp ứng yêu cầu đề ra từ doanh nghiệp trên. 2.10 Tiến hành bảo mật với ISA Server 2006 2.10.1 Cài đặt Windows Server 2003: Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller: 1. Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer. Cho phép boot từ CD. 2. Chương trình Windows setup bắt đầu load những Files phục vụ cho việc cài đặt. Nhấn Enter khi màn hình Welcome to Setup xuất hiện. 3. Đọc những điều khoản về License trên Windows Licensing Agreement , dùng phím PAGE DOWN để xem hết,sau đó nhấn F8 để đồng ý với điều khoản. 4. Trên Windows Server 2003, bản cài đặt Standard Edition xuất hiện màn hình tạo các phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉ làm một Partition.Nhấn ENTER. 5. Trên Windows Server 2003, màn hình Standard Edition Setup, chọn Format the partition using the NTFS file system.Nhấn ENTER. 6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn thành. 7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn thành. 8. Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode). Click Next trên trang Regional and Language Options. 9. Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn Ví dụ : Name:Viet Ha.Ho. Organization:Network Information Security Vietnam. 10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next. 11. Trên trang Licensing Modes chọn đúng option được áp dụng cho version Windows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa vào số connections mà bạn đã có License. Click Next. 12. Trên trang Computer Name và Administrator Password điền tên của Computer trong Computer Name text box. Theo các bước trong xây dựng Test Lab này, thì Domain controller/Exchange Server trên cùng Server và có tên là CHERRYQ, tên này được điền vào Computer Name text box. Điền tiếp vào mục Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào Server cho các hoạt động tiếp theo). Click Next. 13. Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam). Click Next. 14. Trên trang Networking Settings, chọn Custom settings option. 15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong Components và click Properties. 16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau: IP address: 172.16.0.2. Subnet mask: 255.255.0.0. Default gateway: 172.16.0.1 (chú ý Default Gateway 172.16.0.1 này cũng là IP address của Internal Card trên ISA server). Preferred DNS server: 172.16.0.2. 17. Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. Trong Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add. Trong TCP/IP WINS Server dialog box, điền 172.16.0.2 và click Add. 18. Click OK trong Advanced TCP/IP Settings dialog box. 19. Click OK trong Internet Protocol (TCP/IP) Properties dialog box. 20. Click Next trên trang Networking Components. 21. Chấp nhận lựa chọn mặc định môi trường Mạng là Workgroup (chúng ta sẽ tạo môi trường Domain sau, đưa máy này trở thành một Domain controller và cũng là thành viên của Domain (là một member server, vì trên Server này còn cài thêm nhiều Server Service khác ngoài Active Directory Service).Click Next. 22. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại. 23. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup. 24. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào Don’t display this page at logon checkbox và đóng cửa sổ Window lại. 2.10.2 Cài đặt và cấu hình DNS service: Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính Computer này (CHERRYQ). Điều này là cần thiết vì Active Directory Service hoạt động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí các record (A, PTR, SRV records v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS server này sẽ phục vụ cho toàn Domain. Tiến hành các bước sau để cài đặt DNS server: 1.Click Start->Settings->Control Panel. Click Add or Remove Programs. 2.Trong Add or Remove Programs,

Các file đính kèm theo tài liệu này:

  • docbáo cáo xây dựng và triển khai việc bảo mật cho doanh nghiệp.doc