Đồ án Thiết lập và cấu hình VNP với ISA server 2004

MỤC LỤC

 

Lời mở đầu 1

Chương I. TỔNG QUAN VỀ ISA SERVER 5

I. GIỚI THIỆU VỀ ISA SERVER. 5

1.1. GIỚI THIỆU CHUNG. 5

I.2. CÁC CHỨC NĂNG CỦA ISA SERVER. 7

I.2.1. Chức năng tường lửa. 7

I.2.2. chức năng bảo mật truy cập internet. 9

I.2.3. Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật. 9

I.2.4. chức năng VPN. 10

I.3. CÁC ỨNG DỤNG CỦA ISA SERVER. 11

I.3.1. ISA Server hoạt động như một Internet-edge firewall 11

I.3.2 ISA Server hoạt động như một Back-End Firewall. 13

I.3.3. ISA Server hoạt động như một Branch Office Firewall. 14

II. CÀI ĐẶT ISA 2004. 16

II.1 YÊU CẦU CÀI ĐẶT . 16

II.1.1. yêu cầu phần cứng và phần mền. 16

II.1.2. các bước cài đặt. 16

Chương II. THIẾT LẬP FIREWALL VÀ CÁC RULE TRONG ISA SERVER 19

I. TỔNG QUAN VỀ TƯỜNG LỬA (firewall). 19

I.1. KHÁI NIỆM VỀ FIREWALL. 19

I.1.1. Phân loại firewall. 19

I.1.2. Chức năng của Firewall. 20

I.1.3. Các kiến trúc Firewall cơ bản. 20

II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL. 24

II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control). 24

II.1.1. Vị trí xảy ra quá trình xử lý gói. 24

II.1.2. Luật lọc (Filtering Rules). 26

II.1.3. Hoạt động của tường lửa người đại diện ứng dụng (Proxy Application). 27

II.2. QUẢN LÝ XÁC THỰC (User Authentication). 29

II.2.1. Kiểm tra và Cảnh báo (Activity Logging and Alarms). 30

III. THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA. 31

III.1. CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP. 31

III.1.1. Mô hình cơ bản. 31

III.1.3. Mô hình Firewall phức tạp 31

III.2. THIẾT LẬP VÀ CẤU HÌNH. 32

III.2.1. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức. 32

III.2.2. Cấu hình cho các clien ra Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS 41

III.2.3. Cấm 1 số địa chỉ IP 10.0.0.3 chỉ cho coi web thấy chữ và Không thấy hình và các video. 41

III.2.4. Cấu hình cache và tiến hành lập lịch down 1 số trang web. 42

III.2.5. Cấu hình DNS phân giải tên. 42

Chương III. THIẾT LẬP VPN VỚI ISA SERVER 2004 44

I. TỔNG QUAN VỀ VPN 44

I.1. MỘT SỐ KHÁI NIỆM VPN. 44

I.1.1. Mã hóa (encryption): 45

I.1.2. Xác nhận (authentication): 46

I.1.3. Ủy quyền (authorization): 46

I.1.4. giao thức đường hầm VPN. 46

I.1.5. Ưu điểm và khuyết điểm của VPN. 47

I.2. CÁC DẠNG VPN. 48

II. CẤU HÌNH VPN VỚI ISA SERVER 2004. 50

II.1. VPN CLIENT TO SITE DÙNG GIAO THỨC PPTP. 50

I.1.1. các bước cấu hình và thiết lập. 50

II.2. VPN CLIENT TO SITE DÙNG GIAO THỨC L2TP/IPSEC. 55

II.2.1. Các bước cấu hình và thiết lập. 55

III.3. VPN SITE TO SITE. 63

III.3.1. Các bước cấu hình và thiết lập. 63

KẾT LUẬN 94

C¸c tõ viÕt t¾t 96

Tµi liÖu tham kh¶o 98

LỜI CAM ĐOAN 99

 

doc101 trang | Chia sẻ: maiphuongdc | Lượt xem: 3028 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Đồ án Thiết lập và cấu hình VNP với ISA server 2004, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
a một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Service. Nếu dịch vụ và địa trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy Service sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa. Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản tri tường lửa phải xây dựng chính sách đại diện thích hơp vói dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thông mạng bên trong tường lửa. c. Bastion Host Firewall (Pháo đài phòng ngự): Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ Hình 6 Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối vơi tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài. Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập. II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL. Trong phần này sẽ sâu vào 3 hoạt động chính của một tường lửa đó là: điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging). Như ở trên đã giới thiệu có hai loại tường lửa vơi 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người đại diện ung dụng. Điểu khiển truy nhập phụ thuộc vào sự nhận dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩa quyền xác thực của người sử dụng. II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control). II.1.1. Vị trí xảy ra quá trình xử lý gói. Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có thể vựợt qua một tường lửa ỏ mức tầng ứng dụng, ở mức nhân hệ điều hành hoặc là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này. Hình 7 Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hổ trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác không được hỗ trợ ở đây. Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc. Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh. Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Một gói phải được xử lý và được cho qua mà không cần phải đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này. Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, các mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác. Tâng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bới các tầng thấp hơn nó. Hoạt động lọc gói (Packet Filtering) Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hoặc mức nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được chuyển đến trạm đích hoặc router tiếp theo. Gói bị chặn lại sẽ bị loại bỏ. II.1.2. Luật lọc (Filtering Rules). Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm: Field purpose Source IP address IP của trạm nguồn gửi gói tin Destination IP address IP trạm đích nhận gói tin Upper level protocol (TCP or UDP) cho giao thức khác và dịch vu khác TCP or UDP source port number cổng trạm nguồn gửi gói tin TCP or UDP destination port number cổng trạm đích gửi gói tin Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hoặc miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật. Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân. Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin do đó trật tự sắp xếp các luật cũng rất quan trọng nógóp phần làm cho quá trình lọc được nhanh hơn.Có một điều đáng quan tâm ở đây đó là danh sách luật là hữu hạn và ta không thể lường hết được các tình huống để đưa ra tất cả các luật được vì vậy phải có một luật mặc định ở đây để nếu như khi xem xét hết tất cả các luật trong danh sách luật rồi mà bộ lọc vẫn không thể đưa ra được quyết định thì luật mặc định này sẽ giúp bộ lọc đưa ra quyết định. Có 2 ý tưởng chủ đạo trong việc tạo ra luật mặc định này đó là hoặc là từ chối tất cả hoặc chấp nhận tất cả, có nghĩa là tất cả các gói có thông tin không thoả mản tập luật thì bị từ chối cho qua hoặc chấp nhận cho qua hết. II.1.3. Hoạt động của tường lửa người đại diện ứng dụng (Proxy Application). Hình 8 Người sử dụng trước hết phải thiết lập một kết nối đến người đại diện ứng dụng trên tường lửa (1). Đại diện ứng dụng này sẽ tập hợp các thông tin liên quan đến mối liên kết và yêu cầu của người sử dụng (2). Tường lửa sẽ sử dụng thông tin này để quyết định liệu yêu cầu có được cho phép thực thi hay không. Nếu yêu cầu từ phía người dùng là thoả đáng thì người đại diện trên tường lửa sẽ tạo một kết nối khác từ tường lửa đến đích dự kiến (3). Sau đó người đại diện sẽ đóng vai trò như một con thoi để truyền tải dữ liệu giữa 2 mối kết nối (4) Có 2 điểm cần lưu ý ở đây là: - Thứ nhất, kết nối đầu tiên phải được thiết lập đến người đại diện trên tường lửa thay vì nối trực tiếp đến trạm mong muôn kết nối. - Thứ hai, người đại diên trên tường lửa phải có được địa chỉ IP của trạm đích. Trước khi người sử dụng hoặc một ứng dụng nào đó muốn kết nối đến người đại diên ứng dụng thì phải thiết lập kêt nối đến tường lửa, kết nối này phải sử dụng phương pháp chuẩn để cung cấp tên hoặc địa chỉ IP của trạm trạm đích mong muốn. Đây không phải là một công việc dễ dàng vì giao thức tầng ứng dụng luôn cố đinh và thường không hỗ trợ sự vượt qua của những thông tin được thêm vào. Để khắc phục đặc điểm này có rất nhiều giải pháp bắt buộc người sử dụng và các ứng dụng phải tuân theo. a. Kết nối trực tiếp. Đây là giải pháp đầu tiên cho phép người sử dụng thiết lập kết nối trực tiếp đến tường lửa thông qua địa chỉ và số hiệu cổng người đại diện sau đó người đại diện sẽ hỏi người sử dụng để biết được địa chỉ của trạm mong muốn kết nối. Đây là một phương pháp thô được sử dụng bởi nhưng tường lửa sơ khai vì thế không được ưa dùng. b. Sử dụng chương trình hỗ trợ máy khách. Giải pháp tiếp theo sử dụng trong việc cài đặt người đại diện là phải có mộtchương trinh hỗ trợ đặt trên máy của người sử dụng. Người sử dụng sẽ chạy ứng dụng đặc biệt để tạo kết nối đến tường lửa. Người sử dụng chỉ việc cung cấp địa chỉ hoặc tên của trạm đích cho ứng dụng bổ trợ. Địa chỉ tường lửa sẽ được ứng dụng bổ trợ này lấy ra từ file cấu hình cục bộ sau đó nó sẽ thiết lập kết nối đến người đại diện trên tường lửa. Giải pháp này tỏ ra hữu hiệu và trong suốt đối với người sử dụng tuy nhiên hạn chế của nó là mỗi chương trình hỗ trợ máy khách chỉ thực hiện tương ứng với một dịch vụ nào đó của mạng mà thôi. c. Sử dụng người đại diện tàng hình. Một phương pháp nữa được sử dụng hiện nay cho việc kết nối đến đại diện ứng dụng trên tường lửa là sử dụng đại diên tàng hình (ẩn). Với giải pháp này thì người sử dụng không cần đến chương trình hỗ trợ máy khách hoặc kêt nối trực tiếp đến tường lửa. Ở đây người ta sử dụng phương pháp dò đường căn bản, mọi kết nối đến các mạng bên ngoài đều phải định hướng thông qua tường lửa. Các gói khi vào trong tường lửa tự động sẽ đổi hướng đến một đại diện ứng dụng móng muốn. Ứng dụng đại diện có được địa chỉ trạm đích một cách chính xác bằng cách lấy địa chỉ trạm đích của phiên. Trongtrường hợp này tương lửa giã mạo thành một trạm đích và chặn các phiên lại. Khi một kết nối được thiết lập đến đại diện trên tường lửa thì trình ứng dụng máy khách sẽ nghĩ rằng nó đang kết nối đến một trạm đích thật sự. Nếu được phân quyền thì đại diện ứng dụng trên tường lửa sẽ dùng một hàm đại diện để tạo ra liên kết thứ hai đến trạm đích thật. II.2. QUẢN LÝ XÁC THỰC (User Authentication). Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ.Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình. Hậu quả của việc này có khi là rất nghiêm trọng. Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiều người sử dụng. Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN. -RADIUS (Remote Authen-tication Dial-In User Service) -TACAS+ (Terminal Access Controller Access Control System Extended) Thông thường chức năng authentication được thực hiện với sự phối hợp của một thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm (giải mã theo thuật toán và tiêu chuẩn khóa mã định trước). Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối. II.2.1. Kiểm tra và Cảnh báo (Activity Logging and Alarms). a. Kiểm tra (Activity logging): Để cung cấp thông tin về những hoạt động của mạng tới người quản trị hầu hết các tường lửa ghi chép các thông tin vào files (log files) và lưu giữ trên đĩa. Một tường lửa hoàn chỉnh phải ghi chép đầy đủ các thông tin về các kết nối thành công và cả không thành công. Các thông tin này rất hữu ích cho việc phát hiện kịp thời những lỗ hổng trêntường lửa. Một log file chuẩn phải có các thông tin sau: + Thời gian bắt đầu và kết thúc của một phiên + Địa chỉ trạm nguồn. + Địa chỉ trạm đích. + Giao thức sử dụng (TCP hay UDP) + Cổng được mở trên trạm đích. + Kết quả của việc kết nối (thành công hay bị từ chối). + Tên người sử dụng nếu xác thực được sử dụng. Ngoài ra còn có thể có thêm các thông tin về số gói được chuyển qua, số lần lặp lại của kết nối đó…. b. cảnh báo (Alarm): Hoạt động báo động cũng rất quan trọng đối với người quản trị. Khi có một kết nối đến mạng thì tường lửa sẽ phát tín hiệu để người quản trị biết. Đồng thời hoạt động cảnh báo cũng đưa ra tình trạng lỗi của các gói. Khi một gói bị chặn lại không qua được tường lửa thì hoạt động cảnh báo của tường lửa cũng gửimột cảnh báo đến trạm nguồn thông báo về nguyên nhân loại bỏ gói đó. III. THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA. III.1. CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP. III.1.1. Mô hình cơ bản. Hình 9 III.1.3. Mô hình Firewall phức tạp: thường sử dụng trong các Doanh Nghiệp lớn Nó có thể chống để các đợt tấn công và xâm nhập bức hợp pháp cả bên trông lẫn bên ngoài Internet Hình 10 III.2. THIẾT LẬP VÀ CẤU HÌNH. III.2.1. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức. B1. Chọn vào Firewall Policy click chuột phải chọn New rồi chọn tiếp Access rule B2. Xuất hiện Hộp thoại Access rule name: Ta điền Amin ra Internet rồi ta bấm Next B3. Xuất hiện hộp thoại Rule Action (luật Hành động ) Action to take when rule condition are met: Allow: (cho phép) Deny: (Cấm) Rule ở đây là ra Internet nên ta chọn Allow rồi bấm Next B4. Màn hình xuất hiện hộp thoại Protocols (Gồm những hành động nào đi ra ngoài) This rule applies to: Ta chọn hành động All outbound trafic: hành động này đi ra ngoài sử dụng được tất cả các Protocol v.v Ta bấm Next Selected protocols: Muốn Protocol nào đi ra ngoài thì chọn mục này All outbound traffic except selected: Cho phép sử dụng tất cả Protocol nhưng muốn không dùng 1 Protocol nào thì chọn mục này B5. Acces Rule Sources (nguồn xuất phát từ đâu) Ta chọn Add xuất hiện hộp thoại Add Network Entities Ta chọn mục Network: Internal là bên trong, External là bên ngoài, Local Host là máy ISA. Ta muốn ra ngoài Internet nên ta chọn nơi xuất phát từ Internal rồi Close Lúc này Access Rule Sources có Internal ta bấm Next B6. Access Rule Destinations (Đi Đâu). Ta tiếp tục chọn Add. Muốn ra ngoài Internet ta chọn External rồi Close Lúc này Ta thấy ngoài Access rule Destinations có External ta bấm Next B7. Màn hình xuất hiện hộp thoại User Sets (Ai đi ra). Ta muốn Admin đi ra thì bỏ All Users bằng cách bấm vào All Users bấm nút Remove, Rồi bấm Add B8. Màn hình Add Users xuất hiện Ta chọn vào New B9. Màn hình New User Set Wizard xuất hiện: Ta điền là Admin Rồi Ta Bấm Next Khi đó Ta chọn Add nó hiện lên 3 dòng ta chọn Windows users and groups B10. Ta chọn vào Location chọn Entire Directory rồi chọn abc.com rồi Ok, sau đó chọn vào Advanced rồi bấm nut Find Now ta sẽ thấy mục Search results có Administrator ta chọn rồi Ok rồi Next sau đó Finish B11. Bây giờ ta thấy có Admin do ta làm hồi nãy ta chọn Admin rồi Close B12. Bây giờ User Sets không phải là chữ All Users mà là chữ Admin ta bấm Next tiếp rồi Finish rồi Apply Kể từ bây giờ admin có thể truy cập được Internet - Bây giờ Clien bỏ DF 10.0.0.100 đi thì không vô Internet được Máy Clien mở IE lên chọn Tab Menu Tool chọn Internet Options Rồi chọn Tab Connection rồi chọn Lan Setting Mục Proxy server Use a proxy server for your LAN ( These setting will not apply to dial-up or VPN connections) ta đánh dấu vô Address ta đánh địa chỉ IP của máy ISA 10.0.0.100 Port 8080 rồi Ok Lúc này ta lại vô được Internet Ta không cần có DF vẫn ra Internet, 2 Kiểu đi ra Internet khác nhau là : • Máy Clien ta để DF đến ISA lúc đó máy ISA đang đóng vai trò NAT • Còn lúc Client trong trình duyệt IE mà cấu hình Proxy lúc đó máy ISA đóng vai trò Proxy Server Ta mở IE lên vào Proxy bỏ hết các thông số ta sẽ không đi bằng kiểu NAT hoặc Proxy nữa mà đi bằng kiểu 3 Máy Clien mở hộp thoại RUN lên đánh địa chỉ IP của máy ISA \\10.0.0.100 ta sẽ thấy bên máy ISA có 1 thư mục đăt tên là mspclnt ta click đôi vào đó rồi chạy file Setup ta cứ việc Next rồi Next thêm cái nữa . Màn hình ISA server Computer Selection xuất hiện Ta chọn Connect to this ISA Server computer ta đánh IP của ISA 10.0.0.100 rồi Next Bấm Install rồi bấm Finish và khi cài xong máy clien sẻ có biểu tượng và lúc này ta không có DF và Proxy nhưng vẫn truy cập được Internet Kết luận: Máy Clien khi mà để DF thì gọi là Secure NAT Máy Clien không để DF nhưng sử dụng Proxy gọi là Proxy Clien Khi Clien không dùng DF và Proxy mà đi cài Tool ISA Clien gọi là Firewall Clien Mỗi cách sẻ có 1 ưu nhược điểm riêng Nếu ta dùng Secure NAT thì thằng Clien có thể ra Internet và dùng bất kì Protocol nào mà ISA allow cho cái rule của nó. Nếu dùng Proxy chỉ đi ra được Internet bằng HTTP và FTP bất chấp máy ISA có allow mọi Protocol nhưng bù lại phương pháp đi bằng Proxy tận dụng được CACHING bởi vì lúc đó máy ISA đi dùng .Nếu có máy Client khác mà hõi lại 1 trang web nào mà ISA nhớ nó có nằm trong cache lúc đó máy ISA trả lời lại liền Firewall Clien là dạng tổng hợp của 2 dạng trên và nó sẻ tự biết là khi nào nên dùng Secure NAT và khi nào dùng Proxy III.2.2. Cấu hình cho các clien ra Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS B1. Ta chọn vào Firewall Policy click chuột phải chọn New rồi chọn Access rule. Acces rule name ta điền: Users ra Internet (HTTP và HTTPS). B2. Màn hình xuất hiện hộp thoại Rule Action.ta chọn Allow Protocols.Ta chọn Sellected protocols rồi chọn Add Rồi ta chọn mục web rồi chọn 2 giao thức HTTP và HTTPS rồi Close B3. ta chọn Next Access Rule Sources : ta bấm Add rồi bấm vào Network chọn Internal rồi Close rồi Next Access Rule Destinations : ta chọn External rồi bấm Next tiếp User Sets mặc định là All Users ta tiếp tục bấm Next rồi Finish Và Apply Lúc này User chỉ sử dụng được có 2 giao thức HTTP và HTTPS III.2.3. Cấm 1 số địa chỉ IP 10.0.0.3 chỉ cho coi web thấy chữ và Không thấy hình và các video. B1. Ta chọn vào Firewall Policy Click chuột phải chọn New rồi chọn Access rule Acces rule name ta điền: Cấm hinh anh. Rule Action: ta chọn Deny Protocols: Ta chọn All outbound traffic Access Rule Sources: Ta chọn Add rồi chọn New rồi chọn dòng Computer Dòng Name điền: may clien. Computer IP Address: 10.0.0.3 rồi Ok Thì mục Computer bây giờ có may Clien rồi ta chọn rồi bấm nút Close Lúc này Access Rule Source sẽ có may clien rồi ta bấm Next Access Rule Destination : Ta chọn External B2. User Sets: ta chọn All Users rồi bấm Next rồi Finish và Apply Click phải vào cam hinh anh rồi chọn Properties. Ta tìm đến tab Content Types Ta đánh dấu vào Selected content types (with this option selected, the rule is applicable only to HTTP traffic) và tiếp tục chọn vào 2 mục Images và Video Ta Ok và Apply Lúc này bên máy Clien có IP 10.0.0.3 truy cập được web nhưng chỉ thấy chữ nhưng không thấy hình và video III.2.4. Cấu hình cache và tiến hành lập lịch down 1 số trang web. B1. Ta chọn Configuation rồi chọn Cache bấm chuột phải rồi chọn Denfine Cache Driver Ta chọn ổ đĩa C: Maximum cache size (MB) dung lượng chứa cache : ta cho 500 rồi bấm nút Set rồi Ok. Ta Apply Ta chọn Save the changes and restart the services rồi Ok. B2.Ta chọn lại Configuration rồi cache bấm chuột phải chọn properties rồi chọn tab Active Caching ta đánh dấu vào Enable active caching rồi ta đánh dấu vào tiếp ô Normally rồi Ok Như vậy ta đã tiến hành cấu hình cache xong Lập lịch Down 1 số trang web về máy Ta bấm vào Configuration rồi bấm cache bấm chuột phải chọn New rồi chọn Content download job rồi chọn Yes. B3. Ta bấm vào Configuration rồi bấm cache bấm chuột phải chọn New rồi chọn Content download job. Content Download Job name: ta điền mail rồi Next. Run the job ta đánh dấu vào Weekly : vào mỗi tuần nó sẽ tự động down rồi Next Select the days the Job will Run ( nó sẽ down vào ngày thứ mấy) Ta đánh dấu vào Sunday rồi Next. Download content from this URL: ta điền địa chỉ trang web muốn down và cache http:// www.mail.yahoo.com rồi ta Next Cache Content: ta chọn if source request headers indicate then the content will be cached Time To – Live: ta chọn Expire content according to the cache rule rồi ta Next. Rồi ta Finish. III.2.5. Cấu hình DNS phân giải tên. B1. Chọn Firewall Policy click chuột phải chọn New rồi Access Rule Access rule name: DNS Rule Action: Allow Protocols. This rule appiles to: ta chọn Selectes protocols rồi bấm Add ta chọn Comomn. B2. Protocols rồi chọn DNS rồi Close rồi Next. Access Rule Sources: Internal. Access Rule Destinations: External. User Sets : All Users rồi Next rồi Finish ta Apply Khi mà ta vào Run đánh CMD mà hình DOS xuất hiện rồi đánh nslookup rồi đánh một trang web bất kỳ ví dụ: www.google.com.vn ta thấy phân giải tên được là 64.233.189.104 Chương III THIẾT LẬP VPN VỚI ISA SERVER 2004 I. TỔNG QUAN VỀ VPN I.1. MỘT SỐ KHÁI NIỆM VPN. Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPN. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng. Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point. Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau: I.1.1. Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa: a. Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó. b. Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó. Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES). I.1.2. Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) I.1.3. Ủy quyền (authorization): Là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công. I.1.4. giao thức đường hầm VPN. Có 3 giao thức đường hầm chính được sử dụng trong VPNs: a. IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng. b. Point-to-Point Tunneling Protocol (PPTP). Được phát triển bởi M

Các file đính kèm theo tài liệu này:

  • docThiết lập firewall và các rule với ISA server.doc
Tài liệu liên quan