Do An ISA Full

TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH

Trang 1

ĐỒ ÁN TỐT NGHIỆP:

XÂY DỰNG HỆ THỐNG TƢỜNG LỬA CHO

DOANH NGHIỆP VỚI MICROSOFT ISA SERVER

TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011

GVHD: Thầy Dương Minh Trung.

SVTH: - Trần Thế Cường.

- Phan Đình Đảm.

- Phạm Gia Nguyên Huy.

Chuyên Ngành: Quản Trị Mạng Máy Tính.

Lớp: 01CCHT02.

Niên Khóa: 2008 – 2011.


Trang 2

LỜI CẢM ƠN

Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”. Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm Chúng em giải quyết khó khăn trong đồ án này. Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh. Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên để nội dung của Đồ án ngày càng hoàn thiện hơn.

Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!.

Trường CĐ Nghề CNTT iSpace – Khoa CNTT

Sinh Viên Thực Hiện Đề Tài:

Trần Thế Cường Phan Đình Đảm Phạm Gia Nguyên Huy


Trang 3

NHẬN XÉT, KẾT LUẬN CỦA GIẢNG VIÊN HƢỚNG DẪN

1. NHẬN XÉT:

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

2. KẾT LUẬN:

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

...............................................................................................................................................

Giảng Viên Hướng Dẫn:


Trang 4

MỤC LỤC

A- MỞ ĐẦU ................................................................................................................................ 7

I- Lời Nói Đầu: ....................................................................................................................... 7

II- Lý Do Chọn Đề Tài ............................................................................................................ 7

III- Mục Tiêu .......................................................................................................................... 7

IV- Tổng Quan Microsoft ISA Server ..................................................................................... 8

1. Giới Thiệu ....................................................................................................................... 8

2. Cơ Chế Client Tham Gia Vào ISA Server............................................................................. 9

3. Một Số Tính Năng Của ISA Server ....................................................................................10

4. Cách Thức Làm Việc Của ISA Server ................................................................................11

5. Cơ Chế Hoạt Động Của ISA Server ...................................................................................13

6. Chính Sách Bảo Mật Trong ISA Server ..............................................................................14

7. Các Mô Hình Triển Khai ISA Server...................................................................................15

8. ISA Server Bảo Mật Truy Cập Internet ..............................................................................18

B- NỘI DUNG ........................................................................................................................... 19

I- Mô Tả Thông Tin .............................................................................................................. 19

II- Yêu Cầu Đề Tài ............................................................................................................... 19

III- Phân Tích Đề Tài ........................................................................................................... 20

IV- THIẾT KẾ ........................................................................................................................ 22

1. Sơ Đồ Luận Lý Tổng Quát ..................................................................................................22

2. Sơ Đồ Luận Lý Chi Tiết ......................................................................................................23

C- TRIỂN KHAI ........................................................................................................................ 24

I- Hoạch Định Địa Chỉ IP, Computer Name ........................................................................ 24

1. Trụ Sở Chính – Quận 1 ......................................................................................................24

2. Chi Nhánh – Quận 5 ..........................................................................................................26

II- Xây Dựng Hệ Thống Mạng ............................................................................................. 27

1. Triển khai Domain Controller ..............................................................................................27

2. Triển Khai ISA Server ........................................................................................................28

3. Triển Khai Web Server .......................................................................................................33

4. Triển Khai Mail Server ........................................................................................................34

5. Triển Khai Web-mail Sử Dụng Port 80 .................................................................................36


Trang 5

6. Triển Khai Wildcard Certificate ............................................................................................39

7. Triển Khai FTP Server ........................................................................................................57

8. Triển Khai File Server.........................................................................................................60

III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server ................................................................. 68

1. Triển Khai Network Loab Balancing .....................................................................................68

2. Access Rule ......................................................................................................................74

3. Publishing Server Ra Internet .............................................................................................89

4. Triển khai VPN ISA .......................................................................................................... 101

5. Triển Khai Phát Hiện Xâm Nhập Với IDS ............................................................................ 114

6. Triển khai Antivirus và Antisyware .................................................................................... 119

7. Giám sát hoạt động hệ thống mạng .................................................................................. 122

D- HƢỚNG MỞ RỘNG ........................................................................................................ 133

I. Đánh Giá Đề Tài.............................................................................................................. 133

II. Định Hƣớng Hệ Thống Trong Tƣơng Lai ...................................................................... 133


Trang 6

TÀI LIỆU THAM KHẢO

[1] Tô Thanh Hải, Phương Lan – Triển khai Firewall với Microsoft ISA Server 2006 (Quý III/ 2010), Nhà xuất bản Lao động Xã hội.

[2] Giáo trình Triển khai An toàn mạng – Khoa CNTT – Trường CĐ Nghề CNTT iSpace.

[3] Diễn đàn Nhất nghệ: http://nhatnghe.com/forum/ [4] MS Open Lab: http://msopenlab.com/

[5] Diễn đàn Kỹ thuật viên: http://www.kythuatvien.com/forum/ [6] Diễn đàn CNTT: http://diendancntt.vn/

http://nhatnghe.com/forum/

http://msopenlab.com/

http://www.kythuatvien.com/forum/

http://diendancntt.vn/


Trang 7

A- MỞ ĐẦU

I- Lời Nói Đầu:

- Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ

thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt

thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự

phát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến

nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông

tin.

- Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực. Chúng ta không

thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng

mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với

mục đích tư lợi hay chứng tỏ bản thân mình. Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai

trò bảo mật hệ thống mạng là vô cùng quan trọng.

II- Lý Do Chọn Đề Tài

- Nhóm chúng tôi đã quyết định chọn đề tài: “Xây dựng hệ thống tường lửa cho Doanh nghiệp với

Microsoft ISA Server” vì đề tài rất thực tế, giúp chúng tôi có thêm kinh nghiệm và ứng dụng thực

tiễn sau khi ra trường.

III- Mục Tiêu

- Ứng dụng Tường lửa ISA Server quản lý hệ thống Mạng Doang nghiệp với mục tiêu:

1. Đảm bảo hệ thống tường lửa hoạt động ổn định.

2. Bảo mật và An toàn hệ thống mạng.

3. Giám sát và quản lý hệ thống mạng hiệu quả.


Trang 8

IV- Tổng Quan Microsoft ISA Server

1. Giới Thiệu

- Microsoft Internet Security and Acceleration (ISA) là phần mềm Share Internet của tập đoàn Microsoft.

- Đây là một phần mềm thiết lập như một tường lửa (Firewall) và cho phép mạng nội bộ truy cập

Internet linh hoạt nhờ chế độ Cache thông minh.

- ISA Server 2006 có hai phiên bản Standard và Enterprise, phục vụ cho những môi trường khác

nhau.

ISA Server 2006 Standard:

- ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung

bình. Với phiên bản này chúng ta có thể xây dựng firewall để:

- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.

- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn

chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp

(ví dụ như giờ làm việc).

- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc

truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội

sở.

- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server

cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm

ngăn ngừ sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống.

- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo

cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ.

- Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật

và tăng tốc Internet).

ISA Server 2006 Enterprise:

- ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy

xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server

2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một

chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).

o Tóm lại, ISA Server có các chức năng chính:

Chia sẻ kết nối internet – chia sẻ băng thông của đường truyền internet.


Trang 9

Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội

bộ hoặc ngược lại.

Tăng tốc truy cập Web bằng giải pháp Cache trên Server.

Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server.

ISA Server 2006 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân

bằng tải giữa hai hay nhiều đường truyền internet.

2. Cơ Chế Client Tham Gia Vào ISA Server

- Client có thể tham gia vào ISA Server với các cơ chế sau đây:

SecureNAT:

- SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP, hoặc một máy tính

đang sử dụng Linux. Clients sử dụng SecureNAT không thể tận dụng hết được tính năng của ISA

Server.

- Để sử dụng SecureNAT, các máy Clients chỉ cần cấu hình Default Gateway trỏ về địa chỉ IP của ISA

Server.

Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA Server. - Hoặc sử dụng DHCP Server để cấu hình Default Gateway cho Clients trỏ về địa chỉ ISA Server.


Trang 10

Sử dụng DHCP Server cấu hình Gateway cho các máy Clients trong LAN. - Cơ chế SecureNAT không thể kiểm soát và chứng thực User, password, trang web, ... trong hệ thống

mạng. Web Proxy Clients:

- ISA Server hoạt động vơi tính năng Proxy rất tốt. Proxy Server cung cấp cho Clients tính năng

Cache cho Web. Web Caching trên ISA Server sử dụng rất tốt. ISA Server Cache nội dung Web trên RAM nên tốc độ cải thiện đáng kể. Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể sử dụng ISA Server làm Proxy Server. Các Browser như IE, Firefox, Avant Browser có thể dùng ISA

Server 2006 làm Proxy Server. Các Proxy Clients không cần sử dụng Default Gateway cũng có thể truy cập HTTP và FTP bình thường.

- Tính năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP và FTP. Web

Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng tay.

Firewall Clients:

- Loại Clients này cần cài đặt một chương trình trên máy Clients. Clients của ISA Server chỉ có thể cài trên hệ điều hành Windows nên loại Clients này chỉ đặc biệt dùng cho Windows.

- Clients của ISA Server sẽ tạo kết nối đến ISA Server bằng một Tunnel riêng có mã hóa gọi là

WinSOCKS, tất cả các traffic sẽ được chuyển đến ISA Server và ISA Server sẽ đóng vai trò Proxy

cho tất cả các loại traffic. Clients có cài đặt chương trình Firewall Clients có thể tận dụng tính năng

Single Sign On với User Account trên Active Directory. Cấu hình Firwall Clients cần cài đặt thêm một

chương trình trên Clients. Chương trình này được lấy từ một thư mục Share trên ISA Server. ISA

Server tự tạo Rule cho phép Clients trong Internal được truy cập vào ISA Server lấy tài nguyên

Share này.

3. Một Số Tính Năng Của ISA Server

- ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức.

Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (security polices) để phân

phát đến „user‟ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức


Trang 11

cũng cung cấp cho các user ở xa (remote user) một số cách thức truy cập đến các máy chủ trong

mạng tổ chức.

- Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của

công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự

truy cập như vậy được bảo mật.

4. Cách Thức Làm Việc Của ISA Server

- ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành

đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình 1 cho

chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.

Hình 1: Mô hình ISA đơn giản

- Mạng bên trong (Interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và

có sự giám sát của nhân viên IT trong tổ chức. Internal network coi như đã được bảo mật một

cách tương đối, tức là thông thường những User đã được chứng thực mới có quyền truy cập vật lý

đến Interal network. Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho

phép trên Internal Network.

- Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm

rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch

ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được

an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như

Virus và Worm đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo

vệ vành đai mạng, nhưng bạn đừng ngh , sau khi triển khai ISA Server thì việc của bạn đã xong.

- Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các traffic của mạng trên

Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và

truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra,

những gói tin trên mạng (Network packet) gửi qua Internet không được an toàn, bởi vì chúng có

thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy Packet Sniffer trên một phân đoạn mạng

Internet. Packet Sniffer là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các traffic

trên một mạng, điều kiện để bắt được traffic mạng là Packet Sniffer phải kết nối được đến phân

đoạn mạng giữa hai Router.


Trang 12

- Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông

tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với

họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập

được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm

mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có ngh a là, không sớm

thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho

bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website

của tổ chức, đó cũng có thể là kẻ xấu cố gắng „deface‟ toàn bộ dữ liệu trên Website hoặc đánh cấp

dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo

mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet

của bạn là xem tất cả „user‟ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được

chứng minh.

H nh đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa Internal

network và Internet được định ngh a một cách dễ dàng. Trong thực tế, việc định ngh a ranh giới

giữa Interal network của tổ chức với phần còn lại của thế giới là không hề đơn giản. H nh cho

thấy một sự phức tạp hơn, nhưng thực tế hơn.

Hình 2: Mô hình ISA trên thực tế

- Vành đai mạng đã trở nên khó định ngh a hơn theo như kịch bản trong H nh . Kịch bản này cũng

khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong H nh , ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:


Trang 13

Cho phép truy cập nặc danh đến Website dùng chung (Public website), trong khi đó lọc ra mã

độc hại nhắm đến việc gây hại Website. Chứng thực User từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng

(Private website).

Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong Interal network.

Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến

Internal File Server.

- p đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới

„user‟, và lọc từng „request‟ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép.

5. Cơ Chế Hoạt Động Của ISA Server

- ISA Server hoạt động như một Tường lửa (Firewall).

- Firewall là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong

một mạng. Firewall được cấu hình với những „rule‟ lọc „traffic‟, trong đó định ngh a những loại

„network traffic‟ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của

tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng.

- Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall

trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal

network‟ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một „internal Web

Server‟ cần cho „internet user‟ có thể tới được. Firewall có thể được cấu hình để cho phép các

„traffic‟ từ Internet chỉ được truy cập đến Web Server đó.

- Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi triển khai ISA Server, nó sẽ

khóa tất cả „traffic‟ giữa các mạng mà nó làm Server, bao gồm „internal network‟, vùng DMZ và

Internet. ISA Server 2006 dùng 3 loại quy tắc lọc („filtering rule‟) để ngăn chặn hoặc cho phép

„network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering.

Packet Filtering – Lọc gói tin

- Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới

firewall. Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và

kiểm tra thông tin (địa chỉ nguồn và đích, „port‟ nguồn và đích). ISA Server so sánh thông tin này

dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép. Nếu địa chỉ nguồn và

đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để

đến đích. Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt

và không được đi qua firewall.

Stateful Filtering – Lọc trạng thái

- Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với „network packet‟ để dẫn đến quyết

định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các

„header‟ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái

của một „packet‟ bên trong nội dung của những „packet‟ trước đó đã đi qua ISA Server, hoặc bên

trong nội dung của một phiên („session‟) TCP.

- Ví dụ: một „user‟ trong „internal network‟ có thể gửi một „request‟ đến một Web Server ngoài

Internet. Web Server đáp lại „request‟ đó. Khi „packet‟ trả về đi tới firewall, firewall kiểm duyệt


Trang 14

thông tin „TCP session‟ (là một phần của „packet‟). Firewall sẽ xác định rằng „packet‟ thuộc về một

„session‟ đang hoạt động mà đã được khởi tạo bởi một „user‟ trong „internal network‟, vì thế „packet‟

được chuyển đến máy tính của „user‟ đó. Nếu một „user‟ bên ngoài mạng cố gắng kết nói đến một

máy tính bên trong mạng tổ chức, mà firewall xác định rằng „packet‟ đó không thuộc về một

„session‟ hiện hành đang hoạt động thì „packet‟ sẽ đị đánh rớt.

Application-Layer Filtering – Lọc lớp ứng dụng

- ISA Server cũng dùng bộ lọc „application-layer‟ để ra quyết định một „packet‟ có được cho phép hay

là không. „Application-layer filtering‟ kiểm tra nội dung thực tế của „packet‟ để quyết định liêu

„packet‟ có thể được đi qua firewall hay không. „Application filter‟ sẽ mở toàn bộ „packet‟ và kiểm tra

dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.

- Ví dụ: một „user‟ trên Internet có thể yêu cầu một trang từ „internal Web Server‟ bằng cách dùng

lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi „packet‟ đi tới firewall,

„application filter‟ xem xét kỹ „packet‟ và phát hiện lệnh “GET”. „Application filter‟ kiểm tra chính

sách của nó để quyết định.

- Nếu một „user‟ gửi một „packet‟ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông

tin lên Web Server, ISA Server một lần nữa kiểm tra „packet‟. ISA Server nhận thấy lệnh “POST”,

dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và „packet‟ bị

đánh rớt.

- „HTTP application filter‟ được cung cấp cùng với ISA Server 2004/2006 có thể kiểm tra bất kỳ thông

tin nào trong dữ liệu, bao gồm: „virus signature‟, chiều dài của „Uniform Resource Location‟ (URL),

nội dung „page header‟ và phần mở rộng của „file‟. Ngoài „HTTP filter‟, ISA Server còn có những

„application filter‟ khác dành cho việc bảo mật những giao thức và ứng dụng khác.

- Các „firewall‟ mềm hiện nay xử lý lọc „packet‟ và „stateful‟. Tuy nhiên, nhiều „firewall‟ không có khả

năng thực hiện việc lọc lớp ứng dụng („application-layer‟). Và „application-layer filtering‟ đã trở

thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.

- Ví dụ: giả định rằng tất cả các tổ chức đều cho phép „HTTP traffic (port 80)‟ từ „internal network‟

đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức „HTTP‟.

Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ „file‟ như KazaA.

„HTTP traffic‟ cũng có thể chứa „virus‟ và mã độc („malicious code‟). Cách ngăn chặn những

„network traffic‟ không mong muốn, trong khi vẫn cho phép sử dụng „HTTP‟ một cách phù hợp, chỉ

có thể thực hiện được bằng việc triển khai một „firewall‟ có khả năng lọc lớp ứng dụng. „Application-

layer firewall‟ có thể kiểm tra nội dung của các „packet‟ và ngăn „traffic‟ trên phương thức „HTTP‟

(để ngăn ứng dụng) hoặc „signature‟ (để ngăn „virus‟, mã độc hại, hoặc ứng dụng). ISA Server

chính xác là một loại „application-layer firewall‟ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo

vệ mạng.

6. Chính Sách Bảo Mật Trong ISA Server

- ISA Server Firewall có 3 dạng chính sách bảo mật là: System policy, Access rule và Publishing rule.

System policy: Thường ẩn (hiden), được dùng cho việc tương tác giữa firewall với các Networks

khác nhằm hổ trợ hệ thống hoạt động linh hoạt. System policy được xử lý trước khi access rule


Trang 15

được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ

hệ thống như DHCP, RDP, Ping...

Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server. Các Networks này

được ISA Server kết nối với nhau. Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ

chế sau đây: ROUTE hoặc NAT. Routing không thay đổi Source IP khi đi qua ISA Server, gói tin

được giữ nguyên Source và Destination IP và được Forward đến Destination. NAT thay đổi địa chỉ

Source IP trong gói tin và Forward đến Destination. Ở Destination chúng ta chỉ thấy gói tin đến từ

External Interface của ISA Server mà không biết được địa chỉ IP thật của gói tin.

Access Rule: quản lý Traffic đi qua ISA Server do người quản trị định ngh a chính sách.

Publishing Rule: Công khai tài nguyên cục bộ được chỉ định ra ngoài Internet cho người sử dụng.

ISA Server cung cấp 3 loại „publishing rule‟ khác nhau: Web publishing rule, secure Web publishing

rule, và Server publishing rule.

7. Các Mô Hình Triển Khai ISA Server

- ISA Server 2006 có thể chạy với nhiều mô hình. Nếu chạy với tính năng Firewall thì ISA Server sẽ

có 2 Interface hoặc nhiều Interface. Một số mô hình có thể kể đến khi sử dụng ISA Server 2006 là

Bastion Host, Backend Firewall, và Proxy Server only (chỉ sử dụng ISA Server 2006 làm Proxy

Server, không tận dụng tính năng Firewall của sản phẩm này.

Mô hình Bastion-Host:

- Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều

được).

- Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho

User trong mạng LAN. Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server,

DNS Server, WINS Server và Web Server, Mail Server. Những Server này có thể chỉ sử dụng trong

mạng LAN, hoặc được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server,

đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).Trong hệ thống

LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho User trong công ty và một là hệ

thống DMZ chứa các Server được truy cập trực tiếp từ Internet User)


Trang 16

- Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router

ADSL. Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó

không cần cấu hình Gateway t nh cho ISA Server.

Mô hình Back-End Firewall

- Mô hình thứ 2 này cũng thường được sử dụng. ISA Server nhẹ gánh hơn các mô hình khác là bảo

vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập, các Server trong vùng mạng DMZ bị tấn công và từ đó Hackers có thể tấn công tiếp vào trong mạng LAN.

- ISA Server đóng vai trò Back‐End Server cho một Firewall khác. Khu vực giữa Frontend và Backend

Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users

- ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi, Microsoft khuyến cáo

nên dùng ISA Server (dạng Application) với vai trò BackEnd là tốt nhất. Appliance có Performance

tốt hơn và bảo mật hơn (vì nhẹ phần Hệ điều hành).

- Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ thống LAN có DMZ

và Gateway của ISA Server sẽ là Internal Interface của FrontEnd Firewall. Cấu hình trên Firewall và

trên Router nói chung, nên sử dụng Routing Table để cấu hình cho các thiết bị này. Với ISA Server,

Routing Table được cấu hình bằng dịch vụ Routing and Remote Access hoặc ROUTE ADD

Command.


Trang 17

- Mô hình Backend với ISA Server cụ thể hơn khi gán Network ID cho các mạng có liên quan.Trong

mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28

- Cấu hình IP rất quan trọng,chú ý không được lẫn lộn chỗ này, nếu sai, toàn bộ mô hình sẽ

hỏng.Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server hoặc một

thiết bị khác với chứ năng Firewall External Interface – cấu hình mang Public IP với gateway cấu

hình về ISP. Trên Server này có thể không cần cấu hình Routing Table với Destination là Network

ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện quay VPN 2 lần để

vào đến ISA Server.

Mô hi nh Three-homed:

- ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ mạng DMZ chứa các Server được truy cập trực tiếp từ Internet User.

- Mô hình Three‐homed với ISA Server làm Firewall . DMZ và LAN đều kết nối vào ISA Server, mỗi mạng kết nối với ISA Server bằng một Interface riêng với Network ID khác nhau. ISA Server đóng

vai trò Router và Firewall cho các mạng này.

- ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal và DMZ kết nối với

DMZ Network. Mô hình này giống với Bastion Host, chỉ có thêm một Interface DMZ để tách mạng DMZ ra khỏi mạng LAN. Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngoài, DMZ thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao. Microsoft xem DMZ

Network như Semi‐Trusted Network.


Trang 18

8. ISA Server Bảo Mật Truy Cập Internet

- Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide

Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có ngh a là không tổ chức nào

tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu.

- ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên

internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server

để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một „proxy server‟ giữa

máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet.

- Điều này có ngh a là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có

kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần „proxy server‟ trên ISA Server sẽ

làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web

Server hồi đáp lại cho máy trạm trong mạng nội bộ).

- Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy

trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng

được ISA Server kiểm soát. ISA Server cũng hoạt động như một „caching server‟.


Trang 19

B- NỘI DUNG

I- Mô Tả Thông Tin

- Công ty cổ phần Chứng khoán Phú Gia hoạt động trong l nh vực Chứng khoán có tên miền phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua Internet cho phép khách hàng có thể đặt lệnh tại bất kỳ thời điểm nào. Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tài

khoản giao dịch, bản tin chứng khoán, bản phân tích chứng khoán... Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp .HCM.

Hạ tầng mạng Tổng công ty gồm có:

Các máy chủ chuyên dụng: File Server chứa toàn bộ dữ liệu của công ty. FTP Server chia sẻ dữ liệu cho nhân viên.

Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ. Web Server chứa website nội bộ của công ty. Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là

phugiasc.vn. Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain.

Các phòng ban: Phòng Giám đốc : 5 PC và 3 Laptop. Phòng Kinh doanh: 50 PC.

Phòng Kế toán: 20 PC. Phòng Nhân sự: 20 PC. Phòng Khách hàng: dành cho khách hàng sử dụng Laptop truy cập mạng không dây của

công ty.

Hạ tầng mạng tại chi nhánh Q.5 gồm có: Phòng Tư vấn : 10 PC.

Phòng Kinh Doanh : 20 PC. Phòng Kế Toán : 10 PC. Phòng Quản lý : 2 PC, 4 Laptop.

II- Yêu Cầu Đề Tài

Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo

vệ trong thời gian làm việc và có khả năng phát hiện cuộc xâm nhập hệ thống mạng nếu có.

p dụng chính sách bảo mật dành cho Nhân viên (NV):

Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh) nhưng không được phép truy cập vào các trang web nội dụng xấu và có tính chất giải trí, chat, game ....

Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng được các dịch vụ mạng trong nội bộ.

Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 → 13h30, nhưng

không được chơi game online, tải nhạc, gửi file, xem phim trên Internet.

p dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng Khách hàng:

Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có thể truy cập Internet.

Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn

hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng.


Trang 20

Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng thông phù hợp

theo từng phòng ban, vị trí công tác của nhân viên để để đảm bảo tính ổn định của đường truyền Internet trong công ty.

Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải về máy

tính trong hệ thống mạng. Các file tải trên mạng về máy tính của NV phải được kiểm tra virus trước khi mở.

Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết

nối VPN (Virtual Private Network).

Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho Tổng công ty một cách an toàn.

Publish hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo mật.

Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường truyền Internet ở bất kỳ địa điểm nào.

Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một cách an toàn khi đi công tác bên ngoài.

Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì.

Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi tuần.

III- Phân Tích Đề Tài

- Qua quá trình khảo sát, Tổng công ty Cổ phần Chứng khoán (CPCK) Phú Gia có trụ sở chính tại Q.1

Tp. HCM và một chi nhánh tại Q.5 Tp. HCM, mọi hoạt động của chi nhánh đều được gửi dữ liệu về trụ sở chính.

DATA

CHI NHÁNH

TRỤ SỞ CHÍNH

- Công ty CPCK Phú Gia hoạt động chính trong l nh vực chứng khoán và khách hàng giao dịch chủ yếu qua mạng. Dịch vụ web, mail của công ty có thể sử dụng được trong công ty và ngoài Internet.


Trang 21

Internet

Web ServerMail Server

- Hạ tầng mạng tại trụ sở chính cho biết đây là một hệ thống đa máy chủ giữ các chức năng khác nhau và máy tính nhân viên được quản trị tập trung với Domain Controller server.

- Các phòng ban trong công ty có các nhiệm vụ khác nhau, nội quy công ty ngăn cấm nhân viên sử dụng hệ thống mạng theo chức năng của các phòng ban. Sơ đồ thể hiện chính sách bảo mật và nhu cầu của các phòng ban:

PHÒNG KINH DOANH

PHÒNG KẾ TOÁN

PHÒNG NHÂN SỰ

INTERNETINTERNAL

Nghỉ Trưa

XX

Nghỉ Trưa

XX

- Hệ thống mạng luôn luôn hoạt động ổn định.


Trang 22

IV- THIẾT KẾ

1. Sơ Đồ Luận Lý Tổng Quát

INTERNET

TRỤ SỞ CHÍNH - QUẬN 1

VĂN PHÒNG TẠI NHÀ

VPN

File Server Additional DC

CHI NHÁNH - QUẬN 5

File Server Primary DCDNS + DHCP

Web ServerMail Server

VPN

DMZ

FTP Server


Trang 23

2. Sơ Đồ Luận Lý Chi Tiết

- Trụ sở chính Quận 1:

192.168.2.0 /24

192.168.1.0 /24

192.168.10.0/ 24

192.168.10.0/ 24

ISA 1

Internet

ISA 2

P. GIÁM ĐỐC

P. KINH DOANH

P. NHÂN SỰ

P. KẾ TOÁN

File ServerPrimary DCDNS+DHCP

.100

.100

.20

.100

.100

.20

.1

.1

.10

.10

192.168.10.20 – 192.168.10.200

DMZ

Web ServerMail Server FTP Server

17

2.1

6.1

0.0

/ 24

- Chi nhánh Quận 5:

P. KINH DOANH

P. KẾ TOÁN

P. NHÂN SỰ

File ServerAdditional DC

P. KINH DOANH

ISA

Internet10.0.0.0/ 24192.168.1.0 / 24

.1.1 .30

.10


Trang 24

C- TRIỂN KHAI

I- Hoạch Định Địa Chỉ IP, Computer Name

1. Trụ Sở Chính – Quận 1

INTERNAL

FQDN

dc.phugiasc.vn file.phugiasc.vn client.phugiasc.vn

Mô Tả

AD, DNS, DHCP, Cert, ISA Storage Server

File Server Client

IP Address 192.168.10.10 192.168.10.12 192.168.10.20

Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0

Default Gateway 192.168.10.100 192.168.10.100 192.168.10.100

Preferred DNS Server 192.168.10.10 192.168.10.10 192.168.10.10

LOCAL HOST

FQDN

isa1.phugiasc.vn

Mô Tả

ISA Server

Card Mạng

External DMZ Internal

IP Address 192.168.1.20 172.16.10.100 192.168.10.100

Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0

Default Gateway 192.168.1.1

Preferred DNS Server 192.168.10.10

FQDN

isa2.phugiasc.vn

Mô Tả

ISA Server

Card Mạng

External DMZ Internal

IP Address 192.168.2.20 172.16.10.100 192.168.10.100

Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0




Trang 25

DMZ

FQDN

dmz.phugiasc.vn

Mô Tả

Web Server

IP Address 172.16.10.10 172.16.10.11 172.16.10.12

Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0

Default Gateway 172.16.10.100 172.16.10.100 172.16.10.100

Preferred DNS Server

192.168.10.10 192.168.10.10 192.168.10.10

Mô Tả

Mail Server

IP Address 172.16.10.10

Subnet Mask 255.255.255.0



192.168.10.10

Mô Tả

FTP Server

IP Address 172.16.10.10




192.168.10.10


Trang 26

2. Chi Nhánh – Quận 5

INTERNAL

FQDN

dc2.phugiasc.vn

Mô Tả

Additional DC, Secondary DNS, DHCP

IP Address 10.0.0.10




Alternate DNS Server 192.168.10.10

LOCAL HOST

FQDN

isa3.phugiasc.vn

Mô Tả

ISA Server

Card Mạng

External Internal

IP Address 192.168.1.30 10.0.0.1

Subnet Mask 255.255.255.0 255.255.255.0




Trang 27

II- Xây Dựng Hệ Thống Mạng

1. Triển khai Domain Controller

Tổng quan:

- Domain Controller là một máy chủ điều khiển, xác lập và quản lý tên miền (domain) trong hệ thống Windows, có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, quản lý tài khoản, … của các máy tính sử dụng các dịch vụ domain.

- Domain Controller trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm người dùng, tài nguyên cục bộ cho công ty Phugiasc.

Triển Khai:

- Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa

chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ.

- Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and

Computers để lưu trữ và quản lý dữ liệu về các đối tượng trong DC như: Group, OU,User, Policy,…


Trang 28

2. Triển Khai ISA Server

. Cài đặt ISA Storage

Tổng quan:

- ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống.

Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage.

- Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công

việc giữa các member ISA, duy trì hoạt động hệ thống liên tục ổn định.

Triển Khai:

- Giả lập xây dựng ISA Storage trên máy DC.

- Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server.

- Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham

gia vào hệ thống lưu trữ này.

- Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc


Trang 29

- Kết quả:

- Ủy quyền lưu trữ cho các member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer

Sets chọn Managed ISA Server Computers Propertise. Lần lượt gán địa chỉ cho 2 máy ISA server.


Trang 30

2.2 Cài đặt ISA Array

Tổng quan:

- ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA

Storage. Ngoài ra, ISA Array được hiểu như một Firewall Server quản lý truy xuất giữa các lớp

mạng trong hệ thống qua cấu hình của người quản trị.

Triển khai:

- Triển khai ISA Array lần lượt tại tại các member ISA.

- Cài đặt ISA Array ở chế độ: Install ISA Server services


Trang 31

- Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage.

- Gán lớp mạng Internal để quản trị


Trang 32

- Tương tự, thực hiện cài đặt ISA Array tại ISA2 và tham gia vào Array: phugiasc.


Trang 33

3. Triển Khai Web Server

Giới thiệu:

- Web Server là một máy chủ lưu trữ thông tin, truyền tải cơ sở dữ liệu đến người sử dụng thông

qua giao thức HTTP bằng các trình duyệt Web.

- Trong đề tài, triển khai Web Server để lưu trữ website nội bộ cho Công ty Phugiasc.

Triển khai:

- Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):

www.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên máy chủ Web và truy

xuất Website thông qua trình duyệt web.

- Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80

http://www.phugiasc.vn/



Trang 34

4. Triển Khai Mail Server

Giới thiệu:

- Mail server là máy chủ chuyên dụng để nhận và gửi mail, quản lý tài khoản người sử dụng mail và

phân phối mail trong hệ thống. Ngoài ra, máy chủ mail còn cho phép người sử dụng web-mail

(dùng mail thông qua trình duyệt web) và các phần mềm ứng dụng để truyền tải nhận mail.

- Trong đề tài, triển khai Mail server để trao đổi mail trong hệ thống Công ty Phugiasc

Triển khai:

- Tại máy DC, triển khai DNS cho máy chủ Mail với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):

mail.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên Mail server.


Trang 35

- Xây dựng Mail server với chương trình Mail Daemon với FQDN là: mail.phugiasc.vn và địa chỉ là:

172.16.10.10


Trang 36

5. Triển Khai Web-mail Sử Dụng Port 80

Giới thiệu:

- World Client và Web Admin là 2 ứng dụng của Mail Daemon duyệt mail thông qua giao thức

HTTP. Mặc định truy xuất mail qua trình duyệt web, World Client được sử dụng ở port 3000 và Web

Admin được sử dụng ở port 1000.

- Mục đích triển khai Web-mail sử dụng port 80 để triển khai Certificate Authority (CA) tự cấp trong

cục bộ (triển khai tại phần 6.1).

Triển khai:

- Tại máy DC, vào dịch vụ DNS lần lượt tạo Host: client trỏ về địa chỉ: 172.16.10.11 và Host: admin

trỏ về địa chỉ: 172.16.10.12

- Tạo các Application Pool cho World Client và Web Admin ở chế độ Local System và áp đặt cho các

Web-mail.


Trang 37

- Trên Web Server, vào IIS lần lượt tạo Website: World Client với địa chỉ truy xuất: 172.16.10.11 và trỏ

về đường dẫn: C:\Mdaemon\WorldClient\HTML\WorldClient.dll và Web Admin với địa chỉ truy xuất

qua: 172.16.10.12 và trỏ trỏ về đường dẫn: C:\Mdaemon\WebAdmin\Templates.dll

- Định ngh a file: WorldClient.dll và WebAdmin.dll, cho phép các file mở rộng này được sử dụng trong

dịch vụ Web bằng thao tác tại mục Web Service Extensions chọn Add a new Web service extension trỏ

đường dẫn về: C:\Mdaemon\WorldClient\HTML\WorldClient.dll đối với World Client và

C:\Mdaemon\WebAdmin\Templates.dll đối với Web Admin.

- Tại Mail Server: gán Security thư mục Mdaemon cho tài khoản IUSR (nhóm tài khoản khách viếng

thăm vào website) với quyền Full control.


Trang 38

- Vào dịch vụ Mail Daemon tại thẻ Setup chọn Web & SyncML Services chuyển Web mail: World Client

và sử dụng ở chế độ IIS.

- Tương tự, Web Admin cấu hình sử dụng trên IIS.

- Restart IIS và mail Daemon. Logon vào Client trong vùng Internal kiểm tra Web mail đã được sử

dụng port 80 với tên truy xuất: client.phugiasc.vn và admin.phugiasc.vn


Trang 39

6. Triển Khai Wildcard Certificate

Tổng quan Secure Socket Layer (SSL):

- Secure Socket Layer (SSL) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai

chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến,

được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân

(PIN) trên Internet.

- SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo

luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt

(browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet.

Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai,

trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí

mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải

được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate)

dựa trên mật mã công khai (thí dụ RSA).

- Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake protocol) và giao

thức "bản ghi" (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng

có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành

mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình

duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello)

dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định

các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các

ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm

việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực

của ứng dụng chủ (web server).

- Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận

CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung

lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát

hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch

trên mạng, ở đây là các máy chủ webserver.

- Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại

trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông

điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá

chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ

liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu

phụ thuộc vào một số tham số:

Số nhận dạng theo phiên làm việc ngẫu nhiên;

Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL;

Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin.


Trang 40

Triển khai:

- Công ty phugiasc đã có website trên web server đặt tại công ty và có nhu cầu publish website này ra

Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh

nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp

chuyên bán certificate như Verisign, Rapidssl, Dynamicssl...

- Giả lập đề tài, thay vì mua SSL Certificate ta xây dựng Certificate Server trên máy DC với chế độ

Stand-Alone CA cục bộ cấp phát.

- Khi triển khai SSL Certificate cho mỗi website ta cần phải đăng ký common name tương ứng với mỗi

website.

- Trong đề tài, ta đã triển khai các website: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn

. Thay vì triển khai common name tương ứng cho từng website, ta triển khai Wildcard Certificate

(*.phugiasc.vn) để định danh chung cho tất cả website cùng domain name.



Trang 41

- Tại máy Web Server, thực hiện yêu cầu chứng thực certificate từ máy DC.

- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn

Server Certificate

- Chọn Create a new certificate và tiến hành yêu cầu certificate với common name: *.phugiasc.vn


Trang 42

- Chọn nơi lưu trữ file yêu cầu Certificate

- Truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> nhấn chọn Request a

certificate

http://dc.phugiasc.vn/certsrv


Trang 43

- Chọn Advanced certificate request

- Chọn Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a

renewal request by using a base-64-encoded PKCS #7 file

- Truy xuất vào file request certificate (đã được ở trên: wirld_card.txt), copy nội dung và dán vào Save

request -> nhấn Submit để xin certificate.


Trang 44

- Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao

tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/

Issue.

- Trở lại Web Server, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để

download certificate đã chứng thực.

- Chọn View the status of a peding certificate request, download certificate đã chứng thực về.



Trang 45

- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn

Server Certificate -> chọn Process the pending request and install the certificate -> trỏ đường dẫn về

file certificate đã download ở trên.

- Sử dụng mặc định SSL port 443 và thông tin về certificate được cấp bởi: phugiasc_ca


Trang 46

- Sau khi hoàn thành quá trình yêu cầu Wildcard Certificate, tiến hành Export Certificate này để Trust

cho các máy tính trong công ty.

- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server

Certificate -> chọn Export the current certificate to a .pfx file -> chọn nơi lưu trữ và đặt mật khẩu bảo

vệ cho Certificate.


Trang 47

- Biểu tượng sau khi Export Certificate:

- Sau khi Export thành công Wildcard Certificate, tiến hành gỡ bỏ Wildcard Certificate để triển khai yêu

cầu Certificate cho Web Sites: www.phugiasc.vn

- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server

Certificate -> chọn Remove the current certificate. Thông tin Certificate gỡ bỏ:

- Tương tự, tiến hành yêu cầu chứng thực Certificate cho Web Sites: www.phugiasc.vn và Web-mail:

client.phugiasc.vn , admin.phugiasc.vn nhƣ các bƣớc ở trên nhƣng không Export và gỡ bỏ

Certificate.




Trang 48

- Các máy Client truy xuất Web Sites và Web-mail của công ty thông qua trình duyệt xuất hiện cảnh

báo Web Site không tin cậy.

- Tiến hành xin Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo địa

chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn Web Browser Certificate ->

điền thông tin yêu cầu -> chọn Submit.



Issue.

- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để cài

đặt certificate đã chứng thực.

- Chọn View the status of a peding certificate request, cài đặt certificate đã được chứng thực.




Trang 49

- User tiến hành kiểm tra Certificate bằng thao tác: vào trình duyệt web Internet Explorer -> chọn

Tools/ Options -> chọn thẻ Content -> chọn Certificate

- Kiểm tra Certificate được cấp bởi: phugiasc_ca


Trang 50

- Như vậy, User đã có thể truy cập Web Sites và Web-mail của công ty qua cơ chế HTTPS và dữ liệu đã

được mã hóa.

- User truy xuất World Client với địa chỉ: https://client.phugiasc.vn

https://client.phugiasc.vn/


Trang 51

- User truy xuất Web Admin với địa chỉ: https://admin.phugiasc.vn

https://admin.phugiasc.vn/


Trang 52

6.2 Triển Khai Secure Mail

- Tại máy Mail Server, vào Mail Daemon chọn thẻ Security/ Security Settings -> chọn mục SSL & TLS/

Mdaemon -> Enable SSL và directed SSL port cho giao thức SMTP, IMAP, POP3 -> chọn Wildcard

Certificate: *.phugiasc.vn (đã được tạo ở phần 6.1)


Trang 53

- Kiểm tra các giao thức: SMTPS, POP3S, IMAPS đã được Active

- Tiến hành yêu cầu Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo

địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn E-Mail Protection

Certificate -> điền thông tin yêu cầu/chọn Submit.



Issue.

- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn

View the status of a peding certificate request, cài đặt certificate đã được chứng thực.




Trang 54

Kiểm tra:

- Tại máy Client, logon vào u1 và mở chương trình Outlook Express chọn Tool/ Options -> chọn thẻ

Security -> Digital IDs để kiểm tra chữ ký điện tử được cấp bởi: phugiasc_ca

- Tại Oulook Express, vào Tool/ Accounts -> chọn thẻ Mail -> Double click vào Account -> chọn thẻ

Server thiết lập cấu hình


Trang 55

- Vào thẻ Advanced thiết lập cấu hình


Trang 56

- Tương tự, vào máy client logon vào u2 thực hiện các thao tác như u1 ở trên. Sau đó thực hiện gửi

mail cho u1 để xác nhận mối quan hệ tin cậy.

- Tại u1, nhận được bức thư kèm chữ ký điện tử.

- Sau khi xác lập mối quan hệ tin cậy, việc gửi nhận mail sẽ được mã hóa dữ liệu.


Trang 57

7. Triển Khai FTP Server

Ta triển khai FTP Server Isolate users Active Directory sử dụng trong môi trường domain

Khởi tạo FTP server bằng cách vào IIS: Administrative tools-Internet Information Services(IIS)

Manager

Right click vào FTP Sites: New-FTP Site….

Mục Description ta điền tên ftp site:

Mục Ip Address and Port Settings

IP của ftp server và mặc mặc 21

Mục FTP User Isolation tạo chọn Isolate users using Active Directory

Tại đây tại ấn Browse để chọn user được cấp quyền vào ftp server

Mục permissions tại check vào write cho user toàn quyền trên thư mục của mình

Sau khi hoàn tất ta phải tạo các folder tương ứng với tên từng user

Sau đó phải chỉnh msIIS-FTPRoot và msIIS-FTPDir cho từng user

Tạo 1 folder tên kt1 tương ứng với user kt1,tạo file dulieukt1.txt trên thư mục vừa tạo để kiểm tra

Tạo 1 folder tên kh1 tương ứng với user kh1,tạo folder kh1 trên thư mục vừa tạo để kiểm tra


Trang 58

Sau khi hoàn tất ta kiểm tra dịch vụ đánh tên miền ftp://ftp.phugiasc.vn

Màn hình log on as xuất hiện ta đánh user name và password user kt1

User kt1 đã vào đúng thư mục được cấp của mình

ftp://ftp.phugiasc.vn/


Trang 59

Đổi sang user kh1 để kiểm tra

User kh1 đã vào đúng folder kh1 của công ty


Trang 60

8. Triển Khai File Server

Công ty có nhu cầu tất cả dữ liệu của công ty được lưu trữ trên file server của công ty

Mỗi phòng ban sẽ có 1 folder riêng để các nhân viên phòng ban dễ dang trao đổi dữ liệu

Phòng ban nào được phép truy cập vào thư mục phòng ban đó,không thể vào các thư mục phòng ban

khác. Các nhân viên được phép xóa sửa file của mình,không thể xóa file của người khác

Thư mục dùng chung tất cả các phòng ban đều truy cập được nhưng không được phép xóa file của

người khác

Giám đốc được toàn quyền xem,xóa,sửa các thư mục trong FileServer

Tạo 1 folder tên File Server trên máy File Server

Bỏ quyền thừa kế trên thư mục File Server bằng cách: Phải chuột chọn Properties vào thư mục

FileServer – chọn tab Security – chọn Advanced. Bỏ dấu Allow inheritable permission from the

parent to…….. click Copy để bỏ quyền thừa kế trong các thư mục FileServer

Tạo các group tương ứng với các phòng ban để add user phòng ban vào các group này

Sau đó ta Remove quyền truy cập của tất cả các user trong domain


Trang 61

Thêm các group phòng ban vào và cho quyền Full control cho các phòng ban

Mục đích để các phòng ban được toàn quyền truy cập vào folder chung

Tại folder các phòng ban nào ta cấp quyền full controll cho phòng ban đó,các phòng ban khác thì deny

mục đích để user phòng nào thì được truy cập vào folder phòng đó,các phòng khác sẽ không vào được


Trang 62

Sau khi cấp quyền cho các phòng ban để các user được toàn quyền trên folder của phòng mình ta sẽ

phân quyền để user chỉ được xóa file của chính mình tạo ra

Tại thư mục Chung phải chuột chọn Properties. Tab Security click Advanced

Tại tab Permission ta chọn group ketoan, click Edit

Bỏ 2 dấu check delete Subfolders and Files và Delete là 2 thuộc tính không được xóa file và những

folder con bên trong

Check Apply these permissions to objects and/or containsers……. Để áp dụng cho những file

bên trong

Áp dụng với các phòng ban

khách hàng,nhân sự và kinh doanh


Trang 63

Tại thư mục ketoan phải chuột chọn Properties. Tab Security click Advanced

Tại tab Permission ta chọn group ketoan, click Edit

Bỏ 2 dấu check delete Subfolders and Files và Delete là 2 thuộc tính không được xóa file và những

folder con bên trong

Check Apply these permissions to objects and/or containsers……. Để áp dụng cho những file

bên trong

Mục đích để các nhân viên phòng kế toán chỉ được phép tạo,chỉnh sửa file trên folder phòng kế toán

nhưng không có quyền xóa file và folder của người khác

Ta làm tương tự với 3 phòng ban khách hàng,kinh doanh và nhân sự


Trang 64

Sau khi cấp quyền cho các phòng ban ta sẽ cấp quyền cho giám đốc toàn quyền trên file server

Phải chuột vào thư mục File Server trên máy file server

Tab Security add user giamdoc vào và check full controll cho giám đốc

Kiểm tra kết quả

Log on vào domain bằng user phòng kế toán: kt1

Truy cập vào file server mở cmd đánh ip của file server \\ip tên máy chủ file server

User kt1 sẽ truy cập vào được folder phòng ban tương ứng là kế toán và tạo được dữ liệu trên đây


Trang 65

Và sẽ không truy cập được folder các phòng ban khác


Trang 66

Kiểm tra bằng user kd1

Log on vào domain bằng user phòng kế toán: kd1

Truy cập vào file server mở cmd đánh ip của file server \\ip tên máy chủ file server

User kd1 sẽ truy cập vào được folder phòng ban tương ứng là kế toán và tạo được dữ liệu trên đây

Và sẽ không truy cập được các phòng ban khác


Trang 67

User kd1 không xóa được file do user kt1 tạo ra trong folder chung

Log on bằng user giám đốc

Giám đốc xóa được các file trong thư mục Chung


Trang 68

III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server

1. Triển Khai Network Loab Balancing

Tổng quan:

- Hệ thống Network Loab Balacing (NLB) được xây dựng với mục đích đảm bảo hệ thống tường lửa

hoạt động ổn định, chia tải công việc giữa các member ISA nhằm giảm thiểu sự cố một cách tối

ưu.

- Network Loab Balancing được tích hợp trên ISA phiên bản Enterprise. Hệ thống này cần ít nhất 2

ISA server để thực hiện việc chia tải và 1 ISA Storage lưu trữ cấu hình.

- Trong đề tài, ta đã triển khai cài đặt ISA Storage trên máy DC và member ISA trên 2 máy ISA1 và

ISA2 ở phần Xây dựng hệ thống mạng.

Triển khai:

- Sau khi tham gia vào Array: phugiasc. Tại ISA1 hoặc ISA2, tạo Enterprise Network cho vùng

Internal với dãy địa chỉ: 192.168.10.0 – 192.168.10.255 và vùng DMZ với dãy địa chỉ: 172.16.10.0

– 172.16.10.255

- Xây dựng hệ thống tường lửa ISA với mô hình dựng sẵn 3-Leg với thao tác tại mục Configuration/

Network chọn thẻ Templates. Lần lượt gán Enterprise Network cho vùng Internal.


Trang 69

- Gán dãy địa chỉ để quản trị và Enterprise Network cho vùng DMZ.

- Chọn Firewall Policy: Block All với mục đích ngăn cấm tất cả việc truy xuất qua ISA.

- Bật chế độ Network Loabalacing với thao tác tại mục Configuration/ Network chọn thẻ Tasks.


Trang 70

- Gán địa chỉ Virtual IP cho vùng Internal là: 192.168.10.100 và vùng DMZ là: 172.16.10.100

- Lưu lại cấu hình và restart lại ISA.


Trang 71

- Kiểm tra tình trạng kết nối các member ISA với thao tác: Configuration/ Server đã được Active.


Trang 72

- Đứng tại ISA1 server, vào command line kiểm tra địa chỉ Virtual IP của vùng Internal và DMZ đã được

tạo.


Trang 73

- Đứng tại ISA2 server, vào command line kiểm tra địa chỉ Virtual IP của vùng Internal và DMZ đã được

tạo.


Trang 74

2. Access Rule

Tổng quan:

- Access Rule là các chính sách được thiết lập ở Firewall Policy để có thể cho phép hoặc không cho

phép những đối tượng: Protocol, User, … giữa các network truy xuất qua lại lẫn nhau.

- Sau khi cài đặt ISA Server, mặc định các network không thể truy xuất qua lại lẫn nhau vì Enterprise

Policy Rule ngăn chặn tất cả đối tượng đi qua ISA Server.

- ISA Server quan tâm đến tất cả networks ngoại trừ External, những networks được xác định là

External thì không được bảo vệ.

- Các Networks được bảo vệ:

VPN Client network.

Quaranined VPN Clients (mạng VPN client bị cách ly).

Local Host network (ISA Server firewall).

Internal network (vùng nội bộ).

Perimeter networks (vùng DMZ).

2.1 Triển Khai Firewall Client:

- Theo yêu cầu của đề tài, chính sách của công ty dành cho nhân viên trong công ty như sau:

Cho phép phòng Kinh doanh ra Internet trong giờ hành chính nhưng không được phép truy cập

vào các trang web có nội dung xấu và có tính chất giải trí, chat, game, …

Ngăn cấm phòng Kế toán và Nhân sự ra Internet nhưng vẫn sử dụng được các dịch vụ mạng

nội bộ.

- Với chính sách như trên ta cần triển khai Firewall Client chứng thực User, password của nhân viên

trong hệ thống Domain để ISA Server quản lý nhân viên trong công ty truy xuất mạng.

- Firewall Client được cài đặt ở các máy Client, có chế độ xác thực và tự động dò tìm ISA Server với cơ

chế Auto Discovery trên ISA. Phiên làm việc giữa Client và ISA Server thông qua port mặc định: 80, vì

vậy ta cần tạo Access Rule cho phép Internal Network truy xuất qua lại với Local Host Network thông

qua giao thức HTTP:

Rule Name: Allow Access Internal & Local Host.

Action: Allow

Protocols: HTTP

Source: Internal, Local Host

Destination: Internal, Local Host


Trang 75

User Sets: All User.

2.2 Tạo User Set, Schedules, Web Denied:

2.2.1 Tạo User Set:

- Tại máy DC, vào Active Directory tạo các user - lần lượt gán các user này vào group tương ứng cho

các phòng ban.


Trang 76

- Tại máy ISA1, tạo User Set cho các phòng ban với thao tác: Firewall Policy -> vào thẻ Toolbox/ Users

chọn New -> gán các group tương ứng của các phòng ban ở Domain phugiasc.vn

- Tương tự tạo các User Set tương ứng với các phòng ban. Kết quả:


Trang 77

2.2.2 Tạo Schedules:

- Lập lịch thời gian hành chính khoảng giờ: 7h – 11h và 13h – 17h áp dụng từ thứ Hai – thứ Sáu bằng

thao tác vào Firewall Policy/ Schedules chọn New.

- Tương tự, lập lịch thời gian nghỉ trưa khoảng giờ: 11h – 13h áp dụng từ thứ Hai – thứ Sáu:


Trang 78

- Kết quả:

2.3 Tạo Access Rule Cho Nhân Viên Kinh Doanh

- Theo yêu cầu của đề tài, nhân viên phòng Kinh doanh được phép truy cập vào Internet vào giờ hành

chính (7h – 11h và 13h – 17h) nhưng không truy cập vào các trang có nội dung xấu, có tính chất giải

trí, chat, game.

- Để áp dụng theo yêu cầu, ta tạo rule theo các thông số sau:

Rule Name: Allow Kinh Doanh to Internet

Action: Allow

Protocols: HTTP, HTTPS

Source: Internal

Destination: External

User Sets: Kinh Doanh

- Gán thời gian hành chính (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo

chọn Propertise chọn thẻ Schedules -> chọn Work Time.


Trang 79

- Thực hiện chính sách cấm chat Yahoo Messenger bằng thao tác: Right click vào Rule vừa tạo chọn

Configure HTTP chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch

vụ sử dụng giao thức HTTP cần ngăn cấm.


Trang 80

- Tạo Rule ngăn cấm Web có nội dung xấu, có tính chất giải trí theo thông số sau:

Rule Name: Deny Web

Action: Deny

Protocols: All outbound traffic

Source: Internal

Destination: Web Denied (đã được tạo tại phần 2.2.2)

User Sets: All User

- Cho Rule Deny Web ở vị trí ưu tiên là 1

- Kiểm tra kết quả: logon vào máy Client với User thuộc group kinhdoanh:

Truy cập Website ngoài Internet trong khoảng giờ hành chính -> truy cập thành công.

Truy cập Yahoo Messenger thất bại.

Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập.

Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn ->

truy cập thành công.

Vào Outlook Express gửi và nhận mail trong công ty -> thành công.

2.3 Tạo Access Rule Cho Phòng Kế Toán, Nhân Sự

- Theo yêu cầu của đề tài, nhân viên phòng Kế toán và Nhân sự không được phép truy cập Internet

vào giờ hành chính (7h – 11h và 13h – 17h) nhưng vẫn sử dụng được các dịch vụ mạng nội bộ.

- Tạo Rule ngăn cấm phòng Kế toán và Nhân sự ra Internet theo thông số sau:

Rule Name: Deny Ke Toan & Nhan Su to Internet

Action: Deny


Source: Internal


User Sets: Ke Toan, Nhan Su

- Gán thời gian hành chính (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo

chọn Propertise chọn thẻ Schedules -> chọn Work Time.


http://www.client.phugiasc.vn/

http://www.admin.phugiasc.vn/


Trang 81

- Kiểm tra kết quả: logon vào máy Client với User thuộc group Nhân sự và Kế toán:

Truy cập Website ngoài Internet trong giờ hành chính -> truy cập thất bại.

Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn ->

truy cập thành công.


- Tạo Rule cho phép phòng Kế toán và Nhân sự sử dụng các dịch vụ của công ty ở DMZ:

Rule Name: Allow Access Internal to DMZ

Action: Allow

Protocols: HTTP, HTTPS, POP3, POP3S, SMTPS

Source: Internal

Destination: Perimeter

User Sets: All Users

2.3 Tạo Access Rule Cho Tất Cả Nhân Viên Trong Giờ Nghỉ Trƣa:

- Theo yêu cầu của đề tài, tất cả nhân viên được truy cập Internet trong giờ nghỉ trưa nhưng không

được chơi game, tải nhạc, gửi file, xem phim trên Internet.

- Tạo Rule cho phép tất cả nhân viên ra Internet:

Rule Name: Allow All Users to Internet

Action: Allow

Protocols: HTTP, HTTPS

Source: Internal







Trang 82

- Gán thời gian nghỉ trưa (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo chọn

Propertise chọn thẻ Schedules -> chọn Rest Time.

- Cho phép Chat Yahoo Messenger trong giờ nghỉ trưa bằng thao tác:

1- Định ngh a Protocols mới với tên: Yahoo Messenger sử dụng Port 5050 (cổng truyền nhận dữ

liệu của Yahoo Messenger) bằng thao tác: Right click vào Rule vừa tạo chọn Propertise -> chọn thẻ

Protocols -> chọn Add -> chọn New -> Tạo Protocol mới với tên: Yahoo Messenger sử dụng Port

5050/ TCP với hướng đi Outbound.

2- Gán Protocol vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All User to

Internet -> chọn thẻ To -> chọn Add -> Xổ mục Userdefine chọn Yahoo Messenger.


Trang 83

3- Vì Yahoo Messenger truyền nhận dữ liệu theo cơ chế HTTPS, ta tiến hành định ngh a Domain

Name Sets với tên: Yahoo bằng thao tác: vào Firewall Policy chọn thẻ Toolbox/ Network Objects

chọn New/ Domain Name Sets -> khai báo tất cả đường dẫn đến Domain Yahoo


Trang 84

4- Gán Domain Name Sets vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All

User to Internet -> chọn thẻ To -> chọn Add -> Xổ mục Domain Name Sets chọn Yahoo.

- Cấm tải nhạc bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP chọn thẻ Extensions/

chọn tác động Block specified extensions (allow all others) -> chọn Add -> định ngh a file mở rộng:

.mp3 tại ô Extensions


Trang 85

- Thực hiện chính sách cấm gửi file bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP

chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch vụ sử dụng giao

thức HTTP cần ngăn cấm.


Trang 86

- Thực hiện chính sách cấm xem phim trên Internet bằng thao tác: Right click vào Rule vừa tạo chọn

Propertise chọn thẻ Content Types -> check chọn tất cả application ngoại trừ Video.


Trang 87

- Kiểm tra kết quả: logon vào máy Client với bất kỳ User nhân viên trong công ty:

Truy cập Website ngoài Internet trong giờ nghỉ trưa -> truy cập thành công.

Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn

-> truy cập thành công.


Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập.

Truy cập vào Yahoo Messenger -> thành công.

Gửi file trong Yahoo Messenger -> thất bại.

Truy cập vào các Website upload file (ví dụ: www.mediafire.com) -> upload file thất bại.

Truy cập vào các Website xem phim online (ví dụ: www.youtube.com) -> không xem được

Video.

2.4 Tạo Access Rule Cho Giám Đốc:

- Tạo Rule cho phép group Giám Đốc với quyền Full Access theo thông số:

Rule Name: Allow Giam Doc – Full Access

Action: Allow


Source: Internal


User Sets: Giam Doc

- Cho Rule Allow Giam Doc – Full Access ở vị trí ưu tiên là 1




http://www.mediafire.com/

http://www.youtube.com/


Trang 88

- Kiểm tra kết quả: logon vào máy Client với User thuộc group Giám Đốc:

Truy cập bất kỳ Website ngoài Internet trong giờ hành chính và nghỉ trưa -> truy cập thành

công.

Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn

-> truy cập thành công.


Truy cập vào các Website trong danh sách cấm xuất -> truy cập thành công.

Truy cập vào Yahoo Messenger và gửi file -> thành công.

Truy cập vào các Website upload file (ví dụ: www.mediafire.com) -> upload file thành công.




http://www.mediafire.com/


Trang 89

3. Publishing Server Ra Internet

3.1 Publishing Secure Website

- Tại ISA Server, copy Wildcarrd Certificate đã được Export tại máy Web Server vào máy ISA Server

- Vào Start/ Run gõ lệnh: mmc -> cửa sổ Consol xuất hiện chọn File -> Add/Remove Snap-in -> tại thẻ

Standalone chọn Add -> gán Snap-in Certificates triển khai Computer account

- Right click vào Snap-in Certificate vừa gán chọn All Tasks/ Import -> trỏ về Wildcard Certificate -> gõ

password bảo vệ (đã tạo lúc Export Wildcard Certificate)

- Xổ mục Certificate/ Personal/ Certificates -> Wildcard Certificate đã được gán.


Trang 90

- Kiểm tra tính hợp lệ của Certificate bằng cách Double click vào Certificate: *.phugiasc.vn -> kết quả,

Certificate hợp lệ và tin cậy.

- Tiến hành tạo Web Listeners bằng thao tác: tại mục Firewall Policy chọn Toolbox/ Network Object

chọn New -> Web Listeners -> cho phép client truy vấn với chế độ: require SSL secured connections

with clients.


Trang 91

- Cho phép lớp mạng đi vào là: External

- Chọn SSL Certificate lắng nghe với Certificate: *.phugiasc.vn đã được trust.


Trang 92

- Chọn: No authentication (không dùng chứng thực khi client truy xuất)

- Kết quả:

Publish Web Site:

- Tại Firewall Policy -> Right click chọn New/ Web Site Publishing Rule -> chọn Action là: Allow ->

chọn Publish a sigle Web site or loab balancer -> chọn chế độ connection với SSL


Trang 93

- Chọn Internal site name là: www.phugiasc.vn với địa chỉ được Publish ra ngoài Internet:

172.16.10.10

- Chọn domain name public với tên: www.phugiasc.vn




Trang 94

- Chọn Web Listener đã triển khai ở trên.

- Chọn User Sets: All Users.

- Publish Web-mail Client tương tự với Internal site name: client.phugiasc.vn và địa chỉ publish ra ngoài

Internet: 172.16.10.11


Trang 95

- Publish ra Internet với tên: client.phugiasc.vn -> chọn Web Listener và thông số tương tự như trên.

- Publish Web-mail Admin tương tự với Internal site name: admin.phugiasc.vn và địa chỉ publish ra

ngoài Internet: 172.16.10.12


Trang 96

- Publish ra Internet với tên: admin.phugiasc.vn -> chọn Web Listener và thông số tương tự như trên.

- Rule Publish Secure Web Sites


Trang 97

- Kiểm tra:

- Giả lập đề tài, dùng Client ngoài External với thông số IP như sau:

- Tạo file host theo đường dẫn: C:\WINDOWS\system32\drivers\etc với nội dung:


Trang 98

- Truy cập lần lượt các Web Sites: https://www.phugiasc.vn , https://client.phugiasc.vn ,

https://admin.phugiasc.vn -> cảnh báo Certificate không tin cậy.

- Vì Certificate được cấp bởi CA cục bộ của công ty Phugiasc, để triển khai tin cậy ngoài Internet ta cần

mua SSL Certificate của các nhà cung cấp dịch vụ.

3.3 Publishing Secure Mail

- Tại Firewall Policy -> Right click chọn New/ Mail Server Publishing Rule -> cho phép Client duyệt mail

với giao thức: RPC, IMAP, POP3, SMTP -> chọn dịch vụ: POP3 (secure port) và SMTP (secure port)

-> chọn địa chỉ IP server: 172.16.10.10 -> chọn card lắng nghe là: External.

https://www.phugiasc.vn/

https://client.phugiasc.vn/

https://admin.phugiasc.vn/


Trang 99

- Rule Publish Secure Mail:

- Kiểm tra:

- Giả lập đề tài, dùng Client ngoài External với thông số IP như sau:


Trang 100

- Tạo file host theo đường dẫn: C:\WINDOWS\system32\drivers\etc với nội dung:

- Vào Outlook Express trỏ Server gửi nhận mail: mail.phugiasc.vn với Port vận chuyển: 465 và 995. Kết

quả kết nối Mail Server Công ty thành công.

- Vì Certificate được cấp bởi CA cục bộ của công ty Phugiasc, để triển sử dụng chữ ký điện tử và mã

hóa dữ liệu ngoài Internet ta cần mua Digital ID Email của các nhà cung cấp chuyên dụng.


Trang 101

4. Triển khai VPN ISA

4.1 Client-to-Site

- Cho phép các nhân viên công tác bên ngoài công ty có thể truy cập tài nguyên và dữ liệu về công ty

thông qua VPN (Virtual Private Netkwork)

- Tại Domain tạo User VPN và add User vào Group cho kết nối VPN

- Tại User vpn click phải chuột chọn Properties qua thẻ Dail-in chọn Allow access (cho phép kết

nối VPN)


Trang 102

- Vào ISA Server chọn Virtual Private Network chọn thẻ VPN Clinet trong thẻ chúng ta thực hiện

các bước sau VPN:

Bước 1: Chọn configure Address Assignment method


Trang 103

Bước 2: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 200.200.200.100 ->200.200.200.200

Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới


Trang 104

Bước 3: Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục

chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này

Check vào tùy chọn Enable VPN client access

Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients


Trang 105

- Chọn qua thẻ Group add Group cho phép kết nối VPN

- Chọn qua thẻ Protocol chọn giao thức dùng để kết nối VPN OK

- Tiếp theo, chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy

cập vào bên trong Internal Network

- Tạo Access Rule với thông số sau:


Trang 106

Rule Name: Access VPN

Action: Allow


Source: Internal, Local Host, VPN Clients

Destination: External, Local Host, VPN Clients


Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho

phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định.

Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule.

Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server

- Trên Windows XP hoặc Clients muốn kết nối vào ISA Server bằng VPN chúng ta phải tạo kết nối trên

Windows. Clients to Site VPN chỉ sử dụng cho chính Clients đó thôi, kết nối này sẽ không được Share

cho Clients khác sử dụng. Clients to Site VPN chủ yếu hỗ trợ cho nhân viên làm việc ở nhà, làm việc tại

nhà hoặc PartTime/Freelancer kết nối vào công ty mà không cần phải ngồi làm việc trong mạngLAN.

Windows XP quản lý kết nối mạng bằng bằng phần Network Connections trong Windows. Để cấu hình cho Windows XP kết nối VPN chúng ta vào Network Connections và chọn Add New Connection

Cấu hình VPN tại máy Clients:

- Vào Network Connections của máy Client chọn Create a new Connection Next


Trang 107

Chọn tiếp Connect to the network at my workplace Next

Chọn tiếp Virtual Private Network connection Next


Trang 108

Tiếp theo đặt tên cho Network Conection Next

Nhập IP mặt ngoài của mạng cần kết nối VPN 192.168.1.10 Next finish


Trang 109

Trong cửa sổ Network Connections của máy VPN xuất hiện thêm icon VPN to Gateway1 với giao thức

PPTP click phải chọn Conect


Trang 110

Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect

Sau khi Connect vào ta thực hiện truy cập vào các Shared Folder thành công

Như vậy là chúng ta vừa thực hiện xong cấu hình VPN Remote Access Client to site trên ISA 2006.


Trang 111

4.2 ISA Site-to-Site

Triển khai vpn site to site

Triển khai vpn site to site để các nhân viên giữa trụ sở q1 và chi nhánh quận 5 chia sẽ dữ liệu cho

nhau 1 cách dễ dàng

Đầu tiên tại trụ sở chính cấu hình vpn site to site

Mở isa tại trụ sở click Virtual Private Network- Tab Remote Sites click Create VPN site to site

Connection

Đặt tên site name tại mục site to site network name.lưu ý tên site name sẽ là tên user của chi nhánh

Q.5 dùng để kết nối đến trụ sở chính Q.1

VPN site to site ta sử dụng giao thức Point to Point Tunneling Protocol

Và sử dụng lớp mạng 20.0.0.1-20.0.0.254/24 để cấp ip cho các user khi kết nối các site với nhau

Sau khi hoàn tất sẽ hiện 1 bảng thông báo tạo 1 user bên site remote có user như tên site name


Trang 112

Tại trụ sở quận 1 ta tạo 1 user tên q5 trùng với tên site để remote bên chi nhánh quận 5


Trang 113

Sau khi hoàn tất ta phải enable tính năng VPN access tại ISA Server

Tại các user này ta phải cho phép user có thể remote VPNMở user tại Properties/ Tab Dial-in chọn Allow access

Làm tương tự với chi nhánh Q.5.


Trang 114

5. Triển Khai Phát Hiện Xâm Nhập Với IDS

Phát hiện xâm nhập trái phép là 1 trong những yếu tố quan trọng trong vấn để bảo vệ hệ thống mạng

của công ty do đó ISA server còn cung cấp cho chúng ta tính năng phát hiện xâm nhập trái phép

Intrusion Detection and DNS Attack Detection.IDS trong ISA có những tính năng cơ bản sẽ hoạt động

như Ping of death, IP half scan, UDP bsexb và scanport…..Mặc định ISA không mở tính năng scan port

ta sẽ mở bằng cách

Mở ISA chọn chọn Configuration – General Chọn Enable Intrusion Detection and DNS Attack

Detection

Check thêm tính năng scan port để phát hiện khi có kẻ scan port hệ thống mạng công ty

Sau khi bật tính năng scan port ta phải bật log trong isa để xem tất cả các hoạt động liên quan đến hê

thống như IP các client,đích đến, port,giao thức và các hành động liên quan


Trang 115

Để đơn giản trong việc phát hiện ta sẽ tạo 1 alert để thông báo cho admin biết khi có dấu hiệu về xâm

nhập trái phép

Click Monitoring tại tab Alerts

click Configure Alert Definitions

check vào Intrustion Detected


Trang 116

Tại tab Action ta điền các thông tin cần thiết như mail server và thông báo đến cho admin

Khi có phát hiện xâm nhập ISA sẽ gửi mail thông báo cho admin biết

Đây chỉ là 1 ví dụ đơn giản trong việc phòng chống xâm nhập với IDS trong ISA, ngoài ra còn rất nhiều

kiểu xâm nhập khác như:

Ping of Death

Một số máy tính sẽ ngưng hoạt động, reboot hoặc bị crash khi gởi gói data ping với kích thước lớn đến

chúng.

Ví dụ: C:\ > ping -l 655540

Teardrop

Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá

trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một

giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh

này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo

thứ tự đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000

bytes này được chia thành 3 gói nhỏ(packet):


Trang 117

packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500

packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000

packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000

Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho

đúng với thứ tự ban đầu: packet thứ nhất - > packet thứ hai - > packet thứ ba

Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ

thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và

có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên

nhau quá lớn!

Hãy xem lại ví dụ trên, đúng ra các packet được gởi đến hệ thống đích có dạng như sau: (1- > 1500

bytes đầu tiên) (1501- > 3000 bytes tiếp theo) (3001- > 4000 bytes sau cùng), trong tấn công

Teardrop sẽ có dạng khác: (1- > 1500 bytes) (1501- > 3000 bytes) (1001- > 4000 bytes). Gói packet

thứ ba có lượng dữ liệu sai!

SYN Attack

Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP. Một client muốn kết nối

đến một host khác trên mạng.

Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN) đến host cần kết nối:

client-----SYN packet----- > host

Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của packet này có giá trị đúng bằng

ISN ban đầu do client gởi đã gởi đến host ở bước 1 và chờ nhận một ACK packet từ client

host-----SYN/ACK packet----- > client

Bước 3: client phản hồi lại host bằng một ACK packet

client-----ACK packet----- > host

Khi host nhân được ACK packet này thì kết nối được thiết lập, client vào host có thể trao đổi các dữ

liệu cho nhau.

Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có

thực. Hệ thống đích khi nhận được các bad SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa

chỉ không có thực này vào chờ nhận được ACK messages từ các địa chỉ ip đó. Vì đây là các địa chỉ ip

không có thực, hệ thống đích sẽ sẽ chờ đợi vô ích và còn nối đuôi các ``request`` chờ đợi này nào

hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác

thay cho phải chờ đợi ACK messages.


Trang 118

Một số cách phòng chống tấn công

1> Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không

cho gửi dữ liệu đến máy chủ.

2> Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng

lưu thông trên mạng và tải của máy chủ.

• 3> Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào

hệ thống.

• 4> Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho

hệ thống đó hoặc thay thế.

• 5> Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.

• 6> Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có

thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm

các máy chủ cùng tính năng khác để phân chia tải.

• 7> Tạm thời chuyển máy chủ sang một địa chỉ khác.


Trang 119

6. Triển khai Antivirus và Antisyware

ISA không có tính năng phòng chống virus nên chúng ta sẽ dùng phần mềm GFI Webmonitor để hỗ

trợ ISA trong việc bảo vệ hệ thống mạng của công ty trước virus và các phần mềm độc hại

GFI Webmonitor sử dụng ba trình diệt virus thông dụng là Bitdefender, kaspersky và Norman Anti Virus

để bảo vệ hệ thống

GFI Webmonitor tích hợp trong ISA có thể sử dụng trong môi trường domain

Sau khi cài đặt chương trình GFI Webmonitor ta khởi động chương trình để bắt đầu sử dụng

Tại màn hình chính ta chọn vào mực Virus Scanning Policies để tạo rule tùy theo nhu cầu của công ty

yêu cầu hoặc sử dụng rule mặc định

Có 3 tùy chọn để xử lý những file yêu cầu

Có 3 tùy chọn mặc định

+ Warn and Allow: Cảnh báo và cho phép

+ Block and Quarantine: Khóa và cách ly

+ Block and Delete: Khóa và xóa


Trang 120

Nếu muốn GFI Webmonitor scan thêm 1 file theo ý muốn ta chọn Add Content-type

Sau khi thiết lập rule xong GFI sẽ bảo vệ hệ thống mọi thời điểm và trên mọi user,nếu ta muốn thiết

lập riêng cho từng user,máy tính hay group GFI đều có thể đáp ứng

Kết quả sau khi cài GFI Webmonitor


Trang 121


Trang 122

7. Giám sát hoạt động hệ thống mạng

Tổng quan về hệ thống Monitor:

- Người quản trị ISA Server chỉ cấu hình ISA Server vào những lúc hệ thống có sự thay đổi, và chủ yếu cấu hình lúc ban đầu khi mới cài đặt ISA Server. Công việc thường xuyên nhất của các nhà quản trị là theo dõi tình hình họat động của ISA Server hay còn gọi là Monitoring, Auditing.

- ISA Server cung cấp riêng một phần Monitoring cho người quản trị để có thể theo dõi tình hình họat động của ISA Server. Chủ yếu nhà quản trị sẽ sử dụng phần Dashboard để xem họat động chung của

Server. 1. Kiểm tra kết nối Web Internal:

Vào ISA chọn Monitoring chọn thẻ Connectivity create new connectivity verifier

Nhập vào tên connectivity verifier Next


Trang 123

Tiếp theo điền tên web site cần kiểm tra , chọn option send HTTP “GET” request, trong Group type

use to… chọn Web internet Next finish Apply

Sau khi tạo xong ta thấy kết nối có màu xanh, chứng tỏ ISA server đang kết nối liên tục đến

www.ispace.edu.vn

1. Kiểm tra kết nối AD

Tại Montoring chọn thẻ connectivity verifier -- > Create new connectivity verifier Nhập tên

Next

http://www.ispace.edu.vn/


Trang 124

Tiếp theo nhập vào IP của máy Domain chọn option estabish a TCP connection to port

chọn LDAP 389 Next finish apply


Trang 125

Như vậy chúng ta muốn kiểm tra kết nối tới một web site nào ngoài internet thì ta cũng thực

hiện tương tự như trên.

3.Tạo report để thống kê kết nối truy cập:

ISA Server sẽ tạo ra các report theo yêu cầu của nhà quản trị, Report là các bản báo cáo của ISA Server về tình hình họat động của mình, tình trang bộ nhớ, lưu lượng truy cập …

Cũng tại Monitoring chọn thẻ Reports Generate a new Report

Nhập tên cho Report Next


Trang 126

Tiếp theo chúng ta đánh dấu chọn tất cả chex box Next


Trang 127

Nhập vào ngày bắt đầu và ngày kết thúc Report (Lưu ý ngày bắt đầu Report phải nhỏ hơn

ngày hiện tại)


Trang 128

Tiếp theo nếu bạn muốn gửi Report cho người nào đó thì bạn nhập địa chỉ Email của người đó

vào Next finish.

Kết quả tạo Report :


Trang 129

Để xem Report click phải chuột vào Report chọn View

4.Tạo Alerts:

Chức năng Alert sẽ cảnh báo cho nhà quản trị biết một thông điệp gì đó liên quan đến Bảo mật

hoặc sự an tòan của ISA Server. Microsoft sử dụng từ ngữ Trigger để nói lên điều này, có ngh a là

nếu ISA Server thấy một tính năng nào đó đạt đến ngưỡng quy định sẽ tự động báo lên một Alert

cho người dùng.

Tại Monitoring chọn thẻ Alerts chọn cofigure alert difinitions


Trang 130

Tiếp theo chọn Service shutdow chọn Edit


Trang 131

Tiếp theo chúng ta nhấp đầy đủ thông tin email cần gửi thông báo đến OK


Trang 132

5. Tạo Alerts để phònh chống Sanport vào ISA server

Tại ISA chọn configuration general chọn enable intrusion detection and DNS attack

detection

Check vào Port scan OK


Trang 133

D- HƢỚNG MỞ RỘNG

I. Đánh Giá Đề Tài

1. Ƣu điểm:

- Hệ thống tường lửa hoạt động ổn định.

- Chính sách bảo mật chặt chẽ.

- An toàn hệ thống với Anti-virus và Anti-spyware.

- Giám sát và quản lý băng thông một cách hiệu quả.

2. Nhƣợc điểm:

- Dễ bị tấn công trong mạng nội bộ.

- Quản lý các vùng chỉ với một tường lửa.

- Chưa có hình thức Anti-virus và Anti-Spam cho Mail Server.

- Không giám sát được người dùng khi sử dụng SSL.

II. Định Hƣớng Hệ Thống Trong Tƣơng Lai

1. Định hƣớng nâng cấp sử dụng Forefront Threat Management (TMG) 2010

- Trong tương lai nếu công ty có nhu cầu nâng cấp độ bảo mật của hệ thống thì chúng tôi sẽ sử

dụng Forefront Threat Management Gateway (TMG) 2010.

- Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và chính

thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway (TMG), đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:

Internet Security and Acceleration Server (ISA).

Forefront Client Security. Forefront Security for Exchange Server. Forefront Security for SharePoint.

- Chính vì là một sản phẩm ra đời sau nên Forefront TMG có những tính năng mới nổi trội hơn ISA 2006 như: lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống phát hiện và

ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ E-mail. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn.

- Ngoài ra còn có 1 yếu tố nữa là từ phiên bản ISA 2006 chỉ hỗ trợ các hệ điều hành trước đó như

Windows 2000, Windows XP, Windows 2k3 mà không được hỗ trợ trên các hệ điều hành mới của

Microsoft như: Windows 7, Windows 2k8. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay 2k8 chúng ta sẽ phải sử dụng Forefront TMG 2010.


Trang 134

2. Xây dựng hệ thống theo mô hình Back-End kết hợp Front-End để bảo mật hệ thống:

- Nâng cao bảo mật cho hệ thống mạng với 2 tường lửa. - Đảm bảo hệ thống Mail hoạt động ổn định. - Bảo mật hệ thống chặt chẽ giữa các vùng. - Giám sát hệ thống mạng hiệu quả.

Documents

Do An ISA Full