Embed Size (px)
Citation preview
Báo cáo đề tài ISA(internet security accerleration)
Thành viên :Phạm Minh Lộc
Nguyễn Ngọc CươngĐỗ Hồng Phúc
Đào Văn Tú
Nội Dung Báo CáoI.Introduction ISAII.Setup ISAIII.ProxyIV.Access RuleV. Configuring ISA Server as a FirewallVI.Intrustion DetectionVII.FilterVIII.Publishing Rule
I. Introduction ISA
• ISA là một sản phẩm tường lửa (firewall) của Microsoft được người sử dụng hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt
• ISA có 2 phiên bản chính là standard và enterprise
Standard• Dành cho các doanh nghiệp có qui mô vừa và nhỏ• Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ
thống mạng nội bộ• Triển khai các hệ thống VPN site to site,Remote Access
để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh
• Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web,Mail… )
• Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn
Enterprise
• Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn
• Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép thiết lập mảng các ISA server cung cấp khả năng Load Balancing
II. Setup ISA
• Chọn Install ISA Server 2006
• Chọn chế độ cài đặt Custom
• Xác định đường mạng mà ISA server quản lý
• Tiếp đó nhấn Finish để hoàn thành quá trình cài đặt
• Sau khi cài đặt thử ping từ máy client tới máy isa server
• Từ mạng ngoài ping tới máy isa server
• Máy client truy cập internet
• Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta
Cấu hình ISA Client
• Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau:
• SecureNATĐây là phương pháp đơn giản nhất,ta chỉ cần cấu hình default gateway trỏ về card mạng bên trong của ISA server là được
Địa chỉ của máy ISA server
• Web Proxy ClientCấu hình máy ISA server làm proxy server
• Firewall Client
Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trong mạng
Dạng Ưu điểm Nhược điểm
Secure NAT
Kiểm soát được tất cả mọi Port ra vào hệ thống
Không kiểm soát được User, trang web...
ProxyKiểm soát được mọi
User, trang web...Chỉ kiểm soát được
các Port 443,80,21
Firewall Client
Kiểm soát được tất cả mọi Port ra vào hệ thống
Kiểm soát được mọi User, trang web...
Chỉ hỗ trợ các hệ điều hành Windows
III. Proxy server
• Một trong những đặc trưng khiến proxy server được ưa chuông là khả năng caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập
• ISA server sẽ có khả năng thực hiện forward caching và reverse caching
Cơ chế reverse caching• Khi có một internet client truy cập vào một
internal web server được publish thông qua ISA server,proxy server trên ISA sẽ truy cập web server,nhận phản hồi,cung cấp nội dung web cho client và lưu trữ nội dung website.
• Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa.
Cơ chế forward caching• Khi 1 internal client truy cập vào trang web
nào đó thì ISA sẽ tự động lưu nội dung trang web đó trong cache của mình.
• Nếu 1 internal client khác truy cập vào trang web mà ISA đã cache lại thì ISA sẽ lấy nội dung lưu trong cache truyền cho client đó
Xác lập dung lượng lưu trữ Cache
• Cần lưu ý rằng ISA server mặc định không có khả năng cache. Nếu muốn dùng, quản trị viên phài chủ động kích hoạt tính năng cache.
• Sau khi kích hoạt, cả 2 chức năng forward và reverse cache đều mặc nhiên hoạt động. Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và ổ đĩa lưu trữ (define cache drive).
• Tại ISA Server trong màn hình bên phải chọn Tab Cache Drivers tiếp tục nhấp phải vào Cache Driver chọn Properties
• Set giá trị Cache cho ISA .Trên thực tế nên Set giá trị này càng cao càng tốt khoảng 5Gb trở lên.
• Chọn Save the changes and restart the services
Một số vấn đề liên quan tới ỗ đĩa cache
• Đĩa cache phải là ổ đĩa cục bộ (local drive).
• Đĩa cache phải được định dạng NTFS.
• Để tồi ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống và đĩa cài đặt chương trình ISA
Cache rule
• Sau khi kích hoạt caching, cả 02 chức năng forward và reverse cache đều hoạt động đối với mọi trang web.
• Mặc định ISA Server đã tạo cho ta 2 Cache Rule nhằm tự động phát hiện các Web chưa có trong Cache của ISA và tự động cập nhật các thông tin này.
• Bên cạnh đó ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển các hoạt động cache
- Thiết lập cache rule ứng với một hoặc một số trang web xác định
- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định
- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu.
- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn.
Chỉ định loại nội dung được lưu trữ
Nội dung loại này thườngxuyên thay đổi và vì thế được đánh dấu là khôngthể cache.Tuy nhiên nếuchọn phương thức nàytrong rule thì nội dung động sẽ vẫn được lưucho dù nó được đánhdấu là không thể cache
Nội dung có thể truy cập khi không kết nối đến web server.Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả phần đãđược đánh dấu là không thể cache.
Nếu chọn phương thức
này ISA sẽ lưu các nội
dung mà trang web yêu
cầu chứng thực trước khi chophép truy cập.
Cách thu thập nội dung web và cách đáp ứng cho client trên cơ sở TTL
Chỉ cung cấp nội dung lưutrữ còn hợp lệ cho client. Nếu nội dung quá hạn thì ISAsẽ truy cập web server để tải về.Cấu hình này bảo đảm cho client có được nội dung mới nhất (trong một thời hạn nhất định.)
Cung cấp nội dung lưu trữ Cho client bất kể thời hiệu.Chỉ khi không có lưu trữ thì mới tải về.Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tính cập nhật.
Cung cấp nội dung lưu trữ cho client bất kể thời hiệu. Nếu không có lưu trữ thì bỏ qua yêu cầu của client
• Mặc định ISA sẽ Cache toàn bộ các trang Web mà User truy cập. Với một số trang Web mà nội dung thường xuyên thay đổi (các trang Web chứng khoán...) thì tính năng Cache này không khả thi.
• Bây giờ ta sẽ tạo các một Rule nhằm loại trừ một số trang mà ta không muốn ISA Cache chúng
Tạo rule cấm cache trang google
Trước tiên ta cần tạo 1 URL Set chứa địa chỉ của trang google
• Chọn New Cache rule
• Đặt tên cho Rule này là Deny Goole
Destination chọn url google vừa tạo
• Giữ nguyên các giá trị mặc định khác
• Bỏ tính năng HTTP caching để không cache trang này
• Hoàn tất việc tạo cache rule
Content download job
• Như vậy với một số trang Web mà ta muốn ISA tự động Cache vào thời điểm nhất định nào đó thì ta phải tạo một Job cho ISA cập nhật chủ động trang này
• ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định. Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội dung đã được lưu sẵn tại ISA).
• Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng.
• Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA. Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống.
• Cấu hình hệ thống này bao gồm 03 yếu tố mà ta có thể tự thực hiện:
Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client.
• Kích hoạt 01 configuration group có tên "Scheduled Download Job"
• Kích hoạt system rule thứ 29.
Tạo 1 content download job để download trang vnexpress
• Chọn yes
• Đặt tên cho Content download job
• Chọn Daily để thực hiện cache mỗi ngày
• Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency
• Nhập địa chỉ trang Web muốn Cache chủ động vào
• Giữ nguyên giá trị mặc định trong màn hình Content Caching
• Chọn Finish để hoàn tất việc tạo download job
• Bật chức năng Content download job
IV. ACCESS RULE Giới thiệu về ACCESS RULE.Hướng dẫn thực hiện một số Rule cơ bản như:
1.Tạo rule cho phép traffic DNS Query để phân giải tên miền.2.Tạo rule cho phép mọi user sử dụng Mail
Giới thiệu về Access Rule
3. Cấm xem một số trang web(như: http://vnexpress.net )
4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ làm việc
• Access Rule điều khiển các truy cập ra bên ngoài từ1 Network được bảo vệ nằm trong đến 1 Network khác không được bảo vệ nằm ngoài.
• ISA Server 2006 quan tâm đến tất cả Networks không nằm ngoài –External.còn những Networks
Được xác định là External thì không được bảo vệ• Các Networks được bảo vệ:VPN Client NetworkQuaranined Vpn clients(mạng vpn client bị
cách ly).Localhost Network(chính các isa server
firewall).Internal Network(mạng Lan).Perimeter networks-DMZMạng vành đai.
Hướng dẫn thực hiện một số Rule1. Tạo rule cho phép traffic DNS Query
để phân giải tên miền.
• Bước 1: vào ISA management->Firewall policy->New Rule
Bước 2: Gỏ “DNS Query” vào Access name->next
Bước 3: Action chọn Allow->next
Bước 4:Trong This Rule apply to:chọn ”Select Protocols”->Add->Comand protocol là DNS->Ok->next
Bước 5:Trong Access Rule Source chọn Add Network là Internal->Add->close->next
Bước 6:Trong Access Rule Destination chọn Add Network là External->Add->close->next
Bước 7:Trong User sets chọn giá trị mặc định là All user->next->finish(chọn nút apply phía trước có dấu chấmthan)
Bước 8:Dùng lệnh Nslookup để phân giải một tên miền bất kỳ.
2. Tạo Rule cho phép mọi User sử dụng mail
Tạo Access Rule theo các thông số sau:-Rule Name: Allow Mail (SMTP + POP3)-Action: Allow-Protocols: POP3 + SMTP-Source: Internal-Destination: External-User: All UserCác thao tác thực hiện như phần một
3. Cấm xem một số trang web như(vnexpress.net)
Định nghĩa các trang web muốn cấm
Bước 1:ISA management->firewall policy->tool box->Network Object->New->URL set.
Bước 2:Dòng name đặt tên là vnexpress->New khai 2 dòng http://vnexpress.net và http://vnexpress.net/*->ok
Tạo Rule
-Rule Name: Web bi cam
-Action: Deny
-Protocols: All Outbound Traffic
-Source: Internal
-Destination: URL Set “vnexpress”-User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
Kiểm traThử logon vô một User nào đó rồi vào trang vnexpress
4. Tạo Rule cho phép sử dụng Internet không hạn chế trong giờ làm việc
a. Định nghĩa giờ làm việc
Bước 1:ISA management->Firewall policy->toolbox->Schedule->NewName:giờ làm việcChọn Active từ 8am-6pm và ok
b. Tạo Rule
• Rule Name: Giờ Làm việc• Action: Allow• Protocols: All Outbound Traffic• Source: Internal• Destination: External• User: All Users
• Các thao tác làm tương tự như phần 1
• Sau khi tạo rule xong, chọn properties của rule vừa tạo chọn Schedule là Giờ làm việc
->Apply
c. Kiểm traLog on vào một user nào đó ví dụ như u1Sửa lại giờ trên máy ISA trùng giờ làm việcTruy cập internet
V. Configuring ISA Server as a Firewall
Template• ISA Server firewall mang đến cho chúng ta
những thuận lợi to lớn , một trong những số đó là các Network Temlates.Với sự hỗ trợ các Templates mà chúng ta có thể cấu hình tự động các thông số Network , Network Rule và Access Rules
• Network Templates được thiết kế nhanh chóng tạo được cấu hình nên tảng cho những gì mà chúng ta có thể xây dựng
• Các loại Network Templates
Edge Firewall
• Với mô hình này chúng ta chỉ cần dựng một ISA Server duy nhất và trên đó có 2 Card Lan:
- Card thứ 1 nối với các máy trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này
• Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.
3-Leg Perimeter
• Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm
- Nhóm thứ 1 là các máy như Mail Server, Web Server… để người dùng từ External Network có thể truy cập vào
- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
• Tại máy ISA Server ta cần đến 3 Card Lan - Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal
Network. ISA Server sẽ mở các Port Outbound tại Card này - Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal
Network. ISA Server sẽ mở các Port Outbound/Inbound tại Card này - Card thứ 3 nối với các máy trong External Network. ISA Server
sẽ mở các Port Inbound tại Card này• Như vậy nếu một Hacker từ External Network tấn công vào mạng
chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.
Front/Back Firewall
• Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host
• Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.
• Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.
• Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server.
Single Network Adapter
Cách thực hiện• Vào ISA, chọn Configuration/Network , ở ô cửa
sổ bên phải chọn tab Templates, chọn template Edge Firewall
• Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn Export chọn ổ đĩa và file cần lưu.Nếu không lưu thì ấn next
• Nhập vào dãy Ip của internal -> next
• Chọn Fire wall policy cho phù hợp
Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng. Ta nên tạo lần lượt các Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn.
VI. Intrustion Detection• Giả sử mạng chúng ta đã dựng thành công ISA
Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này.
• Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết sự nguy hiểm đang rình rập này. Trong bài này chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công từ bên ngoài vào hệ thống mạng chúng ta.
• ISA\Configuration\General\bật chức năng Enable Instruction Detection and DNS Attack Detection
• Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan.
• Trong Tab Common Attacks: chọn “Port can” -> ok
• Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng
• Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết
• Bây giờ tại máy Client tôi cài đặt một chương trình có tính năng Scan các Port đã mở trên ISA Server đó là SuperScan 4.0
• Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi
• Trở lại Tab Scan tiến hành Scan Port của máy ISA
• Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào mạng chúng ta
• Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt, và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà người ta sẽ cấu hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho Administrator khi phát hiện có các xâm nhập bất hợp pháp vào hệ thống mạng
• Chọn Tab Alerts chọn tiếp link Configure Alert Definitions
• Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit
• Chọn tiếp Tab Actions trong Alert Actions và nhập thông tin tài khoản Email của Administrator vào đây
• Bạn có thể chọn Run a program, để kích hoạt chương trinh chống xâm nhập
• Bạn quay lại máy Client tiến hành Scan Port lại máy ISA.• Lúc này ISA Server phát hiện ra việc Scan Port bất hợp pháp này và ngay lập tức nó gởi một
Email cảnh báo cho Administrator để đưa phương án phòng thủ và bạo vệ tốt hơn
VII.Application Filter
1. HTTP Filter
2. SMTP Filter
1. HTTP Filter
Cấu hình bộ lọc HTTP Filter Nếu bạn muốn bắt đầu cấu hình bộ lọc HTTP, kích phải
chuột lên một quy tắc có chứa định nghĩa giao thức HTTP và chọn Configure HTTP từ menu ngữ cảnh.
• Request Header Maximum Headers length (bytes): là số byte lớn nhất cho một yêu cầu HTTP trong URL và HTTP Header.
• Request Payload Maximum payload length (bytes): giới hạn số byte lớn nhất cho người dùng khi gửi các yêu cầu như HTTP POST trong môi trường Web Server.
• URL-Protection Maximum URL Length (Bytes): độ dài lớn nhất của một URL được phép. Maximum Query length (Bytes): độ dài lớn nhất của một URL trong yêu cầu HTTP.
• Verify normalization Bạn có thể chọn hộp kiểm này để đặc tả các yêu cầu đường dẫn URL chứa ký tự viết hoa sau ký tự thường và sẽ được thay thế bằng chữ thường.
• Block High bit character Các đường dẫn URL có chứa Ký tự byte kép (DBCS) hay kiểu Latin1 sẽ được loại bỏ nếu thiết lập này được kích hoạt. Một thiết lập kích hoạt thông thường sẽ loại bỏ các ngôn ngữ đòi hỏi hơn 8 bit trong hiển thị ký tự.
• Executables Loại bỏ các đáp ứng chứa nội dung thực thi Windows. Tùy chọn này loại bỏ việc download và thực hiện các nội dung thực thi như file EXE. Tiếp theo chúng ta sẽ cấu hình các phương thức HTTP được phép hoặc loại bỏ.
• Trong ví dụ này chúng ta đang loại bỏ lệnh HTTP POST để không ai có thể upload nội dung lên các website bên ngoài.
• Loại bỏ các thực thi Với tùy chọn này bạn có thể loại bỏ hoặc cho phép một số đuôi file mở rộng cụ thể trong quy tắc tường lửa (Firewall).
• Loại bỏ các yêu cầu chứa tên mở rộng mơ hồ Tùy chọn này chỉ thị cho bộ lọc HTTP loại bỏ tất cả tên file mở rộng mà ISA Server 2006 không thể xác định được. Trong ví dụ này chúng ta sẽ loại bỏ quyền truy cập vào tên file mở rộng .EXE.
• Điều khiển HTTP Header Khi một Web Client gửi yêu cầu tới Web Server hoặc Web Server trả lời yêu cầu, phần đầu tiên của câu trả lời là một HTTP request hoặc HTTP response. Sau HTTP request hoặc HTTP response, Client hay Server sẽ gửi HTTP Header. Trường Header request cho phép Client gửi thông tin thêm tới Server. HTTP Header chứa thông tin về trình duyệt, hệ điều hành và các chi tiết cấp phép… Header client sử dụng phân phối User-Agent để xác định xem ứng dụng nào chịu trách nhiệm thực hiện yêu cầu.
• Với sự trợ giúp của bộ lọc HTTP Filter, bạn có thể loại bỏ một số HTTP Header nào đó nếu muốn.
• Các thiết lập trong trường Server Header cung cấp cho người quản trị khả năng điều khiển loại bỏ các Header HTTP hoặc chỉnh sửa HTTP Header trong phần trả lời và một số thiết lập khác. Ở ví dụ dưới chúng ta dùng thành phần HTTP Header trong ISA Server 2006 để loại bỏ Kazaa, thông tin nằm trên Request Header.
• Các ký hiệu trong HTTP Filter Một ký hiệu HTTP có thể tồn tại trong phần thân HTTP hoặc phần tiêu đề. Bạn có thể dùng các ký hiệu HTTP để từ chối thực thi trên các ứng dụng cụ thể. Muốn tìm một ký hiệu HTTP riêng nào đó, bạn phải biết ký hiệu nào đang dùng cho ứng dụng nào.
• Một số tài liệu trên Internet có thể giúp bạn tham khảo thêm thông tin về các ký hiệu HTTP, nhưng bạn cũng có thể dùng sniffer mạng để xác định các ký hiệu này.
• Quan trọng: Việc lọc các ký hiệu HTTP trong ISA Server 2006 chỉ được tiến hành khi các yêu cầu và đáp ứng (request/response) được mã hóa kiểu UTF-8.
• Trong ví dụ dưới chúng ta sẽ loại bỏ quyền truy cập giao thức Windows Live Messenger.
• Quan trọng: ISA Server 2006 chỉ kiếm tra 100 byte đầu tiên trong thân yêu cầu và đáp ứng. Bạn có thể tăng thêm số byte lớn nhất nhưng điều này sẽ thể khiến một số thực thi Server bị giảm hiệu quả.
• Thông báo lỗi HTTP nếu HTTP Filter loại bỏ nội dung
• Bạn có thể dùng HTTPFILTERCONFIG.VBS từ thư mục C:\PROGRAMME\MICROSOFT ISA SERVER 2006 SDK\SDK\SAMPLES\ADMIN trên ISA Server 2006 SDK để nhập và xuất các cấu hình HTTP-Filter.
• Kết Luận:HTTP Filter trong ISA Server 2006 là một công cụ lớn giúp loại bỏ một số nội dung nguy hiểm để bảo vệ chống lại các mã độc hại hoặc Trojan, worm. Bạn cũng có thể dùng HTTP Filter để loại bỏ một số ký hiệu HTTP cụ thể. Loại bỏ các ký hiệu này sẽ giúp người quản trị hạn chế được một số kiểu ứng dụng như Windows Live Messenger. Các kiểu ứng dụng này được tạo ra từ HTTP nếu giao thức thông thường được loại bỏ bởi các phần hạn chế trong tường lửa.
2. SMTP FilterGiỚI THIỆU VỀ SMTP Message Screener:
• Một trong những thành phần cấu thành nên hệ thống ISA Server Firewall 2006 đó là SMTP Message Screener. SMTP Message Screener có thể kiểm tra các SMTP messages tại lớp ứng dụng - application layer để sau đó tiến hành chuyển tiếp- relay hay loại bỏ - reject messages dựa trên các thông số mà bạn cấu hình.
• SMTP Message Screener là một thành phần không thể thiếu trong sơ đồ phòng vệ chặt chẽ, nhằm chống lại các email nguy hiểm. Internet worms và viruses, cũng phải kể đến spam, là những gieo rắc kinh hoàng cho hệ thống Mạng. Chúng ta có thể sử dụng ISA Server 2006 SMTP Message Screener kết hợp với Exchange SMTP Gateway Server nhằm cung cấp một giải pháp tối ưu trong kế hoạch phòng vệ cho hệ thống mail.
Để tiến hành thực Hiện SMTP Filter thì ISA của ta phải cài đặt SMTP Message Screener. SMTP Filter:
1. Chọn Firewall Policy->New->Mail Server Publishing RuleGhi nhớ rằng rule này sẽ dùng external interface trên ISA
Server 2006 để chấp nhận chuyển tiếp các email gửi vào -incoming mail. Click Next.
2. Trên Select Server page,điền vào IP address của Internal interface trên ISA Server 2006 firewall mà bạn đang muốn publish. Điền vào 10.0.0.1, primary IP address trên Internal interface, của ISA Server 2006 firewall. Click Next.
3. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol. Click Next.
4. Trên IP Addresses page, đánh dấu check vào External check box và click Address button.
5. Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network. Click IP address của external interface mà bạn muốn sử dụng trong rule. Trong ví dụ này, IP address sẽ là 192.168.1.70. Click Add. IP address giờ đã xuất hiện trong danh sách Selected IP Addresses .Click OK.
6. Click Next trên IP Addresses page.7. Click Finish trên Completing the New Server Publishing Rule Wizard page.Bước kế tiếp tạo Server Publishing Rule chấp nhận chuyển tiếp mail từ trong ra ngoài- outbound relay, từ Internal network Exchange Server: Chọn FireWall Policy->New->Mail Server Publishing Rule
1. Trên Select Server page, điền vào IP address trên Internal interface của ISA Server 2006 firewall mà bạn muốn publish. Điền vào 10.0.0.10, địa chỉ thứ 2- 2nd IP address trên Internal interface của ISA Server 2006 firewall. Click Next.
2. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol. Click Next.
3. Trên IP Addresses page, đánh dấu vào Internal check box , click Address button.
4. Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network. Click IP address trên Internal interface mà bạn muốn dùng trong rule. Trong ví dụ này, IP address là 10.0.0.10, sau đó click Add. IP address giờ đã xuất hiện trong danh sách Selected IP Addresses. Click OK.
5. Click Next trên IP Addresses page.
6. Click Finish trên Completing the New Mail Server Publishing Rule Wizard page
Cấu hình Outbound SMTP Relay Server Publishing Rule:
1.Right click Outbound SMTP Relay rule , click Configure SMTP.
2. Click trên General tab trong Configure SMTP Protocol Policy dialog box. Đánh dấu check vào Enable support for Message Screener checkbox.
3. Click trên Keywords tab. Đánh dấu check vào Enable this rule checkbox. Click Add. Trong Mail Keyword Rule dialog box, điền vào resume trong Keyword text box. Chọn Message header or body. Chọn Hold message option từ danh sách Action. Click OK.
4. Click Apply và click OK trong Configure SMTP Protocol Policy dialog box.
Cấu hình Inbound SMTP Relay Server Publishing Rule1. Right click Inbound SMTP Relay rule và click
Configure SMTP.
2. Click trên General tab trong Configure SMTP Protocol Policy dialog box. Đánh dấu check vào Enable support for Message Screener check box.
3. Click vào Keywords tab. Click Add button. Trong Mail Keyword Rule dialog box, điền vào mail enhancement trong Keyword text box. Chọn Message header or body option. Chọn Hold message option từ danh sách Action. Click OK.
4. Click Apply và sau đó click OK trong Configure SMTP Protocol Policy dialogbox.
5. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.
6. Click OK trong Apply New Configuration dialog box.
VIII.Publishing Rule
• Trong trường hợp trên không cần domain và CA enterprise. Giả sử bên trong internal có một web server là topic.edu (trên mạng 200.200.200.0).Ta muốn cho user ở external (mạng 10.0.0.0) có thể truy cập được web server
• Trên máy Web server: cài và cấu hình DNS, tạo một alias chỉ về máy web server.Cài IIS, ASP.net, tạo file index.htm trong thư mục Inetpub\wwwroot có nội dung tùy ý.Tại máy web server vào IE test thử www.topic.edu
• Trên máy ISA: Thực hiện publish web
• Click phải vào Fire wall policy\New\Websitepublishingrule
• Option chọn allow
• Trong phần publish name gõ vào tên web mà external sẽ dùng tên này truy cập vào web service thông qua ISA
• Chọn SelectIP address ..
Publish SMTP, POP3, OWA...
• Tại máy Exchange Server (PC02) do mặc định Exchange đã tắt các dịch vụ POP3 và IMAP4 nên ta phải vào Services bật các dịch vụ này lên.
Tiếp theo ta phải cấu hình Service POP3 ở chế độ PlainText bằng cách chạy Exchange Power Shell nhập lệnh Set-PopSettings -LoginType PlainTextLogin
Và kiểm tra bằng lệnh Get-PopSettingsPhải xác nhận rằng dòng Login Type là PlainTextLogin
Trở lại máy ISA Server (PC01) để tạo Rule Publish các dịch vụ SMTP và POP3 Bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New -> Mail Server Publishing Rule
Đặt tên cho Rule này là Publish Mail
Chọn tùy chọn Client access: PRC, IMAP, POP3, SMTP
Trong này tôi chỉ chọn POP3 và SMTP ở dạng standard port mà thôi nghĩa là chỉ bật các Port 110 và 25 mà thôi
Trong màn hình Select Server nhập IP của máy chạy dịch vụ Mail Server trong này chính là máy Exchange Server
Từ máy Client bật Outlook lên và cấu hình Incoming mail, Outgoing mail là mail.gccom.net
Publish OWA
• Tiếp tục ta tạo một Rule mới để các máy có thể Check mail thông qua OWA của Microsoft Office Outlook
• Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New -> Exchange Web Client Access Publishing Rule
• Đặt tên cho Rule này là Publish OWA
• Chọn phiên bản Exchange tương ứng và click vào Outlook Web Access
• Chọn tùy chọn Publish a single Web site or load balancer
• Trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connect to the published Web server or server farm để Publish dịch vụ HTTP cho OWA
• Nhập Domain name mà bạn mua từ nhà cung cấp dịch vụ vào ô Public name trong Public Name Details
• Internal site name bạn nhập Domain name của hệ thống (chính là Domain của DC Server)
• Trong màn hình Select Web Listener sẽ thấy xuất hiện 2 Web Listener là Publish Port 80 & Publish Port 443 do trước đó chúng ta đã tạo rồi, click chọn Publish Port 80
• Chọn tùy chọn No delegation, and client cannot authenticate directly trong Authentication Delegation
