BÁO CÁO ĐỀ TÀI ISA SERVER (Internet Security and Acceleration Server) MÔN: QUẢN TRỊ HỆ THỐNG MẠNG

Đ I H C QU C GIA THÀNH PH H CHÍ MINH Ạ Ọ Ố Ồ Ố

TR NG Đ I H C CÔNG NGH THÔNG TIN ƯỜ Ạ Ọ Ệ

KHOA M NG MÁY TÍNH VÀ TRUY N THÔNG Ạ Ề

-----------------o0o-----------------

BÁO CÁO Đ TÀI ISA SERVER

Ề

(Internet Security and Acceleration Server)

MÔN: QU N TR H TH NG M NG

Ị Ệ Ố

Ả

Ạ

Gi ng viên h

ả

ướ

ng d n: ẫ

Nhóm sinh viên th c hi n:

ự

ệ

Th y: Vũ Trí Dũng

ầ

Th y: Nguy n Duy

ễ

ầ

Lý Tu n Anh – 08520011

ấ

Lê Hoàng Chánh – 08520036

Vũ Tr ng Đ c – 08520088 ắ

ọ

Lâm Văn Tú – 08520610

TP. H CHÍ MINH, 02/12/2011 Ồ

Trang 1

NH N XÉT C A GIÁO VIÊN: Ủ Ậ

......................................................................................................................................................

Trang 2

......................................................................................................................................................

Trang 3

M C L C: Ụ Ụ

I/ Gi ớ i thi u: ệ

1.1/Gi i thiêu vê quan ly hê thông mang :..............................................6 ớ t ng quan ổ ̣ ̀ ̉ ́ ̣ ́ ̣

1.2/M c đích bài báo cáo: ..........................................................................................7 ụ

II/ ISA server:

2.1/ Gi i thi u: ớ ệ ............................................................................................................8

2.2/ Ch c năng c a ph n m m ề .................................................................................9 ủ ứ ầ

2.3/Cài đ t ISA Server 2006 .......................................................................................9 ặ

B c 1: Nâng c p DC cho ISA2 ( isa.local ), ISA1 join domain .........................10 ướ ấ

B c 2: Cài “ISA 2006” lên ISA1 .......................................................................10 ướ

B c 3: Cài đ t SP1 cho ISA Server ....................................................................15 ướ ặ

B c 4: T o Rule ki m tra đ ng chuy n ướ ể ạ ườ ề .........................................................17

B c 5: C u hình Automatic Discovery ..............................................................22 ướ ấ

C u hình Remote Management ..............................................................35 B c 6: ướ ấ

M t s ng d ng th c t ộ ố ứ : ự ế ụ

1. T o rule cho phép traffic DNS Query đ phân gi i tên mi n ể ạ ả ề ..........................38

ạ ộ làm vi c trong gi 2. T o rule cho phép các User thu c nhóm “Nhân Viên” xem trang vnexpress.net ệ .............................................................................................................44 ờ

ạ ử ụ ế ạ ộ

3. T o rule cho phép các User thu c nhóm “S p” s d ng Internet không h n ch ế .................................................................................................................................... 52

4. T o rule cho phép s d ng Internet không h n ch trong gi i lao ...........53 ử ụ ế ạ ạ gi ờ ả

5. Ch cho xem “ch ” ữ ............................................................................................55 ỉ

6. C m xem trang www.kenh14.vn –Redirect v vnexpress.net: .........................56 ề ấ

7. C m chat yahoo ................................................................................................59 ấ

8. C m down file có đuôi exe ................................................................................64 ấ

9. Monitoring.........................................................................................................66

10. Caching............................................................................................................76

Tri n khai Mô hình VPN TO GATEWAY ể

1. T o domain user u1/123, Properties Allow acess ...................................................84 ạ

2. Xác đinh Pool s IP đ c g n ố ượ ắ ................................................................................84

Trang 4

3. B t tính năng VPN client access, xác đ nh s VPN k t n i t ế ố ố ậ ố ị i đa, đ ng th i ồ ờ .....86

4. Đ nh nghĩa nhóm VPN client ...................................................................................88 ị

5. T o Rule cho phép k t n i VPN ............................................................................89 ế ố ạ

...................................................................................................................89 6. Ki m tra ể

2.4/ Đánh giá công c ISA server 2006: ụ

2.4.1/ Đi m y u c a c a ISA server so v i Forefront TMG ...............................94 ế ủ ủ ể ớ

2.4.2/ u đi m c a ISA server 2006 so v i ISA server 2004 ..............................96 Ư ể ủ ớ

2.5/ L i khuyên dành cho nhà qu n tr ISA server ...............................................98 ờ ả ị

III/ K t luế ận....................................................................................................................98

IV/ Tài li u tham kh o ả ...................................................................................................99 ệ

Trang 5

I/ Gi ớ i thi u: ệ

1.1/ Gi i thiêu vê quan ly hê thông mang : ớ t ng quan ổ ̣ ̀ ̉ ́ ̣ ́ ̣

m ng trong nh ng năm gân đây đã tác đ ng m nh m t S phát tri n và h i t ể ộ ụ ạ ẽ ớ i ự ữ ạ ộ ̀

i, th m chí c v nh ng nh n th c n n t ng và t ấ ả t c các khía c nh c a m ng l ạ ủ ạ ướ ứ ề ả ả ề ữ ậ ậ

ph ng pháp ti p c n Qu n ly m ng cũng là m t trong nh ng lĩnh v c đang có nh ng s ươ ế ậ ́ ạ ữ ự ữ ả ộ ự

thay đ i và hoàn thi n m nh m trong c n l c tiêu chu n hoá c a các t ch c tiêu ả ỗ ự ủ ẽ ệ ạ ẩ ổ ổ ứ

chu n l n trên th gi i và yêu c u t phía ng i s d ng d ch v . M t khác các nhà khai ẩ ớ ế ớ ầ ừ ườ ử ụ ụ ặ ị

thác m ng, nhà cung c p thi t b và ng i s d ng th ng pháp ấ ạ ế ị ườ ử ụ ườ ng áp d ng các ph ụ ươ

chi n l c khác nhau cho vi c qu n ly m ng và thi ế ượ ́ ạ ệ ả ế ị ủ t b c a mình. M i nhà cung c p thi ỗ ấ ế t

b th ị ườ ng đ a ra gi ư ả ố ả i pháp qu n ly m ng riêng cho s n ph m c a mình. Trong b i c nh ả ́ ạ ủ ả ẩ

ng thi t b và d ch v r t đa d ng và ph c t p đã t o ra các h i t ộ ụ ạ m ng hi n nay, s l ệ ố ượ ế ị ứ ạ ụ ấ ạ ạ ị

thách th c l n trong v n đ qu n ly m ng. ấ ứ ớ ́ ạ ề ả

Nhi m v c a qu n ly m ng r t rõ ràng v m t nguyên t c chung, nh ng các bài ề ặ ụ ủ ́ ạ ư ệ ắ ả ấ

toán qu n ly c th l i có đ ph c t p r t l n. Đi u này xu t phát t ́ ụ ể ạ ả ộ ứ ạ ấ ớ ề ấ ừ tính đa d ng c a các ạ ủ

h th ng thi ệ ố ế ị t b và các đ c tính qu n ly c a các lo i thi ả ́ ủ ặ ạ ế ị t b , và xa h n n a là chi n l ơ ữ ế ượ c

qu n ly ph i phù h p v i ki n trúc m ng và đáp ng yêu c u c a ng ầ ủ ứ ế ả ạ ả ớ ợ ườ ử ụ ộ i s d ng. M t ́

lo t các thi t b đi n hình c n đ c qu n ly g m: Máy tính cá nhân, máy tr m, server, máy ạ ế ị ể ầ ượ ́ ồ ạ ả

vi tính c nh , máy vi tính c l n, các thi t b đ u cu i, thi ỡ ớ ỡ ỏ ế ị ầ ố ế ị ạ t b đo ki m, máy đi n tho i, ệ ể

t b truy n hình, máy quay, modem, b ghép kênh, b t ng đài đi n tho i n i b , các thi ổ ạ ộ ộ ệ ế ị ề ộ ộ

i gói, thi chuy n đ i giao th c, CSU/DSU, b ghép kênh th ng kê, b ghép và gi ộ ứ ể ổ ố ộ ả ế ị t b

ng thích ISDN, card NIC, các b mã hoá và gi i mã tín hi u, thi t b nén d li u, các t ươ ộ ả ệ ế ị ữ ệ

gateway, các b x lý front-end, các đ ng trung k , DSC/DAC, các b l p, b tái t o tín ộ ử ườ ộ ặ ế ạ ộ

hi u, các thi t b chuy n m ch, các bridge, router và switch, t ệ ế ị ể ạ ấ ả ớ ầ t c m i ch là m t ph n ỉ ộ

t b s ph i đ c a danh sách các thi ủ ế ị ẽ ả ượ c qu n ly. ả ́

Trang 6

Toàn c nh c a b c tranh qu n ly ph i bao g m qu n ly các tài nguyên m ng cũng ủ ứ ả ả ả ả ạ ồ ́ ́

nh các tài nguyên d ch v , ng ư ụ ị ườ ử ụ ơ ở ữ ệ i s d ng, các ng d ng h th ng, các c s d li u ệ ố ứ ụ

khác nhau trong các lo i môi tr ng ng d ng. V m t kĩ thu t, t t c thông tin trên đ ạ ườ ứ ề ặ ậ ấ ả ụ ượ c

thu th p, trao đ i và đ ậ ổ ượ ế ợ c k t h p v i ho t đ ng qu n ly m ng d ạ ộ ́ ạ ả ớ ướ ạ ố ệ i d ng các s li u

qu n ly b i các kĩ thu t t ng t nh các kĩ thu t s d ng trong m ng truy n s li u. Tuy ậ ươ ́ ở ả ự ư ề ố ệ ậ ử ụ ạ

ệ nhiên s khác nhau căn b n gi a truy n thông s li u và trao đ i thông tin qu n ly là vi c ố ệ ự ữ ề ả ả ổ ́

trao đ i thông tin qu n ly đòi h i các tr ng d li u chuyên bi ả ổ ỏ ườ ữ ệ ệ ề t, các giao th c truy n ứ ́

thông cũng nh các mô hình thông tin chuyên bi t, các k năng chuyên bi t đ có th thi ư ệ ỹ ệ ể ể ế t

k , v n hành h th ng qu n ly cũng nh biên d ch các thông tin qu n ly v báo l ư ế ậ ệ ố ́ ề ả ả ị ỗ ệ i, hi n ́

 M c đích và t m bao quát c a bài vi

tr ng h th ng, c u hình và đ b o m t ậ ệ ố ộ ả ạ ấ

t: ụ ủ ầ ế

Bài vi t t p trung nói v công c qu n lý m ng ( đây là ISA server). Giúp ng ế ậ ụ ả ề ạ ở ườ i

qu n tr qu n lý m ng m t cách an toàn. ả ả ạ ộ ị

1.2/M c đích bài báo cáo: ụ

ầ ISA Server là ph n m m chia s Internet c a hãng Microsoft. Đây là m t trong nh ng ph n ủ ữ ề ẻ ầ ộ

ng l a (Firewall) đ c a chu ng trên th tr m m t ề ườ ử ượ ư ị ườ ộ ả ng hi n nay nh vào kh năng b o ệ ả ờ

v h th ng m nh m cùng v i c ch qu n lý linh ho t. ệ ệ ố ớ ơ ế ẽ ạ ả ạ

N i dung c a bài báo cáo gói g n trong các v n đ c u hình h th ng ISA SERVER tr ệ ố ề ấ ủ ấ ộ ọ ở

c các yêu c u s d ng các d ch v t xa, thành m t Firewall m nh mà v n đáp ng đ ạ ứ ẫ ộ ượ ầ ử ụ ụ ừ ị

ph c v cho c các Client bên trong truy c p các d ch v bên ngoài (internet), l n các ậ ụ ụ ụ ả ẫ ị

Client bên ngoài (Internet Clients) c n truy c p các d ch v bên trong M ng t ch c. ụ ầ ậ ạ ị ổ ứ

Firewalls luôn gi ữ truy n th ng là m t trong các lo i thi ộ ề ạ ố ế ị ạ ứ ạ t b M ng c u hình ph c t p ấ

nh t và duy trì ho t đ ng c a nó đ b o v Network cũng g p không ít th thách cho các ệ ạ ộ ể ả ủ ử ấ ặ

Trang 7

Security Admin. C n có nh ng ki n th c c b n v TCP/IP và các Network Services đ ứ ơ ả ữ ế ề ầ ể

hi u rõ m t Firewall làm vi c nh th nào. Tuy nhiên cũng không nh t thi ư ế ể ệ ấ ộ ế t ph i tr thành ả ở

m t chuyên gia v h t ng M ng (network infrastructure ) m i có th s d ng đ c ISA ể ử ụ ề ạ ầ ạ ộ ớ ượ

SERVER nh m t Network Firewall. ư ộ

Bài báo cáo mô t ả các v n đ : ấ ề

• Giúp b n hi u các tính năng có m t trên ISA Server ể ạ ặ

• Cung c p nh ng l ấ

i khuyên c th khi dùng tài li u đ c u hình ISA Server ữ ờ ụ ể ể ấ ệ

• Mô t chi ti t th c hành tri n khai (ISA SERVER) ả ế ự ể

 M c đích c a đ tài là h ng d n cài đ t và c u hình ISA server. Cách s d ng công ủ ề ụ ướ ử ụ ặ ấ ẫ

i qu n tr h th ng m ng n m b t, hi u rõ cách tri n khai 1 c ISA server, giúp ng ụ ườ ị ệ ố ể ể ả ạ ắ ắ

h th ng m ng an toàn. ạ ệ ố

II/ ISA server:

2.1/ Gi ớ i thi u: ệ

Microsoft Internet Security and Acceleration Sever (ISA Server) là ph n m m share ề ầ

internet c a hãng ph n m m n i ti ng Microsoft. Có th nói đây là m t ph n m m share ổ ế ủ ề ề ể ầ ầ ộ

internet khá hi u qu , n đ nh, d c u hình, firewall t ị ễ ấ ả ổ ệ ố ạ ấ t, nhi u tính năng cho phép b n c u ề

hình sao cho t ng thích v i m ng LAN c a b n. ươ ủ ạ ạ ớ

ạ ISA Server là m t ph n quan tr ng trong m t k ho ch t ng th đ b o m t m ng ể ể ả ộ ế ầ ạ ậ ộ ọ ổ

trong m t t ch c. ộ ổ ứ

Trang 8

ISA Server thông th ng đ c l p đ t t i vành đai m ng và đ c s d ng đ ngăn ườ ượ ắ ặ ạ ạ ượ ử ụ ể

ch n các truy c p trái phép vào m t m ng n i b , cũng nh gi i h n cho phép truy c p t ộ ộ ư ớ ạ ậ ừ ạ ặ ậ ộ

m ng n i b đ n Internet. ộ ộ ế ạ

2.2/ Ch c năng c a ph n m m: ủ ứ ề ầ

ng l a. ISA Server cung c p các tính năng t ấ ườ ử Nh :ư

• L c gói tin(packet filtering) ọ

• L c tr ng thái(stateful filtering) ạ ọ

• L c t ng ng d ng(application-layer filtering) ọ ầ ứ ụ

ISA Server cho phép truy c p an toàn vào Internet b ng cách đ m b o r ng khách ả ằ ậ ả ằ

hàng có th truy c p ch nh ng tài nguyên c n thi ỉ ữ ể ậ ầ ế ả t trên Internet, và b ng cách đ m b o ằ ả

Inernet đ c an toàn r ng vi c k t n i và truy n d li u c đ n và đi t ề ằ ữ ệ ả ế ệ ế ố ừ ượ

ISA Server cho phép truy c p an toàn t Internet vào tài nguyên m ng c c b thông ậ ừ ụ ộ ạ

qua vi c s d ng Web publishing rules, secure Web publishing rules và server publishing ệ ử ụ

rules. Nh ng nguyên t c publishing này gi i h n ng i có th truy c p vào m ng c c b ữ ắ ớ ạ ườ ụ ộ ể ạ ậ

và nh ng gì có th đ c xem cùng m t lúc đ ể ượ ữ ộ ượ c truy c p m ng c c b . ụ ộ ạ ậ

ISA Server có th cho phép truy c p an toàn đ n máy ch E-mail b ng vi c ngăn ủ ế ể ệ ậ ằ

ch n các cu c t n công máy ch , l c th rác đ n và file đính kèm. ISA Server cũng cho ộ ấ ủ ọ ư ế ặ

phép client k t n i an toàn đ n Exchange Server s d ng m t lo t các giao th c client. ế ố ử ụ ứ ế ạ ộ

ISA Server có th cho phép k t n i an toàn đ n tài nguyên m ng c c b b ng các ụ ộ ằ ế ố ế ể ạ

c kích ho t cho các client t xa và các trang web. k t n i VPN đ ế ố ượ ạ ừ

2.3/Cài đ t ISA Server Standard: ặ

Trang 9

Mô hình tri n khai: ể

Tên máy Card Internet Card Cross

ISA1 IP 192.168.1.11/24 172.16.1.1/24

GW 192.168.1.2 Null

DNS null 172.16.1.2

IP ISA2 disable 172.16.1.2/24

GW 172.16.1.1

DNS 172.16.1.2

B c 1: Nâng c p DC cho ISA2 ( isa.local ), ISA1 join domain. ướ ấ

B c 2: Cài “ISA 2006” lên ISA1 ướ

ặ . - Ch y file autorun trong b cài đ t ạ ộ

Trang 10

Ch n ọ Intall ISA Server 2006

Trang 11

- Tr l i các câu h i b n quy n, serial ….. ả ờ ỏ ả ề

- Setup type ch n: Typical ọ

- H p tho i Internal Network -> Add ->khai báo range IP internal -> OK-> next ạ ộ

Trang 12

Trang 13

- Ch n các giá tr m c đ nh -> Finish ị ặ ị ọ

Trang 14

B c 3: Cài đ t SP1 cho ISA Server ướ ặ

Trang 15

Trang 16

- Restart l i máy ạ

B c 4: T o Rule ki m tra đ ng chuy n ướ ể ạ ườ ề

- M ISA Management và ch n nh hình d ư ọ ở i ướ

- Đ t tên Rule là Internet ặ

Trang 17

- Action ch n ọ Allow

Protocol ch n ọ All outbound Traffice -> Next

Trang 18

- Access Rule Destinations -> Add -> External

- Access Rule Source -> Add -> ch n “Internal”&”Localhost” ọ

Trang 19

- User Set -> All Users -> Next

- Finish

- Apply

Trang 20

Trang 21

Ki m tra truy c p vào Internet ( t ISA2 ): ể ậ ừ

Trang 22

B c 5: C u hình Automatic Discovery ướ ấ

+ T i ISA1: ạ

ISA Server Management -> Configuration -> Network -> Properties Internal ->

Publish automatic discovery information

+ T i ISA2: ạ

Cài đ t DHCP: 1. ặ

Control Panel > Add or Remove Programs > Ch n Add/Remove Windows ọ

Component > Networking Services > ch n details ọ

Trang 23

Ch n “Dynamic Host Configuration Protocol (DHCP)” > Ok > Next ọ

Trang 24

Start > Program > Administrative tools > DHCP

Trang 25

Chu t ph i lên isa2.isa.local > Ch n Authorise ả ộ ọ

Chu t ph i ộ ả isa2.isa.local > Ch n New scope > ọ

Trang 26

Màn hình welcome > Next > Scope name : đ t tên scope : ISA Scope > Next ặ

Trang 27

Đi n dãy IP s c p cho m ng lan ẽ ấ ề ạ

vì đ dành cho tr ng h p h th ng phát sinh ( Không ch nọ 172.16.1.3 đ n 172.16.1.9 ế ể ườ ệ ố ợ

thêm server và không ch n c p dãy IP 1 72.16.1.1 & 172.16.1.2 ). ọ ấ

Add Excutions ( dùng khi không mu n c p 1 IP nào đó trong dãy IP c a scope ) ố ấ ủ

đâyỞ đ m c đ nh vì không lo i b IP nào trong dãy IP này c ể ặ ị ạ ỏ ả.

Trang 28

Màn hình lease Duration ( th i gian s d ng 1 IP ) > ch n Next ử ụ ờ ọ

Màn hình Configure DHCP Options : ch n “Yes , I want to configure these option now” > ọ

ch n Next ọ

Trang 29

Màn hình Router (default gateway ) :

Trong ô

Parent Domain : isa.local

Server name : isa.local > ch n Resolve ọ

Trong ô IP address đã nh n đúng IP server > ch n Add ậ ọ

Trang 30

Màn hình Wins > Đi n trong ô server name : isa.local > Ch n resolve > Trong ô IP address ề ọ

đã nh n đúng IP server > ch n Add > Next ậ ọ

Màn hình Activate > Ch n “Yes, I want to activate this scope now” ọ

> Next > Finish

Trang 31

- 2. DHCP > Set Predefined options

Trang 32

Ch n Add đ khai báo option m i ể ọ ớ

Ch n Option Name: 252 WPAD ọ

Nh p Valule: http://isa1.isa.local:80/WPAD.DAT ậ

Trang 33

M DNS Manager > Khai báo Alias WPAD ng v i tên máy ISA ở ứ ớ

Trang 34

B c 6: C u hình Remote Management ướ ấ

T i máy ISA1: ạ

M ISA Server Management > Firewall Policy > Toolbox > Network ở

Objects > Computer Sets > Remote Management Computer >Double click

Add > Computer > khai báo tên & đ a ch máy ch n (172.16. ẳ ị ỉ ở ề ử 1.2) > OK ->Tr v c a

> Apply s chính ổ

Trang 35

T i máy ISA2: ạ

6 è Ch n c u hình m c đ nh èCh Ch y AutoRun c a b Software ISA 200 ủ ộ ạ ọ ấ ặ ị ngươ

trình t đ ng è ch n các thông s m c đ nh đ hoàn t ự ộ g i ý ch n ISA Management ọ ợ ố ặ ị ể ọ ấ ệ t vi c

cài đ tặ

Trang 36

Ch y ISA Management c click nút ph i chu t trên ISA Management è Connect ạ ả ộ

to è Nh p tên máy l ậ ẻ

Trang 37

Lúc này có th th c hi n các thao tác trên ISA 2006 nh t i máy l ể ự ư ạ ệ ẻ

M T S NG D NG TH C T Ộ Ố Ứ Ự Ế Ụ

1. T o rule cho phép traffic DNS Query đ phân gi i tên mi n: ể ạ ả ề

ISA Management > Firewall Policy > New > Access Rule

Trang 38

Gõ “DNS Query” vào ô Access Rule Name > Next

Trang 39

> Next Action ch n “Allow” ọ

Trong “This Rule Apply to:” ch n “Selected Protocols” Add > Common Protocol > DNS > ọ

OK > Next

Trang 40

Trong “Access Rule Source” > Add > Networks > Internal > Add > Close > Next

Trang 41

Trong “Access Rule Destination” > Add > Networks > External > Close > Next

Trong “User Sets” ch n giá tr m c đ nh “All Users” > Next > Finish ị ặ ị ọ

Trang 42

Apply > OK

Trang 43

Ki m tra t i ISA2: ể ạ

Dùng l nh NSLOOKUP đ phân gi ể ệ ả i tên mi n b t kỳ ề ấ

2. T o rule cho phép các User thu c nhóm “Nhân Viên” xem trang vnexpress.net ộ ạ

trong gi ờ làm vi c ệ

a – Đ nh nghĩa nhóm “NhanVien” ị

b – Đ nh nghĩa URL Set ch a trang vnexpress.net ứ ị

c – Đ nh nghĩa “gi làm vi c” ị ờ ệ

d – T o rule ạ

e – Ki m tra ể

a- Đ nh nghĩa nhóm “ NhanVien” ị

Dùng ch ng trình “Active Directory User and Computer” t o 2 user nv1, nv2 (password ươ ạ

123)

T o Group “Nhan Vien” ạ

Đ a 2 user nv1, nv2 vào Group “NhanVien” ư

Trang 44

ISA Server Management > Firewall Policy > Toolbox > Users > New

Nh p chu i “Nhan Vien ” vào ô User set name > Next ậ ỗ

Trang 45

Add > Windows User and Group

Ch n Group “Nhan Vien” > Next > Finish ọ

Trang 46

b- Đ nh nghĩa URL Set ch a trang vnexpress.net ứ ị

+ ISA Server Management > Firewall Policy > Toolbox > Network

Objects > New > URL Set

Trang 47

Dòng name đ t tên “vnexpress” > New, khai 2 dòng ặ

http://vnexpress.net

http://*.vnexpress.net

> OK

Trang 48

c- Đ nh nghĩa gi ị ờ làm vi c ệ

ISA Server Management > Firewall Policy > Toolbox > Schedule > New

Name: Gio Lam Viec

Ch n Active t 8am ->12pm & 2pm ->6 pm > OK ọ ừ

Trang 49

d- T o ạ Access rule theo các thông s sau: ố

Rule Name: Nhan Vien – Gio lam viec

Action: Allow

Protocols: HTTP + HTTPS

Source: Internal

Destination: URL Set > vnexpress

User: NhanVien

(Các thao tác làm t ng t nh ph n 1 ) ươ ự ư ầ

Click nút ph i chu t trên rule v a t o ộ ừ ạ > Properties ả

Ch n Schedule > Gio lam viec > OK > Apply Rule ọ

Trang 50

Ki m tra: ể

Disable rule Internet:

Trang 51

Logon nv1, ki m tra gi c a máy: trong gi làm vi c . ể ờ ủ ờ ệ , m th vnexpress, m th google ở ử ở ử

Logon User khác (không ph i nv1, nv2), m th vnexpress, m th google. ở ử ở ử ả

( xem clip demo k t qu ả Nhan Vien - Gio lam viec.avi ) ế

3- T o rule cho phép các User thu c nhóm “S p” s d ng Internet không h n ch ử ụ ộ ế ạ ạ ế

a- Đ nh nghĩa nhóm “S p” ế ị

b- T o rule ạ

c- Ki m tra ể

a- Đ nh nghĩa nhóm “S p”: ế ị

Dùng ch ng trình “Active Directory User and Computer” t o 2 user s1, s2 (password 123) ươ ạ

T o Group “Sep” ạ

Đ a 2 user s1, s2 vào Group “Sep” ư

Các b c còn l i làm t ng t ph n ướ ạ ươ ự ầ 2a( đ nh nghĩa nhóm NhanVien) ị

b- T o rule ạ

T o Access rule theo các thông s sau: ạ ố

Rule Name: Sep

Action: Allow

Protocols: All Outbound Traffic

Source: Internal

Destination: External

User: Sep

Các thao tác làm t ng t nh ph n 1 ươ ự ư ầ

Trang 52

c- Ki m tra ể

Logon s1, th truy c p internet …. ( xem clip demo ket qua Sep.avi ) ử ậ

4 - T o rule cho phép s d ng Internet không h n ch trong gi i lao ử ụ ế ạ ạ gi ờ ả

a - Đ nh nghĩa gi i lao ị gi ờ ả

b - T o rule ạ

c - Ki m tra ể

a – Đ nh nghĩa gi i lao: ị gi ờ ả

Làm t ng t ươ ự 2c

Trang 53

b - T o rule: ạ

T o Access rule theo các thông s sau: ạ ố

Rule Name: Giai Lao

Action: Allow

Protocols: All Outbound Traffic

Source: Internal

Destination: External

User: All Users

Các thao tác làm t ng t nh ph n 1 ươ ự ư ầ

Sau khi t o rule xong, ch n properties c a rule v a t o > Schedule >Gio giai lao ủ ừ ạ ạ ọ

Trang 54

c – Ki m tra: ể

Logon nv1, s a l i gi trên máy ISA đ trùng v i gi i lao, truy c p internet ( xem clip ử ạ ờ ể ớ gi ờ ả ậ

demo k t qu Giai lao.avi ) ả ế

5 - Ch cho xem “ch ” : ữ ỉ

Ch n Properties c a Rule “Gia Lao” > Content Types > Selected Content Types: ủ ọ

- Documents

- HTML Documents

- Text

Trang 55

Xem clip demo ket qua: “Chi duoc xem chu.avi”

www. kenh14 6 - C m xem trang .vn ấ –Redirect v ề vnexpress.net:

a - Đ nh nghĩa các trang web mu n c m ố ấ ị

b - T o Rule ạ

c - Ki m tra ể

a - Đ nh nghĩa các trang web mu n c m: ố ấ ị

T o URL Set t ng t ph n trang web cam”, trong URL Set khai ạ ươ ự ầ 2b, đ t tên là “Nhung ặ

Trang 56

báo:

http://*. kenh14 .vn

http:// kenh14 .vn

b – T o rule: ạ

T o Access rule theo các thông s sau: ạ ố

Rule Name: Web bi cam

Action: Deny

Protocols: All Outbound Traffic

Source: Internal

Trang 57

Destination: URL Set > Nhung trang web cam

User: All Users

Các thao tác làm t ng t nh ph n 1 ươ ự ư ầ

Sau khi t o rule, click nút ph i chu t, ộ ch n “Move Up” cho đ n khi giá tr order b ng 1 ế ả ạ ằ ọ ị

Redirect v ề vnexpress.net

Click chu t ph i lên Rule “Web bi cam” > Properties >Action > check Redirect Http request ả ộ

to this Web page > nh p ậ http://vnexpress.net > OK > Apply > OK

Trang 58

Xem clip demo k t qu ả “Cam kenh14vn.avi” ế

1. M port cho ch y yahoo trong h

7- C m chat yahoo ấ

2. Th c hi n c m signin yahoo

ạ ở ệ th ngố

ệ ấ ự

1. M port cho ch y yahoo trong h th ng ệ ố ạ ở

M c đ nh yahoo không sign in đ c, mu n ch y đ c yahoo ph i thi t l p Access rule ặ ị ượ ạ ượ ố ả ế ậ

Rule Name: Mo port yahoo

Action: Allow

Protocols: Yahoo port

Trang 59

Khi ch n Protocol > Add>New ọ

Đ t tên Yahoo port ặ

Trang 60

Ch n New > Nh p port 5000 -> 5050 ậ ọ

Ch n No ọ

Trang 61

Next > Finish

Source: Internal

Destination: External

User: All Users

Các thao tác làm t ng t nh ph n 1 ươ ự ư ầ

Test đăng nh p yahoo trong gi “SigninYahoo.avi” ậ ờ làm vi c ( tr ệ ướ c khi c m ): ấ

2. C m chat: ấ

Dùng ADUC t o Group “KeToan”. ạ

Đinh nghĩa nhóm “KeToan”.

T o Rule “KeToan”, cho s dung internet tho i mái. ử ạ ả

Trang 62

Làm t ng t nh các ph n trên. ươ ự ư ầ

• C m group “KeToan”chat: ấ

KeToan” > Configure HTTP Chu t ph i Rule “ ả ộ

Tab Signatures > Add

Nh p t ng t nh hình ậ ươ ự ư

Trang 63

OK > Apply >OK

Xem demo k t qu clip “Deny yahoo.avi” ế ả

8- C m down file có đuôi exe ấ

Chu t ph i Rule “Sep” > Configure HTTP ả ộ

Trang 64

Extension > Block specified extensions (allow all others ) > Add

Đi n thông s Extension: .exe > OK ề ố

Trang 65

Apply > OK

T ng t nh v y cho Rule “Giai Lao” & “Nhan Vien – Gio Lam Viec” ươ ự ư ậ

Xem clip demo k t qu ả “Cam down file duoi exe.avi” ế

9- Monitoring:

Giám sát các lu ng thông tin traffic ra vào h th ng m ng, t ng h p thông tin đ báo cáo ệ ố ể ạ ổ ồ ợ

1) B t Authentication ậ

B1: Networks > Internal > Properties

B2: Web proxy > Authentication

Trang 66

B3: Require all users to Authenticate >OK>Apply

Trang 67

+ Xem các phiên giao d chị

Trang 68

Client đi ra b ng webproxy, SecureNat. Xem c t Client Username : bi c ng ằ ộ t đ ế ượ ườ ự i th c

hi n.ệ

+ Xem chi ti t h n v i tab Logging: ế ơ ớ

B1: Monitoring > tab Logging >start Querry

Th y đ c lu ng traffic đang đi b ng Protocol nào, thành công th t b i, đ ấ ượ ấ ạ ằ ồ ượ ở c cho b i

Protocol nào

Trang 69

URL cho bi ng truy c p: t đ i t ế ố ượ ậ

Trang 70

L p báo cáo th ng kê: ậ ố

B1: Monitoring > Tab Reports > Create And Configure Report Jobs

B2: Report Job Properties > Add

Trang 71

Màn hình Welcome gõ “Test Job”

Trang 72

Report Content > Next

Report Job shedule > Next

( Ch n l ch báo cáo ) ọ ị

Trang 73

Report Publishing > Next

Send E-mail Notification > Next > Finish > Apply

B3: Xem c t Status Completed ộ

Trang 74

B4: Chu t ph i > view > xem k t qu ế ả ộ ả

Trang 75

10- Caching

N i dung: Download 1 trang web th ng truy c p v l u cache, đ user truy c p nhanh ộ ườ ề ư ể ậ ậ

h nơ

T o CacheRule ạ

B1- ISAServer Managament > Configuration >Disable the Microsoft Update Cache Rule

Trang 76

B2- Cache Drives > Properties

Trang 77

B3-Maximum cache size (MB): “1000” > Set >OK

Trang 78

2. T o Content Download Job ạ

B1- Configuration > Cache > New > Content Download Job >Yes

Trang 79

B2- Download Job Name : www.tuoitre.vn

Trang 80

L a ch n ngày Cache ự ọ

Th i gian b t đ u Cache ắ ầ ờ

Trang 81

Content Download >http://www.tuoitre.vn

Content Caching > m c đ nh >Next > Finish ặ ị

Chuot ph i lên Rule v a t o > Start ừ ạ ả

Trang 82

Trang 83

Tri n khai Mô hình VPN TO GATEWAY ể

1. T o domain user u1/123, Properties Allow acess ạ

2. Xác đinh Pool s IP đ c g n ố ượ ắ

ISA Management > Virtual Private Network > VPN Client > Taskpane > Task >Define

Address Assignments

Trang 84

Static address pool > Add

- Ending address: 10.10.10.200 ( nhi u h n Maximum number of VPN client allowed ơ

- Starting address: 10.10.10.1

ề

c 3 ) b ở ướ

Trang 85

3. B t tính năng VPN client access, xác đ nh s VPN k t n i t ế ố ố ố ậ ị i đa, đ ng th i ờ ồ

B1: Ch n Configure VPN client Acess ọ

Trang 86

B2: Tab General > Enable VPN client access > 100 ( Maximum number of VPN client

allowed )

Trang 87

4. Đ nh nghĩa nhóm VPN client ị

B1: ISA Server Management > Firewall Policy > Toolbox > Users > New > Nh p “VPN ậ

Client”

B2: Add > Windows user and group > ch n u1 ọ

Trang 88

5. T o Rule cho phép k t n i VPN ế ố ạ

Rule Name: VPN

Action: Allow

Protocols: All Outbound Traffic

Source: VPN Client

Destination:Internal

User: VPN Clients

Apply > OK

6. Ki m tra: ể

Máy th 3 n i v i ISA1 b ng card Internet ố ớ ứ ằ

B1: Start > Setting > Network Connection

Trang 89

Trang 90

New Connection Wizard > Next > Connect to the network at my workplace >Virtual

Private Network connection > nh p “VPN Clients” > IP card “Internet” c a ISA1 > Next > ủ ậ

Finish

Trang 91

B2: u1/123 > Connect> thành công

Trang 92

B3: Start > \\172.16.1.2 > thành công

Trang 93

2.4/ Đánh giá công c ISA server 2006:

ụ

2.4.1/ Đi m y u c a c a ISA server so v i Forefront TMG ế ủ ủ ớ ể

ISA server 2006 không h tr ch y trên windows server 2008 64bit, không l c URL, ỗ ợ ạ ọ

…

Forefront TMG có đ u có các tính năng c a ISA server 2006, và h tr thêm các tính ủ ỗ ợ ề

năng khác :

Trang 94

Forefont TMG là update c a ISA 2006. M c tiêu c a TMG ra đ i là đ h tr cho ể ỗ ợ ủ ụ ủ ờ

các phiên b n 64bit sau này c a Microsoft. V W ủ ả í dụ nh hi n gi ư ệ ờ indows 2008 64bit,

ổ Exchange 64bit, Sharepoitn.... TMG ch h tr 64bit mà thôi, thêm vào đó TMG có tính n ỉ ỗ ợ

đ nh cao h n (ch y trên 64bit mà). ạ ị ơ

Do Forefont TMG là th h sau c a th ng ISA 2006 có thêm tính năng chính: Web ế ệ ủ ằ

and email anti-malware and virus protection. Trong đó bao g m: Ch ch y trên windows ỉ ạ ồ

server 2008 R2 64bit, b n EBS.H tr th h TCP/IP ti p theo (IPv6); Web antivirus và ỗ ợ ế ệ ế ả

i dùng thân thi n, báo cáo web mail-ware protection; D dàng qu n lý, giao di n ng ễ ệ ả ườ ệ

nhanh; L c đ a ch URL; Th m đ nh HTTPS: khi client request certificate v i server. ọ ị ẩ ớ ỉ ị

sinh ra certificate Forefont TMG đ ng gi a, xin certificate thay ng ữ ứ ườ i dùng. Đ ng th i t ồ ờ ự

cho ng i dùng; Email antivirus và anti spam; Network intrusion prevent; TFTP Filter; ườ

Network functionality Enhancement

Trang 95

2.4.2/ u đi m c a ISA server 2006 so v i ISA server 2004: Ư ể ủ ớ

V giao di n thì ISA 2006 gi ng ISA 2004 đ n 90%. Tuy nhiên, nó có nh ng tính ữ ề ệ ế ố

•

năng m i n i tr i h n mà ISA 2004 v n còn h n ch , ch ng h n nh : ư ớ ổ ộ ơ ế ẫ ạ ẳ ạ

• H tr SharePoint Portal Server

Phát tri n h tr OWA, OMA, ActiveSync và RPC/http Publishing ỗ ợ ể

• H tr cho vi c k t n i nhi u Certificates t

ỗ ợ

• H tr vi c ch ng th c LDAP cho Web Publishing Rules

i 1 Web listener ệ ế ố ỗ ợ ề ớ

ỗ ợ ệ ứ ự

• V kh năng Publishing Service

Đ c đi m n i b t c a b n 2006 so v i 2004 là tính năng Publishing và VPN ớ ổ ậ ủ ả ể ặ

ề ả

ISA 2006 có th t t o ra các form trong khi ng i dùng truy c p vào trang OWA, ế ự ạ ườ ậ

i các ng qua đ y h tr ch ng th c ki u form-based. ch ng l ự ỗ ợ ứ ể ấ ố ạ ườ ấ ợ i dùng b t h p

pháp vào trang web OWA. tính năng này đ c phát tri n d i d ng Add-ins. ượ ể ướ ạ

Cho phép public Terminal Server theo chu n RDP over SSL, đ m b o d li u trong ẩ ả ữ ệ ả

phiên k t n i đ c mã hóa trên Internet (k c password). ế ố ượ ể ả

ủ Block các k t n i non-encrypted MAPI đ n Exchange Server, cho phép Outlook c a ế ế ố

ng i dùng k t n i an toàn đ n Exchange Server ườ ế ố ế

R t nhi u các Wizard cho phép ng i qu n tr public các Server n i b ra internet 1 ề ấ ườ ộ ộ ả ị

• Kh năng k t n i VPN

cách an toàn. h tr c các s n ph m m i nh Exchange 2007. ỗ ợ ả ư ả ẩ ớ

ế ố ả

Cung c p Wizard cho phép c u hình t đ ng site-to-site VPN 2 văn phòng riêng ấ ấ ự ộ ở

bi i t ng đi m m t cũng đ t. t ệ ấ t nhiên ai thích c u hình b ng tay t ấ ằ ạ ừ ể ộ ượ ợ c. tích h p

hoàn toàn Quanratine,

Stateful filtering and inspection (cái này thì quen thu c r i), ki m tra đ y đ các ầ ủ ộ ồ ể

đi u ki n trên VPN Connection, Site to site, secureNAT for VPN Clients, ... ề ệ

Trang 96

ế ớ Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet (th m i

g u), h tr PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (v i các s n ph m VPN ấ ỗ ợ ả ẩ ớ

• V kh năng qu n lý

khác, ch a th cái này đâu nhá). ử ư

ề ả ả

D dàng qu n lý ễ ả

R t nhi u Wizard ề ấ

Backup và Restore đ n gi n. Cho phép y quy n qu n tr cho các User/Group ủ ề ả ả ơ ị

Log và Report c c t t. ự ố

C u hình 1 n i, ch y m i n i (cài ISA Enterprise) ạ ở ọ ơ ấ ơ

Khai báo thêm server vào array d dàng ễ

i pháp qu n lý c a Microsoft: MOM SDK, n u ai thích l p trình Tích h p v i gi ợ ớ ả ủ ế ả ậ

các gi i pháp tích h p vào ISA 2006 thì r t khoái b này. ả ấ ộ ợ

Có các gi i pháp hardware Các tính năng khác ả

H tr nhi u CPU và RAM ỗ ợ ề

max 32 node Network Loadbalancing

H tr nhi u network, không c n đong đ m cài này, ăn đ t các lo i khác. ỗ ợ ứ ế ề ầ ạ

Route/NAT theo t ng network ừ

Firewall rule đa d ng ạ

IDS (cũng t m đ c) ạ ượ

Flood Resiliency

HTTP compression

Diffserv

Trang 97

2.5/ L i khuyên dành cho nhà qu n tr ISA server ờ ả ị

i qu n tr ISA Server, b n ph i ch u trách nhi m hoàn thành vi c tri n khai Là m t ng ộ ườ ệ ệ ể ả ạ ả ị ị

ISA Server, bao g m vi c thi t k , cho đ n c u hình và qu n lý. ệ ồ ế ế ế ấ ả

ISA Server Management Console đ ượ ạ ộ c dùng đ qu n lý và giám sát h u h t các ho t đ ng ể ế ả ầ

c a ISA Server. Nó bao g m nhi u nét đ c tr ng có th đ n gi n hóa vi c qu n lý. ặ ủ ể ơ ư ề ệ ả ả ồ

Nh m t ph n c a vai trò qu n tr ISA Server, b n nên liên t c giám sát server. ISA Server ầ ủ ư ộ ụ ả ạ ị

ự cung c p m t vài tính năng đ c tr ng cho phép b n thu th p các thông tin th i gian th c ư ấ ặ ạ ậ ộ ờ

v s th c thi v b o m t c a server, cũng nh cho phép b n thu th p và phân tích các ề ự ự ậ ủ ả ả ư ạ ậ

ph ng h ng s d ng lâu dài. ươ ướ ử ụ

III/ K t lu n: ế

ậ

Bài báo cáo t p trung vào các v n đ c u hình h th ng ISA SERVER tr thành ệ ố ề ấ ậ ấ ở

m t Firewall m nh mà v n đáp ng đ c các yêu c u s d ng các d ch v t xa, ph c v ứ ạ ẫ ộ ượ ầ ử ụ ụ ừ ị ụ ụ

cho c các Client bên trong truy c p các d ch v bên ngoài (internet), l n các Client bên ụ ả ậ ẫ ị

ch c. ngoài (Internet Clients) c n truy c p các d ch v bên trong M ng t ậ ụ ầ ạ ị ổ ứ

Bài báo cáo mô t ả các v n đ : ấ ề

• Giúp b n hi u các tính năng c a ISA Server ủ ể ạ

i khuyên c th khi dùng tài li u đ c u hình ISA Server • Cung c p nh ng l ấ ữ ờ ụ ể ể ấ ệ

• Mô t chi ti t th c hành tri n khai (ISA SERVER) ả ế ự ể

Trên đây ch là nh ng tìm hi u s b c a nhóm v ơ ộ ủ ề ISA server, các thông tin chỉ ữ ể ỉ

mang tính ch t khái quát ấ ấ quát. ISA server là m t lĩnh v c khó và rông, tuy nhiên có r t ự ộ

nhi u đi m h p d n đ đi sâu vào tìm hi u. ề ể ể ể ấ ẫ

Trang 98

IV/ Tài li u tham kh o:

ệ

ả

Sams Microsoft ISAServer 2006 Unleashed Dec 2007

Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007

ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation