Đề tài: NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA ISA 2006 SVTT: THẨM ĐỨC HỮU NGÀNH: CNTT BÁO CÁO CUỐI KỲ Giáo viên hướng dẫn: VÕ ĐỖ THẮNG
Đề tài:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG
LỬA ISA 2006
SVTT: THẨM ĐỨC HỮU
NGÀNH: CNTT
BÁO CÁO CUỐI KỲ
Giáo viên hướng dẫn:VÕ ĐỖ THẮNG
NỘI DUNG
1. Cài đặt
2. Access Rule
3. Server Publishing
4. VPN Client to Gateway
5. Caching
II. GIỚI THIỆU ISA 2006
Microsoft Internet Security and Acceleration Server
(ISA Server ) là phần mềm share Internet (chia sẻ
internet) của hãng phần mềm Microsoft, là bản nâng
cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây
là một phần mềm share Internet khá hiệu quả, ổn định,
dễ cấu hình, thiết lập tường lửa (Firewall) tốt, nhiều
tính năng nổi bật. ISA Server được thiết kế chủ yếu để
hoạt động như một tường lửa nhằm đảm bảo rằng tất
cả những “traffic” không trông đợi từ Internet được
chặn lại, từ bên ngoài mạng của tổ chức
II. GIỚI THIỆU ISA 2006
Tính năng của ISA Server.
ISA Server có nhiều tính năng cho phép bạn cấu
hình sao cho phù hợp với mạng LAN của bạn. Tốc độ
nhanh nhờ chế độ cache thông minh, với tính năng lưu
cache vào RAM (Random Access memory) giúp bạn
truy xuất thông tin nhanh hơn, và tính năng Schedule
Cache ( lập lịch cho tự động dowload thông tin trên
các WebServer lưu vào Cache và máy con chỉ cần lấy
thông tin trên các WebServer đó bằng mạng LAN).
Ngoài ra các chính sách bảo mật thông tin tương đối
tốt.
ƯU ĐIỂM CỦA ISA
Firewall được dùng để ngăn chặn các trang web xấu
vào một quốc gia, tổ chức, doanh nghiệp. Ngăn chặn
các truy cập trái phép cũng như các cuộc tấn công lấy
cắp dữ liệu, đánh sập mạng máy tính của hacker.
Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng
máy tính một cách khá chắc chắn. Bảo vệ chống lại
những kẻ tấn công từ bên ngoài bằng cách chặn các mã
nguy hiểm hoặc lưu lượng Internet không cần thiết vào
máy tính hay mạng.
Firewall có thể được cấu hình để khóa dữ liệu từ các vị
trí cụ thể trong khi vẫn đảm bảo cho dữ liệu cần thiết
có thể đi qua.
HẠN CHẾ CỦA ISA
Firewall không đủ thông minh như con người để có thể
đọc hiểu từng loại thông tin và phân tích nội dung tốt
hay xấu của nó. Do đó Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong
muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu
cuộc tấn công này không đi qua nó. Một cách cụ thể,
Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao
chép bất hợp pháp lên usb.
HẠN CHẾ CỦA ISA
Firewall cũng không thể chống lại các cuộc tấn công
bằng dữ liệu (data-drivent attack). Khi có một số
chương trình được chuyển theo thư điện tử, vượt qua
Firewall vào trong mạng được bảo vệ và bắt đầu hoạt
động ở đây. Một ví dụ là các virus máy tính. Firewall
không thể làm nhiệm vụ rà quét virus trên các dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự xuất hiện
liên tục của các virus mới và do có rất nhiều cách để
mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
Firewall
III. CÀI ĐẶT ISA SERVER
1. Yêu cầu cài đặt
ServerInternet
ISA
1.2
172.16.1.0/24
1.1 1.2
Sơ đồ mạng
192.168.1.0/24
1.1
Phần 3: Access Rule
Access Rule được sử dụng để điều khiển truy
cập gửi ra từ một mạng được bảo vệ bởi
tường lửa ISA. Khi bạn muốn cho phép một
máy tính nằm phía sau sự kiểm soát của
tường lửa ISA truy cập một mạng khác (gồm
có Internet), bạn cần tạo một Access Rule
(luật truy cập) để cho phép kết nối đó. Mặc
định, không có Access Rule nào cho phép các
kết nối qua tường lửa, vì vậy mặc định tường
lửa ISA là một bức tường gạch vững chắc
bảo vệ cho mạng.
Access Rule
Trường hợp 1: Cấm user truy cập vào 1 trang web cụ thể (google.com)
Trường hợp 2: Cấm 1 nhóm user truy cậpvào facebook trong giờ làm việc
Trường hợp 3: Cấm các use không đượcnghe nhạc, xem phim, download địnhdạng exe và chat yahoo
Phần 4: Server Publishing
Cấu hình dịch vụ DNSCài đặt dịch vụ DNS trên máy ISATạo rule cho phép máy internet phân giải Thiết lập Non-Web Server ProtocolPublishing Rule cho phép máy internet phân giải Thiết lập Web Server PublishingTại Internal tạo web serverTạo Web Publishing cho phép máy Client ngoài internet có thể truy cập vào web
Thiết lập Mail Server PublishingTạo mail serverCấu hình Mail Publishing cho phép gửinhận mail trong và ngoài mạng
Phần 5: VPN Client to Gateway
Thiết lập Vitual Private Networks trênmáy ISA Server
Tạo kết nối từ VPN từ máy Client
Phần 6: Caching