MỤC LỤC
Phần I: Mở đầu 2
1. Tên đề tài 2
2. Lý do chọn đề tài 2
LỜI CẢM ƠN 3
Phần II: Nội dung 4
Chương I: Proxy 4
1.1. Các khái niệm về Proxy 4
1.2. Giới thiệu chung về Proxy Server 4
1.4. Ý nghĩa của proxy server 5
1.5. Các sử dụng proxy có hiệu quả 6
Chương II: Firewall 6
2.1. Firewall 6
2.2. Thành phần và cơ chế hoạt động của Firewall 6
2.3. Kỹ thuật Firewall 9
2.4. Hạn chế của Firewall 10
Chương III: Microsoft Internet Security and Acceleration Server 11
3.1. ISA 2006 11
3.2. Cài đặt ISA 2006 14
3.3. Cấu hình Web Proxy cho ISA 21
3.4. Web Publishing and Server Publishing 22
3.5. Publish Web Server 23
3.6. Publish Mail Server 25
Phần III: Kết Luận 31
1. Kết quả đạt được 31
2. Hạn chế 31
3. Hướng phát triển 31
TÀI LIỆU THAM KHẢO 32
1
Phần I: Mở đầu
1. Tên đề tài

Chương I: Proxy
I.1. Các khái niệm về Proxy
I.2. Giới thiệu chung về Proxy Server
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những
proxy server phục vụ nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên
dual_homed host hoặc basion host. Những chương trình Client của người sử dụng sẽ
qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao
tiếp.
Proxy server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp
ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho Client
và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến server, cũng giống như đáp
ứng những yêu cầu của server đến Client. Vì vậy proxy server giống như cầu nối trung
gian giữa server và client.
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung
cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thông cục bộ. Trong hầu
hết những phương pháp đảm bảo được đưa ra để giải quyết điều này là cung cấp một
host đơn để truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp
này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì nó tạo cho người sử
dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện
những công việc đó một cách trực tiếp, phải login vào dual_homed host, để thực hiện
tất cả những công việc ở đây, và sau đó bằng cách nào đó chuyển đổi kết quả đạt được
của công việc trở lại workstation sở hữu. Điều này trở nên tồi tệ với nhiều hệ điều
hành khác nhau.
Ví dụ: Nếu hệ thống là bastion_host nhưng riêng dual_host là UNIX.Khi dual_homed
host được thiết kế trên mô hình không có proxy, điều đó sẽ khiến cho người sử dụng
thêm bực bội và đáng chú ý hơn là giảm đi những tiện ích mà internet cung cấp, tồi
tệ hơn chúng thường cung cấp một cách không an toàn và đầy đủ, khi một máy gồm
nhiều người sử dụng tất nhiên mức độ an toàn của nó sẽ giảm. Proxy server giúp
người sử dụng thoải mái hơn và an toàn cho dual_homed host, thay thế yêu cầu của
người sử dụng bằng cách gián tiếp thông qua dual homed host. Hệ thống proxy cho

thời gian truy tìm làm cho việc sử dụng băng thông hiệu quả.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên Internet. Một Proxy
server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức
năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp
trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho
phép (bị cấm).
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là website này được lưu trữ cục bộ, trang này sẽ được truy cập mà không cần
phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm, yêu
cầu sẽ được chuyển đến server thật, DNS server và ra Internet. Proxy server lưu trữ
cục bộ các trang web thường truy cập nhất trong bộ đệm để giảm chi phí kết nối, giúp
tốc độ duyệt web với tốc độ nhanh hơn.
5
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại
cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một “bí
danh” đối với thế giới bên ngoài và gây khó khăn đối với nếu người dùng “tự tung tự
tác” hay các hacker muốn xâm nhập trực tiếp máy tính nào đó.
I.5. Các sử dụng proxy có hiệu quả
Do các proxy có quy mô bộ nhớ khác nhau và số lượng người đang sử dụng proxy
nhiều-ít khác nhau, Proxy server hoạt động quá tải thì tốc độ truy cập internet của
khách hàng có thể bị chậm. Mặt khác một số website khách hàng có đầy đủ điều kiện
nhân thân để đọc, nghiên cứu nhưng bị tường lửa chặn không truy cập được thì biện
pháp đổi proxy để truy cập là điều cần thiết nhằm đảm bảo công việc. Do đó người sử
dụng có thể chọn proxy server để sử dụng cho riêng mình. Có các cách chọn lựa cho
người sử dụng. Sử dụng proxy mặc định của nhà cung cấp dịch vụ (internet), trường
hợp này người sử dụng không cần điền địa chỉ IP của proxy vào cửa sổ internet
option của trình duyệt trong máy của mình. Sử dụng proxy server khác (phải trả phí
hoặc miễn phí) thì phải điền địa chỉ IP của proxy server vào cửa sổ internet option
của trình duyệt.
Chương II: Firewall

ü
Cổng UDP/TCP nơi xuất phát.
ü
Cổng UDP/TCP nơi nhận.
ü
Dạng thông báo ICMP.
ü
Giao diện gói tin đến.
ü
Giao diện gói tin đi.
- Nếu gói tin thỏa các luật lệ đã được thiết lập trước của firewall thì gói tin
được chuyển qua, nếu không sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall
có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ
thống mạng cục bộ.
- Ưu điểm của bộ lọc gói tin.
ü
Đa số các hệ thống firewall đểu sử dụng bộ lọc gói tin. Một trong những ưu
điểm cảu phương pháp dùng bộ lọc gói tin là đảm bảo thông qua của lưu
lượng mạng.
ü
Bộ lọc gói tin là trong suốt đối với người dùng và các ứng dụng. Vì vậy nó
không yêu cầu sự huấn luyện đặc biệt nào cả.
- Hạn chế của bộ lọc gói tin
ü
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng có hiểu biết chi tiết về các dịch vụ Internet, các dạng
7
packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi
đòi hỏi về sự lọc càng lớn, các luật trở nên dài và phức tạp, rất khó để quản
lý và điều khiển.

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu
lượngqua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích
trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
- Ưu điểm
ü
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy làm hạn chế bộ lệnh và quyết định những máy
chủ nào có thể truy cập bởi dịch vụ.
8
ü
Cho phép người quản trị mạng hoàn toàn có thể điều khiển được những
dịch vụ nào cho phép,, bởi vì sự vắng mặt của các proxy cho các dịch vụ
tương ứng có nghĩa là các dịch vụ ấy bị khóa.
ü
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
ü
Luật lệ filtering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so
với bộ lọc gói tin.
- Cổng mạch
ü
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi 1 cổng ứng
dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bất kỳ 1 hành động xử lý nào hay lọc gói tin nào.
ü
Cổng mạch được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tuin tưởng những người dùng bên trong. Ưu điểm lớn nhất của
1 bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng
dụng cho kết nối đến và cho những người trong mạng nội bộ muốn trực tiếp
truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để

(VD: kiểm traID, mật khẩu), loại Firewall cho phép lưu vết trạng thái của
người truy nhập.
2.4.
Hạn chế của Firewall
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông
số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không “đi qua” nó. Một cách cụ thể: firewall không thể chống lại một cuộc tấn công
từ một đườngdial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên
đĩa.
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
driventattack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua
Firewallvào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
- Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virustrên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
cácvirus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát
củaFirewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những
kẻ xấuở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng
rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết
hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng
gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp
vàcó chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm
bảomật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.
Mộtnhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác
10
của nhân viên, đồng nghiệp.
Chương III: Microsoft Internet Security and Acceleration Server

Cung cấp một số kỹ thuật bảo mật, và thiết lập firewall cho hệ thống như :
Authentication, Publish Server, giới hạn traffic.
Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy
xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua
Web, export và import cấu hình XML configuration file, quản lý lỗi hệ thống thông
qua kỹ thuật gởi thông báo qua Email.
11
Application Layer Filtering(ALF): là một trong những điểm mạnh của ISA Server
2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao
tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm
nổi bật của ALF: Cho phép thiết lập bộ lọc HTTP inbuond và outbuond HTTP; Chặn
được các cả các loại tập tin thực thi chạy trên nền Windown như .pif, .com, ; Có thể
giới hạn HTTP download; Có thể truy xuất Web cho tất cả các Client dựa trên nội
dung truy cập; Có thể điều khiển truy xuất HTTP dựa trên chữ ký; Điều khiển một số
phương thức truy xuất của HTTP.
•
Các phiên bản của ISA 2006:
- Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa
trên các phiên bản ISA Server trước.
- Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng.
- Có hai phiên bản ISA 2006 bao gồm:
ü
Standard Edition: Với phiên bản này chúng ta có thể xây dựng firewall để:
Ø
Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.
Ø
Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung
không thích hợp.

ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào
trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based, chống lại các
người dùng bất hợp pháp vào trang web OWA, tính năng này được phát
triển dưới dạng Add-ins.
ü
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ
liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).
ü
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchange Server.
ü
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra
internet 1 cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007.
- Khả năng kết nối VPN
ü
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn
phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một
cũng được. tích hợp hoàn toàn Quanratine.
ü
Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN
Connection, Site to site, secureNAT for VPN Clients, .
ü
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet ,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site
- Về khả năng quản lý
ü
Dễ dàng quản lý (hiển nhiên không phải bàn)
ü
Rất nhiều Wizard
ü

IDS
ü
Flood Resiliency
ü
HTTP compression
ü
Diffserv (trên cả mong đợi).
3.2. Cài đặt ISA 2006
•
Cài đặt ISA trên máy chủ một card mạng
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
UnihomedISAFirewall ),chỉ hỗ trợ HTTP,HTTPS,HTTP-tunneled (Web proxied)
FTP.ISA không hỗ trợ một số chức năng:
- SecureNAT client.
- Firewall Client.
- Server Publishing Rule.
- Remote Access VPN.
-Site-to-SiteVPN.
-Multi-networking.
14
- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
- Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
Unihomed ISA Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied)
FTP. ISA không hỗ trợ một số chức năng: SecureNAT client, Firewall Client,
Server Publishing Rule, Remote Access VPN, Site-to-Site VPN, Multi-networking,
Application-layer inspection ( trừ giao thức HTTP), Chạy tập tin isaautorun.exe từ
CDROM ISA 2006 hoặc từ ISA 2006 source.
- Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft
Internet Security and Acceleration Server 2006”.

Các bước cài đặt ISA firewall software trên multihomed host:
Chạy tập tin isaautorun.exe từCDROM ISA 2006 hoặc từISA 2006 source.
Nhấpchuộtvào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet
Security and AccelerationServer 2006”.
Chọn Install ISA Server 2006
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the
Installation Wizard for Microsoft ISAServer 2006” để tiếp tục cài đặt.
17

Chọn tùy chọnSelect “I accept the terms in the license agreement”, chọnNext.
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe. Nhập serial number trong Product Serial
Number textbox. Nhấp Next để tiếp tục .
Chọn loại càiđặt (Installation type)tronghộp “Setup Type”,chọn tùychọn Typical,
chọnNext.
18
ChọnNext đểtiếp tục.Chọn Add
Chọnadd Adapter
Chọn card lan là card bên trong mạng nội bộ
Hình 3: Chọn Network Adapter.
19
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vàoWindows
routing table. ChọnOK trong hộp thoại Internal network address ranges.
Hình 4:Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network”để tiếp tục quá trình cài đặt.
Chọn dấu check “Allow computersrunning earlier versions of Firewall Client
software to connect” nếu ta muốnISA hỗ trợ những phiên bản Firewall client trước,
chọn Next.
Hình 5: Tùy chọn tương thích vớiISA Client.
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số

+*.windowsupdate.com
+*.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một
Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông số trong System
Policy Allowed Sites hoặc hiệu chỉnh lại System Policy Rule bằng cách:
- Hiệu chỉnh System Policy Allowed Sites bằng cách chọn Firewall Policy trong
ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets,
nhấp đôi vào Item System Policy Allowed Sites để mô tả một số cần thiết cho
phép mạng nội bộ truy xuất theo cú pháp *.domain_name.
- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Websites nào đó thì
ta phải Enable luật 18 có tên “Allow HTTP/HTTOS request from ISA Server
to selected servers for connectivity verifiers” chọn Apply trong Firewall Policy
pannel để áp đặt thay đổi vào hệ thống.
3.4. Web Publishing and Server Publishing
22
Publishing server là một kỹ thuật để công bố dịch vụ nội bộ ra ngoài mạng
Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các
dịch vụ SMTP, POP3, IMAP , Web, …
Web Publishing: Dùng để publish các website và dịch vụ web. Web Publishing
đôi khi được gọi là ‘Revese proxy’ trong đó ISA Firewall đóng vai trò là web
proxy nhận các Web Request từ bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào
WebSite hoặc Web Services nội bộ xử lý. Một số đặc điểm của Web Publishing:
- Cung cấp cơ chế truy xuất ủy quyền Web Sites thông qua ISA Firewall.
- Chuyển hướng theo đường dẫn truy xuất WebSite
- Revese Caching of Published Web Site.
- Cho phép Publish nhiều Web Site thông qua một địa chỉ IP.
- Có khả năng thay đổi URL bằng cách sử dụng Link Translator của ISA
Firewall.
- Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Sites.
- Cung cấp cơ chế chuyển theo Port và Protocol.

Hình 7:Chỉ định tên domain được truy xuấtpublish site.
24
2. Chọn WebListenerchoWebPublishingRule(là một NetworkObject được sử dụng
choWeb PublishingRule để listen các kết nối đi vào interface(incomingconnection)
theo port được định nghĩa trước) , ở bước này ta có thể lựa chọn WebListener đã tạo
trước đó hoặc ta có thể tạo mới Web Listener. Sau đây là một số bước tạo mới Web
Listener.
- Từ hộp thoại “Seclect Web Listener“ bằng cách nhấp chuột vào nút New … , cung
cấp tên Web Listener trong hộp thoại “Welcometo the NewWeb Listener Wizard”,
chọn Next.
- Chọn tên Interface cho phép chấp nhận kết nối IncomingWeb,sau đó ta có thể
chọn nút Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn , Chọn nút
Add,cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới WebListener,chọn
Next để tiếp tục.
Hình 8: Chọn địa chỉ chấp nhận incomingwebrequest.
3. Chỉ định HTTPport và SSLport trong hộp thoại PortSpecification cho phép
ISAServer sử dụng để chấp nhận incoming.
3.6. Publish Mail Server
Các bước tiến hành publishMail server:
1. Kích hoạt màn hình
“MicrosoftInternetSecurityandAccelerationServer2004management console”, mở
rộng mục chọn Server Name, chọn nútFirewall policy, chọnTasks tab.
25