Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 478/555
So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened
host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có
cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có
một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà
Sceened
subnet trở thành kiến trúc phổ biến nhất.

Hình 5.2: Mô hình Screened host.
I.2.3 Sreened Subnet.
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng
cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan
một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.
Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn:
mạ
ng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion
host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened
router:
Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có
chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gì
outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt
được cài đặt ở mức cần thiết đủ
để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức
cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router.
Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ
mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering
c
ủa toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ,

ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu
cầu này và chuyển đến Server trên Internet. Khi
Server trên Internet trả lời, Proxy Server sẽ nhận và
chuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế
“đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi
kiểm soát các truy cập từ bên ngoài.
Ví dụ: Một hệ thống mạng có chức năng packet filtering
ngăn chặn các kết nối bằng TELNET vào hệ
thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn kết
nối vào hệ thống bằng TELNET phải qua các bước sau:
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 480/555
- Thực hiện telnet vào máy chủ bên trong cần truy cập.
- Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hoặc từ chối.
- Người truy cập phải vượt qua hệ thống kiểm tra xác thực.
- Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.
- Proxy Service liên kết lưu thông giữa người truy cập và máy chủ
trong mạng nội bộ.
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng dụng đang phát
triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an toàn sẽ
tăng lên.
Thông thường những phần mềm Proxy Server hoạt động như một gateway nối giữa hai mạng, m
ạng
bên trong và mạng bên ngoài. Hình 5.4: Mô hình hoạt động của Proxy.

hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây là một
phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều
tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế
độ cache thông minh, v
ới tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính
năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache
và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN)
III. Đặc Điểm Của ISA 2004.
Các đặc điểm của Microsoft ISA 2004:
- Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ
mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…
- Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho
phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các
Client bên ngoài
internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ,
demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các
Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ.
- Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.
- NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng
con.
- Network templates: Cung cấp các mô hình mẫu (network templates) về một s
ố kiến trúc mạng,
kèm theo một số luật cần thiết cho network templates tương ứng.
- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho
doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access
policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác.
- Cung cấ
p một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như
Authentication, Publish Server, giới hạn một số traffic.
- Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng,

dành cho ISA.
NIC Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC)
IV.2. Quá trình cài đặt ISA 2004.
IV.2.1 Cài đặt ISA trên máy chủ 1 card mạng.
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là Unihomed ISA Firewall), chỉ hỗ
trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng:
- SecureNAT client.
- Firewall Client.
- Server Publishing Rule.
- Remote Access VPN.
- Site-to-Site VPN.
- Multi-networking.
- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 483/555
Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source.
Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and
Acceleration Server 2004”.
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA
Server 2004” để tiếp tục cài đặt.
Chọn tùy chọn Select “I accept” trong hộp thoại “ License Agreement”, chọn Next.
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và
Organization
textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để
tiếp tục .
Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next

Chọn tùy chọn Select “I accept” trong hộp thoại “ License Agreement”, chọn Next.
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và
Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để
tiếp tục .
Chọn loại cài đặt (Installation type) trong hộp “Setup Type”
, chọn tùy chọn Custom, chọn Next.
Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Advanced Logging,
và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share . Chọn Next để tiếp
tục.

Hình 5.8: Chọn Firewall Client Installation Share.
Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách
thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Cách thứ hai
ta cấu hình default Internal Network bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp
chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội bộ.
Trong hộp thoại Configure Internal Network, loại bỏ dấu check trong tùy chọn tên Add the following
private ranges. Sau đó check vào m
ục chọn Network Adapter, chọn OK.
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 485/555

Hình 5.9: Chọn Network Adapter.
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table.
Chọn OK trong hộp thoại Internal network address ranges.

Hình 5.10: Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt.

VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients
Network và Internal Network.
Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các
traffic giữa các mạng.
System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system
policy rule chỉ cho phép truy xuất một số service cần thiết.
Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các
request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể
nhận từ Proxy Server khác.
Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô
hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web
caching.
Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện.
Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 487/555
thông số proxy dụng Web browser.
V.2. Một số chính sách mặc định của hệ thống
5. Cho phép RADIUS
authentication từ ISA đến
một số trusted RADIUS
servers
4. Cho phép login tới
một số server sử dụng
giao thức NetBIOS
3. Cho phép quản lý ISA
Firewall thông qua

selected computers
using MMC
Allow access to
Directory services
purposes
Name
Allow
Allow
Allow
Allow
Allow
Action
RADIUS
RADIUS
Accounting
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
RDP (Terminal
Services) Protocols
NetBIOS datagram
NetBIOS
Name Service
NetBIOS
LDAP ;LDAP (UDP)
LDAP GC (global
catalog)
LDAPS ;LDAPS GC
(Global Catalog)

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 488/555
10. Cho phép một số
máy được quyền gởi
ICMP request đến IS
A

Server
9. Chấp nhận DHCP
replies từ DHCP
Server tới ISA Server
8. Cho phép DHCP
Request từ ISA gởi
đến tất cả các mạng
7. Cho phép sử dụng
DNS từ ISA tới một số
DNS Server
6. Cho phép chứng
thực kerberos từ ISA
Server tới trusted
server
Order/Comments
Allow ICMP (PING)
requests from selected
computers to ISA Server
Allow DHCP replies from
DHCP servers to ISA Server
Allow DHCP requests from
ISA Server to all networks

Local Host
Local Host

from/Listener
Local
Host
Local
Host
Anywher
e To
All

Networks
(and
Local
Host
)
Internal
To
All Users
All Users
All Users
Continued
Condition
All Users
All Users
Condition
15. Cho phép sử dụng
CIFS để truy xuất
share file từ ISA đến