ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
TRƯỜNG ĐẠI HỌC VINH
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU ISA SERVER 2006
Giảng viên hướng dẫn : THS. NGUYỄN CÔNG NHẬT
Sinh viên thực hiện : LÊ KHẮC PHONG
Lớp
: K46K1
Khoá
: 46
Vinh, tháng 5 năm 2011
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
2
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
2.5. Tính năng Public Server..........................................................................3
III. Nhu cầu người sử dụng đặt ra cho hệ thống mô hình và giải pháp.............3
3.1. Nhu cầu người sử dụng đặt ra.................................................................3
3.2. Mô hình và giải pháp...............................................................................3
3.2.1. Mô Hình....................................................................................3
3.2.2. Giải pháp...................................................................................5
PHẦN 2: CÀI ĐẶT ISA SERVER 2006 Standard..........................................................6
I. Cài đặt ISA SERVER 2006.................................................................................6
1.1 Chuẩn bị hệ thống....................................................................................6
1.2 Cài đặt ISA Server 2006 Standard...........................................................6
II. Phân loại ISA client..........................................................................................12
2.1 SecureNAT client....................................................................................13
2.2 Web Proxy client....................................................................................14
2.3 Firewall client........................................................................................14
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
4
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
PHẦN 3: THIẾT LẬP VÀ CẤU HÌNH CÁC CHỨC NĂNG ISA SERVER.............16
I. ISA Server Firewall - Acess Rule.....................................................................16
1.1. Thiết lập một New Acess Rule...............................................................16
1.2. Thiết lập Acess Rule cho 1 nhóm User..................................................23
5
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
3.4 Cấu hình ISA Server Cache không thực hiện Cache các trang web định
trước bằng Cache Rule............................................................................................65
IV. ISA Server - Server VPN................................................................................68
4.1 Yêu cầu và cấu hình cho các
máy...........................................................68
4.2 Tạo User để truy cập mạng
VPN............................................................69
4.3 Cấu hình VPN trên ISA Server...............................................................71
4.3.1 Cấu hình VPN Client Acess.....................................................71
4.3.2 Tạo Acess Rule VPN Client to Gateway.................................73
4.4 Cấu hình NAT trên Model......................................................................74
4.5 Cấu hình VPN tại máy Clients...............................................................75
4.5.1 Cấu hình VPN tại máy Clients Lan..........................................75
4.5.2 Cấu hình VPN tại máy Clients trên
Internet.............................79
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
6
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
II. Các chức năng của ISA 2006
2.1.Tính năng Firewall
Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, triển
khai ISA Server, nó sẽ khóa tất cả các giao thông (traffic) - nghĩa là sẽ chặn các
giao thức sử dụng các port để trao đổi thông tin với nhau - giữa các mạng mà nó
làm Server, bao gồm mạng nội bộ (internal network), vùng DMZ và Internet. ISA
Server 2006 dùng 3 loại quy tắc lọc (filtering rule) để ngăn chặn hoặc cho phép các
giao thông mạng (network traffic), đó là packet filtering, stateful filtering và
application-layer filtering.
2.2. Tính năng Proxy
Để ISA có thể bảo vệ client, bạn phải cấu hình sao cho tất cả client phải đi
qua ISA khi kết nối Internet. Khi đó, ISA sẽ hoạt động như một proxy server giữa
mạng internet và Internet. Khi client cần truy cập Internet, yêu cầu sẽ được gửi qua
thành phần proxy trong ISA, và ngược lại, khi web server trên Internet trả lời thì
lại được gửi tới proxy ISA trước.
Sử dụng proxy có nghĩa là sẽ không có kết nối trực tiếp nào giữa client bên
trong mạng và web server trên Internet.
2.3. Tính năng Web Cache
Để tăng tốc truy cập Internet, ISA xây dựng cơ chế web Caching, cho phép
Cache các trang web có lượng truy cập lớn về Server. Nếu các Client truy cập vào
Website mà các Website này đã được Cache trong Server thì nội dung site đó sẽ
được lấy về từ ISA Server mà không phải kết nối tới Internet. Từ đó tăng tốc độ
truy cập Internet.
2.4. Tính năng thiết lập mạng VPN
ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong
firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy
thiệt hại do các cuộc tấn công đó gây ra. Cụ thể các nhu cầu đặt ra cho một
hệ thống bảo mật như là:
- Giao diện dễ sử dụng.
- Hoạt động ổn định ít lỗi.
- Hỗ trợ tốt cho hệ thống mạng giúp tăng hiệu xuất phần cứng và tốc
độ truy lập mạng của hệ thống.
- Bảo vệ tốt hầu hết các cuộc tấn công từ bên ngoài.
- Linh động trong việc thêm hoặc bớt các luật cấm truy cập và cho
phép truy cập.
3.2. Mô hình và giải pháp
3.2.1. Mô Hình
Đây là một hệ thống mạng mà các doanh nghiệp hay tổ chức
thường hay sử dụng.
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
3
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Hình 1.2 Mô hình mạng chuẩn cho các doanh nghiệp
Hình 1.3 Mô hình mạng cho các doanh nghiệp vừa và nhỏ
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
Tùy theo từng mô hình của mỗi doanh nghiệp, chọn lựa mô
hình Firewall cho phù hợp, sao cho giảm thiểu được chi phí mà vẫn
đáp ứng được nhu cầu bảo mật tối đa cho hệ thống của doanh nghiệp.
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
5
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
PHẦN 2: CÀI ĐẶT ISA 2006 SERVER STANDAR
I. Cài đặt ISA SERVER 2006
1.1 Chuẩn bị hệ thống.
Cài đặt hệ thống ISA với 2 máy tính:
- Máy PC01(ISA Server) cài win 2k3 để cài ISA Server 2006 cũng
là máy đã cài DomainControl với domain là isa.vn. PC01 gồm 2 card mạng
và được kết nối với Internet qua Model ADSL.
- Máy PC02 (Client) làm Client cài Window XP và đã tham gia vào
Domain isa.vn.PC02 chỉ có duy nhất 1 card mạng
Cấu hình địa chỉ IP các máy như sau:
Máy
Đặc tính
PC01
Name
6
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Hình 2.1 Từ PC01 ping sang PC02.
Hình 2.2 Từ PC02 ping sang PC01.
1.2 Cài đặt ISA Server 2006 Standard.
Tại máy PC1 ta Logon vào User Administrator của Domain và chạy
chương trình Setup ISA Server lên chọn Install ISA Server 2006.
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
7
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Hình 2.3 : Cài đặt ISA 2K4
Bắt đầu quá trình nhấn vào Next
Hình 2.4 Cài đặt ISA Server 2006 với Wizard
GVHD: ThS. Nguyễn Công Nhật
Hình 2.7 Lựa chọn Card Internal cần quản lý
Sau khi chọn Adapter Internal dãy IP sẽ được tự động khai báo.Ta Chọn
dãy
172.16.255.255->172.16.255.255 rồi click vào Remove để loại bỏ dãy IP này
Hình 2.8 Dãy IP được khai báo
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
10
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Sau khi khai báo dãy địa chỉ ta có kết quả.
Hình 2.9 Dãy IP được khai báo để ISA quản lý.
Click vào lựa chọn Allow non-encrypted Firewall client connectios để chấp
nhận client kết nối với ISA server từ Firewall client
Hình 2.10 Chấp nhận kết nối từ Firewall client
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
11
- SecureNAT client.
- Web Proxy client.
- Firewal client.
2.1 SecureNAT client
Một SecureNAT client là máy tính được cấu hình với thông số chính
Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall.
Đặt Default Gateway là IP 172.16.1.1 của máy PC01 ISA Server .
Hình 2.12 Cấu hình Default Gateway cho ISA client
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
13
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
2.2 Web Proxy client
Một Web Proxy client là máy tính có trình duyệt internet được cấu hình
dùng ISA Server 2004 firewall như một Web Proxy server của nó.
Tại máy PC2 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp
Tab Connections .Nhấp chọn LAN Settings
Nhập IP của máy PC1 vào ô Address và Port là 8080
Hình 2.13 Cấu hình Proxy cho Trình duyệt web
2.3 Firewall client
Một Firewall client là máy tính có cài Firewall client software. Firewall
15
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
PHẦN 3: THIẾT LẬP VÀ CẤU HÌNH CÁC CHỨC NĂNG CƠ
BẢN CỦA ISA 2006 SERVER STANDARD
I. ISA Server Firewall - Acess Rule
Mặc định sau khi cài đặt xong ISA Server cấm tất cả lưu thông trao đổi giữa các
máy client trong mạng Internal Network và External Network, khi đó các máy trong
Internal Network không thể truy cập được ra ngoài (mạng Internet) và ngược lại. Hay nói
một cách khác ISA Server đã khóa tất cả mọi Port (cổng) ra vào hệ thống.
Trong phần này ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet.và
trao đổi với các máy tính bên ngoài.Việc mở các Port phải hợp với yêu cầu, ko được mở
một cách tùy tiện.Ta thực hiện việc này bằng Acess Rule trên ISA Server 2006
1.1. Thiết lập một New Acess Rule
Để tạo 1 Acess Rule ta truy cập vào ISA Server 2006 . Nháy chuột phải
vào Firewall Policy chọn New \ chọn Acess Rule
Hình 3.1 Tạo mới Acess Rule
Một Acess Rule bao gồm cácbước thiết lập như sau
- Acess Rule name : gõ tên Acess cần tạo
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
16
chọn.
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
18
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Hình 3.6 Danh sách nhóm các Protocol
- Acess Rule Source : click vào Network để chọn mạng cần cho phép
được sử dụng các Protocol đã chọn.
.
Hình 3.7 Danh sách các hình thức mạng nguồn
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Khắc Phong
19
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU VỀ ISA SERVER 2006
Copyright: Tài liệu đại học ©