DỊCH VỤPROXY
Tóm tắt
Lý thuyết 8 tiết -Thực hành 16 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này giúp
cho học viên có thểtổchức
và triển khai một Proxy
Server phục vụchia sẻvà
quản lý kết nối Internet của
các máy trạm, đồng thời
học viên cũng có thểxây
dựng một hệthống Firewall
đểbảo vệhệthống mạng cục
bộcủa mình.
I. Firewall II. Giới thiệu ISA 2004 III. Đặt
điểm của ISA 2004. IV. Cài đặt ISA 2004.
V. Cấu hình ISA Server
Dựa vào bài
tập môn Dịch
vụmạng
Windows
2003.
Dựa vào bài
tập môn Dịch
vụmạng
Windows
2003.
I. Firewall.
Internet là mộthệthống mở, đó là điểmmạnh và cũng là điểmyếucủa nó. Chính điểmyếu
này làm giảm khảnăng bảomật thông tin nộibộcủahệthống. Nếu chỉlà mạng LAN thì

I.2.1 Kiến trúc Dual-homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa
trên máy tính dual-homed host.Một máy tính đượcgọi là dual-homed host nếu nó có ít nhất hai
network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếpvới hai mạng khác nhau và
nhưthếmáy tính này đóng vai trò là Router
mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ởgiữa, một bên
đượckếtnốivới Internet và bên còn lạinốivớimạng nộibộ(LAN).
592
Dual-homed host chỉcó thểcung cấp các dịch vụbằng cách ủy quyền(proxy) chúng hoặc cho phép
users đăng nhập trực tiếp vào dual-homed host.Mọi giao tiếptừmột host trong mạng nộibộvà
host bên ngoài đềubịcấm, dual-homed host là nơi giao tiếp duy nhất.
Hình 5.1: Kiến trúc Dual-Home Host.
I.2.2 Kiến trúc Screened Host.Screened Host có cấu trúc ngượclạivớicấu trúc Dual-homed
host. Kiến trúc này cung cấp các dịch
vụtừmột host bên trong mạng nộibộ, dùng một Router tách rờivớimạng bên ngoài.
Trong kiểu kiến trúc này, bảomật chính là phương pháp Packet Filtering.
Bastion host được đặt bên trong mạng nộibộ. Packet Filtering được cài trên Router.
Theo cách này, Bastion host là hệthống duy nhất trong mạng nộibộmà những host trên
Internet có thểkếtnốitới. Mặcdù vậy, chỉnhững kiểukếtnối phù hợp(được thiếtlập trong
Bastion host)mới được cho phép kếtnối. Bấtkỳmộthệthống bên ngoài nào cốgắng truy
cập vào hệthống hoặc các dịch vụbên trong đều phảikếtnốitới host này. Vì thếBastion
host là host cần phải được duy trì ởchếđộbảomật cao.
Packet filtering cũng cho phép bastion host có thểmởkếtnối ra bên ngoài. Cấu hình
của packet filtering trên screening router nhưsau:
-Cho phép tấtcảcác host bên trong
mởkếtnốitới host bên ngoài thông qua
mộtsốdịch vụcốđịnh. -Không cho phép
tấtcảcác kếtnốitừcác host bên trong (cấm
những host này sửdụng dịch proxy
thông qua bastion host). -Bạn có
thểkếthợp nhiềulối vào cho những dịch

mạng ngoài có chứcnăng bảovệcho mạng ngoại vi (bastion host, interior router). Nó
cho phép hầuhết những gì outbound từmạng ngoại vi. Mộtsốqui tắc packet filtering
đặc biệt được cài đặt ởmứccần thiết đủđểbảovệbastion host và interior router vì
bastion host còn là host được cài đặt an toàn ởmức cao. Ngoài các qui tắc đó,
cácquitắc khác cần giống nhau giữa hai Router.
Interior Router (còn gọi là choke router): nằm giữamạng ngoại vi và mạng nộibộ,
nhằmbảovệmạng nộibộtrước khi ra ngoài và mạng ngoại vi. Nó không thực hiệnhết các
qui tắc packet filtering của toàn bộfirewall. Các dịch vụmà interior router cho phép
giữa bastion host và mạng nộibộ,
594
giữa bên ngoài và mạng nộibộkhông nhất thiết phải giống nhau. Giớihạndịch vụgiữa
bastion host và mạng nộibộnhằm giảmsốlượng máy (sốlượng dịch vụtrên các máy này)
có thểbịtấn công khi bastion host bịtổn thương và thoảhiệpvới bên ngoài. Chẳng hạn
nên giớihạn các dịch vụđược phép giữa bastion host và mạng nộibộnhưSMTP khi có
Email từbên ngoài vào, có lẽchỉgiớihạn
Hình 5.3: Mô hình Screened Subnet.
I.3. Các loại firewall và cách hoạt động.
I.3.1 Packet filtering (Bộlọc gói tin).
Loại firewall này thực hiện việc kiểm tra sốnhậndạng địa chỉcủa các packet đểtừđócấp
phép cho chúng lưu thông hay ngăn chặn . Các thông sốcó thểlọc đượccủamột packet
như:
-Địa chỉIP nơi xuất phát (source IP address).
-Địa chỉIP nơi nhận(destination IP address).
-Cổng TCP nơi xuất phát (source TCP port).
-Cổng TCP nơi nhận(destination TCP port).
Loại Firewall này cho phép kiểm soát đượckếtnối vào máy chủ, khóa việc truy cập vào
hệthống mạng nộibộtừnhững địa chỉkhông cho phép. Ngoài ra, nó còn kiểm soát hiệu
suấtsửdụng những dịch vụđang hoạt động trên hệthống mạng nộibộthông qua các cổng
TCP tương ứng.
I.3.2 Application gateway. Đây là loại firewall được thiếtkếđểtăng cường chứcnăng kiểm soát

Modem analog, cho phép truyềncảtiếng nói và dữliệu trên một đôi dây. Các kênh
thuê bao ISDN (đường truyền dẫn thông tin giữa ngườisửdụng và mạng) có
thểđạttốc độtừ64 Kbps đến 138,24 Mbps. Dịch vụISDN thích hợp cho các công ty
vừa và lớn, yêu cầubăng thông lớn mà việc dùng Modem analog không đáp ứng
được.
Phầncứng dùng đểkếtnối tùy thuộc vào việcnốikết trực tiếp Proxy Server với Internet
hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN
phải có bộphối ghép ISDN cài trên Server.
Hình 5.5: Mô hình kếtnốimạng Internet.
Việc chọnlựa cách kếtnối và một ISP thích hợp tùy thuộc vào yêu cầucụthểcủa công ty,
ví dụnhưsốngườicần truy cập Internet, các dịch vụvà ứng dụng nào đượcsửdụng, các
đường kếtnối và cách tính cước mà ISP có thểcung cấp.
II. Giới Thiệu ISA 2004.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm share
internet của hãng phầnmềm Microsoft, là bản nâng cấptừphầnmềm MS ISA 2000
Server. Có thểnói đây là một phầnmềm share internet khá hiệu quả, ổn định, dễcấu
hình, thiếtlậptường lửa(firewall)tốt, nhiều tính năng cho phép bạncấu hình sao cho
tương thích vớimạng LAN củabạn. Tốc độnhanh nhờchếđộcache thông minh, với tính
năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule
Cache (Lậplịch cho tựđộng download thông tin trên các WebServer lưu vào Cache và
máy con chỉcầnlấy thông tin trên các Webserver đóbằng mạng LAN)
III. Đặc Điểm Của ISA 2004.
Các đặc điểmcủa Microsoft ISA 2004:
-Cung cấp tính năng Multi-networking:Kỹthuật thiếtlập các chính sách truy cậpdựa trên địa
chỉmạng, thiếtlập firewall đểlọc thông tin dựa trên từng địa chỉmạng con,…
-Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA
Server cho phép bảovệhệthống mạng nộibộbằng cách giớihạn truy xuấtcủa các
Client bên ngoài internet,bằng cách tạo ra một vùng mạng ngoại vi perimeter
network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet),
chỉcho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không

Bộ nhớ (Memory)
256 (MB) hoặc 512 MB cho hệthống không sửdụng Web caching, 1GB
cho Web-caching ISA firewalls.
không gian đĩa (Disk
space)
ổđĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành
cho ISA.
NIC
Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC)
IV.2. Quá trình cài đặt ISA 2004.
IV.2.1 Cài đặt ISA trên máy chủ1 card mạng.
Khi ta cài đặt ISA trên máy Server chỉcó một card mạng (còn gọi là Unihomed ISA
Firewall), chỉhỗtrợHTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không
hỗtrợmộtsốchứcnăng:
-
SecureN
AT
client.
-Firewall
Client.
-Server
Publishin
g Rule.
-Remote
Access
VPN.
-Site-to-
Site
VPN.
-Multi-networking.

Acceleration Server 2004”.
Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA
Server 2004” đểtiếptục cài đặt.
Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next.
Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và
Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next
đểtiếptục.
Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next.
Trong hộp thoại“Custom Setup”mặc định hệthống đã chọn Firewall Services, Advanced
Logging, và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share .
Chọn Next đểtiếp tục.
Hình 5.8: Chọn Firewall Client Installation Share.
Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal
Network setup. Cách thứnhất ta mô tảdãy địa chỉnộibộ(Internal Network
range)từFrom và To text boxes. Cách thứhai ta cấu hình default Internal Network
bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp chuột vào dấu
chọn“Select Network Adapter” kếtnối vào mạng nộibộ.
Trong hộp thoại Configure Internal Network, loạibỏdấu check trong tùy chọn tên Add
the following private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK.
Hình 5.9: Chọn Network Adapter.Xuất hiện thông báo cho biết Internal network được định
nghĩadựa vào Windows routing table. Chọn OK trong hộp thoại Internal network address
ranges.
Hình 5.10: Internal Network Address Ranges. Chọn Next trong hộp thoại“Internal Network”
đểtiếptục quá trình cài đặt.Chọndấu check “Allow computers running earlier versions of
Firewall Client software to connect”nếu ta muốn ISA hỗtrợnhững phiên bản Firewall client
trước, chọn Next.
Hình 5.11: Tùy chọntương thích với ISA Client.
Xuất hiệnhộp thoại Services đểcảnh báo ISA Firewall sẽstop mộtsốdịch vụSNMP và IIS Admin
Service trong quá cài đặt. ISA Firewall cũng sẽvô hiệu hóa (disable) Connection Firewall (ICF)/
Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)

thông qua công
cụMMC
Allow remote
management
from selected
computers
using MMC
Allow
NetBIOS
datagram
NetBIOS Name
Service NetBIOS
Remote
Management
Computers
Local
Host
All Users
3. Cho phép quản lý
ISA Firewall thông
qua Terminal
Services Protocol
Allow remote
management
from selected
computers
using Terminal
Server Name
Allow
RDP (Terminal

RADIUS servers
Allow RADIUS
authentication
from ISA Server
to trusted
RADIUS
servers
Allow
RADIUS
RADIUS
Accounting
Local Host Internal All Users
Học phần 3 -Quản trịmạng Microsoft Windows Trang 487/555
Tài liệuhướng dẫn giảng dạy
Order/Comments
6. Cho phép chứng
Name Allow
Kerberos
Action Protocol
Kerberos-Sec
from/Listener To Condition Order/Comments
11. Cho phép ISA
thực kerberos từISA
Server tới trusted
authentication from
ISA Server
Allow
(TCP)
Kerberos-Sec
Local Host

DHCP(reques
t) Protocols
Local Host
From/Listener
Anywher
e To
All Users
Continued
Condition
13. Cho phép DHCP
Request từISA gởi
đến tất cảcác mạng
9. Chấp nhận DHCP
replies từDHCP
Server tới ISA
Server
Allow DHCP replies
from DHCP servers to
ISA Server
Allow DHCP (reply) Internal
Local
Host
All Users
14. Cho phép ISA
thiết lập kết nối VPN
(site to site) đến
VPN Server khác
10. Cho phép một
sốmáy được quyền
gởi ICMP request

Information
Request ICMP
Timestamp
from/Listener
Local Host
To All
Networks
(and
Local
Host
Network)
Condition
All Users
Order/Comments
16. Cho phép login
từxa bằng SQL qua
ISA server
Name
remote SQL
logging from ISA
servers
All VPN client
traffic to ISA
Server
Allow PPTP External Local Host All Users
17. Cho phép truy
xuất HTTP/HTTPS
từISA đến một sốsite
chỉđịnh
Allow

site-tosite
traffic from ISA
Server
Allow NONE Local Host
External
IPSec
Remote
Gateways
All Users
19. Cho phép một
sốmáy được truy xuất
Firewall Client
installation share trên
ISA Server
Allow access
from trusted
computers to the
Firewall Client
installation share
on ISA Server
CIFS
(Common
Internet File
System) from
ISA Server to
trusted
Allow
Microsoft
CIFS (TCP)
Microsoft

NetBIOSAllow
from ISA to
Name
HTTP
HTTPSProtocols
HTTP
HTTPS
Protocols
System
Policy
Allowed
Sites To
All
UsersContinued
Condition
21. Cho phép
sửdụng RPC
từISAtruy xuất đến
mộsốserver khác
Allow
RPCfrom ISA
tServer to
trusted
servers
Allow
HTTP HTTPS Local Host
All
Networks
(and
LocalHost

Allow
NetBIOS
Datagram
NetBIOS Name
Service NetBIOS
Session
Remote
Managemen
t Computers
Local
Host All
Users
25. Cho phép
giámAllow sát từxa
thông
quamonitoring giao
thức Microsoftfrom
Operations
remote ISA
Server to
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 490/555
Tài liệuhướng dẫn giảng dạy
To Condition Order/Comments Name Action Protocol
from/Listen
er
Internal
To
All Users

Allow ISA Server
to
Reporting một sốServer trusted servers
sites
Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host
máy sửdụng Content
Download Jobs.
selected
computers for
Content
Download Jobs
Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host
máy khác sửdụng
MMC
communication to traffic
điều khiển ISA selected
computers
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 491/555
Ta có thểxem các chính sách mặc định củahệthống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từhộp thoại ISA Management, sau đó chọn item Show system policy rule
trên cột System policy.
Hình 5.12: System policy Rules.Ta cũng có thểhiệu chỉnh từng system policy bằng cách nhấp
đôi chuột vào system policy item.
Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.
Trong phần này ta sẽkhảo sát nhanh các bước làm sao đểcấu hình ISA Firewall cung
cấpdịch vụWeb Proxy đểchia sẻkếtnối Internet cho mạng nộibộ.
Hình 5.14: System Policy Editor.

cha lấy thông tin từInternet Web Server.
+ Đểcấu hình Uptream Server cho ISA Server nộibộta chọn Configuration panel từISA
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp
đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn
Redirecting them to specified upstream server, chọn tiếp nút Settings…Chỉđịnh địa
chỉcủa upstream server.
Hình 5.16: Chỉđịnh Upstream server.
+ Ta cần chỉđịnh DNS Server cho ISA Server đểkhi ISA có thểphân giải Internet Site khi
có yêucầu, ta có thểsửdụng DNS Server nộibộhoặc Internet DNS Server, tuy nhiên ta
615cầnlưuýrằng phảicấu hình ISA Firewall đểcho phép DNS request và DNS reply.
-Đểcho phép Client có thểsửdụng Web Proxy ta cấu hình Proxy Server có địa chỉlà địa chỉcủa
Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
-Chỉđịnh địa chỉcủa Web Proxy trong textbox
Address. -ChỉWeb Proxy Port trong Textbox Port là
8080.
Hình 5.16: Chỉđịnh Client sửdụng Proxy Server.
V.4. TạoVà SửDụng Firewall Access Policy.
-Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules,
ServerPublishing Rules và Access Rules.
+ Web Publishing Rules và Server Publishing Rules đượcsửdụng đểcho
phép inbound access.
oAccess rules dùng đểđiều khiển outbound access.
-ISA Firewall kiểm tra Access Rules trong Access Policy theo cơchếtop down
(Lưuýrằng System Policy được kiểm tra trước Access Policy do user định nghĩa),
nếu packet phù hợpvới một luật nào đó thì ISA Firewall thì ISA Firewall sẽthực thi
action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽbỏqua tấtcảcác luật còn
lại. Nếu packet không phù hợpvớibấtkỳSystem Access Policy và User-Defined
Policy thì ISA Firewall deny packet này.
-Mộtsốtham sốmà Access Rule sẽkiểm tra trong connection request:
1 + Protocol: Giao thứcsửdụng.

client.
-Selected protocols: Tùy chọn này cho phép ta có thểlựa chọntừng protocols đểáp đặt vào luật
(rule). Tacó thểlựa chọnmộtsốprotocol có sẵn trong hộp thoại hoặc có thểtạomớimột
Protocol Definition.
-All outbound traffic except selected: Tùy chọn này cho phép tấtcảcác protocol cho luật mà
không được định nghĩa trong hộp thoại.