Triển khai isa server trong hệ thống mạng

KHẢO SÁT MÔ HÌNH MẠNG CỦA CÔNG TY MÁY TÍNH

Tình hình thực tế của Công ty

Công ty máy tính Hoàng Hà hiện có một hệ thống mạng kết nối các máy tính tại các phòng Giám đốc, Kế toán, Kỹ thuật, Nhân sự, Marketing và Kinh doanh Hệ thống này sử dụng một Switch để kết nối với Modem ADSL, cho phép chia sẻ dữ liệu và truy cập Internet hiệu quả.

Mô hình của Công ty gồm 3 tầng:

Phòng kinh doanh và bán hàng là không gian giao dịch với khách hàng, nơi trưng bày thiết bị và máy móc Bộ phận này chịu trách nhiệm thực hiện các hoạt động bán hàng, phục vụ nhu cầu của khách hàng Trong phòng có trang bị máy tính kết nối mạng nội bộ và internet, hỗ trợ hiệu quả cho hoạt động kinh doanh.

Phòng kế toán có vai trò quan trọng trong việc ghi chép và hạch toán các nghiệp vụ kinh tế, tài chính phát sinh trong quá trình sản xuất và kinh doanh của công ty.

 Phòng Marketing: Chịu trách nhiệm tiếp thị và giới thiệu sản phẩm máy tính

 Phòng kỹ thuật: Dành riêng để bảo trì sản phẩm cho khách hàng

Phòng nhân sự đóng vai trò quan trọng trong việc phỏng vấn, tuyển dụng và đào tạo nhân viên Ngoài ra, phòng cũng chịu trách nhiệm quản lý, điều chỉnh nhân lực và phân bổ công việc phù hợp cho từng nhân viên trong công ty.

 Phòng dành riêng cho Giám đốc Công ty: Quản lý mọi hoạt động chung của Công ty

SVTH: Âu Hồng Lĩnh 3 Trường Đại học Vinh

Mô hình của Công ty

1.2.1 Sơ đồ mạng tổng quát

1.2.2 Sơ đồ bố trí máy

Yêu cầu hiện tại

1.3.1 Đối với hệ thống mạng nội bộ (Internal) o Có một máy Server dùng để chia sẻ và quản lý tài nguyên o Có thể truy cập Internet thông qua Modem ADSL o Mở rộng mô hình để lắp đặt thêm các máy Client cho nhân viên các phòng ban o Các nhân viên được phân quyền theo từng phòng ban o Publish Web, Mail, Ftp ra ngoài mạng nội bộ

1.3.2 Đối với hệ thống mạng bên ngoài External o Ngăn chặn người ngoài Internet đăng nhập vào mạng Công ty trái phép o Cho phép nhân viên có thể đăng nhập vào mạng của Công ty khi làm việc ở xa thông qua mạng Internet.

Lựa chọn phương pháp và thiết kế mô hình

Dựa vào yêu cầu hiện tại của Công ty như ở trên ta có các giải pháp như sau:

Công ty cần thiết lập một hệ thống mạng theo mô hình Domain nhằm quản lý tập trung, từ đó nâng cao hiệu quả trong việc quản trị hệ thống mạng.

Công ty có nhu cầu chia sẻ file server, xuất bản web, dịch vụ mail, FTP và DNS, vì vậy có thể xây dựng các dịch vụ này trên một máy chủ nội bộ để tiết kiệm chi phí.

+ Triển khai VPN và kết hợp giao thức IPsec để tăng độ bảo mật

+ Có chính sách Backup hợp lý đảm bảo an toàn dữ liệu ở mức cao

+ Cấu hình firewall ISA 2006 để đảm bảo chống các tấn công từ bên ngoài vào mạng của công ty

+ Cấu hình firewall Client đểkiểm soát được tất cả mọi Port ra vào hệ thống và kiểm soát được mọi User, trang web

Cấu hình và cài đặt hệ thống mạng

Do không đủ điều kiện để triển khai thực tế, tôi đã sử dụng phần mềm “VM-WARE WorkStation” để thực hiện mô hình rút gọn và chạy thử nghiệm.

1.5.2 Cấu hình địa chỉ IP o Máy DC :

IP Address : 172.16.0.2 Subnet mask : 255.255.0.0 Delfaul Gateway : 172.16.0.1 Preferreted DNS : 172.16.0.2 o Máy ISA :

IP Address : 172.16.0.3 Subnet mask : 255.255.0.0 Delfaul Gateway : Trống Preferreted DNS : 172.16.0.2 + Card Externat :

IP Address : 192.168.1.2 Subnet mask : 255.255.255.0 Delfaul Gateway : 192.168.1.1 Preferreted DNS : Trống

SVTH: Âu Hồng Lĩnh 7 Trường Đại học Vinh o PC1 :

IP Address : 172.16.0.2 Subnet mask : 255.255.0.0 Delfaul Gateway : 172.16.1.3 Preferreted DNS : 172.16.0.2 o PC2 :

IP Address : 192.168.1.3 Subnet mask : 255.255.255.0 Delfaul Gateway : Trống

To set up a network for the domain aulinh.com, install Windows Server 2003 SP2 on the DC machine, configure DNS services automatically, and set up IIS, Exchange Server 2003, FTP, and DHCP Each department should then create an Organizational Unit (OU), Groups, and corresponding Users On the ISA machine, install Windows 2003 and ISA 2006 Standard Edition, and join it to the aulinh.com domain For PC1, install Windows XP, set up the Firewall Client, and join it to the domain Finally, PC2 will also run Windows XP for testing purposes.

1.5.3 Cài đặt ISA Server Standard 2006

Cài đặt ISA theo trình tự các bước sau đây:

+ Tại máy ISA ta Logon vào User Administrator của Domain và chạy chương trình Setup ISA Server lên chọn Intall ISA Server 2006

+ Quá trình cài đặt tiến hành

+ Chọn I accept the terms in the license agreement trong License Agreement, chọn Next

+ Trong màn hình Setup type chọn Custom

+ Giữ nguyên giá trị mặc định chọn Next

+ Tại màn hình Internal Network nhấp Add

+ Tại đây ta nhập dãy IP mà ta muốn ISA quản lý chúng tất nhiên để tốt nhất là chọn nguyên cả Subnet

+ Màn hình sau khi Add xong chọn Next

+ Chọn Next để tiến hành cài đặt

+ Quá trình cài đặt diễn ra

+ Sau khi cài đặt ISA thành công,chọn Finish trong Installation Wizard

Sau khi cài đặt ISA xong ta vào máy Server ping thử IP máy ISA & IP mạng ngoài sẽ thấy không thể Ping được

DC và ISA không thể ping đƣợc

Truy cập máy ISA cũng không đƣợc

Máy ISA ping thông với DC

Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta

A Firewall client is a computer that has Firewall client software installed, which blocks all requests from Winsock applications, typically those running on TCP and UDP, and forwards these requests directly to the Firewall service on the ISA Server 2006 firewall Usernames are automatically logged in the Firewall service log when the Firewall client connects to the Internet via the ISA Server 2006 firewall The advantages of this setup include comprehensive control over all incoming and outgoing ports and the ability to monitor users and websites However, it has the limitation of only supporting Windows operating systems.

Các bước cài đặt như sau:

+ Vào ổ đĩa chứa source ISA server 2006 chọn mục Client, double click vào file setup.exe hay file MS_FWC.MSI để cài firewall client

+ Click Next trong Wellcome to the Install Wizard for Microsoft Firewall

+ Chọn I accept the terms in the license agreement trong License Agreement

+ Click Next trong Destination Folder

+ Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA

Server computer và nhập IP của máy ISA Server

+ Chọn Install trong Ready to Install the Program

+ Quá trình cài đặt diễn ra

+ Click Finish Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client

+ Tại máy Firewall Clien mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections

+ Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại Proxy

GIỚI THIỆU MỘT SỐ DỊCH VỤ MẠNG

Giới thiệu window Server 2003

Windows Server 2003 là hệ điều hành mạng phổ biến của Microsoft, nổi bật với tính bảo mật cao và giao diện thân thiện cho người quản lý Phiên bản này tích hợp nhiều công cụ và dịch vụ mạng hữu ích, giúp việc quản trị và phân quyền tài nguyên mạng trở nên dễ dàng hơn.

So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có một số đặc tính mới sau:

Windows Server 2003 cung cấp hỗ trợ tốt hơn cho hệ điều hành Windows XP, bao gồm khả năng hiểu và áp dụng chính sách nhóm (group policy) được thiết lập trong Windows XP Ngoài ra, hệ thống này còn đi kèm với bộ công cụ quản trị mạng đầy đủ các tính năng tương thích với Windows XP.

Các công ty nhỏ có thể tiết kiệm chi phí khi sử dụng tính năng Mail Server tích hợp sẵn trong Windows Server 2003, bao gồm dịch vụ POP3 và SMTP, để xây dựng một hệ thống email đơn giản mà không cần đầu tư vào Exchange.

Tính năng NetBIOS over TCP/IP đã được bổ sung cho dịch vụ RRAS, cho phép người dùng duyệt các máy tính trong mạng từ xa thông qua công cụ Network Neighborhood.

+ Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps …

Active Directory (DC)

Có thể so sánh Active Directory với LANManager trên Windows NT 4.0

Active Directory là một cơ sở dữ liệu quản lý các tài nguyên mạng, được gọi là đối tượng, cùng với thông tin liên quan đến các đối tượng này.

Mặc dù Active Directory không phải là khái niệm mới, vì Novell đã áp dụng dịch vụ thư mục trong nhiều năm, nhưng Windows NT 4.0 vẫn được xem là một hệ điều hành mạng tốt.

Hệ thống mạng tầm cỡ xí nghiệp không phù hợp với SVTH: Âu Hồng Lĩnh 15 Trường Đại học Vinh, trong khi công cụ Network Neighborhood chỉ tiện dụng cho mạng nhỏ Khi áp dụng cho mạng lớn, việc duyệt và tìm kiếm trở nên khó khăn, đặc biệt nếu không biết tên máy in hoặc server Để quản lý hiệu quả hệ thống mạng lớn, cần phân chia thành nhiều domain và thiết lập mối quan hệ ủy quyền Active Directory giúp giải quyết các vấn đề này, cung cấp mức độ ứng dụng mới cho môi trường xí nghiệp, với dịch vụ thư mục trong mỗi domain có khả năng lưu trữ hơn mười triệu đối tượng, phục vụ cho mười triệu người dùng.

2.2.2 Chức năng của Active Directory o Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính o Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller nhập (logon Server) o Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng o Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau.

Domain Name System (DNS)

Hệ thống tên miền DNS (Domain Name System) là một cơ sở dữ liệu phân tán, được chuẩn hóa vào năm 1984, nhằm ánh xạ giữa các tên miền logic có nghĩa, như www.nghiadan.com, và địa chỉ IP vật lý tương ứng trong mạng.

Cơ sở dữ liệu này được phân tán trên các máy chủ tên miền, hình thành một hệ thống đồng nhất trong việc duy trì và liên kết các ánh xạ.

SVTH: Âu Hồng Lĩnh 16 Trường Đại học Vinh tiêu chuẩn thống nhất Nhờ đó, mỗi máy tính sẽ không cần "nhớ" địa chỉ vật lý

IP cho phép một kết nối "nhớ" tên miền tương ứng khi người dùng muốn truy cập Điều này giúp người sử dụng chỉ cần ghi nhớ tên miền logic mà không cần phải nhớ địa chỉ IP phức tạp.

2.3.2 Cơ chế hoạt động của DNS

Mô hình phân cấp tên miền:

Mô hình phân cấp tên miền

Ví dụ minh họa hoạt động của DNS

Khi máy tính PC A muốn truy cập trang web www.yahoo.com nhưng server vvn chưa lưu thông tin về trang web này, quá trình truy vấn sẽ diễn ra như sau: đầu tiên, máy tính A sẽ gửi yêu cầu đến server vvn để tìm kiếm địa chỉ IP tương ứng với www.yahoo.com Nếu server vvn không có thông tin, nó sẽ chuyển tiếp yêu cầu đến các server DNS khác cho đến khi tìm ra địa chỉ IP của trang web Sau khi nhận được địa chỉ IP, server vvn sẽ lưu trữ thông tin này để phục vụ cho các truy vấn sau, giúp tăng tốc độ truy cập cho lần tiếp theo.

Initially, PC A sends a request to the VNN domain management server to inquire about the information related to www.yahoo.com In response, the VNN domain management server forwards a query to the top-level domain server.

Tên miền cấp cao (top level domain) lưu trữ thông tin về tất cả các tên miền trên internet, và do đó, nó sẽ gửi địa chỉ IP của server quản lý tên miền vnn đến server quản lý miền com (hay còn gọi là server com).

Khi server quản lý tên miền com nhận được địa chỉ IP, nó sẽ ngay lập tức yêu cầu server VNN cung cấp thông tin về yahoo.com Server com chịu trách nhiệm quản lý toàn bộ dữ liệu liên quan đến tên miền này.

SVTH: Âu Hồng Lĩnh 17 Trường Đại học Vinh trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.com cho server vnn

Server VNN đã nhận được địa chỉ IP của yahoo.com, tuy nhiên, PC A chỉ yêu cầu dịch vụ www, không phải dịch vụ ftp hay các dịch vụ khác.

Do đó server vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về server quản lý dịch vụ www của yahoo.com

+ Lẽ đương nhiên khi nhận được truy vấn thì server yahoo.com gửi lại cho server vnn địa chỉ IP của server quản lý www.yahoo.com

Cuối cùng, server VNN đã gửi địa chỉ IP của server quản lý www.yahoo.com cho PC A, cho phép PC A kết nối trực tiếp đến nó Nhờ vậy, server VNN đã lưu trữ thông tin về www.yahoo.com để phục vụ cho các truy vấn sau này của các client khác.

Mail Server

2.4.1 Các giao thức đƣợc sử dụng trong hệ thống Mail

The Mail system is built on several protocols, including Simple Mail Transfer Protocol (SMTP), Post Office Protocol (POP), Multipurpose Internet Mail Extensions (MIME), and Interactive Mail Access Protocol (IMAP) IMAP, defined in RFC 1176, is a crucial protocol designed to replace POP, offering advanced text search mechanisms and remote message analysis capabilities not available in POP.

2.4.2 Giới thiệu về hệ thống mail

Một hệ thống Mail cần tối thiểu hai thành phần: Mail Server và Mail Client, có thể hoạt động trên hai hệ thống khác nhau hoặc trên cùng một hệ thống.

Mail Server lưu trữ hộp thư của người dùng và nhận email từ Mail Client để đưa vào hàng đợi gửi đến Mail Host Quá trình này đảm bảo rằng email được chuyển tiếp một cách hiệu quả và đáng tin cậy.

SVTH: Âu Hồng Lĩnh 18 Trường Đại học Vinh gửi thư từ Mail Host vào hộp thư của người dùng Người dùng có thể sử dụng NFS (Network File System) để gắn thư mục chứa hộp thư trên Mail Server để đọc Nếu NFS không được hỗ trợ, người dùng cần đăng nhập vào Mail Server để nhận thư Trong trường hợp Mail Client và Mail Server đều hỗ trợ POP/IMAP, người dùng có thể đọc thư qua giao thức POP/IMAP.

Mail Client là các chương trình hỗ trợ chức năng đọc và soạn thảo thư, tích hợp hai giao thức SMTP và POP Giao thức SMTP giúp chuyển thư từ Client đến Mail Server, trong khi POP hỗ trợ nhận thư từ Mail Server về Mail Client Ngoài POP, Mail Client còn tích hợp giao thức IMAP và HTTP để nâng cao khả năng nhận thư Một số chương trình Mail Client phổ biến bao gồm Microsoft Outlook Express và Microsoft Office Outlook.

Web Server

HTTP là giao thức cho phép Web Browser và Web Server giao tiếp hiệu quả Ban đầu, HTTP được phát triển như một giao thức đơn giản, tương tự như các giao thức chuẩn khác trên Internet, với thông tin điều khiển được truyền dưới dạng văn bản thô qua kết nối TCP Do đó, kết nối HTTP có thể được thay thế bằng lệnh telnet tiêu chuẩn.

Giao thức HTTP đã trải qua sự phát triển nhanh chóng từ phiên bản đơn giản yêu cầu/đáp ứng sang phiên bản phức tạp hơn, cụ thể là HTTP/1.1 Một trong những cải tiến đáng kể của HTTP/1.1 là khả năng hỗ trợ kết nối lâu dài (persistent connection) Trái ngược với HTTP/1.0, nơi mỗi đối tượng yêu cầu một kết nối riêng đến Server, HTTP/1.1 cho phép Browser tải nhiều đối tượng, như hình ảnh, mà không cần thiết lập lại kết nối Điều này rất quan trọng vì nhiều trang web hiện nay chứa nhiều hình ảnh, và một số trong đó chỉ nhằm mục đích trang trí cho trang HTML cơ bản.

2.5.2 Nguyên tắc hoạt động của Web Server

Web Server ban đầu chỉ phục vụ các tài liệu HTML và hình ảnh đơn giản, nhưng hiện nay đã có khả năng làm nhiều hơn Ở mức độ cơ bản, Web Server chỉ cung cấp nội dung tĩnh, nghĩa là khi nhận yêu cầu từ Web Browser, nó sẽ ánh xạ URL thành một tập tin cục bộ Sau đó, máy chủ nạp tập tin từ đĩa và gửi nó qua mạng đến Web Browser của người dùng, sử dụng giao thức HTTP để trao đổi dữ liệu.

Ngày nay, các trang Web tĩnh đơn giản đã phát triển thành những trang Web phức tạp hơn, với nhiều thông tin được trao đổi giữa Web Server và Web Browser Trong số đó, nội dung động (dynamic content) là yếu tố quan trọng nhất.

Dịch vụ FTP (File Transfer Protocol)

FTP, hay Giao thức truyền tập tin, là một phương thức phổ biến để trao đổi tập tin qua mạng sử dụng giao thức TCP/IP, bao gồm cả Internet và intranet.

2.6.2 Cấu hình dịch vụ FTP

After completing the FTP service installation, you can manage it by navigating to Start | Programs | Administrative Tools | Internet Information Services (IIS) Manager | Computer name | FTP sites By default, the system automatically creates an FTP site named Default FTP Site, which includes several key details.

+ FTP name: Default FTP Site

+ Connection Limited to: Giới hạn tối đa 100.000 kết nối

+ Enable logging: Để cho phép ghi nhận log vào file \system32\LogFiles + Cho phép Anonymous và người dùng cục bộ được đăng nhập vào FTP Server

+ Thư mục gốc của FTP server là \Inetpub\ftproot

+ Quyền hạn truy xuất (cho Anonymous và user cục bộ) là read và log visits + Cho phép tất cả các máy tính được phép truy xuất vào FTP Server

Sau khi cài đặt xong, người dùng có thể sử dụng dịch vụ FTP ngay lập tức mà không cần cấu hình, nhưng chỉ có thể sử dụng các chức năng cơ bản theo thiết lập ban đầu Để tối ưu hóa, tốt nhất là xóa cấu hình cũ và tạo một FTP Site mới để cấu hình lại từ đầu.

Internet Information Services (IIS)

IIS, hay còn gọi là Internet Information Services, là dịch vụ máy chủ được tích hợp trong các phiên bản của hệ điều hành Windows Được phát triển bởi Microsoft, IIS cung cấp nhiều dịch vụ khác nhau như Web Server và FTP Server, nhằm mục đích phân phối và quản lý thông tin trên mạng.

Nó cho phép xuất bản nội dung của các trang web lên Internet hoặc Intranet thông qua "Phương thức chuyển giao siêu văn bản" - Giao thức HTTP.

Sau khi hoàn thành thiết kế các trang web, bạn cần sử dụng một Web Server, như IIS, để đưa chúng lên mạng và cho phép mọi người truy cập Nếu không có Web Server, trang web của bạn chỉ có thể được xem trên máy tính cá nhân hoặc thông qua việc chia sẻ tệp trong mạng nội bộ.

IIS có nhiệm vụ tiếp nhận yêu cầu từ máy trạm và phản hồi bằng cách cung cấp thông tin cần thiết Bạn có thể sử dụng IIS để quản lý và phục vụ các yêu cầu từ người dùng một cách hiệu quả.

+ Xuất bản một Website của bạn trên Internet

+ Tạo các giao dịch thương mại điện tử trên Internet (hiện các catalog và nhận được các đơn đặt hàng từ nguời tiêu dùng)

+ Chia sẻ file dữ liệu thông qua giao thức FTP

+ Cho phép người ở xa có thể truy xuất database của bạn (gọi là Database remote access)

+ Và rất nhiều khả năng khác.

Virtual Private Network (VPN)

VPN, hay Mạng Riêng Ảo, sử dụng Internet để kết nối người dùng từ xa với mạng LAN tại trụ sở chính Thay vì sử dụng các kết nối phức tạp như đường dây thuê bao, VPN tạo ra các liên kết ảo qua Internet, giúp kết nối an toàn giữa mạng riêng của tổ chức và các địa điểm hoặc người dùng xa.

Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)

VPN truy cập từ xa, hay còn gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng đến mạng LAN, thường được sử dụng bởi các tổ chức có nhiều nhân viên cần truy cập vào mạng riêng từ nhiều địa điểm khác nhau Loại VPN này cung cấp các kết nối an toàn và được mã hóa.

VPN điểm - nối - điểm sử dụng mật mã để kết nối an toàn nhiều điểm cố định qua mạng công cộng như Internet, đảm bảo tính bảo mật và riêng tư cho người dùng.

Firewall (Tường lửa)

Firewall là một công nghệ quan trọng trong hệ thống mạng, giúp ngăn chặn truy cập trái phép và bảo vệ thông tin nội bộ Nó hoạt động như một cơ chế bảo vệ mạng tin cậy khỏi các mạng không tin cậy, hạn chế xâm nhập không mong muốn vào hệ thống.

Thông thường Firewall được đặt giữa mạng bên trong (Internal) và Internet của một công ty, tổ chức, ngành hay một quốc gia,… Vai trò chính là bảo mật

SVTH: Âu Hồng Lĩnh 22 Trường Đại học Vinh cung cấp thông tin về việc ngăn chặn truy cập không mong muốn từ bên ngoài và cấm truy cập từ bên trong đến một số địa chỉ nhất định trên Internet.

Là những firewall được tích hợp trên Router Đặc điểm của Firewall cứng:

+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như Firewall mềm)

+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

Là những Firewall được cài đặt trên Server Đặc điểm của Firewall mềm:

+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

2.9.3 Chức năng của Firewall o Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Internal và Internet

Bài viết đề cập đến việc thiết lập cơ chế điều khiển dòng thông qua bộ lọc gói (Packet-Filtering Router) giữa mạng nội bộ và Internet tại Trường Đại học Vinh Hệ thống này cho phép hoặc cấm các dịch vụ truy cập ra ngoài cũng như từ bên ngoài vào trong Đồng thời, nó theo dõi luồng dữ liệu mạng, kiểm soát địa chỉ truy cập và người sử dụng, cũng như nội dung thông tin lưu chuyển trên mạng.

Không có firewall, hacker dễ dàng xâm nhập và đánh cắp thông tin cá nhân khi chúng ta truy cập Internet Chúng có thể lắp đặt mã độc để phá hủy file hoặc gây sự cố cho máy tính Hơn nữa, hacker có thể lợi dụng máy tính của chúng ta để tấn công các thiết bị khác, đặc biệt là doanh nghiệp và tổ chức lớn, dẫn đến thiệt hại nghiêm trọng Sử dụng firewall giúp ngăn chặn các cuộc tấn công từ bên ngoài, bảo vệ hệ thống khỏi những gói tin độc hại.

Firewall không có khả năng phân tích nội dung thông tin như con người, chỉ có thể ngăn chặn các nguồn thông tin không mong muốn dựa trên các thông số địa chỉ cụ thể Nếu một cuộc tấn công không đi qua firewall, nó sẽ không thể ngăn chặn được, ví dụ như các cuộc tấn công từ đường Dial-Up hoặc sự rò rỉ thông tin.

Firewall không thể ngăn chặn hoàn toàn các cuộc tấn công bằng dữ liệu, đặc biệt khi các chương trình độc hại được gửi qua email và vượt qua hệ thống bảo vệ Một ví dụ điển hình là virus máy tính, mà Firewall không thể quét hiệu quả do tốc độ xử lý, sự xuất hiện liên tục của virus mới và nhiều phương thức mã hóa dữ liệu Mặc dù vậy, Firewall vẫn là một giải pháp phổ biến và hiệu quả trong việc bảo vệ mạng.

TÌM HIỂU VỀ ISA SERVER 2006

2.10.1 Các phiên bản của ISA Server 2006

ISA 2006 có hai phiên bản đó là ISA Server 2006 Standard và ISA Server

ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các doanh nghiệp, Công ty có quy mô trung bình

Xây dựng hệ thống để quản lý luồng dữ liệu trong mạng nội bộ, kiểm soát quyền truy cập của người dùng theo giao thức, thời gian và nội dung Điều này giúp ngăn chặn việc truy cập vào các trang web không phù hợp.

Triển khai các hệ thống VPN site to site, Remote Access để hỗ trợ truy cập từ xa, trao đổi dữ liệu giữa các văn phòng chi nhánh

Xây dựng các dùng DMZ riêng biệt cho các máy Server của công ty (Web, Mail,…)

Ngoài ra còn có hệ thống đệm (Caching) giúp kết nối Web nhanh hơn

ISA Server 2006 Enterprise được thiết kế cho các mạng lớn, đáp ứng nhu cầu truy cập của người dùng cả trong và ngoài hệ thống Phiên bản Enterprise không chỉ kế thừa các tính năng của ISA Server 2006 mà còn cung cấp khả năng tùy chỉnh nâng cao.

SVTH: Âu Hồng Lĩnh 25 Trường Đại học Vinh lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý

2.10.4 Một số tính năng của ISA Server

Microsoft Internet Security and Acceleration Server (ISA Server) is a highly effective and stable internet sharing software developed by Microsoft It offers easy configuration, robust firewall protection, and numerous features tailored for compatibility with local area networks (LAN) The software enhances speed through intelligent caching, utilizing RAM (Random Access Memory) for faster information retrieval, and includes a Schedule Cache feature that automates the downloading of data from web servers for local access Notably, the 2006 version introduces enhanced Publishing and VPN capabilities compared to the 2004 version.

ISA 2006 có khả năng tự động tạo ra các Form khi người dùng truy cập vào trang OWA (Outlook Web Access), giúp ngăn chặn các truy cập trái phép vào trang web này Nó cũng chặn các kết nối không mã hóa đến Exchange Server, đồng thời cho phép người dùng Outlook kết nối an toàn với Exchange Server.

Nhiều Wizard cho phép quản trị viên xuất bản các máy chủ nội bộ ra Internet một cách an toàn, đồng thời hỗ trợ các sản phẩm mới như Exchange 2007, nâng cao khả năng quản lý.

+ Dễ dàng quản lý: Backup và Restore đơn giản

+ Cho phép ủy quyền quản trị cho các User/Group

+ Log và Report chi tiết cụ thể

+ Cấu hình một nơi, chạy ở mọi nơi (bản ISA Enterprise)

SVTH: Âu Hồng Lĩnh 26 Trường Đại học Vinh o Các tính năng khác:

+ Hỗ trợ nhiều CPU và RAM (bản Standard hỗ trợ đến 4CPU, 2GB RAM) + Hỗ trợ nhiều network

TRIỂN KHAI ISA SERVER TRONG HỆ THỐNG MẠNG

Sao lưu và phục hồi cấu hình ISA

Trước khi chỉnh sửa cấu hình của ISA Server, việc sao lưu cấu hình là rất quan trọng để phòng ngừa rủi ro có thể xảy ra.

ISA Server 2006 bao gồm tính năng mới và tăng cường cho backup và phục hồi

Tiến hành các bước sau để backup toàn bộ cấu hình Firewall:

+ Click phải vào firewall policy chọn Export →Next

+ Bạn có thể đặt password cho file backup, ví dụ là: 12345678→Next

+ Chọn ổ đĩa cần lưu file backup, click OK rồi click Next

Ví dụ: Chọn access rule Allow Internet chọn delete

+ Click phải vào firewall policy chọn Import→Next

+ Click browse…Chọn file cần restore→Next

+ Nhập password của file backup

Thiết lập các rule trong ISA 2006

Khi cài đặt ISA mà chưa cấu hình, nó sẽ chặn mọi truy cập từ mạng nội bộ ra internet và ngược lại Do đó, cần thiết lập các quy tắc truy cập để đáp ứng yêu cầu của công ty đồng thời đảm bảo an toàn cho dữ liệu.

3.2.1 Tạo rule mở các kết nối trong mạng nội bộ với Internet

Hệ thống mạng được bảo vệ bởi Firewall phân chia các mạng thành hai loại: mạng nội bộ (LAN) được bảo vệ, gọi là Internal, và mạng không được bảo vệ, tức Internet, được gọi là External Máy Firewall đóng vai trò là Local Host trong cấu trúc này.

Khi hoàn tất cài đặt phần mềm ISA, một Access Rule mặc định tên là Default Rule sẽ được tạo ra, cấm tất cả các truy cập đến và từ máy ISA Server, tức là “nội bất xuất, ngoại bất nhập” Do đó, việc tạo ra các Access Rule mới là cần thiết.

Access Rule là các quy tắc truy cập do người quản trị thiết lập, nhằm kiểm soát việc cho phép hoặc hạn chế một số ứng dụng hoặc giao thức trong mạng nội bộ truy cập ra ngoài qua ISA Để các máy trong mạng nội bộ có thể kết nối với Local Host và ngược lại, cần phải tạo một Access Rule, bao gồm các thành phần thiết yếu.

+ Access Rule Name: Tên rule

+ Rule Action: Hành động cho phép (Allow) hoặc cấm (Deny)

+ Protocols: Các giao thức được phép hoặc cấm

+ Access Rule Sources: Từ đâu

+ Access Rule Destinations: Đến đâu

+ User Sets: Áp dụng cho nhóm hoặc user nào

+ Schedules: Thời gian thi hành o Các bước tạo rule như sau:

+ Ta đặt tên cho Rule này là Internal VS Local Host

+ Tại Rule Action chọn Allow

+ Chọn tiếp All outbound traffic

+ Trong Access Rule Sources chọn thuộc tính là Internal

+ Tương tự trong Access Rule Destinations chọn thuộc tính là Internal và Local Host

+ Trong User Sets chọn All User

+ Màn hình sau khi hoàn tất

Dùng máy PC1 truy cập ra ngoài internet thành công

Truy cập ra đƣợc internet

Màn hình Rule Internal và Local Host cho phép tất cả các giao thức (mọi Port) giao tiếp giữa Internal và Local Host Quyền này được áp dụng cho tất cả người dùng trong mạng Internal.

3.2.2 Tạo rule cho Group Kinh Doanh bị cấm truy cập một số trang web

Nếu Group KD không thể truy cập vào trang google.com.vn và vietnamnet.vn, khi cố gắng truy cập hai trang này, họ sẽ bị chuyển hướng ngay lập tức đến một trang khác mà chúng ta chọn, ví dụ như trang dantri.com.vn với một thông báo cụ thể.

Ta sẽ tạo một Access Rule sao cho các User trong Group KD được phép truy cập Internet nhưng sẽ bị giới hạn về trang web

Các bước tiến hành như sau:

+ Ta đặt tên cho Rule này là Cam Group KD truy cập

In the Protocol window, we only enable two ports, Port 80 and Port 443, to access HTTP and HTTPS services, while keeping the Selected protocols option set to Add.

+ Lần lượt Add 2 giao thức HTTP, HTTPS trong Folder Web vào

+ Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal

Trong Access Rule Destinations, chúng ta không chọn thuộc tính External để hạn chế quyền truy cập của người dùng Điều này nhằm mục đích giới hạn quyền truy cập chỉ cho phép vào một số trang web cụ thể Do đó, chúng ta cần chọn Add để thiết lập các trang web được phép truy cập.

+ Trong cửa sổ Add Network Entities chọn New -> URL Set

+ Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Cam truy cap

+ Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào như sau

+ Trở lại cửa sổ Add Network Entities chọn URL Set -> Cam truy cap

Để đảm bảo Rule này chỉ ảnh hưởng đến Group KD, trước tiên hãy chọn All User trong User Sets và xóa nó đi Sau đó, nhấn Add để thêm Group mới.

+ Trong cửa sổ Add Users chọn New

+ Đặt tên cho Users Set này là Group KD

+ Trong cửa sổ Users nhấp Add -> Windows users and groups

To effectively target the Business Group on the DC Server, it is essential to select the Entire Directory option for accessing the Users Database on the DC Server.

+ Trong Select users or groups chọn Locations

+ Chọn Entire Directory -> aulinh.com

+ Tiếp tục Add Group kinhdoanh vào

+ Trở lại màn hình Add Users chọn Group KD

+ Màn hình sau khi hoàn tất

Với quy tắc Web Group KD, chúng ta hiểu rằng việc cấm các giao thức HTTP và HTTPS (Port 80, 443) chỉ cho phép lưu lượng truy cập từ mạng Internal đến danh sách được phép Quyền này được cấp cho người dùng trong nhóm Kinh Doanh của mạng Internal.

+ Click vào properties -> Tab Action ->Deny -> Redirect HTTP requests to this Web page đánh http://dantri.com.vn

Khi truy cập vào PC1 với tài khoản kd1, người dùng không thể vào được các trang vietnamnet.vn và google.com.vn, mà ngay lập tức bị chuyển hướng đến trang dantri.com.vn.

Group KD không truy cập đƣợc 3.2.3 Tạo rule cho Group User đƣợc phép truy cập một số trang web trong thời gian quy định

Tiếp theo, chúng ta sẽ thiết lập một Quy tắc Truy cập để cho phép các người dùng trong Nhóm Người dùng truy cập Internet, nhưng sẽ bị giới hạn về thời gian và chỉ được phép truy cập một số trang web nhất định.

Các bước tiến hành như sau:

+ Ta đặt tên cho Rule này là Web Group User

In the Protocol window, we only open three ports: Port 80, Port 443, and Port 21, to access HTTP, HTTPS, and FTP services, respectively Therefore, we keep the Selected protocols setting and choose Add.

+ Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào + Click Next

+ Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal

Trong phần Access Rule Destinations, chúng ta không chọn thuộc tính External nữa, vì điều này sẽ cho phép người dùng truy cập vào mọi trang web Thay vào đó, để giới hạn quyền truy cập, chúng ta chỉ cho phép truy cập một số trang web cụ thể bằng cách chọn Add.

+ Tong cửa sổ Add Network Entities chọn New -> URL Set

+ Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Allow Web

Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào

Định dạng
Số trang	55
Dung lượng	2,04 MB