Tài liệu Xây dựng hệ thống tường lửa cho doanh nghiệp với microsoft isa server.

TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH ĐỒ ÁN TỐT NGHIỆP: XÂY DỰNG HỆ THỐNG TƢỜNG LỬA CHO DOANH NGHIỆP VỚI MICROSOFT ISA SERVER GVHD: Thầy Dương Minh Trung. SVTH: - Trần Thế Cường. - Phan Đình Đảm. - Phạm Gia Nguyên Huy. Chuyên Ngành: Quản Trị Mạng Máy Tính. Lớp: 01CCHT02. Niên Khóa: 2008 – 2011. TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011 Trang 1 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH LỜI CẢM ƠN Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”. Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm Chúng em giải quyết khó khăn trong đồ án này. Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh. Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên để nội dung của Đồ án ngày càng hoàn thiện hơn. Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!. Trường CĐ Nghề CNTT iSpace – Khoa CNTT Sinh Viên Thực Hiện Đề Tài: Trần Thế Cường Phan Đình Đảm Phạm Gia Nguyên Huy Trang 2 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH NHẬN XÉT, KẾT LUẬN CỦA GIẢNG VIÊN HƢỚNG DẪN 1. NHẬN XÉT: ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... 2. KẾT LUẬN: ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... ............................................................................................................................................... Giảng Viên Hướng Dẫn: Trang 3 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH MỤC LỤC A- MỞ ĐẦU ................................................................................................................................ 7 I- Lời Nói Đầu: ....................................................................................................................... 7 II- Lý Do Chọn Đề Tài ............................................................................................................ 7 III- Mục Tiêu .......................................................................................................................... 7 IV- Tổng Quan Microsoft ISA Server ..................................................................................... 8 1. Giới Thiệu ....................................................................................................................... 8 2. Cơ Chế Client Tham Gia Vào ISA Server............................................................................. 9 3. Một Số Tính Năng Của ISA Server ....................................................................................10 4. Cách Thức Làm Việc Của ISA Server ................................................................................11 5. Cơ Chế Hoạt Động Của ISA Server ...................................................................................13 6. Chính Sách Bảo Mật Trong ISA Server ..............................................................................14 7. Các Mô Hình Triển Khai ISA Server...................................................................................15 8. ISA Server Bảo Mật Truy Cập Internet ..............................................................................18 B- NỘI DUNG ........................................................................................................................... 19 I- Mô Tả Thông Tin .............................................................................................................. 19 II- Yêu Cầu Đề Tài ............................................................................................................... 19 III- Phân Tích Đề Tài ........................................................................................................... 20 IV- THIẾT KẾ ........................................................................................................................ 22 1. Sơ Đồ Luận Lý Tổng Quát ..................................................................................................22 2. Sơ Đồ Luận Lý Chi Tiết ......................................................................................................23 C- TRIỂN KHAI ........................................................................................................................ 24 I- Hoạch Định Địa Chỉ IP, Computer Name ........................................................................ 24 1. Trụ Sở Chính – Quận 1 ......................................................................................................24 2. Chi Nhánh – Quận 5 ..........................................................................................................26 II- Xây Dựng Hệ Thống Mạng ............................................................................................. 27 1. Triển khai Domain Controller ..............................................................................................27 2. Triển Khai ISA Server ........................................................................................................28 3. Triển Khai Web Server .......................................................................................................33 4. Triển Khai Mail Server ........................................................................................................34 5. Triển Khai Web-mail Sử Dụng Port 80 .................................................................................36 Trang 4 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 6. Triển Khai Wildcard Certificate ............................................................................................39 7. Triển Khai FTP Server ........................................................................................................57 8. Triển Khai File Server.........................................................................................................60 III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server ................................................................. 68 1. Triển Khai Network Loab Balancing .....................................................................................68 2. Access Rule ......................................................................................................................74 3. Publishing Server Ra Internet .............................................................................................89 4. Triển khai VPN ISA .......................................................................................................... 101 5. Triển Khai Phát Hiện Xâm Nhập Với IDS ............................................................................ 114 6. Triển khai Antivirus và Antisyware .................................................................................... 119 7. Giám sát hoạt động hệ thống mạng .................................................................................. 122 D- HƢỚNG MỞ RỘNG ........................................................................................................ 133 I. Đánh Giá Đề Tài.............................................................................................................. 133 II. Định Hƣớng Hệ Thống Trong Tƣơng Lai ...................................................................... 133 Trang 5 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH TÀI LIỆU THAM KHẢO [1] Tô Thanh Hải, Phương Lan – Triển khai Firewall với Microsoft ISA Server 2006 (Quý III/ 2010), Nhà xuất bản Lao động Xã hội. [2] Giáo trình Triển khai An toàn mạng – Khoa CNTT – Trường CĐ Nghề CNTT iSpace. [3] Diễn đàn Nhất nghệ: http://nhatnghe.com/forum/ [4] MS Open Lab: http://msopenlab.com/ [5] Diễn đàn Kỹ thuật viên: http://www.kythuatvien.com/forum/ [6] Diễn đàn CNTT: http://diendancntt.vn/ Trang 6 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH A- MỞ ĐẦU I- Lời Nói Đầu: - Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự phát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông tin. - Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực. Chúng ta không thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với mục đích tư lợi hay chứng tỏ bản thân mình. Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai trò bảo mật hệ thống mạng là vô cùng quan trọng. II- Lý Do Chọn Đề Tài - Nhóm chúng tôi đã quyết định chọn đề tài: “Xây dựng hệ thống tường lửa cho Doanh nghiệp với Microsoft ISA Server” vì đề tài rất thực tế, giúp chúng tôi có thêm kinh nghiệm và ứng dụng thực tiễn sau khi ra trường. III- Mục Tiêu - Ứng dụng Tường lửa ISA Server quản lý hệ thống Mạng Doang nghiệp với mục tiêu: 1. Đảm bảo hệ thống tường lửa hoạt động ổn định. 2. Bảo mật và An toàn hệ thống mạng. 3. Giám sát và quản lý hệ thống mạng hiệu quả. Trang 7 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH IV- Tổng Quan Microsoft ISA Server 1. Giới Thiệu - Microsoft Internet Security and Acceleration (ISA) là phần mềm Share Internet của tập đoàn Microsoft. - Đây là một phần mềm thiết lập như một tường lửa (Firewall) và cho phép mạng nội bộ truy cập Internet linh hoạt nhờ chế độ Cache thông minh. - ISA Server 2006 có hai phiên bản Standard và Enterprise, phục vụ cho những môi trường khác nhau. ISA Server 2006 Standard: - ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng firewall để: - Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty. - Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp (ví dụ như giờ làm việc). - Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội sở. - Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừ sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống. - Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ. - Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). ISA Server 2006 Enterprise: - ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). o Tóm lại, ISA Server có các chức năng chính:  Chia sẻ kết nối internet – chia sẻ băng thông của đường truyền internet. Trang 8 TRƯỜNG CĐ NGHỀ CNTT iSPACE  QUẢN TRỊ MẠNG MÁY TÍNH Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội bộ hoặc ngược lại.  Tăng tốc truy cập Web bằng giải pháp Cache trên Server.  Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server.  ISA Server 2006 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân bằng tải giữa hai hay nhiều đường truyền internet. 2. Cơ Chế Client Tham Gia Vào ISA Server - Client có thể tham gia vào ISA Server với các cơ chế sau đây:  SecureNAT: - SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP, hoặc một máy tính đang sử dụng Linux. Clients sử dụng SecureNAT không thể tận dụng hết được tính năng của ISA Server. - Để sử dụng SecureNAT, các máy Clients chỉ cần cấu hình Default Gateway trỏ về địa chỉ IP của ISA Server. Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA Server. - Hoặc sử dụng DHCP Server để cấu hình Default Gateway cho Clients trỏ về địa chỉ ISA Server. Trang 9 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Sử dụng DHCP Server cấu hình Gateway cho các máy Clients trong LAN. - Cơ chế SecureNAT không thể kiểm soát và chứng thực User, password, trang web, ... trong hệ thống mạng.  Web Proxy Clients: - ISA Server hoạt động vơi tính năng Proxy rất tốt. Proxy Server cung cấp cho Clients tính năng Cache cho Web. Web Caching trên ISA Server sử dụng rất tốt. ISA Server Cache nội dung Web trên RAM nên tốc độ cải thiện đáng kể. Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể sử dụng ISA Server làm Proxy Server. Các Browser như IE, Firefox, Avant Browser có thể dùng ISA Server 2006 làm Proxy Server. Các Proxy Clients không cần sử dụng Default Gateway cũng có thể truy cập HTTP và FTP bình thường. - Tính năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP và FTP. Web Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng tay.  Firewall Clients: - Loại Clients này cần cài đặt một chương trình trên máy Clients. Clients của ISA Server chỉ có thể cài trên hệ điều hành Windows nên loại Clients này chỉ đặc biệt dùng cho Windows. - Clients của ISA Server sẽ tạo kết nối đến ISA Server bằng một Tunnel riêng có mã hóa gọi là WinSOCKS, tất cả các traffic sẽ được chuyển đến ISA Server và ISA Server sẽ đóng vai trò Proxy cho tất cả các loại traffic. Clients có cài đặt chương trình Firewall Clients có thể tận dụng tính năng Single Sign On với User Account trên Active Directory. Cấu hình Firwall Clients cần cài đặt thêm một chương trình trên Clients. Chương trình này được lấy từ một thư mục Share trên ISA Server. ISA Server tự tạo Rule cho phép Clients trong Internal được truy cập vào ISA Server lấy tài nguyên Share này. 3. Một Số Tính Năng Của ISA Server - ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức. Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (security polices) để phân phát đến „user‟ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức Trang 10 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH cũng cung cấp cho các user ở xa (remote user) một số cách thức truy cập đến các máy chủ trong mạng tổ chức. - Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được bảo mật. 4. Cách Thức Làm Việc Của ISA Server - ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình 1 cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server. Hình 1: Mô hình ISA đơn giản - Mạng bên trong (Interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. Internal network coi như đã được bảo mật một cách tương đối, tức là thông thường những User đã được chứng thực mới có quyền truy cập vật lý đến Interal network. Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho phép trên Internal Network. - Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như Virus và Worm đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo vệ vành đai mạng, nhưng bạn đừng ngh , sau khi triển khai ISA Server thì việc của bạn đã xong. - Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các traffic của mạng trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (Network packet) gửi qua Internet không được an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy Packet Sniffer trên một phân đoạn mạng Internet. Packet Sniffer là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các traffic trên một mạng, điều kiện để bắt được traffic mạng là Packet Sniffer phải kết nối được đến phân đoạn mạng giữa hai Router. Trang 11 TRƯỜNG CĐ NGHỀ CNTT iSPACE - QUẢN TRỊ MẠNG MÁY TÍNH Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có ngh a là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng „deface‟ toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả „user‟ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh. H nh đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa Internal network và Internet được định ngh a một cách dễ dàng. Trong thực tế, việc định ngh a ranh giới giữa Interal network của tổ chức với phần còn lại của thế giới là không hề đơn giản. H nh cho thấy một sự phức tạp hơn, nhưng thực tế hơn. Hình 2: Mô hình ISA trên thực tế - Vành đai mạng đã trở nên khó định ngh a hơn theo như kịch bản trong H nh . Kịch bản này cũng khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong H nh , ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau: Trang 12 TRƯỜNG CĐ NGHỀ CNTT iSPACE     - QUẢN TRỊ MẠNG MÁY TÍNH Cho phép truy cập nặc danh đến Website dùng chung (Public website), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website. Chứng thực User từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (Private website). Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong Interal network. Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến Internal File Server. p đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới „user‟, và lọc từng „request‟ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép. 5. Cơ Chế Hoạt Động Của ISA Server - ISA Server hoạt động như một Tường lửa (Firewall). Firewall là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những „rule‟ lọc „traffic‟, trong đó định ngh a những loại „network traffic‟ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng. - Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal network‟ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một „internal Web Server‟ cần cho „internet user‟ có thể tới được. Firewall có thể được cấu hình để cho phép các „traffic‟ từ Internet chỉ được truy cập đến Web Server đó. - Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi triển khai ISA Server, nó sẽ khóa tất cả „traffic‟ giữa các mạng mà nó làm Server, bao gồm „internal network‟, vùng DMZ và Internet. ISA Server 2006 dùng 3 loại quy tắc lọc („filtering rule‟) để ngăn chặn hoặc cho phép „network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering.  Packet Filtering – Lọc gói tin - Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới firewall. Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và kiểm tra thông tin (địa chỉ nguồn và đích, „port‟ nguồn và đích). ISA Server so sánh thông tin này dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để đến đích. Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt và không được đi qua firewall.  Stateful Filtering – Lọc trạng thái - - Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với „network packet‟ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các „header‟ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một „packet‟ bên trong nội dung của những „packet‟ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên („session‟) TCP. Ví dụ: một „user‟ trong „internal network‟ có thể gửi một „request‟ đến một Web Server ngoài Internet. Web Server đáp lại „request‟ đó. Khi „packet‟ trả về đi tới firewall, firewall kiểm duyệt Trang 13 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH thông tin „TCP session‟ (là một phần của „packet‟). Firewall sẽ xác định rằng „packet‟ thuộc về một „session‟ đang hoạt động mà đã được khởi tạo bởi một „user‟ trong „internal network‟, vì thế „packet‟ được chuyển đến máy tính của „user‟ đó. Nếu một „user‟ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng „packet‟ đó không thuộc về một „session‟ hiện hành đang hoạt động thì „packet‟ sẽ đị đánh rớt.  Application-Layer Filtering – Lọc lớp ứng dụng - ISA Server cũng dùng bộ lọc „application-layer‟ để ra quyết định một „packet‟ có được cho phép hay là không. „Application-layer filtering‟ kiểm tra nội dung thực tế của „packet‟ để quyết định liêu „packet‟ có thể được đi qua firewall hay không. „Application filter‟ sẽ mở toàn bộ „packet‟ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua. - Ví dụ: một „user‟ trên Internet có thể yêu cầu một trang từ „internal Web Server‟ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi „packet‟ đi tới firewall, „application filter‟ xem xét kỹ „packet‟ và phát hiện lệnh “GET”. „Application filter‟ kiểm tra chính sách của nó để quyết định. - Nếu một „user‟ gửi một „packet‟ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra „packet‟. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và „packet‟ bị đánh rớt. - „HTTP application filter‟ được cung cấp cùng với ISA Server 2004/2006 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: „virus signature‟, chiều dài của „Uniform Resource Location‟ (URL), nội dung „page header‟ và phần mở rộng của „file‟. Ngoài „HTTP filter‟, ISA Server còn có những „application filter‟ khác dành cho việc bảo mật những giao thức và ứng dụng khác. - Các „firewall‟ mềm hiện nay xử lý lọc „packet‟ và „stateful‟. Tuy nhiên, nhiều „firewall‟ không có khả năng thực hiện việc lọc lớp ứng dụng („application-layer‟). Và „application-layer filtering‟ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng. - Ví dụ: giả định rằng tất cả các tổ chức đều cho phép „HTTP traffic (port 80)‟ từ „internal network‟ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức „HTTP‟. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ „file‟ như KazaA. „HTTP traffic‟ cũng có thể chứa „virus‟ và mã độc („malicious code‟). Cách ngăn chặn những „network traffic‟ không mong muốn, trong khi vẫn cho phép sử dụng „HTTP‟ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một „firewall‟ có khả năng lọc lớp ứng dụng. „Applicationlayer firewall‟ có thể kiểm tra nội dung của các „packet‟ và ngăn „traffic‟ trên phương thức „HTTP‟ (để ngăn ứng dụng) hoặc „signature‟ (để ngăn „virus‟, mã độc hại, hoặc ứng dụng). ISA Server chính xác là một loại „application-layer firewall‟ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng. 6. Chính Sách Bảo Mật Trong ISA Server - ISA Server Firewall có 3 dạng chính sách bảo mật là: System policy, Access rule và Publishing rule.  System policy: Thường ẩn (hiden), được dùng cho việc tương tác giữa firewall với các Networks khác nhằm hổ trợ hệ thống hoạt động linh hoạt. System policy được xử lý trước khi access rule Trang 14 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP, RDP, Ping...  Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server. Các Networks này được ISA Server kết nối với nhau. Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ chế sau đây: ROUTE hoặc NAT. Routing không thay đổi Source IP khi đi qua ISA Server, gói tin được giữ nguyên Source và Destination IP và được Forward đến Destination. NAT thay đổi địa chỉ Source IP trong gói tin và Forward đến Destination. Ở Destination chúng ta chỉ thấy gói tin đến từ External Interface của ISA Server mà không biết được địa chỉ IP thật của gói tin.  Access Rule: quản lý Traffic đi qua ISA Server do người quản trị định ngh a chính sách.  Publishing Rule: Công khai tài nguyên cục bộ được chỉ định ra ngoài Internet cho người sử dụng. ISA Server cung cấp 3 loại „publishing rule‟ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule. 7. Các Mô Hình Triển Khai ISA Server - ISA Server 2006 có thể chạy với nhiều mô hình. Nếu chạy với tính năng Firewall thì ISA Server sẽ có 2 Interface hoặc nhiều Interface. Một số mô hình có thể kể đến khi sử dụng ISA Server 2006 là Bastion Host, Backend Firewall, và Proxy Server only (chỉ sử dụng ISA Server 2006 làm Proxy Server, không tận dụng tính năng Firewall của sản phẩm này.  Mô hình Bastion-Host: - Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều được). - Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho User trong mạng LAN. Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server, DNS Server, WINS Server và Web Server, Mail Server. Những Server này có thể chỉ sử dụng trong mạng LAN, hoặc được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server, đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).Trong hệ thống LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho User trong công ty và một là hệ thống DMZ chứa các Server được truy cập trực tiếp từ Internet User) Trang 15 TRƯỜNG CĐ NGHỀ CNTT iSPACE - QUẢN TRỊ MẠNG MÁY TÍNH Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router ADSL. Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó không cần cấu hình Gateway t nh cho ISA Server.  Mô hình Back-End Firewall - Mô hình thứ 2 này cũng thường được sử dụng. ISA Server nhẹ gánh hơn các mô hình khác là bảo vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập, các Server trong vùng mạng DMZ bị tấn công và từ đó Hackers có thể tấn công tiếp vào trong mạng LAN. - ISA Server đóng vai trò Back‐End Server cho một Firewall khác. Khu vực giữa Frontend và Backend Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users - ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi, Microsoft khuyến cáo nên dùng ISA Server (dạng Application) với vai trò BackEnd là tốt nhất. Appliance có Performance tốt hơn và bảo mật hơn (vì nhẹ phần Hệ điều hành). - Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ thống LAN có DMZ và Gateway của ISA Server sẽ là Internal Interface của FrontEnd Firewall. Cấu hình trên Firewall và trên Router nói chung, nên sử dụng Routing Table để cấu hình cho các thiết bị này. Với ISA Server, Routing Table được cấu hình bằng dịch vụ Routing and Remote Access hoặc ROUTE ADD Command. Trang 16 TRƯỜNG CĐ NGHỀ CNTT iSPACE - QUẢN TRỊ MẠNG MÁY TÍNH Mô hình Backend với ISA Server cụ thể hơn khi gán Network ID cho các mạng có liên quan.Trong mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28 Cấu hình IP rất quan trọng,chú ý không được lẫn lộn chỗ này, nếu sai, toàn bộ mô hình sẽ hỏng.Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server hoặc một thiết bị khác với chứ năng Firewall External Interface – cấu hình mang Public IP với gateway cấu hình về ISP. Trên Server này có thể không cần cấu hình Routing Table với Destination là Network ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện quay VPN 2 lần để vào đến ISA Server.  Mô hinh Three-homed: - ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ mạng DMZ chứa các Server được truy cập trực tiếp từ Internet User. - Mô hình Three‐homed với ISA Server làm Firewall . DMZ và LAN đều kết nối vào ISA Server, mỗi mạng kết nối với ISA Server bằng một Interface riêng với Network ID khác nhau. ISA Server đóng vai trò Router và Firewall cho các mạng này. - ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal và DMZ kết nối với DMZ Network. Mô hình này giống với Bastion Host, chỉ có thêm một Interface DMZ để tách mạng DMZ ra khỏi mạng LAN. Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngoài, DMZ thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao. Microsoft xem DMZ Network như Semi‐Trusted Network. Trang 17 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 8. ISA Server Bảo Mật Truy Cập Internet - - - - Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có ngh a là không tổ chức nào tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu. ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một „proxy server‟ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet. Điều này có ngh a là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần „proxy server‟ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ). Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát. ISA Server cũng hoạt động như một „caching server‟. Trang 18 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH B- NỘI DUNG I- Mô Tả Thông Tin - Công ty cổ phần Chứng khoán Phú Gia hoạt động trong l nh vực Chứng khoán có tên miền phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua Internet cho phép khách hàng có thể đặt lệnh tại bất kỳ thời điểm nào. Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tài khoản giao dịch, bản tin chứng khoán, bản phân tích chứng khoán... Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp .HCM. Hạ tầng mạng Tổng công ty gồm có: Các máy chủ chuyên dụng: File Server chứa toàn bộ dữ liệu của công ty. FTP Server chia sẻ dữ liệu cho nhân viên. Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ. Web Server chứa website nội bộ của công ty. Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là phugiasc.vn. Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain. Các phòng ban: Phòng Giám đốc : 5 PC và 3 Laptop. Phòng Kinh doanh: 50 PC. Phòng Kế toán: 20 PC. Phòng Nhân sự: 20 PC. Phòng Khách hàng: dành cho khách hàng sử dụng Laptop truy cập mạng không dây của công ty. Hạ tầng mạng tại chi nhánh Q.5 gồm có: Phòng Tư vấn : 10 PC. Phòng Kinh Doanh : 20 PC. Phòng Kế Toán : 10 PC. Phòng Quản lý : 2 PC, 4 Laptop. II- Yêu Cầu Đề Tài Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo vệ trong thời gian làm việc và có khả năng phát hiện cuộc xâm nhập hệ thống mạng nếu có. p dụng chính sách bảo mật dành cho Nhân viên (NV): Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh) nhưng không được phép truy cập vào các trang web nội dụng xấu và có tính chất giải trí, chat, game .... Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng được các dịch vụ mạng trong nội bộ. Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 → 13h30, nhưng không được chơi game online, tải nhạc, gửi file, xem phim trên Internet. p dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng Khách hàng: Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có thể truy cập Internet. Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng. Trang 19 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng thông phù hợp theo từng phòng ban, vị trí công tác của nhân viên để để đảm bảo tính ổn định của đường truyền Internet trong công ty. Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải về máy tính trong hệ thống mạng. Các file tải trên mạng về máy tính của NV phải được kiểm tra virus trước khi mở. Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết nối VPN (Virtual Private Network). Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho Tổng công ty một cách an toàn. Publish hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo mật. Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường truyền Internet ở bất kỳ địa điểm nào. Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một cách an toàn khi đi công tác bên ngoài. Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì. Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi tuần. III- Phân Tích Đề Tài - Qua quá trình khảo sát, Tổng công ty Cổ phần Chứng khoán (CPCK) Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp. HCM, mọi hoạt động của chi nhánh đều được gửi dữ liệu về trụ sở chính. TRỤ SỞ CHÍNH CHI NHÁNH DATA - Công ty CPCK Phú Gia hoạt động chính trong l nh vực chứng khoán và khách hàng giao dịch chủ yếu qua mạng. Dịch vụ web, mail của công ty có thể sử dụng được trong công ty và ngoài Internet. Trang 20