Tải bản đầy đủ (.doc) (30 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

TÌM HIỂU VỀ MICROSOFT ISA SERVER 2006

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (354.25 KB, 30 trang )

TRƯỜNG ĐẠI HỌC PHƯƠNG ĐÔNG
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN KÌ 8
CHUYÊN NGHÀNH QUẢN TRỊ MẠNG
ĐỀ TÀI: TÌM HIỂU VỀ MICROSOFT ISA SERVER 2006

Giáo viên hướng dẫn: Th.s Lê Hồng Chung
Sinh viên thực hiện: Trần Tuấn Dũng
Mã số sinh viên: 508100026
Lớp: 508A - QTM

Hà Nội – 8/2011
MỤC LỤC
I – Tổng quan về Microsoft ISA Server 5
2. Lịch sử phát triển 6
3. Tính năng chính của ISA server 2006 15
2
LỜI NÓI ĐẦU
Trong thời đại ngày nay Internet đã không ngừng phát triển và vươn xa, đáp
ứng được các nhu cầu của người sử dụng. Sự phát triển của CNTT đã tác
động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội
của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ứng
dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều
quốc gia. Xét theo bình diện là một doanh nghiệp thì hiệu quả là điều bắt
buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo
mật hệ thống, việc triển khai một hệ thống thông tin và xây dựng được cơ
chế bảo vệ chặt chẽ, an toàn là góp phần duy trì tính bền vững cho hệ thống
thông tin của doanh nghiệp đó. Hacker, Attacker, Virus, Worm, Phishing,
những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại
hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks,


Internet, ). Và chính vì vậy, tất cả những hệ thống này cần trang bị những
công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối
đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức
sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp
theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế
lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer
cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống mạng. Và
Microsoft ISA Server 2006 là một Enterprise Firewall như thế
Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức
năng của ISA là gì? Tác dụng của ISA Server trong môi trường mạng… Đồ
3
án này sẽ giải đáp những câu hỏi đó và sẽ cung cấp một cái nhìn chi tiết, rõ
nét hơn về ISA server.
4
I – Tổng quan về Microsoft ISA Server
1. Khái quát
Microsoft Internet Security and Acceleration Server (ISA Server) là phần
mềm chia sẻ Internet của hãng Microsoft. Đây là một trong những phần
mềm bức tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ
vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt.
Internet Security and Acceleration (ISA) Server đưa ra một giải pháp kết nối
chứa cả firewall và cache. ISA Server bảo vệ mạng, cho phép cài đặt một
chiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn của những
rule, chỉ ra những site, giao thức, và nội dung có thể được truyền qua máy
tính ISA Server. ISA Server giám sát các yêu cầu và trả lời giữa các máy
tính trên Internet và các máy khách nội bộ, điều khiển ai có thể truy nhập
máy tính nào trên mạng phối hợp. ISA Server cũng điều khiển máy tính nào
trên Internet có thể được truy nhập bởi các client nội bộ.
ISA Server có thể được triển khai như là một hệ thống firewall mong muốn,
hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ.

ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet. Đơn
giản mà nói, máy tính ISA Server có hai card giao diện mạng, một kết nối
tới mạng cục bộ và một kết nối tới Internet.
Chúng ta có thể sử dụng ISA Server để cấu hình firewall, cấu hình các chiến
lược quản lí và tạo các rule để cài đặt các đường hướng nghiệp vụ. Bằng
cách thiết lập các chính sách truy nhập an toàn, chúng ta sẽ chống được các
truy nhập không được phép và nội dung có hại xâm nhập từ mạng. Ngoài ra
cũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng,
đích, kiểu nội dung và lịch trình.
- Chiến lược truy nhập ra ngoài: cấu hình site và các rule, điều khiển các
giao thức mà các máy khách truy nhập Internet. Các rule về giao thức cho
biết giao thức nào là có thể truy nhập chỉ cho vào hoặc chỉ cho ra hoặc cả
hai.
- Chiến lược xâm nhập: cơ chế dò tìm xâm nhập được tích hợp có thể thông
báo khi một tấn công nào đó đã thâm nhập vào mạng. Ví dụ, có thể cấu hình
ISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng.
- Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộ
lọc nhận thức dữ liệu. ISA Server dùng bộ lọc để xác định xem các gói tin là
có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không.
- Xác thực: ISA Server hỗ trợ các phương thức xác thực như xác thực
Windows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc.
2. Lịch sử phát triển
Trước đây khi khái niệm về ISA Server chưa được biết đến thì người ta
đã nói đến ISA Server như là tên của một máy chủ proxy. Các nhà khoa học
đã nghiên cứu và nâng cấp dần máy chủ proxy server và phát triển dưới tên
ISA Server như ngày nay. Dưới đây là các phiên bản khác nhau của máy chủ
ISA
- Proxy server 1.0: Đây là phiên bản đầu tiên của máy chủ Microsoft ISA,
phát triển dưới code-name là "Catapult”, ra mắt vào tháng 1 năm 1997 và
được thiết kế để chạy trên Windows NT 4.0. Microsoft Proxy Server v1.0 là

một sản phẩm cơ bản được thiết kế để cung cấp truy cập Internet cho người
dùng trong môi trường mạng LAN thông qua giao thức TCP/IP. Đồng thời
nó cũng hỗ trợ giao thức IPX/SPX (chủ yếu được sử dụng trong môi trường
Novell NetWare), thông qua một kết nối WinSock translation/tunnelling cho
phép các ứng dụng TCP/IP, chẳng hạn như các trình duyệt web. Mặc dù
cũng được tích hợp vào Windows NT 4.0, Microsoft Proxy Server v1.0 chỉ
có vài chức năng cơ bản, và chỉ cho ra một phiên bản duy nhất. Các bản mở
rộng hỗ trợ cho Microsoft Proxy Server v1.0 kết thúc vào ngày 31 tháng 3
năm 2002.
- Proxy server 2.0: Đây là ấn bản thứ hai của máy chủ ISA đưa ra bởi
Microsoft trong tháng 12 năm 1997 với nhiều chức năng hữu ích và đáng
được chờ đợi. Một ứng dụng tuyệt vời của công cụ này là sử dụng cơ sở dữ
liệu tài khoản Windows NT. Vì vậy, công việc quản trị người dùng được
đơn giản hóa đáng kể. Nhiều giao thức được hỗ trợ, ví dụ như dịch vụ bộ
nhớ đệm (caching services), tính năng lọc gói tin (packet filtering), đề cao
tính bảo mật và nâng cao hiệu suất cũng đã được kết hợp. Mặc dù đây là một
phiên bản đã được cải thiện hơn so với phiên bản trước nhưng vẫn không
đáp ứng được nhu cầu ngày càng tăng cao của các công ty cũng như tính an
toàn và bảo mật. Microsoft Proxy Server v2.0 đã được ngừng nghiên cứu
vào ngày 31 tháng 12 năm 2004
- ISA Server 2000: Ngày 18 tháng 3 năm 2001, Microsoft tung ra phiên bản
ISA Server 2000. Đây là phiên bản thứ ba của máy chủ ISA trên thị trường
với một số tính năng tiên tiến. ISA 2000 đã giới thiệu các phiên bản
Standard và Enterprise, với tính năng cao cấp high-availability clustering chỉ
có trong phiên bản Enterprise mà không có trong phiên bản Standard. ISA
2000 yêu cầu làm việc trên Window Server 2000 (bất kỳ phiên bản nào), và
cũng đồng thời chạy được trên Window Server 2003. Theo chính sách vòng
đời hỗ trợ của Microsoft, ISA Server 2000 là sản phẩm ISA Server đầu tiên
sử dụng vòng đời hỗ trợ 10 năm với 5 năm hỗ trợ chính thức và 5 năm hỗ trợ
mở rộng. ISA Server 2000 được ngừng nghiên cứu và phát triển vào ngày 12

tháng 4 năm 2011
- ISA server 2004: Ngày 08 tháng 9 năm 2004, ISA Server 2004 được ra mắt
người dùng. ISA 2004 được giới thiệu với tính năng hỗ trợ kết nối đa mạng,
tích hợp mạng riêng ảo (VPN), mở rộng nhóm người sử dụng và các mô
hình xác thực, hỗ trợ tường lửa lớp ứng dụng, tích hợp Active Directory,
Secure NAT, Secure Server Publishing và phát triển thêm một vài tính năng
về quản lý máy chủ. Microsoft ISA Server 2004 có hai phiên bản Standard
và Enterprise. ISA Server 2004 phiên bản Enterprise bao gồm các tính năng
hỗ trợ mảng, tích hợp dịch vụ cân bằng tải (Network Load Balancing) và sử
dụng giao thức CARP (Cache Array Routing Protocol). Một trong những
khả năng cốt lõi của ISA Server 2004 là bảo vệ các publish Web Server.
Phiên bản Enterprise bao gồm các tính năng cho phép thiết lập các chính
sách trên một mảng, không phải trên máy chủ ISA, và cân bằng tải trên
nhiều máy chủ ISA.
- ISA Server 2006: được ra mắt người dùng vào ngày 17 tháng 10 năm 2006.
ISA 2006 được thiết kế để chạy trên Window server 2003 và Window server
2003 nền tảng R2. ISA 2006 kiểm tra trạng thái các gói tin và là tường lửa
kiểm tra lớp ứng dụng, đảm nhận vai trò của một VPN Server và Web
caching server(bao gồm forward caching và reverse caching). ISA 2006 giới
thiệu một loạt các cải tiến so với các phiên bản trước đó, bao gồm việc hỗ
trợ để xác thực thông qua Secure LDAP, xác thực thông qua Active
Directory, hỗ trợ tích hợp cho Exchange 2007, hỗ trợ cho việc chia sẻ đa
điểm, single sign-on, Cross-Array Link Translation, Web Publishing Load
Balancing. Thêm vào đó còn có nhiều cải tiến khác như thiết lập kết nối
VPN tới văn phòng chi nhánh, nâng cao việc quản lý giấy chứng nhận
(certificate) và Link translation.
- ISA Server Appliance Edition: là một phần mềm được thiết kế để cài đặt
sẵn vào một phần cứng OEM được bán bởi các nhà sản xuất phần cứng như
là một stand alone firewall
- Microsoft Forefront TMG MBE (Microsoft Forefront Threat Management

Gateway Medium Business Edition): là phiên bản tiếp theo của ISA Server
và được tích hợp với Windows Essential Business Server. Phiên bản này chỉ
chạy trên các phiên bản 64-bit của Windows Server 2008 và không hỗ trợ
một vài tính năng trong phiên bản Enterpise chẳng hạn như hỗ trợ mảng
hoặc các chính sách Enterprise.
- Microsoft Forefront TMG: Ngày 17 tháng 11 năm 2009, phiên bản kế tiếp
của tường lửa ISA được chính thức ra mắt người dùng. Không chỉ có các
tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới -
Forefront Threat Management Gateway. Đây là sản phẩm cung cấp tính
năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA),
Forefront Client Security, Forefront Security for Exchange Server, Forefront
Security for SharePoint. Nó được xây dựng trên nền tảng của ISA Server
2006 và cung cấp các tính năng bảo vệ web nâng cao, hỗ trợ phiên bản 64-
bit, hỗ trợ cho Windows Server 2008 và Windows Server 2008 R2, ngăn
chặn phần mềm độc hại và bộ nhớ đệm BITS. Bản Service Pack 1 cho sản
phẩm này đã được phát hành vào ngày 23 tháng 6 năm 2010. Nó bao gồm
một số tính năng mới để hỗ trợ dòng sản phẩm Windows Server 2008 R2 và
Microsoft SharePoint 2010.
3. Một số ứng dụng trong thực tế của Microsoft ISA Server
- ISA Server có thể được triển khai như là một hệ thống firewall, hoạt động
như một gateway an toàn cho các máy nội bộ khi kết nối với Internet
- Đảm nhiệm vai trò là Publishing Server hay FTP Server
- Thay thế vai trò của một VPN Server
- ISA Server cũng hoạt động như một Web Proxy Server và Caching-only
Server.
II – Tìm hiểu về Microsoft ISA Server 2006
1. Giới thiệu về ISA Server 2006
Microsoft Internet Security and Acceleration Sever 2006 (ISA Server
2006) là phần mềm chia sẻ Internet của hãng phần mềm nổi tiếng Microsoft.
Có thể nói đây là một phần mềm chia sẻ Internet khá hiệu quả, ổn định, dễ

cấu hình, firewall tốt, nhiều tính năng cho phép cấu hình sao cho tương thích
với mạng LAN của các công ty hay doanh nghiệp. Tốc độ nhanh nhờ chế độ
cache thông minh, với tính năng lưu Cache vào RAM, giúp bạn truy xuất
thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động
download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần
lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất
nhiều các tính năng khác nữa.
Có hai phiên bản ISA 2006 bao gồm:
- Standard Edition
- Enterprise Edition
a, Standard Edition
ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các
công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng
firewall để:
- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.
- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung
không thích hợp, và vào những khoảng thời gian không thích hợp ( ví dụ
như giờ làm việc )
- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay
Remote Access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của
công ty, hoặc trao đổi dữ liệu giữa văn phòng và các chi nhánh.
- Đối với các công ty có những hệ thống máy chủ public như Mail Server,
Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA
Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừa sự tương tác
trực tiếp giữa người dùng bên trong và bên ngoài hệ thống
- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 phiên bản
Standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc
độ kết nối internet của mạng nội bộ.
Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security &

Aceleration (bảo mật và tăng tốc Internet).
b, Enterprise Edition
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,
đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ
thống. Ngoài những tính năng đã có trên ISA Server 2006 bản Standard, bản
Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử
dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng
Network Load Balancing (cân bằng tải mạng).
c, So sánh giữa phiên bản Standard Edition và Enterprise Edition
Về cơ bản thì phiên bản Standard và phiên bản Enterprise có các chức
năng tương đương nhau. Bản Enterprise có hỗ trợ thêm 3 tính năng không có
trong bản Standard bao gồm:
- Centralized storage of configuration data ( quản lí tập trung các thông tin
cấu hình ): Trong khi bản Standard lưu thông tin về cấu hình trong registry
trên chính máy cài ISA thì bản Enterprise lưu thông tin cấu hình của nó trên
một thư mục (directory) riêng biệt. Khi ta cài đặt bản Enterprise phải chỉ ra
một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage
server). Các storage server này sử dụng ADAM (Active Directory
Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức.
ADAM có thể cùng lúc cài đặt trên nhiều máy, nên có thể có nhiều storage
server (Có thể cài ADAM lên máy khác không có ISA hay cài lên máy ISA
cũng được). Dữ liệu trên các storage server này sẽ tự nhân bản (replicate)
cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ như
ta muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi
vào một trong những storage server mà làm. Còn với bản Standard, bạn phải
đến từng máy để cấu hình.
- Support for Cache Array Routing Protocol ( hỗ trợ giao thức CARP ):
Microsoft ISA Server 2006 phiên bản Enterprise cho phép ta chia sẻ việc
cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy gồm
nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn bằng cách

kết nối cache của tất cả các ISA lại với nhau. Để thực hiện tính năng này,
ISA sử dụng giao thức CARP. Cơ chế như sau : khi một máy client truy cập
một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy các ISA cache
lại trang đó. Khi một máy client khác truy cập một trang web khác, CARP sẽ
chỉ định tiếp một máy ISA trong dãy các ISA cache lại trang web đó. Quá
trình tiếp diễn cứ luân phiên như thế. Khi một client bất kì truy cập một
trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache
trang đó để trả về cho máy client. CARP giúp tối ưu hóa khả năng cache
đồng thời tăng tốc độ truy cập Internet cho các Client.
- Integration of Network Load Balancing – NLB ( tích hợp cân bằng tải trên
ISA ): NLB là một thành phần mạng có sẵn trong Windows Server 2000 và
Windows Server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa
(redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (ví dụ cùng là
máy ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là
một hình thức backup, vì nếu có một máy bị down (ngừng hoạt động) thì sẽ
có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp
ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống mạng. Với
bản Standard, ta phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB
được tích hợp vào ISA nên có thể quản lý NLB từ ISA. Ta có thể dùng ISA
Server Management Console để cấu hình, quản lý hay giám sát NLB.
2. Nguyên tắc hoạt động của ISA Server 2006
- ISA Server 2006 được thiết kế chủ yếu để hoạt động như một tường lửa,
nhằm đảm bảo tất cả những lưu lượng mạng không mong đợi từ Internet
được chặn lại bên ngoài mạng của công ty. Đồng thời, ISA Server 2006 có
thể cho phép các người dùng bên trong mạng công ty truy cập một cách có
chọn lọc đến các tài nguyên Internet và các người dùng trên Internet có thể
truy cập vào tài nguyên trong mạng công ty sao cho phù hợp với các rule của
ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức. Có thể
hình dung ISA Server được triển khai trên vành đai bao quanh mạng của
công ty, là nơi kết nối mạng công ty với một mạng khác bên ngoài (như

Internet).
- ISA Server 2006 có thể được dùng để bảo mật các kết nối của máy trạm
đến nguồn tài nguyên trên Internet. Để làm được điều đó, phải cấu hình tất
cả máy trạm đều phải thông qua ISA Server để kết nối Internet. Khi cấu hình
như vậy, ISA Server sẽ hoạt động như một Proxy server giữa máy trạm
trong mạng công ty và tài nguyên trên Internet. Điều này có nghĩa là khi một
máy trạm gởi yêu cầu đến Web Server trên Internet, thì sẽ không có kết nối
trực tiếp giữa máy trạm đó và Web Server. Thành phần Proxy server trên
ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu
đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong
mạng nội bộ). Nhờ đó mà thông tin mạng của máy trạm sẽ không bị lộ ra
mạng bên ngoài. Ngoài ra việc máy trạm dùng ứng dụng gì để truy cập
Internet hoặc truy cập đến tài nguyên gì trên Internet cũng được ISA Server
kiểm soát.
- ISA Server có thể áp đặt các chính sách bảo mật (security polices) để phân
phát đến các người dùng một số cách thức truy cập Internet mà họ được
phép. Đồng thời, nhiều công ty cũng cung cấp cho các người dùng ở xa
(remote user) một số cách thức truy cập đến các máy chủ trong mạng công
ty. Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nối đến
máy chủ Mail trong mạng của công ty để gửi e-mail ra Internet. ISA Server
được sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được
bảo mật.
3. Tính năng chính của ISA server 2006
ISA server là một trong các phần mềm máy chủ thuộc dòng .NET
Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các
server ứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai,
quản lý, tích hợp các giải pháp dựa trên nền web và các dịch vụ. ISA server
2006 mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh,
bảo mật, dễ quản lý
- Truy cập Web nhanh với cache hiệu suất cao:

+ Người dùng có thể truy cập web nhanh hơn bằng các đối tượng tại chỗ
trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng
nguy cơ tắc nghẽn.
+ Giảm giá thành băng thông nhờ giảm lưu lượng Internet
+ Phân tán nội dung của các Web server và các ứng dụng thương mại điện
tử một cách hiệu quả, đáp ứng được nhu cầu khách hàng trên toàn cầu (khả
năng phân phối nội dung web chỉ có trên phiên bản ISA Server Enterprise).
- Kết nối Internet an toàn nhờ nhiều lớp
+ Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cách giám sát lưu
lượng mạng tại nhiều lớp.
+ Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từ
bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an
toàn các yêu cầu đến
+ Lọc lưu lượng mạng đi và đến để đảm bảo an toàn.
+ Cung cấp truy cập an toàn cho người dùng hợp lệ từ Internet tới mạng nội
tại nhờ sử dụng mạng riêng ảo (VPN)
- Quản lý thống nhất với sự quản trị tích hợp
+ Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu
lực của các chính sách vận hành
+ Tăng hiệu suất nhờ việc giới hạn truy cập tới Internet của một số các ứng
dụng và đích đến.
+ Cấp phát băng thông để phù hợp với các ưu tiên.
+ Cung cấp các công cụ giám sát để chỉ ra các kết nối Internet được sử dụng
như thế nào.
+ Tự động hóa các dịch vụ nhờ sử dụng script
- Khả năng mở rộng
+ Chú trọng tới an toàn và thi hành nhờ sử dụng ISA Server Software
Development Kit (SDK) với các thành phần bổ sung
+ Chức năng mở rộng an toàn cho các hãng sản xuất thứ ba
+ Tự động thực thi các tác vụ quản trị với các đối tượng script COM

(component object model)
4. Lợi ích khi triển khai ISA 2006
a, Bảo vệ nâng cao
Một trong những lợi ích của việc triển khai ISA Server 2006 là việc nó
cung cấp các cơ chế bảo mật nâng cao cho mạng nội bộ của công ty. Các
tính năng có thể kể đến như:
- Kiểm tra gói tin đa lớp: ISA Server 2006 hoạt động như một tường lửa, nó
kiểm tra mọi gói tin đi qua ISA Server. ISA Server 2006 dùng 3 loại quy tắc
lọc để ngăn chặn hoặc cho phép các lưu lượng mạng, đó là: packet filtering,
stateful filtering và application-layer filtering.
- Lọc lớp ứng dụng: Hầu hết những sự đe dọa hệ thống mạng đều xảy ra ở
lớp ứng dụng. ISA Server 2006 cung cấp tính năng lọc lớp ứng dụng cho
phép lọc các gói tin ứng dụng đến Internet trong khi vẫn đảm bảo tính bảo
mật mức cao, hiệu năng và sự ngăn ngừa chống lại các cuộc tấn công
- Vành đai tường lửa và VPN Server: ISA Server 2006 cung cấp các chức
năng về việc quản lí và cấu hình các kết nối VPN, đồng thời tích hợp những
chức năng của firewall và VPN Server.
- Kết nối đa mạng: hỗ trợ và cho phép cấu hình các network rules và firewall
rules cho phép lọc các lưu lượng mạng giữa các mạng với nhau.
b, Dễ sử dụng
ISA Server 2006 cung cấp những tính năng làm cho nó dễ dàng sử dụng hơn
như:
- Công cụ quản trị ISA Server Management Console dễ sử dụng và cấu hình
với giao diện người dùng thân thiện.
- Các khuôn mẫu mạng làm cho việc triển khai các mô hình mạng được dễ
dàng, giảm bớt công việc cho người quản trị mạng
- Tích hợp các dịch vụ như directory services, các giải pháp về VPN và
những phương thức bảo mật dành cho các ứng dụng, người dùng và dữ liệu
- Dễ sử dụng cho các máy trạm: tích hợp ISA Server 2006 với Active
Directory hay sử dụng RADIUS server (Remote Authentication Dial-In User

Service) để cung cấp các phương pháp xác thực.
c, Nâng cao hiệu năng
ISA Server 2006 cung cấp các phương pháp truy nhập nhanh và bảo mật tới
các ứng dụng và dữ liệu, ví dụ như Microsoft Exchange Server hoặc là Web
Server.
- ISA Server được thiết kế để cung cấp các công cụ quản lí hiệu năng cho
phép vào ra đối với các lưu lượng mạng trong và ngoài Internet. Kiến trúc
Firewall được thiết kế để lọc các gói tin đa lớp.
- Tích hợp nhiều chức năng như Firewall Security, VPN và Web Cache
- Khả năng mở rộng: Với sự phát triển của các công ty, ISA Server hỗ trợ
khả năng mở rộng với kiến trúc mạng linh hoạt và các tùy chọn cho việc
triển khai và mở rộng ISA Server
- Web caching: ISA Server 2006 đề cao hiệu năng của mạng và nhằm giảm
thiểu băng thông sử dụng khi truy nhập Internet vì sử dụng tính năng Web
Caching cho phép thông tin được lưu trữ trên ISA Server
4. Chức năng của ISA Server 2006
a, ISA Server hoạt động như một tường lửa
ISA Server 2006 cung cấp 3 kiểu chức năng tường lửa: lọc gói tin (packet
filtering), lọc trạng thái (stateful filtering), lọc lớp ứng dụng (application-
layer filtering).
- Packet filtering kiểm tra tiêu đề của mỗi gói tin mạng khi chúng được gửi
đến tường lửa. Tường lửa kiểm tra các thông tin như nguồn và địa chỉ gói tin
và so sánh thông tin trong đó với các thông tin về các gói tin được cho phép.
Nếu gói tin đó được cho phép, nó sẽ được tường lửa thông qua. Nếu gói tin
đó không được cho phép, nó sẽ bị loại bỏ.
- Stateful filtering kiểm tra các thông tin về trạng thái của gói tin bao gồm cả
các thông tin bên trong của gói tin. Vì thế nếu gói tin được gửi đến tường lửa
từ bên trong mạng nội bộ, tường lửa sẽ chuyển hướng gói tin đó. Các gói tin
từ bên ngoài tường lửa khi thực hiện một phiên kết nối với mạng bên trong
tường lửa sẽ bị loại bỏ trừ phi nó được cho phép.

- Application-layer filtering kiểm tra nội dung có trong gói tin để xác định
xem nó có được đi qua tường lửa hay không. Lọc lớp ứng dụng có thể sử
dụng hầu hết các thông tin trong gói tin để xác đinh xem sẽ ngăn chặn hay
chuyển tiếp gói tin vào bên trong tường lửa.
b, ISA Server hoạt động như một VPN Server
- VPN cung cấp sự lựa chọn để thực hiện kết nối dial-up bằng cách cung cấp
một sự truy cập bảo mật từ bất cứ nơi nào trên Internet. Điều đó có nghĩa là
người dùng có thể kết nối đến Internet sử dụng các tài khoản dial-up cục bộ,
hay một đường kết nối Internet tốc độ cao như DSL, và sau đó kết nối đến
VPN gateway.
- VPN cung cấp sự lựa chọn để sử dụng WAN kết nối đến các chi nhánh
trong công ty bằng cách cung cấp các kết nối bảo mật thông qua Internet.
Trong hầu hết các trường hợp, sử dụng kết nối VPN thì hiệu quả hơn nhiều
so với một kết nối WAN thông thường. ISA Server cung cấp một giải pháp
VPN gateway tích hợp với tường lửa vì thế tất cả các gói tin từ VPN client
sẽ được kiểm tra và lọc kĩ. ISA Server cũng đồng thời cung cấp chức năng
VPN quarantine cho phép ta hạn chế quyền truy cập vào mạng nội bộ từ các
VPN client cho đến khi các client qua được các cuộc kiểm tra bảo mật.
c, ISA Server có thể triển khai như một Proxy server hay Web-caching
server
- Proxy server cung cấp các mức độ bảo mật cho việc kết nối ra ngoài và vào
từ Internet. Khi một máy trạm trong nội bộ công ty cần kết nối ra ngoài
Internet, client sẽ kết nối đến proxy server, sau đó proxy server sẽ tạo một
kết nối đến các nguồn tài nguyên trên Internet. Các thông tin về client trong
mạng nội bộ sẽ không được gửi qua Internet. Proxy server cũng đồng thời
hạn chế các yêu cầu từ Internet căn cứ vào tên người dùng, địa chỉ IP của
máy client, giao thức và các nội dung yêu cầu.
- Caching server lưu các thông tin trên Internet và bao gồm các thông tin
được công bố trên Web server vào trong ổ đĩa cứng của nó. Vì thế, khi một
máy trạm yêu cầu thông tin từ Internet mà yêu cầu đó đã được gửi bởi một

máy trạm khác mà thông tin đó được lưu lại trên đĩa cứng của ISA Server,
ngay lập tức ISA Server sẽ trả lời cho client đã yêu cầu thông tin. Do đó
giảm được thời gian truy xuất Internet cũng như tăng hiệu suất làm việc của
công ty.
5. Các mô hình triển khai của ISA Server 2006
a, Internet Edge Firewall
Khi triển khai là một Internet Edge Firewall, ISA Server là một lối vào
giống như đường ranh giới bảo mật giữa mạng nội bộ và Internet. ISA
Server được triển khai với một card mạng kết nối đến Internet và một card
mạng kết nối đến mạng nội bộ trong công ty. Trong một vài trường hợp, ISA
Server có cả card mạng thứ 3 kết nối đến mạng vành đai (perimeter
network).
- ISA Server sẽ ngăn chặn tất cả các luồng lưu lượng từ bên ngoài Internet
vào trong mạng nội bộ của công ty trừ phi các lưu lượng đó được cho phép.
Bởi vì ISA Server là ranh giới bảo mật quan trọng nhất nên tất cả các thành
phần trong chức năng tường lửa của ISA đều được thực thi bao gồm lọc lưu
lượng đa lớp, lọc lớp ứng dụng và ngăn ngừa sự xâm nhập. Thêm vào đó, hệ
điều hành trên ISA Server phải đảm bảo chắc chắn để tránh các cuộc tấn
công vào hệ điều hành.
- ISA Server được sử dụng để tạo các máy chủ riêng biệt hay các dịch vụ
trong mạng nội bộ cho phép truy cập ra Internet. Các quyền này được cấu
hình bằng việc publish server hay cấu hình các firewall access rule. ISA
Server sẽ lọc tất cả các yêu cầu và cho phép các lưu lượng được chỉ định bởi
access rule.
- ISA Server có thể trở thành một điểm kết nối VPN đến mạng nội bộ. Trong
trường hợp này, tất cả các kết nối VPN từ Internet đều được chuyển tiếp qua
ISA Server. Tất cả các access rule và các yêu cầu về cách li cho VPN client
đều được bắt buộc bởi ISA Server.
- Tất cả các máy trạm muốn truy cập các tài nguyên trên Internet đều phải đi
qua ISA Server. ISA Server gán một hoặc nhiều chính sách cho người dùng

hoặc nhóm người dùng được quyền ra ngoài Internet.
b, Back - End Firewall
- Nhiều tổ chức thực thi các cấu hình cho một back-to-back firewall. Trong
cấu hình này, card mạng thứ nhất trên một firewall được kết nối trực tiếp
đến Internet trong khi card mạng thứ hai được kết nối với mạng perimeter.
Firewall thứ hai được kết nối đến mạng perimeter và mạng nội bộ. Tất cả
các lưu lượng giữa Internet và mạng nội bộ đều phải qua cả hai tường lửa và
qua mạng perimeter. Đối với các tổ chức đã có sẵn hệ thống tường lửa được
triển khai là một Internet Edge Firewall, ISA Server có thể cung cấp các
chức năng thêm vào có giá trị như một back-end firewall.
- ISA Server có thể được sử dụng để cung cấp các kết nối bảo mật đến
Exchange server. Bởi vì máy tính chạy Exchange server phải là thành viên
của Domain nên một số công ty không thích để Exchange server ở mạng
perimeter. ISA Server cho phép các truy cập đến Exchange server trong
mạng nội bộ thông qua Microsoft Outlook Web Access, SMTP server, bao
gồm lọc spam và bảo mật Exchange RPC cho các client; và đồng thời qua
các kết nối RPC over HTTP
- ISA Server cũng được sử dụng để quảng bá Website và các ứng dụng Web.
Nếu Web Server nằm trong mạng nội bộ, ISA Server có thể được cấu hình
để quảng bá Web server ra ngoài Internet. Trong trường hợp này, tính năng
loc lớp ứng dụng có thể được sử dụng để kiểm tra các lưu lượng mạng đã
được chuyển tiếp đến Web Server.
c, Branch Office Firewall
- Đối với các tổ chức có nhiều văn phòng chi nhánh, ISA Server có thể đảm
nhiệm chức năng là một Branch Office Firewall, đồng thời có thể kết hợp
với các ISA Server ở các nơi khác. Nếu văn phòng chi nhánh có các kết nối
trực tiếp ra ngoài Internet, ISA Server có thể hoạt động như một Internet
Edge Firewall, bảo mật môi trường mạng và có thể quảng bá tài nguyên ra
Internet. Nếu chi nhánh có một kết nối WAN đến một văn phòng khác, ISA
Server cũng có thể được sử dụng để quảng bá server như SharePoint Portal

Server hay Excahnge Server. Một lợi ích khác khi triển khai ISA Server là
một Branch Office Firewall là ISA Server có thể thực thi vai trò như một
VPN gateway, kết nối mạng trong công ty đến các chi nhánh sử dụng mô
hình VPN site-to-site.
- ISA Server có thể tạo một kết nối VPN từ chi nhánh tới các nơi khác bằng
cách dùng phương thức IPSec tunnel. Thêm vào đó, các giao thức khác cũng
được sử dụng như PPTP (Point-to-Point Tunneling Protocol) hay L2TP
(Layer Two Tunneling Protocol)
- ISA Server có thể thực thi các sự kiểm tra trạng thái và lọc lớp ứng dụng
cho các kết nối VPN giữa các địa điểm khác nhau của tổ chức. Nó được sử
dụng để giới hạn số lượng truy cập mạng bằng kết nối VPN vào mạng nội bộ
và chắc chắn rằng chỉ có những lưu lượng được cho phép mới có thể truy
cập vào bên trong mạng nội bộ.
d, Integrated Firewall, Proxy and Caching Server
Các tổ chức vừa và nhỏ thường có các yêu cầu về truy nhập Internet cao
hơn so với các tổ chức lớn hơn. Các công ty nhỏ có thể có các kết nối dial-
up hay các kết nối khác chậm hơn. Hầu hết các công ty đều cung cấp ít nhất
vài mức độ truy cập Internet cho các nhân viên, nhưng cũng có thể yêu cầu
về giới hạn truy cập. Một vài công ty lại không yêu cầu bất kì dịch vụ nào
trên Internet bởi vì ISP của họ có thể chứa cả Website công ty và Mail
Server. Các công ty khác lại có các yêu cầu phức tạp hơn về kết nối như
SMTP, FTP và HTTP server. ISA Server đủ linh hoạt để đáp ứng được các
yêu cầu của các công ty vừa và nhỏ
- Cấu hình caching trên ISA Server nghĩa là nội dung trang Web được lưu
lại trên đĩa cứng của ISA Server. Nó có thể giảm thiểu chi phí kết nối
Internet dựa trên lưu lượng người dùng.
- ISA Server hỗ trợ các tùy chọn cho việc sử dụng kết nối dial-up để truy cập
Internet. Ta có thể cấu hình để ISA Server tự động thiết lập các phiên kết nối
dial-up khi các yêu cầu được gửi để truy cập tài nguyên trên Internet.
e, Proxy and Caching - Only Server

Trong hầu hết các trường hợp, máy tính chạy ISA Server được triển khai
với đa card mạng để kết nối đa mạng và lọc các lưu lượng mạng giữa các
mạng với nhau. Tuy nhiên, nếu ISA Server được triển khai là một Web-
proxy và Caching-only server, ta có thể triển khai server với một card mạng.
Khi ISA Server được cài đặt trên máy tính sử dụng một card mạng, nó chỉ
nhận một mạng đó là mạng nội bộ. Nếu một tổ chức có sẵn một giải pháp về
firewall, có thể thấy việc triển khai chức năng proxy và caching trên ISA
Server là rất có lợi. Tuy nhiên, khi cài đặt ISA Server trên máy tính chỉ có
một card mạng thì sẽ làm cho sự bảo mật trong ISA Server bị giảm đi. Ngoài
ra, một số tính năng trên ISA Server sẽ không được sử dụng như:
- Firewall và SecureNAT clients
- VPN

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×