Tải bản đầy đủ (.pdf) (50 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Chuong ISApolicy isa2004

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.39 MB, 50 trang )

Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 1

I. GIỚI THIỆU ISA SERVER 2004
Microsoft Internet Security and Acceleration Server (ISA server) là phần mềm dùng để thiết
lập tính năng bảo mật cho hệ thống mạng, chia sẽ kết nối Internet ổn đònh, dễ cấu hình, thiết
lập tường lửa tốt, tốt độ nhanh nhờ chế độ cache thông minh…
II. ĐẶC ĐIỂM :
Các đặc điểm :
- Cung cấp tính năng Multi-networking : Kỹ thuật thiết lập các chính sách truy cập dựa
trên đòa chỉ mạng, thiết lập firwall để lọc thông tin dựa trên từng đòa chỉ mạng con….
- Bảo vệ hệ thống mạng cục bộ bằng cách giới hạn truy xuất của các client bên ngoài
internet
- Stateful inspection: giám sát trực tiếp lưu lượng mạng.
- Cung cấp các kỹ thuật NAT và đònh tuyến dữ liệu cho mạng con.
- Network Templates: cung cấp các mô hình mẫukèm theo 1 số luật cần thiết cho từng
network templates tương ứng
- Cung cấp một số đặc điểm mới dể thiết lập mạng riêng ảo (VPN ) và truy cập từ xa cho
doanh nghiệp
- Cung cấp một số kỹ thuật cache thông inh để làm tăng tốc độ truy xuất mạng, giảm tải
đường truyền.
- Cung cấp web proxy để chia sẽ internet
- Application Layer Filter (APL) : là một trong điểm mạnh của ISA Server 2004, nổi bật
như:
+ Cho phép thiết lập bộ lọc HTTP inbound và HTTP onbound
+ Chặn được các loại file thực thi chạy trên nền Windows như : .pif,.com.
+ Giới hạn HTTP download.
+ Giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập
+ Điều khiển một số phương thức truy xuất của HTTP.
III. CÀI ĐẶT ISA 2004 :


1. Yêu cầu
Thành phần
Hệ điều hành
Bộ nhớ

Yêu cầu đề nghò
Windows server 2003
Tối thiểu 256 MB hoặc 512MB cho hệ thống không sử dụng
Web caching, 1GB cho web caching ISA firwall
Không gian đóa
150 MB cho ISA trên nền NTFS
NIC
Ít nhất phải có từ 1 NIC ( khuyến cáo 2 NIC trở lên)
2. Tiến trình cài đặt :
ISA 2004 thường được triển khai trên dual-homed ( máy chủ có 2 NIC) hay multi-homed ( máy
chủ có nhiều NIC) điều này có nghóa ISA server có đầy đủ các tính năng của nó như ISA
frwall, SecureNAT, Server Publishing Rule, VPN…


Thái Hồng Đức - 2

Giới thiệu ISA SERVER 2004
Trùc khi cài ISA 2004, nên disable các dòch vụ sau:
- ICS (Internet Conection Sharing)
- ICF ( Internet Conection Firewall)
- Trong RRAS xoá NAT.
Mơ hình bài Lab như sau :

IP:192.168.1.1/24
DNS:203.162.4.190

IP:172.16.1.1/24
DF:Trống

IP:192.168.1.2/24
DG:192.168.1.1
DNS:trống

IP:172.16.1.2/24
DG:172.16.1.1
DNS:203.162.4.190

ISA Server gồm 2 Nic hệ
điều hành Winserver 2003

Client

Các bước cài đặt ISA 2004:

Card nối ADSL 192.168.1.1
IP:192.168.1.2/24
Default Getway:192.168.1.1
DNS: tùy ISP
Không có

Card nối trong LAN
IP:172.16.1.1/24
Default getway:trống
DNS:trống
Card nối Switch
IP:172.16.1.2/24

Default getway:172.16.1.1
DNS:tùy Isp


Gii thiu ISA SERVER 2004

Thỏi Hng c - 3

Choùn This feature will be installed on local
hard drive

Nhaọp daừi IP cuỷa LAN
Nhaỏn ADD


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 4

Hệ thống tự động Restart hoàn thành cài đặt ISA Server
IV. KẾT NỐI ISA SERVER VỚI INTERNET VÀ CẤU HÌNH CÁC ISA CLIENT
Trong quá trình cài đặt ISA Server 2004 hoàn tất, sau đó tiến hành kết nối Internet và cấu hình
các ISA client để co thể truy cập Internet thông qua ISA server firewall.Mặc đònh máy chủ ISA
chỉ có 1 access rule sau khi cài đặt là Deny All, từ chối mọi truy cập vào/ra thông qua ISA
Firwall. Vì thế ta cần tạo các quy tắc thích hợp để các máy client có thể truy cập internet.
A. TẠO VÀ SỬ DỤNG FIREWALL POLICY
- Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server
Publishing Rules và Access Rules
+ Web Publishing Rules và Server Publishing Rules được sử dụng cho phép inbound
access.

+ Access Rules dùng để điều khiển outbount access.


Giới thiệu ISA SERVER 2004
-

Thái Hồng Đức - 5

ISA Firrewall kiểm tra Access Rules trong Access Policy theo cơ chế thứ tự trước sau
(topdown) , nếu packet phù hợp với 1 luật nào đó thì ISA Firwall sẽ thực thò action ( cho
phép/cấm) tùy theo luật. Nếu packet không phù hợp thì ISA Firwall sẽ cấm packet nầy.
- Một số tham số mà Access Rule kiểm tra trong kết nối.
+ Protocol: Giao thức sử dụng.
+ From : Đòa chỉ nguồn
+ To : Đòa chỉ đích
+ Users: Người dùng truy xuất
+ Schedule: thời gian thực thi luật.
+ Content type: loại nội dung của connection.
1. Tạo một Access Rule :
Access Rules trên ISA Firwall luôn áp đặt luật theo hướng ra ( outbound access ). Ngược lại,
Web Publishing Rules, server Publishing Rules áp đặt theo hướng vào ( inbound access) .
Access Rules điều khiển truy xuất từ nguồn tới đích sử dụng outbound protocol. Một số bước
tạo Access Rules.
B1. Microsoft Internet Security and
Acceleration server 2004 management
console, mở rộng server name , nhấp chuột
Task Pane -> Create New Access Rule

B2. Nhập tên Access Rule



Giới thiệu ISA SERVER 2004
B3. Hộp thoại Rule Action có 2 tùy chọn:
Allow hoặc Deny . Tùy chọn Deny là mặc
đònh. Chọn Next

B4. Hộp thoại Protocols. Ta chọn giao thức
(protocol) để cho phép / cấm outboud traffic
từ source đến destination. Ta có 3 tùy chọn
trong danh sách This rule applies to.
- All outbounf traffic : cho phép tất cả
protocol outbound
- Selected protocols :cho phép có thể
lựa chọn từ protocol để áp đặt vào luật
(rule)
- All outbound traffic except selected:
tùy chọn này cho phép tất cả cho luật
mà không được đònh nghóa trong hộp
thoại này.
B5. Hộp thoại Access Rule Sources chọn đòa
chỉ nguồn(source location) để áp đặt vào luật
bằng cách chọn Add ->hộp thoại Add
Network Entities , sau đó chọn đòa chỉ nguồn
từ hộp thoại này -> Next

Thái Hồng Đức - 6


Giới thiệu ISA SERVER 2004
B6. Hộp thoại Access Rule Destinations ,

chọn đòa chỉ đích (destination) cho luật -> Add
-> hộp thoại Add Network Entities -> mô tả
đòa chỉ đích (destination) External network ->
Next

B7. Hộp thoại User Sets cho phép lựa chọn
User truy xuất access rule. Mặc đònh luật này
áp cho tất cả user ( All User ) , có thể hiệu
chỉnh chọn Edit hoặc thêm user mới vào rule
thông nút Add -> Next

B8. Nhấn Next để hoàn thành

Thái Hồng Đức - 7


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 8

Sau cùng ta có màn hình như sau

2. Thay đổi thuộc tính Access Rule :
Trong hộp thoại Access Rule chứa đầy đủ các thuộc tính cần thiết để thiết lậ p luật, có một số
thuộc tính chỉ có thể cấu hình trong hộp thoại nầy mà không thể cấu hình trong quá trình tạo
Access Rule. Để truy xuất thuộc tính của Access Rule ta nhấp đôi chuột vào tên luật trong
Firwall Policy Panel . Một số Tab thuộc tính của Acess Rule như sau :
Tab -Ý nghóa



Giới thiệu ISA SERVER 2004
General:Cho phép thay đổi tên Access Rule,
Enable/Disable rule

Action Tab : Cung cấp một số tùy chọn để
hiệu chỉnh luật như sau:
+ Allow :Tùy chọn cho phép kết nối phù hợp
với các điều kiện đã mô tả trong Access Rule
đi qua Firewall.
+ Deny :Tùy chọn cấm kết nối phù hợp với
các điều kiện đã mô tả trong Access Rule đi
qua Firewall.
+ Redirect HTTP requests to this Web
page: tùy chọn được cấu hình để chuyển
hướng HTTP requests ( phù hợp với điều kiện
của Access Rule ) tới 1 Web page khác.
+ Log requests matching this rule: cho phép
ghi nhận lại tất cả các request phù hợp với
Access Rule

Thái Hồng Đức - 9


Giới thiệu ISA SERVER 2004
Protocols : tùy chọn cho phép hiệu chỉnh giao
thức (protocol) cho Access Rule

From : hiệu chỉnh đòa chỉ nguồn ( source) cho
Access Rule


Thái Hồng Đức - 10


Giới thiệu ISA SERVER 2004
TO : hieäu chænh ñòa chæ ñích ( destination)

Users : hieäu chænh thoâng tin User trong
Access Rule

Thái Hồng Đức - 11


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 12

Schedule : hiệu chỉnh thời gian áp đặt luật

Content Type : hiệu chỉnh Content Type chỉ
áp đặt HTTP connection

3. Cấu hình ISA Client :
Máy sử dụng ISA server 2004 Client là máy tính kết nối đến các nguồn tài nguyên khác thông
qua ISA Server 2004 Firewall. Có 3 loại ISA Server 2004 Client :
- SecureNAT Client
- Web Proxy Client
- Firewall Client
a. SecureNAT client:



Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 13

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan tâm là Default
Gateway. Phải khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được
định tuyến đến ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần
thiết trên các thiết bị định tuyến (router) nội bộ.
- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP
- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ
lọc ứng dụng (Application filter) tương ứng
- Không thể chứng thực người dùng
Mạng đơn giản

Hệ mạng chỉ có 01 network ID và không có router nội bộ. Default gateway của các client là
địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA
server

router

NAT
server.
SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng
đa truyền thông (multi media: voice, video...) vì hầu hết các ứng dụng này đều dùng đa kết
nối.
Thực hành :
B1. Khai báo Ip của máy ISA
IP Card ngoài

Đặt tên cho 2 card máy ISA



Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 14

B2. Khai báo Client Default getway chỉ đến IP của Card trong máy ISA.
Khai báo IP Card trong Máy ISA

Khai báo IP SecureNAT Client

IP của may ISA

B3. Máy Isa truy xuất Internet Không thành công, Client truy xuất không thành công
Khi cài đặt ISA, mặc nhiên ISA không cho truy xuất từ trong ra ngoài và ngược lai. Ta phải
tạo các Rule cho hệ thống
B4. Tạo Rule cho phép máy ISA truy xuất Internet.

Sau khi tạo Rule xong Ta co 1thể truy xuất trên Máy ISA và SecureNat Client


Giới thiệu ISA SERVER 2004

Tại SecureNAT Client

Mạng phức tạp:

Thái Hồng Đức - 15



Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 16

Hệ mạng gồm 03 network ID và 01 router nội bộ. Default gateway của các client là địa chỉ IP
của router. Router được cấu hình default route là địa chỉ IP của card trong (internal interface)
của ISA server. Thực chất hoạt động của ISA server cũng là router và NAT server.
b. Web proxy client:
- Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA
server và port 8080 trong phần cấu hình proxy server của trình duyêt web.
- Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web
- Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS
- Có thể chứng thực người dùng
Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web
proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể
được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger
(chat) hoặc trình duyệt mail.
Thực hiện :
B1. Khai báo IP cho Client sử dụng Proxy ( không có Default getway và DNS Server)


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 17
Vào Tool chọn Internet Option, chọn thẻ
LAN Setting , khai báo như sau:

Address : Ip của Proxy ( máy ISA)
Port : 8080 (mặc nhiên)


Truy xuất Internet từ client thành công.


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 18

c. Firewall Client :
Nếu chúng ta muốn có cơ chế kiểm soát chặt chẽ hơn. Ví dụ User muốn truy
xuất Internet thì phải đăng nhập domain thì chúng ta phải thiết lập cấu hình
Firewall Client cho mô hình. Khi cài đặt ISA server đã có dịch vụ Firewall
Client Installation Share. Trên ISA Server sẽ có system policy cho phép truy
cập tài nguyên chia sẽ máy tính, Client chỉ cần kết nối đến máy chủ ISA để
tiến hành chạy tập tin cài đặt Firewall Client.
Với Firewall Client sẽ tận dụng được nững khả năng mạnh nhất của ISA Server
như chứng thực user dựa trên domain và group cho phép ghi nhật ký những
user trong những lần truy cập. Các client phải cài hệ điều hành Windows.
Mô hình : tương tự như mô hình SecureNAT nhưng phải có 1 Domain
Controller.
+ ISA server phải kết nối với domain trước khi cài đặt ISA
B1. Nhập Run:IP ISA Server ->thư
mục mspclient-> chạy Setup.exe

B2.Cửa sổ install xuất hiện -> Nhấn
Next

B3.Chọn thư mục cài đặt phần mềm
Firewall Client. Nhấn Next



Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 19

B4. Chọn Conect to the ISA Server
computer: nhập IP máy ISA. Nhấp
Next

B5.Nhấn Finish kết thúc

2. Backup ISA 2004 và Restore ISA 2004 :
Trước khi khởi tạo các chính sách truy cập vào trong (Inbound) hay ra ngoài (
Outbound), nên back-up lại cấu hình mặc định của ISA Server Firewall . Điều
nầy cho phép khắc phục sự cố hay các cuộc kiểm tra sau nầy.
a. Backup ISA 2004 : Ngay khi cài đặt xong chúng ta back-up cấu hình mặc
định.
Các bước thực hiện :
B1. Mở giao diện Firewall Policy
– Microsoft Internet Security
and Acceleration Server 2004
management, nhấp phải vào tên
Server -> chọn Backup


Giới thiệu ISA SERVER 2004
B2. Nhập tên file back-up, sau đ1o
nhập password (yêu cầu >=8 ký
tự)
Phân vùng lưu trữ file Backup
phải được định dạng NTFS


b. Restore ISA :Thực hiện các bước sau đây :
B1. Mở giao diện Firewall Policy
– Microsoft Internet Security
and Acceleration Server 2004
management, nhấp phải vào tên
Server -> chọn Restore

B2. Xuất hiện hộp thoại chọn tên
tập tin đã backup, nhập password

B3. Nhấp OK

3. QUẢN LÝ MÁY ISA SERVER TỪ XA :

Thái Hồng Đức - 20


Giới thiệu ISA SERVER 2004
Bước 1: đứng tại máy ISA
Server cấu hình sự cho phép
của ISA
Firewall Policy, chọn thẻ
Toolbox -> Computer Set ->
Remote Management

Bước 2: nhập IP máy muốn
quản lý máy ISA

Bước 3: chép phần mềm ISA

Server về cài tại máy Client
muốn quản lý ISA Server

Bước 4: đứng tại máy Client
mở chương trình quản lý ISA.
Chọn Connect to

Thái Hồng Đức - 21


Giới thiệu ISA SERVER 2004

Thái Hồng Đức - 22

Bước 5: nhập IP của máy ISA
Server vào  ok

Bước 6: ở máy Client xuất hiện
màn hình quản lý ISA giống
như ở máy ISA Server

V. TIẾT KIỆM BĂNG THÔNG VỚI TÍNH NĂNG CACHE VÀ CONTENT
DOWNLOAD JOB:
Cơ chế caching :
- Forward Caching: Với cơ chế này, nội dung trang web thường xuyên
truy cập như www.ktnvtd.edu.vn sẽ được tải về trước và lưu trữ trong
phần Cache của máy ISA. Vì vậy, khi người dùng mở lại trang web này
sẽ được trả nội dung trên Cache thay vì phải kết nối trực tiếp với Web
server trên Internet.
- Revese Cahing : ngược lại với forward caching. Khi doanh nghiệp có

những Web server cho phép người dùng truy cập reverse caching sẽ tiết
kiệm băng thông băng cách lưu trữ nội dung trang web nên các proxy
server để đáp ứng cho các user , giảm tải cho web server.
Vậy khi chức năng web cache được bật, những trang Web bạn thường
xuyên truy cập sẽ tự động tải về được lưu giữ trên RAM hay đĩa cứng của
máy ISA server (cache).
1. Tạo cache cho web ( Enabled Web Caching) :
Các bước thực hiện :


Giới thiệu ISA SERVER 2004
B1. Mở ISA Management
chọn Configuration ->
Cache. Nhấp Define cache
Drivers (enable caching)

B2. Xác địnhphân chia NTFS
dành cho việc lưu trữ nội dung
các trang web ( cache size). Ví
dụ 20 M, nhấp Set để thiết lập
và OK

B3. Nhấp chọn Apply và lưu
thay đổi

B4. Click phải Cache >Properties -> hộp thoại
cache Setting. Chọn tab
Active Caching-> chọn
Enable active caching-> OK


2. Tạo Content Download Jobs :

Thái Hồng Đức - 23


Giới thiệu ISA SERVER 2004
B1. Trong Configuration ->Right
click Cache -> New -> Content
Download Jobs

B2. Xuất hiện hộp thoại Enable
Scheduel Content Download
Jobs
Chọn Yes
Chọn Apply

B3. Click phải Cache -> New ->
Content Download Jobs

Thái Hồng Đức - 24


Giới thiệu ISA SERVER 2004
B4. Nhập tên Job Name -> Next

B5. Chọn Daily : mỗi ngày ->
Next

B6. Cửa sổ New Content
Download Wizard -> Next


Thái Hồng Đức - 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×