ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập
từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ
của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế
điều khiển những được phép qua firewall và những gì bị chặn lại.
ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active
Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập
Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ.
Các Network Services và những tính năng trên ISA Server 2004 sẽ
được cài đặt và cấu hình gồm:
Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp
các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch
trên mạng).
Cài đặt và cấu hình Microsoft Internet Authentication
Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho
các truy cập từ xa thong qua các remote connections(Dial-up hoặc
VPN).
Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách
xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
46
cung cấp giải pháp truy vấn NETBIOS name của các Computer trên
mạng) .
Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ
chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự
động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho
các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi
họ phải mang Computer từ 1 Network (có một ISA SERVER) đến
Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và
làm việc được với Web Proxy Services và Firewall Service trên ISA
SERVER này.
Cài đặt Microsoft DNS server trên Perimeter network server (Network
chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm
sau Firewall, nhưng cũng tách biệt với LAN).
Cài đặt ISA Server 2004 firewall software.
Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.
Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004
Network Templates) để cấu hình Firewall.
Cầu hình các loại ISA Server 2004 clients.
Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004
firewall.
Publish Web Server trên một Perimeter network.
Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP
relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam
mails).
Publish Microsoft Exchange Server services (hệ thống Mail và làm
việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).
Cài đặt ISA Server 2004 trên Windows Server 2003
26 trang |
Chia sẻ: oanh_nt | Lượt xem: 1562 | Lượt tải: 1
Bạn đang xem trước 20 trang nội dung tài liệu Triển khai, quản trị, duy trì và nâng cấp hệ thống mạng doanh nghiệp, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
45
PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA
CÔNG TY VỚI ISA SERVER 2004.
Trong chương này chúng ta sẽ tìm hiểu biện pháp bảo mật cho hệ
thống mạng của công ty sử dụng tường lửa ISA 2004. Bằng cách tìm hiểu
về ISA cũng như tác dụng của các mô hình cơ bản của nó(được cung cấp bởi
các template có sẵn trong phần trợ giúp) ta có thể tìm ra một cách cấu hình
phù hợp mạng của mình.
1. Khái niệm cơ bản
ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập
từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ
của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế
điều khiển những được phép qua firewall và những gì bị chặn lại.
ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active
Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập
Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ.
Các Network Services và những tính năng trên ISA Server 2004 sẽ
được cài đặt và cấu hình gồm:
Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp
các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch
trên mạng).
Cài đặt và cấu hình Microsoft Internet Authentication
Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho
các truy cập từ xa thong qua các remote connections(Dial-up hoặc
VPN).
Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách
xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
46
cung cấp giải pháp truy vấn NETBIOS name của các Computer trên
mạng) .
Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ
chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự
động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho
các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi
họ phải mang Computer từ 1 Network (có một ISA SERVER) đến
Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và
làm việc được với Web Proxy Services và Firewall Service trên ISA
SERVER này.
Cài đặt Microsoft DNS server trên Perimeter network server (Network
chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm
sau Firewall, nhưng cũng tách biệt với LAN).
Cài đặt ISA Server 2004 firewall software.
Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.
Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004
Network Templates) để cấu hình Firewall.
Cầu hình các loại ISA Server 2004 clients.
Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004
firewall.
Publish Web Server trên một Perimeter network.
Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP
relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam
mails).
Publish Microsoft Exchange Server services (hệ thống Mail và làm
việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).
Cài đặt ISA Server 2004 trên Windows Server 2003
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
47
2. Cơ sở lí thuyết
2.1 Các Network Templates (mô hình mẫu các thông số cấu hình
mạng)
ISA Server 2004 firewall với sự hổ trợ thông qua các Templates, chúng ta
có thể cấu hình tự động các thông số cho Networks, Network Rules và
Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng
tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây
dựng…Các Templates bao gồm
2.1.1 Edge Firewall
Network Templates dành cho Edge Firewall, được sử dụng khi ISA
Server 2004 firewall có 1 network interface được trực tiếp kết nối đến
Internet và 1 Network interface được kết nối với Internal network.
Hình III.1 Mô hình Edge Firewall
2.1.2 3-Leg Perimeter
Network Templates dành cho 3-Leg Perimeter được sử dụng với Firewall
gắn 3 Network interface. Một External interface (kết nối Internet), 1 Internal
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
48
interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành
đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ
giữa các Networks này với nhau.
Hình III.2 Mô hình 3-leg perimeter
2.1.3 Front Firewall
Dùng Front firewall Template khi ISA Server 2004 firewall đóng vai trò 1
frontend firewall trong mô hình back-to-back firewall. Đây là mô hình kết
nối 2 Firewall có thể là Internet, giữa Front và back firewall có thể là DMZ
network, và phía sau back firewall là Internal network. Template này dành
cho Front Firewall
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
49
Hình III.3 Mô hình Front Firewall
2.1.4 Back Firewall
Được sử dụng cho 1 ISA Server 2004 firewall nắm sau 1 ISA Server 2004
firewall khác phía trước nó (hoặc 1 third-party firewall nào đó).
Single Network Active Directoryapter:
Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá
đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại
luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA
Server 2004 chỉ có duy nhất 1 Network Card ( unihomed), đóng vai trò là hệ
thống lưu giữ cache- Web caching server.
2.2 Các cấu hình network template
Trong đồ án ta chỉ xét đến cách cấu hình của 2 dạng Firewall thường gặp và
đơn giản là Edge Firewall và 3-Leg perimeter
2.2.1 Cấu hình cho Edge Firewall:
Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có 1
network interface gắn trực tiếp Internet và 1 Network interface thứ 2 kết nối
với Internal network. Network template này cho phép Active Directorymin
nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của
Firewall (Firewall policy Access control) giữa Internal network và Internet.
Bảng sau sẽ cho ta thấy các chính sách của Firewall (firewall policies) đã
sẵn sang khi sử dụng Edge Firewall Template. Mỗi chính sánh trong
Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập.Từ xác
lập tất cả các hoạt động đều được cho phép ( All Open Access Policy) giữa
Internal network và Internet cho đến xác lập ngăn chặn tất cả ( Block All
policy) hoạt động giữa Internal network và Internet.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
50
Những lựa chọn về chính sách của Firewall khi dùng Network Active
Directoryge Firewall Template:
Bảng III.1 Chính sách Edge Firewall
Firewall Policy Mô tả
Block all Ngăn chặn tất cả truy cập qua ISA server
Lựa chọn này không tạo bất kì nguyên tắc cho
phép truy cập nào ngoài ngăn chặn tất cả các truy
cập
Block Internet Access,
allow access to ISP
Network services
Ngăn chặn tất cả các truy cập qua ISA Server
2004 , ngoại trừ các truy cập đên các Network
services như DNS service. Lựa chọn này sẽ được
dùng khi các ISP cung cấp những dịch vụ này.
Dùng lựa chọn này để xác định chính sách
Firewall của bạn, ví dụ như sau:
Allow DNS from Internal Network and Client
Network to External Network (internet)-Cho phép
Internal Network và VPN clients Network cho
phép các truy cập dạng HTTP, HTTPS,FTP từ
Internal Network truy cập ra ngoài.
Allow all protocol From VPN clients Network to
Internal Network cho phép các giao thức từ VPN
clients Network (bên ngoài ) vào trong mạng nội
bộ.
Allow limited web
access to ISP Network
Cho phép truy cập web có giới hạn dùng HTTP,
HTTPS và FTP và cho phép truy cập tới ISP
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
51
Services Network services như DNS.
Còn lại ngăn chặn tất cả các Network khác.
Các nguyên tắc truy cập sau sẽ được tạo:
Allow Http, Https, Ftp from Internal Network and
VPN Client Network to External Network
(Internet)- cho phép HTTP, HTTPS, FTP từ
Internal Network và VPN Client Network ra
External Network (internet)
Allow DNS from Internal Network and VPN
Client Network to External Network (internet)-
cho phép Internal Network truy cập dịch vụ DNS
giải quyết các hostnames bên ngoài(internet)
Allow all protocols from VPN Clients Network to
Internal Network – Cho phép tấtc cả các giao thức
từ VPN Client Network (bên ngoài VPN Client
thực hiện kết nối vào mạng nội thông qua
Internet), được truy cập vào bên trong mạng nội
bộ.
Allow unrestricted
access
Cho phéptruy cập không giới hạn ra internet qua
ISA Server
Các nguyên tắc truy cập sau sẽ được tạo ra:
Allow all protocols from Internal Network and
VPN Client Network to External Network – Cho
phép dùng tất cả các giao thức từ Internal
Network và VPN Client Network tới External
Network (mạng ngoài)
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
52
Allow all protocols from VPN Client to Internal
Network to Internal Network – Cho phép tất cả
các giao thức VPN Client Network truy cập vào
Internal Network.
2.2.2 Cấu hình 3-Leg Perimeter
Cấu hình Firewall theo template dạng 3-Leg Perimeter sẽ tạo ra các mối
quan hệ giữa các Network : Internal, DMZ và Internet. Và tương ứng
Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network
segment và perimeter (DMZ) network segment. Perimeter network Segment
–DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép ngưòi dùng
Internet truy cập vào như : public DNS server hoặc 1 caching-only DNS
server.
Những chọn lựa tại 3-Leg Perimeter Firewall Template Firewall Policy
Bảng III.2 Chính sách 3-Leg Perimeter
Firewall Policy Mô tả
Block all Ngăn chặn tất cả truy cập qua ISA server
Lựa chọn này không tạo bất kì Rules nào khác
ngoài Dèault Rules ngăn chặn tất cả các truy cập
Block Internet Access,
allow access to Network
services on the
Perimeter Network
Ngăn chặn tất cả các truy cập qua ISA Server
2004 , ngoại trừ các truy cập đên các Network
services như DNS service. Các Access rules sau
sẽ được tạo:
Allow DNS traffic from Internal Network
andClient Network to Perimeter Network)-Cho
phéptruy nhập DNS từ Internal Network và VPN
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
53
clients Network đến Perimeter Network .
Allow all protocol From VPN clients Network to
Internal Network cho phép các giao thức từ VPN
clients Network (bên ngoài ) vào trong mạng nội
bộ.
Block Internal access,
allow access to ISP
Network Services
Ngăn chặn tất cả các truy cập mạng qua Firewall
ngoại trừ các Network services như DNS. Lựa
chọn này phù hợp khi nhà cung cấp dịch vụ mạng
cơ bản là Internet services Provider(ISP).
Rules sau sẽ được tạo:
Allow DNS from Internal Network , VPN Client
Network to External Network – Cho phép DNS từ
Internal Network , VPN Client Network và
Perimeter Network đến External Network
Allow limited web
access, allow to access
to Network services on
Perimeter Network
Cho phép truy cập web có giới hạn dùng HTTP,
HTTPS và FTP và cho phép truy cập tới Network
services như DNS trên DMZ.
Còn lại ngăn chặn tất cả các Network khác.
Các nguyên tắc truy cập sau sẽ được tạo:
Allow Http, Https, Ftp from Internal Network
andVPN Client Network to Perimeter Network
and External Network (Internet)- cho phép HTTP,
HTTPS, FTP từ Internal Network và VPN Client
Network ra Perimeter Network và External
Network (internet)
Allow DNS traffic from Internal Network and
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
54
VPN Network to Perimeter Network
Allow all protocols from VPN Clients Network
toInternal Network – Cho phép tấtc cả các giao
thứtừ VPN Client Network (bên ngoài VPN
Clientthực hiện kết nối vào mạng nội thông qua
Internet), được truy cập vào bên trong mạng nội
bộ.
Allow limited web
access to ISP Network
services
Các Network services như DNS là do ISP của ta
tạo ra. Tất cả các truy nhập mạng khác đều bị xóa.
Các nguyên tắc truy cập sau sẽ được tạo ra:
Allow Http, Https, FTP from Internal Network
and VPN Client Network to External Network
allow all protocols from VPN Clients Network to
Internal Network.
Allow unrestricted
access
Cho phép tất cả các loại truy cập ra internet qua
Firewall. Firewall sẽ chặn các truy cập từ Internet
vào các Network được bảo vệ từ chính sách cho
phép tất cả nấyu đó có thể ngăn chặn bớt một số
truy cập không phù hợp với chính sách bảo mật
của công ty.
Các Rules sau sẽ được tạo:
Allow all protocol from Internal Network and
VPN Client Network to External Network and
Perimeter Network
Allow all protocols from VPN Client to Internal
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy
Clients
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
55
Một ISA Server 2004 client là một máy tính kết nối đến các nguồn tài
nguyên khác thông qua một ISA Server 2004 firewall. Nhìn chung, các ISA
Server 2004 client thường được đặt trong một số Internal hay perimeter
network _DMZ và kết nối ra Internet qua ISA Server 2004 Firewall.
Tồn tại 3 loại ISA Server 2004 client:
SecureNAT client
Web Proxy Client
Firewall Client
SecureNat Client là máy tính được cấu hình với thông số chính Default
gateway giúp định tuyến ra Internet thong qua ISA Server 2004 firewall.
Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004
firewall, thong số default gateway của SecureNat Client chính là IP Active
Directorydress của network card trên ISA Server 2004 firewall gắn với
Network đó. Nếu SecureNat Client nằm trên một Network ở xa ISA Server
2004 firewall, khi đó SecureNat Client sẽ cấu hình thong số default gateway
là IP Active Directorydress của router gần nó nhất. Router này sẽ định tuyến
thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet
Một Web Proxy Client là máy có trình duyệt Internet (như Internet
EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web
Proxy server của nó web browser có thể cấu hình sử dụng IP Active
Directorydress của ISA Server 2004 firewall làm web broưser của nó – cấu
hình thủ công, hoặc cấu hình tự động thông qua các Web Proxy
Autoconfiguration script của ISA Server 2004 firewall. Các
Autoconfiguration script này cung cấp mức độ tùy biến cao trong việc điều
khiển làm thế nào để Web Proxy Client có thể kết nối ra internet. Tên của
User được ghi nhận trong các Web Proxy Logs khi máy tính được cấu hình
theo Web Proxy Client .
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
56
Firewall Client là máy tính cài Firewall Client software. Firewall Client
software chặn tất cả các yêu cầu thuộc dạng winsock application (thường là
các ứng dụng trên TCP và UDP) và đẩy các yêu càu này đến Firewall service
trên ISA Server 2004 firewall. User name tự động được đưa vào firewall
service log khi máy tính Firewall Client được thực hiện kết nối internet
thông qua ISA Server 2004 firewall.
Bảng III.3 Tính năng ISA Server 2004 Client.
Feature SecureNat Client Firewall Client Web Proxy
Client
Cần cài đặt Không yêu cầu,
cần xác lập các
thông số default
gateway
Cần cài đặt phần
mềm Firewall
Client software
Không yêu cầu,
chỉ cần cấu hình
các thông số phù
hợp tại trình
duyệt web
Hỗ trợ các hệ
điều hành
Tất cả các hệ
điều hành hỗ trợ
TCP/IP
Chỉ hỗ trợ
Windows
Hệ điều hành có
hỗ trợ Web
Application
Hỗ trợ giao thức Nhờ có bộ lọc
ứng dụng –
Application
filters có thể hỗ
trợ các ứng dụng
chạy kết hợp
nhiều Protocols-
multiconnection
protocol
Tất cả các ứng
dụng winsock
application. Có
nghĩa là hầu hết
các ứng dụng
trên internet hiện
nay
HTTP, Secure
HTTP(HTTPS)
và FTP
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
57
Hỗ trợ xác thực
người dung, kiểm
soát user truy cập
ra ngoài
Chỉ hỗ trợ cho
VPN client
Có hỗ trợ Có hỗ trợ
Như vậy ta đã biết đến các ISA Server 2004 client khác nhau và các tính
năng riêng của các loại. Tiếp theo chúng ta sẽ tìm hiểu thêm các thủ tục để
tạo hoặc chỉnh sửa cá quy tắc trên chính sách truy cập ra ngoài internet –
outbound access policy rules thông qua các Network Template.
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server
2004 Access Policy
ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks
được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004
firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng
để cho phép lưu thông này là:
Access Rules- Các quy tắc truy cập
Publishing Rules – Các quy tắc xuất bản
Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ
nằm trong đến một Network khác không được bảo vệ nằm ngoài.
ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External.
Còn tất cả các Network được xác định là external Network thì không được
bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network,
Quarantined VPN Client Network – mạng VPN cách ly, Local Host
Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet
User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài.
Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành
đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
58
các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail,
FTP server. Web and server public rules có thể cho phép External hosts truy
cập vào các tài nguyên này.
Ở những phần trước ta đã dùng các Network Template để tự động tạo
ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể
thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol
ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user
được truy cập trên internet.
Bảng III.4.1 Một Access rules bao gồm các yếu tố sau:
Rules Element Mô tả
Thứ tự (độ ưu tiên)-
order
Firewall Access Policy là một danh sác các
Access Rules được xử lý theo thứ tự từ trên
xuống đến khi gặp 1 điều kiện cụ thể được quy
định, khi đó sẽ áp dụng theo quy định ấy
Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra là Allow-
cho phép hoặc Deny – từ chối
Protocol Protocol bao gồm tất cả các TCP/IP protocol,
TCP, UDP, ICMP, tất cả các giao thức được căn
cứ trên IP protocol number, Firewall hỗ trợ tất
cả TCP/IP Protocols
Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active
Directorydress, một dãy IP Active
Directorydress, một subnet, hay nhiều subnet
Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập
hợp các domain, một URL hay một tập các
URL, một IP hay một tập cá IP, một subnet hay
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
59
tập các subnet, hoặc tập các Network
Điều kiện – Condition Điều kiện đưa ra là căn cứ vào user hoặc group
nào sẽ được rule áp dụng
Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản
nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy
nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó.
Ví dụ:
Rules Element Giá trị
Order(priority) 1
Action Allow
Protocols HTTP & FTP
From Internal Network
To FTP.com
Condition Limited web
access(Group)
Để có thể sử dụng được các Access rules điều khiển người dùng hay
các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng
ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy
Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall
xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm
người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ
không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng
có thể thực hiện dựa trên IP nguồn.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
60
Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều
khiển việc truy cập đến một số website và việc sử dụng giao thức nào để
thực hiện công việc này.
3. Hiện trạng hệ thống
Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client
tiếp xúc trực tiếp với mạng internet qua modem nên nguy cơ bị tấn công cao.
Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông
tin không cho phép.
Các luồng dũ liệu trong công ty chưa được phân chía.
4. Các công việc triển khai & kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
Sử dụng 1 trong 2 cách:
ISA 2004
Linux IPcop
Với ISA
Ưu điểm:
Quản lý mạnh về các giao thức :http,pop3,https,smtp……
Chặn web và tải file hiệu quả :*.bat,*.exe và ngăn chặn website mong
muốn
Áp dụng các chính sách Access Rule Policy From.. To… cho các
client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào
trong hiệu quả .
Nhiều tính năng mạnh khác
Có thể tích hợp thêm các phần mềm security khác :
Surfcontrol : ngăn chặn trang web xấu
Nhược điểm:
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
61
Cấu hình cài đặt cao, cài đặt tương đối phức tạp..
Giá thành cao
Với Ipcop
Ưu điểm:
Giá thành thấp
Cài đặt đơn giản
Yêu cầu cấu hình thấp
Nhược điểm
Khó tương thích với phần mềm khác.
Đảm bảo an toàn kém.
Do những ưu, nhược điểm như vậy nên đề nghị chọn giải pháp sử dụng ISA
Server 2004.
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
Không quá phức tạp (phần phức tạp nằm ở phần cấu hình các thông
số).Chỉ có một vài yêu cầu cần xác nhận tại quá trình này.Phần cấu hình
quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng
địa chỉ IP nội bộ-Internal network IP Active Directorydress range(s).Không
giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local
Active Directorydress Table (LAT) để xác định đâu là Mạng đáng tin cậy
(trusted Networks), và đâu là
mạng không được tin cậy (untrusted Networks) .Thay vào đó , ISA Server
2004 firewall các IP nội bộ được xác nhận bên dưới Internal Network.
Internal Network nhắm xác định khu vực có các Network Servers và các
Services quan trọng như :Administratorsdomain controllers, DNS, WINS,
RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả
các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều
khiển bởi các chính sách của Firewall (firewall’s System Policy). System
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
62
Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined
Access Rules), nhằm xác định loại thông tin nào được cho phép vào
(inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài
đặt. System Policy có thể cấu hình, cho phép các Security Active
Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của
System Policy…
4.3 Mô hình cấu hình ISA vào mạng công ty
Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty
vinapay.
Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
63
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
64
Hình III.5 Cho phép kết nối từ Firewall ra internet
Hình III.6 Ngăn chặn truy nhập vào site
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
65
Hình III.7 Rule ngăn việc downloAdministrators1 File
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
66
Hình III.8 Cho phép truy nhập FTP server
4.3 Sao lưu dự phòng
Lý do cần sao lưu :
Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn
định
Việc xây dựng hệ thống ISA đòi hỏi mất nhiều thời gian cấu hình các
chính sách của user.
Sự cố về phần cứng
Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại
Kế hoạch xây dựng hệ thống dự phòng
Các phương án dự phòng
Trường hợp 1
Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
67
Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống
Cách khắc phục
Sử dụng tiện ích backup với lịch sao lưu như sau:
Time Type of Backup Object Backup
Monday Daily (17:59) C drive và System State
Tuesday Daily (17:59) C drive và System State
Wednesday Daily (17:59) C drive và System State
Thursday Daily (17:59) C drive và System State
Friday Daily (17:59) C drive và System State
Saturday Daily (17:59) C drive và System State
Sunday Normal (23:59) C drive và System State
Backup cấu hình chính sách của ISA bằng cách sử dụng tiện ích của ISA:
Để đảm bảo nhanh chóng hồi phục các cấu hình trong chính sách truy cập
người dùng trong ISA ta có
Các file đính kèm theo tài liệu này:
- erp_p3_6755.pdf