Bao cao thuc tap

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM
KHOA CAO ĐẲNG THỰC HÀNH
----------
BÁO CÁO THỰC TẬP TỐT NGHIỆP
NGHIÊN CỨU HỆ THỐNG TƯỜNG LỬA ISA 2006
NGÀNH : QUẢN TRỊ MẠNG
Giảng viên hướng dẫn: Nguyễn Đức Quang
Sinh viên thực hiện : Đoàn Xuân Bách
Mã sinh viên: 12200334 Lớp: C12QM11

BÁO CÁO THỰC TẬP
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ
khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan
tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em xin
gửi đến quý Thầy Cô ở Khoa Cao Đẳng Thực Hành – Trường Đại Học Kỹ Thuật Công
Nghệ TP.HCM và Trung tâm đào tạo quản trị mạng & an ninh mạng Athena đã cùng với
tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong
suốt thời gian học tập tại trường. Và đặc biệt, trong học kỳ này, Khoa đã tổ chức cho
chúng em được tiếp cận với môn học mà theo em là rất hữu ích đối với sinh viên ngành
Quản Trị Mạng cũng như tất cả các sinh viên thuộc các chuyên ngành Công Nghệ Thông
Tin khác. Em xin chân thành cảm ơn thầy Nguyễn Đức Quang đã tận tâm hướng dẫn
chúng em qua từng buổi học trên lớp cũng như những buổi nói chuyện, thảo luận về lĩnh
vực sáng tạo trong nghiên cứu mạng máy tính. Nếu không có những lời hướng dẫn, dạy
bảo của thầy thì em nghĩ bài thu hoạch này của em rất khó có thể hoàn thiện được. Một
lần nữa, em xin chân thành cảm ơn thầy. Bài thu hoạch được thực hiện trong khoảng thời
gian gần 3 tuần. Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực theo đề tài, kiến thức của
em còn hạn chế và còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều
chắc chắn, em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và
các bạn học cùng lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.
Lời Cảm Tạ GVHD : thầy Nguyễn Đức Quang, thầy Võ Đỗ Thắng và thầy Trương
Văn Cường | SVTT: Đoàn Xuân Bách, em xin kính chúc quý Thầy Cô trong Khoa Cao
Đẳng Thực Hành, Thầy Hiệu Trưởng – PGS. TSKH. Hồ Đắc Lộc và quý Thầy Cô tại
trung tâm Athena thật dồi dào sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp
của mình là truyền đạt kiến thức cho thế hệ mai sau.
Page 2

SV : Đoàn Xuân Bách – GVHD : Trương Văn Cường
GIỚI THIỆU TRUNG TÂM ATHENA
Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA được
thành lập từ năm 2004, là một tổ chức qui tụ nhiều trí thức trẻ Việt Nam đầy năng động,
nhiệt huyết và kinh nghiệm trong lãnh vực CNTT, với tâm huyết góp phần vào công cuộc
thúc đẩy tiến trình đưa công nghệ thông tin là ngành kinh tế mũi nhọn, góp phần phát
triển nước nhà .
Lĩnh vực hoạt động chính:
+Trung tâm ATHENA đã và đang tập trung chủ yếu vào đào tạo chuyên sâu quản
trị mạng, an ninh mạng, thương mại điện tử theo các tiêu chuẩn quốc tế của các hãng nổi
tiếng như Microsoft, Cisco, Oracle, Linux LPI , CEH,...
+Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao cấp
dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An , ngân
hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính..
+ Sau gần 10 năm hoạt động,nhiều học viên tốt nghiệp trung tâm ATHENA đã là
chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều bộ ngành
như Cục Công Nghệ Thông Tin - Bộ Quốc Phòng , Bộ Công An, Sở Thông Tin Truyền
Thông các tỉnh, bưu điện các tỉnh,...
+ Ngoài chương trình đào tạo, Trung tâm ATHENA còn có nhiều chương trình
hợp tác và trao đổi công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành Phố
Hồ Chí Minh, Học Viện An Ninh Nhân Dân (Thủ Đức), Học Viện Bưu Chính Viễn
Thông, Hiệp hội an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự ,......
Page 3

Đội ngũ giảng viên :
+Tất cả các giảng viên trung tâm ATHENA có đều tốt nghiệp từ các trường đại
học hàng đầu trong nước .... Tất cả giảng viên ATHENA đều phải có các chứng chỉ quốc
tế như MCSA, MCSE, CCNA, CCNP, Security+, CEH,có bằng sư phạm Quốc tế
(Microsoft Certified Trainer).Đây là các chứng chỉ chuyên môn bắt buộc để đủ điều
kiện tham gia giảng dạy tại trung tâm ATHENA
+Bên cạnh đó,Các giảng viên ATHENA thường đi tu nghiệp và cập nhật kiến
thức công nghệ mới từ các nước tiên tiến như Mỹ , Pháp, Hà Lan, Singapore,... và
truyền đạt các công nghệ mới này trong các chương trình đào tạo tại trung tâm
ATHENA
Cơ sở vật chất:
+Thiết bị đầy đủ và hiện đại
+Chương trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những công
nghệ mới nhất.
+Phòng máy rộng rãi, thoáng mát
Dịch vụ hỗ trợ:
+Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn
+Giới thiệu việc làm cho mọi học viên
+Thực tập có lương cho học viên khá giỏi
+Ngoài giờ học chính thức, học viên được thực hành thêm miễn phí, không giới
hạn thời gian.
+Hỗ trợ kỹ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính,
mạng máy tính, bảo mật mạng.
+Hỗ trợ thi Chứng chỉ Quốc tế.
Page 4

Trung tâm Athena – 92 Nguyễn Đình Chiểu, P.Dakao, Q.1
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
NHẬN XÉT THỰC TẬP
Họ và tên sinh viên : Đoàn Xuân Bách
Page 5

Mã sinh viên : 12200334
Khoá học : 2012 - 2015
1. Thời gian thực tập :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
2. Bộ phận thực tập :
……………………………………………………………………………………
……………………………………………………………………………………
3. Tinh thần trách nhiệm với công việc và ý thức chấp hành kỷ luật :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
4. Kết quả thực tập theo đề tài :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
5. Nhận xét chung :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Cán bộ hướng dẫn của cơ quan đến thực tập
(Ký và ghi rõ họ tên)
Ngày ....... tháng ........ năm .........
Thủ trưởng cơ quan
(Ký tên và đóng dấu)
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN :
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
Page 6

.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
.................................................................................................................................
Ngày ....... tháng ........ năm .........
GIÁO VIÊN HƯỚNG DẪN
(Ký và ghi rõ họ tên)
MỤC LỤC
DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT.........................................Page 8
MỞ ĐẦU.........................................................................................................Page 9
CHƯƠNG I : TỔNG QUAN VỀ ISA SERVER .......................................Page 11
I. Giới thiệu chung về ISA Server ......................................................Page 11
II. Tính năng chính của ISA Server ....................................................Page 11
Page 7

III. Các phiên bản ISA Server ...............................................................Page 12
3.1) Phiên bản ISA Server 2000 .................................................................Page 12
3.2) Phiên bản ISA Server 2004 .................................................................Page 12
3.2.1) Giới thiệu....................................................................................Page 12
3.2.2) Tính năng...................................................................................Page 13
3.3) Phiên bản ISA Server 2006..................................................................Page 13
3.3.1) Giới thiệu....................................................................................Page 13
3.3.2) Các phiên bản ISA Server 2006.................................................Page 14
3.3.2.1) Phiên bản Enterprise và Standard....................................Page 14
3.3.2.2) Tính năng của ISA Server 2006......................................Page 15
IV. Các mô hình ISA ..............................................................................Page 17
4.1) Front-End.............................................................................................Page 17
4.2) Back-End.............................................................................................Page 18
4.3) Inter-network Access Control .............................................................Page 19
4.4) Branch office VPN gateway ...............................................................Page 20
4.5) Back-to-Back Firewall ........................................................................Page 21
4.6) Application Layer Filtering Web Proxy ..............................................Page 22
4.7) Forward Web Caching Server .............................................................Page 23
4.8) Reverse Web Caching Server .............................................................Page 24
4.9) Integrated Firewall và Web Proxy và Caching Server ........................Page 24
V. Giới thiệu TMG 2010 và so sánh với ISA ......................................Page 25
5.1) Giới thiệu TMG 2010 .........................................................................Page 25
5.2) Các chức năng chính của TMG 2010 ..................................................Page 25
5.3) Các tính năng nổi trội của TMG 2010 ................................................Page 25
5.4) Cấu hình yêu cầu để cài đặt TMG 2010 ..............................................Page 26
5.5) So sánh ISA 2006 và TMG 2010 ........................................................Page 27
CHƯƠNG II : CÀI ĐẶT ISA SERVER.....................................................Page 28
I. Yêu cầu cài đặt..................................................................................Page 28
II. Tiến trình cài đặt...............................................................................Page 28
2.1) Phần mềm cài đặt trên máy ảo..............................................................Page 28
2.2) Cài đặt ISA Server...............................................................................Page 30
2.3) Cấu hình SecureNAT cho Client..........................................................Page 39
2.4) Cấu hình Web Proxy Client.................................................................Page 45
2.5) Cài đặt ISA Client................................................................................Page 49
CHƯƠNG III : RULE VÀ POLICY..........................................................Page 52
Page 8

KẾT LUẬN VÀ KIẾN NGHỊ .....................................................................Page 55
TÀI LIỆU THAM KHẢO...........................................................................Page 56
BÁO CÁO TẠI TRUNG TÂM ATHENA ................................................Page 57
THUẬN LỢI VÀ KHÓ KHĂN KHI THỰC TẬP....................................Page 58
Page 9

DANH MỤC CÁCH KÝ HIỆU, CHỮ VIẾT TẮT
Từ viết tắt Viết đầy đủ Ý nghĩa
NAT Network Address Translation Biên dịch địa chỉ mạng
TMG Threat Management Gateway Như là một tường lửa hoặc web an toàn,
cung cấp và quản trị an ninh để kiểm
soát mạng lưới thông tin liên lạc.
OWA Outlook Web App Sử dụng để truy cập email, lịch, địa chỉ
liên lạc.
SSI Server Site Includes Là chỉ thị được đặt trong trang HTML,
và được đánh giá trên máy chủ trong các
trang đang được phục vụ.
RDP Remote Desktop Protocol Là giao thức độc quyền của Microsoft,
cung cấp giao diện đồ họa máy tính khác
qua kết nối mạng.
DMZ Demilitarized Zone Khu vực bảo mật thực hiện ngăn nhưng
lưu lượng Internet cách xa hệ thống
mạng cục bộ.
VPN Vitual Private Network Mạng riêng ảo
MỞ ĐẦU
Page 10

 Lý do em chọn đề tài : Em quyết định chọn đề tài ISA 2006 bởi vì đề tại này hiện
được rất nhiều công ty đang sử dụng thành công và hiệu quả ưa chuộng trên thị
trường, lại rất thiết thực, phù hợp với môn học hiện tại. Giúp em có thêm kinh
nghiệm, hiểu biết rõ hệ thống mạng và dễ thích nghi vào công việc quản trị mạng
sau khi ra trường.
 Đề tài được nghiên cứu theo phương pháp thực nghiệm : Trên máy tính và các
thiết bị mạng bao gồm :
 Máy Server cài Window Server 2003 SP2, Domain Controller.
 Máy ISA cài Window Server 2003 SP2, gia nhập Domain từ máy Server.
 Laptop sinh viên.
 Kết quả đạt được :
 Giới thiệu tổng quan về ISA Server, cài đặt và cấu hình cơ bản cho hệ thống.
 Thiết lập được các Rule ISA Server 2006 để đáp ứng cho các yêu cầu quản lý
và bảo mật cho doanh nghiệp vừa và nhỏ.
 Những vấn đề tồn tại :
Các cơ quan, công ty lớn nhỏ đều xây dựng hệ thống mạng máy tính để làm việc,
giao dịch đặc biệt trong thời gian gần đây, số lượng các website thương mại báo
chí, dịch vụ … phát triển khá nhanh. Các cơ quan, doanh nghiệp sẵn sàng đầu tư
tiền tỉ để xây dựng và phát triển một website thương mại, một tờ báo điện tử,
nhưng lại vô tình quan tâm hoặc đầu tư chưa đúng cho vấn đề bảo mật.
 Quản trị mạng chậm chân hơn các hacker
Có một thực tế : Các hacker luôn đi trước các quản trị mạng trong việc cập nhật thông
tin download các bản sửa lỗi về các lỗ hỏng bảo mật mới phát hiện. Jal (Admin – quản
trị website của tổ chức HVA) cho biết : Do tham gia vào các diễn đàn hacker, diễn
đàn CNTT trên thế giới nên các lỗi bảo mật cộng đồng CNTT và thế giới tìm thấy, chỉ
trong vài ngày hay một tuần là các hacker Việt Nam có thể nắm bắt trong tay mã
(code) khai thác và chỉ cần một chỗ có thể khai thác thông tin trên nhiều server Việt
Nam. Trong khi đó, ngược lại các quản trị mạng trong nước dường như ít cập nhật
thường xuyên các lỗi bảo mật mới được phát hiện này để kịp thời sửa lỗi, nên không
khó lý giải vì sao hacker có thể ung dung mở cửa đi vào hệ thống mạng ngay trước
mắt các chủ nhà. Ngoài ra do các website thường được đặt thiết kế, xây dựng bởi một
vài nhóm lập trình viên nhất định nên code của website thường giống nhau, do đó lỗi
bảo mật ở site này có thể áp dụng dùng để khai thác tấn công với nhiều site khác.
Theo cảnh báo của các hacker, các cuộc tấn công phổ biến hiện nay được thực hiện
bằng cách : Các hacker sẽ tấn công vào một trang web hay một hệ thống yếu nhất
được host (nơi lưu trữ web) trong cùng một máy chủ, từ đó có thể tấn công vào máy
chủ và cách trang web hosting trong cùng máy chủ đó dễ dàng. Điều đáng lo hơn,
trước đây khi bị hack, các hacker sẽ deface (làm biến dạng nội dung trang đó) nên
Page 11

quản trị mạng biết ngay. Còn bây giờ, bị hacker đột nhập nhiều khi cả tháng hay 3
tháng sau, khi trở vào vẫn thấy backdoor (một chương trình được hacker cài vào máy
để sau đó có thể quay lại xâm nhập vào dễ dàng hơn) vẫn còn đó. Điều này cho thấy
các quản trị mạng các site Việt Nam không tập trung check log (kiểm tra quá trình
hoạt động của máy) và check server (kiểm tra máy chủ) mỗi ngày.
 Dự kiến tiếp theo :
 Cài đặt ISA Server trên hệ thống máy ảo.
 Thiết lập các Access Rule
 Cho vùng mạng LAN ra ngoài Internet.
 Quản lý truy cập vào các trang web.
 Quản lý truy cập Website.
 Quản lý truy cập theo thời gian.
 Quản lý các Users văn phòng tại các file đuôi được phép tải như (*.rar, *.exe,
*.mp3, *.avi, …)
 Quản lý các dịch vụ như Yahoo.
 Quản lý Mail Server.
 Quản lý Application Server.
 Kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và vị trí địa lý
xa nhau.
 Chuyển tiếp thông tin và kiểm soát tạo sự an toàn khi truy cập Internet của các
máy khách.
 Tự động Download và cập nhật thông tin trong Cache bằng Content Download
Job.
 Content Download Job sẽ tự động khởi tạo một Contention đến trang web nào
đó do Admin quy định và Download toàn bộ nội dung của trang web đó về và
lưu vào Cache.
 Bảo mật các truy cập ra ngoài Internet từ trong mạng Internal và ngược lại.
Giám sát lưu lượng giữa các mạng, sửa các lỗi kết nối mạng, điều tra các cuộc
tấn công, lên kế hoạch cho sự thay đổi.
Page 12

CHƯƠNG I : TỔNG QUAN VỀ ISA SERVER
I. Giới thiệu chung về ISA Server :
 Microsoft Internet Security and Acceletion (ISA Server) là phần mềm chia sẽ
Internet của hãng Microsoft. Đây là một trong những phần mềm tường lửa
(Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo trì hệ
thống mạnh mẽ cùng với cơ chế linh hoạt. Hiện nay ISA Server có hai phiên
bản Standard và Enterprise.
 Phiên bản ISA Standard Edition là phiên bản sử dụng cho hệ thống vừa và nhỏ.
Với phiên bản này ta có thể xây dựng Firewall kiểm soát luồng dữ liệu vào ra
của hệ thống, thiết lập các chính sách Firewall ngăn chặn việc truy cập vào các
Website có nội dung không phù hợp.
 Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng
lớn, đáp ứng được như cầu trao đổi thông tin lớn giữa mạng nội bộ bên ngoài.
Những tính năng đã có trên ISA Standard Edition, phiên bản Enterprise còn
cho phép thiết đặt hệ thống mạng các ISA Server cùng sử dụng một chính sách,
điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (Cân
bằng tải).
 Chúng ta có rất nhiều phiên bản ISA Server như : 2000, 2004, 2006. Bản mới
nhất hiện này là 2008.
II. Tính năng chính của ISA Server :
 Định tuyến và các tính năng truy cập từ xa : Microsoft Forefront TMG có thể
hoạt động như một bộ định tuyến, Internet Gateway, máy chủ mạng ảo (VPN),
dịch địa chỉ mạng (NAT) máy chủ và một máy chủ proxy.
 Tính năng bảo mật Microsoft Forefront TMG là một tường lửa có thể kiểm tra
lưu lượng truy cập mạng (bao gồm cả nội dung web, nội dung web an toàn và
email) và lọc ra các phần mềm độc hại, cố gắng khai thác lỗ hỏng an ninh và
nội dung không phù hợp với chính sách bảo mật được xác định trước. Trong ý
nghĩa kỹ thuật, Microsoft TMG cung cấp bảo vệ lớp ứng dụng, trạng thái lọc,
lọc nội dung và bảo vệ chống phần mềm độc hại.
 Tính năng hiệu suất mạng : Microsoft Forefront TMG cũng có thể cải thiện
hiệu suất mạng : Nó có thể nén lưu lượng truy cập web để cải thiện tốc độ
truyền thông truy cập để người dùng có thể truy cập chúng nhanh hơn từ bộ
nhớ cache của mạng lưới địa phương. Microsoft Forefront TMG 2010 cũng có
thể nhớ cache dữ liệu nhận được thông qua giới hạn như cập nhật phần mềm
xuất bản trên Microsoft Update của trang web.
Page 13

III. Các phiên bản ISA Server :
3.1) Phiên bản ISA Server 2000 :
 ISA Server 2000 là phần mềm của Microsoft được sử dụng thay thế cho phần
mềm Proxy 2.0 và được tích hợp thêm chức năng bảo mật (Firewall).
 Các chức năng chính của ISA Server 2000 :
 Truy cập Internet tập trung (Proxy) : Cho phép nhiều user từ nhiều trạm
làm việc có thể đồng thời truy cập Internet qua một mối liên kết chung
từ một máy chủ proxy.
 Tác dụng của proxy :
 Tăng tốc độ truy cập Internet nhờ sử dụng cache (Bộ đệm lưu
trữ). Cache sẽ lưu trữ lại nội dung các trang web được truy cập
vào máy chủ Proxy, ở lần truy cập kế tiếp, khi user muốn xem
thông tin từ trang web đó thì lấy thẳng từ cache của Proxy Server
mà không cần vào Internet nữa, do đó việc kết nối được diễn ra
nhanh hơn và vẫn thực hiện được ngay cả trong trường hợp Proxy
Server ngắt kết nối với Internet (offline).
 Quản lý được việc truy cập Internet : cho phép chỉ những user có
quyền lệ thì mới được truy cập Internet qua Proxy, những user
khác sẽ không được phép sử dụng Proxy. Ngoài ra, còn có thể
quản lý việc truy nhập Internet theo các Website sử dụng Proxy.
Còn có thể quản lý việc truy cập Internet cho các Website nhất
định, tức là chỉ ra những Website nào không được phép kết nối,
hoặc chỉ định user chỉ được kết nối trong khoảng thời gian nào đó
trong ngày, do đó tận dụng được tối đa băng thông (bandwidth)
và hạn chế tắt nghẽn khi quá nhiều người truy cập đồng thời.
 Bảo mật mạng cục bộ : ngăn chặn những truy cập trái phép từ bên
ngoài vào mạng công ty. Những truy cập được Firewall xác nhận
là hợp lệ thì mới được phép.
 Tác dụng của Firewall : Ngăn chặn những truy cập từ bên ngoài vào
mạng công ty hoặc từ bên trong ra mạng công cộng. Việc ngăn chặn
được thực hiện qua việc hạn chế những giao thức được sử dụng để truy
cập (http, FTP, Telnet, ICMP, …)
3.2.1) Giới thiệu :
 ISA Server 2004 chạy trên Windows Server 2003 Standard hoặc Enterprise
Edition. Thiết bị phần cứng có chứa Windows Server 2003 Appliance Edition
và ISA Server Standard Edition có sẵn từ nhiều đối tác của Microsoft.
Page 14

 Microsoft Internet Security and Acceleration Server (ISA Server) là một phần
mềm dùng để làm một Proxy Server (chia sẻ kết nối Internet) và Firewall
(tường lửa).
 Được nâng cấp từ MS ISA 2000 Server.
 Khá hiệu quả, ổn định, dễ cấu hình, thiết lập Firewall.
 Tốc độ nhanh nhờ có cache thông minh, lưu cache trên đĩa.
 Tự động download thông tin trên các Web Server lưu vào cache và máy trạm
chỉ cần lấy thông tin trên các Server đó bằng mạng LAN.
3.2.2) Tính năng :
 Cung cấp tính năng Multi-Network : kỹ thuật thiết lập các chính sách truy cập
dựa trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ
mạng con.
 Giới hạn truy cập các client bên ngoài Internet bằng cách tạo ra một vùng mạng
ngoại vi (DMZ), không cho phép truy cập mạng nội bộ.
 Cho phép giám sát tất cả các lưu lượng mạng.
 Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con.
 Tạo mạng riêng ảo (VPN) và truy cập từ xa cho doanh nghiệp.
 Cung cấp kỹ thuật bảo mật và thiết lập Firewall.
 Kỹ thuật cache thông minh (web cache) để tăng tốc độ truy cập.
3.3.1) Giới thiệu :
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm
share Internet (chia sẻ Internet) của hãng Microsoft, là bản nâng cấp từ phần mềm MS
ISA 2000 Server. Có thể nói đây là một phần mềm share Internet khá hiệu quả, ổn
định, dễ cấu hình, thiết lập tường lửa (Firewall) tốt, nhiều tính năng nổi bật. ISA
Server được thiết kế chủ yếu để hoạt động như một tường lửa nhằm đảm bảo rằng tất
cả những “ traffic ” không trông đợi từ Internet được chặn lại, từ bên ngoài mạng của
tổ chức, đồng thời ISA Server có thể cho phép các người dùng bên trong mạng tổ
chức truy cập một cách có chọn lọc đến các tài nguyên từ Internet và người dùng trên
Internet có thể truy cập vào tài nguyên trong mạng của tổ chức sao cho phù hợp với
các chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức.
Và một số các chức năng khác.
Page 15

3.3.2) Các phiên bản của ISA Server 2006 :
3.3.2.1) Phiên bản Enterprise và Standard :
ISA Server 2006 đáp ứng nhu cầu để bảo vệ và chia sẽ băng thông cho các công ty
có quy mô nhỏ và trung bình. ISA Server có 2 phiên bản là Enterprise và Standard.
Trong đó phiên bản Standard được thiết kế cho những người dùng cần bảo vệ hệ
thống mạng nhỏ với chỉ một Firewall. Cao cấp hơn, phiên bản Enterprise được thiết kế
cho những hệ thống mạng trung tâm trở lên với một hay vài nhóm Firewall.
 Đặc điểm của Standard Edition :
 Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty.
 Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn những việc kết nối vào những trang web có nội
dung không phù hợp, thời gian không thích hợp (ví dụ như trong giờ làm
việc)
 Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay
Remote Access hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ của công ty,
hoặc trao đổi dữ liệu văn phòng và hội sở.
 Đối với các công ty có những hệ thống máy chủ Public như Mail Server,
Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA
Server 2006 cho phép triển khai vùng DMZ nhằm ngăn chặn sự tương tác
trực tiếp giữa người dùng bên ngoài và bên trong hệ thống.
 Ngoài các tính năng bảo mật thông tin trên ISA 2006 bản Standard còn có
chức năng tạo cache cho phép rút ngắn thời gian tăng tốc kết nối Internet
của mạng nội bộ.
Page 16

 Chính vì thế mà sản phẩm Firewall này có tên gọi là Internet Security and
Acceleration (Bảo mật và tăng tốc Internet).
 Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô
hình mạng lớn, đáp ứng được như cầu truy xuất của nhiều người dùng bên
ngoài và bên trong hệ thống. Ngoài những tính năng đã có trên ISA Server
2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server
cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp các
tính năng Load Balancing (cân bằng tải).
3.3.2.2) Tính năng của ISA Server 2006:
ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng
LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache
vào RAM (Random Access Memory) giúp bạn truy xuất thông tin nhanh hơn, và tính
năng Schedule Cache (Lập lịch cho tự động download thông tin trên các Web Server
lưu vào Cache và máy con chỉ cần lý thông tin trên các Web Server đó bằng mạng
LAN). Ngoài ra các chính sách bảo mật thông tin tương đối tốt.
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây là
những tính năng mà các doanh nghiệp ở Việt Nam ít dùng)
 Về khả năng Publishing Service :
 ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang
OWA (Outlock Web Access), đây là Module của Microsoft Exchange
Server (một Server phục hồi Mail) nó cho phép người dùng truy cập quản
trị Mailbox của họ từ xa thông qua Web Browser), qua đấy hỗ trợ chứng
thực kiểu form based. Chống lại các người dùng bất hợp pháp vào trang
web OWA, tính năng được phát triển dưới dạng Add-in.
 Cho phép Public Terminal Server theo chuẩn RDP over SSI, đảm bảo dữ
liệu trong liên kết được mã hóa trên Internet (kể cả password).
 Block các kết nối non-encrypted MAPI đến Exchanger Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchanger Server.
 Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra
Internet một cách an toàn. Hỗ trợ cả các sản phẩm mới như Exchanger
2007.
 Khả năng kết nối VPN :
 Cung cấp Wizard cho phép cấu hình tự động Site-to-Site VPN ở 2 văn
phòng riêng biệt, tất nhiên ai thích cấu hình bằng tay tại từng thời điểm một
cũng được. Tích hợp hoàn toàn Quan-ration.
 Stateful filtering and inspection kiểm tra đầy đủ các VPN connection Site-to-
Site secureNAT cho VPN Client, …
Page 17

 Về khả năng quản lý :
 Dễ dàng quản lý.
 Rất nhiều Wizard.
 Backup và Restore đơn giản.
 Log và Report chi tiết cụ thể.
 Khai báo thêm Server vào Array dễ dàng (Không khó như ISA 2000, 2004).
 Tích hợp với giải pháp quản lý cụ thể của Microsoft : MOM
 Các tính năng khác :
 Hỗ trợ nhiều CPU và RAM (Bản Standard hỗ trợ đến 4 CPU, 2GB RAM).
 Max 3 node Network Load Balancing.
 Hỗ trợ nhiều Network.
 Firewall Rule đa dạng.
 IDS.
 Flood Resiliency.
 http Compression.
 Diffserv.
Page 18

IV. Các mô hình ISA :
4.1) Front-End :
 Kiểm tra lưu lượng truy cập nhiều lớp – Kiểm tra trạng thái gói tin và lớp
ứng dụng.
 Lớp ứng dụng thông minh nhận thức các bộ lọc kiểm tra.
 Phát hiện xâm nhập.
 Giảm thiểu Worm và Flood.
 Hệ thống vững chắc để khóa hệ điều hành cơ sở.
 Tích hợp VPN.
 Nắm giữ gateway các chi nhánh văn phòng an ninh.
 Có giải pháp truy cập từ xa cho Microsoft Exchange và SharePoint Portal
Server.
 Tối ưu hóa công cụ tường lửa để vận chuyển lưu lượng đã lọc ở tốc độ
Gigabyte.
Page 19

4.2) Back-End :
 Hỗ trợ publish Outlook Web Access.
 Hỗ trợ publish RPC/HTTP Web Access.
 Hỗ trợ publish web Internet Information Services (IIS).
 Hỗ trợ publish Exchange RPC.
 Hỗ trợ publish SharePoint Portal Server.
 Users và Groups dựa trên kiểm soát truy cập cho tất cả các giao thức và
dịch vụ Internet.
 Tích hợp VPN Site-to-Site để kết nối mạng LAN với mạng Backbone.
 Web Proxy được gắn phía trên Web Proxy Server.
 Có thể để lại cơ sở hạ tầng của tường lửa sẵn có. Không bao giờ cần phải
tách và thay thế để nâng cấp bảo mật từ ISA Firewall.
 Front-End third party firewalls giúp tăng năng suất của ISA Firewall bằng
cách loại bỏ lưu lượng rác – Cung cấp thêm chu kỳ xử lý cho ISA Firewall
để thực hiện kiểm soát các lớp ứng dụng sâu.
Page 20

4.3) Inter-network Access Control :
 ISA 2006 multi-networking áp dụng chính sách tường lửa cho tất cả giao
các diện.
 Nâng cao phòng chống Worm và Flood ngăn chặn Attackers làm tràn
Firewall và Servers.
 Tăng cường định nghĩa các đối tượng mạng để dễ tinh chỉnh điều khiển truy
cập.
 Định tuyến giữa các mạng có thể được thiết lập thành NAT hoặc Routed.
 Users và Groups dựa trên kiểm soát truy cập để xác định chi nhánh nào của
doanh nghiệp có thể truy cập.
 Đăng nhập và báo cáo toàn diện tất cả những Users truy cập thông qua ISA
Firewall.
 Các chi nhánh bảo mật cực cao có thể được cấu hình để yêu cầu truy cập
VPN cho 2 yếu tố xác thực.
 Tiển khai việc kiểm tra trạng thái gói tin trên mọi giao diện.
 Các bộ lọc ứng dụng thông minh thực hiện việc kiểm soát lưu lượng giữa
mạng LAN.
 Điều khiển truy cập thông minh và kiểm soát trạng thái của lưu lượng
WLAN để tăng cường an ninh.
Page 21

4.4) Branch office VPN gateway :
 IPSec Tunnel chế độ hỗ trợ cho phép bạn tạo liên kết Site-to-Site với VPN
gateway thứ 3.
 PPTP và L2TP/IPSec cho phép bạn tạo liên kết Site-to-Site với Microsoft
VPN gateway.
 Các tùy chọn chứng thực EAP kích hoạt an ninh VPN gateway chặt chẽ.
 Việc kiểm soát trạng thái gói tin và lớp ứng dụng thông qua kết nối Site-to-
Site xác định tài nguyên ở mạng văn phòng chính có thể được truy cập bởi
mạng từ xa.
 ISA Firewall điều khiển gói tin đi vàovà đi ra từ Internet ở văn phòng chi
nhánh.
 ISA Enterprise Edition kích hoạt quản trị viên ISA Firewall ở văn phòng
chính để thiết lập chính sách tường lửa ở các văn phòng chi nhánh từ một
địa điểm duy nhất và triển khai chính sách đó một cách tự động.
 Các bộ lọc lớp ứng dụng thông minh thực hiện kiểm tra trạng thái lưu lượng
giữa VPN và mạng LAN.
 Bộ nhớ đệm BITS giảm băng thông yêu cầu với kết nối VPN Site-to-Site.
 Bộ nén HTTP giảm tác động của Web download trên VPN Site-to-Site.
 Việc phòng chống Worm và Flood ngăn chặn các cuộc tấn công Denial of
Service (DoS) làm thiệt hại văn phòng chi nhánh.
Page 22

 Web Proxy Chaining tăng tốc độ truy cập Internet ở văn phòng chi nhánh
bằng cách lấy nội dung từ Web Proxy Arrays từ văn phòng chính.
 Diffserv QoS cho phép các văn phòng chi nhánh sửa dụng băng thông giới
hạn giữa văn phòng chính và văn phòng chi nhánh một cách tốt nhất.
4.5) Back-to-Back Firewall :
 Kiểm soát trạng thái gói tin trên mọi giao diện ở cả ISA Firewall Front-End
và Back-End.
 Kiểm tra lớp ứng dụng ở mọi giao diện, bao gồm cả kết nối VPN client và
gateway.
 Có kết nối VPN client và server trên mọi giao diện.
 Có khả năng xác thực trên mọi giao diện.
 Đăng nhập và báo cáo toàn diện cho mọi lưu lượng di chuyển qua giao diện
của ISA Firewall.
Page 23

4.6) Application Layer Filtering Web Proxy :
 Có khả năng để cơ sở hạ tầng của Firewall được nguyên vẹn, bạn có thể thả
vào ISA Firewall Proxy lọc lớp ứng dụng hầu như ở bất cứ đâu.
 Tường lửa kiểm soát trạng thái gói tin Front-End và Back-End ở cơ sở thứ 3
có thể vận chuyển gói tin ở tốc độ cao trong khi cho phép ISA Firewall
cung cấp an ninh ở cấp độ rất cao để thông tin liên lạc Web đi qua bộ lọc
kiểm soát lớp ứng dụng của nó.
 Một ISA Firewall Web Proxy được cường hóa có thể được đặt trên đoạn
vành đai mạng để giảm bề mặt tấn công. Thông báo cho chủ và người quản
trị mạng mặc dù ISA Firewall không hỗ trợ dịch vụ hoàn chỉnh cho mạng.
Các thành phần tường lửa cùng cấp độ doanh nghiệp tự động bảo vệ các
thiết bị ISA Firewall, giúp nó trở thành thiết bị bảo mật nhất trong mạng
công ty.
 Trong các Web Proxy Scenario đảo nghịch, proxy lọc lớp ứng dụng của
ISA Firewall có thể chuyển tiếp thông tin người dùng đi qua Back-End
Firewall để tài xác thực người dùng từ xa. Loại tái xác thực này ở ISA
Page 24

Firewall ngăn chặn các kết nối ẩn danh đến các dịch vụ và Web Server
Back-End.
 Ngoài ra đối với an ninh được cung cấp bởi việc tái xác thực, ISA Firewall
bao gồm một HTTP Security Filter kiểm soát mọi khía cạnh của truyền
thông HTTP và có thể được cấu hình chỉ cho phép truy cập Exchange và
SharePoint Portal Server hợp pháp.
 Proxy nghịch cho Microsoft Exchange Servers là công dụng nổi tiếng nhất
cho các tổ chức lớn. ISA Firewall được xây dựng để cung cấp an ninh mức
độ cao cho các kết nối truy cập từ xa đến mọi dịch vụ Exchange Servers,
bao gồm Outlook Web Access, Outlook Mobile Access, Exchange
ActiveSync, SMPT/S, POP3/S, và IMAP4/S. Ngoài ra, tường lửa ISA 2006
hoạt động như proxy nghịch cung cấp một an ninh mức độ cao cho các kết
nối truy cập từ xa sử dụng Outlook 2003/2007 RPC/HTTP, cung cấp kết nối
mọi nơi cho Outlook clients.
 Một công dụng rất nổi tiếng khác cho proxy nghịch ISA Firewall là cung
cấp kết nối truy cập từ xa đến dịch vụ Microsoft SharePoint Portal Server.
Tường lửa ISA 2006 có những cải tiếng đáng kể cung cấp hỗ trợ duy nhất
cho các nhiệm vụ có khả năng phức tạp của việc publish SharePoint Portal
Servers. Những sự phức tạp có thể tốn hàng chục tiếng để khắc phục của
các sản phẩm khác hoàn toàn được xử lý bởi ISA 2006 được xây dụng bởi
wizards SharePoint Portal Servers và các công nghệ phiên dịch liên kết.
4.7) Forward Web Caching Server :
 Bộ nhớ đệm nhanh trong bộ nhớ RAM cho phép truy cập đặc biệt nhanh tới
nội dung Web được lưu trong bộ nhớ đệm Web proxy lưu trong bộ nhớ
RAM.
 Tối ưu hóa cơ sở dữ liệu bộ nhớ đệm cho bộ nhớ đệm trên đĩa cho phép
tường lửa ISA và các mảng của tường lửa ISA lưu trữ hàng trăm gigabytes
nội dung các file bộ nhớ đệm được tối ưu hóa trên đĩa.
 Các downloads nội dung bộ nhớ đệm được lên lịch. Tính năng này cho
phép bạn tải lại bộ nhớ đệm Web nội dung họ chọn. Nhiều lần công ty yêu
cầu nội dung luôn có sẵn, kể cả khi kết nối Internet hoặc Server ngưng.
Content Download Jobs cung cấp cho các công ty khả năng tái cư ngụ bộ
nhớ đệm để các nhân viên có thể truy cập nội dung này mọi lúc.
Hierarchical Web Proxy cache chaining, tính năng này cho phép bạn thiết
lập chuyển tiếp ISA 2006 chuyển tiếp proxy server ở các văn phòng chi
nhánh và kết nối chúng với mảng ISA 2006 Web Proxy ở văn phòng chính.
Điều này cho phép các văn phòng chi nhánh được hưởng lợi từ số lượng lớn
các nội dung được lưu trữ chứa trong các mảng Web Proxy ở văn phòng
chính, và giảm băng thông yêu cầu cho các đường dẫn mail Internet ở văn
Page 25

phòng chính. Ngoài ra, nó đem các nội dung này đến người dùng gần hơn ở
các văn phòng chi nhánh bằng cách giữ nội dung ở Web cache văn phòng
chi nhánh.
4.8) Reverse Web Caching Server :
 Web Publishing Wizards phỏng đoán việc cung cấp một kết nối an toàn và
năng suất cao để quảng bá Website.
 Bộ nhớ đệm nhanh trong bộ nhớ RAM cho phép ISA 2006 nghịch đảo Web
proxy để hoàn trả nhanh chóng thông tin yêu cầu đến Web users.
 Tối ưu hóa cơ sở dữ liệu bộ nhớ đệm cho bộ nhớ đệm trên đĩa cho phép
Web có nội dung ở mức gigabytes được lưu trữ trong những file bộ nhớ
đệm ISA Firewall Web proxy cho những phản hồi nhanh đến Web users
yêu cầu nội dung Website.
 Minh bạch cho tất cả khách hàng. Những người dùng bên ngoài không bao
giờ biết rằng có một Web proxy server đảo nghịch. Tại mọi thời điểm khách
hàng được trải nghiệm một kết nối trực tiếp đến Web server. Mặc dù khi
Web server ngưng, ISA Firewall có thể tiếp tục hoàn trả nội dung từ bộ nhớ
đệm Web proxy.
 Những download nội dung được lên lịch có thể tải lại các trang web vào bộ
nhớ đệm. Khi bộ nhớ đệm Web proxy được tải lại với nội dung Website,
ISA Firewall không cần phải chờ một người dùng yêu cầu nội dung trước
khi đặt nó vào bộ nhớ đệm. Điều này có thể làm tăng đáng kể cả tốc độ lẫn
sự linh hoạt của nội dung.
4.9) Integrated Firewall và Web Proxy và Caching Server :
 Các rule truy cập dựa trên chính sách dạng hạt cho cả dữ liệu đi vào và đi
ra.
 Việc kiểm soát lớp ứng dụng thông minh và kiểm soát trạng thái gói tin.
 Giao diện cấu hình tường lửa đơn giản và trực quan. Không cần phải học
một dòng lệnh phức tạp và khó nhớ. Mọi tính năng tường lửa và Web proxy
đều được tiếp xúc trên ISA Server Firewall Management Console.
 Thông tin đăng nhập và báo cáo cung cấp cả một tầm nhìn ‘‘bird-eyes’’ và
khả năng đi sâu vào các kết nối cụ thể.
 Dịch vụ hội nhập Active Directory thông qua domain hoặc truy vấn LDAP
đến cơ sở dữ liệu Active Directory cung cấp truy cập liền mạch đến Active
Page 26

Directory users và groups. Đơn giản hóa nhiệm vụ cho phép user/group
điều khiển truy cập.
 Tập trung Microsoft Management Control (MMC) cho phép người quản trị
ISA Firewall quản lý nhiều tường lửa ISA Standard Edition hoặc hàng
nghìn tường lửa ISA Enterprise Edition trong hàng trăm mảng ISA
Firewall.
V. Giới thiệu TMG 2010 và so sánh với ISA :
5.1) Giới thiệu TMG 2010 :
Forefront Threat Management Gateway (TMG) 2010 là phiên bản "Firewall" mới
của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ
thống được nâng cao đáng kể, các bạn có thể yên tâm vì nhân viên trong công ty có thể
truy cập internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại
(malware) & các mối đe dọa khác.
5.2) Các chức năng chính của TMG 2010 :
5.3) Các tính năng nổi trội của TMG 2010 :
Page 27

 Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua
TMG .
 ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường
truyền internet .
 Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác
khi truy cập web.
 URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách
phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm,
chat...
 HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
 E-mail protection subscription service: tích hợp với Forefront Protection
2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát
viruses, malware, spam e-mail trong hệ thống Mail Exchange.
 Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào
lỗ hổng bảo mật.
 Network Access Protection (NAP) Integration: tích hợp với NAP để
kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối
VPN .
 Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP.
 Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008
& Windows Server 2008 R2 64-bit.
5.4) Cấu hình yêu cầu để cài đặt TMG 2010 :
Page 28

5.5) So sánh ISA 2006 và TMG 2010 :
Page 29

CHƯƠNG II : CÀI ĐẶT ISA SERVER
I. Yêu cầu cài đặt :
 Ổ đĩa cài ISA phải được định dạnh là NTFS.
 Đã cài đặt Net Framework 3.0 trở lên.
 Vào Services tắt dịch vụ Windows Firewall.
II. Tiến trình cài đặt :
2.1) Cài phần mềm trên máy ảo :
Page 30

Mô hình ISA Server
Hình 2.1.1
Để sự dụng phần mềm ISA Server, cần sử dụng đến chương trình Vmware
WorkStation. Đây là một ứng dụng cho phép bạn có thể chạy nhiều máy tính ảo sử
dụng chung các thiết bị phần cứng.
Mô hình trên gồm 2 máy :
 1 máy Windows Server 2003 đã nâng cấp lên Domain Controller.
 1 máy Windows Server 2003 đã Join Domain
Cấu hình TCP/IP
INTERNAL EXTERNAL
Máy ISA Server IP Address : 192.168.11.1
Subnet mask : 255.255.255.0
Gateway :
Preferred DNS : 192.168.11.2
IP Address : 192.168.1.100
Subnet mask : 255.255.255.0
Gateway : IP Address Router
Preferred DNS :
Máy DC IP Address : 192.168.11.2
Subnet mask : 255.255.255.0
Gateway : 192.168.11.1
Preferred DNS : 192.168.11.2
Đường mạng trong (Internal) ta sẽ chọn card mạng là VMnet2.
Page 31

Hình 2.1.2
Đường nối mạng Internet (External) ta để chế độ Bridged
Hình 2.1.3
2.2) Cài đặt ISA Server :
Page 32

Tại máy cài ISA Server ta mở thư mục và chạy file isaautorun.exe
Hình 2.2.1
Chọn Install ISA Server 2006
Hình 2.2.2
Page 33

Chọn Next
Hình 2.2.3
Tick vào ‘‘ I accept the terms in the license agreement ’’ và chọn Next.
Hình 2.2.4
Page 34

Đặt User Name và điền vào Product Serial Number rồi chọn Next.
Hình 2.2.5
Để đảm bảo chính xác cho quá trình cài đặt ta tick vào Custom và chọn Next.
Hình 2.2.6
Page 35

Ta có thể thay đổi thư mục cài đặt ISA Server nếu muốn và chọn Next.
Hình 2.2.7
Click vào Add
Hình 2.2.8
Page 36

Chọn Add Adapter …
Hình 2.2.9
Tick vào ‘‘internal’’ và chọn OK.
Hình 2.2.10
Page 37

Chọn OK.
Hình 2.2.11
Chọn Next.
Hình 2.2.12
Page 38

Tick vào ‘‘Allow non-encrypted Firewall client connections’’ và chọn Next.
Hình 2.2.13
Chọn Next.
Hình 2.2.14
Page 39

Chọn Install.
Hình 2.2.15
Khi quá trình cài đặt hoàn tất nhất Finish.
Hình 2.2.16
Page 40

Mặc định sau khi cài đặt ISA Server xong, Default rule sẽ cấm các traffic từ bên
ngoài kết nối tới máy ISA và từ bên trong kết nối với ISA.
Hình 2.2.17
Default rule sẽ không cho phép chúng ta kết nối mạng nên không thế truy cập web
từ External được.
Hình 2.2.18
Page 41

2.3) Cấu hình SecureNat cho Client :
Bây giờ, tại máy ISA ta thiết lập 1 Access rule cho việc truy cập ra ngoài External.
Mở ISA Server Management, Chọn Firewall Policy, chọn New, chọn Access
Rule.
Hình 2.3.1
Hộp thoại Access rule name đặt tên cho rule là : Cho phép Client truy cập Internet.
Hình 2.3.2
Page 42

Ở hộp thoại Rule Action, chọn Allow.
Hình 2.3.3
Hộp thoại Protocols, chọn All outbound traffic :
Hình 2.3.4
Page 43

Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục : Internal và Local Host.
Hình 2.3.5
Hộp thoại Access Rule Destinations, click Add, chọn External.
Hình 2.3.6
Page 44

Hộp thoại User Sets, chọn All User và click Next.
Hình 2.3.8
Click Finish để hoài tất Rule.
Hình 2.3.9
Page 45

Nhấn Apply.
Hình 2.3.10
Chọn OK.
Hình 2.3.11
Page 46

Kiểm tra bằng việc truy cập đến www.google.com
Hình 2.3.12
Page 47

2.4) Cấu hình Web Proxy Client :
Tại máy DC, mở Internet Explorer. Chọn Tool > Internet Option > Chọn tab
Connection > Chọn mục LAN settings.
Mục Proxy Server điền IP card Internal của máy ISA và port 8080.
Hình 2.4.1
Tuy nhiên việc thiết lập Proxy trên từng Client như vậy sẽ mất rất nhiều thời gian
cho người quản trị. Ta có thể thiết lập Policy trên máy DC.
Tại máy DC, mở Active Directory Users and Computer. Chuột phải vào Domain
và chọn Properties.
Page 48

Hình 2.4.2
Chọn tab Group Policy, chọn New và đặt tên cho ‘‘proxy for client’’. Sau đó Edit.
Hình 2.4.3
Page 49

Vào User Configuration > Windows Settings > Internet > Internet Explorer
Maintenance > Connection.
Hình 2.4.4
Double click vào Proxy Settings. Điền IP card Internal của máy ISA và port 8080.
Hình 2.4.5
Page 50

Ta áp tiếp 1 Policy để cấm Client có thể thay đổi thông số Proxy.
Vào User Configuration > Administrative Templates > Window Component
Internet Explorer. Chọn tiếp Disable Changing Proxy Settings.
Hình 2.4.6
Cuối cùng vào Run đánh vào gpupdate /force
Page 51

2.5) Cài đặt ISA Client :
Tên máy DC mở thu mục cài đặt Client và chạy file setup.exe.
Hình 2.5.1
Chọn Next.
Hình 2.5.2
Page 52

Tick vào ‘‘I accept the terms in the license agreement’’ và chọn Next.
Hình 2.5.3
Chọn thư mục cài đặt ISA Client và chọn Next.
Hình 2.5.4
Page 53

Tick vào ‘‘Connect to this ISA Server Computer’’ và điền địa chỉ IP của card Internal
máy ISA Server.
Hình 2.5.5
Khi cài đặt xong chọn Finish để hoàn tất.
Hình 2.5.6
Page 54

CHƯƠNG III : RULE VÀ POLICY.
Sau khi cài đặt ISA cho mô hình, chúng ta thấy ISA đã phân tách hệ thống thành 3
vùng chính : Internet, Local Host, External. Mặc định, hệ thống sẽ bị tác động với Default
Rule như đã được trình bày ở phần trên.
Trong phần này, chúng ta cần nắm những khái niệm sau :
 Network Definition : Khoảng địa chỉ IP kết nối với ISA Server, khoảng IP này
được định nghĩa bằng 1 Network Name. ISA sẽ quản lý khoảng IP thông qua
Network Name này.
 Để định nghĩa Network Name trên ISA Server Management ta chọn mục
Configuration, chọn tiếp mục Network.
Hình 3.1
 Network Rule : Quy định các mối liên hệ giữa các Network, các mối liên hệ
này được ISA Server kết nối với nhau. Khi hệ thống của bạn có nhiều Network,
ISA sẽ quy định mối quan hệ của các Network thông qua 2 cơ chế : Route và
NAT. Ta sẽ để cập tiếp vấn đề này ở phần sau.
Page 55

Hình 3.2
 Access Rule : Quy định những traffic nào sẽ được đi ISA Server. Đây là thành
phần quan trọng của ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thông
qua những tình huống được nêu ra ở các mục bên dưới.
Hình 3.3
Page 56

 Default Rule đã cấm mọi traffic ra vào thông qua ISA Server. Như vậy để các
máy trong Internal truy cập ra ngoài bằng Domain Name, cần phải có DNS
Server phân giải các Domain Name này. Ở đây ta sử dụng DNS Server của
ISP.
Page 57

KẾT LUẬN VÀ KIẾN NGHỊ
Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định, nhanh chóng, an
toàn, tin cậy đang là vấn đề được tổ chức và doanh nghiệp đặc biệt quan tâm. Trong đó,
yếu tố an toàn mạng luôn được đặt lên hàng đầu. Nắm bắt được nhu cầu của các tổ chức
doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàng đầu trên thế giới
đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phần cứng lẫn phần mềm) để
bảo vệ môi trường mạng được trong sạch và an toàn. Hiện nay, các tổ chức và doanh
nghiệp chọn cho mình cách bảo vệ hệ thống mạng của họ bằng cách khác nhau, trong đó
ISA được dùng khá phổ biến.
ISA Server là phần mềm Firewall chạy trên hệ điều hành Windows Server 2003
Service Pack 2 của Microsoft. Kế thừa các ưu điểm của những phiên bản trước đó. ISA
Server 2006 đem đến cho người dùng một giao diện thân thiện, các thao tác quản trị đơn
giản và dễ thực hiện. Đồng thời, phiên bản mới này có thể được cấu hình để trở thành
Firewall với các vai trò đa dạng như : bảo vệ hệ thống mạng nội bộ, tăng tốc độ truy cập
Web, quản lý băng thông, xuất bản Web Server, FTP Server, Mail Server, VPN Gateway.
Mong rằng phần mềm ISA Server 2006 nhằm bảo đảm an toàn cho những hệ
thống mạng nhỏ đến trung bình, kết hợp với PC Monitor Console và một số tính năng của
Mail Mdeamon được trình bày trong đồ án sẽ giúp cho những doaanh nghiệp vừa và nhỏ
đang có như cầu muốn bảo vệ hệ thống mạng nội bộ của mình được tốt hơn, an toàn hơn,
trong sạch hơn.
Do trình độ còn hạn chế, đồ án của em sẽ không tránh khỏi những thiếu số, em rất
mong nhận được ý kiến đóng góp từ thầy và các bạn.
Em xin chân thành cảm ơn !
Page 58

TÀI LIỆU THAM KHẢO
1) Athena lab ISA 2k6 351.
2) http://www.youtube.com/watch?v=AB2Gt2roDH4
3) Xây dựng hệ thống tường lửa cho công ty An Bình sử dụng phần mềm ISA
2006.
4) Đồ án ISA Athena.
Page 59

BÁO CÁO TẠI TRUNG TÂM ATHENA
1) https://www.youtube.com/watch?v=GG-2DPAw060
2) https://www.youtube.com/watch?v=O-BlKTMsUrY
3) https://www.youtube.com/watch?v=jBMVxTWYBPw
4) https://www.facebook.com/LeoAurico/posts/764600226942765
Page 60

THUẬN LỢI VÀ KHÓ KHĂN KHI THỰC TẬP
Thuận lợi :
- Đề tài đơn giản.
- Nhiều tài liệu nghiên cứu, tham khảo.
- Có giảng viên hướng dẫn.
Khó khăn :
- Do làm trên hệ thống máy tính ảo nên gặp nhiều lỗi.
- Không thể triển khai hệ thống VPN.
- Thường gặp sự cố mất kết nối với Domain Controller.
- Gặp lỗi trong việc cài đặt ISA Client.
- Khó thực hiện Auto Discovery.
- Do giới hạn báo cáo nên không thể khai thác triệt để
Page 61

Bao cao thuc tap

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (6)

Similar to Bao cao thuc tap

Similar to Bao cao thuc tap (20)

Bao cao thuc tap