Do an isa full

TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 1
ĐỒ ÁN TỐT NGHIỆP:
XÂY DỰNG HỆ THỐNG TƢỜNG LỬA CHO
DOANH NGHIỆP VỚI MICROSOFT ISA SERVER
TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011
GVHD: Thầy Dương Minh Trung.
SVTH: - Trần Thế Cường.
- Phan Đình Đảm.
- Phạm Gia Nguyên Huy.
Chuyên Ngành: Quản Trị Mạng Máy Tính.
Lớp: 01CCHT02.
Niên Khóa: 2008 – 2011.

Trang 2
LỜI CẢM ƠN
Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng
Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được
những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường
Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”.
Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy
hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm
Chúng em giải quyết khó khăn trong đồ án này.
Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ
Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh.
Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ
phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong
thực tế.
Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm
Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên
để nội dung của Đồ án ngày càng hoàn thiện hơn.
Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!.
Trường CĐ Nghề CNTT iSpace – Khoa CNTT
Sinh Viên Thực Hiện Đề Tài:
Trần Thế Cường
Phan Đình Đảm
Phạm Gia Nguyên Huy

Trang 3
NHẬN XÉT, KẾT LUẬN CỦA GIẢNG VIÊN HƢỚNG DẪN
1. NHẬN XÉT:
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
2. KẾT LUẬN:
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
...............................................................................................................................................
Giảng Viên Hướng Dẫn:

Trang 4
MỤC LỤC
A- MỞ ĐẦU ................................................................................................................................7
I- Lời Nói Đầu: .......................................................................................................................7
II- Lý Do Chọn Đề Tài ............................................................................................................7
III- Mục Tiêu..........................................................................................................................7
IV- Tổng Quan Microsoft ISA Server.....................................................................................8
1. Giới Thiệu ....................................................................................................................... 8
2. Cơ Chế Client Tham Gia Vào ISA Server............................................................................. 9
3. Một Số Tính Năng Của ISA Server....................................................................................10
4. Cách Thức Làm Việc Của ISA Server ................................................................................11
5. Cơ Chế Hoạt Động Của ISA Server...................................................................................13
6. Chính Sách Bảo Mật Trong ISA Server..............................................................................14
7. Các Mô Hình Triển Khai ISA Server...................................................................................15
8. ISA Server Bảo Mật Truy Cập Internet..............................................................................18
B- NỘI DUNG...........................................................................................................................19
I- Mô Tả Thông Tin ..............................................................................................................19
II- Yêu Cầu Đề Tài ...............................................................................................................19
III- Phân Tích Đề Tài...........................................................................................................20
IV- THIẾT KẾ........................................................................................................................22
1. Sơ Đồ Luận Lý Tổng Quát..................................................................................................22
2. Sơ Đồ Luận Lý Chi Tiết ......................................................................................................23
C- TRIỂN KHAI ........................................................................................................................24
I- Hoạch Định Địa Chỉ IP, Computer Name ........................................................................24
1. Trụ Sở Chính – Quận 1 ......................................................................................................24
2. Chi Nhánh – Quận 5 ..........................................................................................................26
II- Xây Dựng Hệ Thống Mạng .............................................................................................27
1. Triển khai Domain Controller..............................................................................................27
2. Triển Khai ISA Server ........................................................................................................28
3. Triển Khai Web Server.......................................................................................................33
4. Triển Khai Mail Server........................................................................................................34
5. Triển Khai Web-mail Sử Dụng Port 80 .................................................................................36

Trang 5
6. Triển Khai Wildcard Certificate............................................................................................39
7. Triển Khai FTP Server........................................................................................................57
8. Triển Khai File Server.........................................................................................................60
III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server.................................................................68
1. Triển Khai Network Loab Balancing.....................................................................................68
2. Access Rule ......................................................................................................................74
3. Publishing Server Ra Internet.............................................................................................89
4. Triển khai VPN ISA..........................................................................................................101
5. Triển Khai Phát Hiện Xâm Nhập Với IDS............................................................................114
6. Triển khai Antivirus và Antisyware ....................................................................................119
7. Giám sát hoạt động hệ thống mạng..................................................................................122
D- HƢỚNG MỞ RỘNG ........................................................................................................133
I. Đánh Giá Đề Tài..............................................................................................................133
II. Định Hƣớng Hệ Thống Trong Tƣơng Lai ......................................................................133

Trang 6
TÀI LIỆU THAM KHẢO
[1] Tô Thanh Hải, Phương Lan – Triển khai Firewall với Microsoft ISA Server 2006 (Quý III/
2010), Nhà xuất bản Lao động Xã hội.
[2] Giáo trình Triển khai An toàn mạng – Khoa CNTT – Trường CĐ Nghề CNTT iSpace.
[3] Diễn đàn Nhất nghệ: http://nhatnghe.com/forum/
[4] MS Open Lab: http://msopenlab.com/
[5] Diễn đàn Kỹ thuật viên: http://www.kythuatvien.com/forum/
[6] Diễn đàn CNTT: http://diendancntt.vn/

Trang 7
A- MỞ ĐẦU
I- Lời Nói Đầu:
- Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ
thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt
thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự
phát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến
nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông
tin.
- Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực. Chúng ta không
thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng
mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với
mục đích tư lợi hay chứng tỏ bản thân mình. Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai
trò bảo mật hệ thống mạng là vô cùng quan trọng.
II- Lý Do Chọn Đề Tài
- Nhóm chúng tôi đã quyết định chọn đề tài: “Xây dựng hệ thống tường lửa cho Doanh nghiệp với
Microsoft ISA Server” vì đề tài rất thực tế, giúp chúng tôi có thêm kinh nghiệm và ứng dụng thực
tiễn sau khi ra trường.
III- Mục Tiêu
- Ứng dụng Tường lửa ISA Server quản lý hệ thống Mạng Doang nghiệp với mục tiêu:
1. Đảm bảo hệ thống tường lửa hoạt động ổn định.
2. Bảo mật và An toàn hệ thống mạng.
3. Giám sát và quản lý hệ thống mạng hiệu quả.

Trang 8
IV- Tổng Quan Microsoft ISA Server
1. Giới Thiệu
- Microsoft Internet Security and Acceleration (ISA) là phần mềm Share Internet của tập đoàn
Microsoft.
- Đây là một phần mềm thiết lập như một tường lửa (Firewall) và cho phép mạng nội bộ truy cập
Internet linh hoạt nhờ chế độ Cache thông minh.
- ISA Server 2006 có hai phiên bản Standard và Enterprise, phục vụ cho những môi trường khác
nhau.
ISA Server 2006 Standard:
- ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung
bình. Với phiên bản này chúng ta có thể xây dựng firewall để:
- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.
- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn
chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp
(ví dụ như giờ làm việc).
- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc
truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội
sở.
- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server
cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm
ngăn ngừ sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống.
- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo
cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ.
- Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật
và tăng tốc Internet).
ISA Server 2006 Enterprise:
- ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy
xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server
2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một
chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
o Tóm lại, ISA Server có các chức năng chính:
 Chia sẻ kết nối internet – chia sẻ băng thông của đường truyền internet.

Trang 9
 Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội
bộ hoặc ngược lại.
 Tăng tốc truy cập Web bằng giải pháp Cache trên Server.
 Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server.
 ISA Server 2006 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân
bằng tải giữa hai hay nhiều đường truyền internet.
2. Cơ Chế Client Tham Gia Vào ISA Server
- Client có thể tham gia vào ISA Server với các cơ chế sau đây:
 SecureNAT:
- SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP, hoặc một máy tính
đang sử dụng Linux. Clients sử dụng SecureNAT không thể tận dụng hết được tính năng của ISA
Server.
- Để sử dụng SecureNAT, các máy Clients chỉ cần cấu hình Default Gateway trỏ về địa chỉ IP của ISA
Server.
Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA Server.
- Hoặc sử dụng DHCP Server để cấu hình Default Gateway cho Clients trỏ về địa chỉ ISA Server.

Trang 10
Sử dụng DHCP Server cấu hình Gateway cho các máy Clients trong LAN.
- Cơ chế SecureNAT không thể kiểm soát và chứng thực User, password, trang web, ... trong hệ thống
mạng.
 Web Proxy Clients:
- ISA Server hoạt động vơi tính năng Proxy rất tốt. Proxy Server cung cấp cho Clients tính năng
Cache cho Web. Web Caching trên ISA Server sử dụng rất tốt. ISA Server Cache nội dung Web trên
RAM nên tốc độ cải thiện đáng kể. Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể
sử dụng ISA Server làm Proxy Server. Các Browser như IE, Firefox, Avant Browser có thể dùng ISA
Server 2006 làm Proxy Server. Các Proxy Clients không cần sử dụng Default Gateway cũng có thể
truy cập HTTP và FTP bình thường.
- Tính năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP và FTP. Web
Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng tay.
 Firewall Clients:
- Loại Clients này cần cài đặt một chương trình trên máy Clients. Clients của ISA Server chỉ có thể cài
trên hệ điều hành Windows nên loại Clients này chỉ đặc biệt dùng cho Windows.
- Clients của ISA Server sẽ tạo kết nối đến ISA Server bằng một Tunnel riêng có mã hóa gọi là
WinSOCKS, tất cả các traffic sẽ được chuyển đến ISA Server và ISA Server sẽ đóng vai trò Proxy
cho tất cả các loại traffic. Clients có cài đặt chương trình Firewall Clients có thể tận dụng tính năng
Single Sign On với User Account trên Active Directory. Cấu hình Firwall Clients cần cài đặt thêm một
chương trình trên Clients. Chương trình này được lấy từ một thư mục Share trên ISA Server. ISA
Server tự tạo Rule cho phép Clients trong Internal được truy cập vào ISA Server lấy tài nguyên
Share này.
3. Một Số Tính Năng Của ISA Server
- ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức.
Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên
trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho
người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (security polices) để phân
phát đến „user‟ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức

Trang 11
cũng cung cấp cho các user ở xa (remote user) một số cách thức truy cập đến các máy chủ trong
mạng tổ chức.
- Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của
công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự
truy cập như vậy được bảo mật.
4. Cách Thức Làm Việc Của ISA Server
- ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành
đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình 1 cho
chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.
Hình 1: Mô hình ISA đơn giản
- Mạng bên trong (Interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và
có sự giám sát của nhân viên IT trong tổ chức. Internal network coi như đã được bảo mật một
cách tương đối, tức là thông thường những User đã được chứng thực mới có quyền truy cập vật lý
đến Interal network. Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho
phép trên Internal Network.
- Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm
rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch
ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được
an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như
Virus và Worm đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo
vệ vành đai mạng, nhưng bạn đừng ngh , sau khi triển khai ISA Server thì việc của bạn đã xong.
- Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các traffic của mạng trên
Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và
truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra,
những gói tin trên mạng (Network packet) gửi qua Internet không được an toàn, bởi vì chúng có
thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy Packet Sniffer trên một phân đoạn mạng
Internet. Packet Sniffer là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các traffic
trên một mạng, điều kiện để bắt được traffic mạng là Packet Sniffer phải kết nối được đến phân
đoạn mạng giữa hai Router.

Trang 12
- Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông
tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với
họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập
được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm
mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có ngh a là, không sớm
thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho
bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website
của tổ chức, đó cũng có thể là kẻ xấu cố gắng „deface‟ toàn bộ dữ liệu trên Website hoặc đánh cấp
dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo
mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet
của bạn là xem tất cả „user‟ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được
chứng minh.
H nh đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa Internal
network và Internet được định ngh a một cách dễ dàng. Trong thực tế, việc định ngh a ranh giới
giữa Interal network của tổ chức với phần còn lại của thế giới là không hề đơn giản. H nh cho
thấy một sự phức tạp hơn, nhưng thực tế hơn.
Hình 2: Mô hình ISA trên thực tế
- Vành đai mạng đã trở nên khó định ngh a hơn theo như kịch bản trong H nh . Kịch bản này cũng
khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế
để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong H nh , ISA
Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:

Trang 13
 Cho phép truy cập nặc danh đến Website dùng chung (Public website), trong khi đó lọc ra mã
độc hại nhắm đến việc gây hại Website.
 Chứng thực User từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng
(Private website).
 Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng
có thể truy cập đến tài nguyên trong Interal network.
 Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến
Internal File Server.
- p đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới
„user‟, và lọc từng „request‟ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho
phép.
5. Cơ Chế Hoạt Động Của ISA Server
- ISA Server hoạt động như một Tường lửa (Firewall).
- Firewall là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong
một mạng. Firewall được cấu hình với những „rule‟ lọc „traffic‟, trong đó định ngh a những loại
„network traffic‟ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của
tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng.
- Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall
trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal
network‟ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một „internal Web
Server‟ cần cho „internet user‟ có thể tới được. Firewall có thể được cấu hình để cho phép các
„traffic‟ từ Internet chỉ được truy cập đến Web Server đó.
- Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi triển khai ISA Server, nó sẽ
khóa tất cả „traffic‟ giữa các mạng mà nó làm Server, bao gồm „internal network‟, vùng DMZ và
Internet. ISA Server 2006 dùng 3 loại quy tắc lọc („filtering rule‟) để ngăn chặn hoặc cho phép
„network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering.
 Packet Filtering – Lọc gói tin
- Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới
firewall. Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và
kiểm tra thông tin (địa chỉ nguồn và đích, „port‟ nguồn và đích). ISA Server so sánh thông tin này
dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép. Nếu địa chỉ nguồn và
đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để
đến đích. Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt
và không được đi qua firewall.
 Stateful Filtering – Lọc trạng thái
- Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với „network packet‟ để dẫn đến quyết
định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các
„header‟ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái
của một „packet‟ bên trong nội dung của những „packet‟ trước đó đã đi qua ISA Server, hoặc bên
trong nội dung của một phiên („session‟) TCP.
- Ví dụ: một „user‟ trong „internal network‟ có thể gửi một „request‟ đến một Web Server ngoài
Internet. Web Server đáp lại „request‟ đó. Khi „packet‟ trả về đi tới firewall, firewall kiểm duyệt

Trang 14
thông tin „TCP session‟ (là một phần của „packet‟). Firewall sẽ xác định rằng „packet‟ thuộc về một
„session‟ đang hoạt động mà đã được khởi tạo bởi một „user‟ trong „internal network‟, vì thế „packet‟
được chuyển đến máy tính của „user‟ đó. Nếu một „user‟ bên ngoài mạng cố gắng kết nói đến một
máy tính bên trong mạng tổ chức, mà firewall xác định rằng „packet‟ đó không thuộc về một
„session‟ hiện hành đang hoạt động thì „packet‟ sẽ đị đánh rớt.
 Application-Layer Filtering – Lọc lớp ứng dụng
- ISA Server cũng dùng bộ lọc „application-layer‟ để ra quyết định một „packet‟ có được cho phép hay
là không. „Application-layer filtering‟ kiểm tra nội dung thực tế của „packet‟ để quyết định liêu
„packet‟ có thể được đi qua firewall hay không. „Application filter‟ sẽ mở toàn bộ „packet‟ và kiểm tra
dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.
- Ví dụ: một „user‟ trên Internet có thể yêu cầu một trang từ „internal Web Server‟ bằng cách dùng
lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi „packet‟ đi tới firewall,
„application filter‟ xem xét kỹ „packet‟ và phát hiện lệnh “GET”. „Application filter‟ kiểm tra chính
sách của nó để quyết định.
- Nếu một „user‟ gửi một „packet‟ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông
tin lên Web Server, ISA Server một lần nữa kiểm tra „packet‟. ISA Server nhận thấy lệnh “POST”,
dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và „packet‟ bị
đánh rớt.
- „HTTP application filter‟ được cung cấp cùng với ISA Server 2004/2006 có thể kiểm tra bất kỳ thông
tin nào trong dữ liệu, bao gồm: „virus signature‟, chiều dài của „Uniform Resource Location‟ (URL),
nội dung „page header‟ và phần mở rộng của „file‟. Ngoài „HTTP filter‟, ISA Server còn có những
„application filter‟ khác dành cho việc bảo mật những giao thức và ứng dụng khác.
- Các „firewall‟ mềm hiện nay xử lý lọc „packet‟ và „stateful‟. Tuy nhiên, nhiều „firewall‟ không có khả
năng thực hiện việc lọc lớp ứng dụng („application-layer‟). Và „application-layer filtering‟ đã trở
thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.
- Ví dụ: giả định rằng tất cả các tổ chức đều cho phép „HTTP traffic (port 80)‟ từ „internal network‟
đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức „HTTP‟.
Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ „file‟ như KazaA.
„HTTP traffic‟ cũng có thể chứa „virus‟ và mã độc („malicious code‟). Cách ngăn chặn những
„network traffic‟ không mong muốn, trong khi vẫn cho phép sử dụng „HTTP‟ một cách phù hợp, chỉ
có thể thực hiện được bằng việc triển khai một „firewall‟ có khả năng lọc lớp ứng dụng. „Application-
layer firewall‟ có thể kiểm tra nội dung của các „packet‟ và ngăn „traffic‟ trên phương thức „HTTP‟
(để ngăn ứng dụng) hoặc „signature‟ (để ngăn „virus‟, mã độc hại, hoặc ứng dụng). ISA Server
chính xác là một loại „application-layer firewall‟ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo
vệ mạng.
6. Chính Sách Bảo Mật Trong ISA Server
- ISA Server Firewall có 3 dạng chính sách bảo mật là: System policy, Access rule và Publishing rule.
 System policy: Thường ẩn (hiden), được dùng cho việc tương tác giữa firewall với các Networks
khác nhằm hổ trợ hệ thống hoạt động linh hoạt. System policy được xử lý trước khi access rule

Trang 15
được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ
hệ thống như DHCP, RDP, Ping...
 Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server. Các Networks này
được ISA Server kết nối với nhau. Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ
chế sau đây: ROUTE hoặc NAT. Routing không thay đổi Source IP khi đi qua ISA Server, gói tin
được giữ nguyên Source và Destination IP và được Forward đến Destination. NAT thay đổi địa chỉ
Source IP trong gói tin và Forward đến Destination. Ở Destination chúng ta chỉ thấy gói tin đến từ
External Interface của ISA Server mà không biết được địa chỉ IP thật của gói tin.
 Access Rule: quản lý Traffic đi qua ISA Server do người quản trị định ngh a chính sách.
 Publishing Rule: Công khai tài nguyên cục bộ được chỉ định ra ngoài Internet cho người sử dụng.
ISA Server cung cấp 3 loại „publishing rule‟ khác nhau: Web publishing rule, secure Web publishing
rule, và Server publishing rule.
7. Các Mô Hình Triển Khai ISA Server
- ISA Server 2006 có thể chạy với nhiều mô hình. Nếu chạy với tính năng Firewall thì ISA Server sẽ
có 2 Interface hoặc nhiều Interface. Một số mô hình có thể kể đến khi sử dụng ISA Server 2006 là
Bastion Host, Backend Firewall, và Proxy Server only (chỉ sử dụng ISA Server 2006 làm Proxy
Server, không tận dụng tính năng Firewall của sản phẩm này.
 Mô hình Bastion-Host:
- Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều
được).
- Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho
User trong mạng LAN. Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server,
DNS Server, WINS Server và Web Server, Mail Server. Những Server này có thể chỉ sử dụng trong
mạng LAN, hoặc được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server,
đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).Trong hệ thống
LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho User trong công ty và một là hệ
thống DMZ chứa các Server được truy cập trực tiếp từ Internet User)

Trang 16
- Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router
ADSL. Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó
không cần cấu hình Gateway t nh cho ISA Server.
 Mô hình Back-End Firewall
- Mô hình thứ 2 này cũng thường được sử dụng. ISA Server nhẹ gánh hơn các mô hình khác là bảo
vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập, các Server trong vùng mạng DMZ bị
tấn công và từ đó Hackers có thể tấn công tiếp vào trong mạng LAN.
- ISA Server đóng vai trò Back‐End Server cho một Firewall khác. Khu vực giữa Frontend và Backend
Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users
- ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi, Microsoft khuyến cáo
nên dùng ISA Server (dạng Application) với vai trò BackEnd là tốt nhất. Appliance có Performance
tốt hơn và bảo mật hơn (vì nhẹ phần Hệ điều hành).
- Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ thống LAN có DMZ
và Gateway của ISA Server sẽ là Internal Interface của FrontEnd Firewall. Cấu hình trên Firewall và
trên Router nói chung, nên sử dụng Routing Table để cấu hình cho các thiết bị này. Với ISA Server,
Routing Table được cấu hình bằng dịch vụ Routing and Remote Access hoặc ROUTE ADD
Command.

Trang 17
- Mô hình Backend với ISA Server cụ thể hơn khi gán Network ID cho các mạng có liên quan.Trong
mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28
- Cấu hình IP rất quan trọng,chú ý không được lẫn lộn chỗ này, nếu sai, toàn bộ mô hình sẽ
hỏng.Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server hoặc một
thiết bị khác với chứ năng Firewall External Interface – cấu hình mang Public IP với gateway cấu
hình về ISP. Trên Server này có thể không cần cấu hình Routing Table với Destination là Network
ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện quay VPN 2 lần để
vào đến ISA Server.
 Mô hinh Three-homed:
- ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ mạng DMZ chứa các
Server được truy cập trực tiếp từ Internet User.
- Mô hình Three‐homed với ISA Server làm Firewall . DMZ và LAN đều kết nối vào ISA Server, mỗi
mạng kết nối với ISA Server bằng một Interface riêng với Network ID khác nhau. ISA Server đóng
vai trò Router và Firewall cho các mạng này.
- ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal và DMZ kết nối với
DMZ Network. Mô hình này giống với Bastion Host, chỉ có thêm một Interface DMZ để tách mạng
DMZ ra khỏi mạng LAN. Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngoài,
DMZ thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao. Microsoft xem DMZ
Network như Semi‐Trusted Network.

Trang 18
8. ISA Server Bảo Mật Truy Cập Internet
- Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide
Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có ngh a là không tổ chức nào
tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu.
- ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên
internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server
để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một „proxy server‟ giữa
máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet.
- Điều này có ngh a là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có
kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần „proxy server‟ trên ISA Server sẽ
làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web
Server hồi đáp lại cho máy trạm trong mạng nội bộ).
- Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy
trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng
được ISA Server kiểm soát. ISA Server cũng hoạt động như một „caching server‟.

Trang 19
B- NỘI DUNG
I- Mô Tả Thông Tin
- Công ty cổ phần Chứng khoán Phú Gia hoạt động trong l nh vực Chứng khoán có tên miền
phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua Internet cho phép khách hàng có thể
đặt lệnh tại bất kỳ thời điểm nào. Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tài
khoản giao dịch, bản tin chứng khoán, bản phân tích chứng khoán... Tổng công ty chứng khoán
Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp .HCM.
Hạ tầng mạng Tổng công ty gồm có:
Các máy chủ chuyên dụng:
File Server chứa toàn bộ dữ liệu của công ty.
FTP Server chia sẻ dữ liệu cho nhân viên.
Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ.
Web Server chứa website nội bộ của công ty.
Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là
phugiasc.vn. Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain.
Các phòng ban:
Phòng Giám đốc : 5 PC và 3 Laptop.
Phòng Kinh doanh: 50 PC.
Phòng Kế toán: 20 PC.
Phòng Nhân sự: 20 PC.
Phòng Khách hàng: dành cho khách hàng sử dụng Laptop truy cập mạng không dây của
công ty.
Hạ tầng mạng tại chi nhánh Q.5 gồm có:
Phòng Tư vấn : 10 PC.
Phòng Kinh Doanh : 20 PC.
Phòng Kế Toán : 10 PC.
Phòng Quản lý : 2 PC, 4 Laptop.
II- Yêu Cầu Đề Tài
Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo
vệ trong thời gian làm việc và có khả năng phát hiện cuộc xâm nhập hệ thống mạng nếu
có.
p dụng chính sách bảo mật dành cho Nhân viên (NV):
Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh)
nhưng không được phép truy cập vào các trang web nội dụng xấu và có tính chất giải
trí, chat, game ....
Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng
được các dịch vụ mạng trong nội bộ.
Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 → 13h30, nhưng
không được chơi game online, tải nhạc, gửi file, xem phim trên Internet.
p dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng
Khách hàng:
Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có
thể truy cập Internet.
Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn
hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng.

Trang 20
Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng thông phù hợp
theo từng phòng ban, vị trí công tác của nhân viên để để đảm bảo tính ổn định của đường
truyền Internet trong công ty.
Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải về máy
tính trong hệ thống mạng. Các file tải trên mạng về máy tính của NV phải được kiểm tra
virus trước khi mở.
Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết
nối VPN (Virtual Private Network).
Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho
Tổng công ty một cách an toàn.
Publish hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo
mật.
Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường
truyền Internet ở bất kỳ địa điểm nào.
Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một
cách an toàn khi đi công tác bên ngoài.
Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì.
Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi
tuần.
III- Phân Tích Đề Tài
- Qua quá trình khảo sát, Tổng công ty Cổ phần Chứng khoán (CPCK) Phú Gia có trụ sở chính tại Q.1
Tp. HCM và một chi nhánh tại Q.5 Tp. HCM, mọi hoạt động của chi nhánh đều được gửi dữ liệu về
trụ sở chính.
DATA
CHI NHÁNH
TRỤ SỞ CHÍNH
- Công ty CPCK Phú Gia hoạt động chính trong l nh vực chứng khoán và khách hàng giao dịch chủ
yếu qua mạng. Dịch vụ web, mail của công ty có thể sử dụng được trong công ty và ngoài Internet.

Trang 21
Internet
Web Server
Mail Server
- Hạ tầng mạng tại trụ sở chính cho biết đây là một hệ thống đa máy chủ giữ các chức năng khác
nhau và máy tính nhân viên được quản trị tập trung với Domain Controller server.
- Các phòng ban trong công ty có các nhiệm vụ khác nhau, nội quy công ty ngăn cấm nhân viên sử
dụng hệ thống mạng theo chức năng của các phòng ban. Sơ đồ thể hiện chính sách bảo mật và
nhu cầu của các phòng ban:
PHÒNG KINH DOANH
PHÒNG KẾ TOÁN
PHÒNG NHÂN SỰ
INTERNETINTERNAL
Nghỉ Trưa
XX
Nghỉ Trưa
XX
- Hệ thống mạng luôn luôn hoạt động ổn định.

Trang 22
IV- THIẾT KẾ
1. Sơ Đồ Luận Lý Tổng Quát
INTERNET
TRỤ SỞ CHÍNH - QUẬN 1
VĂN PHÒNG TẠI NHÀ
VPN
File Server Additional DC
CHI NHÁNH - QUẬN 5
File Server Primary DC
DNS + DHCP
Web ServerMail Server
VPN
DMZ
FTP Server

Trang 23
2. Sơ Đồ Luận Lý Chi Tiết
- Trụ sở chính Quận 1:
192.168.2.0 /24
192.168.1.0 /24
192.168.10.0/ 24
192.168.10.0/ 24
ISA 1
Internet
ISA 2
P. GIÁM ĐỐC
P. KINH DOANH
P. NHÂN SỰ
P. KẾ TOÁN
File ServerPrimary DC
DNS+DHCP
.100
.100
.20
.100
.100
.20
.1
.1
.10
.10
192.168.10.20 – 192.168.10.200
DMZ
Web ServerMail Server FTP Server
172.16.10.0/24
- Chi nhánh Quận 5:
P. KINH DOANH
P. KẾ TOÁN
P. NHÂN SỰ
File ServerAdditional DC
P. KINH DOANH
ISA
Internet
10.0.0.0/ 24192.168.1.0 / 24
.1.1 .30
.10

Trang 24
C- TRIỂN KHAI
I- Hoạch Định Địa Chỉ IP, Computer Name
1. Trụ Sở Chính – Quận 1
INTERNAL
FQDN dc.phugiasc.vn file.phugiasc.vn client.phugiasc.vn
Mô Tả AD, DNS, DHCP, Cert,
ISA Storage Server
File Server Client
IP Address 192.168.10.10 192.168.10.12 192.168.10.20
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default Gateway 192.168.10.100 192.168.10.100 192.168.10.100
Preferred DNS Server 192.168.10.10 192.168.10.10 192.168.10.10
LOCAL HOST
FQDN isa1.phugiasc.vn
Mô Tả ISA Server
Card Mạng External DMZ Internal
IP Address 192.168.1.20 172.16.10.100 192.168.10.100
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default Gateway 192.168.1.1
Preferred DNS Server 192.168.10.10
Mô Tả ISA Server
Card Mạng External DMZ Internal
IP Address 192.168.2.20 172.16.10.100 192.168.10.100
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0

Trang 25
DMZ
FQDN dmz.phugiasc.vn
Mô Tả Web Server
IP Address 172.16.10.10 172.16.10.11 172.16.10.12
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default Gateway 172.16.10.100 172.16.10.100 172.16.10.100
Preferred DNS
Server
192.168.10.10 192.168.10.10 192.168.10.10
Mô Tả Mail Server
IP Address 172.16.10.10
Subnet Mask 255.255.255.0
Preferred DNS
Server
192.168.10.10
Mô Tả FTP Server
IP Address 172.16.10.10
Preferred DNS
Server
192.168.10.10

Trang 26
2. Chi Nhánh – Quận 5
INTERNAL
FQDN dc2.phugiasc.vn
Mô Tả
Additional DC, Secondary DNS, DHCP
IP Address 10.0.0.10
Alternate DNS Server 192.168.10.10
LOCAL HOST
Mô Tả ISA Server
Card Mạng External Internal
IP Address 192.168.1.30 10.0.0.1
Subnet Mask 255.255.255.0 255.255.255.0

Trang 27
II- Xây Dựng Hệ Thống Mạng
1. Triển khai Domain Controller
Tổng quan:
- Domain Controller là một máy chủ điều khiển, xác lập và quản lý tên miền (domain) trong hệ
thống Windows, có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, quản lý tài khoản,
… của các máy tính sử dụng các dịch vụ domain.
- Domain Controller trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm
người dùng, tài nguyên cục bộ cho công ty Phugiasc.
Triển Khai:
- Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa
chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ.
- Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and
Computers để lưu trữ và quản lý dữ liệu về các đối tượng trong DC như: Group, OU,User, Policy,…

Trang 28
2. Triển Khai ISA Server
. Cài đặt ISA Storage
Tổng quan:
- ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống.
Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage.
- Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công
việc giữa các member ISA, duy trì hoạt động hệ thống liên tục ổn định.
Triển Khai:
- Giả lập xây dựng ISA Storage trên máy DC.
- Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server.
- Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham
gia vào hệ thống lưu trữ này.
- Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc

Trang 29
- Kết quả:
- Ủy quyền lưu trữ cho các member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer
Sets chọn Managed ISA Server Computers Propertise. Lần lượt gán địa chỉ cho 2 máy ISA server.

Trang 30
2.2 Cài đặt ISA Array
Tổng quan:
- ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA
Storage. Ngoài ra, ISA Array được hiểu như một Firewall Server quản lý truy xuất giữa các lớp
mạng trong hệ thống qua cấu hình của người quản trị.
Triển khai:
- Triển khai ISA Array lần lượt tại tại các member ISA.
- Cài đặt ISA Array ở chế độ: Install ISA Server services

Trang 31
- Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage.
- Gán lớp mạng Internal để quản trị

Trang 32
- Tương tự, thực hiện cài đặt ISA Array tại ISA2 và tham gia vào Array: phugiasc.

Trang 33
3. Triển Khai Web Server
Giới thiệu:
- Web Server là một máy chủ lưu trữ thông tin, truyền tải cơ sở dữ liệu đến người sử dụng thông
qua giao thức HTTP bằng các trình duyệt Web.
- Trong đề tài, triển khai Web Server để lưu trữ website nội bộ cho Công ty Phugiasc.
Triển khai:
- Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):
www.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên máy chủ Web và truy
xuất Website thông qua trình duyệt web.
- Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80

Trang 34
4. Triển Khai Mail Server
Giới thiệu:
- Mail server là máy chủ chuyên dụng để nhận và gửi mail, quản lý tài khoản người sử dụng mail và
phân phối mail trong hệ thống. Ngoài ra, máy chủ mail còn cho phép người sử dụng web-mail
(dùng mail thông qua trình duyệt web) và các phần mềm ứng dụng để truyền tải nhận mail.
- Trong đề tài, triển khai Mail server để trao đổi mail trong hệ thống Công ty Phugiasc
Triển khai:
- Tại máy DC, triển khai DNS cho máy chủ Mail với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):
mail.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên Mail server.

Trang 35
- Xây dựng Mail server với chương trình Mail Daemon với FQDN là: mail.phugiasc.vn và địa chỉ là:
172.16.10.10

Trang 36
5. Triển Khai Web-mail Sử Dụng Port 80
Giới thiệu:
- World Client và Web Admin là 2 ứng dụng của Mail Daemon duyệt mail thông qua giao thức
HTTP. Mặc định truy xuất mail qua trình duyệt web, World Client được sử dụng ở port 3000 và Web
Admin được sử dụng ở port 1000.
- Mục đích triển khai Web-mail sử dụng port 80 để triển khai Certificate Authority (CA) tự cấp trong
cục bộ (triển khai tại phần 6.1).
Triển khai:
- Tại máy DC, vào dịch vụ DNS lần lượt tạo Host: client trỏ về địa chỉ: 172.16.10.11 và Host: admin
trỏ về địa chỉ: 172.16.10.12
- Tạo các Application Pool cho World Client và Web Admin ở chế độ Local System và áp đặt cho các
Web-mail.

Trang 37
- Trên Web Server, vào IIS lần lượt tạo Website: World Client với địa chỉ truy xuất: 172.16.10.11 và trỏ
về đường dẫn: C:MdaemonWorldClientHTMLWorldClient.dll và Web Admin với địa chỉ truy xuất
qua: 172.16.10.12 và trỏ trỏ về đường dẫn: C:MdaemonWebAdminTemplates.dll
- Định ngh a file: WorldClient.dll và WebAdmin.dll, cho phép các file mở rộng này được sử dụng trong
dịch vụ Web bằng thao tác tại mục Web Service Extensions chọn Add a new Web service extension trỏ
đường dẫn về: C:MdaemonWorldClientHTMLWorldClient.dll đối với World Client và
C:MdaemonWebAdminTemplates.dll đối với Web Admin.
- Tại Mail Server: gán Security thư mục Mdaemon cho tài khoản IUSR (nhóm tài khoản khách viếng
thăm vào website) với quyền Full control.

Trang 38
- Vào dịch vụ Mail Daemon tại thẻ Setup chọn Web & SyncML Services chuyển Web mail: World Client
và sử dụng ở chế độ IIS.
- Tương tự, Web Admin cấu hình sử dụng trên IIS.
- Restart IIS và mail Daemon. Logon vào Client trong vùng Internal kiểm tra Web mail đã được sử
dụng port 80 với tên truy xuất: client.phugiasc.vn và admin.phugiasc.vn

Trang 39
6. Triển Khai Wildcard Certificate
Tổng quan Secure Socket Layer (SSL):
- Secure Socket Layer (SSL) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai
chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến,
được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân
(PIN) trên Internet.
- SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo
luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt
(browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet.
Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai,
trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí
mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải
được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate)
dựa trên mật mã công khai (thí dụ RSA).
- Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake protocol) và giao
thức "bản ghi" (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng
có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành
mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình
duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello)
dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định
các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các
ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm
việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực
của ứng dụng chủ (web server).
- Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận
CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung
lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát
hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch
trên mạng, ở đây là các máy chủ webserver.
- Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại
trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông
điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá
chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ
liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu
phụ thuộc vào một số tham số:
Số nhận dạng theo phiên làm việc ngẫu nhiên;
Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL;
Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin.

Trang 40
Triển khai:
- Công ty phugiasc đã có website trên web server đặt tại công ty và có nhu cầu publish website này ra
Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh
nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp
chuyên bán certificate như Verisign, Rapidssl, Dynamicssl...
- Giả lập đề tài, thay vì mua SSL Certificate ta xây dựng Certificate Server trên máy DC với chế độ
Stand-Alone CA cục bộ cấp phát.
- Khi triển khai SSL Certificate cho mỗi website ta cần phải đăng ký common name tương ứng với mỗi
website.
- Trong đề tài, ta đã triển khai các website: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn
. Thay vì triển khai common name tương ứng cho từng website, ta triển khai Wildcard Certificate
(*.phugiasc.vn) để định danh chung cho tất cả website cùng domain name.

Trang 41
- Tại máy Web Server, thực hiện yêu cầu chứng thực certificate từ máy DC.
- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn
Server Certificate
- Chọn Create a new certificate và tiến hành yêu cầu certificate với common name: *.phugiasc.vn

Trang 42
- Chọn nơi lưu trữ file yêu cầu Certificate
- Truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> nhấn chọn Request a
certificate

Trang 43
- Chọn Advanced certificate request
- Chọn Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a
renewal request by using a base-64-encoded PKCS #7 file
- Truy xuất vào file request certificate (đã được ở trên: wirld_card.txt), copy nội dung và dán vào Save
request -> nhấn Submit để xin certificate.

Trang 44
- Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao
tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/
Issue.
- Trở lại Web Server, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để
download certificate đã chứng thực.
- Chọn View the status of a peding certificate request, download certificate đã chứng thực về.

Trang 45
- Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn
Server Certificate -> chọn Process the pending request and install the certificate -> trỏ đường dẫn về
file certificate đã download ở trên.
- Sử dụng mặc định SSL port 443 và thông tin về certificate được cấp bởi: phugiasc_ca

Trang 46
- Sau khi hoàn thành quá trình yêu cầu Wildcard Certificate, tiến hành Export Certificate này để Trust
cho các máy tính trong công ty.
- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server
Certificate -> chọn Export the current certificate to a .pfx file -> chọn nơi lưu trữ và đặt mật khẩu bảo
vệ cho Certificate.

Trang 47
- Biểu tượng sau khi Export Certificate:
- Sau khi Export thành công Wildcard Certificate, tiến hành gỡ bỏ Wildcard Certificate để triển khai yêu
cầu Certificate cho Web Sites: www.phugiasc.vn
- Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server
Certificate -> chọn Remove the current certificate. Thông tin Certificate gỡ bỏ:
- Tương tự, tiến hành yêu cầu chứng thực Certificate cho Web Sites: www.phugiasc.vn và Web-mail:
client.phugiasc.vn , admin.phugiasc.vn nhƣ các bƣớc ở trên nhƣng không Export và gỡ bỏ
Certificate.

Trang 48
- Các máy Client truy xuất Web Sites và Web-mail của công ty thông qua trình duyệt xuất hiện cảnh
báo Web Site không tin cậy.
- Tiến hành xin Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo địa
chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn Web Browser Certificate ->
điền thông tin yêu cầu -> chọn Submit.
Issue.
- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv để cài
đặt certificate đã chứng thực.
- Chọn View the status of a peding certificate request, cài đặt certificate đã được chứng thực.

Trang 49
- User tiến hành kiểm tra Certificate bằng thao tác: vào trình duyệt web Internet Explorer -> chọn
Tools/ Options -> chọn thẻ Content -> chọn Certificate
- Kiểm tra Certificate được cấp bởi: phugiasc_ca

Trang 50
- Như vậy, User đã có thể truy cập Web Sites và Web-mail của công ty qua cơ chế HTTPS và dữ liệu đã
được mã hóa.
- User truy xuất World Client với địa chỉ: https://client.phugiasc.vn

Trang 51
- User truy xuất Web Admin với địa chỉ: https://admin.phugiasc.vn

Trang 52
6.2 Triển Khai Secure Mail
- Tại máy Mail Server, vào Mail Daemon chọn thẻ Security/ Security Settings -> chọn mục SSL & TLS/
Mdaemon -> Enable SSL và directed SSL port cho giao thức SMTP, IMAP, POP3 -> chọn Wildcard
Certificate: *.phugiasc.vn (đã được tạo ở phần 6.1)

Trang 53
- Kiểm tra các giao thức: SMTPS, POP3S, IMAPS đã được Active
- Tiến hành yêu cầu Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo
địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn Request a certificate -> chọn E-Mail Protection
Certificate -> điền thông tin yêu cầu/chọn Submit.
Issue.
- Trở lại máy Client, truy xuất vào trình duyệt web theo địa chỉ: http://dc.phugiasc.vn/certsrv -> chọn
View the status of a peding certificate request, cài đặt certificate đã được chứng thực.

Trang 54
Kiểm tra:
- Tại máy Client, logon vào u1 và mở chương trình Outlook Express chọn Tool/ Options -> chọn thẻ
Security -> Digital IDs để kiểm tra chữ ký điện tử được cấp bởi: phugiasc_ca
- Tại Oulook Express, vào Tool/ Accounts -> chọn thẻ Mail -> Double click vào Account -> chọn thẻ
Server thiết lập cấu hình

Trang 55
- Vào thẻ Advanced thiết lập cấu hình

Trang 56
- Tương tự, vào máy client logon vào u2 thực hiện các thao tác như u1 ở trên. Sau đó thực hiện gửi
mail cho u1 để xác nhận mối quan hệ tin cậy.
- Tại u1, nhận được bức thư kèm chữ ký điện tử.
- Sau khi xác lập mối quan hệ tin cậy, việc gửi nhận mail sẽ được mã hóa dữ liệu.

Trang 57
7. Triển Khai FTP Server
Ta triển khai FTP Server Isolate users Active Directory sử dụng trong môi trường domain
Khởi tạo FTP server bằng cách vào IIS: Administrative tools-Internet Information Services(IIS)
Manager
Right click vào FTP Sites: New-FTP Site….
Mục Description ta điền tên ftp site:
Mục Ip Address and Port Settings
IP của ftp server và mặc mặc 21
Mục FTP User Isolation tạo chọn Isolate users using Active Directory
Tại đây tại ấn Browse để chọn user được cấp quyền vào ftp server
Mục permissions tại check vào write cho user toàn quyền trên thư mục của mình
Sau khi hoàn tất ta phải tạo các folder tương ứng với tên từng user
Sau đó phải chỉnh msIIS-FTPRoot và msIIS-FTPDir cho từng user
Tạo 1 folder tên kt1 tương ứng với user kt1,tạo file dulieukt1.txt trên thư mục vừa tạo để kiểm tra
Tạo 1 folder tên kh1 tương ứng với user kh1,tạo folder kh1 trên thư mục vừa tạo để kiểm tra

Trang 58
Sau khi hoàn tất ta kiểm tra dịch vụ đánh tên miền ftp://ftp.phugiasc.vn
Màn hình log on as xuất hiện ta đánh user name và password user kt1
User kt1 đã vào đúng thư mục được cấp của mình

Trang 59
Đổi sang user kh1 để kiểm tra
User kh1 đã vào đúng folder kh1 của công ty

Trang 60
8. Triển Khai File Server
Công ty có nhu cầu tất cả dữ liệu của công ty được lưu trữ trên file server của công ty
Mỗi phòng ban sẽ có 1 folder riêng để các nhân viên phòng ban dễ dang trao đổi dữ liệu
Phòng ban nào được phép truy cập vào thư mục phòng ban đó,không thể vào các thư mục phòng ban
khác. Các nhân viên được phép xóa sửa file của mình,không thể xóa file của người khác
Thư mục dùng chung tất cả các phòng ban đều truy cập được nhưng không được phép xóa file của
người khác
Giám đốc được toàn quyền xem,xóa,sửa các thư mục trong FileServer
Tạo 1 folder tên File Server trên máy File Server
Bỏ quyền thừa kế trên thư mục File Server bằng cách: Phải chuột chọn Properties vào thư mục
FileServer – chọn tab Security – chọn Advanced. Bỏ dấu Allow inheritable permission from the
parent to…….. click Copy để bỏ quyền thừa kế trong các thư mục FileServer
Tạo các group tương ứng với các phòng ban để add user phòng ban vào các group này
Sau đó ta Remove quyền truy cập của tất cả các user trong domain

Trang 61
Thêm các group phòng ban vào và cho quyền Full control cho các phòng ban
Mục đích để các phòng ban được toàn quyền truy cập vào folder chung
Tại folder các phòng ban nào ta cấp quyền full controll cho phòng ban đó,các phòng ban khác thì deny
mục đích để user phòng nào thì được truy cập vào folder phòng đó,các phòng khác sẽ không vào được

Trang 62
Sau khi cấp quyền cho các phòng ban để các user được toàn quyền trên folder của phòng mình ta sẽ
phân quyền để user chỉ được xóa file của chính mình tạo ra
Tại thư mục Chung phải chuột chọn Properties. Tab Security click Advanced
Tại tab Permission ta chọn group ketoan, click Edit
Bỏ 2 dấu check delete Subfolders and Files và Delete là 2 thuộc tính không được xóa file và những
folder con bên trong
Check Apply these permissions to objects and/or containsers……. Để áp dụng cho những file
bên trong
Áp dụng với các phòng ban
khách hàng,nhân sự và kinh doanh

Trang 63
Tại thư mục ketoan phải chuột chọn Properties. Tab Security click Advanced
Tại tab Permission ta chọn group ketoan, click Edit
Bỏ 2 dấu check delete Subfolders and Files và Delete là 2 thuộc tính không được xóa file và những
folder con bên trong
Check Apply these permissions to objects and/or containsers……. Để áp dụng cho những file
bên trong
Mục đích để các nhân viên phòng kế toán chỉ được phép tạo,chỉnh sửa file trên folder phòng kế toán
nhưng không có quyền xóa file và folder của người khác
Ta làm tương tự với 3 phòng ban khách hàng,kinh doanh và nhân sự

Trang 64
Sau khi cấp quyền cho các phòng ban ta sẽ cấp quyền cho giám đốc toàn quyền trên file server
Phải chuột vào thư mục File Server trên máy file server
Tab Security add user giamdoc vào và check full controll cho giám đốc
Kiểm tra kết quả
Log on vào domain bằng user phòng kế toán: kt1
Truy cập vào file server mở cmd đánh ip của file server ip tên máy chủ file server
User kt1 sẽ truy cập vào được folder phòng ban tương ứng là kế toán và tạo được dữ liệu trên đây

Trang 65
Và sẽ không truy cập được folder các phòng ban khác

Trang 66
Kiểm tra bằng user kd1
Log on vào domain bằng user phòng kế toán: kd1
Truy cập vào file server mở cmd đánh ip của file server ip tên máy chủ file server
User kd1 sẽ truy cập vào được folder phòng ban tương ứng là kế toán và tạo được dữ liệu trên đây
Và sẽ không truy cập được các phòng ban khác

Trang 67
User kd1 không xóa được file do user kt1 tạo ra trong folder chung
Log on bằng user giám đốc
Giám đốc xóa được các file trong thư mục Chung

Trang 68
III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server
1. Triển Khai Network Loab Balancing
Tổng quan:
- Hệ thống Network Loab Balacing (NLB) được xây dựng với mục đích đảm bảo hệ thống tường lửa
hoạt động ổn định, chia tải công việc giữa các member ISA nhằm giảm thiểu sự cố một cách tối
ưu.
- Network Loab Balancing được tích hợp trên ISA phiên bản Enterprise. Hệ thống này cần ít nhất 2
ISA server để thực hiện việc chia tải và 1 ISA Storage lưu trữ cấu hình.
- Trong đề tài, ta đã triển khai cài đặt ISA Storage trên máy DC và member ISA trên 2 máy ISA1 và
ISA2 ở phần Xây dựng hệ thống mạng.
Triển khai:
- Sau khi tham gia vào Array: phugiasc. Tại ISA1 hoặc ISA2, tạo Enterprise Network cho vùng
Internal với dãy địa chỉ: 192.168.10.0 – 192.168.10.255 và vùng DMZ với dãy địa chỉ: 172.16.10.0
– 172.16.10.255
- Xây dựng hệ thống tường lửa ISA với mô hình dựng sẵn 3-Leg với thao tác tại mục Configuration/
Network chọn thẻ Templates. Lần lượt gán Enterprise Network cho vùng Internal.

Trang 69
- Gán dãy địa chỉ để quản trị và Enterprise Network cho vùng DMZ.
- Chọn Firewall Policy: Block All với mục đích ngăn cấm tất cả việc truy xuất qua ISA.
- Bật chế độ Network Loabalacing với thao tác tại mục Configuration/ Network chọn thẻ Tasks.

Trang 70
- Gán địa chỉ Virtual IP cho vùng Internal là: 192.168.10.100 và vùng DMZ là: 172.16.10.100
- Lưu lại cấu hình và restart lại ISA.

Trang 71
- Kiểm tra tình trạng kết nối các member ISA với thao tác: Configuration/ Server đã được Active.

Trang 72
- Đứng tại ISA1 server, vào command line kiểm tra địa chỉ Virtual IP của vùng Internal và DMZ đã được
tạo.

Trang 73
- Đứng tại ISA2 server, vào command line kiểm tra địa chỉ Virtual IP của vùng Internal và DMZ đã được
tạo.

Trang 74
2. Access Rule
Tổng quan:
- Access Rule là các chính sách được thiết lập ở Firewall Policy để có thể cho phép hoặc không cho
phép những đối tượng: Protocol, User, … giữa các network truy xuất qua lại lẫn nhau.
- Sau khi cài đặt ISA Server, mặc định các network không thể truy xuất qua lại lẫn nhau vì Enterprise
Policy Rule ngăn chặn tất cả đối tượng đi qua ISA Server.
- ISA Server quan tâm đến tất cả networks ngoại trừ External, những networks được xác định là
External thì không được bảo vệ.
- Các Networks được bảo vệ:
 VPN Client network.
 Quaranined VPN Clients (mạng VPN client bị cách ly).
 Local Host network (ISA Server firewall).
 Internal network (vùng nội bộ).
 Perimeter networks (vùng DMZ).
2.1 Triển Khai Firewall Client:
- Theo yêu cầu của đề tài, chính sách của công ty dành cho nhân viên trong công ty như sau:
 Cho phép phòng Kinh doanh ra Internet trong giờ hành chính nhưng không được phép truy cập
vào các trang web có nội dung xấu và có tính chất giải trí, chat, game, …
 Ngăn cấm phòng Kế toán và Nhân sự ra Internet nhưng vẫn sử dụng được các dịch vụ mạng
nội bộ.
- Với chính sách như trên ta cần triển khai Firewall Client chứng thực User, password của nhân viên
trong hệ thống Domain để ISA Server quản lý nhân viên trong công ty truy xuất mạng.
- Firewall Client được cài đặt ở các máy Client, có chế độ xác thực và tự động dò tìm ISA Server với cơ
chế Auto Discovery trên ISA. Phiên làm việc giữa Client và ISA Server thông qua port mặc định: 80, vì
vậy ta cần tạo Access Rule cho phép Internal Network truy xuất qua lại với Local Host Network thông
qua giao thức HTTP:
 Rule Name: Allow Access Internal & Local Host.
 Action: Allow
 Protocols: HTTP
 Source: Internal, Local Host
 Destination: Internal, Local Host

Trang 75
 User Sets: All User.
2.2 Tạo User Set, Schedules, Web Denied:
2.2.1 Tạo User Set:
- Tại máy DC, vào Active Directory tạo các user - lần lượt gán các user này vào group tương ứng cho
các phòng ban.

Trang 76
- Tại máy ISA1, tạo User Set cho các phòng ban với thao tác: Firewall Policy -> vào thẻ Toolbox/ Users
chọn New -> gán các group tương ứng của các phòng ban ở Domain phugiasc.vn
- Tương tự tạo các User Set tương ứng với các phòng ban. Kết quả:

Trang 77
2.2.2 Tạo Schedules:
- Lập lịch thời gian hành chính khoảng giờ: 7h – 11h và 13h – 17h áp dụng từ thứ Hai – thứ Sáu bằng
thao tác vào Firewall Policy/ Schedules chọn New.
- Tương tự, lập lịch thời gian nghỉ trưa khoảng giờ: 11h – 13h áp dụng từ thứ Hai – thứ Sáu:

Trang 78
- Kết quả:
2.3 Tạo Access Rule Cho Nhân Viên Kinh Doanh
- Theo yêu cầu của đề tài, nhân viên phòng Kinh doanh được phép truy cập vào Internet vào giờ hành
chính (7h – 11h và 13h – 17h) nhưng không truy cập vào các trang có nội dung xấu, có tính chất giải
trí, chat, game.
- Để áp dụng theo yêu cầu, ta tạo rule theo các thông số sau:
 Rule Name: Allow Kinh Doanh to Internet
 Action: Allow
 Protocols: HTTP, HTTPS
 Source: Internal
 Destination: External
 User Sets: Kinh Doanh
- Gán thời gian hành chính (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo
chọn Propertise chọn thẻ Schedules -> chọn Work Time.

Trang 79
- Thực hiện chính sách cấm chat Yahoo Messenger bằng thao tác: Right click vào Rule vừa tạo chọn
Configure HTTP chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch
vụ sử dụng giao thức HTTP cần ngăn cấm.

Trang 80
- Tạo Rule ngăn cấm Web có nội dung xấu, có tính chất giải trí theo thông số sau:
 Rule Name: Deny Web
 Action: Deny
 Protocols: All outbound traffic
 Destination: Web Denied (đã được tạo tại phần 2.2.2)
 User Sets: All User
- Cho Rule Deny Web ở vị trí ưu tiên là 1
- Kiểm tra kết quả: logon vào máy Client với User thuộc group kinhdoanh:
 Truy cập Website ngoài Internet trong khoảng giờ hành chính -> truy cập thành công.
 Truy cập Yahoo Messenger thất bại.
 Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập.
 Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn ->
truy cập thành công.
 Vào Outlook Express gửi và nhận mail trong công ty -> thành công.
2.3 Tạo Access Rule Cho Phòng Kế Toán, Nhân Sự
- Theo yêu cầu của đề tài, nhân viên phòng Kế toán và Nhân sự không được phép truy cập Internet
vào giờ hành chính (7h – 11h và 13h – 17h) nhưng vẫn sử dụng được các dịch vụ mạng nội bộ.
- Tạo Rule ngăn cấm phòng Kế toán và Nhân sự ra Internet theo thông số sau:
 Rule Name: Deny Ke Toan & Nhan Su to Internet
 Action: Deny
 User Sets: Ke Toan, Nhan Su
- Gán thời gian hành chính (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo
chọn Propertise chọn thẻ Schedules -> chọn Work Time.

Trang 81
- Kiểm tra kết quả: logon vào máy Client với User thuộc group Nhân sự và Kế toán:
 Truy cập Website ngoài Internet trong giờ hành chính -> truy cập thất bại.
 Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn ->
truy cập thành công.
- Tạo Rule cho phép phòng Kế toán và Nhân sự sử dụng các dịch vụ của công ty ở DMZ:
 Rule Name: Allow Access Internal to DMZ
 Action: Allow
 Protocols: HTTP, HTTPS, POP3, POP3S, SMTPS
 Destination: Perimeter
 User Sets: All Users
2.3 Tạo Access Rule Cho Tất Cả Nhân Viên Trong Giờ Nghỉ Trƣa:
- Theo yêu cầu của đề tài, tất cả nhân viên được truy cập Internet trong giờ nghỉ trưa nhưng không
được chơi game, tải nhạc, gửi file, xem phim trên Internet.
- Tạo Rule cho phép tất cả nhân viên ra Internet:
 Rule Name: Allow All Users to Internet
 Action: Allow
 Protocols: HTTP, HTTPS
 User Sets: All Users

Trang 82
- Gán thời gian nghỉ trưa (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo chọn
Propertise chọn thẻ Schedules -> chọn Rest Time.
- Cho phép Chat Yahoo Messenger trong giờ nghỉ trưa bằng thao tác:
1- Định ngh a Protocols mới với tên: Yahoo Messenger sử dụng Port 5050 (cổng truyền nhận dữ
liệu của Yahoo Messenger) bằng thao tác: Right click vào Rule vừa tạo chọn Propertise -> chọn thẻ
Protocols -> chọn Add -> chọn New -> Tạo Protocol mới với tên: Yahoo Messenger sử dụng Port
5050/ TCP với hướng đi Outbound.
2- Gán Protocol vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All User to
Internet -> chọn thẻ To -> chọn Add -> Xổ mục Userdefine chọn Yahoo Messenger.

Trang 83
3- Vì Yahoo Messenger truyền nhận dữ liệu theo cơ chế HTTPS, ta tiến hành định ngh a Domain
Name Sets với tên: Yahoo bằng thao tác: vào Firewall Policy chọn thẻ Toolbox/ Network Objects
chọn New/ Domain Name Sets -> khai báo tất cả đường dẫn đến Domain Yahoo

Trang 84
4- Gán Domain Name Sets vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All
User to Internet -> chọn thẻ To -> chọn Add -> Xổ mục Domain Name Sets chọn Yahoo.
- Cấm tải nhạc bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP chọn thẻ Extensions/
chọn tác động Block specified extensions (allow all others) -> chọn Add -> định ngh a file mở rộng:
.mp3 tại ô Extensions

Trang 85
- Thực hiện chính sách cấm gửi file bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP
chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch vụ sử dụng giao
thức HTTP cần ngăn cấm.

Trang 86
- Thực hiện chính sách cấm xem phim trên Internet bằng thao tác: Right click vào Rule vừa tạo chọn
Propertise chọn thẻ Content Types -> check chọn tất cả application ngoại trừ Video.

Trang 87
- Kiểm tra kết quả: logon vào máy Client với bất kỳ User nhân viên trong công ty:
 Truy cập Website ngoài Internet trong giờ nghỉ trưa -> truy cập thành công.
 Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn
-> truy cập thành công.
 Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập.
 Truy cập vào Yahoo Messenger -> thành công.
 Gửi file trong Yahoo Messenger -> thất bại.
 Truy cập vào các Website upload file (ví dụ: www.mediafire.com) -> upload file thất bại.
 Truy cập vào các Website xem phim online (ví dụ: www.youtube.com) -> không xem được
Video.
2.4 Tạo Access Rule Cho Giám Đốc:
- Tạo Rule cho phép group Giám Đốc với quyền Full Access theo thông số:
 Rule Name: Allow Giam Doc – Full Access
 Action: Allow
 User Sets: Giam Doc
- Cho Rule Allow Giam Doc – Full Access ở vị trí ưu tiên là 1

Trang 88
- Kiểm tra kết quả: logon vào máy Client với User thuộc group Giám Đốc:
 Truy cập bất kỳ Website ngoài Internet trong giờ hành chính và nghỉ trưa -> truy cập thành
công.
 Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn
-> truy cập thành công.
 Truy cập vào các Website trong danh sách cấm xuất -> truy cập thành công.
 Truy cập vào Yahoo Messenger và gửi file -> thành công.
 Truy cập vào các Website upload file (ví dụ: www.mediafire.com) -> upload file thành công.

Trang 89
3. Publishing Server Ra Internet
3.1 Publishing Secure Website
- Tại ISA Server, copy Wildcarrd Certificate đã được Export tại máy Web Server vào máy ISA Server
- Vào Start/ Run gõ lệnh: mmc -> cửa sổ Consol xuất hiện chọn File -> Add/Remove Snap-in -> tại thẻ
Standalone chọn Add -> gán Snap-in Certificates triển khai Computer account
- Right click vào Snap-in Certificate vừa gán chọn All Tasks/ Import -> trỏ về Wildcard Certificate -> gõ
password bảo vệ (đã tạo lúc Export Wildcard Certificate)
- Xổ mục Certificate/ Personal/ Certificates -> Wildcard Certificate đã được gán.

Trang 90
- Kiểm tra tính hợp lệ của Certificate bằng cách Double click vào Certificate: *.phugiasc.vn -> kết quả,
Certificate hợp lệ và tin cậy.
- Tiến hành tạo Web Listeners bằng thao tác: tại mục Firewall Policy chọn Toolbox/ Network Object
chọn New -> Web Listeners -> cho phép client truy vấn với chế độ: require SSL secured connections
with clients.

Trang 91
- Cho phép lớp mạng đi vào là: External
- Chọn SSL Certificate lắng nghe với Certificate: *.phugiasc.vn đã được trust.

Trang 92
- Chọn: No authentication (không dùng chứng thực khi client truy xuất)
- Kết quả:
Publish Web Site:
- Tại Firewall Policy -> Right click chọn New/ Web Site Publishing Rule -> chọn Action là: Allow ->
chọn Publish a sigle Web site or loab balancer -> chọn chế độ connection với SSL

Trang 93
- Chọn Internal site name là: www.phugiasc.vn với địa chỉ được Publish ra ngoài Internet:
172.16.10.10
- Chọn domain name public với tên: www.phugiasc.vn

Trang 94
- Chọn Web Listener đã triển khai ở trên.
- Chọn User Sets: All Users.
- Publish Web-mail Client tương tự với Internal site name: client.phugiasc.vn và địa chỉ publish ra ngoài
Internet: 172.16.10.11

Trang 95
- Publish ra Internet với tên: client.phugiasc.vn -> chọn Web Listener và thông số tương tự như trên.
- Publish Web-mail Admin tương tự với Internal site name: admin.phugiasc.vn và địa chỉ publish ra
ngoài Internet: 172.16.10.12

Trang 96
- Publish ra Internet với tên: admin.phugiasc.vn -> chọn Web Listener và thông số tương tự như trên.
- Rule Publish Secure Web Sites

Trang 97
- Kiểm tra:
- Giả lập đề tài, dùng Client ngoài External với thông số IP như sau:
- Tạo file host theo đường dẫn: C:WINDOWSsystem32driversetc với nội dung:

Trang 98
- Truy cập lần lượt các Web Sites: https://www.phugiasc.vn , https://client.phugiasc.vn ,
https://admin.phugiasc.vn -> cảnh báo Certificate không tin cậy.
- Vì Certificate được cấp bởi CA cục bộ của công ty Phugiasc, để triển khai tin cậy ngoài Internet ta cần
mua SSL Certificate của các nhà cung cấp dịch vụ.
3.3 Publishing Secure Mail
- Tại Firewall Policy -> Right click chọn New/ Mail Server Publishing Rule -> cho phép Client duyệt mail
với giao thức: RPC, IMAP, POP3, SMTP -> chọn dịch vụ: POP3 (secure port) và SMTP (secure port)
-> chọn địa chỉ IP server: 172.16.10.10 -> chọn card lắng nghe là: External.

Trang 99
- Rule Publish Secure Mail:
- Kiểm tra:
- Giả lập đề tài, dùng Client ngoài External với thông số IP như sau:

Trang 100
- Tạo file host theo đường dẫn: C:WINDOWSsystem32driversetc với nội dung:
- Vào Outlook Express trỏ Server gửi nhận mail: mail.phugiasc.vn với Port vận chuyển: 465 và 995. Kết
quả kết nối Mail Server Công ty thành công.
- Vì Certificate được cấp bởi CA cục bộ của công ty Phugiasc, để triển sử dụng chữ ký điện tử và mã
hóa dữ liệu ngoài Internet ta cần mua Digital ID Email của các nhà cung cấp chuyên dụng.

Trang 101
4. Triển khai VPN ISA
4.1 Client-to-Site
- Cho phép các nhân viên công tác bên ngoài công ty có thể truy cập tài nguyên và dữ liệu về công ty
thông qua VPN (Virtual Private Netkwork)
- Tại Domain tạo User VPN và add User vào Group cho kết nối VPN
- Tại User vpn click phải chuột chọn Properties  qua thẻ Dail-in  chọn Allow access (cho phép kết
nối VPN)

Trang 102
- Vào ISA Server chọn Virtual Private Network  chọn thẻ VPN Clinet trong thẻ chúng ta thực hiện
các bước sau VPN:
Bước 1: Chọn configure Address Assignment method

Trang 103
Bước 2: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client
trong Static address pool ở ví dụ này là dãy số 200.200.200.100 ->200.200.200.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host
Configuration Protocol (DHCP) bên dưới

Do an isa full

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Do an isa full

Similar to Do an isa full (20)

Recently uploaded

Recently uploaded (17)

Do an isa full