ISA SERVER FIREWALL
Một trong các bài viết được đông đảo bạn đọc quan tâm trên các diễn đàn hay những tạp chí uy tín vè tin học chính là bài hướng dẫn cách xây dựng Firewall cho doanh nghiệp....bảo mật thông tin...
ISA SERVER FIREWALL
Trong số những sản phẩm tường lữa trên thị trường hiện nay thì ISA Server 2004/2006 của Microsoft là firewall được
nhiều người yêu thích nhất do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh họat.
Một trong các bài viết được đông đảo bạn đọc quan tâm trên các diễn đàn hay những
tạp chí uy tín về tin học chính là bài hướng dẫn cách xây dựng Firewall (Tường Lữa) cho
doanh nghiệp. Các bạn có thể hình dung Firewall như là một bức tường thành kiên cố
dùng để ngăn chặn các đợt tấn công hay xâm nhập từ phía bên ngòai, bảo vệ hệ thống
nội bộ thông qua các cơ chế chặt chẽ nhưng linh họat. Một firewall mạnh không những
có khả năng đáp ứng tốt các yêu cầu bảo mật hệ thống, họat động ổn định mà còn phải
dễ dàng quản lý, thay đổi và hổ trợ tốt trong quá trình truy cập Internet. Nếu xét tổng
cộng các yêu cầu trên thì ISA Server 2004/2006 Firewall xứng đáng chiếm vị trí quán
quân trong các dòng sản phẩm bảo mật thông tin.
Chính vì lý do đó, chúng ta cần phải nắm vững cách họat động, cấu hình và cài đặt của ISA
Server 2004/2006. Trong lọat bài này chúng tôi sẽ hướng dẫn các bạn cách thức một mô hình
Firewall thực tế cho mạng doanh nghiệp. Hãy bắt tay vào quá trình thực hành ngay lập tức, các
bạn có thể triển khai ISA Server trên máy chính và cài Firewall Client trên máy ảo Windows XP
Pro nếu không đủ máy để thực hành (ngay cả Tom Shinder cũng sử dụng hệ thống máy ảo trong
các bài hướng dẫn của mình) , vì vậy các bạn hãy yên tâm về sự “trong suốt”của mô hình ảo so
với mô hình thật, không có gì khác nhau ngọai trừ việc bạn có thể làm tất cả trong 1 khi xây
dựng mạng ảo bằng VM Ware.
ISA Server 2004/2006 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi
trường khác nhau, ISA Server 2004/2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng
thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng các
firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi bộ của công ty. Kiểm
sóat quá trình truy cập của người dùng theo giao thức, thời gian và nội dung của các site nhằm
ngăn chặn quá trình kết nối vào những trang web có nội dung không hợp lệ. Bên cạnh đó chúng
ta còn có thể triển khai các hệ thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập
từ xa của các User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có
những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt chẽ trong một
môi trường riêng biệt thì ISA 2004/2006 cho phép chúng ta triển khai các vùng DMZ (thuật ngữ
chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của các Internal/External User. Ngòai
các tính năng mang tính bảo mật thông tin trên thì ISA 2004/2006 còn có hệ thống cache giúp
cho người dùng kết nối Internet nhanh hơn do thông tin trang web có thể được lưu giữ sẳn trên
RAM hay đĩa cứng, điều này làm cho băng thông của hệ thống được tiết kiệm đáng kể. Chính vì
lý do đó mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật ứng
dụng và tăng tốc băng thông).
ISA Server 2004/2006 Enterprise được sử dụng trong các mô hình mạng lớn, cần những hệ
thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử dụng (User) bên trong và
ngòai hệ thống. Ngòai những tính năng đã có trên ISA Server 2004/2006 Standard, phiên bản
Enterprise còn cho phép chúng ta thiết lập các hệ thống Array (mãng) các ISA Server cùng sử
dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân
bằng tải) phục vụ tốt hơn các yêu cầu của tổ chức.
Để đáp ứng nhu cầu học tập, nghiên cứu cũng như ứng dụng hệ thống tường lữa ISA Server
2004/2006 Firewall, chúng tôi sẽ trình bày cách thức triển khai hệ thống ISA Server (Standar và
Enterprise) cho một tổ chức thực tế với mô hình Lab như sau:
Lưu ý: Trong trường hợp thực hành trên Virtual NETWORK, các bạn hãy cài ISA Server
trên máy chính (máy thật) và máy ảo dùng làm ISA Client hãy thay đổi cấu hình card mạng ở chế
độ Bridge (cho phép máy ảo truy cập Internet thông qua máy chính, còn đặt mặc định ở chế độ
host-only thì máy ảo tương đương với 1 máy tính ngang hàng với máy thật trên mạng, chỉ dùng
khi test các server nội bộ như DHCP, DNS hay Active Directory). Các bạn tiến hành cài đặt và
quay lại bằng Snag It để các instructor dẽ dàng kiểm tra cũng như publish cho mọi người cùng
tham khảo.
T&C Descon là một công ty xây dựng có số lượng nhân viên trên 50 người, để cung cấp dịch vụ
chia sẽ Internet, công ty sử dụng một đường ADSL và hệ thống ISA Server 2004/2006 Firewall.
Địa chỉ modem ADSL là 172.16.1.1, hệ thống có hai lớp mạng chính là Internal bao gồm các máy
tính của nhân viên có dãy địa chỉ IP riêng là 192.168.1.1 – 192.168.1.255/24 và DMZ dùng để
đặt các máy chủ quan trọng như Exchange Server, Web Server sử dụng địa chỉ mạng
10.11.12.0/24 . Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có 3 NIC
(network interface) với địc chỉ IP như sau:
• Outside Interface : IP 172.16.1.11, Subnet Mask 255.255.255 và Default Gateway 172.16.1.1
(ADSL Modem).
• Inside Interface : IP 192.168.1.1, Subnet Mask 255.255.255.0 và DNS1 192.168.1.11 (là DNS
Server và Domain Controler của hệ thống) , DNS2 210.245.31.130
• DMZ Interface : IP là 10.11.12.1, Subnet Mask 255.255.255.0
Nhằm bảo đảm an tòan cho hệ thống và firewall, trên giao tiếp mạng Outside hãy chọn Disable
Netbios Over TCP IP , bỏ chọn Register this connection's address in DNS và Enable
LMHOST lookup như hình sau:
Lưu ý : Chức năng Disable NetBIOS over TCP/IP làm cho máy tính trở nên “vô hình” trên mạng,
các phần mềm quét lỗi hệ thống như Retina, Nmap sẽ không tìm thầy tên của máy tính, hạn chế
trường hợp dò tìm password của những tài khỏan theo cơ chế brute force vì hệ thống thường tạo
một số account mặc định sử dụng tên Netbios này. Do đó các máy chủ giao tiếp với Internet như
firewall thường chọn chức năng này, tuy nhiên đối với các máy tính trên mạng nội bộ chúng ta
khôngnên sử dụng vì sẽ ngăn ngừa các máy tính khác truy cập vào tài nguyên chia sẽ trên máy
của mình như Printer, Folder Share..Có một số ứng dụng bảo mật khi cài đặt sẽ Disable NetBIOS
over TCP/IP một cách mặc định như PC Security, sẽ gây trở ngại cho quá trình họat động của hệ
thống..
Thời gian học : 1 tháng - Học phí : 1.000.000 VND
Hướng dẫn đăng kí.
I - Tiến Hành Cài Đặt ISA Server 2004/2006 :
Sau khi đã thiết lập đầy đủ các thồng tin cần thiết hãy đưa đĩa CD ISA Server 2004/2006
Standard vào máy dùng làm firewall, trên màn hình hiển thị hãy chọn Install ISA Server
2004/2006 để bắt đầu tiến trình cài đặt.
Nhấn Next trên màn hình Welcome to the Installation Wizard for Microsoft ISA Server
2004/2006 , chọn I accept the terms in the license agreement trên cữa sổ License
Agreement và nhập vào các thông tin User Name / Organization, Product Serial Number trên
những màn hình cài đặt tiếp theo. Chúng ta có thể chọn một trong 3 chế độ cài đặt sau:
• Typical : ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache.
• Complete : tất cả các dịchvụ sẽ được cài đặt như Firewall dùng để kiểm sóat truy cập;
Message Screener cho phép ngăn chặn spam mail và các file attachment ( cần phải cài IIS 6.0
SMTP trước khi cài Message Screener; Firewall Client Installation Share.
• Custom : cho phép chọn những thành phần cần cài đặt của ISA Server 2004/2006.
Ở đây chúng ta sẽ sử dụng chế độ cài đặt Custom và nhấn Next, mặc định chỉ có hai dịch vụ
Firewall Services và ISA Server Management hãy chọn thêm Firewall Client Installation Share.
Tiếp theo tiến trình cài đặt sẽ yêu cầu bạn xác định giao tiếp mạng với hệ thống mạng nội bộ,
trên cữa sổ Internal Network nhấn Add và Select Network Adapter để xác định card mạng giao
tiếp với Internal Network.
Đánh dấu vào Inside trong trang Select Network Adapter như hình sau:
Tiếp theo chúng ta cần cung cấp dãy địa chỉ IP chứa các máy tính trên mạng nội bộ là
(From)192.168.1.0 – (To)192.168.1.255 hay tùy theo hệ thống của bạn và nhấn Add .
- Lưu ý dãy địa chỉ này phải chứa IP của giao tiếp mạng Inside.
Trên cữa số Firewall Client Connection Setting hãy đánh dấu chọn vào ô Allow nonencrypted
Firewall client connections và Allow Firewall clients running earlier versions of the
Firewall client software to connect to ISA Server rồi nhấn Next trong các bước tiếp theo
để hòan tất quá trình cài đặt.
Đối với phiên bản Standard chúng ta nên cài bản vá SP1 ISA2004/2006-KB891024-X86-
ENU.msp (có thể download từ website www.microsoft.com ) cho ISA Server 2004/2006 để bảo
đảm quá trình họat động diễn ra suôn sẽ và ổn định.
Sau khi cài đặt xong ISA Server chúng ta cần phải kết nối Firewall với Internet bằng cách tạo ra
những policy chính như cho phép truy cập Internet, check mail đối với các Domain User, cho
phép sử dung FTP...Có một điểm lưu ý là sau khi cài xong bản thân ISA Server sẽ không truy cập
Internet được vì default policy ngăn chặn điều này, do đó các bạn phải bật Local Policy cho phép
nếu muốn duyệt Web trên chính ISA 2004/2006 Firewall.