Tài liệu Tìm hiểu và cài đặt isa

Đồ án tốt nghiệp đại học TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN -------------------------- BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI TÌM HIỂU VÀ CÀI ĐẶT ISA Nhóm sinh viên thực hiện: Nguyễn Đình Hùng – Mã sinh viên : 0851070294 Vilaxay Somphone – Mã sinh viên : 0851073213 Lớp: 49K - CNTT Giáo viên hướng dẫn: T.S Lê Ngọc Xuân Nghệ An, tháng 12 năm 2012 1 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học LỜI CẢM ƠN Chúng em xin gửi lời cảm ơn chân thành đến tất cả các thầy giáo, cô giáo trường Đại học Vinh nói chung và khoa Công nghệ thông tin nói riêng đã dạy dỗ, trang bị cho chúng em những kiến thức trong suốt những năm học vừa qua. xin gửi lời cảm ơn sâu sắc đến các thầy cô giáo đã hướng dẫn định hướng và giúp đỡ chúng em thực hiện đồ án tốt nghiệp này. Đặc biệt là thầy giáo T.S Lê Ngọc Xuân đã tận tình hướng dẫn trong suốt thời gian thực tập và làm đồ án tốt nghiệp. Nhân dịp này chúng em xin gửi lời cảm ơn chân thành đến gia đình, bạn bè, những người thân đã tạo mọi điều kiện, động viên giúp đỡ chúng em hoàn thành tốt đồ án. Tuy nhiên, vì thời gian có hạn nên chúng em không thể phát huy hết những ý tưởng của mình, khả năng hỗ trợ của ngôn ngữ và công nghệ vào đề tài. Trong quá trình thực hiện đề tài không thể tránh khỏi sai sót, mong nhận được sự góp ý và cảm thông của quý thầy cô và các bạn. Tháng 12, năm 2012 Người thực hiện Nguyễn Đình Hùng Vilaxay Somphone 2 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học LỜI MỞ ĐẦU Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứng các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàng trực tuyến,…vv…. Không còn là những khái niệm trừu tượng nữa. Với Internet mọi thứ “trong mơ” đã trở thành hiện thực. Trong những năm gần đây vài trò của Công nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét. Sự phát triển của CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ưng dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia. CNTT giúp con người xích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia. Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin. Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức năng của ISA như thế nào? Tác dụng của ISA trong môi trường network..vv..vv. Chuyên đề này sẽ giải đáp những câu hỏi đó. Và sẽ cung cấp một cái nhìn chi tiết, rõ nét về ISA server. 3 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học MỤC LỤC LỜI CẢM ƠN.................................................................................................................... 1 LỜI MỞ ĐẦU.................................................................................................................... 2 CHƯƠNG I TỔNG QUAN VỀ ISA SERVER 2006.....................................................5 1.1 Giới thiệu về ISA server 2006 5 1.2 Các phiên bản của ISA server 2006 5 1.3 Tính năng chính của ISA server 2006 5 CHƯƠNG II CÀI ĐẶT ISA SERVER 2006..................................................................7 2.1 Mô hình 7 2.2 Chuẩn bị 7 2.2.1 Nâng cấp Domain Controller trên máy Server.....................................................7 2.2.2 Cấu hình Routing trên máy Router.....................................................................10 2.2.3 Join Domain các máy VIP, User vào máy Server...............................................12 2.2.4 Cấu hình Router trên máy ISA............................................................................13 2.3 Cài đặt ISA Server 13 2.3.1 Cài đặt ISA trên máy ISA Server........................................................................13 2.3.2 Cài đặt Firewall client trên các máy Server,VIP,User........................................17 CHƯƠNG III TRIỂN KHAI MÔ HÌNH ISA SERVER 2006...................................19 3.1 Cấu hình Access Rules 19 3.1.1 Phân giải tên miền DNS......................................................................................19 3.1.2 Cho máy VIP và User được gửi nhận mail từ Internet.......................................21 3.1.3 Cho máy User truy cập trang Web Đại Học Vinh trong giờ làm........................24 3.1.4 Cho máy VIP truy cập internet không hạn chế...................................................28 4 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học 3.1.5 Cho máy Uer truy cập Internet không hạn chế trong giờ giải lao......................30 3.1.6 Chỉ cho máy User đọc chữ không cho xem hình, xem phim, nghe nhạc...........32 3.1.7 Cấm máy User truy cập trang 2sao.vn, nếu truy cập thì Redirect về vinhui.edu.vn................................................................................................................34 3.2 Cấu hình Caching 36 3.2.1 Thiết lập Proxy....................................................................................................37 3.2.2 Thiết lập dung lương lưu trữ cache trên ổ cứng..................................................40 3.2.3 Thiết lập dung lượng RAM.................................................................................41 3.3 VPN Client to Site L2TP/IPSec 45 CHƯƠNG V MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP......................52 4.1 Edge Firewall 53 4.2 Leg Perimeter 54 4.3 Front/Back Firewall 85 KẾT LUẬN...................................................................................................................... 56 TÀI LIỆU THAM KHẢO................................................................................................57 CHƯƠNG I TỔNG QUAN VỀ ISA SERVER 2006 5 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học 1.1. Giới thiệu về ISA server 2006 Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet và cũng là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa. 1.2. Các phiên bản của ISA server 2006  Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình.  Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). 1.3. Tính năng chính của ISA server 2006 ISA server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các serverứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý  Truy cập Web nhanh với cache hiệu suất cao:  Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc nghẽn.  Giảm giá thành băng thông nhờ giảm lưu lượng internet 6 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học  Phân tán nội dung của các Web server và cácứng dụng thương mạiđiện tử một cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)  Kết nối Internet an toàn nhờ nhiều lớp  Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưu lượng mạng tại nhiều lớp.  Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an toàn các yêu cầu đến  Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn.  Cung cấp truy cập an toàn cho người dùng hợp lệ từ Internet tới mạng nội bộ nhờ sử dụng mạng riêng ảo (VPN)  Quản lý thống nhất với sự quản trị tích hợp  Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu lực của các chính sách vận hành  Tăng hiệu suất nhờ việc giới hạn truy cập tới internet của một số các ứng dụng và đích đến  Cấp phát băng thông để phù hợp với các ưu tiên  Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử dụng như thế nào  Tự động hóa các dịch vụ nhờ sử dụng script  Khả năng mở rộng  Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server software development kit (SDK) với các thành phần bổ sung  Chức năng mở rộng an toàn cho các sản xuất thứ ba  Tự động các tác vụ quản trị với các đối tượng script COM ( component object model) CHƯƠNG II CÀI ĐẶT ISA SERVER 2006 2.1 - Mô hình 7 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học 2.2 – Chuẩn bị Gồm 5 PC: Server,VIP,Users,Router và ISA 2.2.1 Nâng cấp Domain Controller trên máy Server B1.Đặt IP Address cho máy Sever B2. Vào Start-> Run:DCPROMO Chọn Next -> Domain Name:kstin.local -> next 8 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Giữ các giá trị mặc định Chọn Next Quá trình cấu hình hoàn tất ta khởi động lại máy -> Log on to: KSTIN -> Ok Vào Start -> Program -> Administrator -> DNS Tại thẻ Reverse Lookup Zones -> chuột phải chọn New Zone 9 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Ở cửa số cài đặt ấn Next Để mặc định ấn Next-> Gõ network ID là network của máy Server ->Next Next -> Finsh Tại cửa sổ bên phải ấn chuột phải chọn New Pointer, gõ Subnet của máy Server Chọn Browse 10 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Chọn kstin.local -> chọn ‘maydc’ -> OK OK=> hoàn thành quá trình nâng cấp Domain Controller trên máy Server 2.2.2 Cấu hình Routing trên máy Router. Trên máy Router chúng ta cấu hình 4 card mạng 11 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học B1.Đặt IP Address cho các Interface Interface Name Cross Lan-2 Lan-3 Lan-4 IP Address 192.168.5.2 192.168.2.1 192.168.3.1 192.168.4.1 Subnet Mark 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Default Gateway 192.168.5.1 Trắng Trắng Trắng Preferred DNS Trắng Trắng Trắng Trắng B2.Enable Lan Routing Start -> Programs -> Administrative Tools-> Routing and Remote Access Chọn Custom configuration trong cửa sổ Configuration -> đánh dấu chọn vào ô LAN Routing -> Finish. B3.Tạo Static Route Interface là mạng Cross OK-> Tạo xong bộ định tuyến tĩnh. 12 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học 2.2.3. Join domain các máy VIP,USERS vào máy Server B1. IP Address PC IP Address Subnet Mark Default Gateway Preferred DNS VIP 192.168.2.2 255.255.255.0 192.168.2.1 192.168.3.2 Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2 B2. Vào My Computer-> Properties -> Tab Computer Name -> Click Change -> Member Of Domain: kstin.local -> tại cửa sổ computer name changes -> User name : administrator -> Ok -> khởi động lại máy Chọn Option -> log on to: KSTIN Join Domain tương tự đối với máy USER. 13 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học 2.2.4.Cấu hình Router trên máy ISA Trên máy ISA ta cài đặt 2 Card mạng B1.Đặt IP Address Interface Name Cross Lan IP Address 192.168.5.1 192.168.1.2 Subnet Mark 255.255.255.0 255.255.255.0 Default Gateway Trắng 192.168.1.1 Preferred DNS 192.168.3.2 8.8.8.8 B2. Tạo các route Start\Run:CMD. *Nhập các lệnh tạo route : Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1 2.3 – Cài đặt ISA Server 2.3.1 Cài ISA trên máy ISA server Từ Source ISA2006 ->chạy file:ISAAutorun.exe Chọn I accept the terms in the license agreement 14 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Nhập User Name, tên công ty -> Next Chọn option Typical hay Custom đều được  Typical: cài đầy đủ các tính năng chính của ISA  Custom: lựa chọn các tính năng cần cài đặt Trong trường hợp này ta chọn Typical. Nhấn Next để tiếp tục. 15 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Tại màn hình Internal Network, ta sẽ khai báo đường mạng nào là đường mạng bên trong (Cross) . Nhấn Add để khai báo. Khi nhấn Add xong thì sẽ xuất hiện hộp thoại Addresses, có 2 tuỳ chọn ta có thể sử dụng. Add Adapter: xác định Card mạng nào sẽ nối với đường mạng bên trong sau đó ISA sẽ tự động nhận định Add Range : đưa vào khoản IP mô tả cho đường mạng bên trong 16 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học chọn Add Adapter, chọn card mạng internal , nhấn OK để kết thúc. Nhấn Next -> Ok để kết thúc khai báo đường mạng bên trong . Tại hộp thoại FireWall Client Connections, nhấn Next -> Instanl để cài -> Finish để kết thúc cài đặt. Mặc định sau khi cài ISA server xong, Default rule sẽ cấm các traffict từ bên 17 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học ngoài kết nối tới máy ISA, từ bên trong kết nối tới máy ISA . Từ máy Route thử Ping đến máy ISA ( 192.168.5.1 ) 2.3.2. Cài đặt Firewall client trên các máy SERVER,VIP,USERS Từ source ISA2006 -> Client -> Chạy file: ISACient.exe 18 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học Chọn option I accept the terms in the license agreement -> next -> Chọn option Connect to this ISA server computer, nhập vào IP internal của máy ISA  Next Ấn Instanl Ấn Finish để hoàn tất việc cài đặt. 19 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone Đồ án tốt nghiệp đại học CHƯƠNG III TRIỂN KHAI MÔ HÌNH ISA SERVER 2006 3.1 Cấu hình Access Rules Vào Microsoft ISA server -> ISA server management, Click phải vào Firewall Policy chọn New -> Access Rule 3.1.1 - Cho phân giải tên miền DNS. Đặt tên cho access rule -> next Chọn Option Allow ( Cho phép )-> next chọn Selected protocols ấn Add chọn protocol DNS -> next 20 Nhóm sinh viên thực hiện: Nguyễn Đình Hùng, Vilaxay Somphone