ISA Server 2006 Firewall

CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006 1.1 Khái niệm chung. Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa. Đặc điểm nổi bật của bản 2006 so với các phiên bản khác là tính năng Publishing và VPN . Về khả năng Publishing Service ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu formbased. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Addins. Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password). Block các kết nối nonencrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007. Khả năng kết nối VPN Cung cấp Wizard cho phép cấu hình tự động sitetosite VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine, Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel sitetosite (với các sản phẩm VPN khác). Về khả năng quản lý Dễ dàng quản lý Rất nhiều Wizard Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group Log và Report chi tiết cụ thể. Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise) Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000, 2004 ) Tích hợp với giải pháp quản lý của Microsoft: MOM SDK. Các tính năng khác Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM). Max 32 node Network Loadbalancing. Hỗ trợ nhiều network. Route/NAT theo từng network. Firewall rule đa dạng. IDS. Flood Resiliency. HTTP compression. Diffserv. 1.2. Các phiên bản ISA Server 2006 ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISA Server 2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng các firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi bộ của công ty. Kiểm sóat quá trình truy cập của người dùng theo giao thức, thời gian và nội dung của các site nhằm ngăn chặn quá trình kết nối vào những trang web có nội dung không hợp lệ. Bên cạnh đó chúng ta còn có thể triển khai các hệ thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập từ xa của các User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2006 cho phép chúng ta triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của các internal/External User. Ngòai các tính năng mang tính bảo mật thông tin trên thì ISA 2006 còn có hệ thống cache giúp cho người dùng kết nối Internet nhanh hơn do thông tin trang web có thể được lưu giữ sẳn trên RAM hay đĩa cứng, điều này làm cho băng thông của hệ thống được tiết kiệm đáng kể. Chính vì lý do đó mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật ứng dụng và tăng tốc băng thông). ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, cần những hệ thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử dụng (User) bên trong và ngòai hệ thống. Ngòai những tính năng đã có trên ISA Server 2004/2006 Standard, phiên bản Enterprise còn cho phép chúng ta thiết lập các hệ thống Array (mãng) các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) phục vụ tốt hơn các yêu cầu của tổ chức. 1.3. Các đặc tính Access policy: xác định các giao thức và nội dung mà các client trong internal network được phép truy cập VPNs : Mở rộng một mạng riêng bằng cách sử dụng các liên kết qua mạng chia sẻ hoặc mạng công cộng nhưInternet. Packet filtering :Điều khiển lưu lượng gói IP đến và từ adapter bên ngoài mạng ISA Application filters: cho phép thực hiện các giao thức cụ thể hoặc công việc hệ thống cụ thể như: xác thực … để cung cấp thêm một lớp bảo mật chi firewall. Web publishing Server publishing Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi ISA Server hoạt động, bao gồm các cảnh báo, phiên họp, và dịch vụ. Alerts: Thông báo cho bạn khi sự kiện cụ thể xảy ravà thực hiện hành động tương ứng.Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006 2.1. Mô hình ISA Server 2006 Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi 2.2. Cài Đặt ISA Server 2006 2.2.1 Chuẩn bị Đặt IP Address :Cấu hình IP các máy như sau: Máy  Đặc tính  PC01  PC02   Tên   ISA  Server   Card Lan  IP Address  192.168.1.2     Subnet Mask  255.255.255.0     Default gateway  192.168.1.1(Modem ADSL0)     Preferred DNS       Card Cross  IP Address  172.16.1.1  172.16..1.2    Subnet Mask  255.255.255.0  255.255.255.0    Default gateway   172.16.1.1    Preferred DNS  172.16.1.2  172.16..1.2   Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02   *. Nâng cấp Domain Controller trên máy Server - Tại máy DC ( PC 01) Start→Run→DCPROMO - Domain Name: hui.com * Join domain các máy ISA(PC02) vào hui.com My Computer → Propertie s→ tab Computer Name → nhấp Change → Member Of Domain: hui.com 2.2.2. Cài đặt ISA 2006 Standard B1: Từ Source ISA2006 chạy file:ISAAutorun.exe. giao diện xuất hiện, chọn Intall ISA server 2006 → Next B2: Hộp thoại “ wellcom to the Installtion Wizard for Microsoft ISA server 2006”→ Next
B3:Chọn “I accept the terms in the license agreement option on the License Agreement “ → Next
B4: Nhập vào ô “user name” tronh hộp thoại Customer Information→ Next
B5 : Trong hộp thoại Setup Type , chọn Typical → Next B6: trong hộp thoại Internal Network, chọn Add, nhập vùng địa chỉ mạng intrenal: 172.16.1.0-172.16.1.255 → Next
B7.Trong hộp thoại Firewall Client Conection, bỏ check “Allow non-encrypted Firewall client connections → Next
B8. Trong hộp thoại Services Warning, chọn Next → Intall trong hộp thoại ready to Install the Program

B9. Chọn Finish trong hộp thoại Installation Wizard Completed
CHƯƠNG 3: ACCESS POLICY ISA firewall’s Access Policy bao gồm Web Publishing Rules, Server Publishing Rules và Access Rules. Web Publishing Rules và Server Publishing Rules được dùng để cho phép truy cập từ ngoài vào, Access Rule được dùng để điều khiển truy cập ra ngoài. Nhìn chung bạn nên dùng Web Publishing Rules, Server Publishing Rules khi muốn kết nối từ một máy ngoài vào máy trong mạng ISA. Access Rule dùng điều khiển truy cập giữa hai mạng bất kỳ.
Khi ISA chặn yêu cầu truy cập từ ngoài vào, nó kiểm tra Network Rules và Firewall Policy xác định có được phép truy cập không. Network rule được kiểm tra đầu tiên. Nếu không có Network Rule nào định nghĩa như NAT hoặc ROUTE giữa hai mạng đó thì không kết nối được. Khi một yêu cầu kết nối ra ngoài được nhận bởi ISA, điều đầu tiên ISA làm là kiểm tra xem nếu có một Network Rule định tuyến giữa nguồn và điểm đến không. Nếu không có Network Rule, các ISA firewall giả định rằng điểm nguồn và điểm đến là không kết nối. Nếu có giữa các nguồn và sau đó ISA firewall xử lý các Access Rules trong Access Policy từ trên xuống.Nếu Rule cho phép được kết hợp với các yêu cầu kết nối ra bên ngoài, ISA firewall sẽ cho phép yêu cầu. Để Rule cho phép được áp dụng để kết nối , các đặc tính của yêu cầu kết nối phải phù hợp với đặc tính được định nghĩa bởi Access Rule như: Protocol, Users, Content types, Shedules, Network Objects. Nếu không thoả các đặc tính thì ISA firewall sẽ xét đến Rule kế iếp. Nếu Access Rule phù hợp với các đặc tính trong các yêu cầu kết nối, sau đó bước tiếp theo là cho ISA firewall sẽ kiểm tra Network Rules lại một lần nữa để xác định nếu có một NAT hoặc Route mối quan hệ giữa điểm nguồn và điểm đến 3.1. ISA firewall access rule element ISA Firewall bao gồm các yếu tố và chính sách sau: Protocols User Sets Content Types Shedules Network Objects Protocols ISA Firewall bao gồm một số giao thức có sẵn, bạn có thể dùng để tạo Access Rules, Web Publishing Rules và Server Publishing Rules. Ngoài ra bạn có thể tạo các giao thức riêng cho bạn bằng cách sử dụng New Protocol Wizard của ISA Firewall. Khi tạo một giao thức mới bạn cần xác định các thông tin sau: Protocol Type: TCP, UDP, ICMP, or IP-level protocol. Direction: UDP bao gồm gửi, nhận,gửi nhận, nhận gửi. TCP bao gồm Inbound và Outbound. ICMP và IP-levelbao gồm nhận và gửi. Port range: khoảng port Protocol number: dùng cho giao thức IP-level . ICMP properties: dùng cho giao thức ICMP. Là mã và loại giao thức ICMP Secondary connections: Đây là các port, các loại giao thức, và hướng sử dụng cho các kết nối thêm hay các gói tin theo các kết nối ban đầu. Bạn có thể tạo một hoặc nhiều kết nối thứ cấp. 3.1.2 User Set Để kiểm soát việc truy cập ra bên ngoài, bạn có thể tạo Access Rule áp dụng cho các user hoặc nhóm user được chỉ định. ISA Firewall cho phép bạn tạo các user hoặc nhóm user trong User Set. Ngoài ra, ISA firewall cũng tạo sẵn các user set như: All Authenticated Users: các user phải được xác thực All Users: tất cả các user xác thực và không xác thực System and Network Service 3.1.3 Content Type: cho phép các ứng dụng khác nhau vàcác tập tin được tổ chức theo loại nội dung nhất định . Ví dụ, một tập tin đó được tải về thông qua trang web có thể là một tập tin âm thanh, hình ảnh, văn bản, video, hoặc bất kỳ. Tập tin được nhóm lại theo kiểu nội dung có thể được kiểm soát hơn một cách dễ dàng, tạo cho người quản trị ISA một cách dễ dàng. 3.1.4 Shedule: Bạn có thể gán một thời gian biểu cho một Access Rule để điều khiển việc áp dụng Rule này. Có ba thời gian biểu đã được xây dựng sẵn : Work Hours: cho phép truy cập từ 9:00 đến 17:00 từ thứ hai đến thứ sáu Weekends: cho phép truy cập thứ bảy và chủ nhật Always: cho ph1p truy cập mọi lúc. 3.1.5 Network Objects 3.2. Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall 1. Mở ISA server ,chọn Firewall Policy, chọn tasks tab trong Task panel, chọn create new access rule hoặc click phải chuột firewall policy →new →access rule
2. Nhập tên rule cần tạo “All open” vào ô Access rule name→ Next
3. Action chon “ Allow” → Next
4. Có 3 sự lựa chọn trong “This rule applies to” All outbound traffic cho phép tất cả giao thứccra bên ngoài Selected protocols: cho phép bạn chọn những giao thức áp dụng cho rule. Bạn có thể chọn những giao thức sẵn có hoặc tạo giao thức mới. có thể chọn môt hoặc nhiều giao thức cho một rule. All outbound traffic except selected: cho phép mở tất cả các giao thức ra ngoài nhưng loại trừ một số giao thức chỉ định . Chọn all outbound traffic→Next
5. Trong Access rule Source, chọn Add→Networks→Internal, Local host→Add→Close→Next
6. Trong Access Rule Destination chọn Add→ Networks→External→Add→Close→Next
7. Trong “User Sets” chọn giá trị mặc định “All Users” →Next→Finish Chọn Apply →Ok
3.3. Thuộc tính của Access rule Bạn có thể chỉnh sửa hay tạo một số đặc tính mới của Rule trong Rule Properties. Bạn có thể tạo Rule mới mà không cần vào “New Access Rule “ chỉ bằng thao tác copy Rule có sẵn và vào Poperties chỉnh sửa lại đặc tính cho Rule mới. Các tab trong Rule Properties: General : Bạn có thể thay đổi tên rule và kích hoạt hoặc không kích hoạt rule này
Action: ban có thể thay đổi thuộc tính của rule allow hoặc deny. Ngoài ra tab này còn cung cấp vài sự lụa ch5n mà bạn không thể tạo trong new access rule như: Redirect HTTP requests to tis web page: cxho5n lựa này chỉ dùng cho Deny rule. Khi bạn có yêu cầu phù hợp với rule này thì sẽ bị chuyển hướng đến trang web mà bạn đã quy định trước. Log request matching this rule: có kết nối phù hợp với rule này thì sẽ tự động đăng nhập sau khi tạo rule
Protocols: Ban có thể thay đổi giao thức truy cập của rule , điều khiển giới hạn port qua ISA firewall
From: chỉnh sửa các nguồn địa điểm. bạn có thể áp dụng rule này cho tát cả các nguồn địa điểm mà bạn quy định trong this rule applied to traffic from thesr source loại trừ những nguồn địa điểm mà bạn chỉ định trong Exception.
To: tương tự như trong “new access rule wizard. Bạn còn có thể loại trừ những điểm đến trong exception.
Users: bạn có thể chọn những nhóm user mà rule áp dụng. ngoài ra còn có thể loại trừ những nhóm users rule không áp dụng .
Shedule: cài đặt thời gian rule áp dụng. đặc tính này không có trong new access rule. Có thể sử dụng những thời gian biểu sẵn có : always, weekend, work hours , còn cỏ thể tạo thời gian biểu mới.
Content Type: tùy chọn này cũng không có trong new access rule , khả năng kiểm soát nội dung kết nối.bạn có thể chọn những lao5i nội dung áp dụng cho rule. Măc định là “ all content type” bạn cũng có thể giới hạn loại nội dung bằng cách chọn “ selected content types.
3.4. Các tùy chọn trong Access rule menu Có một vài tùy chọn khi bạn click phải chuột vào một access rule : Properties: Hiệu chỉnh các đặc tính rule Delete: xóa rule Copy: sao chép rule Paste: dán rule Export selected:cho phép bạn gán access rule đến một file .xml. và bạn có thể lấy file này gán cho một ISA firewall khác. Import selected: cho phép gán Access Rule từ 1 file đến vị trí chọn trong Access Policy Move up: di chuyển Rule lên trongdanh sách của Access Rule Move down: di chuyển Rule xuông trong danh sách Access Rule Disable: tắt rule Enable: kích hoạt rule Configure HTTP: tùy chọn này xuất hiện khi Access Rule có giao thức HTTP. Các tùy chọn này cho phép bạn cấu hình HTTP Sercurity Filter để điều khiển truy cập trên các kết nối HTTP bằng cách sử dụng ISA firewall nâng cao. Configure FTP: tùy chọn này xuất hiện khi các Access Rule bao gồm các giao thức FTP.Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép bạn kích hoạt hoặc vô hiệu hóa FTP uploads. Configure RPC protocol: tùy chọn này xuất hiện khi các Access Rule bao gồm mộtgiao thức RPC. Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép bạn kích hoạt hoặc vô hiệu hóa việc tuân thủ nghiêm ngặt RPC (có hiệu lực của việc kích hoạt hay vô hiệu hóa kết nối DCOM). 3.5. Tạo Rule cho phép các user thuộc nhóm “sinh viên” xem trang www.hui.edu.com trong giờ học. 3.5.1 Định nghĩa nhóm sinh viên B1: Tạo hai user SV1 và SV2 trong Active Directory Users and Computer, đưa hai user này vào nhóm sinhvien B2: Trong ISA Server → Phần Toolbox → Users → New
B3: Nhập “sinhvien” vào ô User set name → Next
B4: Add → chọn Windows User and Group
B5: chọn group “sinhvien” → Next → Finish
3.5.2. Định nghĩa URL Set chứ trang web www.hui.edu.vn B1: ISA Server → Firewall Policy → qua phần Toolbox → Network Objects → New → URL Set
B2: dòng name đặt tên là hui. Chọn New khai hai dòng htttp://www.hui.edu.vn và →OK→ về cửa sổ chính chọn Apply → OK
3.5.3 Định nghĩa giờ học ISA Server → Firewall Policy → Toolbox → Schedule → New Name: “giohoc”, chọn Active từ 7am – 5pm → Ok
3.5.4 Tạo Rule B1: Tạo Access Rule theo các thông số sau: Rule name : sinhvienhoc Action: Allow Protocols: HTTP, HTTPS Source Internal Destination: URL Set → hui User: Sinhvien B2: Properties Access Rule “sinhvienhoc”,
B3 : Chọn Shedule : “giohoc” ,→Ok
3.6. Thứ tự vào tổ chức các Access Rule Trật tự của các Access Rule là rất quan trọng để đảm bảo rằng chính sách truy cập của bạn làm việc theo cách bạn mong đợi. Nên sắp xếp thứ tự của cácAccessRules như sau: ■ Đặt Web Publishing Rule và Server Publishing Rule lên đầu danh sách■ Access Rule Deny.Những Access Rule này không yêu cầu xác thực người dùng và không yêu cầu người dùng truy cập từ một vị trí xác định.■ Access Rule Allow.Những Access Rule này không yêu cầu xác thực người dùng và không yêu cầu người dùng truy cập từ một vị trí xác định vị trí ■ Access Rule Deny. Những Access Rule này yêu cầu xác thực người dùng ■ Access Rule Allow. Những Access Rule này yêu cầu xác thực người dùng CHƯƠNG 4: PUBLISHING NETWORK 4.1. Khái niệm Web Publishing và Server Publishing Rules cho phép bạn đưa máy chủ và dịch vụ trên ISA firewall sao cho các máy từ External Network có thể truy cập vào web hoặc server. Công việc trên gọi là publish. 4.1.1 Web Publishing Rules Web Publishing Rules được dùng để publish trang web và các dịch vụ. Khi bạn publish một trang web, ISA firewall's Web Proxy filter luôn luôn chặn những yêu cầu và kiểm tra có thỏa Web Publishing Rule rồi chuyển đến trang web được publish bởi Web Publishing Rule đó. Web Publishing Rule có các đặc tính sau: Ủy quyền truy cập vào trang web được bảo vệ bởi ISA Firewall: Web Publishing Rules cung cấp quyền truy cập vào những trang web nằm trong mạng trên một ISA firewall. Một kết nối ủy quyền là an toàn hơn một kết nối định tuyến và NAT bởi vì toàn bộ giao tiếp sẽ được tái tạo bởi ISA firewall. Những trang web đã được publish bằng cách sử dụng Web Publishing Rules,các ISA firewall's Web Proxy filter xử lý tất cả các kết nối web được thực hiện bằng Web Publishing Rules. Kiểm soát nội dung các luồng dữ liệu và can thiệp sâu bên trong lớp ứng dụng: đặc tính này cung cấp một mức độ bảo vệ cao chống lại các cuộc tấn công khai thác lỗ hổng trong giao thức kiểm tra bao gồm các mã độc hại và các cuộc tấn công nhắm vào web server. Chuyển hướng: web publishing rule cho phép chuyển hướng các kết nối bên ngoài đến một thư mục thay thế trên web server đó hoặc đến một web server khác. Publish nhiều trang web trên cùng một địa chỉ IP Thẩm định lại các yêu cầu và xác thực sự ủy nhiệm đến trang web. Publishing Web có thể được cấu hình để xác thực người dùng ở ISA firewal. sử dụng một sự kết hợp của ba phương pháp xác thực HTTP (Basic, Digest, hoặc intergrated), X.509 Client Certificate Authentication, hoặc Forms-Based Authentication (FBA) (cũng được gọi là HTML Form Authentication) Single Sign-On với ISA Server cho phép người dùng xác thực một lần để sử dụng nhiều ứng dụng web ISA firewall hỗ trợ xác thực SecurID cho các web server và các dịch vụ được publish qua Web Publishing Rules. Hỗ trợ xác thực RADIUS Reverse Caching của Published Web Sites :. Khi một người sử dụng tạo một yêu cầu cho nội dung trên trang web, mà nội dung có thể được lưu trữ trên ISA firewall. Khi người sử dụng sau này có những yêu cầu cho cùng một nội dung trên Web, nội dung được phục vụ từ bộ nhớ cache ISA firewall thay vì được lấy