Đề tài Nghiên cứu, cài đặt về ISA2006 cho trường Đại học Kinh tế quốc dân

Trường đã sửa chữa nâng cấp cải tạo hệ thống giảng đường cũ; xây thêm một nhà 5 tầng đưa tổng số phòng học lên 125 phòng với hệ thống ánh sáng, quạt, bàn ghế đủ đáp ứng nhu cầu học tập của sinh viên. Xây thêm một nhà KTX 5 tầng với 130 phòng ở, 01 nhà làm việc 5 tầng với 01phòng Hội thảo lớn. Trang thiết bị văn phòng được bổ sung về cơ bản đủ năng lực đáp ứng công tác phục vụ giảng dạy, học tập và NCKH. Hệ thống máy tính được nối mạng cục bộ trong một số khoa, phòng, ban, nhiều máy tính được nối mạng Internet. 02 trang WEB của trường đã được đưa lên mạng thông tin quốc tế. Hệ thống thư viện nhà trường đủ phục vụ cho sinh viên và nghiên cứu sinh với 105.000 đầu sách và 245 báo và tạp chí.

doc56 trang | Chia sẻ: Dung Lona | Lượt xem: 1124 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu, cài đặt về ISA2006 cho trường Đại học Kinh tế quốc dân, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
tiến sỹ, 1.800 thạc sỹ, 103 cử nhân cho bạn là Lào và Cămpuchia và mở 12 khoá đào tạo cử nhân tại Cămpuchia. Ngoài ra, trường còn tổ chức bồi dưỡng kiến thức đại học và sau đại học cho khoảng hơn 55.000 cán bộ kinh tế, kinh doanh cho cả nước. Trường luôn là đơn vị dẫn đầu trong khối các trường đại học về đào tạo đội ngũ cán bộ quản lý kinh tế và quản trị kinh doanh có chất lượng cao trong cả nước. Trường là cái nôi của nhiều trường đại học trong khối kinh tế, đồng thời cũng là nguồn cung cấp nhiều cán bộ giảng dạy cho các trường Đại học và Cao đẳng thuộc khối kinh tế.  Tập thể cán bộ, giáo viên, công nhân viên của Trường luôn chủ động, sáng tạo, khắc phục khó khăn đi đầu đổi mới và đổi mới thành công, toàn diện, vững chắc về cả nội dung, chương trình, giáo trình, phương pháp giảng dạy và cơ cấu ngành nghề đào tạo.  Kết quả là, hệ thống chương trình, giáo trình tiếp tục được biên soạn lại, biên soạn mới; tính từ 1996 đến nay trường đã biên soạn lại và biên soạn mới254 giáo trình, nhiều giáo trình đã được Bộ giáo và Đào tạo đánh giá cao và sử dụng làm giáo trình chuẩn cho các trường đại học thuộc khối kinh tế của cả nước nghiên cứu và học tập. Đổi mới và xây dựng được 90 chương trình đào tạo cho 5 nhóm ngành kinh tế và quản trị kinh doanh, 1 chuyên ngành Công nghệ thông tin và 01 chuyên ngành Luật kinh doanh.  Cơ cấu ngành nghề từ 17 chuyên ngành năm 1996 đến nay đã phát triển thành 34 chuyên ngành đào tạo.  Quy mô đào tạo từ 22.000 sinh viên năm 1996 đến nay quy mô đào tạo của trường là trên 30.000, riêng hệ Sau đại học tăng từ 800 học viên năm 1996 lên 1292 học viên năm 2004. Bồi dưỡng kiến thức kinh tế cho hơn 10.000 cán bộ kinh tế, kinh doanh cho các địa phương và doanh nghiệp. Trường hiện đang liên kết đào tạo với 32 bộ, ngành và các tỉnh, thành trong cả nước. Tỷ lệ sinh viên đạt Khá, Giỏi tăng từ 45,2% năm 1996 lên 72,5% năm 2004. Khoảng 90% số sinh viên tốt nghiệp ra trường hàng năm đã được nhận vào làm việc trong các cơ quan, tổ chức, doanh nghiệp. Sinh viên ra trường đã thể hiện được bản lĩnh chính trị, bản lĩnh khoa học vững vàng, có đạo đức, có khả năng thích ứng nhanh trong cơ chế thị trường; được các cơ quan, tổ chức, doanh nghiệp tín nhiệm và đánh giá cao.Hiện có hàng trăm người đang giữ các trọng trách lớn tại các cơ quan Đảng, Quốc hội, Chính phủ, các Bộ ngành, các đoàn thể cũng như tại các địa phương, doanh nghiệp. I.1.3. Cơ sở vật chất:  Trường đã sửa chữa nâng cấp cải tạo hệ thống giảng đường cũ; xây thêm một nhà 5 tầng đưa tổng số phòng học lên 125 phòng với hệ thống ánh sáng, quạt, bàn ghế đủ đáp ứng nhu cầu học tập của sinh viên. Xây thêm một nhà KTX 5 tầng với 130 phòng ở, 01 nhà làm việc 5 tầng với 01phòng Hội thảo lớn. Trang thiết bị văn phòng được bổ sung về cơ bản đủ năng lực đáp ứng công tác phục vụ giảng dạy, học tập và NCKH. Hệ thống máy tính được nối mạng cục bộ trong một số khoa, phòng, ban, nhiều máy tính được nối mạng Internet. 02 trang WEB của trường đã được đưa lên mạng thông tin quốc tế. Hệ thống thư viện nhà trường đủ phục vụ cho sinh viên và nghiên cứu sinh với 105.000 đầu sách và 245 báo và tạp chí. I.1.4. Trung tâm quản trị mạng Trung tâm quản trị mạng trực thuộc phòng Quản lý máy tính và quản trị mạng. Trung tâm chịu trách nhiệm quản lý hệ thống mạng của toà trường, hệ thống mạng giữa các dãy nhà trong trường và các phòng ban. Ban đầu, chỉ có 2 trung tâm là : - Trung tâm tin học và quản lý kinh tế - Trung tâm quản trị mạng máy tính Ngày 4/11/2006 thành lập phòng Quản lý máy tính và quản trị mạng trên cơ sở sát nhập 2 Trung tâm tin học kinh tế và Trung tâm quản trị mạng máy tính Nhân sự của phòng GS.TS Hoàng Ngọc Việt ( Trưởng phòng) PGS.TS. Cao Đình Thi – Phó phòng (Giám đốc Trung tâm quản lý máy tính) PGS.TS Lê Văn Năm ( Phó phòng – Giám đốc Trung tâm quản trị mạng). Ngô Đức Nghị - Kỹ sư Đoàn Quang Minh - Kỹ sư Hà Lâm Tùng - Kỹ sư Đỗ Văn Sang - Kỹ sư Nguyễn Trung Kiên - Kỹ sư Hoàng Thị Hiền - Trực tổng đài Trần Thị Thanh Hương – Văn Thư Trần Trung Hiếu - Kỹ sư Nguyễn Văn Xê - Kỹ sư Nguyễn Thị Lan Hương – Văn Thư Trần Lê Lâm - Kỹ sư Tất cả hệ thống mạng của trường chịu sự quản lý của trung tâm quản trị mạng, từ đây là sự kết nối mạng, sự trao đổi thông tin, tài liệu giữa các phòng ban, giữa các Viện, Trung tâm, các Khoa, trong trường với nhau. Trung tâm Quản lý hệ thống mạng chủ của trường, các dịch vụ mail, web, dịch vụ đào tạo CSDL, phục vụ thi trắc nghiệm Quản lý hệ thống mạng phần cứng: thiết bị mạng Cisco, Wifi, hệ thống tổng đài điện thoại nội bộ. Quản lý hệ thống máy tính của các phòng ban. Viết các phần mền hệ thống như: tổng đài điện thoại, chạy tra cứu, các đề tài khoa học cấp bộ, phần mềm khai thác CSDL điện tử theo WB-C, WB-B. Quản lý hệ thống mạng chung toàn trường Xử lý, triển khai, lắp đặt mở rộng mạng. Phục vụ máy tính và máy chủ phục vụ cáckỳ thi trắc nghiệm cho trường. Phục vụ đăng ký học tín chỉ. II. HỆ THỐNG MẠNG CỦA TRƯỜNG KINH TẾ QUỐC DÂN II.1. TỔNG QUAN - Số lượng PC: gần 3000. Hệ điều hành: Window XP HDD: 40GB RAM: 256MB Server : 19 máy, Hệ điều hành: Unix, Window Server 2003, Window Server 2000. Hệ thống mạng máy tính của Trường Đại học Kinh tế quốc dân là một hệ thống mạng mạnh. Với hệ thống mạng máy tính này, nó kết nối các máy tính ở các tòa nhà A, B,C,D, 5,6,7,9,10, ký túc xá, Thư viện (bao gồm các phòng học ở giảng đường, các văn phòng, các Viện nghiên cứu, các Trung tâm đào tạo). Nó không những giúp cho việc truy cập Internet cũng như việc chia sẻ tài nguyên, thông tin nội bộ, phục vụ cho công tác giảng dạy, học tập của cán bộ, giáo viên và toàn bộ sinh viên của trường mà còn tiết kiệm thời gian và tiền bạc cho mọi người. Hệ thống mạng của trường được kết nối với Internet bởi 1 đường truyền Leased – line tốc độ 2Mbps và 6 đường ADSL. Với 2 Pix 525E của Cisco có tác dụng làm Firewall, cùng với ISA 2004 được cài trên 3 proxy có tác dụng lọc và ngăn chặn sự truy cập trái phép. Tất cả mạng của trường được kết nối vào Trung tâm quản trị mạng của trường tại Nhà A3 thông qua cáp quang và kết nối vô tuyến. Tại Trung tâm còn đặt các máy chủ nhằm cung cấp các dịch vụ Web, Internet, thư điện tửMạng NEU được phân chia bởi các Switch của Cisco với các Switch chính là bộ Seria Switch 6500 là 2 Switch 6509 - đây là dòng Switch mạnh nhất của Cisco. Switch Trung tâm 6509-1 được đặt tại nhà A3, kết nối với 6509 – 2 tại Nhà 7. Switch 6509 – 2 được đặt trong mạng tại tòa nhà 7. Các Switch này được kết nối L2, FO Singlemode (Layer 2, cáp quang). Switch 6506 – 1 đặt ở Building A có tác dụng như 1 firewall, còn Switch 6506 – 2 có tác dụng phát hiện các xâm nhập và cân bằng giữa Switch 6509 – 1 và Switch 6509 – 2. Với 9 modul cho mỗi Switch 6509, các bộ chuyển mạch này đã kết nối mạng tới các tòa nhà khác như C, D, 10, 9, 5, 6 ,các nhà trong Ký túc xá, Thư viện, các Trung tâm, các Viện bởi kết nối L2, Multimode hoặc L2, Singlemode. Các Switch đặt tại các tòa nhà, các trung tâm này là Switch 3550 – 24 – SMI , Switch 2950 – 24, Switch 3550 – 12T. STT Vị trí đặt Switch Loại Switch VTP Domain VTP Mode Nhà A3 Switch 6509 NEU.EDU.VN SERVER Nhà A3 Switch 6506 A1.NEU SERVER Nhà 7 Switch 6509 BUILDING9.NEU SERVER Nhà C Switch 3560 C.NEU SERVER Nhà TT Thư viện Switch 4506 LIBRARY.NEU SERVER II.2. HỆ THỐNG MÁY CHỦ II.2.1 Máy chủ DCsrv Cấu hình: - CPU: 2x Intel Pentium Xeon 2.0 GHz RAM: 2GB HDD: 3 x 36.4 GB Hệ điều hành: Window Server 2003 Enterprise Server Chức năng: - Máy chủ DCsrv làm chức năng DNS Server (local) cho toàn mạng của Trường - Máy chủ DCsrv thực hiện chức năng Master Domain Controller cho các máy chủ khác thuộc Server Farm - DHCP Server: Phục vụ cho việc cấp địa chỉ IP động cho ½ máy trạm thuộc các VLAN Trường ĐHKT. - Máy chủ DCsrv được cài đặt phần mền Antivirus Server Protect và HP Omniback Client. II.2.2. Máy chủ Appsrv Cấu hình: - CPU : 2 x Intel Pentium Xeon 2.0 GH - RAM: 2 GB - HDD: 4x 36.4 GB - Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: - Máy chủ Appsrv thực hiện chức năng Backup Domain Controller cho các máy chủ khác thuộc Server Farm - Máy chủ APPSRV làm chức năng DNS server secondary (local) phục vụ cho việc backup DNS server primary trên máy chủ DCSSRV. - Máy chủ APPSRV thực hiện chức năng Slave Domain Controller cho Active Directory Trường ĐHKT - DHCP Server: Phục vụ cho việc cấp địa chỉ IP động cho ½ máy trạm trạm thuộc các VLAN Trường ĐHKT. II.2.3. Cặp máy chủ Cls01 và Cls02 Cấu hình: - CPU: 2 x Intel Pentium Xeon 2.8 GHz RAM: 1GB HDD: 2 x 36.4 GB Hệ điều hành: : Microsoft Windows 2003 Enterprise Server Chức năng: - Ứng dụng Microsoft Cluster for Windows 2003 Server: Đây là node thứ nhất và node thứ hai của cặp Cluster Exchange 2003 Enterpise phục vụ dịch vụ e-mail cho toàn bộ người sử dụng trong mạng Trường ĐHK - Ứng dụng Microsoft Exchange 2003 Enterprise Server: Cung cấp dịch vụ thư điện tử cho toàn mạng Trường ĐHKT II.2.4. Máy chủ thư điện tử MAIL.NEU.EDU.VN Tên máy chủ: mail.neu.edu.vn, thực hiện chức năng là Mail Cluster của hai máy chủ: cls01 và cls02 - Máy chủ ảo MAIL.NEU.EDU.VN đóng vai trò là backup-end server của cặp dịch vụ thư điện tử Exchange 2003: Front-end và Back-end Server II.2.5. Máy chủ MAIL-GW Cấu hình: - RAM: 2 GB - CPU: 2 x Intel Pentium Xeon 3.2 GHz HDD: 4 x 36 GB Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: Cung cấp dịch vụ thư điện tử cho toàn mạng Trường ĐHKT, đây là máy chủ thư điện tử Exchange đóng vao trò làm Front-end server của cặp Front-end & Back-and Trường ĐHKT II.2.6. Máy chủ SECSRV Cấu hình: - CPU: 2 x Intel Pentium Xeon 3.2 GHz RAM: 2 GB HDD: 4 x 36 GB Hệ điều hành: Microsoft Windows 2000 Advanced Server Chức năng: có chức năng là máy chủ quản lý, theo dõi tình hình hoạt động về hệ thống mạng toàn trường. II.2.7. Máy chủ SYSLOGSRV Cấu hình: - CPU: 2 x Intel Pentium Xeon 3.2 GHz RAM: 2 GB HDD: 4 x 36 GB - Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: thực hiện nhiệm vụ Backup cho chính máy chủ này. II.2.8. Máy chủ Mnsrv Cấu Hình : - CPU: 2 x Intel Pentium Xeon 2.8 GHz RAM: 1GB HDD: 3 x 36.4 GB Hệ điều hành: : Microsoft Windows 2000 Advance Server with SP4 Chức năng: thực hiện chức năng backup dữ liệu hệ thống server của trường. II.2.9. Máy chủ Web-Public Cấu hình: - CPU: 2 x Intel Pentium Xeon 3.2 GHz RAM: 2 GB HDD: 4 x 36 GB - Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng : Cài đặt IIS 6.0 : Web Application cho trang web public Trường ĐHKT II.2.10. Máy chủ Dns1 Cấu hình: - CPU: 01 x Intel Pentium Xeon 2.8 GHz - RAM: 512 MB - HDD: 2 x 36.4 GB - Hệ điều hành: Linux Enterprise 4x Server Chức năng: thực hiện chức năng phân giải tên miền cho web public, mail. II.2.11. Máy chủ Mail-st Cấu hình: - CPU: 2 x Intel Pentium Xeon 3.2 GHz - RAM: 2 GB - HDD: 6 x 36 GB - Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: phục vụ dịch vụ thư điện tử cho toàn bộ sinh viên của trường. II.2.12. Máy chủ Proxy01, Proxy02, Proxy03 Cấu hình: - CPU: 2 x Intel Pentium Xeon 2.8 GHz - RAM: 1 GB - HDD: 2 x 36.4 GB - Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: Cài ISA Server 2004 cấp dịch vụ Proxy cho toàn Trường, với các tham số cấu hình cho dịch vụ Proxy II.2.13. Máy chủ Unixsrv Cấu hình: - CPU: 2 x 750 MHz 64-bit RISC processors - RAM: 2 GB - HDD: 3 x 36.4 GB - Hệ điều hành: HP Unix 11i Chức năng: ứng dụng cài đặt: Oracle 9 Database Server Tham số cài đặt cho VLAN Database trên Switch STT VLAN Name VLAN ID Địa chỉ IP/Subnet VLAN Chức năng của VLAN Default 1 None Vlan Trunk: Kết nối L2 các Switch với nhau. BuildingA3 15 192.168.15.0 Phục vụ cho các máy trạm thuộc Buiding A3 – TT thông tin của Trường ĐHKT BuildingB 2 192.168.2.0 Phục vụ cho các máy trạm thuộc Buiding B BuildingC 3 192.168.3.0 Phục vụ cho các máy trạm thuộc Buiding C - dự án WB-B BuildingD 4 192.168.4.0 Phục vụ cho các máy trạm thuộc Buiding D EVNpop 5 192.168.5.0 Phục vụ cho các máy trạm thuộc toà nhà Environmental & Poplation Centre (Trung tâm dân số) Itadmin 6 192.168.6.0 Phục vụ cho các máy trạm thuộc tào nhà IT Centre for Econominal and administrator Library 7 192.168.7.0 /24 Phục vụ cho các máy trạm thuộc toà nhà Library InstituteSearch 8 192.168.8.0 /24 Phục vụ cho các máy trạm thuộc toà nhà Institute of search economic & development (No. 9 Building): Buiding7 9 192.168.9.0 /24 Phục vụ cho các máy trạm thuộc Building 7 BusinessAdm 10 192.168.10.0 /24 Phục vụ cho các máy trạm thuộc toà nhà Institute od Business Administration Building (VQTKD) Building6 11 192.168.11.0 /24 Phục vụ cho các máy trạm thuộc Buiding 6 Building5 12 192.168.12.0 /24 Phục vụ cho các máy trạm thuộc Buiding CVFG (Building5) Building10 13 192.168.13.0 /24 Phục vụ cho các máy trạm thuộc Buiding 10 Hostel11 14 192.168.14.0 /24 Phục vụ cho các máy trạm thuộc toà nhà Hostel 11 BuildingA2 16 192.168.16.0 /24 Phục vụ cho các máy trạm thuộc TT Tư vấn kinh tế và kinh doanh Library1 17 192.168.17.0 /24 Phục vụ các máy trạm nâng cấp TT Thư viện Library2 18 192.168.18.0 /24 Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 43 máy tính Library3 19 192.168.19.0 /24 Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 33 máy tính ITAdmin1 20 192.168.20.0 /24 Phục vụ cho các máy tính nâng cấp của TT tin học (~300 máy) BuildingC1 21 192.168.21.0 /24 Phục vụ cho 03 phòng học nhà C, mỗi phòng có ~ 41 máy tính BuildingC2 22 192.168.22.0 /24 Phục vụ cho 05 phòng học nhà C, mỗi phòng có ~ 43 máy tính BuildingC3 23 192.168.23.0 /24 Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ nhât và thứ hai) BuildingC4 24 192.168.24.0 /24 Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ ba và thứ tư) Health Centre 25 192.168.25.0 /24 Phục vụ các máy tính thuộc Trung tâm Y tế của Trường Hostel1234 26 192.168.26.0 /24 Phục vụ 04 phòng học cho 04 KTX sinh viên từ thư 1 đến thứ 4, mỗi phòng ~ 40 máy tính. Remote 200 192.168.200.0 /24 Vlan phục vụ các user cho kết nối từ xa ServerFarm 90 192.168.0.0 /24 Các máy chủ của Trung tâm thông tin của Trường IPPBX 70 192.168.70.0 /24 Phục vụ cho tổng đài cung cấp dịch vụ IP Phone IPTVFarm 60 192.168.60.0 /24 Phục vụ cho các máy chủ cung cấp dịch vụ IPTV Gateway 100 192.168.100.0 /24 Vlan cầu nối giữa trung tâm thông tin của Trường với vlan tại cac toà nhà ProxyClient 101 192.168.101.0 /24 Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy ProxyServer 102 192.168.102.0 /24 Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy DmzFarm 201 192.168.1.0 /24 Vlan cầu nỗi giữa 02 Firewall: FWSM và Pix 525E BSNEU_SF 80 192.168.80.0 /24 Phục vụ các máy chủ của Viện quản trị kinh doanh II.3. HỆ THỐNG ISA CỦA TRƯỜNG KTQD Tại Trường hiện nay có 3 máy chủ Proxy cài ISA 2004 cấu hình thành một máy chủ Web Proxy cho phép truy nhập an toàn tới các tài nguyên Internet. ISA vận hành như một máy chủ Proxy cho các máy Web proxy và Firewall Phiên bản ISA 2004, cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất. So với bản 2000 thì ISA 2004 hay hơn ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác không cho lên mạng trong giờ làm việc. Trên ISA2000 không hoạt động được như 1 VPN Server. Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều. Hệ thống NEULan đang dùng ISA Server 2004 phiên bản Enterprise. ISA Server 2004 có 2 phiên bản Standard và Enterprise phục vụ cho 2 môi trường làm việc khác nhau. Bản Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Bản Enterprise được sử dụng trong các môi trường có các mô hình mạng lớn, đáp ứng yêu cầu truy xuất của người dung bên trong và ngoài hệ thống. Chức năng chính của ISA là xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dung theo giao thức thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu cho văn phòng chi nhánh. Ngoài ra thì ISA 2004 còn cho phép triển khai các vùng phi quân sự (DMZ) ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, thì ISA2004 còn có hệ thống đệm Cache giúp kết nối Internet nhanh hơn do thông tin trang Web có thể được lưu sẵn trên RAM hay trên đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng cân bằng tải. ISA 2004 hoạt động như một Firewall, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ, gồm mạng nội bộ của Trường, mạng vành đai ( DMZ) và mạng công cộng Internet. III. ISA SERVER 2006 III.1. GIỚI THIỆU CHUNG ISA là gì? ISA là cụm từ viết tắt của Internet Sercurity Acceleration. Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). ISA Server về căn bản là 1 tường lửa (Firewall) được thiết kế nhằm đảm bảo những luồng thông tin không cần thiết từ Internet sẽ bị chặn lại ở bên ngoài mạng máy tính của một tổ chức. Đồng thời, ISA Server cũng có thể sử dụng để cung cấp phương thức truy cập Internet (đối với người sử dụng bên trong mạng nội bộ); hay cung cấp cách truy nhập một cách chọn lọc vào những nguồn tài nguyên bên trong mạng nội bộ như là Web hay Email (đối với người sử dụng Internet) . ISA Server thường được triển khai ở vành đai mạng của một tổ chức, là nơi mạng nội bộ kết nối với một mạng bên ngoài. Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006. Bản phổ biến hiện nay là bản ISA2004 . ISA Server là thành phần quan trọng trong kế hoạch tổng thể nhằm bảo mật mạng máy tính của một tổ chức. Do được triển khai tại điểm nối giữa mạng nội bộ và mạng Internet nên ISA Server đóng vai trò rất quan trọng. Hầu hết các tổ chức đều phân cấp các mức truy cập vào Internet cho người sử dụng. ISA Server dùng để áp đặt các chính sách bảo mật tới người sử dụng khi truy cập Internet. Đồng thời, nhiều tổ chức cũng cho phép những người sử dụng từ xa dùng một số kiểu truy cập vào các máy chủ nội bộ. Ví dụ như hầu hết các tổ chức cho phép các máy chủ email trên mạng Internet. Nhiều công ty cũng đặt máy chủ của Website nội bộ, hoặc cho phép các nhân viên của họ có thể truy cập vào các tài nguyên nội bộ từ mạng Internet. ISA Server có thể dùng để đảm bảo rằng truy cập vào những tài nguyên nội bộ này được bảo mật. III.2. TỔNG QUAN HOẠT ĐỘNG CỦA ISA ISA Server được thiết kế để bảo mật vành đai mạng của 1 tổ chức. Trong hầu hết các trường hợp vành đai gày nằm giữa mạng nội bộ của tổ chức (LAN) và một mạng công cộng như mạng Internet. VD: Hình 3 - Mô hình đơn giản về triển khai ISA Trên đây là ví dụ đơn giản về việc triển khai một ISA Server. Mạng nội bộ hay mạng được bảo vệ thường nằm trong ranh giới của tổ chức và dưới sự điều khiển của đội ngũ nhân viên IT của tổ chức đó. Mạng nội bộ được coi là tương đối an toàn; có ý nghĩa là thường chỉ có users được ủy quyền mới có thể truy cập vật lý vào mạng nội bộ. Cũng vậy, đội ngũ nhân viên IT có quyền kiểm soát lớn về những loại thông tin được phép trong mạng nội bộ. Nếu một tổ chức không có sự kiểm soát về những ai đang truy cập vào mạng Internet hay về việc bảo mật lưu lượng của mạng Internet thì bất cứ ai trên thế giới với một kết nối Internet có thể định vị và truy cập vào bất cứ kết nối Internet để sử dụng hầu hết các ứng dụng hay giao thức. III.3. ISA 2006 ISA Server 2006 cũng như ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Mạng nội bộ của một tổ chức. ISA Server 2006 firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại. ISA Server 2006 firewall chứa nhiều tính năng mà các người quản trị có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Mạng nội bộ. Firewalls không làm việc trong một môi trường “chân không”, vì đơn giản là chúng ta triển khai Firewall để bảo vệ một cái gì đó, có thể là một PC, một Server hay cả một hệ thống Mạng với nhiều dịch vụ được triển khai như Web, Mail, Database. Đây là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Mạng. Với những lý do này, điều quan trọng nhất mà người quản trị quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn cho việc truy cập Internet . Với cấu hình mặc định của mình ISA Server 2006 ngăn chặn tất cả lưu thông vào, ra qua firewall. III.3.1 Đặc Điểm Của ISA 2006. Các đặc điểm của Microsoft ISA 2006: - Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, - Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ. - Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng. - NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con. - Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng. - Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác. - Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic. - Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web. III.3. 2 CÀI ĐẶT, CẤU HÌNH. III.3.2.1 Yêu cầu chung Cài Đặt ISA Server 2006 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network IP address range(s). Không giống như ISA Server 2000, ISA Server 2006 không sử dụng bảng Local Address Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks), và đâu là Mạng không được tin cậy (untrusted networks). Thay vào đó, ISA Server 2006 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network. Internal network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản lý Firewall , vv...Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của System Policy.. 1. Để cài và sử dụng hệ thống ISA ta cần các máy DHCP, DNS, DC, 1 máy client để test 2. Để sử dụng ISA, chúng ta cần : Một máy tính cá nhân với tốc độ xử lý trên 550MHz; Hệ điều hành Window Server 2003 Service Pack 1 (SP1) hoặc Window Server R2. Bộ nhớ 256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls. 150MB trống sẵn có của ổ cứng. Đây là ổ dành riêng khi bạn muốn sử dụng để lưu trữ. Một Card mạng tương thích với hệ điều hành của máy tính, cho giao tiếp với mạng nội bộ. Cộng thêm một Card mạng cho mỗi mạng để kết nối tới máy ISA Server. Một phân vùng ổ cứng với định dạng NTFS. 3. Để cài Win Server 2003 chúng ta cần cài thêm một máy ảo, phần mềm cài máy ảo có thể sử dụng Virtual PC 2007 hoặc VMWare đang rất phổ biến hiện nay. Sau khi đã thỏa mãn những điều kiện để cài đặt ISA như trên, chúng ta tiến hành Setup ISA 2006. Có thể cài từ đĩa CD hoặc chạy Autorun.exe từ bộ cài. III.3.2.2. Kết nối ISA Server với Internet và cấu hình các ISA Client ISA Server 2006 Firewall có 3 dạng chính sách bảo mật: System policy, Access rule và Publishing rule. - System policy thường ẩn và được dùng cho việc trong tương tác giữa Firewall và các dịch vụ mạng khác như ICMP, RDPSystem policy được xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như: DHCP, RDP, Ping - Access rule: là tập hợp các quy tắc truy cập Internet hay Email. Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của Firewall sẽ chấm dứt khi nó gặp policy chặn lại. Ví dụ: 1. Deny Web www.neu.edu.vn (Không cho phép truy cập trang web www.neu.edu.vn ) 2. Allow Website www.neu.edu.vn (Cho phép truy cập trang web www.neu.edu.vn ) Chúng ta sẽ không truy cập được vào website www.neu.edu.vn vì ngay ở Access rule đầu tiên đã từ chối. - Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập. Khi quá trình cài đặt ISA Server 2006 hoàn tất, chúng ta kết nối ISA Server với Internet và cấu hình các ISA Server client để có thể truy cập Internet thông qua ISA Server với Firewall. Mặc định ISA Server chỉ có một access rule sau khi cài đặt là Deny All, từ chối mọi truy cập vào/ra thông qua ISA Firewall, vì vậy chúng ta cần tạo ra các quy tắc thích hợp với nhu cầu tổ chức hoặc áp dụng các quy tắc mẫu cho ISA Server. Bạn có thể cấu hình ISA Firewall Policy thông qua giao diện ISA Management Console trên chính ISA Server hoặc cài công cụ quản lý ISA Management Console trên một máy khác và kết nối ISA Server để thực hiện thao tác quản trị từ xa. Giao diện quản lý của ISA Server Management Console có 3 phần chính: Khung bên trái để duyệt các chức năng chính như Server Nam, Monitoring, Firewall Policy, Cache Khung ở giữa hiển thị chi tiết các thành phần chính mà chúng ta chọn như System Policy, Access Rule,... Khung bên phải còn được gọi là Taks Pane chứa các tác vụ đặc biệt như Publishing Server, Enable VPN Server, III.3.2.3.Tạo Access Rule trên ISA Mở giao diện quản lý ISA Management Server bằng cách chọn Start -> All Program -> Microsoft ISA Server -> ISA Server Management. Nhấn phải vào Firewall Policy và chọn Create New Access Rule hoặc chọn từ khung tác vụ (Task Pane) của màn hình quản lý. Đặt tên cho Access Rule cần tạo cho phù hợp với hệ thống của bạn và chọn Next. Trong phần Rule Action chúng ta chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua firewall Xác định những giao thức mà người dùng được sử dụng như HTTP hay FTP... Trong cửa sổ Protocols, hãy chọn All outbond trafic, nếu muốn thay đổi bạn chỉ cần chọn trong danh sách như Selected Protocol để chọn một số giao thức nào đó hay All inbound trafic cho trường hợp cung cấp các kết nối từ bên ngoài vào. - Hệ thống cần biết đối tượng sử dụng các giao thức trong access rule, ở trường hợp này các client là những người sử dụng trong hệ thống mạng nội bộ cho nên chúng ta chọn Add trên Access Rule Source và chọn Internal. Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group Domain User, Administrator..., khi Firewall không thuộc Domain thì hãy sử dụng local account của Firewall trong Local Users And Groups). - Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này chúng ta đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và Permit Any Traffic from internal network cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. III.3.2.4. Cấu hình ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server 2004 firewall. Có 3 loại ISA Server 2004 client: • SecureNAT client • Web Proxy client • Firewall client SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall ra Internet. * SecureNAT Client: Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (trong trường hợp này là 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương pháp này là client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên Internet thông qua ISA. Tuy nhiên có một bất lợi là các SecureNAT client không gởi được những thông tin chứng thực gồm username và password cho firewall được, vì vậy nếu như bạn triển khai dịch vụ kiểm soát truy cập theo domain user đòi hỏi phải có username và password thì các SecureNAT client không ứng dụng được. Ngoài ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall. Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau: SecureNAT, Firewall Client, Web Proxy Client hoặc cả 3 dạng trên. * Firewall Client: Vậy nếu chúng ta muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ người dùng phải đăng nhập domain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này. Thông thường khi cài đặt ISA Server bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA Server mở system policy cho phép truy cập tài nguyên chia sẻ và máy tính client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client. Nếu không muốn cài đặt Firewall Client Installation Share trên từng máy client thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: chọn Setup Type loại Custom và chọn This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share. Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh \\192.168.1.10\mspclnt\setup. Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất . Với Firewall Client, bạn có thể tận dụng được những khả năng mạnh nhất của ISA Server như chứng thực người dùng dựa trên Domain User và Group, cho phép ghi nhật ký những lần truy cập... Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành Windows. * Web Proxy Client: Web Proxy client là máy tính có trình duyệt Internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client Như chúng ta biết, ngoài chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache dùng để lưu trữ các trang web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP/HTTPS, FTP, điều này có nghĩa là người dùng sẽ không thể truy cập email với Outlook hay sử dụng các ứng dụng khác. Để sử dụng Web Proxy, các máy tính client phải cấu hình trong trình duyệt web bằng cách mở Internet Explore, chọn Tools - > Internet Options, chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server. Như vậy cách nhanh nhất cho phép các máy tính trong mạng có thể truy cập Internet qua ISA Server là cấu hình SecureNAT client dựa trên hệ thống cấp phát địa chỉ IP động hoặc cấu hình IP tĩnh và trỏ default gateway là địa chỉ mạng nội bộ của ISA Server. Ngoài ra để quá trình phân giải địa chỉ IP diễn ra suôn sẻ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.31.10 hay 203.162.4.191. III.3.2.5. Cấu hình ISA Server 2004 Firewall đóng vai trò một VPN Server ISA Server 2004 firewall có thể được cấu hình trở thành môt VPN server. Khi bật chức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients –incoming VPN client , nếu kết nối thành công, VPN client computer sẽ là thành viên cua Mạng được bảo vệ, không khác gì so với các Client bên trong LAN. VPN servers truyền thống cho phép VPN clients đầy đủ quyền truy cập vào Mạng khi đã được kết nối. Ngược lại với ISA Server 2004 VPN server có khả năng cho phép chúng ta điều khiển những protocols nào và những servers nào mà VPN clients có thể kết nối đến dựa trên đặc quyền mà Client đã khai báo khi thiết lập kết nối-credentials đến VPN server. Có thể dùng Microsoft Internet Security and Acceleration Server 2004 management console để quản lý tất cả cấu hình liên quan đến VPN server . Firewall sẽ quản lý danh sách các IP addresses được cấp phát cho VPN clients và bố trí các IP này trên một VPN clients network được chỉ định. Điều khiển truy cập sau đó có thể được bố trí dựa trên chiều giao tiếp, thông qua kiểm soát của các Access Rules : Đến hay từ VPN clients network. Theo các bước sau tiến hành enable ISA Server 2004 VPN server: • Enable VPN Server • Tạo một Access Rule cho phép VPN clients truy cập vào Internal network • Kiểm tra các kết nối VPN . III.3.2.6. ISA Server đóng vai trò Firewall hoạt động như thế nào? Firewall là một thiết bị nằm giữa một phân đoạn của một mạng này và qua một mạng khác và chỉ cho phép lưu lượng thông tin đã được xác thực đi qua giữa 2 phân đoạn. Firewall được cấu hình với những quy tắc lọc lưu lượng thông tin, các quy tắc này xác định loại lưu lượng mạng sẽ được cho phép đi qua. Firewall có thể được bố trí và định cấu hình để bảo vệ một tổ chức khỏi mạng Internet, hay nó có thể được bố trí bên trong nhằm bảo vệ những phần mạng chỉ định. Trong hầu hết các trường hợp thì firewall được triển khai tại vành đai mạng. Nhiệm vụ cơ bản của firewall trong cấu hình này là đảm bảo rằng không có lưu lượng thông tin nào từ những mạng mà có thể truy cập công khai như mạng Internet có thể thâm nhập vào mạng nội bộ của một tổ chức, trừ khi nó được cho phép một cách rõ rang. Ví dụ, tổ chức này có thể có một Web server nằm bên trong và Web server này cần được truy cập từ những người sử dụng Internet công cộng. Firewall có thể được cấu hình để chỉ cho phép truy cập vào Web server đó. ISA Server 2006 cung cấp những tính năng firewall. Mặc định, khi triển khai ISA Server, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ đó, bao gồm cả những mạng nội bộ bên trong máy, mạng vành đai (còn được biết như là vùng phi quân sự - DMZ), và mạng công cộng Internet. ISA sử dụng 3 kiểu lọc để chặn hay cho phép lưu lượng mạng: Lọc gói tin (packet filtering) Lọc theo trạng thái ( Stateful filtering) Lọc lớp ứng dụng ( Application filtering) Lọc gói tin Packet filtering hoạt động bằng cách kiểm tra thông tin phần đầu cho mỗi gói thông tin mạng đến firewall. Khi packet đến, ISA Server sẽ đọc phần đầu của gói tin và kiểm tra những thông tin như địa chỉ nguồn, địa chỉ đích và cổng nguồn, cổng đích. ISA Server so sánh những thông tin này với các luật được cấu hình trên firewall để xác định packet này có được phép hay không. Nếu địa chỉ nguồn và địa chỉ đích được cho phép, và nếu cổng nguồn và cổng đích được cho phép thì gói tin sẽ được chuyển qua firewall để đến mạng đích. Nếu cổng nguồn và cổng đích không được cho phép, gói tin sẽ bị loại bỏ và không được chuyển tiếp qua firewall. Lọc theo trạng thái Lọc theo trạng thái kiểm tra các gói tin mạng kỹ lưỡng hơn để quyết định có chuyển tiếp gói tin hay không. Khi ISA Server sử dụng hình thức kiểm tra stateful filtering, nó sẽ kiểm tra các thông tin phần đầu trong phần IP và TCP để quyết định tình trạng của gói tín trong ngữ cảnh của các gói tin vừa được cho qua ISA Server trước đó, hay trong ngữ cảnh của một phiên TCP. Chẳng hạn như khi một người sử dụng trong mạng nội bộ có thể gửi một yêu cầu tới một Web Server trên Internet. Web Server đó sẽ gửi một hồi đáp. Khi thông tin hồi đáp tới Firewall, firewall sẽ kiểm tra thông tin phiên làm việc TCP là một phần của gói tin. Firewall sẽ quyết định rằng packet là một phần của một phiên đang hoạt động được khởi đầu bởi một người sử dụng mạng nội bộ, do đó gói tin được chuyển tiếp đến máy tính của người sử dụng đó. Nếu một người sử dụng từ một mạng bên ngoài cố gắng kết nối với một máy tính trong mạng của tổ chức, firewall sẽ quyết định là gói tin đó không phải là một phần của một phiên đang hoạt động và gói tin đó sẽ bị loại bỏ. Lọc lớp ứng dụng ISA Server cũng sử dụng cách thức kiểm tra application – layer filtering để quyết định xem một packet có được phép qua hay không. Application – layer filtering kiểm tra nội dung thực tế của một packet đó có thể được chuyển tiếp qua firewall hay không. Một bộ lọc ứng dụng (application filter) mở phần còn lại của gói tin và kiểm tra dữ liệu thực tế trong đó trước khi quyết định chuyển. Ví dụ: Một người sử dụng trên mạng Internet công cộng có thể ra yêu cầu để truy cập vào một trang nằm trên một Internal Web Server thông qua việc sử dụng giao thức HTTP với cấu trúc câu lệnh GET. Khi gói tin đến firewall, bộ phận application filter sẽ kiểm tra gói tin đó và dò xem lệnh GET có được cho phép hay không. Trong nhiều trường hợp, lệnh GET được cho phép và gói tin được chuyển tiếp đến Web Server nằm bên trong. III.3.2.7. Sao lưu và Phục hồi cấu hình Firewall ISA Server 2004 bao gồm tính năng mới và tăng cường cho backup và phục hồi. Trong ISA Server 2000, tiện ích backup được tích hợp có thể backup cấu hình của ISA Server 2000 firewall. File backup có thể được sử dụng để phục hồi cấu hình đến củng bản cài đặt ISA Server trên cùng Computer. Tuy nhiên, nếu Hệ điều hành hay phần cứng nếu gặp phải những vấn đề nghiêm trọng tác động trên toàn hệ thông, chắc rằng chỉ có file backup này không thể phục hồi được cấu hình của Firewall Ngược lại, tiện ích backup trên ISA Server 2004 cho phép Admin backup toàn bộ cấu hình Firewall hoặc chỉ backup những phần cần thiết. Và sau đó Admin có thể phục hồi cấu hình này đến cùng phiên bản ISA Server 2004 firewall trên chính Computer đã backup hoặc có thể phục hồi thông tin cấu hình đến một ISA Server 2004 firewall trên một Computer khác. Tính năng nhập/xuất (import/export) cho phép chúng ta xuất các thành phần được chọn lựa trong cấu hình Firewall và sử dụng những thành phần này về sau, hoặc có thể cài đặt nó vào Computer khác. Import/export cũng có thể được dùng để xuất toàn bộ cấu hình của Computer như một phương pháp phân phối cấu hình diện rộng. III.4. ĐỀ NGHỊ Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ khá đắt tiền này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Nhận thức được sự ưu việt của ứng dụng CNTT, CNNT đã được áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Ứng dụng công nghệ thông tin một cách có hiệu quả và bền vững, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, v.v). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó. Và chúng ta cần có 1 bức tường lữa để bảo vệ trước các sự xâm nhập không cho phép. Trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi người trong một công ty, một doanh nghiệp hay một trường học như trường Đại học Kinh tế quốc dân Hà Nội chẳng hạn. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network. ISA là một trong những sản phẩm Firewall hiện nay đang được ưa chuộng. Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006. Phiên bản mà hiện nay trường Đại học Kinh tế quốc dân đang dùng là phiên bản ISA 2004. Cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất. So với bản 2000 thì ISA 2004 hay hơn ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác không cho lên mạng trong giờ làm việc. Trên ISA2000 không hoạt động được như 1 VPN Server. Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều. ISA 2004 là một bước tiến xa so với ISA 2000 về cả kiến trúc, chức năng lẫn giao diện người dùng. Trước đây Trường Đại học Kinh tế quốc dân Hà Nội đã dùng phiên bản ISA Server 2000, và khi có phiên bản 2004 xuất hiện thì Trường đã chuyển sang dùng do những tính năng nổi trội của ISA 2004. Hiện nay trên thị trường đã xuất hiện một phiên bản mới nhất của ISA đo là ISA Server 2006. ISA 2006 về mặt giao diện thì giống ISA 2004 tới 99%, nhưng tối ưu giao diện hơn 2004 và nó có khả năng tích hợp chức năng phát hiện và phát hiện phòng chống xâm nhập tốt hơn ISA 2004. So với ISA 2004 thì ISA 2006 còn có những tính năng nổi trội hơn dưới đây - Dễ dàng quản lý - Rất nhiều Wizard - Backup và Restore đơn giản. - Cho phép ủy quyền quản trị cho các User/Group - Log và Report cực tốt. - Cấu hình 1 nơi, chạy ở mọi nơi (nhưng nơi cài ISA Enterprise) - Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000) - Tích hợp với giải pháp quản lý - Có các giải pháp hardware - Hỗ trợ nhiều CPU và RAM ( bản standard đã đến 4CPU, 2GB RAM) - Route/NAT theo từng network - Firewall rule đa dạng Với những tính năng này của ISA 2006, tôi thấy nó có thể thay thế cho ISA 2004 hiện tại của Trường để có thể bảo mật, tăng tốc và cũng như quản lý tốt hơn nữa phục vụ cho hệ thống mạng của Trường. KẾT LUẬN Trường Đại học Kinh tế quốc dân là một trong những trường có sự hàng đầu của Việt Nam. Sự đầu tư về mặt học tập và công tác giảng dạy đang được quan tâm rất nhiều, đặc biệt là việc đưa Công nghệ thông tin vào trong giảng dạy và học tập, công tác. Nó giúp cho việc trao đổi thông tin, lưu trữ dữ liệu, một cách thuận tiện cũng như việc tiếp cận với thông tin, tin tức và các công nghệ mới một cách nhanh chóng. Góp phần rất lớn vào công cuộc này đó là hệ thống mạng. Nhưng mạng nhiều khi như con dao 2 lưỡi, nó giúp ta có các thông tin nhưng cũng lợi dụng các sơ hở của mạng thì cũng có những tiêu cực xảy ra. Việc sử dụng các Firewall là vô cùng quan trọng, một trong những sản phẩm đó là ISA. Và chúng ta nên cập nhật những cái tối ưu nhất để phục vụ cho việc quản trị mạng, đề xuất trên đây của tôi cũng không nằm ngoài mục đích đó. Trong thời gian thực tập vừa qua được sự tận tình giúp đỡ của các anh chị trong Trung tâm cũng như Thạc sĩ Nguyễn Thanh Hương tôi đã học tập được rất nhiều kinh nghiệm học tập mà rút ra từ thực tế. Điều này sẽ là nền tàng tạo cơ sở cho công việc sau này của tôi. Tuy nhiên do thiếu kinh nghiệm nên bài khóa luận còn nhiều thiếu sót, mong được sự góp ý của mọi người Tôi xin chân thành cảm ơn! TÀI LIỆU THAM KHẢO http: www.neu.edu.vn http: www.quantrimang.com http: www.google.com.vn Dự án WB-C, WB-B của trường Kinh tế quốc dân. PHỤ LỤC Cài đặt ISA Server - Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache. - Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam và file đính kèm (cần phải cài IIS 6.0 SMTP trước khi cài Message Screener); Firewall Client Installation Share. - Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2006. Ở phần này, chúng ta sử dụng chế độ Typical Trong cài đặt Microsoft ISA, click vào Install Microsoft ISA Hình 4 - Bắt đầu setup Nhấn Next để ISA tự động setup Hình 5 – Cài đặt ISA Đồng ý với các lựa chọn được bản quyền cho phép Hình 6 Serial Product: Hình 7 Chọn chế độ Typical Hình 8 – Chọn chế độ Đợi chương trình tự động chạy Hình 9 Nhập dải địa chỉ Start IP và End IP trong mạng Local của chúng ta, add vào để tạo một dải địa chỉ IP. Những máy nằm ngoài IP này thì đương nhiên được coi là ngoài vùng phủ sóng. Hình 10 Và ở bảng tiếp theo, chúng ta cài đặt Firewall client cho Server. Nếu ko thì bỏ qua và nhấn Next. Tiếp tục chọn Next và chọn Install để ISA tiến hành cài đặt. Sau khi cài đặt xong, nhấn Finish để kết thúc quá trình Setup và chờ Server khởi động lại theo yêu cầu của ISA Server 2006. Giao diện chính của ISA 2006 Hình 11- Giao diện ISA Giao diện Monitoring của ISA Hình 12 – Giao diện Monitoring Hinh 13 – Giao diện Access Policy

Các file đính kèm theo tài liệu này:

  • doc7956.doc
Tài liệu liên quan