báo cáo thực tập
TRANSCRIPT
![Page 1: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/1.jpg)
TRƯỜNG CĐ NGHỀ CÔNG NGHỆ KỸ THUẬT LADEC
CƠ SỞ ĐÀO TẠO:Trường CĐ Công Nghệ Thông Tin TP.HCM
BÁO CÁO
THỰC TẬP TỐT NGHIỆP TÊN ĐỀ TÀI
Nghiên cứu và triễn khai hệ thống tường lửa ISA 2006
Giáo viên hướng dẫn:Ths.Nguyễn Trần Tuấn Anh
Sinh viên thực hiện: Trần Đình Hiệu
Lớp:11CTCI2
MSSV:11CTCI2012
Khóa:2011-2014
TP.HCM tháng 3 năm 2014
Mục Lục
![Page 2: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/2.jpg)
Mục Lục.......................................................................................................................................................2
Lời mở đầu..................................................................................................................................................3
CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006............................................................................................4
1. Giới thiệu về ISA server 2006...............................................................................................................4
2. Các phiên bản của ISA server 2006......................................................................................................4
3. Tính năng chính của ISA server 2006...................................................................................................4
CHƯƠNG II:CẤU HÌNH MÁY DC SERVER VÀ ISA SERVER..............................................................................6
1.Mô hình:...............................................................................................................................................6
2.Cấu hình chuẩn bị:................................................................................................................................6
3.Cấu hình máy DC Server:......................................................................................................................7
4.Join(gia nhập)máy ISA Server vào Domain.........................................................................................22
CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS.....................................................................34
1. Phân loại............................................................................................................................................34
2. Cấu hình.............................................................................................................................................35
2.1. SecureNAT Client........................................................................................................................35
2.2. Web Proxy Client........................................................................................................................36
2.3. Firewall Client.............................................................................................................................37
CHƯƠNG IV.TRIỄN KHAI ISA SERVER........................................................................................................41
1. Tạo Rule.............................................................................................................................................41
2.Server Publishing – HTTP-HTTPS.........................................................................................................60
2.1.Publishing-HTTP...........................................................................................................................60
2.2.Publishing-HTTPS.........................................................................................................................79
3.Publish Mail Exchange......................................................................................................................101
4. VPN Clients to Gateway...................................................................................................................113
5.Caching.............................................................................................................................................125
CHƯƠNG V: MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP.................................................................138
1. Edge Firewall...................................................................................................................................138
2. 3-Leg Perimeter...............................................................................................................................138
3. Front/Back Firewall..........................................................................................................................139
CHƯƠNG VI. TỔNG KẾT...........................................................................................................................140
![Page 3: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/3.jpg)
Lời mở đầu
![Page 4: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/4.jpg)
Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứng các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàng trực tuyến,…vv…. Không còn là những khái niệm trừu tượng nữa. Với Internet mọi thứ “trong mơ” đã trở thành hiện thực. Trong những năm gần đây vài trò của Công nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét. Sự phát triển của CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ưng dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia. CNTT giúp con người xích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia.
Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin.
![Page 5: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/5.jpg)
CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006
1. Giới thiệu về ISA server 2006
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa
2. Các phiên bản của ISA server 2006
Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình.
Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
3. Tính năng chính của ISA server 2006
ISA server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các serverứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý
![Page 6: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/6.jpg)
Truy cập Web nhanh với cache hiệu suất cao:o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ
trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc nghẽn.
o Giảm giá thành băng thông nhờ giảm lưu lượng internet
o Phân tán nội dung của các Web server và cácứng dụng thương
mạiđiện tử một cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)
Kết nối Internet an toàn nhờ nhiều lớpo Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưu
lượng mạng tại nhiều lớp.o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn
công từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an toàn các yêu cầu đến
o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn. o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng
nội tại nhờ sử dụng mạng riêngảo (VPN) Quản lý thống nhất với sự quản trị tích hợp
o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy
hiệu lực của các chính sách vận hànho Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số các
ứng dụng và đích đếno Cấp phát băng thông để phù hợp với các ưu tiên
o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử
dụng như thế nàoo Tự động hóa các dịch vụ nhờ sử dụng script
Khả năng mở rộngo Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server software
development kit (SDK) với các thành phần bổ sungo Chưc năng mở rộng an toàn cho các sản xuất thứ ba
![Page 7: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/7.jpg)
CHƯƠNG II:CẤU HÌNH MÁY DC SERVER VÀ ISA SERVER
1.Mô hình:
2.Cấu hình chuẩn bị:
![Page 8: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/8.jpg)
CARD MẠN
G
INTERNAL EXTERNAL
Máy DC
Server
IP address: 172.16.1.2Subnet mask: 255.255.255.0Default gateway: 172.16.1.1Prefer DNS: 172.16.1.2
Máy ISA
Server
IP address: 172.16.1.1Subnet mask: 255.255.255.0Default gateway:Prefer DNS: 172.16.1.2
IP đặt cùng lớp với phòng máy đang sử dụng để máy ISA có thể ra Internet hoặc để chế độ là Brigde nếu sử dụng máy ảo.
3.Cấu hình máy DC Server:
*Gán địa chỉ IP:
Click chuột phải vào My Network Plance chọn Properties
![Page 9: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/9.jpg)
Chuột phải vào biểu tượng Card mạng chọn Properties
Chọn Internet Protocol(TCP/IP):
![Page 10: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/10.jpg)
Gắn ip như mô hình:
Ok để kết thúc.
![Page 11: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/11.jpg)
*Tạo Domain:
Vào StartRungõ DCPROMO
Check vào Domain Controller….-->Next Tạo mới 1 Domain.
![Page 12: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/12.jpg)
Nhập tên DomainNext
![Page 13: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/13.jpg)
Next
Next
![Page 14: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/14.jpg)
Chọn Install and ……..
![Page 15: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/15.jpg)
Chọn Pemissions compatible only with….-->Next
Đặt password cho tài khoản admin,ở đây ta có thể để trống và Next được nhưng để bảo mật hơn thi ta nên đặt Password.
![Page 16: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/16.jpg)
Nhấn Finish để kết thúc.
![Page 17: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/17.jpg)
*Tạo Group & User:
Vào StartProgramsAdministrative ToolsActive Directory Users and Computer
Đây là giao diện của trình tạo Group & User
![Page 18: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/18.jpg)
Chuột phải vào UserNewGroup để tạo Group
![Page 19: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/19.jpg)
Nhập tên Group cần tạo vào dòng Group nameOk
![Page 20: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/20.jpg)
Tiếp tục chọn UserNewUser tạo User
Đặt Password cho UserNext
![Page 21: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/21.jpg)
Nhấn Finish để kết thúc qua1 trình tạo User.
Sau khi đã tạo xong Group & User thi ta sẽ add User vào trong Group.
![Page 22: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/22.jpg)
Chuột phải vào tên Group mình vừa tạo chọn Properties
Chọn Tab MemberAdd
![Page 23: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/23.jpg)
Nhập tên User vừa tạoCheck NamesOK.
4.Join(gia nhập)máy ISA Server vào Domain
![Page 24: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/24.jpg)
Chuột phải vào My ComputerProperties
Chọn Computer NameChanger
![Page 25: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/25.jpg)
Ở Tab Member of check vào Domain nhập tên Domain đã tạo vàoOK.
![Page 26: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/26.jpg)
Nhập User name:administrator ,Password để trống(do khi tạo domain mình không có Password)OK
Máy ISA Server đã gia nhập vào Domain thành công
Restart lại máy
![Page 27: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/27.jpg)
Log on vào Domain.
Sau khi Join thành công máy ISA vào Domain chúng ta vào Computer Name sẽ có thêm những thông số như hinh dưới.
![Page 28: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/28.jpg)
5. Cài đặt ISA Server
Trước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng, một card nối với mạng bên trong (Internal) và card mang còn lại nối ra Internet (External)
Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006
![Page 29: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/29.jpg)
Check vào I accept ………Next
![Page 30: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/30.jpg)
Chọn Custom để cài đặt bằng tay
Sau đó chúng ta nhấp Next
![Page 31: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/31.jpg)
Tại cửa sổ Internal Network nhấp Add
Chọn tiếp Add Range…
![Page 32: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/32.jpg)
Ở đây ta ghi địa chỉ IP mà máy ISA cấp cho các máy trong mang nội bộ (Internal) ok
Check vào Allow non-encrypted……….. để cho phép máy Client có thể kết nối tới ISA Server và ngược lại Next
Quá trình Setup ISA Server 2006 lên máy bắt đầu:
![Page 33: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/33.jpg)
Check Finsh để kết thúc.
Đây là giao diện khi chúng ta cài đặt ISA Server 2006 thành công
![Page 34: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/34.jpg)
CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS
1. Phân loại
Có 3 loại ISA Server 2006 client:
SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2006 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2006 firewall ra Internet.
Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2006 firewall như một Web Proxy server
![Page 35: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/35.jpg)
của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2006 firewall làm Web Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2006 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User (User name) được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client.
Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2006 firewall.
Dươi đây là bảng so sánh các dạng ISA server 2006 Client:
Tính Năng SecureNAT client
Firewall client Web Proxy client
Cần phải cài đặt Không, chỉ cần xác lập thông số default gateway
Yes. Cần cài đặt software
Không, chỉ cần cấu hình các thông số phù hợp tại trình duyệt Web- Web browser
Hỗ trợ Hệ điều hành nào
Bất cứ OS nào hỗ trợ TCP/IP
Chỉ Windows Bất kì OS nào có hỗ trợ các Web application
Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols – multiconnectionp
Hầu hết các ứng dụng trên Internet hiện nay
HTTP,Secure HTTP(HTTPS)và FTP
![Page 36: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/36.jpg)
rotocols
Có hỗ trợ xác thực người dùng hay không .Nhằm kiểm soát việc User truy cập ra ngoài
có, nhưng chỉ dành cho VPN clients
có có
2. Cấu hình
2.1. SecureNAT Client
ại máy CLIENT, chuột phải vào My Network Places icon trên desktop và click Properties.
Trong Network and Dial-up Connections,chuột phải vào Local Area Connection và click Properties.
Trong Local Area Connection Properties dialog box, click Internet Protocol (TCP/IP) , click Properties.
Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo IP, Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server(ở đây Default Gateway chính là địa chỉ IP của máy ISA Server ).
![Page 37: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/37.jpg)
2.2. Web Proxy Client
Chúng ta cấu hình trên Internet Explorer
Trên máy CLIENT, chuột phải vào Internet Explorer icon nằm trên desktop,click Properties.
Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button.
Trong Local Area Network (LAN) Settings dialog box. Tại Proxy server chúng ta điền IP or tên của ISA server và port 8080ok
![Page 38: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/38.jpg)
2.3. Firewall Client
Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe .
![Page 39: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/39.jpg)
Next
Chọn I accept the………NextNext
Check vào Connect to this ISA…và nhập IP card Internal của máy ISANext
![Page 40: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/40.jpg)
Chọn Install
Nhấn Finish để kết thúc.
![Page 41: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/41.jpg)
CHƯƠNG IV .TRIỄN KHAI ISA SERVER
![Page 42: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/42.jpg)
1. Tạo Rule
Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máy nào trong mạng hay toàn bộ mạng.
* Default Rule đã cấm mọi traffic ra vào thong qua ISA Server .Như vậy,để các máy trong Internal có thể truy cập Internet ta cần phải tạo 1 Rule có DNS Server phân giải tên miền.
Chạy chương trình ISA bằng các click chuột vào ISA server Management
Chuột phải vào Firewall Policy chọn New chọn Access Rule
![Page 43: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/43.jpg)
Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng hạn như DNS Query vào ô Access Rule Name Next
Chọn AllowNext
![Page 44: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/44.jpg)
Sau đó chúng ta sẽ chọn Protocol cho rule,chúng ta chỉ chọn giao thức DNSAdd Next
![Page 45: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/45.jpg)
Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cái bạn muốn Add ở đây tôi chọn Internal và Local Host.
Tiếp theo chúng ta sẽ chon Destination click Add chọn điểm đếnNext
![Page 46: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/46.jpg)
Chọn Next sau đó chúng ta chọn User cho rule or nếu ta muốn cho phép tất cả User ra Internet thì ta để mặc địnhNext
Nhấn Finish để kết thúc.
*Allow to Internet:Cho phép Group Lãnh Đạo truy cập Internet không giới hạn
![Page 47: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/47.jpg)
Chuột phải vào Firewall Policy chọn New chọn Access Rule
Access rule name:Allow Lanh Dao to internetNext
Chọn AllowNext
![Page 48: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/48.jpg)
Protocols:chọn All outbound trafficNext
Access Rule Sources click AddAdd Internal & Local HostNext
![Page 49: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/49.jpg)
Destinations Add ExternalNext
![Page 50: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/50.jpg)
User Sets Remove All User & Add Group Lanh DaoNext
Finish.
![Page 51: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/51.jpg)
Nhấn Apply
Nhấn OK.
Log on vào User gd của Phòng Lãnh Đạo để test
![Page 52: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/52.jpg)
Như vậy User gd đã truy cập Internet thành công.
*Deny Web: Cho phép Phòng Nhân Sự truy cập Web ngoại trừ trang Wnexpress.net trong giờ làm việc(từ thứ 27,sáng từ 7h11h,chiều từ 13h17h )
Access rule name:Deny Web trong gio lam viecNext
![Page 53: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/53.jpg)
Chọn AllowNext
Chọn Selected protocols & Add 2 giao thức HTTP và HTTPS(vì ở đây mình chỉ cho phép Group Nhân Sự truy cập Web)Next
![Page 54: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/54.jpg)
Add Internal & Local HostNext
Add ExternalNext
![Page 55: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/55.jpg)
Remove All User,Add nhansu vàoNext
![Page 56: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/56.jpg)
Việc còn lại của chúng ta là tạo Schedule giờ làm việc và URL Sets của trang Vnexpress.net.
Chuột phải lên Rule vừa tạo chọn Properties chọn Tab ScheduleNew..
![Page 57: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/57.jpg)
Name:gio lam viec và check vào Inactive
Nhấn OK để kết thúc.
![Page 58: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/58.jpg)
Tiếp theo ta Click New chọn URL Set tạo trang Vnexpress.net mà chúng ta cần Deny.
Làm theo thứ tựOK
![Page 59: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/59.jpg)
Bây giờ ta sẽ them trang Vnexpress cần Deny vào Rule
Chuột phải vào Rule chọn Properties
Add URL Sets:Vnexpress vào phần ExceptionApplyOK
![Page 60: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/60.jpg)
Rule hoàn chỉnh của chúng ta.
Log on vào User của Phòng Nhân Sự để kiểm tra:
Ta thấy User của có thể truy cập Web
![Page 61: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/61.jpg)
Nhưng không thể truy cập vào trang Vnexpress.net
2.Server Publishing – HTTP-HTTPS
Cho phép máy ngoài Internet có thể truy cập được trang web thuctap.com
2.1.Publishing-HTTP
Tại máy DC Server ta vào:
![Page 62: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/62.jpg)
Đây là giao diện của trình tạo Web Server:
Tiếp theo ta chuột phải vào Web SitesNewWeb Site…
![Page 63: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/63.jpg)
Next
Tại Description nhập địa chỉ trang webNext
![Page 64: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/64.jpg)
Next
![Page 65: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/65.jpg)
Click vào Browse… để chỉ đường dẫn tới nơi chứa trang web
OKNext
![Page 66: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/66.jpg)
Để mặc địnhNext
![Page 67: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/67.jpg)
Finish để kết thúc việc tạo Web Server.
Như vậy ta đã tạo thành công trang web thuctap.com
Chuyển qua máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New -> Web Site Publishing Rule
![Page 68: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/68.jpg)
Đặt tên cho Rule này là Publish WebNext
Chọn AllowNext
![Page 69: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/69.jpg)
Chọn Publish a single….-->Next
Với Rule này tôi sẽ Publish dịch vụ HTTP trước nên trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm.
![Page 70: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/70.jpg)
Internal site name bạn nhập Domain name của hệ thống (chính là Domain của DC Server) và check vào mục Use a compute name….-->nhập địa chỉ IP của máy DC Server vào khung IP AddressNext
![Page 71: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/71.jpg)
Trong Internal Publishing Details bạn để trống ô PathNext
![Page 72: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/72.jpg)
Nhập Domain name mà bạn mua từ nhà cung cấp dịch vụ vào ô Public name trong Public Name DetailsNext
![Page 73: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/73.jpg)
Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó. Nhấp New
![Page 74: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/74.jpg)
Đặt tên cho Web Listener này là Publish Port 80Next
Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi.
![Page 75: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/75.jpg)
Chọn External trong Web Listener IP AddressNext
![Page 76: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/76.jpg)
Tại Authentications Settings chọn BasicNextNextFinish
![Page 77: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/77.jpg)
Trở lại màn hình Select Web Listener sẽ thấy xuất hiện Web Listener là Publish Port 80 vừa tạo chọn Publish Port 80
Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication DelegationNext
![Page 78: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/78.jpg)
Chọn All Authenticated Users trong User SetsNext
![Page 79: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/79.jpg)
Nhấn Finish.
Màn hình tạo Rule Publish Web sau khi hoàn tất:
![Page 80: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/80.jpg)
Qua máy Internet kiểm tra:Nhập http://www.thuctap.com.vn/ vào máy Internet và thành công.
2.2.Publishing-HTTPS
![Page 81: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/81.jpg)
*Cài đặt CA trên máy DC
StartSettingControl PanelDouble click Add or Remove…..Add/Remove…..Check vào Certificate Services
Chọn Yes để tiếp tụcNext
Check Enterprise root CANext
![Page 82: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/82.jpg)
Gõ tên bất kỳ vào Common name for this CANext
![Page 83: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/83.jpg)
Check vào Store configuration…….gõ đường dẫn thuc mục vào ô Shared folderNext
![Page 84: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/84.jpg)
Tiếp theo ta mở IIS lên chuột phải vào thuctap.com.vn chọn Properties
Click vào Tab Directoryclick vào Server certificate…Next
![Page 85: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/85.jpg)
Check vào Create a ……Next
Check vào Send the….NextNextNext
![Page 86: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/86.jpg)
Gõ www.thuctap.com.vn vào Comomn nameNextNextFinish
Tiếp ta sẽ lưu file Certificate để máy ISA có thể Add Import click vào Server certificate…..NextCheck vào Export……Next
![Page 87: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/87.jpg)
Next
Nhập Password & Confirm passwordNextNext
![Page 88: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/88.jpg)
Finish
Giờ ta chuyển qua máy ISA để Import CA từ DC
![Page 89: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/89.jpg)
Vào StartRungõ mmc hộp thoai Console1 xuất hiện:
FileAdd/Remove…
Chọn Add…
![Page 90: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/90.jpg)
Chọn Certificate nhấn Add
Check vào Computer accountNext
![Page 91: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/91.jpg)
Nhấn Finish
![Page 92: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/92.jpg)
Bung mục CertificateChuột phải vào Personal chọn All Tasks chọn tiếp Import….-->Next
Copy file Export từ máy DC qua máy ISA tại đây chọn Browse.. tới file ExportNext
![Page 93: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/93.jpg)
Nhập password :123NextNextFinish
Import thành công.
Tiếp theo ta chuột phải vào Firewall policyNewWeb site….
![Page 94: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/94.jpg)
Nhập Publish rule name : Publish Web 443
![Page 95: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/95.jpg)
Chọn AllowNext
Chọn Publish a single…..NextNext
![Page 96: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/96.jpg)
Internal site name :www.thuctap.com.vnCheck vào Use a computer name….& nhập IP của máy DCNextNext
Public name :www.thuctap.com.vnNext
![Page 97: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/97.jpg)
Chọn New…
Web listener name :Publish port 443NextNext
![Page 98: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/98.jpg)
Chọn ExternalNext
Click Select Certificate…
![Page 99: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/99.jpg)
Click SelectNext
Check BasicNextNextFinish
![Page 100: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/100.jpg)
Next
Next
![Page 101: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/101.jpg)
Finish
![Page 102: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/102.jpg)
Qua máy Internet test thấy Client có thể truy cập tới Web Server
3.Publish Mail Exchange
*Tại máy ISA ta sẽ tạo 1 Rule cho phép Internal có thể gữi Mail ra bên ngoài.
Chuột phải vào Firewall policyNewAccess Rule…
Access rule name:Allow seen mailNext
![Page 103: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/103.jpg)
Chọn AllowNext
Add IMAP4-IMPA4S-POP3-POP3S-SMTP-SMTPSNext
![Page 104: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/104.jpg)
Add InternalNext
Add ExternalNext
![Page 105: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/105.jpg)
Chọn All UserNext
Finish.
![Page 106: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/106.jpg)
Tiếp tục chúng ta sẽ tạo Mail Server Publishing Rule
Mail Server Pulishing rule name:Publish mail exchangNext
![Page 107: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/107.jpg)
Check vào Client access….Next
Check vào tất cả ngoại trừ OutlookNext
![Page 108: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/108.jpg)
Gõ IP của máy DC ServerNext
Check vào ExternalNext
![Page 109: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/109.jpg)
Nhấn Finish
Qua máy Client log on vào tài khoản ns1 sau đó mờ chương trình Outlook Express
![Page 110: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/110.jpg)
Click vào Set up a Mail….
Display name:ns1Next
![Page 111: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/111.jpg)
E-mail address:[email protected]
![Page 112: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/112.jpg)
Nhập PasswordNext
Nhấn Finish
![Page 113: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/113.jpg)
Sau đó chúng ta sẽ gữi 1 Email cho User:ns
Check vào Create Mail
To :gõ tên tài khoản muốn gữi tới
Subject :gõ tiêu đềSend
![Page 114: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/114.jpg)
4. VPN Clients to Gateway
Như bạn đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng chúng ta trong môi trường mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài và thường được xuất ra bởi External DNS mà ta đã biết đến trong bài Server Publising.
Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải nhờ một NAT Server dẫn đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu này mới được tiếp tục vào Internal Network.
Tại máy DC Server bật Active Directory Users and Computers lên.
Double click vào User kt chọn Tab Dial-in
Check tùy chọn Allow Access trong Remote Access PermissionApply
![Page 115: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/115.jpg)
Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
![Page 116: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/116.jpg)
Click vào Configure Address Assignment Method
Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 10.0.0.110.0.0.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới.
![Page 117: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/117.jpg)
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này.
![Page 118: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/118.jpg)
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
Tiếp tục bạn chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network
Tôi đặt tên cho Rule này là VPN Client to Gateway1
![Page 119: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/119.jpg)
Rule Action: Allow
Protocol: All outbound traffic
Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients
Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là InternalNext
![Page 120: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/120.jpg)
Màn hình sau khi hoàn tất
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định.
Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule
![Page 121: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/121.jpg)
Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server
Tiếp theo ta cấu hình VPN tại máy Clients
Bạn vào Network Connections của máy Client chọn Create a new ConnectionNext
Chọn tiếp Connect to the network at my workplaceNext
![Page 122: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/122.jpg)
Chọn tiếp Virtual Private Network connectionNext
![Page 123: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/123.jpg)
Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 192.168.1.10Next
Trong cửa sổ Network Connections của VPN Client xuất hiện thêm icon vpn với giao thức PPTP.
![Page 124: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/124.jpg)
Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server(Username/Password:kt/123) và nhấp Connect
Màn hình thông báo kết nối thành công
![Page 125: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/125.jpg)
Tại máy Client ping thử IP của máy DC Server sẽ thấy kết quả rất tốt
Truy cập vào các Shared Folder cũng rất tốt
![Page 126: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/126.jpg)
5.Caching
ISA Server ngoài tính năng bảo mật hệ thống ra còn là công cụ Cache (lưu trữ các bản sao) Web rất hiệu quả nhằm đem lại khả năng lướt Web cho toàn bộ hệ thống mạng với tốc độ nhanh hơn.
Nghĩa là khi các Clients truy cập vào một trang Web nào đó ISA Server sẽ tự động lưu trữ toàn bộ nội dung trang Web này trong Cache của mình, khi đó một Client 02 khác cũng truy cập trang Web trên thay vì phải kết nối đến Internet để tải cả trang Web đó về thì ISA Server nhận thấy trong Cache của mình có thông tin về trang Web mà Client 02 yêu cầu lập tức nó truyền toàn bộ nội dung trang này cho Client 02 nên tại Client 02 sẽ được lợi là không phải tốn nhiều thời gian để tải nguyên trang Web ấy từ Internet.Tuy nhiên vì mặc định ISA Server Cache nội dung các trang Web là 20 phút nên nếu trong thời gian này tạo trang Web trên có sự cập nhật mới thì phía Client sẽ không xem được nội dung mới này, nhưng so ra bất lợi này là không đáng kể vì thực tế rất hiếm khi gặp trường hợp này hơn nữa nội dung tại đa số Website không phải luôn luôn là thay đổi.
![Page 127: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/127.jpg)
Mặc định sau khi cài đặt hoàn tất ISA Server sẽ tắt Cache đi, để Enable Cache bạn chọn Cache trong mục Configuration
Tại ISA Server trong màn hình bên phải chọn Tab Cache Drivers tiếp tục nhấp phải vào Cache Driver chọn Properties
Bạn Set giá trị Cache cho ISA trong bài vì đơn giản nên tôi Set là 100MB tuy nhiên trên thực tế bạn nên Set giá trị này càng cao càng tốt cỡ độ 5Gb trở lênApply
![Page 128: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/128.jpg)
Chọn Save the changes and restart the servicesOK
Tiếp tục ta vào phần Cache Rule tạo một Cache Rule mới .
![Page 129: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/129.jpg)
Chuột phải vào CacheNewCache Rule… đặt tên là Cache All
Next
![Page 130: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/130.jpg)
Nhấn Add…
![Page 131: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/131.jpg)
Nhấn New chọn URL Set
Name:gõ tên cần hiển thịAdd gõ địa chỉ trang Web nhấn OK
![Page 132: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/132.jpg)
Click vào mục URL Set chọn zing Next
Chọn Only if…….-->NextNextNextNext
![Page 133: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/133.jpg)
Finish
Tiếp tục ta vào Tab Content Donwload Jobs chọn Schedule a…
![Page 134: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/134.jpg)
Check vào DailyNext
![Page 135: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/135.jpg)
Chúng ta sẽ cho Download vào mỗi ngày bắt đầu từ 5h30’ sáng
![Page 136: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/136.jpg)
Ở mục Download content…ta nhập địa chỉ trang webNext
Next
![Page 137: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/137.jpg)
Finish
Màn hình sau khi hoàn tất
![Page 139: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/139.jpg)
CHƯƠNG V: MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP
1. Edge Firewall
Đây là mô hình mạng với 1 ISA Server nối trực tiếp với mạng bên trong Internal . Do dó nếu hệ thống bị bên ngoài tấn công vào và ISA Server bị dánh sập thì chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.
2. 3-Leg Perimeter
Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm
Nhóm thứ 1 là các máy như Mail Server, Web Server... để người dùng từ External Network có thể truy cập vào
Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
![Page 140: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/140.jpg)
Tại máy ISA Server ta cần đến 3 Card Lan
Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này
Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISA Server sẽ mở các Port Outbound/Inbound tại Card này
Card thứ 3 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.
3. Front/Back Firewall
Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host
Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.
Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.
![Page 141: Báo cáo thực tập](https://reader038.vdocuments.site/reader038/viewer/2022110309/55873726d8b42a12238b45ff/html5/thumbnails/141.jpg)
CHƯƠNG VI. TỔNG KẾT
Hiện nay bảo mật hệ thống mạng đang là vấn đề nhức nhối của các quản trị viên. Mỗi ngày làm việc lại có thêm một nguy cơ tấn công mới, tinh vi, hiện đại hơn với những hình thức phức tạp và quy mô hơn. Sự đe dọa hệ thống luôn “rình rập” và dù chỉ một sai lầm nhỏ cũng dẫn đến hậu quả khó lường. Vì vậy chúng ta với vai trò là một quản trị viên cần có một trình độ nhất định, luôn luôn cập nhật công nghệ bên cạnh đó là xây dựng một server đủ mạnh, một firewall vững chắc..vv.vv.
Hiểm họa luôn luôn tiềm ẩn, đó có thể là bên ngoài hệ thống mạng của mình hay chính từ bên trong tổ chức. Thực tế ở các công ty, hay một tổ chức nào đó thì nhu cầu trao đổi, tìm hiểu thông tin là điều thiết yếu và bắt buộc không những ở trong mạng cục bộ mà còn ra ngoài Internet nữa. Như vậy cần có sự quản lý chặt chẽ, kiểm soát mọi truy cập của local hay Internal ra ngoài Internet và ngược lại.
ISA server 2006 xứng đáng là một sự lựa chọn tin cậy. Không những đáp ứng hai điều kiện trên ISA server còn có giao diện thân thiện dễ sử dụng và quản lý.
Và với một vai trò là quản trị viên chúng ta cần nâng cao kiến thức liên tục cập nhật công nghệ… đưa ra những lựa chọn đúng đắn nhất nhằm bảo vệ tốt nhất, an toàn nhất cho hệ thống mạng của tổ chức hay công ty mình đảm nhiệm./.