Bởi: Phạm Nguyễn Bảo Nguyên Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đây Internet phát triển với tốc độ chóng mặt và là công cụ không thể thiếu trong thời đại công nghệ ngày nay. Tầm quan trọng của nó không chỉ ảnh hưởng đến ngành công nghệ cao mà còn vươn xa tới cách lĩnh vực khác. Hay nói cách khác Internet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi người trên thế giới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách xa đến hàng vạn cây số. Hơn nữa đây chính là một không gian mở một thế giới tri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu... với nhau gần như ngay lập tức. Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệ thống máy tính ngày càng đang dạng và rộng khắp. Những kẻ tấn công với nhiều mục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả chúng len lỏi vào hệ thống chúng ta tàn phá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một quốc gia nào đó... Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và là nỗi boăn khoăn chung của toàn xã hội. Các hãng bảo mật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểu nhất đó chính là chương trình Internet Sercurity Acceleration Server (ISA Server) của Microsoft. Vậy cơ chế hoạt động của ISA như thế nào dưới đây chúng ta sẽ đi sâu vào nghiên cứu nó. Theo Microsoft giới thiệu thì ISA Server là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua ISA kiểm duyệt rất kỹ lưỡng. Hay nói cách khác khi dựng ISA Server lên thế giới của chúng ta sẽ được chia ra làm 3 phần riêng biệt: - Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta - Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server 1/30
- External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi Bây giờ chúng ta tiến hành cài đặt ISA lên hệ thống. Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net Cấu hình IP các máy như sau: 2/30
- Mạng 192.168.1.0/24 là mạng giả lập mạng Internet - Máy PC01 chính là máy ISA Server đã Join vào domain - Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24 ISA không yêu cầu chúng ta phải lên Domain nhưng trong bài chúng ta sẽ thao tác trong môi trường Domain để tận dụng các tính năng mạnh mẽ của nó. Sau khi cấu hình IP các máy hoàn tất bạn phải xác nhận rằng các máy Ping thấy nhau rất tốt. Trước tiên để cài được ISA bạn phải đáp ứng đủ các yêu cầu sau đây: 3/30
- Ổ đĩa cài ISA phải được định dạng là NTFS - Đã cài đặt.net Framework 3.0 trở lên - Vào Services tắt dịch vụ Windows Firewall đi Cũng xin nói thêm là có rất nhiều phiên bản ISA Server cho chúng ta cài đặt. Tuy nhiên trong phần này tôi chỉ đề cập tới ISA Server Standard mà thôi Tại máy PC01 bạn Logon vào User Administrator của Domain và chạy chương trình Setup ISA Server lên chọn Install ISA Server 2006 Trong màn hình Setup type chọn Custom 4/30
Giữ nguyên giá trị mặc định chọn Next Tại màn hình Internal Network nhấp Add 5/30
Chọn tiếp Add Range... 6/30
Tại đây bạn nhập dãy IP mà bạn muốn ISA quản lý chúng tất nhiên để tốt nhất là chọn nguyên cả Subnet Màn hình sau khi Add xong chọn Next Chọn Next để tiến hành cài đặt 7/30
Sau khi cài đặt ISA thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được Truy cập máy ISA cũng không được 8/30
Tuy nhiên với máy ISA thì ping rất tốt Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24) Bây giờ tôi sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy được nhau. Với ISA Server chúng ta có 3 giải pháp để các máy trong mạng 172.16.2.0/24 truy cập được Internet: 9/30
Secure NAT Bạn vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management 10/30
Màn hình chính của chương trình ISA Server 11/30
Nhấp phải vào Firewall Policy chọn New -> Access Rule 12/30
Đặt tên cho Rule này ví dụ là Internal Trong Rule Action chọn Allow 13/30
Trong Protocol bạn chọn All outbound traffic và nhấp Next 14/30
Tại Access Rule Sources nhấp Add Chọn Internal trong thư mục Networks 15/30
Màn hình sau khi hoàn tất 16/30
Tại Access Rule Destinations Add External vào Nhấp Next 17/30
Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để thực thi Rule này Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của ISA 18/30
Ra Command DOS ping thử máy ISA thấy rất tốt Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của ISA Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote Management Computers 19/30
Trong màn hình Remote Management Computers Properties nhấp Add: Computer: chỉ tác động duy nhất lên một máy nào đó Address Range: chỉ tác động lên một dãy IP nào đó Subnet: tác động lên nguyên cả Subnet 20/30
Trong ví dụ này tôi chỉ tác động lên duy nhất máy PC02 mà thôi nên tôi chọn Computer Đặt tên cho Rule này là Remote ISA và nhập IP của PC02 vào sau đó nhấp OK 21/30
Tại máy PC02 ra Command DOS ping thử máy ISA thấy rất tốt Proxy Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên isa.gccom.net server.gccom.net Card Lan IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS 203.162.4.191 Card Cross IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 22/30
Preferred DNS 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02 Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings Nhập IP của máy PC01 vào ô Address và Port là 8080 23/30
Trở lại IE truy cập thử Internet thấy rất tốt Firewall Client Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt ISA Server. Cấu hình IP các máy như sau: 24/30
Tại máy PC02 chọn thư mục Client trong Folder cài đặt ISA Server nhấp chọn Setup.exe để cài đặt Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy ISA Server Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client 25/30
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại Proxy Trở lại IE truy cập thử Internet thấy rất tốt Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA và cấu hình cho các máy trong mạng có thể ra được Internet. Và mọi công việc trên máy ISA coi như xong, nếu bạn có nhu cầu truy cập ISA để chỉnh sửa gì thêm trên thực tế bạn phải hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài ISA Server mà dùng một máy Client bất kỳ cài công cụ ISA Server Management để quản lý ISA mà thôi. 26/30
Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình Setup ISA Server lên chọn Install ISA Server 2006 Trong màn hình Setup type chọn Custom 27/30
Bỏ chọn phần ISA Server đi mà chỉ chọn ISA Server Management mà thôi chọn tiếp Next để cài đặt 28/30
Tiếp đến chạy ISA Server Management tại máy Client lên nhấp phải vào Microsoft Internet Sercurity Acceleration Server và chọn Connect to Nhập IP của máy ISA Server vào 29/30
Đến đây ISA Server Management sẽ hiển thị các công cụ y như trên máy ISA Server cho bạn quản lý 30/30