Những bài viết trong chủ đề này có sự tham khảo tài liệu Training Kit 70-350 của Microsoft.

Microsoft Internet Security and Acceleration (ISA) Server 2004 là gì và sẽ giúp ích cho doanh nghiệp hoặc tổ chức của chúng ta? Trong hầu hết các trường hợp, khi học hỏi một công nghệ mới, chúng ta luôn có nhu cầu biết được bức tranh toàn cảnh, mà có thể giúp chúng ta hình dung công nghệ đó làm việc như thế nào và sẽ đem lại lợi ích gì trước khi muốn biết thêm các chi tiết về việc triển khai và quản lý công nghệ đó. Chính vì thế tôi sẽ giới thiệu với các bạn một số vấn đề mà hầu hết chúng ta quan tâm trước hết về MS ISA Server 2004, sau đó bạn có thể quyết định có nên theo dõi tiếp chủ đề này hay không.

ISA Server được thiết kế chủ yếu để hoạt động như một tường lửa, hòng đảm bảo rằng tất cả những ‘traffic’ không trong đợi từ Internet được chặn lại bên ngoài mạng của tổ chức. Đồng thời, ISA Server có thể cho phép các ‘user’ bên trong mạng tổ chức truy cập một cách có chọn lọc đến các tài nguyên Internet và ‘user’ trên Internet có thể truy cập vào tài nguyên trong mạng tổ chức sao cho phù hợp với các ‘rule’ của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức. Có thể hình dung ISA Server được triển khai trên vành đai bao quanh mạng tổ chức, là nơi kết nối mạng tổ chức với một mạng khác bên ngoài (như Internet). Chúng ta sẽ lần lượt xem xét các vấn đề:

* Tổng quan các chức năng của MS ISA Server 2004
* Các “edition” của MS ISA Server 2004
* Các mô hình triển khai MS ISA Server 2004
* Tổng quan về công việc quản trị hệ thống MS ISA Server 2004

TỔNG QUAN CÁC CHỨC NĂNG CỦA MS ISA SERVER 2004

ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức. Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (‘security polices’) để phân phát đến ‘user’ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức cũng cung cấp cho các ‘user’ ở xa (‘remote user’) một số cách thức truy cập đến các máy chủ trong mạng tổ chức. Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được bảo mật.

Các thức làm việc của ISA Server 2004

ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.


[Only registered and activated users can see links]
Hình 1.

Mạng bên trong (‘interal network’) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. ‘Internal network’ coi như đã được bảo mật một cách tương đối, tức là, thông thường những ‘user’ đã được chứng thực mới có quyền truy cập vật lý đến ‘interal network’. Ngoài ra, Nhân viên IT có thể quyết định những loại ‘traffic’ nào được cho phép trên ‘internal network’.

Thậm chí cho dù ‘interal network’ an toàn hơn Internet, thì bạn cũng không nên có ý nghĩ sai lầm rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như ‘virus’ và ‘worm’ đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo vệ vành đai mạng, nhưng bạn đừng nghĩ, sau khi triển khai ISA Server thì việc của bạn đã xong.

Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các ‘traffic’ của mạng trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (‘network packet’) gửi qua Internet không được an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy ‘packet sniffer’ trên một phân đoạn mạng Internet. ‘Packet Sniffer’ là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các ‘traffic’ trên một mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’.

Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng ‘deface’ toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả ‘user’ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh.

Hình 1 đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa ‘internal network’ và Internet được định nghĩa một cách dễ dàng. Trong thực tế, việc định nghĩa ranh giới giữa ‘interal network’ của tổ chức với phần còn lại của thế giới là không hề đơn giản. Hình 2 cho thấy một sự phức tạp hơn, nhưng thực tế hơn và “kịch tính” hơn.


[Only registered and activated users can see links]
Hình 2.

Vành đai mạng đã trở nên khó định nghĩa hơn theo như kịch bản trong hình 2. Kịch bản này cũng khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong hình 2, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:

* Cho phép truy cập nặc danh đến Website dùng chung (‘public website’), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website.
* Chứng thực ‘user’ từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (‘private website’).
* Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó ‘user’ ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong ‘interal network’.
* Cho phép nhân viên ở xa truy cập ‘internal Mail Server’, và cho phép ‘client’ truy cập VPN đến ‘internal File Server’.
* Áp đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới ‘user’, và lọc từng ‘request’ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép.


Bài viết kế tiếp chúng ta sẽ tìm hiểu chức năng tường lửa (Firewall) của ISA Server...

ISA Server hoạt động như một tường lửa

Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những ‘rule’ lọc ‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng.

Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể tới được ‘internal network’ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được. Firewall có thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web Server đó.

Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ(*) và Internet. ISA Server 2004 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering.

Packet Filtering – Lọc gói tin

Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng ‘network packet’ đi tới firewall. Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall.

Stateful Filtering – Lọc trạng thái

Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP.

Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại ‘request’ đó. Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’). Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một ‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt.

Application-Layer Filtering – Lọc lớp ứng dụng

ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.

Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi ‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”. ‘Application filter’ kiểm tra chính sách của nó để quyết định.
Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và ‘packet’ bị đánh rớt.

‘HTTP application filter’ được cung cấp cùng với ISA Server 2004 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài ‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật những giao thức và ứng dụng khác.

Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’. Tuy nhiên, nhiều ‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’). Và ‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.
Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ ‘internal network’ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức ‘HTTP’. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA. ‘HTTP traffic’ cũng có thể chứa ‘virus’ và mã độc (‘malicious code’). Cách ngăn chặn những ‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng. ‘Application-layer firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức ‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng). ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng.

-----------------
(*): DMZ (Demilitarized Zone), đây là từ chỉ vùng "Phi Quân Sự" trong thế giới thực, còn trong môi trường máy tính thì DMZ là vùng dành riêng cho những server "đối ngoại" (như web server) cho phép người dùng bên ngoài (Internet) truy cập đến. Chúng ta sẽ có dịp thảo luận nhiều hơn về DMZ trong những bài viết sắp tới.

ISA Server bảo mật truy cập internet như thế nào?

Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có nghĩa là không tổ chức nào tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu.

ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một ‘proxy server’ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet.

Điều này có nghĩa là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ).

Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát.

ISA Server cũng hoạt động như một ‘caching server’.

ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ như thế nào?

Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn tài nguyên đặt trong mạng nội bộ của tổ chức. Tối thiểu, hầu hết tổ chức đều muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web. Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài nguyên không dựa trên nền Web như DNS Server, hoặc Database Server.

Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức. Để giảm thiểu các nguy cơ đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả ‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên internet chỉ có thể truy cập đến những máy chủ cho phép. Để cấu hình việc ‘publish’ trong ISA Server, bạn cấu hình một ‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ internet. ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule.

ISA Server hoạt động như một VNP Server.

Ngoài việc cho phép người dùng trên internet được phép truy cập đến các máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép mức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual Private Network – Mạng riêng ảo).

Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng dùng chung như internet. VPN được bảo mật bằng cách sử dụng chứng thực và mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung (internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được. VPN có thể được tạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai văn phòng của công ty với nhau (Site-to-Site).

Một người dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nối đến ‘gateway’ của VPN. Tất cả ‘packet’ gửi qua internet dùng VPN được bảo mật.

ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm đó được đưa vào mạng ‘VPN Clients network’. Mạng này được xem như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN. ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN quarantine control). ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một ‘client-side-script’. Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạm VPN được cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt qua những sự kiểm tra bảo mật đặc biệt. Bạn có thể cấu hình ‘firewall rule’ để lộc tất cả các ‘traffic’ từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất kỳ mạng nào khác.

ISA Server cũng cho phép VPN site-to-site. Trong kịch bản này, bạn cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau. Khi ISA Server ở một nơi nhận ‘network traffic’ từ một nơi khác, ISA Server sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác. Để cấu hình những kết nối VPN Site-to-Site, bạn tạo một ‘remote-site network’ trên ISA Server, và sau đó định nghĩa các ‘access rule’ để giám sát những loại ‘traffic’ được phép trao đổi giữa các mạng.

SỰ KHÁC NHAU GIỮA PHIÊN BẢN STANDARD VÀ ENTERPRISE

ISA Server 2004 có 2 phiên bản: Standard và Enterprise. Hai phiên bản này cung cấp những chức năng như nhau. Hầu hết sự khác biệt quan trọng giữa 2 phiên bản này là Enterprise Edition cung cấp một số tính năng nâng cao như sau:

* Lưu trữ tập trung các thông tin về cấu hình
* Hổ trợ Cache Array Routing Protocol (CARP)
* Tích hợp network load balancing

Nếu bạn triển khai một ISA Server đơn cho một vai trò đặc trưng nào đó, hoặc bạn có thể triển khai các ISA Server đơn cho các chi nhánh văn phòng cũng như văn phòng trung tâm thì bạn nên dùng bản Standard. Tuy nhiên, nếu bạn triển khai nhiều Server cùng thực hiện một vài trò, bạn nên chọn bản Enterprise. Ví dụ, bạn làm việc trong một tổ chức lớn, ở đó yêu cầu bạn triển khai nhiều Server để đảm nhận vài trò cache và proxy, bạn nên xem xét triển khai bản Enterprise.

Lưu trữ tập trung các thông tin về cấu hình

Một trong những sự khác quan trọng giữa hai phiên bản Standard và Enterprise là cách mà hai phiên bản này lưu trữ thông tin cấu hình. Có nghĩa là nếu bạn muốn triển khai hai máy tính chạy phiên bản Standard, và cấu hình chúng giống nhau. Thì bạn phải cấu hình một trong hai cái, sau đó xuất thông tin cấu hình ra và nhập lại thông tin cấu hình đó vào cái còn lại. Nếu bạn muốn thay đổi thông tin cấu hình, bạn phải làm trên cả hai để đảm bảo thông tin cấu hình của chúng giống nhau.

ISA Server phiên bản Enterprise lưu trữ thông tin cấu hình trong một thư mục riêng biệt thay vì trong registry như phiên bản Standard. Khi bạn cài phiên bản Enterprise, bạn phải cấu hình một hoặc nhiều Configuration Storage server. Configuration Storage server dùng Active Directory Application Mode (ADAM) để lưu trữ thông tin cấu hình cho tất cả máy ISA Server trong tổ chức. Bởi vì ADAM có thể được cài lên nhiều server và dữ liệu được sao chép giữa các server, bạn có thể có nhiều Configuration server.

Để thay đổi cấu hình của ISA Server phiên bản Enterprise, bạn chỉ đơn giản thay đổi cấu hình trên Configuration Storage server. Các máy ISA Server phiên bản Enterprise sẽ truy cập định kỳ đến Configuration Storage server để kiểm tra, nếu có bất kỳ thông tin cấu hình nào thay đổi, các server này sẽ cập nhật lên nơi lưu trữ cục bộ của chúng (registry) để phù hợp với những thay đổi hiện tại.

Hổ trợ Cache Array Routing Protocol (CARP)

ISA Server phiên bản Enterprise cung cấp một tính năng nâng cao cho phép chia việc đệm (cache) Web trên một mãng được tạo thành bởi nhiều server. Với phiên bản Enterprise, nhiều máy ISA Server có thể được cấu hình thành một bộ đệm cục bộ đơn lẽ duy nhất, và sức đệm của nó là sự kết hợp sức đệm của tất cả các máy ISA Server được nhóm lại với nhau.

Để dùng tính năng này, ISA Server dùng Cache Array Routing Protocol (CARP). Ngoài ra, CARP còn giúp ISA tối ưu việc đệm Web, nghĩa là sức đệm của ISA Server có thể co dãn dung lượng lưu trữ tùy ý, không bị giới hạn kích thước nếu đã đáp ứng đủ nhu cầu về phần cứng.

Tích hợp Network load balancing

Chức năng thứ ba chỉ có ở phiên bản Enterprise là tích hợp Network load balancing (NLB) với ISA Server. Với ISA Server 2004 phiên bản Standard, bạn có thể cấu hình NLB một cách nhân công. Với phiên bản Enterprise, NLB đã được tích hợp, nhờ đó NLB có thể được quản lý từ ISA Server. Điều này có nghĩa là việc cấu hình NLB được tiến hành thông qua ISA Server management.

CÁC TÌNH HUỐNG TRIỂN KHAI ISA SERVER

Bạn có thể dùng ISA Server 2004 để cung cấp tính bảo mật cho sự truy cập đến Internet và đến ‘internal network’ từ Internet. Cấu hình chính xác của ISA Server sẽ tùy thuộc vào những đòi hỏi về truy cập và bảo mật của từng tổ chức. Phần này sẽ thảo luận đến hầu hết các tình huống thông thường nhất, bao gồm: làm sao để ISA Server được dùng như một vành đai bảo mật chính yếu hoặc một firewall thứ hai trong một cấu hình nhiều firewall; và làm thế nào ISA Server có thể được sử dụng cho cả những tổ chức lớn có văn phòng ở nhiều nơi và tổ chức nhỏ chỉ cần duy nhất một máy ISA Server.

ISA Server hoạt động như một Internet-edge firewall

Một trong các tình huống triển khai chính của ISA Server 2004 là nó hoạt động như một Internet-edge firewall. Một Internet-edge firewall được triển khai tại điểm kết nối giữa Internet và internal network. Trong tình huống này, ISA Server cung cấp cả một secure gateway cho user bên trong mạng ra internet và một firewall ngăn chặn truy cập trái phép và độc hại vào bên trong mạng.



ISA Server sẽ được triển khai với một giao tiếp mạng (network interface card – NIC) kết nối đến internet và một NIC thứ hai kết nối đến internal network. Trong một vài trường hợp, ISA Server có thể có một NIC thứ ba kết nối đến perimeter network (DMZ). Trong trường hợp này, xãy ra như sau:

* ISA Server khóa tất cả traffic từ internet vào bên trong mạng tổ chức trừ khi có sự cho phép. Tất cả các thành phần firewall của ISA Server đều được triển khai, bao gồm lọc lưu lượng đa tầng (multilayered traffic filtering), lọc ứng dụng (application filtering) và phát hiện xâm nhập. Thêm vào đó, hệ điều hành trên máy ISA Server phải được bảo vệ chắc chắn để tránh những sự tấn công nhấm vào hệ điều hành.
* ISA Server được dùng để tạo điều kiện cho một số máy chủ hoặc dịch vụ trong internal network có khả năng truy cập từ internet. Những sự truy cập này được cấu hình bằng cách phổ biến (publishing) máy chủ hoặc cấu hình các access rule. ISA Server lọc tất cả yêu cầu vào bên trong và chỉ cho phép những traffic được xác định bởi access rule.
* ISA Server cũng có thể là một điểm truy cập VPN đến internal network. Trong trường hợp này, tất cả các kết nối VPN từ internet được định tuyến thông qua ISA Server. Tất cả access rule và những yêu cầu cách ly dành cho VPN client được áp đặt bởi ISA Server.
* Tất cả yêu cầu của client đến tài nguyên trên internet đều thông qua ISA Server. ISA Server áp đặt một chính sách của tổ chức định nghĩa những user nào được phép truy cập internet, ứng dụng và giao thức nào có thể dùng để làm điều đó, và những website nào được cho phép.

ISA Server hoạt động như một Back-End Firewall

Trong một số trường hợp, một tổ chức có thể chọn triển khai ISA Server như một firewall thứ hai trong một cấu hình đa firewall. Tình huống này cho phép nhiều tổ chức tiếp tục dùng firewall đã có, đồng thời cho phép sử dụng ISA Server như một firewall nâng cao với khả năng lọc ứng dụng.



Nhiều tổ chức triển khai một cấu hình back-to-back firewall. Trong cách cấu hình này, một network adapter trên front-end firewall được kết nối internet trong khi network adapter thứ hai trên firewall kết nối tới perimeter network. Back-end firewall có một network adapter kết nối đến perimeter network và network adapter thứ hai kết nối với internal network. Tất cả network traffic qua lại giữa internet và internal network phải đi qua cả hai firewall và perimeter network.

Đối với những tổ chức có một firewall trên nền tảng phần cứng (hardware-based) đã được triển khai như Internet-edge firewall, ISA Server có thể cung cấp chức năng bổ sung đáng giá như một back-end firewall. Riêng trong trường hợp này, chức năng lọc ứng dụng nâng cao của ISA Server có thể đảm bảo các ứng dụng xác định được phổ biến (publish) một cách an toàn. Trong tình huống này, ISA Server làm như sau:

* ISA Server có thể được dùng để cung cấp truy cập an toàn đến những máy Exchange Server của tổ chức. Bởi vì những máy tính đang chạy Exchange Server phải là những thành viên của Active Directory domain, có vài tổ chức không thích đặt những máy Exchange Server bên trong perimeter network. ISA Server cho phép truy cập đến những máy Exchange Server trong internal network thông qua: sercure OWA publishing, secure SMTP server publishing, và secure Exchange RPC publishing dành cho các Outlook client.
* ISA Server cũng có thể được dùng để publish các secure Website hoặc secure Web application. Nếu các Web server được đặt trong internal network, ISA Server có thể được cấu hình để publish Web server ra internet. Trong trường hợp này, những bộ lọc ứng dụng nâng cao của ISA Server có thể được dùng để xem xét tất cả các network traffic được chuyển tiếp đến Web server.
* ISA Server cũng có thể được dùng như một Web proxy và caching server trong tình huống này. Nếu thế, tất cả client yêu cầu truy cập tài nguyên trên internet hoặc bên trong perimeter network phải thông qua ISA Server. ISA Server sẽ có thể áp đặt các chính sách của tổ chức cho việc bảo mật truy cập internet.


ISA Server hoạt động như một Branch Office Firewall

Tình huống triển khai thứ ba dành cho một ISA Server là nó đóng vai trò Branch office firewall. Trong tình huống này, ISA Server có thể được sử dụng để bảo mật mạng của văn phòng chi nhánh khỏi các sự đe dọa từ bên ngoài cũng như là kết nối từ mạng của văn phòng chi nhánh đến trụ sở chính dùng các kết nối VPN site-to-site.



Dành cho những tổ chức có sự phân bố văn phòng ở nhiều nơi, ISA Server có thể hoạt động như một branch office firewall trong sự liên kết với những ISA Server ở những nơi khác. Nếu một chi nhánh có kết nối trực tiếp đến internet, ISA Server có thể hoạt động như một Internet-edge firewall cho chi nhánh, bảo mật mạng của chi nhánh cũng như phổ biến các nguồn tài nguyên máy chủ ra internet. Nếu chi nhánh chỉ có một kết nối WAN đến các văn phòng khác, ISA Server có thể được dùng để phổ biến những máy chủ trong chi nhánh như Microsoft SharePoint Portal Server hoặc Exchange Server cục bộ.

Một trong các lợi ích của việc dùng ISA Server như một branch office firewall là nó có thể hoạt động như một VPN gateway để kết nối mạng của chi nhánh đến mạng của văn phòng chính dùng một kết nối VPN site-to-site. VPN site-to-site cung cấp một phương thức bảo mật giá rẽ cho kết nối giữa các văn phòng. Trong tình huống này, ISA Server có thể thực hiện các chức năng sau:

* ISA Server có thể được dùng để tạo một VPN từ một chi nhánh văn phòng đến những văn phòng ở nơi khác. VPN gateway ở những chỗ khác có thể có các máy tính chạy ISA Server hoặc những VPN gateway của một hãng thứ ba (third-party). ISA Server hổ trợ sử dụng 3 giao thức đường hầm (tunneling protocol) cho việc tạo VPN: IPSec tunnel mode, Point-to-Point Tunneling Protocol (PPTP), và Layer Two Tunneling Protocol (L2TP) over IPSec.
* ISA Server có thể tiến hành xem xét kỹ trạng thái và lọc lớp ứng dụng (application-layer filtering) của VPN traffic giữa những văn phòng của tổ chức. Điều này có thể được dùng để giới hạn những mạng ở xa có thể truy cập mạng cục bộ và đảm bảo rằng chỉ những network traffic được chấp thuận mới có khả năng truy cập đến.

Vừa thi hết core 70-350 xong....^_^