Triển khai, quản trị, duy trì và nâng cấp hệ thống mạng doanh nghiệp

Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 45 PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA CÔNG TY VỚI ISA SERVER 2004. Trong chương này chúng ta sẽ tìm hiểu biện pháp bảo mật cho hệ thống mạng của công ty sử dụng tường lửa ISA 2004. Bằng cách tìm hiểu về ISA cũng như tác dụng của các mô hình cơ bản của nó(được cung cấp bởi các template có sẵn trong phần trợ giúp) ta có thể tìm ra một cách cấu hình phù hợp mạng của mình. 1. Khái niệm cơ bản ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế điều khiển những được phép qua firewall và những gì bị chặn lại. ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ. Các Network Services và những tính năng trên ISA Server 2004 sẽ được cài đặt và cấu hình gồm:  Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng).  Cài đặt và cấu hình Microsoft Internet Authentication Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho các truy cập từ xa thong qua các remote connections(Dial-up hoặc VPN).  Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 46 cung cấp giải pháp truy vấn NETBIOS name của các Computer trên mạng) .  Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi họ phải mang Computer từ 1 Network (có một ISA SERVER) đến Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và làm việc được với Web Proxy Services và Firewall Service trên ISA SERVER này.  Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN).  Cài đặt ISA Server 2004 firewall software.  Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.  Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004 Network Templates) để cấu hình Firewall.  Cầu hình các loại ISA Server 2004 clients.  Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall.  Publish Web Server trên một Perimeter network.  Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam mails).  Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).  Cài đặt ISA Server 2004 trên Windows Server 2003 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 47 2. Cơ sở lí thuyết 2.1 Các Network Templates (mô hình mẫu các thông số cấu hình mạng) ISA Server 2004 firewall với sự hổ trợ thông qua các Templates, chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng…Các Templates bao gồm 2.1.1 Edge Firewall Network Templates dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có 1 network interface được trực tiếp kết nối đến Internet và 1 Network interface được kết nối với Internal network. Hình III.1 Mô hình Edge Firewall 2.1.2 3-Leg Perimeter Network Templates dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network interface. Một External interface (kết nối Internet), 1 Internal Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 48 interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau. Hình III.2 Mô hình 3-leg perimeter 2.1.3 Front Firewall Dùng Front firewall Template khi ISA Server 2004 firewall đóng vai trò 1 frontend firewall trong mô hình back-to-back firewall. Đây là mô hình kết nối 2 Firewall có thể là Internet, giữa Front và back firewall có thể là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 49 Hình III.3 Mô hình Front Firewall 2.1.4 Back Firewall Được sử dụng cho 1 ISA Server 2004 firewall nắm sau 1 ISA Server 2004 firewall khác phía trước nó (hoặc 1 third-party firewall nào đó). Single Network Active Directoryapter: Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA Server 2004 chỉ có duy nhất 1 Network Card ( unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server. 2.2 Các cấu hình network template Trong đồ án ta chỉ xét đến cách cấu hình của 2 dạng Firewall thường gặp và đơn giản là Edge Firewall và 3-Leg perimeter 2.2.1 Cấu hình cho Edge Firewall: Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có 1 network interface gắn trực tiếp Internet và 1 Network interface thứ 2 kết nối với Internal network. Network template này cho phép Active Directorymin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (Firewall policy Access control) giữa Internal network và Internet. Bảng sau sẽ cho ta thấy các chính sách của Firewall (firewall policies) đã sẵn sang khi sử dụng Edge Firewall Template. Mỗi chính sánh trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập.Từ xác lập tất cả các hoạt động đều được cho phép ( All Open Access Policy) giữa Internal network và Internet cho đến xác lập ngăn chặn tất cả ( Block All policy) hoạt động giữa Internal network và Internet. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 50 Những lựa chọn về chính sách của Firewall khi dùng Network Active Directoryge Firewall Template: Bảng III.1 Chính sách Edge Firewall Firewall Policy Mô tả Block all Ngăn chặn tất cả truy cập qua ISA server Lựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài ngăn chặn tất cả các truy cập Block Internet Access, allow access to ISP Network services Ngăn chặn tất cả các truy cập qua ISA Server 2004 , ngoại trừ các truy cập đên các Network services như DNS service. Lựa chọn này sẽ được dùng khi các ISP cung cấp những dịch vụ này. Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau: Allow DNS from Internal Network and Client Network to External Network (internet)-Cho phép Internal Network và VPN clients Network cho phép các truy cập dạng HTTP, HTTPS,FTP từ Internal Network truy cập ra ngoài. Allow all protocol From VPN clients Network to Internal Network cho phép các giao thức từ VPN clients Network (bên ngoài ) vào trong mạng nội bộ. Allow limited web access to ISP Network Cho phép truy cập web có giới hạn dùng HTTP, HTTPS và FTP và cho phép truy cập tới ISP Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 51 Services Network services như DNS. Còn lại ngăn chặn tất cả các Network khác. Các nguyên tắc truy cập sau sẽ được tạo: Allow Http, Https, Ftp from Internal Network and VPN Client Network to External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra External Network (internet) Allow DNS from Internal Network and VPN Client Network to External Network (internet)- cho phép Internal Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài(internet) Allow all protocols from VPN Clients Network to Internal Network – Cho phép tấtc cả các giao thức từ VPN Client Network (bên ngoài VPN Client thực hiện kết nối vào mạng nội thông qua Internet), được truy cập vào bên trong mạng nội bộ. Allow unrestricted access Cho phéptruy cập không giới hạn ra internet qua ISA Server Các nguyên tắc truy cập sau sẽ được tạo ra: Allow all protocols from Internal Network and VPN Client Network to External Network – Cho phép dùng tất cả các giao thức từ Internal Network và VPN Client Network tới External Network (mạng ngoài) Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 52 Allow all protocols from VPN Client to Internal Network to Internal Network – Cho phép tất cả các giao thức VPN Client Network truy cập vào Internal Network. 2.2.2 Cấu hình 3-Leg Perimeter Cấu hình Firewall theo template dạng 3-Leg Perimeter sẽ tạo ra các mối quan hệ giữa các Network : Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép ngưòi dùng Internet truy cập vào như : public DNS server hoặc 1 caching-only DNS server. Những chọn lựa tại 3-Leg Perimeter Firewall Template Firewall Policy Bảng III.2 Chính sách 3-Leg Perimeter Firewall Policy Mô tả Block all Ngăn chặn tất cả truy cập qua ISA server Lựa chọn này không tạo bất kì Rules nào khác ngoài Dèault Rules ngăn chặn tất cả các truy cập Block Internet Access, allow access to Network services on the Perimeter Network Ngăn chặn tất cả các truy cập qua ISA Server 2004 , ngoại trừ các truy cập đên các Network services như DNS service. Các Access rules sau sẽ được tạo: Allow DNS traffic from Internal Network andClient Network to Perimeter Network)-Cho phéptruy nhập DNS từ Internal Network và VPN Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 53 clients Network đến Perimeter Network . Allow all protocol From VPN clients Network to Internal Network cho phép các giao thức từ VPN clients Network (bên ngoài ) vào trong mạng nội bộ. Block Internal access, allow access to ISP Network Services Ngăn chặn tất cả các truy cập mạng qua Firewall ngoại trừ các Network services như DNS. Lựa chọn này phù hợp khi nhà cung cấp dịch vụ mạng cơ bản là Internet services Provider(ISP). Rules sau sẽ được tạo: Allow DNS from Internal Network , VPN Client Network to External Network – Cho phép DNS từ Internal Network , VPN Client Network và Perimeter Network đến External Network Allow limited web access, allow to access to Network services on Perimeter Network Cho phép truy cập web có giới hạn dùng HTTP, HTTPS và FTP và cho phép truy cập tới Network services như DNS trên DMZ. Còn lại ngăn chặn tất cả các Network khác. Các nguyên tắc truy cập sau sẽ được tạo: Allow Http, Https, Ftp from Internal Network andVPN Client Network to Perimeter Network and External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra Perimeter Network và External Network (internet) Allow DNS traffic from Internal Network and Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 54 VPN Network to Perimeter Network Allow all protocols from VPN Clients Network toInternal Network – Cho phép tấtc cả các giao thứtừ VPN Client Network (bên ngoài VPN Clientthực hiện kết nối vào mạng nội thông qua Internet), được truy cập vào bên trong mạng nội bộ. Allow limited web access to ISP Network services Các Network services như DNS là do ISP của ta tạo ra. Tất cả các truy nhập mạng khác đều bị xóa. Các nguyên tắc truy cập sau sẽ được tạo ra: Allow Http, Https, FTP from Internal Network and VPN Client Network to External Network allow all protocols from VPN Clients Network to Internal Network. Allow unrestricted access Cho phép tất cả các loại truy cập ra internet qua Firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network được bảo vệ từ chính sách cho phép tất cả nấyu đó có thể ngăn chặn bớt một số truy cập không phù hợp với chính sách bảo mật của công ty. Các Rules sau sẽ được tạo: Allow all protocol from Internal Network and VPN Client Network to External Network and Perimeter Network Allow all protocols from VPN Client to Internal 2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy Clients Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 55 Một ISA Server 2004 client là một máy tính kết nối đến các nguồn tài nguyên khác thông qua một ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một số Internal hay perimeter network _DMZ và kết nối ra Internet qua ISA Server 2004 Firewall. Tồn tại 3 loại ISA Server 2004 client:  SecureNAT client  Web Proxy Client  Firewall Client SecureNat Client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thong qua ISA Server 2004 firewall. Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004 firewall, thong số default gateway của SecureNat Client chính là IP Active Directorydress của network card trên ISA Server 2004 firewall gắn với Network đó. Nếu SecureNat Client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNat Client sẽ cấu hình thong số default gateway là IP Active Directorydress của router gần nó nhất. Router này sẽ định tuyến thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet Một Web Proxy Client là máy có trình duyệt Internet (như Internet EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web Proxy server của nó web browser có thể cấu hình sử dụng IP Active Directorydress của ISA Server 2004 firewall làm web broưser của nó – cấu hình thủ công, hoặc cấu hình tự động thông qua các Web Proxy Autoconfiguration script của ISA Server 2004 firewall. Các Autoconfiguration script này cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy Client có thể kết nối ra internet. Tên của User được ghi nhận trong các Web Proxy Logs khi máy tính được cấu hình theo Web Proxy Client . Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 56 Firewall Client là máy tính cài Firewall Client software. Firewall Client software chặn tất cả các yêu cầu thuộc dạng winsock application (thường là các ứng dụng trên TCP và UDP) và đẩy các yêu càu này đến Firewall service trên ISA Server 2004 firewall. User name tự động được đưa vào firewall service log khi máy tính Firewall Client được thực hiện kết nối internet thông qua ISA Server 2004 firewall. Bảng III.3 Tính năng ISA Server 2004 Client. Feature SecureNat Client Firewall Client Web Proxy Client Cần cài đặt Không yêu cầu, cần xác lập các thông số default gateway Cần cài đặt phần mềm Firewall Client software Không yêu cầu, chỉ cần cấu hình các thông số phù hợp tại trình duyệt web Hỗ trợ các hệ điều hành Tất cả các hệ điều hành hỗ trợ TCP/IP Chỉ hỗ trợ Windows Hệ điều hành có hỗ trợ Web Application Hỗ trợ giao thức Nhờ có bộ lọc ứng dụng – Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều Protocols- multiconnection protocol Tất cả các ứng dụng winsock application. Có nghĩa là hầu hết các ứng dụng trên internet hiện nay HTTP, Secure HTTP(HTTPS) và FTP Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 57 Hỗ trợ xác thực người dung, kiểm soát user truy cập ra ngoài Chỉ hỗ trợ cho VPN client Có hỗ trợ Có hỗ trợ Như vậy ta đã biết đến các ISA Server 2004 client khác nhau và các tính năng riêng của các loại. Tiếp theo chúng ta sẽ tìm hiểu thêm các thủ tục để tạo hoặc chỉnh sửa cá quy tắc trên chính sách truy cập ra ngoài internet – outbound access policy rules thông qua các Network Template. 2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server 2004 Access Policy ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004 firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng để cho phép lưu thông này là: Access Rules- Các quy tắc truy cập Publishing Rules – Các quy tắc xuất bản Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ nằm trong đến một Network khác không được bảo vệ nằm ngoài. ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External. Còn tất cả các Network được xác định là external Network thì không được bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network, Quarantined VPN Client Network – mạng VPN cách ly, Local Host Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài. Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 58 các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail, FTP server. Web and server public rules có thể cho phép External hosts truy cập vào các tài nguyên này. Ở những phần trước ta đã dùng các Network Template để tự động tạo ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user được truy cập trên internet. Bảng III.4.1 Một Access rules bao gồm các yếu tố sau: Rules Element Mô tả Thứ tự (độ ưu tiên)- order Firewall Access Policy là một danh sác các Access Rules được xử lý theo thứ tự từ trên xuống đến khi gặp 1 điều kiện cụ thể được quy định, khi đó sẽ áp dụng theo quy định ấy Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra là Allow- cho phép hoặc Deny – từ chối Protocol Protocol bao gồm tất cả các TCP/IP protocol, TCP, UDP, ICMP, tất cả các giao thức được căn cứ trên IP protocol number, Firewall hỗ trợ tất cả TCP/IP Protocols Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active Directorydress, một dãy IP Active Directorydress, một subnet, hay nhiều subnet Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập hợp các domain, một URL hay một tập các URL, một IP hay một tập cá IP, một subnet hay Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 59 tập các subnet, hoặc tập các Network Điều kiện – Condition Điều kiện đưa ra là căn cứ vào user hoặc group nào sẽ được rule áp dụng Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó. Ví dụ: Rules Element Giá trị Order(priority) 1 Action Allow Protocols HTTP & FTP From Internal Network To FTP.com Condition Limited web access(Group) Để có thể sử dụng được các Access rules điều khiển người dùng hay các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng có thể thực hiện dựa trên IP nguồn. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 60 Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều khiển việc truy cập đến một số website và việc sử dụng giao thức nào để thực hiện công việc này. 3. Hiện trạng hệ thống Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client tiếp xúc trực tiếp với mạng internet qua modem nên nguy cơ bị tấn công cao. Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông tin không cho phép. Các luồng dũ liệu trong công ty chưa được phân chía. 4. Các công việc triển khai & kết quả 4.1 Lựa chọn hệ thống Firewall(Proxy) Sử dụng 1 trong 2 cách:  ISA 2004  Linux IPcop Với ISA Ưu điểm:  Quản lý mạnh về các giao thức :http,pop3,https,smtp……  Chặn web và tải file hiệu quả :*.bat,*.exe và ngăn chặn website mong muốn  Áp dụng các chính sách Access Rule Policy From.. To… cho các client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào trong hiệu quả .  Nhiều tính năng mạnh khác  Có thể tích hợp thêm các phần mềm security khác : Surfcontrol : ngăn chặn trang web xấu Nhược điểm: Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 61  Cấu hình cài đặt cao, cài đặt tương đối phức tạp..  Giá thành cao Với Ipcop Ưu điểm:  Giá thành thấp  Cài đặt đơn giản  Yêu cầu cấu hình thấp Nhược điểm  Khó tương thích với phần mềm khác.  Đảm bảo an toàn kém. Do những ưu, nhược điểm như vậy nên đề nghị chọn giải pháp sử dụng ISA Server 2004. 4.2 Cài đặt ISA Server 2004 trên Windows Server 2003 Không quá phức tạp (phần phức tạp nằm ở phần cấu hình các thông số).Chỉ có một vài yêu cầu cần xác nhận tại quá trình này.Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ-Internal network IP Active Directorydress range(s).Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local Active Directorydress Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks), và đâu là mạng không được tin cậy (untrusted Networks) .Thay vào đó , ISA Server 2004 firewall các IP nội bộ được xác nhận bên dưới Internal Network. Internal Network nhắm xác định khu vực có các Network Servers và các Services quan trọng như :Administratorsdomain controllers, DNS, WINS, RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s System Policy). System Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 62 Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Active Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của System Policy… 4.3 Mô hình cấu hình ISA vào mạng công ty Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty vinapay. Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet. Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 63 Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 64 Hình III.5 Cho phép kết nối từ Firewall ra internet Hình III.6 Ngăn chặn truy nhập vào site Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 65 Hình III.7 Rule ngăn việc downloAdministrators1 File Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 66 Hình III.8 Cho phép truy nhập FTP server 4.3 Sao lưu dự phòng Lý do cần sao lưu :  Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn định  Việc xây dựng hệ thống ISA đòi hỏi mất nhiều thời gian cấu hình các chính sách của user.  Sự cố về phần cứng  Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại Kế hoạch xây dựng hệ thống dự phòng Các phương án dự phòng Trường hợp 1  Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 67  Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống Cách khắc phục Sử dụng tiện ích backup với lịch sao lưu như sau: Time Type of Backup Object Backup Monday Daily (17:59) C drive và System State Tuesday Daily (17:59) C drive và System State Wednesday Daily (17:59) C drive và System State Thursday Daily (17:59) C drive và System State Friday Daily (17:59) C drive và System State Saturday Daily (17:59) C drive và System State Sunday Normal (23:59) C drive và System State Backup cấu hình chính sách của ISA bằng cách sử dụng tiện ích của ISA: Để đảm bảo nhanh chóng hồi phục các cấu hình trong chính sách truy cập người dùng trong ISA ta có