Môn học ISA này rất hay, bạn thử tập tành cấu hình thử trong các bài LAB ở nhà của bạn. Để có kinh nghiệm áp dụng vào môi trường thực tế sau này nữa nhé. Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa trên các phiên bản ISA Server trước. Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng. Có hai phiên bản ISA 2006 bao gồm: Standard Edition và Enterprise Edition.
1. Standard Edition
ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp ( ví dụ như giờ làm việc ). Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội sở.
Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet).
2. Enterprise Edition
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
3. So sánh giữa phiên bản Standard Edition và Enterprise Edition
Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard.
- Centralized storage of configuration data : Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ như bạn muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình.
- Support for cache Array Routing Protocol ( CARP ) : Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó. Khi một máy client khác đi trang web khác, CARP chỉ định tiếp một máy ISA khác cache lại trang web. Cứ luân phiên như thế. Khi một client bất kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó để trả về cho máy client. CARP giúp tối ưu hóa khả năng cache.
- Integration of Network Load Balancing - NLB ( Tích hợp cân bằng tải trên ISA ) : NBL là một thành phần network có sẵn trong Windows 2000 Server và Windows Server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống. Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB.
4. So sánh ISA 2006 và ISA 2004
ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:
- Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/http Publishing.
- Hỗ trợ SharePoint Portal Server.
- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener.
- Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN :
- Về khả năng Publishing Service : ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password). Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server. Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
- Khả năng kết nối VPN : Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine, Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet (thế mới gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác, chưa thử cái này đâu nhá).
- Về khả năng quản lý : Dễ dàng quản lý; Rất nhiều Wizard; Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group; Log và Report cực tốt. Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise). Khai báo thêm server vào array dễ dàng. Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này.
Có các giải pháp hardware. Các tính năng khác : Hỗ trợ nhiều CPU và RAM. Max 32 node Network Loadbalancing. Hỗ trợ nhiều network, không cần đong đếm cài này, ăn đứt các loại khác. Route/NAT theo từng network. Firewall rule đa dạng. IDS (cũng tạm được). Flood Resiliency. HTTP compression. Diffserv
===============================================
Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đây Internet phát triển với tốc độ chóng mặt và là công cụ không thể thiếu trong thời đại công nghệ ngày nay. Tầm quan trọng của nó không chỉ ảnh hưởng đến ngành công nghệ cao mà còn vươn xa tới cách lĩnh vực khác. Hay nói cách khác Internet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi người trên thế giới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách xa đến hàng vạn cây số.
Hơn nữa đây chính là một không gian mở một thế giới tri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu.... với nhau gần như ngay lập tức. Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệ thống máy tính ngày càng đang dạng và rộng khắp. Những kẻ tấn công với nhiều mục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả chúng len lỏi vào hệ thống chúng ta tàn phá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một quốc gia nào đó....
Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và là nỗi boăn khoăn chung của toàn xã hội. Các hãng bảo mật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểu nhất đó chính là chương trình Internet Sercurity Acceleration Server (ISA Server) của Microsoft. Vậy cơ chế hoạt động của ISA như thế nào dưới đây chúng ta sẽ đi sâu vào nghiên cứu nó.
Theo Microsoft giới thiệu thì ISA Server là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua ISA kiểm duyệt rất kỹ lưỡng. Hay nói cách khác khi dựng ISA Server lên thế giới của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi