Tài liệu Tổng quan về ISA Server: ... Ebook Tổng quan về ISA Server
30 trang |
Chia sẻ: huyen82 | Lượt xem: 1833 | Lượt tải: 0
Tóm tắt tài liệu Tổng quan về ISA Server, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Mục lục
Tổng quan về ISA Server
Internet Security and Acceleration (ISA) Server đưa ra một giải pháp kết nối chứa cả firewall và cache. ISA Server bảo vệ mạng, cho phép cài đặt một chiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn của những rule, chỉ ra những site, giao thức, và nội dung có thể được truyền qua máy tính ISA Server. ISA Server giám sát cac yêu cầu và trả lời giữa các máy tính trên Internet và các máy khách nội bộ. điều khiển ai có thể truy nhập máy tính nào trên mạng phối hợp. ISA Server cũng điều khiển máy tính nào trên Internet có thể được truy nhập bởi các client nội bộ.
Tổng quan về Firewall và Security
ISA Server có thể được triển khai như là một hệ thống firewall mong muốn, hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ. ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet. Đơn giản mà nói, máy tính ISA Server có hai cạc giao diện mạng, mọt kết nối tới mạng cục bộ và một kết nối tới Internet.
Chúng ta có thể dụng ISA Server để cấu hình firewall, cấu hình các chiến lượng và tạo các rule để cài đặt các đường hướng nghiệp vụ. Bằng cách thiết lập các chính sách truy nhập an toàn, sẽ chống được các truy nhập không được phép và nội dung có hại xâm nhập từ mạng. Ngoài ra cũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng, đích, kiểu nội dung và lịch trình.
Chiến lược truy nhập ra ngoài: cấu hình site và luật nội dung và luật giao thức, điều khiển cách mà các máy khách truy nhập Internet. Các luật cho site và nội dung chỉ ra site nào và nội dung nào được phép truy nhập. Luật giao thức cho biết giao thức nào là có thể truy nhập cho chỉ vào hoặc chỉ ra.
Chiến lược xâm nhập: cơ chế tìm xâm nhập tích hợp có thể thông báo khi một tấn công nào đó là đã thâm nhập vào mạng. Ví dụ, có thể cấu hình ISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng.
Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộ lọc nhận thức dữ liệu. ISA Server dùng bộ lọc để xác định xem các packet là có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không.
Xác thực: ISA Server hỗ trợ các phương thức xác thực sau: xác thực Windows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc.
Tổng quan về Cache
ISA Server cài đặt một cache cho các đối tượng có yêu cầu thường xuyên để cải thiện hiệu năng mạng. Ta có thể cấu hình cache để đảm bảo nó sẽ chứa dữ liệu thường dùng nhất của cơ quan hặc được truy nhập bởi các máy khách Internet.
ISA Server có thể được dùng để cho phép giao tiếp giữa mạng cục bộ và Internet. Giao tiếp có thể là các máy khách nội bộ truy nhập các server trên Internet – trong trường hợp này, ISA Server cài đặt cơ chế forward caching. Giao tiếp có thể là giữa các máy khách bên ngoài truy nhâpn các server nội bộ - trong trường hợp này ISA Server đặc trưng bởi cơ chế reverse caching. Cả hai khái niệm đều là khả năng của ISA Server để đệm thông tin truy nhập, tạo một khả năng sẵn sàng nhanh hơn cho người dùng.
Các đặc trưng cache của ISA Server bao gồm:
Distributed caching: khi thiết lập một chuỗi các máy tính ISA Server, ta sẽ sử dụng cơ chế đệm phân tán. ISA Server dùng CARP (Cache Array Routing Protocol) để cho phép nhiều máy tính ISA Server tạo thành một chuỗi như là bộ cache logic.
Hierarchical caching: ISA Server mở rộng hơn nữa khả năng đệm phân tán bằng cách cho phép thiết lập phân câp của các cache, móc xích chuỗi các máy tính ISA Server, vì vậy các client có thể truy nhập các đối tượng từ các cache gần chúng về địa lý
Scheduled caching: được cấu hình khi muốn ISA Server tìm những nội dung được yêu cầu thường xuyên từ Internet.
Reverse caching: ISA Server có thể lưu nội dung của Web server, cải thiện hiệu quả và khả năng truy nhập. Tất cả các tính năng cache của ISA Server đều có thể áp dụng cho nội dung của các server công khai.
Forward caching
ISA Server có thể triển khai như một forward caching server, tức là cung cấp các cliênt nội bộ khả năng truy nhập Internet. ISA Server duy trì một cache tập trung dành cho các đối tượng Internet thường xuyên được yêu cầu.
Reverse caching
ISA Server có thể được triển khai ở trước các Web server của tổ chức, các server quản lý hệ thống Web thương mại, hoặc cung cấp truy nhập cho các thành viên nghiệp vụ. Với các yêu cầu gửi đến, ISA Server có thể đóng vai một Web server đối với thể giới bên ngoài. ISA Server chỉ chuyển tiếp yêu cầu tới Web server khi yêu cầu nằm ngoài phạm vi cache của nó.
Khía cạnh mạng
Hình dưới đây là kiến trúc của ISA Server trên khung cảnh mạng
ISA Server được cấu hình điển hình trên máy tính với hai giao diện mạng, một nối trực tiếp với mạng nội bộ, một nối với Internet. Các giao diện này có thể thích nghi với nhiều kiểu giao thức. Trên mạng nội bộ (LAN), ví dụ, Ethernet, Token Ring, hay ARCNet là nói chung đều có thể hỗ trợ TCP/IP hoặc NetBEUI. Một kết nối Internet có thể dùng một modem, ISDN, hoặc một giao diện mạng gắn với một router có nối với Internet.
Tại trung tâm của ISA Server là máy tính của quản trị viên. Máy tính của quản trị viên có các chức năng của ISA Server, dịch vụ thư mục của MS Windows 2000, và đối tượng COM ISA. Quản trị cũng có thể quản lý các client từ xa dùng có chế quản trị của ISA hoặc dùng các đoạn mã script.
Các tác vụ của quản trị viên gồm có thiết lập các luật (rule) và chính sách (policy), và cấu hình bộ nhớ cache. Các luật là để xác định cách mà các client giao tiếp Internet và kiểu thông tin được cho phép. Các luật còn xác định cách mà server trong mạng nội bộ của ta giao tiếp với client trên Internet. Một điều khoản bao gồm các luật cho các site và nội dung, luật cho giao thức, luật công khai Web, và các bộ lọc các IP packet.
Một chính sách có thể được áp dụng tại một mức chuỗi hoặc mức xí nghiệp. Xí nghiệp bao gồm tất cả các chuỗi mạng. Các chiến lược mức xí nghiệp có thể được áp dụng cho tất cả các chuỗi của xí nghiệp. Thêm nữa, một chính sách mức chuỗi có thể áp dụng cho một hoặc nhiểu chuỗi.
Bốn ý chính có thể thấy trong khung cảnh mạng:
Quản trị viên quản trị ISA Server tại máy tính từ xa
Chuỗi các ISA Server, bao gồm ít nhất một server.
Active Directory, nằm tại một máy tính riêng biệt. Dịch vụ thư mục chủ động lưu thông tin về các đối tượng trên mạng, bao gồm người dùng và máy tính, enterprise và miền-chuỗi các thông tin đăng ký liên quan đến ISA và các mở rộng của nó. Active Directory phân tán các thông tin trên toàn mạng. Cơ chế đăng ký trên máy ISA có thể thực thi các chức năng này khi không dùng Active Directory.
Các client và server dùng các khả năng của ISA Server là firewall và cache.
Chúng ta có thể lập trình cho các tác vụ quản trị ISA tự động bằn cách truy nhập vào các đối tượng ISA COM.
Khía cạnh Server
ISA Server hoạt động tại nhiều tầng truyền thông khác nhau để bảo vệ mạng phối ghép. Tại tầng xử lý packet, ISA Server thực hiện lọc packet. Khi cơ chế lọc được cho phép, ISA Server có thể điều khiển một cách thống kê các dữ liệu ở giao diện ngoài, đánh giá tải đến trước khi tiếp cận tới tài nguyên. Nếu dữ liệu được cho phép vượt qua tầng lọc packet này, nó sẽ đến với dịch vụ firewall và web proxy, nơi mà các luật ISA Server được xử lý để xác định yêu cầu phục vụ.
Hình dưới đây cho thấy chi tiết về kiến trúc của chuỗi ISA Server.
ISA Server có thể được dùng thành một chuỗi, để cho phép cân bằng tải và chịu lỗi. Tuy nhiên chúng ta sẽ bàn một chút về kiến trúc của ISA Server đơn. Các bộ phận của server gồm có:
Bộ lọc IP packet.
SecureNat, Một chức năng của ISA Server thực hiện công việc dịch địa chỉ mạng thay cho hàm NAT của Windows 2000
Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall, và các bộ lọc ứng dụng :
Dịch vụ Web proxy, bao gồm các bộ lọc Web và cache.
Dịch vụ Firewall, xử lý các yêu cầu kết nối bằng dịch vụ Firewall và các SecureNAT client. Các yêu cầu http được phát tới dịch vụ Web proxy bằng bộ lọc http redirector.
Các bộ lọc ứng dụng, bao gồm bộ lọc http redirector, bộ lọc này tái định hướng các yêu cầu http tới dịch vụ Web proxy, và các bộ lọc giao thức khác với ISA Server. Các bộ lọc của các hãng thứ ba có thể được phát triển cho ISA firewall bằng cách dùng các giao diện bộ lọc ứng dụng.
ISA Server cũng dùng bộ điều khiển băng thông của QoS trong Windows 2000. QoS là một tập hợp các thành phần quản lý việc sử dụng băng thông cho mạng. ISA Server dùng QoS để kết nối theo các luật được thiết lập bởi quản trị viên ISA.
Có thể thấy trên hình vẽ, ISA Server bảo vệ ba loại client sau:
Client ISA Firewall là các máy tính được cài đặt phần mềm ISA Firewall. Các yêu cầu từ các ISA Firewall client được gửi tới dịch vụ ISA Firewall trên máy ISA Server để xác định truy nhập nào là được phép. Kết quả là, các yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và bởi các add-in khác. Nếu các client ISA Firewall client yêu cầu một đối tượng http, bộ lọc http redirector sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache.
SecureNAT client là các máy tính không cài ISA Firewall client software. Các yêu cầu từ SecureNAT là được gửi trước hết tới NAT driver, giúp cho việc chuyển từ IP toàn cầu sang IP nội bộ của SecureNAT client. Các yêu cầu của client sau đó được gửi tới dịch vụ ISA Firewall, để xác định truy nhập nào là được phép. Cuối cùng, yêu cầu có thể được lọc bởi các bộ lọc ứng dụng và các add-in khác. Nếu các SecureNAT client yêu cầu một đối tượng http, bộ lọc http redirectory sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy. Dịch vụ Web proxy có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng từ ISA Server cache.
Các máy khách Web proxy là các ứng dụng duyệt bất kỳ tương thích với chuẩn của CERN. ISA chuyển tiếp các yêu cầu từ Web proxy client cho các dịch vụ Web proxy trên máy tính ISA Server để xác định truy nhập nào là được phép. Dịch vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu hoặc phục vụ các đối tượng từ ISA Server cache.
Cần chú ý rằng Firewall client và các SecureNAT client là không tồn tại đồng thời. Tuy nhiên, các máy khách ISA Firewall và các máy khách SecureNAT đều có thể là các máy khách Web proxy. Nếu ứng dụng Web trên máy tính là được cấu hình mục đích để dùng ISA Server, thì tất cả các Web request (HTTP, FTP, HTTP-S, và Gopher) được gửi trực tiếp tới dịch vụ Web proxy. Tất cả các yêu cầu khác được xử lý bởi dịch vụ Firewall.
ISA Server Firewall
Điều khiển các yêu cầu ra ngoài
Một trong những chức năng chính của ISA Server là kết nối mạng nội bộ với Internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại. Để đơn giản hoá, ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, xác đinh cách client truy nhập vào Internet.
Khi ISA Server xử lý mọt yêu cầu ra ngoài, nó kiểm tra các luật dẫn đường, luật cho nội dung và site, và các luật giao thức để xác định xem yêu cầu có được phép không. Một yêu cầu được cho phép chỉ nếu cả luật về giao thức và nội dung cho phép và không có luật nào khác chủ đích từ chối request này.
Một vài luật có thể được cấu hình để áp dụng cho các client nhất định. Trong trường hợp này, các client có thể được xác định hoặc bằng địa chỉ IP hoặc bằng tên người dùng. ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối tượng và cách cấu hình server.
Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:
Các luật giao thức. Trước hết ISA Server kiểm tra luật giao thức. ISA Server chỉ cho phép yêu cầu nếu luật giao thức cho phép và không một luật nào khác từ chối.
Luật cho nội dung và site. Cơ chế cũng như trên
Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay không, xác đinh xem yêu cầu có bị từ chối hay không.
Các luật dẫn đường hoặc cấu hình chuỗi Firewall, nếu một Web proxy client yêu cầu đối tượng, để xác định cách mà yêu cầu được phục vụ.
Điều khiển các yêu cầu đến
ISA Server cũng có thể tạo ra những chính sách để bảo vê an toàn cho các server nội bộ, bao gồm có các bộ lọc IP packet, các luật công khai Web, hoặc các luật công khai server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra.
Các luật công khai server của ISA Server:
Luật công khai Web, công khai nội dung Web server.
Luật công khai server, công khai nội dung trên tất cả các server khác trong mạng nội bộ.
Lọc IP packet để công khai nội dung trên các server lên mạng vành đai (perimeter network hay screened subnet).
Khi một ISA Server xử lý một yêu cầu từ một client bên ngoài, nó kiểm tra các bộ lọc IP packet, các luật công khai, và các luật dẫn đường để xác định xem yêu cầu có được cho phép không và server nội bộ nào nên phục vụ yêu cầu này. Thứ tự xử lý sẽ như sau:
Các bộ lọc IP packet.
Các luật công khai Web.
Các luật dẫn đường.
Lọc các IP packet
Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn về giao thức và ứng dụng, bao gồm moi IP packet, gồm có TCP packet, UDP packet, v.v… Các bộ lọc có thể được cấu hình để chỉ các packet nhất đinh mới có thể được truyền tới ISA Server. Điều này làm tăng tính an toàn cho mạng. Các bộ lọc có thể chặn các packet đến từ các Internet host nhất định và có thể loại bỏ cãc packet liên quan đến mục đích tấn công. Ngoài ra, cũng có thể chặn các packet dùng trong mạng nội bộ, như Web proxy, Firewall, WWW, hay dịch vụ SMTP.
Với các bộ lọc IP packet, ta có thể chặn hay hoặc cho phép hoặc ngăn các packet dùng cho các máy tính nhất định trên mạng phối ghép, có thể cấu hình hai loại bộ lọc IP packet tĩnh: các bộ lọc cho phép và các bộ lọc chặn.
Các packet không được chặn được truyền tới các dịch vụ ISA tại mức ứng dụng, khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ của Web proxy và ISA Firewall. Các cổng là được mở để truyền và nhận, và sau đó được đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối.
ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP packet đến và đi. ISA Server có thể được cấu hình các luật và chính sách truy nhập, mở cổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc. Cách tiếp cận này làm giảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng.
Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đem lại phương thức an toàn nhất để xử lý các cổng cấp phát động.
Xâm nhập và báo động
ISA Server có các cơ chế kiểm tra xâm nhập, xác định khi nào mạng bị tấn công, và thực thi một chuỗi các hành động được lập sãn trong trường hợp đó.
Để dò tìm những thông tin xâm nhập, ISA Server so sánh tải và danh sách các thông tin đầu vào liên quan đến các phương thức tấn công phổ biến. Cơ chế báo động sẽ được kích hoạt khi có các hoạt động nghi ngờ, bao gồm nhiều hành động đã được định sẵn, gồm có kết thúc kết nối, kết thúc dịch vụ, phát email báo động, và ghi nhật ký lại.
ISA Server giám sát những kiểu tấn công sau:
Tấn công quét mọi cổng
Tấn công quét cổng đã liệt kê sẵn
Tấn công quét kiểu IP-half
Tấn công kiểu ping-of-death
Tấn công bằn UDP bomb
Tấn công tràn cửa sổ băng thông
SecureNAT (Secure Network Address Translation)
SecureNAT là một mở rộng của NAT driver trong MS Windows 2000. NAT thay thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ. Cơ chế này cho phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server.
Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF. ISA Server tăng cường chức năng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức PPTP. NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN proxy.
Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem và tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một máy tính có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu.
Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức, như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm.
Các hạn chế của NAT:
Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt.
NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao thức khác mặc dù có nhúng IP trong gói.
Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server. Thực tế thì chúng không hẳn tương đương nhau.
ISA Server cache
ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host, có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai.
Cách thức hoạt động của ISA Server cache
Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm ngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mới thay mặt client. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho request gốc và gửi response cho phía client.
ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, và reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server.
ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại.
ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không.
Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm tra cache của server nào. Nếu đối tượng không ở trong cache, thì ISA Server sẽ kiểm tra hoạt động của luật dẫn đường để xác định đường đi cho request. Nếu đối tượng nằm trong cache, thì ISA Server sẽ thực hiện các bước sau:
ISA Server kiểm tra xem đối tượng có hợp lệ không. Đối tượng được coi là không hợp lệ nếu các điều kiện sau xảy ra :
TTL (time-to-live) được xác định từ nguồn đã hết.
TTL xác định trong nội dung cache đã hết.
TTL cấu hình cho đối tượng đã hết.
Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường. Nếu các thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache.
Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được yêu cầu
Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA Server sẽ kiểm tra khả năng truy nhập của Web server đó.
Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server có được cấu hình để trả về đối tượng hết hạn từ cache hay không. Nếu được thì đối tượng sẽ được trả về cho người dùng
Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay không. Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng.
Cơ chế cache của ISA Server
Khi cấu hình một ổ đĩa cho việc cache, ISA Server tạo ra một file nội dụng trên ổ đĩa đó với đuôi là .cdat.
Mỗi file nội dung cho cache tối đa là 10 GB. Ví dụ, nếu ta cấp phát 12 GB trên một ổ đĩa nào đó, ISA Server sẽ tạo ra hai file, một file 10 GB và một file 2 GB.
Khi các đối tượng được cache, ISA Server sẽ thêm chúng vào file nội dung cache. Nếu file nội dung quá đầy để lưu các đối tượng mới, ISA Server sẽ loại bỏ các đối tượng cũ ra khỏi cache, bằng cách dùng công thức đánh giá “tuổi”, độ thường xuyên và cỡ của đối tượng.
RAM Caching
Trong ISA Server, các trang được cache là được lưu tức thì trong bộ nhớ để client truy nhập. Một cơ chế “ghi-lười” được dùng để ghi các trang ra đĩa. Kết quả là tăng khả năng sẵn có trên cache của các trang. Không có cơ chế kiểm tra xem trang đã được cache hay lưu lên đĩa hay chưa.
RAM Caching cho phép nâng cao hiệu năng cache. Nếu hệ thống dừng trả lời, các đối tượng Web trong bộ nhớ chưa được ghi lên đĩa sẽ được lấy từ Internet.
CARP – Giao thức dẫn đường cho dãy cache
ISA Server dùng CARP để cung cấp khả năng co dãn và hiệu quả liên tục khi dùng nhiều máy ISA Server được nối kiểu dàn hàng tạo khả năng cache đơn về mặt logic. CARP dùng cơ chế dẫn đường theo nguyên tắc băm để xác định đường đi tối ưu qua một dãy cache để giải quyết yêu cầu. Giải pháp này là dựa vào việc áp dụng thuật toán băm cho dãy các thành viên và các URL. Đối với bất kỳ một yêu cầu URL được cho, trình duyệt hoặc proxy server cấp dưới sẽ biết chính xác sẽ lấy dãy các thông tin ở đâu. Đường tìm kiếm này cho thấy thông tin là đã được lưu từ request trước hay chưa, hoặc phải lấy từ Internet và sau đó lưu lại cho tương lai.
CARP cung cấp các lợi ích sau:
Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các proxy server, như khi tìm kiếm với các giao thức cache thông thường. Bằng cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn, điều mà thường xảy ra trong một số lượng lớn các server.
CARP loại bỏ sự lặp về nội dung - điều mà hay xảy ra đối với chuỗi proxy server. Với cơ chế dẫn đường bằng giải thuật băm, CARP tránh được điều này bằng cách cho phép cả năm ISA Server tồn tại với một cache đơn logic. Kết quả là có trả lời nhanh hơn và dùng hiệu quả hơn tài nguyên server.
CARP có khả năng co dãn cao. Do tìm đường bằng giải thuật băm dẫn đến sự độc lập ngang hàng, CARP trờ nên nhanh hơn và hiệu quả hơn khi nhiều proxy server được thêm vào. Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về tính co dãn – càng nhiều server, càng nhiều truy vấn !
CARP đảm bảo rằng cac đối tượng cache hoặc được phân tán giữa các server, hoặc các nhân tố tải - được cấu hình cho mỗi server.
Cách thức làm việc của CARP
Tiến trình CARP cung cấp cơ chế tìm đường hiệu quả cho các request.
Tất cả các server được theo dõi thông qua một chuỗi danh sách thành viên, được lưu trong Active Directory. Tất cả các thành viên sẽ được thông báo khi thêm hoặc bớt server trong chuỗi.
Theo chu kỳ, máy khách Web proxy hay server cấp dưới sẽ gửi thăm dò và nếu cần thiết, cập nhật danh sách thành viên.
Máy khách Web proxy gửi yêu cầu array.dll?Get.Routing.Script tới server thành viên.
Server cấp dưới (downstream) gửi yêu cầu array.dll?Get.Info.v1 tới server thành viên.
Khi yêu cầu một đối tượng, máy khách hoặc server cấp dưới dùng danh sách thành viên, cùng với hàm băm, CARP tính toán tên của mỗi URL được yêu cầu, để xác định server nào nên phục vụ yêu cầu này.
Giá trị băm của URL được kết hợp với giá trị băm cho mỗi ISA Server, cho kết quả cao hơn, trở thành “người sở hữu” thông tin cache.
Server kiểm tra xem nó nên xử lý request hay không. Nếu không, nó gửi request cho thành viên khác, được xác định danh sách chuỗi. Thành viên gửi gửi kèm theo thông tin xác thực cho thành viên nhận. Trong hoàn cảnh công khai, nó cũng cung cấp GUID của luật công khai
Một khi mà server được chọn để xử lý request, nó sẽ tiếp tục áp dụng luật ISA nếu cần thiết.
Do các hàm băm được dùng để gán các giá trị là rất nhiều nên tải được phân tán và cân đối giữa các phần tử trong chuỗi.
Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó.
Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi.
Ngoài ra có thể cấu hình các yêu cầu đến và đi riêng biệt, ví dụ có thể cho phép yêu cầu Web đến, và không cho phép yêu cầu gửi đi.
Các luật của ISA Server
Chúng ta có thể đặt cấu hình cho ISA để đáp ứng cho các yêu cầu về hiệu năng cũng như an ninh cụ thể bằng cách định nghĩa và cấu hình các luật mà nó sẽ quyết định xem người dùng nào, máy tính nào, hoặc ứng dụng nào được quyền truy cập các máy tính trong hệ thống mạng của chúng ta và trên mạng Internet. ISA Server cho phép chúng ta định nghĩa khá nhiều loại luật:
Luật về chính sách quản lý truy cập, bao gồm lọcIP Packet, các luật giao thức, các luật về site và nội dung.
Các luật về băng thông.
Các luật về chính sách quảng bá.
Khi một máy khách trong mạng yêu cầu tới một đối tượng trên Internet, ISA Server sẽ dựa vào các luật này và quyết định xem yêu cầu có được phép đáp ứng hay không.
Tương tự như vậy, khi một đối tượng từ bên ngoài yêu cầu một đối tượng ở bên trong hệ thống của chúng ta, ISA Server cũng sẽ dựa vào các luật để quyết định xem yêu cầu có được phép đáp ứng hay không.
Các luật quản lý chính sách truy cập
Lọc IP Packet.
Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server . Khi chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua. Chức năng này được thực hiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật quảng bá.
Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các luật sao cho chúng cho phép truyền thông.
Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động. Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần tử phục vụ bên trong hệ thống của chúng ta. Điều này là do các bộ lọc gói tin mở các cổng không mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở các cổng mang tính đáp ứng động(khi có một yêu cầu đến). Ví dụ, giả sử chúng ta muốn cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site HTTP. Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80. Chúng ta nên tạo ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này.
Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ, số hiệu cổng dịch vụ, tên máy nguồn và máy đích. Các bộ lọc gói tin IP là mang tính chất tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng. Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừ một số loại chúng ta mong muốn nào đó. Nếu chúng ta không có một bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng đó được mở mang tính động (tuỳ biến).
Các bộ lọc đóng (block) sẽ đóng một cổng nào đó. Chúng ta có thể tạo ra và cấu hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server. Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa các host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP. Sau đó chúng ta có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server .
Các luật giao thức , các luật địa chỉ và nội dung truy nhập.
Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông giữa hệ thống mạng của chúng ta và Internet. Các luật giao thức được sử lý ở tầng ứng dụng. Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức HTTP.
Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet mà các máy khách được quản lý bởi ISA Server có thể truy cập đến. Các luật địa chỉ và nội dung truy cập được xử lý ở tần ứng dụng. Ví dụ, một luật nội dung và địa chỉ có thể cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet.
Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache, hoặc chế độ kết hợp cả hai. Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập của mỗi chế độ cài đặt.
Rule type
Firewall
Cache
Integrated
Luật về địa điểm và nội dung truy nhập
Có
Có
Có
Luật về giao thức
Có
Có, đối với các giao thức HTTP, FTP, HTTPS
Có
Các luật về băng thông
Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn. Quản lý băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng. Hơn thế, nó thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức ưu tiên cho các kết nối mạng. Bất cứ kết nối nào mà nó không có một luật băng thông đi kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống. Mặt khác, bất cứ một kết nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức ưu tiên cao hơn mức mặc định.
Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp cả hai. Các luật quản lý băng thông có ở tất cả các chế độ.
Các luật chính sách quảng bá.
Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các luật quảng bá server và các luật quảng bá Web. Các chính sách quản lý quảng bá được tạo ra mức chuỗi (array level), chứ không phải ở mức enterprise.
Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống. Các luật quản lý server sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng được quản lý phía sau ISA Server .
Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server tương ứng được quản lý bởi ISA Server .
Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp. Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng bá ở mỗi chế độ cài đặt._.
Các file đính kèm theo tài liệu này:
- 25154.doc