Lên kế hoạch giám sát ISA Server (Phần I)

ISA Server có vai trò quan trọng then chốt trong cấu trúc mạng của bạn. Nếu bạn triển trai ISA theo mô hình Internet Edge Firewall, ISA sẽ hoạt động như một tường lửa và bảo vệ cho mạng nội bộ của bạn. ISA bảo mật các truy cập ra ngoài Internet từ trong mạng Internal và ngược lại, cho phép truy cập tới các tài nguyên bên trong mạng cục bộ từ ngoài Internet. Nếu ISA gặp vấn đề, người dùng sẽ không thể sử dụng những tính năng của nó. Nếu ISA bị tấn công từ Internet, mạng cục bộ của bạn sẽ gặp nguy hiểm.

Có nhiều lý do phải giám sát ISA Server. Sau đây là một vài lý do quan trọng.

• Giám sát lưu lượng giữa các mạng. Bạn cần giám sát lưu lượng giữa các Network để đảm bảo các Access Rules của bạn đã được cấu hình chính xác, rằng chỉ những lưu thông bạn cho phép mới được qua, và không có những lưu lượng mạng không cần thiết so với nhu cầu của người dùng.
  
  
• Sửa các lỗi kết nối mạng. Giám sát ISA là một mắt xích quan trọng trong việc xác định và sửa các lỗi kết nối mạng. Nếu người dùng thông báo rằng họ không thể truy cập tài nguyên trên Internet thì lỗi có thể do cấu hình của máy người dùng, do cấu hình của ISA không đúng, hay do chính tài nguyên đó trên Internet. Bằng cách giám sát ISA, bạn có thể xác định chính xác nguyên nhân của vấn đề.
  
  
• Điều tra các cuộc tấn công. Nếu ISA hoạt động như một tường lửa, nó có thể sẽ bị tấn công. Nếu bạn cấu hình chính xác, nó có thể phát hiện và ngăn chặn hầu hết các cuộc tấn công. Tuy nhiên, ngay cả khi ISA Server ngăn chặn thành công cuộc tấn công, bạn cũng đừng vội mừng và hãy luôn nghĩ rằng chúng có thể lại bắt đầu bất cứ lúc nào. Sau mỗi cuộc tấn công, nếu giám sát ISA thường xuyên, bạn sẽ có được nhiều dữ liệu về kiểu tấn công, cách thức tấn công để phòng thủ cho những lần sau đó.
  
  
• Lên kế hoạch cho sự thay đổi. Nhờ giám sát ISA thường xuyên, bạn sẽ thu thập được nhiều thông tin để dựa vào đó, bạn có  thể lên kế hoạch chỉnh sửa cấu hình hiện tại của ISA cho phù hợp hơn với hệ thống mạng.

ISA Server Monitoring Components

ISA Server Management Console chứa nhiều thành phần cho phép bạn giám sát hoạt động của ISA Server ở nhiều mặt. Đó là các thành phần sau:

• Alerts: thực hiện giám sát ISA Server với các sự kiện được cấu hình trước, và khi những sự kiện đó xảy ra thì thực hiện những công việc xác định (action). Mặc định ISA đã được cấu hình với nhiều alert. Bạn có thể định nghĩa nhiều sự kiện mới và hành động đáp ứng khi sự kiện xảy ra.
  
  
• Sessions: cung cấp thông tin về phiên làm việc của tất cả người dùng kết nối tới ISA Server, bao gồm các loại client sau: Firewall client, SecureNAT client, VPN client, VPN site-to-site và Web Proxy client.
  
  
• Logging: cung cấp thông tin chi tiết về Web Proxy, Microsoft Firewall Service hay SMTP Message Screener. Mặc định ISA sẽ ghi lại tất cả client kết nối thành công hay bị ngăn cấm tới ISA Server. Bạn có thể sử dụng những thông tin nhật ký đó để giám sát ISA theo thời gian thực hay xem lại sau này.
  
  
• Reporting: tổng kết thông tin sử dụng trên ISA Server. Ví dụ bạn có thể tổng kết những user nào truy cập nhiều nhất qua ISA Server, những trang nào được truy cập, hay những giao thức và ứng dụng nào được sử dụng nhiều nhất.
  
  
  
• Connectivity: kích hoạt giám sát kết nối liên tục từ ISA Server tới những máy tính khác, hay một trang web nào đó trên mạng. Ví dụ, bạn có thể sử dụng Connectivity để giám sát kết nối từ máy ISA tới domain controller, DNS server, published Web server, đồng thời cung cấp cơ chế cảnh báo khi những kết nối đó bị lỗi.
  
  
• Performance: thu thập dữ liệu hiệu năng của máy chủ ISA. Bạn có thể giám sát máy chủ ISA theo thời gian thực, hay ghi vào nhật ký để xem lại. 

Tuy nhiên, nếu bạn định cấu hình ISA thu thập tất cả thông tin, sẽ rất khó khăn để hiểu và phân tích những dữ liệu có được trên một máy ISA luôn luôn bận rộn. Trong kế hoạch giám sát ISA của mình, bạn nên tìm ra những thông tin là quan trọng, thu thập những thông tin đó như thế nào và khi nào thì bạn sẽ xem lại chúng. Bạn có 2 chiến lược giám sát ISA.

Giám sát Real-time

Bạn có thể giám sát ISA theo thời gian thực, thu thập thông tin kết nối của các client, cấu hình các alert và action khi một sự kiện xảy ra. Bạn có thể sử dụng ISA Server Management Console hay Performance Monitor. Nhiều khi bạn phải sử dụng những công cụ đó khi có vấn đề xảy ra. Ví dụ, nếu một user báo cáo rằng anh ta truy cập Internet chậm hơn bình thường, bạn có thể sử dụng Performance Monitor với các biến đếm được cấu hình sẵn để xác định nguyên nhân của vấn đề.

Thu thập thông tin trong một thời gian dài

Bên cạnh giám sát real-time, bạn có thể thu thập thông tin trên máy ISA trong một thời gian dài hơn và xem lại, tổng kết sau này. Ví dụ, bạn có thể sử dụng cách trên đối với những loại thông tin sau:

• Hiệu năng làm việc của máy ISA. Những thông tin này sẽ có ích cho những thay đổi, hiệu chỉnh sau này đối với hạ tầng ISA của bạn.
  
  
• Thông tin sử dụng. Những thông tin này bạn có thể lấy được từ các báo cáo của ISA.
  
  
• Thông tin bảo mật.
  
  

Phần tới chúng ta sẽ tiếp tục tìm hiểu cụ thể về những công cụ cho phép giám sát ISA Server.