Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
595
kết
nối
SMTP
giữa
bastion
host
và
Email
Server
bên
trong.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
596
Hình
5.3:
Mô
hình
Screened
Subnet.
I.3
.
Các
loại
firewall
và
cách
hoạt
động.
I.
3.1
Packet
filtering
(Bộ
lọc
gói
tin).
Loại
firewall
này
thực
hiện
việc
kiểm
tra
số
nhận
dạng
địa
chỉ
của
các
packet
để
từ
đó
cấp
phép
cho
chúng
lưu
thông
hay
ngăn
chặn
.
Các
thông
số
có
thể
lọc
được
của
một
packet
như:
-
Địa
chỉ
IP
nơi
xuất
phát
(
source
IP
address
).
-
Địa
chỉ
IP
nơi
nhận
(
destination
IP
address
).
-
Cổng
TCP
nơi
xuất
phát
(
source
TCP
port
).
-
Cổng
TCP
nơi
nhận
(
destination
TCP
port
).
Loại
Firewall
này
cho
phép
kiểm
soát
được
kết
nối
vào
máy
chủ,
khóa
việc
truy
cập
vào
hệ
thống
mạng
nội
bộ
từ
những
địa
chỉ
không
cho
phép.
Ngoài
ra,
nó
còn
kiểm
soát
hiệu
suất
sử
dụng
những
dịch
vụ
đang
hoạt
động
trên
hệ
thống
mạng
nội
bộ
thông
qua
các
cổng
TCP
tương
ứng.
I.
3.2
Application
gateway.
Đây
là
loại
firewall
được
thiết
kế
để
tăng
cường
chức
năng
kiểm
soát
các
loại
dịch
vụ
dựa
trên
những
giao
thức
được
cho
phép
truy
cập
vào
hệ
thống
mạng.
Cơ
chế
hoạt
động
của
nó
dựa
trên
mô
hình
Proxy
Service
.
Trong
mô
hình
này
phải
tồn
tại
một
hay
nhiều
máy
tính
đóng
vai
trò
Proxy
Server
.
Một
ứng
dụng
trong
mạng
nội
bộ
yêu
cầu
một
đối
tượng
nào
đó
trên
Internet,
Proxy
Server
sẽ
nhận
yêu
cầu
này
và
chuyển
đến
Server
trên
Internet
.
Khi
Server
trên
Internet
trả
lời,
Proxy
Server
sẽ
nhận
và
chuyển
ngược
lại
cho
ứng
dụng
đã
gửi
yêu
cầu.
Cơ
chế
lọc
của
packet
filtering
kết
hợp
với
cơ
chế
“đại
diện”
của
application
gateway
cung
cấp
một
khả
năng
an
toàn
và
uyển
chuyển
hơn,
đặc
biệt
khi
kiểm
soát
các
truy
cập
từ
bên
ngoài.
Ví
dụ:
Một
hệ
thống
mạng
có
chức
năng
packet
filtering
ngăn
chặn
các
kết
nối
bằng
TELNET
vào
hệ
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
597
thống
ngoại
trừ
một
máy
duy
nhất
-
TELNET
application
gateway
là
được
phép.
Một
người
muốn
kết
nối
vào
hệ
thống
bằng
TELNET
phải
qua
các
bước
sau:
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
598
-
Thực
hiện
telnet
vào
máy
chủ
bên
trong
cần
truy
cập.
-
Gateway
kiểm
tra
địa
chỉ
IP
nơi
xuất
phát
của
người
truy
cập
để
cho
phép
hoặc
từ
chối.
-
Người
truy
cập
phải
vượt
qua
hệ
thống
kiểm
tra
xác
thực.
-
Proxy
Service
tạo
một
kết
nối
Telnet
giữa
gateway
và
máy
chủ
cần
truy
nhập.
-
Proxy
Ser
vice
liên
kết
lưu
thông
giữa
người
truy
cập
và
máy
chủ
trong
mạng
nội
bộ.
Cơ
chế
bộ
lọc
packet
kết
hợp
với
cơ
chế
proxy
có
nhược
điểm
là
hiện
nay
các
ứng
dụng
đang
phát
triển
rất
nhanh,
do
đó
nếu
các
proxy
không
đáp
ứng
kịp
cho
các
ứng
dụng,
nguy
cơ
mất
an
toàn
sẽ
tăng
lên.
Thông
thường
những
phần
mềm
Proxy
Server
hoạt
động
như
một
gateway
nối
giữa
hai
mạng,
mạng
bên
trong
và
mạng
bên
ngoài.
Hình
5.4:
Mô
hình
hoạt
động
của
Proxy
.
Đường
kết
nối
giữa
Proxy
Server
và
Internet
thông
qua
nhà
cung
cấp
dịch
vụ
Internet
(
Internet
Service
Provider
-
ISP
)
có
thể
chọn
một
trong
các
cách
sau:
-
Dùng
Modem
analog
:
sử
dụng
giao
thức
SLIP/PPP
để
kết
nối
vào
ISP
và
truy
cập
Internet
.
Dùng
dial-up
thì
tốc
độ
bị
giới
hạn,
thường
là
28.8
Kbps
-
36.6
Kbps.
Hiện
nay
đã
có
Modem
analog
tốc
độ
56
Kbps
nhưng
chưa
được
thử
nghiệm
nhiều.
Phương
pháp
dùng
dial-up
qua
Modem
analog
thích
hợp
cho
các
tổ
chức
nhỏ,
chỉ
có
nhu
cầu
sử
dụng
dịch
vụ
Web
và
E-Mail
.
-
Dùng
đường
ISDN
:
Dịch
vụ
ISDN
(
Integrated
Services
Digital
Network
)
đã
khá
phổ
biến
ở
một
số
nước
tiên
tiến.
Dịch
vụ
này
dùng
tín
hiệu
số
trên
đường
truyền
nên
không
cần
Modem
analog
,
cho
phép
truyền
cả
tiếng
nói
và
dữ
liệu
trên
một
đôi
dây.
Các
kênh
thuê
bao
ISDN
(đường
truyền
dẫn
thông
tin
giữa
người
sử
dụng
và
mạng)
có
thể
đạt
tốc
độ
từ
64
Kbps
đến
138,24
Mbps.
Dịch
vụ
ISDN
thích
hợp
cho
các
công
ty
vừa
và
lớn,
yêu
cầu
băng
thông
lớn
mà
việc
dùng
Modem
analog
không
đáp
ứng
được.
Phần
cứng
dùng
để
kết
nối
tùy
thuộc
vào
việc
nối
kết
trực
tiếp
Proxy
Server
với
Internet
hoặc
thông
qua
một
Router
.
Dùng
dial-up
đòi
hỏi
phải
có
Modem
analog
,
dùng
ISDN
phải
có
bộ
phối
ghép
ISDN
cài
trên
Server
.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
599
Hình
5.5:
Mô
hình
kết
nối
mạng
Internet
.
Việc
chọn
lựa
cách
kết
nối
và
một
ISP
thích
hợp
tùy
thuộc
vào
yêu
cầu
cụ
thể
của
công
ty,
ví
dụ
như
số
người
cần
truy
cập
Internet
,
các
dịch
vụ
và
ứng
dụng
nào
được
sử
dụng,
các
đường
kết
nối
và
cách
tính
cước
mà
ISP
có
thể
cung
cấp.
II. Giới Thiệu ISA 2004.
Microsoft
Internet
Security
and
Acceleration
Sever
(
ISA
Server
)
là
phần
mềm
share
internet
của
hãng
phần
mềm
Microsoft
,
là
bản
nâng
cấp
từ
phần
mềm
MS
ISA
2000
Server
.
Có
thể
nói
đây
là
một
phần
mềm
share
internet
khá
hiệu
quả,
ổn
định,
dễ
cấu
hình,
thiết
lập
tường
lửa
(
firewall
)
tốt,
nhiều
tính
năng
cho
phép
bạn
cấu
hình
sao
cho
tương
thích
với
mạng
LAN
của
bạn.
Tốc
độ
nhanh
nhờ
chế
độ
cache
thông
minh,
với
tính
năng
lưu
Cache
trên
đĩa
giúp
bạn
truy
xuất
thông
tin
nhanh
hơn,
và
tính
năng
Schedule
Cache
(Lập
lịch
cho
tự
động
download
thông
tin
trên
các
WebServer
lưu
vào
Cache
và
máy
con
chỉ
cần
lấy
thông
tin
trên
các
Webserver
đó
bằng
mạng
LAN
)
III. Đặc Điểm Của ISA 2004.
Các
đặc
điểm
của
Microsoft
ISA
2004
:
-
Cung
cấp
tính
năng
Multi-networking
:
Kỹ
thuật
thiết
lập
các
chính
sách
truy
cập
dựa
trên
địa
chỉ
mạng,
thiết
lập
firewall
để
lọc
thông
tin
dựa
trên
từng
địa
chỉ
mạng
con,…
-
Unique
per-network
policies
:
Đặc
điểm
Multi-networking
được
cung
cấp
trong
ISA
Server
cho
phép
bảo
vệ
hệ
thống
mạng
nội
bộ
bằng
cách
giới
hạn
truy
xuất
của
các
Client
bên
ngoài
internet
,
bằng
cách
tạo
ra
một
vùng
mạng
ngoại
vi
perimeter
network
(được
xem
là
vùng
DMZ
,
demilitarized
zone
,
hoặc
screened
subnet
),
chỉ
cho
phép
Client
bên
ngoài
truy
xuất
vào
các
Server
trên
mạng
ngoại
vi,
không
cho
phép
Client
bên
ngoài
truy
xuất
trực
tiếp
vào
mạng
nội
bộ.
-
Stateful
inspection
of
all
traffic
:
Cho
phép
giám
sát
tất
cả
các
lưu
lượng
mạng.
-
NAT
and
route
network
relationships
:
Cung
cấp
kỹ
thuật
NAT
và
định
tuyến
dữ
liệu
cho
mạng
con.
-
Network
templates
:
Cung
cấp
các
mô
hình
mẫu
(network
templates)
về
một
số
kiến
trúc
mạng,
kèm
theo
một
số
luật
cần
thiết
cho
network
templates
tương
ứng.
-
Cung
cấp
một
số
đặc
điểm
mới
để
thiết
lập
mạng
riêng
ảo
(
VPN
network
)
và
truy
cập
từ
xa
cho
doanh
nghiệp
như
giám
sát,
ghi
nhận
log
,
quản
lý
session
cho
từng
VPN
Server
,
thiết
lập
access
policy
cho
từng
VPN
Client
,
cung
cấp
tính
năng
tương
thích
với
VPN
trên
các
hệ
thống
khác.
-
Cung
cấp
một
số
kỹ
thuật
bảo
mật
(
security
)
và
thiết
lập
Firewall
cho
hệ
thống
như
Authentication
,
Publish
Server
,
giới
hạn
một
số
traffic
.
-
Cung
cấp
một
số
kỹ
thuật
cache
thông
minh
(
Web
cache
)
để
làm
tăng
tốc
độ
truy
xuất
mạng,
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
600
giảm
tải
cho
đường
truyền,
Web
proxy
để
chia
sẻ
truy
xuất
Web
.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
601
-
Cung
cấp
một
số
tính
năng
quản
lý
hiệu
quả
như:
giám
sát
lưu
lượng,
reporting
qua
Web
,
export
và
import
cấu
hình
từ
XML
configuration
file
,
quản
lý
lỗi
hệ
thống
thông
qua
kỹ
thuật
gởi
thông
báo
qua
E-mail
,
-
Application
Layer
Filtering
(
ALF
):
là
một
trong
những
điểm
mạnh
của
ISA
Server
2004
,
không
giống
như
packet
filtering
firewall
truyền
thống,
ISA
2004
có
thể
thao
tác
sâu
hơn
như
có
thể
lọc
được
các
thông
tin
trong
tầng
ứng
dụng.
Một
số
đặc
điểm
nổi
bậc
của
ALF
:
-
Cho
phép
thiết
lập
bộ
lọc
HTTP
inbound
và
outbound
HTTP
.
-
Chặn
được
các
cả
các
loại
tập
tin
thực
thi
chạy
trên
nền
Windows
như
.pif,
.com,…
-
Có
thể
giới
hạn
HTTP
download
.
-
Có
thể
giới
hạn
truy
xuất
Web
cho
tất
cả
các
Client
dựa
trên
nội
dung
truy
cập.
-
Có
thể
điều
kiển
truy
xuất
HTTP
dựa
trên
chữ
ký
(
signature
).
-
Điều
khiển
một
số
phương
thức
truy
xuất
của
HTTP
.
IV. Cài Đặt ISA 2004.
IV.1
.
Yêu
cầu
cài
đặt.
Thành
phần
Yêu
cầu
đề
nghị
Bộ
xử
lý
(CPU)
Intel
hoặc
AMD
500Mhz
trở
lên.
Hệ
điều
hành
(OS)
Windows
2003
hoặc
Windows
2000
(
Service
pack
4
).
Bộ
nhớ
(Memory)
256
(MB)
hoặc
512
MB
cho
hệ
thống
không
sử
dụng
Web
caching
,
1GB
cho
Web-caching
ISA
firewalls
.
không
gian
đĩa
(Disk
space)
ổ
đĩa
cài
đặt
ISA
thuộc
loại
NTFS
file
system
,
ít
nhất
còn
150
MB
dành
cho
ISA
.
NIC
Ít
nhất
phải
có
một
card
mạng
(khuyến
cáo
phải
có
2
NIC)
IV.2
.
Quá
trình
cài
đặt
ISA
2004.
IV.2.
1
Cài
đặt
ISA
trên
máy
chủ
1
card
mạng.
Khi
ta
cài
đặt
ISA
trên
máy
Server
chỉ
có
một
card
mạng
(còn
gọi
là
Unihomed
ISA
Firewall
),
chỉ
hỗ
trợ
HTTP
,
HTTPS
,
HTTP-tunneled
(
Web
proxied
)
FTP
.
ISA
không
hỗ
trợ
một
số
chức
năng:
-
SecureNAT
client.
-
Firewall
Client.
-
Server
Publishing
Rule.
-
Remote
Access
VPN.
-
Site-to-Site
VPN.
-
Multi-networking.
-
Application-layer
inspection
(
trừ
giao
thức
HTTP)
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
602
Các
bước
cài
đặt
ISA
firewall
trên
máy
chủ
chỉ
có
một
NIC
:
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
603
Chạy
tập
tin
isaautorun.exe
từ
CDROM
ISA
2004
hoặc
từ
ISA
2004
source
.
Nhấp
chuột
vào
“
Install
ISA
Server
2004
”
trong
hộp
thoại
“
Microsoft
Internet
Security
and
Acceleration
Server
2004
”.
Nhấp
chuột
vào
nút
Next
trên
hộp
thoại
“
Welcome
to
the
Installation
Wizard
for
Microsoft
ISA
Server
2004
”
để
tiếp
tục
cài
đặt.
Chọn
tùy
chọn
Select
“
I
accept
”
trong
hộp
thoại
“
License
Agreement
”,
chọn
Next
.
Nhập
một
số
thông
tin
về
tên
username
và
tên
tổ
chức
sử
dụng
phần
mềm
trong
User
Name
và
Organization
textboxe.
Nhập
serial
number
trong
Product
Serial
Number
textbox
.
Nhấp
Next
để
tiếp
tục
.
Chọn
loại
cài
đặt
(
Installation
type
)
trong
hộp
“
Setup
Type”
,
chọn
tùy
chọn
Custom,
chọn
Next.
.
trong
hộp
thoại
“
Custom
Setup”
mặc
định
hệ
thống
đã
chọn
Firewall
Services
,
Advanced
Logging
,
và
ISA
Server
Management
.
Trên
Unihomed
ISA
firewall
chỉ
hỗ
trợ
Web
Proxy
Client
nên
ta
có
thể
không
chọn
tùy
chọn
Firewall
client
Installation
share
tuy
nhiên
ta
có
thể
chọn
nó
để
các
Client
có
thể
sử
dụng
phần
mềm
này
để
hỗ
trợ
truy
xuất
Web
qua
Web
Proxy
.
Chọn
Next
để
tiếp
tục.
Hình
5.6:
Chọn
Firewall
Client
Installation
Share.
Chỉ
định
address
range
cho
cho
Internet
network
trong
hộp
thoại
“
Internal
Network”
,
sau
đó
chọn
nút
Add
.
Trong
nút
Select
Network
Adapter,
chọn
Internal
ISA
NIC.
Hình
5.7:
Mô
tả
Internal
Network
Range
.
Sau
khi
mô
tả
xong
“
Internet
Network
address
ranges
”,
chọn
Next
trong
hộp
thoại
“
Firewall
Client
Connection
Settings
”.
Sau
đó
chương
trình
sẽ
tiến
hành
cài
đặt
vào
hệ
thống,
chọn
nút
Finish
để
hoàn
tất
quá
trình.
IV.2.
2
Cài
đặt
ISA
trên
máy
chủ
có
nhiều
card
mạng.
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net
604
ISA
Firewall
thường
được
triển
khai
trên
dual-homed
host
(máy
chủ
có
hai
Ethernet
cards
)
hoặc
multi-homed
host
(máy
chủ
có
nhiều
card
mạng)
điều
này
có
nghĩa
ISA
server
có
thể
thực
thi
đầy
đủ
các
tính
năng
của
nó
như
ISA
Firewall
,
SecureNAT
,
Server
Publishing
Rule
,
VPN
,…
Các
bước
cài
đặt
ISA
firewall
software
trên
multihomed
host
:
Chạy
tập
tin
isaautorun.exe
từ
CDROM
ISA
2004
hoặc
từ
ISA
2004
source
.
Nhấp
chuột
vào
“
Install
ISA
Server
2004
”
trong
hộp
thoại
“
Microsoft
Internet
Security
and
Acceleration
Server
2004
”.
Nhấp
chuột
vào
nút
Next
trên
hộp
thoại
“
Welcome
to
the
Installation
Wizard
for
Microsoft
ISA
Server
2004
”
để
tiếp
tục
cài
đặt.
Chọn
tùy
chọn
Select
“
I
accept
”
trong
hộp
thoại
“
License
Agreement
”,
chọn
Next
.
Nhập
một
số
thông
tin
về
tên
username
và
tên
tổ
chức
sử
dụng
phần
mềm
trong
User
Name
và
Organization
textboxe
.
Nhập
serial
number
trong
Product
Serial
Number
textbox
.
Nhấp
Next
để
tiếp
tục
.
Chọn
loại
cài
đặt
(
Installation
type
)
trong
hộp
“
Setup
Type”
,
chọn
tùy
chọn
Custom,
chọn
Next.
Trong
hộp
thoại
“
Custom
Setup
”
mặc
định
hệ
thống
đã
chọn
Firewall
Services
,
Advanced
Logging
,
và
ISA
Server
Management
.
Ta
chọn
tùy
chọn
Firewall
client
Installation
share
.
Chọn
Next
để
tiếp
tục.
Hình
5.8:
Chọn
Firewall
Client
Installation
Share
.
Ta
có
hai
cách
Định
nghĩa
internet
network
addresses
trong
hộp
thoại
Internal
Network
setup.
Cách
thứ
nhất
ta
mô
tả
dãy
địa
chỉ
nội
bộ
(
Internal
Network
range
)
từ
From
và
To
text
boxes
.
Cách
thứ
hai
ta
cấu
hình
default
Internal
Network
bằng
cách
chọn
nút
“
Select
Network
Adapter”
Sau
đó
ta
nhấp
chuột
vào
dấu
chọn
“
Select
Network
Adapter”
kết
nối
vào
mạng
nội
bộ.
Trong
hộp
thoại
Configure
Internal
Network,
loại
bỏ
dấu
check
trong
tùy
chọn
tên
Add
the
following
private
ranges
.
Sau
đó
check
vào
mục
chọn
Network
Adapter
,
chọn
OK
.
Không có nhận xét nào:
Đăng nhận xét