ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
Please purchase a personal license.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
M«n häc: qu¶n trÞ m¹ng
Network Administration
QUẢN TRỊ MẠNG
TRÊN MÔI TRƯỜNG WINDOW SERVER
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
CHƯƠNG 6:
An toàn mạng và bảo mật hệ thống
Firewall
ISA 2006
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
I. Mục tiêu bảo mật
1. Nhiệm vụ của người quản trị trong việc an toàn mạng
a. Xác định đối tượng cần bảo vệ
• Các máy chủ cung cấp dịch vụ Web, mail …DNS servers
• Các router trao đổi thông tin cập nhật bảng routing
• Các chương trình ứng dụng. Hệ quản trị CSDL
b. Xác định các lỗ hổng hệ thống : từ các điểm truy cập vào hệ
thống như:
• Kết nối mạng Internet
• Các điểm kết nối từ xa
• Kết nối đến các tổ chức khác
• Các điểm truy cập không dây
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
c. Xác định các mối đe dọa:
• Các hình thức và kỹ thuật tấn công đa dạng: Virus, Trojan Horse,
Worm, spam
• Thời điểm tấn công không biết trước
• Qui mô tấn công không biết trước
d. Kiểm tra các biện pháp an ninh mạng
• Bức tường lửa - Firewall
• Phần mềm diệt virus
• Điều khiển truy nhập
• Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…)
• Mã hóa dữ liệu
• Ý thức người sử dụng
• Hệ thống chính sách bảo mật và tự động vá lỗi hệ thống
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
2. Mục đích:
Hoạt động của người quản trị hệ thống mạng phải đảm bảo:
- Các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đúng đối tượng
- Mạng hoạt động ổn định, bảo vệ mang khỏi virus, worm, trojan, spam …
- Mạng không bị tấn công và truy nhập trái phép bởi những kẻ phá hoại .
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
3. Các mức độ bảo vệ mạng
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
II.Firewall
1. Khái niệm:
• Firewall là cơ chế bảo vệ nhằm ngăn chặn sự truy nhập không hợp lệ từ
mạng bên ngoài (Internet) vào mạng bên trong ( mạng nội bộ).
Mạng đã được
quản trị
Internet
công cộng
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
2. Chức năng chính của Firewall.
• Kiểm soát luồng thông tin giữa mạng nội bộ và Internet.
• Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng Internet.
Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong mạng nội bộ .
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
3. Phân loại
• Hệ thống firewall thường bao gồm cả phần cứng và phần mềm.
a. Đặc điểm của Firewall cứng:
- Là những firewall được tích hợp trên Router
- Cho phép hiển thị các địa chỉ IP đang kết nối qua nó.
Nhược điểm
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc
như firewall mềm)
+ Ví dụ : NAT (Network Address Translate).
b. Đặc điểm của Firewall mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
4. Thành phần
a. Packet filtering (Bộ lọc gói tin): là hệ thống firewall cho phép chuyển thông tin
giữa hệ thống trong và ngoài mạng có kiểm soát.
Đặc điểm
• Cho phép kiểm soát được kết nối vào máy chủ
• Khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
• Kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng
nội bộ thông qua các cổng TCP tương ứng.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
b. Application-gateway: là hệ thống firewall thực hiện các kết nối thay cho
các kết nối trực tiếp từ máy khách yêu cầu.
Đặc điểm:
• Tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những giao thức
được cho phép truy cập vào hệ thống mạng.
• Cơ chế hoạt động của nó dựa trên mô hình Proxy Service.
Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của
Application gateway cung cấp một khả năng an toàn và uyển chuyển hơn,
đặc biệt khi kiểm soát các truy cập từ bên ngoài.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
III. Giới thiệu ISA 2006
1.Khái niệm
ISA- Internet Security and Acceleration ( Bảo mật và tăng tốc Internet)
Internet Microsoft ISA Server 2006 là một Enterprise Firewall, ISA cung cấp một
tường lửa linh hoạt, có hiệu quả, và dễ sử dụng để bảo vệ an toàn cho các hệ
thống thông tin được sử dụng phổ biến của hãng phần mềm Microsoft
2. Các phiên bản của ISA server 2006
• Standard : ISA Server 2006 Standard đáp ứng
nhu cầu bảo vệ và chia sẻ băng thông cho các
công ty có quy mô trung bình.
• Enterprise : ISA Server 2006 Enterprise được
sử dụng trong các mô hình mạng lớn, đáp ứng
nhiều yêu cầu truy xuất của người dùng bên
trong và ngoài hệ thống.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
3.Tính năng
• Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập
firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…
• Unique per-network policies: cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất
của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network
(được xem là vùng DMZ,demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên
ngoài truy xuất vào cácServer trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực
tiếp vào mạng nội bộ.
• Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.
• NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho
mạngcon.
• Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc
mạng,kèm theo một số luật cần thiết cho network templates tương ứng.
• Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa
chodoanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập
accesspolicy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống
khác.
• Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như
Authentication, Publish Server, giới hạn một số traffic.
• Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm
tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting
qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ
thống thông qua kỹ thuật gởi thông báo qua E-mail,
• Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA
Server 2004, không giống như packet filtering firewall truyền thống, ISA 2006 có
thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số
đặc điểm nổi bậc của ALF:
- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP.
- Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,…
- Có thể giới hạn HTTP download.
- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập.
- Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).
- Điều khiển một số phương thức truy xuất của HTTP.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
4.Cài đặt ISA
• Yêu cầu
Máy ISA phải có ít nhất 2 card mạng, một card nối với mạng bên trong (Internal) và
card mang còn lại nối ra Internet (External)
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• Cho đĩa ISA server 2006
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
Chọn Card mang nào trực tiếp nối vào LAN OK
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
5. Mô hình ISA thường gặp
a. Edge Firewall
• Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn
chế.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• 3-Leg Perimeter
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• 3. Front/Back Firewall
• M
MM
Mô
ôô
ô h
hh
hì
ìì
ình n
nh nnh n
nh nà
àà
ày tuy l
y tuy ly tuy l
y tuy là
àà
à c
cc
có
óó
ó độ an
anan
an to
toto
toà
àà
àn cao nh
n cao nhn cao nh
n cao nhưng
ng ng
ng chi
chi chi
chi ph
phph
phí
íí
í đầu t
u tu t
u tư cho n
cho ncho n
cho nó
óó
ó l
ll
là
àà
à r
rr
rất t
t tt t
t tốn k
n kn k
n ké
éé
ém
mm
m
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
6.PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS
1. SecureNAT client
• là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến
ra Internet thông qua ISA Server 2006 firewall
•
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
2. Web Proxy client
2. Web Proxy client2. Web Proxy client
2. Web Proxy client là máy tính có trình duyệt internet (vd:Internet
Explorer, fire fox) được cấu hình dùng ISA Server 2006 firewall như
một Web Proxy server của nó
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• 3. Firewall client là máy tính có cài Firewall client software.