Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 473/555
- Mail archiving to a database: cho phép nhận tất cả các inbound và outbound Internet mail để
ta có thể theo dõi hoặc backup tất cả các E-mail này.
- Reporting: Cho phép ta có thể thống kê hiện trạng sử dụng Mail của hệ thống
- Personalized server-based auto replies with tracking number: Cung cấp kỹ thuật tự động
reply message.
- POP3 downloader: Một số Mail Servers như Exchange Server và Lotus Notes, không thể
download mail từ POP3 mailboxes. GFI MailEssentials cung cấp tiện ích này để
có thể chuyển
Mail và phân phối Mail từ POP3 mailboxes tới mailbox server nội bộ.
- Mail monitoring: cung cấp một số cơ chế giúp theo dõi và giám sát hệ thống.

Hình 4.61: GFI MailEssentials.
VIII.2. GFI MailSecurity.
GFI MailEssentials được tổ chức GFI Software Ltd. phát phát triển, GFI MailEssentials tích hợp một
số công cụ bảo mật như: Content checking, Attachment Checking, Virus Scanning Engine, Trojan
and Executables Scanner,….
GFI MailSecurity có thể được cài đặt trong hai mode: the Exchange 2000
VS API mode hoặc SMTP gateway mode. Exchange 2000 VS API được cài đặt và tích hợp chung với
Exchange Server 2000. SMTP gateway mode thường được cài đặt trong mạng ngoại vi (perimeter of the
network) dùng làm mail gateway cho các mail host khác.
- Một số đặc điểm chính của GFI MailSecurity:
- Kiểm tra và lọc nội dung thư (Email Content checking/filtering)
- Cung cấp bộ phân tích nội dung thư (Email exploit detection engine)
- Tự động loại bỏ các HTML Scripts (Automatic removal of HTML scripts)
- Tự động cô lập các virus macros trong các tài liệu về Microsoft Word.
- Cung cấp nhiều cơ chế scanning virus cho hệ thống (Virus checking using multiple virus
engines)

- Trojan Executable scanner.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t

r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w

.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 474/555

Hình 4.62: GFI MailSecurity.
Click to buy NOW!
P
D
F
-
X
C
h

a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!

P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a

c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 475/555
Bài 22
DỊCH VỤ PROXY
Tóm tắt
Lý thuyết 8 tiết - Thực hành 16 tiết
Mục tiêu Các mục chính Bài tập bắt
buộc
Bài tập làm
thêm
Kết thúc bài học này giúp
cho học viên có thể tổ
chức và triển khai một
Proxy Server phục vụ chia
sẻ và quản lý kết nối
Internet của các máy
trạm, đồng thời học viên
cũng có thể xây dựng một
hệ thống Firewall để bảo
vệ hệ thống mạng cục bộ
của mình.

I. Firewall
II. Giới thiệu ISA 2004
III. Đặt điểm của ISA 2004.
IV. Cài đặt ISA 2004.
V. Cấu hình ISA Server
Dựa vào bài
tập môn Dịch
vụ mạng
Windows
2003.
Dựa vào bài
tập môn Dịch
vụ mạng
Windows
2003.

Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V

i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C

h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m

.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 476/555
I. Firewall.
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểm yếu này làm
giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạng LAN thì không có vấn đề gì,
nhưng khi đã kết nối Internet thì phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài
nguyên quý giá - nguồn thông tin - như chế
độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn
cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền, và phương pháp
chống rò rỉ thông tin trên các mạng truyền dữ liệu công cộng (Public Data Communication Network).
I.1. Giới thiệu về Firewall.
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa
hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống
của một số thông tin khác không mong muố
n. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ
giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà
thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với
bộ định tuyến (Router) hoặc có chức năng Router. Về mặt chứ
c năng, firewall có nhiệm vụ:
- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.
- Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network) mới được
quyền lưu thông qua firewall.
- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :
Quản lý xác thực (Authentication): có chức năng ng
ăn cản truy cập trái phép vào hệ thống mạng nội
bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên người

dùng (username) và mật khẩu (password).
Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn
thông tin trên mạng theo từng người, từng nhóm người sử dụng.
Quản lý kiểm toán (Accounting Management): cho phép ghi nh
ận tất cả các sự kiện xảy ra liên quan
đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian
truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung …
I.2. Kiến Trúc Của Firewall.
I.2.1 Kiến trúc Dual-homed host.
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một
máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó
có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là Router
mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với
Internet và bên còn lại nối với mạng nội bộ (
LAN).
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép
users đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ và host
bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-

X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c

o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 477/555

Hình 5.1: Kiến trúc Dual-Home Host.
I.2.2 Kiến trúc Screened Host.
Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch
vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến
trúc này, bảo mật chính là phương pháp Packet Filtering.
Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này,
Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể
kết nối tới.
Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép
kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong
đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao.
Packet filtering cũng cho phép
bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet
filtering trên screening router như sau:
- Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố
định.
- Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch
proxy thông qua bastion host).
- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
- Mộ
t số dịch vụ được phép đi vào trực tiếp qua packet filtering.
- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.

Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy
hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới
được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed host đôi khi cũng có lỗi mà cho
phép các packet
thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết
trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này. Hơn nữa, kiến trúc dual-
homed host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host
bên trong mạng.
Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiế
n trúc
Dual-homed host.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r

w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e


V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.