Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.83 MB, 460 trang )
MỤC LỤC
LỜI CẢM ƠN
!"#$%&''(')*+
#,-""#%./%0%
""1234'%567289%(,:5.%;<
%.='%..)'>9' ,?
.=-23/%5.523/9'
'23@1<9,A+='<9#"
@1B6",C=!'D%./'5'9EE
%<9#" !,
C'%%'FGHI6/J(/K
!L,'%MNO.<9" . P2
L
Q(6-C%.R.2
$( 61""5 '!LA2I/ 0%S-//T
L,'';@U'PN%5(E >%5
"5 ,:.R=' S6'@9%(
"",
:5O*"%;6%.#%MN-$O2,:$
VWE"@26O (@XYZ[\\]^/
GKJAKA4_`:A_a,ACJ,:5
%;%$"/%.'9#"Kb>-%0ccI
%$",CcI EO 4#"-%0@1
-cI %5cI .5 S%$--E %7
2< "%5cI > M" cI %
' R-#:$VWE"@26O (@
XYZ[\\]^68 !/cI .%;<
9%5c=%!0S " ,
:$VWE"@26O (@XYZ
[\\]^' S%$ cI )E %7"=L,CcI E
4#"-%0cI S%$-6&=",
CcI RE 4#""d`eM
%(9C:$CYaZCfb,ga,ACJ/QF "=U/
8h4%E"%0-2FR-68
i P;cI %$@@4,
[
*!%$/cI 252N<.
/I - #"-O ,CcI R- %.
.#"-%5c%$cI %;4,
JS'#</cI E 4#"%0ccI
%$",
CcI cj2NI%#"-%5.5U@!@7@("6O
cI e<9.=S%9,
a,ACJ/j[/"\kd [\\
:A_O`a,ACJlUe=m
AC:n`hC
Y%$
KJAJYYGCC\o\[
KA4_JYYGCC\o\]
p
TÓM TẮT CỦA BÁO CÁO
:$6VWE"@526O (@
XYZ[\\]^q 64G
Chương I:Tổng quan về xây dựng và triễn khai bảo mật mạng hệ thống.
C4"D%$%# *+6O (-3#
R$ r" *O8 (@R
!6O &*-@%.'4j$2F
46OsIT''/X?Y/ZL
Chương II: Các khái niệm cơ bản về Firewall và Proxy Server.sIT''
a"'%8F*+E"@6O (@,
-"sIT''a"YII'">#. !6O E
C4XXD' t2 /E'(/jd/ UR# *
+sIT''a"YII !6O (@
,
Chương III: Triễn khai hệ thống Firewall trên ISA Server 2006. :E"'
4+E *+-%56VWE"@2
6O (@XYZ[\\]^,C4XXXD
!O6O XYZYII[\\]"#46O
267%#%r# $ XYZ[\\]''I46O6O
*O8 (@L%.'-!?Y/?ACa/E-? ,
@/E"@ 'S6S')#*+
''(S6S/6/U@82L!
/R %r-! J'fIYII[\\o24
Juv'2[\\ow 'w ,
g
MỞ ĐẦU
""/)2+2F/C
%0 S;6/.%0%S> S#"
i %jO=''(E2j*+-'
S*> ' S@9C
/.%0c9O%9>/$6(/9/j2NI,
/C*"%8 S@
/.c@7 67 S.6O
,
QO @-*+/=!'D%./I +%$
GVWE"@526O (@XYZ[\\]^,:E"
'%$>e9/.-*+%>
@"/.c=I 292x
4',K SwE+/2j$6O (
@6&=6OER@4 !'
,
:$"/I %0>7 SB-R
O,*!/I .y#"/6(%5
%$ SE7-,f EO 4.yE!
6(,
YG
KA4_
KJA
k
TỔNG QUAN
A/ Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp, đây là hướng
nghiên cứu của các chuyên gia Việt Nam về vấn đề bảo mật an ninh mạng:
JS%$%'("'>';< >%I@+6O d d
' S%25/'< >%I@+6O ('('U"
%&/56%&!,
<S-D '(-$';/%$%.2-
$2z 0%S4/R$&j4#
'! U%=@"-'5'( 0%S,
*O'y6O@2N >%I@+6O '"
( Sj{2'%>> (/E--'%S
E,2!%I@+6O XII'U"%&j
%#"5 +/!@9i<E>'O%5
.%; S>6O C#G
|C=*O'y68%#>GC=%5 /6O*"$/*O'y*O8
68%#>6"d,
|C6O j(G*O'y<6O68%#>
j;l$'(2mD-j(>9,
|C >%I@+6O "4GC >%I@+6O XII
""-9d7/%MN@
O@U66O $4 S=d@%4#,
"/9%E".$4%4O*O$=i 6O
@2N'( 0%S/,
Bảo mật thiết bị đầu cuối
?( (@"" eS(68%#
>"#.%S6O 4,""68%#>%.M
]
*+6e@9"e@%S4/2
d"4+2.<O6O@,?
P68%#>' S(#N/#.>25 "
(/9'w/4j 0.@<'46O>-
@<',
"!@3Nl?mO*"<#$6O
68%#>}Q#*+- +#.
68%#>'G
|hOd6O @@(<2y~>>"TI,
|hOd>"{lXIImi E=
j@UR"$ (/9%.d3<
(%S%9,
|hOd25 j@U68G3><(%S Sj@U
"68U5."4'2@6(,
R#Oc+-%$%wlI 'mi dr
>%I@+3 ,C=d=;M>>
/R$'+S@%$i @ U<"
#%#6OI ',
Bảo vệ đa lớp với sự kết hợp hợp lý
CO=;%qF2 =2'@
`2B$ r=6O*"$"=*O8/ M yF' S
U;-*O>'( >%I@+6O /O 59
>,<O"9'<.O@
-O S/@@w@U.2Od6O<O*y
@# $ 0%S/"/%q9{2
U.@<'R> "=rOO +r
>>,
o
:$*+'O52<O6O 2;<j
d# S*O/%q9O'y$!%I@+6O
",?! 2 <.O6O .=;U6O
68%#>/6O 72U>,_O6O
%'"DcO 5</%q9c@
"E i<*+O@ !%;6O
,<O"R#O%;24=
$$O2/6q O%$68@%S,A4
</ S2=(2 @R'E '-%$
=S6S/ 2e%#'=@8UI '@U,
?)i!%I@+6O '6%&%#"1""5 /#
?%$-(O9'1$2%#O6O ,
:SRC68@O/I@t$< >%I
@+6O -De" N2%;%S.,
/$?"".O6O 2j(/2%;
>. 9(%S+,
952O=;/%'/@.5O
=$6O ,O6O •%'/
?.5'(6N*"! R*O'y<-#6
>6O C !,CO6O =;DcO &
=e<+ S*O/.2Od8'P>4i >'(
< >%I@+6O " "d,JSO
@/@w@U/ '(d2Od6OD{
@2 %;9$/>=j*O8%>
*!%r/52*O'y,.. '(/4M%'
'4M>-,
€
B/ Vấn đề bảo mật hệ thống dưới góc nhìn của các chuyên gia an ninh
mạng quốc tế thì “Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp”
d [\\/6O '%#@,"/Y" I
3=j6>2*Oj#$(6O @
d [\\/I%.g[•&j-%$6O ' S<
%#,
VVấn đề bảo mật thông tin ngày nay trở nên phức tạp hơn bao giờ hết. Nếu triển khai
một giải pháp bảo mật toàn diện cho phép bảo vệ h( tầng và thông tin trong doanh
nghiệp, thực thi các chính sách CNTT và giúp quản lý các hệ thống hiệu quả hơn, thì
các doanh nghiệp có thể đẩy mạnh lợi thế cạnh tranh của họ trong thế giới thông tin
hiện đại^/s@IY‚/a.8-U OQO @
(Y" I%8,
I"j$6O (%0%8/6O ' >
*E '-%>@#,g[•@
('-%$*E '-+/4O<-%$2
O +/26>2;25S( "$>,
j"/C"c+$4-%$6O @
,
QO @"ej(@-$">2,
j-/6O @>$E'/<'F68O
e$-6e">"'6O (l gg•m/6O 68%#
>l gg•m/6O 7l pƒ•m,
j/@%j@U<2/4j
26O e2.2d46S#,<2/4
j %;6SCl*%5 $6O m'e('-6
q G(#'@8Ulinfrastructure-as-a-servicem/$O'@8Ulplatform-as-
ƒ
a-servicem/ O . "/O . 68%# >/ # $ ' @8 U
lsoftware-as-a-servicem,
„>>)/ECR' S Uj*+,JS
@9DO'+2Oƒ…Cr4-
lu IT2m2/+#%$%52€>ƒ…",
<…C%#q .G…XYv/AXaZZ/Y6I~v'I"/CXY/aCX/
XXK,
Các giải pháp nghiên cứu của các chuyên gia quốc tế khuyên dùng cho doanh
nghiêp
C&j#O6O(#+6i6O 68%#>/
97HI6,/R#6O< "
S6S*+@U4'2U@<'
",C&jR#O.2Od6*/6O i O
*"< >%I@+6O S.,
C*O8C#O6O S%S6i
@U4i 6OO<(
%S4>,†@U46S@lI~
TIm%56O'!2.{6<("O
i e%E/.*"$"%.<%.%R
%;%2N&j6(6i,
C&j#O52=CR%S.
<*"!EC+,E'(<E"@
=@U +2/2.5@U<="
*!*"!%S.%;E"@‡/%$"
2Bc+@(< Mc+27U<>
2O"r'9>2cO",
\
C&j#O*O'y>+6i@U
9%$6O /752-%S'P/%S.
*"!i '(*O>/ R6$
(> !,
C/ Các vấn đề còn tồn động về việc bảo mật mạng doanh nghiệp
Vấn đề bảo mật chưa được quan tâm đúng mức từ doanh nghiệp
C4*/"'N%$E"@> ( "=%5'
/@8ˆ%r69#%E"/>';TI6I4 (/6
=/=%w,,,52,C4*/@‡%#
$B%5E"@5 STI6I4 (/ S96%w/
'(!*r%#%c j-%$6O ,
Quản trị mạng “chậm chân” hơn các hacker
C. SG2I'%*O8 (
@T'@6Ow'P$'P&6O %;,‰'
l@ ~*O8TI6I~&jAZm6GV? @%
2I/@%C'P6O %;S%qC
2I! -"/BM"" S#'2I
%0.57 " 0l@Im2B#q SP.52
$IIl "m ^,2%./;'(/
*O8 (@9=9"'P6O
%;"%5289w'P/222.%5'yO!
2I.5@V ew^%> (" 7V
^(SSO6O \,
@TI6I9%;%r2/E"@6e S
. '!-%8 0l@ImTI6I9>/@
%./'P6O eI".5%;@U@)%52-$
I2,IO62I/S-&6"%;
6iG2ID- STI6" S>"
-%;l4'<TI6m) S "/3%..5-
"TI6) "%.@@,:$%'4/
%E"/2682/2ID@IuIl' 6@(S@%.m
*O8 (6",CM6E"9/682I%S$2O"p
/2e1-"62@l S4!%;2I "
%5%..5*"'(E @@4m1M%.,:$"-"
*O8 (I 2I2'l25 *!(
%S "mI2IIl25 "m P",
D/ Đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với
ISA 2006” tập trung giải quyết các vấn đề sau:
' !O6O XYZYII[\\]
"#46O267%#%r# $ XYZ[\\]''I
46O6O *O8 (@L%.'-!?Y/?ACa/
E-? ,
''I46O6O *O8 (@XYZ
YII[\\]6q G
~ Q2ŠII''I%0.XYZYII[\\],
~ C%r "C'II4YIIZ/HI6a"'I/
sIT''a"C'I
~ (=ES-*O'=.5*"$"
TI6/(=E.5w '"6iv'2
fI@,
~ ''I%5(TI6%;{"R2>
9w@UTI6ES. h@,
[
~ ''IE2%;w@U@8U„C
9' ,
~ '=E2%;"TI6%IR
(6O6- "<TI6B%8,
~ 'E"@ 'S6Si %j"#''(S
6S/6/U@826i%r
-!J'fIYII[\\o24Juv'2[\\o,
~ M<%$2O- 2B{I
S@u'II2"TI6@I,
~ :>E' "/:$VWE"@52
6O (@XYZ[\\]^Da6'
HI6YII/6'Š?aYIIaC'I_IT"%5E
.5"TI6IIŠ?aYII3%5'
%&S6S@,
~ C-!ZI%52.5%@"
II,
p
NGHIÊN CỨU THỰC NGHIỆM HOẶC LÍ THUYẾT
:$VWE"@526O (@XYZ[\\]^/
%;2I !@,
:;;#"eM:("d9C:
$CYaZCfb,g/a,ACJ/%$%;jI4
"=68 (6q G
~J"YIIH@TYII[\\pYa[/%;? ,
~J"XYZH@TYII[\\pYa[/%;E'? 3 "YII
g
~J"C'IH@TWa.5E? r%5"T2I
#,
~ŠIZ?YK?YK~[kg\
~ZIaHŠ]\
~K+,
k
TRÌNH BÀY, ĐÁNH GIÁ BÀN LUẬN VỀ CÁC KẾT QUẢ
Công việc triển khai mô hình mạng bảo mật cho doanh nghiệp dùng ISA
Server 2006 được tiến hành như sau:
Về mặt cài đặt
~J"YII%;H@TYII[\\pYa[%;E'? /@;
@8UHI6YII/J'fIYII[\\o/saYIIŠI I?I2,
~J"XYZH@TYII[\\pYa[%;? "
YII,
~C " C'I H@TWa.5%; E ? r<"
T2,
Về kết nối theo sơ đồ đi dây
~ J" XYZ YII . [@ (G fI' %; > @I q
XII/XI'%;>YT,
~ J"YII "C'I>YT,
~ ZIa%;>J@I ,
Về thiết lập các rule trên ISA
~ '=XII/="II-
*O'y-EwJ'S6SRw
J'II,
~ C-!""3E' "G
a6'Š?a/a6'HI6/aC'I_IT",
Kết quả thực nghiệm
]
~ %;"#%r-!46O S
>YII`C'I`J'XYZYIIsIT''[\\],
~ '%;'IXYZYII[\\]%5%j"#$
*O'=6O @3N,
o
CHƯƠNG 1:TỔNG QUAN VỀ XÂY DỰNG VÀ TRIỂN KHAI BẢO MẬT
MẠNG HỆ THỐNG
1.1 Tầm quan trọng của việc bảo mật mạng.
1.1.1 Nhu cầu thực tế
2 (XII '($4S5(
@3NlYJQm!R''c.' @-"'
##O6O> "=%I@($6O ,
1.1.2 Khảo sát thực tế
I SS2O%;QO "=CYXd [\\p/
.oۥ "=68-* (XIIld [\\\'kĥm,""/
=O<@N-RO -"+#O
(%S2@"/2{I%.$E>#O%O 6O
!",
"/I‰ QT/.82 %>jYJQ
_I/#@2!%c # *+
6O /+9I •c2%%.O'%#2
(%S",
2%;6O%c / P#> (%$e
U-r/%>(/" ='OE
",Jr@)d [\\k.g\•YJQ*O'y (6O
w@UXII$4I>2_I/4 Sw
>+ =26' !68r-,
QO XII.5Oe@!!2
@@,JSS2OCYX:S>E "=
sQXd [\\p-"/>ok•@%;2O%$i+
O8($=3>6O ˆgo•@6.
5%=(6O ˆ[p•6-2O\‹Y?
Pd @%S-,
JS(2-2.%'(2Œ*+%>YJQ/
%.'2O9Ur$>l@T Im(O… @O
j ( %>>6O ,-$9;/@O
( 9x6N "*+/>@I2@E""$'*
>6O ,"O%> r<($ -$@
N1c+"4",
€
1.1.3 Những nền tảng cơ bản
CR$'(!S( 2/%I@($ ("
XII-3S%qN,"NE>"'(23'
(6e=.2$ . S*O/B# SU-
%;' ('"'j-$> "=e U
-*'P&# $ ,<2z%j%iU-
".5'r/6z2# $ r•S•,
rl2ImGa#''<9 5$6O "'y
(XII "=,%E"/ U%=r2%S
"=9 7';/B%5jN"$"2I
•=•,""/ U%="%0@#6 -"%.'%S4
'4G$/)iE/=8,,,h * $2IR-
%@(/"/.5rp@(G R7/ R%I R ,
A2I• R7•9'"6O /<9!
S%qS>'(2I• R%I•,•JR •'U 3
B<r•w7w%I•l3='(3m/<E>.
5"%&IOm,
ŽQz2l2ImGCR-"5 E"('%>@,
<•=•'(9"'6z2# $ /w%&
HI6/%7z=@U/•@<'
ŽSG:.='E"/<9 >.%;
E92%5O 0=M MrUU U%=2,
<%I@(6O 9-"'- (/-E 'yl'
IIIm//E# $ %,<U- (j(
.%S4=8r=9B7 S"r>
"=U5,JU%=2i y%8w%&4e@<'/%7
2OrE/%r4!@ %5{2z%S
.52eS-3=> "=(E,
1.1.4 Phương thức tấn công phổ biến
Ž-@ GK4-%52eS-
" (',
ƒ
Ž-"GK4';@U%5 " (l9''P
r'P&6O m,
Ž-3>@8UGK4- ("-"6i
w S>';'"- "/E";*O/
2 "=25lr2..5m"36,
bO8>#O%%c j%SS-%5
3%.%$6>O6O;'y,
a4•'III•9%;w@U%5%7
("O @,:E"'4-=>j'-'(
-*O$9;,:2B# Sc%('2z-
.5'-"%;j ! >/n(N 2…%5E-
>36SP;2•,
/‘/E >%I@(2.52;)%5(
"4'%> S@,<%I@("9-
S U%8/%;' (! 2 'P&
> "=(E%5E ,‘9%MN4
9@) .5'E" /2E "='(2#ˆc.
2Od*I~ '%5'E" <> "=•2{
•B9/r ='c,I>206O
# $ aIa'/>';%I@(6O %0d3[o,\\\l[\\\m']\,k\\
d [\\p,
1.1.5 Giải pháp
:5O 5(3U-';@U'P&6O /@
#O c*"!~’O*"%5r
dr>%'P&,96%##'O S=
6O 6S0E",C="#
*"%8t*"$FU392c"2•@
,
h%0.=*"%8t/6I#2;6
U%5O 5r =6N-$•4%%#•$6O
",<6".56q 522•%5
[\
dr'( @U(ˆ%(E@U
%5/>=6O %$,
:I@(6O 52%5O 5c'.*
,:56O %MNO.6*"
!w'y">G
~%%82Œ$=6O
~526O %5-2>/dr"4
*O'y@(/%,,,e<9%5 6S;'y,
~Yw<6O%5 %#>/ "@I2<%I@(%0
%;@(r%;@(,C#yji2. S
6O %4'z'O/ #2;$6
2,
C.-$66O 46O2%MN$$rP'6N,
YJQ.56%4O@@U%5O 96O
@ !,YJQ".5' UN2O!+=
68- ;'(@'("#O6O !"
46i52<(%Sdr/@U@52,
[
1.2 Mô hình bảo mật cho một hệ thống bất kì:
1.2.1 Thành lập một nhóm chuyên giám sát sự an toàn của hệ thống:
. ". U25 /62892><"
4"5 .5E">/(<%>,
. "M. U! 5%O/46O
>,C>)/ U. "'j%5"%&
(%S%5E*OR=>,2%
6$6O /O'9%; +!>DO",
:525 j%S"2{ >/0"67%#<-%$.5
@1%S-> (/"4-36
lXIIm,A0"w@U46O 66i SO… S0.
@/.5-#%5'; j6O (
>268-3XII,Y25 "2B6q 25
'P&/ Mq OE=39w@U/>%;2>
6ia/ (E=$S‡.,
JS<cy =*+-'25 "4-
36,:E"='%5 ->%> (,
S>w@U46O 6l-@8U
I '/HI6m/I4%.ci/2O6S"4-
%$%3XII,-'6O I/> (O
%;6O3=<9w@Ua9@)2(
(D3&"%#>'6S4",
C46O 6Rc*O'y6O >%;>
4,Qi25 6S(%S>/4=6O
%;E"@/*!w'y/46O 6-
S42O2•'x( e jE4/
[[
=6q O 0 2…@)UE=>%5
25 =4=$=6O 4',
1.2.2 Thẩm định tính rủi ro của hệ thống:
h … %8 = >/ 0" w @U j G
=“_8ŽJj%S'P&ŽhOd -,
:5'-"%;2*O6%#l8/6$46O
/=6O mp> r9%;%$,
Y%./67%# S>ENG
~C46O R>.%;%$t-%66O
}
~h*O346O 6.%q6S=6O
>2},
~C. U#w'(46O 2%;Bt=
6O 2}
~A>6O D -@UO-}
~_8/! =-}"468--}
CEO'9-!@E=$6S=
6O A>,C.'D/*+%;'-"*!2;
825 =4j,I8/.5! -"O
O%;6S"#/6(.5( S@*E $'P
&6O ,
1.2.3 Xây dựng giải pháp:
2q(O,h. S/ S'
.5-%; +'P&>R2.O-
.5-%U#,C>11'w@U2;
O/O… i (46O %d/%#,
1.2.4 Firewall:
[p
WI {'+ SO… uIT'';'y%(%S)
;=6O >' S<%#*
!6O >,sIT''.5'O#jr# $ r
2;O, UuIT'''dr-
*+>/25 >,'+
uIT''=; S>2O'@@,CuIT''%$US
S 9/-! (/j@UU5,hI {'+ S
uIT''/#! 5jduIT''/=d'+%8B/
.,,,
1.2.5 Hệ thống kiểm tra xâm nhập mạng (IDS):
JSuIT''%;+'>B2..5'+(2Od25
.2c%*.,%E"R='4 >X?YS,
I uIT'' S%d/!!.5=X?Y S>%$
25'q>O2,JSX?Y/2'*
%$25%./ .B. UE=
. uIT''{%*/! 2 @--%06l@-
-='%( 0%0%;6 ="5 >m
2525 "dr6euIT'',X?Y4j6O%i
uIT''/-j#%5%O 6O77
uIT''(%S*O,
1.2.6 Hệ thống kiểm tra xâm nhập dựa theo vùng (H-IDS):
K+/w@U S>25 E "
@$%$ 9j@U,JS jd%#"%
A~X?Y.5-6%$%rI96-2Œ"%&
"@%S6"6,.' S<>
-%5O 5&4>,! 2 > P;%;
[g
#%$%;I S<%r%5 = P
A~X?Y,
1.2.7 Hệ thống kiểm tra xâm nhập dựa theo ứng dụng (App-IDS):
Y>';Z~X?Y-89"$,CU"
E=%3 Sj@UU5"*"
j@U%.,'cc. U%=U5/c.5- j6O
d'I3 Oj@UU5,h%;2; SA~X?Y/c
%O 6OiE S "DO 5,JSZ~X?Y%;
I SjdP;6O >/ r@)2%c S>
9;%r6,
1.2.8 Phần mềm Anti-Virus (AV)
a# $ Z%;6S "( lT2m/ "
lIIm/>P;@8U#<4j@<'*+,
A-%$*+-%5I {2%r"# SO-Z*O
'y$ " "( ( 6S>'2Od-
%..%>.%;%I@(3 "2/.9"25
6Ou'I 2m,
1.2.9 Mạng riêng ảo (VPN)
w@Ua%5-""
>3"4' 2 j6O /*O-
*!"$' d*O(%S,"/
2.%$!2%2” ,Q-2Œ(9%5 2 Sa%;
'/#O eS( 25 6O >6Sc
%;2>a,
:5%O 6O j6O >"/9w@UO%#"
%=6O >,:$".5%;*w
@U@1O-$@8Ua(j@U.5
[k
