Tải bản đầy đủ (.doc) (446 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.72 MB, 446 trang )

MỤC LỤC
1
LỜI CẢM ƠN
Trong sự phát triễn của ngành công nghệ thông tin và xu hướng gia nhập thế
giới của Viêt Nam thì yêu cầu về trao đổi thông tin liên lạc là vô cùng quan trọng và
cần thiết. Nhận thấy yêu cầu đó, ngành công nghệ thông tin đã phát triễn và cho đến
ngày nay vẫn không ngừng vươn lên để bắt kịp thời đại. Để có được những thành tựu
đó chính là sự đóng góp vô cùng to lớn của vô số người làm nên. Do công nghệ thông
tin có tính chất kế thừa, để có thể kế thừa và phát triễn, người làm công nghệ thông tin
luôn kế thừa hướng dẫn cho những người sau. Họ chính là những người thầy hướng
dẫn chỉ bày cho thế hệ sinh viên. Chính vì lẽ đó, ta luôn thể hiện lời tri ân chân thành
đến những người thầy của mình.
Công nghệ thông tin luôn phát triễn đa ngành và đa lĩnh vực: Web, Mạng, Lập
trình …. và luôn đòi hỏi phải có những người chuyên môn hóa cho mỗi ngành khác
nhau…
Bên cạnh sự phát triễn bất tận của ngành Công nghệ thông tin đó cũng có khá
nhiều cạm bẫy nguy hiểm luôn rình rập… Hacker, các mã độc tấn công, virus, worm
….luôn lợi dụng vào các lỗ hỏng để phá hoại xâm nhập vào hệ thống để thực hiện các
hành vi nguy hiểm. Đó cũng chính là một bài toán lớn cho doanh nghiệp trong thời đại
ngày nay.
Để giải quyết được bài toán đó cần đòi hỏi rất nhiều giải pháp khác nhau. Đề tài
“Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006”, sinh
viên thực hiện: Lê Minh Hiệu và Lê Hương Giang – ĐH GTVT TP.HCM. Để thực
hiện được đề tài này, đó là nhờ vào thầy Lê Quốc Tuấn đã giúp chúng em thực hiện
thành công đề tài này. Chúng em xin chân thành cảm ơn thầy Tuấn đã hướng dẫn và tư
vấn cho chúng em để chúng em có thể thực hiện một đề tài rất thiết thực và rất tâm đắc
không những cho hôm nay để chúng em tốt nghiệp mà còn cho ngày mai chúng em đi
làm cũng rất cần Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp
với ISA 2006” trang bị cho riêng mình, và chúng em có được những hành trang ra
trường để giúp ích cho gia đình xã hội hôm nay và mai sau.
Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA


2006” là một chủ đề mà chúng em vô cùng tâm đắc và yêu thích ….Chúng em xin chân
thành cám ơn thầy Tuấn đã cho chúng em một đề tài rất bổ ích này.
Chúng em cũng xin chân thành cám ơn thầy Nguyễn Văn Thành –Trưởng phòng
đào tạo Trường CĐ Nghề CNTT iSPACE Q.4 TP.HCM, các Bác sĩ máy tính thực thụ,
các anh chị KTV nơi đây đã tư vấn kĩ thuật cũng như cung cấp các thiết bị thực hành
nhằm hỗ trợ chúng em thực hiện đề tài dễ dàng hơn.
2
Trong quá trình thực hiện đề tài, chúng em không thể tránh khỏi những thiếu sót
chưa hoàn thiện, em rất mong thầy Tuấn thông cảm. Chúng em cũng rất mong sự đóng
góp của thầy Tuấn để giúp đề tài chúng em được hoàn thiện hơn.
Một lần nữa, chúng em xin chân thành cám ơn thầy đã giúp chúng em thực hiện thành
công đề tài thiết thực này.
Chúng em xin chúc sức khỏe đến thầy Tuấn để có thể tiếp tục dìu dắt dạy bảo
chúng em trở thành những người có ích cho cuộc đời.
TP.HCM, Thứ 2, Ngày 10 Tháng 5 Năm 2010
ĐH Giao Thông Vận Tải – TP.HCM (Trụ sở chính)
Hệ Cao Đẳng – Khoa CNTT
Sinh viên thực hiện đề tài
Lê Minh Hiệu MSSV: CNC07021
Lê Hương Giang MSSV: CNC07016
3
TÓM TẮT CỦA BÁO CÁO
Đề tài báo cáo “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp
với ISA 2006” gồm ba chương:
Chương I: Các khái niệm cơ bản về Firewall và Proxy Server. Firewall và
Proxy là hai định nghĩa quan trọng trong việc xây dựng và bảo mạng doanh nghiệp.
Nhận thấy Firewall và Proxy Server là hai yếu tố cần có trong mô hình bảo mât nên
Chương II sẽ làm rõ các khái niệm, phân loại, chức năng, nhiệm vụ cũng như tầm quan
trọng của Firewall và Proxy Server trong mô hình bảo mật mạng doanh nghiệp trên
thực tế.

Chương II: Triễn khai hệ thống Firewall trên ISA Server 2006. Đây là
chương trọng tâm và quan trọng nhất trong để tài báo cáo “Xây dựng và triễn khai việc
bảo mật mạng cho doanh nghiệp với ISA 2006”. Trong Chương III sẽ tập trung vào mô
hình giải pháp bảo mật của ISA Server 2006 và tiến hành thực hiện các yêu cầu cơ bản
trước khi bắt đầu cài đặt phần mềm ISA 2006 và thiết lập rule cơ bản cho việc bảo mật
và quản trị mạng doanh nghiệp… đó là cấu hình DNS, DHCP, nâng cấp Domain.
Trong doanh nghiệp, việc xây dựng mail nội bộ là vô cùng cần thiết và quan trọng
trong việc liên lạc nội bộ, báo cáo, tiến hành các thủ tục giao dịch với khách hàng … vì
thế, ta cũng thực hiện cài đặt và cấu hình Mail Exchange Server 2007 kết hơp
Microsoft Outlook 2007 và tiến hành gửi mail thử nghiệm.
4
MỞ ĐẦU
Ngày nay, cùng với sự phát triễn của khoa học kĩ thuật, ngành Công nghệ thông
tin đã phát triễn một cách vượt bật, nó đã đi vào cuộc sống như một nhu cầu thiết yếu
nhằm đáp ứng sự giải trí thông tin liên lạc nâng cao kiến thức và quan trọng nhất là sự
phát triễn của một quốc gia và vi mô là sự phát triễn của một doanh nghiệp nhờ Công
nghệ thông tin, nó đã giúp con người cải thiện đời sống, tiền bạc, thời gian, sức khỏe.
Trong công nghiệp, Công nghệ thông tin quyết định sự thành công của một doanh
nghiệp, nó giúp doanh nghiệp nắm bắt thông tin một cách nhanh chóng và bảo mật
thông tin.
Bảo mật thông tin trong doanh nghiệp rất quan trọng, chính vì lẽ đó, em chọn đề
tài: “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006”. Đây
là đề tài tốt nghiệp cho sinh viên ở trên ghế nhà trường, nhưng nó rất quan trọng đối
với các doanh nghiệp hiện nay, nó giúp ích cho em khi ra trường không ngỡ ngàng
trước công việc tương lai. Là một cử nhân tin học, kiến thức về bảo mật mạng cho
doanh nghiệp hoàn toàn bổ ích cho bản thân cũng như cho doanh nghiệp nơi mình làm
việc.
Đề tài này, em đã cố gắng hoàn thành một cách hoàn chỉnh nhất cũng như sự
trải nghiệp thực tế. Trong quá trình thực hiện, em mong sự góp ý của thầy, các bạn để
đề tài hoàn thiện một cách sâu sắc nhất. Em xin chân thành cảm ơn sự góp ý chân tình

và các bạn.
Sinh viên thực hiện:
Lê Hương Giang
Lê Minh Hiệu
5
TỔNG QUAN
A/ Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp, đây là hướng
nghiên cứu của các chuyên gia Việt Nam về vấn đề bảo mật an ninh mạng:
Một điều đáng lo ngại hiện nay là số lượng những mối đe dọa bảo mật hàng năm tăng
lên một cách đáng kể, và trên hết là những mối đe dọa bảo mật hiện tại lại liên tục thay
đổi, phát triển và biến đổi hình thái.
Những cuộc tấn công thành công sẽ mang lại rất nhiều lợi nhuận, điều đó khiến xuất
hiện nhiều kẻ viết mã độc hơn, cũng như nhiều tổ chức hơn trong thế giới ngầm thuê
mướn các lập trình viên với mục đích duy nhất là phát triển các loại mã độc.
Việc quản lý và bảo vệ doanh nghiệp tránh khỏi các mối đe dọa bảo mật lớn như vậy
tạo ra một sức ép khá lớn đối với hệ thống mạng, ngân sách và hiệu suất suất lao động
của nhân viên. Trong khi hình thái đe dọa bảo mật Internet liên tục thay đổi và chứa
đầy hiểm họa, thì các doanh nghiệp thường cho rằng những nhân tố sau là rào cản để
có được một hệ thống bảo mật CNTT cần thiết:
+ Chi phí quản lý các thiết bị đầu cuối: Chi phí để mua, bản quyền, quản lý và quản trị
các thiết bị đầu cuối riêng biệt ngày càng tăng.
+ Công nghệ bảo mật phức tạp: Việc quản lý những công nghệ bảo vệ thiết bị đầu cuối
phức hợp (nhiều loại khác nhau) sẽ rất phức tạp và tốn thời gian.
+ Các mối đe dọa bảo mật ngày càng tinh vi hơn: Các mối đe dọa bảo mật Internet
ngày nay rất tinh vi và thường hướng tới ăn cắp thông tin, đòi hỏi các doanh nghiệp
phải áp dụng biện pháp bảo mật nhiều hơn một tính năng diệt virus đơn thuần.
Tuy nhiên, giờ đây có nhiều phương pháp đơn giản và hiệu quả về chi phí nhằm bảo vệ
doanh nghiệp tránh khỏi các loại mã độc, virus và thư rác.
Bảo mật thiết bị đầu cuối
Do phạm vi mạng doanh nghiệp ngày nay càng mở rộng và vô hạn nên các thiết bị đầu

cuối càng yêu cầu có độ bảo mật cao hơn. Ngày nay các thiết bị đầu cuối đóng vai trò
6
quan trọng bởi các doanh nghiệp và con người ngày càng trở nên di động hơn, khiến
tăng nguy cơ rủi ro nếu họ không có những giải pháp bảo vệ toàn diện. Doanh nghiệp
nên coi mỗi thiết bị đầu cuối là một hạ tầng thu nhỏ, cần có hệ thống kiểm soát truy
nhập mạng, tường lửa, phương thức mã hóa dữ liệu và phương pháp bảo vệ chống thất
thoát dữ liệu riêng.
Vậy thì các doanh nghiệp vừa và nhỏ (DNVVN) nên giải quyết những nhu cầu về bảo
mật thiết bị đầu cuối như thế nào? Ba thành phần quan trọng nhất mà họ cần có trong
các thiết bị đầu cuối là:
+ Khả năng bảo mật dựa trên nhận dạng chữ ký - chống virus và chống spyware.
+ Khả năng chống truy nhập trái phép (Intrusion prevention) nhằm phân tích hành vi
của ứng dụng cũng như truyền thông trên mạng, nhờ đó phát hiện và ngăn ngừa những
hoạt động đáng ngờ.
+ Khả năng kiểm soát ứng dụng và thiết bị: từ chối những hoạt động của một ứng dụng
hay thiết bị cụ thể nếu có nguy cơ rủi ro lớn cho công việc kinh doanh của bạn.
Ngoài ra cũng cần phải chú trọng tới vấn đề thư điện tử (email) nhằm ngăn chặn hoàn
toàn các mối đe dọa từ sớm. Các tính năng tích hợp như phòng chống virus và chống
thư rác, cũng như các công nghệ về lọc nội dung đều nằm trong danh mục những yêu
cầu hàng đầu trong bảo vệ email.
Bảo vệ đa lớp với sự kết hợp hợp lý
Các giải pháp tích hợp đồng nghĩa với sự tiết kiệm chi phí khá lớn cho các doanh
nghiệp – không chỉ về mặt phí bản quyền hay phí quản trị, mà còn mang ý nghĩa là một
công cụ hợp nhất hiệu quả chống lại các mối đe dọa bảo mật, giảm thiểu thời gian
ngưng trệ hệ thống. Những giải pháp như vậy thường là những gói giải pháp toàn diện
tất cả trong một, dễ dàng sử dụng và có khả năng bảo vệ những tài sản quý giá của
doanh nghiệp trước các phần mềm mã độc, virus hay thư rác, đồng thời cho phép khôi
phục nhanh chóng các dữ liệu cũng như hệ thống máy tính nếu gặp phải thảm họa hoặc
sự cố hệ thống.
7

Điều quan trọng là phải triển khai những giải pháp bảo mật mà kết hợp những chức
năng cần thiết một cách hiệu quả, đồng thời phải lưu ý về hình thái đe dọa bảo mật hiện
nay. DNVVN nên tìm kiếm những gói giải pháp bảo mật có tích hợp các công cụ bảo
mật thiết bị đầu cuối, bảo mật tin nhắn và công nghệ khôi phục hệ thống. Giải pháp bảo
mật đa lớp này sẽ giúp giảm thiểu những rủi ro, đồng thời giúp doanh nghiệp hoàn toàn
yên tâm rằng những thông tin quan trọng và tài sản doanh nghiệp của mình được bảo
vệ an toàn. Những giải pháp như vậy cũng cần phải được thiết kế sao cho tương thích
với nhiều nền tảng khác nhau, bao gồm cả các hệ điều hành cho thiết bị di động. Hơn
nữa, một khía cạnh khác mà các doanh nghiệp cũng nên lưu tâm tới là vấn đề thực thi
các chính sách nội bộ, mà khởi đầu là chính sách với dịch vụ email thông dụng.
Dù rằng hình thái đe dọa bảo mật luôn biến đổi đầy rẫy nguy hiểm, nhưng hầu hết các
DNVVN đều rất hạn chế cả thời gian lẫn tiền của khi đầu tư vào các giải pháp bảo mật.
Đội ngũ CNTT thực sự bị dàn trải, và việc theo dõi cập nhật thông tin về những mối đe
dọa bảo mật mới nhất sẽ trở nên ngày càng mệt mỏi nếu không được tự động hóa. Trên
thực tế, nhiều DNVVN ngày nay có các giải pháp bảo mật khá phức tạp, không được
tối ưu hóa cho môi trường hoạt động của họ.
Nhờ triển khai các giải pháp tích hợp, đa lớp, các doanh nghiệp có thể giảm chi
phí vận hành và các rủi ro về bảo mật. Với giải pháp bảo mật toàn vẹn và đa lớp,
DNVVN có thể loại bỏ quy trình mua cũng như quản lý những cấu phần riêng biệt cho
hệ thống bảo mật CNTT của mình. Các giải pháp bảo mật tích hợp sẽ giúp giảm tổng
chi phí sở hữu cho họ một cách hiệu quả, có khả năng chịu lỗi tốt hơn nhằm chống lại
với những mối đe dọa bảo mật trực tuyến mới và ngày càng gia tăng. Một giải pháp
toàn diện, dễ sử dụng, mang lại hiệu năng cao và khả năng bảo vệ vô song sẽ cho phép
các doanh nghiệp tiết kiệm được thời gian và tiền của, tốn ít công sức quản trị đối với
các quá trình cài đặt, triển khai và quản lý. Nói tóm lại, phương pháp phòng thủ đa lớp
là phương pháp phòng thủ tốt nhất.
8
B/ Vấn đề bảo mật hệ thống dưới góc nhìn của các chuyên gia an ninh
mạng quốc tế thì “Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp”
Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp. Thực vậy, Symantec

vừa chính thức công bố kết quả nghiên cứu toàn cầu về hiện trạng bảo mật doanh
nghiệp năm 2010, theo đó 42% tổ chức coi vấn đề bảo mật là một trong những ưu tiên
hàng đầu.
“ !"
#$%&'(&ạ)(%
&*+$,-$.//(01 23$&4& 1 *5
$%&6!7289:;
&”, Francis deSouza, Phó chủ tịch cao cấp phụ trách mảng Bảo mật doanh
nghiệp tại Symantec nhận định.
Theo các chuyên gia nghiên cứu về bảo mật mạng đã nhận định, bảo mật là mối
quan tâm lớn nhất đối với các doanh nghiệp trên toàn cầu. 42% các doanh nghiệp coi
các rủi ro an ninh mạng là vấn đề quan tâm lớn nhất của họ, hơn cả những vấn đề khác
như thảm họa thiên nhiên, khủng bố và kết hợp với kiểu tội phạm truyền thống. Với
nhận thức như vậy, CNTT ngày càng chú trọng nhiều hơn vào vấn đề bảo mật doanh
nghiệp.
Bảo mật trong doanh nghiệp ngày càng trở nên phức tạp do rất nhiều yếu tố khác nhau.
Thứ nhất, bảo mật trong doanh nghiệp thiếu thốn về nhân lực, những lĩnh vực bị ảnh
hưởng nhiều nhất bởi yếu tố này là bảo mật mạng (chiếm 44%), bảo mật thiết bị đầu
cuối (chiếm 44%), và bảo mật tin nhắn (chiếm 39%).
Thứ hai, các doanh nghiệp hiện đang ứng dụng những sáng kiến, phương thức
mới khiến cho việc bảo mật trở nên khó khăn hơn bội phần. Những sáng kiến, phương
thức mới được bộ phận CNTT (trên quan điểm về bảo mật) cho là trở ngại lớn nhất bao
gồm: hạ tầng là dịch vụ (<-  =>->>-=(=), nền tảng là dịch vụ (2<>->
9
>-=(=), ảo hóa máy chủ, ảo hóa thiết bị đầu cuối, và phần mềm là dịch vụ
(-<?=>->>-=(=).
Yếu tố cuối cùng, tuân thủ CNTT cũng là một nhiệm vụ hết sức quan trọng. Một
doanh nghiệp thông thường sẽ phải lựa chọn khoảng 19 chuẩn CNTT hoặc cơ cấu
(framework) khác nhau, và họ hầu hết đều đang triển khai 8 trong số 19 chuẩn này.
Những chuẩn CNTT hàng đầu gồm có: chuẩn ISO, HIPAA, Sarbanes-Oxley, CIS, PCI,

và ITIL.
Các giải pháp nghiên cứu của các chuyên gia quốc tế khuyên dùng cho doanh
nghiêp
Các tổ chức cần phải bảo vệ hạ tầng của họ bằng cách bảo mật các thiết bị đầu cuối,
môi trường tin nhắn và Web. Ngoài ra, cũng cần ưu tiên cho việc bảo vệ những máy
chủ nội bộ quan trọng và áp dụng phương pháp sao lưu và khôi phục dữ liệu của công
ty. Các tổ chức cũng cần phải có khả năng bao quát, bảo mật thông minh nhằm giải
quyết những mối đe dọa bảo mật một cách nhanh chóng.
Các nhà quản trị CNTT cần phải bảo vệ thông tin một cách chủ động bằng cách áp
dụng phương pháp tiếp cận hướng thông tin nhằm bảo vệ cả thông tin và những hoạt
động tương tác tới hệ thống. Ứng dụng phương pháp nhận biết nội dung (content-
aware) để bảo vệ thông tin là chìa khóa cho phép nhận biết những thông tin nhạy cảm
nằm ở đâu, ai có quyền truy nhập vào thông tin đó và những thông tin đó đến cũng như
được đưa ra khỏi tổ chức của bạn bằng cách nào.
Các tổ chức cần phải triển khai và thực thi các chính sách CNTT cũng như tự động hóa
những quy trình tuân thủ CNTT của họ. Với việc phân loại những rủi ro và xây dựng
chính sách áp dụng trên mọi khu vực, khách hàng có thể áp dụng những chính sách này
thông qua trình tự công việc và quy trình tự động hóa được xây dựng sẵn, điều này
không chỉ giúp họ nhận dạng ra những rủi ro mà còn giúp họ khắc phục những sự cố
khi xảy ra hoặc lường trước các sự cố trước khi chúng xảy ra.
10
Các tổ chức cần phải quản lý các hệ thống của họ bằng cách áp dụng các môi
trường hệ điều hành bảo mật, sắp xếp và triển khai các cấp độ vá lỗi, tự động hóa các
quy trình nhằm mang lại hiệu quả thông suốt, và giám sát cũng như báo cáo về hiện
trạng hệ thống của mình.
C/ Các vấn đề còn tồn động về việc bảo mật mạng doanh nghiệp
Vấn đề bảo mật chưa được quan tâm đúng mức từ doanh nghiệp
Các cơ quan, công ty lớn nhỏ đều xây dựng hệ thống mạng máy tính để làm
việc, giao dịch; đặc biệt trong thời gian gần đây, số lượng các website thương mại, báo
chí, chính phủ điện tử phát triển khá nhanh. Các cơ quan, doanh nghiệp sẵn sàng đầu

tư tiền tỉ để xây dựng và phát triển một website thương mại, một tờ báo điện tử, nhưng
lại vô tình quên hoặc đầu tư chưa đúng mức cho vấn đề bảo mật.
Quản trị mạng “chậm chân” hơn các hacker
Có một thực tế: các hacker luôn đi trước các quản trị mạng trong việc cập nhật thông
tin và download các bản sửa lỗi về các lỗ hổng bảo mật mới được phát hiện. Jal
(admin-quản trị website- của tổ chức HVA) cho biết: “ Do tham gia vào các diễn đàn
hacker, diễn đàn CNTT thế giới nên các lỗi bảo mật được cộng đồng CNTT và giới
hacker trên thế giới tìm thấy, chỉ trong vòng vài ngày hay một tuần là các hacker Việt
Nam đã có thể nắm trong tay mã (code) khai thác và chỉ cần ngồi một chỗ có thể khai
thác thông tin trên nhiều server (máy chủ) Việt Nam”. Trong khi đó, ngược lại, các
quản trị mạng trong nước dường như ít cập nhật thường xuyên các lỗi bảo mật mới
được phát hiện này để kịp thời sửa lỗi , nên không không khó để lý giải vì sao các
hacker có thể ung dung “mở cửa” đi vào hệ thống mạng ngay các trước mắt các “chủ
nhà” tại hai cuộc hội thảo bảo mật trong nước vào tháng 10 và tháng 11.
Ngoài ra do các website trong nước thường được đặt thiết kế, xây dựng bởi một vài
nhóm lập trình viên nhất định nên mã (code) của các website thường giống nhau, do
đó, lỗi bảo mật ở site này có thể được áp dụng dùng để khai thác tấn công với nhiều
11
site khác. Theo cảnh báo của các hacker, các cuộc tấn công phổ biến hiện nay được
thực hiện bằng cách: các hacker sẽ tấn công vào một trang web hay một hệ thống yếu
nhất được host (nơi lưu trữ web) trong cùng một máy chủ, từ đó có thể tấn công vào
máy chủ và các trang web hosting trong cùng máy chủ đó dễ dàng. Điều đáng lo hơn,
trước đây, khi bị hack, các hacker sẽ deface (làm biến dạng nội dung trang đó) nên
quản trị mạng biết ngay. Còn bây giờ, bị hacker đột nhập nhiều khi cả tháng hay 3
tháng sau, khi trở vào vẫn thấy backdoor (một chương trình được hacker cài vào máy
để sau đó có thể quay lại xâm nhập vào dễ dàng hơn) vẫn còn đó. Điều này cho thấy
các quản trị mạng các site Việt Nam không tập trung check log (kiểm tra quá trình hoạt
động của máy) và check server (kiểm tra máy chủ) mỗi ngày.
D/ Đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với
ISA 2006” tập trung giải quyết các vấn đề sau:

Thành lập mô hình giải pháp bảo mật của ISA Server 2006 và tiến hành thực
hiện các yêu cầu cơ bản trước khi bắt đầu cài đặt phần mềm ISA 2006 và thiết lập rule
cơ bản cho việc bảo mật và quản trị mạng doanh nghiệp… đó là cấu hình DNS, DHCP,
nâng cấp Domain.
Thiết lập rule cơ bản cho việc bảo mật và quản trị mạng doanh nghiệp với ISA
Server 2006 bao gồm:
- Thực hiện Backup và Restore các thiết lập rule đã có trong ISA Server 2006.
- Cài đặt máy Client theo các phương pháp Secure NAT, Web Proxy client,
Firewall Proxy Client
- Tạo chính sách cho các nhân viên thuộc cấp quản lí có thể toàn quyền truy
cập web, tạo chính sách cho nhân viên có thể gửi mail yahoo bằng Outlook
Express trong doanh nghiệp.
- Thiết lập rule để giới hạn trang web được phép truy cập cũng như khống chế
thời gian sử dụng web cho nhân viên thuộc nhóm Kinh doanh.
12
- Thiết lập rule cho nhân viên không được sử dụng dịch vụ Yahoo Chat trong
giờ làm việc.
- Thiết lập chính sách cho nhân viên không được truy cập web đen cũng như
tạo bảng thông báo cấm truy cập vào những trang web chỉ định.
- Thiết lập xây dựng mail nội bộ nhằm đáp ứng yêu cầu trong việc liên lạc nội
bộ, báo cáo, tiến hành các thủ tục giao dịch với khách hàng bằng việc cài đặt
và cấu hình Mail Exchange Server 2007 kết hơp Microsoft Outlook 2007.
- Ngoài ra còn thực hiện những điều khoảng cấm khác như chỉ cho phép xem
nội dung các file text khi truy cập webside.
- Đối với nhân viên làm việc ngoài công ty, Đề tài “Xây dựng và triển khai
việc bảo mật mạng cho doanh nghiệp với ISA 2006” sẽ tiến hành Publish
Web Server, publish RDP Server và VPN Client to Gateway để cho nhân
viên có thể truy cập webserver và RDP Server từ xa để thực hiện làm việc
trao đổi với nội bộ doanh nghiệp.
- Cấu hình Accesspint để khách hành có thể đến doanh nghiệp và truy cập

internet.
13
NGHIÊN CỨU THỰC NGHIỆM HOẶC LÍ THUYẾT
Đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006”,
được triễn khai theo mô hình dưới.
Được sự tài trợ của thầy Trưởng phòng Đào tạo Nguyễn Văn Thành Trường CĐ
Nghề CNTT iSPACE Q.4, TP.HCM, đề tài được nghiên cứu theo phương pháp thực
nghiệm trên máy tính và các thiết bị mạng thật bao gồm:
- Máy Server cài Windows Server 2003 SP2, được cài Domain.
- Máy ISA cài Windows Server 2003 SP2, được nâng lên Doman từ máy Server
14
- Máy Client cài trên Windows XP có thể nâng Domain hoặc để nguyên workroup theo
nhu cầu.
- Router ADSL DSL-2540T
- AccessPoint WRT160N
- Laptop học viên.
15
TRÌNH BÀY, ĐÁNH GIÁ BÀN LUẬN VỀ CÁC KẾT QUẢ
Công việc triển khai mô hình mạng bảo mật cho doanh nghiệp dùng ISA
Server 2006 được tiến hành như sau:
Về mặt cài đặt
- Máy Server được cài Windows Server 2003 SP2 vào được nâng lên Domain, dược cài
các dịch vụ Web Server, Mail Exchange Server 2007, FTP Server và Remote Desktop.
- Máy ISA cài Windows Server 2003 SP2 và được nhập Domain chung vào máy
Server.
- Các máy Client cài Windows XP có thể được nâng Domain hoặc giữ nguyên
workroup.
Về kết nối theo sơ đồ đi dây
- Máy ISA Server có 2 card mạng: External được nối ra modem rồi ra
Internet, Internal được nối vào Switch.

- Máy Server và các máy Client nối vào Switch.
- Access Point được nối vào Modem.
Về thiết lập các rule trên ISA
- Thiết lập các chính sách cho ra Internet, chính sách truy cập internet cho cấp
quản lý và cấp nhân viên và việc gửi nhận Mail nội bộ cũng như gửi nhận
Mail ra internet.
- Cấu hình truy cập tài nguyên từ xa cho nhân viên làm việc ngoài công ty:
Publish RDP, Publish Web, VPN Client to Gateway.
Kết quả thực nghiệm
16
- Thực hiện được các yêu cầu cài đặt và cấu hình cơ bản cho một hệ
thống Server – Client – Mail và ISA Server Firewall 2006.
- Thiết lập được các rule ISA Server 2006 để đáp ứng cho các yêu cầu về
quản lí và bảo mật cho doanh nghiệp vừa và nhỏ.
17
CHƯƠNG I CÁC KHÁI NIỆM CƠ BẢN: FIREWALL – PROXY SERVER
1.1.Tìm hiểu về Firewall:
1.1.1 Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ
các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng
(Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall đựơc đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
1.1.2 Phân loại và đặc điểm Firewall
Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:

1.1.2.1 Firewall cứng
- Khái niệm Firewall cứng: Là những firewall được tích hợp trên Router.
- Đặc điểm của Firewall cứng:
+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm)
18
+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport).
+ Firewall cứng không thể kiểm tra được nột dung của gói tin.
- Ví dụ Firewall cứng: NAT (Network Address Translate).
1.1.2.2 Firewall mềm
- Khái niệm Firewall mềm: Là những Firewall được cài đặt trên Server.
- Đặc điểm của Firewall mềm:
+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng).
+ Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ
khóa).
- Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
1.1.3 Vì sao cần Firewall
19
Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các
giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập
và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã
để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn
công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall
có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến.
1.1.4 Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet.
Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng
Internet. Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
1.1.5 Cấu trúc của Firewall
Một FireWall bao gồm một hay nhiều thành phần sau:
Bộ lọc packet (packet- filtering router);
Cổng ứng dụng (Application-level gateway hay proxy server);
Cổng mạch (Circuite level gateway).
- Bộ lọc packet (packet- filtering router):
+Nguyên lý :
20
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall
thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao
thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,
DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket này
những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại
Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ
của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu
mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination
address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi
xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination
port) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomming

interface of packet) Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ
lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị
bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc
mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ
những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có
khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc
chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ
thống mạng cục bộ.
+ Ưu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu
điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được
21
bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với ngư-
ời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
+ Hạn chế:
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp; đòi hỏi ngời
quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header,
và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các
luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm
việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội
dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành
động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
-Cổng ứng dụng (application-level getway):
+ Nguyên lý:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động
của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt
cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy
code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó
không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu

hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp
nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường đợc coi như là một pháo đài (bastion host), bởi vì nó
được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo
an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secure
version) của các phần mềm hệ thống (Operating system). Các version an toàn này được
thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là
đảm bảo sự tích hợp firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần
thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được
22
cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho
các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion
host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một
sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho
mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một
quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối,
khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn
chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều
này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có
vấn để.
+ Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển
được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ t-
ương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác
thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc
filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
+ Hạn chế:

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng
dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên,
cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong
suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh
Telnet.
- Cổng vòng (circuit-Level Gateway):
23
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện
bất kỳ một hành động xử lý hay lọc packet nào.
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng
vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm
tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao
chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài
(outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó
che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một
bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho
những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức t-
ường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy
nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo
vệ mạng nội bộ từ những sự tấn công bên ngoài.
out
out
out
in
in
in

outside host
Inside host
Circuit-level Gateway
1.1.6 Những hạn chế của firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông
số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ
24
một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall
vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy
tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua
nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách
để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn
là giải pháp hữu hiệu được áp dụng rộng rãi.
1.1.7 Nhiệm vụ Firewall
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
-Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:
+ Bảo mât.
+Tính toàn vẹn.
+Tính kịp thời.
- Tài nguyên hệ thống.
- Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
1.1.8 FireWall chống lại những sự tấn công từ bên ngoài
-Tấn công trực tiếp:
Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình
dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ

v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật
khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ
như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.
Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×