Tìm hiểu về ISA Firewall Client
Ngu
ồn : quantrimang.com 
Phần mềm tường lửa máy khách (Firewall client) là một phần mềm được
cài đặt trên các hệ điều hành Windows nhằm cung cấp sự bảo mật và khả
năng truy cập nâng cao. Phần mềm này cung cấp các tính năng nâng cao
dưới đây cho máy khách Windows:

• Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riêng lẻ
cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP

• Cho phép người dùng và thông tin ứ
ng dụng được ghi lại trong file bản ghi của
tường lửa ISA

• Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp có
yêu cầu đến kết nối thứ cấp

• Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính

• Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cần
sự hỗ trợ của bộ lọc ứng dụng

• Cơ sở h
ạ tầng định tuyến mạng là trong suốt đối với tường lửa máy khách

• Cho phép thẩm định dựa trên nhóm người dùng hoặc người dùng riêng biệt đối
với các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP.

Phần mềm Firewall client gửi thông tin người dùng một cách trong suốt đến
tường lửa ISA. Điều này cho phép bạn tạo các nguyên tắc truy cập để áp dụng

cho nhóm hay người dùng riêng lẻ, hạn chế hay cho phép truy cập vào giao
th
ức, trang, hoặc nội dung dựa vào tài khoản người dùng hoặc hội viên nhóm.
Kiểm soát truy cập đi ra của các nhóm hoặc người dùng riêng lẻ là rất quan
trọng. Không phải tất cả người dùng đều yêu cầu các mức truy cập như nhau và
người dùng chỉ nên được phép truy cập vào giao thức, trang và nội dung mà họ
yêu cầu để thực hiện công việc của họ.

Lưu ý


Khái niệm cho phép người dùng chỉ truy cập vào các giao thức, trang và nội
dung mà họ yêu cầu được dựa trên nguyên lý đặc quyền tối thiểu. Nguyên lý đặc
quyền tối thiểu áp dụng cho cả truy cập vào và ra. Với kịch bản truy cập vào, các
nguyên lý Server và Web Publishing cho phép lưu lượng từ các máy mở rộng
đến tài nguyên mạng Internet trong một kiểu cách đã kiểm tra và điều khiển cao.
Những điều như vậy cũng đúng cho truy cập ra. Trong các môi trường mạng
truyền thống, truy cập vào thường bị giới hạn cao hơn trong khi đó người dùng
được cho phép truy cập ra đến bất kỳ tài nguyên nào mà họ mong muốn.
Phương pháp kiểm soát truy cập ra yếu kém này không chỉ gây rủi ro cho mạng
cộng tác mà còn cho cả các mạng khác bởi sâu Internet có thể xâm nhậ
p vào
tường lửa mà không bị hạn chế truy cập ra.

Firewall client tự động gửi các ủy nhiệm người dùng (tên và mật khẩu) đến ISA
firewall. Người dùng phải được đăng nhập với tài khoản người dùng trong cả
miền Windows Active Directory hay NT, hoặc tài khoản người dùng phải được
phản ánh đến ISA firewall. Ví dụ, nếu bạn có một miền Active Directory thì người
dùng phải đăng nhập vào miền, ISA firewall phải là một thành viên của miền. ISA
firewall có thể

thẩm định người dùng và cho phép hoặc hạn chế truy cập dựa
trên ủy nhiệm miền của người dùng.

Nếu không có miền Windows, bạn có thể vẫn sử dụng phần mềm Firewall client
để điều khiển truy cập ra dựa trên nhóm hoặc người dùng đơn lẻ. Trong trường
hợp này, bạn phải phán ánh các tài khoản mà người dùng đăng nhập vào máy
trạm làm việc của họ bằng các tài khoản người dùng được l
ưu trong Security
Account Manager (SAM) nội bộ hoặc trên ISA firewall.

Ví dụ, một doanh nghiệp nhỏ không sử dụng Active Directory, nhưng họ muốn
kiểm soát được truy cập ra tốt dựa trên các hội viên nhóm và người dùng. Người
dùng đăng nhập vào các máy tính của họ bằng tài khoản người dùng nội bộ. Bạn
có thể nhập vào cùng tên người dùng và mật khẩu trong ISA firewall. ISA firewall
sẽ có thể thẩm định người dùng dựa trên cùng thông tin tài khoản sử dụng khi
người dùng đăng nh
ập vào các máy tính cục bộ.

Các máy khách Windows 9x có thể được cấu hình theo ủy nhiệm miền nếu họ
có phần mềm Active Directory đã cài đặt
.

Cho phép thông tin người dùng và ứng dụng được ghi trong các file bản
ghi của ISA 2004 Firewall

Ưu điểm lớn trong việc sử dụng Firewall Client đó là khi tên người dùng được
gửi đến ISA Firewall, thì tên đó được chứa trong các file bản ghi của ISA
Firewall. Điều này cho phép bạn dễ dàng chất vấn các file bản ghi để lấy được
tên người dùng và có được thông tin chính xác về các hoạt động Internet của
người dùng đó.


Trong nội dung này, Firewall client không chỉ cung cấp một mức b
ảo mật cao bởi
cho phép bạn kiểm soát được sự truy cập ra dựa trên tài khoản người dùng và
tài khoản nhóm mà còn cung cấp một mức cao của trách nhiệm giải trình. Người
dùng sẽ ít chia sẻ thông tin tài khoản của họ với các người dùng khác khi họ biết
rằng hoạt động Internet của họ đang bị kiểm tra dựa trên tên tài khoản và họ
phải chịu trách nhiệm cho hành động đó.

Cung cấp khả năng hỗ trợ nâng cao cho các ứng dụng mạng gồm giao
thức phức hợp yêu cầu kết nố
i thứ cấp

Không giống như SecureNAT client cần đến một bộ lọc ứng dụng để hỗ trợ cho
các giao thức phức hợp cần đến kết nối thứ cấp, Firewall client có thể hỗ trợ ảo
các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP mà không quan
tâm đến số kết nối chính hay thứ cấp, không yêu cầu bộ lọc ứng dụng.

ISA Firewall cho phép bạn dễ dàng trong việc c
ấu hình định nghĩa giao thức
(Protocol Definition) phản ánh các kết nối chính hoặc thứ cấp, sau đó tạo các
nguyên tắc truy cập dựa vào định nghĩa giao thức này. Điều này cung cấp một
thuận lợi đáng kể về mặt chi phí tổng cộng của người đầu tư (TCO), bạn cũng
không cần tốn nhiều thời gian và chi phí liên quan đến việc tạo các bộ lọc ứng
dụng tùy chỉnh
để hỗ trợ ứng dụng Internet “off-label”.

Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client

Ngược lại với SecureNAT client, Firewall client không cần phải cấu hình với DNS

server liên quan đến Internet host name. ISA Firewall có thể thực hiện chức
năng “proxy” DNS cho các Firewall client.

Ví dụ, khi một Firewall client gửi một yêu cầu kết nối đến ,
yêu cầu được gửi trực tiếp đến ISA Firewall. ISA firewall xử lý tên của Firewall
client dựa trên các thiết lập DNS trên card giao diện mạng của ISA firewall. ISA
firewall trả l
ại địa chỉ IP cho máy Firewall client, và máy tính Firewall client gửi
yêu cầu FTP đến địa chỉ IP cho trang FTP ftp.microsoft.com.

ISA firewall cũng lưu các kết quả chất vấn DNS mà nó thực hiện cho Firewall
client. Không giống như ISA Server 2000, lưu trữ thông tin trong một chu kỳ mặc
định là 6 giờ, ISA firewall lưu trữ toàn bộ cho một chu kỳ được chỉ rõ bởi TTL
trên bản ghi DNS. Điều này đã làm tăng số lượng tên cho các kết nối Firewall
client đến sau đối với cùng trang. Hình 1 thể hiệ
n chuỗi tên cho Firewall client.

Hình 1: Chuỗi tên Firewall
1. Firewall client gửi một yêu cầu cho ftp.microsoft.com.

2. ISA firewall gửi một chất vấn DNS đến máy chủ DNS bên trong.

3. Máy chủ DNS xử lý tên ftp.microsoft.com với địa chỉ IP của nó và trả về kết
quả cho ISA firewall.

4. ISA firewall trả về địa chỉ IP của ftp.microsoft.com cho Firewall client tạo yêu
cầu.

5. Firewall client gửi một yêu cầu đến địa chỉ IP là ftp.microsoft.com và kết nối
được hoàn tất


6. Máy chủ Internet trả lại các thông tin yêu cầu cho Firewall client thông qua kết
nối Firewall client thực hiện với ISA firewall.

Cơ sở hạ tầng định tuyến mạng trong suốt đối với Firewall Client

Ưu điểm cuối cùng của Firewall client là cơ sở hạ tầng định tuyến ảo trong suốt
của nó đối với Firewall client. Tươ
ng phản với SecureNAT client, phụ thuộc vào
cổng mặc định của nó và các thiết lập cổng trên bộ định tuyến thông qua mạng
cộng tác, máy tính Firewall client chỉ cần biết định tuyến địa chỉ IP trên giao diện
bên trong của ISA 2004 firewall. Máy Firewall client “từ xa” hoặc các yêu cầu gửi
trực tiếp đến địa chỉ IP của ISA firewall. Các bộ định tuyến dùng được dùng để
thực hiện tất cả các tuyến trong mạng cộng tác, do
đó không cần tạo những thay
đổi đối với cơ sở hạ tầng định tuyến để hỗ trợ cho các kết nối Firewall client vào
Internet. Hình 2 mô tả tính “từ xa” của các kết nối trực tiếp đến ISA firewall. Bảng
1 đưa ra một tổng kết về ưu điểm của ứng dụng Firewall client.