I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Please purchase a personal license I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Môn học: quản trị mạng Network Administration QU N TR M NG TRÊN MÔI TRƯ NG WINDOW SERVER I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT CHƯƠNG 6: An toàn m ng b o m t h th ng Firewall ISA 2006 I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I M c tiêu b o m t Nhi m v c a ngư i qu n tr vi c an toàn m ng a Xác nh i tư ng c n b o v • • • Các máy ch cung c p d ch v Web, mail …DNS servers Các router trao i thông tin c p nh t b ng routing Các chương trình ng d ng H qu n tr CSDL b Xác nh l h ng h th ng : t i m truy c p vào h • • • • th ng như: Kết nối mạng Internet Các điểm kết nối từ xa Kết nối đến tổ chức khác Các điểm truy cập không dây I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT c Xác nh m i e d a: • Các hình th c k thu t t n công a d ng: Virus, Trojan Horse, Worm, spam • Th i i m t n cơng khơng bi t trư c • Qui mơ t n công không bi t trư c d Ki m tra bi n pháp an ninh m ng • Bức tường lửa - Firewall • Phần mềm diệt virus • Điều khiển truy nhập • Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…) • Mã hóa liệu • Ý thức người sử dụng • Hệ thống sách bảo mật tự động vá lỗi hệ thống I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT M c ích: Ho t ng c a ngư i qu n tr h th ng m ng ph i m b o: - Các thông tin m ng tin c y s d ng úng m c ích, úng i tư ng - M ng ho t ng n nh, b o v mang kh i virus, worm, trojan, spam … - M ng không b t n công truy nh p trái phép b i nh ng k phá ho i I H C KINH DOANH VÀ CÔNG NGH HÀ N I Các m c GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT b o v m ng GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CÔNG NGH HÀ N I II.Firewall Khái ni m: • Firewall ch b o v nh m ngăn ch n s truy nh p không h p l t m ng bên (Internet) vào m ng bên ( m ng n i b ) M ng ã c qu n tr Internet công c ng I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Ch c c a Firewall • Ki m sốt lu ng thơng tin gi a m ng n i b Internet • Thi t l p ch i u n dịng thơng tin gi a m ng bên m ng Internet C th là: - Cho phép ho c c m nh ng d ch v truy nh p - Cho phép ho c c m nh ng d ch v phép truy nh p vào m ng n i b - Theo dõi lu ng d li u m ng gi a Internet Intranet - Ki m soát a ch truy nh p, c m a ch truy nh p - Ki m soát ngư i s d ng vi c truy nh p c a ngư i s d ng - Ki m sốt n i dung thơng tin thơng tin lưu chuy n m ng GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CƠNG NGH HÀ N I Phân lo i • H th ng firewall thư ng bao g m c ph n c ng ph n m m a c i m c a Firewall c ng: - Là nh ng firewall c tích h p Router - Cho phép hi n th a ch IP ang k t n i qua Như c i m - Firewall c ng không th ki m tra c n t dung c a gói tin - Không c linh ho t Firewall m m: (Không th thêm ch c năng, thêm quy t c firewall m m) + Ví d : NAT (Network Address Translate) b c i m c a Firewall m m: - Tính linh ho t cao: Có th thêm, b t quy t c, ch c - Firewall m m có th ki m tra c n i dung c a gói tin (thơng qua t khóa) + Ví d v Firewall m m: Zone Alarm, Norton Firewall… I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT b Application-gateway: h th ng firewall th c hi n k t n i thay cho k t n i tr c ti p t máy khách yêu c u c i m: • Tăng cư ng ch c ki m soát lo i d ch v d a nh ng giao th c c cho phép truy c p vào h th ng m ng • Cơ ch ho t ng c a d a mơ hình Proxy Service Cơ ch l c c a packet filtering k t h p v i ch “ i di n” c a Application gateway cung c p m t kh an toàn uy n chuy n hơn, c bi t ki m soát truy c p t bên I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT III Gi i thi u ISA 2006 1.Khái ni m ISA- Internet Security and Acceleration ( B o m t tăng t c Internet) Internet Microsoft ISA Server 2006 m t Enterprise Firewall, ISA cung c p m t tư ng l a linh ho t, có hi u qu , d s d ng b o v an tồn cho h th ng thơng tin c s d ng ph bi n c a hãng ph n m m Microsoft Các phiên b n c a ISA server 2006 • Standard : ISA Server 2006 Standard áp ng nhu c u b o v chia s băng thông cho công ty có quy mơ trung bình • Enterprise : ISA Server 2006 Enterprise c s d ng mơ hình m ng l n, áp ng nhi u yêu c u truy xu t c a ngư i dùng bên h th ng GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CƠNG NGH HÀ N I 3.Tính • • • • • • • • Multi-networking: K thu t thi t l p sách truy c p d a a ch m ng, thi t l p firewall l c thông tin d a t ng a ch m ng con,… Unique per-network policies: cho phép b o v h th ng m ng n i b b ng cách gi i h n truy xu t c a Client bên internet, b ng cách t o m t vùng m ng ngo i vi perimeter network ( c xem vùng DMZ,demilitarized zone, ho c screened subnet), ch cho phép Client bên truy xu t vào cácServer m ng ngo i vi, khơng cho phép Client bên ngồi truy xu t tr c ti p vào m ng n i b Stateful inspection of all traffic: Cho phép giám sát t t c lưu lư ng m ng NAT and route network relationships: Cung c p k thu t NAT nh n d li u cho m ngcon Network templates: Cung c p mơ hình m u (network templates) v m t s ki n trúc m ng,kèm theo m t s lu t c n thi t cho network templates tương ng Cung c p m t s c i m m i thi t l p m ng riêng o (VPN network) truy c p t xa chodoanh nghi p giám sát, ghi nh n log, qu n lý session cho t ng VPN Server, thi t l p accesspolicy cho t ng VPN Client, cung c p tính tương thích v i VPN h th ng khác Cung c p m t s k thu t b o m t (security) thi t l p Firewall cho h th ng Authentication, Publish Server, gi i h n m t s traffic Cung c p m t s k thu t cache thông minh (Web cache) làm tăng t c truy xu t m ng, gi m t i cho ng truy n, Web proxy chia s truy xu t Web I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Cung c p m t s tính qu n lý hi u qu như: giám sát lưu lư ng, reporting qua Web, export import c u hình t XML configuration file, qu n lý l i h th ng thông qua k thu t g i thơng báo qua E-mail, • Application Layer Filtering (ALF): m t nh ng i m m nh c a ISA Server 2004, không gi ng packet filtering firewall truy n th ng, ISA 2006 có th thao tác sâu có th l c c thông tin t ng ng d ng M t s c i m n i b c c a ALF: - Cho phép thi t l p b l c HTTP inbound outbound HTTP - Ch n c c lo i t p tin th c thi ch y n n Windows pif, com,… - Có th gi i h n HTTP download - Có th gi i h n truy xu t Web cho t t c Client d a n i dung truy c p - Có th i u ki n truy xu t HTTP d a ch ký (signature) - i u n m t s phương th c truy xu t c a HTTP • I H C KINH DOANH VÀ CÔNG NGH HÀ N I 4.Cài GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT t ISA • Yêu c u Máy ISA ph i có nh t card m ng, m t card n i v i m ng bên (Internal) card mang l i n i Internet (External) I H C KINH DOANH VÀ CƠNG NGH HÀ N I • Cho ĩa ISA server 2006 GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CÔNG NGH HÀ N I Ch n Card mang tr c ti p n i vào LAN OK I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Mơ hình ISA thư ng g p a Edge Firewall • V i mơ hình h th ng v n c b o m t ch t mr th n I H C KINH DOANH VÀ CÔNG NGH HÀ N I • 3-Leg Perimeter GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CÔNG NGH HÀ N I • Front/Back Firewall • nà Mơ hình có tồ phí an tồn cao nh ng chi phí GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT tư ké u t cho r t t n I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT 6.PHÂN LO I VÀ C U HÌNH ISA SERVER CLIENTS SecureNAT client • máy tính c c u hình v i thơng s Default gateway giúp Internet thơng qua ISA Server 2006 firewall • nh n I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT Web Proxy client máy tính có trình duyệt internet (vd:Internet Explorer, fire fox) cấu hình dùng ISA Server 2006 firewall Web Proxy server I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT • Firewall client máy tính có cài Firewall client software I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT C u hình ISA server Rules: • T o Rule cho phép ngư i qu n tr có th cho phép hay c m b t kỳ máy m ng hay toàn b m ng ... khiển truy nhập • Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…) • Mã hóa liệu • Ý thức người sử dụng • Hệ thống sách bảo mật tự động vá lỗi hệ thống I H C KINH DOANH VÀ CÔNG NGH HÀ... KINH DOANH VÀ CÔNG NGH HÀ N I Ch n Card mang tr c ti p n i vào LAN OK I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT I H C KINH DOANH VÀ CÔNG... I H C KINH DOANH VÀ CÔNG NGH HÀ N I GV: Nguy n Minh c c Khoa CNTT GV: Ths.Nguy n Minh NgNg – – KhoaCNTT CHƯƠNG 6: An toàn m ng b o m t h th ng Firewall ISA 2006 I H C KINH DOANH VÀ CÔNG NGH HÀ