Giáo trình Xây dựng hệ thống firewall gồm các nội dung chính như: Giới thiệu Firewall; Tăng cường bảo mật cho thiết bị; Triển khai hệ thống Firewall; Giới thiệu về Forefront Threat Managerment Gateway (TMG). Mời các bạn cùng tham khảo.
GIỚI THIỆU FIREWALL
Mô hình triển khai
1 Mô hình Bastion Host:
Bastion Host Firewall là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào, đồng thời là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài nên dễ bị tấn công nhất Để tăng cường bảo mật biên, có hai dạng máy phòng thủ phổ biến được triển khai: một dạng là Bastion Host hoạt động như cửa ngõ an toàn tại biên mạng nhằm kiểm soát và lọc lưu lượng giữa các mạng, và dạng kia là máy phòng thủ ở cấp ứng dụng hoặc gateway firewall, tập trung bảo vệ các dịch vụ quan trọng và ngăn chặn các cuộc tấn công ở lớp ứng dụng Việc áp dụng đúng hai dạng máy phòng thủ này giúp giảm thiểu rủi ro xâm nhập và nâng cao an toàn cho toàn bộ hạ tầng CNTT.
Máy phòng thủ có hai card mạng, một nối với mạng nội bộ và một nối với mạng Internet bên ngoài Đây là dạng tường lửa cổ điển yêu cầu người dùng ở mạng nội bộ phải kết nối qua tường lửa trước khi làm việc với mạng bên ngoài Nhờ cơ chế này, tường lửa có thể cô lập mạng nội bộ khỏi mạng Internet bằng các máy phòng thủ (host), nhưng nó cũng tạo ra sự thiếu tự nhiên trong việc kết nối giữa người dùng nội bộ và mạng bên ngoài.
Dạng thứ hai của cơ cấu phòng thủ là một máy phòng thủ có một card mạng được nối trực tiếp tới một hệ riêng biệt trên mạng – gateway mức ứng dụng Gateway này cung cấp kiểm soát vào ra, giúp quản lý lưu lượng giữa mạng nội bộ và Internet Bộ định tuyến (router) trong cấu hình này đảm nhận nhiều chức năng: nó không chỉ định hướng các gói đến hệ nội bộ, mà còn quyết định cho phép hoặc không cho phép các hệ thống nội bộ kết nối với Internet Kiến trúc screening subnet bổ sung thêm một tầng an toàn để tách mạng nội bộ với Internet Lý do để làm việc này là nhằm tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.
2 Mô hình Back-End Firewall:
A back-end firewall features one NIC connected to the external interface and another NIC connected to the internal network Its core function is to monitor and control traffic coming from external sources and the Internet into the internal network, providing security, access control, and protection for internal resources.
3 Mô hình 3-leg (Three-homed)
To implement this security architecture, you need a device with three network interface cards (NICs) One NIC connects to the external network, another connects to the DMZ, and the remaining NIC links to the internal network This arrangement is why the setup is often described as a three-legged firewall, delivering segmented protection across the external, DMZ, and internal networks for improved network security.
Trong kiến trúc mạng, 3-legged firewall (3‑legged firewall) có nhiệm vụ kiểm soát toàn bộ lưu lượng giữa ba mạng: internal, external và DMZ, và 'chân' của firewall là một NIC kết nối trực tiếp với các mạng này Thiết kế này khiến firewall trở thành điểm chịu lỗi duy nhất cho toàn bộ hệ thống mạng; mọi sự cố với nó sẽ làm DMZ và mạng internal không còn được bảo vệ Tuy nhiên, ưu điểm là không phải chi thêm chi phí mua một firewall thứ hai.
Các thành phần cơ bản của Firewall
- Là chức năng chính của Firewall, điều khiển truy cập mạng bằng phân tích các gói tin đi vào/ đi ra
- Thành phần quan trọng trong bảo mật ở mạng vành đai (Perimeter Security)
- Ưu điểm: Không làm tốn băng thông
- Packets bao gồm 2 loại nội dung chính:
Thông tin điều khiển (Header), dữ liệu (Data)
Header của gói tin được dùng để quyết định cho phép hay cấm gói tin đi qua firewall dựa trên các yếu tố cổng (Port), địa chỉ IP và giao thức (Protocol) Các thiết bị hỗ trợ Packet Filtering sẽ phân tích header và áp dụng các quy tắc lọc nhằm kiểm soát luồng dữ liệu, ngăn chặn các gói tin độc hại hoặc không mong muốn dựa trên Port, IP address và Protocol, từ đó tăng cường an ninh mạng.
- Router: Packet Filter ngăn chặn các traffic xâm nhập trái phép
- Hệ điều hành: Windows và Linux xây dựng sẵn công cụ thực thi Packet Filtering trên chồng giao thức TCP/IP
Ví dụ: ZoneAlarm, Check Point Firewall – 1 đều hỗ trợ packet filtering b Các loại Packet Filtering
+ Xem nội dung trong header của packet và quyết định cho phép hoặc loại bỏ packet đó
+ Cấm traffic từ một subnet
- Stateful Packet Filtering (Stateful Inspection): duy trì trạng thái của kết nối trong khi thực thi tất cả chức năng của Stateful Packet Filtering
- Không quan tâm đến kết nối đã được thiết lập hay không
- Kỹ thuật này thường dùng khi muốn ngăn cấm hoàn toàn một traffic xác định
- Cấu hình Stateful Packet Filtering dựa trên:
- Duy trì bảng trạng thái của các kết nối hiện tại
- Kiểm tra tính hợp lệ của gói tin trên cơ sở bảng trạng thái và các luật
- Cho phép các Packets trên cơ sở các Packets mới trước đây đã được chấp nhận
2 Proxy Server (Application Proxy, Application-level Gateway)
Theo dõi và làm việc trên dữ liệu của gói tin IP, hệ thống chặn tất cả các yêu cầu hướng tới server thực sự và cố gắng xử lý yêu cầu của client thông qua một lớp trung gian như proxy hoặc gateway Nguyên lý hoạt động của cơ chế này là phân tích tiêu đề và nội dung gói tin IP để nhận diện các kết nối hợp lệ hoặc đáng ngờ, áp dụng lọc lưu lượng và ngăn chặn các yêu cầu độc hại, sau đó chuyển các yêu cầu được chặn hoặc hợp lệ qua lớp trung gian để xử lý và ghi nhận Việc này nhằm tăng cường an ninh mạng, giảm thiểu rủi ro từ lưu lượng tấn công và tối ưu hóa hiệu suất hệ thống bằng cách cân bằng tải, theo dõi và phân tích dữ liệu để cải thiện liên tục.
Proxy là thành phần mạng chịu trách nhiệm chặn các yêu cầu từ các máy tính trong mạng nội bộ (internal network) và chuyển tiếp những yêu cầu này tới máy tính đích trên mạng Internet, đồng thời quản lý và kiểm soát lưu lượng truy cập để tăng bảo mật và ẩn danh người dùng Nó đóng vai trò làm trung gian giữa mạng nội bộ và Internet, giúp tối ưu hóa băng thông và cải thiện hiệu suất truy cập cho hệ thống CNTT Phân loại proxy dựa trên chức năng và cách thức hoạt động, bao gồm các loại phổ biến như proxy ngụy trang, forward proxy và reverse proxy, mỗi loại có mục đích sử dụng riêng và tác động khác nhau tới an ninh, truy cập và quản lý tài nguyên mạng Hiểu rõ các loại proxy (phân loại) giúp doanh nghiệp chọn giải pháp phù hợp để kiểm soát truy cập, tăng cường bảo mật và tối ưu hóa hiệu suất mạng.
- Dạng kết nối trực tiếp: Người dùng Client gửi yêu cầu trực tiếp tới Proxy Server để thực thi và trả kết quả về Client
- Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client tại máy của họ Khi có nhu cầu giao tiếp với Internet Server, Proxy Client gửi tới Proxy Server
Transparent Proxy là một loại Proxy phát triển gần đây, sự kết hợp giữa Gateway và Proxy Server Các gói tin đi vào Gateway sẽ tự động được chuyển hướng đến Proxy Server, nơi Proxy Server giao tiếp với Internet Server để thực thi các yêu cầu Vai trò của Proxy bao gồm làm cầu nối giữa người dùng và Internet, kiểm soát và tối ưu lưu lượng truy cập, đồng thời tăng cường bảo mật bằng cách ẩn danh và kiểm tra nội dung trước khi gửi đến máy chủ đích.
- Che dấu các máy nội bộ khỏi các người dùng bên ngoài muốn tìm cách truy cập vào các máy bên trong mạng nội bộ
- Block URL: Ngăn chặn các người dùng truy cập các website có nội dung không hợp lệ được thiết lập bởi người quản trị
- Block và Filter Content: Kiểm tra nội dung của gói tin và ngăn chặn nếu nội dung độc hại d Ứng dụng của Proxy Server:
Chia sẻ Internet và bảo mật cho mạng nội bộ là giải pháp sử dụng máy có kết nối Internet (Proxy Server) để thực thi các yêu cầu giao tiếp Internet từ các Proxy Client gửi đến và trả kết quả về Client sau khi xử lý xong; giải pháp này cho phép quản lý và chia sẻ Internet cho toàn bộ mạng nội bộ một cách có kiểm soát, đồng thời tăng cường an toàn bằng cách lọc, giám sát và ghi nhận lưu lượng truy cập qua Proxy Server; nhờ đó, mạng doanh nghiệp sẽ được bảo vệ trước rủi ro từ Internet, tối ưu hóa hiệu suất truy cập và đảm bảo tuân thủ các yêu cầu bảo mật và quản trị mạng.
3 Authentication System: a Nguyên lý hoạt động:
Xác thực trong môi trường máy tính được sử dụng ở nhiều ngữ cảnh khác nhau: xác thực tên đăng nhập và mật khẩu trước khi cho phép người dùng thao tác trên hệ thống máy tính (xác thực của hệ điều hành); xác thực trước khi cho phép người dùng kiểm tra hộp thư điện tử (xác thực của máy chủ mail); trong giao dịch ngân hàng, thủ tục xác thực được dùng để xác định người ra lệnh thanh toán có phải là chủ tài khoản hay không; và trong trao đổi thông tin, thủ tục xác thực nhằm xác định chính xác nguồn gốc của thông tin.
Trong các hệ thống xác thực qua mạng, một số triển khai mã hóa tên đăng nhập và mật khẩu trước khi truyền để tránh lộ thông tin, nhưng vẫn có nhiều hệ thống gửi dữ liệu nhạy cảm ở dạng cleartext (ví dụ FTP, Telnet) Vai trò của xác thực là chứng thực người dùng dựa trên username và password Ứng dụng của xác thực bao gồm xác thực bằng thẻ thông minh (Smartcard), chứng thực số (digital certificate), và các thiết bị nhận dạng sinh trắc học (biometric devices) Để tăng độ tin cậy của cơ chế xác thực, nhiều kỹ thuật được kết hợp với nhau gọi là multi-factor authentication, ví dụ xác thực bằng thẻ thông minh kèm mật khẩu, nghĩa là người dùng vừa có thẻ vừa biết mật khẩu để đăng nhập và tránh việc lấy cắp thẻ của người khác.
4 Network Address Translation (NAT): a Nguyên lý hoạt động:
Chuyển đổi địa chỉ trong header gói tin trong khi được vẫn chuyển ngang qua thiết bị b Vai trò:
- Chia sẻ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN
- NAT như một Firewall, nó giúp che dấu tất cả IP bên trong LAN với thế giới bên ngoài bằng public IP
- Tính linh hoạt và sự dễ dàng trong việc quản lý
Giảm chi phí thiết lập một mô hình mạng là lợi ích nổi bật khi áp dụng giải pháp này Ứng dụng phổ biến của giải pháp là trong các mạng sử dụng địa chỉ cục bộ và có nhu cầu truy cập tới mạng công cộng (Internet).
III NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL
Tạo các Rule để quản lý việc truy xuất mạng trong hệ thống Giám sát hoạt động của hệ thống đảm bảo an toàn cho hệ thống
- Firewall đáp ứng các yêu cầu an toàn dữ liệu
- Firewall bảo vệ chống lại những sự tấn công từ bên ngoài:
+ Giả mạo địa chỉ IP
+ Từ chối dịch vụ (Deny ò Service)
Hardware firewalls are security solutions that are embedded in routers or deployed as dedicated hardware firewall appliances from vendors such as Cisco ASA, Cisco PIX, Check Point, Nokia, Juniper, Crossbeam, FortiGate, Virgo, and other similar devices These hardware-based firewalls typically offer higher performance and reliability than software firewalls on general-purpose servers and are designed to protect network perimeters with specialized hardware acceleration.
Firewall mềm là những phần mềm Firewall được cài đặt trên Server như ZoneAlarm, Norton Firewall, ISA Server, Winroute
1 Giới thiệu các mô hình triển khai hệ thống có Firewall?
2 Các thành phần cơ bản của Firewall?
3 Nêu nguyên tắc hoạt động của Firewall?
4 Phân biệt Stateful và Staless Packet Filtering?
5 Nêu vai trò của Proxy và ứng dụng của Proxy vào thực tế như thế nào?
Các loại Firewall
Trong bài viết này, chúng tôi trình bày cách tăng cường bảo mật cho thiết bị, phân tích các loại tấn công vào hệ thống mạng và đề xuất các biện pháp phòng chống nhằm ngăn chặn các cuộc tấn công mạng, từ việc cải thiện cấu hình bảo mật thiết bị đến quản trị và giám sát an ninh mạng, giúp nâng cao mức độ an toàn cho hệ thống.
- Nhận biết các nguy cơ bị tấn công của hệ thống mạng
- Giải thích được các bước để hack một hệ thống mạng
- Trình bày được các loại tấn công vào hệ thống mạng
- Cấu hình giảm nguy cơ bị tấn công mạng trên Cisco Router
- Thực hiện các thao tác an toàn với máy tính
I CÁC LOẠI TẤN CÔNG VÀO HỆ THỐNG MẠNG
1 Trình bày các loại tấn công vào hệ thống mạng a Minimal Intelligence:
Khám phá trái phép và lập bản đồ của các hệ thống, dịch vụ hoặc các lỗ hổng
Thu thập thông tin và trong hầu hết trường hợp, đứng trước một cuộc tấn công truy cập hay Dos
Các cuộc tấn công Reconnaissance có thể bao gồm:
+ Một Packet sniffers là phần mềm ứng dụng sử dụng card mạng trong chế độ promiscuous để bắt những tất cả các gói tin trong mạng
+ Khai thác thông tin dạng Plaintext, các giao thức sử dụng Plaintext như: Telnet, FTP, SNMP, POP và HTTP
+ Phải nằm trên cùng một colision domain
+ Có thể sử dụng hợp pháp hoặc được thiết kế đặc biệt để tấn công
- Port scans và Ping sweeps:
+ Một hacker sử dụng các công cụ để scan các port và ping quét dò xét qua Internet.
TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ
Cấu hình bảo mật
1 Cấu hình AutoSecure với SDM (Security Device Manager)
- SDM là một trình thuật giao diện đồ họa điều khiển cấu hình Cisco Router một cách đơn giản
- SDM cũng cho phép cấu hình tường lửa trên Cisco Router khá hiệu quả thông qua Cisco IOS Firewall
SDM tích hợp tính năng Security Audit Wizard để thực hiện quy trình kiểm soát an ninh trên Cisco Router, ghi nhận và đánh giá các lỗ hổng bảo mật, từ đó giúp người quản trị nhanh chóng xác định và triển khai các biện pháp khắc phục hiệu quả.
- SDM còn có thể thực hiện hầu như tất cả các cấu hình mà AutoSecure cung cấp với tính năng One-Step Lockdown
2 Cấu hình Router Passwords:
Cisco IOS cung cấp các tính năng bảo mật nâng cao cho mật khẩu nhằm tăng độ an toàn cho hệ thống Các tính năng nổi bật gồm thiết lập chiều dài mật khẩu tối thiểu, mã hóa mật khẩu và cơ chế chứng thực người dùng để xác thực danh tính Việc áp dụng chiều dài mật khẩu tối thiểu giúp ngăn chặn mật khẩu yếu, trong khi mã hóa mật khẩu bảo vệ thông tin đăng nhập khỏi nguy cơ bị lộ Bên cạnh đó, cơ chế chứng thực người dùng đảm bảo chỉ các tài khoản hợp lệ mới có quyền truy cập, từ đó nâng cao bảo mật tổng thể cho thiết bị Cisco IOS.
- Để thiết lập chiều dài tối thiểu của mật khẩu ta thực hiện lệnh dưới đây:
- Ví dụ: Cấu hình cho độ dài mật khẩu yêu cầu tối thiểu là 10
- Mã hóa tất cả các password trong file cấu hình của Router
- Nâng cao tính năng bảo mật router với username và password
3 Cấu hình Banner Message:
- Banner message được sử dụng để cảnh báo những kẻ xấu xâm nhập không được chào đón vào hệ thống mạng của bạn
- Có bốn biến lệnh được sử dụng trong banner message:
+ $hostname): hiển thị tên router
+ $(domain): hiển thị domain của router
+ $(line): hiển thị số line vty hay tty
+ $(line-desc): hiển thị mô tả của line vty hay tty
8 Bảo mật tập tin cấu hình:
- Bật tính năng phục hồi Cisco IOS Image:
- Tạo bản sao cho running configuration
- Hiển thị thông tin trạng thái khả năng phục hồi image hay tập tin cấu hình
1 Nêu các loại tấn công vào hệ thống mạng?
2 Nêu cấu hình Router Passwords?
3 Nêu cấu hình AutoSecure với SDM (Security Device Manager)?
4 Nêu thiết lập Login Failure Rate?
5 Nêu thiết lập Multiple Privilege Levels?
1 Thiết lập mô hình như hình vẽ và cấu hình định tuyến RIPv2 để tất cả các PC và Server ping thấy nhau
2 Cấu hình secret password để bảo mật tất cả các router
3 Cấu hình chứng thực Local AAA khi truy cập cổng console trên R1
4 Cấu hình chứng thực Local AAA khi truy cập telnet từ xa đến R1
5 Cấu hình ACL để chặn tất cả các truy cập từ xa đến R1, R2 và R3 ngoại trừ PC-C
TRIỂN KHAI HỆ THỐNG FIREWALL … … … … … … … 2 0 I Giới thiệu Cisco IOS Firewall
Cấu hình Cisco IOS Firewall
1 Cấu hình Basic Firewall
- Cấu hình Basic Firewall Interface
- Triển khai cấu hình Basic Firewall Interface
- Reviewing the Basic Firewall for the Originating Traffic
- Reviewing the Basic Firewall for the Originating Traffic
- Kiểm tra kết quả cấu hình Basic Firewall Inspection Rule
- Kiểm tra kết quả cấu hình Basic Firewall ACL
- Kiểm tra kết quả cấu hình Basic Firewall Interface
2 Cấu hình Interfaces trên Advanced Firewall
- Cấu hình Advanced Firewall Interface
- Cấu hình vùng DMZ trên Advanced Firewall
- Cấu hình vùng DMZ trên Advanced Firewall
- Advanced Firewall DMZ Service Configuration: TCP
- Advanced Firewall DMZ Service Configuration: UDP
1 Nêu tổng quan về Cisco IOS Firewall ?
2 Nêu phân loại Cisco IOS Firewall ?
3 Nêu các bước cấu hình Basic Firewall Interface ?
4 Nêu các bước câu hình Advanced Firewall Interface ?
Company A’s network architecture, shown in the diagram, relies on multiple Layer 3 routing devices To enhance security across the Layer 3 network, the company requires using Auto Secure to configure a Context-Based Access Control (CBAC) firewall and employing SDM to configure Zone-Based Policy Firewall (ZBF) policies, including ZBF, ZPF, and ZFW.
Bảng hoạch định địa chỉ IP :
1 Cấu hình hostname theo sơ đồ
2 Cấu hình địa chỉ IP trên từng cổng của router theo bảng hoạch định địa chỉ IP
3 Cấu hình tắt chức năng phân giải tên miền
4 Cấu hình định tuyến trên 3 router sử dụng giao thức định tuyến động EIGRP
6 Sử dụng phần mềm Nmap trên PC-A và PC-C.
GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT
Triển khai cài đặt TMG
1 Cài đặt TMG a Mô hình b Chuẩn bị
- Cho đĩa cài ForeFront TMG và chương trình sẽ hiện bảng Autorun Chọn Run splash.hta
Khi cài ForeFront TMG, giao diện cài đặt sẽ hiện ra; nếu chưa cập nhật các bản vá lỗi mới của Windows, hãy chọn Run Windows Update Quá trình cập nhật có thể mất vài phút, tùy thuộc vào tốc độ mạng và tài nguyên hệ thống.
To begin the installation, click the Run Preparation Tool on the Welcome screen On the Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG) page, as shown in the illustration, click Next to proceed with the setup.
When the License Agreement window appears, read the Microsoft Software License Terms, select I Accept The Terms In The License Agreement, and click Next On the next screen, the available options will be shown.
Installing Forefront TMG Services and Management installs the essential components needed to operate as a Forefront TMG firewall or proxy, and it also includes the management console for administration This option provides the complete setup required for secure network protection, giving you centralized control over firewall and proxy configurations through an intuitive management interface.
Install Forefront TMG Management Only tùy chọn này chỉ cài đặt thành phần yêu cầu quản lý từ xa TMG
Enterprise Management Server (EMS) for centralized array management Tùy chọn này cài đặt các thành phần cần thiết để hoạt động như Enterprise
Management Server là vai trò quản trị bắt buộc trong hệ thống, với ít nhất một máy chủ được cài đặt để có thể tạo ra và tham gia các mảng doanh nghiệp Thành phần này không cần thiết cho một mảng độc lập.
- Bây giờ, chọn Install Forefront TMG Services and Management Nhấn Next
The installation preparation is currently underway, and during this setup phase, the following roles will be installed: Active Directory Lightweight Directory Services (AD LDS) and Network Policy Server (NPS).
- Quá trình chuẩn bị đã được thực hiện thành công và từ cửa sổ này,
Check vào ô Launch Forefront TMG Installation Wizard để khởi động giao diện cài đặt Forefront -> Finish
- Giao diện cài đặt (Wizard) của Forefront TMG xuất hiện -> click Next
- Chọn I accept the term of License Agreements
- Có thể chọn để lại tên người dùng và tổ chức, nhưng bạn phải nhập
“Product Serial Number” trước khi có thể tiếp tục Click Next
- Trên trang Installation Path, chọn vị trí muốn cài đặt TMG Click Next
- Chọn Add để add thêm IP của mạng trong (Internal Network)
- Chọn card nối với hệ thống LAN ở đây là card Internal
- Wizard thông báo các dịch vụ dưới đây sẽ bị khởi động lại trong quá trình cài đặt
- Chọn Install để bắt đầu quá trình cài đặt
- Quá trình cài đặt đang diễn ra
- Check vào dấu Launch Forefront TMG Mangement when wizard closes
Access Rule là cơ chế điều khiển lưu lượng gửi ra từ một mạng được bảo vệ bởi tường lửa TMG Khi bạn muốn cho một máy tính nằm phía sau tường lửa TMG truy cập Internet, bạn cần tạo một Access Rule để cho phép kết nối đó Mặc định, không có Access Rule nào được cấp phép, do đó TMG đóng vai trò như một bức tường gạch kiên cố bảo vệ mạng Với trạng thái đóng cửa mặc định an toàn, bạn vẫn có thể cho phép lưu lượng qua TMG bằng cách hiểu rõ cách Access Rule hoạt động và biết cách tạo chúng Để bắt đầu, chúng ta có thể tạo một Access Rule outbound đơn giản để cho phép mọi người dùng truy cập Internet bằng mọi giao thức Trong phần tiếp theo của loạt bài, chúng ta sẽ đi sâu vào các vấn đề chi tiết liên quan đến Access Rules, bao gồm các phụ thuộc và cách điều chỉnh chúng.
Đầu tiên, mở giao diện điều khiển tường lửa TMG và nhấn nút Firewall Policy ở panel trái của giao diện để truy cập các thiết lập bảo mật, như hình minh họa ở bên dưới Đây là bước căn bản giúp bạn quản lý chính sách tường lửa TMG một cách nhanh chóng và hiệu quả.
Khi kích nút Firewall Policy ở panel trái, chúng ta sẽ chuyển sang tab Tasks ở panel phải Tại đây bạn sẽ thấy một số tùy chọn liên quan đến việc tạo các quy tắc tường lửa Trong ví dụ này, chúng ta sẽ tạo một quy tắc cho phép truy cập ra ngoài qua tường lửa Nhấp liên kết Create Access Rule để khởi chạy Access Rule wizard, như được hiển thị trong hình bên dưới.
Trong trang Welcome to the New Access Rule Wizard, hãy đặt tên cho hộp văn bản Access Rule name Bạn nên chọn một tên có ý nghĩa cho Access Rule để dễ quét và hiểu rõ chính sách tường lửa, nêu rõ mục đích của quy tắc Trong ví dụ này, quy tắc được đặt tên All Open 1 Trong môi trường sản xuất, bạn không nên tạo quy tắc như vậy vì nó cho phép tất cả máy tính truy cập Internet, điều này hoàn toàn không phù hợp với an ninh và quản trị mạng ở môi trường sản xuất.
Trên trang Rule Action, bạn có hai tùy chọn cho quy tắc là Allow hoặc Deny Tùy chọn mặc định là Deny, giúp tăng cường bảo mật bằng cách ngăn chặn những hành động không được phép Để biến một quy tắc thành Allow, bạn sẽ đổi trạng thái từ Deny sang Allow và sau đó kích Next để lưu lại thành quy tắc Allow.
Trong trang Protocols, chọn các giao thức mà bạn muốn áp với rule này Trong hộp sổ xuống This rule applies to, bạn có các lựa chọn sau:
- All outbound traffic – Sử dụng tùy chọn nếu bạn muốn áp rule này cho tất cả các giao thức
Selected protocols: Use this option to choose one or more protocols to which you want to apply this rule This option is typically essential for most users, as it lets you tailor the rule to specific protocol traffic.
All outbound traffic except selected is a configurable option that gives you precise control over egress traffic This setting lets you allow or deny all outbound protocols except a chosen subset, enabling you to specify which protocols are permitted and which are blocked By selecting the protocols you trust, you can tighten security, reduce the attack surface, and ensure compliance with your organization's network policies.
Trong trường hợp bạn chọn tùy chọn thứ hai hoặc thứ ba, hãy nhấn nút Add để chọn các giao thức bạn muốn áp dụng rule Sau khi nhấn Add, hộp thoại Add Protocols sẽ xuất hiện Bạn có thể mở một thư mục bên trong hộp thoại để xem danh sách các giao thức được phân nhóm, giúp dễ dàng tìm kiếm những giao thức mà bạn quan tâm Nhóm phát triển tường lửa TMG đã tách các giao thức thành các nhóm để người dùng dễ sử dụng hơn Nhấp đúp vào các giao thức bạn muốn cho phép; chúng sẽ xuất hiện trên trang Protocols trong danh sách Protocols.
Một tùy chọn dành cho khách trên trang này sẽ hiển thị khi bạn nhấp nút Source Ports Thao tác này mở hộp thoại Source Ports, cho phép bạn kiểm soát các cổng nguồn được phép cho các kết nối phù hợp với quy tắc Mặc định là chọn Allow traffic from any allowed source port, có nghĩa là cho phép lưu lượng từ mọi cổng nguồn được cho phép Tuy nhiên, nếu bạn muốn khóa các cổng nguồn, hãy chọn Limit access to traffic from this range of source ports và nhập các giá trị vào các trường From và To để chỉ định rõ các cổng nguồn này.
Chúng ta sẽ không chọn bất cứ cổng nguồn nào lúc này mà sẽ chọn tùy chọn All outbound traffic và sau đó kích Next