Mục đích và yêu cầu• Mục đích Chúng ta sẽ tập trung nghiên cứu các vấn đề sau: – Firewall và các loại firewall nói chung và ISA nói riêng– Chức năng và các thành phần của ISA – Ưu và nh
Trang 1Tường lửa
GVHD : Vũ Trí Dũng
Trang 2Mục đích và yêu cầu
• Mục đích
Chúng ta sẽ tập trung nghiên cứu các vấn đề sau:
– Firewall và các loại firewall nói chung và ISA nói riêng– Chức năng và các thành phần của ISA
– Ưu và nhược điểm của ISA so với các phần mềm khác.– Các giải pháp đặt ISA Firewall
Trang 3Mục đính và yêu cầu
• Kiến thức có được sau đề tài này
– Phân biệt được các loại Firewall
– Tìm hiểu thêm về ISA
– Chức năng,các thành phần và cách sử dụng ISA
– Nắm được ưu và nhược điểm của ISA để xây dựng một
mô hình firewall thích hợp khi thiết kế và xây dựng một
hệ thống mạng an toàn
Trang 4Nội Dung
• Khái quát về firewall
• Giới thiệu về ISA
• Chức năng của ISA
• Hoạt động cơ bản của ISA
• Giao diện chính của ISA
• Cài đặt ISA
• Tạo các rule cơ bản
• Ưu và Nhược điểm của ISA so với phần mềm khác?
• Kết Luận & Tài Liệu Tham Khảo.
Trang 5Khái quát về Firewall
• Bức tường lửa (firewall) là một kỹ thuật được tích hợp vào hệ thống mạng nhằm mục đích:
– Chống lại sự truy cập trái phép từ bên ngoài (External network - Internet) vào mạng nội bộ (Internal network - Intranet) và ngược lại
– Bảo vệ thông tin nội bộ cũng như hạn chế sự xâm nhập không mong muốn vào hệ thống mạng nội bộ
– Hạn chế người dùng truy cập mạng bên ngoài
• Firewall được chia làm hai loại: firewall cứng và firewall mềm.
5
Đề Tài : ISA Firewall
Trang 6Giới thiệu về ISA
– ISA là một firewall tường lửa phát triển bởi Microsoft
– ISA được phát hành lần đầu tiên là phiên bản 2000 sau
đó tiếp tục phát triển Hiện nay là phiên bản ISA 2006
– ISA Firewall nhằm ngăn chặn sự truy nhập không hợp lệ
từ mạng ngoài vào mạng trong
– ISA Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau
Trang 7Chức năng của ISA Firewall
– Kiểm soát luồng thông tin giữa Intranet và Internet
– Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)
Trang 8Hoạt động cơ bản của ISA
• Hoạt động trên tầng mạng và tầng vận chuyển.
• Lọc gói tin dựa trên các luật do người quản trị mạng thiết lập,
dựa trên thông tin Header của gói tin:
– Giao diện packet đến (incomming interface of packet)
– Giao diện packet đi ( outcomming interface of packet)
Trang 9Hoạt động cơ bản của ISA
• Nếu gói tin thỏa mãn luật lọc thì được phép qua, ngược lại
sẽ bị chặn lại
Trang 10Giao diện chính của ISA
-Giao diện quản lý của ISA Server Management console có 3 phần chính:
-Khung bên trái
-Khung bên phải còn được gọi là Tasks Pane chứa các tác vụ đặc biệt như
Publishing Server, Enable VPN Server
Trang 11Cài Đặt ISA Server
-Chạy file autorun trong bộ cài và chọn Install ISA erver 2006.Sau đó click Next Next Next
Đến cửa sổ :
Trang 12Cài Đặt ISA Server
-Xác định giao tiếp mạng với hệ thống mạng nội bộ ,Add/Select Network Adapter
Trang 13Cài Đặt ISA Server
Cung cấp dãy địa chỉ IPtrong mạng nội bộ
Trang 14Cài Đặt cấu hình ISA Client
- Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau: SecureNAT, Firewall Client, Web Proxy Client hoặc cả 3 dạng trên
Địa chỉ của máy ISA server
Trang 15Giới thiệu về Access Rule
• Access Rule điều khiển các truy cập ra bên
ngoài từ1 Network được bảo vệ nằm trong đến
1 Network khác không được bảo vệ nằm ngoài
• ISA Server 2006 quan tâm đến tất cả Networks nằm trong(Internal).còn những Networks được xác định là External thì không được bảo vệ
• Các Networks được bảo vệ:
Trang 16Tạo rule cho phép ra Internet
Nhấn phải Firewall Policy/New/Access Rule
Trang 17Tạo rule cho phép ra Internet
-Đặt tên cho access rule
- Chúng ta chọn Allow
Trang 18Tạo rule cho phép ra Internet
-Xác định những giao thức mà người dùng được
sử dụng như HTTP hay FTP hay All inbound trafic
cho trường hợp cung cấp các kết nối từ bên ngoài
Trang 19Tạo rule cho phép ra Internet
-Hệ thống cần biết đối tượng sử dụng các giao thức trong access rule,nên ta chọn Add trên Access Rule Source và chọn Internal
Trang 20Tạo rule cho phép ra Internet
- Và Access Rule Destination và chọn
External
Trang 21Tạo rule cho phép ra Internet
-Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group
Domain User, Administrator , khi Firewall không thuộc Domain thì hãy sử dụng
local account của Firewall trong Local Users And Groups).
-Sau đó nhấn Apply để hiệu lực firewall policy mới tạo
Trang 22Tạo Rule cho phép mọi User sử dụng
Tạo Access Rule theo các thông số sau:
-Rule Name: Allow Mail (SMTP + POP3)
-Action: Allow
-Protocols: POP3 + SMTP
-Source: Internal
-Destination: External
-User: All User
Các thao tác thực hiện như phần một
Trang 23Cấm truy cập trang web
vnexpress.net
Bước 1: Định nghĩa các trang web muốn cấmBước 2 : Tạo Rule
-Rule Name: Web bi cam -Action: Deny
-Protocols: All Outbound Traffic-Source: Internal
-Destination: URL Set “vnexpress”
-User: All Users
Trang 24Ưu điểm của ISA
• Ưu điểm
– Chi phí thấp (Có sẵn các trong bộ các bộ định tuyến)
– Bộ lọc gói tin là trong suốt đối với người sử dụng và các ứng dụng
– Dễ dàng quản lý.
– Rất nhiều Winzard
– Backup và Restore dễ dàng.
– Log và Report tốt.
– Cho phép uỷ quyền quản trị các user/group
– Firewall rule đa dạng.
Trang 25Nhược điểm của ISA
• Nhược điểm
– Người quản trị mạng cần có hiểu biết chi tiết về các dịch
vụ Internet, kiến trúc của gói tin, và các giá trị số hiệu cổng
– Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển
– Bộ lọc packet không kiểm soát được nội dung thông tin của packet
Trang 26Đề Tài : ISA Firewall 26
Ưu điểm của ISA 2006 & Khuyết
điểm của Window Firewall
Ưu điểm của ISA 2006 Khuyết điểm của Window Firewall
- Bảo mật tốt hơn.
- Bảo mật trong một hệ thống.
- Cho phép uỷ quyền quản trị
cho các User/Group.
- Log và Report tốt hơn.
-Cấu hình ở 1 nơi, chạy ở mọi
nơi.
- Linh hoạt trong việc lọc gói
tin,có thể lọc được nội dung của
- Chỉ chạy trên máy local
- Chỉ lọc những gói tin đơn giản.
Trang 27Đề Tài : ISA Firewall 27
-Chạy kém ổn định
-Firewall mềm thì thường phụ thuộc vào hệ điều hành
Nhược điểm của ISA 2006 & Ưu
điểm của Firewall cứng
Trang 28Đề Tài : ISA Firewall 28
Kết luận & Tài liệu tham khảo
-Kết luận
-Bài viết ban đầu đã nêu được tính năng cơ bản và quan trọng của ISA Server 2006 giúp cho người đọc hiểu được nguyên tắc hoạt động của ISA Server và vai trò của nó trên hệ thống.
-Bên cạnh việc đạt được bài viết cũng có nhiều hạn chế chưa nêu được tất cả tính năng của do ISA Server mang lại.
-Tài liệu tham khảo
+Syngress.Dr.Tom.Shinders.ISA.Server.2006.Migration.Guide Aug.2007
+Sams-microsoft-isa-server-2006-unleashed-dec-2007 +Web site: www.microsoft.com
+Website : www.isaserver.org
Trang 29Đề Tài : ISA Firewall 29
Thank you for listening
Trường Đại Học Công Nghệ Thông Tin
Giải đáp thắc mắc