ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
Please purchase a personal license.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
M«n häc: qu¶n trÞ m¹ng
Network Administration
QUẢN TRỊ MẠNG
TRÊN MÔI TRƯỜNG WINDOW SERVER
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
CHƯƠNG 6:
An toàn mạng và bảo mật hệ thống
Firewall
ISA 2006
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
I. Mục tiêu bảo mật
1. Nhiệm vụ của người quản trị trong việc an toàn mạng
a. Xác định đối tượng cần bảo vệ
• Các máy chủ cung cấp dịch vụ Web, mail …DNS servers
• Các router trao đổi thông tin cập nhật bảng routing
• Các chương trình ứng dụng. Hệ quản trị CSDL

- Mạng hoạt động ổn định, bảo vệ mang khỏi virus, worm, trojan, spam …
- Mạng không bị tấn công và truy nhập trái phép bởi những kẻ phá hoại .
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
3. Các mức độ bảo vệ mạng
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
II.Firewall
1. Khái niệm:
• Firewall là cơ chế bảo vệ nhằm ngăn chặn sự truy nhập không hợp lệ từ
mạng bên ngoài (Internet) vào mạng bên trong ( mạng nội bộ).
Mạng đã được
quản trị
Internet
công cộng
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
2. Chức năng chính của Firewall.
• Kiểm soát luồng thông tin giữa mạng nội bộ và Internet.
• Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng Internet.
Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong mạng nội bộ .
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

• Khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
• Kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng
nội bộ thông qua các cổng TCP tương ứng.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
b. Application-gateway: là hệ thống firewall thực hiện các kết nối thay cho
các kết nối trực tiếp từ máy khách yêu cầu.
Đặc điểm:
• Tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những giao thức
được cho phép truy cập vào hệ thống mạng.
• Cơ chế hoạt động của nó dựa trên mô hình Proxy Service.
 Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của
Application gateway cung cấp một khả năng an toàn và uyển chuyển hơn,
đặc biệt khi kiểm soát các truy cập từ bên ngoài.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
III. Giới thiệu ISA 2006
1.Khái niệm
ISA- Internet Security and Acceleration ( Bảo mật và tăng tốc Internet)
Internet Microsoft ISA Server 2006 là một Enterprise Firewall, ISA cung cấp một
tường lửa linh hoạt, có hiệu quả, và dễ sử dụng để bảo vệ an toàn cho các hệ
thống thông tin được sử dụng phổ biến của hãng phần mềm Microsoft
2. Các phiên bản của ISA server 2006
• Standard : ISA Server 2006 Standard đáp ứng
nhu cầu bảo vệ và chia sẻ băng thông cho các
công ty có quy mô trung bình.

GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting
qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ
thống thông qua kỹ thuật gởi thông báo qua E-mail,
• Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA
Server 2004, không giống như packet filtering firewall truyền thống, ISA 2006 có
thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số
đặc điểm nổi bậc của ALF:
- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP.
- Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,…
- Có thể giới hạn HTTP download.
- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập.
- Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).
- Điều khiển một số phương thức truy xuất của HTTP.
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
4.Cài đặt ISA
• Yêu cầu
Máy ISA phải có ít nhất 2 card mạng, một card nối với mạng bên trong (Internal) và
card mang còn lại nối ra Internet (External)
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• Cho đĩa ISA server 2006
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI

ô h
hh
hì
ìì
ình n
nh nnh n
nh nà
àà
ày tuy l
y tuy ly tuy l
y tuy là
àà
à c
cc
có
óó
ó độ an
anan
an to
toto
toà
àà
àn cao nh
n cao nhn cao nh
n cao nhưng
ng ng
ng chi
chi chi
chi ph
phph

ra Internet thông qua ISA Server 2006 firewall
•
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
2. Web Proxy client
2. Web Proxy client2. Web Proxy client
2. Web Proxy client là máy tính có trình duyệt internet (vd:Internet
Explorer, fire fox) được cấu hình dùng ISA Server 2006 firewall như
một Web Proxy server của nó
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Nguyễn Minh Ngọc – Khoa CNTT
ĐẠI HỌC KINH DOANH VÀ CÔNG NGHỆ HÀ NỘI
GV: Ths.Nguyễn Minh Ngọc – Khoa CNTT
• 3. Firewall client là máy tính có cài Firewall client software.