Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 508/555

Hình 5.32: Cấu hình HTTP policy.
ISA Server Link Translator: Link Translator là một trong những kỹ thuật được xây dựng sẵn trong
ISA firewall Web filter để thực hiện biến đổi địa chỉ URL cho các kết nối của user bên ngoài truy xuất
vào Web publishing nội bộ, Link Translation dictionary được tạo khi ta kích hoạt (enable) link
translation cho Web Publishing Rule. Một số Link Translator dictionary mặc định:
- Bất kỳ sự kiện nào xảy ra trên Web Site
được chỉ định trong Tab To của Web Publishing Rule
được thay thế bằng một tên Web Site (hoặc địa chỉ IP). Ví dụ, nếu ta đặt một luật cho Web
Publishing là chuyển tất cả các incoming request theo địa chỉ của
Client truy xuất vào ISA Server thì sẽ chuyển tới Web Server nội bộ có tên là SERVER1 (có địa
chỉ192.168.1.1), khi đó ISA Server sẽ thay thế tất cả các response của http://SERVER1 thành địa
chỉ
gởi trả lại cho Client bên ngoài.
- Nếu không chỉ định port mặc định trên Web listener, thì port đó sẽ được gởi trả lại cho Client. Ví
dụ, nếu có chỉ định port mặc định trên Web listener thì thông số port sẽ được loại bỏ khi thay thế
địa chỉ URL trong trang trả về (response page). Nếu Web listener lắng nghe (listening) trên port
88 của giao thức TCP thì thông tin trả v
ề cho Web Client có chứa giá trị port 88 của giao thức
TCP.
- Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall thì firewall sẽ thay thế HTTP thành
HTTPS gởi trả về Client.
- Ví dụ: Giả sử ISA firewall publish một site trên máy có tên là SERVER1. ISA firewall publish
site sử dụng tên chính (public name) là www.msfirewall.org/docs. External Web client gởi một
request với thông tin “GET /docs HTTP/1.1Host: www.msfirewall.org” Khi Internet Information
Services (IIS) Server nhận request thì nó sẽ tự
động trả về mã số 302 response với header

r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g

Học phần 3 - Quản trị mạng Microsoft Windows Trang 509/555
- Nếu ISA firewall publish một site sử dụng Web listener không phải trên port mặc định
(nondefault ports) ( ví dụ: 85 cho HTTP và 885 cho SSL),thì địa chỉ URL sẽ được thay đổi như
sau theo các mục ánh xạ địa chỉ URL như sau:
http://SERVER1 > :85
http://SERVER1:80 > :85
https://SERVER1 > :885
https://SERVER1:443 > :885
V.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công.
- Một số phương thức tấn công thông dụng:
Denial-of-Service Attacks: Là kiểu tấn công rất lợi hại, vớ
i kiểu tấn công này ,bạn chỉ cần 1 máy tính
kết nối đến internet là đã có thể thực hiện việc tấn công đối phương. thực chất của DoS là attacker sẽ
chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của
người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động hay bị treo. Attacker làm tràn
ngập hệ thống có thể là bằng tin nh
ắn, tiến trình, hay gửi những yêu cầu đến hệ thống mạng từ đó
buộc hệ thống mạng sẽ sử dụng tất cả thời gian để khứ hồi tin nhắn và yêu cầu. nhiều lúc dẫn đến việc
bị tràn bộ nhớ. Khi sự làm tràn ngập dữ liệu là cách đơn giản và thông thường nhất để phủ nhận dịch
vụ thì 1 attacker không ngoan hơn sẽ có th
ể tắt dịch vụ, định hướng lại và thay thế theo chiều hướng
có lợi cho attacker.
SYN Attack/LAND Attack: bằng cách lợi dụng cơ chế bắt tay đối với một số dịch vụ dựa trên chuẩn
giao thức TCP, Client tấn công theo kiểu SYN attack bằng cách gởi một loạt SYN packets mà có địa
chỉ nguồn giả, điều này Client có thể làm tràn ngập (flooded) hàng
đợi ACK của gói SYN/ACK gởi
cho Client từ Server, đến một lúc nào đó Server sẽ bị quá tải.
Ngoài ra còn có một số phương thức tấn công khác như: Ping of Death, Teardrop, Ping Flood
(ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band
Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan.

o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

Hình 5.34: Phát hiện và ngăn tấn công DNS.
- IP option filtering.
Ta có thể thiết lập một số bộ lọc cho giao thức IP để chống lại một số cơ chế tấn công dựa vào một số
tùy chọn của giao thức này. Để cấu hình ta chọn liên kết Define IP preferences trong nút
Configuration (tham khảo hình 5.35).
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o

r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 511/555

Hình 5.35: IP option filtering.
V.7. Một số công cụ bảo mật.
V.7.1 Download Security.
DownloadSecurity là một công cụ tích hợp với ISA được tổ chức GFI Software LtdGFI phát triển.
DownloadSecurity được thiết kế để tăng cường khả năng kiểm soát và quản lý thông tin download từ

e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F

c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 512/555

Hình 5.36: Download security Web Filter.
Thiết lập một số chính sách kiểm tra download.
Thiết lập chính sách kiểm tra download để giới hạn hoặc cô lập loại file, dung lượng file download,…
để thay đổi luật download mặc định trong hệ thống bằng cách chọn Start | Programs | GFI
DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đôi chuột vào
rule có tên “Default Attachment Download Checking Rule” (tham khảo hình 5.37)
- General Tab: Cho phép lựa chọn một số chế độ cấm download, cấm download các tậ
p tin có
dung lượng lớn hơn dung lượng định nghĩa.
- Actions Tab: Hiệu chỉnh các Action khi cấm như thông báo Mail, quản lý thông báo qua mail, ghi
nhận nhật ký,…
- Users/Folders Tab: Chọn User hoặc thư mục cần thiết để thiết lập luật.

Hình 5.37: Thay đổi thuộc tính của Download checking rule.
Cấu hình kiểm tra Virus, chống Trojans.
Click to buy NOW!
P
D
F
-
X

m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t