Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 478/555
So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened
host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có
cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có
một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà
Sceened
subnet trở thành kiến trúc phổ biến nhất.

Hình 5.2: Mô hình Screened host.
I.2.3 Sreened Subnet.
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng
cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan
một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.
Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn:
mạ
ng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion
host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened
router:
Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có
chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gì
outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt
được cài đặt ở mức cần thiết đủ
để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức
cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router.
Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ
mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering
c
ủa toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ,

o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

chúng lưu thông hay ngăn chặn . Các thông số có thể lọc được của một packet như:
- Địa chỉ IP nơi xuất phát (source IP address).
- Địa chỉ IP nơi nhận (destination IP address).
- Cổng TCP nơi xuất phát (source TCP port).
- Cổ
ng TCP nơi nhận (destination TCP port).
Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc truy cập vào hệ thống
mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những
dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng.
I.3.2 Application gateway.
Đây là loại firewall được thiết kế để
tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những
giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hình
Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. Một
ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu
cầu này và chuyển đến Server trên Internet. Khi
Server trên Internet trả lời, Proxy Server sẽ nhận và
chuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế
“đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi
kiểm soát các truy cập từ bên ngoài.
Ví dụ: Một hệ thống mạng có chức năng packet filtering
ngăn chặn các kết nối bằng TELNET vào hệ
thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn kết
nối vào hệ thống bằng TELNET phải qua các bước sau:
Click to buy NOW!
P
D
F
-
X

m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t

- Dùng Modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập Internet.
Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8 Kbps - 36.6 Kbps. Hiện nay đã có Modem
analog tốc độ 56 Kbps nhưng chưa được thử nghiệm nhi
ều. Phương pháp dùng dial-up qua
Modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng dịch vụ Web và E-Mail.
- Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá phổ biến ở một
số nước tiên tiến. Dịch vụ này dùng tín hiệu số trên đường truyền nên không cần Modem analog,
cho phép truyền cả tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao ISDN (đường truyền
d
ẫn thông tin giữa người sử dụng và mạng) có thể đạt tốc độ từ 64 Kbps đến 138,24 Mbps. Dịch
vụ ISDN thích hợp cho các công ty vừa và lớn, yêu cầu băng thông lớn mà việc dùng Modem
analog không đáp ứng được.
Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet hoặc thông
qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng
ISDN phải có bộ phối ghép ISDN
cài trên Server.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V

h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m

- NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng
con.
- Network templates: Cung cấp các mô hình mẫu (network templates) về một s
ố kiến trúc mạng,
kèm theo một số luật cần thiết cho network templates tương ứng.
- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho
doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access
policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác.
- Cung cấ
p một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như
Authentication, Publish Server, giới hạn một số traffic.
- Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng,
giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là Unihomed ISA Firewall), chỉ hỗ
trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng:
- SecureNAT client.
- Firewall Client.
- Server Publishing Rule.
- Remote Access VPN.
- Site-to-Site VPN.
- Multi-networking.
- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.