Lời mở đầu
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu
chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng
công nghệ thông tin. Bảo mật thông tin không chỉ thuần túy là những công cụ
(Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn
đề.
Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về
CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động
sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ,
và đôi khi nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở,
không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó.
Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu
chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên
bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng
luôn mong muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền
vững” cũng là tất yếu. Khi triển khai một hệ thống thông tin và xây dựng được
cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho
hệ thống thông tin của doanh nghiệp hoặc một tổ chức đó. Và tất cả chúng ta
đều hiểu rằng giá trị thông tin của doanh nghiệp hay doanh nghiệp… Là tài sản
vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm
được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch
với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác
nhau… Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây
không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống
thông tin (PCs, Enterprise Networks, Internet, etc…).
Theo tạp chí computer Economics mỗi năm các cuộc tấn công mạng trên
toàn thế giới gây thiệt hại cho nền kinh tế thế giới hàng tỷ USD có thể kể ra
những nỗi “ám ảnh” của thế giới như vụ bùng phát vius code red năm 2001 chỉ
sau 24h sau khi virus này bắt đầu phát tán 341.015 máy chủ (server) trên toàn
1
thế giới đã bị lây nhiễm, gây thiệt hại vào khoản 2,6 tỷ USD. Tháng 1/2002

firewll cứng, thậm chí có nhưng sản phẩm còn được sử dụng miễn phí. So với
firewall cứng thì firewall mền linh động hơn có thể chạy tốt trên các hệ điều
hành khác nhau và một trong nhưng firewall mền nổi tiếng đó là: ISA,
Zonealarm… Nhưng nổi lên hơn cả đó chính là ISA server ‘Microsoft Internet
Security and Acceleration Server’ là phần mềm chia sẻ Internet của Microsoft.
Có thể nói đây là phần mềm chia sẻ Internet khá hiệu quả, ổn định, dễ cấu
hình, thiết lập tường lửa tốt. Tốc độ nhanh nhờ chế độ cache thông minh, với
tính năng lưu cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và
tính năng Schedule Cache (lập lịch cho tự download thông tin trên các
WebServer lưu vào cache và máy con chỉ cần lấy thông tin trên các WebServer
đó bằng mạng LAN). Nội dung đồ án bao gồm 3 chương:
- Chương I: TỔNG QUAN VỀ ISA SERVER 2004. Nghiên cứu về ISA
server 2004 một các tổng quan. Em đã đưa nhưng lý thuyết mình nắm bắt được,
những nguyên lý vận hành những và hoạt động của ISA server 2004.
- Chương II: THIẾT LẬP FIREWALL VÀ CÁC RULE VỚI ISA server.
Tìm hiểu về tường lửa trong ISA server 2004 nội dung chính của phần này đã
nêu ra cá nhìn tổng quan nhất về tường lửa, và ứng dụng của tường lửa trong
ISA server 2004 và đặc biệt là “rule” trong ISA server được thiết lập và cấu
hình, áp dụng vào thực tế
- Chương III: THIẾT LẬP VÀ CẤU HÌNH VPN VỚI ISA server 2004.
Chương này đã nghiên cứu về VPN trong ISA SERVER 2004. Ở chương này
em đã trình bày 1 cách tổng quan nhất về VPN và đặc biệt là ứng dụng của VPN
được áp dụng trong ISA SERVER 2004.
Mục đích của đồ án là đưa ra một cái nhìn tổng quan về ứng dụng của
phần mền ISA SERVER 2004 trong hệ thống máy tính và bảo mật mạng đồng
thời đưa ra khuyến nghị nhằm hỗ trợ các tổ chức hay các doanh nghiệp trong
qua trình phát triển của công nghệ thông tin hiện nay tăng cường bảo mật chống
lại sự xâm nhập từ bên ngoài cũng như bên trong mạng.
3
Qua quá trình học tập và thực tập tại công ty IDG (tập doàn dữ liệu quốc

- Ngoài ra, ISA server còn cung cấp các tính năng mở rộng như:
+ Multi-Networking: Kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ
mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con.
+ Unique per-network policies: đặc điểm multi-networking được cung cấp trong
ISA server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất
của các client bên ngoài internet, bằng cách tao ra một vùng ngoại vi perimeter
network (được xem là vùng DMZ, demilitazed zone, hoặc sreened subnet), chỉ
5
cho phép các client bên ngoài truy xuất vào các server trên mạng ngoại vi,
không cho phép các client truy xuất trực tiếp vào mạng nội bộ.
+ Stateful inspection of all trafic: cho phép giám sát tất cả lưu lượng mạng.
+ NAT and route network relationships: cung cấp kỹ thuật NAT và định tuyến dữ
liệu cho mạng con.
+ Network templates: cung cấp các mô hình mẫu (network templates) về một số
kiến trúc mạng kèm theo một số luật cần thiết cho network templates tương ứng.
+ VPN network: truy cập từ xa cho doanh nghiệp giám sát , ghi nhận log , quản
lý session cho từng VPN server, thiết lập access policy cho từng VPN client,
cung cấp tính năng tương thích với VPN trên các hệ thống khác.
+ Security: thiết lập firewall cho hệ thống như Authentication, publish server,
giới hạn một số lưu lượng (traffic).
+ Web cache: để tăng tốc độ truy suất mạng, giảm tải cho đường truyền, web
proxy để chia sẻ truy xuất web.
-Cung cấp một số tinh năng quản lý hiệu quả như: giám sát lưu lượng, reporting
qua web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ
thông thông qua kỹ thuật gửi thông báo qua e-mail….
+ Application layer filtering (ALF): là một trong nhưng điểm mạnh của ISA
server 2004, không giống như packet filtering firewall truyền thống, ISA 2004
có thể thao tác sâu hơn như có thể lọc các thông tin trong tầng ưng dụng. Một số
đặc điểm nổi bật của ALF:
 Cho phép thiết lập bộ lọc HTTP inbound và oubound HTTP.

giao tiếp mạng của ISA Server, ISA Server sẽ xem phần mào đầu (header) của
của gói tin (packet) và kiểm tra thông tin (địa chỉ nguồn và đích, và địa chỉ cổng
‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các luật ‘rule’
của firewall, đã định nghĩa gói tin nào ‘packet’ nào được cho phép. Nếu địa chỉ
nguồn và đích được cho phép, và nếu cổng ‘port’ nguồn và đích được cho phép,
gói tin ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và cổng ‘port’
7
không chính xác là những gì được cho phép gói tin sẽ bị loại bỏ bà không được
đi qua firewall.
b. Stateful Filtering (Lọc trạng thái).
Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với gói tin mạng
‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever
dùng một sự xem xét kỹ trạng thái, nó kiểm tra các mào đầu ‘header’ của
Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng
thái của một gói tin ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã
đi qua ISA Server, hoặc bên trong nội dung của một phiên (session) TCP.
Ví dụ, một người dùng ‘user’ trong ‘internal network’ có thể gửi một yêu
cầu ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại yêu cầu
‘request’ đó. Khi gói tin ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông
tin phiên của TCP ‘TCP session’ (là một phần của ‘packet). Firewall sẽ xác định
rằng ‘packet’ thuộc về một phiên ‘session’ đang hoạt động mà đã được khởi tạo
bởi một ‘user’ trong ‘internal network’, vì thế gói tin ‘packet’ được chuyển đến
máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một
máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không
thuộc về một ‘session’ hiện hành đang hoạt động thì gói tin đó sẽ bị loại bỏ.
c. Application-Layer Filtering (Lọc lớp ứng dụng).
ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một
‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra
nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua
firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ

dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng
được ISA Server kiểm soát. ISA Server cũng hoạt động như một‘cachingserver’.
I.2.3. Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật.
Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn
tài nguyên đặc trong mạng nội bộ của tổ chức. Tối thiểu, hầu hết tổ chức đều
muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các
doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web.
9
Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài
nguyên không dựa trên nền Web như DNS Server, hoặc Database Server.
Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet
sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức. Để giảm thiểu các nguy cơ
đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả lưu lượng
‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên
internet chỉ có thể truy cập đến những máy chủ cho phép.
Để cấu hình việc ‘publish’ trong ISA Server, chúng ta cấu hình một
‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ
internet. ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web
publishing rule, secure Web publishing rule, và Server publishing rule.
I.2.4. chức năng VPN.
Ngoài việc cho phép người dùng trên internet được phép truy cập đến các
máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho
người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội
bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn
phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép
mức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual Private
Network – Mạng riêng ảo).
Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng
dùng chung như internet. VPN được bảo mật bằng cách sử dụng chứng thực và
mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung

chức. Phần này sẽ thảo luận đến hầu hết các tình huống thông thường nhất, bao
gồm: làm sao để ISA Server được dùng như một vành đai bảo mật chính yếu
hoặc một firewall thứ hai trong một cấu hình nhiều firewall; và làm thế nào ISA
Server có thể được sử dụng cho cả những tổ chức lớn có văn phòng ở nhiều nơi
và tổ chức nhỏ chỉ cần duy nhất một máy ISA Server.
I.3.1. ISA Server hoạt động như một Internet-edge firewall
Một trong các tình huống triển khai chính của ISA Server 2004 là nó hoạt
động như một Internet-edge firewall. Một Internet-edge firewall được triển khai
tại điểm kết nối giữa Internet và internal network. Trong tình huống này, ISA
11
Server cung cấp các cổng bảo vệ (secure gateway) cho user bên trong mạng ra
internet và một firewall ngăn chặn truy cập trái phép và độc hại vào bên trong
mạng.
Hình 1
ISA Server sẽ được triển khai với một giao tiếp mạng (network interface
card – NIC) kết nối đến internet và một NIC thứ hai kết nối đến internal
network. Trong một vài trường hợp, ISA Server có thể có một NIC thứ ba kết
nối đến perimeter network (DMZ). Trong trường hợp này, xãy ra như sau:
- ISA Server khóa tất cả lưu lượng (traffic) từ internet vào bên trong mạng
tổ chức trừ khi có sự cho phép. Tất cả các thành phần firewall của ISA Server
đều được triển khai, bao gồm lọc lưu lượng đa tầng (multilayered traffic
filtering), lọc ứng dụng (application filtering) và phát hiện xâm nhập. Thêm vào
đó, hệ điều hành trên máy ISA Server phải được bảo vệ chắc chắn để tránh
những sự tấn công nhấm vào hệ điều hành.
- ISA Server được dùng để tạo điều kiện cho một số máy chủ hoặc dịch
vụ trong internal network có khả năng truy cập từ internet. Những sự truy cập
này được cấu hình bằng cách phổ biến (publishing) máy chủ hoặc cấu hình các
luật truy cập (access rule). ISA Server lọc tất cả yêu cầu vào bên trong và chỉ
cho phép những traffic được xác định bởi access rule.
- ISA Server cũng có thể là một điểm truy cập VPN đến internal network.

không thích đặt những máy Exchange Server bên trong perimeter network. ISA
Server cho phép truy cập đến những máy Exchange Server trong internal
network thông qua: sercure OWA publishing, secure SMTP server publishing,
và secure Exchange RPC publishing dành cho các Outlook client.
- ISA Server cũng có thể được dùng để publish các secure Website hoặc
secure Web application. Nếu các Web server được đặt trong internal network,
ISA Server có thể được cấu hình để publish Web server ra internet. Trong
trường hợp này, những bộ lọc ứng dụng nâng cao của ISA Server có thể được
dùng để xem xét tất cả các network traffic được chuyển tiếp đến Web server.
- ISA Server cũng có thể được dùng như một Web proxy và caching
server trong tình huống này. Nếu thế, tất cả client yêu cầu truy cập tài nguyên
trên internet hoặc bên trong perimeter network phải thông qua ISA Server. ISA
Server sẽ có thể áp đặt các chính sách của tổ chức cho việc bảo mật truy cập
internet.
I.3.3. ISA Server hoạt động như một Branch Office Firewall.
Tình huống triển khai thứ ba dành cho một ISA Server là nó đóng vai trò
Branch office firewall. Trong tình huống này, ISA Server có thể được sử dụng
để bảo mật mạng của văn phòng chi nhánh khỏi các sự đe dọa từ bên ngoài cũng
như là kết nối từ mạng của văn phòng chi nhánh đến trụ sở chính dùng các kết
nối VPN site-to-site.
14
Hình 3
Dành cho những tổ chức có sự phân bố văn phòng ở nhiều nơi, ISA
Server có thể hoạt động như một branch office firewall trong sự liên kết với
những ISA Server ở những nơi khác. Nếu một chi nhánh có kết nối trực tiếp đến
internet, ISA Server có thể hoạt động như một Internet-edge firewall cho chi
nhánh, bảo mật mạng của chi nhánh cũng như phổ biến các nguồn tài nguyên
máy chủ ra internet. Nếu chi nhánh chỉ có một kết nối WAN đến các văn phòng
khác, ISA Server có thể được dùng để phổ biến những máy chủ trong chi nhánh
như Microsoft SharePoint Portal Server hoặc Exchange Server cục bộ.Một trong

system, ít nhất còn 150 MB dành cho ISA.
NIC Ít nhất phải có một card mạng (khuyến cáo phải có
2 NIC)
Phần mền Sử dụng đĩa ISA 2004 Full Lisence

II.1.2. các bước cài đặt.
Máy cài ISA phải có 2 card khi đó ta cấu hình IP
-
Card trong nội bộ đặt tên là: LAN
-
Card đi ra ngoài internet tên là: WAN
B1. Cho đĩa ISA vào ổ CD rồi chọn install ISA Server 2004 Khi đó nó sẽ xuất
hiện hôp thoại ‘welcome to the installation wizard for microsoft ISA server
2004’. Chọn next. Màn hình xuất hiện hộp thoại licens agreement.
16
B2. Chọn I acceppt the term in the license agreement ta bấm Next. Màn hình
xuất hiện customer information chúng ta gõ tên user name, và product serial
number đã có sẵn trong đĩa vào. Ta tiếp tục bấm Next.
B3. Màn hình xuất hiên setup type (kiểu cài đặt) Ta chọn Custom rồi Next tiếp
Màn hình Custom Setup xuất hiện:
- Frewall services: Những dịch vụ về Frewall
- ISA server Management: giao diện quản lí ISA
- Frewall Client Installation Share: Mục này dành cho client
- Message Screener : Hỗ trở cho ISA lọc lựa gói tin SMTP (muốn cài
được gói này cần cài SMTP , NNTP và IIS trước đã ) Ta chọn 4 mục và Next.
Sau đó màn hình xuất hiện Internal Network Ta sẽ đi định nghĩa vùng Internal
Network chọn Add Ta sẽ cho biết địa chỉ card IP Internal chạy từ bao nhiêu
đến bao nhiêu.
B4. Ngoài ra ta còn có thể chọn Select Network Adapter Ngoài cách
định nghĩa vùng Internal Network rõ ràng như cách hồi nãy ta làm , Thì ở đây

I.1. KHÁI NIỆM VỀ FIREWALL.
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các
nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin
khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữa
mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không
tin tưởng mà thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc
nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng
Router. firewall Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy
cập bất hợp pháp của các hacker . Firewall là một giải pháp dựa trên phần cứng và
phàn mền dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính
ra ngoài mạng Internet , có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “
giấy thông hành” của bất kì gói dử liệu đi vào hoặc đi ra . Nó chỉ cho phép nhũng
gói dử liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà
Firewall rất cần thiêt cho hệ thông mạng.
I.1.1. Phân loại firewall.
a. Firewall phần mền: được sử dụng cho các Windown, đối với windown XP
đã được tích hợp sẵn. Firewall phần mền thường không đắt bằng phần cứng thậm
chí còn cho sử dụng miển phí, so với Firewall phần cứng thì Firewall phần mền
linh động hơn nó có thể chạy tốt trên nhiều Hệ Điều Hành khác nhau. Một trong
nhũng Firewall phần mền phổ biến là Zonealarm, ISA.
b. Firewall phần cứng: Có chức năng mức độ bảo vệ cao hơn so với Firewall
phần mền và dể bảo trì hơn không chiếm dụng tài nguyên hệ thống như Firewall
19
phần mền. Một trong những hãng chuyên cung câp Firewall phần cúng là Linkksys
và NetGar.
c. Bộ định tuyến không dây: Được sử dụng cho mạng không dây. Nó được
xem như một Firewall và củng được tích hợp một số chức năng tương tự như
Firewall.

hiện việc kiểm tra số nhận dạng địa chỉ của các packet để cho phép chúng có thể
lưu thông qua lại hay không. Các thông số có thể lọc được của một packet như
sau:
- Địa chỉ IP nơi xuất phát (source IP address).
- Địa chỉ IP nơi nhận (destination IP address).
- Cổng TCP nơi xuất phát (TCP source port).
- Cổng TCP nơi nhận (TCP destination port).
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ
hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ
những địa chỉ không cho phép.Hơn nữa việc kiểm soát các cổng làm cho firewall
có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc
chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được
trên hệ thống mạng nội bộ.
Hình 4
21
b. Cổng ứng dụng (Application gateway): Cổng ứng dụng là một thiết bị bình
phong bảo mật dùng để phân tích các gói dữ liệu được chuyển vào. Khi các gói dữ
liệu từ bên ngoài đến cổng, chúng được kiểm tra và lượng giá để xác định xem
chính sách bảo mật có cho phép chúng vào mạng hay không. Máy phục vụ không
chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói để tìm lỗi và sửa
sai
Hình 5
Một cổng tầng ứng dụng điển hình có thể cung cấp các dịch vụ ủy quyền
cho các ứng dụng và giao thức như Telnet, FTP (File Transfer Protool), HTTP
(Hypertext Transfer Protocol), và SMTP (Simple Mail Transfer Protocol).Cổng
ứng dụng này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai
mạng, mà loại Firewall này được thiết kết để tăng cường khả năng kiểm soát
thông qua dịch vụ người đại diện (Proxy Service). Khi một trạm bên ngoài muốn
kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm
bên ngoài phải thông qua Proxy Service. Nếu dịch vụ và địa trạm bên ngoài

được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức úng dụng.
Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức
năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn
cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối.
Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với
Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như
bastion host bị đánh sập.
II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL.
Trong phần này sẽ sâu vào 3 hoạt động chính của một tường lửa đó là:
điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi
nhật ký truy nhập (activity logging). Như ở trên đã giới thiệu có hai loại tường
lửa vơi 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet
filter) và chính sách người đại diện ung dụng. Điểu khiển truy nhập phụ thuộc
vào sự nhận dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩa
quyền xác thực của người sử dụng.
II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control).
II.1.1. Vị trí xảy ra quá trình xử lý gói.
Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm
đến đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà
một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có
thể vựợt qua một tường lửa ỏ mức tầng ứng dụng, ở mức nhân hệ điều hành
hoặc là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho
24
phép các gói đi qua 3 mức này.
Hình 7
Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên
phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối
ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card
giao tiếp mạng chỉ hổ trợ những luật xử lý đơn giản như các phép so sánh nhị
phân. Những dịch vụ khác không được hỗ trợ ở đây.