BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM CƠ SỞ MIỀN TRUNG – KHOA CÔNG NGHỆ C TH C T T H T T NGH Ệ R : MSSV: : : 2011-2014 Quảng Ngãi, Tháng 04 năm 2014 BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM CƠ SỞ MIỀN TRUNG – KHOA CÔNG NGHỆ ĐỀ TÀI: T H R GVHD: : MSSV: : : 2011-2014 Quảng Ngãi, Tháng 04 năm 2014 ƠN LỜI CẢ ầu tiên, xin gửi lời cảm ú đỡ k đ ng ý giả â đ ng dẫn th c tập Công ty trách ử– nhi m hữu hạ trình th c tập thầ đ đến thầ Không thế, ỉ bảo ng dẫn tận tình cho kiến thức lý thuyết cách giải vấ đề, đặt câu hỏi Thầ luô ười truyề động l c đoạn th c tập tốt nghi p Cho phép gửi tôi, giúp hoàn thành tố lời cảm sâu sắ đến Công ty trách nhi m hữu hạ đ ạo m đ ều ki n thuận lợ ú ô ử– oà đoạn th c tập tốt nghi p ụ đí độ ủ mộ số ô ô làm ro kỹ ậ ủ đợ mềm để ,s ậ ố ậ ro ươ lĩ l đ m m ro ú s ìm ô ể đá ứ đị đượ rõ rà ậ ểu ế oạ ô , ìm ểu u ầu ề kỹ u mô ị rí ô ìm ị rí ũ đ u đợ ề ề , ểu ữ m độ NH N TC n G N HƯ NG N n: ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… n : ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… năn n m n: ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… n: N n : …………………………………………………………………… Đ M: ……………………………………………… …………… n Giản n năm n ướng dẫn MỤC LỤC MỞ ẦU Ầ Ầ ƯƠ : ỔNG QUAN V FIREWALL m: ứ : â loạ : r ll ứ r ll mềm: u lí oạ độ ụ : ủ r r ll ảo r ll ảo ƯƠ : ủ r ll: ll: ì? ố lạ ? ỮNG THIẾT KẾ Ơ ẢN CỦA FIREWALL 2.1 Dual-homed Host: 2.2 Kiến trúc Screened Host: 2.3 Kiến trúc Screened Subnet Host 2.4 Sử dụng nhiều Bastion Host: 10 2.5 Kiến trúc ghép chung Router Router ngoài: 11 2.6 Kiến trúc ghép chung Bastion Host Router ngoài: 12 ƯƠ : Ầ Ơ Ế HOẠ NG CỦA FIREWALL 14 3.1 Bộ l c gói (Packet Filtering): 14 3.1.1 Nguyên lý hoạ động: 14 Ưu đ ểm hạn chế h thống Firewall sử dụng l c Packet: 15 3.2 Cổng ứng dụng (Application-Level Gateway): 15 u lí oạ độ Ưu đ ểm : 15 ế: 16 3.3 Cổng vòng (Circuit-level gateway) : 16 ƯƠ : Ả ƯỜNG LỬA CHO DOANH NGHI P 17 4.1 Gi i thi u: 17 4.2 Giải pháp firewall cho doanh nghi p nhỏ: 17 4.2.1 ISA Server Enterprise 2000, ISA Server Enterprise 2004 : 17 4.2.2 Sonicwall PRO 2040: 18 ế lậ mộ đặ ấu ì r ll r o o : 18 ll : 20 4.4.1 Tìm hiểu phần mềm ISA Server 2004 Firewall : 20 đặt ISA Server 21 KẾT LUẬN 23 TÀI LI U THAM KHẢO 24 Ậ : s Ù Ă ỒNG Ở ĐẦU An toàn thông tin nhu cầu quan tr đối v â ũ đối v i xã hội quốc gia gi i Mạng máy tính an toàn thông tiế ô qu ươ ật lý hành Từ đờ o đến mạ má í đ đ m lại hi u vô to l n tất lĩ c củ đời sống Bên cạ đ ười sử dụng phả đối mặt v i hiểm h a thông tin mạng h bị công An toàn thông tin mạng máy tính bao g m ươ ằm bảo v thông tin đượ lưu ữ truyền mạng An toàn thông tin mạng máy tính mộ lĩ đ đượ qu âm đặc bi đ ng thờ ũ công vi c hết sứ k k ức tạp Th c tế đ ứng tỏ có tình trạng đá lo ại bị công thông tin trình xử lý, truyề lưu giữ thông tin Nhữ động bất hợp pháp lên thông tin v i mụ đí làm tổn thất, sai lạc, lấy cắp t p lưu ữ tin, chép thông tin mật, giả mạo ườ phép sử dụng thông tin mạng máy tính ường lửa không dạng phần mềm ( ường lửa Windows), mà phần cứng chuyên dụng mạng doanh nghi p Các ường lửa phần cứng giúp máy tính công ty phân tích li u r để đảm bảo malware thâm nhập vào mạng, kiểm soát hoạ động máy tính mà nhân viên h đ sử dụ ũ l c li u phép máy tính lư t web, vô hi u hóa vi c truy cập vào loại li u khác V i s ng dẫn tận tình Thầ m đ oà à áo áo u đ ố gắng tìm hiểu, â í ắc không tránh khỏi thiếu sót Nhóm em mong nhậ s thông cảm góp ý quý Thầy cô bạn Em xin chân thành cảm ơn! CDTH13QN Trang Ậ : HẦN G s Ù TH Ệ Ề CÔNG T - Tên Công Ty: CÔNG TY TNHH M Ê Ă ỒNG N TỬ TIN HỌC MHQ - ịa : 284 Quang Trung -TP Quảng Ngãi- Tỉnh Quảng Ngãi - Số đ n thoại: +84553825894 - Fax: +84553818091 - Email : mhq@vnn.vn - oạ ì oạ độ ô m : đ đượ o ô lậ ế s ru âm u ể m đượ đổ ấ ứ ậ đ k k o số ố đ ều l ( ám mộ ro ữ ô k o má í qu mô l m lậ oạ độ mộ k ố lượ ô k ál ư: u u ấ sả m ế ị , , ị ụ ảo , ảo ưỡ , sữ ữ má í , má , m má , lắ đặ ế ị ố mạ , , … CDTH13QN r ử– Trang Ậ : HẦN NỘ CHƯƠNG : TỔNG Q NG N Ề s Ù Ă ỒNG C R n m: 1.1 uậ ữ r ll u ố mộ kỹ uậ ế để ặ , ế ỏ oạ ro ô ô mộ kỹ uậ đượ í ợ ố mạ để ố s ru ằm ảo u ô ộ ộ ế s xâm â muố ố r ll đượ m u ả ủ “ ố ” để k ểm soá ấ ả lu lưu ô ậ xuấ àk ru ậ ố kế ro xâ , r ll ậ rá é , k ô mo o qu ể o õ mạ r ố r ườ ị đ ữ kẻ ấ ô ể ảo ữl u ro ườ ườ r ll r ll ó đ để o é ườ ợ l đ qu ặ lạ ữ ườ k ô ợ l r ll ể ế ị ầ ứ oặ ươ rì ầ mềm r os ảo đảm oặ kế ợ ả ro m rườ ợ , ả í ấ o ế mạ , mộ o mạ mà ảo , mộ o mạ oà r ll ể oặ đ ểm ố l ề ữ mạ , ườ mộ mạ r mộ mạ ô ộ r fr ll đầu rou r ả 1.2 C năn : Chứ Firewall kiểm soát lu ng thông tin từ Intranet Internet Thiết lậ ế đ ều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cụ thể là: o Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) CDTH13QN Trang Ậ o o o o o : s Ù Ă ỒNG Cho phép cấm dịch vụ truy nhập vào (từ Internet vào Intranet) Theo dõi lu ng li u mạng Internet Intranet Kiểm soá địa truy nhập, cấm địa truy nhập Kiểm soá ười sử dụng vi c truy nhập củ ười sử dụng Kiểm soát nộ u ô ô lưu u ển mạng n : .1 n : ường lửa phần cứng l a ch n hợp lý bạ đ phiên bả W o s rư đâ ều đ ểm truy cập (access point) không dây sử dụng cho mạ đì đượ đ i dạng tổng hợp tất cảtrong-một, tích hợ ường lửa phần cứng v i broadband router Vi c dùng mộ ường lửa cho h thống mạng bạn ả c thêm máy trả lờ đ n thoạ đườ â đ n thoại bạn Bạn cầ đặt ường lửa vào kết nối Ethernet modem cáp/DSL máy tính bạn ( ú i hầu hết loạ ng lửa) Đặ ểm c a Firewall c ng: o o o o o ô linh hoạ r ll mềm: (Không thể thêm chức , m qu ắ firewall mềm) Có thể quản lý tập trung ản, dễ lắ đặt, cấu hình, quản lý Firewall cứng hoạ động tầng thấ r ll mềm (Tầng Network tầng Transport) Firewall cứng kiểm r nột dung gói tin Ví dụ Firewall c ng: NAT (Network Address Translate) .2 m m: Có nhiều nhà cung cấ ường lửa phần mềm mà bạn sử dụng bạn dùng phiên bả W o s rư đâ u ấ ũ CDTH13QN Trang Ậ 2.4 Sử ụn n : nH s Ù Ă ỒNG : V i mô hình tố độ đá ứng cho nhữ ười sử dụng bên (local user) phầ đ k ô ịả ng b i hoạ động ười sử dụng bên mạng (external user) CDTH13QN Trang 10 Ậ : s Ù Ă ỒNG 2.5 Ki n trúc ghép chung Router Router ngoài: Router phải cho phép áp dụng luậ interface o k đ ô àđ r Do ghép chung router router nên kiến trúc làm giảm đ l p bảo v mạng bên trong, nói kiến trúc ghép chung router router nằm kiến trúc Screened host Screened Subnet host CDTH13QN Trang 11 Ậ 2.6 n ú : n nH àR n s Ù Ă ỒNG à: Kiến trúc sử dụng cho mạng có mộ đường nối dùng giao thức SLIP PPP internet Kiểu ghép chung Bastion host router (Exterior router) gần giống v i Screened Subnet Host Nó cho tố độ đá ứ ường thấ mà chấp nhậ tố độ đường truyền thấp, l c router ít, l c gói chủ yếu router CDTH13QN Trang 12 Ậ CDTH13QN : s Ù Ă ỒNG Trang 13 Ậ CHƯƠNG : s Ù Ă ỒNG : C C THÀNH HẦN À CƠ CHẾ H ẠT ĐỘNG C FIREWALL ọ ó ( 1.1 N k n ): n n : đến vi lưu ô ữ li u mạng v i thông qu r ll ì đ ều đ ĩ Firewall hoạ động chặt chẽ v i giao thức TCI/IP Vì giao thức làm vi c theo thuật toán chia nhỏ li u nhậ từ ứng dụng mạ , í xá ịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói li u (data pakets) r i gán cho paket địa để nhận dạng, tái lập lại đí ần gử đế , o đ loạ r ll ũ l qu nhiều đến packet số địa chúng Bộ l c packet cho phép hay từ chối packet mà nhậ Nó kiểm tra toàn đoạn li u để quyế đị x m đoạn li u đ oả mãn số luật l l c packet hay không Các luật l l c packet d a thông tin đầu mỗ k ( k r, phép truyề k đ mạ là: o o o o o o o o ịa xuất phát (Source) ịa ận ( Destination) Những thủ tục truyề ( , Cổ / xuất phát Cổ / ận Dạng thông báo ICMP Giao di k đến Giao di k đ , , u l… Nếu luật l l k thoả mã ì k chuyển qua firewall Nếu không packet bị bỏ đ mà Firewall ản kết nối vào máy chủ mạ đ đượ xá định, khoá vi c truy cập vào h thống mạng nội từ nhữ địa k ô o é nữa, vi c kiểm soát cổng làm cho Firewall có khả ỉ cho phép số loại kết nối nhấ định vào loại máy chủ đ , oặc có dịch vụ đ ( l , , phép m i chạ h thống mạng cục CDTH13QN Trang 14 Ậ 3.1.2 Ư Ư : s Ù Ă ỒNG ểm h n ch c a h th ng Firewall sử dụng b lọc Packet: ểm: o o Chi phí thấ ì ế l k đ bao g m phần mềm router Ngoài ra, l c packet suố đối v ười sử dụng ứng dụng, không yêu cầu s huấn luy n đặc bi t H n ch : o o Vi đị ĩ ế độ l c package vi c phức tạp, đ ỏ ười quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận mỗ rườ đ ỏi vể s l c l n, luật l vể l c tr nên dài phức tạp, rấ k để l đ ều khiển Do làm vi c d a header packet, rõ ràng l c packet không kiểm soá nội dung thông tin packet Các packet chuyển qua mang theo nhữ động v đ ắp thông tin hay phá hoại kẻ xấu 3.2 Cổng ng dụng (Application-Level Gateway): 2.1 N n n : â loạ r ll thiết kế để ường k ểm soát loại dịch vụ, giao thứ cho phép truy cập vào h thống mạ chế hoạ động d a cách thức g i Proxy service Proxy service o đặc bi đặt gateway cho ứng dụng Nếu ười quản trị mạ k ô đặt proxy code cho ứng dụng đ , ịch vụ ươ ứng k ô cung cấ o đ k ô ể chuyển thông tin qua firewall Ngoài ra, proxy code đượ định cấu ì để hỗ trợ số đặ đ ểm ứng dụ mà quản trị mạng cho chấp nhậ từ chối b bi Một cổng ứng dụ ườ đượ o mộ áo đà ( s o os , ì thiết kế đặt bi để chống lại s công từ bên Những đảm bảo an ninh bastion host là: o o Bastion host chạy version an toàn (secure version) phần mềm h thống (Operating system) Các version an toàn thiết kế chuyên cho mụ đí ống lại s công vào r s m, ũ đảm bảo s tích hợp firewall Chỉ dịch vụ mà ười quản trị mạng cho cần thiết m i đượ đặ r s o os , ản dịch vụ k ô đượ đặt, bị tấ ô ô ường, số gi i hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác th us r đượ đặt bastion host CDTH13QN Trang 15 Ậ o o o o 2.2 Ư Ư : s Ù Ă ỒNG Bastion host yêu cầu nhiều mứ độ xác th c khác nhau, ví dụ us r ss or sm r r Mỗ rox đượ đặt cấu ì phép truy nhập s máy chủ nhấ đị ều ĩ l đặ đ ểm thiết lập cho proxy đú v i số máy chủ toàn h thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thông qua nó, s kết nối, khoảng thời gian kết nối Nhật ký có ích vi c tìm theo dấu vế ặn kẻ phá hoại Mỗi prox độc lập v rox s k r s o os ều cho phép dễ rì đặt proxy m i, hay tháo gỡ mô rox đ ấ để ểm n : ểm: o o o o o é ười quản trị mạ oà oà đ ều khiể dịch vụ mạng, b i ứng dụng proxy hạn chế l nh quyế định máy chủ truy nhậ b i dịch vụ o é ười quản trị mạ oà oà đ ều khiể dịch vụ cho phép, b i s vắng mặt proxy cho dịch vụ ươ ứ ĩ ịch vụ bị khoá Cổng ứng dụng cho phép kiểm r độ xác th c tốt, có nhật ký ghi chép lại thông tin truy nhập h thống Luật l l c filltering cho cổng ứng dụng dễ dàng cấu hình kiểm r so i l c packet H n ch : Yêu cầu us rs đổi thao tác, hoặ đổi phần mềm đ đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụ đ ỏ để nối v i máy chủ mộ c thô u , ũ đ số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đí ứ cổng ứng dụng l nh Telnet Cổn òn (C -level gateway) : Cổng vòng đặc bi t th c hi b i cổng ứng dụng Cổ ản chuyển tiếp (relay) kết nối TCP mà không th c hi n mộ động xử lý hay l c packet CDTH13QN Trang 16 Ậ CHƯƠNG 4.1 G :G Ả : H TƯỜNG Ử CH s Ù Ă ỒNG NH NGH Ệ : Ngày vi c sử dụ r đ ổ biến gầ oà ộ doanh nghi p ối v i chịu trách nhi m quản lý h thống mạng máy tính cho tổ chức - doanh nghi ro mô rường kinh doanh hi n có lẽ bảo mật - an toàn li u vấ đề hàng đầu m i tình Một công cụ hi u nhấ ũ ô ụng sử dụ ường lửa (fire wall) nhằm kiểm soát s truy cập từ bên vào mạng nội giao dịch ra/vào mạ u , đầu o mộ ường lửa tốn kém, nhấ đối v i tổ chức - doanh nghi p vừa nhỏ ro rường hợp này, có lẽ giải pháp thiết bị xử lý m i chức oà ợp lý Thiết bị bảo mật 'Tất một' phả đá ứng yêu cầu bảo mật - an toàn li u tổ chức - doanh nghi p cách hi u mà không cầ đến nhiều tầng thiết bị đắt tiền phức tạp, cộng thêm nhân viên chuyên trách ều thật cần thiết tình trạng Internet hi đầy rẫy mố đ sâu má í , ươ g trình phá hoạ ắp thông tin, lỗ hổng bảo mật h đ ều hành ứng dụng 4.2 G ả f n n n ỏ: 4.2.1 ISA Server Enterprise 2000, ISA Server Enterprise 2004 : â phần mềm có công từ Internet o í : ảo v mạng chống Cho phép Client bên mạng nội truy cập dịch vụ Internet, có kiểm soát Mô hình triển khai ISA Server Internal Network Internet CDTH13QN Trang 17 Ậ : s Ù Ă ỒNG 4.2.2 Sonicwall PRO 2040: Firewall dành cho doanh nghi p loại vừa đá ứng m i yêu cầu, dễ dàng nhậ r đ ều lấy thiết bị khỏi hộp, đặt bàn, k tủ, lắ r k SonicWALL Pro 2040 kết hợp h đ ều hành m rộng SonicOS h m i SonicWALL kiến trúc phần cứng có khả ịu tải tốt, miễn cấu ì đú , ất nhiên k ô ản Khi sử dụ , ười dùng phả đặt OS m rộng SonicWALL m i k nhiều í o ấ kết nố đến nhiều để d phòng, cân tải v i Pro 2040 khác, thiết lập NAT d a theo sách kết nối WAN d phòng Mặc dù vận hành Pro 2040 mà không cần h đ ều hành SonicOS E , ải cài h đ ều hành m i kích hoạt cổng giao tiếp thứ thiết bị Cổng có cổng WAN, LAN, hay DMZ, nối sang thiết bị ro k để d phòng SonicWall không u đối thủ, ũ í ợp ống virus l c nội dung Pro 2040 hoàn toàn làm vừa lòng, chẳng hạ , trang bị xử lý làm nhi m vụ mã hóa hi u suất chẳng có khác bi t dùng chế độ mã hóa AES-256 hay 3DES Hàng loạt công giả lậ ũ ặn virus thử bị ản b i Firewall 4.3 T m n n : L a ch n giải pháp Firewall phần cứng Firewall phần mềm để xâ Firewall cho doanh nghi p Vi c thiết lập Firewall d a vào yếu tố sau: T ước h t cần o o o o o o o Nghiên c o o o ịnh tài nguyên cần bảo v : Máy trạm Máy chủ Các thiết bị mạng: Bộ định tuyế (Rou r , Các máy chủ đầu cuối ươ rì ần mềm Cáp mạng ô lưu rữ t p li u u vấn sau: ,R r… Bảo v u đ k ỏi bị phá hoại Xác suất củ u đ oạ Mứ độ quan tr ng ngu n tài nguyên CDTH13QN Trang 18 Ậ : s Ù Ă ỒNG Các bi n pháp th c hi để bảo v tài nguyên v i thời gian nhanh nhấ , đỡ tốn o Kiểm tra sách an ninh mạ định kì Nh n d ng m : o - - - - - - Truy cập trái phép: Nói chung vi c sử dụng tài nguyên mà k ô s o é rư bị coi truy cập trái phép u để lộ thông tin: Vi để lộ ô ũ mố đ doạ Cần phả xá định rõ giá trị độ nhạy cảm củ ô lưu trữ máy Ở mức h thống vi để l t mật kh u truy nhập h thống tạo thuận lợi cho vi c truy nhậ rá é ro ươ l Từ chối dịch vụ: Các mạ để kết nối ngu n tài nguyên có giá trị má í s li u cung cấp dịch vụ mà mộ qu a vào Nếu dịch vụ không sẵn sàng dẫ đến ả ng công vi c kinh doanh củ ị Rất khó rư c hình thức từ chối dịch vụ, đâ l t kê số ví dụ từ chối dịch vụ:  H thống máy bị dừng gói tin kẻ phá hoại  Mạng bị dừng bị rà lưu lượng  Các thiết bị bảo v mạng bị phá hỏ … đ ểm truy nhậ : ểm truy nhập mà đ ữ ười sử dụng trái é đ thống Nếu ta có nhiều đ ểm truy nhập làm u o mạng Các h thống có cấu hình không đú : ững kẻ đột nhập vào mạng ú ường cố gắng phá hoại máy chủ mạng Các máy tính chủ đ r r r Telnet mục tiêu phổ biến Nếu máy tính chủ k ô cấu hình mộ đú đắn h thống dễ bị phá hoại rus: độ phức tạp phần mềm l ì độ phức tạp Virus h ô ũ lẽ phần mềm mà không bị nhiễm rus rus oà biế đến cách rộ r ũ ươ ổ biế để truy nhập trái phép Nếu vi đặt h thống m biế đến cách rộng rãi kẻ đột nhập sử dụng nhữ đ ểm yếu củ ươ rì ạy chế độ ưu để truy nhập h thống chế độ đặc quyền Các mố đ oạ từ bên ngoài: Nhữ ười cuộ ường truy nhập tr c tiếp phần mềm máy tính mạng nhiều so i phần cứng Nếu mộ ười quyế định phá hoạ ì ườ đ ạo mố đ oạ đá kể cho an toàn mạng Nếu ườ đ ếp cận dễ dàng v i h thống h thống dễ bị phá hoạ ười phá hoại dễ dàng chạy giải mã giao thức nắm bắt phần mềm để phân í lưu lượng giao thức Hầu hết ứng dụng TCP/IP (Telnet, CDTH13QN Trang 19 Ậ - 4.4 Cà : s Ù Ă ỒNG FTP) ế xác minh yếu ro đ mật kh u chuyể đ i dạng v ả rõ ĩ An toàn vật lý: Nếu bả â má í k ô an toàn mặt vậ l ì ế an toàn phần mềm dễ dàng bị bỏ qua Trong rường hợp máy trạm ,W W k ô ế bảo v phần mềm ối v i h đ ều hành Unix khôn ười quản lý ổ đĩ ật lý bị đá ráo, oặc để h thống chế độ đặc quyền máy trạm o ị bỏ ngỏ Nói cách khác kẻ đột nhập tạm dừng máy tính lạ đư r lại chế độ ưu đ r s u đ lấy chươ rì roj -hores vào th c hi n hành động khác nhằm làm cho h thống tr nên rộng m cho vụ công ro ươ l ặ ấ n : u đâ tiế à đặt Firewall cho doanh nghi p phần mềm ISA Server 2004 Firewall 4.4.1 T m ể ần m m S S 2004 : Trong số sản ph m ường lửa (firewall) thị rường hi n ISA Server 2004 củ rosof nhiều ười yêu thích khả bảo v h thống mạnh mẽ v i ế quản lý linh hoạt ISA Server 2004 Firewall có hai phiên Standard Enterprise phục vụ cho môi rường khác r r r đá ứng nhu cầu bảo v chia sẻ ô cho công ty có quy mô trung bình V i phiên xây d ng r ll để kiểm soát lu ng li u vào h thống mạng nội công ty, kiểm soát trình truy cập củ ười dùng theo giao thức, thời gian nội dung nhằm ặn vi c kết nối vào trang web có nội dung không thích hợp Bên cạ đ ể triển khai h thống VPN Site to Site hay Remote Access hỗ trợ cho vi c truy cập từ xa, hoặ r o đổi li u á ối v i công ty có h thống máy chủ quan tr l r r, W r r ần bảo v chặt chẽ môi rường riêng bi t ISA 2004 cho phép triển khai vùng DMZ (thuật ngữ vùng phi quân s ừa s ươ r c tiếp giữ ười bên bên h thố oà í ảo mật thông tin trên, ISA 2004 có h thố đ m (cache) giúp kết nố r o ô r web đượ lưu sẵ r R đĩ ứng, giúp tiết ki m đá kể thông h thố í ì l o đ mà sản ph m Firewall có tên g i Internet Security & Aceleration (bảo mậ ốc Internet) r r E r r s sử dụng mô hình mạng l n, đá ứng nhiều yêu cầu truy xuất củ ười dùng bên h thống CDTH13QN Trang 20 Ậ : s Ù Ă ỒNG Ngoài nhữ í đ r r r r , ản Enterprise cho phép thiết lập h thống mảng ISA Server sử dụng sá , đ ều giúp dễ dàng quản lý cung cấ í o l ( â tải) 4.4.2 Cà ặ S S Yêu cầ s u:   - ặt: ISA 2004 phả đượ đặt phần cứng phần mềm Phần cứng tối thiểu: CPU: 500MHz RAM: 256MB r sk: â , >= u lượng trống Máy có card mạng Phần mềm: Windows 2000 server, SP4 Windows 2003 server uk đ ết lậ đầ đủ thông tin cần thiết, tiế à đặt ISA Server 2004 Standard máy tính dùng làm Firewall ước 1: Chạy file setup click vào Install ISA Server 2004 ước 2: Trong hộp thoại Microsoft ISA Server 2004 - Installation Wizard, ta click Next ước 3: u đ n I accept the terms in the license agreement s u đ l k Next ước 4: đ ề đầ đủ thông tin số serial vào r i click Next ước 5: Ta ch đặt chế độ Custom r i click Next ước 6: Mặ định có hai dịch vụ Firewall Services ISA Server Management, ta ch n thêm Firewall Client Installation Share R i click Next ước 7: Ta click vào Add ước 8: Ta cung cấ địa IP chứa máy tính mạng nội ( rom, o ưu , địa phải chứa IP giao tiếp mạng Inside R i click Add u đ OK ước 9: Trong hộp thoại Internal Network ta click Next ước 10: Ta ch n Allow computers running earlier version of Firewall Client software to connect R i ch n Next ước 11: Trong hộp thoại Services ta click Next CDTH13QN Trang 21 Ậ : s Ù Ă ỒNG ước 12: Trong hộp thoại Ready to Install the Program ta click Install u đ rì đặt bắ đầu Xong ta bấm Finish để hoàn tất CDTH13QN Trang 22 Ậ : s Ù Ă ỒNG ẾT N ường lử đ vai trò quan tr ng vi c bảo v mạng tổ đ rá danh sách gần ô ận tấ ô đến từ Internet S l a ch ường lử ũ ường quyế định cách vị trí từ xa kết nối v i h thố ru âm để truy cập vào tài nguyên cần thiết để th c hi n nhi m vụ quan tr ng dễ ế ường lửa "bức ường" nằm mạ ( r má í ( oặc mạng nội bộ) mà bảo v Mụ đí í ủ o ười dùng cá nhân k u , ường lửa làm nhiều ế Do nằm mạng (internet mạng nội , ường lửa phân tích tất lưu lượng vào khỏi mạng quyế định làm v i li u r đ ường lửa ũ ều quy tắ để d đ u ấp quyền truy cập li u vào mạng ường lửa không dạng phần mềm (như ường lửa Windows), mà phần cứng chuyên dụng mạng doanh nghi ường lửa phần cứng giúp máy tính công ty phân tích li u r để đảm bảo malware thâm nhập vào mạng, kiểm soát hoạt động máy tính mà nhân viên h đ sử dụ ũ l c li u phép máy tính lư t web, vô hi u hóa vi c truy cập vào loại li u khác CDTH13QN Trang 23 Ậ : TÀ Ệ TH s Ù Ă ỒNG HẢ [1] http://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%B B%ADa [2] http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tuong-lua-tuong-lua-la-gi.1242779.html [3] http://www.microsoft.com/vietnam/security/protect/firewall.aspx [4] http://doc.edu.vn/tai-lieu/tieu-luan-tim-hieu-va-xay-dung-he-thongfirewall-ma-nguon-mo-su-dung-smoothwall-7436/ [5] http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tuong-luafirewall.11250.html [6] http://forum.cuasotinhoc.vn/topic/585147-bo-suu-tap-tim-hieu-vetuong-lua-firewall/ [7] http://docs.4share.vn/docs/8841/Tim_hieu_ve_tuong_lua_FIREWA LL.html CDTH13QN Trang 24