“Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38-ISAServer- Template
Trong các bài trước chúng ta đã biết được nhiệm vụ cơ bản nhất của ISAServer là tạo nên một không gian thế giới mới mà trong đó nó sẽ ngăn chia
thế giới chúng ta ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Network: là các máy ngoài mạng Internet.
Trên thực tế có nhiều mô hình dựng ISAServer và Microsoft đã đưa ra cho ta 3 mô hình như sau:
1/ Edge Firewall:
Mô hình này chính là mô hình mà ta đã làm trong các bài trước. Với mô hình này chúng ta chỉ cần dựng một ISAServer duy nhất và trên đó có 2
Card Lan:
- Card thứ 1 nối với các máy trong Internal Network. ISAServer sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy trong External Network. ISAServer sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISAServer chúng có thể truy cập vào tất cả
các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.
2/ 3-Leg Perimeter:
Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm
1 of 4
- Nhóm thứ 1 là các máy như Mail Server, Web Server để người dùng từ External Network có thể truy cập vào
- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
Tại máy ISAServer ta cần đến 3 Card Lan
- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISAServer sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISAServer sẽ mở các Port Outbound/Inbound tại Card này
- Card thứ 3 nối với các máy trong External Network. ISAServer sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISAServer chúng có thể truy cập vào tất cả
các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.
3/ Front/Back Firewall:
Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISAServer trong Local Host
Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISAServer trong Local Host, tuy nhiên khi một vài ISA Server
của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.
Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.
Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong
ISA Server.
2 of 4
Tại ISAServer bạn chọn Configuration chọn tiếp Network
Chọn tiếp Tab Templates bên phải và chọn mô hình tương ứng ví dụ tôi chọn mô hình thứ 1 là Edge Firewall
Trong cửa sổ Select a Firewall Policy bạn chọn các Policy thích hợp với hệ thống của mình:
- Block all: khóa tất cả
- Block Internet access, allow access to ISP network services: khóa truy cập Internet nhưng cho truy cập dịch vụ của ISP (chỉ cho truy cập
Port 53)
- Allow limited Web access: chỉ cho truy cập Web nhưng giới hạn (không mở các Port 80,443,21 mà chỉ có thể truy cập Web thông qua IP Address
mà thôi)
- Allow limited Web access and access to ISP network services: chỉ cho truy cập Web và truy cập dịch vụ của ISP nhưng giới hạn
3 of 4
Ví dụ tôi chọn: Allow limited Web access and access to ISP network services
Trở lại màn hình Firewall Policy sẽ thấy ISAServer tự động xóa tất cả các Rule mà bạn tạo trước đó thay vào đó là các Rule mới do ISAServer tự
thêm vào
Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng. Ta nên tạo lần lượt các
Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn.
OK mình vừa trình bày xong phần Template-ISAServer trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
4 of 4
. CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - Template
Trong các bài trước chúng ta đã biết được nhiệm vụ cơ bản nhất của ISA Server. một ISA Server duy nhất và trên đó có 2
Card Lan:
- Card thứ 1 nối với các máy trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này
-