III Giới thiệu về ISA Server
3. ISA Server hoạt động nh một tờng lửa
Tờng lửa là một thiết bị đợc đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Tờng lửa đợc cấu hình với những quy tắc lọc lu thông, trong đó định nghĩa những loại lu thông mạng sẽ đợc phép đi qua. T- ờng lửa có thể đợc bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc đợc bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng.
Trong hầu hết trờng hợp, tờng lửa đợc triển khai ở vành đai mạng. Chức năng chính của tờng lửa trong trờng hợp này là đảm bảo không có lu thông nào từ internet có thể tới đợc mạng bên trong của tổ chức trừ khi nó đợc cho phép. Ví dụ, trong tổ chức chúng ta có một Web Server cần cho ngời dùng net có thể tới đợc. Tờng lửa có thể đợc cấu hình để cho phép các lu thông từ internet chỉ đợc truy cập đến Web Server đó.
Về mặc chức năng ISA Server chính là một tờng lửa. Bởi mặc định, khi chúng ta triển khai ISA Server, nó sẽ khóa tất cả lu thông giữa các mạng mà nó làm Server, bao gồm mạng bên trong, vùng DMZ(*) và internet. ISA Server 2006 dùng 3 loại quy tắc lọc (filtering rule) để ngăn chặn hoặc cho phép lu thông mạng, đó là: packet filtering, stateful filtering và application-layer filtering.
3.1 Packet Filtering Lọc gói tin–
Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng gói tin trên mạng đi tới tờng lửa. Khi gói tin đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của gói tin và kiểm tra thông tin (địa chỉ nguồn và đích, cổng nguồn và đích). ISA Server so sánh thông tin này dựa vào các quy tắc của tờng lửa, đã định nghĩa gói tin nào đợc cho phép. Nếu địa chỉ nguồn và đích đợc cho phép, và nếu cổng nguồn và đích đợc cho phép, gói tin đợc đi qua tờng lửa để đến đích. Nếu địa chỉ và cổng không chính xác là những gì đợc cho phép, gói tin sẽ bị đánh rớt và không đợc đi qua tờng lửa.
3.2. Stateful Filtering Lọc trạng thái–
Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với gói tin trên mạng để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một gói tin bên trong nội dung của những gói tin trớc đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (session) TCP.
Ví dụ, một ngời dùng trong mạng bên trong có thể gửi một yêu cầu đến một Web Server ngoài Internet. Web Server đáp lại yêu cầu đó. Khi gói tin trả về đi tới tờng lửa, tờng lửa kiểm duyệt thông tin ‘TCP session’ (là một phần của gói tin). Tờng lửa sẽ xác định rằng gói tin thuộc về một phiên đang hoạt
động mà đã đợc khởi tạo bởi một ngời dùng trong mạng bên trong, vì thế gói tin đợc chuyển đến máy tính của ngời dùng đó. Nếu một ngời dùng bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà tờng lửa xác định rằng gói tin đó không thuộc về một phiên hiện hành đang hoạt động thì gói tin sẽ đị đánh rớt.
3.3. Application-Layer Filtering Lọc lớp ứng dụng–
ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một gói tin có đợc cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế của gói tin để quyết định liêu gói tin có thể đợc đi qua tờng lửa hay không. lọc ứng dụng sẽ mở toàn bộ gói tin và kiểm tra dữ liệu thực sự bên trong nó trớc khi đa ra quyết định cho qua.
Ví dụ, một ngời dùng trên Internet có thể yêu cầu một trang từ Web Server nội bộ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi gói tin đi tới tờng lửa, lọc ứng dụng xem xét kỹ gói tin và phát hiện lệnh “GET”. lọc ứng dụng kiểm tra chính sách của nó để quyết định.
Nếu một ngời dùng gửi một gói tin tơng tự đến Web Server, nhng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra gói tin. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không đợc phép và gói tin bị đánh rớt.
‘HTTP application filter’ đợc cung cấp cùng với ISA Server 2006 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của URL (Uniform Resource Location), nội dung ‘page header’ và phần mở rộng của tệp. Ngoài ‘HTTP filter’, ISA Server còn có những lọc ứng dụng khác dành cho việc bảo mật những giao thức và ứng dụng khác.
Các firewall mềm hiện nay xử lý lọc gói tin và trạng thái. Tuy nhiên, nhiều firewall không có khả năng thực hiện việc lọc lớp ứng dụng. Và lọc lớp
ứng dụng đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.
Ví dụ, giả định rằng tất cả các tổ chức đều cho phép HTTP traffic‘
(port 80) từ mạng bên trong đến Internet. Kết quả là, nhiều ứng dụng giờ’
đây có thể hoạt động thông qua giao thức HTTP . Chẳng hạn nh‘ ’ Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ tệp nh KazaA. HTTP traffic cũng có thể chứa virus và mã độc (malicious code). Cách
‘ ’ ‘ ’
ngăn chặn những lu thông mạng không mong muốn, trong khi vẫn cho phép sử dụng HTTP một cách phù hợp, chỉ có thể thực hiện đ‘ ’ ợc bằng việc triển khai một firewall có khả năng lọc lớp ứng dụng. lọc lớp ứng dụng có thể kiểm tra nội dung của các gói tin và ngăn lu thông trên phơng thức HTTP‘ ’
(để ngăn ứng dụng) hoặc signature (để ngăn virus , mã độc hại, hoặc ứng‘ ’ ‘ ’
dụng). ISA Server chính xác là một loại lọc lớp ứng dụng tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng.