III Giới thiệu về ISA Server
2. Cách thức làm việc của ISA Server
ISA Server đợc thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trờng hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (nh Internet). Hình bên dới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.
Hình 1.
Mạng bên trong (interal network) hay gọi là mạng đợc bảo vệ thờng đợc đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. mạng bên
trong coi nh đã đợc bảo mật một cách tơng đối, tức là, thông thờng những ngời dùng đã đợc chứng thực mới có quyền truy cập vật lý đến mạng bên trong. Ngoài ra, nhân viên IT có thể quyết định những loại lu thông nào đợc cho phép trên mạng bên trong.
Thậm chí cho dù mạng bên trong an toàn hơn Internet, thì chúng ta cũng không nên có ý nghĩ sai lầm rằng, chúng ta chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của chúng ta một cách đầy đủ, chúng ta phải vạch ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bớc để đảm bảo cho mạng của chúng ta đợc an toàn, thậm chí trong trờng hợp vành đai bị
thủng . Nhiều cuộc tấn công mạng gần đây nh
“ ” virus và worm đã tàn phá‘ ’ ‘ ’
những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo vệ vành đai mạng, nhng chúng ta đừng nghĩ, sau khi triển khai ISA Server thì việc của chúng ta đã xong..
Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các lu thông của mạng trên Internet. Thì bất kỳ một ngời nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu nh bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (network packet) gửi qua Internet không đợc an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy dò gói tin trên một phân đoạn mạng Internet. dò gói tin là một ứng dụng mà chúng ta có thể sử dụng để bắt lấy và xem tất cả các lu thông trên một mạng, điều kiện để bắt đợc lu thông mạng là dò gói tin phải kết nối đợc đến phân đoạn mạng giữa hai ‘router’.
Internet là một phát minh khó tin và đầy quyến rũ. Chúng ta có thể tìm kiếm trên mạng này nhiều thông tin hữu ích. Chúng ta có thể gặp gỡ những ngời khác, chia sẽ với họ sở thích của chúng ta và giao tiếp với họ. Nhng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập đợc. Ví dụ, Internet không thể biết đợc ai là một ngời dùng
bình thờng vô hại, ai là tội phạm mạng những kẻ phá hoại, cả hai đều có–
quyền truy cập Internet. Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức của chúng ta tạo một kết nối đến Internet thì kết nối đó sẽ đợc phơi bày ra cho bất kỳ ai kết nối Internet. Đó có thể là một ngời dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng deface toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ
‘ ’
chức của chúng ta. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu nh không thể. Nên tốt nhất, bớc đầu tiên trong việc bảo vệ kết nối Internet của chúng ta là xem tất cả ngời dùng kết nối đến chúng ta đều là kẻ xấu cho tới khi thân phận của họ đ“ ” “ ” ợc chứng minh.
Hình 1 đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa mạng bên trong và Internet đợc định nghĩa một cách dễ dàng. Trong thực tế, việc định nghĩa ranh giới giữa mạng bên trong của tổ chức với phần còn lại của thế giới là không hề đơn giản. Hình 2 cho thấy một sự phức tạp hơn, nhng thực tế hơn và “kịch tính” hơn.
Hình 2.
Vành đai mạng đã trở nên khó định nghĩa hơn theo nh kịch bản trong hình 2. Kịch bản này cũng khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server đợc thiết kế để đem lại sự an toàn theo yêu
cầu ở vành đai mạng. Ví dụ, theo kịch bản trong hình 2, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc nh sau:
Cho phép truy cập nặc danh đến Website dùng chung (public website), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website.
Chứng thực ngời dùng từ tổ chức của đối tác trớc khi gán quyền truy cập đến Website dùng riêng (private website).
Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó ngời dùng ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong mạng bên trong.
Cho phép nhân viên ở xa truy cập Mail Server mạng nội bộ, và cho phép máy trạm truy cập VPN đến File Server nội bộ.
áp đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức đợc dùng tới ngời dùng, và lọc từng yêu cầu để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép.