Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài vào mạng trong. Hệ thống firewall thờng bao gồm cả phần cứng và phần mềm. Firewall thờng đợc dùng theo phơng thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau.
4.1.2. Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã đợc thiết lập.
Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong.
Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
Kiểm soát khả năng truy cập ngời sử dụng giữa 2 mạng.
Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng firewalls là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ do đó đợc áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng. Thông thờng, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngợc lại
4.1.3. Giới thiệu về ISA server
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tơng thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lu Cache vào RAM (Random
Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng. )
4.1.4 Về khả năng Publishing Service
ISA 2006 có thế tự tạo ra các form trong khi ngời dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các ngời dùng bất hợp pháp vào trang web OWA. tính năng này đợc phát triển dới dạng Add-ins.
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối đợc mã hóa trên Internet (kể cả password).
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của ngời dùng kết nối an toàn đến Exchange Server
Rất nhiều các Wizard cho phép ngời quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới nh Exchange 2007.
4.1.5. Khả năng kết nối VPN
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng đợc. tích hợp hoàn toàn Quanratine,
Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác).
4.1.6 Về khả năng quản lý
Dễ dàng quản lý
Rất nhiều Wizard
Backup và Restore đơn giản.
Cho phép ủy quyền quản trị cho các User/Group
Log và Report chi tiết cụ thể.
Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)
Khai báo thêm server vào array dễ dàng (không khó khăn nh hồi ISA 2000, 2004 )
Tích hợp với giải pháp quản lý của Microsoft: MOM
4.1.7. Các tính năng khác
Hỗ trợ nhiều CPU và RAM (bản standard hỗ trợ đến 4CPU, 2GB RAM)
Max 32 node Network Loadbalancing
Hỗ trợ nhiều network,
Route/NAT theo từng network,
Firewall rule đa dạng
IDS
HTTP compression
4.2. Virus
Nếu chỉ nghe nói qua đến virus máy tính, thì những ngời không biết có thể cho rằng nó cũng nôm na tựa nh một loại virus bệnh dịch nào đó, và họ thờng phân vân không hiểu virus sẽ lây vào chỗ nào trong máy tính của mình và mình có cần cho máy tính của mình uống kháng sinh không nhỉ ?
Sự thật không phải vậy, virus máy tính thực chất chỉ là một chơng trình máy tính có khả năng tự sao chép chính nó từ đối tợng lây nhiễm này sang đối tợng khác (đối tợng có thể là các file chơng trình, văn bản, đĩa mềm...), và chơng trình đó mang tính phá hoại. Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhng chỉ cần bạn nhớ rằng đó là một đoạn chơng trình và đoạn chơng trình đó dùng để phục vụ những mục đích không tốt.
Virus máy tính là do con ngời tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành nh những bệnh dịch cho những chiếc máy tính và chúng tôi, các bạn, chúng ta là những ngời bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phơng pháp mới để hạn chế và tiêu diệt chúng. Cũng nh mọi vấn đề ngoài xã hội, cũng khó tránh khỏi việc có những loại bệnh mà phải dày công nghiên cứu mới trị đợc, hoặc cũng có những trờng hợp gây ra những hậu quả khôn lờng. Chính vì vậy, phơng châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính
4.3. Các loại Virus
Nếu bạn là ngời muốn tìm hiểu sâu hơn về virus thì hãy đọc phần này, nó sẽ giúp bạn có thêm một số kiến thức về các loại virus máy tính, để có thể tự tin trong việc phòng chống chúng. Tuy nhiên, nếu không cũng không sao, bạn chỉ cần nhớ câu nói trong phần trên là đủ: "Dờng nh tất cả mọi thứ đều có thể nhiễm virus, chúng không tha bất cứ cái gì và chúng sẽ thâm nhập vào tất cả những gì có thể ".
4.3.1. Virus Boot
Khi bạn bật máy tính, một đoạn chơng trình nhỏ để trong ổ đĩa khởi động của bạn sẽ đợc thực thi. Đoạn chơng trình này có nhiệm vụ nạp hệ điều hành mà bạn muốn (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thờng đợc để ở trên cùng của ổ đĩa khởi động, và chúng đợc gọi là "Boot sector". Những virus lây vào Boot sector thì đợc gọi là virus Boot.
Virus Boot thờng lây lan qua đĩa mềm là chủ yếu. Ngày nay ít khi chúng ta dùng đĩa mềm làm đĩa khởi động máy, vì vậy số lợng virus Boot không nhiều nh tr- ớc. Tuy nhiên, một điều rất tệ hại là chúng ta lại thờng xuyên để quên đĩa mềm trong ổ đĩa, và vô tình khi bật máy, đĩa mềm đó trở thành đĩa khởi động, điều gì xảy ra nếu chiếc đĩa đó có chứa virus Boot?
4.3.2. Virus File
Là những virus lây vào những file chơng trình nh file .com, .exe, .bat, .pif, .sys... Có lẽ khi đọc phần tiếp theo bạn sẽ tự hỏi "virus Macro cũng lây vào file, tại sao lại không gọi là virus File?". Câu trả lời nằm ở lịch sử phát triển của virus máy tính.
Nh bạn đã biết qua phần trên, mãi tới năm 1995 virus macro mới xuất hiện và rõ ràng nguyên lý của chúng khác xa so với những virus trớc đó (những virus File) nên mặc dù cũng lây vào các File, nhng không thể gọi chúng là virus File.
4.3.3. Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word) hay bảng tính (Microsoft Excel) và cả (Microsoft PowerPoint) trong bộ Microsoft Office. Macro là những đoạn mã giúp cho các file của Ofice tăng thêm một số tính năng, có thể định một số công việc sẵn có vào trong macro ấy, và mỗi lần gọi macro là các
phần cái sẵn lần lợt đợc thực hiện, giúp ngời sử dụng giảm bớt đợc công thao tác. Có thể hiểu nôm na việc dùng Macro giống nh việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các thao tác đó với chỉ một lệnh duy nhất.
4.4. IP security
4.4.1. Tổng quan
Giao thức IPsec đợc làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác nh SSL, TLS và SSH, đợc thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và các phơng thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
4.4.2. Cấu trúc bảo mật
IPsec đợc triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phơng thức xác thực và (3) thiết lập các thông số mã hoá.
Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví nh các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào ngời quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật
Trong các bớc thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index (đánh thứ tự và lu trong dữ liệu – Index ví nh một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin. Một quá trình tơng tự cũng đợc làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.
Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi ngời gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi ngời nhận chỉ biết đợc các keys đ- ợc gửi đi trong dữ liêu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
4.4.3. Các chuẩn hóa
IPsec là một phần bắt bợc của IPv6, có thể đợc lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã đợc thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec đợc định nghĩa từ RFCs 1825 – 1829, và đợc phổ biến năm 1995. Năm 1998, đợc nâng cấp với các phiên bản RFC 2401 – 2412, nó không tơng thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhng thế hệ mới đợc cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng đợc viết tắt lại là IPsec.
Sự khác nhau trong quy định viết tắt trong thế hệ đợc quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis.
4.4.4. Thiết kế
IPsec đợc cung cấp bởi Transport mode (end-to-end) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel mode (portal-to- portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu đợc sử dụng khi kết nối VPN.
IPsec có thể đợc sử dụng trong các giao tiếp VPN, sử dụng rất nhiều trong giao tiếp. Tuy nhiên trong việc triển khai thực hiện sẽ có sự khác nhau giữa hai mode này.
Giao tiếp end-to-end đợc bảo mật trong mạng Internet đợc phát triển chậm và phải chờ đợi rất lâu. Một phần bở lý do tính phổ thông của no không cao, hay không thiết thực, Public Key Infrastructure (PKI) đợc sử dụng trong phơng thức này.
IPsec đã đợc giới thiệu và cung cấp các dịch vụ bảo mật: • Mã hoá quá trình truyền thông tin
• Đảm bảo tính nguyên ven của dữ liệu • Phải đợc xác thực giữa các giao tiếp
• Chống quá trình replay trong các phiên bảo mật. • Các loại mode
Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode. • Transport mode
Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin đợc mã hoá và/hoặc xác thực. Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header đợc sử dụng, địa chỉ IP không thể biết đợc, bởi các thông tin đã bị hash (băm). Transport và application layers thờng đợc bảo mật bởi hàm băm (hash), và chúng không thể chỉnh sửa (ví dụ nh port number). Transport mode sử dụng trong tình huống giao tiếp host-to-host.
Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal đợc định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T.
• Tunnel mode
Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ đợc mã hoá và xác thực. Nó phải đợc đóng gói lại trong một dạng IP packet khác trong quá trình routing của router. Tunnel mode đợc sử dụng trong giao tiếp network-to- network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet.
4.4.5. Các giao thức
Có hai giao thức đợc phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:
• IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. • IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu.
4.4.6. Sự thi hành:
IPsec đợc thực hiện trong nhân với các trình quản lý các key và quá trình th- ơng lợng bảo mật ISAKMP/IKE từ ngời dùng. Tuy nhiên một chuẩn giao diện cho quản lý key, nó có thể đợc điều khiển bởi nhân của IPsec.
Bởi vì đợc cung cấp cho ngời dùng cuối, IPsec có thể đợc triển khai trên nhân của Linux. Dự án FreeS/WAN là dự án đầu tiên hoàn thành việc thực hiện IPsec trong mã nguồn mở cụ thể là Linux. Nó bao gồm một nhấn IPsec stack (KLIPS), kết hợp với trình quản lý key là deamon và rất nhiều shell scripts. Dự án FreeS/WAN đợc bắt đầu vào tháng 3 năm 2004. Openswan và strongSwan đã tiếp tục dự án FreeS/WAN. Dự án KAME cũng hoàn thành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB. Trình quản lý các khoá đợc gọi là racoon. OpenBSB đ- ợc tạo ra ISAKMP/IKE, với tên đơn giản là isakmpd (nó cũng đợc triển khai trên nhiều hệ thống, bao gồm cả hệ thống Linux).
Phần 5
Thiết Kế Mạng Cho Doanh Nghiệp Nhỏ
5.1. Các vấn đề cần lu ý:
Khi thiết kế một hệ thống LAN ta cần chú ý những hạng mục cần thực sau đây, giúp cho việc định hớng đúng tác thiết kế xây dựng 1 hệ thống mạng LAN. • Chi phí tổng thể cho việc đầu t trang thiết bị cho toàn hệ thống;
• Những yêu cầu thật cần thiết cho hệ thống mạng tại thời điểm xây dựng và những kế hoạch mở rộng hệ thống trong tơng lai;
• Cân nhắc áp dụng kiểu kiến trúc, công nghệ mạng thực sự cần thiết trong thời gian hiện tại và tơng lai;
• Khảo sát và lựa chọn ISP hội tụ những điều kiện tốt nhất cho mạng LAN của mình;
• Lên kế hoạch tiến độ thi công, thực hiện toàn bộ công trình; • Lập kế hoạch sử dụng tài chính;