Các loại firewall và cách hoạt động

CHƯƠNG 10 : TƯỜNG LỬ A ISA

10.1. Firewall

10.1.3. Các loại firewall và cách hoạt động

166 10.1.3.1. Packet filtering (Bộ lọc gói tin)

Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép cho chúng lƣu thông hay ngăn chặn . Các thông số có thể lọc đƣợc của một packet nhƣ: - Địa chỉ IP nơi xuất phát (source IP address).

- Địa chỉ IP nơi nhận (destination IP address). - Cổng TCP nơi xuất phát (source TCP port). - Cổng TCP nơi nhận (destination TCP port).

Loại Firewall này cho phép kiểm soát đƣợc kết nối vào máy chủ, khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng

TCP tƣơng ứng.

10.1.3.2. Application gateway

Đây là loại firewall đƣợc thiết kế để tăng cƣờng chức năng kiểm soát các loại dịch vụ dựa trên những giao thức đƣợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hình Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. Một ứng dụng trong mạng nội bộ yêu cầu một đối tƣợng nào đó trên Internet, Proxy Server sẽ nhận yêu cầu này và chuyển đến Server trên Internet. Khi

Server trên Internet trả lời, Proxy Server sẽ nhận và chuyển ngƣợc lại cho ứng dụng đã gửi

yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của application

gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi kiểm soát các truy

cập từ bên ngoài. Ví dụ:

Một hệ thống mạng có chức năng packet filtering ngăn chặn các kết nối bằng TELNET vào hệ thống ngoại trừ một máy duy nhất - TELNET application gateway là đƣợc phép. Một ngƣời muốn kết nối vào hệ thống bằng TELNET phải qua các bƣớc sau:

- Thực hiện telnet vào máy chủ bên trong cần truy cập.

- Gateway kiểm tra địa chỉ IP nơi xuất phát của ngƣời truy cập để cho phép hoặc từ chối. - Ngƣời truy cập phải vƣợt qua hệ thống kiểm tra xác thực.

- Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập. - Proxy Service liên kết lƣu thông giữa ngƣời truy cập và máy chủ trong mạng nội bộ. Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhƣợc điểm là hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy

167 cơ mất an toàn sẽ tăng lên.

Thông thƣờng những phần mềm Proxy Server hoạt động nhƣ một gateway nối giữa hai mạng, mạng bên trong và mạng bên ngoài.

Hình 10.4: Mô hình hoạt động của Proxy.

Đƣờng kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet

(Internet Service Provider - ISP) có thể chọn một trong các cách sau:

- Dùng Modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập

Internet. Dùng dial-up thì tốc độ bị giới hạn, thƣờng là 28.8 Kbps - 36.6 Kbps. Hiện nay

đã có Modem analog tốc độ 56 Kbps nhƣng chƣa đƣợc thử nghiệm nhiều. Phƣơng pháp dùng dial-up qua Modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng dịch

vụ Web và E-Mail.

- Dùng đƣờng ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá phổ biến ở một số nƣớc tiên tiến. Dịch vụ này dùng tín hiệu số trên đƣờng truyền nên không cần

Modem analog, cho phép truyền cả tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao

ISDN (đƣờng truyền dẫn thông tin giữa ngƣời sử dụng và mạng) có thể đạt tốc độ từ 64 Kbps đến 138,24 Mbps. Dịch vụ ISDN thích hợp cho các công ty vừa và lớn, yêu cầu băng thông lớn mà việc dùng Modem analog không đáp ứng đƣợc.

Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet

hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có bộ phối ghép ISDN cài trên Server.

168 Hình 10.5: Mô hình kết nối mạng Internet.

Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào yêu cầu cụ thể của công ty, ví dụ nhƣ số ngƣời cần truy cập Internet, các dịch vụ và ứng dụng nào đƣợc sử dụng, các đƣờng kết nối và cách tính cƣớc mà ISP có thể cung cấp.

10.2. Giới Thiệu ISA 2006

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share

internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2006 Server,

. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tƣờng lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tƣơng thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lƣu Cache

trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lƣu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN)

10.3. Đặc Điểm Của ISA 2006

Các đặc điểm của Microsoft ISA 2006:

- Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…

- Unique per-network policies: Đặc điểm Multi-networking đƣợc cung cấp trong

ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của

các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter

network (đƣợc xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho

phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client

bên ngoài truy xuất trực tiếp vào mạng nội bộ.

- Stateful inspection of all traffic: Cho phép giám sát tất cả các lƣu lƣợng mạng.

169 liệu cho mạng con.

- Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến

trúc mạng, kèm theo một số luật cần thiết cho network templates tƣơng ứng.

- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp nhƣ giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tƣơng thích với VPN trên các hệ thống khác.

- Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống nhƣ Authentication, Publish Server, giới hạn một số traffic.

- Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đƣờng truyền, Web proxy để chia sẻ truy xuất Web.

- Cung cấp một số tính năng quản lý hiệu quả nhƣ: giám sát lƣu lƣợng, reporting qua

Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông

qua kỹ thuật gởi thông báo qua E-mail,..

- Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2006, không giống nhƣ packet filtering firewall truyền thống, ISA 2006 có thể thao tác sâu hơn nhƣ có thể lọc đƣợc các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của

ALF:

- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP.

- Chặn đƣợc các cả các loại tập tin thực thi chạy trên nền Windows nhƣ .pif, .com,… - Có thể giới hạn HTTP download.

- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập. - Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).

- Điều khiển một số phƣơng thức truy xuất của HTTP.

10.3. Cài Đặt ISA 2006

10.3.1. Yêu cầu cài đặt

Thành phần Yêu cầu đề nghị

Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trở lên.

Hệ điều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack 4).

Bộ nhớ (Memory) 256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls.

170 còn 150 MB dành cho ISA.

NIC Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC)

10.3.2. Quá trình cài đặt ISA 2006

10.3.2.1. Cài đặt ISA trên máy chủ 1 card mạng

Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là Unihomed ISA

Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ

trợ một số chức năng: - SecureNAT client. - Firewall Client.

- Server Publishing Rule.

- Remote Access VPN.

- Site-to-Site VPN. - Multi-networking.

- Application-layer inspection ( trừ giao thức HTTP) Các bƣớc cài đặt ISA firewall trên máy chủ chỉ có một NIC:

Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 source.

Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2006”.

Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt.

Chọn tùy chọn Select “I accept” trong hộp thoại “ License Agreement”, chọn Next

Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục .

Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next.

Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉ hỗ trợ Web Proxy Client nên ta có thể không chọn tùy chọn Firewall client Installation share tuy nhiên ta có thể chọn nó để các Client có thể sử dụng phần mềm này để hỗ trợ truy xuất Web qua Web Proxy. Chọn Next để tiếp tục.

171 Hình 10.6: Chọn Firewall Client Installation Share.

Chỉ định address range cho cho Internet network trong hộp thoại “Internal Network”, sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC.

Hình 10.7: Mô tả Internal Network Range.

Sau khi mô tả xong “Internet Network address ranges”, chọn Next trong hộp thoại “Firewall Client Connection Settings”. Sau đó chƣơng trình sẽ tiến hành cài đặt vào hệ thống, chọn nút Finish để hoàn tất quá trình.

10.3.2.2. Cài đặt ISA trên máy chủ có nhiều card mạng

ISA Firewall thƣờng đƣợc triển khai trên dual-homed host (máy chủ có hai Ethernet

cards) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA server

có thể thực thi đầy đủ các tính năng của nó nhƣ ISA Firewall, SecureNAT, Server

Publishing Rule, VPN,…

Các bƣớc cài đặt ISA firewall software trên multihomed host:

Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 source.

Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2006”.

172 Chọn Install ISA Server 2006

Nhấp chuột vào nút chọn Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt.

Chọn tùy chọn Select “I accept the terms in the license agreement”, chọn Next.

Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number

textbox. Nhấp Next để tiếp tục .

Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Typical, chọn Next.

173 Chọn Next để tiếp tục. Chọn Add

Chọn add Adapter

Chọn card lan là card bên trong mạng nội bộ

Hình 10.9: Chọn Network Adapter.

Xuất hiện thông báo cho biết Internal network đƣợc định nghĩa dựa vào Windows routing

table. Chọn OK trong hộp thoại Internal network address ranges.

Hình 10.10: Internal Network Address Ranges.

Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt.

Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trƣớc, chọn Next.

174 Hình 10.11: Tùy chọn tƣơng thích với ISA Client.

Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. Chọn Next

Chọn Finish để hoàn tất quá trình cài đặt.

10.5. Cấu hình ISA Server

10.5.1. Một số thông tin cấu hình mặc định

- Tóm tắt một số thông tin cấu hình mặc định:

- System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các traffic còn lại đều bị cấm.

- Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network. - Cho phép NAT giữa Internal Network và External Network.

- Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall. Đặc điểm Cấu hình mặc định (Post-installation Settings)

User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của Administrators group trên máy tính nội bộ có thể cấu hình firewall policy).

175 Network settings Các Network Rules đƣợc tạo sau khi cài đặt:

Local Host Access: Định nghĩa đƣờng đi (route) giữa Local

Host network và tất cả các mạng khác.

Internet Access: Định nghĩa Network Address Translation

(NAT).

VPN Clients to Internal Network: dùng để định nghĩa đƣờng

đi VPN Clients

Network và Internal Network.

Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các traffic giữa các mạng.

System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system policy rule chỉ cho phép truy xuất một số service

cần thiết.

Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các request của Web Proxy Client đƣợc nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác.

Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web caching.

Alerts Hầu hết cơ chế cảnh báo đƣợc cho phép để theo dõi và gián sát sự kiện.

Client

configuration

Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó

nó sẽ cấu hình thông số proxy dụng Web browser.

10.5.2. Một số chính sách mặc định của hệ thống

Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule)

bằng cách chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show

176 Hình 10.12: System policy Rules.

Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy

item.

177

10.5.3. Cấu hình Web proxy cho ISA

Trong phần này ta sẽ khảo sát nhanh các bƣớc làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.

Hình 10.14: System Policy Editor.

- Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web

thông qua giao thức HTTP/HTTPS tới một số site đƣợc chỉ định sẳn trong Domain Name

Sets đƣợc mô tả dƣới tên là “system policy allow sites” bao gồm:

- *.windows.com

- *.windowsupdate.com - *.microsoft.com

Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites

hoặc hiệu chỉ lại System Policy Rule có tên

+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong

ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi

vào item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ truy xuất theo cú pháp *.domain_name.

- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable

luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers

for connectivity verifiers” (tham khảo Hình 10.15), sau đó ta chọn nút Apply trong Firewall

178 Hình 10.15: Mô tả System Policy Sites.

Chú ý:

- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngƣợc lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server.

+ Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them