Giới thiệu về Firewall

1. TÌM HIỂU VỀ PROXY

1.1. Giới thiệu về Firewall

Thuật ngữ Firewal có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng nhƣ hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cụ thể hơn, có thể hiểu Firewall là một cơ chế bảo vệ giữa mạng tin tƣởng (Trusted network), ví dụ Intranet, với các mạng không tin tƣởng mà thông thƣờng là Internet. Về mặt vật lý, Firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng Router. Về mặt chức năng, Firewall có nhiệm vụ:

- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngƣợc lại đều phải thực hiện thông qua Firewall.

- Chỉ có những trao đổi đƣợc phép bởi hệ thống Intranet (Trusted network) mới đƣợc quyền lƣu thông qua Firewall.

- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm:

Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ thống mạng nội bộ. Mỗi ngƣời sử dụng muốn truy cập hợp lệ phải có một tài khoản (Account) bao gồm một tên ngƣời dùng (username) và mật khẩu (password).

Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng nhƣ các ngồn thông tin trên mạng theo từng ngƣời, từng nhóm ngƣời sử dụng.

Quản lý kiểm toán (Accounting Management): Cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào đã đƣợc sử dụng hoặc thay đổi bổ sung...

1.2. Các loại firew ll và cách hoạt động.

a. Packet filtering (Bộ lọc gói tin).

Loại Firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép cho chúng lƣu thông hay ngăn chặn. Các thông số có thể lọc đƣợc của một packet nhƣ:

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 48 - Địa chỉ IP nơi nhận (Destination IP address).

- Cổng TCP nơi xuất phát (Source TCP port). - Cổng TCP nơi nhận (Destination TCP port).

Loại Firewall này cho phép kiểm soát đƣợc kết nối vào máy chủ, khóa việc truy cập vào hệ thống mạng nội bộ từng những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tƣơng ứng.

b. Application gateway.

Đây là loại Firewall đƣợc thiết kế tăng cƣờng chức năng kiểm soát các loại dịch vụ dựa trên những giao thức đƣợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hình Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Service. Một ứng dụng trong mạng nội bộ yêu cầu một đối tƣợng nào đó trên Internet, Proxy Server sẽ nhận và chuyển ngƣợc lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi kiểm soát các truy cập từ bên ngoài.

1.3. Giới thiệu ISA 2004.

Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm Share Internet của Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tƣờng lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tƣơng thích với mạng LAN. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lƣu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch tự động download thông tin trên các WebServer lƣu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).

1.4. Đặc điểm của ISA 2004.

Các đặc điểm của Microsoft ISA 2004:

Cung cấp tính năng Multi-networking: kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con...

- Stateful inspection of all traffic: cho phép giám sát tất cả các lƣu lƣợng mạng. - NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ

liệu cho mạng con.

- Network templates: Cung cấp các mô hình mẫu (Network templates) về một kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tƣơng ứng.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 49 - Có thể giới hạn HTTP Dowload.

- Có thể giới hạn truy xuất web cho tất cả các Client dựa trên nội dung truy cập. - Điều khiển một số phƣơng thức truy xuất của HTTP.

2. CÀI ĐẶT ISA 2004 TRÊN MÁY ISA SERVER 2.1. Yêu cầu cài đặt 2.1. Yêu cầu cài đặt

Thành phần Yêu cầu đề nghị

Bộ xử lý Intel hoặc AMD 500Mhz trở lên

Hệ điểu hành Windows 2003 hoặc Windows 2000 (SP4).

Bộ nhớ 256 MB hoặc 512 MB cho hệ thông không sử dụng Web caching, 1GB cho Web-caching ISA firewalls.

Không gian đĩa Ổ địa cài đặt ISA thuộc lọa NTFS file system, ít nhất còn 150 MB dành cho ISA.

Card mạng Ít nhất phải có một NIC (khuyến cáo phải có 2 NIC)

Máy ISA Server phải đƣợc Join vào Domain Name System: thuctap.com.vn Tại máy ISA Server lắp 2 card mạng gồm:

- LAN Interface: Kết nối với mạng trong (Internal Network) - WAN Interface: Kết nối với mạng ngoài (External Network)

2.2. Quá trình cài đặt ISA 2004.

ISA Firewall thuờng đƣợc triển khai trên dual-homed host (máy chủ có hai Ethernet cards) hoặc multi-homed host (máy có chủ có nhiều card mạng) điều này có nghĩa ISA Server có thể thực thi đầy đủ các tính năng của nó nhƣ ISA Firewall, SecureNAT, Server Publishing Rule, VPN,...

a. Cấu hình địa chỉ IP cho máy ISA Server Chúng ta vào Properties của My Computer

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 50

 Chọn LAN Interface => Clicl phải chuột vào LAN Interface => Properties =>

Cửa sổ LAN properties xuất hiện. Chọn giao thức Internet Prtocol (TCP/IP)

Hình 2.2: LAN Properties

Đặt địa chỉ nhƣ hình dƣới => Nhấn Ok để hoàn tất.

Hình 2.3: Internet Protocol (ICP/IP) Properties

 Chọn WAN Interface => Click phải chuột vào WAN chọn Properties. Cửa sổ WAN Properties xuất hiện. Chọn giao thức Internet Protocol (TCP/IP) => Properties.

Đặt thông tin về TCP/IP cho WAN Interface nhƣ hình. Sau đó nhấn Ok để hoàn tất.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 51

Hình 2.4: Internet Protocol (ICP/IP) Properties

b. Các bƣớc cài đặt ISA Firewall software.

Chạy tập tin issaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source. Nhấn chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2004”.

Hình 2.5: Microsoft ISA Server 2004 Setup

Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizad for Microsoft ISA Server 2004” để tiếp tục cài đăt.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 52

Hình 2.6: License Agreement

Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục.

Hình 2.7: Customer Information

Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 53

Hình 2.8: Setup Type

Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Addvanced Logging và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share để các Client có thể sử dụng phần mềm này hỗ trợ truy xuất web qua Web proxy. Chọn Next để tiếp tục.

Hình 2.9: Chọn Firewall Client Installation Share

Ta có hai cách định nghĩa internet network addresses trong hộp thoại Internal Network setup. Ở đây ta sẽ sử dụng cách mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Ta sẽ nhập IP Address nhƣ sau:

- Form: 172.168.1.1 - To: 172.168.1.254

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 54

Hình 2.10: Mô tả Internal Network Address Ranges.

Sau đó ta nhất nút Add.

Nhấn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt.

Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trƣớc, chọn Next.

Hình 2.11: Tùy chọn tương thích với ISA Client.

Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP và IIS Admin Service trong quá trình cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF) và IP Network Address Translation (RRAS NAT Service) services.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 55 Chọn Finish để hòa tất quá trình cài đặt.

Tiếp đó ta tiến hành cài Microsoft ISA Server 2004 Service Pack 3. Vào thƣ mục D:\ISA2004StaEdition\isaservicepack3.

Hình 2.12: Thư mục ISA Service Pack 3

Chạy file ISA2004SE-KB924406-x86-ENU.msp. Cửa sổ Microsoft ISA Server 2004 Service Pack 3 – Installation Wizard xuất hiện nhấn Next để tiến hành nâng cấp.

Chọn Radio “I accept ..” trong hộp thoại License Agreement , Chấp nhận các điều khoản trong thỏa thuận cấp phép => Nhấn Update để tiến hành nâng cấp.

Hình 2.13: Cửa sổ License Agreement

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 56

Hình 2.14: Tính trình cài đặt diễn ra

Giao diện chƣơng trình ISA Server 2004:

Hình 2.15: System policy rule

2.3. Cấu hình ISA Server.

a. Một số thông tin cấu hình mặc định. Tóm tắt một số thông tin cấu hình mặc định:

System Policies cung cấp sẵn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các traffic còn lại đều bị cấm.

Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network. Cho phép NAT giữa Internal Network và External Network.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 57

Đặc điểm Cấu hình mặc định

User permissions

Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của Administrator group trên máy tính nội bộ có thể cấu hình Firewall Policy).

Network settings

Các Network Rules đƣợc tạo sau khi cài đặt:

Local Host Access: Định nghĩa đƣờng đi (route) giữa Local Host network và tất cả các mạng khác.

Internet Access: Định nghĩa Network Address Translation (NAT).

VPN Client to Internal Network dùng để định nghĩa đƣờng đi VPN Clients Network và Internal Network.

Firewall policy Cung cấp một Access Rule mặc định tên là Defaul Rule để cấm tất cả các traffic giữa các mạng.

System policy

ISA Firewall sử dụng system policy để bảo mật hệ thống. Một system policy rule chỉ cho phép truy xuấy một số service cần thiết.

Web chaining

Cung cấp một luật mặc định có tên Defaul Rule để chỉ định rằng tất cả các request của Web Proxy Client đƣợc nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác.

Caching

Mặc định ban đầu cache zine có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web caching.

Alerts Hầu hết cơ chế cảnh báo đƣợc cho phép để theo dõi và giám sát sự kiện.

Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình.

2.4. Tạo và dụng Firewall Access Policy.

Access Policy của ISA Firewall bao gồm các tính năng nhƣ: Web Publishing Rules, Server Publishing Rules và Access Rules.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 58

+ Web publishing Rules và Server Publishing Rules đƣợc sử dụng để cho phép inbound access.

+ Access rules dùng để điều khiển outbound access.

ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down, nếu packet phù hợp với một luật nào đó thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu packet không phù hợp với bất kỳ System Access Policy và User-Defined Policy thì ISA Firewall deny packet này.

Một số tham số mà Access Rule sẽ kiểm tra trong connection request:

+ Protocol: Giao thức sử dụng

+ From: Địa chỉ nguồn.

+ Schedule: Thời gian thực thi luật.

+ To: Địa chỉ đích.

+ Users: Ngƣời dùng truy xuất.

+ Content type: Loại nội dung cho HTTP connection.

a. Tạo rule cho phép các bên trong (Internal Network) đƣợc phép truy cập Internet.

Chúng ta chọn mục Firewall Policy chọn Tab Tasks (Góc bên phải). Chọn vào

mục Create NEW ACCSS RULE.

Hình 2.16: New Access Rule Wizard

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 59 Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny đƣợc đặt mặc định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp. Ở Rule này là cho phép nên chúng ta chọn Allow. Sau đó chọn Next để tiếp tục.

Hình 2.17: Rule Action

Hiển thị hộp thoại “Protocols”. Ta sẽ chọn giao thức (protocol) để cho phép/ cấm outbound trafic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh sách This rule applies to.

- All outbound traffic: Để cho phép tất cả các protocol outbound. Tầm ảnh hƣởng của tùy chọn này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật đối với Firewall Clients thì tùy chọn này cho phép tất cả các protocol ra ngoài (outbound), bao gồm secondary protocol đã đƣợc định nghĩa hoặc chƣa đƣợc định nghĩa trong ISA firewall. Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã đƣợc định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một protocol nào đó thì phải mô tả protocol vào protocol panel đƣợc cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client.

- Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng protocols để áp đặt vào luật. Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một protocol definition.

- All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà không đƣợc định nghĩa trong hộp thoại.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 60

Hình 2.18: Select Protocols

Hiển thị hộp thoại Acces Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào luật bằng cách chọn Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa chỉ nguồn từ hộp thoại này.

Chúng ta chọn mục Internal trong phần Networks. Sau đó nhấn Add => Close.

Hình 2.19: Access Rule Sources

Hiển thị hộp thoại Access rule Destinations cho phép chọn địa chỉ đích (destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này cho phép ta chọn địa chỉ đích (Destination) đƣợc mô tả sẵn trong hộp thoại hoặc có thể định nghĩa một destination mới, thông thƣờng ta chọn External network cho destination rule, sau đó khi hoàn tất quá trình ta chọn nút Next để tiếp tục.

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 61

Hình 2.20: Access Rule Destinations

Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật sẽ áp dụng cho tất cả user (All Users), ta có thể chỉnh thông số bằng cách chọn Edit hoặc thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục.

Hình 2.21: User Sets

Chọn Finish để hoàn tất. Sau đó chọn Apply để hoàn tất quá trình tạo Rule.  Thay đổi thuộc tính của Access Rule:

Trong hộp thoại thuộc tính của Access Rule chứa đầy đủ các thuộc tính cần thiết để thiết lập luật có một số thuộc tính chỉ có thể cấu hình trong hộp thoại này mà không thể cấu hình trong quá trình tạo Access Rule, thông thƣờng ta truy xuất hộp thoại thuộc tính của luật khi ta muốn kiểm tra hoặc thay đổi các điều kiện đã đặt trƣớc đó. Để truy

Khoa Công nghệ Thông tin – Trường Đại học CNVT Trang 62 xuất thuộc tính của Access Rule ta nhấp kép chuột vào tên luật trong Firewall policy panel.

Một số tab thuộc tính của Access Rule:

- Genareal tab: Cho phép ta có thể thay đổi tên Access Rule, Enable/Disable