2. Cơ sở lí thuyết
2.4 Cấu hình các chính sách truy cập trên ISA Server – ISA Server 2004 Access Policy
ISA Server 2004 Access Policy
ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004 firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng để cho phép lưu thông này là:
Access Rules- Các quy tắc truy cập
Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ nằm trong đến một Network khác không được bảo vệ nằm ngoài.
ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External. Còn tất cả các Network được xác định là external Network thì không được bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network, Quarantined VPN Client Network – mạng VPN cách ly, Local Host
Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài.
Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail, FTP server. Web and server public rules có thể cho phép External hosts truy cập vào các tài nguyên này.
Ở những phần trước ta đã dùng các Network Template để tự động tạo ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user được truy cập trên internet.
Bảng III.4.1 Một Access rules bao gồm các yếu tố sau:
Rules Element Mô tả
Thứ tự (độ ưu tiên)- order
Firewall Access Policy là một danh sác các Access Rules được xử lý theo thứ tự từ trên xuống đến khi gặp
1 điều kiện cụ thể được quy định, khi đó sẽ áp dụng theo quy định ấy Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra
là Allow- cho phép hoặc Deny – từ chối
Protocol Protocol bao gồm tất cả các TCP/IP protocol, TCP, UDP, ICMP, tất cả các
giao thức được căn cứ trên IP protocol number, Firewall hỗ trợ tất cả
TCP/IP Protocols Nguồn –
From/listener
Nguồn giao tiếp có thể từ 1 IP Active Directorydress, một dãy IP Active Directorydress, một subnet, hay nhiều
subnet
Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập hợp các domain, một URL hay một tập các URL, một IP hay
một tập cá IP, một subnet hay tập các subnet, hoặc tập các Network Điều kiện – Điều kiện đưa ra là căn cứ vào user
Condition hoặc group nào sẽ được rule áp dụng Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó. Ví dụ:
Rules Element Giá trị Order(priority) 1
Action Allow
Protocols HTTP & FTP From Internal Network
To FTP.com
Condition Limited web access(Group)
Để có thể sử dụng được các Access rules điều khiển người dùng hay các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng có thể thực hiện dựa trên IP nguồn.
Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều khiển việc truy cập đến một số website và việc sử dụng giao thức nào để thực hiện công việc này.
3. Hiện trạng hệ thống
Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client tiếp xúc trực tiếp với mạng internet qua
modem nên nguy cơ bị tấn công cao.
Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông tin không cho phép.
Các luồng dũ liệu trong công ty chưa được phân chía.