GTQTM_ChinhSuaCuoi

151

công tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa hơn, các
hoạt động của người tấn công có thể được ghi lại và theo dõi.

Nếu có thể giữ người phá hoại trong một thời gian, người quản trị có thể lần
theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo
tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền
tập tin về nơi của kẻ tấn công qua kết nối Internet.

Xây dựng firewall là một biện pháp hữu hiệu, nó cho phép bảo vệ và kiểm
soát hầu hết các thông tin được trao đổi trong hệ thống. Do đó firewall được áp
dụng rất phổ biến trong các giải pháp bảo vệ hệ thống mạng hiện nay. Để firewall
làm việc hiệu quả thì tất cả việc trao đổi thông tin từ trong ra ngoài và từ ngoài vào
trong đều bắt buộc phải “đi qua” firewall.

5.1.3. Mô hình mạng sử dụng firewall

Hình 5-3: Mô hình cơ bản hệ thống mạng sử dụng firewall
DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng đường mạng
(hoặc có subnet) khác với mạng internal. Và các server như Web, Mail, FTP… là

152

các dịch vụ mà người dùng có thể truy cập và sử dụng thông qua các mạng ngoài
như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích
nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.

Giữa DMZ và mạng internet ta có thể đặt một firewall để cho phép các kết
nối từ mạng internet chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ
ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào
internal.

Internal network là mạng nội bộ dùng cho các máy tính, thiết bị nội bộ kết
nối với nhau để người sử dụng làm việc.

Một hệ thống mạng gồm DMZ network, Internal network, Internet network
và có sử dụng Firewall thì có nhiều cách thiết kế. Nhưng hai mô hình cơ bản và
thường gặp nhất là: single firewall (hay three legged firewall) và dual firewall.

 Single firewall

Chúng ta sẽ cần một thiết bị Firewall có ba NIC (network interface card).
Trong đó, một NIC nối với mạng Internet, NIC thứ hai nối với mạng DMZ, và NIC
còn lại nối với mạng internal.

Single Firewall hay còn gọi là “three legged firewall” (gồm có ba chân, mỗi
“chân” của firewall chính là một NIC). Lúc này “three legged firewall” phải phải
thực hiện chức năng lọc toàn bộ dữ liệu lưu thông qua ba mạng (internal, internet và
DMZ) và single firewall chính là điểm chịu lỗi duy nhất (single point of failure) cho
toàn hệ thống mạng.

Giả sử có sự cố xảy ra với “three legged firewall” thì toàn bộ hệ thống mạng
DMZ và mạng internal sẽ mất sự bảo vệ. Nhưng với mô hình này chúng ta sẽ giảm
chi phí đầu tư hơn mô hình dual firewall (vì chỉ sử dụng một firewall).

Trong single chúng ta có thể tạo ra hai hoặc nhiều mạng DMZ tách biệt có
network ID khác nhau bằng cách thêm nhiều NIC tương ứng cho single firewall.

153

Hình 5-4: Mô hình mạng sử dụng single firewall (three legged firewall)
 Dual firewall

Trong mô hình này chúng ta sẽ cần có 2 thiết bị firewall riêng biệt, mỗi một
thiết bị sẽ cần có 2 NIC và được thiết kế như sau:

Firewall thứ nhất (còn được gọi là front-end firewall) có một NIC nối với
mạng internet (external interface) và NIC còn lại nối với DMZ (internal interface).
Front-end firewall này có nhiệm vụ kiểm soát traffic từ Internet tới mạng DMZ và
mạng internal.

Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ
(external interface) và NIC còn lại nối với mạng internal (internal interface). Back-
end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng
internal.

Từ mô hình trên chúng ta thấy rằng mô hình dual firewall sẽ cho hiệu suất và
độ an toàn cho hệ thống mạng cao hơn so với mô hình single firewall. Tuy nhiên
mô hình này tốn kém hơn vì phải đầu tư hai thiết bị firewall riêng biệt. Rõ ràng, so
với single firewall thì giải pháp này tuy tốn kém hơn về chi phí triển khai khi phải
đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và độ an toàn cho hệ

154

thống mạng của chúng ta sẽ được cải thiện. Vì vậy nên tùy thuộc vào từng trường
hợp của hệ thống mạng chúng ta sẽ xem xét và lựa chọn giữa single firewall hay
dual firewall cho thích hợp.

Hình 5-5: Mô hình mạng sử dụng dual firewall
Cũng có một số khuyến cáo cho rằng chúng ta nên chọn hai firewall từ hai
nhà cung cấp (vendor) khác nhau với lý do là nếu hacker có thể bẻ gãy firewall đầu
tiên thì cũng chắc hẳn cũng khó khăn hơn trong việc phá vỡ firewall thứ hai bởi
chúng được tạo nên theo những cách khác nhau.

5.1.4. Phân loại Firewall

Có nhiều cách để phân loại firewall, phân loại theo cấu tạo thì chúng ta có
các loại: firewall cứng, firewall mềm, hoặc loại kết hợp cả hai loại trên. Ngoài ra
chúng ta còn có thể phân loại firewall theo chức năng như: Packet Filtering,
Application-Level-Gateway hay Application Proxy Server, Circuit Level Gateway.
Sau đây chúng ta sẽ tìm hiểu về từng loại firewall.

5.1.4.1. Firewall cứng

Là loại firewall được các nhà sản xuất tích hợp trực tiếp lên thiết bị phần
cứng như Router Cisco, Check point, Planet, Juniper….

155

Đặc điểm: Không được linh hoạt như firewall mềm vì hầu như các firewall
cứng đều hướng theo xu thế tích hợp tất cả trong một đối với những firewall cứng
trước kia (ví dụ: không thể thêm quy tắc hay chức năng ngoài những chức năng đã
được tích hợp sẵn…). Hiện nay xuất hiện xu hướng mới của firewall cứng mà đi
đầu là dòng sản phẩm PIX ASA 5500 của Cisco. Tuy là firewall cứng nhưng có khả
năng tích hợp những module khác ngoài module có sẵn. Cấu trúc chính của loại
firewall này bao gồm:

 Adaptive tích hợp cơ bản hầu hết các tính năng chính của một firewall
như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface
trên nó. Một Adaptive có thể hoạt động độc lập mà không cần bất kỳ
module nào khác. Adaptive hỗ trợ nhiều cách cấu hình: Cấu hình thông
qua giao diện web hoặc cấu hình qua cổng console …

 Các module riêng lẻ: mỗi module thực hiện một chức năng chuyên biệt
và kết nối trực tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối
nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối
trực tiếp với module đó. Có nhiều loại module thực hiện nhiều chức năng
khác nhau: cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt,
cung cấp hệ thống cảnh báo cao cấp IPS,…

 Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.

5.1.4.2. Firewall mềm

Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall. Có
2 loại là Statefull Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường
lửa không trạng thái).

Đặc điểm :

 Có tính linh hoạt cao: có thể thêm bớt các luật hoặc các chức năng vì bản
chất nó chỉ là một phần mềm.

 Hoạt động ở tầng ứng dụng (layer 7).

156

 Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa
được quy định trong chương trình.

5.1.4.3. Firewall được xây dựng dựa trên Bộ lọc dữ liệu

Việc các thiết bị truyền dữ liệu trên mạng hiện nay thường sử dụng giao thức
TCP/IP (các dịch vụ http, smtp, ftp, telnet, nfs…, hoặc các chương trình yahoo
messenger, skype, game online…). Giao thức này hoạt động dựa trên nguyên tắc
chia nhỏ dữ liệu thành các phần nhỏ hơn còn gọi là gói tin (packet data) để tối ưu
hóa việc truyền dữ liệu. Mỗi packet data ngoài việc chứa phần thông tin cần truyền
còn chứa phần thông tin về địa chỉ nguồn, địa chỉ đích, Flags, Protocol…. Do đó ta
có thể xây dựng firewall dựa trên nguyên tắc lọc gói tin (Packet Filter).

Phương thức lọc gói tin sẽ kiểm tra tất cả các gói tin. Packet filter sẽ cho
phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ packet để quyết
định xem packet đó có thoả mãn một trong số các điệu kiện lọc (Rule) của packet
filtering hay không. Các điều kiện lọc của packet filter này là dựa trên các thông tin
ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các gói tin đó ở trên
mạng. Đó là các thông tin như:

 Địa chỉ IP nguồn ( IP Source address).

 Địa chỉ IP đích (IP Destination address).
 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).

 Cổng TCP/UDP nguồn (TCP/UDP source port).

 Cổng TCP/UDP (TCP/UDP destination port).
 Dạng thông báo ICMP (ICMP message type).

 Giao diện gói tin đến (incoming interface of packet).
 Giao diện gói tin đi (outcoming interface of packet)
Firewall lọc gói tin sẽ theo dõi 4 tham số của mỗi gói tin TCP/IP là địa chỉ IP
nguồn và địa chỉ IP đích (tầng IP), cổng dịch vụ nguồn và cổng dịch vụ đích (tầng

157

TCP/UDP). Nếu các tham số này thoả mãn một điệu kiện lọc (Rule) cho trước nào
đó thì hành động của điều kiện lọc sẽ được áp dụng cho gói tin đó. Thông thường là
hành động huỷ bỏ gói tin hoặc chuyển tiếp gói tin. Firewall lọc gói không kiểm tra
nội dung của gói tin chuyển qua, do đó không thể kiểm soát được kết nối hoặc giao
thức nào thông qua firewall lọc gói.

Ví dụ người quản trị firewall quyết định rằng không cho phép bất kỳ một gói
tin nào xuất phát từ mạng microsoft.com được kết nối với mạng internal thì các gói
tin xuất phát từ mạng này sẽ không bao giờ đến được mạng internal.

Firewall loại này thường được kết hợp cùng với router. Các firewall hoạt
động ở lớp mạng thường cho tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP.
Chính việc này làm giảm tính tin cậy của nó. Kiểu firewall này sử dụng địa chỉ IP
làm chỉ thị, và điều này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là
địa chỉ giả thì như vậy nó sẽ có được một số mức truy nhập vào mạng internal của
chúng ta. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc
gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet
filtering phức tạp thì không chỉ có địa chỉ IP nguồn và địa chỉ IP đích được kiểm tra
bởi Firewall mà còn có các thông tin khác nữa được kiểm tra với các điều kiện lọc
được tạo ra trên firewall, các thông tin khác này có thể là thời gian truy nhập, giao
thức sử dụng, port ... Nếu điều kiện lọc gói tin được thoả mãn thì gói tin được thông
qua. Nếu không gói tin sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn chặn được các
kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập
vào hệ thống mạng internal từ những địa chỉ không cho phép. Hơn nữa, việc kiểm
soát các cổng làm cho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất
định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,
SMTP, FTP…) được phép mới được chạy trên hệ thống mạng internal..

158

Ưu điểm:

 Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những
ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc
packet đã được tích hợp sẵn trong mỗi phần mềm router.

 Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy người sử dụng không cần cấu hình hay cài đặt nào cả.

 Tốc độ xử lý của firewall rất nhanh.

Nhược điểm:

 Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các
dạng packet header, và các giá trị cụ thể của các thông tin trong packet
header. Khi yêu cầu về điều kiện lọc càng nhiều, các điều kiện lọc dài và
phức tạp, sẽ dẫn đến rất khó để quản lý và vận hành.

 Tường lửa loại này không thể kiểm tra dữ liệu lớp trên, không thể ngăn
chặn các cuộc tấn công có sử dụng các lỗ hổng ứng dụng cụ thể. Ví dụ,
tường lửa loại này không thể ngăn chặn các lệnh ứng dụng cụ thể, nếu nó
cho phép một ứng dụng nhất định, tất cả các chức năng có sẵn trong ứng
dụng đó sẽ được cho phép.

 Do các thông tin có sẵn hạn chế cho tường lửa, hiện tại thì chức năng
đăng nhập vào tường lửa bị hạn chế. Packet-filtering lọc các bản log
thông thường chứa các thông tin tương tự được sử dụng để đưa ra quyết
định kiểm soát truy cập (địa chỉ nguồn, địa chỉ đích, và loại hình lưu
lượng).

 Hầu hết các tường lửa loại này không hỗ trợ các chương trình xác thực
người dùng cao cấp. Một lần nữa hạn chế này chủ yếu là do thiếu chức
năng lớp trên của tường lửa.

159

 Chúng thường bị tấn công và khai thác bằng cách tận dụng các lỗ hổng
của các đặc điểm kỹ thuật TCP/IP và giao thức, chẳng hạn như giả mạo
địa chỉ lớp network. Nhiều tường lửa packet-filtering không thể phát hiện
một gói tin mà trong đó các thông tin của lớp 3 đã bị thay đổi. Các cuộc
tấn công giả mạo thường được sử dụng bởi những kẻ xâm nhập để vượt
qua kiểm soát an ninh được thực hiện bên trong tường lửa.

 Cuối cùng, do số lượng nhỏ của các biến được sử dụng trong quyết định
kiểm soát truy cập, packet-filtering dễ bị vi phạm an ninh gây ra bởi các
cấu hình không phù hợp. Nói cách khác, rất dễ cấu hình tường lửa cho
phép các loại lưu lượng, nguồn và đích đáng lẽ nên bị từ loại bỏ dựa trên
chính sách đặt ra của tổ chức.

Từ những nhược điểm trên, các hacker có một số cách tấn công có thể được
thực hiện trên các tường lửa packet-filtering và một số biện pháp nhằm ngăn chặn,
hạn chế:

 IP address spoofing (Giả mạo địa chỉ IP): Kẻ xâm nhập truyền các gói dữ
liệu từ bên ngoài với địa chỉ nguồn là địa chỉ IP của một máy nội bộ. Kẻ
tấn công hy vọng rằng việc sử dụng một địa chỉ giả mạo sẽ cho phép xâm
nhập vào các hệ thống chỉ sử dụng bảo mật đơn giản địa chỉ nguồn, trong
đó, các gói tin từ máy nội bộ sẽ được chấp nhận. Biện pháp đối phó là
loại bỏ các gói tin với địa chỉ nguồn ở nội bộ nếu như gói tin này đến từ
interface bên ngoài.

 Source routing attack: Các trạm nguồn quy định các đường đi mà một gói
tin sẽ được đưa vào khi đi trên mạng Internet, với mong muốn rằng điều
này sẽ bỏ qua các biện pháp an ninh mà không phân tích các thông tin
định tuyến nguồn. Biện pháp đối phó là để lựa chọn loại bỏ tất cả các gói
dữ liệu sử dụng tùy chọn này.

 Tiny fragment attack: hacker xâm nhập loại này sử dụng tùy chọn cho
phép phân mảnh của gói tin IP để tạo ra các mảnh cực kỳ nhỏ và ép các

160

TCP header vào một đoạn gói tin riêng biệt. Tấn công loại này được thiết
kế để phá vỡ các quy tắc lọc phụ thuộc vào thông tin tiêu đề TCP. Thông
thường, một packet-filtering sẽ đưa ra quyết định lọc trên đoạn đầu tiên
của một gói. Tất cả các đoạn tiếp theo của gói tin được lọc ra chỉ duy nhất
trên cơ sở đó là một phần của gói có đoạn đầu tiên bị loại bỏ. Hacker tấn
công hy vọng rằng các router chỉ lọc xem xét đoạn đầu tiên và các đoạn
còn lại được đưa qua. Cách chống lại tấn công loại này là nguyên tắc thực
thi đoạn đầu tiên của một gói tin phải có một số xác định trước tối thiểu
của TCP header. Nếu đoạn đầu tiên bị loại bỏ, packet-filtering có thể ghi
nhớ các gói tin và loại bỏ tất cả các đoạn tiếp theo.

 Firewall được xây dựng dựa vào Cổng ứng dụng

Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một
người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn lại,
sau đó firewall sẽ kiểm tra các thông tin có liên quan của gói tin yêu cầu kết nối.
Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các
luật đã đặt ra trên firewall thì firewall sẽ tạo kết nối giữa hai máy với nhau. Đây là
một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch
vụ, các giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của
nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài
đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy
code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do
đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định
cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho
là chấp nhận được trong khi từ chối những đặc điểm khác.

Một Application-Level-Gateway thường được coi như là bastion host, bởi vì
nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp
đảm bảo an ninh của một bastion host là:

161

 Bastion host luôn chạy các version an toàn (secure version) của các phần
mềm hệ thống (Operating system). Các version an toàn này được thiết kế
chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng
như là đảm bảo sự tích hợp firewall.

 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt,
nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng
dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được
cài đặt trên bastion host.

 Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user/password hay smart card.

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ trên toàn hệ thống.

Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết kết
nối, khoảng thời gian kết nối, lưu chuyển thông tin qua nó. Nhật ký này rất có ích
trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.

Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho
phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn
đề.

Ưu điểm:

 Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ
trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những
máy chủ nào có thể truy nhập được bởi các dịch vụ.

 Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ
nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương
ứng có nghĩa là các dịch vụ ấy bị khóa.

162

 Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs
ghi chép lại thông tin về truy nhập hệ thống.

 Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với
bộ lọc packet

Nhược điểm:

 Yêu cầu người dùng(users) phải thay đổi thao tác, hoặc thay đổi phần
mềm đã cài đặt trên máy khách (client) cho truy nhập vào các dịch vụ
proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước
để nối với máy chủ chứ không phải là một bước như thông thường. Tuy
nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng
ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ
không phải cổng ứng dụng ví dụ trên lệnh Telnet. Chủ yếu sử dụng Cổng
vòng (circuit-Level Gateway) để làm trong suốt proxy (transparent
proxy).

 Cổng vòng là một chức năng đặc biệt có thể được thực hiện bởi một cổng
ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP
mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng
vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà
quản trị mạng thật sự tin tưởng những người dùng bên trong.

5.2. Một số phần mềm Firewall thông dụng

5.2.1. TCP- WRAPPERS

5.2.1.1. Giới thiệu

TCP-WRAPPERS là một gói phần mềm được phát triển bởi Wietse Venema
(cũng là người đã viết các gói bảo mật Satan) tại Đại học Công nghệ Eindhoven vào
năm1997, đây là một biện pháp để đối phó với cuộc tấn công vào hệ thống đại
học…TCP-WRAPPERS là một công cụ đơn giản để theo dõi và kiểm soát lưu

163

lượng mạng truy cập đến. Công cụ này đã được sử dụng thành công để bảo vệ hệ
thống và phát hiện hoạt động của cracker. Nó không tác động đến người dùng máy
tính, và không yêu cầu bất kỳ sự thay đổi hệ thống hiện tại hay cấu hình lại các tập
tin hệ thống. Công cụ này đã được cài đặt mặc định trong nhiều hệ thống UNIX
(Linux, BSD …) trên toàn thế giới mà không có bất kỳ sự thay đổi mã nguồn.

5.2.1.2. Chức năng

TCP-WRAPPERS thực hiện độc lập một chương trình duy nhất được gọi là
"tcpd". Các bước thực hiện chương trình được điều khiển bởi hai tập tin cấu hình
(hosts.allow,hosts.deny). Chương trình tcpd có thể được sử dụng để giám sát các
telnet, fingered, ftp, exec, rsh, rlogin, tftp, talk, comsat và các dịch vụ tcp, udp khác
mà có ánh xạ một-một vào các file thực thi.

TCP-WRAPPERS có thể xác minh một tên máy từ xa với số IP của nó trước
khi cho phép kết nối được thiết lập. Nếu số IP của máy trạm và tên máy không phù
hợp khi kiểm tra đối với các DNS, TCP-WRAPPERS sẽ đóng cửa phiên trước khi
người dùng nhập vào một tên người dùng hoặc mật khẩu. TCP-WRAPPERS ban
đầu làm việc song song với inetd để có thể kiểm soát tất cả các chương trình được
phát động bởi inetd như telnet và ftp bằng cách sử dụng các tập tin hosts.allow &
host.deny. Nếu chúng ta chỉ muốn network/ client tin cậy để có thể bắt đầu telnet,
ftp…, chúng ta chỉ cần thêm chúng vào hosts.allow và tắt tất cả mọi người khác với
hosts.deny.

TCP-WRAPPERS ghi lại thông tin kết nối trong tập tin syslog; TCP-
WRAPPERS không trao đổi thông tin với các ứng dụng máy chủ (server) hoặc máy
khách (client), và không tiêu hao tài nguyên khi thực hiện kết nối server- client

Gửi tin nhắn banners: Một số trang web được yêu cầu xuất trình một thông
báo thông tin cho người dùng trước khi họ cố gắng để đăng nhập. Tin nhắn Banner
cũng có thể có ích khi từ chối dịch vụ: thay vì chỉ đơn giản là bỏ các kết nối một
lịch sự giải thích được đưa ra đầu tiên. Cuối cùng, biểu ngữ có thể được sử dụng để
cung cấp cho chúng ta một hệ thống liên lạc cá nhân hơn. Các phần mềm bao bọc

164

cung cấp dễ dàng sử dụng các công cụ để tạo ra trước thông tin đăng nhập biểu ngữ
cho ftp, telnet, rloginvv… từ một biểu ngữ nguyên mẫu đơn.

5.2.2. NetGate
5.2.2.1. Giới thiệu

FortKnox Personal Firewall dễ dàng để sử dụng tường lửa cá nhân - cho
phép chúng ta bảo vệ máy tính chống lại các cuộc tấn công của hacker, trojan,
spyware và các mối đe dọa từ internet. Nó cung cấp cho tổng quan về sử dụng đầy
đủ của tất cả các mạng truyền thông trong và ngoài. Hơn nữa, FortKnox Personal
Firewall đi kèm với hệ thống phòng chống xâm nhập tích hợp và công nghệ SPI sẽ
đảm bảo nâng cao bảo vệ người dùng.

Với quy tắc ứng dụng người dùng có thể kiểm soát các ứng dụng cá nhân
giao tiếp qua Internet như thế nào . Người dùng có tùy chọn để thiết lập các quy tắc
mở rộng phù hợp với nhu cầu cá nhân của họ. Với giao diện trực quan, nó phù hợp
cho cả người mới bắt đầu và người dùng có kinh nghiệm.

5.2.2.2. Chức năng

 Bảo vệ hệ thống từ trong nước trong các cuộc tấn công đi
 Giao thông và gói tin đăng nhập
 Kiểm tra gói Statefull
 Hệ thống được tích hợp ngăn chặn xâm nhập
 Tất cả các kết nối tổng quan về hệ thống
 Các quy tắc cho người dùng kinh nghiệm
 Công nghệ chống trình Antivirus giả mạo
 File và các thiết lập chia sẻ máy in
 Thân thiện với đồ họa giao diện cho người dùng

165

 Tự động cập nhật cơ sở dữ liệu
 Hệ thống điều khiển trang web với khả năng chặn các trang web cá nhân
 Chặn quảng cáo
 Chặn nguồn tham khảo
 Ngăn chặn ActiveX
 Ngăn chặn Cookies

 Cấu hình đơn giản
 Hỗ trợ nhiều ngôn ngữ

5.2.3. ISA server
5.2.3.1. Giới Thiệu ISA Server

Internet Security And Acceleration Server (ISA SERVER) là sản phẩm do
Microsoft phát triển và là một trong số những sản phẩm tường lửa (firewall) kiêm
chức năng chia sẻ băng thông kết nối Internet (Internet Connection Sharing) được
nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản
lý linh hoạt. ISA Server Firewall có hai phiên bản Standard và Enterprise phục vụ
cho những môi trường khác nhau.

Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng
vừa và nhỏ. Phiên bản này đáp ứng nhu cầu bảo vệ và chia sẻ băng thông internet
(còn gọi là Internet Connection Sharing) cho các hệ thống có quy mô vừa và nhỏ.
Với phiên bản này chúng ta có thể xây dựng firewall để kiểm soát các luồng dữ liệu
vào và ra hệ thống mạng internal của hệ thống, kiểm soát quá trình truy cập của
người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào
những trang web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể
triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ
xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các Hệ thống có
máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong

166

một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ ngăn
ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. Ngoài các
tính năng bảo mật thông tin trên, ISA 2004 còn có hệ thống bộ đệm (cache) giúp kết
nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay
đĩa cứng, giúp tiết kiệm đáng kể băng thông của hệ thống. Chính vì lý do đó mà sản
phẩm firewall này có tên gọi là Internet Security & Acceleration (bảo mật và tăng
tốc Internet).

Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống
mạng lớn, đáp ứng được nhu cầu trao đổi thông tin lớn giữa mạng internal và mạng
bên ngoài. Ngoài những tính năng đã có trên ISA Standard Edition, phiên bản
Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một
chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing
(cân bằng tải).

5.2.3.2. Các phiên bản ISA Server

 Phiên bản ISA Server 2000

ISA 2000 Server là phần mềm mới nhất của Microsoft được sử dụng thay thế
cho phần mềm Proxy 2.0 và được tích hợp thêm chức năng bảo mật (Firewall).

Các chức năng chính của ISA Server 2000:

 Truy cập Internet tập trung (Proxy): cho phép nhiều user từ nhiều trạm
làm việc có thể đồng thời truy nhập Internet qua một mối liên kết chung
từ một máy chủ Proxy

 Tác dụng của Proxy:

 Tăng tốc độ truy cập Internet nhờ sử dụng cache (bộ đệm lưu trữ).
Cache sẽ lưu trữ lại nội dung các trang web được truy nhập vào máy
chủ Proxy, ở lần truy cập kế tiếp, khi user muốn xem thông tin từ
trang Web đó thì sẽ lấy thẳng từ cache của Proxy Server mà không
cần vào Internet nữa do đó việc kết nối được diễn ra nhanh hơn và

167

vẫn thực hiện được ngay cả trong trường hợp Proxy Server ngắt kết
nối với Internet (offline).
 Quản lý được việc truy nhập Internet: cho phép chỉ những user có
quyền hợp lệ thì mới được truy nhập Internet qua Proxy, những user
khác sẽ không được phép sử dụng Proxy. Ngoài ra, còn có thể quản
lý việc truy nhập Internet theo các Web site sử dụng Proxy. Còn có
thể quản lý việc truy nhập Internet theo các Web site nhất định, tức
là chỉ ra những Web site nào thì không được phép kết nối, hoặc chỉ
định user chỉ được kết nối trong khoảng thời gian nào đó trong ngày,
do đó tận dụng được tối đa băng thông (bandwidth) và hạn chế tắc
nghẽn khi quá nhiều người truy nhập đồng thời.
 Bảo mật mạng cục bộ: ngăn chặn những truy nhập trái phép từ mạng
bên ngoài vào mạng internal. Những truy nhập được Firewall xác
nhận là hợp lệ thì mới được phép.

Tác dụng của Firewall: Ngăn chặn truy nhập từ bên ngoài vào mạng công ty
hoặc từ mạng bên trong ra mạng bên ngoài. Việc ngăn chặn được thực hiện qua việc
hạn chế những giao thức được sử dụng để truy nhập (HTTP, FTP, Telnet, ICMP....).

 Phiên bản ISA Server 2004

Giới thiệu:

 ISA Server 2004 chạy trên Windows Server 2003 Standard hoặc
Enterprise Edition

 Microsoft Internet Security and Acceleration Server (ISA Server) là một
phần mềm dùng để làm Proxy Server (chia sẻ kết nối internet) và Firewall
(tường lửa).

 Được nâng cấp từ Microsoft ISA Server 2000

 Khá hiệu quả, ổn định, dễ cấu hình, thiết lập Firewall

 Tốc độ nhanh nhờ cơ chế cache thông minh, lưu cache trên đĩa.

168

 Tự động download thông tin trên các Web server lưu vào cache và máy
trạm chỉ cần lấy thông tin trên các server đó bằng mạng LAN.

Tính năng:

 Cung cấp tính năng Multi-Network: kỹ thuật thiết lập các chính sách truy
cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng
địa chỉ mạng con.

 Giới hạn truy cập các client bên ngoài internet bằng cách tạo ra một vùng
mạng ngoại vi (DMZ), không cho phép truy cập mạng nội bộ.

 Cho phép giám sát tất cả các lưu lượng mạng

 Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con

 Tạo mạng riêng ảo (VPN) và truy cập từ xa

 Cung cấp kỹ thuật bảo mật và thiết lập firewall.

 Kỹ thuật cache thông minh (web cache) để tăng tốc độ truy cập.
 Phiên bản ISA Server 2006

Microsoft Internet Security and Acceleration Server 2006 (ISA Server) là
phần mềm của hãng phần mềm Microsoft. ISA Server 2006 là bản nâng cấp từ phần
mềm ISA 2004 Server. Có thể nói đây là một phần mềm chia sẻ Internet và tường
lửa khá hiệu quả, ổn định, dễ cấu hình, nhiều tính năng nổi bật. ISA Server 2006
được thiết kế chủ yếu để hoạt động như một tường lửa nhằm đảm bảo rằng tất cả
những “traffic” không trông đợi từ mạng bên ngoài vào mạng bên được chặn lại.
Đồng thời ISA Server 2006 có thể cho phép các người dùng mạng bên trong truy
cập một cách có chọn lọc đến các tài nguyên từ Internet và người dùng trên Internet
có thể truy cập vào tài nguyên trong mạng của tổ chức sao cho phù hợp với các
chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc Mail.

ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công
ty có quy mô nhỏ và trung bình. ISA Server có 2 phiên bản là Enterprise và

169

Standard. Trong đó phiên bản Standard được thiết kế cho những người dùng cần
bảo vệ hệ thống mạng với qui mô nhỏ với chỉ một Firewall. Cao cấp hơn, phiên bản
Enterprise được thiết kế cho những hệ thống mạng với qui mô lớn trở lên với một
hay nhiều Firewall.

Phiên bản ISA Standard Edition:

 Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty

 Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung truy cập nhằm ngăn chặn việc kết nối vào những trang Web có
nội dung không phù hợp, thời gian không thích hợp (ví dụ như truy cập
trong giờ làm việc).

 Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay
Remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của
công ty, hoặc trao đổi dữ liệu văn phòng và hội sở.

 Đối với các công ty có những hệ thống máy chủ Public như Mail Server,
Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA
Server 2006 cho phép triển khai vùng DMZ nhằm ngăn chặn sự tương tác
trực tiếp giữa người dùng bên ngoài và bên trong hệ thống.

 Ngoài các tính năng bảo mật thông tin trên ISA Server 2006 bản Standard
còn có chức năng tạo cache cho phép rút ngắn thời gian tăng tốc kết nối
internet của mạng nội bộ.

Phiên bản Enterprise Edition:

 ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,
đáp ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và bên
trong hệ thống. Ngoài những tính năng đã có trên ISA Server 2006
Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA
Server (array) cùng sử dụng một chính sách, điều này giúp dễ dàng quản
lý và cung cấp các tính năng Load Balancing (cân bằng tải).

170

5.2.3.3. Tính năng của ISA Server

ISA Server có nhiều tính năng cho phép chúng ta cấu hình sao cho phù hợp
với mạng LAN của chúng ta. Tốc độ nhanh nhờ chế độ cache thông minh, với tính
năng lưu cache vào RAM (Random Access memory) giúp chúng ta truy xuất thông
tin nhanh hơn, và tính năng Schedule Cache (lập lịch cho tự động download thông
tin trên các Web Server lưu vào Cache và máy con chỉ cần lấy thông tin trên các
Web Server đó bằng mạng LAN). Ngoài ra các chính sách bảo mật thông tin tương
đối tốt.

Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN

Về khả năng Publish in Service:

 ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào
trang OWA (Outlook Web Access ). Đây là Module của Microsoft
Exchange Server (Email Server của hãng Microsoft), nó cho phép người
dùng truy cập quản trị Mailbox của họ từ xa thông qua Web Brower. ISA
2006 hỗ trợ chứng thực kiểu form based. Không cho người dùng bất hợp
pháp truy cập vào trang web OWA, tính năng được phát triển dưới dạng
Add-in.

 Cho phép public Terminal Server theo chuẩn RDP over SSI, đảm bảo dữ
liệu trong liên kết được mã hóa trên Internet (kể cả password).

 Cấm các kết nối non - encrypted MAPI đến Exchanger server, cho phép
Outlook của người dùng kết nối an toàn đến Exchanger Server.

 Rất nhiều các Wizard cho phép người quản trị public các server nội bộ ra
internet một các an toàn. Hỗ trợ cả các sản phẩm mới như Exchanger
2007.

171

Cung cấp khả năng kết nối VPN:
 Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn
phòng riêng biệt.
 Statefull filtering and inspection, kiểm tra đầy đủ các VPN connection
site-to-site secureNAT for VPN client,.....
Về khả năng quản lý:
 Dễ dàng quản lý
 Rất nhiều Wizard
 Backup và Restore đơn giản
 Log và Report chi tiết cụ thể
 Khai báo thêm Server vào array dễ dàng (không khó như ISA 2000,
2004)
 Tích hợp với giải pháp quản lý của Microsoft: MOM
Các tính năng khác:
 Hỗ trợ nhiều CPU và RAM (bản Standard hỗ trợ đến 4 CPU, 2 GB RAM)
 Tối đa 3 node Network Load Balancing
 Hỗ trợ nhiều Network,
 Rule đa dạng
 Tích hợp IDS
 Flood Resiliency
 HTTP compression
 Diffserv.

172

5.2.3.4. Cài đặt ISA Server

Xem trong phần hướng dẫn cài đặt và cấu hình
Tiếp theo chúng ta sẽ tiến hành cài đặt, cấu hình cho các máy trong mạng nội
bộ (internal) để có thể giao tiếp với ISA Server. Các máy trong mạng nội bộ này
chúng ta gọi là ISA client. Có ba loại ISA client là: SecureNAT client, Web Proxy
client, Firewal client. Một máy tính duy nhất có thể được cấu hình để hoạt động
theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy tính sử dụng hệ điều hành Windows
có thể được cấu hình thành cả 3 loại ISA client. Một máy tính Linux có thể được
cấu hình thành Web Proxy client và SecureNAT. Chúng ta sẽ tìm hiểu từng loại
ISA Client để việc sử dụng được hiệu quả hơn.

a. SecureNAT client
 Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan
tâm là Default Gateway. Phải khai báo Default Gateway sao cho mọi
thông tin hướng ra mạng bên ngoài (internet) phải được định tuyến đến
ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route)
cần thiết trên các thiết bị định tuyến (router) nội bộ.

 Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP

 Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA
server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng

 Không thể chứng thực người dùng
Một số ưu điểm:

 Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng
cơ sở hạ tầng mạng.

 Triển khai trên các client không dùng hệ điều hành Windows.

 Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh
ping hoặc tracert...) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01

173

VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec
NAT Traversal).

Một số hạn chế:

 Hạn chế thứ nhất: SecureNAT client không có ứng dụng thực hiện việc
gửi username và password đến firewall service trên ISA server, vì thế
ISA không thể chứng thực user đối với thông tin phát sinh từ SecureNAt
client và tất nhiên cũng không thể ghi nhận (log) các thông tin truy cập
liên quan đến user.

 Hạn chế thứ hai: Client không thể dùng các protocol đa kết nối (multi
connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp. Ví dụ FTP
là 1 protocol đa kết nối: FTP client khởi tạo kết nối đến port TCP 20 của
FTP server để tạo 01 kênh điều khiển (control channel). FTP Client và
FTP server sẽ dùng kênh điều khiển này để chọn số port mà FTP client
dùng để nhận thông tin. Sau đó, FTP server truyền dữ liệu từ port TCP 21
đến port đã chọn của FTP client. Kết nối thứ hai này mới là kết nối chủ
yếu và có các port không hề liên quan gì đến các port của kết nối phát
sinh từ FTP client trước đó. Tuy vậy, ISA tích hợp sẵn bộ lọc FTP và
SecureNAT client có khả năng truy cập dùng FTP thông qua ISA server.
SecureNAT client không thể triển khai các trò chơi trên internet (internet
game) và ứng dụng đa truyền thông (multi media: voice, video...) vì hầu
hết các ứng dụng này đều dùng đa kết nối. Chỉ có một ngoại lệ duy nhất
là nếu các ứng dụng này được thiết kế để hoạt động với proxy SOCKS 4
thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ có khả năng hỗ trợ.

 Hạn chế thứ ba: Client chỉ có thể dùng các protocol mà ISA server có thể
nhận diện thông qua bảng mô tả trên ISA server. Khi một access rule cho
phép SecureNAT client được truy cập bằng "All outbound traffic" thì
không có nghĩa là mọi protocol. "All outbound traffic" đối với

174

SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA
server mà thôi.
Vì vậy, chỉ nên dùng SecureNAT client khi:
 Publish server ra internet
 Không thể triển khai cài đặt Firewall client hoặc cần các ứng dụng ngoài
khả năng đáp ứng của Web proxy.
 Client cần dùng protocol ICMP hoặc PPTP.
 Vấn đề DNS đối với SecureNAT client:
SecureNAT client phân giải DNS name bằng cách truy vấn DNS server được
khai báo trong TCP/IP properties. Có thể quan sát lại hai mô hình mạng bên trên để
rút ra công thức cấu hình. Ở mô hình mạng đơn giản, client được cấu hình truy vấn
DNS của ISP vì hệ mạng nội bộ không có DNS server. Ở mô hình mạng phức tạp,
client được cấu hình truy vấn DSN nội bộ nhằm đảm bảo khả năng phân giải tên nội
bộ cũng như tên ngoài internet.
 Cấu hình Secure Nat cho Client:

Hình 5-6: Cấu hình địa chỉ IP cho SecureNat Client

175

Các máy con trong mạng Internal chỉ việc thiết lập thông số Default Gateway
và DNS Server. Default Gateway là IP của máy ISA. DNS Server chúng ta có thể
sử dụng DNS của Google hoặc DNS của nhà cung cấp dịch vụ Internet, hoặc nếu hệ
thống mạng của chúng ta có DNS Server thì chúng ta nhập địa chỉ IP của DNS
Server của hệ thống (ví dụ ở đây là 192.168.1.2).

b. Web proxy client

 Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc
địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server
của trình duyệt web.

 Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web

 Loại protocol: Chỉ có thể dùng HTTP, HTTPS, FTP và FTPS

 Có thể chứng thực người dùng

Web proxy client là các máy tính có trình duyệt web được cấu hình dùng
ISA server làm web proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số
ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví
dụ các chương trình instant messenger (chat) hoặc trình duyệt mail.

Khi client truy cập web, yêu cầu được chuyển đến firewall service trên ISA.
Firewall service lại chuyển yêu cầu đến bộ lọc Proxy server. Yêu cầu từ Web proxy
client (Your PC) được chuyển trực tiếp đến port 80 - port của Proxy server - nhờ đó
gia tăng tốc độ truy cập web một cách rõ rệt. Vì vậy proxy server đóng vai trò như
là cầu nối trung gian giữa server và client (vì vậy có thể ví proxy server giống như
là một đường hầm tạo ra giữa client, ở đây được coi là máy tính người sử dụng, và
server được xem là web server hoặc chat server).

Khi quan sát hình trên chúng ta sẽ thấy rõ lý do tại sao ta phải sử dụng proxy.
Ví dụ như hình trên chúng ta sẽ thấy firewall (được coi như là firewall do ISP-nhà
cung cấp dịch vụ dựng lên chẳng hạn) đã chặn port 6667 (sử dụng trong chương
trình chat IRC) tức là chúng ta không thể kết nối tới IRC server thông qua port 6667

176

để chat, mà ISP chỉ cho phép chúng ta truy cập dịch vụ web và gởi mail thông qua
port 80 và 25 mà thôi.

Hình 5-7: Mô hình mạng không dùng proxy server
Trường hợp nếu IRC server chỉ lắng nghe trên port 80 thì truy cập của chúng
ta không có vấn đề gì, nhưng vấn đề ở đây lại không phải như vậy vì các IRC server
thường chỉ lắng nghe trên các port mặt định từ 6666 -> 6668, và các dịch vụ khác
cũng tương tự như thế chẳng hạn như dịch vụ FTP (dịch vụ chuyển file) sử dụng
port 21, pop3 (truy cập nhận mail) thì qua port 110 …. vì vậy nếu chúng ta muốn
kết nối đến các dịch vụ trên trong trường hợp ISP của chúng ta chỉ cho phép kết nối
thông qua port 25 hoặc 80 thì chỉ còn một con đường là sử dụng proxy (xem Hình
5-8).

Hình 5-8: Mô hình mạng có dùng proxy server
Có thể giải thích đơn giản như sau: chúng ta cần kết nối đến dịch vụ chat
IRC thì chương trình chat của chúng ta sẽ chỉ định kết nối tới proxy server xác định
(tức là chúng ta phải biết được chính xác địa chỉ cũng như là IP của proxy server
cần sử dụng) thông qua port 80 và sau đó yêu cầu cho proxy server tạo kết nối tới
IRC server và proxy server sẽ đóng vai trò như một máy trung gian giữa chúng ta và

177
IRC server để thực hiện công việc chat mà vẫn được firewall của ISP cho phép (có
thể gọi trường hợp bị khóa port này là chúng ta bị firewall chặn từ bên trong).

Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy
client. Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản
trị viên muốn duy trì một tỉ lệ nhất định lượng user truy cập web tại một thời điểm:
Mở Properties của network chứa Web proxy client (thường là network Internal) >
tab Web Proxy > Advanced. > chọn Maximum và nhập số kết nối đồng thời tối đa.
Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối.

 Cấu hình Web Proxy Client
Các máy con trong mạng Internal, chúng ta mở Internet Explorer. Sau đó

chọn Tool – chọn Internet option – chọn Tab Connection - chọn mục LAN Setting.
Trong phần Proxy Server nhập IP của Card Lan của máy ISA, port :8080.

Hình 5-9: Cấu hình Web Proxy Client.

178

c. Firewall client
Phần mềm tường lửa máy khách (Firewall client) là một phần mềm được cài

đặt trên các hệ điều hành Windows nhằm cung cấp sự bảo mật và khả năng truy cập
nâng cao. Phần mềm này cung cấp các tính năng nâng cao dưới đây cho máy con
Windows trong mạng nội bộ:

 Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng
riêng lẻ cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức
TCP và UDP.

 Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản
ghi của tường lửa ISA.

 Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức
hợp có yêu cầu đến kết nối thứ cấp.

 Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính.

 Cho phép chúng ta đưa ra các máy chủ yêu cầu giao thức phức hợp mà
không cần sự hỗ trợ của bộ lọc ứng dụng.

 Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa máy
khách.

 Cho phép thẩm định dựa trên nhóm người dùng hoặc người dùng riêng
biệt đối với các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP.

Phần mềm Firewall client gửi thông tin người dùng một cách trong suốt đến
tường lửa ISA. Điều này cho phép chúng ta tạo các nguyên tắc truy cập để áp dụng
cho nhóm hay người dùng riêng lẻ, hạn chế hay cho phép truy cập vào giao thức,
trang, hoặc nội dung dựa vào tài khoản người dùng hoặc hội viên nhóm. Kiểm soát
truy cập đi ra của các nhóm hoặc người dùng riêng lẻ là rất quan trọng. Không phải
tất cả người dùng đều yêu cầu các mức truy cập như nhau và người dùng chỉ nên

179
được phép truy cập vào giao thức, trang và nội dung mà họ yêu cầu để thực hiện
công việc của họ.

 Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client
Ngược lại với SecureNAT client, Firewall client không cần phải cấu hình với

DNS server liên quan đến Internet host name. ISA Firewall có thể thực hiện chức
năng “proxy” DNS cho các Firewall client.

Ví dụ, khi một Firewall client gửi một yêu cầu kết nối đến
ftp://ftp.microsoft.com, yêu cầu được gửi trực tiếp đến ISA Firewall. ISA firewall
xử lý tên của Firewall client dựa trên các thiết lập DNS trên card giao diện mạng
của ISA firewall. ISA firewall trả lại địa chỉ IP cho máy Firewall client, và máy tính
Firewall client gửi yêu cầu FTP đến địa chỉ IP cho trang FTP ftp.microsoft.com.

Hình 5-10: Mô hình sử dụng Firewall Client.

180

ISA firewall cũng lưu các kết quả chất vấn DNS mà nó thực hiện cho
Firewall client. Không giống như ISA Server lưu trữ thông tin trong một chu kỳ
mặc định là 6 giờ, ISA firewall lưu trữ toàn bộ cho một chu kỳ được chỉ rõ bởi TTL
trên bản ghi DNS. Điều này đã làm tăng số lượng tên cho các kết nối Firewall client
đến sau đối với cùng trang. Hình sau thể hiện chuỗi tên cho Firewall client.

Bước 1: Firewall client gửi một yêu cầu cho ftp.microsoft.com.

Bước 2: ISA firewall gửi một chất vấn DNS đến máy chủ DNS bên trong.

Bước 3: Máy chủ DNS xử lý tên ftp.microsoft.com với địa chỉ IP của nó và
trả về kết quả cho ISA firewall.

Bước 4: ISA firewall trả về địa chỉ IP của ftp.microsoft.com cho Firewall
client tạo yêu cầu.

Bước 5: Firewall client gửi một yêu cầu đến địa chỉ IP là ftp.microsoft.com
và kết nối được hoàn tất.

Bước 6: Máy chủ Internet trả lại các thông tin yêu cầu cho Firewall client
thông qua kết nối Firewall client thực hiện với ISA firewall.

 Cơ sở hạ tầng định tuyến mạng trong suốt đối với Firewall Client

Ưu điểm cuối cùng của Firewall client là cơ sở hạ tầng định tuyến ảo trong
suốt của nó đối với Firewall client. Tương phản với SecureNAT client, phụ thuộc
vào cổng mặc định của nó và các thiết lập cổng trên bộ định tuyến thông qua mạng
cộng tác, máy tính Firewall client chỉ cần biết định tuyến địa chỉ IP trên giao diện
bên trong của ISA firewall. Máy Firewall client “từ xa” hoặc các yêu cầu gửi trực
tiếp đến địa chỉ IP của ISA firewall. Các bộ định tuyến dùng được dùng để thực
hiện tất cả các tuyến trong mạng cộng tác, do đó không cần tạo những thay đổi đối
với cơ sở hạ tầng định tuyến để hỗ trợ cho các kết nối Firewall client vào Internet.
Hình sau mô tả tính “từ xa” của các kết nối trực tiếp đến ISA firewall. Bảng 1 đưa
ra một tổng kết về ưu điểm của ứng dụng Firewall client.

181

Hình 5-11: Các kết nối Firewall client vào ISA Firewall hoàn toàn độc lập với các cấu hình cổng
mặc định trên các bộ định tuyến

 Cài đặt và cấu hình Firewall Client
Xem trong phần hướng dẫn cài đặt và cấu hình

5.2.3.5. Thiết lập các luật (Rule) và chính sách (Policy)

Mặc định, sau khi ISA Server 2006 cài đặt hoàn tất, ISA Server 2006 sẽ thay
thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức
năng NAT. Tuy nhiên, Firewall Policy mặc định của ISA Server là đóng tất cả các
port (TCP lẫn UDP) trên máy ISA Server. Điều này làm cho tất cả giao tiếp từ
mạng bên trong hoặc mạng bên ngoài đến ISA Server đều bị chặn lại.

Firewall Policies trên ISA Server cho phép người quản trị đặt ra các quy tắc
(Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu (theo giao thức kết nối
– Protocol) di chuyển từ nơi này đến nơi khác (Source, Destination), áp dụng cho
một hay nhiều người dùng cụ thể nào đó (Users).

182

Các luồng dữ liệu đi ngang qua ISA Server sẽ chịu sự kiểm duyệt của
Firewall Policies dựa trên các quy tắc (Rule) mà người quản trị đặt ra hoặc do ISA
mặc định sẵn. Các quy tắc sẽ được tham chiếu theo thứ tự (Order) từ trên xuống
dưới. Khi gặp một rule thoả điều kiện của luồng dữ liệu, luồng dữ liệu đó sẽ bị chặn
hoặc cho qua mà không quan tâm đến các rule đặt phía dưới.

ISA Server 2004 Firewall có 3 dạng chính sách bảo mật là: System policy,
Access rule và Publishing rule.

 System policy: Thường ẩn (hidden), được dùng cho việc tương tác giữa
firewall và các dịch vụ mạng khác như ICMP, RDP... System policy được
xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system
policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như
DHCP, RDP, Ping...

 Access Rule: Là tập hợp các quy tắc truy cập các luồng dữ liệu như
Internet, Mail, FTP, DNS… đi ngang qua ISA Server.

 Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail
Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên
Internet truy cập.

Cấu hình ISA Firewall Policy thông qua giao diện của chương trình “ISA
Management Console” trên chính máy ISA Server hoặc cài công cụ quản lý “ISA
Management Console” trên một máy khác và kết nối đến ISA Server để thực hiện
các thao tác quản trị từ xa. Sau khi cài đặt ISA chúng ta thấy ISA đã phân vùng hệ
thống thành 3 vùng chính: Internal (mạng nội bộ bên trong), Local Host (máy ISA),
External (mạng bên ngoài, internet).

Sau đây chúng ta sẽ thiết lập một số cấu hình cơ bản cho ISA Server.

Xem trong phần hướng dẫn cài đặt và cấu hình

183

5.2.3.6. Cache và hoạt động của Cache

a. Định nghĩa Cache trên ISA
Cache là một không gian đĩa cứng (trên máy ISA Server) dùng lưu trữ các dữ

liệu đi ngang qua ISA server. Mặc định, sau khi cài đặt ISA server, cache không
hoạt động bởi vì không gian đĩa cứng dùng làm cache chưa được xác định.

Cache giúp tăng hiệu suất sử dụng những thông tin tải về được từ internet.
Từ đó, làm giảm tải cho băng thông đường truyền internet,. Đồng thời, người dùng
Client sẽ cảm thấy truy cập web nhanh hơn.

Do thông tin thường lấy từ cache, người dùng thường chỉ được truy cập
những thông tin cũ. Các thông tin mới hơn phải đợi ISA cache làm tươi (refresh) lại
vào lúc thời gian lưu trữ thông tin đó trong cache hết hạn.
b. Hoạt động của Cache

Có một hệ thống kết nối LAN – Internet như hình dưới. Máy ISA Server đã
được cấu hình Cache:

Hình 5-12: Mô hình hoạt động.
 Client 1 gởi yêu cầu truy cập Web tới ISA Server.

184

 ISA Server chuyển yêu cầu đó ra Web Server trên internet
 Thông tin hồi đáp từ Web Server sẽ được chuyển về ISA Sever. ISA Sẽ

lưu thông tin đó vào cache.
 Một bản copy của thông tin được chuyển về Client 1.
 Khi Client 2 gởi yêu cầu truy cập web tới ISA Server,
 Nếu thông tin của yêu cầu đó có sẵn trong cache, ISA Server sẽ hồi đáp

về Client 2 mà không cần truy xuất ngoài internet.

c. Ưu nhược điểm của Cache trên ISA server
Cache giúp tăng hiệu suất sử dụng những thông tin tải về được từ internet.

Từ đó, làm giảm tải cho băng thông đường truyền internet,. Đồng thời, người dùng
Client sẽ cảm thấy truy cập web nhanh hơn.

Do thông tin thường lấy từ cache, người dùng thường chỉ được truy cập
những thông tin cũ. Các thông tin mới hơn phải đợi ISA cache làm tươi (refresh) lại
vào lúc thời gian lưu trữ thông tin đó trong cache hết hạn.

d. Cấu hình Cache trong ISA Management
Xem trong phần hướng dẫn cài đặt và cấu hình

5.2.3.7. Content Download Job

Giả sử, trên hệ thống nội bộ có nhiều người dùng thường hay truy cập vào
trang web nào đó để xem các thông tin. Để hỗ trợ tăng tốc truy cập, người quản trị
sẽ cấu hình ISA Server tự động tải nội dung của trang web này lưu vào cache trước
vào ngày giờ nào đó trong tuần (gọi là Content Download Job)

 Thao tác cấu hình “Content Download Job”
Xem trong phần hướng dẫn cài đặt và cấu hình

185

Tài liệu tham khảo

[1] Andrew S. Tanenbaum, “Computer Networks”, Prentice Hall, 2003

[2] Scott Empson, “CCNA Portable Command Guide”, Cisco Systems, Inc, 2008.
[3] Michael Watkins Kevin Wallace, “CCNA Security Official Exam Certification

Guide”, Cisco Systems, Inc, 2008.
[4] Wendell Odom, “CCNA ICND2 Official exam certification Guide”, Cisco

Systems, Inc, 2008.
[5] Todd Lammle, “CCNA Cisco Certified Network Associate Study Guide”, Wiley

Publishing, Inc, 2007.
[6] Todd Lammle, “CCNA: Fast Pass”, San Francisco London, 2004

[7] Sidnie Feit, “TCP/IP Architecture, Protocols, and Implementation”, McGraw-
Hill, 2000

[8] Mark G. Sobell, “A Practical Guide to Fedora and Red Hat Enterprise Linux”,
Prentice Hall, 2011

[9] William Stallings, “Network Security Essentials: Applications and Standards”,
4th Edition, Pearson Education, Inc., 2011.

[10] Joseph Migga Kizza, “A Guide to Computer Network Security”, Springer-
Verlag London Limited, 2009