Trao đổi với tôi

www.hdphim.info

11/25/09

[MCSA] MCSA - Part 35 - ISA Server - Template (3)

Trong các bài trước chúng ta đã biết được nhiệm vụ cơ bản nhất của ISA Server là tạo nên một không gian thế giới mới mà trong đó nó sẽ ngăn chia thế giới chúng ta ra làm 3 phần riêng biệt:

- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta

- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server

- External Network: là các máy ngoài mạng Internet.

Trên thực tế có nhiều mô hình dựng ISA Server Microsoft đã đưa ra cho ta 3 mô hình như sau:

1/ Edge Firewall:

2009-01-05_181640_GF

Mô hình này chính là mô hình mà ta đã làm trong các bài trước. Với mô hình này chúng ta chỉ cần dựng một ISA Server duy nhất và trên đó có 2 Card Lan:

- Card thứ 1 nối với các máy trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này

Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.

2/ 3-Leg Perimeter:

2009-01-05_181658_GF

Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm

- Nhóm thứ 1 là các máy như Mail Server, Web Server… để người dùng từ External Network có thể truy cập vào

- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1

Tại máy ISA Server ta cần đến 3 Card Lan

- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISA Server sẽ mở các Port Outbound/Inbound tại Card này

- Card thứ 3 nối với các máy trong External Network. ISA Server sẽ mở các Port Inbound tại Card này

Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.

3/ Front/Back Firewall:

2009-01-05_181714_GF

Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host

Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn.

Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.

Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server.

2009-01-04_162108_GF

Tại ISA Server bạn chọn Configuration chọn tiếp Network

Chọn tiếp Tab Templates bên phải và chọn mô hình tương ứng ví dụ tôi chọn mô hình thứ 1 là Edge Firewall

2009-01-04_163629_GF

Trong cửa sổ Select a Firewall Policy bạn chọn các Policy thích hợp với hệ thống của mình:

- Block all: khóa tất cả

- Block Internet access, allow access to ISP network services: khóa truy cập Internet nhưng cho truy cập dịch vụ của ISP (chỉ cho truy cập Port 53)

- Allow limited Web access: chỉ cho truy cập Web nhưng giới hạn (không mở các Port 80,443,21 mà chỉ có thể truy cập Web thông qua IP Address mà thôi)

- Allow limited Web access and access to ISP network services: chỉ cho truy cập Web và truy cập dịch vụ của ISP nhưng giới hạn

Ví dụ tôi chọn: Allow limited Web access and access to ISP network services

2009-01-04_163704_GF

Trở lại màn hình Firewall Policy sẽ thấy ISA Server tự động xóa tất cả các Rule mà bạn tạo trước đó thay vào đó là các Rule mới do ISA Server tự thêm vào

2009-01-04_163815_GF

Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng. Ta nên tạo lần lượt các Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn.

OK mình vừa trình bày xong phần Template - ISA Server trong 70-351 của MCSA.