Vành đai mạng đã trở nên khó định nghĩa hơn theo như kịch bản trong hình 2. Kịch bản này cũng khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong hình 3.13, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:
Cho phép truy cập nặc danh đến Website dùng chung (public website), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website.
Chứng thực user từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (private website).
Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó user ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong interal network.
Cho phép nhân viên ở xa truy cập internal Mail Server, và cho phép client truy cập VPN đến internal File Server.
16 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 5079 | Lượt tải: 3
Bạn đang xem nội dung tài liệu Tài liệu về Kerio firewall, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
3.4.2.2.1.các chức năng của ISA server 2004
ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức. Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (‘security polices’) để phân phát đến ‘user’ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức cũng cung cấp cho các ‘user’ ở xa (‘remote user’) một số cách thức truy cập đến các máy chủ trong mạng tổ chức. Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được bảo mật.Cách thức làm việc của ISA Server 2004 ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.
Hình 3.12: Mô hình triển khai ISA Server 2004 Mạng bên trong (‘interal network’) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. ‘Internal network’ coi như đã được bảo mật một cách tương đối, tức là, thông thường những ‘user’ đã được chứng thực mới có quyền truy cập vật lý đến ‘interal network’. Ngoài ra, Nhân viên IT có thể quyết định những loại ‘traffic’ nào được cho phép trên ‘internal network’. Thậm chí cho dù ‘interal network’ an toàn hơn Internet, thì bạn cũng không nên có ý nghĩ sai lầm rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như ‘virus’ và ‘worm’ đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo vệ vành đai mạng, nhưng bạn đừng nghĩ, sau khi triển khai ISA Server thì việc của bạn đã xong. Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các ‘traffic’ của mạng trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (‘network packet’) gửi qua Internet không được an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy ‘packet sniffer’ trên một phân đoạn mạng Internet. ‘Packet Sniffer’ là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các ‘traffic’ trên một mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’. Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng ‘deface’ toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả ‘user’ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh. Hình 3.12 đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa ‘internal network’ và Internet được định nghĩa một cách dễ dàng. Trong thực tế, việc định nghĩa ranh giới giữa ‘interal network’ của tổ chức với phần còn lại của thế giới là không hề đơn giản. Hình 2 cho thấy một sự phức tạp hơn, nhưng thực tế hơn và “kịch tính” hơn.
Hình 3.13:Mô hình vành đai mạng triển khai ISA 2004
Vành đai mạng đã trở nên khó định nghĩa hơn theo như kịch bản trong hình 2. Kịch bản này cũng khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong hình 3.13, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:
Cho phép truy cập nặc danh đến Website dùng chung (‘public website’), trong khi đó lọc ra mã độc hại nhắm đến việc gây hại Website.
Chứng thực ‘user’ từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (‘private website’).
Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó ‘user’ ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong ‘interal network’.
Cho phép nhân viên ở xa truy cập ‘internal Mail Server’, và cho phép ‘client’ truy cập VPN đến ‘internal File Server’.
Áp đặt chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới ‘user’, và lọc từng ‘request’ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép.
3.4.2.2.1.1 ISA Server hoạt động như một tường lửa Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những ‘rule’ lọc ‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng. Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể tới được ‘internal network’ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được. Firewall có thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web Server đó. Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ(*) và Internet. ISA Server 2004 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering.
3.4.2.2.1.1.1Packet Filtering – Lọc gói tin Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng ‘network packet’ đi tới firewall. Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall.3.4.2.2.1.1 .2Stateful Filtering – Lọc trạng thái Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP. Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại ‘request’ đó. Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’). Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một ‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt.
3.4.2.2.1.1.3Application-Layer Filtering – Lọc lớp ứng dụng ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua. Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi ‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”. ‘Application filter’ kiểm tra chính sách của nó để quyết định. Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và ‘packet’ bị đánh rớt. ‘HTTP application filter’ được cung cấp cùng với ISA Server 2004 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài ‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật những giao thức và ứng dụng khác.
Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’. Tuy nhiên, nhiều ‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’). Và ‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ ‘internal network’ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức ‘HTTP’. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA. ‘HTTP traffic’ cũng có thể chứa ‘virus’ và mã độc (‘malicious code’). Cách ngăn chặn những ‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng. ‘Application-layer firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức ‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng). ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng.(*): DMZ (Demilitarized Zone), đây là từ chỉ vùng "Phi Quân Sự" trong thế giới thực, còn trong môi trường máy tính thì DMZ là vùng dành riêng cho những server "đối ngoại" (như web server) cho phép người dùng bên ngoài (Internet) truy cập đến.
3.4.2.2.1.2.ISA Server bảo mật truy cập internet như thế nào? Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có nghĩa là không tổ chức nào tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu. ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một ‘proxy server’ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet. Điều này có nghĩa là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ). Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát.ISA Server cũng hoạt động như một ‘caching server’.ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ như thế nào? Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn tài nguyên đặt trong mạng nội bộ của tổ chức. Tối thiểu, hầu hết tổ chức đều muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web. Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài nguyên không dựa trên nền Web như DNS Server, hoặc Database Server. Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức. Để giảm thiểu các nguy cơ đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả ‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên internet chỉ có thể truy cập đến những máy chủ cho phép. Để cấu hình việc ‘publish’ trong ISA Server, bạn cấu hình một ‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ internet. ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule.
3.4.2.2.1.3.ISA Server hoạt động như một VPN Server. Ngoài việc cho phép người dùng trên internet được phép truy cập đến các máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép mức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual Private Network – Mạng riêng ảo). Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng dùng chung như internet. VPN được bảo mật bằng cách sử dụng chứng thực và mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung (internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được. VPN có thể được tạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai văn phòng của công ty với nhau (Site-to-Site). Một người dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nối đến ‘gateway’ của VPN. Tất cả ‘packet’ gửi qua internet dùng VPN được bảo mật. ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm đó được đưa vào mạng ‘VPN Clients network’. Mạng này được xem như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN. ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN quarantine control). ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một ‘client-side-script’. Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạm VPN được cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt qua những sự kiểm tra bảo mật đặc biệt. Bạn có thể cấu hình ‘firewall rule’ để lộc tất cả các ‘traffic’ từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất kỳ mạng nào khác. ISA Server cũng cho phép VPN site-to-site. Trong kịch bản này, bạn cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau. Khi ISA Server ở một nơi nhận ‘network traffic’ từ một nơi khác, ISA Server sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác. Để cấu hình những kết nối VPN Site-to-Site, bạn tạo một ‘remote-site network’ trên ISA Server, và sau đó định nghĩa các ‘access rule’ để giám sát những loại ‘traffic’ được phép trao đổi giữa các mạng.
3.4.2.2.1.4. Tiết Kiệm Băng Thông Với Tính Năng Cache Và Content Download Job Có một đặc tính rất hữu ích của ISA Server tuy nhiên mặc định bị cấm đó là web caching đối với http và ftp request. Với ISA chúng ta có thể thực hiện hai cơ chế caching: - Forward caching: với cơ chế này nội dung các trang web thường xuyên được truy cập sẽ được tải về trước và lưu trữ trong phần cache của ISA server, vì vậy khi người dùng mở lại những trang web này sẽ được trả nội dung trên cache thay vì phải kết nối trực tiếp với web server trên Internet. - Reverse caching: ngược lại với forward caching, khi doanh nghiệp hay tổ chức có những web server cho phép người dùng bên ngoài truy cập, reserver caching tiết kiệm băng thông bằng cách lưu trữ nội dung trang web trên các proxy server để đáp ứng, giảm tải cho web server. Vì vậy trên một số tài liệu reverse cache còn được gọi là gateway cache. Về mặt tổ chức thì chúng ta có thể xây dựng hệ thống cache trên ISA theo các mô hình khác nhau tùy thuộc vào số lượng người dùng và kiến trúc mạng của mỗi doanh nghiệp. - Distributed Caching: các ISA Server sẽ được phân bố đều trên mạng, nâng cao khả năng đáp ứng cho người dùng. - Hierarchical caching: khác với mô hình trên, trong trường hợp này ISA Server sẽ được phân bố theo từng cấp, các yêu cầu sẽ được xử lý bởi những ISA Server nội bộ trước, vì vậy thời gian đáp ứng cao hơn. - Hybrid caching: là sự kết hợp cả hai mô hình trên. Vậy, khi chức năng Web Cache được bật, những trang web thường xuyên truy cập sẽ tự động tải về có thể được lưu giữ trên RAM hay đĩa cứng của ISA Server (cache), và người dùng khi truy cập vào lại trang web này sẽ được trả về nội dung từ cache chứ không phải tải về từ Internet. Tuy nhiên một số trang web tìm kiếm thì không nên lưu trữ nội dung trên cache vì sẽ cho ra những kết quả tìm kiếm không được cập nhật, vì vậy khi thiết lập Web Caching các bạn nên đặt Caching Rule để không lưu giữ những trang Web như www.google.com. Ngoài ra một số trang web thường xuyên được người dùng truy cập để đọc tin, tham khảo giá cả thị trường, tin tức về bảo mật... chúng ta có thể lập lịch để dịch vụ Web Proxy Server tải về trước ngoài giờ làm việc thông qua chức năng Content Download Job.
3.4.2.2.1.5. Sao lưu và phục hồi thông tin cấu hình ISA Server 2004 Firewall Đối với các hệ thống lớn với nhiều phòng ban và nhân viên, trong mỗi bộ phận lại yêu cầu những chính sách truy cập riêng làm cho số lượng policy rất nhiều và khó quản lí. Vì vậy để bảo đảm hệ thống luôn hoạt động ổn định chúng ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra. Chúng ta có thể sao lưu toàn bộ ISA Server hay chỉ một số các firewall policy nào đó. Thao tác sau đây sẽ tiến hành backup toàn bộ ISA Server. Mở ISA Management Console, chọn server name (ISA) và nhấn vào Backup the ISA Server Configuration trên khung Tasks Pane. Tiếp theo chúng ta đặt tên của tập tin sao lưu (nên đặt theo dạng X-XX-XXXX là ngày-tháng-năm backup để dễ phân biệt khi tiến hành phục hồi), chọn nơi lưu trữ và nhấn nút Backup. Một hộp thoại yêu cầu đặt password cho tập tin backup hiện ra, hãy nhập password rồi nhấn OK. Sau khi tiến trình sao lưu hoàn tất. Để thử nghiệm, bạn có thể xoá một vài hay toàn bộ firewall policy trên hệ thống của mình, sau đó chọn Restore this ISA Server Configuration trên khung Tasks Pane, xác định tập tin sao lưu, chọn Restore và nhập vào password được thiết lập cho tập tin này. Sau khi tiến trình phục hồi hoàn tất chúng ta có thể kiểm tra lại các policy trước đây của hệ thống đã được phục hồi đầy đủ. Trong trường hợp chỉ sao lưu một firewall policy nào đó chúng ta cũng tiến hành tương tự với chức năng Export Firewall Policy trên khung Task Pane.
3.4.2.2.1Các chức năng chính của "Kerio WinRoute Firewall" :3.4.2.2.1. 1.Thanh tra,kiểm tra Firewall Kerio WinRoute Firewall, được chứng nhận bởi ICSA Labs Firewall công ty trong danh mục, bao gồm các chi tiết để thực hiện các quy định định nghĩa stateful thanh tra, kiểm tra và thanh tra, kiểm tra của tất cả các giao thức và gửi đi các lưu lượng truy cập Internet. Một mạng lưới quy tắc trong thuật sĩ giúp nhanh chóng thiết lập của các bức Firewall.
Trên giao diện điều khiển của máy tính mà phần mềm Kerio WinRoute Firewall đang chạy, thông tin về các tùy chọn Remote access Firewall được hiển thị. Khi chứng thực bởi các mật khẩu quản trị , giao diện điều khiển này cho phép thay đổi một số cài đặt cơ bản, phục hồi thiết lập mặc định sau khi cài đặt và tắt hoặc khởi động lại máy tính. Theo mặc định, giao diện điều khiển chỉ hiển thị thông tin về URL hay địa chỉ IP có thể được sử dụng để quản lý Firewall qua giao diện web của chính quyền hoặc các bức Firewall Kerio Administration Console. Để truy cập vào tùy chọn cấu hình, xác thực với mật khẩu quản trị là cần thiết (Admin là người quản trị Firewall chính của tài khoản). Nếu chờ một thời gian, người dùng được tự động đăng xuất và trang chào mừng của giao diện điều khiển hiển thị trên điều khiển từ xa của Firewall sẽ được hiển thị một lần nữa.Các Firewall của giao diện điều khiển cung cấp các tùy chọn cấu hình sau đây:Cấu hình giao diện mạng Tùy chọn này cho phép hiển thị hoặc chỉnh sửa các thông số của giao diện mạng Client của Firewall. Mỗi giao diện cho phép định nghĩa cấu hình tự động qua dịch vụ DHCP hoặc tự cấu hình địa chỉ IP, subnet mask và gateway mặc định. Lưu ý: Không có cổng mặc định phải được đặt trên giao diện kết nối với mạng cục bộ, nếu không Firewall này có thể không được sử dụng như một cửa ngõ để truy cập Internet.Thiết lập chính sách quản lý từ xa Khi bạn thay đổi chính sách giao thông của Firewall thông qua giao diện quản trị web hoặc các Kerio Administration Console, bạn có thể chặn truy cập vào các điều khiển từ xa. Nếu bạn chắc chắn rằng các giao diện mạng của Firewall được cấu hình đúng, dù rằng nó không thể truy cập Remote access, bạn có thể sử dụng Remote access tùy chọn để thay đổi chính sách giao thông để các quy tắc không chặn điều khiển từ xa trên giao diện bất kỳ . Sau khi lưu thay đổi trong luật lệ giao thông, các dịch vụ Kerio WinRoute Firewall Engine sẽ được khởi động lại tự động. Tôi lĩnh vực, khắc phục ách tắc của Remote access có nghĩa là một quy tắc sẽ được thêm vào trên cùng của bảng chính sách lưu lượng mà có thể cho phép truy cập KWF Admin (kết nối với các chính Kerio Console), KWF WebAdmin (không có bảo đảm giao diện web) và KWF WebAdmin- SSL (bảo đảm giao diện web) các dịch vụ từ máy tính bất kỳ.Tắt / khởi động lại các Firewall Nếu bạn cần phải Shutdown hoặc Restart lại nó, các tùy chọn này cung cấp sự kết thúc an toàn của Kerio WinRoute Firewall Engine và Shutdown của hệ điều hành của Firewall.Khôi phục lại cấu hình mặc định Tùy chọn này sẽ khôi phục các thiết lập Firewall mặc định là cài đặt từ đĩa CD cài đặt hoặc khi khởi động đầu tiên của máy chủ ảo VMware. Tất cả các file cấu hình và dữ liệu (nhật ký, thống kê, vv) sẽ được gỡ bỏ và sau đó sẽ là cần thiết để thực hiện cấu hình ban đầu của Firewall một lần nữa, nếu như cài đặt mới. Khôi phục lại cấu hình mặc định có thể hữu ích nếu cấu hình của Firewall là vô tình bị hư hỏng mà nhiều rằng nó không thể được sửa chữa bởi bất kỳ phương tiện khác.3.4.2.2.1.2.VPN, VPN Client & SSL VPN Kerio's-xây dựng trong SSL VPN dựa trên công trình phục vụ khách hàng trong cả hai-to-máy chủ và máy chủ-cho-chế độ phục vụ, cho phép cả hai văn phòng chi nhánh xa và an toàn lao động để kết nối vào mạng LAN công ty. Clientless SSL VPN cho phép người sử dụng để kết nối từ xa bảo mật cho công ty cho mạng chia sẻ tập tin từ bất kỳ máy tính nào với một trình duyệt và kết nối Internet.
WinRoute cho phép kết nối mạng từ xa an toàn của một công ty bằng cách sử dụng một Kênh mã hóa và nó cung cấp cho khách hàng truy cập an toàn cho mạng nội bộ của họ thông qua Internet. Phương pháp này kết nối các mạng (và các truy cập của khách hàng từ xa tới mạng lưới cục bộ) được gọi là mạng riêng ảo (VPN). WinRoute bao gồm thực hiện quyền sở hữu của VPN, được gọi là "Kerio VPN". Kerio VPN được thiết kế để nó có thể được sử dụng đồng thời với các Firewall và NAT . Sáng tạo của một Kênh mã hóa giữa các mạng và thiết lập truy cập từ xa của Client tại Server là rất dễ dàng. Kerio VPN cho phép tạo ra các mật mã bất kỳ số lượng máy chủ đến máy chủ kết nối (tức là Kênh với các mạng từ xa). Kênh được tạo ra giữa hai WinRoutes (thường ở cổng Internet của các mạng tương ứng). các máy chủ riêng (điểm cuối của Kênh) xác minh mỗi giấy chứng nhận SSL bằng cách sử dụng khác - điều này đảm bảo rằng Kênh sẽ được tạo ra giữa các máy chủ đáng tin cậy duy nhất. Máy khách từ xa cũng có thể kết nối đến máy chủ VPN trong WinRoute (bảo đảm khách hàng đến máy chủ kết nối). Bản chất của các máy khách được chứng thực với một tên người dùng và mật khẩu (truyền cũng được kết nối bảo mật), do đó khách hàng không được phép không thể kết nối với mạng lưới cục bộ. Kết nối từ xa của khách hàng được thực hiện thông qua Kerio VPN Client, bao gồm trong WinRoute .Lưu ý: Để triển khai VPN Kerio, nó là nghĩa vụ mà WinRoute được cài đặt tại một máy chủ được sử dụng như là một cổng Internet. Nếu tình trạng này không được đáp ứng, Kerio VPN cũng có thể được sử dụng, nhưng có thể được cấu hình khá phức tạp.Lợi ích của VPN Kerio So với các sản phẩm khác cung cấp kết nối an toàn của các mạng thông qua Internet, các giải pháp VPN Kerio cung cấp một số lợi ích và tính năng bổ sung Dễ dàng cấu hình (chỉ một vài thông số cơ bản cần thiết cho việc tạo ra các Kênh và cho cấu hình của máy chủ mà khách hàng sẽ kết nối đến).
Không có phần mềm bổ sung cần thiết để tạo ra các Kênh mới (Kerio VPN Client phải được cài đặt tại các khách hàng từ xa - cài đặt file của ứng dụng là 8 MB). Không có va chạm xảy ra trong khi các kênh mã hóa thông qua các bức Firewall đang được tạo ra. Đó là nghĩa vụ mà một hoặc nhiều bức Firewall (có hoặc không có NAT) được sử dụng giữa các mạng kết nối (hoặc giữa các khách hàng từ xa, mạng lưới cục bộ). Không có tài khoản người dùng đặc biệt phải được tạo ra cho các khách hàng VPN. Tài khoản người dùng trong WinRoute.Bottom of Form3.4.2.2.1.3.Bảo vệ cửa ngõ Antivirus Kerio WinRoute Firewall cung cấp các tùy chọn năng quét vi rút của các Inbound và gửi thư điện tử, lưu lượng truy cập web, FTP và chuyển khoản. Ngoài việc tích hợp với một phiên bản McAfee Anti-virus, có một số khác chống virus tùy chọn để lựa chọn.
Antivirus kiểm tra của các đối tượng chuyển giao bởi một giao thức cụ thể có thể được áp dụng chỉ để giao hợp một thanh tra giao thức tương ứng và hỗ trợ chống virus được sử dụng (xem chương 14,3 Dịch vụ). Điều này cho thấy việc kiểm tra chống virus được giới hạn bởi các yếu tố sau: Antivirus kiểm tra không thể được sử dụng nếu giao thông được chuyển giao bởi một kênh bảo mật (SSL / TLS). Trong trường hợp này, nó không thể giải mã lưu lượng và các đối tượng chuyển giao riêng. Trong thời hạn antivirus quét email (SMTP và giao thức POP3), Firewall chỉ loại bỏ các file đính kèm bị nhiễm - đó là không thể thả toàn bộ thư điện tử. Trong trường hợp giao thức SMTP, chỉ có lưu lượng đến kiểm tra (lưu lượng truy cập tức là từ Internet vào mạng cục bộ - email gửi đến vào máy chủ SMTP cục bộ). Kiểm tra giao thông gây ra vấn đề với email tạm thời không gửi được.
Đối tượng được chuyển giao bởi khác với HTTP, FTP, SMTP và POP3 giao thức không thể được kiểm tra bởi một virus. Nếu một cổng chuẩn được sử dụng cho lưu lượng, giao thức tương ứng sẽ không được áp dụng tự động. Trong trường hợp đó, chỉ cần xác định một quy tắc lưu lượng mà sẽ cho phép lưu lượng này bằng cách sử dụng một giao thức tương ứng. Ví dụ: Bạn muốn thực hiện kiểm tra chống virus của giao thức HTTP ở cổng 8080. Xác định dịch vụ 8080 HTTP (giao thức TCP, cổng 8080). Tạo một quy tắc lưu lượng tin mà sẽ cho phép dịch vụ này áp dụng một bộ lọc tương ứng. để kiểm tra giao thức HTTP ở cổng không chuẩn Thêm các quy tắc mới trước khi các quy tắc cho phép truy cập vào bất kỳ dịch vụ trên Internet (nếu như một quy luật tồn tại). Nếu các công nghệ NAT được sử dụng cho kết nối Internet, dịch địa chỉ phải được thiết lập cho quy tắc này là tốt. Lưu ý: Một giao thức tương ứng cũng có thể được quy định trong định nghĩa dịch vụ, hoặc cả hai phương pháp định nghĩa có thể được sử dụng. Cả hai phương pháp mang lại kết quả tương tự, tuy nhiên, quy tắc lưu lượng gói tin tương ứng là minh bạch hơn khi các giao thức được định nghĩa trong đó. 3.4.2.2.1.4. Surf bảo vệ Các tích hợp (IBM) ISS Orange Web Lọc lựa chọn khối người dùng truy cập để lên đến 58 chuyên mục của nội dung trang web, giảm pháp lý cho các công ty trách nhiệm về pháp lý và giáo dục môi trường.3.4.2.2.1.5.Nội dung lọc WinRoute cung cấp một loạt các tính năng để lọc lưu lượng truy cập bằng cách sử dụng giao thức HTTP và FTP. Các giao thức được sự lây lan nhất và sử dụng nhiều nhất trên mạng Internet. Sau đây là các mục đích chính của HTTP và FTP lọc nội dung: để chặn truy cập đến các trang web không mong muốn web (ví dụ như các trang không liên quan đến công việc của nhân viên), để chặn một số loại tập tin (tức là bất hợp pháp nội dung), để chặn hoặc hạn chế virus, Malrware và TrojanGiao thức FTP: Kiểm soát việc truy cập vào máy chủ FTP: truy cập vào một số máy chủ FTP bị từ chối hạn chế dựa trên hoặc tên tập tin chuyển các tập tin được giới hạn trong một hướng duy nhất (nghĩa là tải về chỉ) một số lệnh FTP bị chặn3.4.2.2.1.6. Kiểm soát chống virus của các tập tin chuyển giaoLưu ý: WinRoute cung cấp công cụ duy nhất để lọc và hạn chế truy cập. Các quyết định mà trên đó các trang web và các tập tin sẽ bị chặn phải được thực hiện bởi người quản trị (hoặc một người khác đủ điều kiện). Thành viên cụ thể truy cập quản lý:Tất cả các thành viên trong mạng lưới có thể được yêu cầu để đăng nhập vào Kerio WinRoute Firewall trước khi kết nối Internet. Mà cho phép hạn chế cho an ninh và truy cập vào các chính sách được áp dụng dựa trên những người sử dụng cụ thể, chứ không phải là địa chỉ IP. Minh bạch hoạt động hỗ trợ Directory đơn giản tài khoản người dùng Windows để lập bản đồ các tên miền, và tự động thêm một tính năng cho phép người dùng tạo ra các chính sách cụ thể trước khi người sử dụng xác thực. Chia sẻ Internet nhanh:Hỗ trợ cho DSL, modem cáp, ISDN, vệ tinh, dial-up hoặc Internet không dây cho phép quản trị viên để triển khai Kerio WinRoute Firewall trong mạng lưới của tất cả các kích cỡ và trong tất cả các địa điểm. Người dùng có thể chia sẻ một kết nối Internet với thất bại-hơn cho một kết nối sao lưu. Quản trị viên có thể sử dụng các Bandwidth LIMITER để tối ưu hóa dữ liệu thông qua các ứng dụng quan trọng cho các doanh nghiệp.
3.4.2.2.1.7. VoIP và hỗ trợ UPnP WinRoute Firewall cho phép các giao thức H.323 và SIP để kết nối thông qua nó, cần phải loại bỏ các phơi công khai các cơ sở hạ tầng VoIP đến Internet. Ngoài ra, nó tích hợp công nghệ UPnP để tuân thủ các ứng dụng như MSN Messenger chạy ngay lập tức mà không cần thêm cấu hình tại các bức Firewall.3.4.2.2.1.8.Báo cáo và quản lý Sắp xếp biểu đồ và thống kê giúp đỡ tại chỗ và báo cáo các vấn đề thói quen sử dụng. Quản lý có thể được cài đặt khiển từ xa để cho phép cấu hình an toàn từ bất cứ nơi nào trên mạng. Tất cả các sự kiện quan trọng là báo cáo với ban quản trị bằng email. Well-sắp xếp biểu đồ và số liệu thống kê tại chỗ giúp đỡ các vấn đề thói quen và cách sử dụng.
Yêu cầu hệ thống cài đặt Kerio winroute firewall tương đối đơn giản:* CPU Intel Pentium II 300 MHz trở lên* 128 MB RAM* 2 card mạng trở lên* 50 MB đĩa trốngKerio hỗ trợ các OS sau đây:* Windows 2000* Windows XP* Windows Server 2003
Điểm giống và khác nhau giữa 2 phần mềm Kerio Winroute firewall và ISA server 2004:
I.Giống nhau:
Kerio Winroute firewall và ISA server 2004 đều là hai phần mềm dùng để quản trị một hệ thống mạng do chúng có các chức năng bảo mật hệ thống an toàn như:
Lọc các gói tin đi vào của các máy khách muốn truy cập vào internal của một hệ thống mạng:Cung cấp các tính năng lọc các gói tin đi vào sao cho hiệu quả nhất.Nếu nó phát hiện gói tin nào không phù hợp thì sẽ loại bỏ gói tin đó và chỉ chấp nhận các gói tin phù hợp với yêu cầu của máy chủ mà thôi.
Phát hiện các phần mềm độc hại như virus,Spyware… xâm nhập vào hệ thống mạng và phá hủy chúng. Nhiều khi chúng ta truy cập đến một Website bên ngoài Internet,trong các packet nhận về từ máy chủ của Website đó có thể có chứa các phần mềm độc hại và firewall chính là một bức tường phát hiện và chặn các phần mềm độc hại đó không cho xâm nhập vào internal với mục đích phá hoại hoặc ăn cắp thông tin từ các máy trong hệ thống mạng.
Tạo kết nối từ xa đến các máy trong hệ thống mạng bằng dịch vụ VPN(Vituarl Private Network-mạng riêng ảo).. Ngoài việc cho phép người dùng trên internet được phép truy cập đến các máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác.
Chúng ta có thể sao lưu hoặc khôi phục các thiết lập Firewall
II. Khác nhau
ISA Server 2004
Kerio Winroute firewall
Lọc gói tin:ISA Server 2004 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering(lọc gói tin), stateful filtering(lọc trạng thái) và application-layer filtering(lọc lớp ứng dụng).Cả 3 quy tắc này đã được nói ở trên.
Lọc gói tin :WinRoute cung cấp một loạt các tính năng để lọc lưu lượng truy cập bằng cách sử dụng giao thức HTTP và FTP.
Giao thức FTP cũng đã được trình bày ở trên
Tiết Kiệm Băng Thông Với Tính Năng Cache Và Content Download Job Có một đặc tính rất hữu ích của ISA Server tuy nhiên mặc định bị cấm đó là web caching đối với HTTP và FTP request. Với ISA chúng ta có thể thực hiện hai cơ chế caching:Forward cachinh và Resever caching(hai cơ chế này đã trình bày ở trên).
Tiết Kiệm Băng Thông Với Tính Năng Cache Và Content Download Job: Không hỗ trợ
Báo cáo và quản lý :Không hỗ trợ
Báo cáo và quản lý: Sắp xếp biểu đồ và thống kê giúp đỡ tại chỗ và báo cáo các vấn đề thói quen sử dụng. Quản lý có thể được cài đặt khiển từ xa để cho phép cấu hình an toàn từ bất cứ nơi nào trên mạng. Tất cả các sự kiện quan trọng là báo cáo với ban quản trị bằng email. Well-sắp xếp biểu đồ và số liệu thống kê tại chỗ giúp đỡ các vấn đề thói quen và cách sử dụng.
Yêu cầu phần cứng: * CPU Intel Pentium IV 1.0GHz trở lên * 256 MB RAM * 2 card mạng trở lên * 1GB đĩa trống
Hỗ trợ các HDH: * Windows Server 2003
Yêu cầu phần cứng: * CPU Intel Pentium II 300 MHz trở lên * 128 MB RAM * 2 card mạng trở lên * 50 MB đĩa trống
Hỗ trợ các HDH: * Windows 2000 * Windows XP * Windows Server 2003
.Tuy Kerio winroute firewall có cấu hình thấp hơn nhưng về mặt chức năng thì ISA có nhiều điểm vượt trội hơn và có tính bảo mật cao hơn.Do đó có thể chống được nhiều mối nguy hại từ Internet. Và việc cấu hình sử dụng dễ dàng hơn.
Các file đính kèm theo tài liệu này:
- Tài liệu về Kerio firewall.docx