Lê Thùy Dung V Qu c Huy ng Th Ph ng Nguy n Thanh Tùng Ph m Thành Công
1
Khái ni m Phân lo i Ch c n ng C u trúc & cách th c ho t ng
2
3
4
5
Firewall b o v & ch ng l i i u gì? H n ch
6
c tích h p vào h th ng m ng ch ng l i s truy c p trái phép nh m b o v các ngu n thông tin n i b c ng nh h n ch s xâm nh p vào h thông c a m t s hacker hay gián i p
FireWall là m t k thu t
Là nh ng firewall c tích h p s n trên router
Là nh ng firewall s n trên server
c cài
Firewall c ng
Firewall m m
o
o
o
o
Tính linh ho t: không b ng Firewall m m: (Không th thêm ch c n ng, thêm quy t c nh firewall m m) Ho t ng: t ng th p h n Firewall m m (T ng Network và t ng Transport) Firewall c ng không th ki m tra c n t dung c a gói tin. Ví d Firewall c ng: NAT (Network Address Translate).
o
o
o
Tính linh ho t cao: Có th thêm, b t các quy t c, các ch c n ng. Ho t ng: t ng cao h n Firewall c ng (t ng ng d ng) Firewal m m có th ki m tra c n i dung c a gói tin (thông qua các t khóa) Ví d v Firewall m m: Zone Alarm, Norton Firewall«
o
1 2
Ki m soát lu ng thông tin t gi a Intranet và Internet
Thi t l p c ch i u khi n dòng thông tin gi a m ng bên trong (Intranet) và m ng Internet
Cho phép ho c c m nh ng d ch v truy nh p ra ngoài (t Intranet ra Internet). Cho phép ho c c m nh ng d ch v phép truy nh p vào trong (t Internet vào Intranet). Theo dõi lu ng d li u m ng gi a Internet và Intranet. Ki m soát a ch truy nh p, c m a ch truy nh p. Ki m soát ng i s d ng và vi c truy nh p c a ng i s d ng. Ki m soát n i dung thông tin thông tin l u chuy n trên m ng.
B l c packet (packet- filtering router). C ng ng d ng (Application-level gateway hay proxy server). C ng m ch (Circuite level gateway)
li u c chia nh thành các gói d li u (data packet) B l c packet cho phép hay t ch i m i packet mà nó nh n c Ki m tra o n d li u có th a mãn lu t l l c packet:
D
a ch IP n i xu t phát và n i nh n Th t c truy n tin (TCP, UDP, ICMP, IP tunnel) C ng TCP/UDP n i xu t phát và n i nh n D ng thông báo ICMP Giao di n packet n và i
Application-level
gateway
(Ví d : telnet c ng 3389, http c ng 80)
Proxy
server
(nhóm 13 s trình bày)
C
ng vòng là m t ch c n ng c bi t có th th c hi n c b i m t c ng ng d ng. C ng vòng n gi n ch chuy n ti p (relay) các k t n i TCP mà không th c hi n b t k m t hành ng x lý hay l c packet nào. C ng vòng th ng c s d ng cho nh ng k t n i ra ngoài, n i mà các nhà qu n tr m ng th t s tin t ng nh ng ng i dùng bên trong.
li u : Nh ng thông tin c n cb ov do nh ng yêu c u sau: o B om t o Tính toàn v n o Tính k p th i Tài nguyên h th ng Danh ti ng c a công ty s h u các thông tin c n b o v
D
T n công tr c ti p Nghe tr m Gi m o a ch IP. Vô hi u hoá các ch c n ng c a h th ng (deny service) L i ng i qu n tr h th ng. Y u t con ng i v i nh ng tính cách ch quan và không hi u rõ t m quan tr ng c a vi c b o m t h th ng
Firewall không thông minh nh con ng i có th c hi u t ng lo i thông tin và phân tích n i dung t t hay x u c a nó. Firewall không th ng n ch n m t cu c t n công n u cu c t n công này không " i qua" nó Firewall c ng không th ch ng l i các cu c t n công b ng d li u (data-drivent attack). Vd: email M t ví d là các virus máy tính. Firewall không th làm nhi m v rà quét virus trên các d li u c chuy n qua nó, do t c làm vi c, s xu t hi n liên t c c a các virus m i và do có r t nhi u cách mã hóa d li u, thoát kh i kh n ng ki m soát c a firewall.
Khi truy c p vào các trang web ho c t i các t p tin hay các e-mail có ính kèm t p tin, nh ng t p tin này có th ch a nh ng y u t gây nguy hi m n m ng c a b n. M t s có th có virus, ngoài ra có th ch a nh ng ch ng trình c nhúng trong ó gây phá ho i h th ng c a b n. Khái ni m : Trình di t virus là ph n m m có tính n ng phát hi n, lo i b các virus máy tính, kh c ph c (m t ph n ho c hoàn toàn) h u qu c a virus gây ra và có kh n ng c nâng c p nh n bi t các lo i virus trong t ng lai.
N i dung b o m t c a t ng l a cho phép b n b o v m ng c a b n kh i virus và các ch ng trình c h i ng y trang d i v b c c a ActiveX hay ng d ng Java. i u này cho phép b n ki m soát c cái gì có th c thông qua m ng c a b n t các trang web, e-mail và nh ng th khác. Ch c n ng c a trình di t virus là b o v m ng c a b n kh i virus thông qua c ch b o m t c a t ng l a.
Trong FireWall b n có th ch n ch ng trình quét virus mà b n mu n s d ng. i u này cho phép b n mua nh ng ch ng trình ch ng virus riêng bi t mà b n mu n và tích h p nó trong t ng l a. B n có th cài ch ng trình ch ng virus vào cùng m t máy ch v i t ng l a ho c trên m t máy ch khác trong m ng c a b n. M t khi các ph n m m này c cài t, các quy t c x lý quét virus s c t o ra b ng cách s d ng Security Policy Editor (t o chính sách b o m t), ó là giao di n thi t l p các quy t c b o m t. Ch ng trình quét virus (anti-virus scans) s x lý và cho phép nh ng y u t có th i vào m ng c a b n m t cách an toàn.
Ph n m m di t virus th ng ho t ng trên các nguyên lí c b n nh t nh sau: Ki m tra (quét) các t p tin phát hi n các virus ã bi t trong c s d li u nh n d ng v virus c a chúng. Phát hi n các hành ng c a các ph n m m gi ng nh các hành ng c a virus ho c các ph n m m c h i.
Các k thu t phát hi n, di t virus : + So sánh v i m u virus bi t tr + Nh n d ng hành vi áng ng . + Ki m soát liên t c. c.
B n có th t o ra quy ch , yêu c u e-mail ph i c quét virus tr c khi c i qua t ng l a c a b n. Khi t ng l a tìm th y các thông tin c n ph i x lý b ng quy t c này, các e-mail s c chuy n h ng sang s d ng Content Vectoring Protocol (CVP). Các e-mail ch a t p tin ính kèm s c chuy n n máy ch ch y ph n m m ch ng virus và nó s c ki m tra. N u quét virus xong mà an toàn, thì e-mail s c chuy n tr l i t ng l a và cho phép nó i ti p t i ích. Ng i nh n th h u nh không bi t v i u này, nh ng có th t tin r ng m i file ính kèm nh n c có th m và s d ng an toàn.
Server là ph n m m share internet c a hãng ph n m m n i ti ng Microsoft ISA Server (Microsoft Internet Security and Acceleration Sever )
ISA
Có th nói ây là m t ph n m m share internet khá hi u qu , n nh, d c u hình, firewall t t, nhi u tính n ng cho phép b n c u hình sao cho t ng thích v i m ng LAN c ab n
T c nhanh nh ch cache thông minh, v i tính n ng l u Cache vào RAM (Random Access Memory), giúp b n truy xu t thông tin nhanh h n, và tính n ng Schedule Cache (L p l ch cho t ng download thông tin trên các WebServer l u vào Cache và máy con ch c n l y thông tin trên các Webserver ó b ng m ng LAN). Ngoài ra còn r t nhi u các tính n ng khác n a
V
kh n ng qu n lý D dàng qu n lý R t nhi u Wizard Backup và Restore n gi n. Cho phép y quy n qu n tr cho các User/Group Log và Report chi ti t c th . C u hình 1 n i, ch y m i n i (b n ISA Enterprise) Khai báo thêm server vào array d dàng (không khó kh n nh h i ISA 2000, 2004 )
Các tính n ng khác H tr nhi u CPU và RAM ( b n standard h tr n 4CPU, 2GB RAM) Max 32 node Network Loadbalancing H tr nhi u network, Route/NAT theo t ng network, Firewall rule a d ng IDS Flood Resiliency: HTTP compression Diffserv
V kh n ng Publishing Service Cho phép public Terminal Server theo chu n RDP over SSL, m b o d li u trong phiên k t n i c mã hóa trên Internet (k c password). Block các k t n i non-encrypted MAPI n Exchange Server, cho phép Outlook c a ng i dùng k t n i an toàn n Exchange Server R t nhi u các Wizard cho phép ng i qu n tr public các Server n i b ra internet 1 cách an toàn. h tr c các s n ph m m i nh Exchange 2007.
Kh n ng k t n i VPN Cung c p Wizard cho phép c u hình t ng siteto-site VPN 2 v n phòng riêng bi t. t t nhiên ai thích c u hình b ng tay t i t ng i m m t c ng c. tích h p hoàn toàn Quanratine, Stateful filtering and inspection (cái này thì quen thu c r i), ki m tra y các i u ki n trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, h tr PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (v i các s n ph m VPN khác).
t
a ch IP cho m ng Lan c a b n
Ch
y ph n m m setup Ch n Install ISA sever 2006
Quá
trình cài
t hoàn t t
NAT
gi ng nh m t router, nó chuy n ti p các gói tin gi a nh ng l p m ng khác nhau trên m t m ng l n. NAT d ch hay thay i m t ho c c hai a ch bên trong m t gói tin khi gói tin ó i qua m t router, hay m t s thi t b khác. Thông th ng, NAT th ng thay i a ch (th ng là a ch riêng) c dùng bên trong m t m ng sang a ch công c ng.
NAT c ng có th coi nh m t firewall c b n. th c hi n c công vi c ó, NAT duy trì m t b ng thông tin v m i gói tin cg i qua. Khi m t PC trên m ng k t n i n 1 website trên Internet header c a a ch IP ngu n c thay i và thay th b ng a ch Public mà ã c c u hình s n trên NAT server , sau khi có gói tin tr v NAT d a vào b ng record mà nó ã l u v các gói tin, thay i a ch IP ích thành a ch c a PC trong m ng và chuy n ti p i. Thông qua c ch ó qu n tr m ng có kh n ng l c các gói tin c g i n hay g i t m t a ch IP và cho phép hay c m truy c p n m t port c th .
NAT s d ng IP c a chính nó làm IP công c ng cho m i máy con (client) v i IP riêng. Khi m t máy con th c hi n k t n i ho c g i d li u t i m t máy tính nào ó trên internet, d li u s c g i t i NAT, sau ó NAT s thay th a ch IP g c c a máy con ó r i g i gói d li u i v i a ch IP c a NAT. Máy tính t xa ho c máy tính nào ó trên internet khi nh n c tín hi u s g i gói tin tr v cho NAT computer b i vì chúng ngh r ng NAT computer là máy ã g i nh ng gói d li u i. NAT ghi l i b ng thông tin c a nh ng máy tính ã g i nh ng gói tin i ra ngoài trên m i c ng d ch v và g i nh ng gói tin nh n c v úng máy tính ó (client).
² Ban u, NAT c a ra nh m gi i quy t v n thi u h t a ch c a IPv4 . ² NAT giúp chia s k t n i Internet (hay 1 m ng khác) v i nhi u máy trong LAN ch v i 1 IP duy nh t. ² NAT che gi u IP bên trong LAN ² NAT giúp qu n tr m ng l c các gói tin c g i n hay g i t m t a ch IP và cho phép hay c m truy c p n m t port c th .