ISA server template
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (836.68 KB, 8 trang )
ISA Server - Template
ISA Server - Template
Bởi:
Phạm Nguyễn Bảo Nguyên
Chúng ta đã biết được nhiệm vụ cơ bản nhất của ISA Server là tạo nên một không gian
thế giới mới mà trong đó nó sẽ ngăn chia thế giới chúng ta ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy
ISA Server
- External Network: là các máy ngoài mạng Internet.
Trên thực tế có nhiều mô hình dựng ISA Server và Microsoft đã đưa ra cho ta 3 mô
hình như sau:
Edge Firewall
1/8
ISA Server - Template
Mô hình này chính là mô hình mà ta đã làm trong các bài trước. Với mô hình này chúng
ta chỉ cần dựng một ISA Server duy nhất và trên đó có 2 Card Lan:
- Card thứ 1 nối với các máy trong Internal Network. ISA Server sẽ mở các Port
Outbound tại Card này
- Card thứ 2 nối với các máy trong External Network. ISA Server sẽ mở các Port
Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi
đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng
Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm
rất hạn chế.
3-Leg Perimeter
Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm
2/8
ISA Server - Template
- Nhóm thứ 1 là các máy như Mail Server, Web Server... để người dùng từ External
Network có thể truy cập vào
- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
Tại máy ISA Server ta cần đến 3 Card Lan
- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network. ISA Server
sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network. ISA Server
sẽ mở các Port Outbound/Inbound tại Card này
- Card thứ 3 nối với các máy trong External Network. ISA Server sẽ mở các Port
Inbound tại Card này
Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi
đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm
thứ 1 trong mạng Internal Network. Với mô hình này tuy hệ thống vẫn được bảo mật
nhưng còn chưa được chặt chẽ lắm.
3/8
ISA Server - Template
Front/Back Firewall
Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này
người ta sẽ dựng nhiều ISA Server trong Local Host
Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA
Server trong Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công
thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an
toàn hơn.
Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.
Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì
chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server.
4/8
ISA Server - Template
Tại ISA Server bạn chọn Configuration chọn tiếp Network
Chọn tiếp Tab Templates bên phải và chọn mô hình tương ứng ví dụ tôi chọn mô hình
thứ 1 là Edge Firewall
5/8
ISA Server - Template
Trong cửa sổ Select a Firewall Policy bạn chọn các Policy thích hợp với hệ thống của
mình:
- Block all: khóa tất cả
- Block Internet access, allow access to ISP network services: khóa truy cập Internet
nhưng cho truy cập dịch vụ của ISP (chỉ cho truy cập Port 53)
- Allow limited Web access: chỉ cho truy cập Web nhưng giới hạn (không mở các Port
80,443,21 mà chỉ có thể truy cập Web thông qua IP Address mà thôi)
- Allow limited Web access and access to ISP network services: chỉ cho truy cập Web
và truy cập dịch vụ của ISP nhưng giới hạn
6/8
ISA Server - Template
Ví dụ tôi chọn: Allow limited Web access and access to ISP network services
Trở lại màn hình Firewall Policy sẽ thấy ISA Server tự động xóa tất cả các Rule mà
bạn tạo trước đó thay vào đó là các Rule mới do ISA Server tự thêm vào
7/8
ISA Server - Template
Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm
hoạt động của chúng là quá rộng. Ta nên tạo lần lượt các Rule và mở những Port nào
thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn.
8/8
