Bài 20: Dịch vụ PROXY

Kết thúc bài học này giúp cho học viên có thể tổ chức và triển khai một Proxy Server phục vụ chia sẻ và quản lý kết nối Internet của các máy trạm, đồng thời học viên cũng có thể xây dựng một hệ thống Firewall để bảo vệ hệ thống mạng cục bộ của mình.
Nội dung trích xuất từ tài liệu:
Bài 20: Dịch vụ PROXYDỊCHVỤPROXYTóm tắtLý thuyết 8 tiết -Thực hành 16 tiếtMục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêmKết thúc bài học này giúp I. Firewall II. Giới thiệu ISA 2004 III.Đặt Dựa vào bài Dựa vào bàicho học viên có thểtổchức tập môn Dịch tập môn Dịch điểm của ISA 2004. IV.Cài đặt ISAvà triển khai một Proxy vụmạng vụmạngServer phục vụchia sẻvà 2004. V.Cấu hình ISA Server Windows Windowsquản lý kết nối Internet 2003. 2003.của các máy trạm, đồngthời học viên cũng cóthểxây dựng một hệthốngFirewall đểbảo vệhệthốngmạng cục bộcủa mình.I. Firewall.Internet là mộthệthống mở, đó là điểmmạnh và cũng là điểmyếucủa nó. Chínhđiểmyếu này làm giảm khảnăng bảomật thông tin nộibộcủahệthống. Nếu chỉlà mạngLAN thì không có vấn đềgì, nhưng khi đãkếtnối Internet thì phát sinh những vấnđềhếtsức quan trọng trong việc quản lý các tài nguyên quý giá -nguồn thông tin-nhưchếđộbảovệchống việc truy cậpbấthợp pháp trong khi vẫn cho phép người đượcủy nhiệmsửdụng các nguồn thông tin mà họđượccấp quyền, và phương pháp chốngrò rỉthông tin trên các mạng truyềndữliệu công cộng (Public Data CommunicationNetwork).I.1. Giới thiệuvềFirewall. Thuật ngữfirewall có nguồngốctừmộtkỹthuật thiếtkếtrong xâydựng đểngăn chặn, hạn chếhỏa hoạn. Trong công nghệthông tin, firewall là mộtkỹthuật đượctích hợp vào hệthống mạng đểchống lại việc truy cập trái phép, bảovệcác nguồn tài nguyêncũng nhưhạn chếsựxâm nhập vào hệthống củamộtsốthông tin khác không mong muốn.Cụthểhơn, có thểhiểu firewall là mộtcơchếbảovệgiữamạng tin tưởng (trusted network), vídụmạng intranet nộibộ,với các mạng không tin tưởng màthông thường là Internet.Vềmặtvật lý, firewall bao gồmmột hoặc nhiềuhệthống máychủkếtnốivới bộđịnh tuyến(Router) hoặc có chứcnăng Router.Vềmặt chứcnăng,firewall có nhiệmvụ: -Tấtcảcác trao đổidữliệutừtrong ra ngoài và ngượclại đều phải thực hiện thông qua firewall. -Chỉcó những trao đổi được cho phép bởihệthống mạng nộibộ(trusted network)mới được quyềnlưu thông qua firewall. -Các phầnmềm quản lý an ninh chạy trên hệthống máy chủbao gồm:Quản lý xác thực(Authentication): có chứcnăng ngăncản truy cập trái phép vàohệthống mạng nội bộ.Mỗi ngườisửdụng muốn truy cậphợplệphải có một tàikhoản(account) bao gồmmột tên người dùng (username) và mật khẩu(password).Quản lý cấp quyền(Authorization): cho phép xác định quyềnsửdụng tài nguyên cũngnhưcác nguồn thông tin trên mạng theo từng người, từng nhóm ngườisửdụng.Quản lý kiểm toán (Accounting Management): cho phép ghi nhậntấtcảcác sựkiệnxảyra liên quan đến việc truy cập và sửdụng nguồn tài nguyên trên mạng theo từng thờiđiểm (ngày/giờ) và thời gian truy cập đốivới vùng tài nguyên nào đã đượcsửdụng hoặcthay đổibổsung …I.2. Kiến Trúc Của Firewall.I.2.1 Kiến trúc Dual-homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựatrên máy tính dual-homed host.Một máy tính đượcgọi là dual-homed host nếu nó có ít nhất hainetwork interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếpvới hai mạng khác nhauvà nhưthếmáy tính này đóng vai trò là Routermềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ởgiữa, một bênđượckếtnốivới Internet và bên còn lạinốivớimạng nộibộ(LAN). 592Dual-homed host chỉcó thểcung cấp các dịch vụbằng cách ủy quyền(proxy) chúng hoặc chophépusers đăng nhập trực tiếp vào dual-homed host.Mọi giao tiếptừmột host trong mạng nộibộvàhost bên ngoài đềubịcấm, dual-homed host là nơi giao tiếp duy nhất. Hình 5.1: Kiến trúc Dual-Home Host.I.2.2 Kiến trúc Screened Host.Screened Host có cấu trúc ngượclạivớicấu trúc Dual-homedhost. Kiến trúc này cung cấp các dịchvụtừmột host bên trong mạng nộibộ, dùng một Router tách rờivớimạng bên ngoài.Trong kiểu kiến trúc này, bảomật chính là phương pháp Packet Filtering.Bastion host được đặt bên trong mạng nộibộ. Packet Filtering được cài trên Router.Theo cách này, Bastion host là hệthống duy nhất trong mạng nộibộmà những hosttrên Internet có thểkếtnốitới. Mặcdù vậy, chỉnhững kiểukếtnối phù hợp(được thiếtlậptrong Bastion host)mới được cho phép kếtnối. Bấtkỳmộthệthống bên ngoài nàocốgắng truy cập vào hệthống hoặc các dịch vụbên trong đều phảikếtnốitới host này.Vì thếBastion host là host cần phải được duy trì ởchếđộbảomật cao.Packet filtering cũng cho phép bastion host có thểmởkếtnối ra bên ngoài. Cấu hìnhcủa packet filtering trên screening router nhưsau: -Cho phép tấtcảcác host bên trong mởkếtnốitới host bên ngoài thông ...