ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP NGUYỄN THỊ TÌNH 05/2011 GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP GVHD: ThS Lương Xuân Phú SVTH : Nguyễn Thị Tình Lớp 05/2011 GVHD: THS LƯƠNG XUÂN PHÚ : 47K - CNTT ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH MỤC LỤC Trang Chương 1: TÌM HIỂU VỀ FIREWALL GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH CÁC THUẬT NGỮ VÀ KÝ HIỆU VPN Virtual Private Network - Mạng riêng ảo DMZ Demilitarized Zone - Vùng phi quân AD Active Directory DC Domain Controller - Điều khiển vùng DNS Domain Name System - Hệ thống tên miền DHCP Dynamic Host Configuration Protocol OWA Outlook Web Access MAC Media Access Control - Địa vật lý TCP Transmission Control Protocol - Giao thức điều khiển truyền vận IP Internet Protocol - Giao thức Liên mạng IPSec Internet Protocol Security OU Organizational Unit NFS Network File System POP Post Office Protocol POP3 Post Office Protocol phiên SMTP Simple Mail Transfer Protocol IMAP Internet Message Access Protocol GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH LỜI MỞ ĐẦU Chúng ta khơng thể phủ nhận khoảng vài năm trở lại Internet phát triển với tốc độ chóng mặt công cụ thiếu thời đại công nghệ ngày Tầm quan trọng khơng ảnh hưởng đến ngành cơng nghệ cao mà cịn vươn xa tới lĩnh vực khác Hay nói cách khác Internet gần xóa bỏ định nghĩa khơng gian địa lý qua người giới liên lạc với cách nhanh chóng cho dù có cách xa đến hàng vạn số Hơn khơng gian mở giới tri thức loài người, người ta trao đổi kiến thức, liệu,… với gần Đi kèm với tiện ích vấn nạn virus, lừa đảo, cơng vào hệ thống máy tính ngày đa dạng rộng khắp Những kẻ cơng với nhiều mục đích tư lợi muốn chứng tỏ thân mà bất chấp tất Chúng len lỏi vào hệ thống, chúng tàn phá liệu táo bạo đánh cắp thông tin mật quốc gia đó,… Ngay từ năm đầu kỷ 21 vấn nạn trở nên nhức nhối nỗi băn khoăn chung toàn xã hội Các hãng bảo mật máy tính tồn giới không ngừng cho đời, phát triển hồn thiện chương trình bảo mật mà tiêu biểu chương trình Internet Sercurity Acceleration Server (ISA Server) hãng Microsoft Chính nhu cầu bảo mật ngày có vai trị quan trọng hệ thống mạng doanh nghiệp tổ chức, kiến thức học trường em chọn đề tài “XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP” Nhưng thời gian kiến thức có hạn nên báo cáo cịn hạn chế, mong góp ý thầy, cô Em xin gửi lời cảm ơn chân thành tới thầy ThS Lương Xuân Phú tận tình giúp đỡ để em hoàn thành đề tài Sinh viên thực hiện: Nguyễn Thị Tình GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Chương 1: TÌM HIỂU VỀ FIREWALL I.1 Khái niệm Firewall Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập khơng mong muốn vào hệ thống Cũng hiểu Firewall chế để bảo vệ mạng tin tưởng khỏi mạng không tin tưởng Thông thường Firewall đặt mạng bên (Internal) Internet công ty, tổ chức, ngành hay quốc gia,… Vai trị bảo mật thơng tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Internal) tới số địa định Internet I.2 Phân loại Firewall I.2.1 Firewall cứng Là firewall tích hợp Router Đặc điểm Firewall cứng: + Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc Firewall mềm) + Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH I.2.2 Firewall mềm Là Firewall cài đặt Server Đặc điểm Firewall mềm: + Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức + Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) I.3 Chức Firewall Chức Firewall kiểm sốt luồng thơng tin Internal Internet Thiết lập chế điều khiển dòng thơng qua lọc gói (PacketFiltering Router) mạng bên (Internal) mạng Internet  Cho phép cấm dịch vụ truy cập  Cho phép cấm dịch vụ từ truy cập vào  Theo dõi luồng liệu mạng Internet Internal  Kiểm soát địa truy nhập, cấm địa truy nhập  Kiểm soát người sử dụng việc truy cập người sử dụng Một câu hỏi đặt lại phải cần đến Firewall? Nếu khơng có firewall, truy cập vào Internet, Hacker dễ dàng đột nhập ăn cắp thông tin cá nhân Chúng cài đặt mật mã phá hủy File gây cố cho máy tính Chúng sử dụng GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH máy tính để cơng máy tính gia đình doanh nghiệp khác kết nối Internet (và nguy hiểm Hacker đột nhập vào doanh nghiệp hay tổ chức lớn, nhằm chép hay phá hủy liệu lúc thiệt hại nghiêm trọng) Việc sử dụng Firewall để chống lại cơng từ bên ngồi, giúp khỏi gói tin hiểm độc trước đến hệ thống I.4 Hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công cơng khơng “đi qua” Một cách cụ thể, Firewall chống lại công từ đường Dial-Up, rị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại cơng liệu (Data-Drivent Attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà qt virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt Firewall Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Chương 2: TÌM HIỂU VỀ ISA SERVER 2006 2.1 Các phiên ISA Server 2006 ISA 2006 có hai phiên ISA Server 2006 Standard ISA Server 2006 Enterprise 2.1.1 ISA Server 206 Standard ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thơng cho doanh nghiệp, cơng ty có quy mơ trung bình Xây dựng để kiểm sốt luồng liệu vào hệ thống mạng nội Kiểm sốt q trình truy cập người dùng theo giao thức, thời gian nội dung nhằm ngăn chặn việc kết nối vào trang web có nội dung khơng thích hợp Triển khai hệ thống VPN site to site, Remote Access để hỗ trợ truy cập từ xa, trao đổi liệu văn phòng chi nhánh Xây dựng vùng DMZ riêng biệt cho máy Server cơng ty (Web, Mail,…) Ngồi cịn có hệ thống đệm (Caching) giúp kết nối Web nhanh 2.1.2 ISA Server 2006 Enterprise ISA Server 2006 Enterprise sử dụng mơ hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất người dùng bên ngồi hệ thống Ngồi tính có ISA Server 2006, Enterprise cịn cho phép thiết lập hệ thống mảng ISA Server sử dụng sách, điều giúp dễ dàng quản lý cung cấp tính Load Balancing (cân tải) 2.2 Một số tính ISA Server Microsoft Internet Security and Acceleration Sever (ISA Server) phần mềm share Internet hãng phần mềm tiếng Microsoft Có thể nói phần mềm share Internet hiệu quả, ổn định, dễ cấu hình, Firewall tốt, nhiều tính cho phép cấu hình cho tương thích với mạng LAN GVHD: THS LƯƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Tốc độ nhanh nhờ chế độ Cache thơng minh, với tính lưu Cache vào RAM (Random Access Memory), giúp ta truy xuất thông tin nhanh hơn, tính Schedule Cache (Lập lịch cho tự động download thông tin WebServer lưu vào Cache máy cần lấy thơng tin Webserver mạng LAN) Ngoài đặc điểm bật 2006 so với 2004 tính Publishing VPN  Về khả Publishing Service + ISA 2006 tự tạo Form người dùng truy cập vào trang OWA (là Exchange Server phục vụ Mail cho phép người dùng truy cập quản trị Mailbox họ từ xa thông qua Web Browser) chống lại người dùng bất hợp pháp vào trang web OWA Block kết nối Non-Encrypted đến Exchange Server, cho phép Outlook người dùng kết nối an toàn đến Exchange Server + Rất nhiều Wizard cho phép người quản trị Publish Server nội Internet cách an toàn hỗ trợ sản phẩm Exchange 2003, Exchange 2007,  Về khả kết nối VPN + Cung cấp Wizard cho phép cấu hình tự động Site-To-Site VPN văn phòng riêng biệt + Cho phép Public VPN Server khác Internal Internet  Về khả quản lý + Dễ dàng quản lý Backup Restore đơn giản + Rất nhiều Wizard + Cho phép ủy quyền quản trị cho User/Group + Log Report chi tiết cụ thể + Cấu hình nơi, chạy nơi (bản ISA Enterprise) GVHD: THS LƯƠNG XUÂN PHÚ 10 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Bạn quay lại máy Client tiến hành Scan Port lại máy ISA + Lúc ISA Server phát việc Scan Port bất hợp pháp gởi Email cảnh báo cho Administrator để đưa phương án phòng thủ bạo vệ tốt GVHD: THS LƯƠNG XUÂN PHÚ 48 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH 3.6.8 Backup Restore ISA Server 2006 • Backup ISA Server 2006 + Ngay sau cài trước chỉnh sửa cấu hình ISA nên tiến hành Backup cấu hình cho ISA Server đề phịng trường hợp rủi ro xảy + Right_Click vào Firewall Policy chọn Export → Next + Ta đặt mật cho Backup, mật có ký tự để trống theo mặc định chọn Next + Chọn ổ đĩa cần lưu đặt tên, chọn Next → Nhấn Finish để kết thúc GVHD: THS LƯƠNG XUÂN PHÚ 49 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH • Restore ISA Server 2006 Khi hệ thống bị lỗi cần đến Backup để Restore lại liệu hệ thống ổn định an toàn + Right_Click vào Firewall Policy chọn Import → Next + Chọn mục Browse… → Chọn file cần Restore → Next GVHD: THS LƯƠNG XUÂN PHÚ 50 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Nhập Password File Backup, chọn Next + Nhấn Finish để kết thúc GVHD: THS LƯƠNG XUÂN PHÚ 51 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN  Kết luận Trong thực tế nay, bảo mật thơng tin đóng vai trị thiết yếu khơng cịn “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin Ứng dụng cơng nghệ thơng tin cách có hiệu “bền vững” tiêu chí hàng đầu nhiều quốc gia nói chung tổ chức, doanh nghiệp nói riêng Để làm điều trước hết ý thức sử dụng máy tính an tồn tất nhân viên tổ chức, am hiểu tinh tường Security Admin tổ chức đó, sử dụng ISA Server công cụ đắc lực giúp người quản trị bảo vệ an tồn cho hệ thống thơng tin Kết đạt sau xây dựng triển khai việc bảo mật cho hệ thống mạng với ISA 2006: + Nắm vững phần tổng quan xây dựng triển khai bảo mật cho hệ thống mạng + Hiểu khái niệm bản, chức Firewall dịch vụ mạng + Thực yêu cầu cài đặt cấu hình cho hệ thống Server – Client ISA Server 2006 + Thiết lập Rule ISA Server 2006 để đáp ứng cho yêu cầu quản lý bảo mật cho doanh nghiệp vừa nhỏ Mơ hình triển khai có ưu điểm nhược điểm sau: • Ưu điểm: + Hệ thống có khả bảo mật cao Gây khó khăn cho Hacker từ bên ngồi cơng vào + Quản lý sát làm việc: Các nhân viên phân quyền theo phòng ban truy cập Internet vào khung định Tránh tình trạng lợi dụng mạng công ty để làm việc riêng hành GVHD: THS LƯƠNG XUÂN PHÚ 52 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Nhân viên Marketing làm xa công ty truy nhập vào hệ thống mạng nhờ dịch vụ VPN, sử dụng Web Mail nội + Có thể chia sẻ tài ngun thơng qua máy chủ File Server + … • Nhược điểm: + Chi phí cao + Địi hỏi phải có nhân viên đủ trình độ đáng tin cậy để quản trị hệ thống  Hướng phát triển + Thực triển khai vùng phi quân gọi tắt DMZ nhằm bảo vệ Mail Server Web Server chặt chẽ môi trường riêng biệt Ngăn ngừa tương tác trực tiếp người bên bên hệ thống + Mở rộng sơ đồ công ty sang chi nhánh Trong trường hợp sơ đồ mạng công ty phát triển cho chi nhánh theo cơng nghệ VPN Site to Site GVHD: THS LƯƠNG XUÂN PHÚ 53 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TÀI LIỆU THAM KHẢO [1] Nguyễn Đắc Hoàng, Nhất Nghệ Support Team, Top 10 Lab Quản trị mạng [2] Tài liệu đào tạo Internet Security Acceleration (ISA) Server 2004(70350) trung tâm NEWEPOCH [3] LAB - VPN CLIENT TO SITE ON ISA SERVER Việt Chuyên [4] Hồ Viết Hà, Giáo trình tồn tập triển khai ISA 2004, Network Information Security Vietnam, Inc(http://nis.com.vn) [5] Exam 70- 350, Implementing Microsoft Internet Sercurity and Acceleration Server 2004 by Setan Reimer and Orin Thomas [6] Exam 70-290 MCSA/MCSE Managing and Maintaining a Microsoft Windows Server 2003 Environment by Dan Holme and Orin Thomas [7] http://diendancntt.vn [8] http://nhatnghe.com [9] http://vietchuyen.org GVHD: THS LƯƠNG XUÂN PHÚ 54 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH [10] http://quantrimang.com GVHD: THS LƯƠNG XUÂN PHÚ 55 ...ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP GVHD:... Microsoft Chính nhu cầu bảo mật ngày có vai trị quan trọng hệ thống mạng doanh nghiệp tổ chức, kiến thức học trường em chọn đề tài “XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP” Nhưng thời gian... Server 2006 Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thông cho doanh nghiệp, công ty có quy mơ trung bình Xây dựng để kiểm sốt luồng liệu vào hệ thống mạng nội Kiểm sốt q trình truy cập người