Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 08-10-2008, 12:12
lmh lmh vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 879
Thanks: 27
Thanked 419 Times in 88 Posts
Đôi điều về SecureNAT client & Web proxy client

Hiệu năng hoạt động của ISA server không chỉ phụ thuộc vào các cấu hình của riêng nó mà còn chịu ảnh hưởng từ cách cấu hình của các máy khác trong hệ thống mạng - các ISA client -.

ISA Client là gì?

Theo quan niệm thông thường, client là máy tính gửi yêu cầu cung cấp dữ liệu đến server, server thu thập dữ liệu và gửi đáp ứng cho client. Quan hệ client - server phụ thuộc vào phần mềm được cài đặt trên client để giúp nó giao tiếp được với một dịch vụ nhất định tại server.

Tuy nhiên, khái niệm ISA client - ISA server lại hoàn toàn khác. ISA client không nhất thiết phải được cài đặt một ứng dụng cụ thể nào và ứng dụng trên ISA client cũng không nhất thiết phải kết nối trực tiếp đến ISA server. Nói ngắn gọn và cụ thể hơn, bất cứ máy tính nào kết nối đến tài nguyên mà nó cần dùng bằng cách thông qua ISA đều được xem là ISA client.

Theo quan niệm nêu trên, ISA client sẽ thuộc về 1 trong 3 loại:
- SecureNAT client.
- Web Proxy client.
- Firewal client.

Một máy tính duy nhất có thể được cấu hình để hoạt động theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy Windows XP có thể được cấu hình thành cả 3 loại client. 1 máy Linux có thể được cấu hình thành Web Proxy client và Firewal client.

Chọn lựa loại ISA client thích hợp nhất đôi khi lại là một bài toán không dễ. Với mong muốn hỗ trợ phần nào cho các vị quản trị viên, bài viết này trình bày một vài vấn đề đôi khi ít được chú ý trong quá trình triển khai SecureNAT client và Web proxy client .

1. SecureNAT client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan tâm là Default Gateway. Phải khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết bị định tuyến (router) nội bộ.
- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP
- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng
- Không thể chứng thực người dùng

Để hiểu cách cấu hình SecureNAT client, xin ví dụ 2 hệ thống mạng, tạm gọi là mạng đơn giản và mạng phức tạp
Mạng đơn giản



Hệ mạng chỉ có 01 network ID và không có router nội bộ. Default gateway của các client là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server là router và NAT server.

Mạng phức tạp:



Hệ mạng gồm 03 network ID và 01 router nội bộ. Default gateway của các client là địa chỉ IP của router. Router được cấu hình default route là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server cũng là router và NAT server.

Một số ưu điểm:
- Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng cơ sở hạ tầng mạng.
- Triển khai trên các client không dùng hệ điều hành Windows.
- Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh ping hoặc tracert...) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal)

Một số hạn chế::
Hạn chế thứ nhất: SecureNAT client không có ứng dụng thực hiện việc gửi username và password đến firewall service trên ISA server, vì thế ISA không thể chứng thực user đối với thông tin phát sinh từ SecureNAt client và tất nhiên cũng không thể ghi nhận (log) các thông tin truy cập liên quan đến user.
Hạn chế thứ hai: Client không thể dùng các protocol đa kết nối (multi connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp.
Ví dụ FTP là 1 protocol đa kết nối: FTP client khởi tạo kết nối đến port TCP 20 của FTP server để tạo 01 kênh điều khiển (control chanel). FTP Client và FTP server sẽ dùng kênh điều khiển này để thương thảo số port mà FTP client dùng để nhận thông tin. Sau đó, FTP server truyền dữ liệu từ port TCP 21 đến port đã thương thảo của FTP client. Kết nối thứ hai này mới là kết nối chủ yếu và có các port không hề liên quan gì đến các port của kết nối phát sinh từ FTP client trước đó. Tuy vậy, ISA tích hợp sẵn bộ lọc FTP và SecureNAT client có khả năng truy cập dùng FTP thông qua ISA server.
SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng đa truyền thông (multi media: voice, video...) vì hầu hết các ứng dụng này đều dùng đa kết nối. Chỉ có 01 ngoại lệ duy nhất là nếu các ứng dụng này được thiết kế để hoạt động với proxy SOCKS 4 thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ có khả năng hỗ trợ.
Hạn chế thứ ba: Client chỉ có thể dùng các protocol mà ISA server có thể nhận diện thông qua bảng mô tả trên ISA server. Khi 01 access rule cho phép SecureNAT client được truy cập bằng "All outbound traffic" thì không có nghĩa là mọi protocol. "All outbound traffic" đối với SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA server mà thôi.
Vì vậy, chỉ nên dùng SecureNAT client khi:
- Publish server ra internet
- Không thể triển khai cài đặt Firewall client hoặc cần các ứng dụng ngoài khả năng đáp ứng của Web proxy.
- Client cần dùng protocol ICMP hoặc PPTP.

Vấn đề DNS đối với SecureNAT client:
SecureNAT client phân giải DNS name bằng cách truy vấn DNS server được khai báo trong TCP / IP properties. Có thể quan sát lại hai mô hình mạng bên trên để rút ra công thức cấu hình. Ở mô hình mạng đơn giản, client được cấu hình truy vấn DSN của ISP vì hệ mạng nội bộ không có DNS server. Ở mô hình mạng phức tạp, client được cấu hình truy vấn DSN nội bộ nhằm đảm bào khả năng phân giải tên nội bộ cũng như tên ngoài thế giới internet.

2. Web proxy client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server của trình duyêt web.
- Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web
- Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS
- Có thể chứng thực người dùng

Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger (chat) hoặc trình duyệt mail.

Khi SecureNAT hoặc Firewall client truy cập web, yêu cầu được chuyển đến firewall service trên ISA. Firewall service lại chuyển yêu cầu đến bộ lọc web proxy. Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt.

Khi Web proxy client dùng trình duyệt web để tải dữ liệu về từ FTP server, ví dụ: ftp://ftp.nhatnghe.com, trình duyệt web sẽ triển khai một HTTP tunnel (đường hầm HTTP) chứ không dùng trực tiếp FTP. Web proxy client đóng gói yêu cầu FTP với 1 header HTTP có địa chỉ mục tiêu là địa chỉ card internal của ISA và port mục tiêu là TCP 8080. Khi tiếp nhận yêu cầu này, ISA 2006 sẽ tah1o phần HTTP header và chuyển gói tin yêu cầu ftp đến server ftp.nhatnghe.com.
Khi dùng web proxy cho kết nối ftp, client chỉ có thể tải xuống (download). Để có thể tải lên (upload), client phải được cấu hình là SecureNAT hoặc Firewall client

Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client. Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập web tại một thời điểm: Mở Properties của network chứa Web proxy client (thường là network Internal) > tab Web Proxy > Advanced. > chọn Maximum và nhập số kết nối đồng thời tối đa. Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối.

Xin hẹn một bài khác về Firewall client.
Cảm ơn quý vị đã xem!

thay đổi nội dung bởi: lmh, 09-10-2009 lúc 21:26
Trả Lời Với Trích Dẫn
  #2  
Old 10-10-2008, 09:13
LogIn LogIn vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2007
Bài gởi: 736
Thanks: 7
Thanked 388 Times in 56 Posts
Hoan hô thầy Hiến. Rất rõ ràng và dễ hiểu.
Làm tiếp thêm phần Firewall Client thầy ơi !!!
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn LogIn vì bài viết hữu ích này:
  #3  
Old 12-10-2008, 11:17
lmh lmh vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 879
Thanks: 27
Thanked 419 Times in 88 Posts
Đính chính

Phần ISA Client là gì?:

... Một máy tính duy nhất có thể được cấu hình để hoạt động theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy Windows XP có thể được cấu hình thành cả 3 loại client. 1 máy Linux có thể được cấu hình thành Web Proxy client và Firewal client.

Xin được đính chính: (vì lúc đó tác giả lại vô tình "mơ về nơi xa lắm")

Một máy tính duy nhất có thể được cấu hình để hoạt động theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy Windows XP có thể được cấu hình thành cả 3 loại client. 1 máy Linux có thể được cấu hình thành Web Proxy client và SecureNAT client.
Trả Lời Với Trích Dẫn
Đã có 6 người gửi lời cảm ơn lmh vì bài viết hữu ích này:
  #4  
Old 12-10-2008, 12:01
pingpong8xnp pingpong8xnp vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Oct 2008
Tuổi: 33
Bài gởi: 62
Thanks: 7
Thanked 3 Times in 3 Posts
Cảm ơn thầy ! Save page thui
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn pingpong8xnp vì bài viết hữu ích này:
  #5  
Old 21-10-2008, 16:59
tieuquixanh tieuquixanh vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Oct 2008
Tuổi: 35
Bài gởi: 4
Thanks: 0
Thanked 2 Times in 2 Posts
Giúp em exchange !

Chào Thầy, xin Thầy giúp dùm em.
em có cài exchange 2003 trên máy DC, và cài isa 2006 trên một máy win2003 đã join vô máy DC, em muốn public exchange ra internet. nhưng em xem trên diễn đàn thấy mọi người nói phải có MX Record. Em đã đăng kí host trên no-ip là thuan.no-ip.biz và nó cũng là tên domain của em, vậy MX là khai báo trong DNS hay như thế nào thưa Thầy ? và exchange có khai báo gì ko vậy Thầy ?
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn tieuquixanh vì bài viết hữu ích này:
  #6  
Old 22-10-2008, 11:40
tuantt tuantt vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Nơi Cư Ngụ: Quan 1 - HCM
Bài gởi: 1,219
Thanks: 11
Thanked 131 Times in 68 Posts
Trích:
Nguyên văn bởi tieuquixanh View Post
Chào Thầy, xin Thầy giúp dùm em.
em có cài exchange 2003 trên máy DC, và cài isa 2006 trên một máy win2003 đã join vô máy DC, em muốn public exchange ra internet. nhưng em xem trên diễn đàn thấy mọi người nói phải có MX Record. Em đã đăng kí host trên no-ip là thuan.no-ip.biz và nó cũng là tên domain của em, vậy MX là khai báo trong DNS hay như thế nào thưa Thầy ? và exchange có khai báo gì ko vậy Thầy ?
Bạn chưa hiểu rõ về mx record và Internal DNS và External DNS rồi.
Mx record chỉ khai ở chỗ mình mua domain hoặc như no-ip của bạn. còn bên trong mx kô cần chỉ mục đích làm lab (hoặc dùng để các mail server nội bộ giao tiếp với nhau)

thay đổi nội dung bởi: Mr.M, 22-10-2008 lúc 12:01
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn tuantt vì bài viết hữu ích này:
  #7  
Old 22-10-2008, 15:42
cheowan cheowan vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 10
Thanks: 0
Thanked 1 Time in 1 Post
hay và giải thích rõ ràng, cám ơn thầy nhiều lắm
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn cheowan vì bài viết hữu ích này:
  #8  
Old 07-11-2008, 22:43
tranhait5b1 tranhait5b1 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Oct 2008
Tuổi: 33
Bài gởi: 7
Thanks: 0
Thanked 2 Times in 2 Posts
xin cảm ơn Thầy Hiến nhiều nhiều nha, sẵng dịp post luôn cái ISA client luôn Thầy ơi, và Thầy vui lòng cho Em hỏi giữa ISA client và secuNAT khác nhau ở những điểm nào?Em đã thử 1 số trường hợp mà vẫn không thấy được sự khác nhau giữa chúng?(vừa đọc bài trên xong, theo Em nghĩ thì 3 hạn chế của secuNAT mà Thầy nên trên chính là ưu điểm của ISA client, vậy ISA client còn thêm những ưu điểm gì? và có hạn chế nào không?)Em mới bắt đầu học ISA nên còn hơi mơ hồ mong Thầy giải đáp, xin cảm ơn Thầy rất nhiều^.^
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn tranhait5b1 vì bài viết hữu ích này:
  #9  
Old 12-11-2008, 05:25
mrvuhoang mrvuhoang vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Apr 2007
Bài gởi: 66
Thanks: 1
Thanked 1 Time in 1 Post
Hình như khi client dùng web proxy thì 1 số dịch vụ như voice chat, webcam chat sẽ không dùng được? (với YM). Còn về ISA firewall client thì nó kết hợp cà secure NAT và proxy nên có đầy đủ ưu và nhược điểm cùa 2 loại trên. Bât tiện ở chỗ bạn phải set up ISA Firewall client cho máy client. Hiện H đang setup 1 hệ thống gồm nhiều máy laptop và desktop. User dùng laptop đa số là sếp thường đi công tác và họ cũng chẳng biết hoặc không cần biết việc chỉnh proxy hoặc IP khi đi ra ngoài công ty. Vì vậy Hoàng dùng DHCP cho hệ thống và rerservation ip cho những máy laptop, còn desktop thì dùng IP tĩnh, ISA thì dùng secure NAT. Hệ thống đã đi vào hoạt động nhưng việc bảo trì khá rắc rối (do máy tính thường đổi từ phòng này sang phòng khác, ứng với mỗi phòng là 1 policy firewall khác nhau và 1 dải ip khác nhau). Không biết mọi người có giải pháp nào tốt hơn ?
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn mrvuhoang vì bài viết hữu ích này:
  #10  
Old 12-11-2008, 09:06
suthuc's Avatar
suthuc suthuc vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 3,559
Thanks: 20
Thanked 634 Times in 429 Posts
Hình như khi client dùng web proxy thì 1 số dịch vụ như voice chat, webcam chat sẽ không dùng được? (với YM).
đúng

Còn về ISA firewall client thì nó kết hợp cà secure NAT và proxy nên có đầy đủ ưu và nhược điểm cùa 2 loại trên. Bât tiện ở chỗ bạn phải set up ISA Firewall client cho máy client.
đúng.

Hiện H đang setup 1 hệ thống gồm nhiều máy laptop và desktop. User dùng laptop đa số là sếp thường đi công tác và họ cũng chẳng biết hoặc không cần biết việc chỉnh proxy hoặc IP khi đi ra ngoài công ty. Vì vậy Hoàng dùng DHCP cho hệ thống và rerservation ip cho những máy laptop, còn desktop thì dùng IP tĩnh, ISA thì dùng secure NAT. Hệ thống đã đi vào hoạt động nhưng việc bảo trì khá rắc rối (do máy tính thường đổi từ phòng này sang phòng khác, ứng với mỗi phòng là 1 policy firewall khác nhau và 1 dải ip khác nhau). Không biết mọi người có giải pháp nào tốt hơn ?

1/các client cũng xài IP động cho khỏe
2/ có thể cho mỗi phòng 1 network (tùy theo số lượng phòng nhiều hay ít)
3/ có thể quản lý theo user thì khỏi phải chia nhiều network
Trả Lời Với Trích Dẫn
Đã có 15 người gửi lời cảm ơn suthuc vì bài viết hữu ích này:
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Không cài SecureNAT client được. tidanguyen Firewall 1 15-06-2008 23:51
sử dụng surfcontrol cho secureNAT client newbie_net Firewall 1 11-03-2008 22:04
khi trỏ vào proxy thì client không cần DNS? sfone_vn2007 [ LINUX ] Thảo luận chung 2 13-12-2007 09:30
SecureNat và Firewall Client trong ISA 25minutesit Firewall 7 19-11-2007 21:29
Proxy client nqduy Firewall 2 03-10-2007 18:22



Múi giờ GMT +7. Hiện tại là 15:26
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger