Tìm hiểu về ISA Firewall Client (Phần 1)

Phần mềm tường lửa máy khách (Firewall client) là một phần mềm được cài đặt trên các hệ điều hành Windows nhằm cung cấp sự bảo mật và khả năng truy cập nâng cao. Phần mềm này cung cấp các tính năng nâng cao dưới đây cho máy khách Windows:

• Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riêng lẻ cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP

• Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản ghi của tường lửa ISA

• Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp có yêu cầu đến kết nối thứ cấp

• Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính

• Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cần sự hỗ trợ của bộ lọc ứng dụng

• Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa máy khách

• Cho phép thẩm định dựa trên nhóm người dùng hoặc người dùng riêng biệt đối với các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP.

Phần mềm Firewall client gửi thông tin người dùng một cách trong suốt đến tường lửa ISA. Điều này cho phép bạn tạo các nguyên tắc truy cập để áp dụng cho nhóm hay người dùng riêng lẻ, hạn chế hay cho phép truy cập vào giao thức, trang, hoặc nội dung dựa vào tài khoản người dùng hoặc hội viên nhóm. Kiểm soát truy cập đi ra của các nhóm hoặc người dùng riêng lẻ là rất quan trọng. Không phải tất cả người dùng đều yêu cầu các mức truy cập như nhau và người dùng chỉ nên được phép truy cập vào giao thức, trang và nội dung mà họ yêu cầu để thực hiện công việc của họ.

Lưu ý

Khái niệm cho phép người dùng chỉ truy cập vào các giao thức, trang và nội dung mà họ yêu cầu được dựa trên nguyên lý đặc quyền tối thiểu. Nguyên lý đặc quyền tối thiểu áp dụng cho cả truy cập vào và ra. Với kịch bản truy cập vào, các nguyên lý Server và Web Publishing cho phép lưu lượng từ các máy mở rộng đến tài nguyên mạng Internet trong một kiểu cách đã kiểm tra và điều khiển cao. Những điều như vậy cũng đúng cho truy cập ra. Trong các môi trường mạng truyền thống, truy cập vào thường bị giới hạn cao hơn trong khi đó người dùng được cho phép truy cập ra đến bất kỳ tài nguyên nào mà họ mong muốn. Phương pháp kiểm soát truy cập ra yếu kém này không chỉ gây rủi ro cho mạng cộng tác mà còn cho cả các mạng khác bởi sâu Internet có thể xâm nhập vào tường lửa mà không bị hạn chế truy cập ra.

Firewall client tự động gửi các ủy nhiệm người dùng (tên và mật khẩu) đến ISA firewall. Người dùng phải được đăng nhập với tài khoản người dùng trong cả miền Windows Active Directory hay NT, hoặc tài khoản người dùng phải được phản ánh đến ISA firewall. Ví dụ, nếu bạn có một miền Active Directory thì người dùng phải đăng nhập vào miền, ISA firewall phải là một thành viên của miền. ISA firewall có thể thẩm định người dùng và cho phép hoặc hạn chế truy cập dựa trên ủy nhiệm miền của người dùng.

Nếu không có miền Windows, bạn có thể vẫn sử dụng phần mềm Firewall client để điều khiển truy cập ra dựa trên nhóm hoặc người dùng đơn lẻ. Trong trường hợp này, bạn phải phán ánh các tài khoản mà người dùng đăng nhập vào máy trạm làm việc của họ bằng các tài khoản người dùng được lưu trong Security Account Manager (SAM) nội bộ hoặc trên ISA firewall.

Ví dụ, một doanh nghiệp nhỏ không sử dụng Active Directory, nhưng họ muốn kiểm soát được truy cập ra tốt dựa trên các hội viên nhóm và người dùng. Người dùng đăng nhập vào các máy tính của họ bằng tài khoản người dùng nội bộ. Bạn có thể nhập vào cùng tên người dùng và mật khẩu trong ISA firewall. ISA firewall sẽ có thể thẩm định người dùng dựa trên cùng thông tin tài khoản sử dụng khi người dùng đăng nhập vào các máy tính cục bộ.

Các máy khách Windows 9x có thể được cấu hình theo ủy nhiệm miền nếu họ có phần mềm Active Directory đã cài đặt.

Cho phép thông tin người dùng và ứng dụng được ghi trong các file bản ghi của ISA 2004 Firewall

Ưu điểm lớn trong việc sử dụng Firewall Client đó là khi tên người dùng được gửi đến ISA Firewall, thì tên đó được chứa trong các file bản ghi của ISA Firewall. Điều này cho phép bạn dễ dàng chất vấn các file bản ghi để lấy được tên người dùng và có được thông tin chính xác về các hoạt động Internet của người dùng đó.

Trong nội dung này, Firewall client không chỉ cung cấp một mức bảo mật cao bởi cho phép bạn kiểm soát được sự truy cập ra dựa trên tài khoản người dùng và tài khoản nhóm mà còn cung cấp một mức cao của trách nhiệm giải trình. Người dùng sẽ ít chia sẻ thông tin tài khoản của họ với các người dùng khác khi họ biết rằng hoạt động Internet của họ đang bị kiểm tra dựa trên tên tài khoản và họ phải chịu trách nhiệm cho hành động đó.

Cung cấp khả năng hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp yêu cầu kết nối thứ cấp

Không giống như SecureNAT client cần đến một bộ lọc ứng dụng để hỗ trợ cho các giao thức phức hợp cần đến kết nối thứ cấp, Firewall client có thể hỗ trợ ảo các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP mà không quan tâm đến số kết nối chính hay thứ cấp, không yêu cầu bộ lọc ứng dụng.

ISA Firewall cho phép bạn dễ dàng trong việc cấu hình định nghĩa giao thức (Protocol Definition) phản ánh các kết nối chính hoặc thứ cấp, sau đó tạo các nguyên tắc truy cập dựa vào định nghĩa giao thức này. Điều này cung cấp một thuận lợi đáng kể về mặt chi phí tổng cộng của người đầu tư (TCO), bạn cũng không cần tốn nhiều thời gian và chi phí liên quan đến việc tạo các bộ lọc ứng dụng tùy chỉnh để hỗ trợ ứng dụng Internet “off-label”.

Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client

Ngược lại với SecureNAT client, Firewall client không cần phải cấu hình với DNS server liên quan đến Internet host name. ISA Firewall có thể thực hiện chức năng “proxy” DNS cho các Firewall client.

Ví dụ, khi một Firewall client gửi một yêu cầu kết nối đến ftp://ftp.microsoft.com, yêu cầu được gửi trực tiếp đến ISA Firewall. ISA firewall xử lý tên của Firewall client dựa trên các thiết lập DNS trên card giao diện mạng của ISA firewall. ISA firewall trả lại địa chỉ IP cho máy Firewall client, và máy tính Firewall client gửi yêu cầu FTP đến địa chỉ IP cho trang FTP ftp.microsoft.com.

ISA firewall cũng lưu các kết quả chất vấn DNS mà nó thực hiện cho Firewall client. Không giống như ISA Server 2000, lưu trữ thông tin trong một chu kỳ mặc định là 6 giờ, ISA firewall lưu trữ toàn bộ cho một chu kỳ được chỉ rõ bởi TTL trên bản ghi DNS. Điều này đã làm tăng số lượng tên cho các kết nối Firewall client đến sau đối với cùng trang. Hình 1 thể hiện chuỗi tên cho Firewall client.

Hình 1: Chuỗi tên Firewall

1. Firewall client gửi một yêu cầu cho ftp.microsoft.com.

2. ISA firewall gửi một chất vấn DNS đến máy chủ DNS bên trong.

3. Máy chủ DNS xử lý tên ftp.microsoft.com với địa chỉ IP của nó và trả về kết quả cho ISA firewall.

4. ISA firewall trả về địa chỉ IP của ftp.microsoft.com cho Firewall client tạo yêu cầu.

5. Firewall client gửi một yêu cầu đến địa chỉ IP là ftp.microsoft.com và kết nối được hoàn tất

6. Máy chủ Internet trả lại các thông tin yêu cầu cho Firewall client thông qua kết nối Firewall client thực hiện với ISA firewall.

Cơ sở hạ tầng định tuyến mạng trong suốt đối với Firewall Client

Ưu điểm cuối cùng của Firewall client là cơ sở hạ tầng định tuyến ảo trong suốt của nó đối với Firewall client. Tương phản với SecureNAT client, phụ thuộc vào cổng mặc định của nó và các thiết lập cổng trên bộ định tuyến thông qua mạng cộng tác, máy tính Firewall client chỉ cần biết định tuyến địa chỉ IP trên giao diện bên trong của ISA 2004 firewall. Máy Firewall client “từ xa” hoặc các yêu cầu gửi trực tiếp đến địa chỉ IP của ISA firewall. Các bộ định tuyến dùng được dùng để thực hiện tất cả các tuyến trong mạng cộng tác, do đó không cần tạo những thay đổi đối với cơ sở hạ tầng định tuyến để hỗ trợ cho các kết nối Firewall client vào Internet. Hình 2 mô tả tính “từ xa” của các kết nối trực tiếp đến ISA firewall. Bảng 1 đưa ra một tổng kết về ưu điểm của ứng dụng Firewall client.

Hình 2: Các kết nối Firewall client vào ISA 2004 Firewall hoàn toàn độc lập
với các cấu hình cổng mặc định trên các bộ định tuyến.

Bảng 1: Những ưu điểm của cấu hình Firewall client

Firewall Client làm việc như thế nào

Các chi tiết về Firewall client làm việc như thế nào không được minh chứng đầy đủ trong các tài liệu của Microsoft. Trong thực tế, nếu thực hiện lần theo vết tích truyền thông Firewall client bằng sử dụng Microsoft Network Monitor, thì bạn có thể thấy được Network Monitoring là không thể giải mã được truyền thông Firewall client; mặc dù vậy, Ethereal có một bộ lọc Firewall client sơ khai mà bạn có thể sử dụng.

Những gì chúng ta biết là ISA 2004/6 Firewall client không giống như các phiên bản trước, chỉ sử dụng TCP 1745 cho Firewall client Control Channel. Trên kênh điều khiển này, Firewall client truyền thông trực tiếp với dịch vụ ISA firewall để thực hiện việc xử lý tên và lệnh kiểm soát ứng dụng cụ thể (như những lệnh được sử dụng bởi FTP và Telnet). Dịch vụ tường lửa sử dụng thông tin được khuếch đại qua kênh kiểm soát và thiết lập một kết nối giữa Firewall client và máy chủ đích trên Internet. ISA firewall proxy kết nối giữa Firewall client và máy chủ đích.

Lưu ý

Firewall client chỉ thiết lập một kết nối kênh kiểm soát khi kết nối đến tài nguyên không đặt trong mạng bên trong. Trong ISA Server 2000, mạng bên trong được định nghĩa bằng Local Address Table (LAT). ISA 2004/6 firewall không sử dụng LAT vì khả năng kết nối đa mạng nâng cao của nó. Tuy nhiên, Firewall client phải có một số cơ chế thay thế để quyết định sự truyền thông nào sẽ được gửi đến dịch vụ tường lửa trên ISA firewall và sự truyền thông nào được gửi trực tiếp đến đích mà Firewall client muốn.

Firewall client giải quyết vấn đề bằng sử dụng các địa chỉ được định nghĩa bởi ISA Firewall Network trên máy khách hiện có. ISA Firewall Network cho các Firewall client cụ thể có tất cả địa chỉ có thể từ giao diện mạng được kết nối đến ISA Firewall Network của chính Firewall client. Tình huống này tạo nên một thú vị trong ISA firewall, nhiều gia đình có nhiều ISA Firewall Network được kết hợp với các adapter mạng khác. Nhìn chung, tất cả các host được đặt bên trong cùng một adapter mạng (không quan tâm đến ID mạng) được xem xét như là một phần của cùng ISA Firewall Network và tất cả sự truyền thông giữa các host trên ISA Firewall Network phải được qua Firewall client.

Các địa chỉ cho ISA Firewall Network được định nghĩa trong suốt quá trình cài đặt của phần mềm ISA firewall, nhưng bạn có thể tạo các mạng khác sau khi cài đặt được hoàn tất. Điển hình, sau khi cài đặt, chỉ có ISA Firewall Network bên trong được tạo cho bạn và bạn cần phải tạo một cách thủ công ISA Firewall Network khác nếu có nhiều hơn 2 NIC trên ISA Firewall của bạn.

Cảnh báo bảo mật ISA FIREWALL

Bạn có thể có nhiều giao diện trên cùng một ISA firewall. Tuy nhiên, chỉ có mạng đơn mới có thể có tên Internal (bên trong). Mạng bên trong có một nhóm các máy tính có độ tin cậy tuyệt đối (ít nhất cũng đủ tin tưởng không yêu cầu đến tường lửa mạng đối với các việc truyền thông giữa chúng). Bạn cũng có thể có nhiều mạng bên trong, nhưng các mạng bên trong bổ sung thêm này có thể được đặt trong dãy địa chỉ bên trong của mạng bên trong khác. Xem xét một cách tỉ mỉ ISA Firewall System Policy sau khi cài đặt được hoàn tất để hạn chế sự truyền thông giữa ISA Firewall và Internal Network mặc định chỉ cho truyền thông được yêu cầu cho kịch bản của bạn.

Mặc dù vậy, cấu hình tập trung của Firewall client có thể được thực hiện trên ISA Firewall Network; vì vậy bạn có thể kiểm soát được các thiết lập Firewall client tên mỗi mạng cơ bản. Điều này cho phép bạn có được phép đo về sự kiểm tra các thiết lập cấu hình Firewall client được quản lý trên mỗi mạng như thế nào. Mặc dù giải pháp này không giúp đỡ trong kịch bản mạng trong mạng, nơi có nhiều ID mạng được đặt đằng sau cùng một card giao diện mạng.

Trong kịch bản mạng trong mạng, bạn có thể sử dụng file locallat.txt LAT nội bộ để ghi đè các thiết lập mạng bên trong tập trung nếu thấy nó là cần thiết. Nhìn chung, kịch bản mạng trong mạng không tạo ra nhiều vấn đề đáng kể cho Firewall client. Sự cải thiện đáng kể nhất mà ISA 2004/6 Firewall client có được hơn so với các phiên bản trước (Winsock Proxy Client 2.0 và ISA Server 2000 Firewall Client) là bạn có tùy chọn để sử dụng một kênh được mã hóa giữa the Firewall client và ISA firewall.

Nhớ rằng, Firewall client gửi các ủy nhiệm người dùng trong suốt đến ISA firewall. ISA Firewall client mã hóa kênh để giữ bí mật. Lưu ý rằng bạn có thể tùy chọn việc cấu hình ISA firewall cho phép truyền thông kênh kiểm soát không bảo mật và bảo đảm bảo mật.

Lưu ý:

Nếu chế độ truyền tải Internet Protocol security (IPSec) được kích hoạt cho một mạng để máy Firewall client sử dụng chế độ này để kết nối đến ISA firewall thì bạn có thể cảm nhận thấy sự không bình thường hoặc các vấn đề kết nối không dự đoán trước. Nếu Firewall client trong mạng không thực hiện như mong đợi, hãy vô hiệu hóa IP routing tại giao diện sử dụng của ISA firewall. Trong giao diện đó, mở server, mở rộng Configuration, kích vào nút General. Trong cửa sổ chi tiết, kích Define IP Preferences. Trên tab IP Routing, thẩm định rằng hộp kiểm Enable IP Routing là không được tích. Lưu ý rằng việc vô hiệu hóa IP Routing có thể làm giảm đáng kể hiệu suất của SecureNAT clients yêu cầu truy cập đến các kết nối thứ cấp.


Kết luận

Trong bài viết này chúng tôi đã giới thiệu cho các bạn phần mềm Firewall client của ISA firewall. Firewall client thực hiện như một ứng dụng Winsock proxy máy khách mà ứng dụng Winsock của mạng điều khiển xa gọi đến ISA Firewall. Dịch vụ tường lửa của ISA Firewall sau đó ủy nhiệm các kết nối đến đích được yêu cầu bởi máy khách. Firewall client hỗ trợ các giao thức có nhiều kết nối chính và phụ và không yêu cầu định nghĩa giao thức cụ thể nếu một nguyên tắc truy cập “mở tất cả” được tạo ra. Quan trọng nhất, Firewall client có thể gửi thông tin tên máy tính và sử dụng đến ISA Firewall và thông tin này được lưu trong các bản ghi và báo cáo để bạn có thể có được thông tin chi tiết về những gì người dùng đang thực hiện với kết nối Internet, với hầu hết các ứng dụng và giao thức, những thứ mà không thể được thực hiện với máy tính được cấu hình như Web proxy hoặc SecureNET client. Thêm vào đó, Firewall client gửi tên ảnh ứng dụng đến ISA Firewall để bạn có thể quyết định một cách dễ dàng xem ứng dụng bị cấm có đang được sử dụng bởi người dùng hay không.