B- GIỚI THIỆU Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như : - Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet - Ngăn chặn các tấn công, thâm nhập trái phép từ Internet Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)  

II- GIỚI THIỆU Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau : - Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập - Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet 

II. Giới thiệu: Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu: - Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn. - Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng. - Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet. - Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.  

II. Giới thiệu: Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu - Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung - Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố - Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi  

... Tôi nghĩ vấn đề ở đây chủ yếu là tâm lý. Mọi người đều chỉ nhớ đến các mối nguy của con web-server chạy các web-application bởi vì đó là môi trường họ làm việc hàng ngày, chúng quen thuộc và gần gũi, còn firewall thường là dạng thiết bị "setup once, run forever", người ta thường chẳng nhớ đến sự tồn tại của nó... 

Khi vừa nhìn vào các mô hình này, câu nói cửa miệng đầu tiên của tui là "cái isa" chết thì mình làm lại hết. Vì mô hình chẳng có cái đường dự phòng nào.  

Do đó, Firewall để trong thì vô tác dụng với inbound traffic. 

Hi myquartz. Nếu ISA server có 3 card mạng: 1 kết nối LAN, 1 kết nối DMZ, 1 kết nối Modem ADSL . Trên Modem ADSL mình vẫn NAT, trên ISA thực hiện NAT và routing ... với mô hình này thì theo myquartz thấy thế nào ? Có vô tác dụng với inbound traffic không ? Thân  

Thứ nhất : con ISA đặt cùng subnet với modem adsl bằng kết nối layer3 (đặt IP), làm vậy firewall chẳng có tác dụng gì hết. Ở ngoài internet không thế tạo connection trực tiếp vào LAN do modem đã NAT nên firewall không thể filter inbound, chẳng lẽ dùng firewall này để bảo vệ ... server ngoài internet chống lại tấn công từ trong nhà ? Thứ hai : Đặt con firewall nằm ngoài router như vậy không thể lọc các tấn công lẫn nhau từ trong nội bộ mà chỉ để lọc truy cập internet.  

Thứ ba: con modem adsl chỉ nat được khi Ip cùng dãy LAN với nó (192.168.1.0/24). Như vậy toàn bộ mạng LAN phía trong khác dãy 192.168.1.0/24 sẽ không thể truy cập internet được. Nếu phải nat thêm lần nữa thì kỳ quá.  

Thứ tư : router cho doanh nghiệp nhỏ thường có ít số card và port ethernet, vd 1 card chỉ có 2 port, nên thiết kế router dùng tới 4 cổng ethernet như vậy có thể khiến doanh nghiệp phải mua thêm 1 cái card, mà tiền mua card sẽ đắt hơn tiền mua con switch nhỏ thế vào đó :-) tốt hơn là dùng subinterface sẽ chỉ tốn 2 port thôi.  

Có lẽ tác giả để con router đứng đó mà không "vẽ" thêm mấy cái network thì phí smilie. ISA từ bản 2004 (nhớ không lầm) thì đã hỗ trợ multi-home rồi. Mua thêm mấy cái card mạng gắn vô con ISA, cắm mấy cái network vào mấy cái card này. Khi này ISA có thể filter traffic giữa các internal network. 

hãy thử firewall đứng bên ngoài, router đứng bên trong 

Nếu học về mạng, thì ắt hẳn phải dạy các lớp đóng gói gói tin từ trên xuống. Rồi NAT là cái gì, why NAT..., rồi các giao thức layer 2 như PPPoE hay những cái liên quan ắt phải dạy. 

Hay họ dạy ... cài ISA?  

Học xong, học viên tự tin apply vào công ty, "em biết bảo mật", "em biết firewall"... Được nhận, setup hệ thống theo mô hình đã học và kiến thức xyz. 

Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  

==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.  

Lộn rồi, học để có thứ để nói khi đi phỏng vấn. 

Vì VN mình quan niệm, học viên phải biết đọc tài liệu trước khi tới lớp. Các vấn đề thuộc dạng nền tảng như TCP/IP hay ISO, học viên phải tự trang bị. Vào trung tâm chỉ được học theo giáo trình mà giảng viên "tự soạn" dựa trên giáo trình "hàn lâm" do bộ phận training của hảng sản xuất phần mềm/phần cứng đưa ra. Giáo trình đúng chính hảng thì học viên có thể tham khảo trên "mạng", trung tâm không làm y chang giáo trình đó. Trung tâm có thể "thêm bớt" để phù hợp với môi trường kinh tế Việt Nam. 

Thực tế mình tự học là chính, trung tâm là phụ, thực hành trên thiết bị trung tâm là mười. 

PS: cái hình để thứ 2 vào cty vẽ visio.  

Quay lại chủ đề chính, học ISA các version nhưng khó mà áp dụng được nó vào mô hình công ty. 

hvthang wrote:

Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  

Không phải, vấn đề nằm ở cái Router nằm bên trong. 

==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai.  

Cẩn thận, kết luận vậy là có vấn đề đó. ISA sao mà thay cái modem/router ADSL đó làm nhiệm vụ router được. Giải pháp này càng làm cho vụ việc tới 1 chân trời sai mới. Hiểu sai chức năng của ISA server và router cứng. 

PS: Vấn đề tại sao lại có cái topic này. Do dân mình còn dốt. 

Trên thực tế, với doanh nghiệp nhỏ xài đường ADSL IP động hoặc FTTH 1 IP tĩnh (hoặc 4, 5 IP tĩnh), thì không cần router, ADSL router chuyển làm thiết bị kết nối layer 2 (brigde), còn FTTH thì cắm thẳng optical converter vào fw. FW kết nối lên ISP BRAS trực tiếp qua PPPoE (rất phổ biến ở VN). Lúc này firewall mới có tác dụng cản lọc, IP là public, NAT chỉ làm 1 lần, DMZ nếu có mới đúng nghĩa. Không cần router vì cơ chế routing là static, đơn giản bất kỳ FW nào cũng làm tốt được.  

Đông người học chỉ để biết và qua phỏng vấn. Còn người khác nghĩ sao về chuyện học trung tâm tui không biết. Còn chuyện tự học để rồi testking/pass4sure/.... đi thi là chuyện khác nữa. Còn chuyện chuyên gia tự học mấy cái chương trình MCXX,hay CCXX thì tui không thể áp đặt tư tưởng. Nhưng tui biết có vô số người tự ôm testking để MCXX để rồi có bằng. Trung tâm nào dạy MOC theo đúng chuẩn vậy bạn, dạy theo kiểu Hàn lâm ấy hay Academic...Trường hợp tui nói ra là không giả định.  

==> giải pháp là sử dụng kết nối PPoE từ ISA đến DSL, chỉ cho DSL làm chức năng chuyên môn là modem. Các chức năng liên quan đến router, fw thì cho ISA xử lý (đúng không bác). Như vậy, lỗi này do việc cấu hình giao thức giao tiếp sai. - Xét luồng traffic đi từ trong ra ngoài thì sẽ có 2 lần NAT (1 trên con ISA và 1 trên DSL), do đó làm giảm performance của mạng - nếm mùi đau khổ smilie. Và giải pháp khắc phục cũng tương tự.  

Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT. Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất. 

conmale wrote:

Nếu muốn biết mùi đau khổ, hãy thử firewall đứng bên ngoài, router đứng bên trong. Muốn biết mùi đau khổ hơn nữa, hãy thử double NAT. Nên nhớ: mô hình chạy được không phải là mô hình tốt nhất. 

Theo em mô hình tốt nhất là thiết bị router đứng bên ngoài, sau đó đến firewall,firewall ở đây có nhiệm vụ routing và quản lý dựa vào rule. - Mô hình bên nhất nghệ đưa ra chỉ để cho người học hiều về các tính năng của ISA thôi, có thể người tạo ra cái LAB này không có một cái nhìn tổng quát về mô hình mạng. - Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ... p/s: Theo mình các bạn nên bàn về mô hình thôi, không nên chỉ trích một ai cả, và cũng đừng bảo ai ngu hết. Bên mình cũng có vài người dạy CCNA, MCSA ...tại các trung tâm lớn, hệ thống xảy ra sự cố thấy tụi nó chạy lung tung như vịt...chán. "Thằng nào giàu thằng đó giỏi B-) "  

- Mô hình chuẩn cho doanh nghiệp vừa và nhỏ theo mình thì isa sẽ có 3 card mạng, internal, DZM, external. Router ADSL làm chức năng NAT. Trên ISA tạo các rule và thực hiện routing ...  

Bạn này đọc kỹ tí nữa. Đọc cho thật kỹ từ đầu tới cuối vào. Đọc cho kỹ luôn các link trong cái link tổng hợp 10 mô hình. Nên nhớ là đọc cho hết rồi hẳn nói. Nhớ nha bạn.  

PS: Góp ý cho bạn hvthang. Bạn đọc cho kỹ những reply có các đoạn tô đỏ. Sau đó đọc cái bai lap 1 trong link 10 mô hình. Quan sát cho kỹ cái wizard config cho cái Dsl của mô hình. Và tìm hiểu xem cái DSL đó có tiến hành NAT trong cái mô hình đó hay không. NHớ nha bạn.  

TO Bà con: Cái DSL đó mới chạy wizard config thì sẽ chạy ở chế độ nào(có NAT,không NAT, chạy bridge...) ? Nhưng trong thực tế, mình có làm cái mô hình này để rồi lảnh nợ không ? 

Lỗi hay sự "stupid" nằm ở con router (chắc là con DSL modem) đặt giữa Internet và ISA. Theo bác myquartz thì khi traffic từ ngoài vào trong mạng sẽ bị con DSL modem chặn hết và con ISA trong trường hợp này sẽ "làm cảnh".  

Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet. Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu. Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 

Nếu bạn đã nhìn ra được ở lab 1, DSL được cấu hình wizard setup. Nó có cản hết traffic không? Nếu nó không cản traffic thì nó làm gì để traffic đi qua nó vào tới ISA Server ?. Các loại traffic nào ở giao thức nào , cổng nào được vào tới ISA server như trong mô hình lab ?. Nhìn gì nhìn cho kỹ. Vì vai trò DSL trong lab gây 1 hiểu lầm hay "stupid" gì đó. Bạn trả lời được 3 câu hỏi này của tui thì bạn nên đọc kỹ tiếp cho hết câu chữ thật chậm rãi.  

conmale wrote:

Kinh nghiệm bản thân anh thì bất cứ nơi nào tránh được NAT thì nên tránh. Packets chỉ nên route (định tuyến) chớ không nên nat (network address translate) bởi vì route nhanh chóng và không thay đổi (mangle) packet. Trong khi đó, nat lại thay đổi packet. Ngoài khía cạnh hiệu suất giữa route vs nat, nat rất nguy hiểm đặc biệt cho những ứng dụng đụng chạm đến SSL và đụng chạm đến IP's headers. Những thay đổi xảy ra với packets từ cơ chế nat sẽ biến packets ra vào bị vô giá trị hoặc thiếu hụt những thông tin cần thiết (và nguyên thuỷ) cho nên có những sự cố xảy ra do nat sẽ làm kỹ sư mạng cực kỳ điên đầu. Firewall luôn luôn là thiết bị dùng để cản lọc (tuỳ mức độ và quy chế cản lọc) chớ không phải là thiết bị định tuyến (mặc dù firewall có khả năng định tuyến). Càng tách rời các chức phận, càng dễ bảo trì và nâng cao hiệu suất. Càng nhập nhằng các tính năng trên cùng một thiết bị, càng kém hiệu suất và càng nhiều cơ hội đau đầu. 

Hi anh ! Vậy theo anh mô hình tổng thể cho một doanh nghiệp nên được thiết kế và áp dụng như thế nào để đạt hiệu quả cao nhất. Về phần NAT thì theo em biết, nó cũng là một giải pháp bảo mật, đa phần các thiết kế đều để cập đến việc NAT. Có lẽ không có mô hình mạng nào là không thực hiện NAT. 

Bạn đang hiểu lầm cái cấu hình modem ADSL ở lab 1 đấy. PPoE/PPoA trong cấu hình đó là từ đâu đến đâu? Và PPoE đang bàn trong chủ đề này là từ đâu đến đâu. Bài viết đầu tiên mình tham gia trong chủ đề này với lý do và mục đích đã được nói cụ thể ở đây: /hvaonline/posts/list/0/35554.html#218785 Mình chỉ đưa ra cái topo mạng đó và tập trung phân tích lại ý tưởng của bác myquartz với mục đích công nhận những ý kiến của bác ấy là có cơ sở (tuy nhiên vẫn không đồng tình với cách phê phán hơi nặng nề của bác ấy).  

Câu hỏi của em chung chung quá nên không có câu trả lời xác thực. Mô hình mạng cho doanh nghiệp phục vụ cụ thể từng nhu cầu và ưu tiên khác nhau cho nên không thể có loại "one size fits all" được, nhất là xét đến mức độ hiệu quả và bảo mật. Nói một cách tổng quát, router (bìa) luôn luôn nằm ở ngoài cùng và giữ trách nhiệm định tuyến chớ không nên làm bất cứ thứ gì khác bởi vì chức năng của nó là định tuyến. Firewall nên nằm ở trong để bảo vệ cụ thể từng network segment tuỳ theo đòi hỏi. Nếu bên trong router bìa cần có nhiều network tách rời thì ở mỗi giao điểm cần có một router riêng biệt và bên trong đó có firewall riêng biệt. Mặc dù các router / modem / firewall hầu hết có khả năng NAT nhưng nếu mình ghi nhận rằng: chỉ NAT khi không thể làm gì khác thì mới hiệu suất được. Hơn nữa, NAT không phải là biện pháp gia tăng bảo mật mà nó chỉ là một cơ chế "viết lại" các packets ra vào. Bởi vậy, nếu ngộ nhận mà cho rằng NAT dùng để bảo mật (như firewall) thì đó là ngộ nhận rất trầm trọng.