Giáo trình Hướng dẫn phương pháp khởi động các dịch vụ trong Exchange bằng kỹ thuật khởi động số (Phần 4)

pdf 11 trang hapham 2130
Bạn đang xem tài liệu "Giáo trình Hướng dẫn phương pháp khởi động các dịch vụ trong Exchange bằng kỹ thuật khởi động số (Phần 4)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_huong_dan_phuong_phap_khoi_dong_cac_dich_vu_trong.pdf

Nội dung text: Giáo trình Hướng dẫn phương pháp khởi động các dịch vụ trong Exchange bằng kỹ thuật khởi động số (Phần 4)

  1. Tài liệu hướng dẫn giảng dạy So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened subnet trở thành kiến trúc phổ biến nhất. Hình 5.2: Mô hình Screened host. I.2.3 Sreened Subnet. Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gì outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và Email Server bên trong. Học phần 3 - Quản trị mạng Microsoft Windows Trang 478/555
  2. Tài liệu hướng dẫn giảng dạy Hình 5.3: Mô hình Screened Subnet. I.3. Các loại firewall và cách hoạt động. I.3.1 Packet filtering (Bộ lọc gói tin). Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép cho chúng lưu thông hay ngăn chặn . Các thông số có thể lọc được của một packet như: - Địa chỉ IP nơi xuất phát (source IP address). - Địa chỉ IP nơi nhận (destination IP address). - Cổng TCP nơi xuất phát (source TCP port). - Cổng TCP nơi nhận (destination TCP port). Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng. I.3.2 Application gateway. Đây là loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hình Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. Một ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu cầu này và chuyển đến Server trên Internet. Khi Server trên Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi kiểm soát các truy cập từ bên ngoài. Ví dụ: Một hệ thống mạng có chức năng packet filtering ngăn chặn các kết nối bằng TELNET vào hệ thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn kết nối vào hệ thống bằng TELNET phải qua các bước sau: Học phần 3 - Quản trị mạng Microsoft Windows Trang 479/555
  3. Tài liệu hướng dẫn giảng dạy - Thực hiện telnet vào máy chủ bên trong cần truy cập. - Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hoặc từ chối. - Người truy cập phải vượt qua hệ thống kiểm tra xác thực. - Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập. - Proxy Service liên kết lưu thông giữa người truy cập và máy chủ trong mạng nội bộ. Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an toàn sẽ tăng lên. Thông thường những phần mềm Proxy Server hoạt động như một gateway nối giữa hai mạng, mạng bên trong và mạng bên ngoài. Hình 5.4: Mô hình hoạt động của Proxy. Đường kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet (Internet Service Provider - ISP) có thể chọn một trong các cách sau: - Dùng Modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập Internet. Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8 Kbps - 36.6 Kbps. Hiện nay đã có Modem analog tốc độ 56 Kbps nhưng chưa được thử nghiệm nhiều. Phương pháp dùng dial-up qua Modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng dịch vụ Web và E-Mail. - Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá phổ biến ở một số nước tiên tiến. Dịch vụ này dùng tín hiệu số trên đường truyền nên không cần Modem analog, cho phép truyền cả tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao ISDN (đường truyền dẫn thông tin giữa người sử dụng và mạng) có thể đạt tốc độ từ 64 Kbps đến 138,24 Mbps. Dịch vụ ISDN thích hợp cho các công ty vừa và lớn, yêu cầu băng thông lớn mà việc dùng Modem analog không đáp ứng được. Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có bộ phối ghép ISDN cài trên Server. Học phần 3 - Quản trị mạng Microsoft Windows Trang 480/555
  4. Tài liệu hướng dẫn giảng dạy Hình 5.5: Mô hình kết nối mạng Internet. Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào yêu cầu cụ thể của công ty, ví dụ như số người cần truy cập Internet, các dịch vụ và ứng dụng nào được sử dụng, các đường kết nối và cách tính cước mà ISP có thể cung cấp. II. Giới Thiệu ISA 2004. Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2000 Server. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN) III. Đặc Điểm Của ISA 2004. Các đặc điểm của Microsoft ISA 2004: - Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, - Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ. - Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng. - NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con. - Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng. - Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác. - Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như Authentication, Publish Server, giới hạn một số traffic. - Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web. Học phần 3 - Quản trị mạng Microsoft Windows Trang 481/555
  5. Tài liệu hướng dẫn giảng dạy - Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua E-mail, - Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2004, không giống như packet filtering firewall truyền thống, ISA 2004 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm nổi bậc của ALF: - Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP. - Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com, - Có thể giới hạn HTTP download. - Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập. - Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature). - Điều khiển một số phương thức truy xuất của HTTP. IV. Cài Đặt ISA 2004. IV.1. Yêu cầu cài đặt. Thành phần Yêu cầu đề nghị Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trở lên. Hệ điều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack 4). Bộ nhớ (Memory) 256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls. không gian đĩa (Disk ổ đĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB space) dành cho ISA. NIC Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC) IV.2. Quá trình cài đặt ISA 2004. IV.2.1 Cài đặt ISA trên máy chủ 1 card mạng. Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là Unihomed ISA Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng: - SecureNAT client. - Firewall Client. - Server Publishing Rule. - Remote Access VPN. - Site-to-Site VPN. - Multi-networking. - Application-layer inspection ( trừ giao thức HTTP) Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC: Học phần 3 - Quản trị mạng Microsoft Windows Trang 482/555
  6. Tài liệu hướng dẫn giảng dạy Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source. Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2004”. Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2004” để tiếp tục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại “ License Agreement”, chọn Next. Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục . Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉ hỗ trợ Web Proxy Client nên ta có thể không chọn tùy chọn Firewall client Installation share tuy nhiên ta có thể chọn nó để các Client có thể sử dụng phần mềm này để hỗ trợ truy xuất Web qua Web Proxy. Chọn Next để tiếp tục. Hình 5.6: Chọn Firewall Client Installation Share. Chỉ định address range cho cho Internet network trong hộp thoại “Internal Network”, sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC. Hình 5.7: Mô tả Internal Network Range. Sau khi mô tả xong “Internet Network address ranges”, chọn Next trong hộp thoại “Firewall Client Connection Settings”. Sau đó chương trình sẽ tiến hành cài đặt vào hệ thống, chọn nút Finish để hoàn tất quá trình. IV.2.2 Cài đặt ISA trên máy chủ có nhiều card mạng. Học phần 3 - Quản trị mạng Microsoft Windows Trang 483/555
  7. Tài liệu hướng dẫn giảng dạy ISA Firewall thường được triển khai trên dual-homed host (máy chủ có hai Ethernet cards) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN, Các bước cài đặt ISA firewall software trên multihomed host: Chạy tập tin isaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source. Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2004”. Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2004” để tiếp tục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại “ License Agreement”, chọn Next. Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục . Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next. Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share . Chọn Next để tiếp tục. Hình 5.8: Chọn Firewall Client Installation Share. Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Cách thứ hai ta cấu hình default Internal Network bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội bộ. Trong hộp thoại Configure Internal Network, loại bỏ dấu check trong tùy chọn tên Add the following private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK. Học phần 3 - Quản trị mạng Microsoft Windows Trang 484/555
  8. Tài liệu hướng dẫn giảng dạy Hình 5.9: Chọn Network Adapter. Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table. Chọn OK trong hộp thoại Internal network address ranges. Hình 5.10: Internal Network Address Ranges. Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt. Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next. Hình 5.11: Tùy chọn tương thích với ISA Client. Học phần 3 - Quản trị mạng Microsoft Windows Trang 485/555
  9. Tài liệu hướng dẫn giảng dạy Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. Chọn Finish để hoàn tất quá trình cài đặt. V. Cấu hình ISA Server. V.1. Một số thông tin cấu hình mặc định. - Tóm tắt một số thông tin cấu hình mặc định: - System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các traffic còn lại đều bị cấm. - Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network. - Cho phép NAT giữa Internal Network và External Network. - Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall. Đặc điểm Cấu hình mặc định (Post-installation Settings) User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của Administrators group trên máy tính nội bộ có thể cấu hình firewall policy). Network settings Các Network Rules được tạo sau khi cài đặt: Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và tất cả các mạng khác. Internet Access: Định nghĩa Network Address Translation (NAT). VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients Network và Internal Network. Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các traffic giữa các mạng. System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system policy rule chỉ cho phép truy xuất một số service cần thiết. Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác. Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web caching. Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện. Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình Học phần 3 - Quản trị mạng Microsoft Windows Trang 486/555
  10. 487/555 487/555 Order/Comments Name Action Protocol from/Listener To Condition LDAP ;LDAP (UDP) 1. Chỉ sử dụng khi ISA Allow access to LDAP GC (global Firewall là thành viên Directory services Allow catalog) Local Host Internal All Users của Domain purposes LDAPS ;LDAPS GC (Global Catalog) NetBIOS datagram Allow remote 2. Cho phép quản lý ISA Remote management from NetBIOS Local Firewall từ xa thông qua Allow Management All Users selected computers Host ng công cụ MMC Name Service Computers ố using MMC . NetBIOS th ệ Allow remote 3. Cho phép quản lý ISA Remote management from All Users a h Firewall thông qua RDP (Terminal Management Local ủ selected computers Allow Continued Terminal Services Services) Protocols Host using Terminal Computers Condition Web browser Protocol nh c Server Name From/Listener ng đị ụ d c ặ Allow remote NetBIOS Datagram 4. Cho phép login tới proxy logging to trusted NetBIOS Name ố một số server sử dụng Allow Local Host Internal All Users servers using giao thức NetBIOS Service NetBIOS y NETBIOS ạ Session thông s ng Microsoft Windows Windows Microsoft ng Trang ng d ạ ả Allow RADIUS m 5. Cho phép RADIUS ị chính sách m chính RADIUS n gi authentication from ố ẫ authentication từ ISA đến n tr ISA Server to Allow RADIUS Local Host Internal All Users ả t s một số trusted RADIUS ng d ộ trusted RADIUS Accounting ướ servers servers - Qu n 3 ầ u h M ệ c ph ọ H V.2. li Tài
  11. 488/555 488/555 Order/Comments Name Action Protocol from/Listener To Condition Order/Comments Allow Kerberos 6. Cho phép chứng Kerberos-Sec 11. Cho phép ISA thực kerberos từ ISA authentication (TCP) Local Host Server gởi ICMP Allow Internal All Users Server tới trusted from ISA Server Kerberos-Sec request tới một số server (UDP) server to trusted servers All 12. Cho phép tất cả 7. Cho phép sử dụng Networks Allow DNS from ISA Server các VPN Client bên DNS từ ISA tới một số Allow DNS Local Host (and All Users to selected servers ngoài kết nối vào ISA DNS Server Local Server Host) 8. Cho phép DHCP Allow DHCP requests from All Users 13. Cho phép DHCP DHCP(reques Local Host Anywher Request từ ISA gởi ISA Server to all networks Allow Continued Request từ ISA gởi t) Protocols From/Listener e To đến tất cả các mạng Name Condition đến tất cả các mạng 14. Cho phép ISA thiết 9. Chấp nhận DHCP Allow DHCP replies from Local lập kết nối VPN (site to replies từ DHCP Allow DHCP (reply) Internal All Users DHCP servers to ISA Server Host site) đến VPN Server Server tới ISA Server y khác ạ ng Microsoft Windows Windows Microsoft ng Trang ng d ạ ả m 10. Cho phép một số 15. Cho phép sử dụng ị n gi Allow ICMP (PING) Remote ẫ máy được quyền gởi Local CIFS để truy xuất n tr requests from selected Allow Ping Management All Users ả ICMP request đến ISA Host share file từ ISA đến ng d computers to ISA Server Computers ướ Server các server khác n 3 - Qu n 3 ầ u h ệ c ph ọ H li Tài