CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI HÀ NỘI PORTAL 1.1.1 Giới thiệu về Cổng giao tiếp điện tử Hà Nội 1.1.1.1 Mục tiêu của Cổng giao tiếp điện tử Hà Nội Mục tiêu của Cổng giao tiếp điện tử th
Trang 1ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO
CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI
LUẬN VĂN THẠC SĨ
Học viên: Đào Ngọc Phong
Lớp: K11T2
Hà Nội - 2007
Trang 2MỤC LỤC
LỜI MỞ ĐẦU 3
Chương 1 VẤN ĐỀ AN TOÀN THÔNG TIN TRÊN CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI 4
1.1 CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI (HÀ NỘI PORTAL) 4
1.1.1 Giới thiệu về Cổng giao tiếp điện tử Hà Nội 4
1.1.1.1 Mục tiêu của Cổng giao tiếp điện tử Hà Nội 4
1.1.1.2 Các yêu cầu về kỹ thuật 5
1.1.1.3 Các chức năng ứng dụng và dịch vụ 6
1.1.2 Công nghệ xây dựng Cổng giao tiếp điện tử Hà Nội 10
1.1.2.1 Công nghệ Portal 10
1.1.2.2 Công nghệ lựa chọn phần mềm lõi 12
1.1.2.3 Kiến trúc của Hà Nội Portal 15
1.1.3 Hiện trạng hạ tầng kỹ thuật, thiết bị của Cổng giao tiếp điện tử Hà Nội 18
1.1.3.1 Hiện trạng về thiết bị 18
1.1.3.2 Hiện trạng đường truyền 21
1.2 HIỆN TRẠNG KHẢ NĂNG ATTT TRÊN HÀ NỘI PORTAL 23
1.2.1 Hiện trạng bảo đảm ATTT trên Hà Nội Portal 23
1.2.1.1 Hiện trạng bảo đảm ATTT cho phần mềm của Hà Nội Portal 23
1.2.1.2 Hiện trạng về giải pháp mạng và hạ tầng 34
1.2.2 Một số nguy cơ đối với sự an toàn của Hà Nội Portal 40
1.2.2.1 Nguy cơ bị tấn công làm tê liệt dịch vụ 41
1.2.2.2 Nguy cơ bị Virus tấn công 44
1.2.2.3 Mất an toàn khi truy cập từ xa 44
1.2.2.4 Nguy cơ từ các lỗ hổng của hệ điều hành và phầm mềm trong hệ thống 45
1.2.2.5 Nguy cơ từ hệ thống chứng thực và cấp quyền yếu 45
1.2.2.6 Nguy cơ từ việc không có các biện pháp sao lưu và phục hồi dữ liệu 46
1.2.2.7 Chính sách sử dụng và quản lý hệ thống 46
1.2.2.8 Nguy cơ về an toàn vật lý 47
Chương 2 GIẢI PHÁP NÂNG CAO KHẢ NĂNG ATTT CỦA HÀ NỘI PORTAL 48
2.1 GIẢI PHÁP AN NINH CHO HỆ THỐNG HÀ NỘI PORTAL 48
2.1.1 Thực hiện mã hóa đường truyền 50
2.1.2 Phòng chống Virus 50
2.1.3 Cài đặt Firewall và hệ thống IDS 51
2.1.4 Cài đặt hệ thống quét lỗ hổng bảo mật và kiểm tra lỗi trong các website 51
2.1.5 Giải pháp sao lưu và phục hồi dữ liệu 52
2.1.6 Thiết lập chính sách sử dụng và quản lý hệ thống 52
2.1.7 Giải pháp về an toàn hệ thống điện, thiên tai 52
2.2 MÔ HÌNH GIẢI PHÁP MẠNG CHO HÀ NỘI PORTAL 53
2.2.1 Phân chia các khu vực mạng 53
2.2.2 Bảo mật qua các thiết bị phần cứng 59
Chương 3 THỬ NGHIỆM CÔNG NGHỆ SSL TRONG VIỆC ĐẢM BẢO ATTT TRÊN ĐƯỜNG TRUYỀN 61
Trang 33.1 GIAO THỨC SSL 61
3.1.1 Giới thiệu về SSL 61
Các phiên bản 62
3.1.2 Các khả năng của SSL 63
3.1.3 Các giao thức trong SSL 65
3.1.3.1 Giao thức bản ghi (Record Protocol) 65
3.1.3.2 Giao thức bắt tay (Handshake Protocol) 71
3.1.4 Các giai đoạn thực hiện giao thức 75
3.1.5 Một số chú ý khi sử dụng SSL 94
3.2 ƯU ĐIỂM VÀ HẠN CHẾ CỦA SSL 98
3.2.1 Ưu điểm của SSL 98
3.2.2 Hạn chế của SSL 99
3.3 ỨNG DỤNG SSL TRÊN HÀ NỘI PORTAL 102
KẾT LUẬN 108
BẢNG KÝ HIỆU VÀ CÁC TỪ CHUYÊN MÔN 109
DANH SÁCH TÀI LIỆU THAM KHẢO 110
Trang 4LỜI MỞ ĐẦU
Trước khi trình bày nội dung của luận văn, em xin gửi lời cảm ơn chân thành và sâu sắc nhất đến thầy Trịnh Nhật Tiến Thầy đã tận tình hướng dẫn, chỉ dẫn các kiến thức bổ ích, động viên và tạo mọi điều kiện để em có thể hoàn thành luận văn này
Em xin chân thành cảm ơn các thầy phản biện đã đọc và có các ý kiến phản biện giúp em hoàn thiện luận văn này
Em cũng xin cảm ơn các thầy cô trong Khoa Công nghệ thông tin - Đại học Công nghệ - Đại học Quốc gia Hà Nội đã tạo tận tình giảng dạy, truyền đạt cho
em các kiến thức quý báu qua các môn học trong suốt khóa học cũng như trong quá trình hoàn thành luận văn này
Mặc dù đã cố gắng hoàn thành luận văn trong phạm vi và khả năng cho phép nhưng sẽ không tránh khỏi những thiếu sót, Em kính mong nhận được sự cảm thông và tận tình chỉ bảo của Thầy cô và các bạn
Trang 5Chương 1 VẤN ĐỀ AN TOÀN THÔNG TIN TRÊN
CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI 1.1 CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI (HÀ NỘI PORTAL)
1.1.1 Giới thiệu về Cổng giao tiếp điện tử Hà Nội
1.1.1.1 Mục tiêu của Cổng giao tiếp điện tử Hà Nội
Mục tiêu của Cổng giao tiếp điện tử thành phố Hà Nội là môi trường giao tiếp điện tử thu hút được hầu hết các tổ chức, đơn vị, cá nhân tham gia trên cơ sở cung cấp đầy đủ các dịch vụ và các tiện ích trực tuyến, phát triển và tương tác hài hòa với các hệ thống trên mạng đang tồn tại, tích hợp các hệ thống đó để trở thành hệ thống
“Một cửa” của Hà Nội Bao gồm:
Giới thiệu các thông tin về Thành phố Hà nội trong mọi lĩnh vực Hình thành một CSDL các thông tin cơ bản về mọi phương diện đời sống văn hóa, xã hội, các hoạt động kinh tế của Thành phố
Cho phép các đơn vị tham gia Hanoi Portal gồm : Văn phòng UBNDTP Hà nội,
Sở Nội Vụ, Viện Nghiên cứu Phát triển Kinh tế Xã hội, Sở Kế hoạch và Đầu tư, Sở Khoa học, Công nghệ, Sở Giáo dục và Đào tạo, Sở Du lịch, Sở Xây dựng, Sở Tư pháp, Sở Quy hoạch Kiến trúc, Sở Địa chính – Nhà đất, Quận Hoàn Kiếm, và các sở ban ngành, quận huyện khác của thành phố
Hướng dẫn, giải quyết các công việc của dân liên quan đến các qui trình giải quyết công việc hành chính (hành chính công) qua mạng
Xây dựng trang thông tin điện tử phục vụ các yêu cầu về thông tin cho cán bộ, chuyên viên trong nội bộ Uỷ ban, kết hợp với các phần mềm ứng dụng quản lý, xử lý sẵn có để giải quyết công việc của dân và đưa ra các thông tin phục vụ Lãnh đạo thành phố
Trang 61.1.1.2 Các yêu cầu về kỹ thuật
Do Cổng giao tiếp điện tử Hà nội là một hệ thống đòi hỏi phải sử dụng trong thời gian dài nên phải là hệ thống mở, sử dụng các chuẩn mở trong công nghệ phần mềm Phải có kiến trúc mở, đảm bảo khả năng mở rộng thêm mà không hề phá vỡ kiến trúc hay phải đập đi xây dựng lại Điều này rất quan trọng vì nó sẽ giúp cho việc bảo toàn được đầu tư khi hệ thống cần được nâng cấp
Cổng giao tiếp điện tử Hà Nội có khả năng tích hợp các dịch vụ, các hệ thống thông tin khác, đảm bảo trong suốt với người dùng cuối
Hanoi Portal có cơ chế phục vụ tổ chức thông tin, các chức năng phân loại, tìm kiếm thông tin ở mức cao cấp đảm bảo người dùng có thể tìm đến thông tin nhanh nhất
Trong điều kiện hạ tầng đảm bảo, hệ thống đáp ứng được nhiều người dùng (thời gian hiển thị không quá lâu)
Phần mềm Portal phải độc lập, vận hành không phụ thuộc lẫn nhau
Hà nội Portal phải dễ dàng được mở rộng, được sử dụng lâu dài trong tương lai
và Hanoi Portal là phải là một thể thống nhất
Trang 71.1.1.3 Các chức năng ứng dụng và dịch vụ
Phần dịch vụ của Hanoi Portal tạo ra một môi trường, công cụ có khả năng tương tác, trao đổi thông tin giữa người dân và cơ quan hành chính, các đơn vị liên quan; giữa Lãnh đạo, Chuyên viên với công tác quản lý, chuyên môn Khi sử dụng phần này, mọi người có thể yêu cầu thông tin, xử lý công việc của mình trên máy tính Vì
có rất nhiều đối tượng sử dụng khác nhau nên hệ thống cần thêm rất nhiều tính năng
mà một Website thông thường không đáp ứng được Dưới đây mô tả chi tiết yêu cầu
về chức năng của các nhóm ứng dụng và dịch vụ
Các chức năng của phần mềm khung portal:
- Các chức năng thông thường của một website: hiển thị, cập nhật thông tin, quản lý kênh thông tin, biên tập, phê duyệt thông tin, quản trị hệ thống, dữ liệu, giao tiếp trả lời hỏi dáp…
- Tính năng cá nhân hóa Do các đối tượng sử dụng khác nhau sẽ có những nhu cầu về thông tin, dịch vụ khác nhau mà Cổng giao tiếp điện tử Hà nội lại phục
vụ rất nhiều đối tượng sử dụng khác nhau nên tính năng này là bắt buộc đối với Hà nội Portal
- Khả năng đăng nhập một lần mà có thể sử dụng tất cả các dịch vụ trên Portal
- Chức năng quản trị nội dung và phân loại bao gồm quản lý loại ứng dụng, môi trường chạy ứng dụng, quyền hạn của người dùng với ứng dụng, công cụ để tích hợp ứng dụng vào Hà Nội Portal
- Đảm bảo hạ tầng sẵn sàng cho việc tích hợp các dịch vụ trực tuyến lên mạng (cấp phép đăng ký kinh doanh, cấp phép đầu tư, xây dựng…)
- Khả năng tích hợp ứng dụng nhiều mức, đảm bảo thích ứng với nhiều loại nguồn tin
- Chức năng tìm kiếm đa dạng, nhiều mức phù hợp với nhiều nhu cầu và khả năng sử dụng
- Hệ thống quản trị, phân quyền người dùng, và các chức năng, đặc tính khác
Trang 8 Chức năng cập nhật thông tin:
- Đối tượng sử dụng: người cập nhật từ các đơn vị tham gia Hanoi Portal (Sở, Ban, Ngành, UBND Quận, Huyện) và các đầu mối cung cấp thông tin khác lên Portal
- Chức năng: Cập nhật trực tiếp lên Hanoi Portal kèm theo cơ chế bảo mật phù hợp; Cập nhật các trang thông tin dạng văn bản và các ảnh minh hoạ; Thực hiện cập nhật CSDL của các ứng dụng khác (như phần mềm quản lý) tới máy chủ cục bộ; Đồng bộ thông tin từ máy chủ cục bộ tới máy chủ của Hanoi Portal Xây dựng hạ tầng, công cụ để có thể cập nhật nhiều loại thông tin và đảm bảo một qui trình cập nhật thông tin hoàn thiện Các chức năng khác thuộc phần cập nhật thông tin
Chức năng quản trị Hanoi Portal:
- Đối tượng sử dụng: người quản trị Portal
- Chức năng: Theo dõi hoạt động của Hanoi Portal, cả trên máy chủ cục bộ và máy chủ của nhà cung cấp dịch vụ thuê chỗ (hosting); Định kỳ kiểm tra thông tin; Tiến hành thiết lập thông số cho việc định kỳ đồng bộ thông tin từ máy chủ cục bộ tới máy chủ của nhà công cấp dịch vụ hosting; Thiết lập các thông
số vận hành của hệ thống; Quản trị cập nhật nội dung thông tin và dịch vụ trên Hanoi Portal;
Chức năng Hỏi/Đáp:
- Đối tượng sử dụng: người trả lời Hỏi/Đáp và người dùng cuối (End-user)
- Chức năng: Cho phép người dùng cuối đặt câu hỏi từ xa; Cho phép người trả lời Hỏi/Đáp cung cấp thông tin cho người dùng cuối; Cho người dân biết được người trả lời và cấp trả lời là ai; Chức năng quản lý,phân chia câu hỏi đến đúng người có chức năng trả lời Theo dõi kết quả và trả kết quả về
Chức năng tùy chọn giao diện và cá nhân hóa:
- Đối tượng sử dụng: Tất cả người dùng đã có tài khoản tại Hanoi Portal
- Chức năng: Quản lý hệ thống các thành phần của giao diện; Tạo giao diện ngầm định; Tổ chức các thành phần của giao diện; Quản lý nội dung theo cá nhân; Quản lý các chức năng theo cá nhân; Soạn giao diện: Người dùng Portal
có thể tự tạo giao diện riêng; Chèn thêm kênh vào giao diện: Cho phép thêm kênh thông tin đã xác thực vào giao diện; Di chuyển kênh tới vị trí khác; Loại
bỏ kênh khỏi giao diện
Trang 9 Chức năng công bố kênh thông tin/ dịch vụ:
- Đối tượng sử dụng: Tất cả các người dùng cuối đã đăng ký tài khoản và được cấp quyền công bố kênh thông tin/ dịch vụ tại Portal
- Chức năng: Chọn kiểu kênh; Quản lý kênh, quản lý đăng ký kênh; Tạo lập các tham số chung như tên kênh, tiêu đề kênh; Tạo lập các tham số xác thực kênh; Xác lập các thuộc tính khác của kênh thông tin; Chọn nhóm người dùng kênh
Chức năng quản trị kênh:
- Đối tượng sử dụng: Người quản trị Portal và người được cấp quyền công bố kênh
- Chức năng: Tạo kênh (một số loại kênh như Inlineframe, RSS… để phù hợp với nhiều loại ứng dụng); Xác thực kênh; Loại bỏ kênh; Sửa nội dung kênh; Quản trị kênh, phân loại kênh, trao đổi nội dung giữa các kênh
Chức năng đăng nhập một cửa:
- Đối tượng sử dụng: Tất cả các người dùng cuối đã được đăng ký và có tài khoản
- Chức năng: Cho phép người dùng chỉ cần đăng nhập một lần, nhưng có thể sử dụng tất cả các dịch vụ, kênh và các ứng dụng, được công bố trên Portal, đảm bảo trong suốt với người dùng cuối Hệ thống phải đảm bảo mức phân quyền tập trung và thống nhất cho mọi ứng dụng
Chức năng quản trị người dùng:
- Đối tượng sử dụng: Người quản trị Portal
- Chức năng: Thêm người dùng; Loại bỏ người dùng; Đăng ký bảo mật cho người dùng Phân quyền cho người dùng; Sửa đổi thông tin liên quan đến người dùng; Thiết lập quyền cho người dùng cuối: tạo kênh, xác thực kênh, đăng kí kênh, và sửa đổi nội dung kênh
Chức năng biên tập thông tin:
- Đối tượng sử dụng: Biên tập viên, cộng tác viên, các đầu mối thông tin
- Chức năng: Một hệ thống quản trị nội dung thông tin đáp ứng được yêu cầu quản lý của một báo điện tử (tạo và biên tập với nhiều tính năng hỗ trợ, sửa nội dung, trình phê duyệt, phê duyệt, loại bỏ …) Công cụ biên tập phải đủ mạnh để trợ giúp cho người dùng nhanh chóng đưa tin tức lên mạng Có chức năng cập nhật các tài liệu đính kèm, chức năng cập nhật từ liên kết, quản lý chuối sự kiện và chuỗi tin liên quan …
Trang 10 Chức năng thống kê:
- Đối tượng sử dụng: Người quản trị Portal
- Chức năng: thống kê việc sử dụng các tài nguyên trong portal, thống kê về người dùng, về các nhóm người dùng, tần suất sử dụng…
- Tìm kiếm có phân loại tốt, kết quả được tổ chức tốt dễ xem
Các chức năng khác:
- Dịch vụ mail
- Dịch vụ forum, chat, calendar…
Trang 111.1.2 Công nghệ xây dựng Cổng giao tiếp điện tử Hà Nội
1.1.2.1 Công nghệ Portal
Công nghệ Portal phát triển sau thời kỳ web khoảng 7-8 năm, như một tất yếu xuất phát từ nhu cầu thực tế Portal là một bước tiến hóa của website truyền thống
Nó ra đời để giải quyết những vấn đề mà website truyền thống gặp phải:
- Là "siêu web site“, gọi tắt là Portal, đối với người dùng vẫn chỉ là sử dụng trang web thông qua trình duyệt (tức là web browser), nhưng đằng sau đó là sự thay đổi thuật ngữ và quan niệm mới về triết lý phục vụ, thay cho cách hiểu “tuyên truyền” thông qua web site như trước đây
- Là điểm đích qui tụ hầu hết các thông tin và dịch vụ cho người dùng cần, là điểm đích đến thực sự Thông tin và dịch vụ được phân loại nhằm thuận tiện cho tìm kiếm và hạn chế vùi lấp các thông tin
- Bảo toàn đầu tư lâu dài Có nền tảng công nghệ đảm bảo, do công nghệ Internet
đã phát triển rất cao so với thời kỳ xuất hiện World Wide Web vào đầu những năm
90 của thế kỷ trước
- Những công nghệ tạo nên thời đại Portal đều hỗ trợ tính mở và kế thừa rất mạnh, sao cho việc mở rộng các qui mô phục vụ bằng các phần mềm ứng dụng mới được “lắp ráp” vào Portal đang có, mà không phải hủy bỏ hoặc sửa chữa lớn như những web site trước đây Đặc tính này làm cho portal “cởi mở” hơn với các ứng dụng của nhiều nhà cung cấp dịch vụ phần mềm khác nhau, thậm chí làm tăng tính độc lập của người chủ quản portal với người cung cấp giải pháp portal ban đầu, sau khi đã làm chủ công nghệ quản lý và phát triển ứng dụng trên portal
- Nếu chúng ta đã quen với khái niệm mạng Internet và mạng intranet, tương ứng
là mạng toàn cầu và mạng “toàn cầu” nội bộ (hiểu theo nghĩa “intranet” có các công nghệ và giao thức giống hệt Internet nhưng được sử dụng trong một phạm vi nhất định cho nội bộ), thì portal chính là extranet do kiến trúc công nghệ qui định, nghĩa là
nó bao gồm cả chức năng một “site” trên Internet và một intranet cho nội bộ
- Một portal đương nhiên có 2 mặt phục vụ là “phía ngoài” hướng đến Internet, và
“phía trong” hướng đến phục vụ người dùng nội bộ Phía ngoài, portal cung cấp một cổng giao dịch thân thiện, đủ các chức năng cho người dùng, trong đó có chức năng
cá nhân hóa Phía trong, portal cung cấp một hạ tầng điện tử, nhằm tạo quyền chủ động trong việc cung cấp, tích hợp thông tin và liên kết với các hệ thống, các dịch vụ
Trang 12Tuy khái niệm “phía trong” và “phía ngoài” là rất tương đối, chúng cũng cho thấy các mảng ứng dụng tương ứng với các nhu cầu quản lý hành chính và dịch vụ công nói chung Đối với các chức năng “phía trong”, portal làm cho các giao dịch quản lý hành chính mang tính chất nội bộ sẽ không đi vòng ra Internet rồi mới trở lại bàn làm việc của một đồng nghiệp trong cùng một phòng, hoặc giữa các Sở ban ngành bên trong khuôn khổ của Thành phố Trong khi đó, một công chức cũng có thể tra cứu hoặc vận hành một dịch vụ qua Internet tại bất kỳ lúc nào và tại bất cứ đâu Đối với các chức năng “phía ngoài”, người duyệt web có thể tra cứu và sử dụng dịch vụ theo quyền hạn được cấp
Do vậy portal rõ ràng là mô hình phù hợp cho các hệ thống thông tin phục vụ cả quản lý điều hành và dịch vụ công Khi so sánh với web site thông thường, dù được xây dựng bằng chương trình ứng dụng web, web site chủ yếu làm tốt về các chức năng “phía ngoài”, mà không giải quyết được các chức năng “phía trong”, nhất là khi các giao tiếp bên trong tăng lên qua việc tích hợp các ứng dụng mới
Cung cấp môi trường cộng tác (collaborative) thông qua việc quản lý và khai thác thống nhất toàn diện các dịch vụ cơ bản như: Forum, Mail, Calendar, Task Management, Report Systems, Conferences, Discussion Groups, News Groups, v.v Các dịch vụ này là một phần của kho tài nguyên dịch vụ trên portal để người dùng lựa chọn Việc quản lý người dùng được thực hiện một lần và thống nhất trên tất cả các ứng dụng dịch vụ của portal
Tóm lại, triết lý của portal là “siêu web site” để phục vụ tốt hơn thông qua quan
hệ bình đẳng và tình cảm gắn bó với “siêu web site”, là định hướng phục vụ centric), khác với sự phát triển tự nhiên của web site truyền thống là định hướng trình bày thông tin (data-centric)
Trang 13(user-1.1.2.2 Công nghệ lựa chọn phần mềm lõi
Với những yêu cầu đặt ra đối với Cổng giao tiếp điện tử Hà nội công nghệ Website thông thường đã trở nên lỗi thời và không thể đáp ứng được các đòi hỏi đặt
ra đối với Hà nội Portal Bởi vậy công nghệ được lựa chọn để triển khai Cổng giao tiếp điện tử Hà nội là công nghệ Portal
Việc lựa chọn phần mềm Portal nền tảng (Portal Framework) cũng cần phải cân nhắc để công nghệ được lựa chọn thỏa mãn các yêu cầu sau :
- Có đầy đủ các tính năng cơ bản của hệ thống Portal
- Phù hợp với yêu cầu sử dụng
- Sử dụng công nghệ tiên tiến với kiến trúc mở
- Chi phí phù hợp
Cho tới thời điểm năm 2003 đã xuất hiện một số phần mềm mã nguồn mở Portal phát triển dựa trên các nền tảng công nghệ khác nhau với các ngôn ngữ lập trình khác nhau Các phần mềm mã nguồn mở này được sử dụng ngày càng nhiều trên thế giới Tuy nhiên trong các Portal Framework mã nguồn mở, thì các Framework phát triển dựa trên công nghệ Java là những Framework có đầy đủ các tính năng hơn cả và cũng được sử dụng rộng rãi nhất.Trong số các phần mềm nguồn mở được xây dựng dựa trên công nghệ Java thì uPortal là một trong những phần mềm được đánh giá cao nhất Dưới đây chúng tôi phân tích các đặc điểm cơ bản của 3 hệ thống phần mềm
mã nguồn mở được nhiều chuyên gia đánh giá là nổi bật nhất trong số các phần mềm
mã nguồn mở xuất hiện trước năm 2003
- uPortal:
Là Portal được phát triển bởi tổ chức JASIG, có tất cả các thuộc tính cơ bản của một Portal Framework như :
o Khả năng cá nhân hóa giao diện
o Khả năng quản lý và phân quyền người dùng
o Khả năng tích hợp hệ thống (tích hợp đa ứng dụng)
o Cung cấp cơ chế đăng nhập 1 lần
o Cung cấp cơ chế phân loại thông tin
o Cung cấp cơ chế cho phép tích hợp thông tin từ nhiều nguồn khác nhau
o Cung cấp cơ chế kết nối tới nhiều hệ thống quản trị CSDL khác nhau
Trang 14- Jetspeed:
Là Portal Framework được phát triển bởi tổ chức Apache được phát triển dựa trên công nghệ Java và XML Jetspeed bắt đầu phát triển từ năm 1999 và đã thu được một số thành công Tuy nhiên JetSpeed có một số yếu điểm như cơ chế phân quyền phức tạp, cơ chế xây dựng ứng dụng phức tạp Đối với phiên bản 2.0 Jetspeed cũng đã có một số cải thiện tuy nhiên phiên bản này ra đời tương đối muộn và đến nay (2006) vẫn chưa thực sự hoàn thiện
- StringBean Portal :
StringBean Portal là Framework được phát triển dựa trên nền tảng công nghệ Java StringBean đáp ứng tốt những yêu cầu đối với những website vừa và nhỏ, tuy nhiên đối với những Website lớn với số lượng tích hợp lớn thì StringBean không thực sự đáp ứng tốt
Với những đánh giá ở trên, có thể thấy uPortal là Framework có tính năng nổi trội
và các tính năng này đảm bảo sẽ đáp ứng được nhu cầu là một phần mềm nền tảng cho hệ thống Cổng giao tiếp điện tử Hà nội
Chính vì những điểm nổi trội như vậy, uPortal đã được lựa chọn để tiếp tục phát triển trở thành phần mềm lõi cho hệ thống Cổng giao tiếp điện tử thành phố Hà nội Tuy nhiên uPortal bản thân nó chưa đủ để có thể làm phần mềm lõi của hệ thống Cổng giao tiếp điện tử mà cần có những đầu tư phát triển thêm
uPortal là một trong những hệ thống Portal mã nguồn mở được xây dựng sớm nhất và được ứng dụng nhiều nhất trong thực tiễn Đặc điểm nổi bật của uPortal là cung cấp một hệ engine hoạt động một cách cực kỳ hiệu quả và mềm dẻo cho việc
“lắp ráp” (tích hợp) các ứng dụng Với uPortal từ một tập hợp các tài nguyên hệ thống người dùng có thể hòa trộn các tài nguyên này, để tạo ra một ứng dụng đầy đủ
và đáp ứng tốt nhất nhu cầu của mình
Phần mềm mã nguồn mở được lựa chọn là uPortal như một mẫu mực về các lợi thế công nghệ:
- Java với kiến trúc hệ thống đặc biệt mở và rất hiện đại (J2EE, XML, XSLT)
- Có các chức năng gần như mong muốn
- Có thể làm chủ được kiến trúc và công nghệ
- Có thể bổ sung chức năng cho phù hợp hoàn toàn với các đặc điểm chức năng của Portal, nhất là các portal theo từng nhu cầu sử dụng
Trang 15Nhìn chung, uPortal chỉ cung cấp framework cho việc tích hợp các ứng dụng mới
và trao đổi thông tin theo dạng bình đẳng giữa những người dùng
Qua các nghiên cứu thử nghiệm cho thấy các chức năng Portal mà uPortal cung cấp ở dạng khái niệm còn sơ sài, giao diện còn không hấp dẫn Các khái niệm đã có gồm: quản lý người dùng ở mức đơn giản, các chức năng cá nhân hoá thô sơ, chức năng bố trí giao diện theo một vài dạng đơn giản như dạng cây và dạng tab, xuất bản ứng dụng chưa có phần kiểm duyệt Và trên cơ sở các yêu cầu của Hà Nội Portal, sản phẩm đã được cải tiến, phát triển phần mềm mã nguồn mở thành sản phẩm và đưa vào sử dụng cho Hà Nội Portal Hầu hết các tính năng mà uPortal cung cấp ở dạng
cơ chế đã được hoàn thiện và được cung cấp những ứng dụng giúp cho người dùng
dễ dàng thao tác, sử dụng
Về mặt chức năng Vportal đáp ứng được hầu hết các yêu cầu của một hệ thống Portal chuẩn mực như :
- Cá nhân hóa giao diện
- Quản lý và phân quyền người dùng với giao diện dễ sử dụng
- Khả năng tích hợp hệ thống (tích hợp đa ứng dụng)
- Cung cấp cơ chế đăng nhập 1 lần thông qua một trung tâm xác thực ( CAS - Center Authentication Service) với CSDL thông tin người dùng LDAP, Active Directory
- Cung cấp cơ chế phân loại thông tin
- Cung cấp cơ chế cho phép tích hợp thông tin từ nhiều nguồn khác nhau (thông qua RSS hoặc Inline Frame)
- Hỗ trợ kết nối tới nhiều hệ thống quản trị CSDL khác nhau (PostgresSQL, MySql, SQL Server, Oracle, DB2)
Trang 161.1.2.3 Kiến trúc của Hà Nội Portal
Trang 17Tầng trình diễn (Presentation)
Tầng trình diễn được thực hiện dựa trên công nghệ XML/XSL Dữ liệu của từng kênh thông tin được lưu trữ dưới dạng dữ liệu XML Dữ liệu XML này sẽ kết hợp với một StyleSheet nào đó sau đó trả thông tin được sinh ra từ sự kết hợp này về phía client để hiển thị cho người dùng (Xem hình vẽ)
Như vậy tầng trình diễn hoàn toàn được tách rời với các tầng Business Logic và tầng dữ liệu
Sơ đồ mô phỏng cơ chế trình diễn thông tin của uPortal
Trong tầng trình diễn này việc giao diện hiển thị như thế nào phụ thuộc vào các StyleSheet được cung cấp Điều này rất phù hợp với các hệ thống yêu cầu có nhiều kiểu hiển thị khác nhau như Hanoi Portal
Channel 1 Render
Channel 2 Render
Channel 3 Render
XML
Layout XML
XSLT
Trang 18Database Manager
Server MySQL
RDBM Properties Business Layer
Mô hình kết nối database
Trang 191.1.3 Hiện trạng hạ tầng kỹ thuật, thiết bị của Cổng giao tiếp điện tử Hà Nội
1.1.3.1 Hiện trạng về thiết bị
1/ Switch
o Số lượng: 04
o Cấu hình:
24 10Base-T/100Base-TX autosensing ports, full duplex
02 GBIC-based Gigabit Ethernet ports
8 MB DRAM and 4 MB Flash memory
Built-in Web-based management interface
Configurable network port, supporting unlimited MAC addresses for backbone connectivity
Support LAN edge quality of service (QoS) and port-based prioritization
o 10/100 Ethernet Router w/2 WIC Slots, 1 Network Module Slot
o Cisco IOS IP software 12.x
o WIC-1T= 1-Port Serial WAN Interface Card, V.35 cable
4/ Modem
o Số lượng: 16
o External modem, V90, 56K
Trang 20o Cấu hình: 3000VA/2250W; Input voltage adjustable range for main operations
168 - 302 V ; Nominal output voltage: 230 V ; Typical recharge time: 3.hrs; Input frequency 50/60 Hz +/- 3 Hz (auto sensing)
8/ Console switch
o Số lượng: 04
o Cấu hình:
8-Port KVM switch; 19" Rack-mount Design
Hot Plug - Add PCs or remove connected PCs for maintenance without powering down the KVM switch or PCs
1GB Ram (up to 8GB max)
Dual Chalnel Ultra SCSI Controller
5*36GB10Krpm SCSI
FDD, CD-RW
2x10/100/1000 Ethernet LAN Adapter
5 Hard disk bays, 5 PCI slots
Dual Power Supply
15‟‟ Digital Monitor
Rackmount server
Trang 2110/ Máy chủ loại 2
o Số lượng: 03 chiếc
o Cấu hình:
02 CPU Pentium Xeon 2.4GHz (up to 2CPU)
512KB L2 Cache; Hỗ trợ Hyper-Threading Technology
2GB Ram (up to 8GB max)
Dual Chalnel Ultra SCSI Controller
5*72GB HDD10Krpm SCSI
FDD, CD-RW
3x10/100/1000 Ethernet LAN Adapter
5 Hard disk bays, 5 PCI slots
Dual Power Supply
15‟‟ Digital Monitor
DLT Tape Driver 40/80GB
Rackmount server
11/ Các thiết bị khác:
o Tủ Rack 19‟: số lượng 04 chiếc
o DLT tape 40/80GB: số lượng 20 chiếc
o Thiết bị chống sét đường truyền(PNET1): số lượng 20 chiếc
o AMP UTP CAT 5 UTP 4 Pairs CMR Solid (305 m): số lượng 1000m
o AMP Patch Panel: số lượng 2 chiếc
o RJ 45 Connector: 150 chiếc
o AMP Outlet 2-port ( Socket+Jack 2-port+faceplate 2-port): 15 chiếc
Trang 221.1.3.2 Hiện trạng đường truyền
Hiện tại, Cổng giao tiếp điện tử Hà Nội đang sử dụng đường truyền Leased Line
do Công ty điện toán và truyền số liệu VDC cung cấp với tốc độ 515Kbps
Để kết nối giữa các đơn vị thành viên lên Cổng giao tiếp điện tử Hà Nội, thành phố Hà Nội đã sử dụng công nghệ VPN (xDSL-WAN) tin cậy dựa trên nhà cung cấp dịnh vụ Đây có thể là mô hình mềm dẻo nhất Tất cả các điểm sẽ kết nối với nhau thông qua đường ADSL hoặc SHDSL
Với các thiết bị đầu cuối SHDSL hiện nay trên thị trường thì việc vừa kết nối vào Internet vừa vào mạng riêng ảo đã có thể thực hiện Hầu hết các SHDSL Router đều
hỗ trợ tối thiểu 02 Virtual Channel, 01 sử dụng cho MRA và 01 để vào Internet Nếu thuê bao là ADSL thì sẽ không làm được chuyện này (hoặc là Internet hoặc
là MRA) vì ADSL Router chỉ hỗ trợ tối đa 01 Virtual Channel
Trong trường hợp này thì tất cả các đơn vị được nối với nhau như một mạng máy tính riêng biệt, và hưởng thụ (enjoy) tất cả những yêu điểm mà một mạng riêng có, ví
dụ tất cả các ứng dụng mạng (applications) đều có thể sử dụng.Yêu cầu các đơn vị phải có đường kết nối ADSL
Phương án này sẽ mang lại sự đơn giản cho người dùng, việc cấu hình mạng (theo yêu cầu của khách hàng) đã được thực hiện bởi đội ngũ kỹ thuật của nhà cung cấp dịch vụ Có sự cố kỹ thuật thì yêu cầu nhà cung cấp khắc phục Người dùng Tin cậy (trust) hoàn toàn vào nhà cung cấp dịch vụ Thời gian triển khai trung bình
Mô hình triển khai như sau:
Trang 23Workstation Workstation
BRAS ADSL
ADSL
ADSL
ADSL
Firewall ADSL/SHDSL
Bé phËn “mét cöa”
Bé phËn “mét cöa”
HN Portal Network
Nhµ cung cÊp dÞch vô
Trang 241.2 HIỆN TRẠNG KHẢ NĂNG ATTT TRÊN HÀ NỘI PORTAL
1.2.1 Hiện trạng bảo đảm ATTT trên Hà Nội Portal
1.2.1.1 Hiện trạng bảo đảm ATTT cho phần mềm của Hà Nội Portal
a) Quản trị bảo mật qua LDAP server
Việc sử dụng mạng để phục vụ những nhu cầu của con người ngày càng tăng, ngày càng có nhiều chương trình ứng dụng hay dịch vụ được đưa lên mạng Trước những nhu cầu đó vấn đề nảy sinh về bảo mật thông tin trên mạng, bảo mật tính riêng
tư của cá nhân hay sự cho phép sử dụng những dịch vụ, chương trình ứng dụng cũng được đặt ra Việc bảo mật có thể là một phần của kết nối trên mạng Thông tin của cá nhân, chương trình ứng dụng, hồ sơ, vv sẽ được tổ chức thành các phần thông tin nhỏ
và các phần thông tin nhỏ này được lưu trữ theo kiểu thư mục (Directory) Việc phân tán thông tin trên mạng yêu cầu có phương thức thích hợp cho việc truy cập, cập nhật
và bảo mật thông tin LDAP có phương thức đảm bảo được những yêu cầu đó
- Thư mục không trợ giúp các giao dịch như CSDL thường
- Việc truy cập thư mục được thực hiện thông qua các phương thức và giao thức của LDAP
Giao thức truy nhập thƣ mục LDAP (Lightweight Directory Access Protocol)
- LDAP được kế thừa từ X.500
- LDAP là một giao thức
- LDAP định nghĩa những phương thức cho việc truy cập và cập nhật thông tin
- LDAP client và LDAP server
Trang 251/ Kiến trúc LDAP
LDAP định nghĩa việc định dạng các thông điệp (mesage) tương tác giữa LDAP client và LDAP server Những yêu cầu từ LDAP client tới LDAP server là tìm kiếm, cập nhật, vv Việc chuyền dữ liệu này thông qua giao thức TCP/IP Và mã hóa theo kiêu SSL (Security Socket Layer)
2/ Những mô hình cơ bản của LDAP
LDAP có thể được hiểu biết hơn qua việc xem xét 4 mô hình cơ bản sau
- Infomation : Mô tả cấu trúc của thông tin lưu trữ trong một thư mục LDAP
- Naming : Mô tả cách thông tin trong thư mục LDAP được tổ chức và nhận biết
- Functional : Mô tả điều mà hành động có thể thực hiện trên thông tin lưu trũ trong thư mục LDAP
- Security : Mô tả cách thông tin trong thư mục LDAP được bảo vệ thông qua việc
có hay không cho phép truy cập
LDAP với Portal
Trong Portal, LDAP server là nơi lưu trữ những thông tin về người dùng/nhóm người dùng, những thông tin về chương trình ứng dụng, dịch vụ, vv Những thông tin này được lưu trữ dưới dạng “mục” (entry) LDAP server dùng để giải quyết vấn đề
an ninh, bao gồm: Authentication và Authorization
- Authentication : xác thực quyền truy nhập hệ thống thông qua lưu trữ thông tin xác thực (profile) của người dùng và nhóm người dùng
Directory
LDAP
Client
LDAP Server TCP/IP
Trang 26- Authorization: cho phép - hay cấp quyền - sử dụng tài nguyên thông tin và dịch
vụ của hệ thống (Phần thông tin quan trọng của nó là thông tin về những người được quyền sử dụng và không được quyền sử dụng ứng dụng hay dịch vụ đó)
Hiện tại với uPortal và VPortal
CMS server Portal DB
Web app, Client Browser,
LDAP
LDAP
LDAP Server
Trang 27* Ví dụ 1
Về những phần được lưu trữ trên LDAP server:
<Roles> // in the portal
<Role–Admin>
<Authentication> sẽ chi tiết sau, gồm <attributes> <\attributes>
<Authorization> sẽ chi tiết sau
Trang 28<Email> // mails of user (id) ? thuoc ve day hay la authentization
// all attribute of a e_mail
<name> hieu, nguyen van <name>
<type> MS Exchange </type>
<in-out> Local </in-out>
Trang 29<name> abcd </name>
<title> ABCD </title>
<description> always run on server, </description>
<metadata>
// acount for access This acount can change, but when change them will store trace to user or group identify and access
Trang 32Quyền sử dụng dịch vụ hay chương trình ứng dụng của người hay nhóm người dùng sẽ do LDAP server cung cấp
Khi người dùng bắt đầu truy cập vào hệ thống (Portal), quá trình này được diễn giải như sau:
Authentication/Authorization status of user/group about services or apps (ACL – Access Control List)
Permision user/group operator on ACL
End Web app
OK
Trang 33b) Thuật toán "băm" MD5
MD5 là một thuật toán được phát triển bởi Ron Rivest for RSA Security, Inc vào năm 1991 Nó có thể được sử dụng để sinh ra một số 128-bit duy nhất hay một chữ
ký điện tử từ một dẫy số liệu (thông điệp) có độ dài tuỳ ý Số được sinh ra là nén của dãy số vào và có thể sử dụng để bảo vệ thông điệp chống lại sự giả mảo và truy cập không được phép
MD5 được miêu tả như làm cơ sở cho thành phần chứng thực trong nhiều giao thức an ninh mức cao, bao gồm IPSec và SSL, ở đó nó được sử dụng để sinh ra và kiểm tra các chữ ký
Trong hệ thống VPortal, MD5 có thể được dùng để mã hoá thông tin, ví dụ nó đã được áp dụng để mã hoá mật khẩu của người dùng để phòng tránh đánh cắp mật
khẩu, chức năng này được cài đặt trong lớp md5passwd:
Trang 34Giải thích một số phần chính ở trên hình vẽ:
Java.io: là gói với những lớp thực hiện chức năng vào ,ra dữ liệu
Java.lang: là gói bao gồm rất nhiều những lớp cơ bản như xử lý chuỗi, xử lý
vùng đệm
Java.util: là gói với các tiện ích như sử dụng ngày tháng, xử lý vectơ, mảng,
Java.sql: là gói để thực hiện thao tác với CSDL, với các câu lệnh SQL,
Java.security: là gói với các tính năng thực hiện bảo đảm an toàn thông tin,
Org.jasig.portal: là gói được viết thêm khi xây dựng phần mềm Portal
Trang 351.2.1.2 Hiện trạng về giải pháp mạng và hạ tầng
Do giai đoạn 1 của dự án bắt đầu từ năm 2000 nhưng đến tận năm 2002 mới được phê duyệt do đó, ngay khi được phê duyệt thì những vấn đề về an ninh mạng lúc đó mới nhận thức ra được (vì tại thời điểm năm 2000 thì vấn đề an ninh không được quá quan trọng) Đây cũng là bất cập đối với dự án sử dụng ngân sách nhà nước Do vậy, hiện tại, đối với giải pháp mạng thì Hà Nội Portal đang được bảo mật bằng các biện pháp sau:
a) Sử dụng Firewall mềm là ISA Server 2003
Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm
Các dịch vụ chính trên ISA server:
+ ISA Control Service (MSPADMIN.EXE)
ISA control service điều khiển các chức năng trên ISA Server sau:
1/ IP packet filters, khi Enable và ghi Log chức năng này trên ISA server
2/ Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall)
3/ Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần còn lại của ISA servers array
4/ Cập nhật các File cấu hình Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng
5/ Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Service này
Trang 36+ Scheduled Cache Content Download Service (W3PREFCH.EXE)
1/ Service này cho phép có thể tải về (download) nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đã được Config trước (Download scheduled)
2/ Có thể cấu hình những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành tải về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua Cache
Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành tải về nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2
Thời gian tiến hành download vào lúc 12:00 PM Sáng hôm sau Clients sẽ được phục
vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online
3/ Dùng service này có thể tải về toàn bộ Website nếu muốn làm điều đó
+ HTTP redirector filter
Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi
làm việc với các tính năng của ISA caching, khi HTTP redirector được enable (điều
này là mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan
đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay vì đến các
Service khác
+ Application Level and Circuit Level Proxy
Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho
truyền File Những Proxies trên, được gọi là application-level proxies hay
"application-level gateways", bởi vì chúng được chỉ định để làm việc với những
application và protocol và nhận ra được nội dung các Packet được gửi đến nó Một
hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hết các applications trên nền TCP và UDP
Trang 37+ NAT protocol driver
Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định
của IANA (Internet Assigned Numbers Authority), là thuộc các vùng IP sau:
IP trong vùng Private IP Address Ranges của Clients không có giá trị
communication trực tiếp trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về
sẽ phản hồi lại cho Clients trong Mạng nội bộ
+ Firewall Service(FWSRV.EXE)
Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications)
+ Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người
gửi (Sender) và người nhận (Receiver) Nó đóng vai trò là một hệ thống chuyển tiếp
(Relay) giữa 2 đối tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài
nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall
Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đã làm điều đó, nó hành động nhân danh cho Client và cả Server Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts) Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu này đến Client
Trang 38
+ SOCKS hay Sockets
Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ
(IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về
network designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90 SOCKS đã nhanh
chóng trở thành một de facto standard (hardware hay software được dùng rộng rãi
nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn),
ngược lại là de jure standard Mặc dù SOCKS ra đời sớm và được dùng phổ biến,
nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5 SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service)
SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server
1/ The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp
2/ Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau
đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache 3/ Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode Lưu ý: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching)
4/ Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts mạng nội bộ vẫn đảm bảo an toàn, bởi vì
Trang 395/ Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters
6/ Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra
7/ Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts
8/ Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745
9/ Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn (từ attacker networks v.vv)
+ Web Proxy Service (W3PROXY.EXE)
1/ Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols
2/ Web Proxy Service là một application level service phục vụ cho các compliant applications (như đã trình bày ở trên ) và những ứng dụng này đã config
CERN-để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số
Trang 40b) Sử dụng ACL của Router
Trong kiến trúc này, một router được nối với Internet (exterior router), buộc mỗi giao tiếp mạng đi vào application gateway (cổng ứng dụng )
Một router được nối với mạng nội bộ (interior router) chỉ tiếp nhận những gói tin
từ cổng ứng dụng
Cổng ứng dụng thiết lập policies ( chính sách ) đối với từng người dùng và từng ứng dụng Hệ quả là nó điều khiển được sử phân phát của các dịch vụ cả đến và đi từ mạng nội bộ Ví dụ, chỉ một số người dùng được phép giao tiếp với Internet, hay chỉ một số ứng dụng được phép thiết lập kết nối với bên ngoài Nếu chỉ 1 ứng dụng được phép gửi thư, chỉ những gói thư được đi qua router
Việc thực hiện cấu hình ACL của Router được thực hiện theo cú pháp cấu hình accesslist