Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 30 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
30
Dung lượng
683,25 KB
Nội dung
Giáo trình đào tạo Quản trị mạng thiết bị mạng Mục : Dịch vụ Proxy - Giải pháp cho việc kết nối mạng dùng riêng Internet I Các khái niệm I.1 Mơ hình client server số khả ứng dụng Mơ hình chuẩn cho ứng dụng mạng mơ hình client-server Trong mơ hình máy tính đóng vai trị client máy tính có nhu cầu cần phục vụ dịch vụ máy tính đóng vai trị server máy tính đáp ứng yêu cầu dịch vụ từ client Khái niệm client-server mang tính tương đối, điều có nghĩa máy lúc đóng vai trị client lúc khác lại đóng vai trị server Nhìn chung, client máy tính cá nhân, cịn Server máy tính có cấu hình mạnh có chứa sở liệu chương trình ứng dụng để phục vụ dịch vụ từ yêu cầu client (hình 6.1) Hình 6.1 Cách thức hoạt động mơ hình client-server sau: tiến trình server khởi tạo trạng thái chờ yêu cầu từ tiến trình client tiến trình client khởi tạo hệ thống hệ thống khác kết nối thơng qua mạng, tiến trình client thường khởi tạo lênh từ người dùng Tiến trình client yêu cầu gửi chúng qua mạng tới server để yêu cầu phục vụ dịch vụ Tiến trình server thực việc xác định yêu cầu hợp lệ từ client sau phục vụ trả kết tới client tiếp tục chờ đợi yêu cầu khác Một số kiểu dịch vụ mà server cung Trung tâm Điện tốn Truyền số liệu KV1 221 Giáo trình đào tạo Quản trị mạng thiết bị mạng cấp như: dịch vụ thời gian (trả yêu cầu thông tin thời gian tới client), dịch vụ in ấn (phục vụ yêu cầu in client), dịch vụ file (gửi, nhận thao tác file cho client), thi hành lệnh từ client server Dịch vụ web dịch vụ mạng Internet hoạt động theo mơ hình client-server Trình duyệt Web (Internet Explorer, Netscape ) máy client sử dụng giao thức TCP/IP để đưa yêu cầu HTTP tới máy server Trình duyệt đưa u cầu trang web cụ thể hay yêu cầu thông tin sở liệu Máy server sử dụng phần mềm phân tích u cầu từ gói tin nhận kiểm tra tính hợp lệ client thực phục vụ yêu cầu cụ thể gửi trả lại client trang web cụ thể hay thông tin sở liệu dạng trang web Server nơi lưu trữ nội dung thông tin website, phần mềm server cho phép server xác định trang cần yêu cầu gửi tới client Cơ sở liệu ứng dụng tương tự khác máy chủ khai thác kết nối qua chương trình CGI (Common Gateway Interface), máy server nhận yêu cầu tra cứu sở liệu , chuyển yêu cầu tới server có chứa sở liệu ứng dụng để xử lý qua CGI I.2 Socket Một kết nối định nghĩa liên kết truyền thông tiến trình, để xác định kết nối cần phải xác định thành phần sau: {Protocol, local-addr, local-process, remote-addr, remote-process} Trong local-addr remote-addr địa máy địa phương máy từ xa local-process, remote-process để xác định vị trí tiến trình hệ thống Chúng ta định nghĩa nửa kết nối {Protocol, local-addr, localprocess} {Protocol, remote-addr, remote-process} hay gọi socket Chúng ta biết để xác đinh máy ta dựa vào địa IP nó, máy có vơ số tiến trình ứng dụng chạy, để xác định vị trí tiến trình ứng dụng người ta định danh cho tiến trình số hiệu cổng, giao thức TCP sử dụng 16 bit cho việc định danh cổng tiến trình qui ước số hiệu cổng từ 1-1023 sử dụng cho tiến trình chuẩn (như FTP qui ước sử dụng cổng 21, dịch vụ WEB qui ước cổng 80, dịch vụ gửi thư Trung tâm Điện tốn Truyền số liệu KV1 222 Giáo trình đào tạo Quản trị mạng thiết bị mạng SMTP cổng 25 ) số hiệu cổng từ 1024- 65535 dành cho ứng dụng người dùng Như cổng kết hợp với địa IP tạo thành socket liên mạng Một kết nối TCP cung cấp nhờ liên kết logic cặp socket Một socket tham gia nhiều liên kết với socket xa khác Trước truyền liệu hai trạm cần phải thiết lập liên kết TCP chúng kết thúc phiên truyền liệu liên kết giải phóng Hình 6.2 Q trình thiết lập socket với lời gọi hệ thống mô tả sau: server thiết lập socket với thông số đặc tả thủ tục truyền thông (TCP, UDP, XNS ) kiểu truyền thông (SOCK_STREAM, SOCK_DGRAM ), sau liên kết tới socket thơng số địa IP cổng TCP/UDP sau server chế độ chờ chấp nhận kết nối đến từ client Trung tâm Điện toán Truyền số liệu KV1 223 Giáo trình đào tạo Quản trị mạng thiết bị mạng I.3 Phương thức hoạt động đặc điểm dịch vụ Proxy Phương thức hoạt động Dịch vụ proxy triển khai nhằm mục đích phục vụ kết nối từ máy tính mạng dùng riêng Internet Khi đăng ký sử dụng dịch vụ internet tới nhà cung cấp dịch vụ, khách hàng cấp hữu hạn số lượng địa IP từ nhà cung cấp, số lượng IP nhận khơng đủ để cấp cho máy tính trạm Mặt khác với nhu cầu kết nối mạng dùng riêng Internet mà không muốn thay đổi lại cấu trúc mạng đồng thời muốn gia tăng khả thi hành mạng qua kết nối Internet muốn kiểm sốt tất thơng tin vào ra, muốn cấp quyền ghi lại thông tin truy cập người sử dụng… Dịch vụ proxy đáp ứng tất yêu cầu Hoạt động sở mơ hình client-server Q trình hoạt động dịch vụ proxy theo bước sau: Hình 6.3 Client yêu cầu đối tượng mạng Internet Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ thực việc xác thực client thỏa mãn proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server Proxy server gửi trả đối tượng cho client Trung tâm Điện toán Truyền số liệu KV1 224 Giáo trình đào tạo Quản trị mạng thiết bị mạng Ta thiết lập proxy server để phục vụ cho nhiều dịch vụ dịch vụ truyền file, dịch vụ web, dịch vụ thư điện tử…Mỗi dịch vụ cần có proxy server cụ thể để phục vụ yêu cầu đặc thù dịch vụ từ client Proxy server cịn cấu hình phép quảng bá server thuộc mạng Internet với mức độ an toàn cao Ví dụ ta thiết lập web server thuộc mạng thiết lập qui tắc quảng bá web proxy server phép quảng bá web server Internet Tất yêu cầu truy cập web đến chấp nhận proxy server proxy server thực việc chuyển tiếp yêu cầu tới web server thuộc mạng (hình 6.4) Hình 6.5 Các client tổ chức cấu trúc mạng gọi mạng (Inside network) hay gọi mạng dùng riêng IANA (Internet Assigned Numbers Authority) dành riêng khoảng địa IP tương ứng với lớp mạng tiêu chuẩn cho mạng dùng riêng là: 10.0.0.0 - 10.255.255.255 (lớp A) 172.16.0.0 - 172.31.255.255 (lớp B) 192.168.0.0 - 192.168.255.255 (lớp C) Các địa sử dụng cho client mạng dùng riêng mà không gán cho máy chủ mạng Internet Trong việc thiết kế cấu hình mạng dùng riêng khuyến nghị nên sử dụng khoảng địa IP Trung tâm Điện toán Truyền số liệu KV1 225 Giáo trình đào tạo Quản trị mạng thiết bị mạng Khái niệm mạng (Outside network) để vùng mà server thuộc vào Các địa sử dụng mạng địa IP đăng ký hợp lệ nhà cung cấp dịch vụ Internet Proxy server sử dụng hai giao tiếp, giao tiếp mạng giao tiếp ngồi Giao tiếp điển hình cạc mạng sử dụng cho việc kết nối proxy server với mạng dùng riêng có địa gán địa thuộc mạng dùng riêng Tất thông tin client thuộc mạng dùng riêng proxy server thực thông qua giao tiếp Giao tiếp ngồi thường hình thức truy cập gián tiếp qua mạng điện thoại công cộng qua cạc mạng kết nối trực tiếp tới mạng Giao tiếp gán địa IP thuộc mạng cung cấp hợp lệ nhà cung cấp dịch vụ Internet Đặc điểm Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu cho phép máy tính mạng internet truy cập tài nguyên mạng dùng riêng Proxy Server tăng cường khả kết nối Internet máy tính mạng dùng riêng cách tập hợp yêu cầu truy cập Internet từ máy tính mạng sau nhận kết từ Internet trả lời lại cho máy có yêu cầu ban đầu Ngồi proxy server cịn có khả bảo mật kiểm soát truy cập Internet máy tính mạng dùng riêng Cho phép thiết đặt sách truy cập tới người dùng Proxy server lưu trữ tạm thời kết lấy từ Internet nhằm trả lời cho yêu cầu truy cập Internet với địa Việc lưu trữ cho phép yêu cầu truy cập Internet với địa không cần phải lấy lại kết từ Internet, làm giảm thời gian truy cập Internet, tăng cường hoạt động mạng giảm tải đường kết nối Internet Các công việc lưu trữ gọi q trình cache Trung tâm Điện tốn Truyền số liệu KV1 226 Giáo trình đào tạo Quản trị mạng thiết bị mạng I.4 Cache phương thức cache Nhằm tăng cường khả truy cập Internet từ máy tính trạm mạng sử dụng dịch vụ proxy ta sử dụng phương thức cache Dịch vụ proxy sử dụng cache để lưu trữ đối tượng truy cập trước Tất đối tượng lưu trữ (như hình ảnh tệp tin), nhiên số đối tượng yêu cầu xác thực (Authenticate) sử dụng SSL (Secure Socket Layer) không cache Như với đối tượng cache, yêu cầu từ máy tính trạm tới proxy server, proxy server thay kết nối tới địa mà máy tính trạm u cầu tìm kiếm cache đối tượng thoã mãn gửi trả kết máy tính trạm Như cache cho phép cải thiện hiệu truy cập Internet máy trạm làm giảm lưu lượng đường kết nối Internet Vấn đề gặp phải sử dụng cache đối tượng cache có thay đổi từ nguồn, máy tính trạm yêu cầu đối tượng tới proxy server, proxy server lấy đối tượng cache để phục vụ thông tin chuyển tới máy tính trạm thơng tin cũ so với nguồn, để giải vấn đề cần phải có sách để cache đối tượng đồng thời đối tượng phải liên tục cập nhật Ví dụ: thơng thường địa WEB đối tượng hình ảnh có thay đổi cịn nội dung text thường có thay đối ta thiết đặt cache đối tượng hình ảnh, đối tượng có nội dung text khơng cache, điều khơng ảnh hưởng tới hiệu suất truy cập tập tin hình ảnh thường có kính thước lớn so với đối tượng có nội dung text, việc cập nhật đối tượng phụ thuộc vào phương thức cache mà ta trình bày Proxy server thực thi cache cho đối tượng yêu cầu cách có chu kỳ để tăng hiệu suất mạng Ta thiết lập cache để đảm bảo bao gồm liệu thường hay client sử dụng Proxy server sử dụng cho phép thông tin mạng dùng riêng Internet, việc thơng tin client mạng truy cập Internet-trong trường hợp proxy server thực Forward caching, client ngồi truy cập tói mạng (tới server quảng bá)-trong trường hợp proxy server thực reverse caching Cả hai trường hợp có từ khả proxy server lưu trữ thông tin (tạm thời) làm cho việc truyền thông thông tin nhanh hơn, sau tính chất cache proxy server: Trung tâm Điện toán Truyền số liệu KV1 227 Giáo trình đào tạo Quản trị mạng thiết bị mạng - Phân cache: cài đặt mảng máy proxy server ta thiết lập việc phân phối nội dung cache Proxy server cho phép ghép nhiều hệ thống thành cache logic - Cache phân cấp: Khả phân phối cache cịn chuyên sâu cách cài đặt chế độ cache phân cấp liên kết loạt máy proxy server với để client truy cập tới gần chúng - Cache định kỳ: sử dụng cache định kỳ nội dung download yêu cầu thường xuyên client - Reverse cache: proxy server cache nội dung server quảng bá tăng hiệu suất khả truy cập, đặc tính cache proxy server áp dụng cho nội dung server quảng bá Proxy server triển khai Forward cache nhằm cung cấp tính cache cho client mạng truy cập Internet Proxy server trì cache tập trung đối tượng Internet thường u cầu truy cập từ trình duyệt từ mày client Các đối tượng phục vụ cho yêu cầu từ đĩa cache yêu cầu tác vụ xử lý nhỏ đáng kế so với đối tượng từ Internet, việc tăng cường hiệu suất trình duyệt client, giảm thời gian hồi đáp giảm việc chiếm băng thông cho kết nối Internet Hình vẽ sau mơ tả proxy server xử lý yêu cầu người dùng (hình 6.6) Hình 6.6 Trung tâm Điện toán Truyền số liệu KV1 228 Giáo trình đào tạo Quản trị mạng thiết bị mạng Hình mơ tả q trình client mạng dùng riêng truy cập Internet tiến trình tương tự cache reverse (khi người dùng Internet truy cập vào Server quảng bá) bước bao gồm; Client yêu cầu đối tượng mạng Internet Proxy server kiểm tra xem đối tượng có cache hay khơng Nếu đối tượng khơng có cache proxy server proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server proxy server gĩư copy đối tượng cache trả đối tượng cho client1 Client gửi yêu cầu đối tượng tương tự Proxy server gửicho client đối tượng từ cache khơng phải từ Internet Ta triển khai dịch vụ proxy để quảng bá server mạng dùng riêng Internet Với yêu cầu đến, proxy server địng vai trị server bên ngoài, đáp ứng yêu cầu client từ nội dung web cache Proxy server chuyển tiếp yêu cầu cho server cache khơng thể phục vụ yêu cầu (Reverse cache) Lựa chọn phương thức cache dựa yếu tố: không gian ổ cứng sử dụng, đối tượng cache đối tượng cập nhật Về ta có hai phương thức cache thụ động chủ động Phương thức Cache thụ động (passive cache): Cache thụ động lưu trữ đối tượng máy tính trạm yêu cầu tới đối tượng Khi đối tượng chuyển tới máy tính trạm, máy chủ Proxy xác định xem đối tượng cache hay khơng đối tượng cache Các đối tượng cập nhật có nhu cầu Đối tượng bị xoá khỏi cache dựa thời điểm gần mà máy tính trạm truy cập tới đối tượng Phương thức có lợi ích sử dụng xử lý tốn nhiều không gian ổ đĩa Phương thức Cache chủ động (active cache): Cũng giống phương thức cache thụ động, Cache chủ động lưu trữ đối tượng máy tính trạm yêu cầu tới đối tượng máy chủ Proxy đáp ứng yêu cầu lưu đối tượng vào Cache Phương thức tự động cập nhật đối tượng từ Trung tâm Điện toán Truyền số liệu KV1 229 Giáo trình đào tạo Quản trị mạng thiết bị mạng Internet dựa vào: số lượng yêu cầu đối tượng, đối tượng thường xuyên thay đối Phương thức tự động cập nhật đối tượng mà máy chủ Proxy phục vụ mức độ thấp khơng ảnh hưởng đến hiệu suất phục vụ máy tính trạm Đối tượng cache bị xố dựa thơng tin header HTTP, URL II Triển khai dịch vụ proxy II.1 Các mô hình kết nối mạng Đối tượng phục vụ proxy server rộng, từ mạng văn phòng nhỏ, mạng văn phịng vừa tới mạng tập đồn lớn Với quy mơ tổ chức có cấu trúc mạng sử dụng proxy server cho phù hợp Sau xem xét số mơ hình mạng cỡ nhỏ, mạng cỡ trung bình mạng tập đồn lớn Trong sâu vào mơ hình thứ dành cho mạng văn phịng nhỏ phù hợp quy mơ tổ chức công ty vừa nhỏ Việt nam Mơ hình mạng văn phịng nhỏ c tính c a m ng v n phòng nh nh sau: - Bao gồm mạng LAN độc lập - Sử dụng giao thức IP - Kết nối Internet đường thoại (qua mạng điện thoại cơng cộng hình thức quay dial-up hay sử dụng công nghệ ADSL) đường trực tiếp (Leased Line) - 250 máy tính trạm Mơ hình kết nối mạng hình vẽ (hình 6.7) Trung tâm Điện toán Truyền số liệu KV1 230 Giáo trình đào tạo Quản trị mạng thiết bị mạng cầu, qui tắc xử lý theo thứ tự sau: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến cấu hình chuỗi proxy Hình đưa trình xử lý yêu cầu (hình 6.10) Hình 6.10 Trước tiên, proxy server kiểm tra qui tắc giao thức, proxy server chấp nhận yêu cầu qui tắc giao thức chấp nhận cách cụ thể yêu cầu không qui tắc giao thức từ chối yêu cầu Sau đó, proxy server kiểm tra qui tắc nội dung Proxy server chấp nhận yêu cầu qui tắc nội dung chấp nhận yêu cầu qui tắc nội dung từ chối Tiếp đến proxy server kiểm tra xem liệu có lọc gói IP thiết lập để loại bỏ yêu cầu không để định xem liệu yêu cầu có bị từ chối Cuối cùng, proxy server kiểm tra qui tắc định tuyến để định xem yêu cầu phục vụ Giả sử cài đặt proxy server máy tính với hai giao tiếp kết nối, kết nối với Internet kết nối vào mạng dùng riêng Ta cho Trung tâm Điện toán Truyền số liệu KV1 236 Giáo trình đào tạo Quản trị mạng thiết bị mạng dẫn phép tất client truy cập vào tất site Trong trường hợp này, sách truy nhập qui tắc sau: qui tắc giao thức cho phép tất client sử dụng giao thức tất thời điểm Một qui tắc nội dung cho phép tất người truy cập tới nội dung tất site tất thời điểm Lưu ý qui tắc cho phép client truy cập Internet khơng cho client bên ngồi truy cập vào mạng bạn Xử lý yêu cầu đến Proxy server thiết lập để Server bên truy cập an tồn đến từ client ngồi Ta sử dụng proxy server để thiết lập sách quảng bá an tồn cho Server mạng Chính sách quảng bá (bao gồm lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server, với qui tắc định tuyến) định Server quảng bá Khi proxy server xử lý yêu cầu xuất phát từ client bên ngoài, kiểm tra lọc gói IP, qui tắc quảng bá qui tắc định tuyến để định xem liệu yêu cầu có thực hay không Server thực u cầu Trung tâm Điện tốn Truyền số liệu KV1 237 Giáo trình đào tạo Quản trị mạng thiết bị mạng Hình 6.11 Giả sử cài đặt proxy server với hai giao tiếp kết nối, kết nối tới Internet kết nối vào mạng dùng riêng Nếu lọc gói hoạt động sau đó, lọc gói IP từ chối yêu cầu yêu cầu bị từ chối Nếu qui tắc quảng bá web từ chối yêu cầu yêu cầu bị loại bỏ Nếu qui tắc định tuyến thiết lập yêu cầu định tuyến tới Server upstream site chủ kế phiên Server xác định xử lý yêu cầu Nếu qui tắc định tuyến yêu cầu định tuyến tới Server cụ thể web Server trả đối tượng II.3 Proxy client phương thức nhận thực Chính sách truy nhập qui tắc quảng bá Proxy server thiết lập phép từ chối nhóm máy tính hay nhóm người dùng truy nhập tới server Nếu qui tắc áp dụng riêng với người dùng, Proxy server kiểm tra đặc tính yêu cầu để định người dùng nhận thực Ta thiết lập thơng số cho yêu cầu thông tin đến để người dùng phải proxy server nhận thực trước xử lý qui tắc Việc đảm bảo yêu cầu phép người dùng đưa yêu cầu xác thực Bạn thiết lập phương pháp nhận thực sử dụng thiết lập phương pháp nhận thực cho yêu cầu yêu cầu đến khác Về Proxy server thường hỗ trợ phương pháp nhận thực sau đây: phương thức nhận thực bản., nhận thực Digest, nhận thực tích hợp Microsoft windows, chứng thực client chứng thực server Đảm bảo chương trình proxy client phải hỗ trợ phương pháp nhận thực mà proxy server đưa Trình duyệt IE trở lên hỗ trợ hầu hết phương pháp nhận thực, vài trình duyệt khác hỗ trợ phương pháp nhận thực Đảm bảo trình duyệt client hỗ trợ số phương pháp nhận thực mà Proxy server hỗ trợ Phương pháp nhận thực Trung tâm Điện tốn Truyền số liệu KV1 238 Giáo trình đào tạo Quản trị mạng thiết bị mạng Phương pháp nhận thực gửi nhận thông tin người dùng ký tự text dễ dàng đọc Thơng thường thơng tin user name password mã hố phương pháp khơng có mã hố sử dụng Tiến trình nhận thực mơ tả sau, proxy client nhắc người dùng đưa vào username password sau thơng tin client gửi cho proxy server Cuối username password kiểm tra tài khoản proxy server Phương pháp nhận thực Digest Phương pháp có tính chất tương tự phương pháp nhận thực khác việc chuyển thông tin nhận thực Các thông tin nhận thực qua tiến trình xử lý chiều thường biết với tên "hashing" Kết tiến trình gọi hash hay message digest giải mã chúng Thông tin gốc phục hồi từ hash Các thông tin bổ sung vào password trước hash nên không bắt password sử dụng chúng để giả danh người dùng thực Các giá trị thêm vào để giúp nhận dạng người dùng Một tem thời gian thêm vào để ngăn cản người dùng sử dụng password sau bị huỷ Đây ưu điểm rõ ràng so với phương pháp nhận thực người dùng bất hợp pháp chặn bắt password Phương pháp nhận thực tích hợp Phương pháp sử dụng tích hợp sản phẩm Microsoft Đây phương pháp chuẩn việc nhận thực username password khơng gửi qua mạng Phương pháp sử dụng giao thức nhận thực V5 Kerberos giao thức nhận thực challenge/response Chứng thực client chứng thực server Ta sử dụng đặc tính SSL để nhận thực Chứng thực sử dụng theo hai cách client yêu cầu đối tượng từ server: server nhận thực cách gửi chứng thực server cho client Server yêu cầu client nhận thực (Trong trường hợp client phải đưa chứng thực client phù hợp tới server) SSL nhận thực cách kiểm tra nội dung chứng thực số mã hố proxy client đệ trình lên trình đăng nhập (Các người dùng Trung tâm Điện tốn Truyền số liệu KV1 239 Giáo trình đào tạo Quản trị mạng thiết bị mạng có chứng thực số từ tổ chức ngồi có độ tin tưởng cao) Các chứng thực server bao gồm thông tin nhận biết server Các chứng thực client thường gồm thông tin nhận biết người dùng tổ chức đưa chứng thực Chứng thực client: Nếu chứng thực client lựa chọn phương thức xác thực proxy server yêu cầu client gửi chứng thực đến trước yêu cầu đối tượng Proxy server nhận yêu cầu gửi chứng thực cho client Client nhận chứng thực kiểm tra xem có thực thuộc proxy server Client gửi yêu cầu cho proxy server, nhiên proxy server yêu cầu chứng thực từ client mà đưa trước Proxy server kiểm tra xem chứng thực có thực thuộcc client phép truy cập không Chứng thực server: Khi client yêu cầu đối tượng SSL từ server, client yêu cầu server phải nhận thực Nếu proxy server kết thúc kết nối SSL sau proxy server phải nhận thực cho client Ta phải thiết lập định chứng thực phía server để sử dụng nhận thực server cho client Nhận thực pass-though Nhận thực pass-though đến khả proxy server chuyển thông tin nhận thực client cho server đích Proxy server hỗ trợ nhận thực cho u cầu đến Hình vẽ sau mơ tả trường hợp nhận thực pass-though Hình 6.12 Client gửi yêu cầu lấy đối tượng web server cho proxy server Proxy server chuyển yêu cầu cho web server, việc nhận thực qua bước sau: Trung tâm Điện toán Truyền số liệu KV1 240 Giáo trình đào tạo Quản trị mạng thiết bị mạng Webserver nhận yêu cầu lấy đối tượng đáp lại client cần phải nhận thực Web server kiểu nhận thực hỗ trợ Proxy server chuyển yêu cầu nhận thực cho client Client tiếp nhận yêu cầu trả thông tin nhận thực cho proxy server Proxy server chuyển lại thơng tin cho web server Từ lúc client liên lạc trực tiếp với web server SSL Tunneling Với đường hầm SSL, client thiết lập đường hầm qua proxy server trực tiếp tới server yeu cầu với đối tượng yêu cầu HTTPS Bất client yêu cầu đối tượng HTTPS qua proxy server sử dụng đường hầm SSL Đường hầm SSL làm việc ngầm định yêu cầu tới cổng 443 563 Hình 6.13 Tiến trình tạo đường hầm SSL mô tả sau: Khi client yêu cầu đối tượng HTTPS từ web server Internet, proxy server gửi yêu cầu kết nối https://URL_name Yêu cầu gửi tới cổng 8080 máy proxy server CONNECT URL_name:443 HTTP/1.1 Proxy server kết nối tới Web server cổng 443 Trung tâm Điện toán Truyền số liệu KV1 241 Giáo trình đào tạo Quản trị mạng thiết bị mạng Khi kết nối TCP thiết lập, proxy server trả lại kết nối thiết lập HTTP/1.0 200 Từ đây, client thông tin trực tiếp với Web server bên SSL bridging SSL bridging đề cập đến khả proxy server việc mã hóa giải mã yêu cầu client chuyển yêu cầu tới server đích Ví dụ, trường hợp quảng bá (hoặc reverse proxy), proxy server phục vụ yêu cầu SSL client cách chấm dứt kết nối SSL với client mở lại kết nối với web server SSL bridging sử dụng proxy server kết thúc khởi tạo kết nối SSL Khi client yêu cầu đối tượng HTTP Proxy server mã hóa yêu cầu chuyển tiếp cho web server Web server trả đối tượng mã hóa cho proxy server Sau proxy server giải mã đối tượng gửi lại cho client Nói cách khác yêu cầu HTTP chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu, sau mã hóa lại lần chuyển tiếp tới Web server Web server trả đối tượng mã hóa cho proxy server Proxy server giải mã đối tượng sau gửi cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu chuyển tiếp cho web server Web server trả đối tượng HTTP cho proxy server Proxy server mã hóa đối tượng chuyển cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu HTTP SSL bridging thiết lập cho yêu cầu đến Tuy nhiên với yêu cầu client phải hỗ trợ truyền thông bảo mật với proxy server II.4 NAT proxy server Khái niệm NAT (Network Addresss Tranlation) NAT giao thức cho ta khả đồ hóa một vùng địa IP sử dụng mạng dùng riêng mạng ngược lại NAT thường Trung tâm Điện toán Truyền số liệu KV1 242 Giáo trình đào tạo Quản trị mạng thiết bị mạng thiết lập định tuyến ranh giới mạng dùng riêng mạng ngồi (ví dụ mạng cơng cộng Internet) NAT chuyển đổi địa IP mạng dùng riêng thành địa IP đăng ký hợp lệ trước chuyển gói từ mạng dùng riêng tới Internet tới mạng khác Trong phần tìm hiểu vận hành NAT NAT thiết lập để cung cấp chức chuyển đổi địa mạng dùng riêng việc phục vụ cho việc kết nối truy cập mạng Để làm việc này, NAT dùng tiến trình bước theo hình vẽ Hình 6.14 Người dùng máy 10.1.1.25 muốn mở kết nối ngồi tới server 203.162.0.12 Khi gói liệu tới NAT router, NAT router thực việc kiểm tra bảng NAT Nếu chuyển đổi địa có bảng, NAT router thực bước thứ Nếu khơng có chuyển đổi tìm thấy, NAT router xác định địa 10.1.1.25 phải chuyển đổi NAT router xác định địa cấu hình chuyển đổi địa 10.1.1.25 tới địa hợp lệ mạng (Internet) từ dãy địa động định nghĩa từ trước ví dụ 203.162.94.163 NAT router thay địa 10.1.1.25 địa 203.162.94.163 sau gói chuyển tiếp tới đích Trung tâm Điện tốn Truyền số liệu KV1 243 Giáo trình đào tạo Quản trị mạng thiết bị mạng Server 203.162.0.12 Internet nhận gói phúc đáp trở lại NAT router với địa 203.162.94.163 Khi NAT router nhận gói phúc đáp từ Server với địa đích đến 203.162.94.163, thực việc tìm kiếm bảng NAT Bảng NAT địa mạng 10.1.1.25 (tương ứng ánh xạ tới địa 203.162.94.163 mạng ngồi) nhận gói tin NAT router thực việc chuyển đổi địa đích gói tin 10.1.1.25 chuyển gói tin tới đích (10.1.1.25) Máy 10.1.1.25 nhận gói tiếp tục thực với gói với bước Trong trường hợp muốn sử dụng địa mạng cho nhiều địa mạng NAT router trì thơng tin thủ tục mức cao bảng NAT số hiệu cổng TCP UDP để chuyển đổi địa mạng ngồi trở lại xác tới địa mạng Như NAT cho phép client mạng dùng riêng với việc sử dụng địa IP dùng riêng truy cập vào mạng bên mạng Internet.Cung cấp kết nối Internet mạng không cung cấp đủ địa Internet có đăng ký Thích hợp cho việc chuyển đổi địa hai mạng Intranet ghép nối Chuyển đổi địa IP nội ISP cũ phân bố thành địa phân bố ISP mà không cần thiết lập thủ cơng giao diện mạng cục NAT sử dụng cách cố định động Chuyển đổi cố định xảy ta thiết lập thủ công bảng địa địa IP Một địa cụ thể bên mạng sử dụng địa IP (được thiết lập thủ công người quản trị mạng) để truy cập mạng Các thiết lập động cho phép người quản trị thiết lập nhiều nhóm địa IP dùng chung đăng ký Những địa nhóm sử dụng client mạng dùng riêng để truy cập mạng Việc cho phép nhiều client mạng sử dụng địa IP NAT có số nhược điểm làm tăng độ trễ gói tin mạng NAT phải xử lý gói để định xem liệu header thay đổi Khơng phải ứng dụng chạy với NAT NAT hỗ trợ nhiều giao thức truyền thông nhiều giao thức không hỗ trợ Các giao thức NAT hỗ trợ như:TCP,UDP, HTTP, Trung tâm Điện toán Truyền số liệu KV1 244 Giáo trình đào tạo Quản trị mạng thiết bị mạng TFTP, FTP…Các thông tin không hỗ trợ như: IP multicast, BOOTP, DNS zone transfer, SNMP… Proxy NAT Như phân tích dịch vụ NAT dịch vụ Proxy giải pháp để kết nối mạng dùng riêng Internet, nhiên dịch vụ lại có ưu điểm nhược điểm riêng Dịch vụ proxy cho khả thi hành tốc độ cao nhờ tính cache, nhiên sử dụng cache đưa đối tượng hạn cần phải có sách cache hợp lý đề đảm bảo tính thời đối tượng Chính sử dụng cache nên giảm tải kết nối truy cập Internet NAT khơng có tính cache Dịch vụ proxy phải triển khai ứng dụng, NAT tiến trình suốt Hầu hết ứng dụng làm việc với NAT NAT dễ cài đặt vận hành, dường làm nhiều với NAT sau cài đặt Tại client, NAT thiết đặt nhiều ngồi việc cấu hình tham số default gateway tới Server NAT Trong sử dụng dịch vụ proxy, cần phải có chương trình proxy client để làm việc với proxy server Dịch vụ proxy cho phép thiết đặt sách tới người dùng, với NAT việc sử dụng tính có hạn chế nhiều, nói sử dụng dịch vụ proxy cách truy cập an toàn để kết nối mạng dùng riêng ngồi Internet III Các tính phần mềm Microsoft ISA server 2000 III.1 Các phiên ISA server bao gồm hai phiên thiết kế để phù hợp với nhu cầu người sử dụng ISA server Standard ISA server Enterprise Trung tâm Điện toán Truyền số liệu KV1 245 Giáo trình đào tạo Quản trị mạng thiết bị mạng - ISA server Standard cung cấp khả an tồn firewall khả web cache cho mơi trường kinh doanh, nhóm làm việc hay văn phịng nhỏ ISA server Standard cung cấp việc bảo mật chặt chẽ, truy cập web nhanh, quản lý trực quan, giá hợplý khả thi hành cao - ISA server Enterprise thiết kế đẻ đáp ứng nhu cầu hiệu suất, quản trị cân môi trường Internet tốc độ cao với quản lý server tập trung, sách truy cập đa mức khả chống lỗi cao ISA server Enterprisecung cấp bảo mật, truy cập Internet nhanh cho mơi trường có địi hỏi khắt khe III.2 Lợi ích ISA server phần mềm máy chủ thuộc dòng NET Enterprise Server Các sản phẩm thuộc dịng NET Enterprise Server server ứng dụng tồn diện Microsoft việc xây dựng, triển khai, quản lý, tích hợp, giải pháp dựa web dịch vụ ISA server mang lại số lợi ích cho tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý Truy cập Web nhanh với cache hiệu suất cao - Người dùng truy cập web nhanh đối tượng chỗ cache so với việc phải kết nối vào Internet lúc tiềm tàng nguy tắc nghẽn - Giảm giá thành băng thông nhờ giảm lưu lượng từ Internet - Phân tán nội dung Web server ứng dụng thương mại điện tử cách hiệu quả, đáp ứng nhu cầu khách hàng toàn cầu (khả phân phối nội dung web có phiên ISA server Enterprise) Kết nối Internet an toàn nhờ Firewall nhiều lớp - Bảo vệ mạng trước truy nhập bất hợp pháp cách giám sát lưu lượng mạng nhiều lớp - Bảo vệ máy chủ web, email ứng dụng khác khỏi cơng từ bên ngồi việc sử dụng web server quảng bá để xử lý cách an toàn yêu cầu đến Trung tâm Điện toán Truyền số liệu KV1 246 Giáo trình đào tạo Quản trị mạng thiết bị mạng - Lọc lưu lượng mạng đến để đảm bảo an toàn - Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng nội nhờ sử dụng mạng riêng ảo (VPN) Quản lý thống với quản trị tích hợp - Điều khiển truy cập tập trung để đảm bảo tính an tồn phát huy hiệu lực sách vận hành - Tăng hiệu suất nhờ việc giới hạn truy cập sử dụng Internet số ứng dụng đích đến - Cấp phát băng thông để phù hợp với ưu tiên - Cung cấp công cụ giám sát báo cáo để kết nối Internet sử dụng - Tự động hóa nhiệm vụ việc sử dụng script Khả mở rộng - Chú trọng tới an toàn thi hành nhờ sử dụng ISA server Softwware Development Kit (SDK) với phát triển thành phần bổ sung - Chức quản lý an toàn mở rộng cho nhà sản xuất thứ ba - Tự động tác vụ quản trị với đối tượng Script COM (Component Object Model) III.3 Các chế độ cài đặt ISA server cài đặt ba chế độ khác nhau: Cache, Firewall Integrated Chế độ cache: Trong chế độ ta nâng cao hiệu suất truy cập tiết kiệm băng thông cách lưu trữ đối tượng web thường truy xuất từ người dùng Ta định tuyến yêu cầu người dùng tới cache server khác lưu giữ đối tượng Chế độ firewall: Trong chế độ cho phép ta đảm bảo an toàn lưu lượng mạng nhờ thiết lập qui tắc điều khiển thông tin mạng Internet Ta quảng bá server để chia sẻ liệu mạng với đối tác khách hàng Trung tâm Điện toán Truyền số liệu KV1 247 Giáo trình đào tạo Quản trị mạng thiết bị mạng Chế độ tích hợp: Trong chế độ ta tích hợp dịch vụ cache firewall server III.4 Các tính chế độ cài đặt Các tính khác tùy thuộc vào chế độ mà ta cài đặt, bảng sau liệt kê tính có chế độ firewall cache, chế độ tích hợp có tất tính Tính Mơ tả Chính sách truy cập Định nghĩa giao thức nội dung Internet mà người dùng sử dụng truy cập Có Chỉ có HTTP FTP Cache Lưu trữ định kỳ đối tượng web vào RAM đĩa cứng ISA server Khơng Có VPN Mở rộng mạng riêng nhờ sử dụng đường liên kết qua mạng chia sẻ hay mạng công cộng Internet Có Khơng Lọc gói Điều khiển dịng gói IP đến Có Khơng Lọc ứng dụng Thực thi tác vụ hệ thống giao thức định, nhận thực để cung cấp lớp bảo vệ bổ sung cho dịch vụ firewall Có Không Quảng bá Web Quảng bá web mạng để người dùng mạng truy cập Khơng Có Quảng bá Server Cho phép Server ứng dụng có Có Khơng Trung tâm Điện tốn Truyền số liệu KV1 Chế độ Chế độ firewall cache 248 Giáo trình đào tạo Quản trị mạng thiết bị mạng thể phục vụ client bên Giám sát thời gian Cho phép giám sát tập trung hoạt thực động ISA server bao gồm cảnh báo, giám sát phiên làm việc dịch vụ Có Có Cảnh báo Báo cho ta biết kiện đặc biệt xuất thực thi hoạt động phù hợp Có Có Báo cáo Tổng hợp phân tích hoạt động nhiều máy ISA server Có Có IV Bài tập thực hành u cầu Phịng học lý thuyết: Số lượng máy tính theo số lượng học viên lớp học đảm bảo học viên có máy tính, cấu hình máy tối thiểu sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x) Máy tính cài đặt Windows 2000 advance server Các máy tính nối mạng chạy giao thức TCP/IP Thiết bị thực hành: Đĩa cài phần mềm Windows 2000 Advance Server, đĩa cài phần mềm ISA Server 2000 Mỗi máy tính có 01 Modem V.90 01 đường điện thoại 01 account truy cập internet Bài 1: Các bước cài đặt phần mềm ISA server 2000 Bước 1: Các bước cài đặt Đăng nhập vào hệ thống với quyền Administrator Trung tâm Điện tốn Truyền số liệu KV1 249 Giáo trình đào tạo Quản trị mạng thiết bị mạng Đưa đĩa cài đặt Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition vào ổ CD-ROM Cửa sổ Microsoft ISA Server Setup mở Nếu cửa sổ không tự động xuất hiện, sử dụngWindows Explorer để chạy x:\ISAAutorun.exe (với x tên ổ đĩa CD-ROM) Trong cửa sổ Microsoft ISA Server Setup, kích Install ISA Server Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích Continue Vào CD Key sau kích OK hai lần Trong hộp thoại Microsoft ISA Server Setup kích I Agree Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích Custom Installation Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom Installation kích Add-in services sau kích Change Option Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Add-in services kiểm tra lựa chọn Install H.323 Gatekeeper Service chọn, chọn Message Screener sau kích OK Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – CustomInstallation kích Administration tools sau kích Change Option Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Administration tools, kiểm tra lựa chọn ISA Management chọn, chọn H.323 Gatekeeper Administration Tools sau kíchOK Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom Installation kích Continue Hộp thoại Microsoft Internet Security and Acceleration Server Setup xuất hiện, lưu ý bạn máy tính khơng thể tham gia vào array Bạn cấu hình máy tính stand-alone server Kích Yes để cấu hình máy tính stand-alone server Trong hộp thoại Microsoft ISA Server Setup đọc mô tả mode cài đặt đảm bảo mode Integrated lựa chọn sau kích Continue Trung tâm Điện toán Truyền số liệu KV1 250 ... Quản trị mạng thiết bị mạng Ta thiết lập proxy server để phục vụ cho nhiều dịch vụ dịch vụ truyền file, dịch vụ web, dịch vụ thư điện tử…Mỗi dịch vụ cần có proxy server cụ thể để phục vụ yêu cầu... tiếp mạng giao tiếp Giao tiếp điển hình cạc mạng sử dụng cho việc kết nối proxy server với mạng dùng riêng có địa gán địa thuộc mạng dùng riêng Tất thông tin client thuộc mạng dùng riêng proxy. .. mạng Internet tồn cầu cho phép máy tính mạng internet truy cập tài nguyên mạng dùng riêng Proxy Server tăng cường khả kết nối Internet máy tính mạng dùng riêng cách tập hợp yêu cầu truy cập Internet