3.2.2.1. Định nghĩa
Đểđáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những
ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ
thống cục bộ. Một trong những phương pháp đầu tiên được đưa ra để giải quyết
điều này cung cấp một host đơn có chức năng thay mặt các host trong truy xuất
đến Internet. Host có chức năng như vậy được gọi là Proxy Server.
3.2.2.2.Hoạt động của Proxy Server
Hoạt động của Proxy Server được thể hiện một cách cụ thể thông qua kỹ thuật Web Proxy Caching.
Dịch vụ Web Proxy sử dụng kỹ thuật lưu lại (caching) để lưu một bản copy của các đối tượng HTTP và FTP. Không phải tất cả các đối tượng đi qua Web Proxy
79
đổi mỗi khi truy xuất đến nó. Các đối tượng khác cần sự xác thực của các client yêu cầu và không thểđược lưu lại vì một số nguyên nhân về bảo mật.
Proxy Server sử dụng hai mode lưu các đối tượng: Lưu thụ động (passive caching) và lưu chủđộng (active caching).
Lưu thụ động(Passive caching):
Đối với việc lưu thụ động, còn được gọi là lưu theo yêu cầu(on-demand) là mode cơ lưu bản nhất. Proxy Sever can thiệp vào giữa client và external Web site, nó tiếp nhận các yêu cầu của client và xác định các đối tượng yêu cầu đã
được lưu trong bộ nhớ của nó chưa trước khi chuyển các yêu cầu này ra ngoài.
Hình 3.13:Hoạt động của Web Proxy
Bình thường, Proxy Server đặt một đối tượng vào trong bộ nhớ(cache) của nó và gắn nó với một thời gian sống(Time To Live) phù hợp. Trong khoảng thời gian này, tất cả các yêu cầu của các clients về đối tượng này sẽ được Proxy Server gửi trả lại mà không cần phải chuyển các yêu cầu này ra bên ngoài. Sau khi hết khoảng thời gian này, các yêu cầu tiếp theo của các client về đối tượng này sẽ được chuyển ra các server phục vụ bên ngoài. Đáp ứng từ các server này sau đó sẽđược lưu lại trong bộ nhớ của Proxy Server và một TTL mới lại được gán cho
80 đối tượng này.
Nếu không gian đĩa dành riêng cho bộ nhớ cache bịđầy và không thể lưu các dữ
liệu mới, Proxy Server sẽ thực hiện xoá các đối tượng cũ nhất được xác định bởi các thông số như thời gian đã lưu, mức độ sử dụng thường xuyên và kích thước của đối tượng.
Lưu chủ động(Active Caching):
Active caching làm việc cùng với passive caching nhằm tối ưu hiệu năng của Proxy Server. Active caching sẽ tựđộng phát ra các yêu cầu cho một tập các đối tượng thông qua các yếu tố sau:
– Mức độ phổ biến (Popularity): Đảm bảo rằng các yêu cầu được thực hiện bởi Proxy Server là giống như các yêu cầu của các client.
– Thời gian sống (TTL): Các đối tượng có thời gian sống dài hơn thì nên lưu lại trong bộ nhớ hơn.
– Server load: Proxy Server thực hiện việc lưu lại các đối tượng trong thời gian tải làm việc của nó thấp.
Proxy cho phép người sử dụng truy xuất những dịch vụ trên Internet theo nghĩa trực tiếp từ hệ thống cá nhân của họ mà vẫn đảm bảo an toàn. Proxy sẽ lưu giữ
tạm thời yêu cầu của người sử dụng trước khi quyết định sẽ đáp ứng hay không yêu cầu này nhờđó mà có thể áp dụng một số luật trên proxy để mọi người phải tuân theo.
Proxy mang đến khả năng bảo vệ hệ thống khỏi bị xác định bởi bên ngoài. Nó thực hiện chức năng này nhờ sử dụng hai định danh khác nhau, một dùng cho nội bộ hệ thống và một dùng cho bên ngoài. Nó cho phép sử dụng băng thông hiệu quả hơn.
Tuy nhiên, proxy cũng có một số nhược điểm sau:
81
– Vì proxy Servers là những phần mềm chạy ở phần trên các hệđiều hành, do
đó một khi hệ điều hành có các điểm yếu và bị xâm nhập, kẻ tấn công sẽ
dành được quyền truy cập đến toàn mạng.
– Chỉđược thiết kế cho một số các ứng dụng và một số giao thức nhất định.
Nhận xét:
Những giao thức và giải pháp an toàn trên đã có những đóng góp nhất định vào nỗ lực bảo đảm an toàn mạng ở các khía cạnh khác nhau. Tuy nhiên vấn đề an ninh mạng vô cùng rộng lớn và phức tạp đòi hỏi phải kết hợp nhiều biện pháp để
thực hiện bảo đảm an ninh có hiệu quả. Đối với một mạng cụ thể, phải áp dụng nhiều lớp bảo vệ khác nhau để ngăn chặn các nguy cơ xâm hại mạng ở những mức độ khác nhau.
Lớp bảo vệ firewall có một vai trò vô cùng quan trọng vì nó là tuyến phòng thủ đầu tiên của hệ thống. Nó phải đảm bảo ngăn chặn phần lớn những nguy cơ xâm hại hệ thống. Firewall phải giảm nhẹ gánh nặng cho các lớp bảo vệ sau vì các lớp này phải ngăn chặn những xâm hại có số lượng ít hơn nhưng lại nguy hiểm hơn.
82
CHƯƠNG 4. THIẾT KẾ BẢO MẬT CHO HỆ THỐNG MẠNG TẠI CHI NHÁNH VIETINBANK