C ng ng d ng ụ
d ch v Telnet, DNS, FTP, SMTP và xác th c user là đị ụự ược cài đ t trên bastion host ặ
66
6
67
6
C ng ng d ngổ ứ ụ
◆ Bastion host có th yêu c u nhi u m c đ xác th c ể ầ ề ứ ộ ự
khác nhau, ví d nh user password hay smart card. ụ ư
M i proxy đỗ ược đ t c u hình đ cho phép truy ặ ấ ể
nh p ch m t s các máy ch nh t đ nh. Đi u này ậ ỉ ộ ồ ủ ấ ị ề
có nghĩa r ng b l nh và đ c đi m thi t l p cho ằ ộ ệ ặ ể ế ậ
m i proxy ch đúng v i m t s máy ch trên toàn ỗ ỉ ớ ộ ố ủ
h th ng.ệ ố
◆ M i proxy duy trì m t quy n nh t ký ghi chép l i ỗ ộ ể ậ ạ
toàn b chi ti t c a giao thông qua nó, m i s k t ộ ế ủ ỗ ự ế
n i, kho ng th i gian k t n i. Nh t ký này r t có ố ả ờ ế ố ậ ấ
ích trong vi c tìm theo d u v t hay ngăn ch n k ệ ấ ế ặ ẻ
phá ho i. ạ
◆ M i proxy đ u đ c l p v i các proxies khác trên ỗ ề ộ ậ ớ
bastion host. Đi u này cho phép d dàng quá trình ề ễ
cài đ t m t proxy m i, hay tháo g môt proxy đang ặ ộ ớ ỡ
68
6
C ng ng d ngổ ứ ụ
● Ưu đi mể
◆ Cho phép người qu n tr m ng hoàn toàn đi u ả ị ạ ề
khi n để ượ ừc t ng d ch v trên m ng, b i vì ng ị ụ ạ ở ứ
d ng proxy h n ch b l nh và quy t đ nh nh ng ụ ạ ế ộ ệ ế ị ữ
máy ch nào có th truy nh p đủ ể ậ ược b i các d ch ở ị
v .ụ
◆ Cho phép người qu n tr m ng hoàn toàn đi u ả ị ạ ề
khi n để ược nh ng d ch v nào cho phép, b i vì s ữ ị ụ ở ự
v ng m t c a các proxy cho các d ch v tắ ặ ủ ị ụ ương ng có nghĩa là các d ch v y b khoá.
ứ ị ụ ấ ị
◆ C ng ng d ng cho phép ki m tra đ xác th c r t ổ ứ ụ ể ộ ự ấ
t t, và nó có nh t ký ghi chép l i thông tin v truy ố ậ ạ ề
nh p h th ng.ậ ệ ố
◆ Lu t l l c filltering cho c ng ng d ng là d ậ ệ ọ ổ ứ ụ ễ
dàng c u hình và ki m tra h n so v i b l c ấ ể ơ ớ ộ ọ
69
6
C ng ng d ngổ ứ ụ
●H n chạ ế
◆ Yêu c u các users thay đ i thao tác, ho c thay đ i ầ ổ ặ ổ
ph n m m đã cài đ t trên máy client cho truy nh p ầ ề ặ ậ
vào các d ch v proxy. Ch ng h n, Telnet truy ị ụ ẳ ạ
nh p qua c ng ng d ng đòi h i hai bậ ổ ứ ụ ỏ ước đ n i ể ố
v i máy ch ch không ph i là m t bớ ủ ứ ả ộ ước thôi.
◆ Tuy nhiên, cũng đã có m t s ph n m m client cho ộ ố ầ ề
phép ng d ng trên c ng ng d ng là trong su t, ứ ụ ổ ứ ụ ố
b ng cách cho phép user ch ra máy đích ch không ằ ỉ ứ
70
6
716 6 C ng vòng (Circuit-Level Gateway)ổ ◆ C ng vòng là m t ch c năng đ c bi t có th th c ổ ộ ứ ặ ệ ể ự hi n đệ ược b i m t c ng ng d ng. C ng vòng ở ộ ổ ứ ụ ổ đ n gi n ch chuy n ti p (relay) các k t n i TCP ơ ả ỉ ể ế ế ố mà không th c hi n b t kỳ m t hành đ ng x lý ự ệ ấ ộ ộ ử
hay l c packet nào.ọ
◆ C ng vòng đ n gi n chuy n ti p k t n i telnet qua ổ ơ ả ể ế ế ố
firewall mà không th c hi n m t s ki m tra, l c ự ệ ộ ự ể ọ
hay đi u khi n các th t c Telnet nào.C ng vòng ề ể ủ ụ ổ
làm vi c nh m t s i dây,sao chép các byte gi a ệ ư ộ ợ ữ
k t n i bên trong (inside connection) và các k t n i ế ố ế ố
bên ngoài (outside connection). Tuy nhiên, vì s k t ự ế
n i này xu t hi n t h th ng firewall, nó che d u ố ấ ệ ừ ệ ố ấ
72
6