Proxy vụ hỡnh

Một phần của tài liệu Mạng máy tính, vấn đề an toàn mạng và bức tường lửa (Trang 108 - 110)

Phần III: Bức tờng lửa (Firewall)

5.4.3. Proxy vụ hỡnh

Một số phương phỏp phỏt triển gần đõy cho phộp truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vụ hỡnh. trong mụ hỡnh này, khụng cần phải cú những ứng dụng thờm vào với người sử dụng và khụng

phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall cú tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bờn ngoài được chỉ đường thụng qua Firewall. Như những Packet nhập vào Firewall, tự động chỳng được đổi hướng đến ứng dụng Proxy đang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host đớch. khi kết nối được tạo ra Firewall Proxy, Client application nghĩ rằng nú được kết nối với Server thật, nếu được phộp, Proxy application sau đú thực hiện hàm Proxy chuẩn trong việc tạo kết nối thứ hai đến Server thật.

Proxy lớp ứng dụng thỡ đối nghịch với Proxy lớp circuit: application–level Proxy được thực thi ở lớp ứng dụng. Nú cung cấp cho từng dịch vụ riờng và interpret những dũng lệnh trong những nghi thức đú. Một circuit–level Proxy tạo nờn một circuit giữa Client và Server khụng cần phải interpret những nghi thức này. Núi chung, application–level Proxy sử dụng modified procedure và circuit–level Proxy sử dụng modified Client. Để tạo ra kết nối Proxy, phải biết vị trớ nào muốn kết nối đến. Một hybrid gateway đơn giản cú thể chặn đứng kết nối, nhưng một Proxy host chỉ cú thể nhận kết nối mà đề nghị với nú, và phải chỉ ra vị trớ muốn kết nối. Một application–level Proxy cú thể thể nhận thụng tin trong từng nghi thức riờng. Một circuit–level Proxy khụng thể interpret theo từng nghi thức và cần phải cú thụng tin hồ trợ cho nú thụng qua một cỏch nào khỏc. Ưu điểm của circuit–level Proxy là ở đú nú cung cấp cho hầu hết những nghi thức khỏc nhau, hầu như circuit–level Proxy Server cũng là những Proxy Server chung cho tất cả cỏc dạng nghi thức, tuy nhiờn khụng phải mọi nghi thức đều dễ dàng được điều khiển bởi circuit–level Proxy, khuyết điểm của circuit–level Proxy Server là nú điều khiển dựa vào những gỡ xảy ra thụng qua Proxy này như là Packet filter, nú điều khiển những kết nối cơ bản dựa vào địa chỉ nguồn và địa chỉ địa chỉ đớchvà khụng cú thể xỏc định những lệnh đi qua nú là an toàn hoặc những sự kiện mà nghi thức đú mong muốn, circuit–level Proxy dể dàng bị đỏnh lừa bởi những Server setup lại những cổng gỏn đến những Server khỏc.

Proxy chung thỡ đối nghịch với những Proxy chuyờn biệt: mặc dự “application–level” và “circuit–level” thường được dựng, nhưng đụi khi cũng phõn biệt giữa “dedicated” và “generic” Proxy Server. Một dedicated Proxy Server là Server chỉ phục vụ một nghi thức đơn, generic Proxy Server là Server phục vụ cho nhiều nghi thức. Thật ra, dedicated Proxy Server là application–level, và generic Proxy Server là circuit–level.

Intelligent Proxy Server: một Proxy Server cú thể làm nhiều điều chứ khụng phải chỉ là sự chuyễn tiếp những yờu cầu, đú chớnh là một intelligent Proxy Server, Vớ Dụ: cern http Proxy Server caches data, vỡ vậy nhiều yờu cầu data khụng đi ra khỏi hệ thống khi chưa cú sự xử lý của Proxy Server. Proxy

Server (đặc biệt là application–level Server ) cú thể cung cấp logging dễ dàng và điều khiển truy xuất tốt hơn, cũn circuit–level Proxy thường bị giới hạn bởi những khả năng này.

Using Proxying với những dịch vụ Internet: vỡ Proxy chốn vào giữa sự kết nối Client và Server, nú phải được thớch ứng với từng dịch vụ riờng, đụi khi một số dịch vụ rất dễ với cỏch thực hiện bỡnh thường nhưng lại rất khú khi thờm vào Proxy.

TCP cũng đối nghịch với những nghi thức khỏc: TCP là nghi thức connection_oriented, nờn nú chỉ khú khăn trong khoảng thời gian ban đầu để tạo cầu nối sau đú nú tiếp tục sử dụng cầu nối đú để truyền thụng, cũn UDP thỡ ngược lại nờn khú hơn, ICMP là low Protocol nờn cú thể dựng Proxy.

Unidirectional versus multidirectional connection: nú dễ dàng cho một Proxy Server chặn đứng những kết nối khởi đầu từ một Client đến Server, nhưng nú rất khú cho việc ngăn chặn kết nối ngược lại, Server cú thể phải interpret hoặc sửa đổi thờm vào Protocol để tạo ra kết nối chớnh xỏc.

Vớ Dụ: Normal mode FTP yờu cầu Proxy Server chặn port Client gửi đến Server, mở một kết nối từ Proxy đến Client với cổng đú và gửi một cổng khỏc đến Server thật. Nú khụng cung cấp cho Proxy Server đơn giản chỉ đọc port trờn hướng đú, bởi vỡ cú thể cổng đú đó được sử dụng, sự kiện này luụn luụn nảy sinh đối với nghi thức yờu cầu kết nối ngược lại.

Protocol sercurity: một vài dịch vụ để thực hiện Proxy cho nú cú thể khỏ đơn giản, nhưng loại trừ vấn đề về security. Nếu một nghi thức vốn khụng an toàn, Proxy khụng thể làm điều gỡ khỏc để tăng độ an toàn cho nú. Thường nếu khú phõn biệt giữa những tỏc vụ an toàn và khụng an toàn thỡ nờn đặt dịch vụ đú trờn Victim host.

User specified data: vài dịch vụ, đặc biệt “store and forward” như smtp, nntp, ..thường chớnh nú đó tự hổ trợ tớnh Proxying. Những dịch vụ này được thiết kế truyền nhận những message bởi Server và stored đến khi chỳng cú thể gửi được cỏc Server tương ứng, nếu xem những header nhận của incoming Internet e_mail, những message đi từ người gửi đến người nhận thụng qua cỏc bước : Mỏy gửi – Outgoing mail gateway tại vị trớ người gửi – Incoming mail gateway tại vị trớ người nhận – Cuối cựng đến được mỏy nhận.

Một phần của tài liệu Mạng máy tính, vấn đề an toàn mạng và bức tường lửa (Trang 108 - 110)

Tải bản đầy đủ (DOC)

(110 trang)
w