Restricted Internet Access Issues

Một phần của tài liệu Khóa luận tốt nghiệp: Firewall Checkpoint doc (Trang 69 - 72)

C. Remote Access VPN

2 Resolving Connectivity Issues

2.2 Restricted Internet Access Issues

2.2.1 Overview

Remote Userss tạo kết nối tới Remote Access Gateway thông qua hệ thống mạng công cộng (Dịch vụ Internet, khách sạn, nhà hàng, thư viện…), thì người quản trị

thống mạng cơng cộng đó có thể hạn chế các dịch vụ mà người dùng có thể truy cập.

Thông thường hai dịch vụ thường được cho phép nhiều nhất là HTTP và HTTPS.

Vấn đề nảy sinh ở đây là IPsec chạy ở port 500 (cho quá trình đàm phán

ISAKMP), như vậy vơ tình người dùng không thể sử dụng Remote Access theo cách thơng thường được nữa vì Firewall đã hạn chế dịch vụ.

2.2.2 Checkpoint Solution – Visitor Mode

Visitor Mode cho phép Remote Users có thể tạo kết nối tới Remote Access Gateway

thông qua cổng SSL (port 443).

Để chạy được chế độ này thì ở cả hai phía đều phải được hỗ trợ Visitor Mode.

 Ở Remote Access Gateway phải kích hoạt chức năng này.

 Ở Remote Users phải sử dụng SecureClient và kích hoạt chức năng này.

2.2.2.1 Number of Users

Để có được hiệu năng tốt nhất khi sử dụng Visitor Mode

 Hạn chế tối đa số lượng Users sử dụng Visitor Mode, chỉ dùng khi cần thiết.  Tăng số lượng sockets có thể sử dụng cho Visitor Mode.

2.2.2.2 Allocating Customized Ports

Ngoài sử dụng port SSL 443 ra thì Checkpoint cịn hỗ trợ sử dụng các port khác

cho Visitor Mode. Khi sử dụng port khác port 443 thì ta cần phải cấu hình ở

Access Remote Gateway lẫn có sự cho phép sử dụng ở thiết bị Firewall phía Remote

Users.

2.2.2.3 Visitor Mode and Proxy Servers

Visitor Mode cịn có thể sử dụng được khi phía Remote Users có sử dụng Proxy

server. Trong trường hợp này thì Remote Users sẽ kết nối tới Remote Access Gateway thông qua Proxy server.

2.2.2.4 Visitor Mode and Port 443 is Occupied By HTTPS server

Một phát sinh khi sử dụng Visitor Mode là có thể port 443 sử dụng cho Visitor Mode đang bị sử dụng bởi một ứng dụng khác (SSL Network Extender, Static NAT tới

một Server, sử dụng cho Connectra…) trên Remote Access Gateway. Khi đó các

kết nối tới Remote Access Gateway sẽ được báo lỗi là

“Visitor Mode Server failed to bind to xxx.xxx.xxx.xxx:yy (either port was already taken or the IP address does not exist)”

Để giải quyết trường hợp phát sinh này ta có thể sử dụng hai Interface cho phía

External (Cả hai đều có IP Pulic), một phục vụ cho Visitor Mode, một phục

Một phần của tài liệu Khóa luận tốt nghiệp: Firewall Checkpoint doc (Trang 69 - 72)

Tải bản đầy đủ (PDF)

(159 trang)