Bộchươngtrìnhproxygồmnhữngchươngtrìnhmứcứngdụng(ap plication-
levelprograms),dùngđểthaythếhoặclàthêmvàophầnmềmhệthống.Đ ốivới
mỗidịchvụ,cầncómộtphầnmềmtươngứnglàmnhiệmvụlọccácbảnti n.Trên
PhanTrungHiếu -Trang37- Trần
LêQuân
Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
• SMTPGateway-ProxyserverchodịchvụSMTP(SimpleMail Tranfer
Protocol)
• FTPGateway- ProxyserverchodịchvụFtp • TelnetGateway-Proxy serverchodịchvụTelnet
• HTTPGateway- ProxyserverchodịchvụHTTP(WorldWide Web)
• RloginGateway-Proxyserverchodịchvurlogin
• PlugGateway-Proxy serverchodịchvụ kếtnốiservertứcthời dùng
giaothứcTCP(TCPPlug-BoardConnectionserver)
• SOCKS- Proxyserverchocácdịch vụtheochuẩnSOCKS • NETACL-Điềukhiểntruynhậpmạng dùngchocácdịchvụ khác
• IPfilter–Proxy điềukhiểnmứcIP
PhanTrungHiếu - Trang38- Trần LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
1.9.5.1 SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Ma il
Hình13Mộtsốprotocolsauproxy
ChươngtrìnhSMTPGatewayđượcxâydựngtrêncơsởsửdụngha iphần
mềmsmapvàsmapd,dùngđểchốnglạisựtruy nhậpthôngquagia othức
SMTP.Nguyênlýthực hiệnlàchặntrước chươngtrìnhmailserver nguyên
thuỷcủahệthống,khôngchophépcáchệthốngbênngoàikếtnốit rựctiếp
vớimailserver.Vìởtrongmạngtin cậymailserverthườngcómột sốquyền
PhanTrungHiếu -Trang39- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Khimột hệthốngởxanốitớicổngSMTP.Chươngtrình smapsẽd ành
quyềnphụcvụvàchuyểntớithưmụcdànhriêngvàđặtuser-idở mứcbình
thường(khôngcóquyềnưutiên).Mụcđíchduynhấtcủasmaplàđ ốithoại
SMTPvớicáchệthốngkhác,thulượmmail, ghivàođĩa,ghinhậtk ý,vàkết
thúc.Smapdthườngxuyênquétthưmụcnày,khipháthiệncóthưs ẽchuyển
dữliệuchosendmailđểphânphátvàocáchòmthưcánhânhoặcch uyển
tiếptớicácmail serverkhác.
Như vậy,mộtuser lạtrên mạngkhôngthểkếtnốitrựctiếpvớiMail Server.
Tấtcảcácthôngtin đitheođườngnàyhoàntoàncó thểkiểmsoátđ ược.Tuy
nhiên,chươngtrìnhcũngkhôngthểgiảiquyếtvấnđềgiảmạothưh oặccác
loạitấncôngbằngđườngkhác.
1.9.5.2 FTP Gateway Proxy Server cho dịch vụ FTP:
Proxy serverchodịch vụFTPcungcấpkhảnăngkiểmsoáttruynh ậpdịch
vụFTPdựatrênđịachỉIPvàhostname,vàcungcấpđiều khiểntru ynhập
thứcấpchophéptuỳchọnkhoáhoặcghinhậtkýbấtkỳlệnhFTPn ào.Các
địachỉđíchcủadịchvụnàycũngcóthểtuỳchọnđượcphéphaybị cấm.Tất
cảcácsựkếtnốivàdunglượngdữliệuchuyểnquađềubịghinhật kílại.
FTPGatewaytựbảnthânnókhôngđedọaantoàncủahệthốngFir ewall,
bởivìnóchạytớimộtthưmụcrỗngvàkhôngthựchiệnmộtthủtục vàora
filenàocảngoàiviệc đọcfilecấuhìnhcủanó.
FTPServerchỉcungcấpdịchvụFTP,màkhôngquantâmđếnaic óquyền
haykhôngcóquyềnkếtxuất(download)file.Dovậy,việcxácđịnh quyền
phảiđượcthiếtlậptrênFTPGatewayvàphảithựchiệntrướckhith ựchiện
việckếtxuất(download)haynhập(upload)file.FtpGateway nênđ ượccấu
PhanTrungHiếu -Trang40- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
1.9.5.3 Telnet Gateway Proxy Server cho dịch vụ Telnet:
TelnetGatewaylàmột proxyserverquảnlýtruynhậpmạngdựatr ênđịachỉ
IPvà/hoặchostname,vàcungcấpsựđiềukhiểntruynhậpthứcấp chophép
tuỳchọnkhoábấtkỳđíchnào.Tấtcảcácsựkếtnốidữliệuchuyển quađều
đượcghinhậtkýlại.MỗimộtlầnusernốitớiTelnetGateway,ngư ờisử
dụngphảilựachọnphươngthứckếtnối.
TelnetGatewaykhôngphươnghạitớiantoànhệthống,vìnóchỉh oạtđộng
trongmộtphạmvichophépnhấtđịnh.Cụthể,hệthốngsẽchuyển điều
khiểntớimột thưmụcdànhriêng.Đồngthờicấmtruy nhậptớicác thưmục
vàfilekhác.
TelnetGatewayđượcsửdụngđểkiểmsoátcáctruynhậpvàohệth ốngmạng
nộibộ.Cáctruynhậpkhôngđượcphépsẽkhôngthểthựchiệnđượ ccòncác
truynhậphợpphápsẽbịghilạinhậtkývềthờigiantruynhậpvàc ácthao
tácđãthựchiện.
HTTP Gateway - Proxy server cho web:
HTTPGatewaylàmộtProxyServerquảnlýtruynhậphệthốngqu acổng
HTTP(Web).Chơngtrìnhnày,dựatrênđịachỉđíchvàđịachỉngu ồnđể
ĐồngthờicăncứvàmãlệnhcủagiaothứcHTTP,phầnmềmnàys ẽcho
PhanTrungHiếu -Trang41- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Rlogin Gateway - Proxy server cho rlogin:
CácterminaltruynhậpquathủtụcBSDrloginđượckiểmsoátbởi rlogin
gateway.Chươngtrìnhchophépkiểmtravà điềukhiểntruynhập mạng
tươngtựnhưtelnetgateway.Rloginclientcóthểchỉramộthệthốn gởxa
ngaykhibắtđầunốivàoproxy.Chươngtrìnhsẽhạnchếyêucầutư ơngtác
giữauservớimáy.
Plug Gateway - TCP Plug-Board Connection server:
Firewallcungcấpcácdịch vụthôngthườngnhư Usernetnews.Ng ườiquản
trịmạngcó thểchọnhoặclàchạydịchvụnàyngaytrongfirewall, hoặccài
đặtmộtproxyserverchodịchvụ này.
DodịchvụNewschạytrựctiếptrênfirewallthìdễgâylỗihệthống ,nên
cáchantoànhơnlàsửdụngproxy.Pluggatewayđượcthiếtkếđểk iểmsoát
dịch vụUsernetNewsvà mộtsốdịchvụkhácnhư LotusNotes,Or acle,etc.
PluggatewaydựatrênđịachỉIP hoặchostname,sẽchophépkiểm soáttất
cảcáctruynhậphệthốngthôngquacáccổngdịchvụđượcđăngk ý.Trêncơ
sởđósẽchophéphoặccấm cácyêucầutruynhập.Tấtcảyêucầu kếtnối
baogồmcả dữliệucó thểđượcghilạinhậtkýđểtheodõivàkiểm soát.
1.9.5.4 SQL Gateway Proxy Server cho SQL-Net:
SQLNetsửdụnggiaothứcriêngkhônggiốngnhưcủaNewshayL otus
Notes,Dovậy,khôngthểsửdụngPlugGatewaychodịchvụnàyđ ược.SQL
PhanTrungHiếu -Trang42- Trần
Lê Quân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
1.9.5.5 SOCKS Gateway và NETACL:
SOCKS Gateway - Proxy server cho các dịch vụ theo chuẩn SOCK S:
SOCKSlàgiaothứckếtnốimạnggiữacácmáychủcùnghỗtrợgia othức
này.Haimáychủkhisửdụnggiaothứcnàysẽkhôngcầnquantâm tớiviệc
giữachúngcóthểnốighépthôngquaIPhaykhông.
SOCKSsẽđịchhướnglạicácyêucầughépnốitừmáychủđầukia. Máy
chủSOCKSsẽxácđịnhquyềntruynhậpvàthiếtlậpkênhtruyềnth ôngtin
giữahaimáy.SOCKSGatewaydùngđểchốnglạicáctruynhậpvào mạng
thôngquacổngnày.
NETACL - Công cụ điều khiển truy nhập mạng:
Cácdịchvụ thôngthườngtrênmạngkhôngcungcấpkhảnăngkiểm soát
truycậptớichúngdo vậychúnglàcácđiểmyếuđểtấncông.Kểcả trênhệ
thốngfirewallcácdịchvụthôngthườngđãđượclợcbỏkhánhiềuđ ểđảm
bảoantoànhệ thốngnhưngmộtsốdichvụvẫncầnthiếtđểduytrìh ệthống
nhưtelnet,rlogin...
Netacllàmộtcôngcụđể điềukhiểntruynhậpmạng,dựatrênđịach ỉ
networkcủamáy client,vàdịchvụđợcyêucầu.Nóbaotrùmnêncá cdịch
vụcơbảncungcấpthêmkhảnăngkiểmsoátchodịchvụđó.Vì vậy một
client(xácđịnhbởiđịachỉIPhoặchostname)cóthểtruynhậptớite lnet
serverkhinónốivớicổngdịch vụtelnettrênfirewall.
PhanTrungHiếu - Trang43- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Thườngthườngtrongcáccấuhìnhfirewall,NETACLđượcsửdụn gđểcấm
tấtcảcácmáytrừmộtvàihostđượcquyềnlogintớifirewallquah oặclà
telnethoặclàrlogin,vàđể khoácáctruynhậptừnhữngkẻtấncôn g.
ĐộantoàncủaNetacldựatrênđịachỉIPvà/hoặchostname.Vớicá chệ
thốngcầnđộan toàncao,nêndụngđịachỉIPđểtránhsựgiảmạo DNS.
NetaclkhôngchốnglạiđượcsựgiảđịachỉIPquachuyểnnguồn(s ource
routing)hoặcnhữngphươngtiệnkhác.Nếucócácloạitấncôngnh ưvậy,
cầnphảisửdụngmộtroutercó khảnăngsoinhữngpacketđãđược chuyển
nguồn(screeningsourceroutedpackages).
ChúýlànetaclkhôngcungcấpđiềukhiểntruynhậpUDP,bởivìc ôngnghệ
hiệnnaykhôngđảmbảosựxácthựccủaUDP.Antoànchocácdịc hvụ
UDPởđâyđồngnghĩavớisựkhôngchophéptấtcảcácdịchvụU DP.
1.9.5.6 Authentication:
BộFirewallchứachươngtrìnhserverxácthựcđượcthiếtkếđểhỗ trợcơchế
phânquyền.Authsrvchứamộtcơsởdữ liệuvềngườidùngtrong mạng,mỗi
bảnghitươngứngvớimộtngờidùng,chứacơchếxácthực chom ỗianhta,
trongđóbaogồmtênnhóm,tênđầyđủcủangờidùng,lầntruycập mới
nhất.Mậtkhẩukhôngmãhoá(Plaintextpassword)đượcsửdụng chongười
dùngtrongmạngđểviệcquảntrịđượcđơngiản.Mậtkhẩukhông mãhoá
Ngườidùngtrongcơsởdữliệucủacóthểđượcchia thànhcácnhó mkhác
nhauđượcquảntrịbởiquảntrịnhóm làngườicótoànquyềntrong nhómcả
việcthêm,bớtngờidùng.Điềunàythuậnlợikhinhiềutổchứccùn gdùng
chungmột Firewall.
Authsrvquảnlýnhómrấtmềmdẻo,quảntrịcóthểnhómngườidù ngthành
nhómdùng"groupwiz",ngườicóquyềnquảntrịnhóm cóthểxoá, thêm,tạo
PhanTrungHiếu - Trang44- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
1.9.5.7 IP Filter – Bộ lọc mức IP:
IPFilterlàbộlọccácgóitinTCP/IP,đượcxemnhưthànhphầnkhôn gthể
thiếukhithiếtlậpFirewalltrongsuốtđốivớingờisửdụng.Phầnmề mnày
sẽđợccàiđặttronglõicủahệthống(như UNIXkernel),đượcchạyn gầm
khihệ thốnghoặtđộng,đểđónnhậnvàphântíchtấtcảcácgóiIP(IP Package).
Bộ lọc IP filter có thể thực hiện các việc sau:
- Chođiquahoặccấmbấtkỳmột góitin nào. - Nhậnbiếtđượccácdịchvụkhácnhau - LọctheođịachỉIPhoặchosts
- ChophéplọcchọnlựagiaothứcIPbấtkỳ - ChophéplọcchọnlựatheocácmảnhIP - ChophéplọcchọnlựatheocáctuỳchọnIP
- GửitrảlạicáckhốiICMP/TCPlỗivà đặtlạisốhiệupacket
- LưugiữcácthôngtintrạngtháiđốivớicácdòngTCP,UDPand ICMP
- LưugiữcácthôngtintrạngtháiđốivớicácmảnhIPpacketbất kỳ
- Cóchức năngnhưNetworkAddressTranslator(NAT)
PhanTrungHiếu -Trang45- TrầnLê
Quân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
- -
Làmcơsởthiếtlậpcáckếtnốitrongsuốt đốivớingườisửdụng Cungcấpcácheaderchocácchươngtrìnhcủangườisửdụngđể xá c
nhận.
- Ngoàirahỗtrợkhônggiantạmchocácquytắcxácnhậnđốivới cácgói
tinđiqua.
ĐặcbiệtđốivớicácgiaothứccơbảncủaInternet,TCP,UDPvà ICMP,
thìIPfilterchophéplọctheo: • Invertedhost/netmatching
• Sốhiệucổngcủacácgóitin TCP/UDP • KiểuhoặcmãcủacácgóitinICMP • Thiếtlậpcácgóitin TCP
• TổhợptuỳýcáccờtrạngtháiTCP • Lọc/loạibỏnhữnggóiIPchakếtthúc • Lọctheokiểudịchvụ
• Chophépghinhậtkýcácbảntinbaogồm: - HeadercủacácgóitinTCP/UDP/ICMPandIP -Mộtphầnhoặctấtcảdữliệucủagóitin
1.10 Lờikết:
Hiệntại, Firewalllàphươngphápbảovệmạng phổbiếnnhất,95%cộn gđồng
hackerphảithừanhậnlàdườngnhưkhôngthểvượtquaFirewall.Songtrênth ựctế,
Firewallđã từngbịphá.Nếu mạngcủabạncókếtnốiInternetvàchứadữ liệu quan
trọngcầnđượcbảovệ,bêncạnhFirewall,bạnnêntăngcườngcácbiệnphápb ảovệ
khácnhưlàbảomậtởmứcphysical,thườngxuyênbackupdữliệu,chọnlọcn hân
viên…
PhanTrungHiếu -Trang46- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Chương 2: KHÁI NIỆM PROXY
2.1 Proxylàgì:
• Theo www.learnthat.com:proxylàmộtthiếtbịchophépkết nốivào
internet,nóđứnggiữacácworkstationtrongmộtmạngvàinter net,cho
phépbảomậtkếtnối,chỉchophépmộtsốcổngvàprotocolnào đó,vd:
tcp,http,telnettrêncáccổng80,23….Khimộtclientyêucầu một trang
nàođó,yêucầunàysẽđượcchuyểnđếnproxyserver,proxy se rver sẽ
chuyểntiếpyêucầunàyđếnsiteđó.Khi yêucầuđượcđáptrả, proxy sẽ
trảkếtquảnàylạichoclienttươngứng.Proxy servercóthểđư ợcdùng
đểghinhậnviệcsửdụnginternetvàngănchặnnhữngtrangbịc ấm
• Theo www.nyu.edu:proxyserverlàmộtserverđứnggiữamột ứngdụng
củaclient,nhưwebbrowser,và mộtserverởxa(remoteserver) .Proxy
serverxemxétcácrequest xemnócóthểxửlýbằngcachecủa nókhông,
nếukhôngthể,nósẽchuyểnyêucầunàyđếnremoteserver. • Theo www.webopedia.com:proxy serverlàmộtserverđứng giữamột
ứngdụngclient,nhưweb browser,vàmộtserverthực.Nóchặn tấtcảcác
yêucầuđếncácserverthựcđểxem xemnócókhảnăngđáứng được
không,nếukhôngthể,nósẽchuyểncácyêucầunàyđếncácse rver thực.
• Theo www.stayinvisible.com:proxy serverlàmộtloạibuffer giữamáy
tính củabạnvàcáctàinguyêntrênmạng internetmàbạnđangt ruycập,
dữliệubạnyêucầusẽđếnproxytrước,sauđómớiđượcchuyể nđếnmáy
PhanTrungHiếu -Trang47- Trần LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Hình14Môhìnhproxy
2.2 Tạisaoproxylạirađời:
• Tăngtốckếtnối: cácproxy cómộtcơchếgọilàcache,cơchế cachecho
phépproxylưutrữlạinhữngtrangđượctruycậpnhiều nhất,đi ềunày
làmchoviệctruycậpcủabạnsẽnhanhhơn,vìbạnđượcđápứn gyêu
cầumột cáchnộibộmàkhôngphảilấythôngtintrựctiếptừint ernet.
• Bảomật:mọitruycậpđềuphảithôngquaproxynênviệcbảo mậtđược
thựchiệntriệtđể.
• Filtering:ngăncảncáctruy cậpkhôngđượcchophépnhưcác trangđồi
trụy,cáctrangphảnđộng…
2.3 Tổng kết chungvềproxy:
• Theocácđịnhnghĩacũngnhưnhữnggiátrịmàproxymạnglại nhưđề
cậpở trên,tacóthểthấyproxyquảthậtrấtcó lợi
• Tuynhiên,lợidụngvềýtưởngproxy,một sốservertrênmạng