3.2.1. Nguyờn lý hoạt động
Đõy là một loại Firewall được thiết kế để tăng cường chức năng kiểm soỏt cỏc loại dịch vụ, giao thức được cho phộp truy cập vào hệ thống mạng. Cơ chế hoạt động của nú dựa trờn cỏch thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là cỏc bộ code đặc biệt cài đặt trờn cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng khụng cài đặt Proxy code cho một ứng dụng nào đú, dịch vụ tương ứng sẽ khụng được cung cấp và do đú khụng thể chuyển thụng tin qua Firewall. Ngoài ra, Proxy code cú thể được định cấu hỡnh để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưũi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khỏc.
Một cổng ứng dụng thường được coi như là một phỏo đài (Bastion Host), bởi vỡ nú được thiết kế đặt biệt để chống lại sự tấn cụng từ bờn ngoài. Những biện phỏp đảm bảo an ninh của một Bastion Host là:
Bastion Host luụn chạy cỏc version an toàn (secure version) của cỏc phần mềm hệ thống (Operating system). Cỏc version an toàn này được thiết kế chuyờn cho mục đớch chống lại sự tấn cụng vào hệ điều hành (Operating System), cũng như là đảm bảo sự tớch hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trờn Bastion Host, đơn giản chỉ vỡ nếu một dịch vụ khụng được cài đặt, nú khụng thể bị tấn cụng. Thụng thường, chỉ một số giới hạn cỏc ứng dụng cho cỏc dịch vụ Telnet, DNS, FTP, SMTP và xỏc thực user là được cài đặt trờn Bastion Host.
Bastion Host cú thể yờu cầu nhiều mức độ xỏc thực khỏc nhau, Vớ Dụ như user password hay smart card.
• Mỗi Proxy được đặt cấu hỡnh để cho phộp truy nhập chỉ một sồ cỏc mỏy chủ nhất định. Điều này cú nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đỳng với một số mỏy chủ trờn toàn hệ thống.
• Mỗi Proxy duy trỡ một quyển nhật ký ghi chộp lại toàn bộ chi tiết của giao thụng qua nú, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất cú ớch trong việc tỡm theo dấu vết hay ngăn chặn kẻ phỏ hoại.
• Mỗi Proxy đều độc lập với cỏc proxies khỏc trờn Bastion Host. Điều này cho phộp dễ dàng quỏ trỡnh cài đặt một Proxy mới, hay thỏo gỡ mụt Proxy đang cú vấn để.
Vớ Dụ một người dựng bờn ngoài (gọi là Outside Client) muốn sử dụng dịch vụ Telnet để kết nối vào hệ thống mạng qua mụt Bastion Host cú Telnet Proxy. Quỏ trỡnh xảy ra như sau:
1. Outside Client Telnets đến Bastion Host. Bastion Host kiểm tra password, nếu hợp lệ thỡ outside Client được phộp vào giao diện của Telnet Proxy. Telnet Proxy cho phộp một tập nhỏ những lệnh của Telnet, và quyết định những mỏy chủ nội bộ nào outside Client được phộp truy nhập.
2. Outside Client chỉ ra mỏy chủ đớch và Telnet Proxy tạo một kết nối của riờng nú tới mỏy chủ bờn trong, và chuyển cỏc lệnh tới mỏy chủ dưới sự uỷ quyền của outside Client. Outside Client thỡ tin rằng Telnet Proxy là mỏy chủ thật ở bờn trong, trong khi mỏy chủ ở bờn trong thỡ tin rằng Telnet Proxy là Client thật.