Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux



tải về 0.55 Mb.
trang8/18
Chuyển đổi dữ liệu19.08.2016
Kích0.55 Mb.
#23118
1   ...   4   5   6   7   8   9   10   11   ...   18

2.2 Proxy

2.2.1 Khái niệm


Các host có đường kết nối trực tiếp với mạng bên ngoài để thực hiện cung cấp một số dịch vụ cho các host khác trong mạng cần bảo vệ được gọi là các Proxy. Các Proxy thực sự như hoạt động như các gateway đối với các dịch vụ. Do vậy nó còn được gọi là các Application – level gateways

Tính trong suốt đối với người dùng là lợi ích của Proxy. Proxy sẽ thu thập các yêu cầu dịch vụ của các host client và kiểm tra các yêu cầu này nếu thoả mãn thì nó đưa đến các server thích hợp sau đó nhận các trả lời và trả lại cho client.




Hình 2-3 : Proxy Server

Proxy chạy trên Dual-home host hoặc Bastion host. Tất cả các host trong mạng nội bộ muốn truy cập vào Internet đều phải qua Proxy, do đó ta có thể thực hiện một số chính sách an ninh cho mạng như ghi log file, đặt quyền truy nhập…


2.2.2 Ưu nhược điểm của Proxy


a. Ưu điểm

- Dễ định nghĩa các luật an toàn

- Thực hiện xác thực người sử dụng

- Có thể che dấu được kiến trúc bên trong của mạng cần bảo vệ

- Tính trong suốt với người sử dụng

- Dễ dàng ghi lại các log file



b. Nhược điểm

- Yêu cầu người quản trị hệ thống cao hơn Packet Filtering

- Không sử dụng được cho các dịch vụ mới

- Mỗi dịch vụ cần một một Proxy riêng

- Proxy không thực hiện được đối với một số dịch vụ

2.2.3 Các hoạt động của Proxy


Thông thường các dịch vụ, Proxy yêu cầu phần mềm Proxy tương ứng với phía Server, còn đối với phía client, nó đòi hỏi những điều sau :

- Phần mềm khách hàng ( Custom client software ) : Theo cách tiếp cận này thì khi có yêu cầu từ khách hàng thì phần mềm này sẽ kết nối với Proxy chứ không kết nối trực tiếp với Server và chỉ cho Proxy biết địa chỉ của Server cần kết nối.

- Thủ tục người sử dụng ( Custom user procedures ) : tức là người sử dụng dùng phần mềm client tiêu chuẩn để kết nối với Proxy server và yêu cầu nó kết nối đến server thực sự.

2.2.4 Phân loại Proxy


Có rất nhiều tiêu chí để phân loại các Proxy, có thể chia Proxy ra các loại sau :

  • Application-level & Circuit –level Proxy

Là một dạng Proxy mà nó biết được các ứng dụng cụ thể mà nó phục vụ. Application – Level Proxy hiểu và thông dịch các lệnh ở giao thức tầng ứng dụng. Ví dụ như ứng dụng Sendmail. Circuit –level Proxy là một Proxy có thể tạo ra đường kết nối giữa client và server mà không thông dịch các lệnh của giao thức ở tầng ứng dụng. Một dạng Circuit- level Proxy phổ biến là hybrid proxy gateway. Nó có vai trò như như một proxy với mạng phía ngoài nhưng lại như một packet filtering đối với mạng phía trong.

Nhìn chung thì Application – level Proxy sử dụng thủ tục người sử dụng còn Circuit-level Proxy sử dụng phần mềm client. Application – level Proxy có thể nhận các thông tin từ bên ngoài thông qua các giao thức tầng ứng dụng còn Circuit –level Proxy không thể thông dịch các được các giao thức tầng ứng dụng và cần phải cung cấp thêm thông tin để có thể cho dữ liệu đi qua. Ưu điểm của nó là cung cấp dịch vụ cho nhiều giao thức khác nhau. Hầu hết các Circuit-level Proxy đều ở dạng Proxy tổng quát, tức là có thể phù hợp với hầu hết các giao thức. Nhưng nhược điểm của nó là cung cấp ít các đii\ều khiển trên Proxy và dễ dàng bị đánh lừa bằng cách gán các dịch vụ phổ biến vào các cổng khác các cổng mà chúng thường sử dụng.



Mặc dù hai khái niệm Application –level Proxy và Circuit-level Proxy thường được sử dụng nhưng chúng ta vẫn thường phân biệt giữa “Dedicated Proxy Server:”và “Generic Proxy Server” hay Proxy chuyên dụng và Proxy tổng quát. Một Dedicate Proxy Server chỉ phục vụ cho một giao thức , còn Generic Proxy Server lại phục vụ cho nhiều giao thức. Ta thấy ngay Application –level Proxy là một dạng Dedicate Proxy Server còn Circuit-level Proxy là một dạng Genneric Proxy Server.

  • Proxy thông minh

Một Proxy server có thể làm nhiều việc hơn là chỉ đơn giản chuyển tiếp các yêu cầu từ client – Proxy đó được gọi là Proxy server thông minh. Ví dụ như CERN HTTP Proxy hay Squid Proxy có khả năng cache dữ liệu do đó khi có nhiều request cho cùng một dữ liệu thì không phải ra bên ngoài nữa mà có trả kết quả đã được cache ngay cho ngươpì sử dụng. Vì vậy có thể tiết kiệm được thời gian à chi phí đường truyền. Các proxy này cung cấp các khả năng ghi nhật ký và điều khiển truy nhập tốt hơn là thực hiện bằng các biện pháp khác.

2.2.5 Sử dụng Proxy với các dịch vụ Internet


Do Proxy can thiệp vào nhiều quá trình truyền thông giữa ckient và server,do đó nó phải thích ứng được với nhều dịch vụ. Một vài dịch vụ hoạt động một cách đơn giản, nhưng khi có thêm Proxy thì nó hoạt động phức tạp hơn rất nhiều. Dịch vụ lý tưởng để sử dụng Proxy là tạo kết nối TCP chỉ theo một hướng, có bộ lệnh an toàn. Do vậy thực hiện Proxy cho giao thức TCP hoàn toàn đơn giản hơn so với giao thức UDP, riêng với giao thức ở tầng dưới như ICMP thì hầu như không thực hiện được Proxy.

2.3 Network Address Translation


Hình 2-4: Chuyển đổi địa chỉ mạng

Ban đầu NAT được đưa ra để tiết kiệm các địa chỉ IP. Bởi địa chỉ IP có 32 bít cấp cho các đơn vị sẽ trở lên cạn kiệt nhanh chóng Nhưng NAT đã đem lại một số tác dụng bất ngờ so với mục đích ban đầu khi thiết kế nó.

Với NAT tất cả các máy tính thuộc mạng trong có một địa chỉ IP thuộc một dải các địa chỉ IP riêng ví dụ 10.0.0.0/8 mà các dịa chỉ này không sử dụng trên mạng Internet. Khi một máy thuộc mạng trong muốn kết nối ra Internet thì NAT computer sẽ thay thế địa chỉ IP riêng ( ví dụ 10.65.1.7) bằng địa chỉ IP được nhà ISPs cung cấp chẳng hạn.( ví dụ 23.1.8.3 )và khi đó gói tin sẽ được gửi đi với địa chỉ IP là 23.1.8.3 và khi nhận tin thì nó thay đổi đại chỉ IP đích để chúng ta thu được : 10.65.1.7 Ta có mô hình của Network Address Translation như hình trên.

Sở dĩ NAT tiết kiệm tài nguyên địa chỉ IP vì địa chỉ cho các host trong mạng nội bộ của các tổ chức có thể hoàn giống nhau.

Trong trường hợp có nhiều hơn một máy tính trong mạng nội bộ cần kết nối ra ngoài Internet đồng thời thì máy tính NAT phải có nhiều địa chỉ IP công cộng, với mỗi địa chỉ này cho một máy tính trong mạng nội bộ. Với các dịch vụ NAT ngày nay thì máy tính NAT chỉ cần một địa chỉ IP công cộng bởi vì ngoài việc biến đổi địa chỉ IP thì nó còn thay đổi số hiệu cổng và mỗi máy trong mạng cục bộ sẽ được thay đôi với một số hiệu cổng khác nhau. Vì có khoảng 65355 số hiệu cổng khác nhau nên một máy tính NAT có thể quản lý một mạng cục bộ vói hàng ngàn máy tính. Kỹ thuật thay đổi số hiệu cổng được gọi là Chuyển đổi dịa chỉ cổng mạng – Network Address Port Translation ( NAPT ).

Qua đây ta cũng thấy tính bảo mật của NAT đó là : Nó có khả năng dấu đi địa chỉ IP của các máy tính thuộc mạng cần bảo vệ. Đây cũng chính là một ưu điểm mà firewall đã tận dụng, khi đó thế giới bên ngoài chỉ có thể thấy giao diện mạng với địa chỉ IP công cộng.


tải về 0.55 Mb.

Chia sẻ với bạn bè của bạn:
1   ...   4   5   6   7   8   9   10   11   ...   18



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu