Đề tài Nghiên cứu và ứng dụng IPCOP Firewall tìm hiểu ứng dụng Voice IP

Tiền thân là công ty DTSCorp có trụ sở chính tại Tp.HCM, thành lập vào năm 2005, hoạt động trong lĩnh vực tư vấn giải pháp CNTT, thiết kế và thi công các hệ thống mạng, an ninh mạng, các ứng dụng CNTT cho các doanh nghiệp. Tháng 5 năm 2006 hợp tác với công ty TNHH VSIC Informatics - công ty 100% vốn nước ngoài - đầu tư và thành lập chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, hoạt động chuyên về lĩnh vực đào tạo CNTT. Tháng 01 năm 2008: Mua lại toàn bộ chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, tăng vốn điều lệ và đổi tên thành TTG Training Center. Từ thời điểm có mặt tại Đà Nẵng năm 2006 VSIC Informatics (nay là TTG Training Center) đã từng bước khẳng định và dần trở thành một trong những Trung tâm đào tạo Công nghệ mạng máy tính hàng đầu tại Đà Nẵng nói riêng và các tỉnh miền Trung nói chung. Để giữ vững vị thế hàng đầu trong đào tạo Công nghệ mạng máy tính, TTG Training Center tiếp tục những nỗ lực để duy trì chất lượng đào tạo ưu việt cùng với những dịch vụ hỗ trợ học viên tốt nhất. TTG Training Center hiện là nhà cung cấp hàng đầu về dịch vụ đào tạo trong lĩnh lực công nghệ thông tin và truyền thông tại Việt Nam:  Giảng viên đẳng cấp Quốc tế, nhiệt tình, tận tâm và kinh nghiệm thực tiễn.  Thiết bị đầy đủ, hiện đại của chính hãng.  Chương trình, giáo trình luôn được cập nhật Version mới nhất.  Thực hành ngoài giờ trên thiết bị và không giới hạn thời gian.  Tham gia miến phí các Hội thảo chuyên đề hàng tuần để bổ sung thêm kiến thức thực tiễn.

doc99 trang | Chia sẻ: tuandn | Lượt xem: 2738 | Lượt tải: 10download
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu và ứng dụng IPCOP Firewall tìm hiểu ứng dụng Voice IP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN Tel. (84-511) 736 949, Fax. (84-511) 842 771 Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn BÁO CÁO THỰC TẬP TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN MÃ NGÀNH : 05115 ĐỀ TÀI : NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL TÌM HIỂU ỨNG DỤNG VOICE IP SINH VIÊN : LÊ BÁ LƯỢNG PHAN THANH HẢI NGUYỄN MINH CHÍ HOÀNG THANH TÙNG NGUYỄN THANH TÙNG LỚP : 06T4 ĐƠN VỊ : TRƯỜNG TÂN GROUP CBHD : HỒ ĐẮC BIÊN ĐÀ NẴNG, 1/2011 LỜI CẢM ƠN Chúng em xin chân thành cảm ơn trung tâm Trường Tân Group đã tạo điều kiện cho chúng em được thực tập tại trung tâm, được hỗ trợ thiết bị máy móc và các cơ sở vật chất trong suốt thời gian thực tập tại trung tâm. Và đặc biệt cảm ơn anh Hồ Đắc Biên đã trực tiếp, tận tình giúp đỡ và hướng dẫn chúng em trong suốt thời gian thực tập tại công ty. Chúng em xin chân thành cảm ơn các anh,chị trong công ty đã nhiệt tình giúp đỡ chúng em hoàn thành đề tài này. Xin các bạn cùng lớp đã ủng hộ, động viên, giúp đỡ và đóng góp ý kiến. Chúng em xin chân thành cảm ơn! Sinh viên Lê Bá Lượng Nguyễn Minh Chí Phan Thanh Hải Hoàng Thanh Tùng Nguyễn Thanh Tùng LỜI CAM ĐOAN Chúng em xin cam đoan : Những nội dung trong báo cáo này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của anh Hồ Đắc Biên Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm. Sinh viên, Lê Bá Lượng Nguyễn Minh Chí Phan Thanh Hải Hoàng Thanh Tùng Nguyễn Thanh Tùng MỤC LỤC MỤC LỤC HÌNH ẢNH Hình 1. Mô hình tường lửa đơn giản 2 Hình 2. Lọc gói tin 5 Hình 3. Cổng mạch 8 Hình 4. Packet- filtering Router 12 Hình 5. Single- Homed Bastion Host 13 Hình 6. Dual- Homed Bastion Host 14 Hình 7. Mô hình Screened-Subnet Firewall 15 Hình 8. Mô hình 1 Proxy đơn giản 16 Hình 9. Giao diện Web 20 Hình 10. Dich vụ web proxy 20 Hình 11. Dịch vụ DHCP 21 Hình 12. Dịch vụ DNS 22 Hình 13. Dịch vụ Time Server 22 Hình 14. Dịch vụ Port Forwarding 23 Hình 15. Thêm một luật mới 24 Hình 16. Dịch vụ VPN 24 Hình 17. Mô hình cài đặt 25 Hình 18. Đặt địa chỉ IP cho card mạng Green 26 Hình 19. Chọn 3 mạng cần dùng green+orange+red 26 Hình 20. Đặt địa chỉ Ip cho card mạng Orange 27 Hình 21. Đặt địa chỉ Ip cho card mạng Red 27 Hình 22. Cài đặt cấu hình chung cho cả 3 card green, orange, red 28 Hình 23. Cài đặt gói urlfilter 28 Hình 24. Cài đặt urlfilter thành công và web proxy được mở 29 Hình 25. Client nối ipcop qua card mạng green qua địa chỉ 29 Hình 26. Vào dịch vụ web proxy enable on green và nhấn nút save 30 Hình 27. Chặn 3 trang web không cho vào internet 30 Hình 28. Các trang web khác vào được mạng 30 Hình 29. Trang đã bị chặn 31 Hình 30. Trang web cũng bị chặn 31 Hình 31. Cài đặt gói blockouttracffic 31 Hình 32. Quá trình cài đặt 32 Hình 33. Chọn dịnh vụ mặc định SMTP(25) 32 Hình 34. Add dịch vụ smtps 33 Hình 35. Add dịch vụ pop3(110) 33 Hình 36. Add dịch vụ pop3s(995) 34 Hình 37. Tạo ra Rule mới 34 Hình 38. Cài đặt mạng Green ra ngoài bằng các dịch vụ như hình vẻ 35 Hình 39. Bật Rule 35 Hình 40. Lưu lại cấu hình new rule 36 Hình 41. Enable blockouttracffic 36 Hình 42. Server mạng orange vẫn vô được internet 37 Hình 43. Client mạng vẫn vô bình thường(client mạng green) 38 Hình 44. Bên phía server(orange) không vào được mạng 38 Hình 45. Bên phía client vẫn vào được mạng bình thường(mạng green) 39 Hình 46. Giao diện sau khi cài hmail 39 Hình 47. Tạo user u1 39 Hình 48. Tạo user u2 40 Hình 49. Outlook express 40 Hình 50. Incoming mail server với tên u1@groupone.vn 41 Hình 51. Incoming mail server với tên u2@groupone.vn 41 Hình 52. u1 gửi mail cho u2 42 Hình 53. U2 nhận được mail của u1 42 Hình 54. Vào tab Port Forwarding 43 Hình 55. Thêm port 25 43 Hình 56. Thêm port 110 43 Hình 57. Gửi mail ra mạng ngoài 44 Hình 58. Client nhận được email. 44 Hình 59. Mạng ngoài nhận và xem email thành công. 44 Hình 60. Giao diện cấu hình advance proxy 45 Hình 61. Cấu hình không hạn giới hạn đối với ip 192.168.3.3 45 Hình 62. Cấu hình chặn ip 192.168.3.10 truy cập internet 46 Hình 63. Cấu hình giới hạn download cho toàn mạng 46 Hình 64. Ip 192.168.3.3 không bị hạn chế 47 Hình 65. Cấu hình địa chỉ IP của xp 47 Hình 66. Địa chỉ ip 192.168.3.10 bị cấm 48 Hình 67. Các địa khác vẫn truy cập internet bình thường. 48 Hình 68. Các mạng không thể download quá 5MB 48 Hình 69. Mô hình chung về Voice Ip 51 Hình 70. Chuyển mạch gói trong voice IP 54 Hình 71. Sự khác nhau giữa PS và CS 55 Hình 72. Lấy mẫu 58 Hình 73. Lượng tử hóa 59 Hình 74. Packetizing voice 61 Hình 75. Cấu trúc của H.323 64 Hình 76. Ví dụ giao thức SIP 65 Hình 77. CD Burner XP 69 Hình 78. Chọn file ISO 70 Hình 79. Ghi file ISO 70 Hình 80. Màn hình cài đặt Trixbox đầu tiên 71 Hình 81. Lựa chọn ngôn ngữ. 72 Hình 82. Chọn múi giờ 72 Hình 83. Nhập mật khẩu root 73 Hình 84. Dấu nhắc console 73 Hình 85. Cài đặt các gói phụ thuộc 74 Hình 86. Đặt địa chỉ IP 74 Hình 87. Cài đặt Mysql server 75 Hình 88. Tải file a2billing 75 Hình 89. Login vào giao diện admin. 75 Hình 90. Tạo User 76 Hình 91. Reload trixbox 76 Hình 92. Kết quả gọi cụ bộ 77 Hình 93. Cài đặt phpmyadmin. 77 Hình 94. Tạo database 78 Hình 95. Chỉnh sửa file a2billing.conf 78 Hình 96. Tạo nội dung cho database a2b 78 Hình 97. Chỉnh sửa asterisk manager. 79 Hình 98. Cấu hình Dialplan. 79 Hình 99. Tạo tác vụ cron 80 Hình 100. Login vào giao diện của a2billing 80 Hình 101. Các tính năng của a2billing 81 MỞ ĐẦU 1. Đôi nét về TTG Training Center TTG Training Center: Tiền thân là công ty DTSCorp có trụ sở chính tại Tp.HCM, thành lập vào năm 2005, hoạt động trong lĩnh vực tư vấn giải pháp CNTT, thiết kế và thi công các hệ thống mạng, an ninh mạng,  các ứng dụng CNTT cho các doanh nghiệp. Tháng 5 năm 2006 hợp tác với công ty TNHH VSIC Informatics - công ty 100% vốn nước ngoài - đầu tư và thành lập chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, hoạt động chuyên về lĩnh vực đào tạo CNTT. Tháng 01 năm 2008: Mua lại toàn bộ chi nhánh công ty TNHH VSIC Informatics tại Đà Nẵng, tăng vốn điều lệ và đổi tên thành TTG Training Center. Từ thời điểm có mặt tại Đà Nẵng năm 2006 VSIC Informatics (nay là TTG Training Center) đã từng bước khẳng định và dần trở thành một trong những Trung tâm đào tạo Công nghệ mạng máy tính hàng đầu tại Đà Nẵng nói riêng và các tỉnh miền Trung nói chung. Để giữ vững vị thế hàng đầu trong đào tạo Công nghệ mạng máy tính, TTG Training Center tiếp tục những nỗ lực để duy trì chất lượng đào tạo ưu việt cùng với những dịch vụ hỗ trợ học viên tốt nhất. TTG Training Center hiện là nhà cung cấp hàng đầu về dịch vụ đào tạo trong lĩnh lực công nghệ thông tin và truyền thông tại Việt Nam: Giảng viên đẳng cấp Quốc tế, nhiệt tình, tận tâm và kinh nghiệm thực tiễn. Thiết bị đầy đủ, hiện đại của chính hãng. Chương trình, giáo trình luôn được cập nhật Version mới nhất. Thực hành ngoài giờ trên thiết bị và không giới hạn thời gian. Tham gia miến phí các Hội thảo chuyên đề hàng tuần để bổ sung thêm kiến thức thực tiễn. Trụ sở TRUONG TAN Group Training Center Cơ sở 1: 134 Lê Duẩn, Quận Hải Châu, Thành phố Đà Nẵng Cơ sở 2: 75 Nguyễn Khuyến, Quận Thanh Khê, Thành phố Đà Nẵng Điện thoại: (0511) 3867768 - Fax: (0511) 3867767 - Email: info@ttgtc.com. 2. Yêu cầu đề tài Ngày nay, với nhu cầu trao đổi thông tin thông qua mạng Internet mang lại một tốc độ và lợi ích vô cùng to lớn nó còn tiềm ẩn lớn mối nguy hại cho an toàn thông tin nội bộ và vấn đề quản lí truy cập. Chính vì vậy ta cần có phương pháp để giải quyết vấn đề này và tường lửa là một giải pháp tối ưu cho vấn đề này. Để hệ hoạt động an toàn ipcop firewall là một lựa chọn tối ưu vì ipcop firewall là một phần mềm miễn phí và yêu cầu cài đặt đơn giản. Ngoài ra việc ứng dụng Internet vào thực tiễn cùng là một vấn đề đang rất phổ biến hiện nay, và một trong những ứng dụng đó là Voice ip nó giúp cho chúng ta gọi điện thoại với giá thành rẻ hơn bình thường rất nhiều. Công việc cần thực hiện: Xây dựng mô hình mô hình sử dụng ipcop firewall. Cấu hình ipcop firewall trong hệ thống mô hình đó. Xây dựng Demo thành công và sử dụng các tính năng nổi bật của Ipcop firewall . Giả lập hệ thống gọi điện thoại sử dụng Voice ip. Cấu hình tổng đài PBx 3. Công việc được giao Định kì đến công ty thực tập theo lịch sắp xếp của công ty và giảng viên hướng dẫn. Tham gia các hoạt động của công ty, tham gia xây dựng forum của công ty tại địa chỉ: Sử dụng hệ thống thiết bị của công ty để mô phỏng và thực hiện đề tài. Tuân thủ các yêu cầu và nội quy công ty đưa ra. Báo cáo tiền độ định kỳ với giáo viên hướng dẫn đề tài. Phân công công việc STT Sinh viên Lớp Công việc 1 Lê Bá Lượng 06T4 Lý thuyết Ipcop, demo url-filter, tổng hợp báo cáo. 2 Nguyễn Thanh Tùng 06T4 Lý thuyết Firewall,demo mailserver 3 Nguyễn Minh Chí 06T4 Lý thuyết Ipcop, demo advance proxy 4 Hoàng Thanh Tùng 06T4 Lý thuyết voip, Lý thuyết Firewall 5 Phan Thanh Hải 06T4 Lý thuyết voip, demo blockoutraffic, demo trixbox PHẦN 1: NGHIÊN CỨU VÀ ỨNG DỤNG IPCOP FIREWALL CHƯƠNG MỞ ĐẦU TỔNG QUAN ĐỀ TÀI Đề tài Tên đề tài Nghiên cứu ứng dụng Ipcop Firewall Mục đích và ý nghĩa Tìm hiểu chung về tường lửa (firewall) và các chức năng của nó Các mục đích của firewall Tìm hiểu các khối mô hình của firewall Giới thiệu về Ipcop firewall và các tính năng của nó. Các Addon thêm vào Xây dựng được mô hình demo về ipcop firewall Cài đặt và cấu hình các tính năng nổi bật của Ipcop firewall. CHƯƠNG 1 GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA Khái niệm và chức năng của firewall Khái niệm Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet. Mô hình tường lửa đơn giản Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Firewall cứng : Là những firewall được tích hợp trên Router hoặc trên các thiết bị chuyên dụng. Hoạt tính cao hơn so firewall mềm. Tốc độ xử lý nhanh hơn. Bảo mật cao hơn. Chi phí đắt hơn so firewall mềm. Firewall mềm : Là những Firewall được cài đặt trên Server. Hoạt tính không cao bằng firewall cứng. Tốc độ xử lý chậm, phụ thuộc hệ điều hành. Tiện lợi, có thể cài đặt dễ dàng trên các máy server. Đa dạng , chi phí thấp hơn so firewall cứng. Chức năng firewall Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet (mạng bên trong) và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet và mạng Internet. Cụ thể là : Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói. Cấu trúc, thành phần và cơ chế hoạt động firewall Cấu trúc Firewall bao gồm : - Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. - Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). Thành phần và cơ chế hoạt động Thành phần Firewall chuẩn gồm một hay nhiều các thành phần sau đây : Bộ lọc packet (packet- filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuite level gateway) Cơ chế hoạt động Bộ lọc packet Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Lọc gói tin Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm: • Địa chỉ IP nơi xuất phát (Source) • Địa chỉ IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến • Giao diện packet đi Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ. Ưu điểm Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu lượng mạng. Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Cổng ứng dụng Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code (mã uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là : - Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. - Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. - Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. - Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. - Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. - Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn để. Ưu điểm: - Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. - Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. - Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. - Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế: Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng mạch Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Hình 3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch. Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet . Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ. Cổng mạch Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Phân loại, kỹ thuật và hạn chế của firewall Các loại firewall Có ba loại tường lửa cơ bản tùy theo: Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng. Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng. Tường lửa có theo dõi trạng thái của truyền thông hay không. Phân