Tìm hiểu về Tường Lửa-Fire Wall

Hiện nay, khái niệm mạng toàn cầu-Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập các bài viết ngắn, dài về internet...

---

1 M•c l•c 1. An toàn thông tin trên m ng _____________ Error! Bookmark not defined. 1.1 T i sao c n có Internet Firewall ___________ Error! Bookmark not defined. 1.2 B n mu n b o v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D li u c a b n ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên c a b n _________________ Error! Bookmark not defined. 1.2.3 Danh ti ng c a b n _________________ Error! Bookmark not defined. 1.3 B n mu n b o v ch ng l i cái gì? _________ Error! Bookmark not defined. 1.3.1 Các ki u t n công __________________ Error! Bookmark not defined. 1.3.2 Phân lo i k t n công _______________ Error! Bookmark not defined. 1.4 V y Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngh a________________________ Error! Bookmark not defined. 1.4.2 Ch c n ng ________________________ Error! Bookmark not defined. 1.4.3 C u trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành ph n c a Firewall và c ch ho t ng Error! Bookmark not defined. 1.4.5 Nh ng h n ch c a firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các d ch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW ________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th i n t ). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuy n file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie _________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 2 3. H th ng Firewall xây d ng b i CSE_Error! Bookmark not defined. 3.1 T ng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành ph n c a b ch ng trình proxy: _ Error! Bookmark not defined. 3.2.1 Smap: D ch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c i u khi n truy nh p m ng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net ______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server ___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thi t l p c u hình: ______________________ Error! Bookmark not defined. 3.4.1 C u hình m ng ban u______________ Error! Bookmark not defined. 3.4.2 C u hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thi t l p t p h p quy t c_____________ Error! Bookmark not defined. 3.4.4 Xác th c và d ch v xác th c _________ Error! Bookmark not defined. 3.4.5 S d ng màn hình i u khi n CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các v n c n quan tâm v i ng i s d ng ____ Error! Bookmark not defined. 3 1. An toàn thông tin trên m ng 1.1 T i sao c n có Internet Firewall Hi n nay, khái ni m m ng toàn c u - Internet không còn m i m . Nó ã tr nên ph bi n t i m c không c n ph i chú gi i gì thêm trong nh ng t p chí k thu t, còn trên nh ng t p chí khác thì tràn ng p nh ng bài vi t dài, ng n v Internet. Khi nh ng t p chí thông th ng chú tr ng vào Internet thì gi ây, nh ng t p chí k thu t l i t p trung vào khía c nh khác: an toàn thông tin. ó cùng là m t quá trình ti n tri n h p logic: khi nh ng vui thích ban u v m t siêu xa l thông tin, b n nh t nh nh n th y r!ng không ch" cho phép b n truy nh p vào nhi u n i trên th gi i, Internet còn cho phép nhi u ng i không m i mà t ý ghé th m máy tính c a b n. Th c v y, Internet có nh ng k thu t tuy t v i cho phép m i ng i truy nh p, khai thác, chia s thông tin. Nh ng nó c#ng là nguy c chính d$n n thông tin c a b n b h h%ng ho&c phá hu' hoàn toàn. Theo s( li u c a CERT(Computer Emegency Response Team - “ i c p c u máy tính”), s( l ng các v t n công trên Internet c thông báo cho t ch c này là ít h n 200 vào n m 1989, kho ng 400 vào n m 1991, 1400 vào n m 1993, và 2241 vào n m 1994. Nh ng v t n công này nh!m vào t t c các máy tính có m&t trên Internet, các máy tính c a t t c các công ty l n nh AT&T, IBM, các tr ng i h c, các c quan nhà n c, các t ch c quân s , nhà b ng... M t s( v t n công có quy mô kh ng l) (có t i 100.000 máy tính b t n công). H n n a, nh ng con s( này ch" là ph n n i c a t ng b ng. M t ph n r t l n các v t n công 4 không c thông báo, vì nhi u lý do, trong ó có th k n n*i lo b m t uy tín, ho&c n gi n nh ng ng i qu n tr h th(ng không h hay bi t nh ng cu c t n công nh!m vào h th(ng c a h . Không ch" s( l ng các cu c t n công t ng lên nhanh chóng, mà các ph ng pháp t n công c#ng liên t c c hoàn thi n. i u ó m t ph n do các nhân viên qu n tr h th(ng c k t n(i v i Internet ngày càng cao c nh giác. C#ng theo CERT, nh ng cu c t n công th i k+ 1988- 1989 ch y u oán tên ng i s d ng-m t kh,u (UserID- password) ho&c s d ng m t s( l*i c a các ch ng trình và h i u hành (security hole) làm vô hi u h th(ng b o v , tuy nhiên các cu c t n công vào th i gian g n ây bao g)m c các thao tác nh gi m o a ch" IP, theo dõi thông tin truy n qua m ng, chi m các phiên làm vi c t- xa (telnet ho&c rlogin). 5 1.2 B n mu n b o v cái gì? Nhi m v c b n c a Firewall là b o v . N u b n mu(n xây d ng firewall, vi c u tiên b n c n xem xét chính là b n c n b o v cái gì. 1.2.1 D li u c a b n Nh ng thông tin l u tr trên h th(ng máy tính c n c b o v do các yêu c u sau: B o m t: Nh ng thông tin có giá tr v kinh t , quân s , chính sách vv... c n c gi kín. Tính toàn v.n: Thông tin không b m t mát ho&c s a i, ánh tráo. Tính k p th i: Yêu c u truy nh p thông tin vào úng th i i m c n thi t. Trong các yêu c u này, thông th ng yêu c u v b o m t c coi là yêu c u s( 1 (i v i thông tin l u tr trên m ng. Tuy nhiên, ngay c khi nh ng thông tin này không c gi bí m t, thì nh ng yêu c u v tính toàn v.n c#ng r t quan tr ng. Không m t cá nhân, m t t ch c nào lãng phí tài nguyên v t ch t và th i gian l u tr nh ng thông tin mà không bi t v tính úng n c a nh ng thông tin ó. 1.2.2 Tài nguyên c a b n Trên th c t , trong các cu c t n công trên Internet, k t n công, sau khi ã làm ch c h th(ng bên trong, có th s d ng các máy này ph c v cho m c ích c a mình nh ch y các ch ng trình dò m t kh,u ng i s d ng, s d ng các liên k t m ng s/n có ti p t c t n công các h th(ng khác vv... 6 1.2.3 Danh ti ng c a b n Nh trên ã nêu, m t ph n l n các cu c t n công không c thông báo r ng rãi, và m t trong nh ng nguyên nhân là n*i lo b m t uy tín c a c quan, &c bi t là các công ty l n và các c quan quan tr ng trong b máy nhà n c. Trong tr ng h p ng i qu n tr h th(ng ch" c bi t n sau khi chính h th(ng c a mình c dùng làm bàn p t n công các h th(ng khác, thì t n th t v uy tín là r t l n và có th l i h u qu lâu dài. 7 1.3 B n mu n b o v ch ng l i cái gì? Còn nh ng gì b n c n ph i lo l ng. B n s0 ph i ng u v i nh ng ki u t n công nào trên Internet và nh ng k nào s0 th c hi n chúng? 1.3.1 Các ki u t n công Có r t nhi u ki u t n công vào h th(ng, và có nhi u cách phân lo i nh ng ki u t n công này. ây, chúng ta chia thành 3 ki u chính nh sau: 1.3.1.1 T n công tr c ti p Nh ng cu c t n công tr c ti p thông th ng c s d ng trong giai o n u chi m c quy n truy nh p bên trong. M t ph ng pháp t n công c i n là dò c&p tên ng i s d ng-m t kh,u. ây là ph ng pháp n gi n, d1 th c hi n và không òi h%i m t i u ki n &c bi t nào b t u. K t n công có th s d ng nh ng thông tin nh tên ng i dùng, ngày sinh, a ch", s( nhà vv.. oán m t kh,u. Trong tr ng h p có c danh sách ng i s d ng và nh ng thông tin v môi tr ng làm vi c, có m t tr ng trình t ng hoá v vi c dò tìm m t kh,u này. m t tr ng trình có th d1 dàng l y c t- Internet gi i các m t kh,u ã mã hoá c a các h th(ng unix có tên là crack, có kh n ng th các t h p các t- trong m t t- i n l n, theo nh ng quy t c do ng i dùng t nh ngh a. Trong m t s( tr ng h p, kh n ng thành công c a ph ng pháp này có th lên t i 30%. Ph ng pháp s d ng các l*i c a ch ng trình ng d ng và b n thân h i u hành ã c s d ng t- nh ng v t n công u tiên và v$n c ti p t c chi m quy n truy 8 nh p. Trong m t s( tr ng h p ph ng pháp này cho phép k t n công có c quy n c a ng i qu n tr h th(ng (root hay administrator). Hai ví d th ng xuyên c a ra minh ho cho ph ng pháp này là ví d v i ch ng trình sendmail và ch ng trình rlogin c a h i u hành UNIX. Sendmail là m t ch ng trình ph c t p, v i mã ngu)n bao g)m hàng ngàn dòng l nh c a ngôn ng C. Sendmail c ch y v i quy n u tiên c a ng i qu n tr h th(ng, do ch ng trình ph i có quy n ghi vào h p th c a nh ng ng i s d ng máy. Và Sendmail tr c ti p nh n các yêu c u v th tín trên m ng bên ngoài. ây chính là nh ng y u t( làm cho sendmail tr thành m t ngu)n cung c p nh ng l* h ng v b o m t truy nh p h th(ng. Rlogin cho phép ng i s d ng t- m t máy trên m ng truy nh p t- xa vào m t máy khác s d ng tài nguyên c a máy này. Trong quá trình nh n tên và m t kh,u c a ng is d ng, rlogin không ki m tra dài c a dòng nh p, do ó k t n công có th a vào m t xâu ã c tính toán tr c ghi è lên mã ch ng trình c a rlogin, qua ó chi m c quy n truy nh p. 1.3.1.2 Nghe tr m Vi c nghe tr m thông tin trên m ng có th a l i nh ng thông tin có ích nh tên-m t kh,u c a ng i s d ng, các thông tin m t chuy n qua m ng. Vi c nghe tr m th ng c ti n hành ngay sau khi k t n công ã chi m c quy n truy nh p h th(ng, thông qua các ch ng trình cho phép a v" giao ti p m ng (Network Interface Card-NIC) vào ch nh n toàn b các thông tin l u truy n trên m ng. 9 Nh ng thông tin này c#ng có th d1 dàng l y c trên Internet. 1.3.1.3 Gi m o a ch Vi c gi m o a ch" IP có th c th c hi n thông qua vi c s d ng kh n ng d$n ng tr c ti p (source- routing). V i cách t n công này, k t n công g i các gói tin IP t i m ng bên trong v i m t a ch" IP gi m o (thông th ng là a ch" c a m t m ng ho&c m t máy c coi là an toàn (i v i m ng bên trong), )ng th i ch" rõ ng d$n mà các gói tin IP ph i g i i. 1.3.1.4 Vô hi u hoá các ch c n ng c a h th ng (denial of service) ây là k u t n công nh!m tê li t h th(ng, không cho nó th c hi n ch c n ng mà nó thi t k . Ki u t n công này không th ng n ch&n c, do nh ng ph ng ti n ct ch c t n công c#ng chính là các ph ng ti n làm vi c và truy nh p thông tin trên m ng. Ví d s d ng l nh ping v i t(c cao nh t có th , bu c m t h th(ng tiêu hao toàn b t(c tính toán và kh n ng c a m ng tr l i các l nh này, không còn các tài nguyên th c hi n nh ng công vi c có ích khác. 1.3.1.5 L i c a ng i qu n tr h th ng ây không ph i là m t ki u t n công c a nh ng k t nh p, tuy nhiên l*i c a ng i qu n tr h th(ng th ng t o ra nh ng l* h ng cho phép k t n công s d ng truy nh p vào m ng n i b . 10 1.3.1.6 T n công vào y u t con ng i K t n công có th liên l c v i m t ng i qu n tr h th(ng, gi làm m t ng i s d ng yêu c u thay i m t kh,u, thay i quy n truy nh p c a mình (i v i h th(ng, ho&c th m chí thay i m t s( c u hình c a h th(ng th c hi n các ph ng pháp t n công khác. V i ki u t n công này không m t thi t b nào có th ng n ch&n m t cách h u hi u, và ch" có m t cách giáo d c ng i s d ng m ng n i b v nh ng yêu c u b o m t cao c nh giác v i nh ng hi n t ng áng nghi. Nói chung y u t( con ng i là m t i m y u trong b t k+ m t h th(ng b o v nào, và ch" có s giáo d c c ng v i tinh th n h p tác t- phía ng i s d ng có th nâng cao c an toàn c a h th(ng b o v . 1.3.2 Phân lo i k t n công Có r t nhi u k t n công trên m ng toàn c u – Internet và chúng ta c#ng không th phân lo i chúng m t cách chính xác, b t c m t b n phân lo i ki u này c#ng ch" nên c xem nh là m t s gi i thi u h n là m t cách nhìn r p khuôn. 1.3.2.1 Ng i qua ng Ng i qua ng là nh ng k bu)n chán v i nh ng công vi c th ng ngày, h mu(n tìm nh ng trò gi i trí m i. H t nh p vào máy tính c a b n vì h ngh b n có th có nh ng d li u hay, ho&c b i vì h c m th y thích thú khi s d ng máy tính c a ng i khác, ho&c ch" n gi n là h không tìm c m t vi c gì hay h n làm. H có th là ng i tò mò nh ng không ch nh làm h i b n. Tuy nhiên, h th ng gây h h%ng h th(ng khi t nh p hay khi xoá b% d u v t c a h . 11 1.3.2.2 K phá ho i K phá ho i ch nh phá ho i h th(ng c a b n, h có th không thích b n, h c#ng có th không bi t b n nh ng h tìm th y ni m vui khi i phá ho i. Thông th ng, trên Internet k phá ho i khá hi m. M i ng i không thích h . Nhi u ng i còn thích tìm và ch&n ng nh ng k phá ho i. Tuy ít nh ng k phá ho i th ng gây h%ng tr m tr ng cho h th(ng c a b n nh xoá toàn b d li u, phá h%ng các thi t b trên máy tính c a b n... 1.3.2.3 K ghi i m R t nhi u k qua ng b cu(n hút vào vi c t nh p, phá ho i. H mu(n c kh2ng nh mình thông qua s( l ng và các ki u h th(ng mà h ã t nh p qua. t nh p c vào nh ng n i n i ti ng, nh ng n i phòng b ch&t ch0, nh ng n i thi t k tinh x o có giá tr nhi u i m (i v i h . Tuy nhiên h c#ng s0 t n công t t c nh ng n i h có th , v i m c ích s( l ng c#ng nh m c ích ch t l ng. Nh ng ng i này không quan tâm n nh ng thông tin b n có hay nh ng &c tính khác v tài nguyên c a b n. Tuy nhiên t c m c ích là t nh p, vô tình hay h u ý h s0 làm h h%ng h th(ng c a b n. 1.3.2.4 Gián i p Hi n nay có r t nhi u thông tin quan tr ng c l u tr trên máy tính nh các thông tin v quân s , kinh t ... Gián i p máy tính là m t v n ph c t p và khó phát hi n. Th c t , ph n l n các t ch c không th phòng th ki u t n công này m t cách hi u qu và b n có th ch c r!ng ng liên k t 12 v i Internet không ph i là con ng d1 nh t gián i p thu l m thông tin. 13 1.4 V y Internet Firewall là gì? 1.4.1 nh ngh a Thu t ng Firewall có ngu)n g(c t- m t k thu t thi t k trong xây d ng ng n ch&n, h n ch ho ho n. Trong công ngh m ng thông tin, Firewall là m t k thu t c tích h p vào h th(ng m ng ch(ng s truy c p trái phép nh!m b o v các ngu)n thông tin n i b c#ng nh h n ch s xâm nh p vào h th(ng c a m t s( thông tin khác không mong mu(n. C#ng có th hi u r!ng Firewall là m t c ch b o v m ng tin t ng (trusted network) kh%i các m ng không tin t ng (untrusted network). Internet Firewall là m t thi t b (ph n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia (Intranet) và Internet. Nó th c hi n vai trò b o m t các thông tin Intranet t- th gi i Internet bên ngoài. 1.4.2 Ch c n ng Internet Firewall (t- nay v sau g i t t là firewall) là m t thành ph n &t gi a Intranet và Internet ki m soát t t c các vi c l u thông và truy c p gi a chúng v i nhau bao g)m: • Firewall quy t nh nh ng d ch v nào t- bên trong c phép truy c p t- bên ngoài, nh ng ng i nào t- bên ngoài c phép truy c p n các d ch v bên trong, và c nh ng d ch v nào bên ngoài c phép truy c p b i nh ng ng i bên trong. 14 • firewall làm vi c hi u qu , t t c trao i thông tin t- trong ra ngoài và ng c l i u ph i th c hi n thông qua Firewall. • Ch" có nh ng trao i nào c phép b i ch an ninh c a h th(ng m ng n i b m i c quy n l u thông qua Firewall. S ) ch c n ng h th(ng c a firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) ch c n ng h th(ng c a firewall 1.4.3 C u trúc Firewall bao g)m: • M t ho&c nhi u h th(ng máy ch k t n(i v i các b nh tuy n (router) ho&c có ch c n ng router. • Các ph n m m qu n lý an ninh ch y trên h th(ng máy ch . Thông th ng là các h qu n tr xác th c (Authentication), c p quy n (Authorization) và k toán (Accounting). Chúng ta s0 c p k h n các ho t ng c a nh ng h này ph n sau. 15 1.4.4 Các thành ph n c a Firewall và c ch ho t ng M t Firewall chu,n bao g)m m t hay nhi u các thành ph n sau ây: • B l c packet ( packet-filtering router ) • C ng ng d ng (application-level gateway hay proxy server ) • C ng m ch (circuite level gateway) 1.4.4.1 B l c gói tin (Packet filtering router) 1.4.4.1.1 Nguyên lý: Khi nói n vi c l u thông d li u gi a các m ng v i nhau thông qua Firewall thì i u ó có ngh a r!ng Firewall ho t ng ch&t ch0 v i giao th c liên m ng TCP/IP. Vì giao th c này làm vi c theo thu t toán chia nh% các d li u nh n c t- các ng d ng trên m ng, hay nói chính xác h n là các d ch v ch y trên các giao th c (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói d li u (data packets) r)i gán cho các packet này nh ng a ch" có th nh n d ng, tái l pl i ích c n g i n, do ó các lo i Firewall c#ng liên quan r t nhi u n các packet và nh ng con s( a ch" c a chúng. B l c packet cho phép hay t- ch(i m*i packet mà nó nh n c. Nó ki m tra toàn b o n d li u quy t nh xem o n d li u ó có tho mãn m t trong s( các lu t l c a l c packet hay không. Các lu t l l c packet này là d a trên các thông tin u m*i packet (packet header), dùng cho phép truy n các packet ó trên m ng. ó là: • a ch" IP n i xu t phát ( IP Source address) 16 • a ch" IP n i nh n (IP Destination address) • Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) • C ng TCP/UDP n i xu t phát (TCP/UDP source port) • C ng TCP/UDP n i nh n (TCP/UDP destination port) • D ng thông báo ICMP ( ICMP message type) • giao di n packet n ( incomming interface of packet) • giao di n packet i ( outcomming interface of packet) N u lu t l l c packet c tho mãn thì packet c chuy n qua firewall. N u không packet s0 b b% i. Nh v y mà Firewall có th ng n c n c các k t n(i vào các máy ch ho&c m ng nào ó c xác nh, ho&c khoá vi c truy c p vào h th(ng m ng n i b t- nh ng a ch" không cho phép. H n n a, vi c ki m soát các c ng làm cho Firewall có kh n ng ch" cho phép m t s( lo i k t n(i nh t nh vào các lo i máy ch nào ó, ho&c ch" có nh ng d ch v nào ó (Telnet, SMTP, FTP...) c phép m i ch y c trên h th(ng m ng c c b . 1.4.4.1.2 3u i m a s( các h th(ng firewall u s d ng b l c packet. M t trong nh ng u i m c a ph ng pháp dùng b l c packet là chi phí th p vì c ch l c packet ã c bao g)m trong m*i ph n m m router. Ngoài ra, b l c packet là trong su(t (i v i ng is d ng và các ng d ng, vì v y nó không yêu c u s hu n luy n &c bi t nào c . 1.4.4.1.3 H n ch : 17 Vi c nh ngh a các ch l c packet là m t vi c khá ph c t p, nó òi h%i ng i qu n tr m ng c n có hi u bi t chi ti t v các d ch v Internet, các d ng packet header, và các giá tr c th mà h có th nh n trên m*i tr ng. Khi òi h%i v s l c càng l n, các lu t l v l c càng tr nên dài và ph c t p, r t khó qu n lý và i u khi n. Do làm vi c d a trên header c a các packet, rõ ràng là b l c packet không ki m soát c n i dung thông tin c a packet. Các packet chuy n qua v$n có th mang theo nh ng hành ng v i ý ) n c p thông tin hay phá ho i c a k x u. 1.4.4.2 C ng ng d ng (application-level gateway) 1.4.4.2.1 Nguyên lý ây là m t lo i Firewall c thi t k t ng c ng ch c n ng ki m soát các lo i d ch v , giao th c c cho phép truy c p vào h th(ng m ng. C ch ho t ng c a nó d a trên cách th c g i là Proxy service (d ch v i di n). Proxy service là các b ch ng trình &c bi t cài &t trên gateway cho t-ng ng d ng. N u ng i qu n tr m ng không cài &t ch ng trình proxy cho m t ng d ng nào ó, d ch v t ng ng s0 không c cung c p và do ó không th chuy n thông tin qua firewall. Ngoài ra, proxy code có th c nh c u hình h* tr ch" m t s( &c i m trong ng d ng mà ng òi qu n tr m ng cho là ch p nh n c trong khi t- ch(i nh ng &c i m khác. M t c ng ng d ng th ng c coi nh là m t pháo ài (bastion host), b i vì nó c thi t k &t bi t ch(ng l i s t n công t- bên ngoài. Nh ng bi n pháp m b o an ninh c a m t bastion host là: 18 Bastion host luôn ch y các version an toàn (secure version) c a các ph n m m h th(ng (Operating system). Các version an toàn này c thi t k chuyên cho m c ích ch(ng l i s t n công vào Operating System, c#ng nh là m b o s tích h p firewall. Ch" nh ng d ch v mà ng i qu n tr m ng cho là c n thi t m i c cài &t trên bastion host, n gi n ch" vì n u m t d ch v không c cài &t, nó không th b t n công. Thông th ng, ch" m t s( gi i h n các ng d ng cho các d ch v Telnet, DNS, FTP, SMTP và xác th c user là c cài &t trên bastion host. Bastion host có th yêu c u nhi u m c xác th c khác nhau, ví d nh user password hay smart card. M*i proxy c &t c u hình cho phép truy nh p ch" m t s) các máy ch nh t nh. i u này có ngh a r!ng b l nh và &c i m thi t l p cho m*i proxy ch" úng v i m t s( máy ch trên toàn h th(ng. M*i proxy duy trì m t quy n nh t ký ghi chép l i toàn b chi ti t c a giao thông qua nó, m*i s k t n(i, kho ng th i gian k t n(i. Nh t ký này r t có ích trong vi c tìm theo d u v t hay ng n ch&n k phá ho i. M*i proxy u c l p v i các proxies khác trên bastion host. i u này cho phép d1 dàng quá trình cài &t m t proxy m i, hay tháo g4 môt proxy ang có v n . Ví d : Telnet Proxy Ví d m t ng i (g i là outside client) mu(n s d ng d ch v TELNET k t n(i vào h th(ng m ng qua môt bastion host có Telnet proxy. Quá trình x y ra nh sau: 19 1. Outside client telnets n bastion host. Bastion host ki m tra password, n u h p l thì outside client c phép vào giao di n c a Telnet proxy. Telnet proxy cho phép m t t p nh% nh ng l nh c a Telnet, và quy t nh nh ng máy ch n i b nào outside client c phép truy nh p. 2. Outside client ch" ra máy ch ích và Telnet proxy t o m t k t n(i c a riêng nó t i máy ch bên trong, và chuy n các l nh t i máy ch d i s u' quy n c a outside client. Outside client thì tin r!ng Telnet proxy là máy ch th t bên trong, trong khi máy ch bên trong thì tin r!ng Telnet proxy là client th t. 1.4.4.2.2 3u i m: Cho phép ng i qu n tr m ng hoàn toàn i u khi n c t-ng d ch v trên m ng, b i vì ng d ng proxy h n ch b l nh và quy t nh nh ng máy ch nào có th truy nh p c b i các d ch v . Cho phép ng i qu n tr m ng hoàn toàn i u khi n c nh ng d ch v nào cho phép, b i vì s v ng m&t c a các proxy cho các d ch v t ng ng có ngh a là các d ch v y b khoá. C ng ng d ng cho phép ki m tra xác th c r t t(t, và nó có nh t ký ghi chép l i thông tin v truy nh p h th(ng. Lu t l filltering (l c) cho c ng ng d ng là d1 dàng c u hình và ki m tra h n so v i b l c packet. 1.4.4.2.3 H n ch : 20