Bài giảng Chứng chỉ quản trị mạng Linux - Proxy Server

Download miễn phí Bài giảng Chứng chỉ quản trị mạng Linux - Proxy Server

Squid là một chương trình internet proxy-caching có vai trò tiếp nhận các yêu cầu từcác client và
chuyển cho Internet server thích hợp. Đồng thời, nó sẽlưu lên đĩa những dữliệu được trảvềtừ
Internet server – gọi là caching. Chương trình này dùng đểcấu hình Proxy Server. Vì vậy ưu
điểm của squid là khi một dữliệu mà được yêu cầu nhiều lần thì Proxy Server sẽlấy thông tin từ
cache trảvềcho client. Điều này làm cho tốc độtruy xuất Internet nhanh hơn và tiết kiệm băng
thông. Squid dựa trên những đặc tảcủa giao thức HTTP nên nó chỉlà một HTTP Proxy. Do đó
Squid chỉcó thểlà một proxy cho những chương trình mà chúng dùng giao thức này đểtruy cập
Internet.


http://cloud.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-02-25-bai_giang_chung_chi_quan_tri_mang_linux_proxy_se.6y7B2aQelh.swf /tai-lieu/de-tai-ung-dung-tren-liketly-59541/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí

Tóm tắt nội dung tài liệu:

Hướng dẫn giảng dạy
Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 215/271
BÀI 16
PROXY SERVER
Tóm tắt
Lý thuyết: 5 tiết - Thực hành: 5 tiết.
Mục tiêu Các mục chính Bài tập bắt buộc
Bài tập làm
thêm
Bài học giới thiệu cơ
chế tổ chức và quản trị
dịch vụ Proxy để hỗ
trợ chia sẽ kết nối
Internet và thiết lập
chính sách bảo mật
cho hệ thống mạng nội
bộ.
I. Giới thiệu Firewall
II. Giới thiệu Squid Proxy
II. Cấu hình Squid Proxy
Bài tập 6.1
(Dịch vụ
Proxy)
Hướng dẫn giảng dạy
Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 216/271
I. Firewall
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểm yếu này
làm giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạng LAN thì không có vấn
đề gì, nhưng khi đã kết nối Internet thì phát sinh những vấn đề hết sức quan trọng trong việc
quản lý các tài nguyên quý giá - nguồn thông tin - chống việc truy cập bất hợp pháp trong khi vẫn
cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền, và phương
pháp chống rò rỉ thông tin trên các mạng truyền dữ liệu công cộng (Public Data Communication
Network). Yêu cầu xây dựng hệ thống an ninh ngày càng quan trọng vì những lý do sau:
- Các đối thủ cạnh tranh luôn tìm cách để lấy được mọi thông tin của nhau.
- Các tay hacker tìm cách xâm nhập phá hoại hệ thống mạng nội bộ …
I.1. Giới thiệu về Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế
hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng
để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập
vào hệ thống của một số thông tin khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là
một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các
mạng không tin tưởng mà thông thường là Internet. Về mặt vật lý, firewall bao gồm một hay
nhiều hệ thống máy chủ kết nối với bộ định tuyến (router) hay có chức năng router. Về mặt chức
năng, Firewall có nhiệm vụ:
- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua
firewall.
- Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network) mới được
quyền lưu thông qua firewall.
- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :
Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ thống mạng
nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một
tên người dùng (username) và mật khẩu (password).
Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng như các
nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng.
Quản lý kế toán (Accounting Management): cho phép ghi nhận tất cả các sự kiện xảy ra liên quan
đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời
gian truy cập đối với vùng tài nguyên nào đã được sử dụng hay thay đổi bổ sung …
I.2. Những chính sách Firewall
Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:
- Những dịch vụ nào cần ngăn chặn.
- Những host nào cần phục vụ.
- Mỗi nhóm cần truy xuất những dịch vụ nào.
- Mỗi dịch vụ sẽ được bảo vệ như thế nào.
Hướng dẫn giảng dạy
Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 217/271
I.3. Các loại Firewall và cách hoạt động
I.3.1 Packet filtering (Bộ lọc gói tin)
Loại Firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép
cho chúng lưu thông hay ngăn chặn. Các thông số có thể lọc được của một packet như:
- Địa chỉ IP nơi xuất phát (source IP address).
- Địa chỉ IP nơi nhận (destination IP address).
- Cổng TCP nơi xuất phát (source TCP port).
- Cổng TCP nơi nhận (destination TCP port).
Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc truy cập vào hệ thống
mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng
những dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng.
I.3.2 Application gateway
Đây là loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ dựa trên
những giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên
mô hình Proxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy
Server. Một ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy
Server sẽ nhận yêu cầu này và chuyển đến server trên Internet. Khi server trên Internet trả lời,
Proxy Server sẽ nhận và chuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet
filtering kết hợp với cơ chế “đại diện” của application gateway cung cấp một khả năng an toàn và
uyển chuyển hơn, đặc biệt khi kiểm soát các truy cập từ bên ngoài.
Ví dụ: Một hệ thống mạng có chức năng packet filtering ngăn chặn các kết nối bằng TELNET vào
hệ thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người
muốn kết nối vào hệ thống bằng TELNET phải qua các bước sau:
- Thực hiện telnet vào máy chủ bên trong cần truy cập.
- Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hay từ chối.
- Người truy cập phải vượt qua hệ thống kiểm tra xác thực.
- Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.
- Proxy Service liên kết lưu thông giữa người truy cập và máy chủ trong mạng nội bộ.
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng dụng đang
phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an
toàn sẽ tăng lên.
Thông thường những phần mềm Proxy Server hoạt động như một gateway nối giữa hai mạng,
mạng bên trong và mạng bên ngoài.
Hướng dẫn giảng dạy
Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 218/271
Đường kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet (Internet
Service Provider - ISP) có thể chọn một trong các cách sau:
- Dùng modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập Internet.
Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8 Kbps - 36.6 Kbps. Hiện nay đã có modem
analog tốc độ 56 Kbps nhưng chưa được thử nghiệm nhiều. Phương pháp dùng dial-up qua
modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng dịch vụ Web và e-
mail.
- Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá phổ biến ở
một số nước tiên tiến. Dịch vụ này dùng tín hiệu số trên đường truyền nên không cần modem
analog, cho phép truyền cả tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao ISDN
(đường truyền dẫn thông tin giữa người sử dụng và mạng) có thể đạt tốc độ từ 64 Kbps đến
138,24 Mbps. Dịch vụ ISDN thích hợp cho các công ty vừa và lớn, yêu cầu băn...