Tìm hiểu về tường lửa Firewall

1 2 M•c l•c 1. An toàn thông tin trên m
ng _____________ Error! Bookmark not defined. 1.1 T
i sao cn có Internet Firewall ___________ Error! Bookmark not defined. 1.2 B
n mun bo v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D
liu ca bn ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined. 1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined. 1.3 B
n mun bo v chng l
i cái gì? _________ Error! Bookmark not defined. 1.3.1 Các kiu tn công __________________ Error! Bookmark not defined. 1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngha________________________ Error! Bookmark not defined. 1.4.2 Chc n ng ________________________ Error! Bookmark not defined. 1.4.3 Cu trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nh
ng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các dch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuyn file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie_________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 3 3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined. 3.1 T ng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành phn ca b chng trình proxy:_ Error! Bookmark not defined. 3.2.1 Smap: D ch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined. 3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined. 3.4.4 Xác thc và d ch v xác thc _________ Error! Bookmark not defined. 3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các vn  cn quan tâm vi ngi s dng ____ Error! Bookmark not defined. 4 1. An toàn thông tin trên m
ng 1.1 T
i sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nh
ng tp chí k thut, còn trên nh
ng tp chí khác thì tràn ngp nh
ng bài vit dài, ngn v Internet. Khi nh
ng tp chí thông thng chú tr ng vào Internet thì gi ây, nh
ng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nh
ng vui thích ban u v mt siêu xa l thông tin, bn nht  nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé th m máy tính ca bn. Thc vy, Internet có nh
ng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nh
ng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “ i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào n m 1989, khong 400 vào n m 1991, 1400 vào n m 1993, và 2241 vào n m 1994. Nh
ng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà b ng... Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn n
a, nh
ng con s( này ch" là phn ni ca tng b ng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nh
ng ngi qun tr h th(ng không h hay bit nh
ng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công t ng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nh
ng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo  a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 B
n mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca b
n Nh
ng thông tin lu tr
trên h th(ng máy tính cn c bo v do các yêu cu sau:
Bo mt: Nh
ng thông tin có giá tr v kinh t, quân s, chính sách vv... cn c gi
kín.
Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.
Tính k p thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr
trên mng. Tuy nhiên, ngay c khi nh
ng thông tin này không c gi
bí mt, thì nh
ng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr
nh
ng thông tin mà không bit v tính úng n ca nh
ng thông tin ó. 1.2.2 Tài nguyên ca b
n Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv... 7 1.2.3 Danh ting ca b
n Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nh
ng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 B
n mun bo v chng l
i cái gì? Còn nh
ng gì bn cn phi lo lng. Bn s0 phi ng u vi nh
ng kiu tn công nào trên Internet và nh
ng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nh
ng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc ti p Nh
ng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nh
ng thông tin nh tên ngi dùng, ngày sinh,  a ch", s( nhà vv..  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nh
ng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh n ng th các t hp các t- trong mt t- in ln, theo nh
ng quy tc do ngi dùng t  nh ngha. Trong mt s( trng hp, kh n ng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nh
ng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng
C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nh
ng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nh
ng yu t( làm cho sendmail tr thành mt ngu)n cung cp nh
ng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe tr m Vic nghe trm thông tin trên mng có th a li nh
ng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nh
ng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi m
o a ch Vic gi mo  a ch" IP có th c thc hin thông qua vic s dng kh n ng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt  a ch" IP gi mo (thông thng là  a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc n ng mà nó thit k. Kiu tn công này không th ng n ch&n c, do nh
ng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh n ng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nh
ng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nh
ng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nh
ng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào y u t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng  yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng  thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ng n ch&n mt cách h
u hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nh
ng yêu cu bo mt   cao cnh giác vi nh
ng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c  an toàn ca h th(ng bo v. 1.3.2 Phân lo
i k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ng
i qua 
ng là nh
ng k bu)n chán vi nh
ng công vic thng ngày, h mu(n tìm nh
ng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nh
ng d
liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn  làm. H có th là ngi tò mò nhng không ch  nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá ho
i K phá hoi ch  nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n ng nh
ng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d
liu, phá h%ng các thit b trên máy tính ca bn... 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng  nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nh
ng ni ni ting, nh
ng ni phòng b ch&t ch0, nh
ng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nh
ng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nh
ng ngi này không quan tâm n nh
ng thông tin bn có hay nh
ng &c tính khác v tài nguyên ca bn. Tuy nhiên  t c mc ích là t nhp, vô tình hay h
u ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thông tin quan tr ng c lu tr
trên máy tính nh các thông tin v quân s, kinh t... Gián ip máy tính là mt vn  phc tp và khó phát hin. Thc t, phn ln các t chc không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht  gián ip thu lm thông tin. 14 1.4 Vy Internet Firewall là gì? 1.4.1  nh ngha Thut ng
Firewall có ngu)n g(c t- mt k thut thit k trong xây dng  ng n ch&n, hn ch ho hon. Trong công ngh mng thông tin, Firewall là mt k thut c tích hp vào h th(ng mng  ch(ng s truy cp trái phép nh!m bo v các ngu)n thông tin ni b c#ng nh hn ch s xâm nhp vào h th(ng ca mt s( thông tin khác không mong mu(n. C#ng có th hiu r!ng Firewall là mt c ch  bo v mng tin tng (trusted network) kh%i các mng không tin tng (untrusted network). Internet Firewall là mt thit b (phn cng+phn mm) gi
a mng ca mt t chc, mt công ty, hay mt qu(c gia (Intranet) và Internet. Nó thc hin vai trò bo mt các thông tin Intranet t- th gii Internet bên ngoài. 1.4.2 Chc nng Internet Firewall (t- nay v sau g i tt là firewall) là mt thành phn &t gi
a Intranet và Internet  kim soát tt c các vic lu thông và truy cp gi
a chúng vi nhau bao g)m: • Firewall quyt  nh nh
ng d ch v nào t- bên trong c phép truy cp t- bên ngoài, nh
ng ngi nào t- bên ngoài c phép truy cp n các d ch v bên trong, và c nh
ng d ch v nào bên ngoài c phép truy cp bi nh
ng ngi bên trong. 15 •  firewall làm vic hiu qu, tt c trao i thông tin t- trong ra ngoài và ngc li u phi thc hin thông qua Firewall. • Ch" có nh
ng trao i nào c phép bi ch  an ninh ca h th(ng mng ni b mi c quyn lu thông qua Firewall. S ) chc n ng h th(ng ca firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) chc n ng h th(ng ca firewall 1.4.3 Cu trúc Firewall bao g)m: • Mt ho&c nhiu h th(ng máy ch kt n(i vi các b  nh tuyn (router) ho&c có chc n ng router. • Các phn mm qun lý an ninh chy trên h th(ng máy ch. Thông thng là các h qun tr xác thc (Authentication), cp quyn (Authorization) và k toán (Accounting). Chúng ta s0  cp k hn các hot ng ca nh
ng h này  phn sau. 16 1.4.4 Các thành phn ca Firewall và c ch ho
t ng Mt Firewall chu,n bao g)m mt hay nhiu các thành phn sau ây: • B l c packet ( packet-filtering router ) • Cng ng dng (application-level gateway hay proxy server ) • Cng mch (circuite level gateway) 1.4.4.1 B lc gói tin (Packet filtering router) 1.4.4.1.1 Nguyên lý: Khi nói n vic lu thông d
liu gi
a các mng vi nhau thông qua Firewall thì iu ó có ngha r!ng Firewall hot ng ch&t ch0 vi giao thc liên mng TCP/IP. Vì giao thc này làm vic theo thut toán chia nh% các d
liu nhn c t- các ng dng trên mng, hay nói chính xác hn là các d ch v chy trên các giao thc (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói d
liu (data packets) r)i gán cho các packet này nh
ng  a ch"  có th nhn dng, tái lp li  ích cn gi n, do ó các loi Firewall c#ng liên quan rt nhiu n các packet và nh
ng con s(  a ch" ca chúng. B l c packet cho phép hay t- ch(i m*i packet mà nó nhn c. Nó kim tra toàn b on d
liu  quyt  nh xem on d
liu ó có tho mãn mt trong s( các lut l ca l c packet hay không. Các lut l l c packet này là da trên các thông tin  u m*i packet (packet header), dùng  cho phép truyn các packet ó  trên mng. ó là: • a ch" IP ni xut phát ( IP Source address) 17 • a ch" IP ni nhn (IP Destination address) • Nh
ng th tc truyn tin (TCP, UDP, ICMP, IP tunnel) • Cng TCP/UDP ni xut phát (TCP/UDP source port) • Cng TCP/UDP ni nhn (TCP/UDP destination port) • Dng thông báo ICMP ( ICMP message type) • giao din packet n ( incomming interface of packet) • giao din packet i ( outcomming interface of packet) Nu lut l l c packet c tho mãn thì packet c chuyn qua firewall. Nu không packet s0 b b% i. Nh vy mà Firewall có th ng n cn c các kt n(i vào các máy ch ho&c mng nào ó c xác  nh, ho&c khoá vic truy cp vào h th(ng mng ni b t- nh
ng  a ch" không cho phép. Hn n
a, vic kim soát các cng làm cho Firewall có kh n ng ch" cho phép mt s( loi kt n(i nht  nh vào các loi máy ch nào ó, ho&c ch" có nh
ng d ch v nào ó (Telnet, SMTP, FTP...) c phép mi chy c trên h th(ng mng cc b. 1.4.4.1.2 3u im
a s( các h th(ng firewall u s dng b l c packet. Mt trong nh
ng u im ca phng pháp dùng b l c packet là chi phí thp vì c ch l c packet ã c bao g)m trong m*i phn mm router.
Ngoài ra, b l c packet là trong su(t (i vi ngi s dng và các ng dng, vì vy nó không yêu cu s hun luyn &c bit nào c. 1.4.4.1.3 Hn ch: 18 Vic  nh ngha các ch  l c packet là mt vic khá phc tp, nó òi h%i ngi qun tr mng cn có hiu bit chi tit v các d ch v Internet, các dng packet header, và các giá tr c th mà h có th nhn trên m*i trng. Khi òi h%i v s l c càng ln, các lut l v l c càng tr nên dài và phc tp, rt khó  qun lý và iu khin. Do làm vic da trên header ca các packet, rõ ràng là b l c packet không kim soát c ni dung thông tin ca packet. Các packet chuyn qua v$n có th mang theo nh
ng hành ng vi ý ) n cp thông tin hay phá hoi ca k xu. 1.4.4.2 Cng ng dng (application-level gateway) 1.4.4.2.1 Nguyên lý ây là mt loi Firewall c thit k  t ng cng chc n ng kim soát các loi d ch v, giao thc c cho phép truy cp vào h th(ng mng. C ch hot ng ca nó da trên cách thc g i là Proxy service (d ch v i din). Proxy service là các b chng trình &c bit cài &t trên gateway cho t-ng ng dng. Nu ngi qun tr mng không cài &t chng trình proxy cho mt ng dng nào ó, d ch v tng ng s0 không c cung cp và do ó không th chuyn thông tin qua firewall. Ngoài ra, proxy code có th c  nh cu hình  h* tr ch" mt s( &c im trong ng dng mà ngòi qun tr mng cho là chp nhn c trong khi t- ch(i nh
ng &c im khác. Mt cng ng dng thng c coi nh là mt pháo ài (bastion host), bi vì nó c thit k &t bit  ch(ng li s tn công t- bên ngoài. Nh
ng bin pháp m bo an ninh ca mt bastion host là: 19
Bastion host luôn chy các version an toàn (secure version) ca các phn mm h th(ng (Operating system). Các version an toàn này c thit k chuyên cho mc ích ch(ng li s tn công vào Operating System, c#ng nh là m bo s tích hp firewall.
Ch" nh
ng d ch v mà ngi qun tr mng cho là cn thit mi c cài &t trên bastion host, n gin ch" vì nu mt d ch v không c cài &t, nó không th b tn công. Thông thng, ch" mt s( gii hn các ng dng cho các d ch v Telnet, DNS, FTP, SMTP và xác thc user là c cài &t trên bastion host.
Bastion host có th yêu cu nhiu mc  xác thc khác nhau, ví d nh user password hay smart card.
M*i proxy c &t cu hình  cho phép truy nhp ch" mt s) các máy ch nht  nh. iu này có ngha r!ng b lnh và &c im thit lp cho m*i proxy ch" úng vi mt s( máy ch trên toàn h th(ng.
M*i proxy duy trì mt quyn nht ký ghi chép li toàn b chi tit ca giao thông qua nó, m*i s kt n(i, khong thi gian kt n(i. Nht ký này rt có ích trong vic tìm theo du vt hay ng n ch&n k phá hoi.
M*i proxy u c lp vi các proxies khác trên bastion host. iu này cho phép d1 dàng quá trình cài &t mt proxy mi, hay tháo g4 môt proxy ang có vn . Ví d: Telnet Proxy Ví d mt ngi (g i là outside client) mu(n s dng d ch v TELNET  kt n(i vào h th(ng mng qua môt bastion host có Telnet proxy. Quá trình xy ra nh sau: 20 1. Outside client telnets n bastion host. Bastion host kim tra password, nu hp l thì outside client c phép vào giao din ca Telnet proxy. Telnet proxy cho phép mt tp nh% nh
ng lnh ca Telnet, và quyt  nh nh
ng máy ch ni b nào outside client c phép truy nhp. 2. Outside client ch" ra máy ch ích và Telnet proxy to mt kt n(i ca riêng nó ti máy ch bên trong, và chuyn các lnh ti máy ch di s u' quyn ca outside client. Outside client thì tin r!ng Telnet proxy là máy ch tht  bên trong, trong khi máy ch  bên trong thì tin r!ng Telnet proxy là client tht. 1.4.4.2.2 3u im:
Cho phép ngi qun tr mng hoàn toàn iu khin c t-ng d ch v trên mng, bi vì ng dng proxy hn ch b lnh và quyt  nh nh
ng máy ch nào có th truy nhp c bi các d ch v.
Cho phép ngi qun tr mng hoàn toàn iu khin c nh
ng d ch v nào cho phép, bi vì s vng m&t ca các proxy cho các d ch v tng ng có ngha là các d ch v y b khoá.
Cng ng dng cho phép kim tra  xác thc rt t(t, và nó có nht ký ghi chép li thông tin v truy nhp h th(ng.
Lut l filltering (l c) cho cng ng dng là d1 dàng cu hình và kim tra hn so vi b l c packet. 1.4.4.2.3 Hn ch: 21 Yêu cu các users bin i (modìy) thao tác, ho&c modìy phn mm ã cài &t trên máy client cho truy nhp vào các d ch v proxy. Ví d, Telnet truy nhp qua cng ng dng òi h%i hai bc ê n(i vi máy ch ch không phi là mt bc thôi. Tuy nhiên, c#ng ã có mt s( phn mm client cho phép ng dng trên cng ng dng là trong su(t, b!ng cách cho phép user ch" ra máy ích ch không phi cng ng dng trên lnh Telnet. 1.4.4.3 Cng vòng (circuit-Level Gateway) Cng vòng là mt chc n ng &c bit có th thc hin c bi mt cng ng dng. Cng vòng n gin ch" chuyn tip (relay) các kt n(i TCP mà không thc hin bt k+ mt hành ng x lý hay l c packet nào. Hình 2.2 minh ho mt hành ng s dng n(i telnet qua cng vòng. Cng vòng n gin chuyn tip kt n(i telnet qua firewall mà không thc hin mt s kim tra, l c hay iu khin các th tc Telnet nào.Cng vòng làm vic nh mt si dây,sao chép các byte gi
a kt n(i bên trong (inside connection) và các kt n(i bên ngoài (outside connection). Tuy nhiên, vì s kt n(i này xut hin t- h th(ng firewall, nó che du thông tin v mng ni b. Cng vòng th