3. 1. FIREWALL.
Firewall : là một kỹ thuật được tích hợp vào hệ thống mạng
để chống lại việc truy cập trái phép, bảo vệ các nguồn tài
nguyên cũng như hạn chế sự xâm nhập vào hệ thống. Cụ
thể firewall sẽ bảo vệ mạng nội bộ (LAN) với mạng
Internet.
Firewall có các chức năng sau :
Tất cả các trao đổi từ trong ra ngoài và ngược lại đều phải
thông qua Firewall.
Chỉ có những trao đổi được phép bởi hệ thống mạng nội
bộ mới được quyền thông qua Firewall.
Quản lý chứng thực.
Quản lý cấp quyền.
Quản lý kế toán.
4. FIREWALL (tt).
Những chính sách Firewall :
• Những dịch vụ nào cần ngăn chặn?
• Những người nào bạn cần phục vụ?
• Mỗi nhóm cần truy cập những dịch vụ nào?
• Mỗi dịch vụ sẽ được bảo vệ như thế nào?
5. 2. CÁC LOẠI FIREWALL.
Packet filtering (Bộ lọc packet)
• Địa chỉ IP nơi xuất phát.
• Địa chỉ IP nơi nhận.
• Cổng TCP nơi xuất phát.
• Cổng TCP nơi nhận.
Application gateway : Cơ chế hoạt động dựa trên
mô hình Proxy Service. Đòi hỏi trong mô hình này
cần phải tồn tại một hay nhiều máy tính đóng vai
trò Proxy Server.
6. 3. SQUID LÀ GÌ?
Squid là một chương trình Internet Proxy –
Caching có vai trò tiếp nhận các yêu cầu từ Client
và chuyển cho Internet Server thích hợp. Đồng
thời nó sẽ lưu lại trên đĩa những dữ liệu được trả
về từ Internet Server – gọi là caching.
Squid hỗ trợ những giao thức sau :
•
•
•
•
•
HTTP
FTP
GOPHER
Wire Area Information
Secure Socket Layer (SSL).
7. 4. CÀI ĐẶT SQUID.
Cài đặt squid từ packet :
squid-version.i386.rpm
Các tập tin và thư mục mặc định của squid :
• /etc/squid/squid.conf : tập tin cấu hình chính.
• /var/log/squid
: lưu các tập tin log.
• /usr/sbin
: lưu những thư viện của squid.
8. 5. CẤU HÌNH SQUID.
Tập tin cấu hình chính : /etc/squid/squid.conf
Thay đổi một số tùy chọn cơ bản để squid hoạt động.
• http_port <cổng> : cấu hình cổng HTTP mà squid sẽ lắng
nghe những yêu cầu được gởi đến. Mặc định là port 3128.
• icp_port <cổng> : cấu hình cổng để gởi và nhận ICP queries.
• cache_dir : cấu hình thư mục lưu trữ dữ liệu được cache, thư
mục này có kích thước mặc định là 100MB.
cache_dir ufs /usr/local/squid/cache 100 16 256
Level 1: 16 , Level 2: 256
• cache_access_log : chỉ ra nơi lưu tập tin log.
• dead_peer_timeout 10 seconds : thời gian lắng nghe kết nối.
• cache_effective_user, cache_effective_group : người dùng và
nhóm có thể thay đổi squid.
9. CẤU HÌNH SQUID (tt).
cache_peer : truy vấn đến proxy khác và chia sẻ cache với
nhau.
cache_peer host/IP type http_port icp_port
Type= parent : truy vấn đến proxy khác (proxy cha).
sibling : chia sẻ cache giữa các proxy (ngang hàng).
Ví Dụ :
cache_peer 192.168.11.1 parent 8080 8082
cache_peer 192.168.11.10 sibling 8080 8082
cache_peer 192.168.11.15 sibling 8080 8082
10. CẤU HÌNH SQUID (tt).
acl : định nghĩa Access Control List.
a) acl aclname acltype string1 hoaëc “file”
aclname: tên của acl
acltype = src IP address/netmask
srcdomain domain
dst IP address/netmask
dstdomain domain
b) acl aclname time [day of week] [h1:m1-h2:m2]
c) acl aclname port 80 70 21 . . .
d) acl aclname proto HTTP FTP . . .
e) acl aclname method GET POST . . .
11. CẤU HÌNH SQUID (tt).
Sử dụng access list vào các tag điều khiển truy cập :
http_access allow/deny aclname
Ví Dụ: Cho phép mạng 172.29.10.0/255.255.255.0 dùng proxy server.
acl mynetwork src 172.29.10.0/255.255.255.0
http_access allow mynetwork
http_access deny all
Ví Dụ: Cấm truy cập đến site yahoo.com
acl baddomain dstdomain .yahoo.com
http_access deny baddomain
Ví Dụ: Có thể lưu vào 1 tập tin dạng văn bản.
acl baddomain dstdomain “/etc/squid/file_cấm”
http_access deny baddomain
Nếu có nhiều acl thì ứng với mỗi acl phải có một http_access.
12. CẤU HÌNH SQUID (tt).
Ví dụ mẫu : Cấu hình các tham số chính
visible_hostname svr10
http_port 8080
icp_port 8082
cache_peer 192.168.10.210 parent 8080 8082
dead_peer_timeout 10 seconds
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
13. 6. KHỞI ĐỘNG SQUID.
Trước khi khởi động squid proxy, ta phải tạo thư mục cache
bằng lệnh : #squid -z
Chuyển quyền sở hữu trên thư mục squid cho user và nhóm
squid :
#chown squid:squid /var/spool/squid
Đặt quyền cơ bản cho user và nhóm có toàn quyền trên thư
mục :
#chmod 770 /var/spool/squid
Khởi động squid:
#/etc/init.d/squid restart