Giáo trình Quản trị mạng 1 - Chuyên ngành: Kỹ thuật lắp ráp, sửa chữa máy tính

ộ ng băng thông. Hơn nữa nó cho biế t ch ất lượng dịch vụ (QoS) đượ c 
cấ p phát ưu tiên cho các kế t nối mạng như thế nào. Thườ ng thì bất kỳ kế t nối 
nào không có qui tắ c về băng thông kèm theo s ẽ nhận được quyền ư u tiên ng 
ầm định và bất kỳ kết nối nào có qui tắc băng thông đi kèm sẽ được sắp xếp với 
quyền ưu tiên hơn quyền ưu tiên ngầm định. 
Các qui tắc về chính sách quả ng bá : Ta có thể s ử dụng proxy server để thiết 
lập chính sách quảng bá, bao gồm các qui t ắc quảng bá server và qui tắc quảng 
bá web. Các qui tắ c quả ng bá server và web lọc tất cả các yêu cầu đến từ các 
yêu cầu củ a client ngoài mạng (internet) tới các server trong mạng. Các qui tắc 
quảng bá server và web sẽ đưa các yêu cầu đến cho các server thích hợp phía sau 
proxy server. 
Đặc tính lọc gói: Đặc tính lọc gói của proxy server cho phép điề u khiển luồng 
các gói IP đ ến và đi từ proxy server. Khi lọc gói ho ạt độ ng thì mọi gói trên 
giao diệ n bên ngoài đều bị rớt lại, trừ khi chúng đ ược hoàn toàn cho phép hoặ c 
là một cách cố định bằng các bộ lọc gói IP, hoặc là một cách độ ng bằng các 
chính sách truy cập hay quảng bá. Thậm chí nếu bạn không để lọc gói hoạt động 
thì truy ền thông giữa mạng Internet và mạng cục bộ được cho phép khi nào bạn 
thi ết lậ p rõ ràng các qui tắc cho phép truy c ập. Trong hầu hết các trườ ng hợp, 
việc mở các cổng động thường được sử dụng hơn. Do đó, ngườ i ta thường 
khuyế n nghị rằng bạ n nên thiết lập các qui tắc truy c ập cho phép client trong 
mạng truy nhập vào Internet hoặ c các qui tắc quảng bá cho phép client bên 
ngoài truy nhập vào các server bên trong. Đó là do các bộ 
lọc gói IP mở một cách cố định những chính sách truy nhập và qui tắc quảng 
bá lại mở các cổng kiểu động. Giả sử bạn muốn cấp quyền cho mọi người 
dùng trong mạng truy cập tới các site HTTP. Bạn không nên thiết lập một bộ 
lọc gói IP để mở cổng 80. Nên thiết lập qui tắc về site, nội dung và giao thức 
cần thiết để cho phép việc truy nhập này. Trong một vài trường hợp ta sẽ 
phải sử dụng các lọc gói IP, ví dụ nên thiết lập các lọc gói IP nếu ta muốn 
quảng bá các Server ra bên ngoài. 
Qui tắc định tuyến và cấu hình chu ỗi proxy (chaining): thường là qui t ắc 
được áp dụng sau cùng để định tuyến các yêu cầu của client tới một server đã 
được chỉ định để phục vụ các yêu cầu đó. 
2.2.2. Xử lý các yêu cầu đi 
Một trong các chức năng chính của proxy server là khả năng kết nối mạng 
dùng riêng ra Internet trong khi bảo vệ mạng khỏi những nội dung có ác 
ý. Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo ra 
một chính sách truy cập cho phép các client truy cập tới các server trên Internet 
cụ thể, chính sách truy cập cùng với các qui tắc định tuyến quyết định các client 
truy cập Internet như thế nào. 
Khi proxy server xử lý m ột yêu cầu đi, proxy server kiể m tra các qui tắc 
định tuyến các qui tắc về nội dung và các qui tắc giao thức đ ể xem xét việc truy 
cập có được phép hay không. Yêu cầu chỉ đượ c cho phép nếu cả quy t ắc giao 
thức, qui tắc nội dung và site cho phép và nếu không một qui t ắc nào từ chối 
yêu cầu. Một vài qui t ắc có thể được thiết l ập để áp dụng cho các client cụ thể . 
Trong trường hợp này, các client có thể được chỉ định hoặc là bằng địa chỉ IP 
hoặc bằng user name. 
Proxy server xử lý các yêu cầu theo cách khác nhau phụ thuộc vào kiểu yêu 
cầu c ủa client và việc thi ết lậ p proxy server.Với mộ t yêu cầu, các qui tắc được 
xử lý theo thứ tự như sau: qui tắc giao thức, qui tắc nội dung, các lọc gói IP, qui 
tắc định tuyến hoặc cấu hình chuỗi proxy. 
Trước tiên, proxy server kiểm tra các qui tắc giao thức, proxy server chấp 
nhậ n yêu cầu chỉ khi một qui tắc giao th ức chấp nhận m ột cách cụ thể yêu cầu 
và không m ột qui tắc giao thức nào từ chối yêu cầu đó. Sau đó, proxy server ki 
ểm tra các qui tắc về nội dung. Proxy server chỉ chấp nhận yêu cầu nếu một qui 
tắc về nội dung chấp nhận yêu cầu và không có một qui tắc về nội dung nào t ừ 
chối nó. Tiếp đế n proxy server ki ểm tra xem liệu có m ột bộ lọc gói IP nào đượ 
c thiết l ập để loại bỏ yêu cầu không để quyết định xem liệu yêu cầu có bị từ 
chối. Cuố i cùng, proxy server ki ểm tra qui tắc định tuyến để quyết định xem 
yêu cầu được phục vụ như thế nào. 
Giả sử cài đặt một proxy server trên một máy tính với hai giao ti ếp kết nối, mộ t 
kết nố i vớ i Internet và một k ết nối vào mạng dùng riêng. Ta sẽ cho các chỉ dẫn 
để cho phép tất cả client truy c ập vào tất c ả các site. Trong trường hợp này, 
chính sách truy nhập chỉ là các qui tắc như sau: một qui tắc về giao 
thức cho phép tất cả các client sử dụng mọi giao thức tại tất cả các thời điểm 
.Một qui tắc về nội dung cho phép tấ t cả mọi người truy cập t ới mọi nội dung 
trên tất cả các site ở tất cả các thời điểm nào. Lưu ý rằ ng qui tắc này cho phép 
các client truy cập Internet nhưng không cho các client bên ngoài truy cập vào 
mạng của bạn. 
2.2.3. Xử lý các yêu cầu đến 
Proxy server có được thiết lập các Server bên trong có thể truy 
thể để 
cập an toàn đến từ các client ngoài. Ta có thể sử dụng proxy server để thiết 
lập một chính sách quảng bá an toàn cho các Server trong mạng. Chính sách 
quảng bá (bao gồm các bộ lọc gói IP, các qui tắc quảng bá Web, hoặc qui tắc 
quảng bá Server, cùng với các qui tắc định tuyến) sẽ quyết định các Server 
được quảng bá như thế nào. Khi proxy server xử lý một yêu cầu xuất phát từ 
một client bên ngoài, nó sẽ kiểm tra các bộ lọc gói IP, các qui tắc quảng bá và 
các qui tắc định tuyến để quyết định xem liệu yêu cầu có được thực hiện hay 
không và Server trong nào sẽ thực hiện các yêu cầu đó. 
Giả sử rằng đã cài đặt proxy server với hai giao tiế p kết nối, mộ t kết nối 
tới Internet và mộ t k ết nối vào mạng dùng riêng. Nếu lọc gói hoạt động và sau 
đó, bộ lọ c gói IP từ chối yêu c ầu thì yêu c ầu sẽ bị từ chối. Nếu các qui tắc 
quảng bá web từ chối yêu cầu thì yêu cầu cũng b ị loại bỏ. Nếu một qui tắc định 
tuyến được thiế t lập yêu cầu được định tuyến tới m ột Server upstream hoặc mộ 
t site chủ kế phiên thì Server đ ược xác định đó sẽ xử lý yêu cầu. Nếu một qui 
tắc định tuyến chỉ ra rằng các yêu cầu được định tuyến tới một Server cụ thể thì 
web Server trong sẽ trả về đối tượng. 
2.3. Proxy client và các phương thức nhận thực 
Chính sách truy nhập và các qui tắc quảng bá của Proxy server có thể được 
thiết lập để cho phép hoặc t ừ chối mộ t nhóm máy tính hay m ột nhóm các ngườ 
i dùng truy nhập tới một server nào đó. Nếu qui tắ c được áp dụng riêng với các 
người dùng, Proxy server sẽ ki ểm tra các đặc tính yêu cầu để quyết định ngườ i 
dùng được nhận thực như th ế nào. Ta có thể thiết lập các thông số cho các yêu 
cầu thông tin đi và đến để người dùng phả i được proxy server nhận thực tr ước 
khi xử lý các qui t ắc. Việc này đảm bả o rằ ng các yêu cầu chỉ được phép nế u 
người dùng đưa ra các yêu cầu đã được xác thực. Bạn cũng có thể thiết lập các 
phương pháp nhận thực được dụng và có thể 
sử 
thiết lập các phương pháp nhận thực cho các yêu cầu đi và yêu cầu đến khác 
nhau. 
Về cơ bản một Proxy server thường hỗ trợ các phương pháp nhận thực 
sau đây: phương thức nhận thực cơ bản., nhận thực Digest, nhận thực tích 
hợp Microsoft windows, chứng thực client và chứng thực server. Đảm bảo 
rằng các chương trình proxy client phải hỗ trợ một trong các phương pháp 
nhận thực mà proxy server đã đưa ra. Trình duyệt IE 5 trở lên hỗ trợ hầu hết 
các phương pháp nhận thực, một vài trình duyệt khác có thể chỉ hỗ trợ 
phương pháp nhận thực cơ bản. Đảm bảo rằng các trình duyệt client có thể 
hỗ trợ ít nhất một trong số các phương pháp nhận thực mà Proxy server hỗ 
trợ. 
2.3.1. Phương pháp nhận thực cơ bản 
Phương pháp nhận th ực này gửi và nhận các thông tin v ề người dùng là 
các ký tự text d ễ dàng đọc được. Thông thường thì các thông tin về user name 
và password sẽ đượ c mã hoá thì trong phương pháp này không có sự mã hoá 
nào được sử dụng. Tiến trình nhận thực được mô tả như sau, proxy client nhắc 
người dùng đưa vào username và password sau đó thông tin này được client gửi 
cho proxy server. Cu ối cùng username và password được kiểm tra như là một 
tài khoản trên proxy server. 
2.3.2. Phương pháp nhận thực Digest 
Phương pháp này có tính chất tương tự như phương pháp nhận thực cơ bản 
nhưng khác ở việc chuyển các thông tin nhận thực. Các thông tin nhận thực qua 
một tiến trình xử lý một chiều thường được biết với cái tên là "hashing". Kết 
quả của tiến trình này gọ i là hash hay message digest và không thể giải mã 
chúng. Thông tin gốc không thể phục hồi từ hash. Các thông tin 
được bổ sung vào password trước khi hash nên không ai có thể bắt được 
password và dụng chúng để giả danh người dùng thực. Các giá trị được sử 
thêm vào để giúp nhận dạng người dùng. Một tem thời gian cũng được thêm vào 
để ngăn cản người dùng sử dụng một password sau khi nó đã bị huỷ. Đây là một 
ư u điểm rõ ràng so với phương pháp nhận thực cơ bản bởi vì người dùng bất 
hợp pháp không thể chặn bắt được password. 
2.3.3. Phương pháp nhận thực tích hợp 
Phương pháp này được sử dụng tích h ợp trong các sả n phẩm c ủa 
Microsoft. Đây cũng là phương pháp chuẩn củ a việc nhận thực b ởi vì username 
và password không được gửi qua mạng. Phương pháp này sử dụng hoặc giao 
thức nhậ n thực V5 Kerberos hoặc giao thức nhận thực challenge/response của 
nó. 
2.3.4. Chứng thực client và chứng thực server 
Ta có thể sử dụng các đặc tính c ủa SSL để nhận thực. Chứ ng thực được sử 
dụng theo hai cách khi một client yêu cầu một đối tượng từ server: server nhậ n 
thực chính nó bằng cách g ửi đi một chứng thực server cho client. Server yêu cầu 
client nhận thực chính nó (Trong trường hợp này client ph ải đư a ra mộ t chứng th 
ực client phù hợ p tới server). SSL nhận thực bằng cách kiểm tra nội dung của một 
ch ứng thực s ố được mã hoá do proxy client đệ trình lên trong quá trình đăng nhậ p 
(Các người dùng có thể có được các chứng thực số từ một tổ chức ngoài có độ tin 
tưởng cao). Các chứ ng thực v ề server bao gồm các thông tin nhận biết về server. 
Các chứng thự c về client thường gồm các thông tin nhận biết về người dùng và tổ 
chức đưa ra chứng thực đó. 
Chứng thực client: Nếu chứng thực client được lựa chọn là phương thức xác 
thực thì proxy server yêu cầu client gửi chứng thực đến trướ khi yêu cầu 
c 
một đối tượng. Proxy server nhận yêu cầu và gửi m ột chứng th ực cho client. 
Client nhận chứng thực này và kiểm tra xem có th ực là thuộc v ề proxy server . 
Client gửi yêu c ầu của nó cho proxy server, tuy nhiên proxy server yêu c ầu một 
chứng thực từ client mà đã được đưa ra trước đó. Proxy server kiểm tra xem 
chứng thực có thực sự thuộcc về client được phép truy cập không. 
Chứng thực server: Khi m ột client yêu cầu mộ t đối tượng SSL từ m ột server, 
client yêu cầu server phải nh ận thự c chính nó. Nếu proxy server kết thúc một 
kết nối SSL thì sau đó proxy server sẽ phải nhận thực chính nó cho client. Ta 
phải thiết l ập và chỉ định các chứng thực về phía server để sử dụng khi nhận 
thực server cho client 
2.3.5. Nhận thực passthough 
Nhận thự c passthough chỉ đế n khả năng của proxy server chuyển thông tin nhậ 
n thực củ a client cho server đích. Proxy server hỗ trợ nhậ n thực cho cả các yêu 
cầu đi và đến. Hình vẽ sau mô tả trường hợp nhận thực passthough. 
Client gửi yêu cầu lấy m ột đ ối tượng trên một web server cho proxy server. 
Proxy server chuyể n yêu cầu này cho web server, bắt đầu từ đây việc nhận thực 
qua các bước sau: 
1. Webserver nhận được yêu cầu lấy đối tượng và đáp lại rằng client cần 
phải nhận thực. Web server cũng chỉ ra các kiểu nhận thực được hỗ trợ. 
2. Proxy server chuyển yêu cầu nhận thực cho client 
3. Client tiếp nhận yêu cầu và trả các thông tin nhận thực cho proxy server 
4. Proxy server chuyển lại thông tin đó cho web server 
5. Từ lúc này client liên lạc trực tiếp với web server 
6. SSL Tunneling. Với đường hầm SSL, một client có thể thiết lập một đường 
hầm qua proxy server trực tiếp tới server yeu cầu với các đối tượng yêu cầu là 
HTTPS. Bất cứ khi nào client yêu cầu một đối tượng HTTPS qua proxy server 
nó sử dụng đường hầm SSL. Đường hầm SSL làm việc bởi sự ngầm định các 
yêu cầu đi tới các cổng 443 và 563. 
Tiến trình tạo đường hầm SSL được mô tả như sau: 
1 Khi client yêu cầu một đối tượng HTTPS từ một web server trên 
Internet, proxy server gửi một yêu cầu kết nối https:// URL_name 
2 Yêu cầu tiếp theo được gửi tới cổng 8080 trên máy proxy server 
CONNECT URL_name:443 HTTP/1.1 
3 Proxy server kết nối tới Web server trên cổng 443 
4 Khi một kết nối TCP được thiết lập, proxy server trả lại kết nối đã 
được thiết lập HTTP/1.0 200 
5 Từ đây, client thông tin trực tiếp với Web server bên ngoài 
7. SSL bridging. 
SSL bridging đề cập đế n khả năng của proxy server trong việc mã hóa hoặc giả 
i mã các yêu cầu của client và chuyển các yêu cầu này tới server đích. Ví dụ, 
trong trường hợp quảng bá (hoặc reverse proxy), proxy server có thể phục vụ 
một yêu cầu SSL của client b ằng cách ch ấm dứt kết nố i SSL vớ i client và mở 
lạ i một kế t nối mới v ới web server. SSL bridging được sử dụng khi proxy 
server kết thúc hoặc khởi tạo một kết nối SSL. 
Khi mộ t client yêu c ầu một đối tượng HTTP. Proxy server mã hóa yêu cầ u và 
chuyể n tiếp nó cho web server. Web server trả về đối tượ ng đã mã hóa cho 
proxy server. Sau đó proxy server giải mã đối tượng và gửi lại cho client. Nói 
một cách khác các yêu cầu HTTP được chuyển tiếp nh ư các yêu cầ u SSL. Khi 
client yêu c ầu một đối tượng SSL. Proxy server giải mã yêu cầu, sau đó mã hóa 
lại một lầ n nữa và chuyển tiếp nó tới Web server. Web server trả về đối tượng 
mã hóa cho proxy server. 
Proxy server giải mã đối tượng và sau đó gửi nó cho client. Nói một cách khác 
các yêu cầu SSL được chuyển tiế p như là các yêu cầu SSL. Khi client yêu cầu 
một đối tượng SSL. Proxy server gi ải mã yêu cầu và chuyển tiếp nó cho web 
server. Web server trả về đối tượng HTTP cho proxy server. 
Proxy server mã hóa đối tượng và chuyển nó cho client. Nói cách khác các yêu 
cầu SSL đượ c chuyể n tiế p như các yêu c ầu HTTP. SSL bridging có thể được 
thi ết lập cho các yêu cầ u đi và đến. Tuy nhiên với các yêu cầu đi client phải hỗ 
trợ truyền thông bảo mật với proxy server. 
Bài tập thực hành của học viên 
1. Trình bày các khái niệm cơ bản về dịch vụ Proxy. 
2. Trình bày các qui tắc trinh cập Proxy Server. 
3. Trình bày các phương thức nhận thực của một Proxy Server. 
 TÀI LIỆU THAM KHẢO 
(1) Quản trị mạng Windows Server 2008, Nhà xuất bản Phương Đông, Năm 
2009, Phương Lan và Tô Thanh Hải (Tập 1, 2) 
(2) Làm chủ Microsoft Windows 2003 Server, Nhà xuất bản thống kê, Năm 
2005. Phạm Hoàng Dũng (Tập 1, 2, 3) 
(3) Microsoft Windows 2000s Cài Đặt & Quản Trị , Nhà xuất bản Mũi Cà 
mau, Phạm Thế Bảo. 
(4) MCSE Training Kit, Published by Microsoft Press, 2003. 
(5)  us/library/dd349801%28v=ws.10%29.aspx