Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #21  
Old 09-11-2011, 09:49
songhoang songhoang vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 29
Thanks: 17
Thanked 6 Times in 6 Posts
Quả nhiên là hiện nay ultra không sử dụng được nhưng các site https cũng hết vào được luôn roài, nếu mà block port 443 như vầy thì mấy trang https khá nhiều mà phần web filter của draytek có giới hạn xem ra chưa hoàn hảo lắm.

Bộ phận Support của An Phát làm việc hiệu quả, đây là 1 giải pháp không tồi, các download bằng torrent cũng đã pó tay.

Tuy nhiên có cách nào khác hoàn hảo hơn không, xin mời cùng thảo luận.

thay đổi nội dung bởi: songhoang, 09-11-2011 lúc 10:02
Trả Lời Với Trích Dẫn
  #22  
Old 09-11-2011, 10:11
Vigor2700 Vigor2700 vẫn chưa có mặt trong diễn đàn
Moderator
 
Tham gia ngày: Apr 2011
Tuổi: 15
Bài gởi: 860
Thanks: 104
Thanked 484 Times in 346 Posts
Trích:
Nguyên văn bởi songhoang View Post
Quả nhiên là hiện nay ultra không sử dụng được nhưng các site https cũng hết vào được luôn roài, nếu mà block port 443 như vầy thì mấy trang https khá nhiều mà phần web filter của draytek có giới hạn xem ra chưa hoàn hảo lắm.

Bộ phận Support của An Phát làm việc hiệu quả, đây là 1 giải pháp không tồi, các download bằng torrent cũng đã pó tay.

Tuy nhiên có cách nào khác hoàn hảo hơn không, xin mời cùng thảo luận.
Vấn đề về UltraSurf và HTTPS (SSL) từ đầu và rất nhiều topic nói rõ là hiện nay vẫn chưa (hoặc mình không biết - Hoặc có bạn biết mà chưa show ra) có cách nào khác ngoài cách block port 443; Còn việc cài thêm software trên Client là một hướng khác rồi.

Trong Demo này trang web ngân hàng Eximbank (HTTPS-SSL) đã được mở; bạn có thề vào trang ngân hàng online của Eximbank để test. Chưa kể chúng tôi đang demo trên dòng thấp nhất của DrayTek (theo yêu cầu của bạn là chỉ có 4-5 người sử dụng). Các dòng cao hơn sẽ có nhưng tính năng hay hơn rất nhiều. nếu bạn quan tâm có thể tham khảo sơ qua: http://draytek.com.vn/documentdetails.aspx?id=152

Số lượng người có nhu cầu về HTTPS-SSL trong một CTY không nhiều và số trang web HTTPS-SSL mà nhân viên sử dụng cũng không nhiều

thay đổi nội dung bởi: Vigor2700, 09-11-2011 lúc 10:28
Trả Lời Với Trích Dẫn
  #23  
Old 09-11-2011, 11:20
VienHuynh VienHuynh vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2008
Bài gởi: 379
Thanks: 14
Thanked 426 Times in 177 Posts
Chào các bạn và Draytek support team

Viễn tin rằng đa số các bạn đã hiểu rõ phương thức hoạt động các cách UltraSurf query proxy server của nó thông qua một list các proxy server ip address. Ngặt nỗi, các proxy ip address này thay đổi liên tục khiến cho việc block bằng access control list là bất khả thi. Ultrasurf dùng DNS để query một url mà url đó là một file list các proxy ip address, Ultrasurf sử dụng chính DNS server của client để query nên việc block DNS query, hay recursive query cũng trở nên không khả thi. UltraSurf dùng port SSL 443 để tunneling và authenticate proxy traffic, khiến cho việc block SSL port sẽ khiến các traffic khác dùng port 443 cũng bị block luôn. Các bạn thứ lỗi Viễn dùng một câu khá thô thiển nếu chúng ta block port 443 nhưng nó phản ánh rất chính xác hành động này. Đó là "Tự mình bóp dái mình!!!"

1. HTTPS Inspection (Proxy Appliance hoặc Firewall)

Đối với UltraSurf, đây là một proxybypass software rất khó chịu. Hiện tại, phương pháp block hiệu quả nhất là HTTPS Proxy Inspection. Các firewall mới sau này đã cập nhật pattern của UltraSurf, và bản thân firewall phải có khả năng inspect HTTPS traffic. Khi HTTPS traffic đi qua firewall, nó sẽ inspect HTTPS traffic và so sánh pattern với pattern của UltraSurf. Nếu match thì firewall sẽ drop connection này. Hiện tại đã có các sản phẩm block được UltraSurf. Draytek firewall có tính năng statefull inspection cho các protocol như FTP,HTTP,ICMP,HTPPS,v.v...và phải hỗ trợ việc inspect các criteria khác nhau của HTTPS như Body Length,header field,http method (GET,PUT,v.v...) thì mới có khả năng inspect được UltraSurf traffic trên protocol HTTPS và drop connection. Về cơ bản các firewall basic chỉ block traffic dựa trên source/destination/protocol/.

2. Antivirus system

Một phương pháp thứ hai mà Viễn đang áp dụng đó là dùng AV system có cập nhật UltraSurf pattern. Cơ bản các AV system hiện tại theo mô hình Client-Server đều có cơ chế update virus/malware/rootkit/spyware pattern. Các hãng AV đã cập nhật UltraSurf pattern. Các client được trang bị AV client sẽ cập nhật UltraSurf pattern từ AV server. Khi user kích hoạt UltraSurf trên máy trạm thì ngay lập tức AV client sẽ quarantine ngay executable file và halt process của UltraSurf. Thậm chí khi user download tool này về máy client thì tự động AV client sẽ quarantine executable file luôn. Phương pháp này rất hữu hiệu vì nó quarantine hoàn hảo UltraSurf, không cho UltraSurf có cơ hội kích hoạt và tồn tại trên client. Tuy nhiên giá thành license không rẻ!!!Viễn hiện đang sử dụng phương pháp này và 100% UltraSurf-free

3. HTTPS WhiteList

Đây là phương pháp thông dụng nhất và cũng là dễ dàng nhất cho quản trị viên. Viễn nghĩ các bạn ai cũng đã biết. Như Dratek Support Team đề nghị, các bạn block hết traffic trên port 443. Sau đó mở từng traffic trên port 443 cho từng đối tượng cụ thể đến từng đối tượng cụ thể. Nói nôm na là chúng ta tạo ra Whitelist. Phương pháp này đánh đòn chí mạng vào bản chất của UltraSurf là authenticate và tunneling traffic trên port 443. Tuy nhiên quản trị viên phải mất công sức mở từng traffic theo yêu cầu.

Viễn không phải là chuyên gia nên có thể có sai sót. Mong các bạn và Draytek Support Team hỗ trợ.

Thân mến
Viễn Huỳnh

thay đổi nội dung bởi: VienHuynh, 09-11-2011 lúc 11:32
Trả Lời Với Trích Dẫn
Đã có 3 người gửi lời cảm ơn VienHuynh vì bài viết hữu ích này:
  #24  
Old 09-11-2011, 13:01
Vigor2700 Vigor2700 vẫn chưa có mặt trong diễn đàn
Moderator
 
Tham gia ngày: Apr 2011
Tuổi: 15
Bài gởi: 860
Thanks: 104
Thanked 484 Times in 346 Posts
Chào bạn Viễn,

Với các CTY lớn và kinh phí IT dồi dào có thể dễ dàng đầu tư Firewall có hỗ trợ "HTTPS Inspection" như bạn nói và đều quan trọng không kém là phải có kinh phí mua bản quyền theo năm cho những Firewall đó hoạt động (user/cập nhật database/..)Nếu không thì khi UltraSurf hay các phần mềm khác nâng cấp lên thì Firewall xịn chưa cập nhật cũng trở thành sắt vụn. Tuy nhiên các CTY lớn thì dư tiền làm chuyện này

Trích:
Đó là "Tự mình bóp dái mình!!!"
Đôi khi IT cần làm vậy để "dái" của Giám đốc Tài chính CTY còn nguyên vẹn và lương hàng tháng của IT được phát đầy đủ

Đối với các CTY vừa và nhỏ, thị trường của DrayTek, thì việc tạo "Whitelist" cho HTTPS không quá khó khăn và mất nhiều thời gian như mọi người nghĩ đâu! Mình tìm thấy Viễn có viết mấy bài về IT Support rất hay và đó là cách để cập nhật "Whitelist" cho HTTPS hiệu quả nhất! Nếu CTY bạn đã có chế độ quản lý nghiêm ngặt thì việc nhân viên cần truy cập một tài nguyên/trang web lạ trên internet thì việc đầu tiên là phải thông qua Trưởng Phòng của mình -> BGĐ -> IT; Hoặc liên hệ trực tiếp IT.

Không mất nhiều thời gian và chỉ làm một lần duy nhất cho một yêu cầu.

thay đổi nội dung bởi: Vigor2700, 09-11-2011 lúc 13:07
Trả Lời Với Trích Dẫn
  #25  
Old 09-11-2011, 20:52
Mr.Eight's Avatar
Mr.Eight Mr.Eight vẫn chưa có mặt trong diễn đàn
To be Or Not To be
 
Tham gia ngày: Jul 2009
Nơi Cư Ngụ: Lam Dong
Bài gởi: 1,372
Thanks: 21
Thanked 818 Times in 340 Posts
Trích:
Nguyên văn bởi Vigor2700 View Post
Chào bạn Viễn,

Với các CTY lớn và kinh phí IT dồi dào có thể dễ dàng đầu tư Firewall có hỗ trợ "HTTPS Inspection" như bạn nói và đều quan trọng không kém là phải có kinh phí mua bản quyền theo năm cho những Firewall đó hoạt động (user/cập nhật database/..)Nếu không thì khi UltraSurf hay các phần mềm khác nâng cấp lên thì Firewall xịn chưa cập nhật cũng trở thành sắt vụn. Tuy nhiên các CTY lớn thì dư tiền làm chuyện này


Đôi khi IT cần làm vậy để "dái" của Giám đốc Tài chính CTY còn nguyên vẹn và lương hàng tháng của IT được phát đầy đủ

Đối với các CTY vừa và nhỏ, thị trường của DrayTek, thì việc tạo "Whitelist" cho HTTPS không quá khó khăn và mất nhiều thời gian như mọi người nghĩ đâu! Mình tìm thấy Viễn có viết mấy bài về IT Support rất hay và đó là cách để cập nhật "Whitelist" cho HTTPS hiệu quả nhất! Nếu CTY bạn đã có chế độ quản lý nghiêm ngặt thì việc nhân viên cần truy cập một tài nguyên/trang web lạ trên internet thì việc đầu tiên là phải thông qua Trưởng Phòng của mình -> BGĐ -> IT; Hoặc liên hệ trực tiếp IT.

Không mất nhiều thời gian và chỉ làm một lần duy nhất cho một yêu cầu.
+ Thật sự hiện nay vấn đề ngăn chặn UltraSurf với cách chặn hiện nay thì vẫn còn nhiều nhược điểm do liên quan đến nhiều vấn đề:
- Kinh phí thấp thì phải bỏ công ra làm tay.
- Kinh phí nhiều thì quá khỏe, hiện nay một số Firewall Hardware - Layer 7 phát triển giúp cho công việc quản trị dễ dàng hơn.Sướng người mà mệt cái hầu bao.
- Hiện nay còn một chu y là khi sử dụng Symantec Endpoint Protection tui thấy nó detect UltraSurf như là Trojan
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn Mr.Eight vì bài viết hữu ích này:
  #26  
Old 10-11-2011, 02:23
300000 300000 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Mar 2008
Bài gởi: 392
Thanks: 3
Thanked 183 Times in 116 Posts
Nếu chỉ cần block UltraSurf thì có ba cách khác nhau có thể làm để hoàn toàn block được chứ không phải một cách , vấn đề là khi triển khai thì phức tạp hơn nhiều và tốn thời gian nên nhiều khi người ta không thích , mình trình bầy ra đây ba cách khác nhau để các bạn tham khảo .

Cách thức nhất có lẽ đơn giản nhất là năng cấp thành domain và cái đặt group policy không cho phép user thay đổi cấu hình của internet explorer và địa chỉ ip mạng thì có lẽ UltraSurf không chạy được , vì khi chạy UltraSurf sẽ tự động thay đổi proxy trong internet explorer thành 127.0.0.1 port mặc định để đi ra ngoài , chỉ cần mở cổng https là UltraSurf có thể kết nối được ra ngoài nếu chúng ta không cho phép user thay đổi trong cấu hình của internet explorer thông qua group policy thì có lẽ hạn chế được.

Cách thứ hai là dùng https inspection có trong TMG 2010 mình đã thử và hoàn toàn block UltraSurf được nhưng vãn cho https ra ngoài và có hiệu quả 100% nếu bạn dùng ISA 2006 không có https inspection thì có thể tải add in ssl decoder về làm cũng được .

Cách thứ ba có lẽ an toàn nhất nhưng khó thực hiện và tốn thời gian nhất là dùng dùng certificate để sign những chương trình được chạy , còn không sign thì không cho phép chạy giống như điện thoại nokia phải được sign mới chạy được , trong windows cũng có chức năng này nhưng người ta tắt đi vì ít người dùng và dùng phức tạp nhất và cấu hình tương đối khó , nhưng nếu kích hoạt nên thì an toàn nhất cho hệ thống và người ta không thể chạy được UltraSurf chỉ trừ khi administrator sign bằng certificate thì cái UltraSurf thì mới chạy được.

Trước đây rất nhiều người khuyên người ta bỏ ISA đi để dùng router phần cứng nhưng router phần cứng chỉ làm được những công việc đơn giản , còn đòi hỏi phức tạp hơn thì chịu , còn nếu các bạn lo ngại về kinh phí triển khải thì dùng certificate hoặc group policy thì hoàn toàn miễn phí không tốn thêm một đòng nào và đã có ngay trong windows chỉ việc mang ra dùng mà thôi .

UltraSurf sử dụng bốn phương pháp khác nhau kết nối ra bên ngoài để tải proxy list , sau khi có danh sách thì tự động sử dụng một trong những proxy đó để ra ngoài net , mục đích chính là vượt qua tưởng lửa của Bắc Kinh để giúp người trung quốc có thể ra ngoài mà không bị block của chính phủ trung quốc , vậy bạn muốn kiểm soát cái chương trình này thì cũng chịu khó làm thêm một số công việc hơn là block bình thường và những firewall bình thường thì gặp phải cái UltraSurf thì không có khả năng block có hiệu quả .

Hiệu quả ở đây là giúp người sử dụng làm được công việc một cách thoải mái nhưng lại có thể kiểm soát họ và cho phép họ được làm gì và không được làm gì , còn cấm hết tất cả https và chỉ cho chạy một vài địa chỉ thôi thì khi số lượng người dung tăng lên và danh sách địa chỉ đó tăng lên lúc đó hệ thống sẽ làm việc không có hiệu quả mà chỉ làm giảm hiệu xuất công việc mà thôi.

thay đổi nội dung bởi: 300000, 10-11-2011 lúc 02:41
Trả Lời Với Trích Dẫn
  #27  
Old 10-11-2011, 08:43
nc1402 nc1402 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Nov 2007
Bài gởi: 907
Thanks: 10
Thanked 242 Times in 200 Posts
Trích:
Trước đây rất nhiều người khuyên người ta bỏ ISA đi để dùng router phần cứng nhưng router phần cứng chỉ làm được những công việc đơn giản , còn đòi hỏi phức tạp hơn thì chịu
- Công ty vừa và nhỏ thì hạn chế về tài chính và nhân lực; Đồng thời đòi hỏi về bảo mật cũng không quá cao => Sử dụng phần cứng tầm trung như DrayTek Vigor là hợp lý nhất; Mình đã sử dụng qua cả ISA và DrayTek, không thể so sánh là DrayTek tốt hơn hay ISA tốt hơn vì mỗi cái đều có điểm mạnh và yếu riêng; Quan trong nhất là bạn biết được mình đang có gì (Tiền + Kiến thức) và cần gì

Trích:
còn nếu các bạn lo ngại về kinh phí triển khải thì dùng certificate hoặc group policy thì hoàn toàn miễn phí
Tiền mua 1 PC làm ISA bạn bỏ đi đâu rồi? Chưa kể vấn đề bản quyền windows, ISA, add-in cho nó hoạt động

Trích:
Hiệu quả ở đây là giúp người sử dụng làm được công việc một cách thoải mái nhưng lại có thể kiểm soát họ và cho phép họ được làm gì và không được làm gì
Với chính phủ thì có lý vì làm lộ liễu quá sẽ bị dân chửi và biểu tình; Còn với một Công ty vừa và nhỏ thì vô tư đi; Anh đi làm thì phải tuân thủ nội quy, tôi không cấm nhưng muốn làm gì phải báo IT giải quyết. Tôi không may mắn được làm các CTY lớn nên chưa biết họ có "sợ" nhân viên không cảm thấy thoải mái không!

Trích:
còn cấm hết tất cả https và chỉ cho chạy một vài địa chỉ thôi
Default rule của một số firewall nổi tiếng vẫn là deny all và sau đó mới mở lại từ từ. Khi đi học tôi vẫn được Thầy dạy làm firewall là phải như thế!
Trả Lời Với Trích Dẫn
  #28  
Old 10-11-2011, 16:48
songhoang songhoang vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 29
Thanks: 17
Thanked 6 Times in 6 Posts
Sau khi mổ sẻ vấn đề để thảo luận, chúng ta đã có 1 số giải pháp cấm ultrasurf hoạt động, mỗi một phương án đều có ưu và khuyết điểm của nó. Anh em IT chúng ta đã có cái nhìn bao quát về vấn đề này thì mình tin rằng với kinh nghiệm + khả năng + tình hình công ty mà chúng ta sẽ tìm được 1 giải pháp phù hợp nhất cho mình(vô chiêu thắng hữu chiêu).

Về lựa chọn của mình thì với mô hình cty nhỏ và các chi nhánh rải rác có lẽ mình sẽ chọn Draytek để triển khai firewall.

Xin cám ơn tất cả mọi người, chúc cộng đồng IT chúng ta ngày càng vững mạnh, đoàn kết cùng phát triển
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn songhoang vì bài viết hữu ích này:
  #29  
Old 10-11-2011, 20:08
Vigor2700 Vigor2700 vẫn chưa có mặt trong diễn đàn
Moderator
 
Tham gia ngày: Apr 2011
Tuổi: 15
Bài gởi: 860
Thanks: 104
Thanked 484 Times in 346 Posts
Trích:
Nguyên văn bởi songhoang View Post
Về lựa chọn của mình thì với mô hình cty nhỏ và các chi nhánh rải rác có lẽ mình sẽ chọn Draytek để triển khai firewall.
Rất vui vì bạn chọn DrayTek do An Phát phân phối. Bất cứ khi nào bạn cần thông tin hay hỗ trợ hãy liên hệ với chúng tôi.
Trả Lời Với Trích Dẫn
Đã có 2 người gửi lời cảm ơn Vigor2700 vì bài viết hữu ích này:
  #30  
Old 11-11-2011, 13:59
songhoang songhoang vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 29
Thanks: 17
Thanked 6 Times in 6 Posts
Chào vigor2700

Mình đã xem qua trang hỗ trợ các cách thiết lập firewall trong Router Draytek, mình muốn tự cấu hình trước để test sản phẩm trước khi triển khai, tuy nhiên sau khi cấu hình xong vẫn chưa được như ý. Vậy nhờ vigor2700 có thể hỗ trợ teamviewer kiểm tra cấu hình mình đã làm còn chỗ nào chưa đúng để mình khắc phục không?
Bạn cho mình nick chat riêng của bạn nhé vì mình có liên hệ bộ phận support của draytek nhưng họ chưa hiểu được yêu cầu của mình ở topic này. Xin cám ơn
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
[Tutorial] Hãy làm việc với những người thông minh hơn hẳn bạn! tinnhanh9 Những Vấn Đề Khác 0 14-09-2011 09:41
[Tutorial] [review] ASUS EeeSlider độc đáo , tiên lợi nhưng hơi dày yeuconghe Máy tính xách tay 0 26-08-2011 16:06
Những điều cần biết truớc khi mua laptop laptopvip01 Máy tính xách tay 0 05-07-2011 17:06



Múi giờ GMT +7. Hiện tại là 15:58
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger