163
A.MÔ HÌNH B.CÁC BƯỚC TRIỂN KHAI - Bài Lab gồm: 1 Máy Windows server 2003 làm DC, Mail Server (Kerio Connect) 1 Máy Windows server 2003 làm Firewall (Kerio Winroute). 1 Máy Xp dùng làm máy của VIP. 1 Máy XP dùng làm máy của User. - Các bước thực hiện: Cấu hình thông số TCP/IP và cài đặt.Kerio Winroute. Khai báo các thành phần nội bộ trên Kerio Winroute như VIP, USER. Thiết lập các Traffic Policy, HTTP Filter… trên Kerio Winroute để kiểm soát các giao dịch. Cài đặt và cấu hình Kerio Connect. Tạo User từ Database của Kerio và từ AD.

Cai Dat Cau Hinh Kerio Winrouter Firewall

Embed Size (px)

Citation preview

Page 1: Cai Dat Cau Hinh Kerio Winrouter Firewall

A.MÔ HÌNH

B.CÁC BƯỚC TRIỂN KHAI- Bài Lab gồm:

1 Máy Windows server 2003 làm DC, Mail Server (Kerio Connect)

1 Máy Windows server 2003 làm Firewall (Kerio Winroute).

1 Máy Xp dùng làm máy của VIP.

1 Máy XP dùng làm máy của User.

- Các bước thực hiện:

Cấu hình thông số TCP/IP và cài đặt.Kerio Winroute.

Khai báo các thành phần nội bộ trên Kerio Winroute như VIP, USER.

Thiết lập các Traffic Policy, HTTP Filter… trên Kerio Winroute để kiểm soát các giao dịch.

Cài đặt và cấu hình Kerio Connect.

Tạo User từ Database của Kerio và từ AD.

Triển khai Mail Online , cho phép User sử dụng mail bằng Web & POP3.

Page 2: Cai Dat Cau Hinh Kerio Winrouter Firewall

C.TRIỂN KHAI CHI TIẾT

I.      Chuẩn bị1.    Nâng cấp Domain Controler trên máy Server.

Đặt IP address:IP: 172.16.0.2SM: 255.255.255.0GW: 172.16.0.1DNS: 172.16.0.2

2.    Máy Kerio Winroute (gọi tắt là KW)Cần 2 Card mạng:            LAN: cùng lớp với Router.

          CROSS: Cùng lớp với mạng nội bộ.

Page 3: Cai Dat Cau Hinh Kerio Winrouter Firewall

Join Domain máy Kerio Winroute3.    Máy XP1 (thuộc nhóm VIP, sử dụng IP từ 10  50):

Đặt IP và Join Domain.

Page 4: Cai Dat Cau Hinh Kerio Winrouter Firewall

 4.    Máy XP2 (thuộc nhóm User, sử dụng IP từ 51  100):

Đặt IP và Join Domain:

Page 5: Cai Dat Cau Hinh Kerio Winrouter Firewall

II.    Cài đặt và cấu hình Kerio Winroute: 1.    Cài đặt Kerio Winroute.Chạy File Setup của Kerio Winroute

 Chọn Custom, Click Next.

Page 6: Cai Dat Cau Hinh Kerio Winrouter Firewall

Next

 Đặt Username và Password quản lý, Next.

Page 7: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Nếu đang cài Winroute từ xa, click chọn “I am… remotely”, không thì bỏ qua, click Next. 

Page 8: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Clich Install.

 Finish.

Page 9: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Cài đặt xong, góc phải Taskbar xuất hiện Icon của Kerio Connect:

 2.     Cấu hình Interface. Double Click vào Icon Winroute, nhập Password lúc cài đặt, click Connect.

Page 10: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Bảng Network Rule Ward xuất hiện, click Cancel. 

 

Page 11: Cai Dat Cau Hinh Kerio Winrouter Firewall

Liscence cho Kerio Winroute. 

 Cấu hình Interface:            Configuration > Interface  

 

 

 

 

Page 12: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Card Lan > Edit, chọn Internet interfaces > OK

Page 13: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chọn Card CROSS > Edit > Trusted/ Local interfaces. > OK

Click Apply. 

Page 14: Cai Dat Cau Hinh Kerio Winrouter Firewall

 3.    Cấu hình Traffic Policy:

 a.    Kiểm tra hoạt động của Firewall

 Configuration > Traffic Policy.

Mặc định, KW sẽ khóa toàn bộ truy cập từ trong ra ngoài và từ ngoài vào trong, trừ máy cài KW. (Trường hợp cài KW từ xa thì Kerio sẽ mở tất cả).

Page 15: Cai Dat Cau Hinh Kerio Winrouter Firewall

 - Dùng máy DC truy cập Internet thử, sẽ không truy cập được.

Page 16: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Ping IP của KW và Google không có trả lời:

 b.    Cho Phép DC ra Internet.Trở lại màn hình Traffice Policy, Click Add. Xuất hiện 1 Rule mới.

Page 17: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Click phải New Rule > Edit Rule > Name: DC > OK 

 Click phải vào Cột Source của Rule DC> Edit Source.

Page 18: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Click Add > Host > Gõ IP của DC: 172.16.0.2 > OK > OK 

  Click phải vào cột Translation của Rule DC > Edit Translation. 

Page 19: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chọn Enable Source NAT > OK

 Click phải vào cột Action của Rule DC, chọn Permit. > Apply

Page 20: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Từ máy DC, ping google.com và truy cập internet bình thường. 

 c.    Định Nghĩa VIP và User:Configuration > Definitions > Address Groups > Add

Page 21: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Page 22: Cai Dat Cau Hinh Kerio Winrouter Firewall

  

d.    Cho phép Vip ra internet.Quay lại Traffic Policy.Click Add tạo Rule mới, Name: cho Phep Vip ra Internet.

Edit Source: Add > IP Address Group

Page 23: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Group VIP > OK > OK

 Enable Souce NAT và chọn Permit như Rule DC. Test: Từ máy XP1 (VIP), ping google.com và truy cập Web, thành công.

Page 24: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Từ máy XP2 (User), ping google.com và truy cập Web vẫn không được.

 Lúc này VIP đã ra được Internet, nhưng vẫn không ping được Kerio Winroute Server.  Muốn Ping thì tạo Rule:Name: cho phep VIP ping FirewallSource: 172.16.0.10 – 172.16.0.50Destination: click phải, chọn Edit Destination:

Page 25: Cai Dat Cau Hinh Kerio Winrouter Firewall

Add> Firewall Host > OK.

Service: Click phải cột Service:

Chọn Add > Service > Ping > OK > OK

Page 26: Cai Dat Cau Hinh Kerio Winrouter Firewall

 TEST:  Từ Vip ping 172.16.0.1 thành công e.    Cho phép nhóm User gửi nhận Mail từ Internet Tạo Rule mới:Name: Cho phep User su dung MailSource: Group UserDestination: AnyService:  DNS, POP3, POP3S, SMTP, SMTPS 

Page 27: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Kiểm tra User gửi nhận Mail bình thường, nhưng không vào Web được. 

 f.     Cho Nhóm User được truy cập các trang web hỗ trợ công

việc.B1. Định nghĩa “Web ho tro cong viec”Configuration > Definitions > URL Groups > Add 2 trang:http://nhatnghe.com/* và http://vietcombank.com.vn/* 

Page 28: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 B2. Định nghĩa “Giờ làm việc”Configuration > Definitions > Time Ranges > Add

 B3. Cho Phép User truy cập Web:

Page 29: Cai Dat Cau Hinh Kerio Winrouter Firewall

Configuration > Traffic Policy > Tạo Rule mới cho phép User sử dụng Web: add 2 Service HTTP, HTTPS 

 B4. Tạo Filter, chặn tất cả trang web, sau đó mở lại 2 trang cần làm việc.Configuration > Content Filtering > HTTP PolicyAdd: Rule cấm User truy cập tất cả các Website 

 

Page 30: Cai Dat Cau Hinh Kerio Winrouter Firewall

Add Rule cho phép truy cập 2 Website trên:

Page 31: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Page 32: Cai Dat Cau Hinh Kerio Winrouter Firewall

OK > Apply. (Chú ý, Rule cho phép phải nằm trên rule cấm)g.    Cho phép User truy cập Web không hạn chế trong giờ giảo

lao.B1. Định Nghĩa “Giờ Giải Lao”Configuration > Definitions > Time Ranges > Add

Page 33: Cai Dat Cau Hinh Kerio Winrouter Firewall

  B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add

Page 34: Cai Dat Cau Hinh Kerio Winrouter Firewall
Page 35: Cai Dat Cau Hinh Kerio Winrouter Firewall

 h.    Cấm tất cả User truy cập website ngoisao.net, nếu truy cập

sẽ redirect về nhatnghe.comB1. Định Nghĩa URL ngoisao.net:Configuration > Definitions > URL Groups> Add 2 trang      Http://ngoisao.net      http://ngoisao.net/* 

 

Page 36: Cai Dat Cau Hinh Kerio Winrouter Firewall

 B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add

Page 37: Cai Dat Cau Hinh Kerio Winrouter Firewall

 i.      Cấm tất cả User sử dụng Media trực tuyến (nghe nhạc, xem

phim).B1. Định nghĩa “Media”Configuration > Definitions > URL Groups > Add Group Media gồm:*.mp3, *.mp4, *.wma, *.wmv, *.flv… 

 

Page 38: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add 

Page 39: Cai Dat Cau Hinh Kerio Winrouter Firewall

 j.      Cấm Tất cả User download file .EXE, .RAR, .ZIP

B1. Định nghĩa “Cấm Download”Configuration > Definitions > URL Groups > Add Group “Cam Download” gồm: *.exe, *.rar, *.zip

B2.

B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add 

Page 40: Cai Dat Cau Hinh Kerio Winrouter Firewall

 k.    Cấm Chat Yahoo/Skype…Configuration > Content Filtering > HTTP Policy > Add

Page 41: Cai Dat Cau Hinh Kerio Winrouter Firewall

Click Select Rating, tick: Chat/IM > OK 

Page 42: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Deny > OK > Apply 

Page 43: Cai Dat Cau Hinh Kerio Winrouter Firewall

 l.      Lọc web theo ký tự nhạy cảm.B1. Xem & thêm những ký tự nhạy cảm.Configuration > Content Filtering > HTTP Policy> [Tab] Forbidden Works. 

Page 44: Cai Dat Cau Hinh Kerio Winrouter Firewall

  

 [Tab]URL Rules > chọn Rule Truy cap Web trong gio giai lao 

Page 45: Cai Dat Cau Hinh Kerio Winrouter Firewall

 [Tab] Content Rules > Check: Deny Webpages contening forbidden work in HTLM code.

Page 46: Cai Dat Cau Hinh Kerio Winrouter Firewall

 III.           CÀI ĐẶT VÀ CẤU HÌNH KERIO CONNECT.

1.    Cài đặt Kerio Connect.Chạy file Setup trên máy Mail Server (DC). Chọn English > OK

Page 47: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chọn I accept… > Next. 

Page 48: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Custom > Next. 

Page 49: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Đặt Password Admin > Next. 

Page 50: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Đặt tên miền cho Mail (sử dụng tên miền đã đăng ký). 

Page 51: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn nơi lưu Directory > Next 

Page 52: Cai Dat Cau Hinh Kerio Winrouter Firewall

 KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.B1. Mở Outlook Express.B2. Cửa sổ Your name: gõ Admin > Next. 

Email server name:

Page 53: Cai Dat Cau Hinh Kerio Winrouter Firewall

      My incomming mail server is a: POP3      Incoming mail: 172.16.0.2      Outgoing mail: 172.16.0.2> Next.

 Gõ admin,  password > Next. 

Page 54: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Tools > Accounts > [Tab] Mail > Properties > [Tab] Server > Check: My server requires authentication > Apply.

 

Page 55: Cai Dat Cau Hinh Kerio Winrouter Firewall

[Tab] Advanced > Check: Leave a copy of messages on server > OK > OK.

 Admin soạn 1 email gửi cho chính mình ([email protected]).Click Send/Recev. Kiểm tra đã nhận được mail.

Page 56: Cai Dat Cau Hinh Kerio Winrouter Firewall

 2.    Cấu hình Kerio Connect.

a.    Tạo User mới.- Tạo user trong Directory của Kerio: Accounts > Users > Add

Page 57: Cai Dat Cau Hinh Kerio Winrouter Firewall

                        Tạo User với  – Username: test. - Password: 123456

Page 58: Cai Dat Cau Hinh Kerio Winrouter Firewall

  - Tạo User từ Active Directory (Import từ AD của Windows Server 2003)B1. Tạo User trong AD.Start > Run > gõ: dsa.msc

* Tạo   – Username: sep                        – Password: 123

Page 59: Cai Dat Cau Hinh Kerio Winrouter Firewall

Tương tự, tạo các User: ketoan1, ketoan2, kinhdoanh1, kinhdoanh2. B2. Import User:Cửa sổ Kerio Connect Administrator > Accounts > Users

Page 60: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Import > Import from a Directory Service… 

 Cửa sổ Import Users:             - Import users from: Active Directory®             - Active Directory® domain name: ngunhubo.local (tên domain nội bộ)             - Import from server: dc.ngunhubo.local (tên Domain Controler)            – Login as user: Administrator            – Password: *******.> OK.

Page 61: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn những User cần Import > OK 

 Kiểm tra đã có các User mới Import. 

Page 62: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chú ý:            Domain nội bộ và Domain mail không cùng tên (.local và .com) nên cần sửa lại tên Domain chứng thực Kerberos:Configuration > Domains > Edit: ngunhubo.com > [Tab] Advanced > KerberosTM 5: ngunhubo.local > OK 

 Giới hạn dung lượng hộp Mail và mail gửi đi:Right Click User cần Giới hạn > [Tab] Quota: Giới hạn dung lượng hộp Mail 2 GB.

Page 63: Cai Dat Cau Hinh Kerio Winrouter Firewall

                                     [Tab] Messages: Giới hạn Mail gửi đi tối đa 2MB. 

Page 64: Cai Dat Cau Hinh Kerio Winrouter Firewall

b.    Tạo GroupAccounts > Groups > Add > Name: VIP

[Tab] Email address > Add

Page 65: Cai Dat Cau Hinh Kerio Winrouter Firewall

[Tab] Users > Add

 Chọn Admin & sep > OK > OK  

Page 66: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Tương tự với Group User  

 

Page 67: Cai Dat Cau Hinh Kerio Winrouter Firewall

   

Kiểm tra:        – Dùng mail Admin gửi tới [email protected] và[email protected]

                        – Truy cập http://172.16.0.2 .Login vào tất cả các User đều nhận được mail

3.    Cấu hình Trên Domain ngunhubo.com và Router, và Winroute Firewall để Public Mail Server.

a.    Cấu hình Trên Domain:Truy cập trang quản lý Domain. 

Page 68: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Add Host Record như sau:Hostname: mail

Address: IP tĩnh đã thuê.Host type: A (Address) 

 b.    Cấu hình Trên Router. (Mỗi Router có cách cấu hình Chi tiết khác nhau)B1. Tạo Static Route:Mở Trình duyệt > http://192.168.1.1 > Nhập Username và Password Router > OK.Advanced Setup > Routing > Static Route > Add:      Destination Netword Address: 172.16.0.0      Subnet Mark: 255.255.255.0      Use Gateway Ip Address: 192.168.1.2      Use Interface: LAN/bro

Page 69: Cai Dat Cau Hinh Kerio Winrouter Firewall

 B2 . NATAdvanced Setup > NAT > Virtual Server > Add Các Port: 110, 25, 80, 443 về IP: 172.16.0.2 

Page 70: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

  

                        Cấu hình đủ: 

 c.    Cấu hình trên Winroute Firewall:Configuration > Traffic Policy > Add new Rule

Source: AnyDestination: 172.16.0.2Service: HTTP, HTTPS, POP3, SMTPAction: PermitTranslation: NAT> Apply

 d.    Kiểm Tra Hoạt Động

Từ ngoài Internet, truy cập địa chỉ: http://mail.ngunhubo.com

Page 71: Cai Dat Cau Hinh Kerio Winrouter Firewall

                                    Cấu hình Outlook Express từ ngoài với địa chỉ POP3 và SMTP là “mail.ngunhubo.com” .                                    Gửi nhận Mail thành công. Kiểm tra gửi ra Ngoài Gmail, Yahoo Mail.

4.    ARCHIVE, BACKUP & RESTORE. a.    Archive

Configuration >  Archiving and Backup            – Check: Enable email archiving            – Path to the archive directory: Trỏ tới Phân vùng hoặc ổ cứng khác nơi cài đặt Kerio Connect. > Apply

Page 72: Cai Dat Cau Hinh Kerio Winrouter Firewall

                                    Kiểm tra trong Mail của Admin đã có Folder Archive.

b.    Backup Giả lập Sếp xóa nhầm mail (hoặc Database hư), trước đó có 1 bản Backup và tiến hành Restore lại.Vào mail Amin gửi 1 email cho sếp:

Page 73: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

  Vào mail của sếp, kiểm tra đã nhận được mail từ admin:  

 Tiến hành Backup:Configuration >  Archiving and Backup > [tab] Backup            – Check: Enable message store and configuration recovery backup

- Mặc định Kerio Connect đã tạo Schedue sẵn từ thứ 2 đến Chủ Nhật.

- Backup Directory: Trỏ đến thư mục D:\backup\Mail.Click  Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm tra đã có 1 File *.Zip.

Page 74: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Vào Email của sếp, xóa Mail admin mới gửi. Tiến hành Recover

 c.    RecoverTắt Kerio Connect: Nhắp phải vào biểu tượng dưới thank Taskbar 

 Vào Run > CmdDi chuyển tới thư mục cài đặt Kerio Connect: 

Page 75: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Gõ: kmsrecover D:\backup\Mail > Enter 

Gõ: yes hoặc y > Enter

Page 76: Cai Dat Cau Hinh Kerio Winrouter Firewall

Đã hoàn tất.

 Start lại Kerio Connect:

Login vào Email của Sếp. Kiểm tra Mail admin gứi vẫn còn.I.      Chuẩn bị

1.    Nâng cấp Domain Controler trên máy Server.Đặt IP address:IP: 172.16.0.2SM: 255.255.255.0

Page 77: Cai Dat Cau Hinh Kerio Winrouter Firewall

GW: 172.16.0.1DNS: 172.16.0.2

2.    Máy Kerio Winroute (gọi tắt là KW)Cần 2 Card mạng:            LAN: cùng lớp với Router.

            CROSS: Cùng lớp với mạng nội bộ.

Page 78: Cai Dat Cau Hinh Kerio Winrouter Firewall

Join Domain máy Kerio Winroute3.    Máy XP1 (thuộc nhóm VIP, sử dụng IP từ 10  50):

Đặt IP và Join Domain.

Page 79: Cai Dat Cau Hinh Kerio Winrouter Firewall

 4.    Máy XP2 (thuộc nhóm User, sử dụng IP từ 51  100):

Đặt IP và Join Domain:

Page 80: Cai Dat Cau Hinh Kerio Winrouter Firewall

II.    Cài đặt và cấu hình Kerio Winroute: 

1.    Cài đặt Kerio Winroute. Chạy File Setup của Kerio Winroute 

Chọn Custom, Click Next.

Page 81: Cai Dat Cau Hinh Kerio Winrouter Firewall

Next

Đặt Username và Password quản lý, Next. 

Page 82: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Nếu đang cài Winroute từ xa, click chọn “I am… remotely”, không thì bỏ qua, click Next. 

Page 83: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Clich Install. 

 Finish. 

Page 84: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Cài đặt xong, góc phải Taskbar xuất hiện Icon của Kerio Connect:

2.     Cấu hình Interface. Double Click vào Icon Winroute, nhập Password lúc cài đặt, click Connect.

Page 85: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Bảng Network Rule Ward xuất hiện, click Cancel. 

 

Page 86: Cai Dat Cau Hinh Kerio Winrouter Firewall

Liscence cho Kerio Winroute. 

 Cấu hình Interface:            Configuration > Interface  

 

 

 

 

Page 87: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Card Lan > Edit, chọn Internet interfaces > OK

Page 88: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chọn Card CROSS > Edit > Trusted/ Local interfaces. > OK

Click Apply. 

Page 89: Cai Dat Cau Hinh Kerio Winrouter Firewall

 3.    Cấu hình Traffic Policy: a.    Kiểm tra hoạt động của Firewall

 Configuration > Traffic Policy.

Mặc định, KW sẽ khóa toàn bộ truy cập từ trong ra ngoài và từ ngoài vào trong, trừ máy cài KW. (Trường hợp cài KW từ xa thì Kerio sẽ mở tất cả).

Page 90: Cai Dat Cau Hinh Kerio Winrouter Firewall

 - Dùng máy DC truy cập Internet thử, sẽ không truy cập được.

Page 91: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Ping IP của KW và Google không có trả lời:

 b.    Cho Phép DC ra Internet.Trở lại màn hình Traffice Policy, Click Add. Xuất hiện 1 Rule mới.

Page 92: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Click phải New Rule > Edit Rule > Name: DC > OK 

 Click phải vào Cột Source của Rule DC> Edit Source.

Page 93: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 Click Add > Host > Gõ IP của DC: 172.16.0.2 > OK > OK 

  

Click phải vào cột Translation của Rule DC > Edit Translation.   

Page 94: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Enable Source NAT > OK

 Click phải vào cột Action của Rule DC, chọn Permit. > Apply

Page 95: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Từ máy DC, ping google.com và truy cập internet bình thường. 

 c.    Định Nghĩa VIP và User:

Configuration > Definitions > Address Groups > Add

Page 96: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Page 97: Cai Dat Cau Hinh Kerio Winrouter Firewall

  

d.    Cho phép Vip ra internet.Quay lại Traffic Policy.Click Add tạo Rule mới, Name: cho Phep Vip ra Internet.

Edit Source: Add > IP Address Group

Page 98: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Group VIP > OK > OK

 Enable Souce NAT và chọn Permit như Rule DC. Test: Từ máy XP1 (VIP), ping google.com và truy cập Web, thành công.

Page 99: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Từ máy XP2 (User), ping google.com và truy cập Web vẫn không được.

 Lúc này VIP đã ra được Internet, nhưng vẫn không ping được Kerio Winroute Server.  Muốn Ping thì tạo Rule:Name: cho phep VIP ping FirewallSource: 172.16.0.10 – 172.16.0.50Destination: click phải, chọn Edit Destination:

Page 100: Cai Dat Cau Hinh Kerio Winrouter Firewall

Add> Firewall Host > OK.

Service: Click phải cột Service:

Chọn Add > Service > Ping > OK > OK

Page 101: Cai Dat Cau Hinh Kerio Winrouter Firewall

 TEST:  Từ Vip ping 172.16.0.1 thành công e.    Cho phép nhóm User gửi nhận Mail từ Internet Tạo Rule mới:Name: Cho phep User su dung MailSource: Group UserDestination: AnyService:  DNS, POP3, POP3S, SMTP, SMTPS 

Page 102: Cai Dat Cau Hinh Kerio Winrouter Firewall

        Kiểm tra User gửi nhận Mail bình thường, nhưng không vào Web được. 

 

Page 103: Cai Dat Cau Hinh Kerio Winrouter Firewall

f.     Cho Nhóm User được truy cập các trang web hỗ trợ công việc.B1. Định nghĩa “Web ho tro cong viec”Configuration > Definitions > URL Groups > Add 2 trang:http://nhatnghe.com/* và http://vietcombank.com.vn/* 

 

 B2. Định nghĩa “Giờ làm việc”Configuration > Definitions > Time Ranges > Add

Page 104: Cai Dat Cau Hinh Kerio Winrouter Firewall

 B3. Cho Phép User truy cập Web:Configuration > Traffic Policy > Tạo Rule mới cho phép User sử dụng Web: add 2 Service HTTP, HTTPS 

 B4. Tạo Filter, chặn tất cả trang web, sau đó mở lại 2 trang cần làm việc.Configuration > Content Filtering > HTTP PolicyAdd: Rule cấm User truy cập tất cả các Website 

Page 105: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Page 106: Cai Dat Cau Hinh Kerio Winrouter Firewall

Add Rule cho phép truy cập 2 Website trên:

Page 107: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Page 108: Cai Dat Cau Hinh Kerio Winrouter Firewall

OK > Apply. (Chú ý, Rule cho phép phải nằm trên rule cấm)g.    Cho phép User truy cập Web không hạn chế trong giờ giảo

lao.B1. Định Nghĩa “Giờ Giải Lao”Configuration > Definitions > Time Ranges > Add

Page 109: Cai Dat Cau Hinh Kerio Winrouter Firewall

  B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add

Page 110: Cai Dat Cau Hinh Kerio Winrouter Firewall
Page 111: Cai Dat Cau Hinh Kerio Winrouter Firewall

 h.    Cấm tất cả User truy cập website ngoisao.net, nếu truy cập

sẽ redirect về nhatnghe.comB1. Định Nghĩa URL ngoisao.net:Configuration > Definitions > URL Groups> Add 2 trang      Http://ngoisao.net      http://ngoisao.net/* 

 

Page 112: Cai Dat Cau Hinh Kerio Winrouter Firewall

 B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add

Page 113: Cai Dat Cau Hinh Kerio Winrouter Firewall

 i.      Cấm tất cả User sử dụng Media trực tuyến (nghe nhạc, xem

phim).B1. Định nghĩa “Media”Configuration > Definitions > URL Groups > Add Group Media gồm:*.mp3, *.mp4, *.wma, *.wmv, *.flv… 

 

Page 114: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add 

Page 115: Cai Dat Cau Hinh Kerio Winrouter Firewall

 j.      Cấm Tất cả User download file .EXE, .RAR, .ZIP

B1. Định nghĩa “Cấm Download”Configuration > Definitions > URL Groups > Add Group “Cam Download” gồm: *.exe, *.rar, *.zip

B2.

B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add 

Page 116: Cai Dat Cau Hinh Kerio Winrouter Firewall

 k.Cấm Chat Yahoo/Skype…

Configuration > Content Filtering > HTTP Policy > Add

Page 117: Cai Dat Cau Hinh Kerio Winrouter Firewall

Click Select Rating, tick: Chat/IM > OK 

Page 118: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Deny > OK > Apply 

Page 119: Cai Dat Cau Hinh Kerio Winrouter Firewall

 l.      Lọc web theo ký tự nhạy cảm.B1. Xem & thêm những ký tự nhạy cảm.Configuration > Content Filtering > HTTP Policy> [Tab] Forbidden Works. 

Page 120: Cai Dat Cau Hinh Kerio Winrouter Firewall

  

 [Tab]URL Rules > chọn Rule Truy cap Web trong gio giai lao 

Page 121: Cai Dat Cau Hinh Kerio Winrouter Firewall

 [Tab] Content Rules > Check: Deny Webpages contening forbidden work in HTLM code.

Page 122: Cai Dat Cau Hinh Kerio Winrouter Firewall

 III.           CÀI ĐẶT VÀ CẤU HÌNH KERIO CONNECT.

1.    Cài đặt Kerio Connect.Chạy file Setup trên máy Mail Server (DC). Chọn English > OK

Page 123: Cai Dat Cau Hinh Kerio Winrouter Firewall

Chọn I accept… > Next. 

Page 124: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn Custom > Next. 

Page 125: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Đặt Password Admin > Next. 

Page 126: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Đặt tên miền cho Mail (sử dụng tên miền đã đăng ký). 

Page 127: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn nơi lưu Directory > Next 

Page 128: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

 KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.B1. Mở Outlook Express.B2. Cửa sổ Your name: gõ Admin > Next. 

Page 129: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

Email server name:      My incomming mail server is a: POP3      Incoming mail: 172.16.0.2      Outgoing mail: 172.16.0.2> Next.

Page 130: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Gõ admin,  password > Next. 

 Tools > Accounts > [Tab] Mail > Properties > [Tab] Server > Check: My server requires authentication > Apply.

Page 131: Cai Dat Cau Hinh Kerio Winrouter Firewall

 [Tab] Advanced > Check: Leave a copy of messages on server > OK > OK.

Page 132: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Admin soạn 1 email gửi cho chính mình ([email protected]).Click Send/Recev. Kiểm tra đã nhận được mail.

Page 133: Cai Dat Cau Hinh Kerio Winrouter Firewall

 2.    Cấu hình Kerio Connect.

a.    Tạo User mới.- Tạo user trong Directory của Kerio: Accounts > Users > Add

Page 134: Cai Dat Cau Hinh Kerio Winrouter Firewall

                        Tạo User với  – Username: test. - Password: 123456

Page 135: Cai Dat Cau Hinh Kerio Winrouter Firewall

  - Tạo User từ Active Directory (Import từ AD của Windows Server 2003)B1. Tạo User trong AD.Start > Run > gõ: dsa.msc

* Tạo   – Username: sep                        – Password: 123

Page 136: Cai Dat Cau Hinh Kerio Winrouter Firewall

Tương tự, tạo các User: ketoan1, ketoan2, kinhdoanh1, kinhdoanh2. B2. Import User:Cửa sổ Kerio Connect Administrator > Accounts > Users

Page 137: Cai Dat Cau Hinh Kerio Winrouter Firewall

   Import > Import from a Directory Service… 

   Cửa sổ Import Users:             - Import users from: Active Directory®             - Active Directory® domain name: ngunhubo.local (tên domain nội bộ)             - Import from server: dc.ngunhubo.local (tên Domain Controler)            – Login as user: Administrator            – Password: *******.> OK.

Page 138: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chọn những User cần Import > OK 

 Kiểm tra đã có các User mới Import. 

Page 139: Cai Dat Cau Hinh Kerio Winrouter Firewall

 Chú ý:            Domain nội bộ và Domain mail không cùng tên (.local và .com) nên cần sửa lại tên Domain chứng thực Kerberos:Configuration > Domains > Edit: ngunhubo.com > [Tab] Advanced > KerberosTM 5: ngunhubo.local > OK 

Giới hạn dung lượng hộp Mail và mail gửi đi:Right Click User cần Giới hạn > [Tab] Quota: Giới hạn dung lượng hộp Mail 2 GB.

Page 140: Cai Dat Cau Hinh Kerio Winrouter Firewall

                                     [Tab] Messages: Giới hạn Mail gửi đi tối đa 2MB. 

Page 141: Cai Dat Cau Hinh Kerio Winrouter Firewall

b.    Tạo GroupAccounts > Groups > Add > Name: VIP

[Tab] Email address > Add

Page 142: Cai Dat Cau Hinh Kerio Winrouter Firewall

[Tab] Users > Add

 Chọn Admin & sep > OK > OK  

Page 143: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Tương tự với Group User  

 

Page 144: Cai Dat Cau Hinh Kerio Winrouter Firewall

   

 Kiểm tra:        – Dùng mail Admin gửi tới [email protected] và[email protected]                        – Truy cập http://172.16.0.2 .Login vào tất cả các User đều nhận được mail.

 3.    Cấu hình Trên Domain ngunhubo.com và Router, và

Winroute Firewall để Public Mail Server.a.    Cấu hình Trên Domain:

Truy cập trang quản lý Domain. 

Page 145: Cai Dat Cau Hinh Kerio Winrouter Firewall

   Add Host Record như sau:

Hostname: mailAddress: IP tĩnh đã thuê.Host type: A (Address)   

 b.    Cấu hình Trên Router. (Mỗi Router có cách cấu hình

Chi tiết khác nhau)B1. Tạo Static Route:Mở Trình duyệt > http://192.168.1.1 > Nhập Username và Password Router > OK.Advanced Setup > Routing > Static Route > Add:      Destination Netword Address: 172.16.0.0      Subnet Mark: 255.255.255.0      Use Gateway Ip Address: 192.168.1.2      Use Interface: LAN/bro

Page 146: Cai Dat Cau Hinh Kerio Winrouter Firewall

 B2 . NATAdvanced Setup > NAT > Virtual Server > Add Các Port: 110, 25, 80, 443 về IP: 172.16.0.2 

Page 147: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

  

                        Cấu hình đủ: 

 c.    Cấu hình trên Winroute Firewall:Configuration > Traffic Policy > Add new Rule

Source: AnyDestination: 172.16.0.2Service: HTTP, HTTPS, POP3, SMTPAction: PermitTranslation: NAT> Apply

    

Page 148: Cai Dat Cau Hinh Kerio Winrouter Firewall

  

d.    Kiểm Tra Hoạt ĐộngTừ ngoài Internet, truy cập địa chỉ: http://mail.ngunhubo.com

                                    Cấu hình Outlook Express từ ngoài với địa chỉ POP3 và SMTP là “mail.ngunhubo.com” .                                    Gửi nhận Mail thành công. Kiểm tra gửi ra Ngoài Gmail, Yahoo Mail.

4.    ARCHIVE, BACKUP & RESTORE. a.    Archive

Configuration >  Archiving and Backup            – Check: Enable email archiving            – Path to the archive directory: Trỏ tới Phân vùng hoặc ổ cứng khác nơi cài đặt Kerio Connect. > Apply

Page 149: Cai Dat Cau Hinh Kerio Winrouter Firewall

                                    Kiểm tra trong Mail của Admin đã có Folder Archive.

b.    Backup Giả lập Sếp xóa nhầm mail (hoặc Database hư), trước đó có 1 bản Backup và tiến hành Restore lại.Vào mail Amin gửi 1 email cho sếp:

Page 150: Cai Dat Cau Hinh Kerio Winrouter Firewall

 

  Vào mail của sếp, kiểm tra đã nhận được mail từ admin:  

 Tiến hành Backup:Configuration >  Archiving and Backup > [tab] Backup            – Check: Enable message store and configuration recovery backup

- Mặc định Kerio Connect đã tạo Schedue sẵn từ thứ 2 đến Chủ Nhật.

- Backup Directory: Trỏ đến thư mục D:\backup\Mail.Click  Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm tra đã có 1 File *.Zip.

Page 151: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Vào Email của sếp, xóa Mail admin mới gửi. Tiến hành Recover  

c.    RecoverTắt Kerio Connect: Nhắp phải vào biểu tượng dưới thank Taskbar 

 Vào Run > CmdDi chuyển tới thư mục cài đặt Kerio Connect: 

Page 152: Cai Dat Cau Hinh Kerio Winrouter Firewall

  Gõ: kmsrecover D:\backup\Mail > Enter 

  Gõ: yes hoặc y > Enter

Page 153: Cai Dat Cau Hinh Kerio Winrouter Firewall

Đã hoàn tất.

 Start lại Kerio Connect:   

  

Page 154: Cai Dat Cau Hinh Kerio Winrouter Firewall

Login vào Email của Sếp. Kiểm tra Mail admin gứi vẫn còn.

Firewall là gì ?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin t-ởng (Trusted network) khỏi các mạng không tin tởng (Untrusted network).Thông thờng Firewall đợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.Chức năng chínhChức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.Kiểm soát nội dung thông tin thông tin lu chuyển trên mạng.Các thành phầnFirewall chuẩn bao gồm một hay nhiều các thành phần sau đây:Bộ lọc packet (packet-filtering router)Cổng ứng dụng (application-level gateway hay proxy server)Cổng mạch (circuite level gateway)Bộ lọc paket (Paket filtering router)Nguyên lýKhi nói đến việc lu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:Địa chỉ IP nơi xuất phát ( IP Source address)Địa chỉ IP nơi nhận (IP Destination address)Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)Cổng TCP/UDP nơi nhận (TCP/UDP destination port)Dạng thông báo ICMP ( ICMP message type)

Page 155: Cai Dat Cau Hinh Kerio Winrouter Firewall

Giao diện packet đến ( incomming interface of packet)Giao diện packet đi ( outcomming interface of packet)Nếu luật lệ lọc packet đợc thoả mãn thì packet đợc chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đợc các kết nối vào các máy chủ hoặc mạng nào đó đợc xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) đợc phép mới chạy đợc trên hệ thống mạng cục bộ.Ưu điểm Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những u điểm của phơng pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đợc bao gồm trong mỗi phần mềm router.Ngoài ra, bộ lọc packet là trong suốt đối với ngời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.Hạn chếViệc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ngời quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trờng. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.Cổng ứng dụng (application-level getway)Nguyên lýĐây là một loại Firewall đợc thiết kế để tăng cờng chức năng kiểm soát các loại dịch vụ, giao thức đợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ngời quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tơng ứng sẽ không đợc cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể đợc định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòi quản trị mạng cho là chấp nhận đợc trong khi từ chối những đặc điểm khác.Một cổng ứng dụng thờng đợc coi nh là một pháo đài (bastion host), bởi vì nó đợc thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này đợc thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nh là đảm bảo sự tích hợp firewall.Chỉ những dịch vụ mà ngời quản trị mạng cho là cần thiết mới đợc cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đợc cài đặt, nó không thể bị tấn công. Thông thờng, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đợc cài đặt trên bastion host.Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card.Mỗi proxy đợc đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.Ưu điểmCho phép ngời quản trị mạng hoàn toàn điều khiển đợc từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập đợc bởi các dịch vụ.Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc những dịch vụ nào cho

Page 156: Cai Dat Cau Hinh Kerio Winrouter Firewall

phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tơng ứng có nghĩa là các dịch vụ ấy bị khoá.Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.Hạn chếYêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bớc để nối với máy chủ chứ không phải là một bớc thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.Cổng vòng (circuit-Level Gateway)Cổng vòng là một chức năng đặc biệt có thể thực hiện đợc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.Hình dới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc nh một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ.Cổng vòng thờng đợc sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tởng những ngời dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể đợc cấu hình nh là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tờng lửa dễ dàng sử dụng cho những ngời trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tờng lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.Những hạn chế của firewall Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ.Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi.