Quản lý kết nối Internet - 7/2/2007 14h:10
Có nhiều cách để quản lý kết nối Internet, tùy quy mô hệ thống mạng,
tính quan trọng của dữ liệu và trình độ người dùng. Từ những thiết lập bảo
mật đơn giản có sẵn trong các trình duyệt web cho đến những giải pháp "đao
to búa lớn", nhìn chung chúng ta có thể giải quyết vấn đề này bằng phần
mềm, bằng phần cứng hoặc sử dụng kết hợp cả hai.
Trên thị trường hiện nay có rất nhiều phần mềm giám sát kết nối mạng, nhưng để
đạt hiệu quả cao nhất bạn cần phải trang bị thêm máy móc, nhân viên kỹ thuật để
quản lý và cả chi phí bản quyền khá lớn. Bạn cũng có thể sử dụng giải pháp phần
cứng như thiết bị tường lửa (firewall) chuyên dụng hoặc thiết bị router tích hợp
tường lửa. Ngoài khả năng quản lý kết nối, một số router còn có những tiện ích
tăng tính bảo mật cho hệ thống mạng như phòng chống tấn công từ chối, khóa dịch
vụ chia sẻ dữ liệu qua mạng, lọc nội dung website Giải pháp "tất cả trong một"
không những giúp bạn tiết kiệm chi phí mà còn tiết kiệm được không gian làm
việc. Giải pháp này thích hợp với các doanh nghiệp nhỏ và người dùng gia đình.
Để tiện cho việc hướng dẫn, chúng tôi sử dụng tường lửa tích hợp router Vigor
2800VG của DrayTek. Bạn có thể tham khảo thêm thông tin về router này trong
bài viết "Router ADSL 2/2+ Đa năng hơn" (ID: A0612_90). Ngoài tiện ích tường
lửa, sản phẩm này còn tích hợp các chính sách phòng chống tấn công từ chối dịch
vụ DoS/DDoS, khóa các dịch vụ chia sẻ, dịch vụ chat, các website được liệt vào
danh sách "không cần thiết" với chế độ lọc theo dạng Call filter và Data filter, hoặc
với SurfControl (dùng thử 30 ngày) người dùng có thể lọc nội dung website theo
chủ đề được phân loại trước
Ghi chú:
- Không phải tất cả router đều có những tiện ích, tính năng chúng tôi đề cập trong
bài viết.
- Để đảm bảo an toàn cho hệ thống mạng, chúng ta nên thiết lập cơ chế phòng
chống tấn công từ chối dịch vụ cho router và gán IP cố định cho các máy tính có
kết nối Internet.
- Bạn đọc có thể tham khảo thêm kiến thức về địa chỉ IP, giao thức TCP/IP trong
giáo trình CCNA của Cisco hoặc tại website

Chống tấn công DoS/DDoS
Hình 1. Thiết lập cơ chế phòng chống tấn công
Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) đang
là vấn đề gây đau đầu cho các nhân viên quản trị mạng vì chúng không có cách
phòng chống tuyệt đối. Tuy vậy, bạn có thể kích hoạt tính năng này trong router để
hạn chế phần nào tác hại khi bị tấn công. Thiết lập như sau:
- Trong Internet Explorer, nhập địa chỉ 192.168.1.1 (địa chỉ mặc định với router
Vigor 2800VG) và nhấn Enter. Nhập tên tài khoản quản trị và mật khẩu để vào
giao diện quản lý của router (tham khảo trong tài liệu của router).
- Trong mục Firewall.DoS Defense, đánh dấu chọn Enable DoS Defense để kích
hoạt (Hình 1).
Gán IP cố định cho máy tính
Hình 2. Gán địa chỉ IP cố định
Các router thường có tính năng cấp phát địa chỉ IP động (DHCP Server), nhưng để
dễ kiểm soát cũng như tránh nhầm lẫn khi ngăn chặn, chúng ta nên gán địa chỉ IP
cố định cho các máy tính cần quản lý.
Trước tiên, chúng ta sẽ kiểm tra địa chỉ IP đang sử dụng thông qua tên máy tính
(mỗi máy thường có một tên riêng do người quản trị đặt). Khi đã xác định được IP
và tên máy, trong giao diện quản lý của router, mục Bind IP to MAC, chúng ta
đánh dấu chọn Enable, chọn địa chỉ IP tương ứng trước khi nhấn Add (Hình 2).
Ngăn chặn game trực tuyến
Thực hiện ngăn chặn bằng cách cấm kết nối tới địa chỉ IP của máy chủ game (game
server). Tùy theo khả năng, kiến thức và kinh nghiệm của mình, bạn sẽ nhận biết
được địa chỉ IP của game server.
Sử dụng NAT Session Table trong mục Diagnostic để quan sát kết nối Internet hiện
tại của các máy tính trong mạng. Ví dụ: máy tính có địa chỉ IP 192.168.9.13 đang
truy cập vào địa chỉ IP 222.255.12.223 và 222.255.12.245. Sau khi kiểm tra thông
tin, bạn biết được đây là địa chỉ của các máy chủ trong game CLTB. Một game sẽ
có nhiều máy chủ và các địa chỉ IP thường thay đổi ở cụm số thứ 4 (223, 245 ).

Để chọn nhanh, chúng ta sẽ chặn từ trong khoảng từ 1 đến 254 nhưng nếu có điều
kiện, bạn hãy theo dõi cụ thể từng máy chủ game để ngăn chặn chính xác hơn.
Thiết lập quy tắc lọc
Trong giao diện quản lý, chọn mục Filter Setup trong Firewall. Bạn có thể chọn bất
kỳ Set nào trong mục này. Ở đây chúng ta sẽ chọn Set 2 (default data filter) và Fiter
Rule 2 (do Filter Rule 1 được thiết lập mặc định). Trong khung Comment, bạn có
thể ghi chú để dễ phân biệt, ví dụ, "cam game truc tuyen". Với game CLTB, chúng
ta sẽ thực hiện như sau:
• Comment: CLTB
• Pass or Lock: Block Immediately
Hình 3: Thiết lập qui tắc lọc
• Source: IP của máy tính đã gán địa chỉ MAC. Ví dụ 192.168.9.13, do chỉ cấm duy
nhất một địa chỉ IP nên chọn Subnet Mask là 255.255.255.0(/32).
• Destination: gõ địa chỉ của máy chủ game, do cấm trong tầm từ 1 đến 254 nên sẽ
gõ 222.255.12.1, chọn Subnet Mask là 255.255.255.0(/24). Nhấn OK để kết thúc
việc thiết lập (Hình 3).
Để kích hoạt việc ngăn chặn, trong Firewall.General Setup, đánh dấu chọn Enable
mục DataFilter, Start Filter Set: Set #2. Sau khi thiết lập, máy tính sẽ không thể kết
nối với máy chủ game CLTB. Để gỡ bỏ, bạn chỉ cần trả lại các thiết lập mặc định
của set đó.
Lọc theo địa chỉ IP nội bộ
Hình 4: Lọc dịch vụ theo địa chỉ IP nội bộ
Tương tự việc ngăn chặn game trực tuyến, bạn có thể quản lý kết nối dựa vào địa
chỉ IP của các máy tính trong mạng nội bộ. Một bộ lọc với khả năng tùy biến cao
cho phép nhân viên quản trị mạng áp dụng chính sách theo ý muốn một cách đơn
giản và hiệu quả. Ví dụ: các máy của phòng kế toán không được phép kết nối
Internet. Địa chỉ IP của máy tính phòng kế toán là 192.168.9.34 và 192.168.9.35.
Chúng ta sẽ thiết lập trong Data Filter, mục Filter Setup (Hình 4). Ngoài ra, chúng
ta có thể ngăn chặn truy cập dựa vào cổng kết nối (port).
Khóa dịch vụ chát

Hình 5: Ngăn chặn các dịch vụ chat
Chat (IM) là một trong những cách thức trao đổi thông tin hiệu quả hiện nay. Nó
nhanh và tiện dụng hơn email, điện thoại. Tuy nhiên, việc lạm dụng chat gây lãng
phí thời gian và làm giảm hiệu suất làm việc. Vì vậy, bạn có thể chặn dịch vụ này
nếu thấy cần thiết. Để cấm chat, trong Firewall chọn IM Blocking. Đánh dấu chọn
Enable IM Blocking và thiết lập lịch biểu cho phép hay ngăn chặn trong mục Time
Schedule (Hình 5).
Khóa chia sẻ ngang hàng
Hình 6: Ngăn chặn chia sẻ mạng ngang hàng
Việc chia sẻ dữ liệu theo kiểu ngang hàng (peer-to-peer hay P2P) chiếm dụng băng
thông khá lớn, thậm chí có thể gây nghẽn cả hệ thống. Hơn nữa khi chia sẻ ngang
hàng, nguy cơ mạng bị tấn công từ chối dịch vụ rất lớn.
Trong Firewall, chọn mục P2P Blocking. Đánh dấu tùy chọn Enable P2P Blocking
và chọn các dạng chia sẻ cần khóa (Hình 6).
Lọc trang web bằng từ khóa
Hình 7. Lọc dịch vụ bằng địa chỉ URL
Đầu tiên, bạn chọn mục URL Content Filter để kích hoạt tính năng này. Nhập từ
khóa đại diện và tất cả các trang web có cụm từ liên quan đến từ đại diện sẽ bị lọc.
Ví dụ bạn nhập từ "nhac" thì tất cả các trang như www.nhacso.net,
www.nghenhac.info, tapchiamnhac.net sẽ bị cấm truy cập (Hình 7). Ngoài ra bạn
còn có thể khóa các tập tin tự động chạy như ActiveX
Lọc Web theo chủ đề được phân loại bởi SurfControl
Hìn
h 8. Lọc dịch vụ bằng SurfControl
Bạn có thể thực hiện lọc trang web theo chủ đề đã được phân loại sẵn bởi
SurfControl - một trong các nhà cung cấp phân tích và phân loại website hàng đầu
thế giới. Ví dụ bạn có thể chỉ cho phép truy cập vào những trang web học tập, xem
film, hay chỉ cho phép truy cập trang tin tức, thời sự nhưng không được truy cập
trang liên quan đến chính trị tất cả đều có thể thực hiện dễ dàng qua vài thao tác
nhấn chuột (Hình 8).