Cài đặt và quản trị Microsoft Proxy Server Trang 1
DỊCH VỤ PROXY
1. Giới thiệu về cơ chế bảo mật cho hệ thống mạng
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Điểm yếu
đó chính giảm khả năng bảo mật cho hệ thống thông tin nội bộ. Bởi vì nếu hệ thống chỉ
giới hạn trong nội bộ của cơ quan thì không có vấn đề gì, nhưng khi đã kết nối Internet thì
phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài nguyên quý giá -
nguồn thông tin - như chế độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho
phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền, và phương
pháp chống rò rỉ thông tin trên các mạng truyền dữ liệu công cộng (Public Data
Communication Network). Yêu cầu xây dựng hệ thống an ninh ngày càng quan trọng vì
những lý do sau:
+ Các đối thủ cạnh tranh luôn tìm cách để nắm được mọi thông tin của những
người cạnh tranh.
+ Các tay hacker tìm cách xâm nhập phá hoại hệ thống mạng nội bộ …
a) Firewall là gì
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn
tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác
không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữa
mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không
tin tưởng mà thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc
nhiều hệ thống máy chủ kết nối với bộ định tuyến (router) hoặc có chức năng
router. Về mặt chức năng, firewall có nhiệm vụ:
+ Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông
qua firewall.
+ Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network)
mới được quyền lưu thông qua firewall.
Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :
• Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ

thống mạng nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài
khoản (account) bao gồm một tên user (user name) và mật khẩu (password).
• Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên
cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử
dụng.
• Quản lý kế toán (Accounting Management): cho phép ghi nhận tất cả các sự kiện
xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo
từng thời điểm (ngày/giờ) và thời gian truy cập, vùng tài nguyên nào đã được sử
dụng hoặc thay đổi bổ sung …
b) Các loại firewall và cơ chế hoạt động
• Bộ lọc packet (packet filtering)
Cài đặt và quản trị Microsoft Proxy Server Trang 2
Loại firewall này thực hiện việc kiểm tra số nhận dạng của địa chỉ của các packet
để cho phép chúng lưu thông qua lại được hay không. Các thông số có thể lọc được
của một packet như:
⇒ Địa chỉ IP nơi xuất phát (source IP address).
⇒ Địa chỉ IP nơi nhận (destination IP address).
⇒ Cổng TCP nơi xuất phát (source TCP port).
⇒ Cổng TCP nơi nhận (destination TCP port).
Firewall loại này cho phép kiểm soát được kết nối vào máy chủ hoặc mạng nào đó
được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ
không cho phép. Ngoài ra nó còn cho phép kiểm soát việc sử dụng những dịch vụ
chạy trên hệ thống mạng nội bộ thoe các cổng TCP mà các dịch vụ Internet sử
dụng.
• Cổng ứng dụng (Application gateway)
Đây là loại firewall được thiết kế tăng cường để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt
động của nó dựa trên Proxy Service (dịch vụ đại diện): một ứng dụng nào đó được
đại diện bởi một Proxy Service trong khi các Proxy Service chạy trên các hệ thống
máy chủ thì được quy chiếu đến application gateway của firewall. Cụ thể hơn, khi

một ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy
Server trong mạng sẽ nhận yêu cầu này và chuyển đến server trên Internet. Khi
server trên Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho máy
trong mạng nội bộ đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ
chế “đại diện” của application gateway cung cấp một khả năng an toàn và uyển
chuyển hơn, đặc biệt khi kiễm soát các truy cập từ bên ngoài.
Ví dụ một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng
TELNET vào hệ thống ngoại trừ một máy duy nhất - TELNET application gateway
là được phép. Một người muốn sử dụng dịch vụ TELNET muốn kết nối vào hệ
thống phải qua các bước sau:
⇒ Thực hiện telnet vào TELNET application gateway rồi cho biết tên của máy
chủ bên trong còn truy cập.
⇒ Gateway kiểm tra địa chỉ IP nơi xuất phát của ngưòi truy cập để cho phép hoặc
từ chối.
⇒ Người truy cập phải vượt qua hệ thống kiểm tra xác thực.
⇒ Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.
⇒ Proxy Service liên kết lưu thông giữa ngưòi truy cập và máy chủ trong mạng
nội bộ.
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng
dụng đang phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các
ứng dụng, nguy cơ mất an toàn sẽ tăng lên.
c) Microsoft Proxy server
Microsoft Proxy Server là một phần mềm proxy có chức năng firewall kết hợp giữa
cơ chế lọc packet và cổng ứng dụng. Nó hỗ trợ hầu hết các chuẩn Internet, bao gồm
HTTP, FTP, Real Audio (streaming audio), VDOLive (streaming video), IRC
(Internet relay Chat) và các giao thức cho dịch vụ mail và tin tức. Microsoft Proxy
Cài đặt và quản trị Microsoft Proxy Server Trang 3
Server hỗ trợ cho giao thức IPX/SPX nên nếu hệ thống chạy Novell Netware không
cần phải cài đặt TCP/IP. Microsoft Proxy Server cung cấp các khả năng sau:
+ Mở rộng các ứng dụng Internet cho các máy desktop trong hệ thống mạng nội bộ.

Trong một số trường hợp, Microsoft Proxy Server giúp giảm nhẹ việc quản trị
các máy trạm trong mạng.
+ Có thể tăng hiệu suất và khả năng truy cập các dịch vụ Internet cho mạng nội bộ
nhờ đặc tính tích hợp chặt chẽ với Windows NT và khả năng cache cao.
+ Thiết lập cơ chế giám sát, điều khiển việc truy cập giữa hệ thống mạng nội bộ và
Internet.
+ Tích hợp với Windows Windows Windows NT, mang lại hiệu suất cao và dễ
dàng quản trị.
Với Microsoft Proxy Server, client có thể truy cập Internet thông qua Web Proxy
Service hoặc Winsock Proxy Service.
Web Proxy Service có các tính năng và đặc điểm sau:
+ Tương thích với CERN-proxy.
+ hỗ trợ các giao thức Internet thông dụng như HTTP, FTP và Gopher.
+ Cache các đối tượng HTTP để giảm thời gian truy cập.
+ Tăng cường khả năng bảo mật nhờ các chương trình quản lý xác thực
(authentication).
+ Lưu lại việc sử dụng các dịch vụ Internet của user.
+ Giới hạn việc truy cập Internet bằng cách “lọc” theo địa chỉ IP, theo nhóm, theo
domain.
+ Dễ dàng quản trị nhờ các công cụ đồ họa.
Winsock Proxy Service có các đặc điểm và tính năng sau:
+ Tăng cường bảo mật với các chương trình quản lý xác thực.
+ Tương thích với các ứng dụng dùng Windows Sockets version 1.1
+ Điều khiển các kết nối vào/ra theo các cổng TCP hoặc UDP của từng dịch vụ cụ
thể: SMTP, POP3, Telnet, NNTP …
+ Giới hạn việc truy cập các site Internet bằng cách lọc theo tên domain, địa chỉ IP,
theo user hay nhóm người dùng.
+ Lưu lại việc sử dụng các dịch vụ của user để quản lý.
+ Có thể dùng với mọi máy client Windows.
Cài đặt và quản trị Microsoft Proxy Server Trang 4

2. Cấu hình hệ thống khi sử dụng Microsoft Proxy Server
Thông thường Microsoft Proxy Server hoạt động như một gateway nối giữa hai
mạng, mạng bên trong và mạng bên ngoài.
Đường kết nối giữa Microsoft Proxy Server và Internet thông qua Internet Service
Provider có thể chọn một trong các cách sau:
• Dùng modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP và truy cập
Internet. Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8 Kbps - 36.6 Kbps, hiện
nay đã có modem analog tốc độ 56.6 Kbps nhưng chưa được thử nghiệm nhiều.
Phương pháp dùng dial-up qua modem analog thích hợp cho các tổ chức nhỏ, chỉ
có nhu cầu sử dụng dịch vụ Web và e-mail.
• Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) đã khá
phổ biến ở một số nước tiên tiến. Dịch vụ này dùng tín hiệu số trên đường truyền
nên không cần modem analog, cho phép truyền cả tiếng nói và dữ liệu trên một đôi
dây. Các kênh thuê bao ISDN (đường truyền dẫn thông tin giữa người sử dụng và
mạng) có thể đạt tốc độ từ 64 Kbps đến 138,24 Mbps. Dịch vụ ISDN thích hợp cho
các công ty vừa và lớn, yêu cầu băng thông lớn mà việc dùng modem analog không
đáp ứng được.
Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Microsoft Proxy
Server với Internet hoặc thông qua một router. Dùng dial-up đòi hỏi phải có modem
analog, dùng ISDN phải có bộ phối ghép ISDN cài trên server.
Cài đặt và quản trị Microsoft Proxy Server Trang 5
Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào yêu cầu cụ thể của
công ty, ví dụ như số người cần truy cập Internet, các dịch vụ và ứng dụng nào
được sử dụng, các đường kết nối và cách tính cước mà ISP có thể cung cấp.
3. Cài đặt Microsoft Proxy Server và Microsoft Proxy Client
a) Khái niệm bảng LAT:
Khi cài đặt Microsoft Proxy Server, trình Setup sẽ giúp tạo ra một bảng danh sách
các địa chỉ IP chứa địa chỉ của các máy trong mạng nội bộ. Các máy có địa chỉ IP
nằm trong bảng LAT sẽ được Microsoft Proxy Server xem như là thuộc mạng bên
trong, do đó đặc biệt phải loại mọi địa chỉ IP của mạng ngoài ra khỏi danh sách.

Trình Setup cài bảng LAT lên server trong file Msplat.txt đặt trong thư mục ngầm
định là C:\msp\clients và share thư mục này với tên Mspclnt. Các máy client có thể
ánh xạ đến thư mục share này và chạy trình Setup cho client và thử cấu hình
browser của máy client như là client có Web Proxy Service.
Khi cài đặt máy client, trình Setup chép file LAT về máy client, và được cập nhật
từ server theo những khoảng thời gian xác định. Khi một ứng dụng Windows
Socket thử thiết lập kết nối đến địa chỉ IP, bảng LAT dùng để xác định máy này
thuộc mạng bên trong hay bên ngoài. Nếu là bên trong, kết nối sẽ là trực tiếp,
ngược lại thì phải thông qua Microsoft Proxy Server.
Cấu trúc bảng LAT như sau (xem hình):
b) Cài đặt Microsoft Proxy Server
Cài đặt và quản trị Microsoft Proxy Server Trang 6
Các yêu cầu cho server:
+ Phần cứng:
⇒ Yêu cầu đủ để chạy Windows NT server version 4.0 (xem tài liệu về Windows
NT ).
⇒ Để kết nối với Internet, phải có modem, ISDN adapters, hoặc router tùy theo
cách nối kết. Nếu sử dụng router thì server phải có hai card mạng.
+ Phần mềm:
⇒ Microsoft Windows NT Server version 4.0
⇒ Microsoft Internet Information Server version 2.0
⇒ Windows NT Server 4.0 Service Pack 3]
⇒ Server phải cài đặt TCP/IP.
⇒ Trường hợp dùng modem thì cài thêm dịch vụ Remote Access Service (RAS).
Đặc biệt phải bỏ tùy chọn IP Fowarding trong cấu hình TCP/IP.
• Chạy chương trình Setup:
1. Kiểm tra cấu hình phần cứng và phần mềm theo đúng yêu cầu
2. Nếu chưa cài Windows NT Service Pack, từ thư mục NtUpdate của đĩa CD
Microsoft Proxy Server, chạy chương trình Update để cài.
3. Từ thư mục của đĩa/thư -mục cài đặt, chạy Setup.

4. Nhấn Continue và vào CD Key.
5. Chọn folder để cài Microsoft Proxy Server vào đĩa cứng.
6. Chọn các thành phần cần cài đặt, có 3 thành phần:
⇒ Install Proxy Server
⇒ Install Administration Tool
⇒ Install Documentation
7. Chọn đĩa chứa dữ liệu cache, và đặt kích thước tối đa trong hộp Maximum Size
(MB). Dung lượng này ít nhất là 100 MB cộng với 0.5 MB cho mỗi Web Proxy
Service client. Chọn OK.
8. Trong hộp thoại , cho phép xác định các địa chỉ của mạng nội bộ bên trong, chú
ý phải loại bỏ mọi địa chỉ bên ngoài khỏi danh sách.
9. Để thêm 3 phạm vi địa chỉ LAT do IANA định nghĩa sẵn dùng cho các mạng
nội bộ không có kết nối đến Internet, chọn Add the private ranges.
10. Để lấy các địa chỉ IP từ card mạng của server, chọn Load from Windows
NT Internal Routing Table và làm theo các hướng dẫn.
⇒ Nếu không biết các card mạng kết nối vào server, chọn Load known address
ranges from all IP interface cards.
⇒ Nếu biết card mạng nào nối với mạng nội bộ, card nào nối với Internet, thì chọn
Load known address from the folowing IP interface card. Sau đó chọn card
mạng nào sẽ dùng để lấy bảng routing từ đó.
11. Sau khi chọn xây dựng cấu hình bảng LAT, nhấn OK. Khi đó hộp thoại
Local Address Table Configuration xuất hiện, danh sách các cặp địa chỉ IP
(địa chỉ bắt đầu - địa chỉ kết thúc) xuất hiện. Kiểm tra danh sách này, sử dụng
các nút Add: thêm vào một cặp địa chỉ; Edit: thay đổi một cặp địa chỉ đã có;
Remove: loại bỏ một cặp địa chỉ đã có.
Cài đặt và quản trị Microsoft Proxy Server Trang 7
12. Sau khi bảng FAT đã cấu hình xong, nhấn OK. Hộp thoại Client
Instalation/Configuration xuất hiện. Sử dụng hộp thoại này để vào các thông
tin mà chương trình Setup client dùng để cài đặt Microsoft Proxy client.
13. Dùng các chọn lựa dưới Winsock Proxy Client để mô tả trình Setup sẽ cấu

hình Winsock Proxy Client.
⇒ Chọn Machine or DNS Name hoặc IP Address. Nếu chọn Machine or DNS
Name, kiểm tra lại tên cho chính xác.
⇒ Nếu hộp kiểm tra Enable Access Control được chọn, Winsock Proxy Service
security được cho phép, và chỉ những client nào có quyền mới sử dụng được
dịch vụ Winsock Proxy Service trên server, còn nếu không chọn, tất cả mọi
máy bên trong đều có quyền sử dụng Microsoft Proxy Server trên server.
14. Dùng các chọn lựa trong Web Proxy Client để mô tả các thông tin cấu
hình dùng khi cài đặt Web Proxy client.
⇒ Chọn Set Client Setup to Configure Browser Proxy Settings để trình Setup
cấu hình browser của client như là một Web Proxy client (browser phải là
Netscape Navigator hoặc Microsoft Internet Explorer). Khi chọn tùy chọn này,
kiểm tra lại tên trong Proxy to be Used by Client có chính xác không. Đồng
thời kiểm tra trong Client Connects to Proxy via Port xem giá trị port mà Web
proxy client dùng .
⇒ Khi hộp kiểm tra Enable Access Control được chọn, thì nếu client kết nối với
server, server sẽ kiểm tra client này có hợp lệ hay không.
15. Sau khi cấu hình xong nhấn OK. Trình Setup sẽ cài đặt Microsoft Proxy
Server.
c) Cài đặt lại Microsoft Proxy Server
• Thêm hoặc loại bỏ các thành phần trong Microsoft Proxy Server
1. Từ thư mục chứa trình cài đặt, chạy Setup. Hộp thoại Setup xuất hiện.
2. Chọn Add/Remove, và theo các hướng dẫn trên màn hình
• Khôi phục các file bị lỗi : chạy trình Setup, chọn Reinstall
d) Loại bỏ Microsoft Proxy Server
+ Từ nhóm chương trình của Microsoft Proxy Server, chọn Uninstall
+ Hoặc chạy trình Setup, chọn Remove All
+ Hoặc dùng mục Add/Remove Program trong Control Panel để loại bỏ
e) Cài đặt Microsoft Proxy Client
• Cài đặt Client dùng trình Setup

⇒ 1. Từ máy client, kết nối vào thư mục share Mspclnt trên server. Ví dụ nếu tên
server là Proxy, thì kết nối đến \\Proxy\Mspclnt.
⇒ 2. Từ thư mục share Mspclnt, chạy trình Setup.
• Cài đặt Client từ Web browser
⇒ Từ Web browser trên client, kết nối vào trang cài đặt bằng cách gõ vào URL
http://server_name/Msproxy
⇒ Theo các hướng dẫn trên màn hình để cài đặt: đầu tiên file Setup.exe sẽ được
download về client, sau đó cho chạy trình Setup. Việc cài đặt rất đơn giản, chỉ
có một thao tác là chọn folder để chứa các file được cài đặt.