Vigor2930, Vigor2950 và VigorPro5500/5510 là những router có hỗ trợ tính năng SSL cho phép người dùng có thể trồuy cập được các máy chủ được bảo mật cao thông qua môi trường Internet. Chúng tôi cung cấp 1 ứng dụng dùng chung như một tài liệu tham khảo bao gồm mô tả các trường hợp và cấu hình trên giao diện Web.
SSL bao gồm SSL Web Proxy và SSL VPN .
1. SSL Web Proxy:
Giới thiệu:
Để có thể truy cập vào máy chủ Web đứng phía sau 1 NAT Router, bạn có 2 cách sau:
Cách 1: Mở các Port liên quan (thường là Port 80) trên router.
Cách 2: Kết nối VPN truyền thống (PPTP, L2TP hoặc IPSec) đến router.
Nhược điểm của 2 cách làm trên:
1/ Nếu máy chủ Web mang tính riêng tư hoặc có các thông tin được giới hạn và chỉ có thẩm quyền mới được phép truy cập, mở Port là lổ hổng cho những Hackers khai thác tấn công hoặc truyền dữ liệu. Trong trường hợp này, hầu hết các Admin đều không chọn cách mở Port.
2/ Nếu nhân viên của bạn phải đi công tác xa, và muốn VPN về công ty để lấy thông tin. Thông thường trong trường hợp này nhân viên của bạn sẽ không thể thực hiện được vì có thể bị ngăn chặn bởi tường lửa hoặc bởi các chính sách bảo mật (ví dụ như tại sân bay hoặc khách sạn,…). Điều này sẽ ảnh hưởng tới công việc kinh doanh của bạn.
Ở đây chúng tôi sẽ giới thiệu cho các bạn một giải pháp tốt hơn, có thể giúp cho bạn giải quyết được vấn đề trên. Đó là giải pháp sử dụng tính năng SSL Web Proxy.
Ưu điểm của “SSL Web Proxy”:
Có 2 chế độ hỗ trợ tính năng này là chế độ “Secured Port Redirection” và chế độ “SSL”.
Chế độ “Secured Port Redirection”: Hoạt động như “Open Port” nhưng router chỉ mở port ngẫu nhiên và tạm thời. Port ngẫu nhiên này chỉ được mở khi phiên kết nối được thành lập và đóng lại khi ngắt kết nối.
Chế độ “SSL”: Sử dụng “HTTPS” để tạo thành 1 kết nối bảo mật, có thể chặn được các port thông thường (ví dụ: port 80, 1723, 50, 51,…). Không “NAT” nếu không tương thích. Không yêu cầu phải có nhiều IP tĩnh, và 1 kết nối VPN là không cần thiết.
Mô Hình Ứng Dụng:
OTRS là 1 hệ thống làm việc, chỉ cho phép bộ phận Support được truy cập. Gforge là 1 hệ thống khác chỉ cho phép các bộ phận Support, Sales, Ramp;D .v.v…được truy cập. Cả 2 hệ thống này hoạt động dựa trên dịch vụ Web. User A thuộc bộ phận support, User B thuộc bộ phận sales. Họ là những nhân viên thường xuyên đi công tác xa và cần truy cập vào hệ thống của công ty.
Trong trường này chúng tôi sử dụng Vigor2950 để thực hiện.
Các bước cấu hình trên Router Vigor2950:
Bước 1: Mở trang cấu hình của Router chọn “SSL VPN” gt;gt; “SSL Web Proxy” và thiết lập 2 mục.
Bước 2: Nhập tên cho hệ thống OTRS. Nếu máy chủ Web đã cho phép truy cập trực tiếp thông qua địa chỉ IP, bạn có thể nhập vào theo định dạng http://ip/directory trong mục “URL”. Trường hợp này là http://172.17.1.40/login.pl
Nếu bạn nhập vào địa chỉ IP trong mục “URL” , bạn không cần thiết lập mục “Host IP Address”.
Bước 3: Nhập tên cho hệ thống Gforge. Nếu như máy chủ Web bị giới hạn và phải truy bằng tên miền, bạn phải nhập vào “URL” theo định dạng http://domain_name/directory. Trong trường hợp này là http://swm.gforge.com. Nhập địa chỉ IP của máy chủ Web trong mục “Host IP Address”.
Bước 4: click chọn mục “SSL VPN” gt;gt; “User Account”, tạo 2 tài khoản cho User A và User B.
Bước 5: Kích hoạt tài khoản. Nhập “user name/password” cho User A. Nếu bạn chỉ muốn user này sử dụng tính năng “SSL Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới Router của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là cả 2 hệ thống OTRS và Gforge) cho User A.
Bước 6: Kích hoạt tài khoản. Nhập “username/password” cho User B. Nếu bạn chỉ muốn user này chỉ sử dụng tính năng “SSL Web Proxy”, bạn có thể vô hiệu hóa hết tất cả dịch vụ VPN trong “Profile” này. Nếu không người dùng có thể VPN tới Router của bạn bằng user này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt các máy chủ Web (trong trường hợp này là chỉ có 1 hệ thống Gforge) cho User B.
Bước 7: “System Maintenance” gt;gt; “Management”. Kích hoạt “HTTPS Server”, nếu bạn không muốn sử dụngPort mặc định “TCP 443”, bạn có thể thay đổi. Trong trường hợp này chúng tôi đổi sang “Port 44443”.
Hướng dẫn các bước User A sử dụng “Web Proxy”
Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập theo địa chỉ https://210.243.151.187:4443.
Bước 2: I.E 6 sẽ hiển thị “Security alert”theo bên dưới, bạn hãy chấp nhận và chọn “Yes”.
I.E7 sẽ hiển thị “Security alert” theo bên dưới, bạn hãy chấp nhận và chọn “Continue to this website (not recommended)”.
Bước 3: Xuất hiện cửa sổ đăng nhập, nhập thông tin “username/password” cho User A.
Bước 4: Nếu đăng nhập thành công, bạn sẽ thấy cửa sổ như hình bên dưới.
Bước 5: Trang này sẽ liệt kê tất cả các site mà bạn cho phép truy cập. Trong trường hợp này là OTRS và Gforge cho User A. Nhưng bạn vẫn không có thể truy cập chúng tại thời điểm này.
Bước 6: Sau khi ấn nút “Acitive”, nút này sẽ chuyển sang “Deactive”. OTRS và Gforge sẽ chuyển thành OTRS và Gforge. Bây giờ bạn có thể truy cập đến hệ thống OTRS và Gforge bằng cách Click vào đường Link OTRS và Gforge.
Hệ thống OTRS
Hệ thống Gforge
Bước 7: Sau khi truy cập, để đóng phiên làm việc và Port thì bạn phải ấn nút “Deactive” hoặc đơn giản hơn là đóng trình duyệt web.
Các bước sử dụng “Web Proxy” cho User B
Các bước tương tự như trên, chỉ thông báo rằng sau khi đăng nhập thành công, trang “SSL Web Proxy” chỉ hiển thị hệ thống Gforge cho User B. Giới hạn của “Secure Port Redirection”. Chỉ hỗ trợ cho dịch vụ Web, những máy chủ Web phải nằm cùng lớp mạng với Router Vigor. Và những máy chủ Web đó phải trỏ “Default Gateway” về Router. Trong trường hợp này Router Vigor là 1 “SSL Web Proxy”.
Mô Hình Ứng Dụng
OTRS là hệ thống làm việc được kết nối trực tiếp với phía sau Router và nằm cùng lớp mạng Vigor2950. Máy chủ Web Mail là 1 hệ thống khác đứng phía sau Router hoặc bên ngoài Internet và nằm ở 1 lớp mạng khác với Vigor2950.User A là nhân viên thường xuyên đi công tác và cần truy cập vào cả 2 hệ thống từ bên ngoài Internet.
Các bước cấu hình router
Bước 1: Từ trang cấu hình của Vigor2950, chọn “SSL VPN” gt;gt; “SSL Web Proxy” thiết lập 2 mục.
Bước 2: Nhập tên cho hệ thống OTRS. Nếu máy chủ Web cho phép truy cập trực tiếp thông qua đại chỉ IP, bạn có thể nhập theo định dạng http://ip/directory trong mục “URL”.Trong trường hợp này http://172.17.1.40/login.pl. Nếu bạn nhập vào IP trong mục “URL” thì bạn không cân nhập vào mục “Host IP Address”.
Bước 3: Nhập tên cho Web Mail. Nếu máy chủ Web chỉ truy cập bằng tên miền, bạn phải nhập theo định dạnghttp://domain_name/directory trong mục “URL”. Trong trường hợp này là http://ms.mailserver.com. Nhập địa chỉ IP của Web Mail trong mục “Host IP Address”. Chọn “SSL”.
Bước 4: Vào trang cấu hình của Vigor2950, tại “SSL VPN” gt;gt; “User Account” tạo tài khoản cho User A.
Bước 5: Kích hoạt tài khoản. Nhập “username/password” cho User A. Nếu không cần thiết bạn có thể vô hiệu hóa tất cả các dịch vụ của VPN trong “Profile” này. Nếu không những người dùng đó vẫn có thể kết nối VPN đến Router của bạn bằng tài khoản này. Kích hoạt “SSL Web Proxy”, sau đó kích hoạt những máy chủ Web liên quan (trong trường hợp này là cả 2 hệ thống OTRS và WebMail) cho User A.
Bước 6: Tại “System Maintenance” gt;gt; “Management” kích hoạt “HTTPS Server”. Nếu bạn không muốn sử dụng Port mặc định, bạn có thể thay đổi sang “Port 4443”.
Hướng dẫn sử dụng cho User A
Bước 1: Mở trình duyệt Web (I.E hoặc Firefox), truy cập vào trang https://218.242.130.126: 4443.
Bước 2: Nếu là trình duyệt I.E6 sẽ hiển thị thông báo. Bạn chấp nhận và chọn nút “Yes”.
Nếu là I.E7 sẽ hiển thị thông báo. Bạn chấp nhận và chọn “Continue to this website (not recommended)”.
Bước 3: Tại cửa sổ đăng nhập, nhập tài khoản và mật khẩu cho User A.
Bước 4: Nếu đăng nhập thành công, bạn sẽ nhìn thấy cửa sổ như bên dưới.
Bước 5: Trang này sẽ liệt kê tất cả các Web Sites mà bạn cho phép truy cập. Trong trường hợp này là OTRS và WebMail cho User A. Bây giờ bạn có thể truy cập bằng cách click chuột vào Links.
Hệ thống OTRS
Hệ thống WebMail
So sánh “Secured Port Redirection” và “SSL”.
Cả 2 đều chỉ hỗ trợ dịch vụ Web.
Chế độ “Secued Port Redirection” chỉ làm việc nếu những máy chủ Web nằm cùng lớp mạng với “SSL Web Proxy”. Chế độ “SSL” thì không có giới hạn này.
Nếu máy chủ Web chứa trình điều khiển “AxtiveX”, tốt hơn bạn nên chọn chế độ “Secured Port Redirection” .
Máy bộ đàm cầm tay SFE ST50 là dòng bộ đàm cao cấp của hãng SFE với chức năng mạnh mẽ, chắc chắn, an toàn rơi rớt và chống nước cấp độ IP65, nâng cao hiệu suất..
Sản phẩm Bộ máy hẹn giờ phát nhạc tự động AZ365 theo lịch trình này được phát triển thích hợp phục vụ cho nhà hàng, quán cafe, trường học, nhà xưởng, công sở,...
Sản phẩm không cần dùng amplifier, chỉ cần Nguồn điện 220V và USB, khi có người hoặc sự chuyển động trong khu vực cảm biến thì loa tự động phát nhạc, ứng dụng p..
Bộ lưu điện cho 8 Camera TORA CCTV 8 - CCTV POWER BANK là dòng sản phẩm máy lưu điện được thiết kế chuyên dụng cho hệ thống camera giám sát an ninh cho dân dụ..
Đầu beam báo trộm hàng rào 2 tia ABT-100V3 là thiết bị báo động khi có kẻ đột nhập chắn ngang tia hồng ngoại được truyền giữa 2 đầu của thiết bị, Ngoài ra hàng ..
Bộ loa báo giờ tự động KS-28USB (mở nhạc, reng chuông cho văn phòng, nhà xưởng, trường học) đơn giản dễ sử dụng, thích hợp cho nhà xưởng, công ty, trường học. ...
Đầu beam báo trộm hàng rào 2 tia ABT-100V3 là thiết bị báo động khi có kẻ đột nhập chắn ngang tia hồng ngoại được truyền giữa 2 đầu của thiết bị, Ngoài ra hàng ..
Sản phẩm Bộ máy hẹn giờ phát nhạc tự động AZ365 theo lịch trình này được phát triển thích hợp phục vụ cho nhà hàng, quán cafe, trường học, nhà xưởng, công sở,...
Sản phẩm không cần dùng amplifier, chỉ cần Nguồn điện 220V và USB, khi có người hoặc sự chuyển động trong khu vực cảm biến thì loa tự động phát nhạc, ứng dụng p..
Tiếp nhận nhu cầu của khách hàng. Đội ngũ kỹ thuật sẽ trực tiếp khảo sát công trình để đưa ra giải pháp tối ưu nhất.
THIẾT KẾ
Sau khi lựa chọn được giải pháp tối ưu, kỹ sư thiết kế của công ty bắt đầu thiết kế, đem lại giải pháp tối ưu cho chủ đầu tư.
THI CÔNG
Quá trình thi công an toàn, hoàn thành đúng tiến độ. Với đội ngũ kỹ thuật >10 năm kinh nghiệm.
BẢO TRÌ
Quá trình vận hành hệ thống ổn định trước khi bàn giao. Bảo dưỡng định kỳ. Hỗ trợ, tiếp nhận yêu cầu của khách hàng.
ĐỐI TÁC CHIẾN LƯỢC
Chúng tôi là đại lý phân phối, lắp đặt ủy quyền của các thương hiệu lớn trên tất cả thế giới trong lĩnh vực an ninh
KHÁCH HÀNG TIÊU BIỂU
Xin chân thành cảm ơn quý Công ty, Đơn vị, Cá nhân Đã - đang và sẽ ủng hộ chúng tôi... Chúng tôi luôn trân trọng và sẽ cố gắng hơn nữa để thắt chặt tình hữu nghị.....Chúng tôi luôn mong muốn được hợp tác với các đơn vị, cá nhân tổ chức doanh nghiệp trên địa bàn TP. Hồ Chí Minh và các tỉnh lân cận.
Sau đây là một số công trình tiêu biểu và những khách hàng thân thiết mà Giải pháp an ninh Khánh An đã có cơ hội được hợp tác, ngoài ra còn rất nhiều những khách hàng cá nhân đã ủng hỗ chúng tôi.
xem thêm