Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Tôi có thể sử dụng máy chủ rẽ tự lưu trữ để bỏ qua các sự cố tường lửa không


Tôi có thể sử dụng máy chủ rẽ tự lưu trữ để bỏ qua các sự cố tường lửa không


Một lượt tự lưu trữ (truyền tải sử dụng rơle xung quanh NAT) thực sự có thể được sử dụng để giải quyết các vấn đề tường lửa và NAT Traversal thường phát sinh khi các kết nối ngang hàng trực tiếp bị chặn hoặc hạn chế bởi tường lửa hoặc NAT trong các kịch bản mạng, đặc biệt là trong các ứng dụng giao tiếp thời gian thực như WEBRTC.

Máy chủ rẽ là gì và tại sao sử dụng nó?

Máy chủ Turn có chức năng như một rơle giữa hai đồng nghiệp đang cố gắng giao tiếp qua mạng khi giao tiếp ngang hàng trực tiếp thất bại do tường lửa hạn chế hoặc chính sách NAT. Không giống như Stun (các tiện ích truyền tải phiên cho NAT), chủ yếu hỗ trợ xác định địa chỉ IP công cộng và ánh xạ cổng nhưng không chuyển tiếp lưu lượng truy cập, bật máy chủ cho phép lưu lượng truy cập truyền thông và dữ liệu được gửi qua rơle, đảm bảo giao tiếp có thể tiến hành ngay cả trong môi trường mạng bị hạn chế cao.

Làm thế nào tường lửa và NATS ảnh hưởng đến kết nối

Tường lửa và Trình dịch địa chỉ mạng (NATS) có thể ngăn chặn các kết nối đến trực tiếp vì lý do bảo mật. NAT sửa đổi thông tin địa chỉ IP trong các tiêu đề gói, thường tạo ra các thách thức cho lưu lượng truy cập trong nước, trong khi tường lửa chặn có chọn lọc các cổng và các loại lưu lượng truy cập. Những hạn chế này thường ngăn chặn các kết nối ngang hàng trực tiếp, điều này rất cần thiết cho nhiều ứng dụng giao tiếp thời gian thực. Một máy chủ rẽ giảm thiểu điều này bằng cách hoạt động như một rơle trung gian.

Sử dụng máy chủ rẽ tự lưu trữ cho Bỏ qua tường lửa

Một máy chủ rẽ tự lưu trữ cung cấp các lợi thế về quyền kiểm soát và quyền riêng tư khi bỏ qua các hạn chế tường lửa so với sử dụng các dịch vụ rẽ công cộng hoặc bên thứ ba. Nó cho phép các tổ chức hoặc cá nhân duy trì quyền sở hữu cơ sở hạ tầng tiếp sức, đảm bảo không có bên thứ ba nào xử lý lưu lượng truy cập của họ.

Bằng cách triển khai một máy chủ rẽ, vai trò máy khách và máy chủ có thể giao tiếp thông qua rơle lượt nếu giao tiếp trực tiếp bị chặn. Cách tiếp cận này hoạt động mà không có người dùng phải sửa đổi các quy tắc tường lửa, mở cổng hoặc vô hiệu hóa các biện pháp bảo mật.

Cân nhắc thiết lập kỹ thuật cho máy chủ rẽ

Tự lưu trữ một máy chủ rẽ thường liên quan đến việc chạy phần mềm như Coturn, một trong những lượt quay nguồn mở phổ biến nhất và triển khai máy chủ choáng. Máy chủ thường lắng nghe trên cả cổng UDP và TCP. TCP và lật TLS (thường là trên cổng 443) đảm bảo lưu lượng truy cập trông giống như lưu lượng HTTPS bình thường, cải thiện khả năng tương thích với tường lửa hạn chế.

Ghi chú cấu hình chính bao gồm:

- Cổng: Các cổng quay/choáng mặc định như UDP 3478 thường bị chặn bởi tường lửa của công ty hoặc nghiêm ngặt, do đó, việc định cấu hình lượt nghe trên các cổng thông thường như TCP 443 (cổng HTTPS) được khuyến nghị.

- TLS: Sử dụng các TLS TLS mã hóa dữ liệu và ngụy trang lưu lượng truy cập chuyển tiếp dưới dạng HTTPS, giúp bỏ qua hầu hết các kiểm tra nội dung tường lửa.

- Xác thực: Máy chủ Turn yêu cầu xác thực để ngăn chặn lạm dụng. Các cơ chế chứng chỉ dài hạn hoặc thông tin tồn tại trong thời gian ngắn được sử dụng.

- Cấu hình địa chỉ IP: Máy chủ phải được cấu hình chính xác với địa chỉ IP công khai nếu đứng sau NAT.

Các khía cạnh bảo mật

Các biện pháp bảo mật thích hợp phải được thực hiện khi chạy máy chủ rẽ tự lưu trữ vì nó hiển thị các dịch vụ chuyển tiếp trên internet:

- Sử dụng các phương pháp xác thực an toàn như xác thực dài hạn với các bí mật được chia sẻ hoặc thông tin xác thực động khi hết hạn.

-Thực hiện giới hạn tỷ lệ và giám sát để ngăn chặn các cuộc tấn công lạm dụng hoặc từ chối dịch vụ.

- Sử dụng mã hóa TLS để bảo vệ tính toàn vẹn và bảo mật dữ liệu.

- Giữ cho máy chủ và phần mềm được cập nhật thường xuyên cho các bản vá bảo mật.

Thử thách triển khai và Bỏ qua tường lửa

- Một số tường lửa chặn lưu lượng UDP hoặc các cổng không chuẩn, có thể vô hiệu hóa chức năng chuyển tiếp của máy chủ khi chỉ sử dụng UDP. Sử dụng TCP và TLS trên cổng 443 giúp bỏ qua các giới hạn này vì hầu hết các tường lửa cho phép lưu lượng HTTPS ra nước ngoài.

- Lưu lượng truy cập bằng giọng nói/video/dữ liệu thông qua máy chủ Turn giới thiệu thêm độ trễ và chi phí băng thông do rơle, nhưng thường cần phải duy trì kết nối trong môi trường hạn chế.

- Trong một số môi trường mạng với các chính sách tường lửa cực kỳ hạn chế, ngay cả một máy chủ rẽ có thể không đảm bảo hoàn toàn bỏ qua mà không có cấu hình mạng bổ sung hoặc sử dụng VPN.

- Các phương pháp thay thế để bỏ qua tường lửa bao gồm sử dụng VPN hoặc triển khai máy chủ ứng dụng trong môi trường đám mây nơi các cổng có thể được mở tự do hơn.

Cách quay máy chủ hoạt động trong thực tế

Trong kịch bản WEBRTC, trước tiên, khách hàng cố gắng thiết lập kết nối trực tiếp bằng ICE (Thiết lập kết nối tương tác), tận dụng các máy chủ choáng để khám phá địa chỉ công cộng. Nếu điều này không thành công do hạn chế NAT hoặc tường lửa, máy chủ Turn chuyển tiếp lưu lượng. Trình duyệt hoặc máy khách gửi phương tiện/dữ liệu của nó đến máy chủ Turn, chuyển tiếp nó sang ngang hàng khác, đảm bảo kết nối mặc dù giới hạn mạng.

Ví dụ về cấu hình sử dụng coturn

Một thiết lập Coturn điển hình bao gồm:

- Nghe trên cổng 3478 (UDP/TCP) cho Stun/Turn.

- Lắng nghe thay thế trên cổng 443 với TLS được cấu hình để bắt chước HTTPS.

- Sử dụng bí mật chung để xác thực.

- Xác định phạm vi IP để phân bổ rơle.

- Quy tắc tường lửa thích hợp cho phép TCP/UDP đến trên các cổng này.

- Ghi nhật ký và giám sát được kích hoạt để theo dõi các kết nối và sử dụng.

Giải pháp thay thế và các biện pháp bổ sung

-Chạy lượt trong đám mây hoặc sử dụng các dịch vụ rẽ được lưu trữ trên đám mây để giảm chi phí tự lưu trữ.

- Sử dụng VPN để bỏ qua hoàn toàn các hạn chế tường lửa, đôi khi được ưa thích vì lý do riêng tư.

- Điều chỉnh cấp mạng như cài đặt DMZ hoặc chuyển tiếp cổng để lộ máy khách (kém an toàn).

- Đối với các môi trường hạn chế cao, việc kết hợp sử dụng máy chủ Turn với dịch vụ VPN hoặc proxy có thể là cần thiết.

Bản tóm tắt

Một máy chủ rẽ tự lưu trữ là một công cụ hiệu quả để bỏ qua các hạn chế tường lửa và NAT trong giao tiếp thời gian thực bằng cách chuyển tiếp lưu lượng truy cập khi các kết nối trực tiếp bị chặn. Nó yêu cầu các thực tiễn cấu hình và bảo mật cẩn thận, bao gồm hỗ trợ cho TCP/TLS để pha trộn lưu lượng truy cập vào lưu lượng HTTPS được phép. Mặc dù nó thêm độ trễ và chi phí băng thông, nhưng nó thường là giải pháp khả thi nhất để đảm bảo kết nối trong môi trường mạng hạn chế mà không ảnh hưởng đến bảo mật bằng cách hiển thị các máy khách thông qua các cấu hình mạng rủi ro. Các lựa chọn thay thế như VPN hoặc lưu trữ đám mây có thể bổ sung hoặc thay thế các máy chủ tùy thuộc vào trường hợp sử dụng và các ràng buộc cơ sở hạ tầng. Cách tiếp cận này trao quyền cho người dùng kiểm soát các rơle giao tiếp của họ mà không cần dựa vào các dịch vụ của bên thứ ba, cho phép truyền tải tường lửa an toàn và đáng tin cậy.

Giải thích này bao gồm các cơ sở kỹ thuật, cấu hình, bảo mật và các khía cạnh hoạt động của việc sử dụng máy chủ rẽ tự lưu trữ để bỏ qua các vấn đề tường lửa trong truyền thông mạng.