Hướng dẫn sử dụng | NxFilter
V2.2.1, Cập nhật ngày 14/9/2017
Hà Hải Thanh - hotro @ nxfilter.org.vn - 0903256507

1. Bắt đầu sử dụng

2. Danh sách đen (Blacklist) và phân loại tên miền

3. Xác thực

4. Hướng dẫn sử dụng giao diện đồ họa

5. NxCloud

6. Tùy chỉnh và thay đổi thương hiệu của NxFilter và các phần mềm agent

7. NxClassifier

8. NxFilter như một DNS

9. Các nội dung khác

10. CÁC CÂU HỎI THƯỜNG GẶP
– Bộ lọc NxFilter sẽ không hiệu quả nếu có thể truy nhập website qua địa chỉ IP?
– NxFilter dường như bị trễ khi thực hiển chặn/bỏ chặn.
– Làm thế nào để bắt buộc người dùng trong mạng phải sử dụng NxFilter?
– NxFilter quyết định chính sách cho người dùng thế nào?
– Làm thế nào để ngăn chặn facebook.com nhanh nhất?
– Tôi có thể chặn ‘facebook.com’ chỉ với các sinh viên?
– Tôi có thể thiết lập cho phép phòng bán hàng sử dụng Internet tự do trong thời gian ăn trưa?
– Làm thế nào để thay đổi cổng web của NxFilter?
– Tôi có thể lấy lại mật khẩu admin?
– Tôi có thể liên kết NxFilter với một địa chỉ IP riêng?
– Tôi có thể bỏ qua tên miền cục bộ?
– Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?
– Vì sao tôi cần phải đăng nhập lại sau giờ nghỉ trưa?
– Tôi có thể sử dụng chứng thư số SSL riêng của mình?
– Làm thế nào để bật chế độ debug?
– Làm thế nào để ẩn cảnh báo SSL?
– Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?
– Làm thế nào để ta bỏ qua việc lưu log?
– Làm thế nào để thiết lập time zone?
– Vì sao trình duyệt của tôi bị khởi động lại sau khi NxClient khởi động?
– Làm thế nào để bắt buộc một người dùng đăng xuất?
– NxFilter stops working after ‘Queue full’ error.
– Tôi có thể ngăn chặn hiển thị kết quả khi thực hiển tìm kiếm các nội dung xấu trên Google, Youtube?
– Lỗi ‘Too many requests’ là gì?
Các yêu cầu về hệ thống
- Windows, Linux, FreeBSD hoặc các hệ điều hành được cài đặt sử dụng Java(JRE) 1.7 hoặc cao hơn.
- 768 MB RAM.
- 4 GB bộ nhớ trên ổ đĩa cứng còn trống.
- Các cổng còn trống UDP/53, TCP/80, TCP/443.

* Bạn có thể chạy NxFilter với phần cứng nhỏ hơn nhưng chúng tôi khuyến nghị cần nhiều hơn 1GB bộ nhớ hệ thống và 40GB khoảng trống của ổ đĩa cứng, đặc biệt khi bạn có hơn 1000 người dùng.

* Mặc định, NxFilter sử dụng 768 MB bộ nhớ hệ thống. Với các hệ thống lớn ta cần thêm bộ nhớ cho NxFilter, đọc thêm hướng dẫn điều chỉnh hiệu suất.

– Trở về –
Sử dụng phần mềm nào
Chúng tôi có 4 phiên bản của NxFilter gồm:

1. NxFilter v4
Bạn có thể sử dụng nó với bất kỳ mục đích nào, kể cả mục đích thương mại. Với NxFilter bạn có thể tạo riêng một sản phẩm cho mình dựa trên nó, bạn có thể mua bản quyền để thay đổi, làm lại thương hiệu, phân phối. Bản quyền thử nghiệm cho Jahaslist không hạn chế trong 30 ngày và bản quyền Jahaslist miễn phí cho 20 người dùng.

2. NxCloud
Đây là một biến thể khác của NxFilter với chức năng lọc đa chức năng trên cloud.

3. NxFilter v3
Đây là phiên bản cũ của NxFilter hỗ trợ Shallalist. Đây là phiên bản chỉ dùng cho cá nhân, không cho mục đích thương mại.

– Trở về –
Cài đặt NxFilter trên Windows
Chúng tôi cung cấp bộ cài trên Windwos, khi bạn tải về và chạy file 'nxfilter-x.x.x.exe' sẽ có các chi tiết hướng dẫn trên màn hình.

Sau khi cài đặt, ứng dụng sẽ thiết lập một dịch vụ trên windows cho NxFilter. Nếu bạn thấy thông điệp sau hiển lên thì NxFilter đã được cài đặt thành công.

Để truy nhập vào giao diện đồ họa, ta khởi động trình duyệt lên và gõ 'http://localhost/admin' trên trình duyệt, bạn cũng có thể tạo đường dẫn trên trình duyệt và chỉ cần nhắp chuột để mở nó ra. Tên đăng nhập và mật khẩu mặc định là admin.

- Trở về -
Cài đặt NxFilter trên Ubuntu Linux
Chúng tôi cung cấp bộ cài 'deb' cho NxFilter trên Ubuntu Linux. Để cài đặt nó, ta phải cài đặt Java trước. Tải gói tin về sử dụng 'wget', và cài đặt sử dụng 'dpkg'. Để khởi động nó sử dụng Systemd được cài đặt từ gói deb.

sudo apt-get install openjdk-8-jre
wget http://www.nxfilter.org/download/nxfilter-4.0.2.deb
sudo dpkg -i nxfilter-4.0.2.deb
sudo systemctl enable nxfilter.service
sudo systemctl start nxfilter.service

Để truy nhập nó từ giao diện đồ họa, mở trình duyệt và gõ địa chỉ của máy cài đặt Nxfilter để đăng nhập. Ví dụ máy cài NxFilter có địa chỉ '192.168.0.100'; ta gõ 'http://192.168.0.100/admin'; vào trình duyệt. Tên đăng nhập và mật khẩu mặc định là admin.

Khi cập nhật NxFilter sử dụng bộ cài 'deb'; và nếu cập nhật từ phiên mới (Ví dụ v4.X.X) sử dụng câu lệnh sau

sudo systemctl stop nxfilter.service
sudo dpkg -i nxfilter-4.0.3.deb
sudo systemctl start nxfilter.service

Trên các phiên bản cũ của hệ thống Ubuntu, ban có thể sử dụng Upstart thay vì Systemd. Chúng tôi sử dụng Upstart để giúp khởi động hoặc tắt dịch vụ NxFilter.

sudo start nxfilter
sudo stop nxfilter

- Trở về -
Cài đặt NxFilter sử dụng RPM
Rob Asher đã tạo bộ cài đặt RPM cho NxFilter. Ông đã phân phối gói RPM tại địa chỉ sau:

    – Rob Asher’s NxFilter-RPMs

– Trở về –
Cài đặt NxFilter trên các bản Linux khác
Khi cài đặt NxFilter trên các hệ thống Linux cần phải đáp ứng các yêu cầu sau:

– Bạn cần phải có quyền root.
– Hệ thống phải cài đặt sẵn Java 1.7 hoặc cao hơn.
– Bạn có thể khởi động NxFilter như một tiến trình chạy nền sử dụng tham số ‘-d’ trong ‘startup.sh’.

1. Tải về file ‘nxfilter-x.x.x.zip’ từ www.nxfilter.org.vn.

2. Giải nén file zip vào ‘/nxfilter’.

3. Chạy ‘chmod +x *.sh’ trong ‘/nxfilter/bin’.

4. Chạy ‘startup.sh’.

5. Để truy nhập giao diện đồ họa, khởi động trình duyệt, ví dụ nếu bạn cài đặt tại ‘192.168.0.100’ thì gõ địa chỉ ‘http://192.168.0.100/admin’ vào trình duyệt để truy nhập. Tên đăng nhập và mật khẩu mặc định đều là ‘admin’.

* Bạn cũng có thể khởi động NxFilter tự động khi khởi động hệ thống. Dòng lệnh ‘/nxfilter/bin/startup.sh -d’ trong ‘/etc/rc.local’ script với tham số ‘-d’ được sử dụng để khởi động NxFilter như là một tiến trình ngầm.

– Trở về –
Cài đặt NxFilter trên Windows theo cách thủ công
Trong phần này sẽ hướng dẫn cài đặt NxFilter trên Windows theo cách thủ công sử dụng bộ cài trong file ‘.zip’. Bạn sẽ cần phải thiết lập NxFilter khởi động như một dịch vụ của Windows với các đoạn lệnh có trong bộ cài ‘.zip’

1. Tải file ‘nxfilter-x.x.x.zip’.

2. Giải nén file ra ‘c:/nxfilter’.

3. Mở thư mục ‘c:/nxfilter/bin”.

4. Chạy ‘startup.bat’.

5. Để truy nhập giao diện đồ họa, mở trình duyệt và gõ vào địa chỉ ‘http://localhost/admin’, tên đăng nhập và mật khẩu mặc định đều là ‘admin’.

* Nếu bạn muốn khởi động NxFilter như là một dịch vụ Windows bạn chạy file ‘c:/nxfilter/bin/instsvc.bat’. File này sẽ giúp tạo dịch vụ ‘NxFilter’ trong Windows. Khi bạn gỡ bỏ NxFilter, thì chạy file ‘c:/nxfilter/bin/unstsvc.bat’.

* Để chạy NxFilter như một dịch vụ gõ lệnh ‘net start NxFilter’, để dừng dịch vụ gõ lênh ‘net stop NxFilter’ trong cửa sổ CMD.

* Sử dụng lệnh ‘net start NxCloud’ và ‘net stop NxCloud’ với NxCloud.

– Trở về –
Cập nhật NxFilter
Chúng tôi cung cấp bộ cài cho Windows và một số gói cho một số bản Linux để cài đặt và cập nhật NxFilter. Trong trường hợp không có bản tương ứng với hệ điều hành bạn đang sử dụng thì cần phải cập nhật thông qua bộ cài trong file ‘.zip’. Khi cập nhật NxFilter sử dụng gói ‘.zip’ thực hiển theo các bước sau,

1. Tải về file ‘nxfilter-x.x.x.zip’.

2. Dừng chạy NxFilter.

3. Giải nén file zip trên vào thư mục NxFilter đang sử dụng.

4. Khởi động lại NxFilter.

– Trở về –
Khởi động và dừng NxFilter
Trên Linux: Có một số script khởi động và dừng NxFilter được đặt trong thư mục ‘/nxfilter/bin’.

– Để khởi động NxFilter : startup.sh
– Để dừng NxFilter : shutdown.sh
– Để xem nếu nó đang chạy : ping.sh

Trên Windows, sử dụng file ‘.bat’ thay vì file ‘.sh’.
* Khi bạn chạy NxFilter như một dịch vụ của Windows thì sử dụng ‘net start NxFilter’ để khởi động và ‘net stop NxFilter’ để dừng.

* Sử dụng ‘net start NxCloud’ và ‘net stop NxCloud’ với NxCloud.

– Trở về –
Cài đặt DNS khách
Sau khi cài đặt NxFilter để giám sát và lọc các hoạt động Internet trong mạng, bạn cần phải thiết lập mạng để đảm bảo NxFilter là máy chủ DNS duy nhất trong mạng.

Các đơn giản nhất để thiết lập máy chủ DNS cho người dùng là thực hiển tại từng máy tính trong mạng (như trên hình). Nhưng nếu như bạn không muốn thiết lập tại tất cả các máy tính trong mạng, bạn có thể sử dụng máy chủ DHCP. Ta chỉ cần thay đổi địa chỉ máy chủ DNS server trên máy chủ DHCP thì người dùng sẽ sử dụng NxFilter như là DNS Server mặc định.

Nếu bạn sử dụng một tường lửa, bạn có thể ép tất cả người dùng sử dụng NxFilter như máy chủ DNS bằng cách chặn tất cả các lưu lượng ra ngoài trên cổng UDP/53, TCP/53. Khi đó NxFilter sẽ trở thành máy chủ DNS duy nhất mà người dùng có thể sử dụng.

– Trở về –
Xử lý khi NxFilter không khởi động
Khi NxFilter không khởi động, trước tiên phải kiểm tra lỗi trong file ‘/nxfilter/log/nxfilter.log’ để tìm nguyên nhân. Một nguyên nhân khác cần phải kiểm tra là các vấn đề về xung đột cổng và cài đặt Java. NxFilter sử dụng cổng UDP/53, TCP/80, TCP/443, nghĩa là NxFilter là một máy chủ DNS và máy chủ Web vì thế nếu có máy chủ DNS hoặc máy chủ Web nào đang chạy trên máy tính thì NxFilter sẽ không khởi động.

Về cài đặt Java, nếu bạn sử dụng bộ cài đặt NxFilter cho Windows thì hầu hết các trường hợp bạn sẽ không gặp vấn đề, nhưng nếu bạn sử dụng cách thức cài đặt thủ công hoặc không sử dụng khởi động NxFilter như là một dịch vụ của Windows thì thôi khi bạn sẽ gặp vấn đề liên quan đến Java. Để chống lại trường hợp này thì ngoài Java được cài đặt trên máy tính thì cần phải có biến môi trường phù hợp cho Java.

Nếu Java trêm hệ thống được cấu hình phù hợp thì bạn sẽ nhìn thấy thông điệp sau hiển lên khi gõ ‘Java’ vào cửa sổ CMD.

Trên Windows bạn có thể thiết lập các biến môi trường như sau:

JAVA_HOME = C:\Program Files\Java\jre7
PATH = %JAVA_HOME%\bin;C:\bin

Trên Linux, NxFilter sẽ tìm kiếm ‘java’ trong ‘/usr/bin’ trước tiên và sau đó là ‘/usr/local/bin’, vì thế nếu bạn không có ‘java’ trong các thư mục này thì bạn sẽ cần phải thay đổi đường dẫn trong thư mục ‘/nxfilter/bin’ hoặc đưa đường dẫn vào trong các biến môi trường cho hệ thống của bạn.

Để thiết lập đường dẫn các biến môi trường cho Java, bạn thực hiển theo các hướng dẫn dưới đây:

    – http://java.com/en/download/help/path.xml

– Trở về –
Blacklist là gì?
Blacklist là một cơ sở dữ liệu các tên miền được phân loại, đây là một phần quan trọng cho bộ lọc DNS sử dụng để ngăn chặn các trang web theo danh sách phân loại. NxFilter hỗ trợ một số loại blacklist sau:

1. Jahaslist
Jahaslist là blacklist mặc định cho NxFilter. Nó hỗ trợ phân loại động bởi NxClassifier. NxClassifier được tích hợp chức năng phân loại tự động với NxFilter.

Để có thêm thông tin về NxClassifier và Jahaslist đọc thêm tại phần NxClassifier.

* Chúng tôi cung cấp 30 ngày dùng thử và miễn phí cho bản quyền 20 người dùng cho Jahaslist trong gói NxFilter. Bạn có thể cài NxFilter, sử dụng Jahaslist không hạn chế trong 30 ngày. Sau 30 ngày dùng thử, nó sẽ trở thành bản miễn phí cho 20 người dùng.

2. Cloudlist
Chúng tôi thuê một dịch vụ cung cấp các danh sách đen dựa trên đám mây với hơn 30 triệu tên miền đã được phân loại. Vì nó trên Cloud, bạn sẽ không cần phải nhập dữ liệu cũng như không cần phải cập nhật.

* Với phiên bản NxFilter v4.1.3, NxFilter cho phép 30 ngày bản quyền dùng thử của Cloudlist cho 50 người dùng.

3. Shallalist
NxFilter v3 hỗ trợ Shallalist. Đây là danh sách miễn phí không sử dụng cho mục đích thương mại. Nó được cung cấp tại www.shallalist.de.

– Trở về –
Sử dụng Jahaslist, Cloudlist
Danh sach đen Jahaslist và Cloudlist là sản phẩm thương mại. Bạn có thể tham khảo thêm thông tin về chúng và cách mua bản quyền tại.

– Trở về –
Tái phân loại blacklist
Bạn có thể thêm tên miền trực tiếp vào các nhóm đã được phân loại, nó vẫn sẽ làm việc tương tự như với các nhóm tùy chỉnh của người dùng. Nếu tên miền trong nhóm tùy chỉnh giống với tên miền trong các nhóm có sẵn thì tên miền trong nhóm tùy chỉnh sẽ ghi đè lên. Hiệu lực của chính sách sẽ được thực thi ngay, nó không cần phải báo cáo về bất kỳ đâu và đợi thời gian cập nhật.

Có hai cách để tái phân loại. Các thứ nhất là thêm các tên miền vào trong từng nhóm trong ‘Category > System’ và cách thứ hai là sử dụng dạng tái phân loại bằng cách nhắp chuột vào một tên miền trong ‘Logging > Request’.

– Trở về –
Cập nhật Shallalist
* Shallalist chỉ được hỗ trợ bởi duy nhất NxFilter v3.

NxFilter cung cấp một script để cập nhật tự động cho Shallalist. Để cập nhật Shallalist, dừng NxFilter và chạy ‘/nxfilter/bin/update-sh.sh’. Thời gian cập nhật sẽ phụ thuộc vào tốc độ Internet đến khi kết thúc toàn bộ tiến trình.

Nếu bạn muốn cập nhật thủ công, tải file cập nhật từ http://www.shallalist.de/Downloads/shallalist.tar.gz về và giải nén nó vào thư mục ‘/nxfilter/shallalist1/BL’. Sau đó chạy lệnh ‘update-sh.sh /nxfilter/shallalist1/BL’ để cập nhật vào trong NxFilter.

cd /nxfilter/bin
./update-sh.sh /nxfilter/shallalist1/BL

– Trở về –
NxFilter và xác thực
NxFilter cung cấp một phương pháp xác thực bao gồm cả tích hợp đăng nhập một lần với Active Directory.

Vì sao cần phải xác thực

Khi lần đầu tiên cài đặt NxFilter, bạn sẽ chỉ có một chính sách (default) và nó được áp dụng cho mọi người trong mạng của bạn. Nhưng là một nhà quản lý hoặc một nhà quản trị mạng, bạn sẽ muốn cung cấp các chính sách dựa theo nhóm người dùng. Ví dụ với một trường học, bạn sẽ muốn có chính sách hạn chế truy nhập các mạng xã hội trong giờ học với sinh viên, và chính sách khác cho giáo viên. Để làm điều này thì ta phải sử dụng xác thực người dùng.

Lựa chọn cách xác thực nào

NxFilter hỗ trợ một vài cách xác thực, bạn có thể chọn một trong các cách này hoặc kết hợp các cách xác thực với nhau.

1. Xác thực dựa trên IP
Đây là cách xác thực đơn giản nhất và là lựa chọn tốt nhất khi bạn sử dụng địa chỉ IP tĩnh cho các máy tính người dùng. Bạn chỉ cần liên kết địa chỉ IP của người dùng với tên người dùng hoặc dải địa chỉ IP với tên người dùng trên giao diện đồ họa của NxFilter.

* Để có thể sử dụng xác thực dựa trên địa chỉ IP bạn phải bật chức năng xác thực trong ‘Config > Setup’.

2. Xác thực dựa trên mật khẩu
Khi bạn bật chế độ xác thực này, bất cứ người dùng nào khi truy nhập Internet sẽ thấy hiển thị một cửa sổ đăng nhập của NxFilter, người dùng khi đó sẽ cần phải đăng nhập sử dụng tài khoản NxFilter của mình để có thể truy nhập Internet trừ khi người dùng đã đăng nhập hoặc sử dụng địa chỉ IP liên kết với nó. NxFilter cho phép tạo mật khẩu cho từng người dùng trong NxFilter.

3. Xác thực dựa trên LDAP
Nếu bạn tích hợp NxFilter với OpenLDAP hoặc Active Directory, người dùng có thể đăng nhập sử dụng LDAP. Để sử dụng phương pháp đăng nhập này, bạn cần phải nhập người dùng từ máy chủ LDAP trước.

4. Xác thực dựa trên Token
NxFilter có một khái niệm đặc biệt gọi là ‘Login Token’, nó thường được sử dụng cho người dùng từ xa. ‘Login Token’ được tạo riêng cho từng người dùng khi bạn tạo hoặc nhập khẩu dữ liệu người dùng. Login Token sẽ được sử dụng để phân biệt các người dùng nhờ các phần mềm NxClient và NxBlock hoặc với NxUpdate (cho người dùng sử dụng IP động).

5. Đăng nhập một lần với Active Directory
NxFilter cung cấp khả năng tích hợp với Active Directory để giúp cho người dùng không phải đăng nhập vào NxFilter cũng như không nhận biết về việc NxFilter đang hoạt động.

– Trở về –
Tích hợp với Active Directory
NxFilter hỗ trợ tích hợp với Active Directory nhưng việc cấu hình với nhiều người là khá phức tạp, chính vì vậy chúng tôi sẽ hướng dẫn và giải thích kỹ hơn về cách thức tích hợp của NxFilter với Active Directory và cách thức chung để thực hiển.

NxFilter tích hợp với Active Directory như thế nào

NxFilter được tích hợp với Active Directory giúp cho các chính sách lọc sẽ được cung cấp dựa trên người dùng và nhóm người dùng trong Active Directory. Nó cũng giúp người dùng bỏ qua được các bước đăng nhập NxFilter mà chỉ phải đăng nhập vào máy tính mỗi lần sử dụng. Khi đó NxFilter sẽ sử dụng cùng một tài khoản từ Active Directory để phân biệt người dùng và sử dụng đăng nhập một lần với Active Directory.

nhập khẩu dữ liệu người dùng vào NxFilter

Ở trên chúng ta đã nói về lợi ích khi sử dụng tích hợp NxFilter với Active Directory, trong phần này chúng tôi sẽ trình bày cách thức thực hiển nó như thế nào? Bước đầu tiên là nhập khẩu dữ liệu người dùng và nhóm người dùng từ Active Directory vào trong NxFilter, trên giao diện đồ họa của NxFilter bạn vào ‘User & Group > Active Directory’.

Sau khi nhập khẩu dữ liệu người dùng và nhóm người dùng vào NxFilter, người dùng sẽ có thể sử dụng các thông tin xác thực trong Active Directory để đăng nhập vào NxFilter.

Đăng nhập một lần với Active Directory

Để giúp người dùng không phải đăng nhập vào NxFilter khi sử dụng chúng tôi tích hợp chức năng đăng nhập một lần với Active Directory. Để thực hiển đăng nhập một lần bạn phải sử dụng một chương trình client để làm việc với NxFilter (như NxLogon, NxMapper và NxClient). Bạn có thể sử dụng một trong trong các chương trình này hoặc kết hợp giữa chúng để sử dụng.
* Để có thêm thông tin, đọc thêm về đăng nhập một lần hoặc cách sử dụng các phần mềm ở trên.

Máy chủ MS DNS và NxFilter

Khi triển khai NxFilter trong môi trường Active Directory, bạn có thể băn khoăn về sự xung đột giữa NxFilter với máy chủ MS DNS, vì vai trò của máy chủ MS DNS trong Active Directory rất quan trọng, chúng ta không thể ẩn hoặc thay thế máy chủ này được. Chính vì vậy, cách tiếp cận của NxFilter là hợp tác xử lý với máy chủ DNS của Active Directory, chúng ta vẫn duy trì sự tồn tại của máy chủ MS DNS Server, cho dù bạn sử dụng NxFilter làm máy chủ DNS.

1. Cài đặt NxFilter ở đâu
Để tránh xung đột cổng với máy chủ MS DNS, chúng tôi khuyến nghị nên cài NxFilter trên một máy khác, không nên cài trên máy chủ điều khiển tên miền vì nó chứa máy chủ DNS.

2. Cập nhập host động
Do máy chủ MS DNS trong Active Directory làm rất nhiều việc, nó giúp các máy trong Active Directory biết vị trí của các tài nguyên sử dụng bản ghi SRV và nó duy trì vùng DNS cho tất cả các máy, nó cũng giúp các máy cập nhật địa chỉ IP khi thay đổi địa chỉ IP của hệ thống. Để không gây ảnh hưởng đến hoạt động của máy chủ MS DNS, NxFilter sẽ tự động chuyển tất cả các truy vấn cục bộ các tên miền Active Directory đến máy chủ MS DNS.

3. Nên sử dụng upstream server nào cho NxFilter
Bạn có thể sử dụng bất kỳ máy chủ DNS nào để làm máy chủ upstream cho NxFilter, thậm chí có thể sử dụng ngay máy chủ MS DNS bởi vì NxFilter vẫn sẽ chuyển tất cả các truy vấn DNS cục bộ đến máy chủ MS DNS trong Active Directory.

4. Cài đặt thủ công máy chủ MS DNS
Sau khi nhập khẩu dữ liệu người dùng và nhóm người dùng từ Active Directory, NxFilter sẽ làm việc với máy chủ MS DNS một cách tự động. Nếu bạn muốn có các thiết lập khác cho máy chủ MS DNS hoặc tạo thêm máy chủ MS DNS dự phòng thì trong trường hợp này, bạn có thể chỉnh sửa trên trang cấu hình để thiết lập việc nhập danh sách người dùng và nhóm người dùng từ Active Directory. Với thiết lập dự phòng, bạn có thể thêm nhiều máy chủ DNS được phân tách nhau bằng dấu phảy.

* Bạn cần phải cho phép chế độ ‘Nonsecure Dynamic Update’ trong thuộc tính vùng của MS DNS của NxFilter để thực hiển cập nhật địa chỉ IP của các máy trong vùng MS DNS.

Một ví dụ về triển khai thực tế

Sau đây chúng tôi sẽ trình bày một ví dụ về triển khai thực tế trong một môi trường của một doanh nghiệp, với mạng máy tính gồm máy tính chạy Hệ điều hành Windows, hệ điều hành MAC OS và Chrombook. Thêm vào đó người dùng có thể sử dụng điện thoại Android và Iphone để kết nối vào mạng. Trong mạng còn chứa một số máy chủ chạy Linux dùng làm máy chủ chia sẻ file và máy chủ web. Doanh nghiệp cũng có một số nhân viên làm việc bên ngoài, sử dụng các máy tính xách tay của công ty chạy hệ điều hành Windows và Mac. Theo yêu cầu của doanh nghiệp là muốn thực hiển chính sách lọc DNS trên tất cả các máy này kể cả trong và ngoài công ty sử dụng tài khoản Active Directory của họ.

Điều đầu tiên bạn cần là thiết lập để nhập khẩu dữ liệu các thông tin về người dùng và nhóm người dùng từ Active Directory vào trong NxFilter. Và sau đó cài đặt và chạy NxLogon với các máy PCs Windows, NxMapper với máy tính Macbook kết nối với máy chủ domain controller.

Với các máy tính xách tay của những nhân viên làm việc bên ngoài, bạn tiến hành cài đặt NxClient trên các máy tính xách tay. NxClient là một chương trình lọc từ xa kết nối với NxFilter có cả các phiên bản cho Windows và cho Mac. Các máy này cũng có thể thực hiển đăng nhập một lần khi nó được đặt trong một Active Directory cục bộ.

Với các máy sử dụng hệ điều hành Chromebook, bạn có thể sử dụng NxBlock. Nó là một tiện ích của Chrome và bạn có thể sử dụng nó như là một chương trình lọc hoặc chương trình đăng nhập một lần cho Active Directory.

Với các máy chủ bạn không cần phải lọc, thiết lập địa chỉ IP tĩnh cho các máy chủ và sử dụng máy chủ DNS khác với chính sách cho phép mọi thứ. Thông thường, bạn sẽ không cần phải chặn bất kỳ thứ gì từ nó.

Với điện thoại iPhone và Android, cần phải được xác thực trong trang đăng nhập của NxFilter.

– Trở về –
Đăng nhập một lần với Active Directory sử dụng NxLogon
Công cụ NxLogon hỗ trợ việc đăng nhập một lần giúp bạn sử dụng Active Directory mà không thấy hiển thị thông tin yêu cầu đăng nhập. Khi chạy NxLogon trên máy tính sẽ giúp người dùng bỏ qua phiên đăng nhập trên NxFilter.

Nếu bạn không muốn phải cài chương trình này trên mỗi máy tính trong mạng, bạn có thể sử dụng một đoạn mã đăng nhập trong GPO(Group Policy Object). Đoạn mã này sẽ chạy khi nào người dùng đăng nhập vào Active Directory và khởi chạy ứng dụng NxLogon trên máy tính của người sử dụng.

* Để có thể sử dụng chức năng đăng nhập một lần với Active Directory, trước tiên phải nhập khẩu dữ liệu người dùng và nhóm người dùng từ Active Directory vào NxFilter. Để nhập khẩu dữ liệu người dùng và nhóm người dùng xem thêm
nhập khẩu dữ liệu người dùng và nhóm từ Active Directory

* NxLogon sử dụng cổng TCP/19002 để làm việc với NxFilter.

* Nếu GPO quá khó sử dụng với bạn, có thể sử dụng NxMapper.

Các bước khởi động NxLogon từ GPO.

1. Tải nxlogon-x.x.zip từ www.nxfilter.org.

2. Thay đổi địa chỉ IP trong ‘nxlogon.bat’ thành địa chỉ IP của NxFilter. Nếu bạn sử dụng Cluster, bạn có thể thêm nhiều địa chỉ IP của các máy chủ NxFilter và phân tách bởi dấu phảy.

3. Mở ‘Administrative Tools > Active Directory Users and Computers’ trên Domain Controller.

4. Mở ‘Group Policy Manager’ trên công cụ ‘Server Manager > Tools’.

    

5. Chọn nút ‘Edit’ trong ‘Default Domain Policy’ và mở ‘User configuration > Policies > Windows Settings > Scripts (Logon/Logoff)’.

    

6. Chọn ‘Logon’ và chọn ‘Add’ sau đó chọn nút ‘Browse’. Bạn sẽ nhìn thấy thư mục ‘Logon’ để chọn file. Copy ‘nxlogon.bat’ và ‘nxlogon.exe’ từ gói cài NxLogon vào thư mục ‘Logon’. (bạn có thể giứ chuột để kéo các file này vào trong thư mục).

7. Chọn ‘nxlogon.bat’ mà bạn vừa copy vào trong thư mục ‘Logon’ như là đoạn script đăng nhập để thêm vào

    

8. Mỗi khi người dùng đăng nhập vào hệ thống, file ‘logon.bat’ sẽ chạy và nó sẽ khởi chạy ‘nxlogon.exe’. (Bạn có thể xem tiến trình đang chạy trong Windows task manager).

    

9. Bạn có thể kiểm tra kết quả từ phía NxFilter. Nó tạo phiên đăng nhập người dùng khi có yêu cầu từ NxLogon.

    

* Nếu bạn muốn bỏ phiên đăng nhập ngay sau khi người dùng đăng xuất sử dụng ‘nxlogoff.bat’ như một script đăng xuất trong GPO.

– Trở về –
Đăng nhập một lần với Active Directory sử dụng NxMapper
Sử dụng NxLogon là giải pháp tốt nhất cho đăng nhập một lần với Active Directory. Nhưng nếu bạn không muốn cách thức cài đặt phức tạp của NxLogon thì bạn có thể sử dụng giải pháp khác là NxMapper. Khi bạn cài đặt và chạy NxMapper trong domain controller nó sẽ thu thập các cặp tên người dùng và địa chỉ IP khi người dùng đăng nhập và tạo một phiên đăng nhập trong NxFilter.

* Để có thể sử dụng chức năng đăng nhập một lần với Active Directory, trước tiên phải nhập khẩu dữ liệu người dùng và nhóm người dùng từ Active Directory. Để nhập khẩu dữ liệu người dùng và nhóm người dùng xem thêm
nhập khẩu dữ liệu người dùng và nhóm người dùng từ Active Directory

Cài đặt và chạy NxMapper

Chúng tôi cung cấp bộ cài trên Windows cho NxMapper. NxMapper khi đó sẽ chạy như là một dịch vụ trên Windows.

* NxMapper cần được cài đặt trong domain controller.

* Nếu bạn sử dụng Cluster, bạn có thể thêm nhiều địa chỉ IP của các máy chủ NxFilter và phân tách bởi dấu phảy.

* NxMapper sử dụng cổng TCP/19002 để làm việc với NxFilter.

Sau khi bạn thay đổi các giá trị cấu hình, kiểm tra các thiết lập trước khi khởi động nó.

Một số sự khác biệt khi sử dụng NxMapper

Khi sử dụng NxMapper sẽ có một số hạn chế sau:

Các phiên đăng nhập được tạo bởi NxMapper có thể bị hết hạn. Trong khi NxLogon làm mới phiên đăng nhập của nó vài phút một lần thì NxMapper chỉ tạo và làm mới phiên đăng nhập của nó khi có các hoạt động của người dùng trong domain controller. Khi phiên của NxMapper hết hạn, người dùng sẽ lại bị chuyển hướng về trang đăng nhập của NxFilter.

Để chống lại vấn đề này, ta có thể tăng giá trị thời gian hết hạn của phiên đăng nhập trong ‘Config > Setup > Block and Authentication > Login session TTL’.

* Tuy phiên đăng nhập của NxMapper có thể bị hết hạn vì NxMapper không tự làm mới nó, nhưng NxFilter thường xuyên làm mới nó ở phía máy chủ khi có thực hiển truy vấn DNS từ người dùng. Chính vì vậy, NxMapper sẽ không hết hạn nếu người dùng đang sử dụng Internet.

>
Loại trừ các máy chủ đầu cuối

> Khi sử dụng NxMapper ta sẽ gặp vấn đề với máy chủ đầu cuối trong trường hợp có nhiều người dùng sử dụng chung một địa chỉ IP, khi đó NxMapper sẽ chỉ phát hiển được người dùng cuối cùng để kết hợp với địa chỉ IP. Điều này có nghĩa là người dùng có thể xuất hiển trong NxFilter với các tên khác nhau. Để ngăn chặn vấn đề này, giải pháp tốt nhất là tạo địa chỉ IP dựa trên người dùng cho các máy chủ đầu cuối.

– Trở về –
Đăng nhập một lần với Active Directory, OpenLDAP sử dụng NxClient
NxClient là một bộ lọc từ xa được cài đặt trên máy tính xách tay của các nhân viên làm việc di động. Nó vẫn có thể hỗ trợ đăng nhập một lần với Active Directory hoặc OpenLDAP. hiển tại đã có phần mềm NxClient cho các phiên bản của hệ điều hành MAC.

Nếu bạn đã từng sử dụng NxClient thì bạn có thể biết rằng NxClient có thể sử dụng với ‘Login Token’. Tuy vậy cách tiếp cận này sẽ gặp vấn đề nếu có hàng trăm NxClient phải cài đặt với các ‘Login Token’ riêng.

Vì thế chúng tôi cung cấp một cách để chạy NxClient trên một mạng mà không cần thiết lập một ‘login token’ duy nhất cho mỗi máy tính. Những gì bạn cần là cài đặt NxClient sử dụng ‘Login Token’ chung cho tất cả các máy tính khách. Khi nó khởi động, nó sẽ cố gắng tạo một phiên đăng nhập cho người dùng đăng nhập hiển thời hoặc tên người dùng.

* NxClient có thể phát hiển được NxFilter, NxFilter sẽ là máy chủ DNS cho các máy tính đó.

* Nếu sử dụng NxClient chỉ vì mục đích đăng nhập một lần bạn có thể cài đặt mà không cần ‘login token’ và một địa chỉ IP của máy chủ.

Để tìm thêm thông tin, xin đọc, NxClient và lọc người dùng từ xa

– Trở về –
Tùy chỉnh script đăng nhập cho đăng nhập một lần
hiển tại NxFilter có hỗ trợ đăng nhập một lần với Active Directory. Tuy nhiên nhiều người vẫn muốn có thể tùy chỉnh nó để phục vụ các mục đích khác ví dụ như đăng nhập một lần với OpenLDAP.

NxFilter hỗ trợ một tập API để tạo ra các phiên đăng nhập thông qua giao thức HTTP. Bạn có thể viết một script đăng nhập qua một trang web trên máy chủ NxFilter, để người dùng sẽ không cần phải vào qua trang đăng nhập.

Một ví dụ trên trang ‘/nxfilter/webapps/example/login_user.jsp’. Việc truy nhập trang hạn chế chỉ cho máy cục bộ vì lý do an toàn, tuy nhiên bạn có thể hiệu chỉnh trang JSP của nó để cho phép gọi từ trong mạng nội bộ.

Bạn có thể gọi trang web theo cách này.

http://192.168.0.100/example/login_user.jsp?ip=192.168.0.100&uname=john

Bạn thấy có hai tham số sẽ được chuyển đó là địa chỉ IP và tên người dùng và một cái khác nữa là tên kết hợp. Tên người dùng đã được nhập từ Active Directory hoặc tạo từ trước.

Một điểm cần chú ý là khi viết mã bạn cần phải thực hiển gọi trang web theo định kỳ điều này có nguyên nhân từ việc NxFilter có thiết lập thời hạn hết hạn của một phiên, nếu trong một khoảng thời gian mà không có hoạt động của người dùng đã đăng nhập thì phiên đăng nhập sẽ tự động hết hạn. Nếu bạn không muốn hiển thị trang đăng nhập từ các máy người dùng, bạn sẽ cần phải làm mới phiên đăng nhập theo định kỳ.

Trên JSP, chúng tôi sử dụng lớp ‘UserLoginDao’ cho phiên đăng nhập, nó sử dụng các phương pháp sau:

– createIpSession(String ip, String uname) : Tạo một phiên đăng nhập với một IP và tên người dùng.
– deleteIpSession(String ip) : Xóa phiên đăng nhập với một địa chỉ IP.
– findUser(String ip) : Bạn có thể tìm tên của người dùng đã đăng nhập qua địa chỉ IP liên kết của nó.

Tất cả các ví dụ về trang JSP có trong thư mục ‘/nxfilter/webapps/example’.

– Trở về –
Thứ tự của các phương pháp xác thực
NxFilter hỗ trợ nhiều phương pháp xác thực. Câu hỏi là điều gì nếu một người dùng có địa chỉ IP liên kết lại nằm trong dải IP của một người dùng khác? hoặc điều gì xảy ra nếu người dùng sử dụng một dải Ip và đăng nhập vào NxFilter với người dùng đã liên kết với một địa chỉ IP trong dải đó. Để giải quyết vấn đề này, chúng tôi đã đưa ra một số thứ tự cho các phương pháp xác thực.

Thứ tự của xác thực được thiết lập như sau.

1. Địa chỉ IP liên kết đơn
Địa chỉ IP liên kết đơn sẽ được ưu tiên hơn các địa chỉ IP liên kết theo dải, vì thế có thể loại trừ một số hệ thống từ dải IP liên kết đăng nhập mà không qua trang đăng nhập.

2. Phiên IP

“Phiên IP” là một phiên đăng nhập được tạo ra và duy trì trong NxFilter bởi chương trình đăng nhập một lần hoặc qua trang đăng nhập. Nó tính theo giây.

3. Địa chỉ IP liên kết theo dải

Khi bạn cần cho phép người dùng vô danh truy nhập Internet mà không cần tiến trình đăng nhập nào bạn sẽ cần liên kết dải địa chỉ IP trong mạng của bạn với một người dùng. Nhưng cần phải chú ý là nếu có người dùng khác liên kết đơn với địa chỉ IP trong giải đó thì sẽ được ưu tiên trước.

Chúng tôi có thiết lập luật ‘Dải địa chỉ IP đặc biệt nhất được ưu tiên trước’ cho các thứ tự dải IP của các người dùng, vì vậy nếu xảy ra việc trùng giải IP thì giải IP nhỏ hơn sẽ được ưu tiên trước.

– Trở về –
Giao diện đồ họa – Config (Cấu hình)
Có nhiều tham số để cấu hình hệ thống cho NxFilter.
Config > Setup > Block and Authentication

– Block Redirection IP
Đây là địa chỉ IP của chính NxFilter, nếu có một yêu cầu chặn DNS, nó sẽ được chuyển hướng về IP này. IP này sẽ được thiết lập tự động khi cài đặt.

* Khi sử dụng chế độ clustering, bạn có thể thêm nhiều địa chỉ IP, phân tách nhau bởi dấu phảy để dự phòng.

– External Redirection IP
Khi bạn sử dụng chương trình lọc từ xa, vì các máy tính từ mạng bên ngoài cần kết nối vào máy chủ NxFilter vì vậy cần phải thêm địa chỉ IP ngoài để phục vụ kết nối chuyển hướng bên ngoài mạng. ‘Block Redirection IP’ là địa chỉ IP phục vụ chuyển hướng các yêu cầu ngăn chặn bởi DNS cho các chương trình từ xa.

– IPv6 Redirection IP
Với phiên bản v4.0.5, NxFilter sử dụng chuyển đổi IPv4 trên nền IPv6 giống như tự động chuyển hướng các IPv6 bị chặn. Vì vậy thông thường bạn sẽ không cần phải thiết lập nó trừ khi bạn muốn thiết lập nó thủ công.

– Enable Authentication
Sau khi chọn chức năng này, bất kỳ người dùng được xác thực nào sẽ được chuyển hướng sang trang đăng nhập của NxFilter. Người dùng sẽ phải bắt buộc đăng nhập để sử dụng Internet.

– Login Domain
Bạn có thể vào trang đăng nhập của NxFilter với tên miền được định nghĩa ở đây.

– Logout Domain
Bạn có thể đăng xuất một phiên đăng nhập của người dùng sử dụng tên miền được định nghĩa ở đây.

– Login Session TTL
NxFilter duy trì phiên đăng nhập sau mỗi lần đăng nhập của người dùng, các phiên đăng nhập sẽ hết hạn trong một khoảng thời gian nhất định nếu các máy tính không thực hiển truy vấn tên miền trong khoảng thời gian được định nghĩa ở đây. Nếu phiên làm việc bị hết hạn và người dùng sẽ cần phải đăng nhập lại nếu muốn sử dụng Internet.

– Disable Login Redirection
Nếu chức năng này được bật lên, NxFilter sẽ không chuyển hướng người dùng về trang của NxFilter nữa mà đơn giản là các gói truy vấn DNS sẽ bị hủy bỏ. Chức năng này giúp ẩn máy chủ NxFilter khi bạn triển khai NxFilter trên Internet.

Config > Setup > Syslog

NxFilter cung cấp chức năng xuất dữ liệu log, bạn có thể xây dựng một báo cáo riêng với chức năng này, hoặc có thể giám sát tất cả log trong thời gian thực.

– Syslog Host
Địa chỉ IP của máy mà bạn muốn chuyển dữ liệu Syslog.

– Syslog Port
Cổng UDP của máy đích.

– Export Blocked Only
Nếu bật chức năng này, NxFilter sẽ chỉ gửi dữ liệu log của các truy vấn DNS bị chặn.

– From Each Node
Theo mặc định, Clustered NxFilter gửi các dữ liệu Syslog qua duy nhất một máy chính. Nếu bật chức năng này, thì mỗi máy sẽ xuất dữ liệu syslog một cách độc lập.

– Enable Remote Logging
Bật chức năng xuất Syslog.

Config > Setup > NetFlow

NxFilter hỗ trợ kiểm soát băng thông. Điều này được thực hiển thông qua việc nhập khẩu dữ liệu NetFlow.
Để tìm thêm thông tin, xem Kiểm soát băng thông với NxFilter

– Router IP
Địa chỉ IP của thiết bị chuyển dữ liệu NetFlow cho NxFilter.

– Listen Port
Cổng UDP của bộ thu thập NetFlow.

– Run Collector
Khởi động bộ thu thập NetFlow collector. Sau khi thay đổi chức năng này, bạn cần khởi động lại NxFilter.

Config > Setup > Misc

– Admin Domain
Bạn có thể truy nhập vào trang quản trị sử dụng tên miền mà bạn thiết lập. Ví dụ nếu bạn sử dụng tên miền ‘admin.nxfilter.org’ làm tên miền quản trị, thì để truy nhập vào giao diện quản trị bạn gõ ‘http://admin.nxfilter.org/admin’ vào thanh địa chỉ trên trình duyệt.

* Trường hợp này chỉ đúng khi bạn sử dụng NxFilter làm máy chủ DNS. Trong trường hợp sử dụng máy chủ DNS khác thì phải khai báo tên miền này trên máy chủ đó.

– Bypass Microsoft Update
Nếu bạn không muốn chặn cập nhật bản vá Microsoft, bạn bật lựa chọn này và bộ lọc sẽ bỏ qua các tên miền ‘microsoft.com’, ‘windowsupdate.com’ và các tên miền con của nó.

– Logging Retention Period
Nếu bạn giữ dữ liệu log trong thời gian dài, nó có thể sẽ chiếm hết không gian ổ đĩa, để điều chỉnh thời gian lưu trữ dữ liệu log bạn chọn ở đây.

– SSL Only to Admin GUI
Lựa chọn này nếu bạn muốn chỉ cho phép truy nhập vào giao diện quản trị của NxFilter thông qua HTTPS. Nếu lựa chọn này được bật thì NxFilter sẽ chuyển hướng tất cả về cổng SSL một cách tự động, kể cả khi bạn sử dụng HTTP.

– Auto Backup
NxFilter thực hiển sao lưu các cấu hình của nó tại thư mục ‘/nxfilter/backup’ vào ’01:00′ giờ hàng ngày. Tên của file sao lưu bắt đầu với ‘auto-‘. Bạn có thể có tối đa 30 bản sao lưu.

– Thiết lập cập nhật chính sách một cách định kỳ cho các chương trình từ xa
NxFilter sử dụng một số chương trình phần mềm từ xa để thực hiển lọc và kiểm soát các ứng dụng từ xa. Bạn có thể thiết lập việc cập nhật các chính sách định kỳ cho các chương trình ở đây.

Config > Admin

Bạn có thể thay tên đăng nhập và mật khẩu cho người quản trị ở đây.
* ‘Client Password’ là cho các chương trình lọc từ xa, mật khẩu này được sử dụng để truy nhập trang cài đặt NxBlock.

* ‘Report Password’ là quản lý báo cáo việc truy nhập trang logging/reporting trên giao diện đồ họa.

Config > Alert

NxFilter sẽ gửi email cho người quản trị khi xảy ra các xung đột với chính sách. Ví dụ nếu bạn muốn gửi email cho ‘admin @ nxfilter.org’ từ
‘alert200@gmail.com’ cứ 15 phút một lần thì cần thiết lập như sau:

– Admin Email : admin @ nxfilter.org
– SMTP Host : smtp.gmail.com
– SMTP Host : 465
– SMTP SSL : on
– SMTP User : alert200
– SMTP Password : ********
– Alert Period : Every 15 minutes

* Khi thiết lập như trên, NxFilter sẽ gửi thư điện tử cảnh báo về các sự cố liên quan đến hệ thống. Địa chỉ email trong trường ‘CC Recipients’ sẽ chỉ nhận được các báo cáo về xung đột với chính sách mà không nhận được các báo cáo liên quan đến lỗi hệ thống hay bản quyền, có thể thêm nhiều địa chỉ email và phân tách bởi dấu phảy.

* Bạn cũng có thể thiết lập cảnh báo thông tin theo nhóm bạn quan tâm khi tên miền bị ngăn chặn.

Config > Allowed IP

NxFilter có chức năng ngăn chặn truy nhập vào DNS, giao diện đồ họa và chuyển hướng đăng nhập dựa theo IP. Bạn sẽ cần đến chức năng này khi sử dụng NxFilter với một địa chỉ IP address công cộng. Bạn có thể tạo một danh sách blacklist/writelist cho danh sách kiểm soát truy nhập ở đây.

Config > Backup

Bạn có thể tạo và tải về file sao lưu cho các cấu hình hiển thời của NxFilter một cách thủ công.

Config > Block Page

Trang này cho phép bạn tiến hành chỉnh sửa các thông tin hiển thị trên trang block-page, login-page, welcome-page. Ví dụ khi bạn biên tập lại trang ngăn chặn, bạn có thể thay đổi các thông tin mà NxFilter có thể cung cấp:

– #{domain} : Tên miền bị ngăn chặn
– #{reason} : Nguyên nhân ngăn chặn
– #{user} : Tên người dùng
– #{group} : Nhóm của người dùng
– #{policy} : Chính sách được sử dụng
– #{category} : Nhóm của tên miền bị ngăn chặn

Config > Cluster

NxFilter có khả năng kết hợp nhiều máy lại theo mô hình clustering. Khi đó bạn có thể cấu hình các máy NxFilter ở chế độ Master hay Slave trong chế độ clustering. Sau khi thay đổi, bạn chỉ cần khởi động lại NxFilter để thiết lập mới có hiệu lực.

– Trở về –
GUI – DNS
NxFilter thực chất là một máy chủ DNS với khả năng lọc. Các dịch vụ DNS liên quan đến các tham số cấu hình:

DNS > Setup > DNS Setup

– Upstream DNS Server
NxFilter làm việc như một máy chủ DNS chuyển tiếp vì vậy nó cần ít nhật một máy chủ upstream DNS cho NxFilter.

– Upstream DNS query timeout
Thiết lập thời gian hết hạn cho một truy vấn DNS đến máy chủ DNS upstream.

– Response Cache Size
NxFilter có bộ đệm riêng cho các kết quả truy vấn từ các máy chủ upstream của nó, về nguyên tắc thì bộ đệm càng to thì càng tốt, kích cỡ hiển tại được thiết lập là 200,000 và thử nghiệm cho thấy nó phù hợp với hầu hết các trường hợp.

– Use Persistent Cache
NxFilter có thể lưu khoảng 1 triệu phản hồi DNS trong cơ sở dữ liệu. Khi bạn không có đủ bộ đệm truy vấn bạn sẽ mất kết nối Internet.

– Minimum Response
Bạn có thể chỉ gửi các bản ghi ‘Answer’ trong phản hồi DNS của NxFilter và lờ đi các phiên ‘Additional’ và ‘Authority’ để giảm gói tin DNS và cải thiển hiệu suất.

DNS > Setup > Local DNS

– Local DNS server
Khi bạn có một máy chủ DNS cục bộ sử dụng để phân giải tên miền cục bộ thì thêm địa IP của máy chủ DNS cục bộ tại đây, bạn có thể thêm nhiều địa chỉ IP và phân tách nhau bởi dấu phảy.

– Local Domain
Khi bạn có một tên miền mà muốn chuyển nó đến máy chủ DNS cục bộ thì thêm nó tại đây, bạn có thể thêm nhiều tên miền và phân tách nhau bởi dấu phảy.

* Không sử dụng ‘*’ hoặc bất kỳ ký tự đặc biệt nào cho tên miền và tên miền con.

– Local DNS Query Timeout
Thời gian hết hạn cho một truy vấn DNS đến máy chủ DNS cục bộ.

– Use Local DNS
Sử dụng máy chủ DNS cục bộ.

* Nếu bạn sử dụng một máy chủ DNS cục bộ cho tên miền nội bộ, tất cả các truy vấn DNS cho tên miền cục bộ sẽ không yêu cầu xác thực, không bị lọc và không được lưu vào log hệ thống.

DNS > Setup > Misc

– Drop Hostname Without Domain
Khi sử dụng NxFilter hoặc NxCloud với các tổ chức sử dụng cloud, bạn sẽ không phải làm việc với hostname nữa mà chỉ cần các tên miền.

– Drop PTR For Private IP
Bỏ truy vấn ngược với các địa chỉ IP riêng. Bạn chỉ cần chức năng này nếu chạy NxFilter trên cloud.

DNS > Zone File

Khi sử dụng NxFilter như một máy chủ xác thực DNS bạn sẽ cần thiết lập một file zone. Chúng tôi sử dụng cùng định dạng như một file zone BIND. Để tìm hiểu thêm đọc Authoritative DNS server trong hướng dẫn này.

DNS > Redirection

Chuyển tên miền sang IP hoặc tên miền sang một tên miền có thể thực hiển với NxFilter. Nó làm việc tương tự như các bản ghi DNS tùy chỉnh.

DNS > Zone Transfer

Trong một số tình huống bạn có thể cần phải nhập khẩu dữ liệu DNZ zone từ một máy chủ DNS khác. Để làm điều này bạn cần phải chọn chế độ zone-transfer, khi đó NxFilter sẽ nhập khẩu dữ liệu DNS zone trong một vài phút sử dụng giao thức IXFR.

DNS > Dynamic DNS

NxFilter hỗ trợ dịch vụ DNS động. Để biết cách thực hiển đọc thêm
Dynamic DNS service trong hướng dẫn này.

– Trở về –
GUI – User & Group
Bạn có thể tạo người dùng và nhóm người dùng ở đây. NxFilter cho phép nhập khẩu dữ liệu người dùng từ Active Directory, OpenLDAP và eDirectory.

Tạo người dùng

Bạn có thể tạo người dùng tại ‘User & Group > User’. Có 3 kiểu người dùng trong NxFilter

1. Người dùng theo IP

Người dùng khi đó được liên kết với IP hoặc dải địa chỉ IP và nó sẽ được xác thực dựa trên địa chỉ IP.

2. Người dùng theo Password

Nếu bạn thiết lập mật khẩu cho người dùng, người dùng sẽ cần mật khẩu để vào mạng. Bạn có thể sử dụng mật khẩu này trong trang đăng nhập của NxFilter.

3. Người dùng theo LDAP

Khi bạn nhập khẩu dữ liệu người dùng từ máy chủ LDAP hoặc Active Directory, thì những người dùng này trở thành LDAP users. Những người dùng này có thể sử dụng các thông tin từ LDAP hay Active Directory để đăng nhập qua trang đăng nhập của NxFilter.

Các thuộc tính của người dùng

– Password : Mật khẩu cho đăng nhập qua trang đăng nhập của NxFilter.
– Work-time Policy : Chính sách được thực hiển khi không trong thời gian nghỉ.
– Free-time Policy : Chính sách được thực hiển trong thời gian nghỉ. Bạn có thể định nghĩa thời gian nghỉ tại ‘Policy & Rule > Free Time’.
– Expiration Date : Ngày hết hạn cho tài khoản người dùng.
– Login Token : Token sử dụng để xác thực hoặc lọc người dùng từ xa, nó được tạo ra khi tiến hành tạo người dùng.

Kiểm tra một người dùng

Khi ta nhập khẩu dữ liệu người dùng từ LDAP, người dùng đó có thể nằm trong nhiều nhóm và áp dụng nhiều chính sách khác nhau. Để có thể kiểm tra người dùng đang được sử dụng chính sách nào, NxFilter cung cấp một nút ‘TEST’ để kiểm tra, nó sẽ lấy trạng thái của người dùng từ NxFilter tại thời điểm hiển tại.

* Bạn cũng có thể sử dụng chức năng TEST này để xem thời gian cấp phép cũng như băng thông đã sử dụng của người dùng đó hoặc thiết lập thời gian cấp phép hoặc băng thông cho một người sử dụng.

Tạo một nhóm

Sau khi tạo một nhóm trong ‘User & Group ’, bạn có thể thiết lập chính sách cho nhóm đó thông qua việc lựa chọn các thuộc tính trên giao diện. Bạn cũng có thể chọn các thành viên của nhóm.

Nhập khẩu dữ liệu người dùng từ Active Directory, OpenLDAP, eDirectory

Bạn nhập khẩu dữ liệu người dùng và nhóm từ Active Directory trong ‘User & Group > Active Directory’.
Ví dụ dưới dây là cấu hình cho Active Directory:

– Domain controller : 192.168.0.100
– Domain : nxfilter.local
– Admin username : Administrator

Khi thiết lập để nhập khẩu dữ liệu từ Active Directory, cần cung cấp các thông tin sau:

– Host : 192.168.0.100
– Admin : Administrator@nxfilter.local
– Password : mật khẩu của bạn
– Base DN : cn=users,dc=nxfilter,dc=local
– Domain : nxfilter.local

Sau khi thiết lập xong, nhắp vào nút ‘IMPORT’ để bắt đầu nhập khẩu dữ liệu người dùng và nhóm. Bạn cũng có thể thiết lập thời gian định kỳ nhập khẩu dữ liệu người dùng bằng cách lựa chọn thời gian tự động nhập khẩu.

* Sử dụng nút ‘TEST’ khi bạn muốn kiểm tra kết nối giữa NxFilter và máy chủ domain controller với thiết lập để nhập khẩu dữ liệu.

– Trở về –
GUI – Policy & Rule
NxFilter cho phép bạn có nhiều chính sách lọc khác nhau cho từng người dùng và nhóm.

Creating a policy

Khi cài đặt, NxFilter chỉ có một chính sách mặc định là ‘Default’. Chính sách này sẽ được áp dụng cho mọi đối tượng, nếu bạn không thay đổi các thiết lập trong NxFilter. Nếu bạn muốn có chính sách khác cho người dùng hoặc nhóm người dùng riêng thì cần phải tạo chính sách khác và bật chức năng xác thực.

Thay đổi một chính sách

Sau khi tạo một chính sách, bạn có thể thay đổi các thuộc tính của nó.

– Priority Points
Trong trường hợp có nhiều chính sách áp dụng cho một người dùng, thì chính sách nào có điểm ưu tiên (Priority Points) cao hơn sẽ được áp dụng cho người dùng đó.

– Enable Filter
Nếu bạn không bật chức năng này thì các chính sách sẽ không được áp dụng.

– Block All
Chặt tất cả trong mức chính sách.

– Block Unclassified
Chặn các tên miền không được phân loại.

– Ad-remove
Chặn các tên miền trong nhóm ‘Ads’ của Jahaslist và hiển thị một trang trống.

* Chức năng này hữu ích khi bạn muốn chặn một quảng cáo mà không muốn hiển ra thông tin trang quảng cáo đã bị chặn bởi NxFilter.

– Max Domain Length
Có một vài mã độc sử dụng tên miền của nó để truyền thông điệp, các tên miền này thường dài trong khi các tên miền thông thường chỉ có chiều dài khoảng 30 ký tự. Chức năng này cho phép người dùng tự thiết lập chiều dài tối đa của tên miền nhằm ngăn chặn các tên miền bất thường. Tuy nhiên để chống lại việc ngăn chặn sai, NxFilter sẽ không thực hiển ngăn chặn theo chiều dài thiết lập tại ‘Max Domain Length’ với 100000 tên miền đã được biết.

– Block Covert Channel
Một vài mã độc hoặc botnet sử dụng giao thức DNS như một công cụ truyền thông của nó. Chúng sử dụng truy vấn và phản hồi DNS để truyền thông với máy khác. Chức năng này cho phép ngăn chặn các thông điệp này.

– Block Mailer Worm
Thông thường bạn sẽ không nhìn thấy các truy vấn MX từ các máy tính trong mạng. Nếu bật chức năng này sẽ cho phép NxFilter tìm các kiểu truy vẫn MX từ các máy tính trong mạng nhằm phát hiển một số mã độc đang cố gắng phát tán thư rác.

– Allow ‘A’ Record Only
Nếu bật chức năng này, NxFilter sẽ giúp ngăn chặn các dòng mã độc sử dụng giao thức DNS để truyền thông với nhau. Nếu người dùng máy tính không cần sử dụng các bản ghi đặc biệt, thì khi bật chức năng này NxFilter sẽ chỉ cho phép bản ghi A, AAAA, PTR, CNAME và các kiểu bản ghi DNS khác sẽ bị chặn.

– Quota
NxFilter có tính năng cấp phép thời gian áp dụng các chính sách, bạn có thể sử dụng chức năng này để cấp phép cho người dùng chỉ được duyệt web trong một khoảng thời gian nhất định. Bạn có thể thiết lập thời gian ở đây.

– Quota All
Sẽ áp dụng cấp phép cho tất cả các tên miền, kể cả tên miền không phân loại.

– Bandwidth Limit
Bạn có thể thiết lập băng thông tối đa cho từng người sử dụng.

Chức năng này đòi hỏi phải nhập dữ liệu NetFlow từ thiết bị định tuyến hoặc tường lửa. Để có thêm thông tin xem thêm tại
Kiểm soát băng thông với with NxFilter trong hướng dẫn này.

– Safe-search
Cho phép thực thi tìm kiếm an toàn với Google, Bing, Yahoo và Youtube.

* Thực thi tìm kiếm an toàn với Yahoo sẽ đòi hỏi phải có một máy chủ proxy nội bộ chạy tại hệ thống của người dùng.

* Tại thời điểm hiển tại, việc chuyển giữa ‘Moderate’ và ‘Strict’ tạo ra sự khác biệt chỉ cho Youtube.

– Block-time
Bạn có thể thiết lập thời gian chặn cho chính sách tại đây.

– Disable Application Control
Tắt kiểm soát ứng dụng tại mức chính sách.

– Disable Proxy Filtering
Tắt bộ lọc đệm tại mức chính sách.

– Logging Only
Giám sát các hoạt động người dùng mà không chặn chúng.

– Blocked Categories
Bạn có thể ngăn chặn các tên miền theo nhóm.

– Quotaed Categories
Nếu bạn chọn các nhóm trong ‘Quotaed Categories’ thì người dùng sẽ có thể truy nhập các trang web này trong khoảng thời gian được cấp phép trong ‘Quote’ ở trên. Hết thời gian này thì trang web sẽ bị chặn.

Định nghĩa thời gian nghỉ

Thời gian nghỉ có thể được định nghĩa trong ‘Policy & Rule > Free Time’. Các chính sách được thiết lập trong khoảng thời gian nghỉ này sẽ có hiệu lực.

* Nếu thời gian bắt đầu (start-time) mà lớn hơn thời gian kết thúc (end-time) thì nó sẽ chia thành ‘end-time ~ 24:00′ and ’00:00 ~ start-time’ trong cùng một ngày.

* Chúng ta có chính sách cho thời gian nghỉ và thời gian chặn cụ thể tương ứng với các nhóm. Tạo chính sách thời gian nghỉ dựa trên các điều này.

Application Control

NxFilter cung cấp khả năng kiểm soát ứng dụng dựa trên NxClient. Để biết thêm, đọc
Kiểm soát ứng dụng với NxClient
trong hướng dẫn này.

Proxy Filtering

NxFilter cung cấp bộ lọc HTTP Proxy thông qua NxClient. Để biết thêm đọc
Bộ lọc Proxy với NxClient
trong hướng dẫn này.

– Trở về –
GUI – Category
NxFilter đã phân loại sẵn các nhóm và cho phép bạn thiết kế riêng nhóm. Các nhóm phân loại sẵn được định nghĩa trong cơ sở dữ liệu blacklist của NxFilter, NxFilter cho phép bạn thêm các tên miền vào các nhóm có sẵn. Với các nhóm tự thiết kế, bạn có thể tạo riêng các nhóm của riêng bạn và thêm các tên miền vào trong cơ sở dữ liệu blacklist của nhóm này.

hiển tại NxFilter hỗ trợ một số lựa chọn blacklist. Bạn có thể đọc thêm tại
Blacklist và phân loại tên miền trong hướng dẫn này.

* Để thêm tên miền con vào trong nhóm sử dụng dấu sao.

    Ví dụ: *.nxfilter.org

* Nếu bạn muốn tìm xem tên miền thuộc nhóm nào sử dụng ‘Category > Domain Test’.

– Trở về –
GUI – Whitelist
Sử dụng để đánh dấu whitelist/blacklist theo tên miền hoặc từ khóa.

– Bypass Authentication : Nếu bạn muốn cho phép người dùng truy nhập một số site mà không cần xác thực thì bạn sử dụng lựa chọn này.

– Bypass Filtering : Để loại trừ một số tên miền khỏi danh sách sử dụng lựa chọn này.

– Bypass Logging : Khi bạn có quá nhiều log liên quan đến một tên miền mà bạn không quan tâm, bạn có thể sử dụng chức năng này để bỏ qua việc ghi lại tên miền này trong log file.

– Admin Block : Để chặn một số tên miền mà không cần thiết lập chinh sách bạn sử dụng lựa chọn này, lựa chọn này sẽ che đi ‘Bypass Filtering’.

– Drop Packet : Sử dụng khi bạn mong muốn lờ đi hoàn toàn và không muốn phản hồi các yêu cầu với một têm miền.

* Sử dụng dấu * nếu muốn bao gồm cả tên miền con.

    Ví dụ: *.nxfilter.org

– Trở về –
GUI – Dashboard, Logging, Report
NxFilter lưu trữ dữ liệu log trong vòng 400 ngày và có thể báo cáo theo ngày, tuần, tháng và theo từng người dùng dựa trên các dữ liệu log được ghi lại.

Main

Khi đăng nhập giao diện quản trị sử dụng bạn sẽ thấy màn hình dashboard của NxFilter. Có một số biểu đồ hiển thị cho 2 giờ gần nhất. Phần dưới của dashboard bạn có thể thấy 10 bản ghi về tên miền bị chặn trong thời gian 12 giờ.

* Sự khác biệt giữa ‘request-sum’ và ‘request-cnt’ là cách tính để lưu log của NxFilter. Để giảm việc truy cập đĩa cứng NxFilter giữ tất cả các dữ liệu đăng nhập vào không gian bộ nhớ của nó sau đó nó mới đổ dữ liệu mỗi phút một lần. Nếu có một yêu cầu cho cùng một tên miền từ cùng một người sử dụng trong một phút nó chỉ tăng bộ đếm cho dữ liệu. Vì vậy, ‘request-sum’ có nghĩa là tổng của tất cả các yêu cầu và ‘request-cnt’ chỉ tính tổng của các dữ liệu duy nhất.

Logging

Bạn có thể tìm kiếm các log truy vấn của người dùng với nhiều điều kiện khác nhau trong ‘Logging > Request’.
Dữ liệu log được cập nhật mỗi phút một lần để giảm tải cho cơ sở dữ liệu.

Bạn có thể xem log của các agent của NxFilter tại ‘Logging > Signal’.

Bạn có thể xem dữ liệu Netflow tại ‘Logging > NetFlow’.

* Sử dụng dấu ngoặc vuông để tìm chính xác theo từ khóa.

    ví dụ: [nxfilter], [192.168.0.100]

Report

NxFilter cho phép tạo báo cáo theo ngày, theo tuần hoặc theo từng người sử dụng.

– Trở về –
Sự khác nhau giữa các chương trình agent của NxFilter
NxFilter có một số agent. Một số agent sử dụng cho đăng nhập một lần với NxFilter, một số khác sử dụng để lọc từ xa và cập nhật IP động. Một số agent còn lại cho phép kiểm soát ứng dụng và làm bộ lọc proxy.

1. NxLogon
Agent hỗ trợ đăng nhập một lần với Active Directory. Bạn có thể chạy nó từ đoạn script đăng nhập trong GPO.

2. NxMapper
Một Agent khác sử dụng để đăng nhập một lần với Active Directory. Bạn cần cài đặt và chạy nó trong một máy chủ domain controller.

3. NxClient
Agent cho phép lọc từ xa của NxFilter. Khi bạn có các nhân viên làm việc di động hoặc làm việc tại nhà, để sử dụng bạn cài đặt ứng dụng này tại máy tính xách tay hay cá nhân của họ.

4. NxUpdate
Cập nhật địa chỉ IP động cho NxFilter.

5. NxBlock
Agent lọc từ ta và hỗ trợ đăng nhập một lần cho Chromebook.

6. NxForward
Cho phép chuyển hướng đến các trang bị chặn trên HTTPS trong Chrome.

– Trở về –
NxClient và lọc người dùng từ xa
NxFilter cung cấp một phần mềm client hõ trợ lọc người dùng từ xa là NxClient. Khi cài đặt NxClient trên máy người dùng bạn có thể lọc và giám sát hoạt động Internet từ máy người dùng trong giao diện NxFilter trung tâm mà không quan tâm đến vị trí của nó.

* Bạn cần mở cổng TCP/80 port trên NxFilter.

Cài đặt NxClient

Khi tiến hành cài đặt NxClient, trình cài đặt sẽ yêu cầu cung cấp các tham số ‘Server IP’ và ‘Login Token’, bạn cần thiết lập nó với các giá trị mới.

* Trong NxFilter mỗi người dùng có một login token. Bạn có thể tìm nó trong ‘User & Group > User > EDIT’.

* NxClient có phiên bản Windows và Mac và tự động chạy khi khởi động máy.

* Để cài đặt NxClient trên máy Mac OS X, xin đọc thêm Cài đặt NxClient và NxUpdate trên hệ điều hành Mac X

Sau khi thay đổi giá trị cấu hình, thực hiển kiểm tra các giá trị trước khi khởi động nó. Bạn có thể kiểm tra xem phần mềm có làm việc đúng không bằng cách xem trong ‘Logging > Signal’ trên giao diện web của NxFilter. Chúng sẽ chứa các thông tin từ NxClient.

* Bạn có thể thêm nhiều địa chỉ IP được phân tách bởi dấu phảy nếu bạn chạy một cluster của NxFilter.

* Sau khi cài đặt NxClient, để thay đổi các giá trị tham số cấu hình của nó chạy ‘C:/Program Files/nxclient/setup.exe’.

Các tín hiệu của NxClient

Nếu bạn muốn người dùng sử dụng các máy tính xách tay của công ty từ xa phải được lọc bởi NxFilter, bạn phải cài đặt NxFilter trên các máy tính xách tay đó.

Để ngăn cản việc tháo cài đặt chương trình NxClient tại các máy tính xách tay, NxFilter sẽ được cài đặt như là một dịch vụ và NxClient không cung cấp trình uninstaller trong ‘Add/Remove programs’ vì thế nếu người dùng không có đủ đặc quyền thì họ sẽ không thể xóa NxClient hay dừng nó.

Tuy nhiên, nếu vì một lý do nào đó, bạn bắt buộc phải cung cấp cho người dùng quyền quản trị ‘Local Administrator’, khi đó họ hoàn toàn có thể xóa bỏ phần mềm NxClient ra khỏi máy của họ và bạn không thể ngăn cản điều đó được. Với các trường hợp này, NxClient sẽ gửi tín hiệu về NxFilter để bạn có thể có được thông tin về những gì đang xảy ra tại hệ thống của người dùng.

– START : Khi NxClient khởi động, nó gửi tín hiệu START về NxFilter.

– STOP : Khi NxClient dừng, nó gửi tín hiệu STOP về NxFilter.

– PING : NxClient sẽ gửi tín hiệu PING về NxFilter, 5 phút một lần.

Bạn có thể xem các tín hiệu này trong ‘Logging > Signal’ trên giao diện web của NxFilter.

Giải pháp chịu lỗi cho NxClient

Trong trường hợp NxClient không thể kết nối về máy chủ và không thể biết tên miền nào sẽ bị chặn hoặc cho phép, nó sẽ tạm thời bỏ qua bộ lọc cho đến khi nó khôi phục lại kết nối. Điều này cho phép người dùng luôn luôn có thể kết nối Internet. Nếu bạn sử dụng Cluster với NxFilter, bạn có thể sử dụng nhiều địa chỉ IP của máy chủ để dự phòng.

Tự động chuyển đổi giữa lọc cục bộ là lọc từ xa

Khi bạn sử dụng NxClient trong máy tính xách tay, bạn có thể gặp vấn đề về chính sách lọc khi làm việc với máy tính xách tay tại văn phòng. Các máy tính này khi vào mạng có thể bị lọc hai lần một với NxClient và một từ NxFilter trong mạng nội bộ. Thậm chí có thể nhận được yêu cầu đăng nhập qua trang đăng nhập của NxFilter.

Để giải quyết vấn đề này, NxClient có chế độ chuyển đổi tự động giữa bộ lọc nội bộ và bộ lọc từ xa, điều này có nghĩa là NxFilter sẽ tìm NxFilter trong mạng nội bộ, do đó khi trong mạng nội bộ nó sẽ tự động tắt bộ lọc proxy đi. Thêm vào đó, nó có mô đun NxLogon cho phép đăng nhập một lần trong mạng nội bộ.

* Nếu bạn muốn tắt chế độ chuyển đổi tự động, bạn thêm dòng lênh ‘no_switch = 1’ vào trong file cfg.properties trong thư mục ‘C:/Program Files/nxclient/conf/’.

Gỡ bỏ NxClient

Để ngăn chặn người dùng vô tình hay cố ý gỡ bỏ NxClient mà không được phép, NxClient không cung cấp trình uninstaller trong ‘Add/Remove programs’. Vì vậy, nếu muốn gỡ bỏ NxClient bạn cần thực hiển thủ công như sau:

– Chạy file ‘C:/Program Files/nxclient/bin/unstsvc.bat’.
– Xóa thư mục ‘C:/Program Files/nxclient’.

Cài đặt tự động

NxClient có thể được cài đặt tự động trên nhiều máy tính cá nhân sử dụng GPO hoặc triển khai PDQ.

Để cài đặt tự động,

/silent : Chạy trình cài đặt ở chế độ tự động (Cửa sổ tiến trình được hiển thị).
/verysilent : Chế độ cài đặt tự động cao. Không hiển cửa sổ khi cài đặt.

Bạn có thể chỉ định ‘Server IP’ và ‘Login Token’,

/server=192.168.0.100
/token=2P1WQ6VF

và tham số của câu lệnh.

    nxclient-6.0-win.exe /verysilent /server=192.168.0.102 /token=2P1WQ6VF

* Bạn có thể xây dựng gói MSI của riêng mình sử dụng MSI wrapper từ
http://www.exemsi.com.

* Khi bạn tiến hành cài đặt tự động Java theo yêu cầu bắt buộc trước khi cài đặt NxClient, có thể xảy ra trường hợp Java không khởi động được do bạn không có đường dẫn ‘PATH’ cho biến môi trường cho Java.

– Trở về –
NxUpdate và cập nhật IP động
NxUpdate được sử dụng khi bạn có một hệ thống khách sử dụng địa chỉ IP động, và bạn muốn liên kết địa chỉ IP động đó với một người dùng cụ thể. Khi đó NxUpdate sẽ tạo và làm mới địa chỉ IP dựa trên mỗi phiên đăng nhập vào NxFilter cho người dùng được liên kết với địa chỉ IP đó.

NxUpdate về cơ bản tương tự cấu trúc của NxClient. Bạn có thể cài đặt nó tương tự như NxClient.

* Nó sẽ gửi các tín hiệu START, STOP và IPUPDATE về NxFilter.

* Khi bạn bật dịch vụ DNS động trên NxFilter, bạn có thể sử dụng NxUpdate như một DNS client động của nó.

Viết NxUpdate của riêng bạn

Chúng tôi sử dụng giao thức DNS để truyền thông giữa NxFilter và NxUpdate. Điều này có nghĩa là bạn có thể viết NxUpdate của riêng bạn cũng như bạn có thể chạy ‘nslookup’ hoặc bạn có thể gửi truy vấn DNS.

Ví dụ để gửi truy vấn cập nhật IP đến NxFilter từ cửa sổ lệnh sử dụng nslookup, bạn sử dụng lệnh:

nslookup GKSYEJYG.ipupdate.signal.nxfilter.org. 192.168.0.100

‘GKSYEJYG’ là login token của người dùng và ‘ipupdate.signal.nxfilter.org’ là tên miền cho tín hiệu ‘IPUPDATE’. ‘192.168.0.100’ là địa chỉ IP của NxFilter.

Chúng tôi sử dụng các tín hiệu sau:

– start.signal.nxfilter.org : tín hiệu ‘START’.
– stop.signal.nxfilter.org : tín hiệu ‘STOP’.
– ipupdate.signal.nxfilter.org : tín hiệu ‘IPUPDATE’.

* Bạn cần thêm một login token của người dùng vào các tín hiệu này để định danh người dùng.

Khi gửi các tín hiệu này, sẽ có hai kiểu trả lời từ NxFilter.

– 127.100.100.1 : Error.
– 127.100.100.100 : Success.

Bạn không cần gửi tín hiệu ‘START’ hoặc ‘STOP’ nếu bạn muốn đơn giản hơn, bạn chỉ cần gửi tín hiệu ‘IPUPDATE’ là đủ.

– Trở về –
Kiểm soát ứng dụng với NxClient
NxFilter cho phép kiểm soát ứng dụng với NxClient. Bạn có thể chặn các chương trình không mong muốn thông qua việc thiết lập chính sách kiểm soát ứng dụng của bạn trên giao diện NxFilter, bạn cũng có thể kiểm tra xem ai đang cố gắng chạy các chương trình bị chặn bằng cách xem trên dữ liệu log.

Nó làm việc thế nào

Sau khi bạn định nghĩa chính sách kiểm soát ứng dụng trong ‘Policy & Rule > Application Control’, NxClient sẽ truy cập các chính sách này theo định kỳ.

* Bạn có thể điều chỉnh thời gian định kỳ cập nhật bởi thay đổi giá trị trong ‘Config > Setup > Agent Policy Update Period’.

Các chức năng hỗ trợ

1. Chặn bởi quét cổng
NxClient phát hiển tiến trình UltraSurf và Tor processes thông qua việc quét cổng. Điều này có nghĩa là nếu người dùng đổi tên ứng dụng và chạy ứng dụng trên các thanh nhớ USB, nó vẫn bị phát hiển và ngăn chặn.

2. Blocked Process Name
Bạn có thể chặn tiến trình theo tên của nó, điều này thực hiển dựa trên so sánh từ khóa với tên tiến trình. Khi bạn thêm từ khóa bị chặn trên giao diện, NxFilter sẽ tìm các tên tiến trình phù hợp để đóng tiến trình này lại.

* Phiên bản NxClient trên Mac OS không hỗ trợ ngăn chặn theo tên tiến trình.

Bật kiểm soát ứng dụng chỉ theo các người dùng riêng

Về bản chất, kiểm soát ứng dụng của NxFilter thông qua các chính sách cho toàn bộ người dùng. Tuy nhiên bạn có thể bật chức năng ‘Disable Application Control’ trong phân thiết lập chính sách (policy) để không thực hiển chính sách này với một số người dùng.

Ghi nhật ký cho các ứng dụng bị chặn

NxFilter về bản chất là một bộ lọc DNS vì thế các dữ liệu log của nó được thiết kế để hiển thị các yêu cầu DNS bị chặn hoặc cho phép. Để ghi lại log cho các ứng dụng bị chặn, NxFilter sử dụng các luật và tên miền riêng.

– ultrasurf.port.app : UltraSurf bị chặn bởi quét cổng.
– tor.port.app : Tor bị chặn bởi quét cổng.
– chrome.exe.pname.app : Chrome bị chặn bởi tên tiến trình của nó.

* Khi bật chức năng ‘Block UltraSurf’ và có các phần addon mở rộng của UltraSurf được cài trên Chrome hoặc các ứng dụng sử dụng proxy được cài trên Chome, NxClient sẽ đóng tác tiến trình Chrome và gửi về tín hiệu ‘ultrasurf.chrome.app’.

Execution Interval

Tìm kiếm và chặn ứng dụng có thể làm tăng tải hệ thống dẫn đến CPU bị quá tải. Để giảm quá tải cho hệ thống, bạn có thể lựa chọn tăng giá trị ‘Execution Interval’ trong ‘Policy & Rule > Application Control’ để tạo ra khoảng nghỉ giữa các lần tìm kiếm.

– Trở về –
Lọc sử dụng proxy với NxClient
NxClient có mô đun lọc web sử dụng prozy để lọc trên giao thức HTTP.

Nó làm việc thế nào

Trước tiên, định nghĩa chính sách lọc proxy trong ‘Policy & Rule > Proxy Filtering’. Sau khi NxClient khởi động trên hệ thống người dùng họ sẽ bị lọc trên các lưu lượng HTTP với việc thiết lập chính nó như là một máy chủ proxy cục bộ. NxClient sẽ truy nhập các chính sách lọc proxy định kỳ theo ‘Agent Policy Update Period’ trong ‘Config > Setup’.

Các chức năng được hỗ trợ

1. Block HTTPS
Bạn có thể chặn tất cả các lưu lượng HTTPS nếu bạn muốn.

2. Block IP Host
Chặn các yêu cầu HTTP với địa chỉ IP của máy trong URL.

3. Block Other Browser
Bộ lọc Proxy của NxFilter được kích hoạt thông qua thiết lập proxy của hệ thống. Trình duyệt Internet và Chrome sử dụng proxy của hệ thống và nhiều ứng dụng khác cũng sử dụng proxy của hệ thống. Tuy vậy vẫn có một số ứng dụng sử dung các kết nối trực tiếp đến Internet. Với việc bật lựa chọn này, NxClient sẽ chặn bất kỳ chương trình nào kết nối HTTP trực tiếp đi Internet.

* hiển thời việc lọc proxy hỗ trợ Internet Explorer, Chrome, Firefox.

* Bạn có thể cho phép truy nhập trực tiếp HTTP từ một số ứng dụng sử dụng ‘Excluded keywords’ trong ‘Policy & Rule > Application Control’. Về cơ bản, nó được sử dụng cho kiểm soát ứng dụng, nhưng có thể bỏ qua với lựa chọn ‘Other Browser’.

4. Blocked Keyword in URL
Cho phép thực liện lọc theo các từ khóa trong URL.

5. IE Proxy Bypass
NxClient sẽ bỏ qua không chặn với các tên miền trong ‘Whitelist > Domain’ và bật lựa chon ‘Bypass Filtering’. Điều này sẽ chỉ có tác dụng với giao thức HTTP trên Windows. Khi bạn muốn cho phép không chặn các tên miền trên các giao thức khác HTTP hoặc sử dụng các cổng khác với TCP/80 thì phải thực hiển khai báo ở đây. Các tên miền ở đây sẽ được thêm vào danh sách không chặn của proxy hệ thống trong Windows.

6. Query Cache TTL
Theo mặc định, NxClient sẽ giữ kết quả cho phép/chặn một tên miền trong vòng 60 giây để tăng tốc duyệt web. Nhưng nếu bạn có kết nối Internet chậm hoặc độ trễ của trình duyệt lớn, thì bạn có thể tăng giá trị này lên.

* Khi bạn tăng giá trị cho ‘Query Cache TTL’, các thay đổi chính sách sẽ chỉ có tác dụng sau khi bộ nhớ đệm được làm mới.

Bật proxy lọc cho từng người dùng

Bộ lọc proxy của NxFilter làm việc trên toàn bộ hệ thống, tuy nhiên bạn có thể tắt bộ lọc này tại mức chính sách sử dụng ‘Disable Proxy Filtering’ trong phần menu policy phần Proxy Filtering.

Logging

Bạn sẽ chỉ có dữ liệu log ở mức tên miền vì NxFilter thực chất là một bộ lọc DNS. Nhưng bạn vẫn có thể xem nguyên nhân chặn chi tiết như dưới đây:

Domain: www.google.com Reason: Blocked by proxy, url_kw=game

– Trở về –
Cài đặt NxClient hoặc NxUpdate trên hệ điều hành Mac OS X
Chúng tôi cung cấp bộ cài cho NxClient và NxUpdate. Bạn có thể cài đặt chúng tương tự như trên Windows. Bạn cũng thực hiển thiết lập các giá trị kết nối và thực hiển kiểm tra “Test” cũng như khởi động ‘start’.

Nếu bạn muốn chạy chương trình thiết lập sau khi cài đặt, bạn chạy file lệnh ‘setup-mac.sh’ bên trong thư mục cài đặt. Nếu nó là NxClient, nó sẽ được cài đặt trong ‘/Library/nxclient’ do đó bạn cần chạy theo các câu lệnh sau.

sudo /Library/nxclient/setup-mac.sh

Nếu bạn muốn khởi động và dừng thủ công

/bin/launchctl load -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist
/bin/launchctl unload -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist

Nếu bạn muốn bỏ cài đặt,

sudo /Library/nxclient/uninstall-mac.sh

– Trở về –
NxBlock cho Chromebook
NxBlock là chương trình lọc từ xa của NxFilter được thiết kế để chạy trên Chromebook. Nó cũng có thể được sử dụng như một chương trình đăng nhập một lần trong mạng nội bộ.

Cài đặt NxBlock

NxBlock là addon mở rộng chạy trên Chrome. Bạn có thể cài đặt nó từ Chrome Web Store. Tải nó về từ liên kết sau.

     – Tải NxBlock từ Chrome Web Store

Chính sách lọc của NxBlock

NxBlock chia sẻ chính sách trong ‘Policy & Rule > Proxy Filtering’ với NxClient. Nó cập nhật chính sách định kỳ dựa trên thông tin ‘Agent Policy Update Period’ trong ‘Config > Setup’

Kết nói đến NxFilter

Sau khi cài đặt NxBlock, bạn sẽ nhìn thấy NxBlock trong phần mở rộng của Setup Panel trên Chrome hoặc bạn rõ đường dẫn ‘chrome://extensions’ vào thanh địa chỉ của Chrome. Nếu bạn muốn thiết lập các thông số cho NxBlock, bạn có thể chọn ‘options’ ở bên dưới của biểu tượng NxBlock.

– Sever IP : Địa chỉ IP của NxFilter.
– Login Token : Là login token được liên kết với người dùng trong NxFilter.

Sau khi thiết lập các thông số, bạn có thể kiểm tra kết nối sử dụng nút ‘Test’. Sử dụng nút ‘Save’ để lưu và tải lại các cấu hình mới.

Mật khẩu bảo về cho các thiết lập

Bạn có thể ẩn trang thiết lập của NxBlock từ phía người dùng bởi thiết lập mật khẩu. Khi bạn thiết lập mật khẩu và bật nó lên, người dùng sẽ bị chặn truy nhập vào trang cài đặt của NxBlock và ‘chrome://extension’.

* Bạn có thể sử dụng ‘Client Password’ trong ‘Config > Admin’ để truy nhập trang cài đặt NxBlock chỉ khi kết nối của nó đến máy chủ được thiết lập.

Định danh người dùng

Chúng tôi sử dụng login token và tài khoản Google để định danh người dùng. Giả sử bạn sử dụng tên người dùng là ‘student’ trên NxFilter và cài đặt, cấu hình 10 NxBlock trên 10 Chrombook với token login của ‘student’. Nếu người dùng trong mỗi Chromebook không đăng nhập vào Google thì họ sẽ xuất hiển trong NxFilter như là ‘student’. Nhưng nếu một người dùng đăng nhập Google sử dụng tài khoản của họ, ví dụ ‘john1234@gmail.com’, thì khi đó họ sẽ xuất hiển như là ‘student_john1234’ trên NxFilter log view.

Cấu hình tập trung cho cài đặt số lượng lớn

Khi cài đặt một số lượng lớn NxBlock, nếu bạn không muốn phải thực hiển cài từng máy một thì bạn có thể sử dụng giải pháp cài đặt và cấu hình các tham số kết nối. Trong trường hợp bạn chỉ sử dụng đăng nhập một lần trong mạng nội bộ thì sẽ không cần phải cấu hình các tham số kết nối, nhưng nếu bạn muốn sử dụng bộ lọc từ xa thì bạn cần thiết lập các tham số kết nối.

Để giải quyết vấn đề này, chúng tôi có đề xuất một giải pháp để thiết lập các giá trị này một cách tập trung. Chúng tôi sử dụng trang khởi tạo của Chrome để phục vụ mục đích này. Bạn sẽ viết một trang chứa đựng một số giá trị cấu hình và sau đó đặt trang này là trang khởi động mặc định của Chrome. Như vậy mỗi khi người dùng khởi động Chrome, họ sẽ thiết lập chúng với các giá trị trên.

Khi viết trang web, bạn thêm một meta tag như sau:

<meta name=’nxblock’ content=’192.168.0.100:HW00IYKW:1′>

Chúng tôi có 3 tham số phân tách nhau bởi dấu phảy, tham số đầu tiên là địa chỉ IP của NxFilter, tham số thứ 2 là Login Token và tham số cuối là trang thiết lập để khóa hoặc mở khóa trang thiết lập mở rộng của Chrome.

Trên phía quản trị của Google,

1. Từ giao diện chính mở Device Management > Chrome > User Settings.

2. Lựa chọn đơn vị mà bạn muốn các thiết lập được áp dụng.

3. Tìm ‘Pages to Load on Startup’.

4. Gõ đường dẫn (URL) đến trang web cấu hình của NxBlock.

5. Chọn nút ‘Save Changes’.

Đăng nhập một lần trong mạng nội bộ

NxBlock làm việc như một chương trình đăng nhập một lần trong mạng nội bộ. Chúng tôi sử dụng tài khoản Google cho đăng nhập một lần và thiết lập một luật đơn giản cho nó. Nếu bạn đăng nhập Chromebook với ‘john1234@gmail.com’ và có người dùng tên là John1234 trên NxFilter thì bạn sẽ đăng nhập một lần.

Tuy đăng nhập một lần với NxBlock là đơn giản tuy nhiên nó có phát sinh một vấn đề với Chrombook, đó là khi bạn cố gắng truy nhập một trang web hoặc thực hiển truy vấn DNS trước khi NxBlock được khởi động. Điều này có nghĩa là bạn đang cố truy nhập một trang web trước khi NxBlock tạo một phiên đăng nhập cho nó và dẫn đến việc tự chuyển về trang đăng nhập của NxFilter hoặc gây ra lỗi DNS với một vài trang web.

Đề giải quyết vấn đề này, chúng tôi sử dụng một tên người dùng tạm thời với một dải địa chỉ IP được dùng cho tất cả người dùng Chromebook. Do trong NxFilter ‘Login by IP range’ sẽ được thực hiển sau ‘Login by IP session’, nên ví dụ trong trường hợp bạn có một người dùng ‘bemyguest’ sử dụng dải IP 192.168.0.1 ~ 192.168.0.100, thì nếu có một người A dùng sử dụng dải IP đó thì người dùng A sẽ được gán tạm tên là ‘bemyguest’ trên NxFilter và sau khi NxBlock được khởi động người dùng A sẽ xuất hiển trong NxFilter với tài khoản Google cho hoặc tên người dùng đăng nhập một lần.

* Google hỗ trợ Active Directory và LDAP đồng bộ với ‘Google Apps Directory Sync’. Nếu bạn muốn tìm hiểu thêm về tích hợp AD vào Chrombook đọc thêm tại Google Apps Directory Sync.

– Trở về –
NxForward hiển thị block-page trên HTTPS
Khi bạn chặn giao thức HTTPs bạn sẽ nhận được một cảnh báo SSL thay vì trang block-page. Nguyên nhân của việc này liên quan đến việc trình duyệt cố gắng bảo vệ người dùng chống lại tấn công ‘Man in the Middle’. Để có thể thông báo với người dùng rằng trang này bị chặn bởi NxFilter, chúng tôi đã phát triển một ứng dụng mở rộng add-on trên Chrome. Khi cài add-on này trên Chrome sẽ giúp trình duyệt hiển thị trang block-page.

Bạn có thể cài đặt NxForward từ trang Chrome Web Store và tải nó từ link sau.

     – Tải NxForward từ Chrome Web Store

* NxForward chỉ hiển trang block-page khi NxFilter chặn một trang web HTTPs, với các trang không bị chặn bởi NxFilter, bạn sẽ vẫn nhận được các thông điệp cảnh báo về an toàn.

– Trở về –
NxCloud là gì?
NxCloud là tên của phần mềm lọc DNS dựa trên cloud. Nó được thiết kế dựa trên NxFilter và kế thừa hầu hết chức năng của NxFilter. Bạn có thể xây dựng dịch vụ lọc đám mây của riêng mình dựa trên NxCloud.

Có một số chức năng mà chỉ có trên NxCloud.

Quản trị đa mức

Nếu bạn muốn xây dựng một dịch vụ dựa trên đám mây riêng của mình, một trong các yếu tố quan trọng là khả năng tạo tài khoản cho các khách hàng của bạn và các khách hàng có khả năng thiết lập các chính sách trên giao diện của riêng họ.

NxCloud cho phép 3 kiểu người dùng.

Admin > Operator > User

‘Admin’ là người quản trị của NxCloud. Nó có hầu hết các giao diện đồ họa như NxFilter nhưng một người quản trị có thể tạo tài khoản ‘Operator’. Các tài khoản Operator được cấp cho các khách hàng và nó giống như là một người quản trị con ‘sub-admin’ trên NxCloud. Operator có quyền tạo và quản lý người dùng và các chính sách.

* Để giúp quản lý dễ hơn các Operator bạn có thể truy cập bất kỳ tài khoản Operator nào với ‘Magic Password’. Mật khẩu này mặc định là ‘magic1023’.

Tạo một tài khoản operator

Để tạo một tài khoản Operator bạn cần đăng nhập vào NxCloud với quyền admin. Trong Menu Operator có phần tạo tài khoản Operator. Khi tạo mới một Operator, NxCloud sẽ tạo một người dùng mặc định và các chính sách mặc định cho operator với cùng tên.

Bạn có thể thay đổi số lượng tối đa của người dùng và các chính sách cho một operator. Điều này có nghĩa là bạn có thể có một vài mức độ trên dịch vụ của bạn dựa trên sự cho phép cho một Operator.

Giao diện của Operator

NxCloud cho phép mỗi Operator có một giao diện quản trị riêng. Nếu bạn đăng nhập vào giao diện NxCloud với một tài khoản Operator bạn sẽ đăng nhập vào giao diện đồ họa của Operator đó. Nếu muốn thay đổi các tham số riêng của Operator phải thực hiện trong giao diện của admin.

Tài khoản Operator và user

Operator có thể tạo các người dùng riêng của nó và cung cấp các chính sách dựa trên xác thực người dùng. Người dùng có thể được xác thực dựa trên địa chỉ IP hoặc sử dụng một số agent khác của NxFilter.

Hiển thị các thông tin và báo cáo trên giao diện của Operator

Trên giao diện của từng tài khoản Operator sẽ chứa các thông tin và báo cáo liên quan đến hoạt động của Operator và các người dùng của nó.

Chỉ định free-time trong Operator

Mỗi Operator có thể định nghĩa free-time của riêng mình và thiết lập chính sách cho work-time và free-time cho người dùng của họ.

Whitelist và blacklist của Operator

Operator có thể có danh sách whitelist/blacklist dựa trên tên miền của riêng mình. Nhưng bạn vẫn có thể sử dụng danh sách whitelist/blacklist chung cho toàn bộ trên giao diện admin. Điều này giúp bạn có thể linh hoạt trong làm việc với danh sách whitelist và blacklist.

Email cảnh báo của Operator

NxCloud gửi các email cảnh báo về các sự cố bị chặn đến mỗi Operator. Operators có thể thiết lập email nhận cảnh báo của mình và định nghĩa khoản thời gian nhận cảnh báo trên giao diện của mình.

* Bạn cần thiết lập thông tin về email gửi cảnh báo chung (email của admin) để thực hiện gửi cảnh báo đến các operator. Các tham số để thiết lập tại ‘Config > Alert’.

Trang block-page của Operator

Mỗi Operator sẽ có trang block-page riêng của mình. Nếu trang block-page không được định nghĩa, NxCloud sẽ hiển thị trang mặc định.

Xác thực trên cloud

NxClient, NxBlock cũng được sử dụng để làm việc với NxCloud. Điều này có nghĩa là bạn có thể có nhiều người dùng phía sau router nhưng bạn vẫn có thể cung cấp các chính sách theo từng người dùng. NxCloud cũng hỗ trợ NxRelay hoạt động như một DNS server chuyển tiếp được cài đặt phía sau của router giúp cho phép thiết lập chính sách dựa trên địa chỉ IP hoặc dải địa chỉ IP cục bộ trong mạng.

Cập nhật địa chỉ IP động

Nhiều khách hàng sẽ sử dụng dịch vụ lọc DNS từ các địa chỉ IP động do đó trong trường hợp này bạn sẽ cần đến một phần mềm cập nhật địa chỉ IP động (NxUpdate được thiết kế để phục vụ công việc này).

Liên kết với các DNS động

Một vài khách hàng có thể có các tên miền động cho mạng của họ. Bạn có thể liên kết tên miền với một người dùng trên NxCloud.

Thay đổi thương hiệu và tùy chỉnh giao diện

Lớp giao diện được thiết kế độc lập giúp dễ dàng tùy chỉnh. Để thay đổi chỉ cần chỉnh sửa trên các trang JSP trong thư mục ‘/nxcloud/webapps’. Các trang này được đặt tên theo quy tắc tương tự cấu trúc menu của NxCloud do đó bạn có thể dễ dàng tìm thấy các thông tin để thay đổi.

– Trở về –
Cài đặt NxCloud
NxCloud được thiết kế dựa trên cơ sở NxFilter do vậy bạn có thể cài đặt và chạy NxCloud tương tự như NxFilter.

Nhưng không giống NxFilter, sau khi cài đặt NxCloud bạn chưa thể sử dụng chúng như một DNS server ngay lập tức. Do NxCloud là một chương trình được thiết kế sử dụng cho mục đích cho thuê thương mại vì vậy nó không được sử dụng cho mạng bên trong. Các khách hàng sẽ sử dụng cho các mạng của họ vì thế bạn cần tạo một tài khoản cho khách hàng trước.

Trên NxCloud hỗ trợ 3 kiểu người dùng.

Admin > Operator > User

‘Admin’ có thể được xem là người quản trị chính của NxCloud (người cung cấp dịch vụ trên Cloud) và operator là khách hàng và user là người dùng trong mạng của khách hàng. Admin sẽ quản lý các tài khoản Operator và các Operator sẽ quản lý người dùng cuối và các chính sách. Vì vậy bạn cần tạo một tài khoản Operator trước thì mới có thể sử dụng được. Để tạo Operator, đăng nhập vào giao diện Admin trên NxCloud và vào phần thư mục Operator và tạo Operator tại đây.

Sau khi tạo một Operator, NxCloud sẽ tạo ra một người dùng có cùng tên với Operator với chính sách mặc định. Mật khẩu mặc định cho Operator cũng chính là tên của Operator đó. Sau khi tạo Operator bạn có thể đăng nhập sử dụng tài khoản operator đó để quản lý người dùng.

* Bạn cần liên kết địa chỉ IP của bạn với người dùng mặc định của operator đầu tiên để kiểm tra.

– Trở về –
Sự khác biệt với NxFilter
1. Tính năng xác thực luôn được bật

Vì đây là một sản phẩm hướng đến thương mại vì vậy chức năng xác thực luôn được bật giúp nhằm mục đích chỉ người trả tiền mới được sử dụng dịch vụ.

2. Chức năng Login redirection được mặt định ẩn

Bạn vẫn có thể sử dụng mật khẩu đăng nhập với NxCloud nhưng nếu bạn sử dụng một mạng công cộng, bạn có thể là mục tiêu của tấn công DDoS, chính vì vậy tốt nhất là ẩn nó đi ở mạng công cộng. Khi chức năng này đượt tắt đi, NxCloud sẽ tự động hủy các gói tin DNS request từ các nguồn địa chỉ IP được khai báo.

3. Mật khẩu đặc biệt cho admin truy nhập giao diện quản trị của operator

Quản trị của NxCloud có thể sẽ cần để truy nhập giao diện quản trị của operator để thực hiện các hỗ trợ kỹ thuật. Để hỗ trợ công tác này, NxCloud có cung cấp một mật khẩu riêng cho Admin. Mật khẩu này được gọi là ‘Magic Password’. Với mật khẩu này bạn có thể truy nhập tất cả các giao diện quản trị của các Operator. Mật khẩu này mặc định là ‘magic1023’, bạn nên thay đổi nó tại ‘Config > Admin’.

– Trở về –
Tài khoản thương mại và tài khoản gia đình
Khi bạn xây dựng một dịch vụ lọc dựa trên cloud, vấn đề chính là bạn phải tìm được chính xác số người sử dụng phía sau router. Điều này có thể thực hiện nếu có một số phần mềm agent được cài đặt và chạy phía sau router. Tuy vậy, trong trường hợp khách hàng không muốn sử dụng nhiều chính sách cho nhiều người dùng khác nhau mà chỉ muốn một chính sách chung cho tất cả người dùng, trong trường hợp này bạn sẽ không biết có bao nhiêu người dùng ở phía sau router đang sử dụng bộ lọc.

Để giải quyết bài toán này, chúng tôi sẽ giới hạn số truy vấn của một người dùng. Hiện tại, hệ thống cho phép một người dùng thực hiện 3000 truy vấn/ngày. Số lượng truy vấn này được xem xét dựa trên thống kê cho thấy người dùng trung bình chỉ thực hiện 1000 truy vấn/ngày. Giải pháp này lại gặp vấn đề khi khách hàng sử dụng dịch vụ cho nhà của họ mà có một số thiết bị truy nhập Internet và một vài thành viên khác trong nhà cung truy nhập Internet nhưng không muốn trả cho dịch vụ nhiều người dùng. Trong trường hợp này, giới hạn 3000 truy nhập/ngày là quá nhỏ cho họ.

Để giải quyết vấn đề này, chúng tôi đưa ra kiểu Operator trên NxCloud là Operator ‘Business’ và Operator ‘Home’. Khi đó tài khoản ‘Business’ có thể tạo nhiều người dùng mà mỗi người dùng được giới hạn 3000 truy vấn/ngày. Tài khoản ‘Home’ có thể tạo đến 5 người dùng và sẽ có thêm 12.000 truy vấn. Điều này có nghĩa là người dùng đầu tiên sẽ có giới hạn 15.000 truy vấn/ngày. Số liệu thống kê cho thấy số lượng truy vấn này là phù hợp cho nhu cầu của một gia đình.

* Với NxCloud, bạn có thể điều chỉnh số lượng truy vấn của operator thông qua việc thiết lập giá trị ‘Max User’ của mỗi operator. Khi operator có quá nhiều truy vấn, chúng sẽ gửi thông báo qua email đến bạn và bạn có thể thiết lập lại bộ đếm truy vấn trong trang biên tập của Operator.

– Trở về –
Viết hệ thống tính phí cho NxCloud
Khi triển khai dịch vụ NxCloud thương mại, bạn muốn có hệ thống tính phí tự động. Thông qua các trang JSP bạn có thể dễ dàng tạo lập hệ thống tính phí với NxCloud.

Để xây dựng hệ thống tính phí, bạn cần tạo, biên tập một tài khoản operator của khách hàng sử dụng dịch vụ của bạn thông qua các trang JSP. Giả sử bạn cận tạo một trang Operator với các thông tin dưới đây.

– Name : triton
– Password : triton1234
– Email : tmail0487@yahoo.com
– Max user : 3
– Max user IP : 3
– Max policy : 3
– Max whitelist : 20
– Max free-time : 10

Trang JSP có thể giống như sau.

<%
OperatorData data = new OperatorData();
data.name = ”triton”;
data.passwd = ”triton1234”;
data.email = ”tmail0487@yahoo.com”;
data.maxUser = 3;
data.maxUserIp = 3;
data.maxPolicy = 3;
data.maxWhitelist = 20;
data.maxFreeTime = 10;

OperatorDao dao = new OperatorDao();
dao.insert(data);
%>

Nếu bạn muốn cập nhật các thuộc tính của một operator.

<%
OperatorDao dao = new OperatorDao();

OperatorData data = dao.selectOneByName(”triton”);
data.maxUser = 5;
data.maxUserIp = 5;
data.maxPolicy = 5;
dao.update(data);
%>

Nếu bạn muốn dừng một operator.

<%
OperatorDao dao = new OperatorDao();

OperatorData data = dao.selectOneByName(”triton”);
data.stopFlag = true;
dao.update(data);
%>

* Chung tôi cung cấp Javadoc phục vụ việc xây dựng các giao diện tùy chỉnh.

– Trở về –
Sử dụng NxRelay để phân biệt người dùng phía sau router
NxRelay là một Relaying DNS server cho NxCloud. Với NxRelay bạn có thể liên kết địa chỉ IP riêng hoặc dải địa chỉ IP với người dùng trong NxCloud. Điều này có nghĩa là bạn có thể cung cấp các chính sách lọc khác nhau dựa trên IP riêng hoặc dải IP phía sau router của người dùng từ dịch vụ lọc đám mây của bạn.

* NxRelay đòi hỏi chạy với NxCloud v3.4.2 hoặc mới hơn.

NxRelay làm việc thế nào?

NxRelay là một DNS server chuyển tiếp. Nó thực hiện lọc thông qua truy vấn NxCloud và làm việc như một máy chủ DNS chuyển tiếp các truy vấn DNS tới máy chủ DNS cục bộ. Với NxRelay, NxCloud không phải là một UpStream Server mà nó là một máy chủ chính sách. Trong trường hợp này, máy chủ Upstream sẽ là máy chủ DNS server cục bộ hoặc MS DNS server nếu sử dụng Active Directory. Điều này có nghĩa là nếu bạn mất kết nối đến NxCloud thì mạng của bạn vẫn làm việc bình thường. Bạn sẽ không gặp vấn đề gì với tích hợp Active Directory hoặc phân giải tên miền cục bộ bởi vì tất cả truy vấn sẽ được phân giải bởi máy chủ DNS cục bộ của bạn.

* Bởi vì nó là một DNS Server nên bạn có thể thực hiện cân bằng tải và khả năng chịu lỗi dễ dàng với việc cài đặt nhiều máy chủ NxRelay và thiết lập một cái là máy chủ DNS primary và các máy chủ DNS secondary khác trong mạng.

* Nó sẽ gửi tín hiệu ‘START’ và ‘PING’. Bạn có thể kiểm tra nó có hoạt động không tại ‘Logging > Signal’ trên giao diện NxCloud.

Cài đặt như là một dịch vụ trên Windows

1. Tải về gói cài đặt zip.

2. Giải nén vào thư mục ‘c:/nxrelay’.

Tại cửa sổ CMD,

cd c:/nxrelay/bin
instsvc.bat
net start NxRelay

* Trước khi khởi động, bạn có thể thay đổi tham số cấu hình của nó tại ‘c:/nxrelay/conf/cfg.properties’.

Cài đặt trên Linux như một dịch vụ Systemd

1. Tải gói cài đặt zip.

2. Giải nén theo đường dẫn ‘/opt/nxrelay’.

Tại cửa sổ lệnh,

cd /opt/nxrelay
sudo chmod +x bin/*.sh
sudo cp script/nxrelay.service /lib/systemd/system/nxrelay.service
sudo systemctl enable nxrelay.service
sudo systemctl start nxrelay.service

Để dừng nó,

sudo systemctl stop nxrelay.service

* Trước khi khởi động nxrelay, cần thay đổi tham số cấu hình trong ‘/opt/nxrelay/conf/cfg.properties’.

Cài đặt NxRelay

Bạn sẽ cần địa chỉ IP của máy chủ NxCloud và login token từ một trong các tải khoản người dùng của bạn. Tất cả các tham số cấu hình có thể tìm thấy trong ‘/opt/nxrelay/conf/cfg.properties’.

Ví dụ,

server = 192.168.0.100
token = BSYEB28O
local_dns = 8.8.8.8,8.8.4.4
local_domain =

Các giá trị cấu hình trong file cấu hình, địa chỉ IP của máy chủ NxCloud là ‘192.168.0.100’, login token là ‘BSYEB28O’ và địa chỉ của máy chủ DNS hoặc máy chủ DNS đang sử dụng là ‘8.8.8.8’ và ‘8.8.4.4’. Nếu bạn có một vài tên miền muốn được bỏ qua bởi bộ lọc thì thêm vào trong local_domain và các tên miền phân tách với nhau bởi dấu phảy.

Sau khi thay đổi file cấu hình, khởi động lại NxRelay. Và khi đó nó sẽ trở thành DNS server duy nhất cho mạng của bạn.

* Bạn có thể thêm nhiều địa chỉ IP của máy chủ NxCloud và phân tách bởi dấu phảy.

* Bạn có thể kiểm tra các giá trị cấu hình và kết nối thông qua chạy ‘/opt/nxrelay/bin/test.sh’.

Chính sách nào được cung cấp

Khi bạn chạy NxRelay như một máy chủ DNS trong mạng nội bộ nó sẽ được lọc với các chính sách được liên kết với login token bạn cài đặt trong file cấu hình. Tuy vậy đây là các chính sách mặc định cho NxRelay. Bạn có thể cung cấp các chinh sách khác nhau dựa trên địa chỉ IP. Trên giao diện operator của NxCloud, tạo một người dùng và liên kết với địa chỉ IP riêng hoặc dải IP trong mạng nội bộ của người dùng. Khi đó người dùng được liên kết với địa chỉ IP hoặc dải địa chỉ IP sẽ thực thi các chính sách của người dùng được bạn tạo trong giao diện NxCloud.
Các đoạn scipts

Trong thư mục ‘/opt/nxrelay/bin’ có một số đoạn script.

startup.sh – Khởi động NxRelay.
shutdown.sh – Dừng NxRelay.
test.sh – Kiểm tra kết nối đến NxCloud.
ping.sh – Kiểm tra xem nó có đang chạy không.

* Chúng tôi có phiên bản ‘.bat’ của các đoạn script trong Windows.

Trên Windows,

instsvc.bat – Installing ‘NxRelay’ service.
unstsvc.bat – Uninstall ‘NxRelay’ service.

Với Ubuntu chúng tôi có Systemd script trong ‘/opt/nxrelay/script’,

nxrelay.service

– Trở về –
Trước khi tùy chỉnh NxFilter
* Nếu bạn muốn tủy chỉnh hoặc đổi tên NxFilter cho các mục đích thương mại, sử dụng NxFilter v4 hoặc NxCloud.

Chúng tôi sẽ hướng dẫn cách tùy chỉnh hoặc đổi tên NxFilter và các phần mềm client của nó với tên thương hiệu của bạn. Trước tiên, chúng tôi sẽ chỉ cho bạn cách để tùy chỉnh giao diện và sau đó sẽ nói về các phần khác mà bạn có thể quan tâm. Cuối cùng chúng tôi sẽ trình bày về cách thay đổi thương hiệu các phần mềm khác của NxFilter.

– Trở về –
GUI – Cấu trúc thư mục và quy luật đặt tên
Lớp giao diện đồ họa của NxFilter được thiết kế để dễ dàng tùy chỉnh. Nó được thiết kế hoàn toàn phân tách với phần lõi của NxFilter. Và nó có quy ước đặt tên tương tự cấu trúc thư mục mà bạn có thể tìm tên file để thay đổi dễ dàng. Ví dụ bạn muốn thay đổi ‘Policy & Rule > Free Time’ trong menu NxFilter thì file bạn cần thay đổi sẽ là ‘/nxfilter/webapps/policy,free_time.jsp’.

* Với NxCloud, nó có các menu đặc tả của operator. Nếu một file JSP cho menu operator thì nó sẽ có tiền tố ‘zop’.

    Ví dụ: zop,policy,free_time.jsp

Cấu trúc của thư mục ứng dụng web

Chúng tôi đặt tất cả trang JSP trong thư mục ‘/nxfilter/webapps’ và chúng tôi không sử dụng bất kỳ thư mục con nào khác ngoài webapps để lưu giữ các trang JSP. Vì vậy mọi thứ bạn cần quan tâm khi thay đổi chỉ có trong thư mục ‘/nxfilter/webapps’. Nó có cấu trúc sau.

/nxfilter/webapps
– error
– example
– img
– include
– lib
– WEB-INF

Trong thư mục ‘webapps/error’ chứa các trang báo lỗi cho các mã lỗi HTTP. Nếu bạn muốn có một trang báo lỗi cho mã lỗi HTTP thì bạn có thể định nghĩa nó trong ‘/webapps/WEB-INF/web.xml’.

* Chúng tôi sử dụng mã lỗi HTTP 400 cho các mục đích riêng. Bạn không nên định nghĩa bất kỳ trang báo lỗi nào cho mã lỗi HTTP 400.

Trong thư mục ‘webapps/example’ chúng tôi có một số trang JSP ví dụ cho tùy chỉnh các mô đun đăng nhập.

Trong thư mục ‘webapps/img’ chúng tôi giữ các file ảnh cho các trang web.

Trong thư mục ‘webapps/include’ chúng tôi có các file JSP được chứa trong các file JSP khác. Có các chức năng thư viện, các menu điều hướng và các mã khởi tạo cho các trang JSP.

* ‘/include/lib.jsp’ là một file thư viện cho tất cả file JSP. Nó có một vài chức năng để phát triển web và chạy mã khởi tạo cho các trang JSP và thực hiện kiểm tra xác thực.

* Chúng tôi không sử dụng include ‘/include/lib.jsp’ trực tiếp mà nó sẽ được include khi chúng tôi sử dụng include ‘/include/top.jsp’.

Trong thư mục ‘webapps/lib’ chúng tôi có CSS và các file javascript.

Chúng tôi có ‘WEB-INF’ như chúng tôi sử dụng Tomcat nhúng tương tự máy chủ NxFilter được tích hợp bên trong.

Phân tách các giao diện đồ họa được tùy chỉnh vào trong thư mục khác

Khi bạn tùy chỉnh giao diện NxFilter, bạn nên tạo một thư mục mới và lưu các file trong thư mục ‘/nxfilter/webapps’ vào trước khi tiến hành thay đổi. Để giúp việc này dễ dàng hơn, NxFilter hỗ trợ chức năng ‘www_dir’ trong file ‘/nxfilter/conf/cfg.properties’.

Khi bạn có giao diện đồ họa riêng trong thư mục ‘/nxfilter/myweb’ bạn muốn sử dụng thư mục này như là thư mục gốc trên máy chủ web của NxFilter, bạn chỉ cần thêm dòng lệnh dưới vào file ‘cfg.properties’.

    www_dir = myweb

Và khởi động lại NxFilter.

– Trở về –
GUI – Sử dụng Dao và Data classes
Chúng tôi sử dụng ‘Data Access Object’ và ‘Data Object’ để làm việc với Cơ sở dữ liệu.

Các phương pháp thông thường làm việc với DAO

Chúng tôi sử dụng các phương pháp thông thường để truy nhập các lớp DAO. Ví dụ, trong file ‘policy,policy.jsp’ chúng tôi sử dụng lớp PolicyDao và PolicyData để chạy các chính sách. PolicyDao có các method sau.

public int selectCount() : Số lượng của các chính sách.
public List selectList() : Lấy chính sách như một danh sách.
public PolicyData selectOne(int id) : Lấy một chính sách theo cột ID.
public boolean insert(PolicyData data) : Chèn chính sách mới.
public boolean update(PolicyData data) : Cập nhật chính sách đang tồn tại.
public boolean delete(int id) : Xóa chính sách theo cột ID.

Mỗi dữ liệu về chính sách có một ID duy nhất, ID này sẽ được sử dụng để tìm kiếm, cập nhật dữ liệu chính sách.

Chèn, xóa, cập nhật và lựa chọn dữ liệu

Nếu chúng tôi muốn thay đổi ‘whitelist,domain.jsp’ chúng tôi sử dụng lớp ‘WhitelistDomainDao’ và ‘WhitelistData’.

Để chèn dữ liệu mới,

<%
WhitelistDomainDao dao = new WhitelistDomainDao();

WhitelistData data = new WhitelistData();
data.domain = “*.nxfilter.org”;
data.bypassAuth = true;
data.bypassFilter = true;

dao.insert(data);
%>

Để xóa dữ liệu có ID là 12,

<%
WhitelistDomainDao dao = new WhitelistDomainDao();
dao.delete(12);
%>

Lựa chọn dữ liệu có ID là 12,

<%
WhitelistDomainDao dao = new WhitelistDomainDao();
WhitelistData data = dao.selectOne(12);
%>

Cập nhật dữ liệu được lựa chọn,

<%
data.bypassFilter = false;
dao.update(data);
%>

Liệt kê dữ liệu.

<%
WhitelistDomainDao dao = new WhitelistDomainDao();
List dataList = dao.selectList();
for(WhitelistData data : dataList){
    out.println(data.domain + “<br>”);
}
%>

Truy nhập trường dữ liệu

Nhiều nhà phát triển Java đang sử dụng accessors ‘get’ và ‘set’ để đóng gói và để có thêm một số xử lý dữ liệu như validation. Nhưng để đơn giản, trong hầu hết các trường hợp, chúng tôi sử dụng trường công cộng một cách trực tiếp. Ví dụ, bạn nhận được một thể hiện của UserData và sử dụng thuộc tính ‘name’ như các mã sau đây,

<%
UserData data = new UserDao().selectOne(1);
out.println(data.name)
%>

Mặc dù vậy có một số lớp dữ liệu có method bắt đầu với ‘get’. Các method này đa phần là liên quan đến định dạng. Chúng tôi có thuộc tính ‘ctime’ cho ‘RequestData’ mà chúng tôi sử dụng trong ‘Logging > Request’. Nếu sử dụng trực tiếp bạn có ‘201507081415’ nhưng nếu sử dụng method ‘getCtime()’ sẽ nhận dược ’07/08 14:14′.

– Trở về –
Javadoc cho Dao và các lớp dữ liệu
Chúng tôi có Javadoc cho ‘dao’ và các gói ‘data’.

– Trở về –
Thuộc tính OEM
Chúng tôi hỗ trợ file ‘oem.properties’ cho NxFilter để đáp ứng yêu cầu đặt biệt cho mục đích thương mại. Nếu bạn có file ‘oem.properties’ trong ‘/nxfilter/conf’ với các giá trị.

appname = MyFilter

1. NxFilter sẽ thêm tiền tố ‘MYFILTER’ vào thông điệp Syslog.

2. Khi NxFilter gửi email cảnh báo, nó sẽ thêm ‘MyFilter’ như là một tiền tố trong trường subject.

* Khi định nghĩa ‘appname’ trong ‘oem.properties’ NxFilter sẽ không gửi thông báo cập nhật qua email nữa.

– Trở về –
Mẫu thư điện tử và block-page
NxFilter sẽ gửi email cảnh báo đến quản trị. Có hai loại email gồm email cảnh báo về xung đột chính sách liên quan đến việc chặn các tên miền và email về lỗi của các cluster hoặc vấn đề về bản quyền. Chính vì vậy, NxFilter có hai mẫu thư điện tử để gửi cảnh báo.

– /nxfilter/conf/tpl/access_violation.ftl
– /nxfilter/conf/tpl/alert_email.ftl

Trong thư mục ‘/nxfilter/conf/tpl’ bạn có thể tìm thấy mẫu cho trang block-page, login-page và welcome-page. Những mẫu này sẽ được sử dụng khi lần đầu cài đặt NxFilter, bạn có thể khôi phục lại nó tại menu ‘Config > Block Page’ và chọn ‘RESTORE-DEFAULT’.

– Trở về –
Một số nội dung khác cần thay đổi
Bạn có thể muốn thay thế hoặc xoá “readme.txt” và ‘license.txt’ bằng các tệp tin của riêng bạn, tuy nhiên bạn vẫn cần giữ tập tin ‘license.txt’ ở đâu đó. Chúng tôi giữ tất cả giấy phép của bên thứ ba trong ‘third-party-license.txt’ và bạn cũng có thể thêm giấy phép của chúng tôi vào file đó. Với file ‘readme.txt’, bạn có thể xóa nó hoặc thay thế nó bằng của riêng bạn.

Các liên kết tới hướng dẫn trực tuyến của chúng tôi trong ‘/nxfilter/tutorial.html’ và ‘/nxfilter/bin/tutorial.bat’
Bạn có thể xóa hoặc thay thế các file này khi bạn tạo gói cho NxFilter tùy chỉnh của mình.

Với các file icon, NxFilter có 2 file icons, một cho chương trình Windows và một cho favicon của trang web quản trị. Bạn có thể xóa
‘/nxfilter/nxd.ico’ và ‘/nxfilter/webapps/favicon.ico’ hoặc thay thế chúng với file icon của bạn.

* Bạn không nên xóa file bản quyền hoặc bất kỳ nội dung bản quyền của bên thứ ba.

– Trở về –
Tạo gói cài đặt của bạn cho các phần mềm client
Bạn có thể tạo các bộ cài của NxClient, NxUpdate, NxMapper, NxLogon cho riêng mình.

Với NxLogon, vì NxLogon là một ứng dụng Windows console nên không cần cài đặt, bạn chỉ cần thay đổi vài file trong bộ cài zip và nén lại. Bạn có thể thay đổi tên của file, tuy nhiên khi thay đổi tên file thì bạn cũng cần thay đổi nội dung của các batch file để chạy các file đó.

Với NxClient and NxUpdate, NxMapper, đây là các chương trình cần phải tạo bộ cài đặt cho Windows và Mac OS.

Tạo bộ cài đặt Windows

Chúng tôi sử dụng Inno Setup (tải về từ đây http://www.jrsoftware.org) để tạo bộ cài đặt Windows. Khi bạn cài đặt NxClient, NxUpdate và NxMapper, chúng sẽ tạo thư mục của riêng mình trong thư mục ‘C:\Program Files (x86)’ và đăng ký như là một dịch vụ Windows. Ví dụ, khi bạn chạy bộ cài NxClient, trình cài đặt sẽ copy tất cả các file yêu cầu vào trong thư mục ‘C:/Program Files (x86)/nxclient’ và sau đó chạy ‘bin/instsvc.bat’ trong thư mục cài đặt và chạy ‘bin/setup.bat’ khi đến cuối tiến trình cài đặt để chạy chương trình cài đặt.

* Các file zip chúng tôi sử dụng để xây dựng gói cài đặt được để tại Tải các gói cài đặt cũ .

* Khi bạn bỏ cài đặt chúng, chạy ‘bin/unstsvc.bat’ để bỏ đăng ký chúng khỏi danh sách dịch vụ windows.

Tạo bộ cài đặt trong hệ điều hành Mac OS

Chúng tôi sử dụng phần mềm ‘Packages’ tải về tại http://s.sudre.free.fr để tạo bộ cài đặt trên Mac OS.

Khi bạn chạy bộ cài đặt, nó sẽ tạo một thư mục trong ‘/Library’ và copy file ‘conf/plist.default’ vào trong thư mục ‘/Library/LaunchDaemons’ với một tên mới giống như ‘org.nxfilter.nxclient.plist’ để chạy nó như một tiến trình daemon. Và khi chạy ‘setup-mac.sh’ trong thư mục cài đặt nó sẽ thực thi chương trình cài đặt. Khi bỏ cài đặt bạn cần chạy ‘uninstall-mac.sh’ bên trong thư mục một cách thủ công.

* Các file zip chúng tôi sử dụng để xây dựng gói cài đặt zip được để tại tải gói cài đặt.

Thay đổi tên ứng dụng

Khi thực hiện tùy chỉnh các chương trình client, để thay đổi tên của các chương trình client bạn chỉ cần thay đổi tên bên trong file ‘conf/appname’ nằm trong bộ cài đặt. Khi đó tên mới sẽ xuất hiện trong chương trình cài đặt.

Thay đổi file icon và các giá trị cài đặt mặc định

Để thay đổi các icon, bạn chỉ cần thay đổi file icon ‘nxd.ico’ bên trong thư mục cài đặt và nó kết hợp cho các icon với kích thước 16×16, 32×32 và 48×48. Hiện tại, nó chỉ hỗ trợ cho bộ cài đặt Windows.

* Cho các phiên bản Java của NxClient và NxUpdate, bạn cần thêm một icon là ‘nxd16.png’. File icon PNG 16×16 sẽ được sử dụng cho giao diện cài đặt.

Để thay đổi giá trị kết nối mặc định đến máy chủ, bạn có thể thay đổi các giá trị ‘Server IP’ và ‘Login Token’ trong chương trình cài đặt trong file ‘conf/cfg.default’.

* File ‘conf/cfg.default’ sẽ được copy vào file ‘conf/cfg.properties’ khi bạn chạy chương trình cài đặt lần đầu tiên hoặc trong tiến trình cài đặt.

Viết chương trình cài đặt hoặc giao diện của riêng bạn

Trong gói cài đặt để xây dựng chương trình cài đặt có chứa một số input control và button, các input control được đọc giá trị từ file ‘conf/cfg.properties’.

Và khi click button như ‘SAVE’, ‘TEST’, ‘START’, ‘STOP’, chúng sẽ thực thi một số hoạt động để cập nhật các giá trị cấu hình. Với SAVE nó sẽ lưu giá trị cấu hình vào file ‘conf/cfg.properties’. Button ‘START’ và ‘STOP’, trong Windows nó sẽ thực thi lệnh ‘net start’ và ‘net stop’ và cài đặt các phần mềm agent này như là một dịch vụ trên Windows. Tên hệ điều hành Mac, chúng tôi sử dụng lệnh ‘/bin/launchstl’ với file Plist được copy vào trong thư mục ‘/Library/LaunchDaemons’.

Khi tạo chương trình cài đặt cho NxClient trên Windows, bạn cần chạy các lệnh này với button ‘START’ và ‘STOP’.

net start NxClient
net stop NxClient

Nếu trên hệ điều hành Mac,

/bin/launchctl load -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist
/bin/launchctl unload -w /Library/LaunchDaemons/org.nxfilter.nxclient.plist

Với button ‘TEST’, bạn có thể chạy đoạn script ‘bin/test.bat’ hoặc ‘bin/test.sh’. Trước khi bạn chạy đoạn script bạn cần lưu lại các giá trị cấu hình.

Sau khi bạn chạy các đoạn script test, bạn có thể nhận được một số thông điệp với các mã sau:

0 = Success
-1 = Invalid config values
-2 = Connection error
-3 = Login error

* For NxMapper, we have ‘test.exe’ instead of ‘bin/test.bat’.

* Với NxMapper, NxMappter không có mã báo lỗi vì chúng không có tiến trình đăng nhập.

Tùy chỉnh với NxRelay

Chúng tôi không cung cấp bộ cài đặt và chương trình cài đặt cho NxRelay vì nó không được thiết kế cho người sử dụng thông thường. Tuy nhiên cấu trúc của nó cũng tương tự NxFilter. Bạn có thể tham khảo các hướng dẫn ở trên để làm bộ cài đặt nếu muốn.

Các giới hạn

Bạn có thể thay đổi không hạn chế với bộ cài đặt hoặc thay đổi tên của các chương trình client. Tuy nhiên có một số đoạn mã được đánh dấu ‘nxfilter’, đây là các phần code quan trọng mà cần các dấu hiệu phân biệt sự khác nhau của các chương trình client mà bạn không thay đổi được.

Bạn cũng không được xóa bỏ nội dung bản quyền của chúng tôi, cũng như các bản quyền của đối tác thứ ba trong các gói cài đặt vì vấn đề vi phạm bản quyền. Bạn có thể có file bản quyền của bạn nhưng cũng phải giữ bản quyền của chúng tôi ở đâu đó trong gói phần mềm vì đây là phần mềm của chúng tôi và bạn chỉ tùy chỉnh nó nên sẽ có một số hạn chế.

– Trở về –
NxClassifier là gì
NxClassifier là NxFilter có tích hợp công cụ tự động phân loại cho Jahaslist. Nó thực hiện phân loại động các website mà người dùng sử dụng dựa trên so sánh từ khóa và hệ thống tính điểm. Bạn có thể định nghĩa hoặc thay đổi các tập luật phân loại theo yêu cầu ví dụ như sử dụng ngôn ngữ tiếng Việt.

* NxClassifier đòi hỏi bản quyền Jahaslist còn hiệu lực.

– Trở về –
NxClassifier đùng để làm gì?
Có hai cách phân loại để xây dựng blacklist. Một là tự động phân loại và các phân loại khác là do người dùng tự phân loại. Tự động phân loại có thể thực hiện công việc ở tốc độ rất nhanh nhưng nó không chính xác như phân loại do con người thực hiện. Tuy nhiên nếu thuê nhân công sẽ rất tốn kém về chi phí và thời gian. Để dung hòa hai cách này, chúng tôi kết hợp hai phương pháp này với việc tự động phân loại kết hợp với một quy trình xác minh của người trên kết quả phân loại tự động đó.

Hầu hết các công cụ phân loại tự động dựa trên việc so sánh từ khóa với một bộ từ điển và một số tập luật khác. Để làm điều này cần phải có một bộ từ khóa từ điển chính xác và hiệu quả cũng như xây dựng các tập luật để đưa vào công cụ phân loại thì mới có kết quả chính xác được. Nhưng có vấn đề là từ khóa thuộc vào đâu và thế nào là một từ khóa quan trọng nếu so với các từ khóa khác.

Thêm vào đó, việc phân loại các trang web không hoàn toàn rõ ràng ví dụ như trang web ‘www.stackoverflow.com’ có thể thuộc về nhóm ‘communities’ hoặc có thể phân loại là một ‘forum’ hoặc cũng có thể phân loại là ‘Computer/Technology’ vì đây là một trang tập trung về công nghệ. Tuy nhiên trang này thực sự lại là một trang web thuộc nhóm ‘Business/Service’. Chúng tôi có thể phân loại trang web này theo tất cả các loại mà nó có thể thuộc về, tuy vậy nếu phân như vậy thì lại làm phát sinh một vấn đề khác, ví dụ khi ta thực hiện chặn các trang web là các ‘Forum’ và cho phép các trang web thuộc nhóm ‘Computer/Technology’, khi đó ta sẽ nhận được một kết quả không mong muốn.

Một vấn đề khác, hiện tại chúng tôi đang phân loại theo từ khóa Tiếng Anh, nhưng Tiếng Anh không phải là ngôn ngữ duy nhất trên thế giới và có rất nhiều trang web không chứa tiếng Anh. Vì vậy muốn phân loại các từ điển cho các ngôn ngữ khác, nếu chúng ta cần xác minh sự phân loại bởi con người thì chúng ta sẽ cần tuyển những người có khả năng nói được những ngôn ngữ đó. Điều này sẽ làm việc phân loại trở nên phức tạp và tốn kém và gần như không thể thực hiện được. Đây chính là lý do sẽ có những lỗi cảnh báo sai với các danh sách đen và chúng tôi không thể hài lòng 100% với bất kỳ danh sách đen nào.

Dù lớn đến đâu, danh sách đen cũng không thể đầy đủ được toàn bộ Internet và bạn cũng chỉ truy nhập được một phần nhỏ trong các danh sách này và gần như bạn không bao giờ truy nhập các trang web mà không được viết bằng ngôn ngữ bạn biết.

Với NxClassifier,

1. Xây dựng tập luật riêng.
Điều này có nghĩa là bạn có thể xây dựng tập luật riêng theo ngôn ngữ của bạn, với các tập luật này sẽ giúp bạn lọc tốt nhất các website sử dụng ngôn ngữ của bạn.

2. Chúng tôi không chấp nhận đa phân nhóm.
Một site chỉ có thể được phân loại theo một nhóm.

* Nhiều nhà cung cấp các danh sách đen sử dụng phương pháp phân loại một site có thể vào nhiều nhóm khác nhau. Tuy vậy cách phân nhóm này chỉ phù hợp với các mục đích thương mại ví dụ như làm marketing. Với trường hợp NxFilter thì cách phân loại này không phù hợp.

3. Bạn có thể phân lại nhóm.
Bạn không cần phải yêu cầu phân loại lại các tên miền và đợi sự chấp nhận từ nhà cung cấp danh sách đen vì bạn có thể tự thay đổi danh sách đen theo cách bạn muốn.

4. Phát triển danh sách Jahaslist.
Chúng tôi chỉ đóng gói các danh sách cơ bản trong gói NxFilter vì chúng tôi muốn gói cài đặt NxFilter nhỏ. Vì vậy nó chỉ bao phủ một số lượng nhỏ các tên miền. Nhưng với sự hỗ trợ phân loại động của NxClassifier sẽ giúp phát triển danh sách này với các trang web mà người dùng truy cập.

5. Bạn có thể chia sẻ kết quả với người khác.
Chỉ khi bạn xây dựng danh sách đen sử dụng NxClassifier bạn có thể chia sẻ nó với người khác. Không chỉ chia sẻ danh sách đen, bạn có thể chia sẻ cả tập luật.

– Trở về –
Giao diện của NxClassifier
Chúng tôi có menu ‘NxClassifier’ trên giao diện NxFilter nó có các menu con.

Setup > Cài đặt Classifier

– DNS Test Timeout : NxClassifier chỉ phân loại với các tên miền đang tồn tại, nó sẽ kiểm tra DNS tên miền trước khi thực hiện phân loại tên miền.

– HTTP Connection Timeout : Sau khi kiểm tra DNS, nó sẽ tải trang web về để phân tích. Đây là giá trị time out của HTTP connection.

– HTTP Read Timeout : Đây là giá trị timeout để đọc dữ liệu sau khi thực hiện HTTP connection.

* Nếu bạn đặt giá trị timeout quá lớn, nó có thể sẽ làm giảm hiệu suất cho NxClassifier.

– Classified Data Retention Days : NxClassifier tạo nhật ký kết quả phân loại cho các trang web được phân loại gần đây. NxClassifier không phân loại đối với các trang web đã được phân loại hoặc các trang web có nhật ký kết quả phân loại mà không có lỗi.

– Keep HTML Text : NxClassifier sẽ trích xuất các văn bản trong trang đầu tiên của website và dùng nó để phân loại lại. Nhưng điều này sẽ đòi hỏi không gian của ổ cứng để chứa dữ liệu.

– Disable Domain Pattern Analyzer : NxFilter có tiến trình phân loại tên miền dựa trên mẫu tên miền. Nếu một tên miền được phân loại bởi mẫu tên miền thì NxClassifier sẽ không thực hiện phân loại tên miền bởi phương pháp khác nữa.

– Disable Classification : Bạn có thể ẩn việc phân loại nếu muốn.

Classified

Đây là kết quả phân loại của NxClassifier, nó chứa các thông tin về các tên miền được phân loại gần đây và làm thế nào chúng được phân loại hoặc không được phân loại. Dựa trên kết quả phân loại bạn có thể cải thiện tập luật phân loại.

* Với button ‘VIEW’ bạn có thể xem chi tiết nhật ký và với button ‘TEST’ bạn có thể kiểm tra tiến trình phân loại thực sự của một tên miền với tập luật hiện thời.

* Nếu bạn muốn áp dụng tập luật phân loại mới với các site đã được phân loại sử dụng button ‘RECLASSIFY ALL’.

Excluded

Chúng tôi bỏ qua tên miền có lỗi trong tiến trình phân loại, ví dụ nếu chúng tôi nhận được mã lỗi 403 từ trang web, chúng tôi sẽ không cần phải cố gắng phân loại nó bởi vì chúng tôi không truy cập được trang web đó. Hoặc nếu chúng tôi nhận được file ảnh hoặc các kiểu file khác thay vì các file văn bản hoặc HTML thì chúng tôi sẽ bỏ qua nó.

* Chúng tôi vẫn lưu giữ các tên miền bị bỏ qua vì vậy nếu muốn NxClassifier tiếp tục phân loại các tên miền này thì trước tiên bạn sẽ cần xóa nó trong danh sách.

Jahaslist

Bạn có thể xem trực tiếp nội dung của Jahaslist và thay đổi nó trực tiếp ở đây. Chúng tôi không khuyến nghị bạn phân loại lại trừ khi là một tên miền quan trọng. Vì chúng tôi để Jahaslist trong file CSDL riêng biệt vì thế NxFilter không tự động sao lưu nó. Vì thế cách tốt hơn là sử dụng ‘Category > System’ để phân loại lại và lưu trữ nó trong CSDL chính được cấu hình.

* Khi bạn thực hiện phân loại lại trong ‘Logging > Request’ hoặc ‘NxClassifier > Classified’ các dữ liệu phân loại lại của bạn sẽ chuyển tới ‘Category > System’.

* Khi xuất khẩu danh sách Jahaslist, NxFilter sẽ nhập các tên miền phân loại được tùy chỉnh từ ‘Category > System’ vào trong Jahaslist và xuất dữ liệu đã được kết hợp ra một file.

* Khi nhập khẩu dữ liệu hoặc thêm Jahaslist khác, sử dụng button ‘IMPORT’.

Test Run

Sau khi thêm các luật phân loại bạn muốn xem chúng hiệu quả thế nào bạn có thể chạy kiểm tra các tập luật phân loại của bạn với website tại đây.

* ‘Test Run’ không thực sự chạy, nếu bạn muốn phân loại tên miền thì cần truy vấn đến tên miền đó tại NxFilter.

– Trở về –
Hiểu biết về wordflow của NxClassifier
Bạn cần hiểu biết về wordflow của NxClassifier thì mới có thể xây dựng được tập luật phân loại hiệu quả.

NxClassifier tự nó là một chương trình đa luồng được tích hợp trong NxFilter. Khi NxFilter phát hiện một tên miền chưa được phân loại, nó sẽ thêm tên miền vào trong hàng đợi của NxClassifier. NxClassifier sẽ thực hiện kiểm tra DNS để xem tên miền này có thực sự tồn tại không? sau đó nó sẽ cố gắng truy cập để xác định có website nào liên kết với tên miền đó không. Nếu có một website liên kết với tên miền này, nó sẽ tải về trang đầu tiên của website để tiến hành phân tích tiêu đề, các mô tả và các đoạn văn bản.

Chỉ khi NxClassifier lấy được đầy đủ thông tin chi tiết của website và chạy các dữ liệu này với các tập luật phân loại của nó. Khi chạy các tập luật này, nó sẽ tìm thấy một tập luật chính xác phù hợp và dừng tại đó và phân loại tên miền theo các nhóm liên kết với tập luật đó. Trái lại nó sẽ thực hiện tính điểm từ các tập luật phù hợp và phân loại tên miền vào nhóm mà có điểm cao nhất.

– Trở về –
Luật phân loại là gì
Trong phần này chúng tôi sẽ trình bày làm thế nào để tạo một luật để phân nhóm. Một luật phân nhóm sẽ bao gồm các thành phần sau:

– Keyword : So sánh từ khóa (keyword, trong thực tế nó là một biểu thức.

– Target : Bạn có thể đặt từ khóa theo tên miền, theo chủ đề, mô tả và các đoạn văn bản của trang web.

* NxClassifier sẽ lấy các tiêu đề, mô tả và văn bản từ trang đầu tiên của website.

– Points : Bạn có thể đặt các điểm khác nhau cho một luật bởi mức độ quan trọng của nó. Điểm nhỏ nhất được phân loại là 100 và tối đa là 1000.

– Category : Nhóm được liên kết với luật.

* Khi bạn muốn có từ khóa loại trừ – ‘Exclude Keyword’ cho một nhóm,thiết lập một số âm như là điểm cho từ khóa mà bạn muốn loại trừ. Ví dụ, bạn liên kết từ khóa ‘movie’ với nhóm ‘Entertainment’ nhưng bạn không muốn phân loại websites bạn tải phim là ‘Entertainment’, bạn sẽ liên kết từ khóa ‘download’ với ‘Entertainment’ với một số điểm âm.

– Trở về –
Thực hiện tinh chỉnh cho NxClassifier
NxClassifier làm việc với nhiều luồng công việc, mặc định chúng tôi chạy hai luồng cho NxClassifier. Để tăng hiệu suất, bạn có thể tăng số luồng thông qua thiết lập giá trị cho tham số ‘classifier_num’ trong file ‘/nxfilter/conf/cfg.properties’.

classifier_num = 8

Khi bạn sử dụng cluster cho NxFilter, NxClassifier cũng sẽ chạy cluster. Khi đó bạn sẽ có một node chuyên trách cho phân loại, bạn sẽ chạy với 16 luồng cho phân loại trên một node và thiết lập ‘classifier_num’ về 0 với tất cả các node khác.

Một điều khác cần quan tâm là bạn cần tối ưu hóa các tập luật được phân loại, vì nếu bạn có tập luật lớn sẽ tốn nhiều tài nguyên của máy tính.

– Trở về –
NxFilter như một DNS
NxFilter về bản chất là một máy chủ DNS cho caching và forwarding kết hợp chức năng lọc. Bạn cũng có thể sử dụng nó như một máy chủ DNS xác thực và nó cũng hỗ trợ dịch vụ DNS động.

– Trở về –
Forwarding DNS server
Khi bạn cài đặt NxFilter lần đầu, nó sẽ sẵn sàng làm việc như một máy chủ DNS chuyển tiếp. Nó sẽ mặc định sử dụng máy chủ DNS của Google như là một Upstream DNS server. Bạn có thể thay đổi các thông tin này trong ‘DNS > Setup’.

– Trở về –
Caching DNS server
NxFilter cũng thực hiện lưu lại các DNS response từ máy chủ upstream server. Điều này có nghĩa là khi bạn sử dụng một máy chủ DNS công cộng cho mạng của bạn, NxFilter có thể giúp tăng tốc mạng thông qua việc giảm các lưu lượng đến các máy chủ DNS công cộng vì các máy tính trong mạng sẽ không cần phải nói chuyện với các máy chủ DNS công cộng.

NxFilter cũng hỗ trợ lưu trữ thông tin trong bộ đệm (persistent) từ phiên bản v4.1.1., bộ đệm này sẽ lưu lại các DNS response cho các trang web thường xuyên được truy vấn trong CSDL của nó. Chính vì vậy, khi NxFilter mất kết nối với các máy chủ upstream DNS, nó sẽ sử dụng bộ nhớ đệm này để giúp bạn vẫn vào các trang web thường xuyên một cách bình thường.

– Trở về –
Authoritative DNS server
NxFilter có thể làm việc với một máy chủ xác thực DNS.

1. Zone File
Chúng tôi sử dụng cùng định dạng của zone file như BIND. Bạn tạo một zone file cho một tên miền trong ‘DNS > Zone File’ và thêm các host của bạn vào trong DNS zone thông qua nút EDIT.

2. Đưa nó lên Internet
Bởi vì NxFilter là một bộ lọc DNS kết hợp với xác thực, khi bạn sử dụng nó như một máy chủ xác thực DNS bạn cần quan tâm đến các vấn đề sau.

– Xác thực – Authentication
Bạn cần phải bật chức năng xác thực khi bạn đưa NxFilter ra Internet để ngăn chặn việc tấn công từ chối dịch vụ. Nhưng nếu bạn làm vậy thì sẽ có nhiều người dùng ẩn danh khi truy vấn tên miền của bạn sẽ bị chuyển về trang log-in của NxFilter. Để cho phép các truy vấn DNS ẩn danh với tên miền của bạn thì bạn cần phải bỏ qua các xác thực cho tên miền của bạn.

– Lọc – Filtering
NxFilter là một máy chủ lọc DNS vì thế tên miền của bạn có thể bị chặn bởi DNS vì một số lý do. Điều này sẽ dẫn đến lỗi khi phân giải tên miền bạn muốn cung cấp dịch vụ. Để bỏ qua lỗi này bạn cần bỏ lọc với tên miền của bạn.

– Too many log data
Bạn có thể có quá nhiều dữ liệu nhật ký cho tên miền của bạn như kết quả của một tấn công DDoS, bạn nên bỏ qua chức năng lưu nhật ký với tên miền của bạn.

* Bạn có thể thiết lập môt whitelist cho tên miền của bạn để bỏ qua một số chức năng, nhưng bạn cũng có thể thực hiện bỏ qua một số chức năng với việc thêm một zone file.

3. Chạy Cluster
Khi bạn chạy NxFilter ở chế độ cluster, slave nodes sẽ chạy như một máy chủ xác thực DNS với các thiết lập ở node master. Bạn không cần phải thiết lập một secondary DNS server để dự phòng.

– Trở về –
Dịch vụ DNS động – Dynamic DNS
NxFilter hỗ trợ dynamic DNS. Bạn có thể xây dựng một ‘DynDNS’ như là một dịch vụ với NxFilter nếu bạn muốn.

Để cung cấp dịch vụ dynamic DNS, bạn cần thiết lập một tên miền trong ‘DNS > Dynamic DNS > Dynamic DNS Domain’ và bật dịch vụ. Nếu bạn muốn dịch vụ công khai trên Internet, bạn sẽ cần phải có một DNS zone được xác thực trên ‘DNS > Zone File’ cho tên miền dynamic DNS của bạn.

Sau khi bạn thiết lập xong mọi thứ trên phía máy chủ, bạn cần cài đặt một phần mềm client dynamic DNS trên hệ thống của khách hàng. Chúng tôi có cung cấp phần mềm NxUpdate để thực hiện việc này. Trên NxUpdate bạn thiết lập địa chỉ IP của NxFilter trong phần IP Server và login token liên kết với một tên người dùng. Tên người dùng được liên kết chính là hostname.

Ví dụ, nếu bạn có một tên miền ‘example.com’ như là tên miền dynamic DNS và bạn cài NxUpdate trên máy khách với login token được liên kết với người dùng ‘myhost’. Khi đó khi NxUpdate bắt đầu làm việc bạn có thể truy nhập hệ thống sử dụng ‘myhost.example.com’.

* Dịch vụ Dynamic DNS yêu cầu bật chức năng xác thực trong ‘Config > Setup’.

* Bạn có thể xem danh sách của các tên miền động đang có trong ‘DNS > Dynamic DNS’.

– Trở về –
Chống lại tấn công từ chối dịch vụ
Khi bạn đưa NxFilter lên Internet, bạn có thể bị tấn công từ chối dịch vụ (DDoS). Khi đó NxFilter sẽ phải nhận lưu lượng rất lớn và khi nó không thể kiểm soát được, bạn sẽ nhận được lỗi ‘Queue full’ trong log.

Để ngăn chặn vấn đề này, điều tốt nhất là ẩn máy chủ DNS hoặc không đáp ứng với các yêu cầu truy vấn DNS của kẻ tấn công. Để ẩn NxFilter khỏi các kẻ tấn công, bạn có thể bật chức năng xác thực. Khi đó các truy vấn từ các nguồn không được biết sẽ luôn nhận được chuyển hướng đến một IP.

Một cách tốt hơn để ẩn NxFilter trước các tấn công này, bạn bật chức năng ‘Disable Login Redirection’ trong ‘Config > Setup’, khi đó NxFilter sẽ tự động hủy toàn bộ gói tin từ những kẻ tấn công mà không có thông báo nào.

* Trên NxCloud, chúng tôi có ‘Enable Login Redirection’ trong ‘Config > Setup’.

– Trở về –
Sử dụng Cluster với NxFilter
NxFilter cho phép chạy cluster để cân bằng tải và tăng khả năng chịu lỗi. Trên một cluster, một node master bạn có thể thêm tới 8 node slave. Tất cả các node slave sẽ được chia sẻ các thiết lập từ node Master. Vì thế bạn có thể kiểm soát mọi thử với node master của bạn.

Tạo một cluster

Để tạo một cluster trước tiên bạn phải tạo một master node. Trong ‘Config > Cluster’ bạn có thể biến một máy NxFilter thành master node. Và sau đó bạn có thể thêm các slave node vào master node. Bạn cần phải khởi động lại NxFilter để các thiết lập này có hiệu lực.

* Cluster sẽ yêu cầu TCP port 19002, 19003, 19004 được mở trên master node.

* Trên một vài hệ thống Linux, bạn cần thêm một điểm nhập cho địa chỉ IP master node trong file ‘/etc/hosts’ trong master node, nếu không thì các node slave không thể kết nối được đến node master.

Khởi động cluster

Khi bạn khởi động NxFilter Cluster, khởi động master trước và sau đó mới khởi động slave. Điều này bởi vì các slave note cần tải các khởi tạo cài đặt từ node master khi họ khởi động.

Cân bằng tải và khả năng chịu lỗi

NxFilter được thiết kế để cho phép chạy cân bằng tải và khả năng chịu lỗi với chế độ Cluster. Bạn thiết lập node master là máy chủ primary DNS và node slave là máy chủ secondary DNS. Khi đó bạn có thể thực hiện chạy cân bằng tải.

* Nếu bạn muốn thực hiện cân bằng tải và chịu lỗi với block-page, login-page và cập nhật policy cho các phần mềm agent của NxFilter, bạn cần thiết lập nhiều địa chỉ IT phân tách nhau bởi dấu phảy trong ‘Config > Setup’.

Khi cluster node bị dừng

Khi một node slave dừng hoạt động, các node khác sẽ không bị ảnh hưởng, khi node master bị dừng hoạt động thì bạn cũng không mất khả năng lọc trừ khi bạn khởi động lại node slave trước khi khôi phục lại node master. Một số vấn đề bạn cần phải quan tâm.

* Nếu bạn thiết lập email cảnh báo trong ‘Config > Alert’ bạn sẽ nhận một email cảnh báo khi các node cluster bị dừng hoạt động.

1. Chuyển hướng đăng nhập không làm việc
Khi node master dừng hoạt động, chúng tôi sẽ không thể chia sẻ phiên login-page.

2. Người dùng không xác thực sẽ bị bỏ qua
Nếu chúng tôi không thể chuyển hướng ‘Password Users’ về login-page thì họ sẽ không thể đăng nhập. Vì thế để có thể cung cấp Internet liên tục, chúng tôi sẽ bỏ qua việc lọc cho các người dùng không xác thực khi node master dừng hoạt động. Nếu bạn không muốn bỏ qua việc lọc với bất kỳ người dùng nào kể cả khi node master dừng hoạt động thì phải thiết lập một người dùng mặc định với toàn bộ dải IP.

* Với NxCloud sẽ có một chút khác biệt. Nó sẽ hủy bỏ các yêu cầu từ người dùng không xác thực vì chuyển hướng đăng nhập không phải là một chức năng mặc định trong NxCloud và các người dùng NxCloud đa phần sử dụng các phương pháp xác thực khác.

3. Sử dụng nhiều địa chỉ IP với một phần mềm agent
Nếu bạn sử dụng chương trình agent với nhiều địa chỉ IP vì lý do chịu lỗi, thì nó vẫn làm việc bình thường.

Kiểm soát truy nhập với các node slave

Nếu bạn thêm tất cả IP của node slave vào trong ‘Config > Cluster’ thì tất cả các kết nối đến node slave từ các địa chỉ IP không xác định sẽ bị chặn.

Giám sát trạng thái của các node slave

Bạn có thể xem trạng thái kết nối của các node slave trong ‘Config > Cluster’. Khi bạn thiết lập cluster thì các node slave sẽ xuất hiện với thời gian kết nối cuối cùng trong trang. Nó cũng chỉ ra các thông tin về request, block, user, đếm thông tin về client-ip của mỗi node. Bộ đếm thông tin sẽ được làm mới lại về 0 vào nửa đêm.

Phiên chia sẻ giữa các node cluster

Chúng tôi chia sẻ dữ liệu giữa các nude cluster. Ví dụ, chúng tôi chia sẻ phiên đăng nhập mà không cần phải đăng nhập hai lần vào node master và node slave. Ngoài ra còn chia sẻ thời quota-time và dữ liệu tiêu thụ băng thông. Tuy nhiên đây cũng là nguyên nhân làm giảm hiệu suất và tăng số lượng dữ liệu trao đổi giữa các node.

Nếu không muốn chia sẻ dữ liệu, bạn có thể ẩn xác thực và thôi sử dụng kiểm soát quota-time và băng thông. Khi đó bạn phải đăng nhập hai lần nếu muốn xác thực, thực tế việc chia sẻ đăng nhập này chỉ cho login-page. Nếu bạn không sử dụng mật khẩu đăng nhập và không có vấn đề nào, NxLogon và NxMapper, NxClient có thể nói chuyện với nhiều máy chủ NxFilter. Và xác thực dựa trên IP làm việc tốt không cần chia sẻ phiên.

Để tắt chia sẻ phiên mà vẫn bật xác thực, bạn thêm dòng dưới đây vào ‘/nxfilter/conf/cfg.properties’.

    no_share_session = 1

* Bạn cần thiết lập chức năng ‘no_share_session’ trên tất cả các node.

– Trở về –
Kiểm soát băng thông với NxFilter
NxFilter hỗ trợ kiểm soát băng thông dựa trên mỗi người dùng bằng cách sử dụng dữ liệu NetFlow. Ý tưởng rất đơn giản. NxFilter liên kết dữ liệu NetFlow từ một router theo phiên đăng nhập người dùng dựa trên địa chỉ IP và nếu có một người sử dụng tiêu thụ băng thông vượt quá giới hạn được thiết lập, NxFilter chặn tất cả các yêu cầu DNS từ người dùng.

Vì NxFilter sử dụng dữ liệu NetFlow, bạn có thể giám sát và chặn các giao thức khác bao gồm HTTP, FTP, IM, Skype, Torrent và các giao thức khác làm việc trên TCP/UDP chứ không chỉ hạn chế với giao thức HTTP.

Để kích hoạt tính năng kiểm soát băng thông, bạn cần có một bộ định tuyến hoặc tường lửa hỗ trợ NetFlow phiên bản 5 trong mạng của bạn và bạn cần phải cấu hình để chúng gửi dữ liệu NetFlow đến NxFilter. Và sau khi chạy NetFlo collector được tích hợp trong NxFilter tại ‘Config> Setup> NetFlow’, bạn có thể thiết lập một giới hạn băng thông về chính sách.

Có một số quy tắc cho NxFilter để nhập dữ liệu NetFlow. Thứ nhất, hoặc là địa chỉ IP nguồn hoặc đích đến của dữ liệu NetFlow phải được liên kết với một địa chỉ IP của một người dùng đã đăng nhập trên NxFilter. Thứ hai, NxFilter bỏ qua lưu lượng truy cập nội bộ. Điều này có nghĩa là nguồn gốc hoặc địa chỉ IP đích cần phải là một địa chỉ IP công cộng. Điều này là bởi vì bạn chỉ quan tâm đến lưu lượng truy cập nội bộ hoặc ngoài nước vào Internet. Và cuối cùng, NxFilter chỉ giữ dữ liệu TCP / UDP.

* Hiện tại NxFilter chỉ hỗ trợ NetFlow v5.

– Trở về –
Phát hiện và ngăn chặn mã độc/botnet với NxFilter
Một trong các tính năng của NxFilter là nó có thể phát hiện và ngăn chặn mã độc thông qua việc phân tích các gói tin DNS. Cơ chế phát hiện mã độc của NxFilter là nó sẽ kiểm soát việc truyền thông và phân giải tới các tên miền độc hại của các máy tính trong mạng để tìm ra máy tính nào đang bị nhiễm mã độc hoặc giám sát hoặc kiểm soát các lưu lượng DNS của các mạng botnet sử dụng giao thức DNS để truyền thông.

Ví dụ, nếu bạn có một spambot trong mạng, spambot sẽ thực hiện nhiều truy vấn với bản ghi MX đến các tên miền để gửi email. Tuy vậy, các máy tính cá nhân không cần thực hiện các truy vấn MX trừ khi nó có mail server được cài trong đó.

Một ví dụ khác, botnet sử dụng bản ghi ‘TXT’ hoặc bản ghi DNS khác như công cụ truyền thông, ví dụ dưới đây là một malware thực tế về malware sử dụng giao thức DNS để truyền thông.

ex1) Trojan.Spachanel sử dụng bản ghi SPF.
ex2) W32.Morto sử dụng bản ghi TXT.

Một phương pháp khác chúng tôi sử dụng việc phát hiện các tên miền bất thường để tìm kiếm các trang độc hại, ví dụ như tìm kiếm các tên miền cố gắng giả mạo các tên miền nổi tiếng để thực hiện hiện tấn công phishing.

Ví dụ 01: cgi.ebay.co.uk-item-css.ebay-motors.session.id-sj3mzbasf3k12z581668115.login-wpadmin-sw.buyitnow.sign-in.secure-process657943sddh53zix34235hj65rj.xml.config-page.overview.buyer-protection-jsp.wpcs.spiridus-magic.org

Phát hiện botnet/malware thông qua phân tích các gói DNS là một công nghệ hiệu quả và NxFilter còn có thể cung cấp khả năng chặn dựa trên chinh sách được thiết lập.

– Max Domain Length
– Block Covert Channel
– Block Mailer Worm
– Allow ‘A’ Record Only

Việc chỉ cho phép truy vấn bản ghi A là một trong nhưng cách hiệu quả nhất để ngăn chặn mã độc, vì trong hầu hết các trường hợp, các máy tính không cần các truy vấn DNS nào khác ngoài bản ghi ‘A’, ‘AAAA’, ‘PTR’ , ‘CNAME’.

– Trở về –
Loại bỏ các quảng cáo được nhúng vào các trang web
Nhiều trang web hiện tại thường nhúng quảng cáo từ các tên miền khác. Khi chặn các nội dung quảng cáo, NxFilter sẽ hiển thị các thông tin về chặn thay cho các thông tin quảng cáo.

Có hai cách thực hiện chặn quảng cáo, cách thứ nhất là sử dụng chức năng ‘Ad-remove’ trong một chính sách. Với lựa chọn này NxFilter sẽ chặn các tên miền trong nhóm ‘Ads’ và hiển thị trang block-page.

Một phương pháp khác là sử dụng ‘Category > Custom’ là ‘ad-remove’. Nếu bạn thêm tên miền vào nhóm này và thực hiện chính sách chặn, NxFilter cũng sẽ chặn và hiển thì trang block-page.

* Sau khi thêm tên miền vào nhóm ‘ad-remove’ bạn có thể chặn tên miền trong whitelist hoặc policy, ngược lại nó sẽ không bị chặn.

– Trở về –>
Xuất thông tin Syslog
NxFilter cho phép xuất thông tin theo định dạng Syslog. Dữ liệu xuất là một ký tự phân tách bởi ‘|’. Ví dụ, bạn có dữ liệu syslog dưới đây

NXFILTER|2013-01-28 10:53:23|Y|www.bbc.co.uk|pwuser|192.168.0.101|admin|news|Blocked by admin|33|mygrp

Bạn có thể chuyển thành dạng sau

– Prefix : NXFILTER
– Date : 2013-01-28 10:53:23
– Block yes/no : Y
– Domain : www.bbc.co.uk
– User : pwuser
– Client IP : 192.168.0.101
– Policy : admin
– Category : news
– Blocked reason : Blocked by admin
– DNS query type : 33
– Group : mygrp

* Với NxCloud bạn sẽ có tên operator thay vì ‘Group’.

* NxFilter v3 không gửi ‘Group’.

* Để định dạng lại dữ liệu Syslog, tham khảo sử dụng Graylog Hướng dẫn sử dụng Graylog.

– Trở về –
Hướng dẫn tinh chỉnh hiệu suất
Mặc dù NxFilter được thiết kế để quản lý hàng ngàn người dùng, nhưng có một số yếu tố cần điều chỉnh để có hiệu suất tốt hơn.

Kích thước bộ nhớ

NxFilter chỉ yêu cầu bộ nhớ 768 MB, bộ nhớ này là đủ cho hầu hết người dùng, tuy vậy bạn có thể sử dụng bộ nhớ lớn hơn để có hiệu suất tốt hơn. Chạy đoạn Scrips trong ‘/nxfilter/bin/startup.sh’, bạn sẽ nhận được thông tin sau: you have something like,

    java -Djava.net.preferIPv4Stack=true -Xmx768m

Nếu bạn muốn tăng nó lên 1 GB, bạn thay đổi ‘-Xmx768m’ thành ‘-Xmx1024m’.

* Khi chạy NxFilter như là một dịch vụ của Windows bạn cần thay đổi ‘–JvmMx=768’ trong ‘c:/nxfilter/bin/instsvc.bat’. Sau đó bạn cần cài lại dịch vụ với bước đầu là tắt dịch vụ sử dụng ‘unstsvc.bat’ sau đó khởi động lại dịch vụ với ‘instsvc.bat’.

* Nếu bạn còn dư bộ nhớ sau khi dành cho NxFilter, bạn có thể tăng bộ nhớ cho khởi động Java sử dụng lựa chọn ‘-server’. Hệ thống khi đó sẽ đòi hỏi thêm bộ nhớ nhưng sẽ đem lại hiệu quả tốt hơn.

Khoảng trống đĩa và giảm số lượng của dữ liệu log

NxFilter có nhiều chức năng báo cáo vì vậy nó lưu tất cả các dữ liệu theo ngày, theo tuần và theo từng người dùng. Các báo cáo này sẽ yêu cầu lớn về không gian đĩa để lưu trữ dữ liệu. Khi bạn lưu trữ một thời gian dài, điều này sẽ ảnh hướng đến hiệu suất hoạt động

Nếu bạn có vài trăm người sử dụng thì không gian lưu trữ yêu cầu ít nhất là 10GB không gian để lưu trữ cơ sở dữ liệu. Để giảm khối lượng lưu trữ bạn có thể điều chỉnh thông tin tại ‘Log Retention Days’ trong ‘Config > Setup’.

Một cách khác để giảm khối lượng lưu trữ cho hệ thống là sử dụng whitelist và lựa chọn chức năng ‘Bypass Logging’ cho các tên miền mà bạn không muốn theo dõi.

Tăng số lượng kiểm soát các yêu cầu

NxFilter là một chương trình đa luồng, thông thường 8 luồng là đủ cho đa số các trường hợp, tuy nhiên nếu hệ thống phản ứng chậm và bạn muốn tăng nó lên 16 luồng thì bạn có thể thay đổi tại ‘/nxfilter/conf/cfg.properties’, sau đó cần phải khởi động lại NxFilter để các thay đổi có hiệu lực.

    rh_num = 16

Sử dụng máy chủ DNS đệ quy cục bộ

Một trong các lý do giảm hiệu xuất của NxFilter là độ trễ của các upstream DNS server. Điều này không xảy ra với hệ thống có khoảng vài trăm người dùng nhưng bạn sẽ gặp vấn đề với hệ thống có hàng ngàn người dùng. Chính vì vậy chúng tôi bổ sung thêm chức năng lựa chọn máy chủ DNS đệ quy.

Mặc dù vậy, điều này không có nghĩa là NxFilter thực hiện đệ quy bởi chính nó mà bạn sẽ phải cài một máy chủ DNS đệ quy vào máy chủ có NxFilter được cài đặt và thiết lập để NxFilter sẽ sử dụng máy chủ DNS đệ quy như là một upstream server. Bạn có thể cài đặt máy chủ đệ quy như MaraDNS’s Deadwood và thiết lập nó nghe tại UDP/10053 trong ‘127.0.0.1’ và thêm dòng sau vào file ‘/nxfilter/conf/cfg.properties’.

    local_resolver_port = 10053

Sau đó khởi động lại NxFilter.
Tắt chia sẻ dữ liệu giữa các node cluster

Khi bạn sử dụng cluster, sẽ có nhiều dữ liệu truyền thông giữa các node với nhau để chia sẻ dữ liệu. Nếu bạn có một máy chủ luôn bận rộn, điều này sẽ làm giảm hiệu suất của hệ thống. Để giảm lưu lượng trao đổi giữa các node tham khảo Sử dụng Cluster với NxFilter.

– Trở về –
Cấp phép quản lý báo cáo
Chúng tôi cung cấp xác thực dựa trên mật khẩu cho menu ‘Logging’ và ‘Report’. Bạn có thể thiết lập mật khẩu tại ‘Config > Admin > Report Password’. Để truy nhập, bạn có thể tạo liên kết như sau:

    http://192.168.0.100/admin?rpw=pass1234

Khi mở liên kết này, bạn sẽ được cấp phép xem mọi báo cáo trong phần ‘Logging’ và ‘Report’.

– Trở về –
Hướng dẫn sử dụng Graylog
Khi làm việc với hàng nghìn dữ liệu log người dùng, bạn sẽ cần một công cụ chuyên dụng để làm việc với các dữ liệu log của NxFilter. Trong phần này chúng tôi sẽ giới thiệu một trong các công cụ là Graylog.

1. Tải các bộ cài phần mềm Graylog từ đây.     – nxfilter-graylog-example.zip

2. Trên giao diện Graylog, nhập khẩu dữ liệu các gói nội dung trong file zip.
    – System > Content Packs > Import content pack

3. Sau khi nhập khẩu dữ liệu bạn sẽ thấy nội dung gói ‘NxFilter’.
    – Chọn ‘NxFilter’, lựa chọn ‘nxfilter-graylog-example’ và apply nó.

4. Chúng tôi sử dụng cổng UDP/1514 cho đầu vào của Graylog.

5. Trên giao diện NxFilter, vào ‘Config > Setup > Syslog’, thay đổi ‘Syslog Port’ thành 1514.
    – thay đổi thông tin của ‘Syslog Host’.

6. Khởi động lại NxFilter và bạn sẽ thấy giao diện dashboard.
    – Lựa chọn ‘NxFilter 2 hours’ trên dashboard của Graylog.

Sau khi bạn xây dựng logging/reporting của bạn trên Graylog, bạn có thể bỏ qua logging vào CSDL lưu lượng của NxFilter. Để bỏ qua nó, t hiết lập giá trị ‘Log Retention Days’ trong ‘Config > Setup’ về 0. Nếu bạn sử dụng NxFilter v3, thêm ‘syslog_only = 1’ vào trong file /nxfilter/conf/cfg.properties.

– Trở về –
FAQ
These are frequently asked questions about NxFilter.

Bộ lọc DNS sẽ không hiệu quả nếu có thể truy nhập website qua địa chỉ IP?

Có người hỏi rằng bộ lọc DNS sẽ dễ dàng bị vượt qua nếu người dùng sử dụng địa chỉ IP để truy cập trang web thay vì sử dụng tên miền. Điều này ngày nay không còn đúng nữa do đa phần các trang web ngày nay thường được đặt chung trên một máy chủ và chia sẻ cùng một địa chỉ IP và ta không thể truy cập trang web với địa chỉ IP được.

Chỉ có các trang/cổng thông tin điện tử lớn thường sẽ được sử dụng địa chỉ IP riêng, nhưng ngay cả với trường hợp này, trên trang/cổng thông tin điện tử đó cũng sẽ chứa rất nhiều URL mà cần phải phân giải, nếu sử dụng địa chỉ IP để truy nhập bạn cũng sẽ gặp các trang bị ngăn chặn.

* NxFilter có thể chặn các IP host trong các URL với các ứng dụng phần mềm proxy cục bộ của nó.

– Trở về –

NxFilter dường như bị trễ khi thực hiện chặn/bỏ chặn.

Điều này có nguyên nhân liên quan đến bộ đệm DNS trên hệ thống của bạn. Với hệ điều hành Windows sẽ có hai bộ đệm là bộ đệm DNS của trình duyệt hoặc bộ đệm DNS của hệ điều hành. Chính vì vậy các chính sách chặn lọc sẽ không được thực hiện cho đến khi các bộ nhớ đệm này được làm mới lại sau khi hết hạn. Nếu muốn các chính sách thay đổi được thực thi ngay thì ta phải tiến hành làm mới bộ đệm DNS, với trình duyệt thì ta tiến hành khởi động lại, với bộ nhớ đệm DNS của hệ điều hành thì ta sử dụng lệnh sau trong cửa sổ CMD (windows\system32\cmd.exe).

ipconfig /flushdns
Thông thường bộ nhớ đệm của trình duyệt sẽ được làm mới trong vài phút nhưng bộ nhớ của hệ điều hành thì thường kéo dài hơn (tối đa lên đến 1 ngày). Tuy vậy trong thực tế, ta không phải thực hiện chặn/bỏ chặn một tên miền nhiều lần một ngày vì vậy điều này không gây ra nhiều vấn đề.

– Trở về –

Làm thế nào để bắt buộc người dùng trong mạng phải sử dụng NxFilter?

Nếu bạn có sử dụng tường lửa, thì cách đơn giản nhất là thực hiện chặn toàn bộ gói tin UDP/53 và TCP/53 và chỉ chấp nhận cho các gói tin từ NxFilter ra Internet. Sau đó trong thiết lập DHCP, ta cấu hình NxFilter là máy chủ DNS cho toàn mạng nội bộ. Như vậy NxFilter trở thành DNS server duy nhất người dùng có thể sử dụng và việc trỏ đến NxFilter sẽ được thực hiện tự động.

– Trở về –

NxFilter quyết định chính sách cho người dùng thế nào?

Quản trị có thể thiết lập chính sách cho người dùng trực tiếp. Nếu người dùng nằm trong một nhóm thì sẽ tuân theo chính sách cho nhóm đó. Nhưng khi quản trị nhập các người dùng từ Active Directory thì khi đó nhiều người dùng có thể thuộc nhiều nhóm, do vậy không thể biết chính sách nào được áp dụng cho người dùng trong trường hợp này.

Để giải quyết vấn đề này, chúng tôi đưa vào một “Điểm ưu tiên thực hiện” trong một chính sách. Nếu có nhiều nhóm có các chính sách khác nhau thì chính sách nào có điểm ưu tiên cao hơn sẽ được áp dụng. Để xác định chính sách nào được áp dụng cho người dùng thì sử dụng nút “TEST” trong ‘User & Group > User’.

– Trở về –

Làm thế nào để ngăn chặn facebook.com nhanh nhất?

Thêm ‘*.facebook.com’ vào trong danh sách tại ‘Whitelist > Domain’ và chọn ‘Admin Block’.

– Trở về –

Tôi có thể chặn ‘facebook.com’ chỉ với các sinh viên?

Đầu tiên cần phải phân biệt được các sinh viên và xác thực các sinh viên này và cho vào nhóm Sinh viên. Tiếp theo thiết lập chính sách cho nhóm này với việc chặn theo nhóm “Social Networking” khi sử dụng Jahaslist. Khi đó các chinh sách sẽ được áp dụng cho người dùng hoặc nhóm người dùng là sinh viên.

– Trở về –

Tôi có thể thiết lập cho phép phòng bán hàng sử dụng Internet tự do trong thời gian ăn trưa?

Tạo một người dùng hoặc một nhóm người dùng cho phòng bán hàng và định nghĩa một free-time trong ‘Policy & Rule > Free Time’ và thiết lập chính sách cho người dùng hoặc nhóm người dùng theo nhóm này.

– Trở về –

Làm thế nào để thay đổi cổng web của NxFilter?

Bạn có thể thay đổi cổng HTTP/HTTPS trên NxFilter. Tuy nhiên khi thay đổi cổng HTTP thì bạn sẽ mất khả năng chuyển hướng trang bị chặn bởi vì khi NxFilter chuyển hướng người dùng trên HTTP thì sẽ cần thông tin lấy từ trình duyệt trên cổng TCP/80.

Để thay đổi cổng, bạn cần phải thay đổi hai tham số sau trên file ‘/nxfilter/conf/cfg.properties’.

http_port = 80
https_port = 443

Sau khi thay đổi cổng cần phải khởi động lại NxFilter.

– Trở về –

Tôi có thể lấy lại mật khẩu admin?

NxFilter có viết sẵn đoạn script để lấy lại mật khẩu admin tại file ‘/nxfilter/bin/reset-pw.sh’. Khi bạn chạy đoạn mã này, tên và mật khẩu mặc định sẽ được đặt lại là admin. Bạn cần phải chạy file này khi NxFilter đang làm việc.

* File ‘/nxfilter/bin/reset_acl.sh’ có chức năng thiết lập lại các hạn chế truy nhập giao diện đồ họa.

– Trở về –

Tôi có thể liên kết NxFilter với một địa chỉ IP riêng?

Bạn có thể liên kết NxFilter với một địa chỉ IP riêng để chăng chặn việc xung đột cổng. Bạn có thể liên kết NxFilter với một địa chỉ IP riêng sử dụng tham số ‘listen_ip’ trong file ‘/nxfilter/conf/cfg.properties’. Nếu bạn thiết lập địa chỉ IP là ‘0.0.0.0’ thì NxFilter sẽ nghe trên tất cả địa chỉ IP trên hệ thống của bạn, nhưng nếu bạn thiết lập đia chỉ IP riêng thì NxFilter sẽ chỉ nghe tại địa chỉ IP đó.

* Cần phải chú ý rằng, dù có liên kết NxFilter theo các địa chỉ riêng thì bạn cũng không thể chạy nhiều NxFilter trên cùng một máy bởi vì NxFilter cần phải liên kết đến một số cổng trên localhost cho các truyền thông nội bộ.

– Trở về –

Tôi có thể bỏ qua tên miền cục bộ?

Trong ‘DNS > Setup’, bạn có thể thiết lập máy chủ DNS và tên miền cục bộ. Với thiết lập này, nếu có các truy vấn DNS đến các tên miền cục bộ, NxFilter sẽ chuyển các truy vấn này đến các máy chủ DNS cục bộ và bỏ qua phần xác thực, lọc và lưu lại thông tin.

– Trở về –

Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?

Tôi có thể sử dụng một từ khóa chính xác để tìm kiếm trên log?

Bạn có thể sử dụng ký tự ngoặc vuông để tìm kiếm trên log chính xác theo từ khóa.

ví dụ: [john], [192.168.0.1]

– Trở về –

Vì sao tôi cần phải đăng nhập lại sau giờ nghỉ trưa?

Phiên đăng nhập của bạn đã bị hết hạn nếu không có hoạt động truy vấn DNS nào từ máy tính cá nhân của bạn trong một khoảng thời gian nhất định. Bạn có thể tăng thời gian hết hạn này thông qua giá trị ‘Login Session TTL’ tại ‘Config > Setup’.

* Nếu bạn sử dụng đăng nhập một lần với Active Directory bạn có thể tránh được vấn đề này.

– Trở về –

Tôi có thể sử dụng chứng thư số SSL riêng của mình?

Chúng tôi sử dung Tomcat 7.x as để làm máy chủ web cho NxFilter. Nếu bạn muốn sử dụng chứng thư số SSL riêng sử dụng với Tomcat thì có hai thông số cần phải thiết lập tại file cấu hình của Tomcat. Một là ‘keystoreFile’ và một cái khác là ‘keystorePass’. Chúng tôi không có file cấu hình riêng cho Tomcat, file cấu hình được đặt tại’/nxfilter/conf/cfg.properties’.

keystore_file = conf/myown.keystore
keystore_pass = 123456

* Chi tiết về xây dựng file keystore, đọc tài liệu Tomcat.

– Trở về –

Làm thế nào để bật chế độ debug?

Khi có vấn đề bất thường xảy ra với NxFilter, khuyến nghị của chúng tôi là bạn tìm kiếm thông tin về sự số trong dữ liệu log. NxFilter lưu trữ các thông tin này trong thư mục ‘/nxfilter/log’. Nếu không có đủ thông tin thì bạn có thể bật chế độ debug trong file ‘/nxfilter/conf/log4j.properties’. Thay’INFO’ thành ‘DEBUG’ và khởi động lại NxFilter.

– Trở về –

Làm thế nào để ẩn cảnh báo SSL?

Khi một trình duyệt đang chuyển hướng HTTPS, thông điệp SSL sẽ hiện lên để cảnh báo người dùng nhằm ngăn chặn tấn công ‘Man in the Middle’, tuy vậy nhiều người muốn ẩn đi vì một số lý do riêng. Dù không thể hiển thị block-page trên https nhưng bạn có thể ẩn nó đi bằng việc thay đổi cổng của HTTPS của NxFilter. Nếu không sử dụng cổng HTTPS tiêu chuẩn, thì người dùng sẽ chỉ nhìn thấy thông điệp “Connection Error”

Để thay đổi cổng HTTPS, bạn cần phải thay đổi dòng lệnh https_port = 443 bằng cổng mới trong file ‘/nxfilter/conf/cfg.properties’.

Hiện tại, chúng tôi có thể ẩn thông điệp SSL đi, nhưng nhiều người dùng có báo cáo về việc trình duyệt trở nên chậm hơn và vì trình duyệt khi đó sẽ phải đợi timeout với một vài website được nhúng vào. Để thực hiện ẩn thông điệp SSL ta làm như sau: mở file cấu hình của NxFilter và thiết lập:

hide_ssl_warning = 1
Khi bạn thiết lập chức năng này trong file cấu hình, timeout sẽ được thực hiện ngay lập tức.

* Nếu bạn muốn truy nhập giao diện quản trị đồ họa và trang đăng nhập sử dụng giao thức https thì chức năng hide_ssl_warning cần phải bật và bạn cần phải đổi giá trị cổng ‘https_port’ thành một cổng không tiêu chuẩn. Ngoài ra, HTTPS request sẽ bị quá hạn ngay lập tức. * Với trình duyệt Chrome, chúng ta có thể hiển thị block-page trên giao thức HTTPS với NxForward.

– Trở về –

Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?

Vì sao tôi không thấy bất kỳ tên người dùng nào trong ‘Logging > Request’?

Điều đầu tiên bạn cần kiểm tra là chức năng ‘Enable Authentication’ trong ‘Config > Setup’. Chúng ta cần phải bật chức năng xác thực trước khi thực hiện bất kỳ phương pháp xác thực nào.

– Trở về –

Làm thế nào để ta bỏ qua việc lưu log?

Cho các mục đích nội bộ, thời gian lưu tối thiểu của log là 3 ngày. Tuy vậy ta vẫn có thể bỏ qua việc lưu log thông qua thiết lập chức năng ‘syslog_only’ trong file ‘/nxfilter/conf/cfg.properties’. Nếu bạn thiết lập chức năng này mà không có nơi xuất Syslog thì NxFilter sẽ bỏ qua việc ghi log vì nó không biết gửi log đi đâu.

Để bật chức năng ‘syslog_only’, ta thêm dòng lệnh

syslog_only = 1

trong file ‘/nxfilter/conf/cfg.properties’.

* Ta vấn có thể thu thập dữ liệu tính toán nhưng các dữ liệu được lưu trữ sẽ không được lưu trữ trong cơ sở dữ liệu Lưu lượng của bạn.

– Trở về –

Làm thế nào để thiết lập time zone?

Một vài người dùng báo cáo rằng họ có các timezone khác nhau trong NxFilter từ hệ thống. Điều này xảy ra với hầu hết hệ điều hành CentOS. Khi bạn thiết lập time zone cho NxFilter một cách thủ công, Bạn có thể thực hiện điều này tại mức JVM. Trong file ‘/nxfilter/bin/startup.sh’ thiết lập tham số sau

-Duser.timezone=’timezone của bạn” ví dụ Europe/Rome.

– Trở về –

Vì sao trình duyệt của tôi bị khởi động lại sau khi NxClient khởi động?

NxClient là một proxy cục bộ vì thế nó cần phải cập nhật thiết lập của proxy hệ thống để chuyển hướng lưu lượng HTTP/HTTPS từ trình duyệt của bạn đến chính nó, vì thế sau khi cập nhật thiết lập proxy, trình duyệt cần phải khởi động lại để sử dụng các thay đổi.

– Trở về –

Làm thế nào để bắt buộc một người dùng đăng xuất?

Chúng tôi không cung cấp giao diện đồ họa để phục vụ điều này. Trong hầu hết các trường hợp, quản trị muốn một người dùng đăng xuất khi họ không sử dụng máy tính của mình và bắt buộc người dùng đăng nhập đăng nhập khi sử dụng. Để làm điều này, bạn có thể đăng xuất tên miền có thể cấu hình tại ‘Config > Setup’. Ngoài ra quản trị cũng có thể viết một đoạn lệnh cho IE để vào tên miền này và kích hoạt nó khi người dùng đăng xuất từ hệ thống của họ.

@echo off
start http://logout.example.com

Dòng lệnh sử dụng nslookup đến tên miền logout.signal.nxfilter.org có thể xóa thông tin liên quan giữa địa chỉ IP và phiên đăng nhập.

@echo off
nslookup logout.signal.nxfilter.org.

– Trở về –

NxFilter dừng làm việc sau lỗi ‘Queue full’.

Bạn sẽ nhận được lỗi ‘Queue full’ khi bạn mất kết nối Internet hoặc kết nối với máy chủ upstream của bạn. Nó xảy ra khi NxFilter không thể xử lý các yêu cầu DNS trong hàng đợi của nó. Mặc dù NxFilter sẽ tiếp tục công việc của mình sau khi kết nối được khôi phục, nhưng trên một số hệ thống nó không tiếp tục công việc sau khi kết nối khôi phục.

Giải pháp cho vấn đề này là khởi động lại NxFilter, bạn cũng có thể thiết lập chức năng khởi động lại NxFilter khi xảy ra lỗi ‘Queue full’. Với tùy chọn ‘queue_full_exit =1’ trong file ‘/nxfilter/conf/cfg.properties’, chức năng này sẽ được bật lên.

queue_full_exit = 1
Trong trường hợp ứng dụng NxFilter bị thoát ra khi xảy ra lỗi ‘Queue full’ thì bạn có thể khởi động lại nó. Ví dụ, nếu bạn đang sử dụng hệ thống Linux, bạn có thể sử dụng tùy chọn respawn của Upstart hoặc Systemd để khởi động lại NxFilter.

* Với phiên bản từ 3.4.6, bạn có thể thiết lập để nhận email cảnh báo khi xảy ra lỗi ‘Queue full’.

– Trở về –

Tôi có thể ngăn chặn hiển thị kết quả khi thực hiện tìm kiếm các nội dung xấu trên Google, Youtube?

Bạn có thể bắt buộc thực thi tìm kiếm an toàn từ NxFilter, Bạn có thể thiết lập chức năng này trong chính sách của NxFilter.

* Thực thi tìm kiếm an toàn với yahoo sẽ đòi hỏi một tác nhân cục bộ chạy trong hệ thống của người dùng.

* Chuyển lựa chọn giữa ‘Moderate’ và ‘Strict’ sẽ chỉ có tác động với Youtube.

– Trở về –

Lỗi ‘Too many requests’ là gì?

Chúng tôi sử dụng số lần phân giải tên miền trên mỗi người dùng để tính toán về bản quyền, hiện tại bản quyền 3000 truy vấn/ngày là phù hợp với đa phần người dùng. Tuy vậy trước khi mua bản quyền, chúng tôi khuyến nghị bạn nên kiểm tra số lượng truy vấn trong ‘Report > Usage’ với thời gian 30 ngày trước đó.

– Trở về –