Giải pháp an ninh tổng thể cho một hệ thống mạng của các nhà cung cấp dịch vụ sẽ không chỉ đơn thuần phụ thuộc vào một yếu tố là đưa các sản phẩm an toàn mạng của các hãng sản xuất vào các phân khúc mạng cần được bảo vệ mà là cả một sự kết hợp của nhiều yếu tố khác nhau như:- Mô hình kinh doanh - phạm vi cung cấp dịch vụ- Con người vận hành và đối tượng sử dụng- Chính sách quản lý mạng và các quy trình xử lý - Tổ chức mạng và các sản phẩm ứng dụng. Trong các yếu tố này thì yếu tố con người và các quy trình xử lý đóng vai trò quan trọng nhất và các yếu tố sả#n phẩm, thiết bị là yếu tố gần như đi sau cùng. Đối với yếu tố về giải pháp và các chiến lược an ninh an toàn cho hệ thống mạng, đặc biệt đối với những nhà cung cấp dịch vụ thì yếu tố đầu tiên và có thể coi là quan trọng nhất là việc định hình và hoạch định các chiến lược về kiến trúc của hệ thống an ninh mạng. Phát triển hệ thống an ninh mạng tổng thể phải đạt những mục tiêu chính như sau:- Có chiến lược tổng thể cho việc đảm bảo an ninh mạng- Hệ thống an ninh xây dựng với mô hình bảo vệ nhiều tầng khác nhau dựa trên cơ sở các ứng dụng.- Trong mỗi tầng ứng dụng phân thành những lớp bảo vệ khác nhau.- Giải pháp tổng thể cần hoạch định các chính sách và quy trình thực hiện cũng như việc phản ứng nhanh khi có tấn công.- Thiết bị - quy trình cho việc tự động cập nhật các dạng tấn công mới định kỳ và các phương pháp phòng chống.- Xây dựng một hệ thống quản lý - điều khiển và giảm sát chức năng cũng như quy trình của các thiết bị an ninh được đưa vào mạng. Việc đề xuất giải pháp an ninh cho hệ thống là rất cần thiết, ở đây sẽ dựa vào một nguyên tắc chiến lược cho việc phát triển giải pháp an ninh mạng của hãng Cisco System. Chiến lược này dựa trên nguyên tắc cho phép những nhà đầu tư có thể chủ động quản lý và bảo vệ chính môi trường mạng của họ trên cơ sở tích hợp các giải pháp/sản phẩm an ninh khác nhau phù hợp hạ tầng cung cấp dịch vụ của chính mình. Giải pháp an ninh này tập trung vào việc bảo vệ các phần tử mạng theo phân lớp sau:- Bảo mật vòng ngoài- Bảo mật trên các kết nối trong mạng- Bảo mật hệ thống cung cấp dịch vụ (Datacenter)- Xây dựng hệ thống quản trị bảo mậtCác loại hình tấn công ngày nay hầu như tập trung khai thác vào chính những lổ hổng ở tầng ứng dụng, và bám sát vào các dịch vụ phổ dụng chuyển giao cho người dùng đầu cuối. Vì lẽ đó, đối với một hạ tầng cung cấp dịch vụ qua nền IP, một hệ thống bảo mật, phòng thủ vành đai đòi hỏi mang tính chiến lược và thiết yếu cho họat động của tổng thể toàn hệ thống mạng. Bài viết này giới thiệu một phần nhỏ trong kiến trúc tổng thể cho hệ thống bảo mật vành đai, và các sản phẩm tương ứng hỗ trợ cho phân hệ vành đai này.Xét về phương diện thiết bị, chúng ta sẽ có 2 hướng để chọn lựa:- Sử dụng một hoặc một nhóm các thiết bị chuyên dụng để hình thành vành đai bảo mật. Các thiết bị này là hoàn toàn độc lập về mặt vật lý đối với các thiết bị đang có trong hạ tầng cũng như đối với kiến trúc module hóa của các thiết bị định tuyến.- Tích hợp phân hệ bảo mật vành đai này vào kiến trúc khung vật lý của thiết bị định tuyến kết nối mạng. Khi ấy, những module đảm nhận chức năng cung cấp dịch vụ chuyên dụng là các Firewall Service Module.Xét về tính đồng bộ tổng thể cho kiến trúc mạng cũng như cho kiến trúc vật lý của thiết bị, sử dụng các Firewall Service Module có ưu thế, hoàn toàn đáp ứng tốt các tác vụ truyền thống, bên cạnh một loạt các tính năng mở rộng khác, phù hợp cho những đòi hỏi của một vành đai bảo mật cần phải có. Ngoài ra, việc tận dụng các kiến trúc module hóa của thiết bị để gắn thêm card xử lý chức năng, cũng sẽ góp phần giảm thiểu chi phí đầu tư tổng thể hệ thống cho nhà đầu tư.

II. MỘT SỐ HÌNH THỨC TẤN CÔNG:

Trong quá trình thực hiện bảo mật, phòng chống tấn công, chúng ta chỉ quan tâm đến các tấn công theo hướng từ ngoài vào, mà quên đi nó cũng có thể xuất phát theo hướng ngược lại. Và những tác nhân này cũng ảnh hưởng khá nhiều đến sự tồn tại của một hệ thống mạng. Một hệ thống Firewall tốt cần phải bảo đảm việc phòng chống theo cả 2 hướng lưu thông này.Các hình thức tấn công vào một hệ thống thường đa dạng, tuy nhiên, cơ bản chúng được phân thành 3 nhóm chính sau: Tấn công thăm dò: Đối với loại tấn công này, Hacker chủ yếu chỉ muốn thăm dò hệ thống, và tập hợp các thông tin cần thiết xoay quanh tổ chức của hệ thống. Trong hầu hết trường hợp, thông tin này sẽ được Hacker dùng để tổ chức một cuộc đột nhập trái phép hoặc một tấn công từ chối dịch vụ (DoS). Tấn công thâm nhập: Đây là hình thức tấn công mà trong đó Hacker cố gắng thực hiện việc xâm nhập trái phép vào hệ thống để moi ra các thông tin quản trị nhạy cảm. Tấn công từ chối dịch vụ: Với loại tấn công này, Hackers cố gắng vô hiệu hóa hoặc ngắt các truy cập mạng, khai thác tài nguyên mạng, các dịch vụ và cả hệ thống. Mục đích của Hacker là gây ảnh hưởng, thậm chí ngăn chặn quá trình đăng nhập vào các nguồn tài nguyên mạng của những user hợp lệ. Khả năng chống DDOS (tấn công phân tán DoS): DDoS là một biến thể nâng cao của hình thức tấn công từ chối dịch vụ. Với DDOS, Hacker tổ chức tấn công DOS đồng thời tại nhiều địa điểm, theo nhiều hướng khác nhau. Thủ thuât IP spoofing cũng sẽ được kết hợp để sử dụng. Đối tượng chính của hình thức tấn công DDOS thường là các nhà cung cấp dịch vụ. Trong trường hợp này, Hacker sẽ tấn công vào các điểm nhạy cảm nhất của hệ thống như là các bộ định tuyến nằm ngoài rìa của hệ thống đường trục, khu vực tập trung các bộ định tuyến, và các Data center, nơi chứa hàng chục hay hàng trăm máy chủ dùng để cung cấp dịch vụ.

III. FIREWALL SERVICE MODULE LÀ GÌ

Firewall Service Module là card xử lý hiệu năng cao, chuyên dụng thiết lập vành đai và phòng thủ cho một hạ tầng hay kiến trúc mạng. Thông qua việc cấu hình, có thể khai thác tính đa nhiệm của FSM để thiết lập vành đai bảo vệ, bảo mật cho hạ tầng cung cấp dịch vụ qua nền IP. Các chức năng này bao gồm: cho phép/ngăn cấm các cổng dịch vụ, xử lý nhiều ngữ cảnh (miltiple context) cho Firewall ảo (Virtual Firewall), failover hoặc cân bằng tải… Ngoài những chức năng cơ bản như trên, FWSM còn hỗ trợ các chức năng nâng cao của Firewall như: kiểm tra chặt chẽ dòng lưu lượng, lọc luật, lọc URL, phát hiện các lưu lượng không bình thường và chống lại các cuộc tấn công DDOS… Đứng về phương diện tổ chức, Firewall Service Module, ngoài vai trò chốt chặn kiểm soát các lưu lượng dữ liệu, còn có nhiệm vụ phân chia hệ thống mạng ra thành nhiều phần nhỏ, và xác định ranh giới đó. Tùy theo hệ thống Firewall được triển khai, hệ thống sẽ được phân chia theo những đặc thù riêng. Tuy nhiên, nhìn chung đòi hỏi phải có 3 vùng bảo mật chính. Với PIX Firewall, thông qua giải thuật bảo mật thích ứng, hệ thống sẽ được phân chia thành các phân vùng Inside, Outside và DMZ. Phân hệ bảo mật vành đai với các Module bảo mật cực mạnh cũng được thiết kế dựa trên nền tảng này. Về cơ bản, hệ thống bảo mật vành đai sẽ chia cắt mạng dữ liệu thành nhiều phân vùng, mỗi phân vùng sẽ được gán một cấp độ bảo mật tương ứng với chức năng hoạt động của nó. Trên nguyên tắc, sự xâm nhập từ các phân vùng có độ bảo mật thấp sang những khu vực bảo mật cao hơn sẽ không được Firewall cho phép. Nhìn chung, các chính sách được xây dựng cho Firewall chỉ cho phép thông tin đi theo những chiều an toàn từ trong ra ngoài, từ nơi an toàn cao đến nơi an toàn thấp (cấp độ bảo mật). Chiều ngược lại gần như không được phép ngoại trừ 1 số trường hợp đặc biệt xảy ra dưới sự cấu hình cho phép và giám sát của người quản trị. ASA sẽ dựa vào địa chỉ nguồn, đích, cổng kết nối,…các đặc thù về giao thức mạng để lọc các gói tin, cho phép nó đi qua hay ở lại. Ta có thể thay đổi giá trị độ bảo mật của một phân vùng nhằm phục vụ cho một ý đồ tổ chức nào đó. Inside: Là toàn bộ hệ thống mạng bên trong, có độ bảo mật là 100 (100%). Về nguyên tắc phân vùng Inside sẽ là phân vùng an toàn nhất. Các lưu lượng được khởi xướng từ những phân vùng khác sẽ không được phép đi vào phân vùng này nếu không có sự cho phép của người quản trị. Outside: Là thế giới bên ngoài, có độ bảo mật là 0 (0%). Đây là môi trường mở và tiềm ẩn nhiều nguy hiểm cho hệ thống phía sau Firewall. Vì thế tất cả các xâm nhập, giao tiếp xuất phát từ vùng này vào những phân vùng bên trong Firewall sẽ không được cho phép, hoặc nếu có thì phải dựa trên một giao tiếp ứng dụng cụ thể nào đó và luôn luôn được Firewall giám sát chặt chẽ bởi các luật. DMZ: Vùng phi quân sự, nơi đặt những thông tin mang tính công cộng không quan trọng, có độ bảo mật là 50 (50%). Vùng bảo mật DMZ mang một đặc thù đặc biệt. Thông qua việc cấu hình luật cho phép, các phân vùng khác, kể cả Outside, đều có thể chủ động khởi xướng giao tiếp với phân vùng này. Tuy nhiên việc giao tiếp này luôn đòi hỏi phải cụ thể về dịch vụ được trao đổi, và hoàn toàn không cho phép một giao tiếp mà trong đó tất cả các dịch vụ được trao đổi. Với đặc thù này, phân vùng DMZ rất phù hợp với vai trò là nơi chứa các tài nguyên tương ứng hỗ trợ cho các dịch vụ qua nền IP sẽ được đặt tại đây để đáp ứng cho nhu cầu truy nhập chủ yếu là từ Outside vào hệ thống. Một điểm quan trọng là với sự hỗ trợ kiến trúc DMZ, hệ thống Firewall sẽ cách ly được phân vùng bán an toàn này (cấp độ bảo mật là 50) với tất cả các phân vùng khác thuộc hệ thống bên trong bằng các ACL tương ứng.

MỘT SỐ TÍNH NĂNG BẢO MẬT

Công nghệ SPI (Stateful Packet Inspection) - Kiểm tra trạng thái gói tin:

Đứng trên mục đích sử dụng và khai thác, công nghệ mạng phải hướng tới việc cho phép thông tin, liên lạc, trao đổi được diễn ra đa dạng giữa nhiều hệ thống khác nhau. Điều này, có nghĩa là một mạng cục bộ sẽ được phép và cần phải giao tiếp với những hệ thống bên ngoài, nhằm khai thác tối đa sự hỗ trợ của chúng. Phần lớn các hệ thống cục bộ đều sử dụng các hệ thống Firewall phần cứng để thực thi tác vụ này. Kỹ thuật được ứng dụng là kỹ thuật lọc gói tin. Khi ấy, trong quá trình giao tiếp với các hệ thống bên ngoài, mọi gói tin đều phải lưu chuyển ngang qua chốt chặn này và sẽ được nó kiểm tra. Thông thường, kỹ thuật lọc gói tin sẽ dựa vào địa chỉ IP của nguồn gửi và đích đến cũng như cổng thông dụng mà dịch vụ thường sử dụng để thực thi các luật lọc được đề ra. Tuy nhiên, đây chỉ là kỹ thuật lọc gói tin ở cấp độ đơn giản. Với SPI, hệ thống Firewall không chỉ dựa vào các thông số truyền thống như địa chỉ IP, số cổng, mà nó còn dựa trên cả thông số sequence và các cờ “Flag” tương ứng dùng cho việc lắp ráp các “segment” thành một gói tin hoàn chỉnh tại đích đến. Khi ấy, hệ thống Firewall của chúng ta sẽ tiến hành xem xét xem gói tin là thuộc kết nối mới, hay là thuộc một kết nối đã được thiết lập từ trước.Từ đó, các cơ chế và luật lọc sẽ bám sát được theo qui trình đóng gói của gói tin ở cả nhiều lớp trong mô hình OSI và cả cơ chế bắt tay 3 bước trong mô hình TCP/IP, giúp cho việc sàng lọc trở nên hiệu quả hơn rất nhiều.Về nguyên tắc, khi triển khai SPI, tất cả lưu lượng thông tin đều phải được dẫn qua hệ thống Firewall. Tại đây , Firewall sẽ dùng giải thuật “Bảo mật thích ứng - ASA (Adaptive Security Algorithm)” để tiến hành kiểm tra tất cả các gói tin nhằm để xác định là sẽ chuyển nó đi tiếp hay hủy nó đi tùy theo qui luật tương ứng. Việc kiểm tra này sẽ kết hợp giữa cả các thông số truyền thống nằm trong tiêu đề của gói tin và thông tin về trạng thái kết nối cụ thể tương ứng của chúng.Khi tiếp nhận một gói tin, quá trình thực hiện giải thuật ASA của hệ thống Firewall về cơ bản được chia thành các công đọan sau:Kiểm tra xem đó có phải là một kết nối mới hay không?Nếu đây là một kết nối mới được thiết lập, hệ thống Firewall sẽ tiến hành đối chiếu các thông số nằm trong phần tiêu đề của gói tin với các luật lọc tương ứng (Access Control List). Nếu chúng phù hợp với một luật nào đấy thì luật này sẽ được thực thi, và kết quả xử lý sẽ tùy thuộc vào luật đó là cho phép đi tiếp hay bắt buộc phải hủy gói tin.Để thực hiện được việc kiểm tra đối chiếu này, gói tin đầu tiên của phiên làm việc ấy sẽ được gửi đến một công đoạn xử lý phiên (session management path). Công đoạn này sẽ tuần tự bao gồm các tác vụ sau:+ Thực hiện việc kiểm tra các ACL+ Thực hiện việc tìm đường + Xác định xem việc chuyển đổi địa chỉ có được sử dụng hay không và cụ thể như thế nào+ Tiến tới thiết lập phiên làm việc theo đường đi tốt nhất đã đuợc tìm ra ở trên.Đối với nhóm gói tin đòi hỏi phải có sự kiểm duyệt ở cả Lớp 7 trong mô hình OSI (Lớp ứng dụng ) thì chúng sẽ được đẩy sang một qui trình xử lý kiểm tra (control plane path). Toàn bộ nội dung của gói tin thuộc nhóm này sẽ phải được kiểm tra hoặc thậm chí sẽ được sửa lại. Cơ chế kiểm duyệt lớp 7 sẽ được áp dụng cho những nhóm ứng dụng cần từ 2 kênh trở lên. Trong số đó, một kênh sẽ dành cho dữ liệu thuần túy, còn những kênh còn lại sẽ mang thông tin điều khiển, mà thông thường đó là các cổng dịch vụ tương ứng cho từng phiên kết nối. Một điều cần lưu ý là mỗi một phiên làm việc, chúng sẽ dùng một cổng dịch vụ khác nhau. FTP, H323, SNMP là những giao thức ứng dụng thuộc nhóm này. Kiểm tra xem đó có phải là một kết nối đã được thiết lập hay chưa?Trong trường hợp gói tin thuộc về một phiên kết nối đã được thiết lập thành công, hệ thống Firewall sẽ không cần phải kiểm tra lại, mà sẽ chuyển thẳng gói tin đến qui trình xử lý nhanh (fast path). Qui trình này bao gồm các tác vụ sau:- Xác định IP checksum- Xác định phiên làm việc tương ứng- Kiểm tra thông số thứ tự định vị của phân mảnh (TCP sequence number). - Thiết lập việc chuyển đổi địa chỉ dựa trên các phiên làm trước- Hiệu chỉnh các tiêu đề của đơn vị dữ liệu tương ứng cho lớp 3 và lớp 4Những loại lưu lượng sau sẽ được xử lý theo qui trình này:- Lưu lượng dùng để thiết lập các kết nối có hướng TCP và vô hướng UDP. Do UDP không thiết lập các phiên làm việc cụ thể, nên Firewall sẽ tạo một thông tin đặc thù tương ứng với trạng thái của kết nối UDP- Các gói tin điều khiển dùng cho giao thức ICMP- Những gói tin thuộc nhóm ứng dụng đòi hỏi phải có sự kiểm soát ở cả Lớp 7Nói tóm lại, hệ thống Firewall sẽ phân chia ứng dụng lưu chuyển vào ra hệ thống thành 2 nhóm chính:Nhóm ứng dụng thông thường Nhóm ứng dụng đòi hỏi phải thực hiện cả việc kiểm soát ở lớp 7.

Các chế độ hoạt động của hệ thống Firewall:

Về nguyên tắc, hệ thống Firewall của chúng ta có thể hoạt động trong những chế độ sau:Chế độ Route/NAT : Trong chế độ này, ngoài chức năng chính, Firewall sẽ thực hiện nhiệm vụ chuyển đổi các địa chỉ IP và định tuyến cho gói tin giống như là một RouterChế độ trong suốt (Transparent): Trong chế độ hoạt động này, hệ thống Firewall của chúng ta sẽ trở nên tiềm ẩn và không thể phát hiện được bởi Hacker. Sẽ không có bất kỳ tác vụ định tuyến hay chuyển đổi địa chỉ được thực hiện trong chế độ này. Thông thường, chế độ trong suốt chỉ hỗ trợ 2 giao diện chính là Inside và Outside. Tuy nhiên, cũng giống như mode Route/NAT, hệ thống Firewall cần phải thực thi vai trò lọc gói của nó. Để làm việc này, nó sẽ sử dụng đến các tập luật đặc biệt. Các luật này được gọi là Ethertype ACL. Ethertype ACL hoạt động chủ yếu dựa vào thông tin Lớp 2, và dùng để kiểm soát các lưu lượng không phải IP.Trong quá trình hoạt động, hệ thống Firewall cũng sẽ tiến hành việc học và xây dựng một bảng địa chỉ MAC (địa chỉ lớp 2) cho riêng nó. Tuy nhiên, với vai trò là một Firewall, trong trường hợp không có được địa chỉ vật lý của đích đến, nó sẽ không gửi đơn vị dữ liệu ra tất cả các cổng của nó giống như các thiết bị Layer 2 thường làm. Trong trường hợp này, Firewall sẽ gửi ra những loại gói tin sau:Đối với thiết bị kết nối trực tiếp : Firewall sẽ gửi một yêu cầu ARP cho địa chỉ IP của đích cần đến, từ trả lời ARP, Firewall sẽ biết được đáp ứng được gửi ngược lại qua cổng nàoĐối với các đích ở xa: Firewall sẽ ping thiết bị ở xa, để từ đó biết được đáp ứng được nhận lại từ cổng nào Do đặc thù hoạt động ở chế độ này, Firewall chủ yếu dựa vào địa chỉ lớp 2, nên đòi hỏi một cơ chế kiểm soát tương thích cho vấn đề này. Khi đó, hệ thống Firewall sẽ dùng cơ chế kiểm tra gói dựa trên giao thức ARP.ở trạng thái mặc định ban đầu, cơ chế kiểm soát ARP bị ngắt, tất cả các gói tin ARP đều được Firewall cho phép đi qua. Tuy nhiên, khi kích hoạt, cơ chế này cho phép Firewall kiểm soát bằng cách so sánh địa chỉ MAC, địa chỉ IP và cổng xuất phát của tất cả các gói tin ARP so với bảng địa chỉ MAC mà Firewall có. Các tác vụ được thực hiện như sau:Nếu địa chỉ IP, địa chỉ MAC và cổng xuất phát của gói tin phù hợp hoàn toàn với thông tin đang có trong ARP Table của Firewall, gói tin sẽ được cho phép đi quaNếu có bất kỳ thông tin nào trong số đó không tương thích, gói tin ngay lập tức bị hủy.Trong trường hợp nhóm thông số này hoàn toàn không khớp với bất kỳ nhóm nào trong database mà Firewall đang sở hữu, có thể cấu hình để gói tin này được gửi đến tất cả các cổng. Nhưng thông thường, việc hủy những gói tin này luôn được khuyến khích.Các nhóm ứng dụng được phân hệ bảo mật vành đai áp dụng cơ chế SPI bao gồm: CUSeeMe, Sun RPC, MGCP, NETBios, RSH, RTSP, SIP, realAudio, SQL*Net, XDMCP, Skinny ,TFTP,…

Khả năng hỗ trợ các giao thức chuyển đổi địa chỉ:

Cùng với tốc độ phát triển của hạ tầng mạng tòan cầu như hiện nay, các vùng địa chỉ Real-IP trong Ipv4 rất hạn chế. Do đó, ngoài giải pháp Ipv6 chưa phát triển mạnh, thì các kết nối dùng NAT và PAT được sử dụng nhiều. Nhằm đáp ứng yêu cầu trên, hệ thống Firewall cũng hỗ trợ tối đa tính năng NAT và PAT bao gồm:Dynamic NAT: Tự động chuyển đổi vùng địa chỉ IP nội bộ ra một vùng địa chỉ IP thực cho trước.Static NAT: Chuyển đổi một địa chỉ local-IP (thường là của máy chủ) thành một địa chỉ Real-IP.PAT: sử dụng chuyển đổi địa chỉ và port.PAT dùng địa chỉ IP của giao diện (PAT using Port IP address).Chuyển hướng Inbound.Kết nối Inbound sử dụng địa chỉ giao diện.NAT dùng luật (policy-based NAT) giúp chọn lựa địa chỉ để NAT dựa vào ACL mở rộng.Mặt khác, thiết bị còn hỗ trợ NAT hai chiều.

Khả năng lọc các URL:

Mặc dù ACL có thể ngăn chặn các truy nhập bất hợp pháp vào website hoặc FTP server trong hệ thống, tuy nhiên cách này không thực tế do kích cỡ và sự thay đổi liên tục của Internet. Hệ thống Firewall sử dụng kiểu lọc URL hiệu quả hơn nhiều.Với kiểu lọc này, khi người dùng thiết lập kết nối HTTP, HTTPS, hay FTP GET request; hệ thống Firewall sẽ đồng thời gửi yêu cầu đến server web/FTP và filtering server. Nếu filtering server cho phép kết nối, hệ thống Firewall cho phép thiết lập kết nối giữa server với máy người dùng.Nếu filtering server từ chối kết nối, hệ thống Firewall lập tức ngắt kết nối giữa server với máy người dùng.Đặc biệt, hệ thống Firewall tương thích và hoạt động hiệu quả khi tương tác cùng Websense Server với cơ chế hoạt động như sau: Trường hợp có người dùng thiết lập kết nối với một máy chủ nào đó (Vd: HTTP server, HTTPS server, FTP server), ngay lập tức Firewall sẽ gửi yêu cầu thiết lập kết nối đến cả 2 đối tượng cùng lúc là Websense Server và máy chủ tương ứng. Nếu Websense Server được cấu hình cho phép kết nối, Firewall sẽ thực hiện các quá trình sau:Đối với các kết nối HTTP, Firewall cho phép phản hồi từ HTTP server tương ứng đến người dùng, kết nối được thiết lập.Đối với các kết nối HTTPS, Firewall cho phép dàn xếp kết nối SSL giữa HTTPS server và người dùng.Đối với kết nối FTP, Firewall cho phép phản hồi code kết nối thành công (Vd: “250: CWD command successful”) từ FTP server đến người dùng và thiết lập kết nối FTP.Nếu Websense Server được cấu hình không cho phép kết nối, Firewall sẽ thực hiện các quá trình sau:Đối với kết nối HTTP, Firewall sẽ chuyển kết nối người dùng đến block page và thông báo từ chối truy cập.Đối với kết nối HTTPS, Firewall không cho phép hoàn tất dàn xếp kết nối giữa người dùng và HTTPS server. Thông báo lỗi sẽ hiện lên “The Page or the content cannot be displayed.”Đối với kết nối FTP, Firewall phản hồi code từ chối kết nối (Vd: “code 550: Directory not found”).Ngoài ra, hệ thống Firewall có thể hỗ trợ nhiều kiểu lọc URL thông qua các loại server khác như: N2H2, SmartFilter, Built-in…

Khả năng xác thực, hỗ trợ giao thức chứng thực AAA: