• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Firewall Tutorial

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Firewall Tutorial

    Hệ thống thông tin trong các tập đoàn, các tổ chức chính phủ và các tổ chức khác đã trải qua một sự tiến triển ổn định.
    • Hệ thống xử lý dữ liệu tập trung, với một hay nhiều máy tính lớn (mainframe) hỗ trợ các thiết bị đầu cuối kết nối trực tiếp với nhau.

    • Mạng LANs kết nối các máy tính và các thiết bị đầy cuối với nhau và với mainframe.

    • Cơ sở mạng, bao gồm một số nạng LANs, các PC kết nối với nhau, các servers và có thể còn có một hay nhiều mainframe.

    • Mạng doanh nghiệp diện rộng, bao gồm nhiều các cơ sở mạng phân tán theo địa lý được kết nối với nhau bởi một mạng WAN.

    • Kết nối Internet, trong đó có nhiều cơ sở mạng khác nhau kết nối vào một mạng lớn toàn cầu.

    Đã từ lâu vấn đề về kiểm soát lưu lượng, hệ thống mạng đã trở nên cấp bách trước hàng loạt cuộc tấn công nhằm vào mạng nội bộ của các cơ quan, tổ chức quan trọng và ngay cả những doanh nghiệp trên thế giới. Vì vậy, Firewall ra đời cùng với những ưu điểm vượt trội:
    • Firewall có thể xem như là một cái barrier(ba-ri-e giao thông), mọi lưu lượng mạng ( traffic) từ trong đi ra ngoài hay ngoài đi vào trong đều phải qua nó. Một chính sách được cài đặt trên firewall sẽ kiểm tra xem những loại lưu lượng mạng nào sẽ được đi qua theo từng hướng ( trong ra ngoài hay ngoài vào trong), giúp cho người quản trị có thể phòng chống các truy cập bất hợp pháp.

    • Firewall có thể được thiết kế để hoạt động như một bộ lọc các packet ở lớp 3 hoặc có thể hoạt động ở lớp giao thức cao hơn.

    Chúng ta sẽ bắt đầu tìm hiểu cơ bản về firewall, hi vọng bài viết này sẽ giúp cho các bạn hiểu được các nguyên tắc thiết kế một firewall. Về firewall thì có rất nhiều vấn đề để nói, ban đầu sẽ mang tính chất lý thuyết nhiều, các bạn cố gắng theo dõi nhé

    1. Các tính chất của Firewall:

    a.Tất cả các truy cập từ bên trong ra bên ngoài và ngược lại, phải đi qua firewall. Điều này được thực hiện bởi việc khóa tất cả các truy xuất đến mạng nội bộ ngoại trừ những truy xuất được firewall cho phép. Tại firewall, sẽ có nhiều các cấu hình khác nhau để làm việc này. Ta sẽ tìm hiểu ở mục tiếp theo.

    b.Các truy xuất được cho phép được định nghĩa ( cài đặt) bởi các chính sách an ninh nội bộ. Hiện nay có nhiều loại tường lửa được sử dụng, thực hiện trên nó nhiều loại chính sách bảo mật khác nhau
    .


    c.
    Các firewall tự nó sẽ “miễn dịch” với các xâm nhập. Điều này có nghĩa rằng đó việc sử dụng một hệ thống đáng tin cậy với một hệ điều hành an toàn.Tuy rằng có những tính chất như vậy, nhưng việc vượt qua Firewall không có nghĩa là không thể nhưng đa số thì khi có những hiện tượng bất thường, việc dùng firewall sẽ giúp ích cho người quản trị phát hiện và ngăn chặn các xâm nhập trái phép, bởi việc vượt qua một tường lửa được cài đặt an toàn là không hề dễ.

    Sau đây là bốn kỹ thuật chung mà tường lửa sử dụng để kiểm soát việc truy cập và thực thi các chính sách bảo mật. Ban đầu, tường lửa chỉ được tập trung chính vào kiểm soát các dịch vụ, nhưng sau này, do sự phát triển mạnh mẽ của công nghệ, nó đã được cung cấp cả bốn kỹ thuật như sau:
    • Kiểm soát dịch vụ (service control): Xác định tất cả các loại hình dịch vụ Internet có thể truy xuất, từ ngoài vào trong hay ngược lại. Tường lửa có thể lọc lưu lượng truy cập dựa theo địa chỉ IP và số port của TCP; có thể cung cấp phần mềm gọi là proxy để nhận và kiểm tra mỗi yêu cầu dịch vụ nhận được trước khi cho nó qua.

    • Kiểm soát hướng ( Direction control): Xác định hướng trong đó các yêu cầu dịch vụ cụ thể được phép lưu thông qua tường lửa.

    • Kiểm soát người sử dụng ( User Control): Kiểm soát truy cập vào dịch vụ dựa vào việc người dùng nào đang sử dụng nó. Tính năng này thường được áp dụng cho các user bên trong tường lửa (local users). Nó cũng có thể được áp dụng cho các lưu lượng đến từ những người dùng bên ngoài sau khi yêu cầu xong một số hình thức của công nghệ xác thực an toàn như Ipsec.

    • Kiểm soát về hành vi (Behavior control): Điều khiển các dịch vụ cụ thể được sử dụng. Ví dụ, tường lửa có thể lọc email để loại bỏ thư rác hoặc nó có thể cho phép bên ngoài chỉ có thể truy xuất một phần thông tin trên máy chủ Web nội bộ.


    Tóm ra thì cũng phải có tóm lại
    J, như vậy từ các kỹ thuật áp dụng trên firewall, có những ưu điểm nào cụ thể của một tường lửa. Tóm lại các lợi ích của nó như sau:
    • Tường lửa xác định “một điểm cứng” duy nhất để giữ những người sử dụng trái phép ra khỏi mạng được bảo vệ, ngăn cấm các dịch vụ dễ bị “tổn thương” ra hoăc vào mạng và cung cấp bảo vệ từ các loại IP spoofing và routing attack. Việc sử dụng “một điểm cứng” duy nhất này sẽ đơn giản hóa việc quản lý nhưng cũng không mất đi tính an toàn vì khả năng bảo mật được hợp nhất trên một hệ thống duy nhất hoặc một tập hợp các hệ thống.

    • Tường lửa cung cấp một vị trí để theo dõi các sự kiện liên quan đến bảo mật. Theo dõi và báo động có thể được thực hiện trên tường lửa.

    • Tường lửa là một nền tảng thuận lợi cho nhiều chức năng Internet mà không liên quan đến an ninh. Chúng bao gồm một translator địa chỉ mạng để ánh xạ địa chỉ private ra public và ngược lại (tương tự như kiểu NAT); và chức năng quản lý mạng có thể theo dõi và log lại việc sử dụng Internet.

    • Một tường lửa có thể được dùng như là nền tảng của Ipsec. Sử dụng cơ chế đường hầm, tường lửa có thể được sử dụng để hiện thực mạng riêng ảo (VPN).

    Oài, dài quá, nhưng phải tìm hiểu cho đến nơi chứ nhỉ, liên quan đến lý thuyết về công nghệ bảo mật mà. Ta phải tìm, ta phải tìm (hiểu) thôi :D
    Nhắc tới nhưng lợi ích khi dùng firewall thì cũng không thể bỏ qua được những hạn chế của nó. Vậy hạn chế khi dùng tường lửa là gì, chúng ta cùng xem xét nhé:

    • Tường lửa không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa. Ví dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho các nhân viên di động.

    • Tường lửa không bảo vệ chống lại các đe dọa từ bên trong nội bộ ví dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với kẻ tấn công bên ngoài.

    • Tường lửa không thể bảo vệ chống lại việc chuyển giao giữa các chương trình bị nhiễm virus hoặc các tập tin. Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ, sẽ là không thực tế và có lẽ là không thể cho các tường lữa quét tất cả các tập tin gửi đến, emails và các tin nhắn để tìm virus.

    Như vậy, nếu các bạn theo dõi được đến đây thì các bạn đã nắm được các kỹ thuật sử dụng trong firewall, các ưu điểm và hạn chế của nó. Vậy, có một câu hỏi nữa đặt ra là có bao nhiêu loại firewall, chi tiết từng loại và các kiểu cấu hình firewall như thế nào. Chúng ta cùng nhau tiếp tục nhé !
    Last edited by bqt; 07-06-2011, 03:46 PM.
    Viet Professionals Co. Ltd. VnPro ®
    ---------------------------------------
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257
    Fax: (08) 5124314
    Support Forum : http://www. vnpro.org
    Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
    Blog VnPro : http://www.vnpro.org/blog
    Search: VNPRO.ORG
    Cộng Đồng Mạng Không Dây Việt Nam

  • #2
    2. Các loại Firewall
    Có 3 loại tường lửa chung đó là: packet filters (packet - filtering router), application-level gateways và circuit-level gateways. Chúng ta sẽ tìm hiểu lần lượt các loại này.

    2.1 Packet-filtering router:


    Packet-filtering router áp dụng một bộ quy tắc để mỗi gói tin IP vào và ra và sau đó là chuyển đi hay loại bỏ các gói tin. Router thường được cấu hình để lọc các gói tin theo cả hai hướng ( từ trong và ngoài vào mạng nội bộ). Quy tắc lọc dựa trên các thông tin chứa trong một gói tin mạng ( packet):

    • Địa chỉ IP nguồn (Source IP address): Địa chỉ IP của hệ thống là nguồn gốc của các gói tin (sender). Ví dụ: 192.178.1.1

    • Địa chỉ IP đích ( Destination IP address): Địa chỉ IP của hệ thống mà gói tin IP đang cần được chuyển tới. Ví dụ 192.168.1.2

    • Địa chỉ nguồn và đích của tầng giao vận: gói tin là TCP hay UDP, port number, xác định các ứng dụng như SNMP hay TELNET.

    • IP protocol field: Xác định giao thức vận chuyển.

    • Interface : Đối với một router có nhiều port, các gói tin sẽ đến từ interface nào và đi đến interface nào.

    Packet-filtering thường được thiết lập là một danh sách các quy tắc dựa trên phù hởp cho các trường trong IP header hoặc TCP header. Nếu có tương ứng với một trong các quy tắc, quy tắc này sẽ được gọi để xác định xem sẽ chuyển tiếp hay loại bỏ các gói tin. Nếy không phù hợp với bất kỳ một quy tắc nào thì hành động mặc định sẽ được thực hiện. Hai hành động được mặc định đó là:
    • Default = discard: gói tin sẽ bị cấm và bị loại bỏ.

    • Default = forward: gói tin được cho phép đi qua.

    Tuy nhiên, default là discart thường được dùng hơn. Vì như vậy, ban đầu, mọi thứ đều bị chặn và các dịch vụ phải được thêm vào trong từng trường hợp cụ thể. Chính sách này rõ ràng hơn cho người dùng, những người mà ko am hiểu nhiều lắm về firewall( cấm hết là xong, cho phép thằng nào thì mở lối thoát cho nó). Còn cách thứ hai thì liên quan đến vấn đề bảo mật nhiều hơn, đòi hỏi người quản trị phải thường xuyên kiểm tra để có phản ứng với những kiểu đe dọa mới ( sớm bạc đầu
    Mình thấy cái này thì gần như cài đặt ACLs.
    Ưu điểm của loại này là sự đơn giản của nó và packet-filtering thường là trong suốt cho người sử dụng và rất nhanh.
    Hạn chế của nó: ( theo như mình tìm hiểu từ Wack, J.; Cutler, K.; and Pole, J. trong cuốn Guidelines on Firewalls and Firewall Policy).

    • Tường lửa loại này không thể kiểm tra dữ liệu lớp trên, không thể ngăn chặn các cuộc tấn công có sử dụng các lỗ hổng ứng dụng cụ thể. Ví dụ, một bức tường lửa loại này không thể ngăn chặn các lệnh ứng dụng cụ thể, nếu nó cho phép một ứng dụng nhất định, tất cả các chức năng có sẵn trong ứng dụng đó sẽ được cho phép.
    • Do các thông tin có sẵn hạn chế cho tường lửa, hiện tại thì chức năng đăng nhập vào tường lửa bị hạn chế. Packet-filtering lọc các bản log thông thường chứa các thông tin tương tự được sử dụng để đưa ra quyết định kiểm soát truy cập ( địa chỉ nguồn, địa chỉ đích, và loại hình lưu lượng).
    • Hầu hết các tường lửa loại này không hỗ trợ các chương trình xác thực người dùng cao cấp. Một lần nữa hạn chế này chủ yếu là do thiếu chức năng lớp trên của tường lửa.
    • Chúng thường bị tấn công và khai thác bằng cách tận dụng các problem của các đặc điểm kỹ thuật TCp/IP và chồng giao thức, chẳng hạn như giả mạo địa chỉ lớp network. Nhiều tường lửa packet-filtering không thể phát hiện một gói tin mà trong đó các thông tin của lớp 3 đã bị thay đổi. Các cuộc tấn công giả mạo thường được sử dụng bởi những kẻ xâm nhập để vượt qua kiểm soát an ninh được thực hiện bên trong tường lửa.
    • Cuối cùng, do số lượng nhỏ của các biến được sử dụng trong quyết định kiểm soát truy cập, packet-filtering dễ bị vi phạm an ninh gây ra bởi các cấu hình không phù hợp. Nói cách khác, rất dễ cấu hình tường lửa cho phép các loại lưu lượng, nguồn và đích đáng lẽ nên bị từ loại bỏ dựa trên chính sách đặt ra của tổ chức.

    Từ đó, có một số cách tấn công có thể được thực hiện trên các tường lửa packet-filtering và một số biện pháp đối phó với chúng:
    • IP address spoofing ( Giả mạo địa chỉ IP): Kẻ xâm nhập truyền các gói dữ liệu từ bên ngoài với địa chỉ nguồn là địa chỉ IP của một máy nội bộ. Kẻ tấn công hy vọng rằng việc sử dụng một địa chỉ giả mạo sẽ co phép xâm nhập vào các hệ thống chỉ sử dụng bảo mật đơn giản địa chỉ nguồn, trong đó, các gói tin từ máy nội bộ sẽ đực chấp nhận. Biện pháp đối phó là loại bỏ các gói tin với địa chỉ nguồn ở nội bộ nếu như gói tin này đến từ interface bên ngoài.
    • Source routing attack: Các trạm nguồn quy định các đường đi mà một gói tin sẽ được đưa vào khi đi trên mạng Internet, với mong muốn rằng điều này sẽ bỏ qua các biện pháp an ninh mà không phân tích các thông tin định tuyến nguồn. Biện pháp đối phó là để lựa chọn loại bỏ tất cả các gói dữ liệu sử dụng tùy chọn này.
    • Tiny fragment attack: Kẻ xâm nhập loại này sử dụng tùy chọn cho phép phân mảnh của gói tin IP để tạo ra các mảnh cực kỳ nhỏ và ép các TCP header vào một đoạn gói tin riêng biệt. Tấn công loại này được thiết kế để phá vỡ các quy tắc lọc phụ thuộc vào thông tin tiêu đề TCP. Thông thường, một packet-filtering sẽ đưa ra quyết định lọc trên đoạn đầu tiên của một gói. Tất cả các đoạn tiếp theo của gói tin được lọc ra chỉ duy nhất trên cơ sở đó là một phần của gói có đoạn đầu tiên bị loại bỏ. Kẻ tấn công hy vọng rằng các router chỉ lọc xem xét đoạn đầu tiên và các đoạn còn lại được đưa qua. Cách chống lại tấn công loại này là nguyên tắc thực thi đoạn đầu tiên của một gói tin phải có một số xác định trước tối thiểu của TCP header. Nếu đoạn đầu tiên bị loại bỏ, packet-filtering có thể ghi nhớ các gói tin và loại bỏ tất cả các đoạn tiếp theo.


    Cái này nó giống ACLs của CCNA quá nên mình ham hố nói nhiều tý. Tiếp theo sẽ là hai loại còn lại:
    2.2 Application-Level Gateway


    Application-Level Gateway, còn được gọi là một proxy server, hoạt động như một chuyển tiếp của các lưu lượng lớp ứng dụng. Người sử dụng sẽ liên lạc với gateway sử dụng các ứng dụng TCP/IP như TELNET hay FTP và gateway sẽ hỏi user tên của máy chủ từ xa sẽ được truy cập. Khi user đáp lại và cung cấp một ID người dùng hợp lệ và xác thực thông tin, gateway sẽ liên lạc đến cổng ứng dụng tương ứng trên máy chủ từ xa và chuyển tiếp các đoạn TCP chứa các dữ liệu giữa hai thiết bị đầu cuối này.Nếu các cổng không thực hiện các proxy code cho một ứng dụng cụ thể, dịch vụ không được hỗ trợ và không thể được chuyển tiếp qua tường lửa. Hơn nữa, gateway có thể được cấu hình để chỉ hỗ trợ tính năng cụ thể của một ứng dụng mà người quản trị xem xét chấp nhận được trong khi từ chối tất cả các tính năng khác.
    Application-Level gateway có xu hướng an toàn hơn packet-filtering router. Thay vì cố gắng để đối phó với hàng loạt kết hợp có thể có từ việc cấm và cho phép ở tầng TCP/IP, application-level gateway chỉ cần rà soát lại một vài ứng dụng cho phép. Ngoài ra, nó rất dễ dàng cho ghi lại và theo dõi tất cả các lưu lượng đến ở tầng ứng dụng.
    Một nhược điểm chính của loại này là chi phí xử lý bổ sung trên mỗi kết nối. Trong thực tế, có hai kết nối ghép giữa các người dùng đầu cuối, với các cổng ở điểm kết nối và gateway phải kiểm tra lưu lượng trên cả hai chiều.

    2.3 Curcuit-Level Gateway:




    Dạng thứ 3 của firewall đó là Circuit-level gateway. Nó có thể là một hệ thống độc lập hoặc có thể là một hoạt động chuyên biết được thực hiện bởi một application-level gateway cho các ứng dụng nhất định. Circuit-level gateway không cho phép một kết nối TCP end-to-end mà thay vào đó, gateway sẽ thiết lập hai kết nối TCP, một là giữa nó và TCP user bên torng và một giữa nó và TCP user bên ngoài. Khi hai kết nối này được thiết lập, gateway sẽ chuyển tiếp các TCP segment từ đầu cuối này đến đầu cuối khác mà không kiểm tra nội dung các segment này. Các chức năng bảo mật bao gồm vệc xác định mà kết nối sẽ được cho phép.
    Một điển hình của Circuit-level gateway là một tình huống mà trong đó người quản trị hệ thống tin tưởng các user nội bộ. Gateway có thể được cấu hình để hỗ trợ application-level hay dịch vụ proxy cho các kế nối bên trong và chức năng circuit-level cho các kế nối bên ngoài. Trong trường hợp này , gateway có thể phải chịu các chi phí kiểm tra các incoming data cho các chức năng bị cấm nhưng không chịu chi phí của outgoing data.
    Một ví dụ nữa về việc thực hiện của circuit-level gateway là gói SOCKS; phiên bản 5 của SOCKS được địng nghĩa trong RFC 1928. RFC định nghĩa SOCKS như sau:

    • Các giao thức được thiết kế để cung cấp một framework cho các ứng dụng client-server trong cả TCP và UDP để thuận tiện và an toàn bằng việc sử dụng các dịch vụ của network firewall. Giao thức được khải niệm nư một “shim-layer” giửa các lớp ứng dụng và lớp vận chuyển, và như vậy không cung cấp dịch vụ ở lớp network, ví dụ như không forwarding các gói ICMP.
    • SOCKS bao gồm các thành phần sau đây:

    - Máy chủ SOCKS, chạy trên tường lửa nền UNIX.
    - Thư viện SOCKS client, chạy trên các host bên trong được bảo vệ bởi tường lửa.
    - Các phiên bản SOCKS của rất nhiều các chương trình client như FTP và TELNET. Việc hiện thực giao thức trong SOCKS thường liên quan đến việc biên dịch lại hoặc tái liên kết của các ứng dụng client dựa trên TCP (TCP-based client) để sử dụng các dịch vụ đóng gói tương ứng trong thư viện SOCKS.
    Khi một TCP-based client muốn thiết lập một kết nối đến một đối tượng có thể truy cập chỉ thông qua một tường lửa, nó phải mở một kết nối TCP đến port SOCKS tương ứng trên hệ thống SOCKS server. Dịch vụ SOCKS được dùng trên TCP port 1080. Nếu yêu cầu kết nối thành công, client sẽ bắt đầu một cuộc thương lượng về các phương pháp xác thực được lựa chọn và gửi một yêu cầu được chuyển tiếp. SOCKS server sẽ xem xét các yêu cầu và sau đó cho phép thiết lập kết nối hoặc từ chối nó. Các gói UDP cũng được xử lý tương tự. Về bản chất, một kết nối TCP được mở ra để xác thực người dùng để gửi và nhận các UDP segment, các UDP segement sẽ dược chuyển tiếp khi kết nối TCP được mở.
    Last edited by bqt; 07-06-2011, 03:52 PM.
    Viet Professionals Co. Ltd. VnPro ®
    ---------------------------------------
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257
    Fax: (08) 5124314
    Support Forum : http://www. vnpro.org
    Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
    Blog VnPro : http://www.vnpro.org/blog
    Search: VNPRO.ORG
    Cộng Đồng Mạng Không Dây Việt Nam

    Comment


    • #3
      3.Phần cuối cùng của bài viết sẽ nói về các loại cài đặt tường lửa được sử dụng trong thực tế.
      3.1 Dual homed host


      Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN).
      Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.

      3.2 Screened host:


      Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới.
      Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao.
      Packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau:
      - Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố định.
      - Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch proxy thông qua bastion host).
      Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau:
      - Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
      - Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
      Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed host đôi khi cũng có lỗi mà cho phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này). Hơn nữa, kiến trúc dual-homed host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng.
      Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host.
      So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened subnet trở thành kiến trúc phổ biến nhất.

      3.3 Screened Subnet:


      Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.
      Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastionhost ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened router:
      - Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gì outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router.
      - Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host
      và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và Email server bên trong.
      Viet Professionals Co. Ltd. VnPro ®
      ---------------------------------------
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257
      Fax: (08) 5124314
      Support Forum : http://www. vnpro.org
      Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
      Blog VnPro : http://www.vnpro.org/blog
      Search: VNPRO.ORG
      Cộng Đồng Mạng Không Dây Việt Nam

      Comment


      • #4
        Bài viết hay quá,thanks bạn đã share...

        Comment


        • #5
          cái này hình như là bài viết đã post trên diễn đàn rồi

          Comment


          • #6
            vote vote vote vote ?

            Comment

            Working...
            X