Tải bản đầy đủ (.doc) (25 trang)

Nghiên cứu về Firewall và các cơ chế đảm bảo an ninh mà Firewall có thể thực hiện

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (312.26 KB, 25 trang )

Bộ giáo dục và đào tạo
trờng đại học s phạm kỹ thuật Hng yên
KHOA CễNG NGH THễNG TIN

B I TI U LUN
MễN: AN TO N V B O MT THễNG TIN
t i:
Nghiờn cu v Firewall v cỏc c ch m bo an ninh m
Firewall cú th thc hin

Giỏo viờn hng dn : Nguyn Duy Tõn
Sinh viờn thc hin : Nguyn Th Thuý Hnh
Lp : TK6LC_1
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Hng Yªn , tháng 1 năm 2010
TỔNG QUAN VỀ FIREWALL
. Mục đích, khái niệm và chức năng
I.1 Mục đích:
Nhu cầu an ninh hệ thống ngày càng trở nên tối quan trọng vì nhiều
nguyên nhân :
- Các đối thủ luôn tìm cách để nắm được mọi thông tin của những người
cạnh tranh.
- Ngày càng có nhiều kẻ cắp tin học có trình độ rất cao cố gắng truy nhập
thông tin từ các mạng nội bộ, có khi chỉ nhằm mục đích đùa vui hay thử sức.
Mục đích của Firewall, đó là ngăn chặn những kẻ xấu khỏi mạng của bạn
trong khi vẫn để bạn thực hiện được công việc của mình. Một Firewall không
chỉ cung cấp một sự an toàn thực sự, mà còn đóng một vai trò quan trọng như
một lớp bảo vệ an toàn cho công tác quản lý.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
2


Truờng ĐHSPKT Hưng Yên
Khoa CNTT
I.2 Khái niệm:
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng để kiểm soát truy cập bằng cách cấm các lưu thông và
người dùng không được phép nhằm bảo vệ các nguồn thông tin nội bộ cũng
như hạn chế các thông tin không mong muốn xâm nhập vào hệ thống. Firewall
cũng có thể hiểu là một cơ chế để bảo vệ mạng tin cậy (mạng nội bộ) khỏi các
mạng không tin cậy (thường là Internet).
I.3 Chức năng:
Điều quan trọng nhất ở Firewall là nó thực hiện vấn đề kiểm soát truy
nhập. Nó ngăn chặn người sử dụng không mong muốn truy cập mạng và cho
phép người dùng hợp lệ thực hiện việc truy xuất.
Về mặt chức năng hệ thống, Firewall là một thành phần được đặt giữa hai hay
nhiều mạng để kiểm soát tất cả các lưu thông và truy cập giữa chúng với nhau
bao gồm:
- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại phải thực hiện
thông qua Firewall.
- Chỉ có những trao đổi nào được phép của chế độ an ninh của hệ thống
mạng nội bộ mới được quyền lưu thông qua Firewall.
Nhìn chung, các Firewall chống lại các đăng nhập tương tác không được
xác minh từ bên ngoài. Chúng có thể cung cấp một điểm nghẹt đơn nơi gánh
vác trách nhiệm bảo mật và kiểm tra. Firewall cung cấp chức năng kiểm tra và
các nhật ký hệ thống (logging)-các bản tổng kết về các loại và tổng số các lưu
thông truyền qua nó, số các ý định xâm nhập cho người quản trị mạng.
Các Firewall không thể chống lại được các vụ tấn công không đi qua nó
(như các cuộc tấn công qua đường điện thoại hay do rò rỉ thông tin qua đĩa
mềm). Firewall thật sự không thể bảo vệ bạn chống lại những kẻ phản bội hay
những kẻ thiếu học thức.
SV Thực hiện: Nguyễn Thị Thuý Hạnh

3
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Firewall chống các virus không đuợc tốt lắm. Firewall không thể chống lại
một vụ tấn công kiểu hướng dữ liệu, khi chương trình tấn công được gửi hay
được chép vào một host nội bộ và được thực hiện ngay tại đó.
I.4 Cấu trúc
Về mặt cấu trúc vật lý, Firewall bao gồm :
- Một hay nhiều hệ thống máy chủ kết nối với các router.
- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông
thường là các hệ quản trị xác thực (authentication), cấp quyền (authoziration) và
tính toán (acounting) - được gọi là các dịch vụ AAA.
Một Firewall chuẩn bao gồm một hay nhiều thành phần sau đây: (các
thành phần này sẽ được đề cập chi tiết hơn ở phần sau)
- Bộ lọc gói tin (Packet Filter hay Screened Router).
- Cổng mức ứng dụng (Application-Level Gateway hay Proxy Server-
Server uỷ quyền).
- Cổng mức mạng (Circuit -Level Gateway).
- Cơ chế lọc phiên thông minh (Smat Session Filtering).
. Phân loại
II.1. Firewall mức mạng(Network_Level Firewall)
Các Firewall mức mạng là các Firewall mà trên đó lưu thông được kiểm
tra ở cấp gói tin của giao thức mạng (quyết định của chúng được dựa trên các
cổng,các địa chỉ nguồn và đích của các gói tin IP). Ví dụ như một Router. Hiện
Firewall mức mạng phức tạp hơn, chúng duy trì các thông tin nội tại về trạng
thái của các liên kết truyền qua chúng, nội dung của một số dòng dữ liệu
Firewall mức mạng trực tiếp chọn đường cho lưu thông đi qua chúng, nên được
sử dụng khi bạn có các khối địa chỉ IP hợp lệ.
- Ưu điểm: Các Firewall mức mạng rất nhanh và trong suốt đối với người
sử dụng.

SV Thực hiện: Nguyễn Thị Thuý Hạnh
4
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
- Hạn chế : Thiếu khả năng "nhận thức" thông tin truyền qua nó.
II.2 Firewall mức ứng dụng(Application_Level Firewall)
Firewall mức ứng dụng là một hệ thống Firewall mà các dịch vụ trên đó
được cung cấp bởi các quá trình có tác dụng duy trì thứ tự và trạng thái của một
liên kết TCP đầy đủ. Các Firewall mức ứng dụng thường chạy proxy server, do
đó các lưu thông hướng ngoại như có nguồn gốc từ Firewall hơn là từ các host
nội bộ. Các proxy server còn thực hiện việc logging (ghi nhật ký hệ thống) và
kiểm tra các lưu thông truyền qua chúng.
- Ưu điểm: Firewall mức ứng dụng cung cấp các báo cáo kiểm tra chi tiết
hơn và duy trì nhiều mô hình bảo mật hơn so với Firewall mức mạng.
- Hạn chế : Thiếu tính trong suốt và dễ hiểu.
KIẾN TRÚC VỀ FIREWALL
I. Các khái niệm cơ bản
I.1 Mạng vành đai
Là một mạng thêm vào giữa mạng ngoài và mạng nội bộ. Nếu một kẻ tấn
công xâm nhập thành công vào Firewall, mạng vành đai này sẽ đưa thêm một
lớp bảo vệ giữa kẻ tấn công và mạng nội bộ.
Trong rất nhiều các thiết đặt mạng, một máy tính bất kì của một mạng đã
cho có thể “thấy” được lưu thông trên các máy khác ở mạng này. Điều này là
đúng đối với các công nghệ mạng Ethernet, token ring, FDDI. Những kẻ rình
mò có thể biết được mật khẩu bằng cách quan sát các phiên sử dụng chúng
trong Telnet, FTP, rlogin. Thậm chí nếu các mật khẩu không được chấp nhận,
những kẻ rình mò có thể xem lén nội dung của các file nhạy cảm mà người
dùng có thể truy cập, các email thú vị mà họ có thể sẽ đọc.v.v.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
5

Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Với một mạng vành đai, nếu ai đó xâm nhập được vào một bastion host
trên mạng vành đai, hắn có thể sẽ rình mò trên các lưu thông của mạng này. Tất
cả các lưu thông ở trên mạng vành đai nên được hướng tới hoặc xuất phát từ
bastion host, hoặc từ Internet.
Bởi vì không có lưu thông hoàn toàn nội bộ nào (lưu thông giữa hai host
nội bộ) truyền qua mạng vành đai. Lưu thông nội bộ sẽ được bảo đảm an toàn
khỏi các cặp mắt tò mò nếu như bastion host bị phá hoại.
Rõ ràng, lưu thông đến và xuất phát từ bastion host hoặc thế giới bên
ngoài vẫn có thể "thấy" được. Phần công việc trong thiết kế một Firewall là bảo
đảm rằng lưu thông này tự nó đủ bí mật để cho việc đọc nó không phá hoại toàn
bộ hệ thống nội bộ.
I.2 Bastion Host:
Là một hệ thống đã được củng cố vững chắc để chống lại các vụ tấn
công, và được cài đặt trên một mạng với mong muốn vượt qua được các vụ tấn
công một cách có hiệu quả. Bastion host thường là một thành phần của
Firewall hoặc có thể ở "bên ngoài" các Web server hoặc các hệ thống truy nhập
chung. Đối với kiến trúc Screened Subnet, bạn nối một bastion host (hoặc các
host) với một mạng vành đai. Host này là điểm tiếp xúc cho các liên kết đi vào
từ thế giới bên ngoài. Ví dụ:
- Cho các phiên email (SMTP) hướng nội phân phát thư điện tử tới site.
- Cho các liên kết FTP hướng nội tới server FTP nặc danh của site.
- Cho các yêu cầu DNS hướng nội về mạng nội bộ
Các dịch vụ hướng ngoại (từ các client nội bộ đến các server trên Internet) được
xử lí theo các cách sau:
- Thiết đặt cơ chế lọc gói tin trên các router nội bộ và router ngoài để cho
phép các client nội bộ truy nhập các server ngoài một cách trực tiếp.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
6

Truờng ĐHSPKT Hưng Yên
Khoa CNTT
- Thiết đặt các proxy server chạy trên bastion host (nếu Firewall có sử
dụng phần mềm proxy) để cho phép các client nội bộ truy cập các server ngoài
một cách gián tiếp. Bạn cũng sẽ thiết đặt cơ chế lọc gói tin để cho phép các
client nội bộ giao tiếp với các proxy server trên bastion host và ngược lại,
nhưng cấm giao tiếp trực tiếp giữa các client nội bộ và thế giới bên ngoài.
Bastion host hoạt động giống như một proxy server đối với các dịch vụ
khác nhau, hoặc bằng cách chạy các phần mềm proxy server đặc biệt cho các
giao thức cụ thể (như HTTP, FTP) hoặc bằng cách chạy các server chuẩn cho
các giao thức tự uỷ quyền (như SMTP).
I.3 Router nội bộ(interior Router)
Router nội bộ còn gọi là router nghẹt (choke router), bảo vệ mạng nội bộ
khỏi Internet và mạng vành đai. Nó thực hiện hầu hết các công việc lọc gói tin
cho Firewall của bạn và cho phép các dịch vụ đã qua chọn lọc đi từ mạng nội
bộ ra ngoài, những dịch vụ mà mạng của bạn có thể cung cấp và trợ giúp an
toàn bằng cách sử dụng cơ chế lọc gói tin hơn là proxy( sự an toàn phụ thuộc
các nhu cầu, khả năng và các ràng buộc của chính bạn). Các dịch vụ được phép
có thể sẽ bao gồm FTP,WAIS, Archie, Gopher
Cần hạn chế các dịch vụ giữa một bastion host và mạng nội bộ để giảm
thiểu số máy tính (và đồng thời số dịch vụ trên các máy này) có thể bị tấn công
từ bastion host. Bạn cũng nên hạn chế các dịch vụ được phép giữa bastion host
và mạng vành đai thành các dịch vụ cần thiết, như SMTP, DNS. Hơn nữa bạn
nên hạn chế các dịch vụ bằng cách chỉ cho phép chúng đi tới hoặc đến từ các
liên kết giữa bastion host và server nội bộ. Cẩn trọng với tính năng bảo mật hệ
chủ và các dịch vụ nội bộ, nơi mà có thể được bastion host tiếp xúc, bởi vì các
host và các dịch vụ này sẽ là những thứ mà kẻ tấn công có thể tính đến nếu như
hắn ta xâm nhập được vào bastion host của bạn.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
7

Truờng ĐHSPKT Hưng Yên
Khoa CNTT
I.4 Router ngoài (exterior Router)
Về mặt lí thuyết, router ngoài (còn gọi là access router) bảo vệ cả mạng
vành đai và mạng nội bộ khỏi Internet. Thực tế, các router ngoài cho phép hầu
hết các lưu thông truyền từ một mạng vành đai ra ngoài. Chúng rất ít khi lọc các
gói tin. Có sự giống nhau về các quy tắc lọc gói tin trên router nội bộ và router
ngoài. Nếu có một lỗi ở trong các quy tắc này cho phép một kẻ tấn công xâm
nhập, lỗi đó sẽ thể hiện trên cả hai router.
Router ngoài thường được cung cấp bởi nột nhóm ở bên ngoài (ví dụ nhà
cung cấp dịch vụ Internet), và các truy nhập của bạn tới đó có thể bị hạn chế.
Nhóm bên ngoài này thường duy trì một số ít các quy tắc lọc gói tin, nhưng
không muốn phức tạp hoá hoặc thường xuyên biến đổi chúng. Khi router đó bị
xâm phạm , họ cài đặt một cái mới, họ có thể không nhớ cài lại các bộ lọc này
và còn cảm thấy phiền toái khi đề cập đến vấn đề thay thế router để nhờ đó mà
bạn biết để kiểm tra.
Chỉ những qui tắc lọc gói tin thực sự đặc biệt trên router ngoài mới bảo
vệ được các máy trên mạng vành đai (các bastion host và router nội bộ). Tuy
nhiên, không cần thiết phải bảo vệ nhiều bởi vì các host trên mạng vành đai
được bảo vệ chủ yếu thông qua bảo mật hệ chủ. Các quy tắc còn lại trên router
ngoài chính là các bản sao của các quy tắc trên router nội bộ: các quy tắc cấm
các lưu thông không an toàn giữa host nội bộ và Internet. Trên lí thuyết router
ngoài chỉ cấm các gói tin đã bị cấm bởi router nội bộ rồi. Nếu các gói tin đó vẫn
tồn tại, suy ra hoặc router nội bộ hỏng hoặc ai đó đã liên kết một host không
mong đợi vào một mạng vành đai.
Một trong các nhiệm vụ mà router ngoài thường thực hiện, một nhiệm vụ
không dễ thực hiện ở một nơi khác, đó là cấm các gói tin giả mạo có nguồn gốc
từ Internet. Router nội bộ có thể làm như thế nhưng nó không thể nhận biết
được các gói tin giả mạo có nguồn gốc từ mạng vành đai. Router ngoài là một
SV Thực hiện: Nguyễn Thị Thuý Hạnh

8
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
biên giới rõ ràng hơn. Router nội bộ cũng có thể không bảo vệ được các hệ
thống trên mạng vành đai chống lại các gói tin giả mạo.
I.5. Packet filtering(Cơ chế lọc gói tin)
I.5.1 Sơ lược về gói tin(packet)
Để truyền thông tin qua một mạng, thông tin đó phải được tách thành các
gói nhỏ và được gửi đi một cách hoàn toàn riêng biệt. Điều này cho phép nhiều
hệ thống có thể chia sẻ một mạng, tới phiên thì gửi gói tin này đi. Trong kỹ
thuật mạng IP , những gói nhỏ dữ liệu này được gọi là các gói tin. Tất cả các dữ
liệu truyền qua mạng IP đều là các gói tin .
Để có thể hiểu được cơ chế lọc gói tin, trước tiên bạn phải hiểu được các
gói tin và cách mà nó được kiểm soát trên mỗi tầng của họ giao thức TCP/IP:
- Tầng ứng dụng (FTP,Telnet, HTTP).
- Tầng giao vận (TCP hay UDP).
- Tầng liên mạng (IP)
- Tầng truy nhập mạng (Ethernet, FDDI, ATM ).
Ở mỗi tầng các gói tin bao gồm hai phần: phần header và phần thân. Phần
header chứa các thông tin của giao thức ở tầng tương ứng còn phần thân chứa
dữ liệu của tầng đó, thường là toàn bộ gói tin của tâng trước đó. Mỗi tầng coi
các thông tin mà nó nhận được ở tầng trước như chính dữ liệu của nó và thêm
vào đó phần header của chính tầng đó. Quá trình bảo quản dữ liệu bằng cách
thêm vào một header mới này được gọi là quá trình bao bọc dữ liệu
(encapsulation).
Tại tầng ứng dụng, gói tin chỉ đơn giản bao gồm dữ liệu được truyền (Ví
dụ một phần của một file trong một phiên làm việc của FTP). Khi nó chuyển
SV Thực hiện: Nguyễn Thị Thuý Hạnh
9
Truờng ĐHSPKT Hưng Yên

Khoa CNTT
đến tầng giao vận, TCP hoặc UDP (User Datagram Protocol) sẽ bảo quản và gắn
vào dữ liệu này một header của nó. ở tầng kế, IP coi toàn bộ gói tin (hiện gồm
cả dữ liệu ban đầu và phần header của TCP hoặc UDP) như là dữ liệu và gắn
phần IP header của nó vào đó. cuối cùng đến tầng kế tiếp Ethernet hay một giao
thức mạng khác coi toàn bộ gói tin mà IP chuyển cho nó là dữ liệu và gắn thêm
vào đó header của nó. Phía bên kia của liên kết, quá trình này được đảo ngược.
Khi dữ liệu được truyền từ một tầng lên tầng cao hơn, các header tương ứng với
tầng đó sẽ bị cắt ra. Đối với cơ chế lọc gói tin, thông tin quan trọng nhất nằm
trong các header của các tầng đó.
I.5.2. Các thông tin trong header của gói tin
Sau đây ta sẽ xem xét một số thông tin đáng chú ý đối với quy tắc lọc
gói tin trong phần header của gói tin ở các tầng khác nhau. Các thông tin này trợ
giúp chính cho các quyết định của cơ chế lọc gói tin.
- Tầng Ethernet:
Ở tầng này gói tin bao gồm hai phần: phần Ethernet header và phần thân
Ethernet. Nhìn chung bạn sẽ không thể thực hiện được công việc lọc gói tin dựa
trên các thông tin trong phần Ethernet header. Phần này chứa các thông tin :
- Gói tin này thuộc loại gì ? IP, Apple, Novell, DECNET
- Địa chỉ Ethernet của máy đặt nó vào trong đoạn mạng Ethernet đặc thù
này: là một máy nguồn gốc nếu nó được nối với đoạn mạng này; ngược lại nó sẽ
là một router trước đó trong đường đi từ nguồn tới đây.
- Địa chỉ Ethernet của máy đích đến của gói tin này trên đoạn mạng
Ethernet này: có thể là một máy đích nếu nó được nối với đoạn mạng này;
ngược lại nó sẽ là một router kế tiếp trong đường đi từ đây tới đích.
- Tầng IP:
Tại tầng IP, gói tin IP được tạo thành từ hai phần là phần IP header và phần thân
IP. Nhìn từ quan điểm của cơ chế lọc gói tin, phần IP header chứa các thông tin
đáng chú ý :
SV Thực hiện: Nguyễn Thị Thuý Hạnh

10
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
- Địa chỉ nguồn IP, dài 4 Byte, có dạng x.y.z.t.
- Địa chỉ đích IP, như địa chỉ nguồn IP.
- Loại giao thức IP, cho biết phần thân gói tin lP là một gói tin TCP hay
UDP, một gói tin ICMP hoặc một số loại gói tin khác.
- Trường các tuỳ chọn IP, thường là rỗng, là nơi mà các tuỳ chọn như
đường nguồn IP và các tuỳ chọn an toàn IP sẽ được xác định nếu chúng được sử
dụng cho các thông tin đã cho.
- Tầng TCP :
Gói tin cũng bao gồm hai phần : phần TCP header và phần thân TCP. Phần TCP
header có chứa ba loại thông tin đáng chú ý :
- Cổng nguồn TCP, dài 2 Byte, xác định tiến trình hay server trên máy
nguồn mà gói tin này đi đến.
- Cổng TCP đích, như cổng TCP nguồn.
- Trường các cờ TCP.
Cờ TCP chứa một bit đáng chú ý cho cơ chế lọc gói tin: bit ACK. Bằng cách
kiểm tra bit ACK, một router lọc gói tin có thể xác định xem một gói tin có phải
gói tin đã khởi tạo một liên kết (bit ACK =0) hay không (bit ACK=1). Bit ACK
là một phần của cơ chế TCP để đảm bảo việc phát dữ liệu. Bit ACK được bật
(=1) khi nào mà một chiều của liên kết đã nhận được dữ liệu từ chiều kia (xác
nhận dữ liệu đã được nhận). Do đó bit ACK của mọi gói tin đi theo cả hai chiều
từ client dến server, trừ gói tin đầu tiên, sẽ được bật.
Phần thân TCP chứa dữ liệu thực sự truyền.
I.5.3 Khái niệm cơ chế lọc gói tin:
Là một cơ chế an toàn trên mạng, kiểm soát các dữ liệu vào ra trên một
mạng dựa trên việc lọc các gói tin. Bộ lọc gói tin cho phép hoặc cấm các gói tin,
thường là trong lúc truyền chúng từ một mạng sang một mạng khác (thường là
từ Internet đến một mạng nội bộ, hoặc ngược lại). Để thiết lập thao tác lọc gói

SV Thực hiện: Nguyễn Thị Thuý Hạnh
11
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
tin, bạn thiết lập một tập các quy tắc xác định loại các gói tin nào không được
phép. Thao tác lọc gói tin có thể có trong một router, một bridge, hoặc trên một
hệ chủ riêng biệt. (Đôi khi packet filtering còn được gọi là screening) .
Thiết bị cơ bản nối các mạng IP được gọi là router (thiết bị chọn đường, dẫn
đường hay định tuyến). Các gói tin truyền qua một liên mạng từ router đến
router cho tới đích. Một router phải chọn đường để chuyển gói tin về đến đích.
Nhìn chung, một gói tin không chứa các thông tin trợ giúp cho quyết định của
router mà chỉ chứa địa chỉ đích đến của gói tin. Trong khi xác định cách chuyển
tiếp một gói tin về đích của nó, một router thông thường chỉ kiểm tra địa chỉ
đích của một gói tin để trả lời câu hỏi " Làm thế nào để chuyể tiếp gói tin này?".
Một router lọc gói tin còn trả lời câu hỏi " Có nên chuyển tiếp gói tin này hay
không ? " Câu trả lời tuỳ thuộc vào giải pháp an toàn được lập trình cho router
thông qua quy tắc lọc gói tin.
I.5.4 Nguyên lý hoạt động của cơ chế lọc gói tin:
Cơ chế lọc gói tin để bạn kiểm soát (cho phép hoặc cấm) đữ liệu được
truyền qua dựa trên :
- Địa chỉ IP nguồn.
- Địa chỉ IP đích.
- Các giao thức được sử dụng để truyền dữ liệu
- Cổng TCP/UDP nguồn.
- Cổng TCP/UDP đích.
- Loại mã lỗi ICMP trả về.
- Giao diện đến của gói tin.
- Giao diện đi của gói tin.
A. Lọc nhờ giao diện:
SV Thực hiện: Nguyễn Thị Thuý Hạnh

12
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Có một thông tin chính có ích khi bạn thực hiện một quyết định lọc,
không có trong phần header của gói tin. Đó là giao diện (interface) mà gói tin
đó đi từ đó vào router hoặc đi từ router ra đến đó. Đây là một thông tin quan
trọng bởi nó cho phép router nhận ra được các gói tin giả mạo. Nếu router giữa
mạng nội bộ của bạn và thế giới bên ngoài nhận được một gói tin có địa chỉ
nguồn nội bộ từ một giao diện nội bộ thì sẽ không có vấn đề gì. Nhưng nếu
router đó nhận được một gói tin có địa chỉ nguồn nội bộ từ một giao diện bên
ngoài thì có nghĩa là ai đó đã giả mạo địa chỉ của gói tin này (để phá vỡ tính an
toàn của mạng ) hoặc đã có một sai phạm nghiêm trọng trong cấu hình mạng
của bạn. Những gói tin này nên được log và coi như là các thông điệp khẩn. Nếu
có ai đó giả mạo các gói tin, hắn sẽ tấn công bạn với một số vấn đề nghiêm
trọng.
Nếu một gói tin bị loại, router có thể sẽ gửi trả về một mã lỗi ICMP xác định
chuyện gì đã xảy ra. Việc gửi lại một gói tin ICMP có tác dụng cảnh báo cho
máy gửi không nên gửi lại gói tin đó. Bằng cách này ta sẽ tiết kiệm được lưu
thông mạng và một chút thời gian cho người dùng ở xa. Nếu bạn trả về một mã
lỗi ICMP, người dùng sẽ thôi không thử gửi lại gói tin sau một timeout nữa.
B.Lọ c trên đ ịa chỉ:
Kiểu lọc gói tin đơn giản nhất mặc dù không thông dụng nhất, là lọc trên
địa chỉ. Cách này cho phép bạn hạn chế dòng các gói tin dựa trên các địa chỉ
nguồn và/hoặc các địa chỉ đích của gói tin mà không phải dính đến các giao
thức. Việc lọc như thế có thể được sử dụng để cho phép các Host bên ngoài nào
đó giao tiếp với các Host bên trong nào đó, hoặc ngăn cản một kẻ chèn các gói
tin giả mạo vào mạng của bạn.
Trong một router giứa mạng của bạn và Internet, bạn có thể áp dụng một quy
tắc hướng nội hoặc là cho các gói tin đi vào trên giao diện Internet, hoặc là cho
các gói tin đi ra trên giao diện nội bộ. Bạn cũng đạt được các kết quả tương tự

SV Thực hiện: Nguyễn Thị Thuý Hạnh
13
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
đối với các Host được bảo vệ nếu dùng cách này, chỉ khác là trong router nào
được xét. Nếu bạn lọc cãc gói tin hướng ngoại, router này không tự bảo vệ
được.
Rủi ro của việc lọc bằng địa chỉ :
Không đủ an toàn cần thiết để tin cậy vào các địa chỉ nguồn bởi một số
địa chỉ nguồn này có thể bị giả mạo.Trừ phi bạn sử dụng một số loại quản lý xác
minh bằng mật mã giữa bạn và Host mà bạn muốn giao tiếp
C.Lọc trên các dịch vụ :
Phần lớn các công dụng của cơ chế lọc gói tin là lọc dựa trên các dịch vụ,
và hơi phức tạp một chút.
Mỗi lần một router lọc gói tin kết thúc công việc kiểm tra một gói tin cụ thể, nó
có hai lựa chọn:
- Truyền gói tin qua. Thông thường, nếu gói tin vượt qua một tiêu chuẩn
trong cấu hình lọc gói tin, router sẽ chuyển tiếp gói tin đó về phía đích như một
router bình thường.
- Loại bỏ gói tin. Một hành động rõ ràng khác là bỏ gói tin này khi nó
không đáp ứng được các tiêu chuẩn trong cấu hình lọc gói tin.
* Ưu điểm:
- Router lọc gói tin thể hiện một điểm nghẹt (choke point) có ích cho tất
cả các lưu thông vào ra trên mạng.
- Một router lọc gói tin được đặt một cách chiến lược, có thể bảo vệ toàn
vẹn một mạng . Nếu chỉ có một router nối mạng của bạn với Internet, bạn sẽ có
được một nguồn lực rất mạnh trong bảo mật mạng nội bộ của bạn, bằng cách cài
dặt cơ chế lọc gói tin trên router này. Tuỳ theo vị trí cụ thể trên mạng mà router
lọc gói tin sẽ cung cấp một khả năng bảo vệ cụ thể nào đó. Ví dụ chỉ có router
lọc gói tin ở trên mạng vành đai mới có thể phát hiện ra các gói tin giả mạo,

SV Thực hiện: Nguyễn Thị Thuý Hạnh
14
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
bằng cách xem địa chỉ nguồn của gói tin đó xem có đi từ bên trong (một liên kết
từ bên trong ) hay không (một liên kết từ bên ngoài )
- Cơ chế lọc gói tin không đòi hỏi kiến thức hay sự hợp tác của người
dùng. Không giống như cơ chế uỷ quyền, cơ chế lọc gói tin có thể được thực
hiện mà không cần có sự hợp tác hoặc kiến thức của người dùng.
- Cơ chế lọc gói tin tồn tại rộng rãi trong rất nhiều các router. Phầnlớn các
site đã có tính năng lọc gói tin có sẵn trong các router mà họ sử dụng.
* Hạn chế:
Mặc dù các tính năng lọc gói tin tồn tại một cách rộng rãi trong nhiều
phần cứng và nhiều gói phần mềm khác nhau, cơ chế lọc gói tin hiện vẫư không
phải là công cụ hoàn thiện. Tính năng lọc gói tin dù ít dù nhiều vẫn có các hạn
chế chung.
- Các quy tắc lọc gói tin tỏ ra khó định cấu hình và khó kiểm tra.
- Các tính năng lọc gói tin của nhiều sản phẩm chưa hoàn thiện làm cho
công việc cài đặt gói tin trở nên rất khó khăn hoặc không thể thực hện được.
- Thậm chí với các thành phần lọc gói tin hoàn thiện, bạn vẫn sẽ thấy rằng
một số giao thức không phù hợp tốt với cơ chế an toàn qua đường lọc gói tin.
- Một số cơ chế quản lý không thể dễ dàng được duy trì bởi các cơ chế
lọc gói tin. Các thông tin mà một router lọc gói tin có sẵn sẽ không cho phép
bạn xác định một số quy tắc mà bạn muốn.
I.6 Hệ thống uỷ quyền (Proxy system)
I.6.1 Khái niệm:
Cơ chế proxy cung cấp các truy cập Internet đến một hoặc một số rất ít
các host, nhưng lại có vẻ như cung cấp các truy cập đến tất cả host của bạn.
Những host có truy cập hoạt động thay mặt (proxy) cho các máy không có truy
cập, làm những gì mà các máy này muốn thực hiện.

SV Thực hiện: Nguyễn Thị Thuý Hạnh
15
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Một proxy server đối với một giao thức hoặc tập các giao thức đặc thù
chạy trên một Dual-Homed Host hoặc trên một Bastion Host: những host mà
người dùng có thể giao tiếp. Chúng có thể giao tiếp với thế giới bên ngoài.
Chương trình client của người dùng giao tiếp với proxy server thay vì giao tiếp
một cách trực tiếp với server “thực” bên ngoài Internet. Server ước lượng những
yêu cầu từ phía client và quyết định yêu cầu nào được chấp nhận và yêu cầu nào
bị từ chối. Nếu một yêu cầu được chấp nhận, proxy server sẽ giao tiếp với
server thực thay cho client và xử lí để truyền yêu cầu từ phía client đến server
thực, và để chuyển câu trả lời của server thực quay trở lại phía client
Cơ chế proxy không đòi hỏi bất kì một phần cứng đặc biệt nào, mặc dù nó
đòi hỏi phần mềm cho hầu hết các dịch vụ.
Không vấn đề gì trong kết nối vào Internet nếu người sử dụng của bạn
không thể truy cập nó. Mặt khác, thật không an toàn trong việc kết nối với
Internet nếu có các truy cập tự do giữa Internet và mọi host tại site của bạn. Một
số sự hạn chế cần được áp dụng.
Các hệ thống proxy tránh được sự vô hiệu hoá của người dùng và sự
không an toàn của một Dual-Homed Host. Chúng giải quyết vấn đề thứ nhất
bằng việc tự động kết giao tiếp với Dual-Homed Host. Thay cho việc đòi hỏi
người dùng làm việc trực tiếp trên Dual-Homed Host, các hệ thống proxy cho
phép tất cả kết nối diễn ra phía sau hậu trường. Người dùng có ảo giác là đang
trực tiếp làm việc với server trên Internet, nơi mà anh ta thực sự muốn truy cập,
với số giao tiếp trực tiếp với Dual-Homed Host là tối thiểu.
Những hệ thống proxy đối phó với những vấn đề không an toàn bằng việc
tránh để người dùng login vào Dual-Homed Host và bằng việc ép các liên kết
thông qua phần mềm kiểm soát. Bởi vì phần mềm proxy làm việc không đòi hỏi
login của người dùng, host có phần mềm proxy chạy trên đó là an toàn tránh

SV Thực hiện: Nguyễn Thị Thuý Hạnh
16
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
được các login bội. Một ai đó không thể cài đặt phần mềm không có kiểm soát
để vào Internet, bởi proxy hoạt động như một điểm kiểm soát.
I.6.2 Ưu điểm của cơ chế uỷ quyền:
Các dịch vụ proxy cho phép người sử dụng truy cập "trực tiếp" các dịch
vụ Internet. Với Dual-Homed Host, một người sử dụng cần log vào host trước
khi sử dụng bất kì một dịch vụ Internet nào. Điều đó thường là bất tiện. Với các
dịch vụ proxy, người sử dụng nghĩ rằng họ đang giao tiếp trực tiếp với các dịch
vụ Internet. Tất nhiên, có một cái gì đó đang hoạt động sau hậu trường nhưng
nó luôn trong suốt đối với người dùng. Trong khi các dịch vụ proxy cho phép
người sử dụng truy cập tới các dịch vụ Internet từ hệ thống của chính họ, chúng
làm điều này mà không cần việc cho phép những gói tin truyền trực tiếp giữa
người dùng và Internet.
Các dịch vụ proxy tốt đối với việc ghi nhật ký. Bởi vì những dịch vụ
proxy thông hiểu những giao thức ở phía dưới , chúng cho phép log để hình
thành một cách có tính đặc thù hiệu quả. Ví dụ, thay cho việc log vào tất cả
những dữ liệu truyền đi, một server proxy FTP chỉ cần log các lệnh được phát
sinh và các trả lời được nhận của server, dẫn đến các nhật ký ngắn hơn và có ích
hơn rất nhiều.
I.6.3 Hạn chế của cơ chế uỷ quyền:
Những dịch vụ proxy tụt hậu so với dịch vụ phi proxy: Mặc dù phần
mềm proxy là có sẵn cho các dịch vụ cũ và đơn giản như FTP và Telnet, phần
mềm đã qua thử nghiệm dùng cho các dịch vụ mới hơn và ít được sử dụng rộng
rãi hơn thì lại khó tìm. Chúng thường có một sự tụt hậu rõ rệt giữa các chỉ thị
của dịch vụ và khả năng có sẵn các dịch vụ uỷ quyền nó. Điều đó làm cho một
site khó khăn trong việc cung cấp những dịch vụ mới ngay lập tức khi chúng
trở nên sẵn có. Cho đến khi phần mềm proxy phù hợp sẵn có, hệ thống mà cần

SV Thực hiện: Nguyễn Thị Thuý Hạnh
17
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
những dịch vụ mới có thể phải được đặt ngoài firewall, mở ra lỗ hổng tiểm ẩn
về an ninh.
Các dịch vụ proxy có thể yêu cầu các dịch vụ khác nhau đối với mỗi dịch
vụ. Bạn có thể cần một server proxy khác cho từng giao thức bởi vì server
proxy phải hiểu giao thức này để xác định cái gì được phép hoặc bị cấm, và cốt
để giả như một client đối với server thực và như một server thực đối với client
proxy. Thu thập, cài đặt và tạo cấu hình cho tất cả những server này là một công
việc khá lớn.
Các dịch vụ proxy luôn yêu cầu sự sửa đổi phía các client và/hoặc các
thủ tục. Trừ một ít dịch vụ được thiết kế cho việc proxy, những dịch vụ proxy
đòi hỏi sự sửa đổi phía các client và/hoặc các thủ tục. Do những sửa đổi này,
các ứng dụng proxy không thể làm việc tốt bằng các ứng dụng phi proxy. Chúng
có khuynh hướng bend các dặc tả giao thức, và một vài client và server sẽ kém
mềm dẻo hơn.
Dịch vụ proxy không thể làm việc với một vài dịch vụ. Proxy dựa trên
tính năng chèn thêm proxy server vào giữa client và server, đòi hỏi một giao
tiếp trung thực tương đối giữa chúng. Một dịch vụ như “talk” có các giao tiếp
phức tạp và bừa bãi sẽ không bao giờ có thể trao quyền.
Dịch vụ proxy không bảo vệ bạn khỏi tất cả các điểm yếu của giao thức.
Như một giải pháp bảo mật, proxy dựa vào tính năng để xác định những thao
tác nào trong một giao thức là an toàn. Không phải tất cả những giao thức đều
cung cấp cách dễ dàng để thực hiện diều đó.
I.6.4 Cơ chế proxy hoạt động như thế nào?
Các chi tiết hoạt động của proxy là khác nhau đối với mỗi dịch vụ. Một
vài dịch vụ trợ giúp cơ chế proxy dễ dàng hoặc tự động. Đối với các dịch vụ
này, bạn thiết lập cơ chế proxy bằng việc thay đổi cấu hình đối với các server

bình thường. Tuy nhiên, đối với hầu hết các dịch vụ, cơ chế proxy đòi hỏi các
SV Thực hiện: Nguyễn Thị Thuý Hạnh
18
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
phần mềm proxy server tương ứng phía các server. Phía client, nó cần một trong
những phần sau:
Phần mềm client tuỳ chọn:
Phần mềm này phải biết cách giao tiếp với server proxy thay vì server thực khi
một người sử dùng đưa ra một yêu cầu (ví dụ đối với FTP, Telnet), và cách chỉ
định proxy server giao tiếp với server thực nào. Các thủ tục người dùng tuỳ
chọn.
Người dùng sử dụng phần mềm client chuẩn để giao tiếp với server proxy
và yêu cầu nó kết nối với server thực, thay vì với server thực một cách trực tiếp.
II Các biến thể
Trên đâylà một số kiến trúc Firewall thông dụng nhất. Tuy nhiên, có rất
nhiều biến thể của các kiến trúc này. Có một giải pháp tốt và mềm dẻo trong các
cấu hình và tổ hợp các thành phần Firewall sao cho phù hợp nhất với phần
cứng, ngân sách, và chính sách bảo mật của bạn. Sau đây là một số biến thể
chung nhất, và các ưu điểm cũng như các hạn chế của chúng.
II.1 Bastion Host bội (Multi-Bastion Host)
Ta nên xem xét việc sử dụng nhiều bastion host (hình vẽ) trong cấu hình
Firewall. cho các nguyên nhân về:
- Hiệu suất sử dụng.
- Sự dự phòng .
- Sự cần thiết để tách riêng dữ liệu hoặc các server.
II.2 Kết hợp router nội bộ và router ngoài
Có thể kết hợp router nội bộ và router ngoài thành một router đơn, nếu bạn
có một router có đủ tính năng và độ mềm dẻo. Bạn vẫn cần một mạng vành đai
và một liên kết tới mạng nội bộ của bạn. Một số lưu thông sẽ chạy trực tiếp giữa

SV Thực hiện: Nguyễn Thị Thuý Hạnh
19
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
mạng nội bộ và Internet (lưu thông được các quy tắc lọc gói tin của router cho
phép).Một số lưu thông khác sẽ chạy giữa mạng vành đai và Internet, hoặc giữa
mạng vành đai và mạng nội bộ (lưu thông được kiểm soát bởi các proxy).
Giống như kiến trúc screened host, router đơn này dễ bị xâm phạm. Các
router dễ dàng bảo vệ hơn các host, nhưng không phải là không thể vượt qua
được.
II.3 Kết hợp Bastion Host và Router ngoài
Đây là trưòng hợp bạn dùng máy hai giao tiếp mạng đơn như là bastion
host và router ngoài. Điều đó tương đương về mặt chức năng với ba cấu hình
máy tính (bastion host, interior router và exterior router) được mô tả trong kiến
trúc Screened Subnet. Việc sử dụng một Dual-Homed Host để định tuyến các
lưu thông sẽ không đem đến cho bạn hiệu suất hoặc tính mềm dẻo của một
router chuyên dụng, nhưng bạn không cần đòi hỏi nhiều lắm với cả hai tính
năng này đối với một liên kết đơn có giải tần thấp. Tuỳ thuộc vào hệ điều hành
và phần mềm mà bạn sử dụng bạn có thể có hoặc không có tính năng lọc gói tin.
Rất nhiều các phần mềm giao tiếp sẵn có, như Morning Star PPP, có chức năng
lọc gói tin rất tốt. Tuy nhiên vì exterior router dẫu sao cũng không phải thực
hiện công việc lọc gói tin nhiều, nên việc sử dụng một phần mềm giao tiếp có
tính năng lọc gói tin không tốt cho lắm, cũng không phải là vấn đề gì to tát.
II.4 Kết hợp Bastion Host và Router nội bộ
Việc kết hợp bastion host và interior router sẽ làm thay đổi một cách cơ
bản cấu hình của Firewall. Làm như thế sẽ dẫn đến sự tổn hại toàn bộ hệ thống
an ninh của bạn.
Bastion host và exterior router, mỗi cái đều thực hiện các công việc bảo
mật riêng biệt. Chúng bổ sung cho nhau. Các chức năng của router nội bộ phần
nào lại hỗ trợ cho cả hai cái trên. Với kiểu cấu hình này, một khi bastion host đã

bị xâm nhập vào thì sẽ chẳng còn cách nào để bảo vệ giữa bastion host và mạng
SV Thực hiện: Nguyễn Thị Thuý Hạnh
20
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
nội bộ.Bởi một trong các mục đích chính của mạng vành đai là ngăn cản việc
bastion host bị rình mò trên các lưu thông nội bộ. Việc kết hợp bastion host với
interior router sẽ làm cho toàn bộ lưu thông của bạn bị phơi bày ra cho những
kẻ rình mò đó.
II.5 Kết hợp nhiều router nội bộ
Sử dụng nhiều interior router để nối mạng vành đai của bạn với nhiều phần của
mạng nội bộ có thể dẫn đến rất nhiều vấn đề, và nhìn chung đó là một ý tưởng
tồi. Vấn đề là ở chỗ phần mềm định tuyến ở trên hệ thống nội bộ thấy rằng cách
nhanh nhất để tới được hệ thống nội bộ khác là qua mạng vành đai. Ý tưởng này
hoặc bị cấm bởi các thao tác lọc gói tin trên một trong các router này, hoặc bạn
sẽ có một lưu thông nội bộ hấp dẫn chạy qua mạng vành đai, nơi mà nó có thể
bị rình mò nếu như một người nào đó đã xâm nhập vào được bastion host.
Router nội bộ có cấu hình phức tạp nên dễ dẫn đến việc đặt sai các quy tắc lọc.
Tuy nhiên trong trường hợp bất khả kháng( các vấn đề về hiệu suất và độ tin
cậy) thì an toàn nhất,có tính dự phòng nhất là thiết lập mỗi interior router cho
một mạng vành đai riêng rẽ và một exterior router riêng rẽ. Cấu hình này phức
tạp và đắt hơn nhiều, nhưng nó làm tăng cả hiệu suất và dự phòng. Tuy
nhiên sẽ có các vấn đề sau xuất hiện:
- Có rất nhiều lưu thông qua lại mạng vành đai mà sau đó sẽ không đi ra
mạng ngoài.
- Exterior gateway của bạn nhanh hơn rất nhiều so với interior gateway.
Một nguyên nhân khác của việc sử dụng nhiều interior router là bạn có các
mạng nội bộ bội, mà các mạng đó có nguyên nhân về mặt kĩ thuật, về mặt tổ
chức hoặc về mặt chính trị không thể sử dụng chung một router đơn được. Cách
đơn giản nhất để giải quyết các mạng này là tạo cho chúng các giao diện riêng

rẽ trên một router đơn, việc này làm cho cấu hình router phức tạp trông thấy
nhưng không làm xuất hiện các rủi ro của một cấu hình router bội. Nếu có quá
SV Thực hiện: Nguyễn Thị Thuý Hạnh
21
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
nhiều mạng đối với một router đơn, hoặc nếu việc chia sẻ một router là không
dễ chịu vì một lí do nào đó khác, hãy cân nhắc việc tạo ra một backbone nội bộ
và nối nó với mạng vành đai bằng một router đơn (hình 4-12).
Bạn có thể tìm được một cách có hiệu quả để hoà hợp các giải pháp bảo
mật khác nhau giữa các mạng nội bộ khác nhau là nối chúng vào vành đai thông
qua các router riêng rẽ (ví dụ : một mạng muốn cho phép các liên kết mà xem
như là không an toàn với một mạng khác). Trong trường hợp này, mạng vành
đai chỉ nên có một liên kết giữa các mạng nội bộ; ở đó không nên có các lưu
thông bí mật chạy qua giữa chúng. Và mỗi mạng nội bộ sẽ xem các mạng nội bộ
khác như là một mạng ngoài không tin cậy. Điều này có thể là không thuận tiện
lắm đối với các người dùng trên mỗi mạng, nhưng bất kì điều gì khác sẽ hoặc là
làm tổn hại đến an ninh của toàn bộ mạng, hoặc là làm huỷ bỏ sự phân cách (mà
là nguyên nhân để bạn thiết lập hai router trong trường hợp trên).
Nếu bạn đi đến quyết định là sẵn sàng chấp nhận các rủi ro của việc sử
dụng nhiều interior router, bạn có thể giảm thiểu các rủi ro bằng cách giao tất cả
các interior router này cho một số nhóm quản lí (do vậy sự xung đột về giải
pháp an ninh sẽ không còn bắt buộc). Bạn cũng nên cẩn thận xem xét các lưu
thông nội bộ chạy qua mạng vành đai và chú ý quan tâm đến nguồn gốc của nó.
II.6 Kết hợp nhiều router ngoài
Có một số trường hợp cần phải nối nhiều exterior router vào một mạng
vành đai:
- Bạn có các liên kết bội với Internet (ví dụ qua nhiều nhà cung cấp dịch
vụ khác nhau để dự phòng)
-Bạn có liên kết tới Internet cộng với các liên kết khác tới các mạng khác.

Gắn các exterior router bội cùng nối với mạng ngoài (ví dụ hai nhà cung
cấp dịch vụ Internet khác nhau) không phải là một vấn đề bảo mật có ý nghĩa.
Chúng có thể có tập các bộ lọc khác nhau, nhưng đó không phải là giới hạn
SV Thực hiện: Nguyễn Thị Thuý Hạnh
22
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
trong các exterior router . Đây là hai cơ hội mà một router có thể sẽ bị làm tổn
hại, nhưng sự tổn hại một exterior router không phải là mối đe dọa thường
xuyên.
Mọi thứ sẽ trở nên phức tạp hơn nếu các liên kết với nhiều nơi khác nhau
(ví dụ một liên kết Internet, một liên kết với mạng mà bạn đang cộng tác và cần
nhiều giải tần đến đó). Để phát hiện xem một kiến trúc có phù hợp trong trường
hợp này không hãy tự hỏi bạn câu hỏi: Lưu thông nào có thể bị nhìn thấy nếu
một ai đó xâm nhập vào một bastion host trên mạng vành đai này? Ví dụ, nếu
một kẻ tấn công xâm nhập vào, anh ta có thể rình mò trên các lưu thông nhạy
cảm giữa mạng của bạn và một mạng bổ sung hoặc một chi nhánh mạng? Nếu
có thể, sau đó bạn sẽ muốn xem xét vấn đề cài đặt mạng vành đai bội thay cho
các exterior router bội trên một mạng vành đai đơn.
II.7 Kết hợp nhiều mạng vành đai
Trong một số tình huống cần phải sử dụng nhiều mạng vành đai:
- Để cung cấp khả năng dự phòng.
- Vì lý do riêng tư.
Sử dụng nhiều mạng vành đai sẽ rủi ro hơn là sử dụng nhiều interior
router cùng chia sẻ một mạng nội bộ, nhưng vẫn còn một vấn đề gây đau đầu:
bạn có thể sẽ dùng hai interior router, đưa ra nhiều điểm có thể bị làm tổn hại.
Các router này phải được giám sát thật cẩn thận để cho chúng có thể duy trì
được các chính sách bảo mật tương xứng. Nếu chúng đều nối với Internet,
chúng cần phải duy trì cùng một mối an toàn.
II.8 Sử dụng Dual Host và Screen Subnet

Bạn có thể làm tăng một cách đáng kể tính an toàn bằng cách tổ hợp một
kiến trúc Dual-Homed Host với một kiến trúc Screened Subnet. Để làm điều
này, tách mạng vành đai ra và chèn vào đó một Dual-Homed Host. Các router sẽ
bảo vệ khỏi sự giả mạo và sự thiệt hại khi mà Dual-Homed Host bắt đầu dẫn
SV Thực hiện: Nguyễn Thị Thuý Hạnh
23
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
truyền các lưu thông. Dual-Homed Host cung cấp khả năng kiểm soát tốt hơn
trên các liên kết so với packet filtering. Đó là một Firewall kiểu thắt lưng, cung
cấp sự bảo vệ đa lớp tuyệt hảo, cho dù nó đòi hỏi một cấu hình cẩn thận trên
Dual-Homed Host để được đảm bảo rằng bạn nhận được các ưu điểm đầy đủ
nhất có thể được (không có vấn đề nào trong việc chạy các proxy đơn giản,
trung thực).
II.9 Firewall nội bộ
Các phần trước, ta đều giả thiết rằng bạn xây dựng một Firewall để bảo vệ
mạng nội bộ khỏi Internet. Tuy nhiên, trong một số tình huống, bạn cũng có thể
bảo vệ một số phần trong mạng nội bộ khỏi các phần khác:
- Bạn có các mạng thử nghiệm hoặc mạng thí nghiệm.
- Bạn có các mạng kém an toàn hơn phần còn lại của mạng nội bộ. Ví dụ
các mạng demo, mạng dành cho việc đào tạo nơi mà người ngoài thường có mặt
ở đó.
- Bạn có các mạnh cần an toàn hơn phần còn lại của mạng nội bộ. Ví dụ,
mạng các dự án phát triển hoặc các dữ liệu tài chính hoặc ngân sách.
- Các Firewall ở giữa hai phần của một tổ chức, hoặc giữa hai tổ chức
riêng biệt nhưng cùng chia sẻ một mạng
Không phải tất cả mọi người trong tổ chức lại có các nhu cầu thông tin và
dịch vụ như nhau, và đối với một số bộ phận của tổ chức, bảo mật thường quan
trọng (ví dụ phòng kế toán) hơn đối với các bộ phận khác.
SV Thực hiện: Nguyễn Thị Thuý Hạnh

24
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
KẾT LUẬN
Firewall tự nó không phải là một biện pháp bảo mật hoàn thiện, bởi nó
vẫn còn các hạn chế như:
- Không phải tất cả các Router có bộ lọc gói tin đều có thể giám sát cổng
nghuồn TCP vì sự không tương thích giữa nó và ch\ơ chế lọc.
- Nhiều quy tắc lọc gói tin tỏ ra phức tạp, không thể quản lý đuợc
- Firewall tự nó không đủ thông minh để có thể đọc hiểu và phân tích
được từng loại thông tin và nội dung của nó. Firewall chỉ có thể ngăn chặn sự
xâm nhập hệ thống của những nguồn thông tin không mong muốn, nhưng ta
phải xác định rõ các tham số như địa chỉ nguồn, đích và số hiệu cổng TCP
nguồn, đích cho nó.
Do vậy Firewall phải là một giải pháp nằm trong giải pháp bảo mật tổng
thể của tổ chức, được kết hợp với các giải pháp khác như công nghệ tunnel, các
cơ chế bảo vệ cấp quyền, giáo dục người dùng để có được một giải pháp an
toàn tương xứng.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
25

×