Bộ giáo dục và đào tạo
trờng đại học s phạm kỹ thuật Hng yên
KHOA CễNG NGH THễNG TIN
B I TI U LUN
MễN: AN TO N V B O MT THễNG TIN
t i:
Nghiờn cu v Firewall v cỏc c ch m bo an ninh m
Firewall cú th thc hin
Giỏo viờn hng dn : Nguyn Duy Tõn
Sinh viờn thc hin : Nguyn Th Thuý Hnh
Lp : TK6LC_1
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Hng Yªn , tháng 1 năm 2010
TỔNG QUAN VỀ FIREWALL
. Mục đích, khái niệm và chức năng
I.1 Mục đích:
Nhu cầu an ninh hệ thống ngày càng trở nên tối quan trọng vì nhiều
nguyên nhân :
- Các đối thủ luôn tìm cách để nắm được mọi thông tin của những người
cạnh tranh.
- Ngày càng có nhiều kẻ cắp tin học có trình độ rất cao cố gắng truy nhập
thông tin từ các mạng nội bộ, có khi chỉ nhằm mục đích đùa vui hay thử sức.
Mục đích của Firewall, đó là ngăn chặn những kẻ xấu khỏi mạng của bạn
trong khi vẫn để bạn thực hiện được công việc của mình. Một Firewall không
chỉ cung cấp một sự an toàn thực sự, mà còn đóng một vai trò quan trọng như
một lớp bảo vệ an toàn cho công tác quản lý.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
2
3
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Firewall chống các virus không đuợc tốt lắm. Firewall không thể chống lại
một vụ tấn công kiểu hướng dữ liệu, khi chương trình tấn công được gửi hay
được chép vào một host nội bộ và được thực hiện ngay tại đó.
I.4 Cấu trúc
Về mặt cấu trúc vật lý, Firewall bao gồm :
- Một hay nhiều hệ thống máy chủ kết nối với các router.
- Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông
thường là các hệ quản trị xác thực (authentication), cấp quyền (authoziration) và
tính toán (acounting) - được gọi là các dịch vụ AAA.
Một Firewall chuẩn bao gồm một hay nhiều thành phần sau đây: (các
thành phần này sẽ được đề cập chi tiết hơn ở phần sau)
- Bộ lọc gói tin (Packet Filter hay Screened Router).
- Cổng mức ứng dụng (Application-Level Gateway hay Proxy Server-
Server uỷ quyền).
- Cổng mức mạng (Circuit -Level Gateway).
- Cơ chế lọc phiên thông minh (Smat Session Filtering).
. Phân loại
II.1. Firewall mức mạng(Network_Level Firewall)
Các Firewall mức mạng là các Firewall mà trên đó lưu thông được kiểm
tra ở cấp gói tin của giao thức mạng (quyết định của chúng được dựa trên các
cổng,các địa chỉ nguồn và đích của các gói tin IP). Ví dụ như một Router. Hiện
Firewall mức mạng phức tạp hơn, chúng duy trì các thông tin nội tại về trạng
thái của các liên kết truyền qua chúng, nội dung của một số dòng dữ liệu
Firewall mức mạng trực tiếp chọn đường cho lưu thông đi qua chúng, nên được
sử dụng khi bạn có các khối địa chỉ IP hợp lệ.
- Ưu điểm: Các Firewall mức mạng rất nhanh và trong suốt đối với người
sử dụng.
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Với một mạng vành đai, nếu ai đó xâm nhập được vào một bastion host
trên mạng vành đai, hắn có thể sẽ rình mò trên các lưu thông của mạng này. Tất
cả các lưu thông ở trên mạng vành đai nên được hướng tới hoặc xuất phát từ
bastion host, hoặc từ Internet.
Bởi vì không có lưu thông hoàn toàn nội bộ nào (lưu thông giữa hai host
nội bộ) truyền qua mạng vành đai. Lưu thông nội bộ sẽ được bảo đảm an toàn
khỏi các cặp mắt tò mò nếu như bastion host bị phá hoại.
Rõ ràng, lưu thông đến và xuất phát từ bastion host hoặc thế giới bên
ngoài vẫn có thể "thấy" được. Phần công việc trong thiết kế một Firewall là bảo
đảm rằng lưu thông này tự nó đủ bí mật để cho việc đọc nó không phá hoại toàn
bộ hệ thống nội bộ.
I.2 Bastion Host:
Là một hệ thống đã được củng cố vững chắc để chống lại các vụ tấn
công, và được cài đặt trên một mạng với mong muốn vượt qua được các vụ tấn
công một cách có hiệu quả. Bastion host thường là một thành phần của
Firewall hoặc có thể ở "bên ngoài" các Web server hoặc các hệ thống truy nhập
chung. Đối với kiến trúc Screened Subnet, bạn nối một bastion host (hoặc các
host) với một mạng vành đai. Host này là điểm tiếp xúc cho các liên kết đi vào
từ thế giới bên ngoài. Ví dụ:
- Cho các phiên email (SMTP) hướng nội phân phát thư điện tử tới site.
- Cho các liên kết FTP hướng nội tới server FTP nặc danh của site.
- Cho các yêu cầu DNS hướng nội về mạng nội bộ
Các dịch vụ hướng ngoại (từ các client nội bộ đến các server trên Internet) được
xử lí theo các cách sau:
- Thiết đặt cơ chế lọc gói tin trên các router nội bộ và router ngoài để cho
phép các client nội bộ truy nhập các server ngoài một cách trực tiếp.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
6
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
I.4 Router ngoài (exterior Router)
Về mặt lí thuyết, router ngoài (còn gọi là access router) bảo vệ cả mạng
vành đai và mạng nội bộ khỏi Internet. Thực tế, các router ngoài cho phép hầu
hết các lưu thông truyền từ một mạng vành đai ra ngoài. Chúng rất ít khi lọc các
gói tin. Có sự giống nhau về các quy tắc lọc gói tin trên router nội bộ và router
ngoài. Nếu có một lỗi ở trong các quy tắc này cho phép một kẻ tấn công xâm
nhập, lỗi đó sẽ thể hiện trên cả hai router.
Router ngoài thường được cung cấp bởi nột nhóm ở bên ngoài (ví dụ nhà
cung cấp dịch vụ Internet), và các truy nhập của bạn tới đó có thể bị hạn chế.
Nhóm bên ngoài này thường duy trì một số ít các quy tắc lọc gói tin, nhưng
không muốn phức tạp hoá hoặc thường xuyên biến đổi chúng. Khi router đó bị
xâm phạm , họ cài đặt một cái mới, họ có thể không nhớ cài lại các bộ lọc này
và còn cảm thấy phiền toái khi đề cập đến vấn đề thay thế router để nhờ đó mà
bạn biết để kiểm tra.
Chỉ những qui tắc lọc gói tin thực sự đặc biệt trên router ngoài mới bảo
vệ được các máy trên mạng vành đai (các bastion host và router nội bộ). Tuy
nhiên, không cần thiết phải bảo vệ nhiều bởi vì các host trên mạng vành đai
được bảo vệ chủ yếu thông qua bảo mật hệ chủ. Các quy tắc còn lại trên router
ngoài chính là các bản sao của các quy tắc trên router nội bộ: các quy tắc cấm
các lưu thông không an toàn giữa host nội bộ và Internet. Trên lí thuyết router
ngoài chỉ cấm các gói tin đã bị cấm bởi router nội bộ rồi. Nếu các gói tin đó vẫn
tồn tại, suy ra hoặc router nội bộ hỏng hoặc ai đó đã liên kết một host không
mong đợi vào một mạng vành đai.
Một trong các nhiệm vụ mà router ngoài thường thực hiện, một nhiệm vụ
không dễ thực hiện ở một nơi khác, đó là cấm các gói tin giả mạo có nguồn gốc
từ Internet. Router nội bộ có thể làm như thế nhưng nó không thể nhận biết
được các gói tin giả mạo có nguồn gốc từ mạng vành đai. Router ngoài là một
SV Thực hiện: Nguyễn Thị Thuý Hạnh
Khoa CNTT
đến tầng giao vận, TCP hoặc UDP (User Datagram Protocol) sẽ bảo quản và gắn
vào dữ liệu này một header của nó. ở tầng kế, IP coi toàn bộ gói tin (hiện gồm
cả dữ liệu ban đầu và phần header của TCP hoặc UDP) như là dữ liệu và gắn
phần IP header của nó vào đó. cuối cùng đến tầng kế tiếp Ethernet hay một giao
thức mạng khác coi toàn bộ gói tin mà IP chuyển cho nó là dữ liệu và gắn thêm
vào đó header của nó. Phía bên kia của liên kết, quá trình này được đảo ngược.
Khi dữ liệu được truyền từ một tầng lên tầng cao hơn, các header tương ứng với
tầng đó sẽ bị cắt ra. Đối với cơ chế lọc gói tin, thông tin quan trọng nhất nằm
trong các header của các tầng đó.
I.5.2. Các thông tin trong header của gói tin
Sau đây ta sẽ xem xét một số thông tin đáng chú ý đối với quy tắc lọc
gói tin trong phần header của gói tin ở các tầng khác nhau. Các thông tin này trợ
giúp chính cho các quyết định của cơ chế lọc gói tin.
- Tầng Ethernet:
Ở tầng này gói tin bao gồm hai phần: phần Ethernet header và phần thân
Ethernet. Nhìn chung bạn sẽ không thể thực hiện được công việc lọc gói tin dựa
trên các thông tin trong phần Ethernet header. Phần này chứa các thông tin :
- Gói tin này thuộc loại gì ? IP, Apple, Novell, DECNET
- Địa chỉ Ethernet của máy đặt nó vào trong đoạn mạng Ethernet đặc thù
này: là một máy nguồn gốc nếu nó được nối với đoạn mạng này; ngược lại nó sẽ
là một router trước đó trong đường đi từ nguồn tới đây.
- Địa chỉ Ethernet của máy đích đến của gói tin này trên đoạn mạng
Ethernet này: có thể là một máy đích nếu nó được nối với đoạn mạng này;
ngược lại nó sẽ là một router kế tiếp trong đường đi từ đây tới đích.
- Tầng IP:
Tại tầng IP, gói tin IP được tạo thành từ hai phần là phần IP header và phần thân
IP. Nhìn từ quan điểm của cơ chế lọc gói tin, phần IP header chứa các thông tin
đáng chú ý :
SV Thực hiện: Nguyễn Thị Thuý Hạnh
SV Thực hiện: Nguyễn Thị Thuý Hạnh
11
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
tin, bạn thiết lập một tập các quy tắc xác định loại các gói tin nào không được
phép. Thao tác lọc gói tin có thể có trong một router, một bridge, hoặc trên một
hệ chủ riêng biệt. (Đôi khi packet filtering còn được gọi là screening) .
Thiết bị cơ bản nối các mạng IP được gọi là router (thiết bị chọn đường, dẫn
đường hay định tuyến). Các gói tin truyền qua một liên mạng từ router đến
router cho tới đích. Một router phải chọn đường để chuyển gói tin về đến đích.
Nhìn chung, một gói tin không chứa các thông tin trợ giúp cho quyết định của
router mà chỉ chứa địa chỉ đích đến của gói tin. Trong khi xác định cách chuyển
tiếp một gói tin về đích của nó, một router thông thường chỉ kiểm tra địa chỉ
đích của một gói tin để trả lời câu hỏi " Làm thế nào để chuyể tiếp gói tin này?".
Một router lọc gói tin còn trả lời câu hỏi " Có nên chuyển tiếp gói tin này hay
không ? " Câu trả lời tuỳ thuộc vào giải pháp an toàn được lập trình cho router
thông qua quy tắc lọc gói tin.
I.5.4 Nguyên lý hoạt động của cơ chế lọc gói tin:
Cơ chế lọc gói tin để bạn kiểm soát (cho phép hoặc cấm) đữ liệu được
truyền qua dựa trên :
- Địa chỉ IP nguồn.
- Địa chỉ IP đích.
- Các giao thức được sử dụng để truyền dữ liệu
- Cổng TCP/UDP nguồn.
- Cổng TCP/UDP đích.
- Loại mã lỗi ICMP trả về.
- Giao diện đến của gói tin.
- Giao diện đi của gói tin.
A. Lọc nhờ giao diện:
SV Thực hiện: Nguyễn Thị Thuý Hạnh
SV Thực hiện: Nguyễn Thị Thuý Hạnh
13
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
đối với các Host được bảo vệ nếu dùng cách này, chỉ khác là trong router nào
được xét. Nếu bạn lọc cãc gói tin hướng ngoại, router này không tự bảo vệ
được.
Rủi ro của việc lọc bằng địa chỉ :
Không đủ an toàn cần thiết để tin cậy vào các địa chỉ nguồn bởi một số
địa chỉ nguồn này có thể bị giả mạo.Trừ phi bạn sử dụng một số loại quản lý xác
minh bằng mật mã giữa bạn và Host mà bạn muốn giao tiếp
C.Lọc trên các dịch vụ :
Phần lớn các công dụng của cơ chế lọc gói tin là lọc dựa trên các dịch vụ,
và hơi phức tạp một chút.
Mỗi lần một router lọc gói tin kết thúc công việc kiểm tra một gói tin cụ thể, nó
có hai lựa chọn:
- Truyền gói tin qua. Thông thường, nếu gói tin vượt qua một tiêu chuẩn
trong cấu hình lọc gói tin, router sẽ chuyển tiếp gói tin đó về phía đích như một
router bình thường.
- Loại bỏ gói tin. Một hành động rõ ràng khác là bỏ gói tin này khi nó
không đáp ứng được các tiêu chuẩn trong cấu hình lọc gói tin.
* Ưu điểm:
- Router lọc gói tin thể hiện một điểm nghẹt (choke point) có ích cho tất
cả các lưu thông vào ra trên mạng.
- Một router lọc gói tin được đặt một cách chiến lược, có thể bảo vệ toàn
vẹn một mạng . Nếu chỉ có một router nối mạng của bạn với Internet, bạn sẽ có
được một nguồn lực rất mạnh trong bảo mật mạng nội bộ của bạn, bằng cách cài
dặt cơ chế lọc gói tin trên router này. Tuỳ theo vị trí cụ thể trên mạng mà router
lọc gói tin sẽ cung cấp một khả năng bảo vệ cụ thể nào đó. Ví dụ chỉ có router
lọc gói tin ở trên mạng vành đai mới có thể phát hiện ra các gói tin giả mạo,
SV Thực hiện: Nguyễn Thị Thuý Hạnh
15
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
Một proxy server đối với một giao thức hoặc tập các giao thức đặc thù
chạy trên một Dual-Homed Host hoặc trên một Bastion Host: những host mà
người dùng có thể giao tiếp. Chúng có thể giao tiếp với thế giới bên ngoài.
Chương trình client của người dùng giao tiếp với proxy server thay vì giao tiếp
một cách trực tiếp với server “thực” bên ngoài Internet. Server ước lượng những
yêu cầu từ phía client và quyết định yêu cầu nào được chấp nhận và yêu cầu nào
bị từ chối. Nếu một yêu cầu được chấp nhận, proxy server sẽ giao tiếp với
server thực thay cho client và xử lí để truyền yêu cầu từ phía client đến server
thực, và để chuyển câu trả lời của server thực quay trở lại phía client
Cơ chế proxy không đòi hỏi bất kì một phần cứng đặc biệt nào, mặc dù nó
đòi hỏi phần mềm cho hầu hết các dịch vụ.
Không vấn đề gì trong kết nối vào Internet nếu người sử dụng của bạn
không thể truy cập nó. Mặt khác, thật không an toàn trong việc kết nối với
Internet nếu có các truy cập tự do giữa Internet và mọi host tại site của bạn. Một
số sự hạn chế cần được áp dụng.
Các hệ thống proxy tránh được sự vô hiệu hoá của người dùng và sự
không an toàn của một Dual-Homed Host. Chúng giải quyết vấn đề thứ nhất
bằng việc tự động kết giao tiếp với Dual-Homed Host. Thay cho việc đòi hỏi
người dùng làm việc trực tiếp trên Dual-Homed Host, các hệ thống proxy cho
phép tất cả kết nối diễn ra phía sau hậu trường. Người dùng có ảo giác là đang
trực tiếp làm việc với server trên Internet, nơi mà anh ta thực sự muốn truy cập,
với số giao tiếp trực tiếp với Dual-Homed Host là tối thiểu.
Những hệ thống proxy đối phó với những vấn đề không an toàn bằng việc
tránh để người dùng login vào Dual-Homed Host và bằng việc ép các liên kết
thông qua phần mềm kiểm soát. Bởi vì phần mềm proxy làm việc không đòi hỏi
login của người dùng, host có phần mềm proxy chạy trên đó là an toàn tránh
SV Thực hiện: Nguyễn Thị Thuý Hạnh
17
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
những dịch vụ mới có thể phải được đặt ngoài firewall, mở ra lỗ hổng tiểm ẩn
về an ninh.
Các dịch vụ proxy có thể yêu cầu các dịch vụ khác nhau đối với mỗi dịch
vụ. Bạn có thể cần một server proxy khác cho từng giao thức bởi vì server
proxy phải hiểu giao thức này để xác định cái gì được phép hoặc bị cấm, và cốt
để giả như một client đối với server thực và như một server thực đối với client
proxy. Thu thập, cài đặt và tạo cấu hình cho tất cả những server này là một công
việc khá lớn.
Các dịch vụ proxy luôn yêu cầu sự sửa đổi phía các client và/hoặc các
thủ tục. Trừ một ít dịch vụ được thiết kế cho việc proxy, những dịch vụ proxy
đòi hỏi sự sửa đổi phía các client và/hoặc các thủ tục. Do những sửa đổi này,
các ứng dụng proxy không thể làm việc tốt bằng các ứng dụng phi proxy. Chúng
có khuynh hướng bend các dặc tả giao thức, và một vài client và server sẽ kém
mềm dẻo hơn.
Dịch vụ proxy không thể làm việc với một vài dịch vụ. Proxy dựa trên
tính năng chèn thêm proxy server vào giữa client và server, đòi hỏi một giao
tiếp trung thực tương đối giữa chúng. Một dịch vụ như “talk” có các giao tiếp
phức tạp và bừa bãi sẽ không bao giờ có thể trao quyền.
Dịch vụ proxy không bảo vệ bạn khỏi tất cả các điểm yếu của giao thức.
Như một giải pháp bảo mật, proxy dựa vào tính năng để xác định những thao
tác nào trong một giao thức là an toàn. Không phải tất cả những giao thức đều
cung cấp cách dễ dàng để thực hiện diều đó.
I.6.4 Cơ chế proxy hoạt động như thế nào?
Các chi tiết hoạt động của proxy là khác nhau đối với mỗi dịch vụ. Một
vài dịch vụ trợ giúp cơ chế proxy dễ dàng hoặc tự động. Đối với các dịch vụ
này, bạn thiết lập cơ chế proxy bằng việc thay đổi cấu hình đối với các server
SV Thực hiện: Nguyễn Thị Thuý Hạnh
19
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
mạng nội bộ và Internet (lưu thông được các quy tắc lọc gói tin của router cho
phép).Một số lưu thông khác sẽ chạy giữa mạng vành đai và Internet, hoặc giữa
mạng vành đai và mạng nội bộ (lưu thông được kiểm soát bởi các proxy).
Giống như kiến trúc screened host, router đơn này dễ bị xâm phạm. Các
router dễ dàng bảo vệ hơn các host, nhưng không phải là không thể vượt qua
được.
II.3 Kết hợp Bastion Host và Router ngoài
Đây là trưòng hợp bạn dùng máy hai giao tiếp mạng đơn như là bastion
host và router ngoài. Điều đó tương đương về mặt chức năng với ba cấu hình
máy tính (bastion host, interior router và exterior router) được mô tả trong kiến
trúc Screened Subnet. Việc sử dụng một Dual-Homed Host để định tuyến các
lưu thông sẽ không đem đến cho bạn hiệu suất hoặc tính mềm dẻo của một
router chuyên dụng, nhưng bạn không cần đòi hỏi nhiều lắm với cả hai tính
năng này đối với một liên kết đơn có giải tần thấp. Tuỳ thuộc vào hệ điều hành
và phần mềm mà bạn sử dụng bạn có thể có hoặc không có tính năng lọc gói tin.
Rất nhiều các phần mềm giao tiếp sẵn có, như Morning Star PPP, có chức năng
lọc gói tin rất tốt. Tuy nhiên vì exterior router dẫu sao cũng không phải thực
hiện công việc lọc gói tin nhiều, nên việc sử dụng một phần mềm giao tiếp có
tính năng lọc gói tin không tốt cho lắm, cũng không phải là vấn đề gì to tát.
II.4 Kết hợp Bastion Host và Router nội bộ
Việc kết hợp bastion host và interior router sẽ làm thay đổi một cách cơ
bản cấu hình của Firewall. Làm như thế sẽ dẫn đến sự tổn hại toàn bộ hệ thống
an ninh của bạn.
Bastion host và exterior router, mỗi cái đều thực hiện các công việc bảo
mật riêng biệt. Chúng bổ sung cho nhau. Các chức năng của router nội bộ phần
nào lại hỗ trợ cho cả hai cái trên. Với kiểu cấu hình này, một khi bastion host đã
rẽ trên một router đơn, việc này làm cho cấu hình router phức tạp trông thấy
nhưng không làm xuất hiện các rủi ro của một cấu hình router bội. Nếu có quá
SV Thực hiện: Nguyễn Thị Thuý Hạnh
21
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
nhiều mạng đối với một router đơn, hoặc nếu việc chia sẻ một router là không
dễ chịu vì một lí do nào đó khác, hãy cân nhắc việc tạo ra một backbone nội bộ
và nối nó với mạng vành đai bằng một router đơn (hình 4-12).
Bạn có thể tìm được một cách có hiệu quả để hoà hợp các giải pháp bảo
mật khác nhau giữa các mạng nội bộ khác nhau là nối chúng vào vành đai thông
qua các router riêng rẽ (ví dụ : một mạng muốn cho phép các liên kết mà xem
như là không an toàn với một mạng khác). Trong trường hợp này, mạng vành
đai chỉ nên có một liên kết giữa các mạng nội bộ; ở đó không nên có các lưu
thông bí mật chạy qua giữa chúng. Và mỗi mạng nội bộ sẽ xem các mạng nội bộ
khác như là một mạng ngoài không tin cậy. Điều này có thể là không thuận tiện
lắm đối với các người dùng trên mỗi mạng, nhưng bất kì điều gì khác sẽ hoặc là
làm tổn hại đến an ninh của toàn bộ mạng, hoặc là làm huỷ bỏ sự phân cách (mà
là nguyên nhân để bạn thiết lập hai router trong trường hợp trên).
Nếu bạn đi đến quyết định là sẵn sàng chấp nhận các rủi ro của việc sử
dụng nhiều interior router, bạn có thể giảm thiểu các rủi ro bằng cách giao tất cả
các interior router này cho một số nhóm quản lí (do vậy sự xung đột về giải
pháp an ninh sẽ không còn bắt buộc). Bạn cũng nên cẩn thận xem xét các lưu
thông nội bộ chạy qua mạng vành đai và chú ý quan tâm đến nguồn gốc của nó.
II.6 Kết hợp nhiều router ngoài
Có một số trường hợp cần phải nối nhiều exterior router vào một mạng
vành đai:
- Bạn có các liên kết bội với Internet (ví dụ qua nhiều nhà cung cấp dịch
vụ khác nhau để dự phòng)
-Bạn có liên kết tới Internet cộng với các liên kết khác tới các mạng khác.
Bạn có thể làm tăng một cách đáng kể tính an toàn bằng cách tổ hợp một
kiến trúc Dual-Homed Host với một kiến trúc Screened Subnet. Để làm điều
này, tách mạng vành đai ra và chèn vào đó một Dual-Homed Host. Các router sẽ
bảo vệ khỏi sự giả mạo và sự thiệt hại khi mà Dual-Homed Host bắt đầu dẫn
SV Thực hiện: Nguyễn Thị Thuý Hạnh
23
Truờng ĐHSPKT Hưng Yên
Khoa CNTT
truyền các lưu thông. Dual-Homed Host cung cấp khả năng kiểm soát tốt hơn
trên các liên kết so với packet filtering. Đó là một Firewall kiểu thắt lưng, cung
cấp sự bảo vệ đa lớp tuyệt hảo, cho dù nó đòi hỏi một cấu hình cẩn thận trên
Dual-Homed Host để được đảm bảo rằng bạn nhận được các ưu điểm đầy đủ
nhất có thể được (không có vấn đề nào trong việc chạy các proxy đơn giản,
trung thực).
II.9 Firewall nội bộ
Các phần trước, ta đều giả thiết rằng bạn xây dựng một Firewall để bảo vệ
mạng nội bộ khỏi Internet. Tuy nhiên, trong một số tình huống, bạn cũng có thể
bảo vệ một số phần trong mạng nội bộ khỏi các phần khác:
- Bạn có các mạng thử nghiệm hoặc mạng thí nghiệm.
- Bạn có các mạng kém an toàn hơn phần còn lại của mạng nội bộ. Ví dụ
các mạng demo, mạng dành cho việc đào tạo nơi mà người ngoài thường có mặt
ở đó.
- Bạn có các mạnh cần an toàn hơn phần còn lại của mạng nội bộ. Ví dụ,
mạng các dự án phát triển hoặc các dữ liệu tài chính hoặc ngân sách.
- Các Firewall ở giữa hai phần của một tổ chức, hoặc giữa hai tổ chức
riêng biệt nhưng cùng chia sẻ một mạng
Không phải tất cả mọi người trong tổ chức lại có các nhu cầu thông tin và
dịch vụ như nhau, và đối với một số bộ phận của tổ chức, bảo mật thường quan
trọng (ví dụ phòng kế toán) hơn đối với các bộ phận khác.
SV Thực hiện: Nguyễn Thị Thuý Hạnh
Copyright: Tài liệu đại học ©