GIẢI PHÁP BẢO VỆ MẠNG NỘI BỘ Firewall
Đặt vấn đề
Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng nh phát triển các ứng dụng máy tính trong sản
xuất, kinh doanh, khoa học, giáo dục, xã hội, thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử
dụng các bức tờng lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên ngoài là một giải pháp
hữu hiệu, đảm bảo đợc các yếu tố:
 An toàn cho sự hoạt động của toàn bộ hệ thống mạng
 Bảo mật cao trên nhiều phơng diện
 Khả năng kiểm soát cao
 Đảm bảo tốc độ nhanh
 Mềm dẻo và dễ sử dụng
 Trong suốt với ngời sử dụng
 Đảm bảo kiến trúc mở

Trong khuôn khổ bài viết này, chúng tôi xin dừng lại ở các vấn đề cần phải bảo vệ trên mạng và các hình thức tấn
công vào mạng. Từ đó đưa ra các phơng thức bảo vệ cụ thể.

Nhu cầu bảo vệ thông tin
Nguyên nhân
Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh, đã trở thành đối
tợng cho nhiều ngời tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa bỡn với
ngời khác.
Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lợng các vụ tấn công trên Internet
cũng tăng theo cấp số nhân. Trong khi các phơng tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với
những khả năng truy nhập thông tin dờng nh đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến
vấn đề bảo đảm và an toàn dữ liệu cho các máy tính đợc kết nối vào mạng Internet.

Theo số liệu của CERT (Computer Emegency Response Team - "Đội cấp cứu máy tính"), số lợng các vụ tấn công

các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác vv
Bảo vệ danh tiếng của cơ quan
Một phần lớn các cuộc tấn công không đợc thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy
tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan quan trọng trong bộ máy nhà nớc. Trong trờng hợp ngời
quản trị hệ thống chỉ đợc biết đến sau khi chính hệ thống của mình đợc dùng làm bàn đạp để tấn công các hệ thống
khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.

Các kiểu tấn công mạng
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thờng đợc sử dụng trong giai đoạn đầu để chiếm đợc quyền truy nhập bên
trong. Một phơng pháp tấn công cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phơng pháp đơn giản, dễ
thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin nh tên
ngời dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật khẩu. Trong trờng hợp có đợc danh sách ngời sử dụng và
những thông tin về môi trờng làm việc, có một trơng trình tự động hoá về việc dò tìm mật khẩu này. Một chơng
trình có thể dễ dàng lấy đợc từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả
năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do ngời dùng tự định nghĩa. Trong một số
trờng hợp, khả năng thành công của phơng pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chơng trình ứng dụng và bản thân hệ điều hành đã đợc sử dụng từ những vụ tấn
công đầu tiên và vẫn đợc tiếp tục để chiếm quyền truy nhập. Trong một số trờng hợp phơng pháp này cho phép kẻ
tấn công có đợc quyền của ngời quản trị hệ thống (root hay administrator).
Hai ví dụ thờng xuyên đợc đa ra để minh hoạ cho phơng pháp này là ví dụ với chơng trình sendmail và chơng trình
rlogin của hệ điều hành UNIX.
Sendmail là một chơng trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail đợc
chạy với quyền u tiên của ngời quản trị hệ thống, do chơng trình phải có quyền ghi vào hộp th của những ngời sử
dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về th tín trên mạng bên ngoài. Đây chính là những yếu tố làm
cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép ngời sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy
này. Trong quá trình nhận tên và mật khẩu của ngời sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ
tấn công có thể đa vào một xâu đã đợc tính toán trớc để ghi đè lên mã chơng trình của rlogin, qua đó chiếm đợc
quyền truy nhập.

có sự giáo dục cộng với tinh thần hợp tác từ phía ngời sử dụng có thể nâng cao đợc độ an toàn của hệ thống bảo vệ.

Firewall

Firewall là gì ?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong
công nghệ mạng thông tin, Firewall là một kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu
Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tởng (Trusted network) khỏi các mạng không tin tởng
(Untrusted network).
Thông thường Firewall đợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và
Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và
cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Chức năng chính
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển
dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
 Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng. Kiểm soát nội dung thông tin thông tin lưu
chuyển trên mạng.
Các thành phần
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
 Bộ lọc packet (packet-filtering router)
 Cổng ứng dụng (application-level gateway hay proxy server)
 Cổng mạch (circuite level gateway)
 Bộ lọc paket (Paket filtering router)
Nguyên lý

· Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đợc nôi dung thông tin của
packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của
kẻ xấu.
Cổng ứng dụng (application-level getway)
Nguyên lý
Đây là một loại Firewall đợc thiết kế để tăng cờng chức năng kiểm soát các loại dịch vụ, giao thức đợc cho phép
truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các
bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ngời quản trị mạng không cài đặt proxy code cho một
ứng dụng nào đó, dịch vụ tơng ứng sẽ không đợc cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài
ra, proxy code có thể đợc định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòi quản trị mạng cho là
chấp nhận đợc trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thờng đợc coi nh là một pháo đài (bastion host), bởi vì nó đợc thiết kế đặt biệt để chống lại sự
tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:
· Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các
version an toàn này đợc thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nh là đảm
bảo sự tích hợp firewall.
· Chỉ những dịch vụ mà ngời quản trị mạng cho là cần thiết mới đợc cài đặt trên bastion host, đơn giản chỉ vì nếu
một dịch vụ không đợc cài đặt, nó không thể bị tấn công. Thông thờng, chỉ một số giới hạn các ứng dụng cho các
dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đợc cài đặt trên bastion host.
· Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card.
· Mỗi proxy đợc đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ
lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
· Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng
thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
· Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một
proxy mới, hay tháo gỡ môt proxy đang có vấn để.
Ưu điểm
· Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ
lệnh và quyết định những máy chủ nào có thể truy nhập đợc bởi các dịch vụ.
· Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc những dịch vụ nào cho phép, bởi vì sự vắng mặt của các

đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.
· Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó,
do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi.

Một số mô hình firewall
Packet-Filtering Router (Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet.
Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc
gói để cho phép hay từ chối truyền thông. Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội
bộ đợc quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập
vào các máy tính trên mạng nội bộ. T tởng của mô cấu trúc firewall này là tất cả những gì không đợc chỉ ra rõ ràng
là cho phép thì có nghĩa là bị từ chối.

Mô hình Packet-filtering router
Ưu điểm
· Giá thành thấp, cấu hình đơn giản
· Trong suốt đối với user
Hạn chế
· Có tất cả hạn chế của một packet-filtering router, nh là dễ bị tấn công vào các bộ lọc mà cấu hình đợc đặt không
hoàn hảo, hoặc là bị tấn công ngầm dới những dịch vụ đã đợc phép.
· Bởi vì các packet đợc trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lợng
các host và dịch vụ đợc phép. Điều đó dẫn đến mỗi một host đợc phép truy nhập trực tiếp vào Internet cần phải đợc
cung cấp một hệ thống xác thực phức tạp, và thờng xuyên kiểm tra bởi ngời quản trị mạng xem có dấu hiệu của sự
tấn công nào không.
· Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị
tấn công.
Screened Host Firewall
Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn

nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai
bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên
trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung
dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.

Screened-Subnet Firewall
Ưu điểm
· Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
· Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy
(invisible). Chỉ có một số hệ thống đã đợc chọn ra trên DMZ là đợc biết đến bởi Internet qua routing table và DNS
information exchange ( Domain Name Server ).
· Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy
nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch
vụ proxy.
Proxy Server
Khái quát
Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ chơng trình proxy đợc đặt ở
gateway ngăn cách một mạng bên trong (Intranet) với Internet.
Bộ chơng trình proxy đợc phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information
System), bao gồm một bộ các chơng trình và sự đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một firewall.
Bộ chơng trình đợc thiết kế để chạy trên hệ UNIX sử dụng TCP/IP với giao diện socket Berkeley.
Bộ chơng trình proxy đợc thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened
host gateway, và screened subnet gateway.
Thành phần Bastion host trong Firewall, đóng vai trò nh một ngời chuyển tiếp thông tin, ghi nhật ký truyền thông,
và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.
Phần mềm firewall - proxy SERVER
Bộ chơng trình proxy gồm những chơng trình mức ứng dụng (application-level programs), dùng để thay thế hoặc là
thêm vào phần mềm hệ thống. Đối với mỗi dịch vụ, cần có một phần mềm tơng ứng làm nhiệm vụ lọc các bản tin.
Trên cơ sở phân tích cấu trúc và nội dung thông, bản tin này sẽ đợc cho đi qua hoặc cấm, tuỳ theo chính sách bảo vệ.

và không thực hiện một thủ tục vào ra file nào cả ngoài việc đọc file cấu hình của nó. FTP Server chỉ cung cấp dịch
vụ FTP, mà không quan tâm đến ai có quyền hay không có quyền kết xuất (download) file. Do vậy, việc xác định
quyền phải đợc thiết lập trên FTP Gateway và phải thực hiện trớc khi thực hiện việc kết xuất (download) hay nhập
(upload) file. Ftp Gateway nên đợc cấu hình dựa theo chính sách an toàn của mạng. Bộ chơng trình proxy cho phép
ngời quản trị mạng cung cấp cả dịch vụ ftp và ftp proxy trên cùng một hệ thống nhng việc làm này là không đảm
bảo an ninh của firewall.
Tóm lại, sử dụng FTP Gateway có thể ngăn ngừa mọi sự thâm nhập vào mạng qua cổng FTP một cách khá linh hoạt
(cho phép ngăn cản từng địa chỉ hay toàn bộ mạng) và cũng kiểm soát việc truy nhập tới từng khả năng nh download
hay upload thông tin.
Telnet Gateway - Proxy server cho Telnet
Telnet Gateway là một proxy server quản lý truy nhập mạng dựa trên địa chỉ IP và/hoặc hostname, và cung cấp sự
điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá bất kỳ đích nào. Tất cả các sự kết nối dữ liệu chuyển qua đều
đợc ghi nhật ký lại. Mỗi một lần user nối tới Telnet Gateway, ngời sử dụng phải lựa chọn phơng thức kết nối.
Telnet Gateway không phơng hại tới an toàn hệ thống, vì nó chỉ hoạt động trong một phạm vi cho phép nhất định.
Cụ thể, hệ thống sẽ chuyển điều kiển tới một th mục dành riêng. Đồng thời cấm truy nhập tới các th mục và file
khác.
Telnet Gateway đợc sử dụng để kiểm soát các truy nhập vào hệ thống mạng nội bộ. Các truy nhập không đợc phép
sẽ không thể thực hiện đợc còn các truy nhập hợp pháp sẽ bị ghi lại nhật ký về thời gian truy nhập và các thao tác đã
thực hiện.
HTTP Gateway - Proxy server cho web
HTTP Gateway là một Proxy Server quản lý truy nhập hệ thống qua cổng HTTP (Web). Chơng trình này, dựa trên
địa chỉ đích và địa chỉ nguồn để ngăn cấm hoặc cho phép yêu cầu truy nhập đi qua.
Đồng thời căn cứ và mã lệnh của giao thức HTTP, phần mềm này sẽ cho phép thực hiện hoặc loại bỏ yêu cầu.
Các yêu cầu truy nhập đều đợc ghi vào nhật ký nhằm quản lý và thống kê.
Với cơ chế đón nhận thông tin trực tiếp từ cổng HTTP, phần mềm này đảm bảo kiểm soát đợc toàn bộ nhng truy
nhập vào hệ thống thông qua Web. Đồng thời việc xử lý bản tin, thực hiện trong bộ nhớ, nên không ảnh hởng đến hệ
thống.
Rlogin Gateway - Proxy server cho rlogin
Các terminal truy nhập qua thủ tục BSD rlogin đợc kiểm soát bởi rlogin gateway. Chơng trình cho phép kiểm tra và
điều khiển truy nhập mạng tơng tự nh telnet gateway. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu

Độ an toàn của Netacl dựa trên địa chỉ IP và/hoặc hostname. Với các hệ thống cần độ an toàn cao, nên dụng địa chỉ
IP để tránh sự giả mạo DNS. Netacl không chống lại đợc sự giả địa chỉ IP qua chuyển nguồn (source routing) hoặc
những phơng tiện khác. Nếu có các loại tấn công nh vậy, cần phải sử dụng một router có khả năng soi những packet
đã đợc chuyển nguồn (screening source routed packages).
Chú ý là netacl không cung cấp điều khiển truy nhập UDP, bởi vì công nghệ hiện nay không đảm bảo sự xác thực
của UDP. An toàn cho các dịch vụ UDP ở đây đồng nghĩa với sự không cho phép tất cả các dịch vụ UDP.
Xác thực và dịch vụ xác thực (authentication)
Bộ Firewall chứa chơng trình server xác thực đợc thiết kế để hỗ trợ cơ chế phân quyền. Authsrv chứa một cơ sở dữ
liệu về ngời dùng trong mạng, mỗi bản ghi tơng ứng với một ngời dùng, chứa cơ chế xác thực cho mỗi anh ta, trong
đó bao gồm tên nhóm, tên đầy đủ của ngời dùng, lần truy cập mới nhất. Mật khẩu không mã hoá (Plain text
password) đợc sử dụng cho ngời dùng trong mạng để việc quản trị đợc đơn giản. Mật khẩu không mã hoá không nên
dùng với những ngòi sử dụng từ mạng bên ngoài.
Ngời dùng trong cơ sở dữ liệu của có thể đợc chia thành các nhóm khác nhau đợc quản trị bởi quản trị nhóm là ngời
có toàn quyền trong nhóm cả việc thêm, bớt ngời dùng. Điều này thuận lợi khi nhiều tổ chức cùng dùng chung một
Firewall.
Authsrv quản lý nhóm rất mềm dẻo, quản trị có thể nhóm ngời dùng thành nhóm dùng "group wiz", ngời có quyền
quản trị nhóm có thể xoá, thêm, tạo sửa bản ghi trong nhóm, cho phép hay cấm ngời dùng, thay đổi password của
mật khẩu của user trong nhóm của mình. Quản trị nhóm không thay đổi đợc ngời dùng của nhóm khác, tạo ra nhóm
mới hay thay đổi quan hệ giữa các nhóm. Quản trị nhóm chỉ có quyền hạn trong nhóm của mình. Việc này có ích đối
với tổ chức có nhiều nhóm làm việc cùng sử dụng Firewall.
Việc kiểm tra xác thực đợc diễn ra khi ngời sử dụng bắt đầu sử dụng một dich vụ trông firewall, tất cả các dịch vụ
đợc nêu trên đều có khả năng kiểm tra xác thực và việc kiểm tra này chỉ xẩy ra đối với các máy có IP hay hostname
xác định.
IP Filter - Bộ lọc mức IP
IP Filter là bộ lọc các gói tin TCP/IP, đợc xem nh thành phần không thể thiếu khi thiết lập Firewall trong suốt đối
với ngời sử dụng. Phần mềm này sẽ đợc cài đặt trong lõi của hệ thống (nh UNIX kernel), đợc chạy ngầm khi hệ
thống hoặt động, để đón nhận và phân tích tất cả các gói IP (IP Package).
Bộ lọc IP filter có thể thức hiện các việc sau:
· Cho đi qua hoặc cấm bất kỳ một gói tin nào.
· Nhận biết đợc các dịch vụ khác nhau

Các giải pháp thực hiện
Với một yêu cầu bảo vệ và kiểm soát hệ thống, có một số phơng phát khả thi. Tuỳ thuộc vào chiến lợc và mức độ
yêu cầu, có thể chọn một trong các mô hình kết nối dới đây:
1. Kết nối trực tiếp đơn
2. Kết nối song song
3. Kết nối gián tiếp
Đối với mỗi mô hình, thiết bị phần cứng và phần mềm là khác nhau, kéo theo chi phí thực hiện sẽ khác nhau. Tất
nhiên khả năng và phạm vi cũng khác nhau. Do khuôn khổ của giải pháp này là thiết lập Firewall cho một mạng đã
có, nên những yếu tố về thiết bị, phần mềm, đờng truyền trong mạng, đợc xem nh đã có và không đề cập đến nữa.
Nếu cần chúng tôi sẽ trình bày trong bản giải pháp về mạng.
Kết nối đơn trc tiếp
Bộ Firewall đợc đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn
Internet là mạng bên ngoài). Tất cả các đờng truyền đi ra hoặc đi và đều phải thông qua Firewall.
Mô hình mạng

Đờng truyền từ ngoài đợc nối vào router, qua HUB vào máy chủ Firewall, sau đó đi vào mạng bên trong. Tất cả các
gói tin từ ngoài vào sẽ đợc Firewall Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ngợc lại,
nếu không hợp lệ sẽ bi loại bỏ ngay. Tơng tự nh vậy đối với đối với các yêu cầu truy nhập từ trong ra cũng bị
Firewall kiểm soát.
Phần mềm Firewall sẽ đợc cài trên máy chủ (server). Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua đầy
đủ hoặc mua từng phần của bộ chơng trình phần mềm Firewall. Nếu mua từng phần thì chỉ có những truy nhập
thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra, cũng có một lựa chọn chỉ cho phép một số dịch vụ nào đó đợc
phép.
Lu ý rằng, cấu hình máy chủ này càng mạnh thì tốc độ xử lý càng nhanh, thời gian do firewall chiếm là không đáng
kể.
Yêu cầu phần cứng
· 1 x Máy chủ SUN/HP/IBM/ 2CPU, 332Mhz,256Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse
hoặc cao hơn
· 1x HUB: 3Com/IBM/HP/
Yêu cầu phần mềm

Monitor, Mouse hoặc cao hơn
· 2 x Hub: 3COM/IBM/HP/
· Cable, connector,
Yêu cầu phần mềm
· OS: UNIX/NT cài trên 2 máy chủ (có thể 1 NT và 1UNIX hoặc cả 2 cùng là UNIX hoặc cùng là NT)
· Firewall Software (depend on your selection) cài trên 2 máy chủ
Ưu điểm
· Chế độ thực hiện an toàn cao, nhanh.
· Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra.
· Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống. Hỗ trợ tốt cho quyết định của nhà quản lý hệ
thống.
Nhợc điểm
· Chi phí thực hiện cao.
· Thiết lập cấu hình phức tạp.
· Khi có sự cố phải đồng bộ 2 hệ thống trên máy.
Kết nối gián tiếp
Giải pháp dùng dùng để giám sát truy nhập giữa hai mạng Intranet và Internet mà không làm ảnh hởng tới hoạt động
hiện tại của mạng. Do vậy, sẽ không có khả năng ngăn cấm truy nhập.
Bộ Firewall đợc đặt song song với đờng truyền giữa mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên
trong cần bảo vệ, còn Internet là mạng bên ngoài). Các thông tin trao đổi qua lại sẽ đồng thời chuyển đến cho
Firewall.
Mô hình mạng

Giữa đờng truyền nối hai mạng sẽ đợc đặt một thiết bị chuyển mạch. Thiết bị này có chức năng giữ nguyên luồng
thông tin trên đờng truyền hiện tại. Đồng thời tạo một mới đi vào Firewall với nội dung giống hệt. Luồng thông tin
này bao gồm cả luồng từ ngoài vào và từ trong ra.
Phần mềm Firewall sẽ đợc cài trên máy chủ (server), dùng để đón nhận tất cả thông tin chuyển đến từ thiết bị
chuyênr mạch. Sau đó ghi vào kho lu trữ.
Lu ý rằng, Firewall này không thay đổi bất cứ nội dung nào của các gói tin. Đồng thời cũng không có khả năng cấm
hoặc cho phép các dịch vụ trao đổi qua lại giữa hai mạng.