1.4 Vậy Internet Firewall là gì?
1.4.6 Các ví dụ firewall
1.4.6.1 Packet-Filtering Router (Bộ trung chuyển cú lọc gúi)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet (Hỡnh 2.3). Một packet-filtering router cú hai chức năng:
chuyển tiếp truyền thụng giữa hai mạng và sử dụng cỏc quy luật về lọc gúi để cho phộp hay từ chối truyền thụng. Căn bản, cỏc quy luật lọc đựơc định nghĩa sao cho cỏc host trờn mạng nội bộ đợc quyền truy nhập trực tiếp tới Internet, trong khi cỏc host trờn Internet chỉ cú một số giới hạn cỏc truy nhập vào cỏc mỏy tớnh trờn mạng nội bộ. T tởng của mụ cấu trỳc firewall này là tất cả những gỡ khụng đợc chỉ ra rừ ràng là cho phộp thỡ cú nghĩa là bị từ chối.
The Internet
Bờn ngoài Packet filtering
router
Mạng nội bộ Bờn trong
Hỡnh 2.3 Packet-filtering router
Ưu điểm:
giỏ thành thấp (vỡ cấu hỡnh đơn giản)
trong suốt đối với ngời sử dụng Hạn chế:
Cú tất cả hạn chế của một packet-filtering router, nh là dễ bị tấn cụng vào cỏc bộ lọc mà cấu hỡnh
đợc đặt khụng hoàn hảo, hoặc là bị tấn cụng ngầm dới những dịch vụ đó đợc phộp.
Bởi vỡ cỏc packet đợc trao đổi trực tiếp giữa hai mạng thụng qua router , nguy cơ bị tấn cụng quyết định bởi số lợng cỏc host và dịch vụ đợc phộp. Điều đú dẫn
đến mỗi một host đợc phộp truy nhập trực tiếp vào Internet cần phải đợc cung cấp một hệ thống xỏc thực phức tạp, và thờng xuyờn kiểm tra bởi ngời quản trị mạng xem cú dấu hiệu của sự tấn cụng nào khụng.
Nếu một packet-filtering router do một sự cố nào đú ngừng hoạt động, tất cả hệ thống trờn mạng nội bộ cú thể bị tấn cụng.
1.4.6.2 Screened Host Firewall
Hệ thống này bao gồm một packet-filtering router và một bastion host (hỡnh 2.4). Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trờn, vỡ nú thực hiện cả bảo mật ở tầng network( packet-filtering ) và ở tầng ứng dụng (application level). Đồng thời, kẻ tấn cụng phải phỏ vỡ cả hai tầng bảo mật để tấn cụng vào mạng nội bộ.
The Internet
Bờn ngoài Packet filtering
router
Bờn trong
Information server Bastion host
mỏy nội bộ
Hỡnh 2.4 Screened host firewall (Single- Homed Bastion Host)
Trong hệ thống này, bastion host đợc cấu hỡnh ở trong mạng nội bộ. Qui luật filtering trờn packet-filtering router
đợc định nghĩa sao cho tất cả cỏc hệ thống ở bờn ngoài chỉ cú thể truy nhập bastion host; Việc truyền thụng tới tất cả
cỏc hệ thống bờn trong đều bị khoỏ. Bởi vỡ cỏc hệ thống nội bộ và bastion host ở trờn cựng một mạng, chớnh sỏch bảo mật của một tổ chức sẽ quyết định xem cỏc hệ thống nội bộ
đợc phộp truy nhập trực tiếp vào bastion Internet hay là chỳng phải sử dụng dịch vụ proxy trờn bastion host. Việc bắt buộc những user nội bộ đợc thực hiện bằng cỏch đặt cấu hỡnh bộ lọc của router sao cho chỉ chấp nhận những truyền thụng nội bộ xuất phỏt từ bastion host.
Ưu điểm:
Mỏy chủ cung cấp cỏc thụng tin cụng cộng qua dịch vụ Web và FTP cú thể đặt trờn packet-filtering router và
bastion. Trong trờng hợp yờu cầu độ an toàn cao nhất, bastion host cú thể chạy cỏc dịch vụ proxy yờu cầu tất cả
cỏc user cả trong và ngoài truy nhập qua bastion host trớc khi nối với mỏy chủ. Trờng hợp khụng yờu cầu độ an toàn cao thỡ cỏc mỏy nội bộ cú thể nối thẳng với mỏy chủ.
Nếu cần độ bảo mật cao hơn nữa thỡ cú thể dựng hệ thống firewall dual-home (hai chiều) bastion host (hỡnh 2.5). Một hệ thống bastion host nh vậy cú 2 giao diện mạng (network interface), nhng khi đú khả năng truyền thụng trực tiếp giữa hai giao diện đú qua dịch vụ proxy là bị cấm.
The Internet
Bờn ngoài Packet filtering
router
Bờn trong
Information server Bastion host
mỏy nội bộ
Hỡnh 2.5 Screened host firewall (Dual- Homed Bastion Host)
Bởi vỡ bastion host là hệ thống bờn trong duy nhất cú thể truy nhập đợc từ Internet, sự tấn cụng cũng chỉ giới hạn đến bastion host mà thụi. Tuy nhiờn, nếu nh ngời dựng truy nhập đợc vào bastion host thỡ họ cú thể dễ dàng truy nhập
toàn bộ mạng nội bộ. Vỡ vậy cần phải cấm khụng cho ngời dựng truy nhập vào bastion host.
1.4.6.3 Demilitarized Zone (DMZ - khu vực phi quõn sự) hay Screened-subnet Firewall
Hệ thống này bao gồm hai packet-filtering router và một bastion host (hỡnh 2.6). Hệ thống firewall này cú độ an toàn cao nhất vỡ nú cung cấp cả mức bảo mật : network và application trong khi định nghĩa một mạng “phi quõn sự”.
Mạng DMZ đúng vai trũ nh một mạng nhỏ, cụ lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ đợc cấu hỡnh sao cho cỏc hệ thống trờn Internet và mạng nội bộ chỉ cú thể truy nhập đợc một số giới hạn cỏc hệ thống trờn mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là khụng thể đ- ợc.
Với những thụng tin đến, router ngoài chống lại những sự tấn cụng chuẩn (nh giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nú cho phộp hệ thống bờn ngoài truy nhập chỉ bastion host, và cú thể cả information server. Router trong cung cấp sự bảo vệ thứ hai bằng cỏch điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thụng bắt đầu từ bastion host.
Với những thụng tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nú chỉ cho phộp cỏc hệ thống bờn trong truy nhập bastion host và cú thể cả information server. Quy luật filtering trờn router ngoài yờu cầu sử dung dich vụ proxy bằng cỏch chỉ cho phộp thụng tin ra bắt nguồn từ bastion host.
Ưu điểm:
Kẻ tấn cụng cần phỏ vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
Bởi vỡ router ngoài chỉ quảng cỏo DMZ network tới Internet, hệ thống mạng nội bộ là khụng thể nhỡn thấy (invisible). Chỉ cú một số hệ thống đó đợc chọn ra trờn DMZ là đợc biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).
Bởi vỡ router trong chỉ quảng cỏo DMZ network tới mạng nội bộ, cỏc hệ thống trong mạng nội bộ khụng thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bờn trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.
The Internet
Bờn ngoài Packet filtering
router
Bờn trong
Information server Bastion host
Outside router Inside router
DMZ
Hỡnh 2.6 Screened-Subnet Firewall