TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN - BÁO CÁO BÀI TẬP LỚN MƠN MẠNG VÀ TRUYỀN THƠNG CHỦ ĐỀ 11: TÌM HIỂU VỀ FIREWALL Giảng viên hướng dẫn : … Sinh viên thực : … MỤC LỤC I Khái niệm Firewall Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Sự đời Firewall .4 Mục đích Firewall .5 Các lực chọn Firewall .8 II Chức Firewall Firewall bảo vệ gì? 10 Firewall chống lại gì? .11 III Hạn chế Firewall .12 IV Phân loại Firewall 13 Personal Firewall 14 Network Firewall 14 V Mô hình kiến trúc Firewall 14 Kiến trúc Dual-Homed host 16 Kiến trúc Screend Host 17 Kiến trúcScreend Subnet .18 I Khái niệm Firewall Firewall theo tiếng việt có nghĩa Bức Tường lửa Dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính ngồi mạng Internet, rộng mạng nội Internet, mạng hệ thống mạng nội cơng ty Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an toàn mạng máy tính lớn Đó nguy bị cơng mạng máy tính, cơng để lấy liệu, cơng nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, công thay đổi sở liệu Trước nguy đó, vấn đề đảm bảo an tồn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thơi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt u cầu phải có cơng cụ để chống xâm nhập mạng bất hợp pháp từ bên ngồi mạng, ngun nhân dẫn tới đời Firewall (Tường lửa) Một Firewall lọc lưu lượng Internet nguy hiểm hacker, fcác loại sâu, số loại fvirus trước chúng gây trục trặc hệ fthống Ngồi ra, Firewall giúp cho máy tính ftránh tham gia cơng vào máy tính khác mà khơng hay biết Việc sử dụng Firewall fcực kh quan trọng máy tính ln kết nối Internet, trường hợp có kết nối băng thơng rỗng kết nối DSL/ADSL Ngoài tin tặc sử dụng mã hiểm độc, virus, sâu Trojan, để tìm cách phát cửa khơng khóa máy tính khơng bảo vệ Một tường lửa fgiúp bảo vệ máy tính khỏi bị hoạt động công bảo mật khác Vậy tin tặc có fthể làm gì? Tùy thuộc vào chất việc công Trong số đơn giản quấy rầy với trò đùa nghịch đơn giản, số khác tạo với p định nguy hiểm Những loại nghiêm ftrọng tìm cách xóa thơng tin từ máy tính, phá hủy nó, chí ăn cắp thơng tin cá nhân, mật số thẻ tín dụng Một số tin tặc thích đột nhập vào máy tính dr bị cơng Các fvirus, sâu Trojan đáng sợ May mắn giảm nguy lây nhirm cách sử dụng Firewall Sự đời Firewall Chữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Có thể hiểu Firewall chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thơng tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Internet Firewall tập hợp thiết bị (bao gồm phần cứng phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet: (INTRANET - FIREWALL - INTERNET) Firewall thiết lập mạng nội lập miền an tồn Ví dụ mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Một Firewall f Internet giúp ngăn chặn người ngồi Internet khơng xâm nhập vào máy tính Nó làm việc cách kiểm tra thông tin đến Internet Nó nhận dạng bỏ qua thơng tin đến từ nơi nguy f hiểm nghi ngờ Nếu bạn cài đặt Firewall bạn cách thích hợp, tin tặc tìm kiếm fmáy tính dr bị cơng khơng thể phát máy tính Firewall giải pháp dựa phần cứng f phần mềm dùng để kiểm tra liệu Một lời khuyên nên sử dụng Firewall cho bất kh máy tính hay mạng có kết nối tới Internet Đối với kết nối Internet băng thơng rộng Firewall quan trọng, loại kết nối thường xuyên bật (always on) nên tin tặc có nhiều thời gian muốn tìm cách đột nhập vào máy tính Kết nối băng thông rộng thuận lợi cho tin tặc sử dụng để làm phương tiện tiếp tục cơng máy tính khác Mục đích Firewall Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thơng máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thơng hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khơi phục ngun dạng ban đầu Việc phân chia thành gói làm đơn giản hố việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng p khơng tốt gửi tới số gói liệu, lại cài bẫy làm cho máy tính khơng biết cần phải xử lp gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, nắm quyền kiểm sốt từ xa máy tính gây nên vấn đề nghiêm trọng Kẻ nắm quyền kiểm sốt trái phép sau sử dụng kết nối Internet để phát động công khác mà không bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên đoạt quyền kiểm sốt máy tính Chức kiểm sốt liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động công cửa sau tới máy tính khác mạng Internet Hình Firewall đặt mạng riêng mạng công cộng Một Firewall gồm có hai giao diện mạng: Chung riêng, giao diện chung kết nối với Internet, phía mà người truy cập, giao diện riêng phía mà chứa liệu bảo vệ Trên Firewall có nhiều giao diện riêng tuh thuộc vào số đoạn mạng cần tách rời Ứng với giao diện có quy tắc bảo vệ riêng để xác định kiểu lưu thông qua từ mạng chung mạng riêng Firewall làm nhiều việc có nhiều thuận lợi khó khăn Thơng thường nhà quản trị mạng sử dụng Firewall thiết bị đầu nối VPN, máy chủ xác thực máy chủ DNS Tuy nhiên thiết bị mạng khác, nhiều dịch vụ hoạt động máy chủ rủi ro nhiều Do đó, Firewall không nên chạy nhiều dịch vụ Firewall lớp bảo vệ thứ hai hệ thống mạng, lớp thứ định tuyến mức định tuyến cho phép bị từ chối địa IP phát gói tin bất bình thường Firewall xem cổng phép hay từ chối Firewall đơi lúc hữu ích cho đoạn mạng nhỏ địa IP riêng lẻ Bởi định tuyến thường làm việc tải, nên việc sử dụng định tuyến để lọc định tuyến IP đơn, lớp địa nhỏ tạo tải trọng khơng cần thiết Firewall có ích cho việc bảo vể mạng từ lưu lượng không mong muốn Nếu mạng khơng có máy chủ cơng cộng Firewall công cụ tốt để từ chối lưu lượng vào, lưu lượng mà không máy sau Firewall, Một Firewall cấu hình để từ chối tất lưu lượng ngoại trừ cổng 53 dành riêng cho máy chủ DNS Hình Mạng gồm có Firewall máy chủ Sức mạnh Firewall nằm khả lọc lưu lượng dựa tập hợp quy tăc bảo vệ, gọi quy tăc bảo vệ nhà quản trị đưa vào Đây nhược điểm lớn Firewall, quy tăc xấu khơng đầy đủ mở lối cho kẻ cơng, mạng khơng an tồn Nhiều nhà quản trị mạng khơng nghĩ Firewall hoạt động thiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại lưu lượng khơng mong muốn đến mạng riêng, quan tâm đến việc giữ lại lưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến hai kiểu tập quy luật bảo vệ Nếu kẻ cơng muốn tìm cách xâm nhập vào máy chủ, chúng sử dụng máy chủ để cơng vào thiết bị mạng xa Để bảo vệ giúp cho lưu lượng bên đoạn mạng nhà quản ly thường chạy hai Firewall, thứ để bảo vệ tồn mạng, cịn lại để bảo vể đoạn mạng khác Nhiều lớp Firewall cho phép nhà quản trị an tồn mạng kiểm sốt tốt dịng thơng tin, đặc biệt sở bên bên ngồi cơng ty phải xử ly thông tin nhảy cảm Các hoạt động trao đổi thơng tin cho phép phần mạng bị giới hạn vùng nhạy cảm Hình Sử dụng nhiều Firewall nhằm tăng khả bảo mật 4.Các lựa chọn Firewall a.Firewall cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao so với Firewall phần mềm dr bảo trì Firewall phần cứng có ưu điểm khác khơng chiếm dụng tài nguyên hệ thống máy tính Firewall phần mềm Firewall phần cứng lựa chọn tốt doanh nghiệp nhỏ, đặc biệt cho cơng ty có chia sẻ kết nối Internet Có thể kết hợp Firewall định tuyến hệ thống phần cứng sử dụng hệ thống để bảo vệ cho toàn mạng Firewall phần cứng lựa chọn đỡ tốn chi phí so với Firewall phần mềm thường phải cài máy tính cá nhân mạng.Trong số cơng ty cung cấp Firewall phần cứng kể tới Linksys (http://www.linksys.com) NetGear (http://www.netgear.com) Tính Firewall phần cứng công ty cung cấp thường tích hợp sẵn định tuyến dùng cho mạng doanh nghiệp nhỏ mạng gia đình a Firewall mềm Nếu khơng muốn tốn tiền mua Firewall phần cứng sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường không đăt Firewall phần cứng, chí số cịn miên phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) tải từ mạng Internet So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, cần đặt lại thiết lập cho phù hợp với nhu cầu riêng công ty Chúng hoạt động tốt nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với định tuyến làm việc tốt mạng có qui mô nhỏ Firewall phần mềm lựa chọn phù hợp máy tính xách tay máy tính bảo vệ cho dù mang máy tính bất ky nơi Các Firewall phần mềm làm việc tốt Windows 98, Windows ME Windows 2000 Chúng lựa chọn tốt cho máy tính đơn lẻ Các cơng ty phần mềm khác làm tường lửa Chúng không cần thiết cho Windows XP XP có tường lửa cài sẵn *Ưu điểm: - Không yêu cầu phần cứng bổ sung - Khơng u cầu chạy thêm dây máy tính - Một lựa chọn tốt cho máy tính đơn lẻ *Nhược điểm: - Chi phí thêm: hầu hết tường lửa phần mềm tốn chi phí - Việc cài đặt đặt cấu hình cần để bắt đầu f - Cần riêng cho máy tính f II Chức Firewall Firewall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên Firewall bảo vệ vấn đề gì? - Bảo vệ liệu: Theo dõi luồng liệu mạng Internet Intranet Những thông tin cần bảo vệ yêu cầu sau: - Bảo mật: Một số chức Firewall cất giấu thơng tin mạng tin cậy nội so với mạng không đáng tin cậy mạng bên khác Firewall cung cấp mũi nhọn trung tâm để đảm bảo quản lp, có lợi nguồn nhân lực tài tổ chức có giới hạn - Tính tồn vẹn (Tài ngun hệ thống) - Tính kịp thời (Danh tiếng cơng ty sở hữu thông tin cần bảo vệ) Firewall chống lại vấn đề gì? Firewall bảo vệ chống lại cơng từ bên ngồi a.Chống lại việc Hacking Hacker người hiểu biết dụng máy tính thành thạo người lập trình giỏi Khi phân tích khám phá lổ hổng hệ thống đó, tìm cách thích hợp để truy cập cơng hệ thống Có thể sử dụng kỹ khác để cơng vào hệ thống máy tính Ví dụ truy cập vào hệ thống mà khơng phép truy cập tạo thông tin giả, lấy cắp thông tin Nhiều công ty lo ngại liệu bảo mật bị đánh cắp hacker Vì vậy, để tìm phương pháp để bảo vệ liệu Firewall làm điều b.Chống lại việc sửa đổi mã Khả xảy kẻ cơng sửa đổi, xóa thay tính xác thực đoạn mã cách sử dụng virus, worm chương trình có chủ tâm Khi tải file internet dẫn tới download đọan mã có dã tâm, thiếu kiến thức bảo mật máy tính, file download thực thi quyền theo mục đích người dùng số trang website c.Từ chối dịch vụ đính kèm Từ chối dịch vụ loại ngắt hoạt động công Lời đe dọa tới tính liên tục hệ thống mạng kết từ nhiều phương thức công giống làm tràn ngập thông tin sửa đổi đường không phép Bởi thuật ngữ làm tràn ngập thông tin, người xâm nhập tạo môt số thông tin không xác thực để gia tăng lưu lượng 10 mạng làm giảm dịch vụ tới người dùng thực Hoặc kẻ cơng ngắm ngầm phá hoại hệ thống máy tính thêm vào phần mềm có dã tâm, mà phần mềm công hệ thống theo thời gian xác đinh trước d.Tấn công trực tiếp Cách thứ nhất: dùng phương pháp dò mật trực tiếp Thơng qua chương trình dị tìm mật với số thông tin người sử dụng ngày sinh, tuổi, địa … kết hợp với thư viện người dùng tạo ra, kẻ cơng dò mật Trong số trường hợp khả thành cơng lên tới 30% Ví dụ chương trình dị tìm mật chạy hệ điều hành Unix có tên Crack Cách thứ hai: sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) e.Nghe trộm Có thể biết tên, mật khẩu, thông tin truyền qua mạng thơng qua chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận tồn thơng tin lưu truyền qua mạng f.Vơ hiệu hố chức hệ thống (Deny service) Đây kiểu cơng nhằm làm tê liệt tồn hệ thống khơng cho thực chức thiết kế Kiểu công ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng g.Lỗi người quản trị hệ thống Ngày nay, trình độ hacker ngày giỏi hơn, hệ thống mạng cịn chậm chạp việc xử lp lỗ hổng Điều địi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an tồn cho thơng tin hệ thống Đối với người dùng cá nhân, biết hết thủ thuật để tự xây dựng cho Firewall, nên hiểu rõ tầm quan trọng bảo mật thơng tin cho cá nhân Qua đó, tự tìm hiểu để biết số cách phịng tránh công đơn giản hacker Vấn đề p thức, có p thức để phịng tránh khả an tồn cao h.Yếu tố người 11 Với tính cách chủ quan không hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dr dàng để lộ thông tin quan trọng cho hacker Ngồi cịn dùng Firewall để chống lại “giả mạo địa IP” III Hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công cơng khơng "đi qua" Một cách cụ thể, Firewall chống lại công từ đường dial-up, rị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại cơng liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt Firewall Firewall ngǎn chặn kẻ xấu từ bên ngồi cịn kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hố liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống cịn để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp IV Phân loại Firewall Hiện có nhiều loại Firewall, để tiện cho q trình nghiên cứu phát triển, người ta chia Firewall làm hai loại bao gồm: - Personal Firewall: 12 - Network Firewall: Personal Firewall Đây loại thiết kế nhằm bảo vệ máy tính trước truy cập trái phép từ bên ngồi Personal Firewall cịn tích hợp thêm tính hữu dụng theo dõi phần mềm chống virus phần mềm chống xâm nhập để bảo vệ liệu an toàn Một số Tường lửa Personal phổ biến như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco Security Agent… Với loại tường lửa thích hợp với cá nhân thơng thường họ cần bảo vệ máy tính họ được, firewall thường tích hợp sẵn máy tính Laptop, máy tính PC Network Firewall Network Firewall thiết kế để bảo vệ host mạng trước cơng từ bên ngồi Chúng ta có Appliance-Based network Firewalls Cisco PIX, Nokia firewalls, Symantec’s Enterprise Firewall, Juniper NetScreen firewall, Cisco ASA Hoặc số ví dụ Software-Base firewalls include Check Point’s Firewall, Linux-based IPTables, Microsoft ISA Server ==> Điểm khác biệt loại tường lửa số lượng host mà firewall có nhiệm vụ bảo vệ Bạn ghi nhớ Personal firewall bảo vệ cho máy Còn Network firewall lại khác, bảo vệ cho hệ thống mạng máy tính 13 V Mơ hình kiến trúc Firewall Kiến trúc hệ thống sử dụng Firewall sau: Hình 4: Kiến trúc hệ thống sử dụng Firewall Các Firewall có điểm chung cấu trúc cụ thể sau: 14 Hình 5: Cấu trúc hệ thống Firewall Trong đó: - Screening Router: chặng kiểm sốt cho LAN - DMZ: vùng có nguy bị công từ internet - Gateway Host: cổng vào mạng LAN DMZ, kiểm soát liên lạc, thực thi chế bảo mật - IF1 (Interface 1): card giao tiếp với vùng DMZ - IF2 (Interface 2): card giao tiếp với vùng mạng LAN - FTP Gateway: Kiểm soát truy cập FTP LAN vùng FTP từ mạng LAN internet tự Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server - Telnet gateway: Kiểm soát truy cập telnet tương tự FTP, người dùng telnet ngồi tự do, telnet từ ngồi vào u cầu phải xác thực thơng qua Authentication server - Authentication server: nơi xác thực quyền truy cập dùng kỹ thuật xác thực mạnh one time password/token (mật sử dụng lần) Tất Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nhờ mô hình Firewall mà máy chủ dịch vụ mạng LAN bảo vệ an tồn, thơn tin trao đổi với internet kiểm sốt thơng qua gateway Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính Dual-homed host Một máy tính gọi Dual-homed host có hai Network interfaces, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trị router phần mềm Kiến trúc Dual-homed host đơn giản Dual- 15 homed host giữa, bên kết nối với Internet bên lại nối với mạng nội (LAN) Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào Dual-homes host Mọi giao tiếp từ host mạng nội host bên bị cấm, Dual-homed host nơi giao tiếp Hình 6: Kiến trúc Dual - Homed host Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Bastion host đặt bên mạng nội bộ, Packet Filtering cài router Theo cách này, Bastion host hệ thống mạng nội mà host Internet kết nối tới Mặc dù vậy, kiểu kết nối phù hợp (được thiết lập Bastion host) phép kết nối Bất kh hệ thống bên cố gắng truy cập vào hệ thống dịch vụ bên phải kết nối tới host Vì thế, Bastion host host cần phải trì chế độ bảo mật cao Packet Filtering cho phép Bastion host mở kết nối bên ngồi 16 Cấu hình packet filtering screening router sau : + Cho phép tất host bên mở kết nốt tới host bên thong qua số dịch vụ cố định + Không cho phép tất kết nối từ host bên (cấm host sử dụng dịch vụ proxy thơng qua Bastion host) + Có thể kết hợp nhiều lối vào cho dịch vụ khác + Một số dịch vụ phép vào trực tiếp qua packet filtering + Một số dịch vụ khác phép vào gián tiếp qua proxy Bởi kiến trúc cho phép packet từ bên ngồi vào mạng bên trong, dường nguy hiểm kiến trúc Dual-homed host, thiết kế để khơng packet tới mạng bên Tuy nhiên thực tế kiến trúc Dual-homes host đơi có lỗi mà cho phép packet thật từ bên ngồi vào bên (bởi lỗi hồn tồn khơng biết trước, khơng bảo vệ để chống lại kiểu công này) Hơn nữa, kiến trúc Dualhomes host dr dàng bảo vệ router (là máy cung cấp dịch vụ) bảo vệ host bên mạng Xét tồn diện kiến trúc Screened host cung cấp độ tin cậy cao an toàn kiến trúc Dual-homed host So sánh với mộ số kiến trúc khác, chẳn hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ cơng tìm cách xâm nhập Bastion host khơng có cách để ngăn tách Bastion host host lại bên mạng nội Router có số điểm yếu router bị tổn thương, toàn mạng bị cơng Vì lp mà Screened subnet trở thành kiến trúc phổ biến 17 Kiến trúc Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phịng thủ theo chiều sâu, tăng cường an tồn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc Firewall có tên Screened subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host cách thêm vào phần an tồn: mạng ngoại vi (perimeter network) nhằm lập mạng nội khỏi mạng bên ngoài, tách bastion host khỏi host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router: - Router ngồi (External router cịn gọi access router): nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững outbound từ mạng ngoại vi Một số quy tắc packet filtering đặc biệt cài mức cần thiết đủ để bảo vệ bastion host interior router bastion host cịn host cài đặt an toàn mức cao Ngoài quy tắc đó, quy tắc khác cần giống hai router - Router (Interior router gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nơi trước ngồi mạng ngoại vi Nó khơng thực hết quy tắc packet filtering toàn Firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng 18 nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị cơng bastion host bị tổn thương thỏa hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên ngồi vào, có lẽ giới hạn kết nối SMTP bastion host email server bên  19