TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN - BÁO CÁO BÀI TẬP LỚN MƠN MẠNG VÀ TRUYỀN THƠNG CHỦ ĐỀ 11: TÌM HIỂU VỀ FIREWALL Giảng viên hướng dẫn : … Sinh viên thực : … MỤC LỤC I Khái niệm Firewall Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Sự đời Firewall Mục đích Firewall Các lực chọn Firewall II Chức Firewall Firewall bảo vệ gì? 10 Firewall chống lại gì? 11 III Hạn chế Firewall 12 IV Phân loại Firewall 13 Personal Firewall 14 Network Firewall 14 V Mô hình kiến trúc Firewall 14 Kiến trúc Dual-Homed host 16 Kiến trúc Screend Host .17 Kiến trúcScreend Subnet 18 I Khái niệm Firewall Firewall theo tiếng việt có nghĩa Bức Tường lửa Dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính mạng Internet, rộng mạng nội Internet, mạng hệ thống mạng nội cơng ty Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an tồn mạng máy tính lớn Đó nguy bị cơng mạng máy tính, cơng để lấy liệu, cơng nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, cơng thay đổi sở liệu Trước nguy đó, vấn đề đảm bảo an tồn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thơi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt u cầu phải có cơng cụ để chống xâm nhập mạng bất hợp pháp từ bên ngồi mạng, ngun nhân dẫn tới đời Firewall (Tường lửa) Một Firewall lọc lưu lượng Internet nguy hiểm hacker, cácf loại sâu, số loại virusf trước chúng gây trục trặc hệ thốngf Ngồi ra, Firewall giúp cho máy tính tránhf tham gia công vào máy tính khác mà khơng hay biết Việc sử dụng Firewall cựcf kh quan trọng máy tính ln kết nối Internet, trường hợp có kết nối băng thơng rỗng kết nối DSL/ADSL Ngồi tin tặc sử dụng mã hiểm độc, virus, sâu Trojan, để tìm cách phát cửa khơng khóa máy tính khơng bảo vệ Một tường lửa giúpf bảo vệ máy tính khỏi bị hoạt động công bảo mật khác Vậy tin tặc có thểf làm gì? Tùy thuộc vào chất việc công Trong số đơn giản quấy rầy với trò đùa nghịch đơn giản, số khác tạo với p định nguy hiểm Những loại nghiêm trọngf tìm cách xóa thơng tin từ máy tính, phá hủy nó, chí ăn cắp thơng tin cá nhân, mật số thẻ tín dụng Một số tin tặc thích đột nhập vào máy tính dr bị cơng Các virus,f sâu Trojan đáng sợ May mắn giảm nguy lây nhirm cách sử dụng Firewall Sự đời Firewall Chữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thơng tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Có thể hiểu Firewall chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thơng tin, ngăn chặn truy nhập khơng mong muốn từ bên ngồi (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Internet Firewall tập hợp thiết bị (bao gồm phần cứng phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet: (INTRANET - FIREWALL - INTERNET) Firewall thiết lập mạng nội cô lập miền an tồn Ví dụ mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Một Firewall f Internet giúp ngăn chặn người ngồi Internet khơng xâm nhập vào máy tính Nó làm việc cách kiểm tra thông tin đến Internet Nó nhận dạng bỏ qua thơng tin đến từ nơi nguy f hiểm nghi ngờ Nếu bạn cài đặt Firewall bạn cách thích hợp, tin tặc tìm kiếm máyf tính dr bị công phát máy tính Firewall giải pháp dựa phần cứng f phần mềm dùng để kiểm tra liệu Một lời khuyên nên sử dụng Firewall cho bất kh máy tính hay mạng có kết nối tới Internet Đối với kết nối Internet băng thông rộng Firewall quan trọng, loại kết nối thường xuyên bật (always on) nên tin tặc có nhiều thời gian muốn tìm cách đột nhập vào máy tính Kết nối băng thơng rộng thuận lợi cho tin tặc sử dụng để làm phương tiện tiếp tục công máy tính khác Mục đích Firewall Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thông máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thơng hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khơi phục ngun dạng ban đầu Việc phân chia thành gói làm đơn giản hố việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng p khơng tốt gửi tới số gói liệu, lại cài bẫy làm cho máy tính khơng biết cần phải xử lp gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, nắm quyền kiểm sốt từ xa máy tính gây nên vấn đề nghiêm trọng Kẻ nắm quyền kiểm sốt trái phép sau sử dụng kết nối Internet để phát động cơng khác mà khơng bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên ngồi đoạt quyền kiểm sốt máy tính Chức kiểm sốt liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động cơng cửa sau tới máy tính khác mạng Internet Hình Firewall đặt mạng riêng mạng công cộng Một Firewall gồm có hai giao diện mạng: Chung riêng, giao diện chung kết nối với Internet, phía mà người truy cập, giao diện riêng phía mà chứa liệu bảo vệ Trên Firewall có nhiều giao diện riêng tuh thuộc vào số đoạn mạng cần tách rời Ứng với giao diện có quy tắc bảo vệ riêng để xác định kiểu lưu thơng qua từ mạng chung mạng riêng Firewall làm nhiều việc có nhiều thuận lợi khó khăn Thơng thường nhà quản trị mạng sử dụng Firewall thiết bị đầu nối VPN, máy chủ xác thực máy chủ DNS Tuy nhiên thiết bị mạng khác, nhiều dịch vụ hoạt động máy chủ rủi ro nhiều Do đó, Firewall không nên chạy nhiều dịch vụ Firewall lớp bảo vệ thứ hai hệ thống mạng, lớp thứ định tuyến mức định tuyến cho phép bị từ chối địa IP phát gói tin bất bình thường Firewall xem cổng phép hay từ chối Firewall đơi lúc hữu ích cho đoạn mạng nhỏ địa IP riêng lẻ Bởi định tuyến thường làm việc tải, nên việc sử dụng định tuyến để lọc định tuyến IP đơn, lớp địa nhỏ tạo tải trọng khơng cần thiết Firewall có ích cho việc bảo vể mạng từ lưu lượng không mong muốn Nếu mạng máy chủ cơng cộng Firewall cơng cụ tốt để từ chối lưu lượng vào, lưu lượng mà không máy sau Firewall, Một Firewall cấu hình để từ chối tất lưu lượng ngoại trừ cổng 53 dành riêng cho máy chủ DNS Hình Mạng gồm có Firewall máy chủ Sức mạnh Firewall nằm khả lọc lưu lượng dựa tập hợp quy tăc bảo vệ, gọi quy tăc bảo vệ nhà quản trị đưa vào Đây nhược điểm lớn Firewall, quy tăc xấu khơng đầy đủ mở lối cho kẻ cơng, mạng khơng an tồn Nhiều nhà quản trị mạng khơng nghĩ Firewall hoạt động thiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại lưu lượng khơng mong muốn đến mạng riêng, quan tâm đến việc giữ lại lưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến hai kiểu tập quy luật bảo vệ Nếu kẻ cơng muốn tìm cách xâm nhập vào máy chủ, chúng khơng thể sử dụng máy chủ để công vào thiết bị mạng xa Để bảo vệ giúp cho lưu lượng bên đoạn mạng nhà quản ly thường chạy hai Firewall, thứ để bảo vệ toàn mạng, lại để bảo vể đoạn mạng khác Nhiều lớp Firewall cho phép nhà quản trị an tồn mạng kiểm sốt tốt dịng thơng tin, đặc biệt sở bên bên ngồi cơng ty phải xử ly thông tin nhảy cảm Các hoạt động trao đổi thơng tin cho phép phần mạng bị giới hạn vùng nhạy cảm Hình Sử dụng nhiều Firewall nhằm tăng khả bảo mật 4.Các lựa chọn Firewall a.Firewall cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao so với Firewall phần mềm dr bảo trì Firewall phần cứng có ưu điểm khác khơng chiếm dụng tài nguyên hệ thống máy tính Firewall phần mềm Firewall phần cứng lựa chọn tốt doanh nghiệp nhỏ, đặc biệt cho công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall định tuyến hệ thống phần cứng sử dụng hệ thống để bảo vệ cho toàn mạng Firewall phần cứng lựa chọn đỡ tốn chi phí so với Firewall phần mềm thường phải cài máy tính cá nhân mạng.Trong số cơng ty cung cấp Firewall phần cứng kể tới Linksys (http://www.linksys.com) NetGear (http://www.netgear.com) Tính Firewall phần cứng cơng ty cung cấp thường tích hợp sẵn định tuyến dùng cho mạng doanh nghiệp nhỏ mạng gia đình a Firewall mềm Nếu không muốn tốn tiền mua Firewall phần cứng sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường không đăt Firewall phần cứng, chí số cịn miên phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) tải từ mạng Internet So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, cần đặt lại thiết lập cho phù hợp với nhu cầu riêng cơng ty Chúng hoạt động tốt nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với định tuyến làm việc tốt mạng có qui mơ nhỏ Firewall phần mềm lựa chọn phù hợp máy tính xách tay máy tính bảo vệ cho dù mang máy tính bất ky nơi Các Firewall phần mềm làm việc tốt Windows 98, Windows ME Windows 2000 Chúng lựa chọn tốt cho máy tính đơn lẻ Các công ty phần mềm khác làm tường lửa Chúng không cần thiết cho Windows XP XP có tường lửa cài sẵn *Ưu điểm: - Không yêu cầu phần cứng bổ sung - Khơng u cầu chạy thêm dây máy tính - Một lựa chọn tốt cho máy tính đơn lẻ *Nhược điểm: - Chi phí thêm: hầu hết tường lửa phần mềm tốn chi phí - Việc cài đặt đặt cấu hình cần để bắt đầu f - Cần riêng cho máy tính f II Chức Firewall Firewall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên Firewall bảo vệ vấn đề gì? Bảo vệ liệu: Theo dõi luồng liệu mạng Internet Intranet Những thông tin cần bảo vệ yêu cầu sau: Bảo mật: Một số chức Firewall cất giấu thơng tin mạng tin cậy nội so với mạng không đáng tin cậy mạng bên khác Firewall cung cấp mũi nhọn trung tâm để đảm bảo quản lp, có lợi nguồn nhân lực tài tổ chức có giới hạn - Tính tồn vẹn (Tài nguyên hệ thống) - Tính kịp thời (Danh tiếng công ty sở hữu thông tin cần bảo vệ) Firewall chống lại vấn đề gì? Firewall bảo vệ chống lại công từ bên a.Chống lại việc Hacking Hacker người hiểu biết dụng máy tính thành thạo người lập trình giỏi Khi phân tích khám phá lổ hổng hệ thống đó, tìm cách thích hợp để truy cập cơng hệ thống Có thể sử dụng kỹ khác để công vào hệ thống máy tính Ví dụ truy cập vào hệ thống mà không phép truy cập tạo thông tin giả, lấy cắp thông tin Nhiều công ty lo ngại liệu bảo mật bị đánh cắp hacker Vì vậy, để tìm phương pháp để bảo vệ liệu Firewall làm điều b.Chống lại việc sửa đổi mã Khả xảy kẻ cơng sửa đổi, xóa thay tính xác thực đoạn mã cách sử dụng virus, worm chương trình có chủ tâm Khi tải file internet dẫn tới download đọan mã có dã tâm, thiếu kiến thức bảo mật máy tính, file download thực thi quyền theo mục đích người dùng số trang website c.Từ chối dịch vụ đính kèm Từ chối dịch vụ loại ngắt hoạt động cơng Lời đe dọa tới tính liên tục hệ thống mạng kết từ nhiều phương thức công giống làm tràn ngập thông tin sửa đổi đường không phép Bởi thuật ngữ làm tràn ngập thông tin, người xâm nhập tạo môt số thông tin không xác thực để gia tăng lưu lượng 10 mạng làm giảm dịch vụ tới người dùng thực Hoặc kẻ cơng ngắm ngầm phá hoại hệ thống máy tính thêm vào phần mềm có dã tâm, mà phần mềm công hệ thống theo thời gian xác đinh trước d.Tấn công trực tiếp Cách thứ nhất: dùng phương pháp dị mật trực tiếp Thơng qua chương trình dị tìm mật với số thơng tin người sử dụng ngày sinh, tuổi, địa … kết hợp với thư viện người dùng tạo ra, kẻ cơng dị mật Trong số trường hợp khả thành công lên tới 30% Ví dụ chương trình dị tìm mật chạy hệ điều hành Unix có tên Crack Cách thứ hai: sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) e.Nghe trộm Có thể biết tên, mật khẩu, thông tin truyền qua mạng thông qua chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận tồn thơng tin lưu truyền qua mạng f.Vơ hiệu hố chức hệ thống (Deny service) Đây kiểu công nhằm làm tê liệt tồn hệ thống khơng cho thực chức thiết kế Kiểu công ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng g.Lỗi người quản trị hệ thống Ngày nay, trình độ hacker ngày giỏi hơn, hệ thống mạng chậm chạp việc xử lp lỗ hổng Điều địi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an tồn cho thông tin hệ thống Đối với người dùng cá nhân, biết hết thủ thuật để tự xây dựng cho Firewall, nên hiểu rõ tầm quan trọng bảo mật thông tin cho cá nhân Qua đó, tự tìm hiểu để biết số cách phịng tránh cơng đơn giản hacker Vấn đề p thức, có p thức để phịng tránh khả an toàn cao h.Yếu tố người 11 Với tính cách chủ quan khơng hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dr dàng để lộ thông tin quan trọng cho hacker Ngồi cịn dùng Firewall để chống lại “giả mạo địa IP” III Hạn chế Firewall Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không "đi qua" Một cách cụ thể, Firewall khơng thể chống lại công từ đường dial-up, rị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall Firewall ngǎn chặn kẻ xấu từ bên ngồi cịn kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hố liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp IV Phânloại Firewall Hiện có nhiều loại Firewall, để tiện cho trình nghiên cứu phát triển, người ta chia Firewall làm hai loại bao gồm: - Personal Firewall: 12 - Network Firewall: Personal Firewall Đây loại thiết kế nhằm bảo vệ máy tính trước truy cập trái phép từ bên ngồi Personal Firewall cịn tích hợp thêm tính hữu dụng theo dõi phần mềm chống virus phần mềm chống xâm nhập để bảo vệ liệu an toàn Một số Tường lửa Personal phổ biến như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco SecurityAgent… Với loại tường lửa thích hợp với cá nhân thơng thường họ cần bảo vệ máy tính họ được, firewallthường tích hợp sẵn máy tính Laptop, máy tính PC Network Firewall Network Firewall thiết kế để bảo vệ host mạng trước công từ bên ngồi Chúng ta có Appliance-Based network Firewalls Cisco PIX, Nokia firewalls, Symantec’s Enterprise Firewall, Juniper NetScreen firewall,Cisco ASA Hoặc số ví dụ Software-Basefirewallsinclude Check Point’s Firewall, Linux-based IPTables, Microsoft ISAServer ==> Điểm khác biệt loại tường lửa số lượng host mà firewallcó nhiệm vụ bảo vệ Bạn ghi nhớ Personal firewallchỉ bảo vệ cho máy Cịn Network firewall thìlại khác, bảo vệ cho hệ thống mạng máy tính 13 V Mơ hình kiến trúc Firewall Kiến trúc hệ thống sử dụng Firewall sau: Hình 4: Kiến trúc hệ thống sử dụng Firewall Các Firewall có điểm chung cấu trúc cụ thể sau: 14 Hình 5: Cấu trúc hệ thống Firewall Trong đó: - Screening Router: chặng kiểm soát cho LAN - DMZ: vùng có nguy bị cơng từ internet Gateway Host: cổng vào mạng LAN DMZ, kiểm soát liên lạc, thực thi chế bảo mật - IF1 (Interface 1): card giao tiếp với vùng DMZ - IF2 (Interface 2): card giao tiếp với vùng mạng LAN FTP Gateway: Kiểm soát truy cập FTP LAN vùng FTP từ mạng LAN internet tự Các truy cập FTP vào LAN địi hỏi xác thực thơng qua Authentication server Telnet gateway: Kiểm soát truy cập telnet tương tự FTP, người dùng telnet ngồi tự do, telnet từ vào yêu cầu phải xác thực thông qua Authentication server Authentication server: nơi xác thực quyền truy cập dùng kỹ thuật xác thực mạnh one time password/token (mật sử dụng lần) Tất Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nhờ mơ hình Firewall mà máy chủ dịch vụ mạng LAN bảo vệ an tồn, thơn tin trao đổi với internet kiểm sốt thơng qua gateway Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính Dual-homed host Một máy tính gọi Dual-homed host có hai Network interfaces, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trị router phần mềm Kiến trúc Dual-homed host đơn giản Dual- 15 homed host giữa, bên kết nối với Internet bên lại nối với mạng nội (LAN) Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào Dual-homes host Mọi giao tiếp từ host mạng nội host bên bị cấm, Dual-homed host nơi giao tiếp Hình 6: Kiến trúc Dual - Homed host Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Bastion host đặt bên mạng nội bộ, Packet Filtering cài router Theo cách này, Bastion host hệ thống mạng nội mà host Internet kết nối tới Mặc dù vậy, kiểu kết nối phù hợp (được thiết lập Bastion host) phép kết nối Bất kh hệ thống bên cố gắng truy cập vào hệ thống dịch vụ bên phải kết nối tới host Vì thế, Bastion host host cần phải trì chế độ bảo mật cao Packet Filtering cho phép Bastion host mở kết nối bên ngồi 16 Cấu hình packet filtering screening router sau : + Cho phép tất host bên mở kết nốt tới host bên thong qua số dịch vụ cố định + Không cho phép tất kết nối từ host bên (cấm host sử dụng dịch vụ proxy thông qua Bastion host) + Có thể kết hợp nhiều lối vào cho dịch vụ khác + Một số dịch vụ phép vào trực tiếp qua packet filtering + Một số dịch vụ khác phép vào gián tiếp qua proxy Bởi kiến trúc cho phép packet từ bên vào mạng bên trong, dường nguy hiểm kiến trúc Dual-homed host, thiết kế để khơng packet tới mạng bên Tuy nhiên thực tế kiến trúc Dual-homes host đơi có lỗi mà cho phép packet thật từ bên ngồi vào bên (bởi lỗi hồn tồn khơng biết trước, không bảo vệ để chống lại kiểu công này) Hơn nữa, kiến trúc Dualhomes host dr dàng bảo vệ router (là máy cung cấp dịch vụ) bảo vệ host bên mạng Xét tồn diện kiến trúc Screened host cung cấp độ tin cậy cao an toàn kiến trúc Dual-homed host So sánh với mộ số kiến trúc khác, chẳn hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ cơng tìm cách xâm nhập Bastion host khơng có cách để ngăn tách Bastion host host lại bên mạng nội Router có số điểm yếu router bị tổn thương, tồn mạng bị cơng Vì lp mà Screened subnet trở thành kiến trúc phổ biến 17 Kiến trúc Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc Firewall có tên Screened subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm lập mạng nội khỏi mạng bên ngồi, tách bastion host khỏi host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router: Router ngồi (External router cịn gọi access router): nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững outbound từ mạng ngoại vi Một số quy tắc packet filtering đặc biệt cài mức cần thiết đủ để bảo vệ bastion host interior router bastion host cịn host cài đặt an toàn mức cao Ngoài quy tắc đó, quy tắc khác cần giống hai router Router (Interior router gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nơi trước ngồi mạng ngoại vi Nó khơng thực hết quy tắc packet filtering toàn Firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng 18 nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị cơng bastion host bị tổn thương thỏa hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên ngồi vào, có lẽ giới hạn kết nối SMTP bastion host email server bên 19