Báo cáo Firewall
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Báo Cáo Bài Tập Lớn Đề Tài:Firewall kiến trúc Giảng Viên Hướng Dẫn : PGS.Nguyễn Linh Giang Sinh Viên : Trương Văn Tam : 20122370 Hoàng Hữu Hợi : 20121772 Nguyễn Huy Lăng : 20121966 Phan Thị Thùy Dung : 20135239 Hà Nội,12 tháng 11 năm 2015 MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ TƯỜNG LỬA I KHÁI NIỆM II CÁC CHỨC NĂNG CỦA FIREWALL III NHIỆM VỤ CỦA FIREWALL IV PHÂN LOẠI FIREWALL Firewall mềm Firewall cứng V NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL I BỘ LỌC GÓI Nguyên lý hoạt động Ưu Điểm lọc gói Nhược Điểm lọc gói II CỔNG ỨNG DỤNG Nguyên lý hoạt động Ưu Điểm cổng ứng dụng Nhược điểm … III CỔNG VÒNG CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL 10 I DUAL-HOMED HOST 10 II KIẾN TRÚC SCREENED HOST 11 III KIẾN TRÚC SCREENED SUBNET HOST 13 IV SỬ DỤNG NHIỀU BASTION HOST 15 V KIẾN TRÚC GHÉP CHUNG ROUTER TRONG VÀ ROUTER NGOÀI……………………………………………………………………….17 VI KIẾN TRÚC GHÉP CHUNG BASITION HOST VÀ ROUTER NGOÀI……………………………………………………………………….18 CHƯƠNG I: I TỔNG QUAN VỀ TƯỜNG LỬA KHÁI NIỆM Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập số truy cập không mong muốn vào hệ thống Hình 1: Mô hình tường lửa II CÁC CHỨC NĂNG CỦA FIREWALL Chức Firewall kiểm soát luồng thông tin Intranet Internet Thiết lập chế điều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cho phép cấm dịch vụ truy cập Cho phép cấm dịch vụ từ truy cập vào Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm cho phép địa truy nhập Kiểm soát người dùng việc truy cập người dùng Kiểm soát nội dung thông tin lưu chuyển mạng Khi Firewall hoạt động, khảo sát tất luồng lưu lượng hai mạng để xem luồng lưu lượng có đạt chuẩn hay không Nếu đạt, định tuyến mạng, ngược lại, lưu lượng bị hủy Bộ lọc Firewall có khả lọc lưu lượng lẫn lưu lượng vào Nó quản lý việc truy cập từ bên vào nguồn tài nguyên bên mạng Firewall sử dụng để ghi lại tất cố gắng truy nhập vào mạng riêng đưa cảnh báo kịp thời thâm nhập trái phép Firewall lọc gói tin dựa vào địa nguồn, địa đích số cổng chúng, gọi lọc địa Firewall lọc loại lưu lượng đặc biệt mạng gọi lọc giao thức Một số Firewall có chức cao cấp như: đánh lừa Hacker, làm cho Hacker nhầm tưởng phá vỡ hệ thống an toàn bản, phát công tiếp quản nó, dẫn dắt kẻ công theo hướng định nhằm để Hacker tin họ vào phần hệ thống truy cập xa hơn, họat động kẻ công ghi lại theo dõi III NHIỆM VỤ CỦA FIREWALL Bảo vệ thông tin: Bảo vệ liệu quan trọng hệ thống mạng nội Bảo vệ tài nguyên hệ thống Phòng thủ công: Ngoài việc bảo vệ thông tin từ bên hệ thống, Firewall chống lại công từ bên vào như: Hacker thường sử dụng số chương trình có khả dò tìm thông tin hệ thống bạn tài khoản password đăng nhập Firewall có khả phát ngăn chặn kịp thời công theo kiểu công Firewall có khả phát ngăn chặn chương trình Sniff (Chương trình có khả chụp lại gói tin truyền mạng) mà Hacker thường sử dụng để lấy thông tin truyền mạng Ngoài ra, Firewall có nhiều chức kiểm tra, lọc lưu lượng vào/ra hệ thống, bảo vệ an toàn thông tin từ bên ngăn chặn cố gắng thâm nhập từ bên vào hệ thống IV PHÂN LOẠI FIREWALL Firewall mềm Đặc điểm: Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… Firewall cứng Đặc điểm: Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) Firewall cứng kiểm tra nột dung gói tin Ví dụ Firewall cứng: NAT (Network Address Translate) V NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL Khi gói tin chuyển tải mạng, chia nhỏ thành gói (packet) Mỗi gói gán địa để đến đích, sau nhận dạng tái lập lại đích Các địa lưu phần đầu gói tin (header) Firewall dựa vào Header gói tin để lọc Bộ lọc gói tin có khả cho phép hay từ chối gói tin mà nhận Nó kiểm tra toàn đọan liệu để định xem đoạn liệu có thỏa mãn số luật lọc gói tin hay không Các luật lọc gói tin dựa thông tin đầu gói tin (Header), Header gói tin bao gồm thông tin sau: Version: Phiên IP, sử dụng IP phiên (Ipv4) IP Header Length: Độ dài IP header 32 bits Type of Service (ToS): Loại dịch vụ Size of Datagram: Kích thước gói tin tính byte, bao gồm kích thước Header kích thước Data (dữ liệu) Identification: Dấu nhận dạng, trường hợp sử dụng để lắp ghép phân đoạn tất gói tin đến đích Flag: Là ba cờ sử dụng để điều khiển, định tuyến cho gói tin báo cho người nhận biết gói tin có phần Time To Live: Chỉ số lượng Hops liên kết mà gói tin qua sử dụng để tránh trình lặp lại gói tin (tránh cho gói tin chạy vô hạn) Protocol: Giao thức truyền tin (TCP, UDP, ICMP, … Header Checksum: Mục sử dụng để kiểm tra xem tổng số gói tin mà người gởi có tổng số gói tin mà người nhận nhận không Nếu không nhau, báo lỗi yêu cầu người gửi gửi lại (nếu sử dụng giao thức TCP); ngược lại, hủy gói tin sử dụng giao thức UDP Source Address: Địa nơi xuất phát Destination Address: Địa nơi nhận Source port: Cổng nguồn Destination port: Cổng đích Options: Tùy chọn không sử dụng Nếu gói tin thỏa luật thiết lập trước Firewall, gói tin chuyển qua, ngược lại, gói tin bị hủy Việc kiểm soát cổng cho phép Firewall kiểm soát số loại kết nối định vào mạng cục Do việc kiểm tra dựa Header gói tin nên lọc không kiểm soát nội dung thông tin gói tin Vì gói tin chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại Hacker CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL I BỘ LỌC GÓI Nguyên lý hoạt động Bộ Packet filtering router Firewall hoạt động dựa giao thức TCP/IP dựa theo thuật toán băm liệu nhận từ kho liệu mạng thành gói liệu (data packets) gán cho paket địa để nhận dạng, tái lập lại đích đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet có quyền cho phép hay từ chối gói tin mà nhận Nó checkout toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin mào đầu packet (packet header sau upload lên mạng Đó là: Địa IP nơi xuất phát ( IP Source address) Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomming interface of packet) Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet đạt yêu cầu packet phép qua Firewall Nếu không packet bị drop Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, block việc cố gắng kết nối vào hệ thống mạng nội từ địa khả nghi Hơn nữa, việc kiểm soát port làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ telnet, SMTP, FTP… phép hoạt động Ưu Điểm lọc gói Đa số hệ thống cấu trúc Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router Ngoài ra, lọc packet suốt người dùng ứng dụng, không yêu cầu buổi training đặc biệt Nhược Điểm lọc gói Việc định nghĩa chế độ lọc package việc phức tạp; đòi hỏi người quản trị mạng cần có hiểu sâu vể dịch vụ Internet, dạng format packet header, tác dụng trường Khi đòi hỏi lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản trị điều khiển Firewall làm việc dựa header nên lọc kiểm soát gói tin, đơn giản dễ bị lỗ hổng bị công II CỔNG ỨNG DỤNG Cổng ứng dụng loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Nguyên lý hoạt động Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua Firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host) thiết kế đặc biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn phần mềm hệ thống.Các phiên an toàn thiết kế chuyên cho mục đích chống lại công vào phần mềm hệ thống, đảm bảo tích hợp Firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ không cài đặt, bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thông qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxy khác bastion host Điều giúp dễ dàng cài đặt thao tác Ưu Điểm cổng ứng dụng Toàn quyền cho người quản trị Khả chứng thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống So với lọc packet dễ dàng cấu hình kiểm tra Nhược điểm Mất thời gian khó khăn để thao tác III CỔNG VÒNG Cổng vòng chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Cổng vòng làm việc sợi dây,copy byte liên kết bên (inside connection) kết nối bên (outside connection) Firewall xuất dùng để che giấu thông tin nội cổng vòng thường sử dụng cho kết nối ngoài, nơi người dùng bên tin tưởng Ưu điểm lớn bastion host hỗn hợp cung cấp Cổng ứng dụng cho kết nối Inbound cổng vòng cho kết nối Outbound Điều làm cho người dùng dễ sử dụng ứng dụng đảm bào tính bào mật CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL I DUAL-HOMED HOST Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính dual –homed host Một tính gọi dual-homed host có hai network interface, có nghĩa máy có gắn card mạng giao tiếp với hai mạng khác nhau, dó máy tính đóng vai trò router mềm Kiến trúc dual-homed host đơn giản , máy dual-homed host bên kết nối internet bên lại kết nối với mạng nội (mạng cần bảo vệ ) Hình 2: Mô hình kiến trúc dual-homed host Dual- Homed host cung cấp dịch vụ sách ủy quyền (proxy) cho phép user đăng nhập trực tiếp vào dual-homed host Mọi giao tiếp từ host nội host bên bị cấm, dual-homed host nơi giao tiếp Ưu điểm Dual-homed host: Cài đặt dễ dàng , không yêu cầu phần cứng phần mềm đặc biệt Dual-homed host yêu cầu cấm khả chuyển gói tin , hệ điều hành linux cần cấu hình lại hệ điều hành nhân đủ 10 Nhược điểm Dual-homed host: Không đáp ứng yêu cầu bảo mật ngày phức tạp, phần mềm tung thị trường Không có khả chống đỡ công nhằm vào thân dual-homed host, dual- homed host bị đột nhập trở thành nơi lý tưởng để công vào mạng nội bộ, người công (attacker) thấy toàn lưu lượng mạng Đánh giá kiến trúc dual-homed host: Để cung cấp dịch vụ cho người sử dụng mạng có số giải pháp sau : Kết hợp với proxy server cung cấp proxy service Cấp account cho người sử dụng máy dual-homed host, cho người dùng dịch vụ có phần mềm proxy server proxy client Mặt khác, số dịch vụ cung cấp nhiều khác đáp ứng hệ thống bị giảm xuống tất proxy server đặt máy Nếu dùng phương pháp account cho người sử dụng máy dual-homed host người sử dụng không thích lần họ muốn sử dụng dịch vụ phải đăng nhập vào máy dual-homed host II KIẾN TRÚC SCREENED HOST Screened host có cấu trúc ngược lại với cấu trúc dual-homed host Kiến trúc cung cấp dịch vụ từ host bên mạng nội router tách rời với mạng bên Kiến trúc kết hợp hai kĩ thuật packet filtering proxy service Packet filtering cài router Bastion host đặt bên mạng nội hệ thống mà host internet kết nối tới, hệ thống cố gắng truy nhập vào hệ thống dịch vụ bên phải kết nối tơi host Vì Bastion host cần trì chế đọ bảo mật cao, packet filterring cho phép bastion host mở kết nối bên 11 Hình 3: Mô hình kiến trúc Screened Host Packet filtering: Lọc số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, người sử dụng muốn dùng dịch vụ phải kết nối đến proxy server mà không bỏ qua proxy server để kết nối trực tiếp với mạng bên bên bên ngoài, đồng thời cho phép Bastion host mở số kết nối tới internet/external host Proxy server: Bastion host chứa proxy server để phục vụ số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server Kiến trúc screened host hay kiến trúc dual-homed host số điểm sau : Dual –homed host: khó bảo vệ tốt máy lúc cung cấp nhiều dịch vụ ,vi phạm quy tắc mối phần tử hay thành phần nên giữ chức , tốc độ đáp ứng khó cao đảm nhận nhiều chức Screened host : Đã tách chức lọc gói IP proxy server hai máy riêng biệt Packet filtering giữ chức lọc gói nên kiểm soát khó gây lỗi Proxy server đặt máy khác nên 12 khả phục vụ người sử dụng cao mức kiến trúc Dual-homed host Tương tự kiến trúc Dual-homed host , kiến trúc Screened bị đột nhập thành công lưu lượng mạng internal netwok bị kiểm soát attacker Từ khuyết điểm hai kiến trúc ta có kiến trúc Screened Subnet Host đời nhằm giải hai khuyết điểm III KIẾN TRÚC SCREENED SUBNET HOST Hình 4: Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống bao gồm hai Packet–Filtering Router Bastion Host (hình trên) Kiến trúc có độ an toàn cao cung cấp mức bảo mật: Network Application định nghĩa mạng perimeter network Mạng trung gian (DMZ) đóng vai trò mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ 13 Với thông tin đến, Router (Exterior Router) chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập Bastion Host Router (Interior Router) cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông Bastion Host Với thông tin đi, Router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập Bastion Quy luật Filtering Router yêu cầu sử dụng dịch vụ Proxy cách cho phép thông tin bắt nguồn từ Bastion Host Ưu điểm Kẻ công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host Router Bởi Router quảng bá DMZ Network tới Internet, hệ thống mạng nội nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange ( Domain Name Server ) Bởi Router quảng cáo DMZ Network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ Proxy Nhược điểm a Không thể thực dịch vụ tin câỵ xung quanh application getway, vi phạm sách Cụ thể: Các router ngoại kết nối với internet chốt điểm để chuyển giao thông thỏa mãn quy tắc sau: Giao thông ứng dụng từ application getway tới internet cho phép Giao thông email từ email server tới internet, cho phép Giao thông ứng dụng từ internet tới application getway, cho phép FTP, Gopher giao thông khác từ internet tới webserver, cho phép Các giao thông khác bị chặn Router bên hạn chế truy cập vào internet cho hệ thống định screened subnet, ngăn chặn tất giao thông khác từ hệ thống khác không định kết nối, MODEM pool, Wev server, sites system tới internet Router việc ngăn chặn gói NFS, NIT hay giao thức dễ bị công khác tới hay bắt nguồn tới từ host screened subnet 14 Router bên cho phép kết nối thõa mãn quy tắc sau: Giao thông ứng dụng từ application getway tới site system cho phép Giao thông email từ email server tới site system, cho phép Giao thông ứng dụng application getway từ site system, cho phép FTP, Gopher giao thông khác từ site systemhi tới webserver, cho phép Các giao thông khác bị chặn b Router đóng vai trò quan trọng việc bảo vệ an ninh mạng, mà theo ta biết packet filtering router khó cài đặt lỗi cài đặt dẫn đến lỗ hổng an ninh mạng IV SỬ DỤNG NHIỀU BASTION HOST Do yêu cầu tốc độ đáp ứng (performance) dư thừa (redundancy), tách biệt Servers khác Sử dụng Bastion Host cung cấp dịch vụ cho người sử dụng bên (internal user), dịch vụ SNMP Server, Proxy Servers … Sử dụng Bastion Host khác cung cấp dịch vụ cho Internet người sử dụng bên (external user) sử dụng Như Anonymous FTP Server mà Server người sử dụng bên (local users) không truy xuất đến 15 Hình 5: Sơ đồ kiến trúc sử dụng Bastion Host Với cách tốc độ đáp ứng cho người sử dụng bên (local user) phần không bị ảnh hưởng (bị làm chậm đi) hoạt động người sử dụng bên (external users) Cũng sử dụng nhiều Bastion Host mà cung cấp cho dịch vụ để tăng tốc độ đáp ứng (performance), việc khó cân tải Server trừ đoán trước mức độ sử dụng Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao hệ thống, để mà Bastion Host hỏng có khác thay Nhưng có số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, dùng nhiều Bastion Host làm DNS Server , SMTP Server Khi Bastion Host hỏng tải, yêu cầu DNS Server SNMP dùng qua Bastion Host khác fallback system Sử dụng nhiều Bastion Host trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, loại liệu cung cấp cho mạng khác 16 Sử dụng nhiều Bastion Host cho Server khác để mà Server bị đột nhập vào hay bị hỏng Server khác hoạt động tốt Ví Dụ : Tách HTTP Server FTP Server máy riêng biệt V KIẾN TRÚC GHÉP CHUNG ROUTER TRONG VÀ ROUTER NGOÀI Kiến trúc gần giống với kiến trúc Screened host trường hợp mà exterior/interior router bị đột nhập lưu thông mạng bên bị lộ bên Nhưng kiến trúc tốt Screened host chổ Bastion host bị đột nhập thông tin mạng bên không bị lộ Do ghép chung router router nên kiến trúc làm giảm lớp bảo vệ mạng bên trong, nói kiến trúc ghép chung router router nằm kiến trúc Screened host Screened Subnet host Hình 6: Sơ đồ kiến trúc ghép chung Router Router Muốn sử dụng kiến trúc tốc độ máy làm router phải nâng cao, vừa phải đảm nhiệm vai trò router vừa đảm nhiệm vai trò router 17 VI KIẾN TRÚC GHÉP CHUNG BASITION HOST VÀ ROUTER NGOÀI Kiến trúc sử dụng cho mạng có đường nối dùng giao thức SLIP PPP internet Hình 7: Sơ đồ kiến trúc ghép chung Bastion host router Kiểu ghép chungBastion host router (Exterior router) gần giống với Screened Subnet Host Nó cho tốc độ đáp ứng thường thấp mà chấp nhận tốc độ đường truyền thấp, chức lọc router ít, chức lọc gói chủ yếu router 18 [...]... webserver, cho phép Các giao thông khác bị chặn b Router đóng vai trò quan trọng hơn trong việc bảo vệ an ninh mạng, mà theo ta biết thì packet filtering router rất khó cài đặt và lỗi trong khi cài đặt có thể dẫn đến những lỗ hổng trong an ninh mạng IV SỬ DỤNG NHIỀU BASTION HOST Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các Servers khác nhau Sử dụng 1 Bastion... bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được 13 Với những thông tin đến,... Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange ( Domain Name Server ) Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều nay... trúc ngược lại với cấu trúc dual-homed host Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ và một router tách rời với mạng bên ngoài Kiến trúc này kết hợp hai kĩ thuật đó là packet filtering và proxy service Packet filtering được cài trên router Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối tới, bất kì một hệ... chính bản thân của dual-homed host, và khi dual- homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng 3 Đánh giá về kiến trúc dual-homed host: Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như sau : Kết hợp với các proxy server cung cấp các proxy service Cấp các account cho người... trường hợp khi mà exterior/interior router bị đột nhập thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài Nhưng kiến trúc này tốt hơn Screened host ở chổ nếu Bastion host bị đột nhập thì thông tin trong mạng bên trong cũng không bị lộ ra ngoài Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router... chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch... tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau 16 Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt Ví Dụ : Tách... lưu lượng mạng của internal netwok cũng bị kiểm soát bởi attacker Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra đời nhằm giải quyết hai khuyết điểm này III KIẾN TRÚC SCREENED SUBNET HOST Hình 4: Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hình trên) Kiến trúc này có độ an toàn cao... dụng bên trong (internal user), như dịch vụ SNMP Server, Proxy Servers … Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sử dụng bên ngoài (external user) sẽ sử dụng Như là Anonymous FTP Server mà Server này những người sử dụng bên trong (local users) không truy xuất đến 15 Hình 5: Sơ đồ kiến trúc sử dụng 2 Bastion Host Với cách này thì tốc độ đáp ứng cho những người sử dụng