Những chức năng của một Packet Filtering Router

Một phần của tài liệu An ninh mạng máy tính và ứng dụng tai viện phim việt nam (Trang 69)

Packet Filtering (hay việc lọc và giám sát các Packet vào và ra khỏi mạng) cho phép (hoặc không cho phép) chúng ta ñiều khiển trao ñổi dữ liệu giữa một mạng cần

ñược bảo vệ với Internet chủ yếu dựa trên các thông tin sau:

− Địa chỉ nơi xuất phát của dữ liệu

− Nghi thức ở cấp ứng dụng ñược sử dụng ñể truyền dữ liệu

Hầu hết các Packet filtering Router thực hiện việc lọc các Packet không dựa trên nội dung của dữ liệu. Packet Filtering Router thường sẽ có những khả năng có dạng như sau:

− Không cho phép bất cứ người nào dùng Telnet (một nghi thức cấp ứng dụng application Protocol) ñể login từ bên ngoài vào hệ thống mạng cần bảo vệ.

− Cho phép bất cứ ai có thể gửi e–mail dùng SMTP (một nghi thức ở cấp ứng dụng) cho các user trong mạng cần bảo vệ hoặc ngược lại.

− Máy có ñịa chỉ X có thể gửi tin tức cho chúng ta dùng một nghi thức nào

ñó, nhưng những máy khác không có ñược ñặc quyền này.

Do Packet filter lọc các gói IP chủ yếu là dựa vào ñịa chỉ máy gửi và máy nhận cho nên nó không thể cho phép một user A nào ñó ñược dùng dịch vụ Telnet mà user khác thì không. Packet filter cũng không có khả năng cấm việc truyền file này mà không cho phép việc truyền các file khác.

Ưu ñiểm chính của Packet Filtering là khả năng tác dụng toàn cục của nó. Nó cung cấp khả năng bảo vệ tương ñối cho toàn mạng mà chỉñặt ở một nơi. Một ví dụ

cho thấy ñiều ñó là việc cấm dịch vụ Telnet. Nếu chúng ta cấm dịch vụ Telnet vào bằng cách tắt tất cả các Telnet Server của chúng ta cũng chưa hẳn là chúng ta ñã cấm hoàn toàn ñược dịch vụ Telnet từ bên ngoài vì rằng có thể có một người nào ñó trong cơ quan cài ñặt một máy mới (hoặc cài ñặt lại máy cũ) có Telnet Server ñang chạy. Nhưng mà nếu Telnet bị cấm bởi Packet Filtering Router thì máy mới ñược cài ñặt này cũng ñược bảo vệ mặc dù Telnet Server ở máy ñó có bật lên hay không. Nói tóm lại Packet Filtering Router có thể bảo vệ toàn mạng ở một mức nào ñó một cách triệt ñể.

Khả năng bảo vệ mạng ở một mức ñộ nào ñó có thể chỉ cần cung cấp bởi những Filtering Router. Nhờ Packet Filtering Router chúng ta có thể bảo vệ ñược việc tấn công hệ thống mạng ở dạng ñánh lừa ñịa chỉ (address – spoofing attacks). Với dạng tấn công này, người tấn công vào hệ thống thường lấy ñịa chỉ máy cục bộ

mới biết ñược những Packet loại này ñến từ mạng bên ngoài (Internet) mà có ñịa chỉ

nguồn giống những ñịa trong mạng mà nó bảo vệ, nên nó có thể phát hiện ra kiểu

ñánh lừa ñịa chỉ này.

Một phần của tài liệu An ninh mạng máy tính và ứng dụng tai viện phim việt nam (Trang 69)

Tải bản đầy đủ (PDF)

(107 trang)