Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng vai trò kiểm soát toàn bộ gói tin vào ra
Hình 2.20. Kiến trúc Screening Host
Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho phép hay không
cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin từ mạng ngoài vào nội bộ
4.2.4. Kiến trúc Screeded Subnet
Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo mật được thêm vào giữa vùng ưu tiên và vùng nội bộ
hình 2.21. Kiến trúc Screened Subnet
Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài phòng ngự không thể chống lại được tấn công từ hacker
4.3. MÔ HÌNH FIREWALL PHỨC TẠP Sơ đồ bố trí firewall của bộ tài chính
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính
Trong sơ đồ trên bộ tài chính đã sử dụng 2 hàng rào bảo vệ là 2 firewall đặt liên tiếp nhau FW1 và FW2. Firewall thứ nhất FW1 có 3 cổng làm nhiệm vụ điều khiển truy nhập của mạng bên trong ra Internet, firewall này vẫn sử dụng cấu hình 3 cổng mặc định. Firewall thứ 2 FW2 nằm sau FW1 có nhiệm vụ ngăn cách giữa các vùng có độ an
toàn khác nhau trong vùng nội mạng với cấu hình 4 cổng, trong đó có 3 cổng gắn với 3 mạng nội bộ khác nhau là GE3 đi ra khu vực trung tâm dữ liệu, nơi tập trung các server cho ngành tài chính có độ bảo mật cao nhất, GE4 đi ra mạng dành cho người sử dụng nội bộ có độ an toàn thấp hơn và FE2 đi ra khu vực mạng dành cho các server đóng vài trò quản lý. Cổng còn lại trên firewall này làm nhiệm vụ đi ra các mạng phía ngoài. Trong các vùng với độ an toàn khác nhau thì các cổng trên firewall cũng được cấu hình với mức độ an toàn tương ứng. Cũng giống như bộ tài chính techcombank là đơn vị hoạt động trong lĩnh vực tài chính có nhu cầu bảo mật rất cao. Ở đây ngoài việc sử dụng các sản phẩm firewall cứng như ASA của Cisco hay firewall mềm như Checkpoit của Nokia họ còn dùng kết hợp với IPS. Các thiết bị bảo mật đều được sử dụng sánh đôi để tạo nên cấu trúc dự phòng tin cậy.
Vậy tại sao ở đây lại sử dụng IPS kết hợp với firewall? Firewall là bức tường phòng thủ đầu tiên để chống lại các tấn công xâm nhập từ bên ngoài và thường là hệ thống đầu tiên mà những kẻ tấn công phải vượt qua . Không may là trong 1 số trường hợp Firewall có thể rất phức tạp dẫn đến khả năng cấu hình sai và việc này có thể làm cho hệ thống trở nên không được bảo vệ .
Do đó Firewall cần phải đi kèm với 1 số biện pháp bổ sung để có thể thực hiện tốt các chính sách an ninh của mình. Các hệ thống IPS ở đây được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank
4.4.1 Firewall có thể làm được gì ?
a. Firewall là 1 trung tâm cho các quyết định an ninh
Coi như Firewall là 1 điểm nút cổ chai ( choke point ) . Tất cả lưu lượng ra và và vào phải đi qua nút cổ chai hẹp và duy nhất này . Firewall cho phép tập trung các biện pháp an ninh tại điểm này : điểm mà mạng nội bộ kết nối vào mạng Internet .
Việc này sẽ hiệu quả và kinh tế hơn là phân bố các quyết định an ninh và công nghệ xung quanh mạng .
b. Firewall có thể thực hiện các chính sách an ninh mạng
Nhiều loại dịch vụ mà người sử dụng cần từ Internet vốn dĩ đã không an toàn . Firewall vai trò như 1 cảnh sát giao thông cho các loại dịch vị này .Nó thi hành các chính sách an ninh, cho phép chỉ các loại dịch vụ “được phép” đi qua và chỉ trong phạm vi các quy tắc đã đựợc thiết lập cho chúng .
Firewall có thể thi hành 1 số chính sách an ninh phức tạp hơn . Ví dụ , chỉ có 1 số hệ thống trong phạm vi Firewall là đựơc phép truyền và nhận file từ internet ,bằng cách sử dụng các biện pháp khác Firewall có thể kiểm soát user nào có quyền truy nhập vào những hệ thống như trên .
Phụ thuộc vào các công nghệ ta chọn để xây dựng Firewall, một Firewall có thể có khả năng nhiều hay ít để thi hành các chính sách như vậy.
c. Firewall có thể ghi chép lại các hoạt động internet một cách hiệu quả
Do tất cả các lưu lượng đi qua Firewall , nên nó có 1 khả năng thu thập thông tin về việc sử dụng hệ thống và mạng cũng như sự lạm dụng nó. Cũng do là 1 điểm truy nhập riêng biệt , Firewall có thể ghi lại những gì xảy ra giữa mạng đựơc bảo vệ và mạng bên ngoài .
d.Firewall có thể kiểm soát các phần trong một mạng nội bộ
Đôi khi , Firewall được sử dụng để ngăn cách các phần khác nhau của cùng 1 mạng nội bộ . Do đó giữ cho các vấn đề tác động đến 1 phần không tác động đến các phần khác . Trong 1 số trường hợp, 1 phần này của mạng có thể tin cậy hơn phần khác, phần này có thể nhạy cảm hơn phần khác . Với tất cả các lý do đó , sự tồn tại của
Firewall sẽ hạn chế thiệt hại mà 1 vấn đề an ninh mạng có thể ảnh hưởng đến toàn mạng .
4.1.2. Firewall không thể làm được những gì ?
Firewall có thể mang lại sự bảo vệ chống lại các mối đe dọa từ mạng bên ngoài nhưng Firewall không phải là 1 biện pháp an ninh toàn diện, 1 số các mối đe dọa nằm ngoài tầm kiểm soát của Firewall . Do đó ta cần tìm ra các biện pháp để chống lại các mối đe dọa đó bằng cách kết hợp với an ninh mức vật lý , an ninh máy chủ cũng như sự giáo dục người dùng vào cùng 1 chính sách an ninh chung.
Một số hạn chế của Firewall :
a. Firewall không thể chống lại các mối nguy hại đã xâm nhập vào bên trong
Một Firewall có thể kiểm soát các thông tin bí mật mà 1 user gửi ra khỏi mạng nội bộ đi qua 1 kết nối mạng. Tuy nhiên user vẫn có thể copy dữ liệu vào đĩa, băng hay ra giấy và mang nó đi mà Firewall không thể ngăn cản .
Nếu như kẻ tấn công đã ở bên trong Firewall rồi thì có thể Firewall hầu như không thể làm gì được nữa .Các user bên trong có thể ăn cắp dữ liệu, phá hủy phần cứng, phần mềm hay thay đổi các chương trình mà không cần tiếp cận Firewall .
Các mối đe dọa ở nội bộ đòi hỏi các biện pháp an ninh nội bộ như an ninh máy chủ hay việc giáo dục đối với người dùng .
b. Firewall không thể chống lại các kết nối mà không đi qua nó .
Một Firewall có thể kiểm soát hiệu quả các lưu lượng đi qua nó tuy nhiên , Firewall không thể làm gì được nếu như lưu lượng đó không đi qua nó. Ví dụ , điều gì sẽ xảy ra nếu như 1 site cho phép sự truy nhập quay số (qua đường điện thoại) vào 1 hệ thống đằng sau Firewall .Firewall hoàn toàn không có cách nào ngăn cản sự xâm nhập qua 1 modem như vậy.
Đôi khi các chuyên gia kỹ thuật quản trị hệ thống mở ra những cửa hậu (BackDoor) vào trong mạng ( như là 1 kết nối qua modem dạng quay số ) tạm thời hay cố định . Firewall không thể làm gì trong trường hợp này. Đó là 1 vấn đề về quản lý nhân sự chứ không phải là 1 vấn đề kỹ thuật .
c. Firewall khó có thể chống lại các mối đe dọa kiểu mới
Firewall được thiết kế để bảo vệ lại các mối đe dọa đã biết . Một Firewall được thiết kế tốt có thể chống lại mối đe dọa mới. Ví dụ, bằng cách từ chối tất cả trừ 1 vài dịch vụ tin cậy, Firewall sẽ ngăn chặn mọi người thiết lập các dịch vụ mới không an toàn.
Tuy nhiên, không có Firewall nào có thể tự động bảo vệ để chống lại các mối nguy hại mới nảy sinh. Các kẻ tấn công sẽ tìm ra các cách thức tấn công mới, có thể sử dụng các dịch vụ tin cậy trước đó hay sử dụng các cách tấn công chưa từng có trước đó. Do đó không thể thiết lập Firewall 1 lần và hy rằng nó có thể bảo vệ ta mãi mãi .
d. Firewall khó có thể bảo vệ ta chống lại các loại virus
Firewall không thể giữ cho mạng khỏi tầm ảnh hưởng của virus . Mặc dù nhiều loại Firewall quét tất cả các lưu lượng đến để quyết định xem nó có được phép đi vào mạng nội bộ hay không . Nhưng việc quét này chủ yếu là đối với các địa chỉ đích , địa chỉ nguồn và số cổng chứ phải là nội dung của dữ liệu .Thậm chí với các phần mềm lọc gói và proxy phức tạp , việc bảo vệ chống lại virus tại Firewall là không thực tế lắm . Đơn giản là có nhiều loại virus và cũng có quá nhiều cách để virus có thể giấu mình trong dữ liệu .Việc phát hiện virus trong 1 gói dữ liệu ngẫu nhiên đi qua Firewall là rất khó . Nó đòi hỏi :
• Nhận dạng packet như là 1 phần của dữ liệu
• Xác định chương trình virus đó như thế nào .
• Xác định xem có sự thay đổi nào khi có virus.
Thậm chí ngay cả cái điều thứ nhất đã là 1 thử thách. Hầu hết những máy mà Firewall bảo vệ , mỗi máy có 1 loại định dạng khác nhau. Hơn nữa hầu hết các chương trình được đóng gói cho việc vận chuyển cững như được nén lại. Các Packet được chuyển qua email hoặc Usenet news cũng như được mã hóa dưới dạng ký tự ASCII theo nhiều cách khác nhau .
Với tất cả các lý do đó User có thể mang virus qua Firewall mà không cần để ý đến Firewall như thế nào .
Phương pháp thực tế nhất để giải quyết vấn đề virus là sử dụng phần mềm bảo vệ chống lại virus dựa trên máy chủ , và việc giáo dục người dùng liên qua tới các mối nguy hiểm của virus và sự đề phòng chúng.
KẾT LUẬN
Không có một tài liệu nào có thể lường hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách tốt nhất vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng. Trong các lựa chọn về giải pháp an ninh hiện nay thì firewall là một trong nhưng ưu tiên hàng đầu.
Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin, ...
Một công nghệ không thể là một giải pháp hoàn hảo cho toàn bộ chiến lược bảo mật của tổ chức, các sản phẩm firewall dù có tốt đến mấy cũng bộc lộ những nhược điểm của mình, những nhược điểm đó có thể được khắc phục bằng các công nghệ khác như IPS, IPSec vv...
Khi xem xét lựa chọn công nghệ bảo mật các công nghệ bảo mật phải luôn có một cái nhìn khái quát trong một bức tranh tổng thể. Và mô hình bảo mật phân lớp là một cơ sở khoa học để các tổ chức căn cứ vào đó lựa chọn các công nghệ bảo mật cho phù hợp với nhu cầu và khả năng tài chính của mình.
Cho dù các công nghệ có được trang bị hoàn hảo đến đâu mà không chú ý đến yếu tố con người thì cũng là một sai lầm lớn. Trong mọi kế hoạch để thành công thì con người bao giờ cũng được đặt ở vị trí trung tâm. Trong kế hoạch bảo mật cũng thế, con người là nhân tố có ý nghĩa quyết định tới độ an toàn nếu có ý thức bảo mật cao và cũng là hiểm họa khôn lường nếu chính là kẻ tấn công từ ngay trong nội bộ của tổ chức. Việc ban hành các policy cho con người cần phải tuân theo các tiêu chuẩn quốc tế đã có sẵn như ISO 17799.
Trên thế giới kĩ thuật phát triển theo từng ngày, các biện pháp tấn công ngày càng mới mẻ và tinh vi hơn. Các công nghệ bảo mật trang bị cho tổ chức cũng cần phải được cải tiến, cập nhật ngày giờ để kịp thời chống lại mọi sự phá hoại đó. Ý thức của con người cũng cần không ngừng được nâng cao.
Bảo mật hiện nay đang là một vấn đề rất nóng bỏng khi mà thông tin là tài sản quý giá hàng đầu của các tổ chức doanh nghiệp, vì vậy tôi rất hy vọng thông qua đồ án này sẽ mang lại cho người đọc được những hiểu biết chung nhất về các khái niệm liên quan đến bảo mật thông tin và cái nhìn chi tiết về công nghệ firewall, một trong các công nghệ được sử dụng rất phổ biến hiện nay.
Vì thời gian có hạn và kinh nghiệm thực tế ít nên trong khuôn khổ đồ án này tôi chỉ giới thiệu được phần nào những vấn đề đã nêu ra. Hy vọng tiếp theo đồ án này tôi sẽ có một bước nghiên cứu sâu hơn nữa về các công nghệ bảo mật nói chung và firewall nói riêng nhằm đem những điều mình học được vào phục vụ công việc cũng như cuộc sống.
TÀI LIÊỤ THAM KHẢO
1. Nguyễn Thúc Hải, Giáo trình “Mạng máy tính và các hệ thống mở”, Nhà xuất bản Giáo Dục,1999.
2. CCSP -Cisco Certified Security Professional Certification Examguide-All in One of Robert E. Larson and Lance Corkcroft published by Mc GrawHill
3. SNPA- Securing Networks with PIX and ASA Volume 1 Copyright 2005, Cisco Systems, Inc. All rights reserved.
4. Cisco Networking Academy Program Companion Guide Student book -Third Edition
5. William Stallings, “Data & Computer Communication”, Sixth Edition, Prentice- Hall, 2000.
6. Michael Howard, Marc Levy, Richard Waymire “Designing Secure Web-Based Application for Microsoft Windows 2000 eBook”, Microsoft Press, 2000.
7. Tony Northrup, Orin Thomas “Implementing and Aministering Security in a Microsoft Windows Server 2003 Network”, Microsoft Press, 2004.
8. Jeffrey Richter, “Programing Server - Side Applications for Microsoft Windows 2000 eBook”, Microsoft Press, 2000.
9. Firewalls 24Seven, Second Edition ; Matthew Strebe ,Charles Perkins
10.Firewall Technologies , Habtamu Abie ;Norwegian Computing Center P. O. Box 114 Blindern, 0314 Oslo, Norway
11.Website: http://w ww.verisign.com
12.Website: http://phamtrongdiem.wordpress.com 13.Website: http://vi.wikipedia.org
14.Website: http://www.quantrimang.com 15.Website: http://www.cftdnet.com