Phần III: Bức tờng lửa (Firewall)
2.1. Kiến trỳc Dual–homed Host
Hỡnh 36: Sơ đồ kiến trỳc Dual–homed Host
Dual–homed Host là hỡnh thức xuất hiện đầu tiờn trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed Host là một mỏy tớnh cú hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet).
Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển cỏc gúi tin (Packet forwarding) giữa hai giao tiếp mạng này khụng hoạt động. Để làm việc được với một mỏy trờn Internet, người dựng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đú bắt đầu phiờn làm việc.
Ưu điểm của Dual–homed Host:
• Cài đặt dễ dàng, khụng yờu cầu phần cứng hoặc phần mềm đặc biệt. • Dual–homed Host chỉ yờu cầu cấm khả năng chuyển cỏc gúi tin, do vậy, thụng thường trờn cỏc hệ Unix, chỉ cần cấu hỡnh và dịch lại nhõn (Kernel) của hệ điều hành là đủ.
Nhược điểm của Dual–homed Host:
• Khụng đỏp ứng được những yờu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường.
• Khụng cú khả năng chống đỡ những cuộc tấn cụng nhằm vào chớnh bản thõn nú, và khi Dual–homed Host đú bị đột nhập, nú sẽ trở thành đầu cầu lý tưởng để tấn cụng vào mạng nội bộ.
Đỏnh giỏ về kiến trỳc Dual–homed Host:
Để cung cấp dịch vụ cho những người sử dụng internal network cú một số giải phỏp như sau:
− Kết hợp với cỏc Proxy Server cung cấp những Proxy Service
− Cấp cỏc account cho user trờn mỏy dual–homed host này và khi mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thỡ họ phải logging in vào mỏy này.
Nếu dựng phương phỏp cấp account cho user trờn mỏy dual– homed host thỡ user khụng thớch sử dụng dịch vụ phiền phức như vậy, vỡ mỗi lần họ muốn sử dụng dịch vụ thỡ phải loging in vào mỏy khỏc (dual homed host) khỏc với mỏy của họ đõy là vấn đề rất là khụng trong suốt với người sử dụng.
Nếu dựng Proxy Server : Khú cú thể cung cấp được nhiều dịch vụ cho người sử dụng vỡ phần mềm Proxy Server và Proxy Client khụng phải loại dịch vụ nào cũng cú sẵn. Hoặc khi số dịch vụ cung cấp nhiều thỡ khả năng đỏp ứng của hệ thống cú thể giảm xuống vỡ tất cả cỏc Proxy Server đều đặt trờn cựng một mỏy.
Một khuyết điểm cơ bản của hai mụ hỡnh trờn nữa là: khi mà mỏy dual – homed host núi chung cũng như cỏc Proxy Server bị đột nhập vào. Người tấn cụng (attacker) đột nhập vào được qua nú thỡ lưu thụng bờn trong internal network bị attacker này thấy hết điều này thỡ hết sức nguy hiểm . Trong cỏc hệ thống mạng dựng Ethernet hoặc Token Ring thỡ dữ liệu lưu thụng trong hệ thống cú thể bị bất kỳ mỏy nào nối vào mạng đỏnh cắp dữ liệu cho nờn kiến trỳc trờn chỉ thớch hợp với một số mạng nhỏ .