Người sủ dụng chỉ quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cận được với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp phức tạp. Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các hacker, người làm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về đường đi của thông tin và các biện pháp bảo mật thích hợp tại mỗi lớp.
Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật kết hợp.
• Lớp 1: tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềm IOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết.
• Lớp 2: sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi có các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
• Lớp 3: tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng- failover) cho phép ngăn cách làm 3 vùng DMZ, Outside và Inside. Các Server công cộng sẽ thuộc vùng DMZ và được bảo vệ rất nghiêm ngặt.
• Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server. Hệ thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài. Tại đây, HIPS sẽ quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những thông báo cho quản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn cấp.
Hình 1.14. Mô hình bảo mật theo lớp