Vùng phi quân sự được tạo nên bởi một hay nhiều mạng LAN bị cô lập, nó có thể là gồm nhiều tài nguyên máy chủ được dùng chung như là các máy chủ Web, máy chủ DNS và email. Các máy chủ này có thể được nhìn thấy từ thế giới bên ngoài. Và các máy chủ đươc chia sẻ này có thể gọi là các các máy trạm phòng thủ, các máy chủ phòng thủ (bastion hosts, bastion servers) hay thậm chí là các host để thí mạng (sacrificial hosts)
Các host phòng thủ này phải được bảo vệ và phải nhận được sự duy trì mức độ bảo mật cao nhất vì chúng rất dễ bị tấn công từ thế giới bên ngoài. Các máy chủ phòng thủ thông thường chỉ chạy một ứng dụng đặc biệt để chia sẻ và dùng chung, tất cả các dịch vụ khác bị dừng lại hoặc bị tắt đi.
Firewall phải được cấu hình để cho phép truy nhập từ thế giới bên ngoài vào vùng DMZ một cách tương đối dễ dàng nhưng điều chỉnh được, trong khi đó bảo vệ được khu vực mạng bên trong. Người sử dụng trong khu vực mạng nội bộ bị hạn chế truy nhập vào các máy chủ trong vùng DMZ và cũng có thể là giới hạn những phiên xuất phát từ mạng bên trong. Nhìn chung thì firewall ngăn cản sự truy nhập từ bên ngoài vào mạng bên trong. Và hầu hết các trường hợp các truy nhập từ bên ngoài đi vào đều bị khóa. Nhưng có một ngoại lệ đối với máy chủ e mail nếu nó nằm trong mạng nội bộ thay vì DMZ.
4.2. KIẾN TRÚC FIREWALL CƠ BẢN 4.2.1.Kiến trúc cơ bản
Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và ngược lại.
Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được nối với mạng ngoài. Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ cổng có độ an toàn cao hơn ra cổng có độ an toàn thấp hơn trên firewall đều được phép nhưng khi đi từ cổng có độ an toàn thấp đến cổng có độ an toàn cao thì đều bị cấm. Đôi khi có những ngoại lệ (Exception) là do chủ ý của người quản trị.
Trong kiến trúc trên các router ngăn cách giữa mạng trong với firewall và mạng ngoài với firewall không chỉ giữ vai trò định tuyến và là cửa ngõ đi ra khỏi mạng mà còn giữ vai trò là bộ lọc gói (Packet filtering) không có trạng thái hoặc có trạng thái. Các server trong vùng đệm DMZ không chỉ là các server cung cấp các ứng dụng giao tiếp với người trên Internet mà còn giữ vai trò là proxy server.
Hình 2.18 . Kiến trúc firewall cơ bản
Đây là cấu hình cơ bản nhất của một mạng thông thường khi giao tiếp với Internet, ở đây firewall có cấu hình mặc định là 3 cổng. Khi quy mô và số mạng trong vùng nội bộ tăng lên có nhu cầu bảo mật khác nhau thì ta sử dụng số cổng nhiều hơn với cấu hình độ bảo mật trên các cổng khác nhau. Không chỉ có thế firewall còn được sử dụng với các công nghệ bảo mật khác nhằm mang lại hiểu quả an toàn cao nhất. Sau đây ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với một công nghệ bảo mật khác.
4.2.2. Dual – Homed System
Hệ thống là một máy tính có ít nhất 2 card mạng được chỉ ra trong hình 2.19. Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể được một các thủ công .Giả sử rằng hệ thống đang chạy WEB server .Nếu định tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau được .Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn có thể sử dụng cấu hình hệ thống này .Tuy nhiên
,các hacker có thể tấn công vào sơ hở này (nếu trường hợp các ứng dụng và bản vá lỗi chưa được cài đặt )
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng
4.2.3. Kiến trúc Screen Host
Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng vai trò kiểm soát toàn bộ gói tin vào ra
Hình 2.20. Kiến trúc Screening Host
Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho phép hay không
cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin từ mạng ngoài vào nội bộ
4.2.4. Kiến trúc Screeded Subnet
Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo mật được thêm vào giữa vùng ưu tiên và vùng nội bộ
hình 2.21. Kiến trúc Screened Subnet
Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài phòng ngự không thể chống lại được tấn công từ hacker
4.3. MÔ HÌNH FIREWALL PHỨC TẠP Sơ đồ bố trí firewall của bộ tài chính
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính
Trong sơ đồ trên bộ tài chính đã sử dụng 2 hàng rào bảo vệ là 2 firewall đặt liên tiếp nhau FW1 và FW2. Firewall thứ nhất FW1 có 3 cổng làm nhiệm vụ điều khiển truy nhập của mạng bên trong ra Internet, firewall này vẫn sử dụng cấu hình 3 cổng mặc định. Firewall thứ 2 FW2 nằm sau FW1 có nhiệm vụ ngăn cách giữa các vùng có độ an
toàn khác nhau trong vùng nội mạng với cấu hình 4 cổng, trong đó có 3 cổng gắn với 3 mạng nội bộ khác nhau là GE3 đi ra khu vực trung tâm dữ liệu, nơi tập trung các server cho ngành tài chính có độ bảo mật cao nhất, GE4 đi ra mạng dành cho người sử dụng nội bộ có độ an toàn thấp hơn và FE2 đi ra khu vực mạng dành cho các server đóng vài trò quản lý. Cổng còn lại trên firewall này làm nhiệm vụ đi ra các mạng phía ngoài. Trong các vùng với độ an toàn khác nhau thì các cổng trên firewall cũng được cấu hình với mức độ an toàn tương ứng. Cũng giống như bộ tài chính techcombank là đơn vị hoạt động trong lĩnh vực tài chính có nhu cầu bảo mật rất cao. Ở đây ngoài việc sử dụng các sản phẩm firewall cứng như ASA của Cisco hay firewall mềm như Checkpoit của Nokia họ còn dùng kết hợp với IPS. Các thiết bị bảo mật đều được sử dụng sánh đôi để tạo nên cấu trúc dự phòng tin cậy.
Vậy tại sao ở đây lại sử dụng IPS kết hợp với firewall? Firewall là bức tường phòng thủ đầu tiên để chống lại các tấn công xâm nhập từ bên ngoài và thường là hệ thống đầu tiên mà những kẻ tấn công phải vượt qua . Không may là trong 1 số trường hợp Firewall có thể rất phức tạp dẫn đến khả năng cấu hình sai và việc này có thể làm cho hệ thống trở nên không được bảo vệ .
Do đó Firewall cần phải đi kèm với 1 số biện pháp bổ sung để có thể thực hiện tốt các chính sách an ninh của mình. Các hệ thống IPS ở đây được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng
Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank
4.4.1 Firewall có thể làm được gì ?
a. Firewall là 1 trung tâm cho các quyết định an ninh
Coi như Firewall là 1 điểm nút cổ chai ( choke point ) . Tất cả lưu lượng ra và và vào phải đi qua nút cổ chai hẹp và duy nhất này . Firewall cho phép tập trung các biện pháp an ninh tại điểm này : điểm mà mạng nội bộ kết nối vào mạng Internet .
Việc này sẽ hiệu quả và kinh tế hơn là phân bố các quyết định an ninh và công nghệ xung quanh mạng .
b. Firewall có thể thực hiện các chính sách an ninh mạng
Nhiều loại dịch vụ mà người sử dụng cần từ Internet vốn dĩ đã không an toàn . Firewall vai trò như 1 cảnh sát giao thông cho các loại dịch vị này .Nó thi hành các chính sách an ninh, cho phép chỉ các loại dịch vụ “được phép” đi qua và chỉ trong phạm vi các quy tắc đã đựợc thiết lập cho chúng .
Firewall có thể thi hành 1 số chính sách an ninh phức tạp hơn . Ví dụ , chỉ có 1 số hệ thống trong phạm vi Firewall là đựơc phép truyền và nhận file từ internet ,bằng cách sử dụng các biện pháp khác Firewall có thể kiểm soát user nào có quyền truy nhập vào những hệ thống như trên .
Phụ thuộc vào các công nghệ ta chọn để xây dựng Firewall, một Firewall có thể có khả năng nhiều hay ít để thi hành các chính sách như vậy.
c. Firewall có thể ghi chép lại các hoạt động internet một cách hiệu quả
Do tất cả các lưu lượng đi qua Firewall , nên nó có 1 khả năng thu thập thông tin về việc sử dụng hệ thống và mạng cũng như sự lạm dụng nó. Cũng do là 1 điểm truy nhập riêng biệt , Firewall có thể ghi lại những gì xảy ra giữa mạng đựơc bảo vệ và mạng bên ngoài .
d.Firewall có thể kiểm soát các phần trong một mạng nội bộ
Đôi khi , Firewall được sử dụng để ngăn cách các phần khác nhau của cùng 1 mạng nội bộ . Do đó giữ cho các vấn đề tác động đến 1 phần không tác động đến các phần khác . Trong 1 số trường hợp, 1 phần này của mạng có thể tin cậy hơn phần khác, phần này có thể nhạy cảm hơn phần khác . Với tất cả các lý do đó , sự tồn tại của
Firewall sẽ hạn chế thiệt hại mà 1 vấn đề an ninh mạng có thể ảnh hưởng đến toàn mạng .
4.1.2. Firewall không thể làm được những gì ?
Firewall có thể mang lại sự bảo vệ chống lại các mối đe dọa từ mạng bên ngoài nhưng Firewall không phải là 1 biện pháp an ninh toàn diện, 1 số các mối đe dọa nằm ngoài tầm kiểm soát của Firewall . Do đó ta cần tìm ra các biện pháp để chống lại các mối đe dọa đó bằng cách kết hợp với an ninh mức vật lý , an ninh máy chủ cũng như sự giáo dục người dùng vào cùng 1 chính sách an ninh chung.
Một số hạn chế của Firewall :
a. Firewall không thể chống lại các mối nguy hại đã xâm nhập vào bên trong
Một Firewall có thể kiểm soát các thông tin bí mật mà 1 user gửi ra khỏi mạng nội bộ đi qua 1 kết nối mạng. Tuy nhiên user vẫn có thể copy dữ liệu vào đĩa, băng hay ra giấy và mang nó đi mà Firewall không thể ngăn cản .
Nếu như kẻ tấn công đã ở bên trong Firewall rồi thì có thể Firewall hầu như không thể làm gì được nữa .Các user bên trong có thể ăn cắp dữ liệu, phá hủy phần cứng, phần mềm hay thay đổi các chương trình mà không cần tiếp cận Firewall .
Các mối đe dọa ở nội bộ đòi hỏi các biện pháp an ninh nội bộ như an ninh máy chủ hay việc giáo dục đối với người dùng .
b. Firewall không thể chống lại các kết nối mà không đi qua nó .
Một Firewall có thể kiểm soát hiệu quả các lưu lượng đi qua nó tuy nhiên , Firewall không thể làm gì được nếu như lưu lượng đó không đi qua nó. Ví dụ , điều gì sẽ xảy ra nếu như 1 site cho phép sự truy nhập quay số (qua đường điện thoại) vào 1 hệ thống đằng sau Firewall .Firewall hoàn toàn không có cách nào ngăn cản sự xâm nhập qua 1 modem như vậy.
Đôi khi các chuyên gia kỹ thuật quản trị hệ thống mở ra những cửa hậu (BackDoor) vào trong mạng ( như là 1 kết nối qua modem dạng quay số ) tạm thời hay cố định . Firewall không thể làm gì trong trường hợp này. Đó là 1 vấn đề về quản lý nhân sự chứ không phải là 1 vấn đề kỹ thuật .
c. Firewall khó có thể chống lại các mối đe dọa kiểu mới
Firewall được thiết kế để bảo vệ lại các mối đe dọa đã biết . Một Firewall được thiết kế tốt có thể chống lại mối đe dọa mới. Ví dụ, bằng cách từ chối tất cả trừ 1 vài dịch vụ tin cậy, Firewall sẽ ngăn chặn mọi người thiết lập các dịch vụ mới không an toàn.
Tuy nhiên, không có Firewall nào có thể tự động bảo vệ để chống lại các mối nguy hại mới nảy sinh. Các kẻ tấn công sẽ tìm ra các cách thức tấn công mới, có thể sử dụng các dịch vụ tin cậy trước đó hay sử dụng các cách tấn công chưa từng có trước đó. Do đó không thể thiết lập Firewall 1 lần và hy rằng nó có thể bảo vệ ta mãi mãi .
d. Firewall khó có thể bảo vệ ta chống lại các loại virus
Firewall không thể giữ cho mạng khỏi tầm ảnh hưởng của virus . Mặc dù nhiều loại Firewall quét tất cả các lưu lượng đến để quyết định xem nó có được phép đi vào mạng nội bộ hay không . Nhưng việc quét này chủ yếu là đối với các địa chỉ đích , địa chỉ nguồn và số cổng chứ phải là nội dung của dữ liệu .Thậm chí với các phần mềm lọc gói và proxy phức tạp , việc bảo vệ chống lại virus tại Firewall là không thực tế lắm . Đơn giản là có nhiều loại virus và cũng có quá nhiều cách để virus có thể giấu mình trong dữ liệu .Việc phát hiện virus trong 1 gói dữ liệu ngẫu nhiên đi qua Firewall là rất khó . Nó đòi hỏi :
• Nhận dạng packet như là 1 phần của dữ liệu
• Xác định chương trình virus đó như thế nào .
• Xác định xem có sự thay đổi nào khi có virus.
Thậm chí ngay cả cái điều thứ nhất đã là 1 thử thách. Hầu hết những máy mà Firewall bảo vệ , mỗi máy có 1 loại định dạng khác nhau. Hơn nữa hầu hết các chương trình được đóng gói cho việc vận chuyển cững như được nén lại. Các Packet được chuyển qua email hoặc Usenet news cũng như được mã hóa dưới dạng ký tự ASCII theo nhiều cách khác nhau .
Với tất cả các lý do đó User có thể mang virus qua Firewall mà không cần để ý đến Firewall như thế nào .
Phương pháp thực tế nhất để giải quyết vấn đề virus là sử dụng phần mềm bảo vệ chống lại virus dựa trên máy chủ , và việc giáo dục người dùng liên qua tới các mối nguy hiểm của virus và sự đề phòng chúng.
KẾT LUẬN
Không có một tài liệu nào có thể lường hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách tốt nhất vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng. Trong các lựa chọn về giải pháp an ninh hiện nay thì firewall là một trong nhưng ưu tiên hàng đầu.
Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai.