IV. CÁC MƠ HÌNH FIREWALL.
IV.3 Screened Host.
Screened Host cĩ cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngồi. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering.
Bastion hostđược đặt bên trong mạng nội bộ. Packet Filteringđược cài trên Router. Theo cách này,
Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet cĩ thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngồi nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong
đều phải kết nối tới host này. Vì thếBastion host là host cần phải được duy trì ở chếđộ bảo mật cao.
Packet filtering cũng cho phép bastion host cĩ thể mở kết nối ra bên ngồi. Cấu hình của packet filtering trên screening router như sau:
- Cho phép tất cả các host bên trong mở kết nối tới host bên ngồi thơng qua một số dịch vụ cố
Tài liệu hướng dẫn giảng dạy
- Khơng cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch
proxy thơng qua bastion host).
Bạn cĩ thể kết hợp nhiều lối vào cho những dịch vụ khác nhau:
- Một số dịch vụđược phép đi vào trực tiếp qua packet filtering.
- Một số dịch vụ khác thì chỉđược phép đi vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đi từ bên ngồi vào mạng bên trong, nĩ dường như là nguy hiểm hơn kiến trúc Dual-homed host, vì thế nĩ được thiết kế để khơng một packet nào cĩ thể tới
được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed hostđơi khi cũng cĩ lỗi mà cho phép các packet thật sự đi từ bên ngồi vào bên trong (bởi vì những lỗi này hồn tồn khơng biết trước, nĩ hầu như khơng được bảo vệ để chống lại những kiểu tấn cơng này). Hơn nữa, kiến trúc
dual-homed host thì dễ dàng bảo vệRouter (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng.
Xét về tồn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an tồn hơn kiến trúc
Dual-homed host.
So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host cĩ một số bất lợi. Bất lợi chính là nếu kẻ tấn cơng tìm cách xâm nhập Bastion Host thì khơng cĩ cách nào để ngăn tách giữa Bastion Host và các host cịn lại bên trong mạng nội bộ. Router cũng cĩ một sốđiểm yếu là nếu Router bị tổn thương, tồn bộ mạng sẽ bị tấn cơng. Vì lý do này mà Sceened
subnet trở thành kiến trúc phổ biến nhất.
Hình 6.5 – Kiến trúc Firewall Screened host.