c. Demilitarized Zone (DMZ khu vực phi quân sự) hay Screened-subnet Firewall
2.3.Cách thức xây dựng firewall
Trong quá trình xây dựng một tường lửa đòi hỏi bước tiến hành đều phải được nên kế hoạch trước và phối hợp chặt chẽ với nhau. Và để giải quyết vấn đề lớn nhất là xây dựng thành công một tường lửa hoạt động theo hiệu quả thì ta phải xây dựng từng bước thật vững chắc, hạn chế tối đa những sai sót đáng tiếc có thể xảy ra trong quá trình xây dựng.
2.3.1. Xây dựng các nguyên tắc căn bản(Rule Base)
Muốn xây dựng được một Firewall thành công thì nó phải thực hiện theo một số quy tắc căn bản nhất định (Rule base). Khi có một gói tin IP đi qua tường lửa thì nó sẽ phải dựa các quy tắc căn bản này để phân tích và lọc gói tin. Vì thế chúng ta phải đưa ra các quy tắc thật đơn giản, ngắn gọn và dễ hiểu nhầm tăng tốc độ sử lý gói tin trong tường lửa và sẽ tránh được tắc nghẽn, đồng thời nó còn giúp cho việc thay đổi và bảo trì hệ thống được dễ dàng hơn rất nhiều. Thông thường thì ta nên dùng không quá 30 quy tắc căn bản và tối đa không đựoc quá 50 quy tắc vì nếu dùng quá nhiều sẽ làm cho việc lọc gói sẽ chậm hơn và cũng sẽ dễ gây ra lỗi vì các quy tắc có thể bị chồng chéo lên nhau.
2.3.2. Xây dựng chính sách an toàn (Security Policy)
Một tường lửa phải có các chính sách an toàn (security policy) vì thực chất tường lửa chỉ là một công cụ thực thi các chính sách an toàn. Việc quản lý và xây dựng chính sách an toàn một cách chặt chẽ sẽ tạo ra được sức mạnh cho tường lửa. Vì vậy trước khi chúng ta xây dựng các quy tắc căn bản thì chúng ta phải hiểu được chính sách an toàn của tường lửa cần xây dựng là gì ?
Và đồng thời cũng phải xây dựng các chính sách an toàn sao cho dễ hiểu và đơn giản một cách tương đối và không nên xây dựng một cách quá phức tạp dẫn đến chồng chéo dễ gây nhầm lẫn và dễ kiểm tra, bảo trì. Chúng ta có thể đưa ra một số chính sách an toàn rất đơn giản như sau:
Những máy trong mạng nội bộđược truy nhập ra Internet không giới hạn. Cho phép sự truy cập vào Web và Mail Server của mạng nội bộ từ Internet Tất cả các thông tin đi vào trong mạch nội bộ đều phải được xác thực và mã hoá.
Từ những chính sách rất đơn giản như ví dụ trên đây chúng ta có thể phát triển để thành những chính sách hoạt động một cách hiệu quả và phức tạp hơn rất nhiều. ví dụ giới hạn mạng nội bộ chỉđược sử dụng internet một cách hạn chế với một vài dịch vụ cơ bản như Mail, HTTP … mà thôi, còn lại ngăn cấm hoàn toàn dịch vụ truyền tệp FTP v.v…
2.3.3. Xây dựng kiến trúc an toàn
Các bước cần làm khi xây dựng một kiến trúc an toàn:
Đầu tiên thì ta cho phép tất cả các máy trong mạng nội bộ có thể truy cập ra Internet.
Sau đó ta thực hiện cài đặt các phần thồng tin không cần bảo vệ (ví dụ: Web Server và Mail Server) vào một vùng có tên kỹ thuật là vùng “phi quân sự” (Demilitarized Zone - MDZ). DMZ là một mạng tách biệt nơi mà ta sẽđặt các hệ thống mà chúng ta không hoàn toàn tin tưởng (vì một khi từ Internet có thể truy cập vào được trong DMZ của chúng ta nên không thể tin tưởng chúng). Bởi vậy những hệ thống trong DMZ sẽ không bao giờ kết nối trực tiếp với mạng bên trong một khi chúng chưa được tin cậy. Có hai loại DMZ là: DMZ được bảo vệ và DMZ không được bảo vệ. DMZ được bảo vệ là một phần tách rời ra bên ngoài của tường lửa. DMZ không được bảo vệ là phần mạng nằm giữa Router và tường lửa. Chúng ta nên dùng loại DMZ được bảo vệ, vì nơi đó là nơi chúng ta thường đặt cả Web Server và Mail Server
Con đường duy nhất có thể đi vào mạng nội bộ là phải đi qua sự kiểm soát của nhà quản trị mạng (cũng có thể cho phép thực hiện mạng từ xa)
Cái mà chúng ta có thể nói đến nữa là DNS (Domain Name Server). Chúng ta sẽ phải thực hiện chia DNS ra làm nhiều phần. Chia DNS thành nhiều phần có nghĩa là chia các thao tác của DNS sẽ thuộc hai máy chủ DNS khác nhau. Chúng
ta làm điều này vì ta sẽ để một máy chủ DNS sẽ lo cho chúng ta việc giải quyết thông tin tên miền của công ty với mạng bên ngoài. Và một máy chủ DNS ở bên trong để giải quyết vấn đề của mạng bên trong. Máy chủ DNS ngoài sẽ nằm trong DMS có được bảo vệ cùng với Web và Mail Server. Máy DNS bên trong sẽ nằm ở mạng bên trong với việc này sẽ giúp cho chúng ta không cho biết thông tin về tên miền trong màng nội bộ. Vì máy chủ DNS chứa thông tin về sơđồ của mạng bên trong nên cúng ta cần phải đặt dưới sự bảo vệ tránh lộ thông tin về bản đồ mạng.
2.3.4. Thứ tự các quy tắc trong bảng (Sequence of Rules Base)
Trước khi chúng ta xây dựng các quy tắc căn bản thì điều chúng ta cần phải quan tâm đến đó chính là thứ tự của các quy tắc (hay còn gọi là cấp độ của các quy tắc) và trong đó có một quy tắc đặc biệt, nó sẽ giữ vai trò then chốt trong chính sách bảo mật ở tường lửa của chúng ta. Có nhiều quy tắc có cấp độ tương tự như nhau nhưng vẫn phải đặt chúng theo một thứ tự trước/sau, việc này làm thay đổi phương thức làm việc căn bản của tường lửa. Đa số các tường lửa kiểm tra các gói tin một cách tuần tự và liên tục. Khi tường lửa nhận được một gói tin, nó sẽ xem xét gói tin đó có đúng với quy tắc nào trong bảng Rules base hay không bằng cách cho xét bắt đầu từ quy tắc thứ nhất, rồi quy tắc thứ hai … cho đến khi có quy tắc nào đó thoả mãn thì nó sẽ dừng công việc kiêm trả và nó sẽ thực thi theo quy tắc đó. Nếu gói tin đã được so sánh với tất cả các quy tắc trong bảng mà không có quy tắc nào thoảđáng thì gói tin đó sẽ bị từ chối (lọc bỏ). Vấn đề then chốt là phải sớm tìm được quy tắc đầu tiên thoả mãn để khớp được với quy tắc Rules Base để cho gói tin được nhanh chóng được đi qua. Và khi tìm hiểu rõ được điều này thì ta nên đặt các quy tắc đặc biệt trước tiên, rồi sau đó mới đến các quy tắc thông thường. Việc này ngăn chặn việc các quy tắc thông thường cho phép gói tin đi qua nhưng trong trường hợp đắc biệt lại không cho gói tin đi qua gây chồng chéo. Chính vì vậy phải luôn chú ý và phải đặt các quy tắc đặc biệt lên trước tiên rồi tới các nguyên tắc thông thường. Phải tuân thủ nguyên tắc này để tránh việc cấu hình bị sai giúp tường lửa làm việc hiệu quả, đồng thời dễ dàng trong công tác nâng cấp bảo trì và thay đổi sửa chữa.
2.3.5. Các quy tắc căn bản (Rules Base)
Default properties (nguyên tắc mặc định): Phải loại trừ tất cả các trường hợp này và phải chắc chắn một điều là không có một gói tin nào có thể đi qua được, bất kể gói tin đấy là gói tin gì.
Internal Outbound (đi từ mạng bên trong ra ngoài): Bước đầu tiên ta cho phép việc đi từ trong ra ngoài mà không có hạn chế nào. Và tất cả các dịch vụ cơ bản như Web, Mail, FTP v.v… đều cho phép
Lockdown (): Hạn chế tất cả không cho phép một sự sâm nhập nào vào tường lửa của chúng ta. Đây là quy tắc chuẩn mà quy tắc căn bản cần phải có. Không có bất kỳ sự sâm nhập nào vào tường lửa nhưng chúng ta lại cần có người quản trị tường lửa (Firewall Admins).
Admin Access (): Không ai có thể kết nối với tường lửa, bao gồm cả Admin. Chúng ta cũng phải tạo ra một quy tắc để cho phép Admin truy nhập vào được tường lửa
Drop All (): Thông thường thì ta sẽ loại bỏ tất cả các gói tin mà không phù hợp với quy tắc nào. Nhưng ta nên đưa gói tin này vào một bản ghi và ta sẽ thêm vào đó cuối danh sách các quy tắc. Đây là một quy tắc chuẩn mà ta nên có.
No Logging (): Thông thường sẽ có rất nhiều gói tin được giử đến tất cả các địa chỉ (vd: như tin quảng cáo) trên mạng. Khi đến tường lửa thì nó sẽ bị loại bỏ và sau đó được ghi vào bản ghi, nhưng việc này sẽ làm cho bản ghi nhanh chóng bị đầy. Chính vì vậy ta phải tạo một quy tắc sao cho khi ta bỏ gói tin ấy đi mà lại không ghi lại vào bản ghi. Đây cũng là một nguyên tắc căn bản mà đôi khi ta cũng phải dùng đến.
DNS Access (): Mô hình và các thành phần của tường lửa.