c. Demilitarized Zone (DMZ khu vực phi quân sự) hay Screened-subnet Firewall
2.4.1. Bộ lọc gói (packet filtering)
Bộ lọc gói có những chức năng thực hiện việc kiểm tra số nhận dạng địa chỉ của gói tin để kiểm tra có thể cho phép chúng đi qua tường lửa hay không. Các thông tin có thể lọc được một gói tin bao gồm :
Địa chỉ nơi xuất phát hay còn gọi là địa chỉ nguồn (source IP Address) Địa chỉ nơi nhận hay còn gọi là địa chỉđích (destination IP Address). Số cổng của nơi xuất phát (source port).
Số cổng của nơi nhận (destination).
Nhờ vậy mà tường lửa có thể chặn được các kết nối từ mạng ngoài vào những máy chủ nội bộ hoặc vào trong mạng nội bộ. Từ những địa chỉ không cho phép.
Hơn nữa việc kiểm soát các cổng làm cho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủđã được định sẵn mà phục vụ cho một số dịch vụ nào đó (Telnet, SMTP,mail………) được phép sử dụng trên mạng nội bộ.
2.4.2. Cổng ứng dụng (Application Gateway)
Application Gateway được thiết kếđể tăng cường chức năng kiểm soát các loại dich vụ vào giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dưạ trên cái gọi là “dịch vụđại diện” (proxy Service).
Proxy Service hoạt động theo cơ chế: Một ứng dụng nào đó được quy chiếu đến (hay đại diện bởi) một proxy Service chạy trên các hệ thống máy chủ thì được quy chiếu đến ApplicationGateway của firewall. Cơ chế lọc của packet filtering phối hợp kiểm soát với cơ chế “đại diện của ”Application gateway cung cấp một khả năng an toàn hơn cho firewall trong việc giao tiếp thông tin với mạng ngoài.
Ví dụ một hệ thống mạng có chức năng lọc gói tin, nó sẽ ngăn các kết nối bằng Telnet vào hệ thống chỉ trừ một cổng duy nhất -Telnet Application Gateway- là được phép. Một người sử dụng dịch vụ Telnet muốn kết nối vào hệ thống phải thực hiện các bước sau:
Thực hiện dịch vụ Telnet đến Telnet Application Gateway rồi cho biết tên của máy chủ bên trong cần truy cập.
Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập rồi cho phép hoặc từ chối tuỳ theo chếđộ an ninh của hệ thống.
Người truy cập phải vượt qua được hệ thống kiểm tra xác định. Proxy service liên kết lưu thông giữa người truy cập với máy chủ.
Cơ chế hoạt động này có ý nghĩa quan trọng trong việc thiết kế an ninh hệ thống. Nó có thể cung cấp nhiều khả năng, ví dụ như:
Che dấu các thông tin: người dùng chỉ có thể nhìn thấy trực tiếp các Gateway được phép.
Tăng cường kiểm tra truy cập bằng các dịch vụ xác thực (Authentication). Giảm đáng kể giá thành cho việc phát triển các hệ quản trị xác thực vì hệ thống này được thiết kế chỉ quy chiếu đến Application Gateway.
Giảm thiếu các quy tắc kiểm soát của bộ lọc (Packet Filtering). Điều này làm tăng một cách đáng kể tốc độ hoạt động của Firewall.
2.4.3. Bộ lọc Sesion thông minh (Smart Sesion Filtering)
Cơ chế hoạt động phối hợp giữa bộ lọc packet và cổng ứng dụng như đề cập ở trên cung cấp một chếđộ an ninh cao tuy nhiên nó cũng tồn tại một vài hạn chế. Vấn đề chính hiện nay là làm sao để cung cấp đủ Proxy Service cho rất nhiều ứng dụng khác nhau đang phát triển ồạt. Điều này có nghĩa là nguy cơ, áp lực đối với việc firewall bịđánh lừa gia tăng lên rất lớn nếu các Proxy không kịp đáp ứng.
Trong khi giám sát các packet ở những mức phía trên, nếu như lớp Network đòi hỏi nhiều công sức đối với việc lọc các packet đơn giản, thì việc giám sát các giao dịch lưu thông ở mức mạng (Sesion) đòi hỏi ít công việc hơn. Cách này cũng loại bỏ được các dịch vụ đặc thù cho từng loại ứng dụng khác nhau.
Cơ chế hoạt động của bộ lọc sesion thông minh chính là việc kết hợp khả năng ghi nhận thông tin về các Sesion và sử dụng nó để tạo các quy tắc cho bộ lọc.
Biết rằng, một Sesion ở mức network được tạo bởi hai packet lưu thông hai chiều:
Một để kiểm soát các packet lưu thông từ host phát sinh ra nó đến máy chủ cần tới.
Một để kiểm soát packet trở về từ máy chủ phát sinh
Một bộ lọc thông minh sẽ nhận biết được rằng packet trở về theo chiều ngược lại nên quy tắc thứ hai là không cần thiết. Do vậy, cách tiếp nhận các packet không mong muốn sinh ra từ bên ngoài firewall sẽ khác biệt rất rõ với cách
tiếp nhận cho các packet do những kết nối được phép (ra bên ngoài). Và như vậy dễ dàng nhận dạng được các packet “bất hợp pháp”.
2.4.4. Firewall hỗn hợp (Hybrid Firewall)
Trong thực tế xây dựng, các firewall được sử dụng là kết hợp của nhiều kỹ thuật để tạo ra hiệu quả an ninh tối đa. Ví dụ việc để lọt lưới tại các kiểm soát của bộ lọc packet có thểđược thực hiện tại bộ lọc sesion thông minh ở mực ứng dụng. Các giám sát của bộ lọc lót chặt chẽ bởi các dịch vụ Proxy của Application Gateway.
2.5. Kết luận
Các hệ thống firewall thiết lập nhằm mục đích đảm bảo an ninh mạng thông qua việc kiểm soát phần header của các gói tin. Nhưng để sử dụng firewall đảm bảo được an ninh mạng một các hiệu quả thì người quản trị hệ thống cần có những hiểu biết sâu sắc về địa chỉ IP đích, địa chỉ IP nguồn, cổng dịch vụ, các giao thức mạng (TCP, UDP, SMTP…)và đặc biệt cần có những công cụ giúp cấu hình hệ thống firewall hiệu quả. Trong chương tiếp theo này em sẽ trình bày về công cụ FirewallIptable được tích hợp trên hệ điều hành mã nguồn mở Linux để bảo vệ cho mạng nội bộ.
Chương 3: