III. INTERNET FIREWALL
3.7.1 Packet-Filtering Router (Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packet- filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông.
Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối.
a. Ưu điểm:
- Giá thành thấp, cấu hình đơn giản - Trong suốt(transparent) đối với user.
b. Hạn chế:
- Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch vụ đã được phép.
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lợng các host và
dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
The Internet
Bªn ngoµi Packet filtering
router
M¹ng néi bé Bªn trong