Bức tường lửa (Firewall) sẽ cho phép chúng ta lọc, ngăn chặn hay cho phép gói tin đi qua dựa trên địa chỉ nguồn, đích hay các dịch vụ đang sử dụng. Các firewall sẽ chia hệ thống mạng ra làm nhiều vùng khác nhau và việc truy cập từ vùng này sang vùng khác sẽ được kiểm soát chặt chẽ. Việc sử dụng bức tường lửa vào những vị trí thích hợp sẽ giúp ngăn chặn tối đa khả năng truy cập trái phép của các hacker .
Hình 1.15 Bảo mật sử dụng bức tường lửa
Hiện nay, có rất nhiều hướng giải pháp để xây dựng hệ thống tường lửa, được chia ra làm 2 nhóm sau: Giải pháp dùng phần cứng và Giải pháp dùng phần mềm.
• Giải pháp dùng phần cứng là dùng thiết bị Firewall phần cứng chuyên dụng hay còn gọi là “Firewall cứng”. Trong số này có hai nhà cung cấp nổi tiếng hàng đầu thế giới là PIX của Cisco và Netscreen của Junifer.
• Giải pháp dùng phần mềm là dùng các phần mềm có chức năng Firewall hay còn gọi là “Firewall mềm”. Nhà cung cấp sản phẩm Firewall mềm hàng đầu trên thế giới hiện nay là Checkpoint của Nokia.
Việc sử dụng Firewall “cứng” hay “mềm” còn tuỳ thuộc rất nhiều vào vị trí của các firewall này cũng như các thiết bị mạng đang được sử dụng trong hệ thống. Chi tiết hơn về việc sử dụng loại nào tại vị trí nào tôi sẽ trình bày chi tiết trong phần II của đồ án này .
Hệ thống giám sát, cảnh báo và ngăn chặn xâm nhập IPS
Chúng ta biết rằng các Firewall chỉ có khả năng ngăn chặn theo các dịch vụ và địa chỉ đích, địa chỉ nguồn. Xong khi một số dịch vụ bắt buộc phải mở như: WEB, Mail, các ứng dụng…sẽ tạo điều kiện cho hackers tấn công, và khi hacker tấn công ngay trên chính các dịch này thì firewall hoàn toàn mất tác dụng. Một trong những phương thức sử dụng để rò quét và ngăn chặn những hành động này là sử dụng IPS (Instrusion Prevention System).
IPS được phát triển lên từ IDS (Instrusion Detection System) Là hệ thống phát hiện các hành vi tấn công xâm nhập mạng. Nó “bắt” các gói tin lưu thông trong mạng để phân tích và đưa ra các cảnh báo và đóng vai trò như là “camera” theo dõi trong mạng.
Cũng giống IDS, IPS là hệ thống giám sát thời gian thực an ninh mạng nhằm nhanh chóng phát hiện, nhận dạng các cuộc tấn công nguy hiểm từ bên ngoài và ngay lập tức cảnh báo với người quản trị thông qua e-mail, tin nhắn, hay ghi nhận lại. Hơn thế nữa, hệ thống còn có thể tự động phản hồi lại các cuộc tấn công như chặn đứng các gói dữ liệu nguy hiểm, cập nhật vào các chính sách cho Firewall, Router hay Switch.
Hệ thống giám sát được phân loại dựa trên phương pháp giám sát ((monitoring method) gồm : Network Base IPS (NIPS)& Host Base IPS (HIPS) và Application Base IPS (AIPS):
• Host Base IPS dùng để giám sát một máy tính, một host nào đó, đặc biệt là các máy chủ.
• Network Base IPS dùng để giám sát tất cả các dòng dữ liệu lưu thông trên mạng và so sánh với các mẫu nhận dạng nguy hiểm đã được thông báo trước. Network IPS cho hệ thống mạng của doanh nghiệp có thể được đặt tại một mạng nào đó kết nối trực tiếp đến Firewall sao cho tất cả các dòng dữ liệu sẽ được phân tích và có hành động thích hợp.
• Application Base IPS dùng để giám sát các ứng dụng .
Hình 1.16 . Các loại IPS