III. INTERNET FIREWALL
3.7.1Packet-Filtering Router (Bộ trung chuyển cĩ lọc gĩi)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet- filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router cĩ hai chức năng: chuyển tiếp truyền thơng giữa hai mạng và sử dụng các quy luật về lọc gĩi để cho phép hay từ chối truyền thơng.
Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ cĩ một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mơ cấu trúc firewall này là tất cả những gì khơng được chỉ ra rõ ràng là cho phép thì cĩ nghĩa là bị từ chối.
a. Ưu điểm:
- Giá thành thấp, cấu hình đơn giản - Trong suốt(transparent) đối với user.
b. Hạn chế:
- Cĩ rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị tấn cơng vào các bộ lọc mà cấu hình được đặt khơng hồn hảo, hoặc là bị tấn cơng ngầm dưới những dịch vụ đã được phép.
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thơng qua router, nguy cơ bị tấn cơng quyết định bởi số lợng các host và dịch vụ được phép. Điều đĩ dẫn đến mỗi một host được phép truy nhập trực tiếp vào
Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem cĩ dấu hiệu của sự tấn cơng nào khơng.
- Nếu một packet-filtering router do một sự cố nào đĩ ngừng hoạt động, tất cả hệ thống trên mạng nội bộ cĩ thể bị tấn cơng.
The Internet
Bªn ngoµi Packet filtering
router
M¹ng néi bé Bªn trong