Các ví dụ Firewall

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 44 - 46)

PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN

7. Tìm Hiểu Về Hệ Thống Firewall

7.4 Các ví dụ Firewall

- Bộ định tuyến lọc gói tin (Packet-Filtering Router)

Bộ lọc này phổ biến nhất vì chỉ bao gồm một bộ định tuyến lọc gói tin

đặt giữa mạng nội bộ và internet. Có hai chức năng chính là chuyển tiếp truyền

tải giữa hai mạng và sử dụng các bộ luật về lọc gói tin để cho phép hay từ chối truyền.

Ưu Điểm Nhược Điểm

- Giá thành thấp - Cấu hình đơn giản

- Dễ bị tấn công vào các bộ lọc cấu hình khơng hồn hảo, tấn cơng ngầm

dưới những dịch vụ đã được phép.

- Tất cả hệ thống trong mạng nội bộ sẽ bị tấn công nếu bộ lọc do một sự cố

nào đó ngừng hoạt động.

- Nguy cơ bị tấn công cao hơn vì các gói tin trao đổi trực tiếp với nhau chỉ

thông qua router. - Screened Host Firewall

Hệ thống này bao gồm một router lọc gói tin và một bastion host. Nó thực hiện việc bảo mật ở cả tầng network (packet filtering) và ở tầng ứng dụng, một khi có sự tấn cơng bên ngồi vào thì nó phải vượt qua hai tầng bảo mật. Hệ thống này có dạng:

o Single – Homed Bastion Host

Mơ hình hệ thống này bastion host được cấu hình trong mạng nội bộ, bơ luật lọc gói tin cài trên router sao cho tất cả các hệ thống bên ngồi chỉ có thể truy cập vào được bastion host. Các truy cập từ bên ngoài vào trong mặc định

đều bị khố, cịn các truy xuất ra ngoài phải được xác nhận và xuất phát từ

Hình 12. Single-Homed Bastion Host.

o Dual – Homed Bastion Host

Cung cấp độ bảo mật cao hơn, vì hệ thống dùng 2 cổng mạng một nối với cổng ra internet, cổng còn lại nối với mạng nội bộ. Với mơ hình này thì trong hệ thống chỉ có duy nhất bastion host có thể truy cập được từ internet, sẽ hạn chế được sự tấn cơng . Cần cấu hình chặn khơng cho người dùng truy cập vào bastion host vì họ sẽ dễ dàng truy cập được mạng nội bộ một khi vào được bastion host.

Hình 13. Dual-Homed Bastion Host

- Vùng phi quân sự (DMZ Zone)

Hệ thống này còn được gọi là screen-subnet firewall, gồm hai router lọc gói tin và một bastion host. Vùng DMZ là một mạng nhỏ được cô lập đặt giữa internet và mạng nội bộ. Router bên ngoài chống lại những cuộc tấn công và

phát từ bastion host. Router bên trong chỉ cho phép các hệ thống nội bộ truy cập bastion host.

Hình 14. Mơ hình vùng phi qn sự.

Ưu điểm:

- Cản trở q trình tấn cơng với ba lớp bảo vệ.

- Hệ thống nội bộ sẽ bị ẩn đi vì router ngồi chỉ đưa vùng DMZ hiển thị ra internet.

- Đảm bảo các lượt truy cập an tồn cho các user nội bộ muốn ra ngồi, vì

router bên trong chỉ quảng bá vùng DMZ tới mạng nội bộ.

Một phần của tài liệu Khóa luận tốt nghiệp: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG docx (Trang 44 - 46)

(140 trang)