Mơ hình xây dựng hệ thống tường lửa gồm 2 lớp:
- Lớp thứ nhất ngoài cùng sử dụng một tường lửa cứng là router Cisco được cấu hình để tính tuyến vừa có tính năng ACL để lọc gói tin, thiết lập các luật hạn
chế việc truy xuất ra vào cơ bản, đồng thời cho phép mở port telnet cho người quản trị truy xuất cũng như kết nối remote desktop từ ngoài vào trong, để tiện cho việc quản trị hệ thống.
- Lớp thứ hai sử dụng Forefront TMG làm tường lửa mềm, thiết lập các chính sách lọc, giám sát luồng giao thơng và xuất các báo cáo thường nhật để ln có những thông tin mới nhất về hệ thống.
Với đề tài “Tìm hiểu và xây dựng phương thức giám sát, ghi nhận sự kiện” chúng ta sẽ nghiên cứu tập trung vào các phần sau đây của trong hệ thống Forefront TMG:
11.2.1 Thiết lập chính sách tường lửa
Cơ chế hoạt động của các bộ luật truy cập (access rule) trong chính sách tường
lửa (firewall policy) dựa trên nền tảng tương tự với Access control list trong router. Chúng ta cần lập kế hoạch thiết lập các chính sách cấm/cho phép phù hợp với từng đối tượng. Để xây dựng một hệ thống phòng vệ hữu hiệu nhất chúng cần phải có sự phân tích và chiến lược cho từng bộ luật, xác định các vấn đề sau đây trước khi tạo một bộ luật:
Who? Xác định đối tượng là ai (là gì) để áp đặt luật
Action? Với hành động thực thi là cấm hay cho phép
What? Cấm/Cho phép sử dụng ứng dụng hay giao thức
nào?
From-To Xác định hướng truy cập của đối tượng từ đâu đến đâu (vd: internal external, hay ngược lai)
Mặc định sau khi cài đặt xong forefront sẽ có 1 luật mặc định (default rule) sẽ cấm tất cả các truy xuất ra vào, đồng trình tạo chính sách truy xuất web (Web Access Policy) sẽ tạo cho chúng ta thêm 2 luật nữa để truy xuất ra internet và chặn các
ứng dụng độc hại. chúng ta có thể bổ sung thêm các luật như cho phép phân giải giao
thứ DNS, cho phép gửi mail bằng POP3, SMTP, hoặc chỉ định cấm một trang web nào
Ví dụ về một tình huống tạo một luật cho phép máy client chỉ được truy xuất trang facebook.com vào giờ nghỉ trưa (11h – 13h), ngoài giờ này sẽ bị cấm.