2. TỔNG QUAN VỀ HỆ THỐNG FIREWALL
2.1.3. Mô hình mạng sử dụng Firewall
Kiến trúc của hệ thống có firewall như sau:
Hình 6.9: Kiến trúc hệ thống có firewall
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
209
Nhìn chung, mỗi hệ thống firewall đều có các thành phần như sau:
Hình 6.10: Các thành phần của hệ thống firewall
Firewall có thể bao gồm phần cứng hoặc phần mềm nhưng thường là cả hai. Về mặt phần cứng thì firewall có chức năng gần giống một router, nó cho phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép bạn xác định được các địa chỉ nào được phép và các địa chỉ IP nào không được phép kết nối.
Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Theo hình trên các thành phần của một hệ thống firewall bao gồm: - Screening router: Là chặng kiểm soát đầu tiên cho LAN.
- DMZ: Khu "phi quân sự", là vùng có nguy cơ bị tấn công từ Internet. - Gateway: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
- IF1: Interface 1: Là card giao tiếp với vùng DMZ. - IF2: Interface 2: Là card giao tiếp với vùng mạng LAN. Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
210
- FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các
truy cập ftp từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication Server.
- Telnet Gateway: Kiểm soát truy cập telnet giữa mạng LAN và Internet. Giống như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực qua Authentication Server
- Authentication Server: được sử dụng bởi các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng các kỹ thuật xác thực mạnh như one-time
password/token (mật khẩu sử dụng một lần). Các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều được kiểm soát qua gateway.