Mặc dù các Firewall có thể trợ giúp như các kỹ thuật bảo vệ chống lại các cuộc tấn công và xâm nhập từ bên ngoài, ta cần xem xét một số vấn đề sau trước khi thực thi một thiết lập mạng riêng ảo dựa trên firewall. Một số vấn đề này
- Nếu đang lập kế hoạch thực thi các firewall hoạt động trên cơ sở các địa chỉ IP nguồn và đích, cổng nguồn và đích, giao thức được sử dụng nhưng không dựa trên nội dung của các gói dữ liệu, một kẻ xâm nhập có thể che dấu dữ liệu “độc hại” trong các gói dữ liệu được tải. Kết quả là, những dữ liệu độc hại này sẽ không bị phát hiện bởi Firewall. Vấn đề khác gắn với các Firewall này, cũng như với các Firewal lọc gói, đó là chúng không xử lý các giao dịch dựa trên nhiều kết nối động, chẳng hạn như các giao dịch FTP. Vì vậy, sẽ cần thiết lập các bộ lọc gói một cách rõ ràng để cho phép các luồng lưu lượng liên quan các giao dịch này.
- Các Firewal khác, như các Firewal Proxy ứng dụng và các Firewal kiểm duyệt trạng thái gói, các hoạt động của chúng phần lớn dựa trên nội dung của gói dữ liệu thêm vào các địa chỉ IP, địa chỉ cổng và các giao thưc được dùng. Tuy nhiên, phải nhớ rằng các Firewall Proxy ứng dụng không xử lý luồng lưu lượng dựa trên HTTPS và SSH-. Kết quả là, đặc trưng này có thể bị khai thác bởi những người bên ngoài để xâm nhập Firewall. Chức năng của Firewall kiểm duyệt trạng thái gói dữ liệu rất giống với Firewal Proxy ứng dụng. Tuy nhiên, hiệu suất của chúng tốt hơn nhiều. Vì vậy, dù có thể phải đầu từ nhiều hơn cho Firewall kiểm soát trạng thái gói dữ liệu, ta sẽ thăng đáng kể hiệu suất của toàn bộ thiết lập mạng riêng ảo
- Để vượt qua hầu hết các vấn đề liên quan đến Firewall, ta phải định nghĩa một chính sách bảo mật, chính sách bảo mật lần lượt định nghĩa cách thức một Firewall tương tác với thiết lập mạng riêng ảo. Trong chính sách bảo mật, ta cũng sẽ phải quyết định loại luồng lưu lượng nào nên được cho phép đi qua Firewall. Một cách đề xử lý tất các luồng lưu lượng một cách hoàn toàn lúc cấu hình hệ điều hành Firewall là không cho phép tất cả lưu lượng và dịch vụ, sau đó xử lý để cho phép các lưu lượng và dịch vụ được yêu cầu cho đến khi xây dựng xong toàn bộ các luật.
- Nếu đang lập kế hoạch để tạo một vùng DMZ(vùng mạng bảo vệ vành đai), đầu tiên ta sẽ cần quyết định những Server nào sẽ là một phần của vùng này. Một qui tắc để xác định là các Server chỉ đưa ra các dịch vụ mạng riêng ảo cần thiết nên là một phần của vùng này.
- Mặc dù một cách hiệu qua và không mất chi phí lớn của việc bảo mật Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo mật phân cấp
dựa trên firewall sử dụng các kiểu Firewall khác nhau, như minh hoạ trong hình 5.2. Ví dụ, Firewall giữa Internet và DMZ có thể là một loại và Firewall giữa DMZ và Intranet có thể là một loại khác. Điều này sẽ giảm khả năng khai thác các điểm yếu giống nhau trong hệ thống Firewall ngoại vi để giành được quyền truy cập các tài nguyên mạng Intranet
Hình 5.2 Hệ thống Firewal phân cấp
Bằng việc cấu hình các Firewall để ghi nhật ký mọi yêu cầu kết nối và hoạt động xẩy ra qua các Firewall, và bằng cách phân tích đều đặn các dữ liệu này, ta có thể xác định các điểm yếu trong hệ thống Firewall và đưa ra các bước phù hợp