Trớc hết ta phải biết mạng máy tính cần đợc bảo vệ đang bị những kiểu tấn công nào đe doạ, ở trong môi trờng nào. Cũng cần đề phòng các cuộc tấn công vào các lỗ hổng an toàn của hệ thống. Trong phần trên đã trình bày về nhiều loại công cụ với các chức năng khác nhau trong việc đảm bảo an toàn cho một mạng nói chung và cho một máy tính nói riêng. Các lớp bảo vệ an toàn cho mạng nội bộ (Intranet) của một tổ chức đợc minh hoạ ở Hình 1.2.
Để đảm bảo cho môi trờng làm việc của mạng đợc bảo vệ tốt nhất, cần phải sử dụng đồng thời nhiều loại công cụ. Mỗi một loại công cụ hình thành một lớp bảo vệ trong trờng hợp những công cụ khác bị vô hiệu hoá. Đối với một mạng Intranet, có thể đa ra một chiến lợc an toàn nh sau [25]:
Lớp bảo vệ đầu tiên phải là tờng lửa. Ví dụ: có thể dùng bộ định tuyến (Router) lọc gói kết hợp với máy hai giao diện mạng (Dual homed) mang chức - năng máy chủ uỷ nhiệm Proxy để làm tờng lửa, hoặc dùng Router lọc gói kết hợp với máy pháo đài (Bastion Host).
D ua l- ho m ed mail server web server file server Internet's server
Miền địa chỉ thực on line Internet
In te rn et F ir ew al l Internet's switch LANalyser Network Monitor Hub HostSentry PortSentry Internet switch Router VAREnet of NIT Institute Firewall VNnet Proxy VAREnet Proxy Modem Modem VNnet of VDC company Leaseline Internet Telephone line
Remote Access PCs outside
Firewall
Firewall
Small Switch or HUB
workstations workstations
mail.home server home server home.office server Intranet's server
Hệ điều hành Linux, solaris,
unix hoặc
Windows NT Intranet với địa chỉ IP dùng riêng,
không truy cập đ ợc từ Internet
Router Router
( kết hợp proxy, router lọc gói với bộ phân tích Lan, bộ giám sát mạng, Hostsentry và Portsent
Sơ đồ minh hoạ hệ thống đảm bảo an ninh nhiều lớp cho mạng Intranet / Internet
Hình 1.2 – Hệ thống an toàn an ninh nhiều lớp cho mạng nội bộ (Intranet)
Lớp bảo vệ thứ hai là một hệ thống phát hiện xâm nhập mức mạng sẽ nắm bắt bất kỳ nhánh nào của tờng lửa. Ví dụ Các bộ rà gói tin nh LANalyser và bộ : giám sát mạng nh Microsoft Network Monitor, các bộ phát hiện xâm nhập nh RealSecure Engine và bộ Network Flight Recorder.
Tiếp theo, lớp bảo vệ thứ ba là một bộ công cụ giám sát các cuộc thử kết nối. Ví dụ nh các bộ công cụ giám sát kết nối PortSentry và HostSentry. Lớp bảo vệ thứ t là các công cụ để nắm bắt một sự can thiệp hiện tại nh là LogCheck hoặc Tripwire. Lớp bảo vệ trong cùng có thể là các phần mềm kiểm soát truy nhập.