Khi triển khai hệ thống tường lửa chúng ta mới chỉ kiểm soát được các gói tin ra/vào mạng LAN, nhưng hệ thống tường lửa chỉ kiểm soát được phần tiêu đề của các gói tin mà không kiểm tra đến nội dung của các gói tin như thế nào? Vì thế mà Hacker dễ dàng vượt qua bằng cách nhúng các nội dung độc hại vào dữ liệu của gói tin IP. Để kiểm soát nội dung của các gói tin IP, chúng ta sử dụng hệ thống phát hiện xâm nhập (IDS). Từ ưu điểm của hai hệ thống tường lửa và hệ thống phát hiện xâm nhập có thể kết hợp lại thành một mạng hoàn chỉnh. Ngoài ra, ta cần áp dụng thêm các biện pháp sau:
- Quy hoạch lại hệ thống, phân chia các vùng mạng (VLAN). Vùng máy chủ là DMZ trên tường lửa, các phòng ban (mỗi cơ quan một VLAN).
- Thiết lập các chính sách an toàn thông tin trên tường lửa ( phân tách các VLAN, các chính sách an toàn thông tin cho vùng máy chủ)
- Thiết lập các chính sách an toàn nâng cao trên thiết bị lớp truy cập (Port Security, Porprotec, DHCP Snoofing, ARP Snoofing…)
- Triển khai các hệ thống giám sát mạng (SNORT,.., hạ tầng PRTG…) - Hệ thống phòng chống mã độc (phần mềm diệt virus server…) - Hệ thống bảo vệ Web (tường lửa WAP)
- Tạo phân vùng quản trị riêng (tách biệt với người dùng) - Hệ thống lưu trữ thu thập log (phục vụ cho điều tra, phân tích) - Hệ thống quản lý truy cập (NAC)
Internet Thiết bị định tuyến Tường lửa SW_DMZ Máy chủ Web Người dùng Máy chủ giám sát (Snort)
Thiết bị chuyển mạch lõi Vùng quản trị
Thiết bị chuyển mạch truy lớp truy nhập
Người dùng Người dùng
Người dùng Người dùng
Người dùng Thiết bị chuyển mạch truy lớp truy nhập
Hình 3.2. Triển khai hệ thống IDS vào mạng
Mô hình trên cho thấy, các gói dữ liệu vào ra mạng LAN sẽ được Snort-IDS theo dõi. Khi hệ thống phát hiện xâm nhập phát hiện ra dấu hiệu của các cuộc tấn công nó sẽ tương tác với tường lửa, ra lệnh cho tường lửa ngăn chặn gói tin nguy hiểm này. Tùy theo yêu cầu mà tường lửa có thể cảnh báo loại bỏ gói tin hoặc dừng phiên trao đổi dữ liệu.