PHƢƠNG PHÁP GIẢI QUYẾT BÀI TOÁN KIỂM SOÁT,

Một phần của tài liệu (LUẬN văn THẠC sĩ) vấn đề an toàn thông tin trong cơ sở dữ liệu quốc gia kinh tế công nghiệp và thương mại bộ công thương (Trang 57 - 62)

CHƢƠNG 4 PHƢƠNG PHÁP GIẢI QUYẾT CÁC BÀI TOÁN TRÊN

4.1. PHƢƠNG PHÁP GIẢI QUYẾT BÀI TOÁN KIỂM SOÁT,

NGĂN CHẶN CÁC THÔNG TIN VÀO – RA HỆ THỐNG

4.1.1. Tổng quan về tƣờng lửa

4.1.1.1. Khái niệm tƣờng lửa

+ Tường lửa (Firewall) là khái niệm bao hàm một máy tính hoặc một thiết bị phần cứng chuyên dụng có nhiệm vụ kiểm soát các kết nối trao đổi thông tin giữa hệ thống mạng cần được bảo vệ (mạng bên trong) với một mạng được coi là không an toàn về bảo mật (mạng bên ngoài, thường là Internet). Đó cũng có thể là một hệ thống các thiết bị được kết nối thành một mạng trung gian giữa hai mạng này.

+ Tường lửa không chỉ đảm bảo sự an toàn cho các hoạt động bình thường của hệ thống mạng, mà nó còn đóng vai trò quan trọng như một giải pháp quản lý đáng tin cậy.

+ Tường lửa thường được cài đặt tại điểm, nơi mà mạng cần được bảo vệ kết nối tới mạng ngoài.

+ Về mặt nguyên lý tường lửa hoạt động theo nguyên tắc sau: “Tường lửa đọc header của các gói tin như số hiệu cổng dịch vụ, địa chỉ nguồn, địa chỉ đích, loại dịch vụ, ... sau đó so sánh các thông tin cần thiết với các luật đã được thiết lập. Chỉ những gói tin nào thoả mãn luật mới được chuyển tiếp”.

4.1.1.2. Phân loại tƣờng lửa

1/. Dựa vào vị trí hoạt động trong mạng, phân thành hai loại:

+ Tường lửa mức ứng dụng. + Tường lửa mức mạng.

2/. Dựa vào nguyên lý hoạt động, có hai loại:

+ Tường lửa lọc gói tin (Filtering Firewall). + Tường lửa ủy quyền (Proxy servers).

4.1.1.3. Tƣờng lửa lọc gói tin (Filtering Firewall)

+ Firewall lọc gói tin là bức tường lửa mức mạng.

- Dữ liệu chỉ được phép rời hệ thống nếu như các luật của tường lửa cho phép. Tường lửa loại này thực hiện việc kiểm tra ở mức gói tin của giao thức mạng, kiểm soát các luồng thông tin qua chúng.

- Các quyết định của nó dựa trên các thông tin thu được trong phần đầu (header) của mỗi gói tin như số hiệu cổng dịch vụ, địa chỉ nguồn, địa chỉ đích, loại dịch vụ .

- Tường lửa lọc gói tin tương đối phức tạp, chúng duy trì các thông tin nội tại về trạng thái của các liên kết truyền qua và thực hiện nhật ký hệ thống. Chúng có thể trực tiếp chọn đường và thực hiện lọc trên các khối địa chỉ IP.

- Tường lửa lọc gói tin có thể làm việc như một Router mạng. + Ưu điểm:

- Tạo thời gian trễ trên mạng rất ít vì rất ít dữ liệu được phân tích và nhật ký. - Trong suốt đối với người sử dụng vì không yêu cầu các quyền đăng nhập và xác thực.

+ Nhược điểm: Không nhận biết được nội dung thông tin truyền qua.

4.1.1.4. Tƣờng lửa ủy quyền (Proxy servers)

+ Máy chủ ủy quyền (ủy nhiệm) đôi khi được gọi là bức tường lửa. Bức tường lửa loại này có nhiệm vụ tạo và kiểm soát các kết nối cho người sử dụng. Nó bao gồm hai loại cơ bản sau:

- Ứng dụng uỷ quyền (Application proxy): là bức tường lửa mức ứng dụng. Đây là hệ thống tường lửa mà các dịch vụ trên đó được cung cấp bởi quá trình có tác dụng duy trì thứ tự và trạng thái của một liên kết đầy đủ. Bởi vì bức tường lửa loại này quản lý tất các kết nối, nên chúng có thể thực hiện việc ghi nhật ký hệ thống và kiểm tra các lưu thông truyền qua chúng.

- Một máy chủ kiểm soát các kết nối giữa hệ thống bên trong và hệ thống bên ngoài, giống như bức tường lửa lọc gói tin chúng không cung cấp khả năng xác thực người dùng. Tuy nhiên, chúng có nhật ký lại các kết nối của người dùng.

+ Ưu điểm: Cung cấp các báo cáo chi tiết hơn bức tường lửa lọc gói tin, duy trì nhiều mô hình bảo mật như quyền sử dụng dịch vụ, xác thực, quét virus, ...

+ Nhược điểm:

- Không trong suốt đối với người sử dụng. - Độ trễ trên mạng là đáng kể.

4.1.2. Thiết bị tƣờng lửa của dự án

+ Thiết bị tường lửa: bảo vệ thông tin hai lớp từ vùng có kết nối Internet và vùng nội bộ, hai lớp bảo vệ này được trang bị bởi hai hãng bảo mật khác nhau để tăng tính an toàn.

+ Toàn bộ hệ thống mạng được bảo vệ bởi hệ thống tường lửa tại trung tâm. Hệ thống tường lửa kiểm soát dữ liệu bằng cơ chế sau:

- Khi có các kết nối từ môi trường bên ngoài, hệ thống tường lửa có vai trò như là chốt chặn kiểm tra toàn bộ dữ liệu ra vào hệ thống mạng trung tâm đồng thời bảo vệ toàn bộ hệ thống mạng trung tâm trước mọi kết nối từ bên ngoài.

- Ngăn chặn các loại tấn công, xâm nhập như quét cổng dịch vụ, DDoS, ... đồng thời sử dụng hệ thống chống xâm nhập (IPS) tích hợp bên trong tường lửa để phân tích luồng dữ liệu IP từ lớp 2 đến lớp 7, ngăn chặn các loại tấn công, đặc biệt là tấn công vào dịch vụ web.

+ Đối với truy cập từ môi trường Internet vào cổng thông tin, chúng tôi đặt máy chủ web vào trong khu vực DMZ của hệ thống tường lửa. Tại đây, hệ thống tường lửa sẽ đóng vai trò kiểm soát, bảo vệ cho máy chủ loại này và ngăn chặn bất cứ kết nối bất hợp pháp nào từ máy chủ vào sâu hơn bên trong hệ thống mạng, đảm bảo an toàn cho hệ thống.

+ Thiết bị cần đáp ứng các tính năng sau:

- Ngăn chặn người sử dụng nội bộ truy cập các website có nội dung không lành mạnh, các website có chứa các nguy cơ tiềm ẩn có khả năng làm ảnh hưởng đến hệ thống.

- Quét virus trên đường truyền: thiết bị có khả năng quét các dữ liệu dạng HTTP, FTP, POP3, SMTP … Điều này giúp ngăn chặn các loại virus, sâu worm… hay các loại mã trang web độc hại xâm nhập ngay từ cửa ngõ của hệ thống. Chương trình diệt virus được cập nhật liên tục để có thể diệt được những loại virus mới nhất. - Ngăn chặn tấn công và xâm nhập: thiết bị có khả năng chống các kiểu tấn công DDOS rất phổ biến trong thời gian gần đây. Khả năng phân tích trạng thái hoạt động bất thường của lưu lượng dữ liệu, từ đó tự động ngăn chặn những địa chỉ là nguồn gốc gây ra nguy cơ không an toàn.

- Quản lý băng thông: có tính năng đảm bảo băng thông hoặc dành riêng băng thông cho các ứng dụng quan trọng khi đường truyền bị nghẽn …

- Lọc giao thức ở lớp 7: người quản trị có thể thiết lập các chính sách quản lý truy cập đối với các giao thức Yahoo Messenger, Skype …

4.1.2.1. Sơ đồ hạ tầng tƣờng lửa, server và lƣu trữ

Router

Firewall

Database

servers serversApp

Switch Dev servers Router Nhà cung cấp dịch vụ Internet Leadline 30 Mbps / 1 Mbps

Web server 1 Web server 2

Hệ thống mạng nội bộ (LAN) ` PC ` PC ` PC ` PC ` PC Switch Lan Services Printers Scaner Backup servers Firewall Core Switch SAN STORAGE TAPE BACKUP

Backup dữ liệu của: các máy chủ (Databases; Apps;

Webs; Devs; Modem ADSL Nhà cung cấp dịch vụ Internet ADSL Core Switch

4.1.2.2. Tƣờng lửa cho vùng DMZ

+ Đây là thiết bị tường lửa cửa ngõ của hệ thống, có nhiệm vụ kiểm soát tất cả các luồng thông tin từ vùng bên ngoài internet vào và từ vùng LAN đến DMZ đi ra.

+ Các luồng thông tin từ internet vào LAN là nơi dễ dàng nhất để lây nhiễm virus, mã độc hại làm ảnh hưởng đến hiệu suất và hoạt động của toàn bộ hệ thống. Do đó, một tường lửa ngoài các chức năng như tường lửa thông thường còn hỗ trợ thêm tính năng sau:

- IPS: Giúp ngăn ngừa trước các tấn công từ bên ngoài.

- Lọc URL: Giúp lọc web không cần thiết và gây ảnh hưởng không tốt đến hiệu suất của hệ thống.

- Giúp bảo vệ các luồng thông tin vào ra cũng như các mail vào ra hệ thống không bị nhiễm virus và các mã độc hại.

Hình 4.2: Tường lửa vùng DMZ.

4.1.2.3. Tƣờng lửa cho vùng Server Farm

+ Đóng vai trò cung cấp kết nối và bảo vệ cho vùng server farm. + Cấu hình về giao diện, chính sách đảm bảo an ninh.

Một phần của tài liệu (LUẬN văn THẠC sĩ) vấn đề an toàn thông tin trong cơ sở dữ liệu quốc gia kinh tế công nghiệp và thương mại bộ công thương (Trang 57 - 62)

Tải bản đầy đủ (PDF)

(100 trang)