Như các bài viết trước chỉ ra, tường lửa được định vị để cung cấp hàng rào bảo vệ giữa một nguồn lưu lượng bên ngoài, có thể không đáng tin cậy và một mạng nội bộ. Với nguyên tắc chung đó, quản trị viên bảo mật phải quyết định vị trí và số lượng tường lửa cần thiết. Trong phần này, chúng ta xem xét một số tùy chọn phổ biến.
Các bài viết liên quan:
DMZ Networks
Hình dưới đây nhấn mạnh sự khác biệt phổ biến giữa tường lửa phía trong và phía ngoài. Tường lửa phía ngoài được đặt ở vị trí biên giới của tổ chức hoặc doanh nghiệp mạng, tại điểm giao giữa mạng nội bộ và Internet hoặc một số mạng diện rộng (WAN). Mạng Khu phi quân sự (DMZ) là một vùng nằm giữa hai loại tường lửa này. Trong DMZ, một hoặc nhiều thiết bị được kết nối để cung cấp khả năng truy cập từ bên ngoài, nhưng vẫn cần có các biện pháp bảo vệ. Các hệ thống trong DMZ thường đóng vai trò trong việc duy trì các hoạt động giao tiếp với bên ngoài, chẳng hạn như máy chủ trang web, máy chủ thư điện tử hoặc máy chủ DNS (hệ thống tên miền).
Tường lửa phía ngoài không chỉ kiểm soát truy cập mà còn bảo vệ các hệ thống trong DMZ theo yêu cầu kết nối bên ngoài. Ngoài ra, tường lửa này cung cấp mức bảo vệ cơ bản cho các phần khác của mạng doanh nghiệp.
Trong cấu hình này, tường lửa phía trong có ba mục tiêu chính:
- Tường lửa phía trong cung cấp khả năng lọc dữ liệu nghiêm ngặt hơn so với tường lửa phía ngoài, để bảo vệ máy chủ và máy trạm của tổ chức khỏi các cuộc tấn công từ bên ngoài.
- Tường lửa phía trong cung cấp khả năng bảo vệ hai chiều cho DMZ. Đầu tiên, nó bảo vệ phần còn lại của mạng khỏi các cuộc tấn công từ các hệ thống trong DMZ. Những cuộc tấn công như vậy có thể bắt nguồn từ các yếu tố như rootkit, botnet hoặc phần mềm độc hại khác đã xâm nhập vào hệ thống DMZ. Thứ hai, tường lửa phía trong có thể ngăn chặn các cuộc tấn công từ mạng nội bộ đối với các hệ thống trong DMZ.
- Nhiều tường lửa phía trong có thể được triển khai để bảo vệ các phần khác nhau của mạng nội bộ. Ví dụ, tường lửa có thể cấu hình sao cho các máy chủ nội bộ chỉ có thể truy cập vào các máy trạm nội bộ, và ngược lại. Thêm vào đó, một thực tế phổ biến là đặt DMZ trên một giao diện mạng riêng biệt trên tường lửa phía ngoài, từ đó cho phép truy cập vào các mạng nội bộ.”
Xem thêm Giao thức Mạng trong TCP/IP
Virtual Private Networks
Trong môi trường phân tán hiện nay, giải pháp hấp dẫn cho việc quản lý mạng được mang đến bởi Mạng Riêng Ảo (VPN). VPN về cơ bản là một tập hợp các máy tính kết nối với nhau thông qua một mạng không đáng tin cậy, sử dụng mã hóa và các giao thức đặc biệt để đảm bảo tính bảo mật. Trong hạ tầng của mỗi công ty, các máy trạm, máy chủ và cơ sở dữ liệu được kết nối thông qua mạng cục bộ (LAN). Các trang web có thể kết nối qua Internet hoặc các mạng công cộng khác, giúp giảm thiểu chi phí so với việc sử dụng mạng riêng tư và giảm bớt công việc quản lý mạng diện rộng cho nhà cung cấp mạng công cộng. Chính các mạng công cộng này cung cấp lối truy cập cho các nhà cung ứng dịch vụ viễn thông và nhân viên di động khác để đăng nhập vào hệ thống từ xa.
Xem thêm Một số thuật ngữ Bảo mật Internet [RFC 2828]
Tuy nhiên, quản lý mạng phải đối mặt với một thách thức cơ bản: bảo mật. Sử dụng mạng công cộng khiến lưu lượng truy cập của công ty dễ bị nghe lén và tạo điểm vào cho người dùng trái phép. Để khắc phục vấn đề này, VPN ra đời. VPN sử dụng mã hóa và xác thực ở các tầng giao thức thấp hơn để cung cấp kết nối an toàn thông qua một mạng không an toàn, chẳng hạn như Internet. So với mạng riêng tư, VPN thường có chi phí thấp hơn nhưng phụ thuộc vào việc áp dụng cùng một hệ thống mã hóa và xác thực ở cả hai đầu. Mã hóa có thể được thực hiện bởi phần mềm tường lửa hoặc bộ định tuyến. Giao thức phổ biến nhất được sử dụng cho mục đích này là IPsec, được thực hiện ở tầng IP.
Tổ chức duy trì mạng cục bộ tại các địa điểm phân tán. IPsec có thể được triển khai một cách hợp lý trong tường lửa. Nếu IPsec được áp dụng trong một thiết bị độc lập nằm sau (bên trong) tường lửa, lưu lượng VPN đi qua tường lửa theo cả hai hướng sẽ được mã hóa. Tuy nhiên, trong trường hợp này, tường lửa không thể thực hiện các nhiệm vụ như lọc dữ liệu hoặc các biện pháp bảo mật khác như kiểm soát truy cập, ghi nhật ký hoặc quét mã độc. IPsec cũng có thể được triển khai trong bộ định tuyến ranh giới, ở bên ngoài tường lửa. Tuy nhiên, thiết bị này có thể ít an toàn hơn so với tường lửa, do đó, ít được kỳ vọng sẽ là nền tảng IPsec.
Xem thêm Bài toán tính nghịch đảo theo Modulo(Mở trong cửa số mới)
Distributed Firewalls
Cấu hình tường lửa phân tán bao gồm sự kết hợp giữa các thiết bị tường lửa độc lập và các máy chủ tường lửa dựa trên hoạt động chung, được quản lý tập trung. Hình 22.5 minh hoạ cấu hình tường lửa phân tán. Quản trị viên có khả năng cấu hình các máy chủ tường lửa được triển khai trên hàng trăm máy chủ và máy trạm, cũng như cấu hình tường lửa cá nhân trên các hệ thống người dùng cục bộ và từ xa. Các công cụ cho phép người quản trị mạng xác lập chính sách bảo mật và theo dõi tính bảo mật trên toàn bộ hạ tầng. Các tường lửa này cung cấp bảo vệ khỏi các cuộc tấn công nội bộ và đảm bảo tính bảo mật phù hợp với từng máy tính và ứng dụng cụ thể. Tường lửa độc lập mang đến khả năng bảo vệ toàn diện, bao gồm cả tường lửa nội bộ và tường lửa ngoại vi, như đã thảo luận ở trên.
Tình Huống Bảo Mật Trong VPN
Với cấu hình tường lửa phân tán, việc triển khai cả DMZ nội bộ và DMZ ngoại vi có ý nghĩa. Các máy chủ web có thể yêu cầu ít bảo vệ hơn vì chúng chứa ít thông tin quan trọng hơn, và chúng có thể được đặt trong một DMZ ngoại vi, nằm ngoài tường lửa chính. Các biện pháp bảo vệ cần thiết có thể được cung cấp bởi các máy chủ tường lửa trên những máy chủ này.
Xem thêm Thuật toán mã hóa khối(block cipher)- AES
Một khía cạnh quan trọng của cấu hình tường lửa phân tán liên quan đến nguyên tắc bảo mật. Việc giám sát thường bao gồm việc tổng hợp và phân tích các nhật ký, thống kê tường lửa và giám sát chi tiết từ xa trên các máy chủ riêng biệt khi cần thiết.
Tổng quát Firewall Locations và Topologies
Bây giờ chúng ta có thể tóm tắt cuộc thảo luận từ Phần các phần trước để xác định một phổ các vị trí và cấu trúc liên kết tường lửa. Các lựa chọn thay thế sau có thể được xác định:
- Host-resident firewall: Danh mục này bao gồm phần mềm tường lửa cá nhân và phần mềm tường lửa trên máy chủ. Những bức tường lửa như vậy có thể được sử dụng một mình hoặc như một phần của việc triển khai tường lửa chuyên sâu.
- Screening router: Một bộ định tuyến duy nhất giữa các mạng bên trong và bên ngoài với tính năng lọc gói tin không trạng thái hoặc đầy đủ. Sự sắp xếp này là điển hình cho các ứng dụng văn phòng nhỏ / văn phòng gia đình (SOHO).
- Single bastion inline: Một thiết bị tường lửa duy nhất giữa bộ định tuyến bên trong và bên ngoài (ví dụ: Hình 22.1a). Tường lửa có thể triển khai các bộ lọc trạng thái và / hoặc proxy ứng dụng. Đây là cấu hình thiết bị tường lửa điển hình cho các tổ chức vừa và nhỏ.
- Single bastion T: Tương tự như pháo đài đơn nội tuyến nhưng có giao diện mạng thứ ba trên pháo đài với DMZ nơi đặt các máy chủ có thể nhìn thấy bên ngoài. Một lần nữa, đây là cấu hình thiết bị phổ biến cho các tổ chức vừa đến lớn.
- Double bastion inline: Hình 22.3 minh họa cấu hình này, trong đó DMZ được kẹp giữa các bức tường lửa pháo đài. Cấu hình này phổ biến cho các doanh nghiệp lớn và các tổ chức chính phủ.
- Double bastion T: DMZ nằm trên một giao diện mạng riêng biệt trên tường lửa pháo đài. Cấu hình này cũng phổ biến đối với các doanh nghiệp lớn và các tổ chức chính phủ và có thể được yêu cầu. Ví dụ, cấu hình này là bắt buộc để sử dụng cho chính phủ Úc (Sổ tay Bảo mật Công nghệ Thông tin của Chính phủ Úc – ACSI33).
Distributed firewall configuration: Minh họa trong hình 22.5. Cấu hình này được một số doanh nghiệp lớn và các tổ chức chính phủ sử dụng.
Xem thêm Luật pháp với mạng và máy tính