Các hệ thống cần thiết với firewall

Các hệ thống cần thiết với firewall

Rate this post

Như các bài viết trước chỉ ra, tường lửa được định vị để cung cấp hàng rào bảo vệ giữa một nguồn lưu lượng bên ngoài, có thể không đáng tin cậy và một mạng nội bộ. Với nguyên tắc chung đó, quản trị viên bảo mật phải quyết định vị trí và số lượng tường lửa cần thiết. Trong phần này, chúng ta xem xét một số tùy chọn phổ biến.

Các bài viết liên quan:

DMZ Networks

Hình dưới gợi ý sự khác biệt phổ biến nhất, giữa tường lửa bên trong và bên ngoài. Tường lửa bên ngoài được đặt ở rìa của địa phương hoặc doanh nghiệp mạng, ngay bên trong bộ định tuyến ranh giới kết nối với Internet hoặc một số mạng diện rộng (WAN). Một hoặc nhiều tường lửa nội bộ bảo vệ phần lớn mạng giải thưởng.

Giữa hai loại tường lửa này là một hoặc nhiều thiết bị được nối mạng trong một vùng được gọi là mạng DMZ (khu phi quân sự). Các hệ thống có thể truy cập bên ngoài nhưng cần một số biện pháp bảo vệ thường nằm trên mạng DMZ. Thông thường, các hệ thống trong DMZ yêu cầu hoặc thúc đẩy hoạt động bên ngoài, chẳng hạn như trang Web công ty, máy chủ e-mail hoặc máy chủ DNS (hệ thống tên miền).

Tường lửa bên ngoài cung cấp một biện pháp kiểm soát truy cập và bảo vệ cho các hệ thống DMZ phù hợp với nhu cầu kết nối bên ngoài của chúng. Ngoại thương

Các hệ thống cần thiết với firewall

Hình 22.3 Cấu hình tường lửa mẫu

tường lửa cũng cung cấp mức bảo vệ cơ bản cho phần còn lại của mạng doanh nghiệp.

Trong kiểu cấu hình này, tường lửa nội bộ phục vụ ba mục đích:

  1. Tường lửa nội bộ bổ sung khả năng lọc nghiêm ngặt hơn, so với tường lửa bên ngoài, để bảo vệ các máy chủ và máy trạm của doanh nghiệp khỏi sự tấn công từ bên ngoài.
  2. Tường lửa bên trong cung cấp khả năng bảo vệ hai chiều đối với DMZ. Ngày thứ nhất,tường lửa nội bộ bảo vệ phần còn lại của mạng khỏi các cuộc tấn công từ các hệ thống DMZ. Các cuộc tấn công như vậy có thể bắt nguồn từ sâu, rootkit, bot hoặc phần mềm độc hại khác nằm trong hệ thống DMZ. Thứ hai, tường lửa nội bộ có thể bảo vệ hệ thống DMZ khỏi bị tấn công từ mạng được bảo vệ bên trong.
  1. Nhiều tường lửa nội bộ có thể được sử dụng để bảo vệ các phần của mạng nội bộ với nhau. Ví dụ, tường lửa có thể được cấu hình để các máy chủ nội bộ được bảo vệ khỏi các máy trạm bên trong và ngược lại. Một thực tế phổ biến là đặt DMZ trên một giao diện mạng khác trên tường lửa bên ngoài mà từ đó được sử dụng để truy cập các mạng nội bộ.

Virtual Private Networks 

Trong môi trường điện toán phân tán ngày nay, mạng riêng ảo (VPN) mang đến một giải pháp hấp dẫn cho các nhà quản lý mạng. Về bản chất, VPN bao gồm một tập hợp các máy tính kết nối với nhau bằng một mạng tương đối không an toàn và sử dụng mã hóa và các giao thức đặc biệt để cung cấp bảo mật. Tại mỗi trang web của công ty, các máy trạm, máy chủ và cơ sở dữ liệu được liên kết bởi một hoặc nhiều mạng cục bộ (LAN). Internet hoặc một số mạng công cộng khác có thể được sử dụng để kết nối các trang web, tiết kiệm chi phí so với việc sử dụng mạng riêng và giảm tảinhiệm vụ quản lý mạng diện rộng cho nhà cung cấp mạng công cộng. Cũng chính mạng công cộng đó cung cấp một đường dẫn truy cập cho các nhà viễn thông và các nhân viên di động khác đăng nhập vào các hệ thống của công ty từ các trang web từ xa.

Nhưng người quản lý phải đối mặt với một yêu cầu cơ bản: bảo mật. Việc sử dụng mạng công cộng khiến lưu lượng truy cập của công ty bị nghe trộm và cung cấp điểm vào cho người dùng trái phép. Để khắc phục sự cố này, cần có VPN. Về bản chất, VPN sử dụng mã hóa và xác thực ở các lớp giao thức thấp hơn để cung cấp kết nối an toàn thông qua một mạng không an toàn khác, điển hình là Internet. VPN thường rẻ hơn so với các mạng riêng thực sử dụng đường truyền riêng nhưng phụ thuộc vào việc cócùng một hệ thống mã hóa và xác thực ở cả hai đầu. Việc mã hóa có thể được thực hiện bởi phần mềm tường lửa hoặc có thể bởi các bộ định tuyến. Cơ chế giao thức phổ biến nhất được sử dụng cho mục đích này là ở cấp IP và được gọi là IPsec.

Một tổ chức duy trì mạng LAN tại các địa điểm phân tán. Một phương tiện hợp lý để triển khai IPsec là trong tường lửa, như trong Hình 22.4, về cơ bản lặp lại Hình 19.1. Nếu IPsec được triển khai trong một hộp riêng biệt phía sau (bên trong) tường lửa, thì lưu lượng VPN đi qua tường lửa theo cả hai hướng sẽ được mã hóa. Trong trường hợp này, tường lửa không thể thực hiện chức năng lọc hoặc các chức năng bảo mật khác, chẳng hạn như kiểm soát truy cập, ghi nhật ký hoặc quét vi-rút. IPsec có thể được triển khai trong bộ định tuyến ranh giới, bên ngoài tường lửa. Tuy nhiên, thiết bị này có thể kém an toàn hơn so với tường lửa và do đó ít được mong đợi hơn như một nền tảng IPsec.

Xem thêm Bài toán tính nghịch đảo theo Modulo(Mở trong cửa số mới)

Distributed Firewalls 

Cấu hình tường lửa phân tán bao gồm các thiết bị tường lửa độc lập cộng với máy chủ- các bức tường lửa dựa trên hoạt động cùng nhau dưới sự kiểm soát quản trị tập trung. Hình 22.5 gợi ý cấu hình tường lửa phân tán. Quản trị viên có thể cấu hình tường lửa máy chủ lưu trú trên hàng trăm máy chủ và máy trạm cũng như cấu hình tường lửa cá nhân trên hệ thống người dùng cục bộ và từ xa. Các công cụ cho phép người quản trị mạng thiết lập các chính sách và giám sát bảo mật trên toàn bộ mạng. Các bức tường lửa này bảo vệ khỏi các cuộc tấn công nội bộ và cung cấp khả năng bảo vệ phù hợp với các máy và ứng dụng cụ thể. Tường lửa độc lập cung cấp khả năng bảo vệ toàn cầu, bao gồm tường lửa bên trong và tường lửa bên ngoài, như đã thảo luận trước đây.

Các hệ thống cần thiết với firewall

Hình 22.4 Một tình huống bảo mật VPN

Với tường lửa phân tán, có thể có ý nghĩa khi thiết lập cả DMZ bên trong và bên ngoài. Các máy chủ web cần ít bảo vệ hơn vì chúng có ít thông tin quan trọng hơn có thể được đặt trong một DMZ bên ngoài, bên ngoài tường lửa bên ngoài. Bảo vệ nào cần thiết được cung cấp bởi tường lửa dựa trên máy chủ lưu trữ trên các máy chủ này.

Xem thêm Thuật toán mã hóa khối(block cipher)- AES

Một khía cạnh quan trọng của cấu hình tường lửa phân tán là nguyên tắc bảo mật. Việc giám sát như vậy thường bao gồm tổng hợp và phân tích nhật ký, tường lửathống kê và giám sát chi tiết từ xa các máy chủ riêng lẻ nếu cần.

Summary of Firewall Locations and Topologies 

Bây giờ chúng ta có thể tóm tắt cuộc thảo luận từ Phần 22.4 và 22.5 để xác định một phổ các vị trí và cấu trúc liên kết tường lửa. Các lựa chọn thay thế sau có thể được xác định:

  • Host-resident firewall: Danh mục này bao gồm phần mềm tường lửa cá nhân và phần mềm tường lửa trên máy chủ. Những bức tường lửa như vậy có thể được sử dụng một mình hoặc như một phần của việc triển khai tường lửa chuyên sâu.
  • Screening router: Một bộ định tuyến duy nhất giữa các mạng bên trong và bên ngoài với tính năng lọc gói tin không trạng thái hoặc đầy đủ. Sự sắp xếp này là điển hình cho các ứng dụng văn phòng nhỏ / văn phòng gia đình (SOHO).
Các hệ thống cần thiết với firewall

Hình 22.5 Ví dụ về cấu hình tường lửa phân tán

  • Single bastion inline: Một thiết bị tường lửa duy nhất giữa bộ định tuyến bên trong và bên ngoài (ví dụ: Hình 22.1a). Tường lửa có thể triển khai các bộ lọc trạng thái và / hoặc proxy ứng dụng. Đây là cấu hình thiết bị tường lửa điển hình cho các tổ chức vừa và nhỏ.
  • Single bastion T: Tương tự như pháo đài đơn nội tuyến nhưng có giao diện mạng thứ ba trên pháo đài với DMZ nơi đặt các máy chủ có thể nhìn thấy bên ngoài. Một lần nữa, đây là cấu hình thiết bị phổ biến cho các tổ chức vừa đến lớn.
  • Double bastion inline: Hình 22.3 minh họa cấu hình này, trong đó DMZ được kẹp giữa các bức tường lửa pháo đài. Cấu hình này phổ biến cho các doanh nghiệp lớn và các tổ chức chính phủ.
  • Double bastion T: DMZ nằm trên một giao diện mạng riêng biệt trên tường lửa pháo đài. Cấu hình này cũng phổ biến đối với các doanh nghiệp lớn và các tổ chức chính phủ và có thể được yêu cầu. Ví dụ, cấu hình này là bắt buộc để sử dụng cho chính phủ Úc (Sổ tay Bảo mật Công nghệ Thông tin của Chính phủ Úc – ACSI33).

Distributed firewall configuration: Minh họa trong hình 22.5. Cấu hình này được một số doanh nghiệp lớn và các tổ chức chính phủ sử dụng.

Leave a Reply