Giải pháp chia sẻ và bảo mật mạng với Proxy Server



Khái quát

Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ ch­ơng trình proxy đ­ợc đặt ở gateway ngăn cách một mạng bên trong (Intranet) với Internet. 

Bộ ch­ơng trình proxy đ­ợc phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System), bao gồm một bộ các ch­ơng trình và sự đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một firewall. Bộ ch­ơng trình đ­ợc thiết kế để chạy trên hệ UNIX sử dụng TCP/IP với giao diện socket Berkeley.

Bộ ch­ơng trình proxy đ­ợc thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened host gateway, và screened subnet gateway.

Thành phần Bastion host trong Firewall, đóng vai trò nh­ một ng­ời chuyển tiếp thông tin, ghi nhật ký truyền thông, và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.


Phần mềm firewall - proxy SERVER

Bộ ch­ơng trình proxy gồm những ch­ơng trình mức ứng dụng (application-level programs), dùng để thay thế hoặc là thêm vào phần mềm hệ thống. Đối với mỗi dịch vụ, cần có một phần mềm t­ơng ứng làm nhiệm vụ lọc các bản tin. Trên cơ sở phân tích cấu trúc và nội dung thông, bản tin này sẽ đ­ợc cho đi qua hoặc cấm, tuỳ theo chính sách bảo vệ. Bộ ch­ơng trình proxy có những thành phần chính bao gồm: 

SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Mail Tranfer Protocol) 
FTP Gateway - Proxy server cho dịch vụ Ftp 
Telnet Gateway - Proxy server cho dịch vụ Telnet 
HTTP Gateway - Proxy server cho dịch vụ HTTP (World Wide Web) 
Rlogin Gateway - Proxy server cho dịch vu rlogin 
Plug Gateway - Proxy server cho dịch vụ kết nối server tức thời dùng giao thức TCP (TCP Plug-Board Connection server) 
SOCKS - Proxy server cho các dịch vụ theo chuẩn SOCKS 
NETACL - Điều khiển truy nhập mạng dùng cho cac dịch vụ khác 
IP filter ? Proxy điều khiển mức IP 
SMTP Gateway - Proxy server cho cổng SMTP

Ch­ơng trình SMTP Gateway đ­ợc xây dựng trên cơ sở sử dụng hai phần mềm smap và smapd, dùng để chống lại sự truy nhập thông qua giao thức SMTP. Nguyên lý thực hiện là chặn tr­ớc ch­ơng trình mail server nguyên thuỷ của hệ thống, không cho phép các hệ thống bên ngoài kết nối trực tiếp với mail server. Vì ở trong mạng tin cậy mail server th­ờng có một số quyền ­u tiên khá cao. Trên hệ điều hành UNIX ch­ơng trình mail server đ­ợc thực hiện bởi sendmail. 

Khi một hệ thống ở xa nối tới cổng SMTP. Ch­ơng trình smap sẽ dành quyền phục vụ và chuyển tới th­ mục dành riêng và đặt user-id ở mức bình th­ờng (không có quyền ­u tiên). Mục đích duy nhất của smap là đối thoại SMTP với các hệ thống khác, thu l­ợm mail, ghi vào đĩa, ghi nhật ký, và kết thúc. Smapd th­ờng xuyên quét th­ mục này, khi phát hiện có th­ sẽ chuyển dữ liệu cho sendmail để phân phát vào các hòm th­ cá nhân hoặc chuyển tiếp tới các mail server khác.

Nh­ vậy, một user lạ trên mạng không thể kết nối trực tiếp với Mail Server. Tất cả các thông tin đi theo đ­ờng này hoàn toàn có thể kiểm soát đ­ợc. Tuy nhiên, ch­ơng trình cũng không thể giải quyết vấn đề giả mạo th­ hoặc các loại tấn công bằng đ­ờng khác.

FTP Getway Proxy server cho dịch vụ FTP

Proxy server cho dịch vụ FTP cung cấp khả năng kiểm soát truy nhập dịch vụ FTP dựa trên địa chỉ IP và hostname, và cung cấp điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá hoặc ghi nhật ký bất kỳ lệnh FTP nào. Các địa chỉ đích của dịch vụ này cũng có thể tuỳ chọn đ­ợc phép hay bị cấm. Tất cả các sự kết nối và dung l­ợng dữ liệu chuyển qua đều bị ghi nhật kí lại.

FTP Gateway tự bản thân nó không đe doạ an toàn của hệ thống Firewall, bởi vì nó chạy chroot tới một th­ mục rỗng và không thực hiện một thủ tục vào ra file nào cả ngoài việc đọc file cấu hình của nó. FTP Server chỉ cung cấp dịch vụ FTP, mà không quan tâm đến ai có quyền hay không có quyền kết xuất (download) file. Do vậy, việc xác định quyền phải đ­ợc thiết lập trên FTP Gateway và phải thực hiện tr­ớc khi thực hiện việc kết xuất (download) hay nhập (upload) file. Ftp Gateway nên đ­ợc cấu hình dựa theo chính sách an toàn của mạng. Bộ ch­ơng trình proxy cho phép ng­ời quản trị mạng cung cấp cả dịch vụ ftp và ftp proxy trên cùng một hệ thống nh­ng việc làm này là không đảm bảo an ninh của firewall.

Tóm lại, sử dụng FTP Gateway có thể ngăn ngừa mọi sự thâm nhập vào mạng qua cổng FTP một cách khá linh hoạt (cho phép ngăn cản từng địa chỉ hay toàn bộ mạng) và cũng kiểm soát việc truy nhập tới từng khả năng nh­ download hay upload thông tin.

Telnet Gateway - Proxy server cho Telnet

Telnet Gateway là một proxy server quản lý truy nhập mạng dựa trên địa chỉ IP và/hoặc hostname, và cung cấp sự điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá bất kỳ đích nào. Tất cả các sự kết nối dữ liệu chuyển qua đều đ­ợc ghi nhật ký lại. Mỗi một lần user nối tới Telnet Gateway, ng­ời sử dụng phải lựa chọn ph­ơng thức kết nối.

Telnet Gateway không ph­ơng hại tới an toàn hệ thống, vì nó chỉ hoạt động trong một phạm vi cho phép nhất định. Cụ thể, hệ thống sẽ chuyển điều kiển tới một th­ mục dành riêng. Đồng thời cấm truy nhập tới các th­ mục và file khác.

Telnet Gateway đ­ợc sử dụng để kiểm soát các truy nhập vào hệ thống mạng nội bộ. Các truy nhập không đ­ợc phép sẽ không thể thực hiện đ­ợc còn các truy nhập hợp pháp sẽ bị ghi lại nhật ký về thời gian truy nhập và các thao tác đã thực hiện.

HTTP Gateway - Proxy server cho web

HTTP Gateway là một Proxy Server quản lý truy nhập hệ thống qua cổng HTTP (Web). Ch­ơng trình này, dựa trên địa chỉ đích và địa chỉ nguồn để ngăn cấm hoặc cho phép yêu cầu truy nhập đi qua. 

Đồng thời căn cứ và mã lệnh của giao thức HTTP, phần mềm này sẽ cho phép thực hiện hoặc loại bỏ yêu cầu.

Các yêu cầu truy nhập đều đ­ợc ghi vào nhật ký nhằm quản lý và thống kê.

Với cơ chế đón nhận thông tin trực tiếp từ cổng HTTP, phần mềm này đảm bảo kiểm soát đ­ợc toàn bộ nh­ng truy nhập vào hệ thống thông qua Web. Đồng thời việc xử lý bản tin, thực hiện trong bộ nhớ, nên không ảnh h­ởng đến hệ thống.

Rlogin Gateway - Proxy server cho rlogin

Các terminal truy nhập qua thủ tục BSD rlogin đ­ợc kiểm soát bởi rlogin gateway. Ch­ơng trình cho phép kiểm tra và điều khiển truy nhập mạng t­ơng tự nh­ telnet gateway. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu nối vào proxy. Ch­ơng trình sẽ hạn chế yêu cầu t­ơng tác giữa user với máy. 

Plug Gateway - TCP Plug-Board Connection server

Firewall cung cấp các dịch vụ thông th­ờng nh­ Usernet news. Ng­ời quản trị mạng có thể chọn hoặc là chạy dịch vụ này ngay trong firewall, hoặc cài đặt một proxy server cho dịch vụ này. 

Do dịch vụ News chạy trực tiếp trên firewall thì dễ gây lỗi hệ thống, nên cách an toàn hơn là sử dụng proxy. Plug gateway đ­ợc thiết kế để kiểm soát dịch vụ Usernet News và một số dịch vụ khác nh­ Lotus Notes, Oracle, etc.

Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả các truy nhập hệ thống thông qua các cổng dịch vụ đ­ợc đăng ký. Trên cơ sở đó sẽ cho phép hoặc cấm các yêu cầu truy nhập. Tất cả yêu cầu kết nối bao gồm cả dữ liệu có thể đ­ợc ghi lại nhật ký để theo dõi và kiểm soát.

SQL Gateway - Proxy Server for SQL-Net

SQL Net sử dụng giao thức riêng không giống nh­ của News hay Lotus Notes, Do vậy, không thể sử dụng Plug Gateway cho dịch vụ này đ­ợc. SQL Gateway đ­ợc phát triển từ Plug Gateway và dành riêng cho SQL-Net.

Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả các truy nhập hệ thống thông qua các cổng dịch vụ đ­ợc đăng ký. Trên cơ sở đó sẽ cho phép hoặc cấm các yêu cầu truy nhập. Tất cả yêu cầu kết nối bao gồm cả dữ liệu có thể đ­ợc ghi lại nhật ký để theo dõi và kiểm soát.

SOCKS Gateway - Proxy server cho các dịch vụ theo chuẩn SOCKS

SOCKS là giao thức kết nối mạng giữa các máy chủ cùng hỗ trợ giao thức này. Hai máy chủ khi sử dụng giao thức này sẽ không cần quan tâm tới việc giữa chúng có thể nối ghép thông qua IP hay không.

SOCKS sẽ địch h­ớng lại các yêu cầu ghép nối từ máy chủ đầu kia. Máy chủ SOCKS sẽ xác định quyền truy nhập và thiết lập kênh truyền thông tin giữa hai máy.

SOCKS Gateway dùng để chống lại các truy nhập vào mạng thông qua cổng này.

NETACL - Công cụ điều khiển truy nhập mạng

Các dịch vụ thông th­ờng trên mạng không cung cấp khả năng kiểm soát truy cập tới chúng do vậy chúng là các điểm yếu để tấn công. Kể cả trên hệ thống firewall các dịch vụ thông th­ờng đã đ­ợc l­ợc bỏ khá nhiều để đảm bảo an toàn hệ thống nh­ng một số dich vụ vẫn cần thiết để duy trì hệ thống nh­ telnet, rlogin...

Netacl là một công cụ để điều khiển truy nhập mạng, dựa trên địa chỉ network của máy client, và dịch vụ đ­ợc yêu cầu. Nó bao trùm nên các dịch vụ cơ bản cung cấp thêm khả năng kiểm soát cho dịch vụ đó. Vì vậy một client (xác định bởi địa chỉ IP hoặc hostname) có thể truy nhập tới telnet server khi nó nối với cổng dịch vụ telnet trên firewall.

Th­ờng th­ờng trong các cấu hình firewall, NETACL đ­ợc sử dụng để cấm tất cả các máy trừ một vài host đ­ợc quyền login tới firewall qua hoặc là telnet hoặc là rlogin, và để khoá các truy nhập từ những kẻ tấn công.

Độ an toàn của Netacl dựa trên địa chỉ IP và/hoặc hostname. Với các hệ thống cần độ an toàn cao, nên dụng địa chỉ IP để tránh sự giả mạo DNS. Netacl không chống lại đ­ợc sự giả địa chỉ IP qua chuyển nguồn (source routing) hoặc những ph­ơng tiện khác. Nếu có các loại tấn công nh­ vậy, cần phải sử dụng một router có khả năng soi những packet đã đ­ợc chuyển nguồn (screening source routed packages).

Chú ý là netacl không cung cấp điều khiển truy nhập UDP, bởi vì công nghệ hiện nay không đảm bảo sự xác thực của UDP. An toàn cho các dịch vụ UDP ở đây đồng nghĩa với sự không cho phép tất cả các dịch vụ UDP.

Xác thực và dịch vụ xác thực (authentication)

Bộ Firewall chứa ch­ơng trình server xác thực đ­ợc thiết kế để hỗ trợ cơ chế phân quyền. Authsrv chứa một cơ sở dữ liệu về ng­ời dùng trong mạng, mỗi bản ghi t­ơng ứng với một ng­ời dùng, chứa cơ chế xác thực cho mỗi anh ta, trong đó bao gồm tên nhóm, tên đầy đủ của ng­ời dùng, lần truy cập mới nhất. Mật khẩu không mã hoá (Plain text password) đ­ợc sử dụng cho ng­ời dùng trong mạng để việc quản trị đ­ợc đơn giản. Mật khẩu không mã hoá không nên dùng với những ng­òi sử dụng từ mạng bên ngoài. 

Ng­ời dùng trong cơ sở dữ liệu của có thể đ­ợc chia thành các nhóm khác nhau đ­ợc quản trị bởi quản trị nhóm là ng­ời có toàn quyền trong nhóm cả việc thêm, bớt ng­ời dùng. Điều này thuận lợi khi nhiều tổ chức cùng dùng chung một Firewall.

Authsrv quản lý nhóm rất mềm dẻo, quản trị có thể nhóm ng­ời dùng thành nhóm dùng "group wiz", ng­ời có quyền quản trị nhóm có thể xoá, thêm, tạo sửa bản ghi trong nhóm, cho phép hay cấm ng­ời dùng, thay đổi password của mật khẩu của user trong nhóm của mình. Quản trị nhóm không thay đổi đ­ợc ng­ời dùng của nhóm khác, tạo ra nhóm mới hay thay đổi quan hệ giữa các nhóm. Quản trị nhóm chỉ có quyền hạn trong nhóm của mình. Việc này có ích đối với tổ chức có nhiều nhóm làm việc cùng sử dụng Firewall.

Việc kiểm tra xác thực đ­ợc diễn ra khi ng­ời sử dụng bắt đầu sử dụng một dich vụ trông firewall, tất cả các dịch vụ đ­ợc nêu trên đều có khả năng kiểm tra xác thực và việc kiểm tra này chỉ xẩy ra đối với các máy có IP hay hostname xác định.

IP Filter - Bộ lọc mức IP

IP Filter là bộ lọc các gói tin TCP/IP, đ­ợc xem nh­ thành phần không thể thiếu khi thiết lập Firewall trong suốt đối với ng­ời sử dụng. Phần mềm này sẽ đ­ợc cài đặt trong lõi của hệ thống (nh­ UNIX kernel), đ­ợc chạy ngầm khi hệ thống hoặt động, để đón nhận và phân tích tất cả các gói IP (IP Package).

Bộ lọc IP filter có thể thức hiện các việc sau:

Cho đi qua hoặc cấm bất kỳ một gói tin nào. 
Nhận biết đ­ợc các dịch vụ khác nhau 
Lọc theo địa chỉ IP hoặc hosts 
Cho phép lọc chọn lựa giao thức IP bất kỳ 
Cho phép lọc chọn lựa theo các mảnh IP 
Cho phép lọc chọn lựa theo các tuỳ chọn IP 
Gửi trả lại các khối ICMP/TCP lỗi và đặt lại số hiệu packet 
L­u giữ các thông tin trạng thái đối với các dòng TCP, UDP and ICMP 
L­u giữ các thông tin trạng thái đối với các mảnh IP packet bất kỳ 
Có chức năng nh­ Network Address Translator (NAT) 
Làm cơ sở thiết lập các kết nối trong suốt đối với ng­ời sử dụng 
Cung cấp các header cho các ch­ơng trình của ng­ời sử dụng để xác nhận. 
Ngoài ra hỗ trợ không gian tạm cho các quy tắc xác nhận đối với các gói tin đi qua.
Đặc biệt đối với các giao thức cơ bản của Internet, TCP, UDP và ICMP, thì IP filter cho phép lọc theo:

Inverted host/net matching 
Số hiệu cổng của các gói tin TCP/UDP 
Kiểu hoặc mã của các gói tin ICMP 
Thiết lập các gói tin TCP 
Tổ hợp tuỳ ý các cờ trạng thái TCP 
Lọc/loại bỏ những gói IP ch­a kết thúc 
Lọc theo kiểu dịch vụ
Cho phép ghi nhật ký các bản tin bao gồm:

Header của các gói tin TCP/UDP/ICMP and IP 
Một phần hoặc tất cả dữ liệu của gói tin

Lựa chọn giải pháp

Mục đích

Một bộ Firewall bao gồm một hệ thống phần mềm máy chủ mạnh với hệ điều hành cụ thể, ghép nối vào mạng thông qua các thiết bị mạng: Hub, Switch, Router,...

Do vậy việc l­a chọn máy chủ, thiết bị mạng, hệ điều hành và phần mềm bảo về và kiểm soát sẽ quyết định khả năng ứng dụng, tốc độ truy nhập và giá thành thực hiện.

Trong phần này chúng tôi sẽ trình bày 3 ph­ơng án ghép nối. Đối với mỗi ph­ơng án, chúng tôi sẽ phân tích chi tiết mô hình ghép nối, yêu cầu phần cứng và những điểm lợi và điểm bất lợi.

Các giải pháp thực hiện

Với một yêu cầu bảo vệ và kiểm soát hệ thống, có một số ph­ơng phát khả thi. Tuỳ thuộc vào chiến l­ợc và mức độ yêu cầu, có thể chọn một trong các mô hình kết nối d­ới đây: 

Kết nối trực tiếp đơn 
Kết nối song song 
Kết nối gián tiếp 
Đối với mỗi mô hình, thiết bị phần cứng và phần mềm là khác nhau, kéo theo chi phí thực hiện sẽ khác nhau. Tất nhiên khả năng và phạm vi cũng khác nhau. Do khuôn khổ của giải pháp này là thiết lập Firewall cho một mạng đã có, nên những yếu tố về thiết bị, phần mềm, đ­ờng truyền trong mạng, đ­ợc xem nh­ đã có và không đề cập đến nữa. Nếu cần chúng tôi sẽ trình bày trong bản giải pháp về mạng.

Kết nối đơn tr­c tiếp
Bộ Firewall đ­ợc đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đ­ờng truyền đi ra hoặc đi và đều phải thông qua Firewall.

Mô hình mạng


Đ­ờng truyền từ ngoài đ­ợc nối vào router, qua HUB vào máy chủ Firewall, sau đó đi vào mạng bên trong. Tất cả các gói tin từ ngoài vào sẽ đ­ợc Firewall Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ng­ợc lại, nếu không hợp lệ sẽ bi loại bỏ ngay. T­ơng tự nh­ vậy đối với đối với các yêu cầu truy nhập từ trong ra cũng bị Firewall kiểm soát.

Phần mềm Firewall sẽ đ­ợc cài trên máy chủ (server). Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua đầy đủ hoặc mua từng phần của bộ ch­ơng trình phần mềm Firewall. Nếu mua từng phần thì chỉ có những truy nhập thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra, cũng có một lựa chọn chỉ cho phép một số dịch vụ nào đó đ­ợc phép.

L­u ý rằng, cấu hình máy chủ này càng mạnh thì tốc độ xử lý càng nhanh, thời gian do firewall chiếm là không đáng kể.

Yêu cầu phần cứng

1 x Máy chủ SUN/HP/IBM/... 2CPU, 332Mhz,256Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn 
1x HUB: 3Com/IBM/HP/...
Yêu cầu phần mềm

1 x OS: UNIX/NT 
1x Firewall Software (depend on your selection) 
Ưu điểm

Chi phí thực hiện thấp hơn so với các giải pháp khác. 
Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra. 
Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống. Hỗ trợ tốt cho quyết định của nhà quản lý hệ thống. 
Cấu hình hệ thống đơn giản. 
Nh­ợc điểm

Khi Máy chủ có sự cố (treo, hỏng vật lý,...) thì toàn bộ việc truy nhập từ trong ra cũng nh­ từ ngoài vào sẽ bị dừng lại 
Kết nối song song tr­c tiếp

Bộ Firewall đ­ợc đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đ­ờng truyền đi ra hoặc đi và đều phải thông qua Firewall.

Mô hình này sử dụng hai bộ Firewall thiết lập theo chế độ song hành hoặc kiểu dự phòng (main-standby). Tr­ờng hợp một bộ có sự có thì bộ kia sẽ đảm nhận toàn bộ công việc.

Mô hình mạng

Đ­ờng truyền từ ngoài đ­ợc nối vào router, qua Hub đến máy chủ, sau đó đi vào mạng bên trong. Tất cả các gói tin từ ngoài vào sẽ đ­ợc Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ng­ợc lại, nếu không hợp lệ sẽ bị loại bỏ. T­ơng tự nh­ vậy đối với các yêu cầu truy nhập từ trong ra cũng bị kiểm soát.

Phần mềm Firewall sẽ đ­ợc cài trên 2 máy chủ (server). Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua toàn bộ hoặc mua từng phần. Nếu mua từng phần thì chỉ có những truy nhập thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra cũng có một lựa chọn chỉ cho phép một số dịch vụ nào đó đ­ợc phép.

Cấu hình máy chủ càng mạnh thì tốc độ xử lý càng nhanh, khi đó thời gian do firewall xử lý là không đáng kể.

Nếu thiết lập theo chế độ dự phòng, máy chủ thứ hai (máy phụ) có thể chọn cấu hình phần cứng thấy hơn.

Yêu cầu phần cứng

1 x Máy chủ chính: SUN/HP/IBM/... 4CPU, 332Mhz, 256Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn 
1 x Máy chủ dự phòng: SUN/HP/IBM/... 2CPU, 332Mhz, 128Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn 
2 x Hub: 3COM/IBM/HP/... 
Cable, connector,... 
Yêu cầu phần mềm

OS: UNIX/NT cài trên 2 máy chủ (có thể 1 NT và 1UNIX hoặc cả 2 cùng là UNIX hoặc cùng là NT) 
Firewall Software (depend on your selection) cài trên 2 máy chủ 
Ưu điểm

Chế độ thực hiện an toàn cao, nhanh. 
Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra. 
Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống. Hỗ trợ tốt cho quyết định của nhà quản lý hệ thống. 
Nh­ợc điểm

Chi phí thực hiện cao. 
Thiết lập cấu hình phức tạp. 
Khi có sự cố phải đồng bộ 2 hệ thống trên máy. 
Kết nối gián tiếp

Giải pháp dùng dùng để giám sát truy nhập giữa hai mạng Intranet và Internet mà không làm ảnh h­ởng tới hoạt động hiện tại của mạng. Do vậy, sẽ không có khả năng ngăn cấm truy nhập.

Bộ Firewall đ­ợc đặt song song với đ­ờng truyền giữa mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Các thông tin trao đổi qua lại sẽ đồng thời chuyển đến cho Firewall.

Mô hình mạng


Giữa đ­ờng truyền nối hai mạng sẽ đ­ợc đặt một thiết bị chuyển mạch. Thiết bị này có chức năng giữ nguyên luồng thông tin trên đ­ờng truyền hiện tại. Đồng thời tạo một mới đi vào Firewall với nội dung giống hệt. Luồng thông tin này bao gồm cả luồng từ ngoài vào và từ trong ra.

Phần mềm Firewall sẽ đ­ợc cài trên máy chủ (server), dùng để đón nhận tất cả thông tin chuyển đến từ thiết bị chuyênr mạch. Sau đó ghi vào kho l­u trữ.

L­u ý rằng, Firewall này không thay đổi bất cứ nội dung nào của các gói tin. Đồng thời cũng không có khả năng cấm hoặc cho phép các dịch vụ trao đổi qua lại giữa hai mạng.

Yêu cầu phần cứng
Máy chủ SUN/HP/IBM/... 2CPU, 332Mhz,128Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn 
Thiết bị chuyển mạch
Yêu cầu phần mềm

1 x OS: UNIX/NT cài cho máy chủ 
1 x Firewall Software (depend on your selection) 
Ưu điểm

Chi phí thực hiện thấp so với các giải pháp khác 
Có khả năng thống kê toàn bộ việc truy nhập từ ngoài vào, và từ trong ra. 
Nh­ợc điểm

Không cho phép ngăn chặn những truy nhập cố ý hoặc phá hoại từ bên ngoài cũng nh­ từ trong ra


Nguồn: Sưu Tầm

Leave a Reply