Bài giảng Phòng chống tấn công mạng: Chương 3 - Bùi Trọng Tùng

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:30

Thêm vào BST

Báo xấu

6
lượt xem 3
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Phòng chống tấn công mạng: Chương 3 - Hệ thống tường lửa (FIREWALL)" trình bày những nội dung chính sau đây: Tổng quan về tường lửa; Kiến trúc của tường lửa; Các mô hình triển khai hệ thống tường lửa. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Phòng chống tấn công mạng: Chương 3 - Bùi Trọng Tùng

BÀI 3. HỆ THỐNG TƯỜNG LỬA(FIREWALL) Bùi Trọng Tùng, SoICT, HUST 1 1 Nội dung • Tổng quan về tường lửa • Kiến trúc của tường lửa • Các mô hình triển khai hệ thống tường lửa 2 2 1
1. GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA Bùi Trọng Tùng, SoICT, HUST 3 3 Giới thiệu chung 1 dạng IPS Intrusion Prevention System ngăn chặn tấn công từ một nguồn đã biết nào đó phải là đã biết: bảo vệ những thứ phía sau đó, từ những hành vi bên ngoài • Là hệ thống có khả năng ngăn chặn các truy cập không hợp lệ và đã biết từ bên ngoài và trong khu vực tài nguyên cần bảo vệ • Tường lửa có thể triển khai ở nhiều vị trí, tùy thuộc cách thức định nghĩa, phạm vi tài nguyên cần bảo vệ: • Mạng ngoại vi Network-based firewall • Mạng nội bộ • Nút mạng(Host-based firewall) • Ứng dụng(Application firewall) 4 4 2
Tường lửa có thể làm gì? • Thi hành các chính sách an toàn bảo mật: hoạt động như một hệ thống cảnh vệ(traffic cop) cho phép/từ chối lưu lượng mạng nào đó đi qua tường lửa dựa trên các đặc điểm(giao thức, địa chỉ, nội dung…) đã xác định • Hạn chế các hành vi tấn công vào mạng từ bên ngoài vào mạng nội bộ được bảo vệ • Từ mạng bên ngoài(Internet) vào mạng nội bộ • Từ phân vùng mạng nội bộ này tới những phân vùng mạng nội bộ khác • Lưu nhật ký các lưu lượng mạng 5 5 Tường lửa không thể làm gì? • Không bảo vệ được tài nguyên trước các mối nguy cơ từ bên trong • Không kiểm soát được các lưu lượng mạng không đi qua • Không kiểm soát đầy đủ đối với các lưu lượng đã được mã hóa • Không ngăn chặn được các truy cập tấn công chưa biết • Không chống lại được hoàn toàn các nguy cơ từ phần mềm độc hại • Do đó cần được: • Triển khai ở nhiều vị trí khác nhau • Kết hợp với các giải pháp khác: phòng chống phần mềm độc hại, IDS/IPS, điều khiển truy cập, kiểm toán(auditing) IDS: phát hiện • Cập nhật liên tục các chính sách mới 6 6 3
Một số sản phẩm tường lửa • Check Point , Fortinet Fortigate, Cisco PIX, Cisco ASA, Proventia, Bkav IPS Firewall • Network-based firewall • Thiết bị phần cứng • Thường tích hợp thêm các tính năng khác: IPS, VPN, anti-malware • Đắt tiền • Microsoft ISA Server, Microsoft Forefront TMG • Network-based firewall • Phần mềm: hiệu năng thấp hơn thiết bị phần cứng • Tích hợp thêm các tính năng: VPN, Single-Sign-On, quản trị, giám sát hệ thống… 7 7 Một số sản phẩm tường lửa(tiếp) • pfSense, SmoothWall • Network-based firewall • Phần mềm: hiệu năng thấp hơn thiết bị phần cứng • Tích hợp nhân hệ điều hành Linux, Unix vào sản phẩm(distro) • Đa tính năng: định tuyến, cân bằng tải, IPS… • Miễn phí • Host-based firewall • Thương mại: Kaspersky, Norton… • Miễn phí: Comodo, Zone alarm, iptables, FirewallD… • Application firewall • Web: ModSecurity, WAFEC 8 8 4
2. CÁC CÔNG NGHỆ TƯỜNG LỬA Bùi Trọng Tùng, SoICT, HUST 9 9 Các thế hệ tường lửa • Thế hệ 1(1985) – Packet filter: kiểm soát lưu lượng dựa trên các thông tin trong phần tiêu đề • Thế hệ 2(1989) – Proxy server: có thể ngăn chặn lưu lượng tấn công dựa trên sự hiểu biết về các giao thức chuẩn của tầng ứng dụng • Thế hệ 3(1991) – Stateful inspector firewall: kiểm soát thêm trạng thái của luồng dữ liệu • Thế hệ 4(1994) – Dynamic packet filter: giao tiếp với hệ thống phát hiện tấn công để cung cấp các cơ chế phản ứng với tấn công • Thế hệ 5(1996) – Kiểm soát quá trình xử lý gói tin dựa trên toàn bộ chồng giao thức TCP/IP • Hiện nay: tích hợp với các giải pháp an toàn bảo mật khác 10 10 5
Packet filter(stateless) Không ghi nhớ trạng thái của gói tin 2 cách thức cơ bản: allow and deny • Loại tường lửa đơn giản nhất • Dựa trên việc kiểm tra một số giá trị trong phần tiêu đề để xác định gói tin được chấp nhật hoặc chặn: • Địa chỉ MAC Stateless trong trường hợp này có nghĩa là bộ lọc gói không theo dõi trạng thái (state) của các kết nối mạng. Nó quyết định có phải chấp nhận hay từ chối gói tin dựa trên thông tin có sẵn trong từng gói tin • Địa chỉ IP nguồn, đích riêng lẻ mà không cần theo dõi các kết nối mạng trước đó. Mỗi gói tin được xem xét độc lập, không có sự nhớ hay biết thông tin về các gói trước đó. • Số hiệu cổng nguồn, đích Các quy tắc bộ lọc gói stateless được thiết lập dựa trên các thông tin như địa chỉ nguồn và đích, cổng nguồn và đích, giao thức, và một số thông tin đặc biệt khác có trong tiêu đề gói tin. Dựa vào các quy • Giao thức tắc này, bộ lọc gói sẽ quyết định cho phép hoặc từ chối gói tin đi qua thiết bị. • Ví dụ: một số luật kiểm tra luật từ trên xuoogns dưới khớp cái nào thì xác nhận cái đó 11 11 Kiến trúc 12 12 6
Packet filter – Nguyên lý hoạt động • Mỗi firewall có một tập các luật định nghĩa cách thức xử lý gói tin(cho phép đi qua hoặc chặn). • Tập các luật có thể áp dụng trên luồng dữ liệu đi vào(inbound) hoặc đi ra(outbound) của giao tiếp mạng trên firewall inbound: ra VPN vào mạng nội bộ outbound: ra khỏi nút mạng tới VPN 13 13 Packet filter – So khớp luật • Thông tin trên phần tiêu đề của gói tin được so khớp với các giá trị định nghĩa trong luật • Các luật được so khớp theo thứ tự sắp đặt trong tập luật • Nếu phù hợp với luật nào, gói tin được xử lý theo cách thức đã chỉ ra trong luật đó • Không tiếp tục so khớp với các luật còn lại • Nếu không có luật nào được so khớp: xử lý theo luật mặc định • Thông thường: luật mặc định là chặn 14 14 7
Ưu điểm: Hiệu suất cao: Packet filter hoạt động nhanh chóng và hiệu quả, đặc biệt khi xử lý lưu lượng mạng lớn. Vì nó không lưu trạng thái kết nối, do đó không yêu cầu nhiều tài nguyên hệ thống và giữ cho mạng chạy mượt mà. Đơn giản và dễ cấu hình: Packet filter sử dụng các quy tắc đơn giản dựa trên thông tin trong header của gói tin mạng, điều này làm cho nó dễ dàng để cấu hình và triển khai. Nó rất hữu ích cho các môi trường đòi hỏi tính năng bảo mật cơ bản. Khả năng kiểm soát truy cập: Packet filter cho phép người quản trị mạng kiểm soát các loại lưu lượng truy cập mạng, như cho phép hoặc từ chối các kết nối tới một cổng cụ thể hoặc địa chỉ IP. Nhược điểm: Thiếu khả năng kiểm soát trạng thái: Packet filter không theo dõi trạng thái kết nối của các gói tin, do đó không có khả năng phân biệt giữa các kết nối TCP được thiết lập và các gói tin độc lập. Điều này có thể dẫn đến các vấn đề bảo mật như tấn công từ người dùng giả mạo (IP spoofing). Không phân biệt ứng dụng: Packet filter dựa vào thông tin trong header của gói tin mạng, vì vậy nó không thể phân biệt các ứng dụng sử dụng cùng một cổng. Điều này có thể làm giảm khả năng kiểm soát và quản lý lưu lượng mạng đối với các ứng dụng cụ thể. Cách khắc phục: Sử dụng tường lửa có trạng thái: Để khắc phục nhược điểm không theo dõi trạng thái kết nối, người dùng có thể sử dụng tường lửa có trạng thái (stateful firewall). Tường lửa có trạng thái có thể theo dõi trạng thái kết nối và tự động cho phép các gói tin liên quan đến các kết nối được thiết lập và từ chối các gói tin không hợp lệ. Sử dụng các công nghệ bảo mật bổ sung: Để bổ sung khả năng kiểm soát ứng dụng, người dùng có thể sử dụng các giải pháp tường lửa ứng dụng hoặc hệ thống phát hiện xâm nhập (IDS/IPS). Các công nghệ này cung cấp khả năng phân loại lưu lượng mạng dựa trên ứng dụng và thậm chí có thể ngăn chặn các hoạt động xâm nhập. Cập nhật định kỳ: Luôn cập nhật các quy tắc và chính sách của tường lửa để đảm bảo bảo mật cao nhất. Các nhà sản xuất tường lửa thường cung cấp các bản cập nhật để khắc phục các lỗ hổng bảo mật mới và cải thiện tính năng. Kịch bản: Mục tiêu: Một công ty có mạng nội bộ bảo vệ bằng tường lửa. Trong mạng nội bộ, có một máy chủ dự định để truy cập từ xa thông qua mạng công cộng. Tường lửa cấu hình không an toàn: Tường lửa được cấu hình cho phép lưu lượng truy cập đến máy chủ từ xa thông qua một số cổng, nhưng không có các quy tắc cụ thể để kiểm soát lưu lượng này. Nó cũng không có khả năng theo dõi trạng thái kết nối (stateless). Cuộc tấn công: Kẻ tấn công nhận ra tường lửa không kiểm soát được các kết nối và không có cơ chế để theo dõi trạng thái kết nối. Kẻ tấn công sẽ tận dụng điểm yếu này để thực hiện cuộc tấn công từ xa vào máy chủ nội bộ. Bypass tường lửa: Kẻ tấn công sử dụng một phần mềm xâm nhập để tấn công máy chủ từ xa thông qua một cổng mạng mở trên tường lửa. Vì tường lửa không có khả năng kiểm soát trạng thái kết nối, nó không phát hiện và từ chối cuộc tấn công này. Đánh cắp dữ liệu: Sau khi kết nối thành công vào máy chủ nội bộ, kẻ tấn công có thể truy cập và đánh cắp dữ liệu nhạy cảm, như thông tin khách hàng, tài liệu quan trọng hoặc thông tin bảo mật của công ty. Cách khắc phục: Để khắc phục cuộc tấn công này, công ty có thể thực hiện một số biện pháp bảo mật: Cập nhật tường lửa: Cải thiện cấu hình tường lửa bằng cách thêm các quy tắc kiểm soát lưu lượng truy cập đến máy chủ từ xa. Sử dụng tường lửa có trạng thái sẽ cung cấp khả năng theo dõi kết nối và tự động từ chối các kết nối không hợp lệ. Kiểm tra các cổng mạng: Kiểm tra tất cả các cổng mạng mở trên tường lửa và tắt những cổng không cần thiết hoặc không an toàn để giảm nguy cơ tấn công từ bên ngoài. Giám sát và phát hiện xâm nhập (IDS/IPS): Triển khai hệ thống phát hiện xâm nhập để giám sát lưu lượng mạng và phát hiện các hành vi không bình thường. Nếu có hành vi tấn công, hệ thống IDS/IPS có thể ngăn chặn và báo động. Cập nhật và quản lý bảo mật: Đảm bảo cập nhật định kỳ cho tường lửa và phần mềm bảo mật khác. Cũng cần thiết đào tạo nhân viên về các biện pháp bảo mật và quản lý rủi ro an toàn thông tin.
Packet filter(stateless) • Ưu điểm: • Đơn giản • Tốc độ xử lý nhanh chỉ xử lý gói tin trong phần tiêu đề • Hạn chế: • Có quá ít lựa chọn xử lý(drop, accept, forward) • Không kiểm soát được nội dung gói tin • Khả năng hỗ trợ ghi nhật ký hạn chế • Dễ dàng vượt qua bằng các kỹ thuật giả mạo thông tin trên phần tiêu đề • Không hỗ trợ tính năng xác thực 15 15 Case study: Cisco ACL Access control list • Standard ACL: Lọc dựa trên địa chỉ nguồn chỉ dựa trên địa chỉ IP #access-list ACL_num {permit | deny} {srcAddr srcWildcard | host srcAddr | any} • Extended ACL: Lọc dựa trên địa chỉ nguồn, đích, giao thức cho phép lọc trên cổng dịch vụ 100-199 #access-list ACL_num {permit | deny} protocol {srcAddr srcWildcard | host srcAddr | any} [operator srcPort] {dstAddr dstWildcard | host dstAdrr | any} [operator dstPort] • Luật mặc định: deny #access-list 101 deny ip 172.16.X.0 0.0.0.255 192.168.X.0 0.0.0.255 #access-list 101 permit ip 172.16.X.0 0.0.0.255 any 16 16 8
Case study: iptables #iptables args_list Một số tham số có thể sử dụng - A: thêm luật, -D: xóa luật Tham số chỉ luồng áp dụng: INPUT, OUTPUT, FORWARD -i interface: chỉ định cổng áp dụng luật với dữ liệu đi vào -o interface: chỉ định cổng áp dụng luật với dữ liệu đi ra -j [ACCEPT | DROP | LOG | REJECT | RETURN] - p: giao thức - s srcAddr: địa chỉ nguồn, --sport port: cổng nguồn - d dstAddr: địa chỉ đích, --dport port: cổng đích #iptables -A INPUT -i eth0 -dport 80 -j ACCEPT áp dụng cho cổng eht0 17 17 Stateful Inspector/Filter có ghi nhớ trạng thái của gói tin, trạng thái của phiên truyền thôn • Hạn chế của Packet filter: chỉ xử lý độc lập từng gói tin, không có cơ chế theo dõi trạng thái của liên kết • Ví dụ: Cho phép các gói tin từ External network vào Internal network nếu nút mạng trong Internal network đã khởi tạo liên kết • Stateful Inspector • Sử dụng bảng lưu thông tin trạng thái của các liên kết đã được thiết lập • Cho phép dữ liệu đi vào(inbound) trong khu vực tài nguyên được bảo vệ khi và chỉ khi liên kết đã được thiết lập • Vẫn hỗ trợ các giao thức hướng không liên kết: chỉ cho phép dữ liệu đi vào nếu trước đó đã có dữ liệu đi ra tương ứng 18 18 9
hạn chế của Stateless packet filter ví dụ thiệt lập luật cấm truy cập từ bên ngoài vào dịch vụ trong mạng 192.168.1.0/24 nghĩa là nó sẽ chỉ chặn 1 đường => nhưng gây lôi cho toàn bộ Stateful Inspector/Filter – Ví dụ 3. TCP SYN 2. Pass 1. TCP SYN From: 2.2.2.2:14000 the packet From: 2.2.2.2:14000 To: 1.1.1.1:80 To: 1.1.1.1:80 Protocol Internal IP Internal port External IP External port State TCP 2.2.2.2 14000 1.1.1.1 80 outbound deny outbound ghi nhận 1 kết nối đã được thiết lập 19 19 Stateful Inspector/Filter – Ví dụ 4. TCP SYN/ACK 5. Check rules 6. TCP SYN/ACK From: 1.1.1.1:80 Pass the packet From: 1.1.1.1:80 To: 2.2.2.2:14000 To: 2.2.2.2:14000 Protocol Internal IP Internal port External IP External port State TCP 2.2.2.2 14000 1.1.1.1 80 outbound 20 20 10
Stateful Inspection (kiểm tra lưu trạng thái) là một loại tường lửa (firewall) tiên tiến hơn so với Packet Filter (tường lửa không lưu trạng thái). Nó điều tra theo dõi lưu lượng mạng và duy trì thông tin về trạng thái kết nối giữa các máy chủ trên mạng, cho phép kiểm soát truy cập mạng chính xác và hiệu quả hơn. Ưu điểm: Theo dõi trạng thái kết nối: Stateful Inspection có khả năng theo dõi trạng thái kết nối của các gói tin mạng. Nó biết trạng thái các kết nối đã thiết lập, và nhờ đó , nó có thể phân biệt gói tin hợp lệ và gói tin không hợp lệ. Bảo mật cao hơn: Với khả năng theo dõi trạng thái kết nối, Stateful Inspection ngăn chặn các cuộc tấn công từ người dùng giả mạo (IP spoofing), tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ theo trạng thái (stateful DoS), và các hình thức tấn công khác sử dụng việc thay đổi trạng thái kết nối. Xử lý gói tin theo các quy tắc tùy chỉnh: Stateful Inspection cho phép người quản trị thiết lập các quy tắc chi tiết và tùy chỉnh cho từng loại kết nối, cổng hoặc giao thức. Điều này giúp kiểm soát và quản lý lưu lượng mạng một cách linh hoạt và chính xác. Tối ưu hiệu năng: Mặc dù Stateful Inspection yêu cầu một số lưu trữ bổ sung để theo dõi trạng thái kết nối, nhưng nó vẫn có hiệu năng cao vì nó thực hiện các quyết định dựa trên trạng thái hiện tại của kết nối. Nhược điểm: Phức tạp hơn: Stateful Inspection phức tạp hơn so với Packet Filter và có thể yêu cầu nhiều tài nguyên hệ thống để theo dõi trạng thái kết nối. Giới hạn lưu lượng đồng thời: Do phải theo dõi trạng thái kết nối, Stateful Inspection có thể hạn chế số lượng lưu lượng đồng thời mà tường lửa có thể xử lý. Cách khắc phục: Nâng cấp tài nguyên hệ thống: Để khắc phục vấn đề về phức tạp và hiệu năng, bạn có thể nâng cấp tài nguyên hệ thống cho tường lửa, bao gồm CPU, RAM và bộ nhớ lưu trữ. Tối ưu hóa cấu hình: Cân nhắc và tối ưu hóa các quy tắc và cấu hình Stateful Inspection để đảm bảo hiệu năng cao nhất và đáp ứng yêu cầu bảo mật của mạng. Sử dụng tường lửa phân tán: Một số mạng lớn và phức tạp có thể triển khai nhiều tường lửa phân tán để phân chia tải và cải thiện hiệu năng. Tóm lại, Stateful Inspection là một tiến bộ so với Packet Filter và mang lại nhiều lợi ích bảo mật. Tuy nhiên, nó cũng có thể đòi hỏi nhiều tài nguyên hệ thống và cấu hình phức tạp, vì vậy việc tối ưu hóa và nâng cấp tài nguyên cần được xem xét để đảm bảo hiệu quả và hiệu năng cao nhất.
Stateful Inspector/Filter – Ví dụ • Stateful Inspector có thể theo dõi quá trình trao đổi dữ liệu trên từng liên kết. • Ví dụ: theo dõi giá trị Seq# trong giao thức TCP SrcIP: C1 SPort: X1 TCP Flag Seq#: N1 SrcIP: H1 SPort: Y1 TCP Flag Seq#: … SYN DstIP: H1 DPort: Y1 ACK: --- SYN/ACK DstIP: C1 DPort: X1 ACK#:N1+1 SrcIP SPort DstIP DPort Protocol Flags Seq# ACK# C1 X1 H1 Y1 TCP SYN N1 --- 21 21 Case study: Cisco ACL • Extended ACL: Sử dụng từ khóa established  chỉ áp dụng luật với dữ liệu gửi trên các liên kết đã được thiết lập ACL phản xạ =>> 1 gói tin được đi qua, tạm thời thêm vào 1ACL luật để cho phép gói tin theo chiều ngược lại • Reflexive ACL: chỉ cho phép dữ liệu từ bên ngoài đi vào nếu phiên được khởi tạo bởi các nút ở bên trong #ip access-list extended name refl_ACL_name #permit protocol {srcAddr srcWildcard | host srcAddr | any} [operator srcPort] {dstAddr dstWildcard | host dstAdrr | any} [operator dstPort] reflect refl_name #ip access-list extended name nest_ACL_name #evaluate refl_name 22 22 11
Case study: iptables đóng gói - m conntrack: áp dụng kết nối được theo dõi trạng thái bởi module contrack --ctstate [NEW | ESTABLISHED | RELATED | INVALID] liên quan đến k tuân thủ quy tắc 1 phiên đã thiết lập Hoặc -m state --state [NEW | ESTABLISHED | RELATED | INVALID] 23 23 Dynamic Packet filter • Static packet filter: tập luật do người quản trị cấu hình • Luôn cần cập nhật thường xuyên • Không phản ứng kịp thời nếu tài nguyên bị tấn công • Dynamic packet filter: luật được cập nhật tự động nếu có bất thường, tấn công xảy ra: • Thường kết hợp với các hệ thống IDS • Tạo cơ chế phản ứng với sự cố, bất thường trong mạng • Ví dụ: chặn tất cả các dữ liệu từ địa chỉ IP có số lượng gói tin lỗi vượt quá ngưỡng nào đó 24 24 12
Dynamic packet filter – Kiến trúc rule được thêm mới vào sẽ được đặt trước và xử lý trước 25 25 Proxy server • Tường lửa hoạt động ở tầng ứng dụng • Chuyển tiếp dữ liệu đến và đi ra khỏi mạng • VD: Web proxy bộ đệm cache lưu trữ thông điệp hoạt động giống như máy chủ ở hđ bên trong máy khách ở bên ngoài bóc tách thông tin nhưng không đáp ứng 26 26 13
Proxy server – Kiến trúc 27 27 Proxy server – Hoạt động 28 28 14
Proxy server – Ưu điểm • Kiểm soát được nội dung của dữ liệu: URL filtering, MIME filtering, Content filtering • Kiểm soát được trạng thái của phiên • Che giấu được địa chỉ IP riêng • Tách thông tin tiêu đề cũ, thay thế bằng tiêu đề mới  ngăn chặn các kỹ thuật tấn công dựa trên tiêu đề của gói tin tới mạng bên trong • Chống lại việc giả mạo thông tin của tiêu đề • Có thể định tuyến cho dịch vụ • Hỗ trợ tốt các cơ chế nhật ký, kiểm toán 29 29 Proxy server – Hạn chế • Làm chậm quá trình cung cấp dịch vụ • Các dịch vụ hỗ trợ bị hạn chế • Không trong suốt với người dùng cuối: • Cần cấu hình để client kết nối tới proxy server • Hiện nay proxy server có thể thay thế bằng các sản phẩm tường lửa có tính năng Deep Packet Inspection 30 30 15
3. CÁC KIẾN TRÚC TRIỂN KHAI Bùi Trọng Tùng, SoICT, HUST 31 31 Screening router thường là Packet filter • Tích hợp bộ lọc vói trên router kết nối mạng cần bảo vệ với mạng công cộng • Ưu điểm: • Đơn giản • Chi phí thấp • Nhược điểm: • Sử dụng khi nào? • Không có khả năng chịu lỗi • Hệ thống đã có các lớp bảo vệ an • Mức độ an ninh thấp, dễ bị toàn hơn ở bên trong vượt qua • Số lượng giao thức cần kiểm soát ít mạng cỡ nhỏ, lưu lượng thấp, nếu bên trong cần được bảo vệ tốt hơn thì nên thêm tường lửa từng ứng dụng 32 32 16
Dual-home host • Có tối thiểu 2 giao tiếp mạng • Các nút mạng bên trong và mạng công cộng không thể kết nối trực tiếp • Dual-home host cần hoạt động như 1 proxy nếu mạng bên trong cần cung cấp dịch vụ cho mạng bên ngoài • Có khả năng kiểm soát • Sử dụng khi nào? nội dung dữ liệu • Lưu lượng mạng thấp • Hạn chế: không có khả năng chịu lỗi 33 33 Screened-host • Bastion Host đặt trên phân vùng mạng bên trong, là nút mạng duy nhất có thể truy cập từ mạng công cộng • Bastion Host cần được bảo vệ ở mức cao nhất có thể • Hạn chế: khi Bastion Host • Sử dụng khi nào? bị chiếm quyền quyền • Lưu lượng mạng thấp điều khiển, mạng bên • Các nút của phân vùng mạng bên trong không còn được trong đã có lớp bảo vệ an toàn hơn bảo vệ 34 34 17
Screen-subnet • Perimeter network: Phân vùng mạng vành đai nằm giữa phần vùng bên trong (internal network) và phần vùng bên ngoài (external network) • Cài đặt packet filter trên cả 2 router • Bastion Host có thể hoạt động như một proxy • An toàn hơn do Bastion bảo mật bởi 2 lớp tưởng lửa, nên hỏng 1 cái vẫn có thể kiểm soát được Host được tách biệt khỏi phân vùng bên trong 35 35 Các mô hình khác Sử dụng nhiều Bastion Host tùy thuộc mục đích: • Phân tải • Dự phòng • Tách biệt các dịch vụ có yêu cầu an ninh thấp hơn 36 36 18