Ktl-icon-tai-lieu

FireWall (Tường lửa)

Được đăng lên bởi Nhật Tâm
Số trang: 25 trang   |   Lượt xem: 1544 lần   |   Lượt tải: 1 lần
MỘT SỐ GỢI Ý TRONG VIỆC BẢO MẬT
VAT LY - MẠNG – HỆ ĐIỀU HÀNH – CSDL - ỨNG DỤNG
1. MẠNG :
Các kiến trúc firewall căn bản :
-

1. Dual-Homed Host
Phải disable chức năng routing của dual-homed host để cấm hòan toàn lưu
thông IP từ ngòai vào.
Các hệ thống bên trong và bên ngòai dual-homed host chỉ có thể liên lạc
với dual-homed host mà chúng không liên lạc trực tiếp được với nhau.
Dual-homed host cung cấp dịch vụ thông qua proxy server hoặc login trực
tiếp vào dual-homed host.

1.1.2. Screened Host
- Trong kiến trúc này chức năng bảo mật chính được cung cấp bởi chức
năng packet filtering tại screening router.
- Packet filtering trên screening router được setup sao cho bastion host là
máy duy nhất trong internal network mà các host trên internet có thể mở

-

-

kết nối đến. Packet filtering cũng cho phép bastion host mở các kết nối
(hợp pháp) ra bên ngòai (external network).
Thường Packet filtering thực hiện các công việc như sau :
[1]. Cho phép các internal hosts mở kết nối đến các host trên internet đối
với 1 số dịch vụ được phép.
[2]. Cấm tất cả kết nối từ các internal hosts
Khi hacker đã tấn công được vào bastion host thì không còn một rào chắn
nào cho các internal hosts.

1.1.3. Screened Subnet

-

-

-

Thêm 1 perimeter network để cô lập internal network với internet. Như
vậy dù hacker đã tấn công được vào bastion host vẫn còn 1 rào chắn nữa
phải vượt qua là interior router. Các lưu thông trong internal network được
bảo vệ an toàn cho dù bastion đã bị “chiếm”.
Các dịch vụ nào ít tin cậy và có khả năng dễ bị tấn công thì nên để ở
perimeter network.
Bastion host là điểm liên lạc cho các kết nối từ ngòai vào như : SMTP;
FTP; DNS. Còn đối với việc truy cập các dịch vụ từ internal clients đến
các server trên internet thì được điều khiển như sau :
+. Set up packet filtering trên cả hai exterior và interior router để cho phép
internal clients truy cập các servers bên ngòai 1 cách trực tiếp.
+. Set up proxy server trên bastion host để cho phép internal clients truy
cập các servers bên ngòai 1 cách gián tiếp.
Nên hạn chế các dịch vụ mà interior router cho phép giữa bastion host và
internal net để giảm đi số máy có nguy cơ bị tấn công tiếp theo khi bastion
đã bị “chiếm”.
Exterior router cho phép tất cả lưu thông từ perimeter net ra internet. Các
packet filtering rules thiết yếu để bảo vệ cho các internal hosts là giống
nhau trên tại exterior router và interior router. Thường exterior router thực
hiện packet filtering rules tổng quát, chung chung, ít chi tiết hơn...
MỘT SỐ GỢI Ý TRONG VIỆC BẢO MẬT
VAT LY - MẠNG – HỆ ĐIỀU HÀNH – CSDL - ỨNG DỤNG
1. MẠNG :
Các kiến trúc firewall căn bản :
1. Dual-Homed Host
- Phải disable chức năng routing của dual-homed host để cấm hòan toàn lưu
thông IP từ ngòai vào.
- Các hệ thống bên trong và bên ngòai dual-homed host chỉ có thể liên lạc
với dual-homed host mà chúng không liên lạc trực tiếp được với nhau.
- Dual-homed host cung cấp dịch vụ thông qua proxy server hoặc login trực
tiếp vào dual-homed host.
1.1.2. Screened Host
- Trong kiến trúc này chức năng bảo mật chính được cung cấp bởi chức
năng packet filtering tại screening router.
- Packet filtering trên screening router được setup sao cho bastion host là
máy duy nhất trong internal network mà các host trên internet có thể mở
FireWall (Tường lửa) - Trang 2
Để xem tài liệu đầy đủ. Xin vui lòng
FireWall (Tường lửa) - Người đăng: Nhật Tâm
5 Tài liệu rất hay! Được đăng lên bởi - 1 giờ trước Đúng là cái mình đang tìm. Rất hay và bổ ích. Cảm ơn bạn!
25 Vietnamese
FireWall (Tường lửa) 9 10 856