Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux
tải về 0.55 Mb.
|
- Điều hướng trang này:
- 3.3 Screened host
- 3.4 Screened Subnet
3.2 Dual –home hostXây dựng dựa trên một máy tính dual – home tức là cód ít nhất là hai card mạng ( chú ý rằng máytính này phải được huỷ bỏ khả năng dẫn đường ). Nó hoạt động như một router giữa các mạng mà nó kết nối cí vai trò qưyết định các gói tin từ mạng này sang mạng khác. Hệ thống bên trong và bên ngoài đều có thể kết nối với Dual – home host nhưng không thể kết nối trực tiếp với nhau. 
Hình 2-5: Kiến trúc Dual –home host Kiến trúc này tương đối đơn giản: một Dual – home host đứng giữa, kết nối với mạng bên ngoài và mạng bên trong. Dual – home host cung cấp khả năng điều khiển ở mức cao. Tuy nó có kiến trúc đơn giản nhưng để khai thác triệt để các ưu điểm của nó ta cần phải làm rất nhiều việc.
Bastion host được đặt trong mạng nội bộ, Packet Filtering trên Screening Router được cài đặt làm sao cho bastion host là host duy nhất trong mạng nội bộ mà các host ngoài Internet có thể kết nối tới, thậm chí là chỉ cho một số dạng kết nối nhất định nào đấy. Bất kỳ host bên ngoài nào muốn kết nối tới hệ thống bên trong đều phải qua bastion host. Vì lý do trên mà bastion host cần được bảo vệ thật cẩn thận. Packet Filtering cho phép bastion host kết nối tới những điểm cho phép ở mạng ngoài Packet Filtering được cấu hình để thực hiện các nhiệm vụ sau: + Cho phép các host phía trong khác ( không phải là bastion ) kết nối đến các host bên ngoài để thực hiện dịch vụ nào đó. + Chặn tất cả các kết nối đến các host ở mạng nội bộ ( các host này sử dụng Proxy server thông qua bastion host )
Do kiến trúc screen host cho gói tin di chuyển từ Internet vào mạng nội bộ nên sẽ có nhiều rủi ro hơn so với kiến trúc Dual – home host. Mặc dù vậy thực tế thì kiến trúc Dual – home host có thể bị hỏng và các gói tin đi vào mạng nội bộ . Hơn nữa việc bảo vệ một router dễ dabgf hơn so với một host vì vậy kiến trúc này sẽ an toàn hơn, tiện lợi hơn. 3.4 Screened SubnetĐược xây dựng bằng cách thêm vào kiến trúc Screen host mạng vành đai nhằm cách ly mạng nội bộ với mạng bên ngoài Internet. 
Hình 2-7: Kiến trúc Screen subnet Kiến trúc này khắc phục nhược điểm của kiến trúc Screen host- ở đó bastion host nằm trong mạng nội bộ và một khi bastion host bị tổn thương thì toàn bộ mạng cần bảo vệ sẽ bị tổn thương ( nếu có sự tin tưởng tuyệt đối giữa các host với bastion host ). Bằng cách cách ly bastion host trên mạng vành đai, có thể giảm được các nguy cơ trong trường hợp bastion host bị đột nhập. Với kiến trúc Screen subnet đơn giản nhất : hai screening router kết nối tới mạng vành đai. Một router ( interior router ) ở vị trí mạng vành đai và mạng nội bộ, router còn lại ( exterior router ) nằm giữa mạng vành đai và mạng Internet. Để có thể đột nhập vào mạng nội bộ thì kẻ tấn công phải vượt qua cả hai router này. Và nếu trường hợp chiếm được bastion host thì vẫn phải vượt qua Interior router. Tuỳ vào yêu cầu cụ thể mà người ta có thể sử dụng một hay nhiều mạng vành đai. Các thành phần cơ bản của kiến trúc screened subnet a. Mạng vành đai Mạng vành đai là một lớp bảo vệ được thêm vào giữa mạng nội bộ và mạng bên ngoài. Nếu kẻ tấn công đột nhập được vào Firewall của ta thì mạng vành đai cho ta thêm một lớp bảo vệ nữa. Nếu kẻ tấn công chiếm được bastion host trên mạng này thì hắn cũng chỉ có thể tìm kiếm được thông tin trên bastion host mà thôi. Tất cả luồng thông tin mạng vành đai có thể xuất phát/đến từ bastion host hoặc xuất phát/đến từ Internet. Do hoàn toàn không có luồng thông tin từ mạng nội bộ đi qua mạng vành đai nên mạng nội bộ sẽ ăn toàn trong cả trường hợp bastion bị tổn thương.
Trong kiến trúc screen subnet, bastion host được thêm vào ở mạng vành đai. Đây là điểm liên lạc quan trọng để nhận các kết nối từ bên ngoài. Các dịch vụ phía ngoài ( từ client bên rong đến server Internet ) được xử lý theo một trong hai cách sau đây : + Cài đặt Packet Filtering trên cả exterior router và interior router và cho phép các client trong mạng nội bộ truy cập trực tiếp các server mạng ngoài. + Cài đặt Proxy server trên bastion host và cho phép client trong mạng truy cập gián tiếp tới các server ở mạng ngoài . Có thể cài đặt Packet Filtering và cho phép những kết nối với Proxy trên bastion host, nhưng ngăn chặn những kết nối trực tiếp giữa client trong mạng nội bộ với server bên ngoài. Trong cả hai trường hợp thì Packet Filtering cho phứp bastion host kết nối tới các server hay host phía bên ngoài Internet.
Còn có tên khác là choke-router- bảo vệ mạng nội bộ từ mạng Internet và mạng vành đai.Thực tế exterior cho phép hầu hết các kết nối từ mạng vành đai ra ngoài, và thực hiện chức năng lọc gói cho Firewall. Các dịch vụ mà interior cho phép giữa bastion host và các host trong mạng nội bộ không giống như các dịch vụ mà exterior router cho phép giữa mạng vành đai và mạng Internet. Lý do về sự hạn chế các dịch vụ giữa bastion host và mạng nội bộ là giảm số lượng các host bị tấn công khi bastion host bị tổn thương. d. Exterior router Còn có tên khác là access router dùng để bảo vệ cả mạng nội bộ và mạng vành đai. Thực tế , nó cho phép hầu hết các kết nối từ mạng vành đai ra ngoài, và thực hiện rất ít việc lọc các gói tin. Chỉ có những luật lọc gói thực sự đặc biệt trên exterior mới bảo vệ các host và mạng vành đai. Những luật còn lại thường là sự lặp lại các luật trên interior router. Trên exterior có thể cài đặt Proxy để hỗ trợ các kết nối từ bastion host ra ngoài. tải về 0.55 Mb. Chia sẻ với bạn bè của bạn:
|
