1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

2 Các giải pháp thiết bị của một tường lửa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



được cấu hình trên máy chủ. Nếu như cho phép người dùng truy nhập trực

tiếp vào máy chủ hai giao diện, bảo mật mạng có thể bị phá vỡ. Đó là vì máy

chủ hai giao diện là tâm điểm của kết nối giữa mạng bên trong và mạng bên

ngoài, hay nói cách khác là máy chủ hai giao diện ở trong vùng nguy hiểm.

Nếu như người dùng sử dụng mật khẩu dễ đoán, vùng nguy hiểm sẽ lan đến

mạng bên trong, dẫn đến làm mất tác dụng của máy chủ hai giao diện.

6.2.2 Máy chủ pháo đài

Máy chủ pháo đài là những máy chủ đại diện của hệ thống mạng trên

Internet. Một máy chủ pháo đài là một hệ thống mà tất cả những ai ở ngoài

hệ thống mạng, phải nối với nó để truy nhập vào dịch vụ hay hệ thống ở bên

trong tường lửa.

Như thiết kế, một máy chủ pháo đài thường bị phơi bày ra ngoài vì sự

hiện diện của nó được Internet biết đến. Vì lý do này, những người xây dựng

tường lửa cần tập trung những biện pháp bảo mật vào máy chủ pháo đài.

Máy chủ pháo đài là những máy chủ dễ bị nguy hiểm nhất trong bảo mật

mạng. Một máy chủ pháo đài là một máy chủ trung tâm trong hệ thống bảo

mật. Do nó dễ gặp nguy hiểm trong bảo mật nờn nú phải được bảo vệ tốt

nhất. Điều này có nghĩa là máy chủ pháo đài được giám sát chặt chẽ bởi

người quản trị mạng. Những phần mềm trong máy chủ pháo đài và bảo mật

hệ thống cần được đều đặn kiểm tra. Những nhật ký truy nhập phải được

kiểm tra thường xuyên để tìm ra những lỗ hổng trong bảo mật cũng như

những hành động nhằm tấn công vào máy chủ pháo đài.

Xây dựng máy chủ pháo đài

Việc xây dựng máy chủ pháo đài được thực hiện theo các bước sau:

a. Làm tin cậy máy chủ



Tìm hiểu về an toàn và bảo mật trên mạng



Cài đặt máy chủ với hệ điều hành chuẩn và thực hiện bảo mật hệ điều

hành càng cao càng tốt. Thực hiện sửa hết các lỗi trong hệ điều hành bằng

các chương trình sửa lỗi mới nhất

b. Bỏ đi những dịch vụ không cần thiết

Những dịch vụ máy chủ pháo đài cung cấp đều có thể có lỗi và có thể

bị thiết lập sai. Điều này dẫn đến nguy cơ với bảo mật cho máy chủ pháo

đài. Do đó những dịch vụ không thực sự cần thiết trong máy chủ pháo đài

nên bỏ đi ngay vì càng ít dịch vụ thì càng hạn chế các lỗi bảo mật.

c. Cài đặt các dịch vụ cần cung cấp và xây dựng các thiết lập cho

dịch vụ

Các dịch vụ cần cung cấp sẽ được cài đặt lên máy chủ cùng với các

thiết lập cân nhắc kỹ lưỡng để đảm bảo bảo mật cho từng loại hình dịch vụ.

Chú ý cập nhật các bản sửa lỗi mới nhất để nâng cấp tính bảo mật của dịch

vụ

d. Kiểm tra lại máy chủ một lần nữa trước khi vận hành

Sau khi cài đặt các dịch vụ, việc kế tiếp là kiểm tra toàn bộ hệ thống

của máy chủ pháo đài, bỏ đi những chương trình không cần thiết trong máy

chủ. Các tệp dữ liệu và hệ điều hành chuyển đến số lượng tối đa cho phép

sang chế độ chỉ đọc .

e. Chạy trương trình kiểm tra bảo mật

Nờn dùng một số phần mềm kiểm tra các lỗi bảo mật để kiểm tra máy

chủ pháo đài. Các phần mềm này sẽ phát hiện những lỗi bảo mật cũn sút

trong hệ thống. Sau đó thực hiện sửa các lỗi bảo mật đó.

f. Kết nối máy chủ pháo đài với Internet



Tìm hiểu về an toàn và bảo mật trên mạng



Sau khi hoàn thành việc bảo mật cho máy chủ pháo đài ta tiến hành

việc kết nối máy chủ pháo đài vào mạng và kết nối với Internet. Trong quá

trình hoạt động của máy chủ pháo đài phải thường xuyên kiểm tra theo dõi

các nhật ký để phát hiện kịp thời các lỗi bảo mật.

6.3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc

tường lửa khác nhau

6.3.1 Cấu trúc máy chủ hai giao diện

Cấu trúc máy chủ hai giao diện được xây dựng trên một máy tính có

hai giao diện mạng. Máy chủ này có thể đóng vai là một bộ dẫn đường giữa

hai hệ thống mạng mà máy chủ nối tới. Hệ thống bên trong tường lửa có thể

liên hệ với máy chủ hai giao diện, và những mạng bên ngoài tường lửa

(Internet ) có thể liên hệ với máy chủ hai giao diện, nhưng giữa bên trong và

bên ngoài không thể liên hệ trực tiếp với nhau.



Cấu trúc máy chủ hai giao diện



Tìm hiểu về an toàn và bảo mật trên mạng



Cấu trúc này tương đối đơn giản, máy chủ hai giao diện nằm ở giữa và

được kết nối với Internet và mạng bên trong.

Máy chủ hai giao diện có thể cung cấp quản lý ở mức cao. Trong một

số trường hợp, máy chủ hai giao diện có thể cho phép hệ thống ngắt bỏ kết

nối của một số dịch vụ khi các dịch vụ này truyền sai kiểu dữ liệu. ( Một hệ

thống lọc gói dữ liệu khó có thể làm gì với mức quản lý này). Tuy nhiên, nó

cũng đòi hỏi phải thực hiện một số lớn công việc để có thể có được tính

năng này.

Một máy chủ đại diện chỉ có thể cung cấp các dịch vụ bằng việc chạy

chương trình “proxy program” đã nói ở trên hay cho phép người dùng truy

nhập vào máy chủ một cách trực tiếp. Tuy nhiên việc cung cấp dịch vụ bằng

cách cho người dùng truy nhập trực tiếp có thể gây ra nguy hiểm cho hệ

thống nếu người dùng không cẩn thận ( để mất mật khẩu, chạy sai chương

trình ...), hơn nữa, nhiều người dùng cảm thấy không thuận lợi khi phải truy

nhập vào máy chủ hai giao diện trước khi sử dụng các dịch vụ.

Dùng chương trình proxy thuận tiện hơn, nhưng như đã nói ở trên,

không thể cung cấp cho tất cả các dịch vụ. Cấu trúc tường lửa mạng con có

lọc phần kế tiếp đưa ra một số lựa chọn cho việc cung cấp các dịch vụ mới

và không tin cậy lắm.

6.3.2 Cấu trúc máy chủ có lọc

Ngược với cấu trúc máy chủ hai giao diện, cấu trúc máy chủ có lọc

cung cấp các dịch vụ từ máy chủ chỉ nối với mạng bên trong, sử dụng router

riêng. Trong cấu trúc này, bảo mật đầu tiên được cung cấp bởi lọc gói dữ

liệu



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.doc) (124 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×