FIREWALL
(6)

  |  

Lựa chọn giải pháp

Mục đích

Một bộ Firewall bao gồm một hệ thống phần mềm máy chủ mạnh với hệ điều hành cụ thể, ghép nối vào mạng thông qua các thiết bị mạng: Hub, Switch, Router,...

Do vậy việc lưa chọn máy chủ, thiết bị mạng, hệ điều hành và phần mềm bảo về và kiểm soát sẽ quyết định khả năng ứng dụng, tốc độ truy nhập và giá thành thực hiện.

Trong phần này chúng tôi sẽ trình bày 3 phương án ghép nối. Đối với mỗi phương án, chúng tôi sẽ phân tích chi tiết mô hình ghép nối, yêu cầu phần cứng và những điểm lợi và điểm bất lợi.

Các giải pháp thực hiện

Với một yêu cầu bảo vệ và kiểm soát hệ thống, có một số phương phát khả thi. Tuỳ thuộc vào chiến lược và mức độ yêu cầu, có thể chọn một trong các mô hình kết nối dưới đây:

  1. Kết nối trực tiếp đơn
  2. Kết nối song song
  3. Kết nối gián tiếp

Đối với mỗi mô hình, thiết bị phần cứng và phần mềm là khác nhau, kéo theo chi phí thực hiện sẽ khác nhau. Tất nhiên khả năng và phạm vi cũng khác nhau. Do khuôn khổ của giải pháp này là thiết lập Firewall cho một mạng đã có, nên những yếu tố về thiết bị, phần mềm, đường truyền trong mạng, được xem như đã có và không đề cập đến nữa. Nếu cần chúng tôi sẽ trình bày trong bản giải pháp về mạng.

Kết nối đơn trưc tiếp

Bộ Firewall được đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đường truyền đi ra hoặc đi và đều phải thông qua Firewall.

Mô hình mạng

Đường truyền từ ngoài được nối vào router, qua HUB vào máy chủ Firewall, sau đó đi vào mạng bên trong. Tất cả các gói tin từ ngoài vào sẽ được Firewall Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ngược lại, nếu không hợp lệ sẽ bi loại bỏ ngay. Tương tự như vậy đối với đối với các yêu cầu truy nhập từ trong ra cũng bị Firewall kiểm soát.

Phần mềm Firewall sẽ được cài trên máy chủ (server). Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua đầy đủ hoặc mua từng phần của bộ chương trình phần mềm Firewall. Nếu mua từng phần thì chỉ có những truy nhập thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra, cũng có một lựa chọn chỉ cho phép một số dịch vụ nào đó được phép.

Lưu ý rằng, cấu hình máy chủ này càng mạnh thì tốc độ xử lý càng nhanh, thời gian do firewall chiếm là không đáng kể.

Yêu cầu phần cứng

  • 1 x Máy chủ SUN/HP/IBM/... 2CPU, 332Mhz,256Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
  • 1x HUB: 3Com/IBM/HP/...

Yêu cầu phần mềm

  • 1 x OS: UNIX/NT
  • 1x Firewall Software (depend on your selection)

Ưu điểm

  • Chi phí thực hiện thấp hơn so với các giải pháp khác.
  • Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra.
  • Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống. Hỗ trợ tốt cho quyết định của nhà quản lý hệ thống.
  • Cấu hình hệ thống đơn giản.

Nhược điểm

  • Khi Máy chủ có sự cố (treo, hỏng vật lý,...) thì toàn bộ việc truy nhập từ trong ra cũng như từ ngoài vào sẽ bị dừng lại

Kết nối song song trưc tiếp

Bộ Firewall được đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đường truyền đi ra hoặc đi và đều phải thông qua Firewall.

Mô hình này sử dụng hai bộ Firewall thiết lập theo chế độ song hành hoặc kiểu dự phòng (main-standby). Trường hợp một bộ có sự có thì bộ kia sẽ đảm nhận toàn bộ công việc.

Mô hình mạng

Đường truyền từ ngoài được nối vào router, qua Hub đến máy chủ, sau đó đi vào mạng bên trong. Tất cả các gói tin từ ngoài vào sẽ được Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ngược lại, nếu không hợp lệ sẽ bị loại bỏ. Tương tự như vậy đối với các yêu cầu truy nhập từ trong ra cũng bị kiểm soát.

Phần mềm Firewall sẽ được cài trên 2 máy chủ (server). Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua toàn bộ hoặc mua từng phần. Nếu mua từng phần thì chỉ có những truy nhập thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra cũng có một lựa chọn chỉ cho phép một số dịch vụ nào đó được phép.

Cấu hình máy chủ càng mạnh thì tốc độ xử lý càng nhanh, khi đó thời gian do firewall xử lý là không đáng kể.

Nếu thiết lập theo chế độ dự phòng, máy chủ thứ hai (máy phụ) có thể chọn cấu hình phần cứng thấy hơn.

Yêu cầu phần cứng

  • 1 x Máy chủ chính: SUN/HP/IBM/... 4CPU, 332Mhz, 256Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
  • 1 x Máy chủ dự phòng: SUN/HP/IBM/... 2CPU, 332Mhz, 128Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
  • 2 x Hub: 3COM/IBM/HP/...
  • Cable, connector,...

Yêu cầu phần mềm

  • OS: UNIX/NT cài trên 2 máy chủ (có thể 1 NT và 1UNIX hoặc cả 2 cùng là UNIX hoặc cùng là NT)
  • Firewall Software (depend on your selection) cài trên 2 máy chủ

Ưu điểm

  • Chế độ thực hiện an toàn cao, nhanh.
  • Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra.
  • Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống. Hỗ trợ tốt cho quyết định của nhà quản lý hệ thống.

Nhược điểm

  • Chi phí thực hiện cao.
  • Thiết lập cấu hình phức tạp.
  • Khi có sự cố phải đồng bộ 2 hệ thống trên máy.

Kết nối gián tiếp

Giải pháp dùng dùng để giám sát truy nhập giữa hai mạng Intranet và Internet mà không làm ảnh hưởng tới hoạt động hiện tại của mạng. Do vậy, sẽ không có khả năng ngăn cấm truy nhập.

Bộ Firewall được đặt song song với đường truyền giữa mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Các thông tin trao đổi qua lại sẽ đồng thời chuyển đến cho Firewall.

Mô hình mạng

Giữa đường truyền nối hai mạng sẽ được đặt một thiết bị chuyển mạch. Thiết bị này có chức năng giữ nguyên luồng thông tin trên đường truyền hiện tại. Đồng thời tạo một mới đi vào Firewall với nội dung giống hệt. Luồng thông tin này bao gồm cả luồng từ ngoài vào và từ trong ra.

Phần mềm Firewall sẽ được cài trên máy chủ (server), dùng để đón nhận tất cả thông tin chuyển đến từ thiết bị chuyênr mạch. Sau đó ghi vào kho lưu trữ.

Lưu ý rằng, Firewall này không thay đổi bất cứ nội dung nào của các gói tin. Đồng thời cũng không có khả năng cấm hoặc cho phép các dịch vụ trao đổi qua lại giữa hai mạng.

Yêu cầu phần cứng

  • Máy chủ SUN/HP/IBM/... 2CPU, 332Mhz,128Mb RAM, 4GB HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
  • Thiết bị chuyển mạch

Yêu cầu phần mềm

  • 1 x OS: UNIX/NT cài cho máy chủ
  • 1 x Firewall Software (depend on your selection)

Ưu điểm

  • Chi phí thực hiện thấp so với các giải pháp khác
  • Có khả năng thống kê toàn bộ việc truy nhập từ ngoài vào, và từ trong ra.

Nhược điểm

  • Không cho phép ngăn chặn những truy nhập cố ý hoặc phá hoại từ bên ngoài cũng như từ trong ra.

(trích theo VASC)

Close


Bạn tìm đến nhóm thiện nguyện VTT qua
www.tuoitre.org, tuoitre.org, www.tuoitre.de hoặc tuoitre.de.
Mọi ý kiến đóng góp xin bạn hãy liên lạc với chúng tôi qua lienlac@tuoitre.org.