You are on page 1of 14

Để bảo mật các tài nguyên trên mạng, hệ thống mạng bằng cách nào đó phải được chia

thành 2 vùng, vùng trusted và vùng untrusted. Vùng tin cậy còn được gọi là vùng security domain, tất cả những gì bên trong miền an toàn được bảo vệ khỏi những gì ở bên ngoài miền. Một ví dụ đơn giản, một công ty A muốn bảo mật thông tin nội bộ khỏi môi trường internet thì công ty A phải được đặt trong vùng security domain như hình minh họa.

Hình 1. 1 Một domain security đơn giản

firewall là con đường duy nhất đi ra và đi vào vùng security domain. Hình 1. Nói cách khác. . 2 Triển khai security domain với firewall Firewall là thiết bị thực thi các chính sách điều khiển truy cập giữa 2 hay nhiều vùng security domain.Cách hiệu quả nhất để triển khai vùng security domain là đặt firewall ở biên giữa vùng trusted và vùng untrusted như hình minh họa. Firewall có các interface kết nối vào mạng để các traffic khi đi qua biên của cùng security domain phải đi qua firewall.

trước tiên phải đảm bảo 2 điều kiện sau: Firewall phải là con đường duy nhất đi vào và đi ra vùng security domain. công ty muốn bảo mật data center. Cho nên. Hình 1. Giả sử. 3 Nhiều vùng security domain và firewall . nhưng không muốn để ai khác truy cập vào tài nguyên quan trọng hay làm gián đoạn dịch vụ trong data center. Firewall phải được gia cố để ngăn chặn tấn công. một vùng domain security với một firewall là không đủ. công ty A quyết định tạo thêm vùng security domain cho data center như hình minh họa. nếu không firewall sẽ bị điều khiển và làm thay đổi chính sách bảo mật từ bên ngoài vùng untrusted.Để bảo mật vùng security domain được an toàn. Đôi khi. không có bất kỳ con đường nào khác ngoài firewall thì mới có thể thực thi chính sách bảo mật khi traffic đi qua nó. Công ty A tin tưởng nhân viên thực hiện các chức năng công việc của họ.

thì các user bên ngoài phải được cấp quyền để truy cập vào web server. Bên trong vùng security domain là các tài nguyên tin cậy. Tuy nhiên. Vì web server là tài nguyên tin cậy. nhưng các user này vẫn được tin cậy đối với firewall biên của internet. trong khi đó công ty A cũng có web server cho phép các user bên ngoài internet truy cập vào với mục đích công việc kinh doanh. Công ty A muốn cho phép các user trong công ty truy internet.Mỗi vùng security domain được triển khai với 1 firewall biên. các user bên ngoài vùng data center đều không được tin cậy. người dùng bên ngoài sẽ lợi dụng web server này để tấn công các tài nguyên tin cậy khác. và bên ngoài là những gì không tin cậy. Nếu đặt Web server ở 1 nơi nào đó bên trong vùng security domain. Mỗi firewall đều có các chính sách bảo mật và khái niệm riêng của firewall biên về vùng tin cậy. nên khi bị tấn công. khi xem xét firewall biên của vùng data center. .

vùng trust. vùng untrusted và vùng DMZ với 3 cổng interface với hình minh họa sau: Hình 1.Một giải pháp tối ưu hơn là đặt web server vào giữa vùng trust và vùng untrusted. với giải pháp này. Cách chia vật lý yêu cầu mỗi cổng interface trên firewall phải được kết nối đến mỗi một hạ tầng mạng riêng biệt. firewall đóng vai trò như biên giới giữa 3 vùng. 4 Sử dụng 1 firewall để tạo nhiều vùng security domain Có 2 cách chia vùng security domain: cách chia vật lý và cách chia logic. việc này đòi hỏi phải tốn kém thêm phần cứng và chi phí lắp đặt. . vùng này còn gọi là vùng DMZ.

mỗi cổng interface trên firewall được nối vào mỗi một switch khác nhau. cách chia vật lý này có tính bảo mật cao nhất vì traffic sẽ không qua được vùng security domain mà không có sự can thiệp của một số loại thiết bị vật lý. nhưng bảo mật kém hơn vì lỗi cấu hình hay lỗi cổng logical.Hình minh họa cho thấy. . cách chia này tiết kiệm chi phí hơn. 5 Cách chia vật lý Cách chia logic cho phép chia security domain trên cùng một hạ tầng mạng và được chia logic thành các VLANs khác nhau. Hình 1.

Hình minh họa cho thấy. Ví dụ. firewall sẽ kiểm soát người dùng ứng dụng mạng trong việc gửi dữ liệu từ nơi này sang nơi khác. hay người . 6 cách chia logic Công nghệ của firewall Về cơ bản. hay các host ở bên này có thể mở kết nối TCP/UDP truy cập tài nguyên ở bên kia hay không. Trường hợp firewall thực hiện điều khiển truy cập ở tầng application sẽ thực thi chính sách bảo mật từ tầng 5 đến tầng 7. firewall chia security domain trên cùng một switch với hai VLANs khác nhau. firewall cô lập các cổng interface với nhau để điều khiển các gói tin chuyển tiếp từ cổng này đến cổng khác. firewall sẽ thực hiện kiểm tra traffic có thể đi qua hay không. Hình 1. Ví dụ. firewall ở tầng này có thể thực thi việc kiểm tra các phiên duyệt web có phù hợp với các chuẩn giao thức hay không. Firewall có thể thực thi việc điều khiển truy cập dựa trên các tầng trong mô hình OSI. firewall thực hiện điều khiển truy cập ở tầng network có thể kiểm soát việc truy cập từ tầng 2 đến tầng 4.

firewall không có khái niệm về trạng thái kết nối của gói tin mà chỉ kiểm tra xem mỗi gói tin có khớp với các quy luật trong chính sách bảo mật hay không. Vì vậy. Restrictive access control còn được gọi là phương thức điều khiển truy cập chủ động proactive. Firewall có thể sử dụng hai phương thức truy cập trên để lọc traffic với những công nghệ lọc gói tin sau đây: Stateless packet filtering Một vài firewall kiểm tra các traffic chỉ dựa trên các giá trị tìm được trong tiêu đề ở tầng 3 hay tầng 4. và hệ thống antivirus theo thời gian thực. . nội dung email có được bảo mật hay không. Mặc định. tất cả traffic sẽ bị chặn. nếu traffic nào muốn đi qua phải được xác định trước. phương thức này có thể chặn các traffic sau khi các mối đe dọa tiềm tàng được xác định. Firewall có hai phương thức điều khiển truy cập sau: Permission access control còn được gọi là phương thức điều khiển truy cập phản ứng reactive. Phương thức này thường được sử dụng bởi access-list. các quy luật trong access-list được xử lý theo trình tự và luôn kết thúc với quy luật cấm tất cả.dùng email thực hiện gửi file có chứa virus hay không. nếu không tất cả các traffic đều được cho phép đi qua và thường được áp dụng trên IPS. Việc quyết định gói tin được chuyển tiếp hay bị chặn được thực hiện một cách độc lập trên mỗi gói tin.

Cơ chế kiểm tra cho phép kiểm soát gói tin đi qua dựa trên phần tiêu đề và nội dung ở tầng 7 cho phép quan sát rõ hơn việc truy cập của người dùng do đó firewall phải tốn RAM nhiều hơn. ---Tốn điện nhiều hơn cho việc xử lý.Tính năng Các quy luật được cấu hình tĩnh. ---Không kiểm tra giao thức. Tiết kiệm chi phí. firewall phải kiểm soát các traffic ở tầng 4 để theo dõi các phiên truy cập mới ở trạng thái được thiết lập. do đó. Tính năng Lọc traffic ở tầng 3 và tầng 4. Cấu hình đơn giản Hiệu suất trung bình Hạn chế Bộ nhớ đệm cho việc phân tích ứng dụng rất hạn chế. Hoạt động hiệu quả ở tầng 3 với địa chỉ IP và ở tầng 4 với các cổng kết nối. Hạn chế Không thấy được tầng 5 thông qua tầng 7. Dễ bị tấn cống. . Cấu hình đơn giản. Không hỗ trợ theo dõi việc thương lượng động. Firewall có khả năng theo dõi trạng thái kết nối của gói tin và lưu những thông tin kết nối vào bảng trạng thái kết nối. Stateful packet filtering Hạn chế Các quy luật được cấu hình thủ công. Stateful packet filtering with application inspection and control Firewall có thêm tính năng phân tích gói tin ở tầng 7. Tính năng Lọc traffic ở tầng 3 thông qua tầng 7. Hiệu suất cao.

Cơ sở dữ liệu lưu một số lượng lớn các chữ ký signature dùng để mô tả các kiểu tấn công đã biết. Thường không phát hiện được các kiểu tấn công mới chưa tồn tại trong cơ sở dữ liệu. TCP SYN flood. Phải tinh chỉnh thủ công các lỗi phát hiện tấn công do chủ quan hay khách quan. Khi phát hiện có kiểu tấn công mới. Network behavior analysis Hệ thống NBA theo dõi các traffic và ghi nhận lại các hành vi nếu phát hiện bất thường. chữ ký mới sẽ được cập nhật vào trong cơ sở dữ liệu. Sử dụng phương thức permissive approach Hiệu suất trung bình Hạn chế Bộ nhớ đệm cho việc phân tích ứng dụng rất hạn chế. NIPS sẽ tự động tạo ra các quy luật để ngăn chặn hay reset lại kết nối. Tính năng Một cơ sở dữ liệu chữ ký phong phú với các mẫu tấn công. . Khi phát hiện bị tấn công. bao gồm lớp 3 đến lớp 7. NIPS có khả năng phát hiện các kiểu tấn công như DoS.Network instrusion prevention system Hệ thống NIPS cho phép kiểm tra và phân tích các traffic và so sánh các traffic đó với các hành vi nguy hiểm đã biết lưu trong cơ sở dữ liệu.

Phân tích ở thời gian thực tốn thời gian dài. Application layer gateway (proxy) Hạn chế Cần sự can thiệp của con người Tạo ra lỗi chủ quan nếu các traffic có dấu hiệu bất thường ---- ALG là thiết bị có vai trò như gateway giữa client và server. Vì proxy hoạt động ở tầng 7 nên có thể lọc traffic dựa trên địa chỉ IP. Client sẽ gửi request đến proxy. Có khả năng phát hiện tấn công chưa biết trước. và client sẽ được bảo vệ bởi proxy. Dùng phương pháp restrictive approach. request sẽ bị trì hoãn trên proxy. .Tính năng Kiểm tra traffic hay dữ liệu để thành các mô hình hoạt động bình thường. ---Có thể cấu hình bên clent. và nội dung được trả về từ server. các giao thực được đưa về dạng chuẩn từ tầng 3 đến tầng 7. Khi proxy trả lời request sẽ đánh giá nội dung request và sau đó ra quyết định với request đó. Kiểm soát truy cập từ tầng 3 đến tầng 7 Theo phương pháp permissive hay restrictive Hạn chế Không phải tất cả giao thức đều được hỗ trợ. các dạng request. Proxy cho phép phân tích kết nối giữa client và server một cách chi tiết. Tính năng Phân tích và chuẩn hóa các giao thức Phân tích sâu và chi tiết các nội dung.

và điều khiển truy cập các dịch vụ web khác nhau. và kiểm soát truy cập của người dùng nào đó được phép truy cập. User-based access control: ASA có thể chứng thực người dùng nội tuyến bởi Cut-through Proxy. Cut-through Proxy sẽ đẩy nhanh việc kiểm tra traffic của người dùng. khi người ùng được chứng thực. cũng như các phiên kết nối ở tầng 7. Application inspection and control: phân tích các giao thức ở tầng 7 và theo dõi trạng thái kết nối và đảm bảo chuẩn hóa các giao thức.Tính năng của ASA Stateful packet filtering engine: cơ chế theo dõi trạng thái kết nối. Cơ sở dữ liệu của botnet traffic filter được Cisco cập nhật liên tục. Denial-of-servce prevention: ngăn chặn các kiểu tấn công từ chối dịch vụ. Traffic correlation: các chức năng phát hiện mối đe dọa giúp kiểm tra và đối chiếu các traffic từ nhiều phiên và kết nối khác nhau để phát hiện và . thực hiện chuẩn hóa các giao thức TCP và kiểm tra sự phù hợp. Session-auditing: các ghi nhận sẽ được tạo ra dựa trên phiên truy cập của người dùng. Security services modules: nền tảng ASA hỗ trợ nhiều Module dịch vụ bảo mật gồm một số thiết bị phần cứng chuyên dùng để giảm tải công việc cho bộ vi xử lý. Reputation-based botnet traffic filtering: ASA giúp phát hiện và lọc trafiic có liên quan đến botnet. ASA có thể ngắt hay trì hoãn các phiên được bảo vệ mã hóa giữa client và server. Category-based URL filtering: ASA có thể lọc các URL và thực thi các chính sách bảo mật. Crytographic unified communications proxy: ASA giữ vai trò là proxy.

High availability failover clustering: hai ASA cùng dòng có thể được cấu hình dung lỗi để đảm bảo tính luôn sẵn sàng. DDNS. các chính sách bảo mật riêng. OSPF Powerful network address translation: ASA theo dõi và chuyển tiếp gói tin. Site-to-site VPNs: hỗ trợ VNPs IPSec GIỮA HAI SITE HAY HAI lan. and PPPoE: ASA có thể cấu hình như một DHCP client nhận địa chỉ IP động hay DHCP server để cấp phát IP . mỗi các thể ảo có vai trò như một firewall độc lập và có các logic interface riêng. Integrated DHCP.ngăn chặn sự bất thường từ các cuộc tấn công mạng và các hành vi trinh sát. Traffic and policy virtualization: ASA có thể cấu hình thành các cá thể ảo hay còn gọi là security context. EtherChannel: ASA có khả năng gom các interface thành một interface logic. các redundant interface luonb6 ở trạng thái active. Redundant interfaces: nhằm gia tăng tính sẵn sáng. và có chức năng NAT giúp dịch địa chỉ nguồn sang địa chỉ đích. RIPv2. Remote access VPNs: hỗ trợ kết nối VPN từ ngoài internet. Các kết nối SSL VPNs và IPSec VPNs đều phải sử dụng phần mềm hỗ trợ. ở chế độ transparent mode. firewall có thể chen vào mạng đang tồn tài mà không cần phải đặt lại địa chỉ IP. EIGRP. Rich IP routing functionality: hỗ trợ định tuyến tĩnh và các giao thức định tuyến động như RIPv1. Transaparent (bridged) operation: ASA có thể được cấu hình transparent firewall để trở thành cầu nối giữa các cổng interface.

và DNS client động giúp ghi nhận lại thông tin phân phải từ tên host thành địa chỉ IP. https. Management ocontrol and protocols: ASA hỗ trợ nhiều cách quản lý gồm cổng console. Cisco security management suite: ASA có thể quản lý với nhiều bộ công cụ khác nhau giúp việc quản trị dễ dàng hơn.động. ssh. thông qua Modular Policy Framework. Configuration flexibility and scalability: các chính sách bảo mật và các quy luật có thể tái sử dụng. telnet. kết nối PPP qua mội trường Ethernet. IPv6 support: hỗ trợ IPv6. Simples software management: ASA hỗ trợ các hệ thống file cục bộ và truyền tải file từ xa trong việc nâng cấp phần mềm. và snmp. Các dòng ASA . IP multicast support: ASA hỗ trợ các giao thức IGMP and PIM trong các traffic hỗ trợ multicast. việc nâng cấp hần mềm có thể được thực hiện một cách tự động hay thủ công. các tính năng bảo mật có thể được cấu hình và áp dụng một cách linh hoạt.