Giáo trình hình thành mô hình hoạt động của web search engine và tìm kiếm thông tin trên web p4

So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened subnet trở thành kiến trúc phổ biến nhất....
Nội dung trích xuất từ tài liệu:
Giáo trình hình thành mô hình hoạt động của web search engine và tìm kiếm thông tin trên web p4Tài liệu hướng dẫn giảng dạySo sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screenedhost có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không cócách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng cómột số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceenedsubnet trở thành kiến trúc phổ biến nhất. Hình 5.2: Mô hình Screened host.I.2.3 Sreened Subnet.Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăngcường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lanmột khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet.Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn:mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastionhost ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screenedrouter:Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài cóchức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết những gìoutbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủđể bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mứccao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router.Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệmạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filteringcủa toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ,giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion hostvà mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khibastion host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ đượcphép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạnkết nối SMTP giữa bastion host và Email Server bên trong. Trang 478/555Học phần 3 - Quản trị mạng Microsoft WindowsTài liệu hướng dẫn giảng dạy Hình 5.3: Mô hình Screened Subnet.I.3. Các loại firewall và cách hoạt động.I.3.1 Packet filtering (Bộ lọc gói tin).Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để từ đó cấp phép chochúng lưu thông hay ngăn chặn . Các thông số có thể lọc được của một packet như: Địa chỉ IP nơi xuất phát (source IP address).- Địa chỉ IP nơi nhận (destination IP address).- Cổng TCP nơi xuất phát (source TCP port).- Cổng TCP nơi nhận (destination TCP port).-Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc truy cập vào hệ thốngmạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng nhữngdịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng.I.3.2 Application gateway.Đây là loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ dựa trên nhữnggiao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô hìnhProxy Service. Trong mô hình này phải tồn tại một hay nhiều máy tính đóng vai trò Proxy Server. Mộtứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêucầu này và chuyển đến Server trên Internet. Khi Server trên Internet trả lời, Proxy Server sẽ nhận vàchuyển ngược lại cho ứng dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế“đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khikiểm soát các truy cập từ bên ngoài.Ví dụ: Một hệ thống mạng có chức năng packet filtering ngăn chặn các kết nối bằng TELNET vào hệthống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn kếtnối vào hệ thống bằng TELNET phải qua các bước sau: Trang 479/555Học phần 3 - Quản trị mạng Microsoft WindowsTài liệu hướng dẫn giảng dạy Thực hiện telnet vào máy chủ bên trong cần truy cập.- Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hoặc từ chối.- Người truy cập phải vượt qua hệ thống kiểm tra xác thực.- Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.- Proxy Service liên kết l ...