AN NINH MẠNG
Một khu vực an ninh là một phần của một mạng có yêu cầu bảo mật cụ thể thiết lập. Mỗi vùng bao gồm một giao diện duy nhất hoặc một nhóm giao diện, trong đó chính sách bảo mật được áp dụng. Các vùng này thường được tách riêng bằng thiết bị lớp 3 như tường lửa.
Theo nghĩa rất rộng, tường lửa được sử dụng để theo dõi lưu lượng truy cập đến và bắt nguồn từ mạng. Lưu lượng truy cập được cho phép hoặc bị từ chối dựa trên một bộ quy tắc được xác định trước được gọi là danh sách kiểm soát truy cập hoặc viết tắt là ACL . Mặc dù có nhiều loại tường lửa khác nhau, tường lửa phải có các thuộc tính sau:
Phải có khả năng chống lại các cuộc tấn công
Phải có khả năng kiểm tra lưu lượng giữa các mạng
Phải có khả năng lọc lưu lượng truy cập
Nói chung, việc triển khai tường lửa chuẩn bao gồm việc tách lưu lượng đáng tin cậy và lưu lượng truy cập không đáng tin cậy. Việc triển khai tường lửa thích hợp tạo ra hai vùng bảo mật cơ bản, được gọi là bên trong và bên ngoài .
Khu vực bên trong hoặc khu vực đáng tin cậy cũng được gọi là khu vực tư nhân . Như tên của nó, vùng này chứa các tài sản và các hệ thống không nên được truy cập bởi bất kỳ ai bên ngoài tổ chức. Điều này bao gồm máy trạm của người dùng, máy in, máy chủ không công khai và bất kỳ thứ gì khác được coi là tài nguyên nội bộ. Các thiết bị được tìm thấy ở đây có địa chỉ IP riêng được gán trong mạng.
Khu vực bên ngoài hoặc không tin cậy còn được gọi là khu vực công cộng . Khu vực này được coi là nằm ngoài tầm kiểm soát của một tổ chức và có thể được coi là đơn giản là internet công cộng.
Khu an ninh cơ bản thứ ba được gọi là DMZ , hoặc khu phi quân sự . Tài nguyên trong DMZ yêu cầu truy cập từ bên ngoài. Người ta thường thấy các máy chủ công khai trong DMZ, chẳng hạn như email, web hoặc các máy chủ ứng dụng. DMZ cho phép truy cập công khai vào các tài nguyên này mà không đặt các tài nguyên khu vực tư nhân, bên trong có nguy cơ.
Khu vực bên ngoài hoặc không tin cậy còn được gọi là khu vực công cộng . Khu vực này được coi là nằm ngoài tầm kiểm soát của một tổ chức và có thể được coi là đơn giản là internet công cộng.
Khu an ninh cơ bản thứ ba được gọi là DMZ , hoặc khu phi quân sự . Tài nguyên trong DMZ yêu cầu truy cập từ bên ngoài. Người ta thường thấy các máy chủ công khai trong DMZ, chẳng hạn như email, web hoặc các máy chủ ứng dụng. DMZ cho phép truy cập công khai vào các tài nguyên này mà không đặt các tài nguyên khu vực tư nhân, bên trong có nguy cơ.
Chính sách lọc vùng
Tường lửa thực thi chính sách kiểm soát truy cập, xác định lưu lượng truy cập nào được phép chuyển giữa các vùng được cấu hình. Với việc triển khai ba vùng chung này, có một số chính sách lọc vùng được đề xuất cần được đặt ra:
Bên trong và bên ngoài-bên trong DMZ : Giao thông bắt nguồn từ bên trong được kiểm tra khi nó di chuyển về phía bên ngoài hoặc DMZ. Ví dụ bao gồm nhân viên yêu cầu trang web từ máy chủ web công cộng hoặc truy cập bất kỳ tài nguyên nào trong DMZ. Loại lưu lượng truy cập này được cho phép với rất ít hạn chế, nếu có.
Bên ngoài-bên trong: Giao thông bắt nguồn từ bên ngoài và di chuyển về phía bên trong bị chặn hoàn toàn, trừ khi lưu lượng truy cập đáp ứng yêu cầu từ tài nguyên bên trong. Ví dụ: nếu người dùng bên trong yêu cầu trang web từ máy chủ web công cộng thì lưu lượng truy cập từ bên ngoài vào bên trong được cho phép. Các kết nối có nguồn gốc từ mạng công cộng không phản hồi yêu cầu sẽ bị từ chối.
DMZ đi vào bên trong: Giao thông có nguồn gốc từ DMZ và di chuyển về phía bên trong cũng bị chặn hoàn toàn, trừ khi lưu lượng truy cập là phản hồi cho yêu cầu hợp pháp từ bên trong.
DMZ đi ra ngoài: Giao thông có nguồn gốc từ DMZ và di chuyển về phía bên ngoài được cho phép có chọn lọc dựa trên các yêu cầu dịch vụ và quy tắc tường lửa. Ví dụ, nếu có một máy chủ email trong DMZ cần phải tái tạo với một máy chủ email tại một vị trí khác, chính sách tường lửa sẽ cho phép loại lưu lượng truy cập này.
Bên ngoài DMZ: Giao thông có nguồn gốc từ bên ngoài và đi về phía DMZ được tường lửa kiểm tra và được cho phép hoặc từ chối có chọn lọc. Các loại lưu lượng truy cập cụ thể có thể được chuyển qua, chẳng hạn như lưu lượng truy cập email, HTTP, HTTPS hoặc DNS. Cũng lưu ý rằng phản hồi từ DMZ trở lại bên ngoài sẽ được cho phép động. Nói cách khác, tường lửa sẽ tự động mở một cổng để cho phép lưu lượng yêu cầu từ DMZ đến bên ngoài khi cần thiết.