a. Vành đai bảo vệ chung cho toàn hệ thống mạng (lớp 1), gồm cả hệ thống Web.
Để triển khai lớp bảo vệ đầu tiên này, các tổ chức, doanh nghiệp có thể trang bị một thiết bị an ninh tích hợp (UTM) gồm nhiều tính năng bảo mật khác nhau như:
• Tường lửa (Firewall) sẽ giúp ngăn chặn các tấn công tầng mạng, loại bỏ các hành vi dờ quét các điểm yếu bảo mật của các hệ điều hành trên các máy chủ
• Thành phần ngăn chặn xâm nhập (IPS) giúp loại bỏ các tấn công khai thác các điểm yếu của phần mềm ứng dụng web, phần mềm cơ sở dữ liệu, hệ điều hành... Ngoài ra các thành phần mạng riêng ảo (VPN) và thành phần quét virus mức gateway sẽ giúp hệ thống được an toàn hơn.
b. Tường lửa chuyên dụng cho các ứng dụng Web
Sau khi xây dựng vành đai bảo vệ chung, cần trang bị thêm một tường lửa chuyên dụng cho các ứng dụng web (lớp 2). Tường lửa ứng dụng web này sẽ kiểm tra và ngăn chặn các tấn công khai thác điểm yếu phát sinh trong quá trình phát triển website. Tùy thuộc vào quy mô của tổ chức, doanh nghiệp và/hoặc phụ thuộc vào giá trị của tài nguyên thông tin trên website mà có thể có một mức đầu tư tương ứng cho tường lửa ứng dụng web này. Có 3 lựa chọn:
Đối với các website mà phần lớn là thông tin tĩnh (ít thay đổi), không chứa các dữ liệu quan trọng cũng như không có các giao dịch mua bán: có thể trang bị bổ sung module phần mềm tường lửa cho ứng dụng web (như Web Intelligence của Check Point) vào thiết bị an ninh tích hợp UTM nói trên.
Đối với các website có rất nhiều dữ liệu quan trọng mang tính chất sống còn của tổ chức, doanh nghiệp, đồng thời thường xuyên diễn ra các giao dịch trực tuyến, đòi hỏi phải có độ an toàn, sẵn sàng cao: nên trang bị một thiết bị tường lửa chuyên dụng cho ứng dụng web (như giải pháp của NetContinuum, một hãng chuyên cung cấp thiết bị tường lửa chuyên dụng cho ứng dụng web).
Đối với các website cung cấp các thông tin nội bộ hoặc cổng truy nhập thông tin của một tổ chức, doanh nghiệp (Web Portal) cho phép nhân viên kết nối vào từ bất cứ đâu và làm việc bất kể thời gian nào: ngoài việc trang bị lớp bảo vệ chung bằng thiết bị an ninh tích hợp, các tổ chức, doanh nghiệp cũng cần xây dựng một “cổng truy nhập” an toàn đến các tài nguyên thông tin (ví dụ sử dụng thiết bị Connectra Web Security Gateway của Check Point).
Đối với an toàn hệ thống nhìn chung, Firewall có thể bảo vệ hệ thống máy tính chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login).
Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp được truy nhập tự do mạng bên ngoài.
Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra.
c. Thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng
Sau khi đầu tư hai lớp bảo vệ trên, để tăng cường an toàn bảo mật thông tin, tổ chức, doanh nghiệp có thể bổ sung thêm một thiết bị an ninh tích hợp hoặc thiết bị chống xâm nhập mạng (IPS) chuyên dụng (lớp 3). Lớp này phân chia mạng bên trong thành các phân vùng khác nhau và áp dụng các chính sách riêng cho từng phân vùng mạng nhằm ngăn chặn các tấn công có nguồn gốc từ bên trong mạng và loại bỏ các tấn công có thể vượt qua tường lửa vào vùng các máy chủ quan trọng.
2.2.2. Một số phương pháp bảo vệ máy chủ Web Server
Các máy chủ Web (Webserver) luôn là những đe dọa cho các hacker tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm hoạ có thể là bất cứ cái gì từ kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh, xoá, thay đổi nội dung các file hay phần mềm chứa mã nguy hiểm. Sau đây là một số phương pháp bảo vệ máy chủ Web Server :
Đặt các Webserver trong vùng DMZ. Thiết lập firewall không cho các kết nối tới Webserver trên toàn bộ các cổng, ngoại trừ cổng 80 (http), cổng 443 (https) và các cổng dịch vụ mà đang sử dụng.
Loại bỏ toàn bộ các dịch vụ không cần thiết khỏi Webserver ngay cả dịch vụ truyền tệp FTP (chỉ giữ lại nếu thật cần thiết). Mỗi dịch vụ không cần thiết sẽ bị lợi dụng để tấn công hệ thống nếu không có chế độ bảo mật tốt.
Không cho phép quản trị hệ thống từ xa, trừ khi nó được đăng nhập theo kiểu mật khẩu chỉ sử dụng một lần hay đường kết nối đã được mã hoá.
Giới hạn số người có quyền quản trị hay truy cập mức tối cao (root).
Tạo các log file theo dõi hoạt động của người sử dụng và duy trì các log file này trong môi trường được mã hoá.
Hệ thống điều khiển log file thông thường được sử dụng cho bất kỳ hoạt động nào. Cài đặt các bẫy macro để xem các tấn công vào máy chủ. Tạo các macro chạy liên tục hoặc ít ra có thể kiểm tra tính nguyên vẹn của file passwd và các file hệ thống khác. Khi các macro kiểm tra một sự thay đổi, chúng nên gửi một email tới nhà quản lý hệ thống.
Loại bỏ toàn bộ các file không cần thiết khỏi thư mục chứa các file kịch bản thi hành: /cgi-bin.
Đăng ký và cập nhật định kỳ các bản sửa lỗi mới nhất về an toàn, bảo mật từ các nhà cung cấp.
Nếu hệ thống phải được quản trị từ xa, đòi hỏi một cơ chế bảo mật như bảo mật shell, được sử dụng để tạo ra một kết nối bảo mật. Không sử dụng telnet hay ftp với user là anynomous (đòi hỏi một username và password cho việc truy cập) từ bất cứ site không được chứng thực nào. Tốt hơn, hãy giới hạn số kết nối trong các hệ thống bảo mật và các hệ thống bên trong mạng Intranet.
Chạy webserver trong các thư mục đã được đặt quyền truy cập và quyền sử dụng, vì vậy chỉ có người quản trị mới có thể truy cập hệ thống thực
Chạy server FTP theo chế độ anonymous (nếu hệ thống cần) trong một thư mục được đặt quyền truy cập, khác với thư mục được sử dụng bởi webserver.
Thực hiện toàn bộ việc cập nhật từ mạng Intranet. Duy trì trang web ban đầu trên mỗi server trên hệ thống mạng Intranet và tạo các thay đổi và cập nhật ở đây; sau đó mới đẩy các cập nhật này lên website qua một kết nối SSL. Nếu thực hiện điều này hàng giờ, có thể tránh khả năng server treo một thời gian dài.
Quét Webserver theo định kỳ với các công cụ như ISS hay nmap để tìm kiếm lỗ hổng bảo mật.
Trang bị phần mềm phát hiện truy nhập trái phép tới các máy chủ, đặt phần mềm này cảnh báo các hành động nguy hiểm và bắt các session của chúng lại để xem.. Thông tin này có thể giúp bạn lấy được thông tin về cách thức phá hoại mạng, cũng như mức độ bảo mật trong hệ thống của bạn.
Tuân thủ các quy tắc nhất định nêu trên sẽ giúp cho Webserver được bảo vệ tốt hơn và người quản trị mạng không còn chịu nỗi đau đầu, lo lắng về vấn đề an toàn máy chủ web và an toàn thông tin cho toàn bộ hệ thống.