Network perimeter Perimeter, dịch ra tiếng Việt có nghĩa là "vành đai", tuy nhiên từ perimeter dùng ở đây có nghĩa khác khái niệm "vành đai" một tí Hacking Security Sites part 20 | Có ba yếu tố tạo thành một hệ thống phòng thủ có chiều sâu network perimeter internal network và nhân tố con người. Do loạt bài này là ăn theo loạt bài Kí sự các vụ DDoS vào HVA -1- vì vậy tôi chỉ trình bày về network perimeter về hai yếu tố còn lại nếu có cơ hội thì tôi sẽ trình bày nó ở phần mở rộng của loạt bài này. Network perimeter Perimeter dịch ra tiếng Việt có nghĩa là vành đai tuy nhiên từ perimeter dùng ở đây có nghĩa khác khái niệm vành đai một tí bởi perimeter của một network có những thiết bị nằm ở vòng ngoài và cũng có những thiết bị nằm ở vòng trong của network đó. Các thiết bị này bao gồm - Static packet filter - Stateful firewall - Proxy firewall - IDS - VPN device Trong trường hợp này chúng ta cũng không tìm hiểu hết các thiết bị này mà chỉ gói gọn trong 3 thiết bị là static packet filter stateful firewall và IDS. Static packet filter thường là các router là thiết bị đầu tiên trong bộ perimeter mà tất cả các luồng traffic đi vào hệ thống của chúng ta phải đi qua và cũng là thiết bị sau cùng trong bộ perimeter mà tất cả các traffic xuất phát từ hệ thống của chúng ta phải đi qua. Các static packet filter chỉ có thể lọc các packet dựa vào các thông tin cơ bản như địa chỉ IP port number và protocol -2-. Chúng có thể là router Cisco router với standard access list từ 1-99 hoặc firewall IPchains . Do chỉ lọc các packet dựa vào các thông tin cơ bạn nên static packet filter làm việc rất nhanh nhanh hơn rất nhiều so với các loại stateful firewall. Static packet filter đặc biệt hữu dụng trong trường hợp bồ đang bị tấn công hoặc firewall của bồ đang phải chịu tải quá nhiều. Ví dụ như bồ phát hiện ra có một kẻ từ địa chỉ IP đang cố gắng login vào máy chủ của bồ ở cổng 22 SSH với IPchains bồ có thể dễ dàng chặn đứng đợt tấn công này với lệnh sau đây Code ipchains -A input -i eth0 -p tcp -s 32 -d 32 22 -l -j DENY Do loạt bài viết này không tập trung vào ipchains nói riêng và static packet filter nói chung do đó .