28 vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng. Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Hình 24 Firewall 1.5.1.2 Các kiểu firewall  Firewall dựa trên Application level gateway 29 Hình 25 Application level gateway  Cổng vòng (Circuit level gateway) Hình 26 Circuit level gateway  Proxy Server Firewall 30 Hình 27 Proxy Server Firewall 1.5.2 Mạng VPN 1.5.2.1 Định nghĩa VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. 1.5.2.2 Thành phần: có 4 thành phần chính.  VPN Server  VPN Client  Tunnel  Public Network 1.5.2.3 Giao thức: VPN sử dụng các loại giao thức chủ yếu sau.  Point to Point Protocol (PPP)  Point to Point Tunneling Protocol (PPTP)  Layer 2 Forwarding (L2F) protocol  Layer 2 Tunneling Protocol (L2TP)  IP Security (IPSec) 1.5.2.4 Kiểu VPN: có 3 kiểu VPN.  Remote Access VPN  Intranet VPN 31  Extranet VPN 32 CHƯƠNG 2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 KHÁI QUÁT CHUNG 2.1.1 Lịch sử hình thành và phát triển Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông. Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt. 33 Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu. Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khách này. Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty 34 hay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN. Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN. Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất. 2.1.2 Khái niệm VPN Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. Hình 28 Mô hình mạng VPN cơ bản 35 Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng. 2.2 PHÂN LOẠI VPN Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng 2.2.1 VPN truy cập từ xa (Remote Access) Remote Access, hay còn gọi là virtual private dial-up network (VPDN). Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối 36 từ xa đến mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL). Hình 29 Mô hình VPN truy cập từ xa 2.2.2 VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại:  Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN. . riêng ảo VPN. Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy. thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại:  Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site. site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN