Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A PHẦN I: CƠ SỞ LÝ THUYẾT ĐỂ XÂY DỰNG MẠNG CHƯƠNG I: TỔNG QUAN VỀ MẠNG MÁY TÍNH I Khái niệm mạng máy tính Mạng máy tính tập hợp máy tính kết nối với đường truyền vật lý theo kiểu cấu trúc nhằm mục đích chia sẻ thông tin với dùng chung liệu, tài nguyên II Lịch sử phát triển mạng máy tính Từ năm 60 xuất mạng xử lý trạm cuối (Terminal) thụ động nối với máy xử lý trung tâm Máy xử lý trung tâm làm tất việc, từ quản lý thủ tục truyền liệu, quản lý đồng trạm cuối, quản lý hàng đợi v v việc xử lý ngắt từ trạm cuối Để giảm nhẹ nhiệm vụ máy xử lý trung tâm, người ta thêm vào tiền xử lý (Preprocessor hay gọi Frontal) để nối thành mạng truyền tin, thiết bị tập trung (Concentrator) dồn kênh (Multiplexor) có chức tập trung tín hiệu trạm cuối gửi đến vào đường truyền Hai thiết bị khác chỗ: dồn kênh có khả chuyển song song thông tin trạm cuối gửi tới, tập trung khả nên phải dùng nhớ đệm (Buffer) để lưu trữ tạm thời thông tin Như trạm cuối không kết nối trực tiếp với nhau, liên lạc phải qua máy trung tâm Hệ thống không gọi mạng máy tính mà gọi mạng xử lý Từ năm 70, máy tính nối với trực tiếp để tạo thành mạng máy tính nhằm phân tán tải hệ thống tăng độ tin cậy Cũng năm 70, bắt đầu xuất khái niệm mạng truyền thông (Communication network), thành phần nút Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A mạng, gọi chuyển mạch (Switching unit) dùng để hướng thông tin tới đích Các nút mạng nối với đường truyền (Transmission line) máy tính xử lý thông tin người sử dụng (Host) trạm cuối (Terminal) nối trực tiếp vào nút mạng để cần trao đổi tin qua mạng Bản thân nút mạng thường máy tính nên đồng thời đóng vai trò máy người sử dụng Các máy tính kết nối với thành mạng máy tính nhằm mục đích sauu: - Sử dụng chung tài nguyên: tài nguyên thiết bị, chương trình, liệu, trở nên khả dụng người sử dụng mạng mà không cần quan tâm đến vị trí địa lý tài nguyên người sử dụng - Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính - Nâng cao chất lượng hiệu khai thác thông tin: thông tin sử dụng chung mang lại cho người sử dụng khả tổ chức lại công việc với thay đổi chất như: + đáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại + cung cấp thống dự liệu + tăng cường lực xử lý nhờ kết hợp phận phân tán + tăng cường truy cập tới dịch vụ mạng khác cung cấp Ngày với số lượng lớn thông tin, nhu cầu xử lý thông tin ngày cao Mạng máy tính trở nên quen thuộc lĩnh vực như: khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục, Hiện nhiều nơi mạng trở thành nhu cầu thiếu Với nhu cầu đòi hỏi ngày cao xã hội nên vấn đề kỹ thuật mạng mối quan tâm hàng đầu Ví dụ làm để gửi thông Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A tin cách nhanh chóng tối ưu nhất, việc xử lý thông tin mạng bị tắc nghẽn gây thât thoát thông tin cách đáng tiếc Việc làm để có hệ thống mạng chạy thật tốt, an toàn hiệu kinh tế cao nhiều người quan tâm III Phân loại mạng máy tính Có nhiều hình thức phân loại mạng máy tính khác tùy thuộc vào yếu tố chọn để làm tiêu phân loại, chẳng hạn khoảng cách địa lý, kỹ thuật chuyển mạch, kiến trúc mạng,… - Phân loại mạng theo khoảng cách địa lý có mạng sau: + Mạng cục ( Local Area Networks – LAN) mạng cài đặt phạm vi tương đối nhỏ khoảng 20km trở lại Thường sử dụng nội quan, tổ chức, trường học,… Phương tiện truyền dẫn chủ yếu cáp đồng, gần sử dụng cáp quang để mở rộng phạm vi + Mạng đô thị (Metropolitan Area Network – MAN): mạng cài đặt phạm vi đô thị trung tâm kinh tế-xã hội có bán kính khoảng 100km trở lại + Mạng diện rộng (Wide Area Network – WAN): phạm vi mạng vượt qua biên giới quốc gia chí lục địa Thông thường kết nối thực thông qua mạng viễn thông + Mạng toàn cầu (Global Area Network – GAN): phạm vi mạng trải khắp lục địa Trái Đất - Phân loại theo kỹ thuật chuyển mạch, gồm có mạch sau: + Mạng chuyển mạch kênh (Circuit – Switched Networks) Khi có hai thực thể cần trao đổi thông tin với chúng thiết lập “kênh” cố định trì hai bên ngắt liên lạc Các liệu truyền theo đường cố định Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Data Data A S2 S4 S1 Data S6 S3 B S5 H×nh M¹ng chuyÓn m¹ch kªnh Mạng có hai nhược điểm : *mất nhiều thời gian để thiết lập kênh cố định hai nút mạng * hiệu suất sử dụng đường truyền không cao có lúc kênh bị bỏ rỗi hai bên hết thông tin cần truyền đầu nút khác không phép sử dụng đường truyền + Mạng chuyển mạch thông báo ( Message - Switched Networks) Thông báo (Messega) đợn vị thông tin người sử dụng có khuôn dạng quy định trước Mỗi thông báo có chứa vùng thông tin điều khiển định rõ đích thông báo Căn vào thông tin mà nút trung gian chuyển thông tin tới nút theo đường dẫn tới đích Như nút cần phải lưu trữ tạm thời để đọc thông tin điều khiển thông báo để sau gửi tiếp thông báo Tùy thuộc vào điều kiện mạng, thông báo khác truyền đường khác Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Message S2 A S4 S1 S6 S3 B S5 Message H×nh M¹ng chuyÓn m¹ch th«ng b¸o Ưu điểm: hiệu suất đường truyền cao không bị chiếm dụng độc quyền mà phân chia nút mạng nút mạng lưu trữ thông báo kênh truyền rỗi gửi thông báo đi, giảm tắc nghẽn điều khiển việc truyền tin cách xếp độ ưu tiên cho thông báo tăng hiệu suất sử dụng dải thông mạng cách gán địa quảng bá để gửi thông báo đồng thời tới nhiều đích Nhược điểm: không hạn chế kích thước thông báo, dẫn đến phí tổn lưu trữ tạm thời cao ảnh hưởng tới thời gian đáp chất lượng truyền thích hợp cho dịch vụ thư tín điện tử áp dụng có tính thời gian thực tồn độ trễ lưu trữ xử lý thông tin điều khiển nút Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A + Chuyển mạch gói ( Packet – Switched Networks) Trong chuyển mạch gói thông báo chia thành nhiều phần nhỏ gọi gói tin (Packet) có khuôn dạng quy định trước Mỗi gói tin chứa đựng thông tin điều khiển, có địa nguồn (người gửi) đích (người nhận) gói tin Các gói tin thuộc thông báo gửi qua mạng để tới đích nhiều đường khác message A S2 S1 S3 S4 4 S5 S6 B H×nh M¹ng chuyÓn m¹ch gãi Ta thấy mạng chuyển mạch gói chuyển mạch thông báo giống phương pháp Điều khác biệt gói tin giới hạn kích thước tối đa cho nút mạng xử lý toàn gói tin nhớ mà không cần phải lưu trữ tạm thời đĩa Vì mạng chuyển mạch gói truyền gói tin mạng nhanh hiệu so với mạng chuyển mạch thông báo Nhưng vấn đề khó khăn mạng việc tập hợp gói tin để tạo lại thông báo ban đầu người sử dụng, đặt biệt trường hợp gói tin truyền theo nhiều đường khác Cần phải đặt chế đánh dấu gói tin phục hồi gói tin bị thất lạc truyền bị lỗi cho nút mạng Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Do ưu điểm mềm dẻo hiệu suất cao nên mạng chuyển mạch gói dùng phổ biến mạng chuyển mạch thông báo Việc tích hợp hai kỹ thuật chuyển mạch (kênh gói) mạng thống (được gọi mạng tích hợp số ISDN) xu hướng phát triển mạng ngày - Phân lạo theo kiến trúc mạng, có hai lại sau : + kiểu điểm - điểm: Các đường truyền nối cặp nút với nút có trách nhiệm lưu trữ tạm thời sau chuyển tiếp liệu đích Do cách làm việc nên mạng kiểu gọi mạng “lưu chuyển tiếp” + kiểu quảng bá : Trong trường hợp tất nút phân chia chung đường truyền vật lý Dữ liệu gửi từ nút đó, tiếp nhận tất nút lại Bởi cần địa đích liệu để nút vào kiểm tra xem liệu có phải dành cho không IV Kiến trúc phân tầng mô hình OSI Cấu trúc phân tầng Để giảm độ phức tập việc thiết kế cài đặt mạng, hầu hết mạng máy tính có phân tích thiết kế theo quan điểm phân tầng(layering) Mỗi hệ thống thành phần mạng xem cấu trúc đa tầng, tầng xây dựng tầng trước Số lượng tầng tên chức tầng tùy thuộc vào nhà thiết kế Chúng ta thấy cách phân tầng mạng IBM (SNA), Digital (DECnet), hay Bộ Quốc phòng Mỹ (ARPANET), không giống Tuy nhiên, hầu hết mạng, mục đích tầng để cung cấp số dịch vụ ( services) định cho tầng cao Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Tầng N giao diện i+1/i TÇng Tầng ii Giao thức tầng N Tầng N Giao thức tầng i Tầng i Giao thức tầng Tầng Tầng Đường truyền vật lý Hình 4: Hình vẽ minh hoạ kiến trúc phân tầng tổng quát Nguyên tắc kiến trúc mạng phân tầng là: hệ thống mạng có cấu trúc tầng (số lượng tầng, chức tầng nhau) Sau xác định số lượng tầng chức tầng công việc quan trọng định nghĩa mối quan hệ (giao diện) tầng đồng mức hai hệ thống nối kêt với Trong thực tế, liệu không truyền trực tiếp từ tầng thứ i hệ thống sang tầng thứ i hệ thống khác (trừ tầng thấp trực tiếp sử dụng đường truyền vật lý để truyền xâu bít từ hệ thống sang hệ thống khác) Ở quy ước liệu bên hệ thống gửi (sender) truyền sang hệ thống nhận Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A (receiver) đường truyền vật lý ngược lên tầng Như hệ thống kết nối với có tầng thấp có liên kết vật lý, tầng cao liên kết logic ( hay gọi liên kết ảo) đưa vào để hình thức hóa hoạt động mạng thuận tiện cho việc thiết kế cài đặt phần mềm truyền thông * Các nguyên tắc phân tầng: - Đơn giản hóa ( hạn chế số lượng tầng) - Tạo ranh tầng cho tương tác mô tả dịch vụ tối thiểu - Các tầng tách biệt chức độc lập tầng sử dụng loại công nghệ khác tách biệt - Các chức giống đặt tầng - Chọn ranh giới giữa tầng theo kinh nghiệm chứng tỏ thành công - Các chức định vị cho thiết kế lại tầng mà không ảnh hưởng tới tầng khác - Tạo ranh giới tầng cho chuẩn hóa giao diện tương ứng - Tạo tầng liệu xử lý cách tách biệt - Cho phép thay đổi chức giao thức tầng không làm ảnh hưởng đến tầng khác - Mỗi tầng sử dụng dịch vụ tầng nó, cung cấp dịch vụ cho tầng - Có thể chia tầng thành tầng cần thiết - Tạo tầng phép giao diện với tầng kề cận - Cho phép huỷ bỏ tầng thấy không cần thiết * Ý nghĩa phân tầng - giảm độ phức tạo phân tích thiết kế - dễ tiêu chuẩn hóa giao diện Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A - tạo khả modul hóa cao - đảm bảo khả làm việc cộng nghệ khác - gia tốc cho hướng phát triển 2.Mộ hình trao đổi thông tin – Mô hình OSI 2.1 Các yêu cầu trao đổi thông tin mạng - phải hiểu thông tin truyền cho - thông tin trao đổi phải bảo mật, xác thực, toàn vẹn thông tin - gọn gàng thông tin để tiết kiệm băng thông để truyền nhanh - theo dõi chặt chẽ tiến trình trao đổi thông tin để điều khiển tốc độ truyền thông tin hợp lý - thông tin truyền phải đến đích - kiểm soat lỗi ( bên nhận có khả biết thông tin có lỗi hay lỗi ) Lỗi lỗi đường truyền - giảm suy hao để tin xa, tạo điều kiện dễ dàng cho việc nhận thông tin bên thu - tránh va chạm, xung đột với luồng thông tin khác Những yêu cầu cần phải giải để gửi thông tin người ta nghĩ kỹ thuật phương pháp để giải tám yêu cầu Đặc điểm kỹ thuật phướng pháp biến đổi mã hóa thông tin trước truyền Cụ thể sử dụng bảng mã hóa thông tin giống bảng mã ASCCI, mã Uinicode 16 bít 2.2 Mô hình OSI Khi thiết kế, nhà thiết kế tự lựa chọn kiến trúc mạng riêng Từ dẫn đến tình trạng không tương thích mạng, phương pháp truy nhập đường truyền khác nhau, sử dụng họ giao thức khác … Sự không tương thích làm trở ngại cho tương tác người sử dụng mạng khác nahu Nhu cầu trao đổi thông tin lớn trở ngại chấp nhận người sử dụng Sự thúc bách Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 10 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A nghĩa file cấu hình quan trọng, áp dụng biện pháp bảo vệ cấu sử dụng phương thức mã hoá hashing code (MD5) c)Những bug phần mềm sử dụng Những bug phần mềm tạo nên nhứng lỗ hổng dịch vụ hội cho hình thức công khác xâm nhập vào mạng Do người quản trị phải thường xuyên cập nhật tin tức nhóm tin bảo mật từ nhà cung cấp phần mềm để phát lỗi phần mềm sử dụng Khi phát có bug cần thay ngừng sử dụng phần mềm chờ nâng cấp lên phiên d) Những nguy nội mạng: Một hệ thống chịu công từ mạng mà bị công từ bên Có thể vô tình cố ý, hình thức phá hoại bên mạng thường xẩy số hệ thống lớn Chủ yếu với hình thức công bên mạng kẻ công tiếp cận mặt vật lý thiết bị hệ thống, đạt quyền truy nhập bất hợp pháp hệ thống Ví dụ nhiều trạm làm việc chiếm quyền sử dụng kẻ công ngồi trạm làm việc Xác định phương án thực thi sách bảo mật Sau thiêt lập sách bảo mật, hoạt động lựa chọn phương án thực thi sách bảo mật Một sách bảo mật hoàn hảo có tính thực tế cao Để đánh giá thực thi này, có số tiêu chí để lựa chọn : - Tính đắn - Tính thân thiện - Tính hiệu Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 112 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Thiết lập qui tắc/ thủ tục a)Các thủ tục hoạt động truy nhập bất hợp pháp Sử dụng vài công cụ phát hành động truy nhập bất hợp pháp vào hệ thống Các công cụ kèm theo hệ điều hành, từ hãng sản xuất phần mềm thứ Đây biện pháp phổ biến để theo dõi hoạt động hệ thống - Các công cụ logging: hều hết hệ điều hành hỗ trợ số lượng lớn công cụ ghi log với nhiều thông tin bổ ích Để phát hoạt động truy nhập bất hợp pháp, số quy tắc phân tích logfile: + So sánh hoạt động logfile với log khứ Đối với hoạt động thông thường, thông tin logfile thường có chu kỳ giống thời điểm người sử dụng login log out, thời gian sử dụng dịch vụ hệ thống… + Nhiều hệ thống sử dụng thông tin logfile để tạo hoá đơn cho khách hàng Có thể dựa vào thông tin hoá đơn toán để xem xét truy nhập bất hợp pháp thấy hoá đơn có điểm bất thường thời điểm truy cập, số điện thoại lạ, + Dựa vào tiện ích syslog để xem xét, đặt biệt thông báo lỗi login không hợp lệ (bad login) nhiều lần + Dựa vào tiện ích kèm theo hệ điều hành để theo dõi tiến trình hoạt động hệ thống, để phát tiến trình lạ chương trinh khở tạo không hợp lệ… - Sử dụng công cụ giám sát khác: ví dụ sử dụng tiện ích mạng để theo dõi lưu lượng, tài nguyên mạng để phát điểm nghi ngờ b)Các thủ tục bảo vệ hệ thống - Thủ tục quản lý tài sản người tiêu dùng Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 113 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A - Thủ tục quản lý mật - Thủ tục quản lý cấu hình hệ thống - Thủ tục lưu khôi phục liệu - Thủ tục báo cáo cố Kiểm tra, đánh gía hoàn thiện sách bảo mật Một hệ thống có biến động cấu hình, dịch vụ sử dụng, tảng hệ điều hành sử dụng, thiết bị phần cứng, … Do người thiết lập sách bảo mật mà cụ thể nhà quản trị hệ thống phải rà soát, kiểm tra lại sách bảo bảo mật đảm bảo phù hợp với thực tế Mặt khác kiểm tra đánh giá sách bảo mật giúp cho nhà quản lý có kế hoạch xây dựng mạng lưới hiệu a) Kiểm tra, đánh giá Công việc thực thường xuyên liên tục Kết sách bảo mật thể rõ nét chất lượng dịch vụ mà hệ thống cung cấp Dựa vào kiểm tra, đánh giá sách bảo mật hợp lý hay chưa Ví dụ nhà cung cấp Internet kiểm tra sách bảo mật dựa vào khả phản ứng hệ thống bị công từ bên hành động spam mail, DoS, truy nhập hệ thống trái phép,… Hoạt động đánh gía sách bảo mật dựa vào số tiêu chí sau: - Tính thực thi - Khả phát ngăn ngừa hoạt động phá hoại - Các công cụ hữu hiệu để hạn chế hoạt động phá hoại hệ thống b) Hoàn thiện sách bảo mật Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 114 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Từ hoạt động kiểm tra, đánh giá nêu nhà quản trị hệ thống rút kinh nghiệm để cải thiện sách bảo mật hữu hiệu Cải thiện sách hành động nhằm đơn giản công việc người sử dụng, giảm nhẹ độ phức tạp hệ thống,… Những hoạt động cải thiện sách bảo mật diễn suốt thời gian tồn hệ thống Nó gắn liền với công việc quản trị trì hệ thống Đây yêu cầu xây dựng sách bảo mật, cần phải mềm dẻo, có thay đổi phù hợp tuỳ theo điều kiện thực tế V Các mức bảo vệ an toàn mạng Vì có giải pháp an toàn tuyệt đối nên người ta phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp “rào chắn” hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt server mạng Bởi số biện pháp nhằm chống thất thoát thông tin đường truyền, cố gắng tập trung vào việc xây dựng mức “rào chắn” từ vào cho hệ thống kết nối vào mạng Mô hình sau mô tả lớp “rào chắn” thông dụng để bảo vệ thông tin firewall Physical protection Data encryption Login/password informatio n Aaccess right trạm mạng Hình 32: Các lớp rào chắn bảo vệ thông tin mạng Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 115 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Như mô tả hình lớp bảo mật thông tin bao gồm lớp sau: * Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài nguyên Dĩ nhiên kiểm soát cấu trúc liệu chi tiết tốt Hiện việc kiểm soát thường mức tệp (file) * Lớp bảo vệ đăng ký tên / mật (logi/password) Thực kiểm soát quyền truy nhập, truy nhập mức thông tin mà mức hệ thống (tức truy nhập vào mạng) Đây phương pháp bảo vệ phổ biến đơn giản, phí tổn có hiệu Mỗi người sử dụng (kể người quyền giám quản mạng) muốn vào mạng để sử dụng tài nguyên mạng phải có đăng kí tên mật trước Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát hoạt động mạng xác định quyền truy nhập người dùng khác tuỳ theo thời gian không gian( nghĩa người sử dụng phép phép vào mạng thời điểm từ vị trị định) Về lý thuyết người giữ kín tên mật đăng kí không xẩy truy nhập trái phép Song điều khó đảm bảo thực tế nhiều nguyên nhân (chẳng hạn người sử dụng thiếu cẩn thận chọn tên/ mật dễ, nể bạn bè,…) làm giảm hiệu lớp bảo vệ Có thể khắc phục nhiều cách, chẳng hạn chọn người quản trị mạng chịu trách nhiệm đặt mật khẩu, thay đổi mật theo thời giam, v.v… * Lớp thứ sử dụng phương pháp mã hoá Dữ liệu biến đổi từ dạng nhận thức sang dạng không nhận thức theo thuật toán (tạo mật mã) biến đổi ngược lại (giải mã) trạm nhận Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 116 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Đây lớp bảo vệ thông tin quan trọng sử dụng rỗng rãi môi trường mạng * Lớp thứ bảo vệ vật lý nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm tuyệt đối người không phận không vào phòng đặt máy mạng, dùng ổ khoá máy tính (ngắt nguồn điện đến hình bàn phím giữ liên lạc trực tuyến máy tính với mạng, cài đặt chế báo động có truy nhập vào hệ thống,v.v… * Lớp thứ hệ thống tường lửa (firewall) Chức tường lửa ngăn chặn thâm nhập trái phép (theo danh sách truy nhập xác định trước) chí “lọc” bỏ gói tin mà ta không muốn gửi nhận vào lí Phương thức sử dụng nhiều môi trường internet Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 117 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A CHƯƠNG II: HỆ THỐNG FIREWALL I Khái niệm Firewall thiết bị nhằm ngăn chặn truy nhập không hợp từ mạng vào mạng Hệ thống firewall thường bao gồm phần cững lẫn phần mềm Firewall thường dùng theo phương thức ngăn chặn hay tạo luật địa khác II Các chức firewall Chức Firewall kiểm soát luồng thông tin mạng cần bảo vệ Internet thông qua sách truy nhập thiết lập - Cho phép cấm dịch vụ truy nhập từ từ vào trọng - Kiểm soát địa truy nhập, dịch vụ sử dụng - Kiểm soát khả truy cập người sử dụng hai mạng - Kiểm soát nội dung thông tin truyền hai mạng - Ngăn ngừa khả công từ mạng Xây dựng Firewall biện pháp hữu hiệu, cho phép bảo vệ kiểm soát hầu hết cách dịch vụ Do áp dụng phổ biến biện pháp bảo vệ mạng Thông thường Firewall cổng (gateway) mạng nội giao tiếp với mạng bên ngược lại Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 118 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A III Mô hình mạng sử dụng Firewall Tường lửa Firewall INTERNET Mạng nội quan Hình 33: Tường lửa đặt mạng nội internet Firewall bao gồm phần cứng phần mềm, thông thường hai Về mặt phần cứng Firewall có chức gần giống router, cho phép hiển thị điạ IP kết nối qua Điều cho phép người quản trị xác định địa phép địa IP không phép kết nối Tất Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nó có tác dụng ngăn cách tài nguyên thông tin mạng nội với giới Internet bên Tuy nhiên, bên mạng nội cần phải bố trí tường lửa để cô lập miền an toàn khác Một miền an toàn bao gồm tập hợp máy tính chịu quản lý thống với sách mức độ an toàn- an ninh chung IV Phân loại Firewall Có nhiều loại Firewall, loại có ưu nhược điểm riêng Tuy nhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm ba loại sau: Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 119 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A a) Các lọc gói tin ( Packet filter) Bộ lọc gói tin thực việc kiểm soát gói tin dựa vào địa nguồn đích chúng Chức cài đặt router tuỳ thuộc vào kiểu router việc lọc gói tin thực nhận, gửi hai Người quản lý mạng thiết lập danh sách truy nhập để vào mà tường lửa ngăn chặn xâm nhập bất hợp pháp (không có danh sách) Ví dụ người quản trị firewall định không cho gói tin xuất phát từ mạng microsoft.com kết nối với mạng gói tin xuất phát từ mạng không đến mạng b) Cửa kênh (Circuit gateway) Cửa kênh có chức chuyển tiếp (relay) liên kết TCP, nghĩa thực việc “bắt tay” phần tử nguồn phần tử đích qua cửa Với chức này, tường lử kiểm soát liên kết cho phép “nối” liên kết chấp nhận c) Các cửa ứng dụng Cửa ứng dụng loại tường lửa có khả kiểm soát giao thức tầng ứng dụng để định liên kết tương ứng có hợp pháp hay không? Phạm vi giao thức chấp nhận thay đổi tuỳ thuộc vào tường lửa cụ thể, hầu hết có mặt giao thức phổ biến TELNET, FTP, HTTP, SNMP,.v.v… Kiểu Firewall hoạt động dựa phần mềm Khi kết nối từ người dùng đến mạng sử dụng firewall kiểu kết nối bị chặn lại, sau firewall kiểm tra trường liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thông tin Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 120 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A đáp ứng luật đặt firewall firewall tạo cầu kết nối hai node với Ưu điểm kiểu firewall kiểu chức chuyển tiếp gói tin IP, ta điều khiển cách chi tiết kết nối thông qua firewall Đồng thời đưa nhiều công cụ cho phép ghi lại trình kết nối Tất nhiên điều làm cho tốc độ xử lý sex bị chậm tất kết nối gói tin chuyển qua firewall kiểm tra kỹ lượng với luật firewall chấp thuận chuyển tiếp tới node đích Sự chuyển tiếp gói tin IP xảy máy chủ nhận yêu cầu từ mạng chuyển chúng vào mạng Điều tạo lỗ hổng cho kẻ phá hoại xâm nhập từ mạng vào mạng Nhược điểm firewall kiều chúng hoạt động dựa tầng ứng dụng phải tạo cho dịch vụ mạng trình ứng dụng uỷ quyền (proxy) firewall, ví dụ phải tạo trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch vụ http,… Như ta thấy kiểu giao thức client- server dịch vụ telnet làm ví dụ cần phải thực hai bước hai máy mạng vào mạng kết nối với Khi sử dụng firewall kiểu máy client ( máy yêu cầu dịch vụ) co thể bị thay đổi Ví dụ đỗi với dịch vụ Telnet máy client thực theo hai phương thức: bạn Telnet vào firewall trước sau thực việc telnet vào máy mạng khác; cách thứ hai bạn telnet thẳng tới đích tuỳ theo luật firewall có cho phép hay không mà việc telnet bạn thực Lúc firewall hoàn toàn suốt, đóng vai trò cầu nối tới đích bạn Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 121 Đố án tốt nghiệp V Lê Thị Thuỷ HCKT-2A Firewall bảo vệ chống lại ? FireWall bảo vệ chống lại công từ bên + Tấn công trực tiếp: Cách thứ dùng phương pháp dò mật trực tiếp Thông qua chương trình dò tìm mật với số thông tin người sử dụng ngày sinh, tuổi, địa v.v…và kết hợp với thư viện người dùng tạo ra, kẻ công dò mật bạn Trong số trường hợp khả thành công lên tới 30% Ví dụ chương trình dò tìm mật chạy hệ điều hành Unix có tên Crack Cách thứ hai sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) + Nghe trộm: Có thể biết tên, mật khẩu, thông tin chuyền qua mạng thông qua chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn thông tin lưu truyền qua mạng + Giả mạo địa IP + Vô hiệu hoá chức hệ thống (deny service) Đây kiểu công nhằm làm tê liệt toàn hệ thống không cho thực chức mà thiết kế Kiểu công ngăn chặn phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng + Lỗi người quản trị hệ thống Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 122 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A + Yếu tố người với tính cách chủ quan không hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thông tin quan trọng cho hacker Ngày nay, trình độ hacker ngày giỏi hơn, hệ thống mạng chậm chạp việc xử lý lỗ hổng Điều đòi hỏi người quản trị mạng phải có kiến thức tốt bảo mật mạng để giữ vững an toàn cho thông tin hệ thống Đối với người dùng cá nhân, họ biết hết thủ thuật để tự xây dựng cho Firewall, nên hiểu rõ tầm quan trọng bảo mật thông tin cho cá nhân, qua tự tìm hiểu để biết số cách phòng tránh công đơn giản hacker Vấn đề ý thức, có ý thức để phòng tránh khả an toàn cao Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 123 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A KẾT LUẬN Ngày Thế Giới công nghệ thông tin trở nên phổ biến lĩnh vực có góp mặt công nghệ Hiện với phát triển đến chóng mặt công nghệ thông tin, tiện ích có trao đổi , tìm kiếm thông tin qua mạng, đào tạo qua mạng, giải trí mạng ( nghe nhạc, xem phim, chơi game,…), bắt đầu tiếp cận đến nhu cầu thiết yếu sống hàng ngày người Ở Việt Nam công nghệ thông tin phát triển cách nhanh chóng Với xu hướng tin học hoá toàn cầu, việc phổ cập tin học cho người quan trọng Vì việc thiết kế lắp đặt mạng cục cho quan, xí nghiệp trường học cần thiết Trong đồ án em để cập đến phần mạng máy tính Em tin công nghệ mạng ứng dụng thiết thực ngày mang lại lợi ích vô lớn ban ngành người dân ngày không xa công nghệ viễn thông Việt Nam sánh vai với nước phát triển Thế Giới Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 124 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A LỜI MỞ ĐẦU Sự kết hợp máy tính với hệ thống truyền thông đặt biệt viễn thông tạo chuyển biến có tính cách mạng vấn đề tổ chức khai thác sử dụng hệ thống mạng máy tính Mô hình tập trung dựa máy tính lớn với phương thức khai thác theo “lô” thay mô hình tổ chức sử dụng mới, máy tính đơn lẻ kết nối lại để thực công việc Một môi trường làm việc phân tán hình thành, cho phép nâng cao hiệu khai thác tài nguyên chung từ vị trí địa lý khác Mạng máy tính đời mang lại giá trị thực tiện vô to lớn cho nhân loại, thông tin quan trọng cần thiết chuyển tải, khai thác xử lý kịp thời, xác mạng công nghệ mạng.mặc dù đời cách không lâu triển khai ứng dụng nhiều nơi Thế Giới Ở Việt Nam, việc lắp đặt khai thác mạng ứng dụng quan, xí nghiệp trường học,… nhu cầu lắp đặt mạng ngày tăng Mạng máy tính ngày trở thành lĩnh vực nghiên cứu phát triển ứng dụng cốt lõi công nghệ thông tin, bao gồm nhiều vấn đề, từ kiến trúc đến nguyên lý thiết kế, cài đặt mô hình ứng dụng Dựa thực tế đó, em tìm hiều chọn đề tài : “ Xây dựng trì mạng cục cho Doanh Nghiệp vừa nhỏ” Do kiến thức thờ gian tìm hiểu có hạn nên em không tránh khỏi nhứng thiếu sót, em mong nhận ý kiến bổ sung thấy cô giáo để em hoàn thành tốt đồ án tốt nghiệp Em xin chân thành cảm ơn thầy giáo: TS Đỗ Hoàng Tiến tận tình bảo giúp em hoàn thành đồ án tốt nghiệp Hà Nội, Ngày … Tháng … Năm 2008 Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 125 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A TÀI LIỆU THAM KHẢO Bài giảng mạng máy tính Mạng máy tính hệ thống mở GS Nguyễn Thúc Hải NXB Giáo Dục năm 1999 Mạng NXB thống kê Kỹ thuật mạng máy tính Tác giả Hồ Hoàng Triết Giáo trình Quản trị mạng thiết bị mạng Đề tài : Xây dựng mạng cục cho doanh nghiệp vừa nhỏ 126 [...]... ánh xạ địa chỉ IP sang địa chỉ vật lý và gói các gói IP thành các frame Căn cứ vào dạng phần cứng và giao tiếp mạng, tầng truy nhập mạng Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 26 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A sẽ xác lập kết nối với đường truyền vật lý của mạng Ví dụ set up một hệ thống Windows dùng một NIC của nhà sản xuất thứ 3 Tuỳ thuộc vào phiên bản của Windown, NIC sẽ được... an toàn trong việc truyền dữ liệu nên nhiệm vụ của tầng Giao vận phụ thuộc vào bản chất của từng loại mạng Người ta chia thành 3 loại mạng sau đây: Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 20 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A -Mạng loại A: có tỷ suất lỗi và sự cố báo hiệu chấp nhận được ( tức là chất lượng mạng chấp nhận được) Các gói tin được giả thiết là không bị mất Tầng Giao... mạng ARPANET và các mạng của DoD mạng tên DARPA Internet procotol suit, thường gọi là họ giao Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 25 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A thức TCP/IP gọi tắt là TCP/IP ( Transmission Control Procotol/ Internet Procotol) TCP/IP là sự kết hợp của hai giao thức: Giao thức điều khiển truyền TCP (Transmisson Control Protocol) và giao thức liên mạng IP (Internet... : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 23 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A chuyền xuống xuyên qua các lớp của mô hình OSI, nó tiếp nhận các header, các trailer và các thông tin khác Các mạng phải thực hiện theo 5 bước đàm thoại để gói dữ liệu: - Xây dựng dữ liệu: khi một người dùng gửi một bức thư các ký tự alphabet được chuyển đổi thành dạng dữ liệu có thể di chuyển xuyên qua liên mạng. .. bảo cho phần header luôn kết thúc ở một mốc 32 bits + Data (độ dài thay ): vùng dữ liệu, có độ dài là bội số của 8 bits, và tối đa là 65535 bytes Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 32 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Mỗi địa chỉ IP có độ dài 32 bits được tách thàng 4 vùng (mỗi vùng 1byte).Mục đích của địa chỉ IP là để định danh duy nhất cho một host bất kỳ trên liên mạng. .. cùng mạng vật lý giới hạn bởi IP của router Tất cả các hệ thống trên cùng mạng vật lý phải có cùng điạ chỉ mạng NetID NetID phải là duy nhất trong toàn mạng tương tác HostID ( Host identifier – còn gọi là địa chỉ đích) xác định một trạm, server, router, hoặc tramk TCP/IP khác trong mạng Địa chỉ cho mỗi tramk phải là duy nhất trong cùng một netID Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ. .. subnetid để định danh các mạng con Vùng subnetid được lấy từ vùng hostid, cụ thể đối với 3 lớp A,B,C như sau: LớpA Netid 0 Lớp B Netid Subnetid 7 8 hostid 15 16 23 24 Subnetid 26 27 hostid Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 34 Đố án tốt nghiệp Lớp C Lê Thị Thuỷ HCKT-2A Netid Subnetid hostid Địa chỉ IP dùng để dinh danh các host và mạng ở tầng mạng của mô hình OSI, và chúng không phải... Total Length (16 bits): chỉ độ dài toàn bộ datagram, kể cả phần Header Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 31 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A + Identification (16 bits): cùng với các tham số khác ( như Source address và Destination address) tham này dùng để định danh duy nhất cho một datagram trong khoảng thời gian nó vẫn còn trên liên mạng + Flasg (3bits): liên quan đến sự... soát luồng dữ liệu, dồn kênh/phân kênh, cắt/hợp dữ liệu khi cần thiết,… Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 18 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Như vậy Tầng Mạng liên quan tới vấn đề đo độ trễ đường truyền, quyết định chọn đường, cập nhật các thông tin sử dụng cho việc chọn đường gói tin trong mạng và chuyển tiếp các gói tin đi.Các gói tin này có thể phải đi qua nhiều chặng đường... quản lý hoặc người thiết kế mạng, nó có thể là: - Độ trễ trung bình của việc truyền gói tin - Số lượng nút trung gian giữa nguồn và đích của gói tin - Độ an toàn của việc truyền tin - Cước phí truyền tin - …… Đề tài : Xây dựng mạng cục bộ cho doanh nghiệp vừa và nhỏ 19 Đố án tốt nghiệp Lê Thị Thuỷ HCKT-2A Như vậy việc chọn tiêu chuẩn tối ưu phụ thuộc vào nhiều bỗi cảnh mạng (topo, thông lượng, mục