BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP QUẢNG NINH GIÁO TRÌNH QUẢN TRỊ MẠNG NÂNG CAO DÙNG CHO BẬC ĐẠI HỌC (LƯU HÀNH NỘI BỘ) QUẢNG NINH - 2020 MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin 1.1.2 Mục tiêu bảo mật 1.2 Tổng quan AAA 1.2.1 Điều khiển truy nhập – Access Control 1.2.2 Xác thực 1.2.3 Kiểm tra quản lý – Auditing 17 1.3 Các thiết bị hạ tầng mạng 18 1.3.1 Tường lửa - Firewall 18 1.2.2 Bộ định tuyến – Router 19 1.2.3 Bộ chuyển mạch – Switch 19 1.2.4 Bộ cân tải 19 1.2.5 Proxies 19 1.2.6 Cổng bảo vệ Web (Web Security Gateway) 20 1.2.7 Hệ thống phát xâm nhập 20 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL 21 2.1 Tổng quan Firewall 21 2.1.1 Khái niệm Firewall 21 2.1.2 Mục đích Firewall 21 2.1.3 Phân loại FIREWALL 23 2.1.4 Mơ hình kiến trúc FIREWALL 27 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 33 2.2.1 ISA 2006 33 2.2.2 TMG 2010 39 2.2.3 Iptables 42 2.3 Tường lửa cứng ASA 45 2.3.1 Giới thiệu ASA 45 2.3.2 Triển khai số tính ASA hệ thống mạng 46 CHƯƠNG 3: CÔNG NGHỆ VPN 55 3.1 Tổng quan VPN 55 3.1.1 Khái niệm 55 3.1.2 Lợi ích VPN 56 3.1.3 Chức VPN 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN 57 3.1.5 Phân loại VPN 57 3.2 Một số giao thức mã hóa VPN 59 3.2.1 Giao thức định hướng lớp : L2F ( Layer Forwarding) 60 3.2.2 Giao thức đường hầm điểm điểm - PPTP 62 3.2.2.1 PPP PPTP 63 3.2.2.2 Cấu trúc gói PPTP 64 3.2.2.3 Đường hầm 67 Giao thức đường hầm lớp – L2TP 68 3.2.3 3.2.4 Giao thức IP Sec 73 CHƯƠNG 4: HỆ THỐNG MAIL SERVER 84 4.1 Tổng quan hệ thống Email 84 4.1.1 Khái niệm thành phần Email 84 4.1.2 Một số giao thức Email 88 4.2 MS.Exchange Server 2010 92 4.2.1 Giới thiệu MS.Exchange Server 2010 92 4.2.2 Một số đặc điểm MS.Exchange 2010 92 4.3 MailServer Mdaemon 96 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 98 5.1 Tổng quan giám sát mạng 98 5.1.1 Khái niệm 98 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng 99 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101 5.2.2 Một số phần mềm giám sát mạng thường gặp 106 CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương sinh viên có thể: o Trình bày số nguy mục tiêu bảo mật hệ thống công nghệ thông tin o Hiểu giải thích số phương thức chứng thực o Trình bày phân tích ba yếu tố AAA bảo mật hệ thống o Phân biệt thiết bị hạ tầng mạng thường gặp hệ thống mạng o Rèn luyện tính tư logic 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin Nguy bảo mật (Threat) - một chuỗi kiện hành động gây hại ảnh hưởng không tốt cho mục tiêu bảo mật Thể thực tế nguy bảo mật công vào mạng Lỗ hổng bảo mật (Vulnerability Security) – Là “lỗi” phần mềm hệ thống mà bị kẻ công lợi dụng, khai thác ảnh hưởng tới an tồn thơng tin hệ thống 1.1.2 Mục tiêu bảo mật Mục tiêu bảo mật hay gọi đối tượng bảo mật Được định nghĩa tuỳ theo môi trường ứng dụng kỹ thuật thực 1.1.2.1 Theo mơi trường ứng dụng • Các tổ chức tài Chống nguy làm sai lệch thay đổi tình cờ giao dịch tài Xác nhận tính hợp pháp giao dịch khách hàng Bảo mật cho số nhận dạng cá nhân (PIN) Đảm bảo tính riêng tư cho khách hàng giao dịch • Thương mại điện tử Đảm bảo tính tồn vẹn giao dịch Đảm bảo tính riêng tư cho doanh nghiệp Cung cấp chữ ký điện tử (electronic signature) cho giao dịch điện tử Đảm bảo tính riêng tư, bí mật thơng tin khách hàng • Chính phủ Chống nguy rị rỉ thông tin nhạy cảm Cung cấp chữ ký điện tử cho tài liệu phủ • Các nhà cung cấp dịch vụ viễn thông công cộng Giới hạn quyền truy cập vào chức quản trị dành cho người có đủ thẩm quyền Đảm bảo dịch vụ ln sẵn sàng Bảo vệ tính riêng tư cho thuê bao • Các mạng riêng mạng doanh nghiệp Bảo vệ tính riêng tư cho doanh nghiệp cá nhân Đảm bảo khả xác nhận tin • Tất mạng Bảo vệ liệu chống lại xâm nhập bất hợp pháp 1.1.2.2 Theo kỹ thuật thực • Tính bí mật (confidentiality) Đảm bảo người có thẩm quyền xem liệu truyền lưu giữ • Tính tồn vẹn liệu (data integrity) Phát thay đổi liệu truyền lưu giữ Xác nhận người tạo thay đổi liệu • Tính kế tốn (accountability) Xác định trách nhiệm với kiện thơng tin • Tính sẵn sàng (availability) Các dịch vụ phải sẵn sàng đáp ứng nhu cầu sử dụng người dùng • Truy cập có điều khiển (controlled access) Chỉ thực thể có đủ thẩm quyền truy cập dịch vụ thông tin 1.2 Tổng quan AAA AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) nhóm trình sử dụng để bảo vệ liệu, thiết bị, tính bí mật thuộc tính thơng tin AAA cung cấp: - Tính bí mật (Confidentiality): Một mục tiêu quan trọng bảo mật thông tin bảo đảm riêng tư liệu Điều có nghĩa liệu hay thơng tin người người biết người khác không quyền can thiệp vào Trong thực tế, khu vực riêng quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận miễn vào” hình thức bảo vệ tính riêng tư Đối với liệu truyền để bảo vệ tính riêng tư (Confidentiality) liệu thường mã hóa hay sử dụng giao thức truyền thơng an tịan SSH, SSL… Hình 1.1: Mục tiêu bảo mật hệ thống - Tính tồn vẹn (Integrity): Mục tiêu thứ hai bảo mật thông tin bảo vệ tính tồn vẹn cho liệu Nhằm bảo đảm liệu truyền không bị thay đổi tác nhân khác, ví dụ: email quan trọng gởi thường áp dụng thuật tốn bảo vệ tính tịan vẹn chữ ký số nhằm ngăn ngừa bị tác nhân thứ thay đổi cách chặn bắt thơng điệp - Tính sẵn dùng (Availability) : Các nội dung hay liệu phải ln sẵn sàng để người dùng truy cập sử dụng phép Ví dụ trang Web phải đảm bảo hoạt đông 24h/1ngày 7ngày /1tuần người dùng truy cập lúc Để đạt mục tiêu bảo mật AAA liệu tài nguyên cần phải thực ba công việc sau đây: 1.2.1 Điều khiển truy nhập – Access Control Quá trình điều khiển truy cập quan trọng Điều khiển truy cập định nghĩa cách thức người dùng hệ thống liên lạc theo cách Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm liệu, bảo vệ thông tin khỏi truy cập trái phép Điều khiển truy cập bao gồm loại sau:  Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) mơ hình tĩnh sử dụng để thiết lập, xác định trước quyền truy cập cho tệp hệ thống Người quản trị hệ thống thiết lập quyền truy cập với tham số kết hợp chúng với tài khoản, tệp hay tài nguyên hệ thống MAC sử dụng nhãn để xác định mức độ quan trọng áp dụng cho đối tượng Khi người dùng cố gắng truy cập vào đối tượng, nhãn kiểm tra để xác định truy cập phép xảy hay bị từ chối Khi sử dụng phương thức điều khiển truy cập này, tất đối tượng phải có nhãn để xác định quyền truy cập  Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động dựa định danh người dùng, mơ hình người dùng gán quyền truy cập với đối tượng file, folder thông qua danh sách truy cập (ACL), dựa phân quyền chủ thể (owner) hay người tạo đối tượng (creator)  Điều khiển truy cập dựa vai trò: Role – Based Access Control (RBAC) : RBAC họat động dựa công việc người dùng Người dùng cấp quyền tùy theo vai trị cơng việc mơ hình thích hợp cho mơi trường làm việc mà nhân có nhiều thay đổi 1.2.2 Xác thực Xác thực ngưỡng cửa hệ thống bảo mật, có nhiệm vụ xác định truy cập vào hệ thống, có người sử dụng hợp lệ hay không Yếu tố xác thực phần thông tin dùng để xác thực xác minh nhân dạng (identity) người Hệ thống xác thực hay phương thức xác thực dựa năm yếu tố sau:  Những bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number)  Những bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay thiết bị dùng để định danh  Những bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA  Những bạn làm Ví dụ: hành động hay chuỗi hành động cần phải thực để hồn thành xác thực  Một nơi bạn Ví dụ dựa vào vị trí bạn (hiện nhiều hệ thống sử dụng tính tốn di động, nên yếu tố xác thực sử dụng) Trên thực tế, dùng yếu tố để xác thực, độ an toàn không cao kết hợp nhiều yếu tố với Cũng giống nhà, cửa nên khóa nhiều ổ khóa Nếu lỡ may đánh rơi chìa khóa, hay kẻ trộm bẻ gãy ổ khóa, cịn ổ khóa khác, đủ làm nản lịng chí làm thời gian kẻ trộm phá cửa 1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol) Phương pháp xác thực PAP dựa hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) cách thông dụng để kiểm tra người dùng có quyền đăng nhập có quyền sử dụng tài nguyên hệ thống hay không Các ứng dụng thực tế chế có nhiều việc đăng nhập máy tính hình logon, đăng nhập hộp thư điện tử… Hình 1.2: Xác thực sử dụng PAP Theo chế người dùng cung cấp định danh, thông tin tài khỏan họ chuyển đến sở liệu để tìm so sánh vơi ghi (record) hệ thống, có trùng lặp xảy người dùng hợp lệ đăng nhập hệ thống Trong trường hợp ngược lạ bị hệ thống từ chối cho phép truy cập Những thuận lợi phương pháp chế họat động đơn giản, dễ ứng dụng Nhưng an tồn thông tin Username & Password gởi dạng văn thông thường (clear text) theo giao thức khơng mã hóa Telnet, FTP, HTTP, POP dễ dàng bị bắt lấy (bằng việc sử dụng phần mềm sniffer Cain, Ethercap, IMSniff, Password ACE Sniff ) bị xem trộm 1.2.2.2 Kerberos Một điểm yếu việc xác thực thông tin đăng nhập khơng mã hóa (Cleartext) thơng tin nhạy cảm (username/password) dễ dàng bị đánh cắp phương pháp nghe (Sniffer), công phát lại (Replay attack) hay người đàn ông (Man in the middle), hệ thống xác thực mạnh mẽ an toàn nghiên cứu học viện MIT(Massachusetts Institute of Technology) dự án Athena ứng dụng thành công Kerberos hệ thống Windows 2000/2003/2008/2012, Linux, Unix Mặc dù hệ thống họat động độc lập không phụ thuộc vào hệ thống cần có tinh chỉnh riêng để tương thích hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows Linux cần có dịch vụ hổ trợ chẳng hạn SAMBA Với đặc tính này, người dùng cần chứng thực lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) sau sử dụng tất dịch vụ khác tin cậy (trust) theo quyền hạn thích hợp mà khơng cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà sử dụng Ví dụ mơ hình Windows Server 2008 Active Directory, sau tham gia đăng nhập domain domain user sử dụng dịch vụ chia sẻ mạng File hay Print Server mà không cần phải cung cấp tên đăng nhập mật (username password) kết nối đến máy chủ họat động môi trường WorkGroup Đây ưu điểm lớn việc ứng dụng Kerberos nói chúng hay mơ hình mạng sử dụng Active Directory nói riêng Các thành phần hệ thống kerberos: Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên máy chủ lưu trữ Hình 1.3: Các thành phần hệ thống chứng thực Kerberos Để hiểu rõ chế làm việc kerberos, xét phiên chứng thực người dùng đăng nhập vào hệ thống để sử dụng dịch vụ hệ thống Bao gồm bước sau đây: Subject (client –máy khách hay gọi người dùng) cung cấp thơng tin đăng nhập Ví dụ: username password Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau truyền thơng tin mã hóa đến KDC KDC xác nhận thơng tin đăng nhập tạo Ticket Granting Ticket (TGT— giá trị hash password người dùng (subject) cung cấp với giá trị timestamp định thời gian sống (lifetime) phiên truy cập Giá trị TGT mã hóa gửi cho client) Client nhận TGT Tại thời điểm này, người dùng (subject) xem chứng thực mơ hình Kerberos Khi người dùng có nhu cầu truy cập đến tài nguyên mạng, yêu cầu Service Ticket (ST) gởi đến KDC KDC xác nhận giá trị TGT client xem có cịn hợp lệ không, hợp lệ KDC cấp ST cho client, giá trị ST kèm theo timestame quy định thời gian sử dụng Client nhận ST từ KDC Client gởi ST đến network server cung cấp dịch vụ cần truy cập, ví dụ printer server Network server (ex Print server) xác nhận ST Nếu hợp lệ, kênh truyền thông khởi tạo với client Tại thời điểm Kerberos khơng can thiệp vào q trình họat động client server Hình 1.4: Quá trình chứng thực kerberos 10 Với chế quản lý chứng thực tập trung có khả mở rộng, Kerberos mang lại hiệu cao cho mơ hình mạng lớn Trên hệ thống Windows OS, bạn áp dụng Kerberos cho tổ chức cách triển khai hệ thống Active Directory 1.2.2.3 Challenge Handshake Authentication Protocol (CHAP) CHAP giao thức chứng thực dùng chủ yếu kết nối dial -up (thường PPP) với mục đích cung cấp chế truyền thơng an tịan cho q trình đăng nhập người dùng CHAP sử dụng one-way hash để bảo vệ passwords tiến hành xác thực lại (reauthenticates)với client cách định kỳ Hình 1.5: Mơ hình xác thực CHAP Để hổ trợ q trình đăng nhập giúp cho client/server xác thực lẫn CHAP khởi tạo tiến trình xác thực riêng theo trình tư mô tả đây: Sau người dùng nhập thông tin đăng nhập gởi đến server (client / server sử dụng CHAP), CHAP tiến hành chức one-way hash (MD5, SHA1) dựa password cung cấp người dùng (subject) Sau chuyển username giá trị hash đến máy chủ xác thưc(authentication server) Authentication server so sánh username với sở liệu chứa tài khoản với giá trị hash để xác nhận người dùng có hợp lệ hay khơng Nếu q trình so sánh có trùng khớp thông tin gởi từ client với sở liệu server server truyền chuổi thử thách(challenge) đến client Client đáp ứng dựa chalenge string phản hồi đền server Server phản hồi lại client Server so sánh đáp ứng mà nhận từ client 11 Nếu tất trùng khớp người dùng chứng thực cho phép truyền thơng với server Hình 1.6: Minh họa trình xác thực CHAP Một client chứng thực, CHAP gởi chuổi ký tự thử thách với thời gian ngẫu nhiên client có nhiệm vụ phản hồi lại chuỗi với đáp ứng thích hợp khơng kết nối tự động ngắt Việc kiểm tra kết nối thông qua challenge string giúp cho q trình truyền thơng không bị ảnh hưởng dạng công cướp phiên(Session Hijacking) 1.2.2.4 Thẻ – Token Token hay thẻ thành phần vật lý thẻ thông minh(smartcard) lưu giữ thông tin xác thực người dùng Trong thẻ chứa thông tin mã PIN người dùng, thông tin mật mã đăng nhập Chứng thực thẻ cung cấp phần cứng phần mềm Quá trình chứng thực sử dụng thẻ bao gồm số bước:  Khởi đầu, thời điểm bạn phải có giá trị thẻ ngẫu nhiên(có thể sinh phần cứng, phần mềm thông qua thuật tốn đó)  Người dùng đăng nhập vào hệ thống phải điền giá trị thẻ thời điểm  Hệ thống kiểm tra giá trị có trùng với giá trị thời điểm mà hệ thống sinh hay khơng(sử dụng thuật tốn với token người dùng)  Nếu trùng khớp, trình chứng thực hồn tất người dùng sử dụng dịch vụ hệ thống Nếu không người dùng không đăng nhập vào hệ thống 12 Hình 1.7: Xác thực sử dụng thẻ 1.2.2.5 Sinh trắc học – Biometric Phương pháp xác thực dựa sinh trắc học phương pháp xác thực an toàn tôn Phương pháp xác thực người dùng dựa dấu vân tay, mắt, giọng hay khuôn mặt người dùng Người ta chia phương thức xác thực sinh trắc học làm loại sau:     Xác thực khuôn mặt Xác thực quét mắt Dấu vân tay Nhận dạng giọng nói 13 Hình 1.8: Xác thực sinh trắc học Hình 1.9: Xác thực dấu vân tay Hình 1.10: Xác thực bàn tay 14 Hình 1.11: Xác thực mống mắt Hình1.12: Nhận dạng khn mặt Hình 1.13: Nhận dạng giọng nói 15 1.2.2.6 Chứng - Certificate Các chứng - Certificates tạo cung cấp bên đáng tin cậy thứ gọi quan chứng thực (CA – Certificate Authority) Quá trình xử lý (cấp chứng số cho người dùng) phần hệ thống sử dụng cấu trúc khóa cơng khai (PIK – Public Infrastructure Key) Sau mô hình đơn CA Hình 1.14: Mơ hình CA đơn 1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication Là phương thức xác thực dựa hay nhiều yếu tố đối tượng Một ví dụ điển hình chế xác thực bạn muốn rút tiền từ trạm ATM cần có thành phần để máy ATM xác thực thẻ ATM mã PIN đăng nhập bạn (sử dụng nhân tố bạn có – Thẻ ATM bạn biết – PIN) Hình 1.15: Chứng thực đa nhân tố 16 Khi sử dụng phương thức hệ thống trải qua nhiều bước xử lý để chứng thực người dùng Sử dụng phương thức an tồn sử dụng chứng thực nhân tố Tuy nhiên thời gian xử lý hệ thống thường lâu đơi gây khó chịu với người dùng 1.2.2.8 Đa chứng thực – Mutual Authentication Mutual Authentication kỹ thuật xác thực mà hai phía xác nhận lẫn , dịch vụ hay tài nguyên xác nhận thông tin client hay người dùng, máy trạm Sau client xác nhận đặc tính máy chủ hay nơi cung cấp dịch vụ Hình 1.16: Đa chứng thực Mục đích việc làm ngăn ngừa client cung cấp thơng tin nhạy cảm cho dịch vụ thiếu tin cậy 1.2.3 Kiểm tra quản lý – Auditing Auditing cung cấp phương thức để theo dõi, ghi lại hoạt động mạng hệ thống, xác định xem tài khoản người dùng tài nguyên hoạt động  Kiểm tra hệ thống: Việc kiểm tra phải xảy mà bạn hiểu hồn tồn tiến trình chạy hệ thống Khi bạn tạo thủ tục để kiểm tra, bạn phải ghi lại, giám sát kiện theo dõi việc sử dụng truy nhập ủy quyền không ủy quyền Bạn phải xác định rõ cần kiểm tra dịch vụ nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào tài nguyên…để có phương thức, thủ tục thực cho hợp lý  Ghi lại (logging): Được cung cấp hầu hết mạng hệ thống bao gồm việc ghi lại phần hay tất hoạt động kiện tài nguyên Việc ghi lại thường sủ dụng để phân tích vấn đề hệ thống, có ích việc tìm kiếm phát sinh bảo mật 17  Quét hệ thống (System Scanning): Là phương thức sử dụng phần mềm câu lệnh (các script) dùng để xác định trạng (cổng mở dịch vụ kết nối ngoài) phát lỗ hổng bảo mật, vá lỗi thiếu hệ thống 1.3 Các thiết bị hạ tầng mạng Các công ty, doanh nghiệp hay tập đoàn đa quốc gia xây dựng hệ thống mạng ngày phức tạp với quy mô ngày lớn Các hệ thống mạng hoạt động sử dụng hai cơng nghệ có dây khơng dây Mặc dù sử dụng cơng nghệ mạng có dây cáp quang hay cơng nghệ mạng khơng dây phương thức truyền liệu từ nơi đến nơi khác ẩn chứa nhiều lỗ hổng nguy dễ bị khai thác Nội dung phần mô tả ngắn gọn nhiệm vụ chức thiết bị thường gặp mạng.( Nhiều thiết bị mạng sử dụng firmware cấu hình Vì mục đích bảo mật phải chứng thực với thiết bị cấu hình Thơng thường nên thay đổi thông tin xác thực mặc định thiết bị cho lần sau đăng nhập) 1.3.1 Tường lửa - Firewall Tường lửa thiết bị bảo vệ hệ thống mạng Có nhiều loại tường lửa khác nhau, chúng hệ thống độc lập hay tích hợp vào số thiết bị khác máy chủ Router Chúng ta tìm thấy giải pháp tường lửa thị trường tường lửa cứng hay tường lửa mềm Nhiều loại tường lửa phần mềm đính kèm sẵn có máy chủ hay máy trạm Mục đích tường lửa ngăn chặn mạng với mạng khác Chức tường lửa bao gồm chức sau Lọc gói tin: Cho phép hay từ chối gói tin qua dựa vào địa (các loại ứng dụng) gói tin mà khơng phân tích nội dung cụ thể gói tin Ví dụ khơng cho phép giao thức Telnet qua tường lửa chặn cổng 23 Tường lửa Proxy: Thường đứng xử lý yêu cầu từ mạng cần bảo vệ với mạng khác Tường lửa Proxy kiểm tra liệu đưa định dựa vào luật thiết lập Một tường lửa Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác để tăng cường bảo mật cho hệ thống Tường lửa kiểm tra trạng thái gói tin (SPI- Statefull Packet Inspection): Với công nghệ SPI, hệ thống tường lửa không dựa vào thông số Header địa IP, TCP port, UDP Port mà cịn dựa thông số 18 Sequence flag code (mã cờ) Việc kết hợp kiểm tra mào đầu xét xem gói tin có thuộc kết nối hay thuộc kết nối thiết lập từ trước giúp lọc cách hiệu 1.3.2 Bộ định tuyến – Router Tính định tuyến sử dụng để kết nối hai hay nhiều mạng với Bộ định tuyến thiết bị thơng minh, chúng lưu thơng tin mạng mà chúng kết nối trực tiếp tới Hầu hết, định tuyến cấu hình để hoạt động tường lửa lọc gói tin (dựa vào ACL mà người quản trị cấu hình) Bộ định tuyến thiết bị hệ thống bảo vệ mạng chúng phải cấu hình phép lưu lượng mà người quản trị ủy quyền 1.3.3 Bộ chuyển mạch – Switch Switch thiết bị đa cổng làm tăng hiệu hoạt động hệ thống mạng Switch thường chứa thông tin hệ thống mạng bảng địa MAC Thông thường mạng LAN, việc sử dụng Switch mang lại hiệu cao bảo mật(so với Hub) hiệu chuyển mạch tốt hơn(so với Router) 1.3.4 Bộ cân tải Thiết bị Cân tải dùng để chuyển “tải” từ thiết bị tới thiết bị khác Thông thường thiết bị cân tải máy chủ, thuật ngữ sử dụng cho ổ đĩa cứng, CPU, thiết bị muốn dùng để tránh tải Cân tải nhiều máy chủ làm giảm thời gian xử lý, tối đa hóa băng thơng qua, cho phép phân bổ tài nguyên hệ thống tốt Thiết bị cân tải giải pháp phần mềm phần cứng thường tích hợp vào số thiết bị router, tường lửa, thiết bị NAT Một ví dụ phổ biến thiết bị Cân tải tách lưu lượng dành cho trang web sau luân chuyển đến máy chủ chúng trở nên có sẵn 1.3.5 Proxies Proxy máy chủ làm nhiệm vụ chuyển tiếp thơng tin kiểm sốt tạo an tồn cho việc truy cập người dùng Trong hệ thống mạng, việc sử dụng Proxy giúp người dùng truy cập web nhanh an tồn (do proxy có sử dụng nhớ đệm) Có thể lợi dụng Proxy để truy cập số trang web mà nhà cung cấp dịch vụ không cho vào 19 ... nói 13 Hình 1. 8: Xác thực sinh trắc học Hình 1. 9: Xác thực dấu vân tay Hình 1. 10: Xác thực bàn tay 14 Hình 1. 11: Xác thực mống mắt Hình1 .12 : Nhận dạng khn mặt Hình 1. 13: Nhận dạng giọng nói 15 1. 2.2.6... MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 1. 1 Tổng quan bảo mật mạng 1. 1 .1 Nguy bảo mật mạng thông tin 1. 1.2 Mục tiêu bảo mật 1. 2 Tổng quan AAA 1. 2 .1 Điều... 98 5 .1. 2 Các lĩnh vực cần phải giám sát hệ thống mạng 99 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 10 1 5.2 .1 Giao thức quản lý mạng đơn giản