1 Chương 13: Internet trong doanh nghiệp, Quản lý Internet D ự án HEDSPI Khoa CNTT- ð HBK Hà N ộ i Gi ả ng viên: Ngô H ồ ng S ơ n B ộ môn Truy ề n thông và M ạ ng máy tính 2 Nội dung  Internet trong doanh nghiệp  NAT, Firewall, VPN…  Quản lý Internet  Các tổ chức chuẩn hóa  Tiêu chuẩn 3 Enterprise Internet 4 Enterprise Internet  Các tổ chức doanh nghiệp sử dụng Internet như thế nào?  Các thành phần của mạng doanh nghiệp  NAT (Network Address Translation)  Firewall  VPN (Virtual private network)  Spam Mail Filter, Web Contents Filter  VRRP  …. 5 Nhìn lại lịch sử Internet  Internet ngày xưa:  Dùng cho các tổ chức nghiên cứu và giáo dục  An toàn, an ninh chưa phải là vấn ñề lớn  Người sử dụng “toàn là người tốt”  Internet ngày nay:  Dùng cho rất nhiều mục ñích, e.g kinh doanh, thương mại,  Người sử dụng: ña dạng  Vấn ñề an toàn an ninh phải ñược quan tâm CC PC PC Branch 2 Một mạng doanh nghiệp ISP Firewall Application SV3 MailWEB Department Server 1 PC Router Application SV2 Application SV1 PC PC PC PC PC PC PC Department Server 1 RouterRouter VPN PC PC PC PC DMZ (De Militarized Zone) Headquarter US Office European Office Domestic Branch 1 CC PC PC CC CC Communication Controller Leased Line Internet Department 1 Department 2 Mobile PC With VPN Client ISP VPN VPN ISP ISP NAT–Network Address Translation  IPv4: Một tổ chức chỉ có vài ñ/c IP thực  ðịa chỉ IP riêng ñược sử dụng bên trong  NAT: Chuyển Private Address (Port Number) sang Global Address và ngược lại  NAT (phần mềm chạy trên router/server): có một bảng chuyển ñổi ñịa chỉ 192.168.255.255 172.31.255.255 10.255.255.255 Highest Address 65,536192.168.0.0192.168.0.0/16 1,048,576172.16.0.0172.16.0.0/12 16,777,21610.0.0.010.0.0.0/8 Number of HostsLowest AddressPrefix Reserved addresses for private network 8 Bức tường lửa - Firewall  Firewall (Phần cứng/mềm) Chặn các gói tin không mong muốn/Cho phép các gói tin cần thiết ñi vào/ra mạng một tổ chức.  Về cơ bản, có 2 loại:  Packet Filtering  Application Gateway Internet Internal Network Firewall 9 Bộ lọc gói tin  Tất cả các gói tin vào/ra ñều phải ñi qua firewall  Bộ lọc kiểm soát gói tin dựa vào : - IP source, destination address - IP Protocol Type :TCP,UDP,ICMP,OSPF - TCP/UDP source, destination port….  Việc lọc dựa trên các chính sách của tổ chức ñó  Chính sách ñược thể hiện qua việc ñặt các “rule” cho firewall Deny*****4 TCP TCP * Protocol * * * Source Port 25 25 * Dest Port 10.1.* 10.2.3.* * Destination Allow* 3 Allow*2 Deny10.1.2.31 ActionSource# An example of filtering rule *: Means any 10  Gateway ứng dụng, kết hợp với bộ lọc gói, cung cấp phương pháp truyền thông an toàn cho các ứng dụng vào/ra của tổ chức  Một số ứng dụng: Telnet, FTP,HTTP có thể ñược cấu hình ñể chỉ sử ñược qua gateway  Gateway kiểm soát tên truy cập/mật khẩu  Bộ lọc chỉ cho phép ứng dụng xuất phát từ gateway. Gateway ứng dụng PC PC PC PC Department Server 1 Router Department Internet Firewall Application Gateway User A Telnet to Gateway from inside Telnet to outside host from Gateway Filtering [...]... Center) 1998, ICANN (Internet Corporation for Assigned Names and Numbers) 13 Chu n hóa Internet 14 Các t ch c liên quan ñ n vi c chu n hóa Internet ISOC (Internet Society) Ch u trách nhi m v chu n hóa Internet IAB (Internet Architecture Board) IESG (Internet Engineering Steering Group) IANA (Internet Assigned Numbers Authority) C p phát tài nguyên: ñ a ch , s hi u m ng ICANN (Internet Corporation for... phép s d ng k t n i Internet như ñư ng truy n riêng Các công ngh cơ b n: Mã hóa Xác th c Ví d : IPSec (IP security protocol): H giao th c IP ESP protocol – (M t d ng c a IPSec) cho phép mã hóa các ño n tin TCP bên trong gói tin IP authenticated encrypted IP header ESP ESP TCP/UDP segment header Trailer ESP authent The ESP fields in the IP datagram 11 Internet Governance 12 Ai qu n lý Internet? 1969, RFC1... Xây d ng các tài li u k thu t (RFC) v Internet Free http://www.ietf.org/ 17 Tài li u liên quan RFC (Request For Comments) Internet- Drafts Mi n phí trên Internet 18 IETF Working Group Có kho ng 100 WGs trong 8 lĩnh v c http://www.ietf.org/html.charters/wg-dir.html Application General Internet Operations and Management Routing Security Transport Sub-IP Hư ng d n v WG： RFC1603 Thành viên: tham gia v i tư... Corporation for Assigned Names and Numbers) Qu n lý c p phát tên mi n và ñ a chISOC IP y ban c a ISOC, ch u trách nhi m duy t, thông qua chu n k thu t IETF (Internet Engineering Task Force) Phát tri n các chu n k thu t IAB IESG IRTF RFC-Editor ISTF IETF ICANN IANA area area area 15 WG WG WG WG WG WG IETF 16 IETF T ch c phi l i nhu n Xây d ng các tài li u k thu t (RFC) v Internet Free http://www.ietf.org/ 17 Tài... v WG： RFC1603 Thành viên: tham gia v i tư cách cá nhân 19 ISO vs IETF • • • Qu c gia vs Cá nhân “Vote” vs “Discuss” De jure vs De facto 20 Quy trình ñưa ra giao th c trong IETF ð xu t giao th c 1 • • Các bư c ph i thông qua 2 • • • • 3 Internet Draft L y ý ki n Standards Track Proposed Standard Draft Standard Standard ðư c ch p nh n r ng rãi như 1 giao th c 21 M t s t ch c khác IEEE: Institute of Electrical... Unit (http://www.itu.int/) ISO：International Organization for Standardization (http://www.iso.ch/) W3C：World Wide Web Consortium (http://www.w3.org/) WIPO, INTA DAVIC USENIX ACM Sigcomm etc 22 V n ñ qu n lý ñ a ch ICANN IANA 23 Acknowledgement This course materials contains charts and texts provided by Keio University, Japan 24 . 1 Chương 13: Internet trong doanh nghiệp, Quản lý Internet D ự án HEDSPI Khoa CNTT- ð HBK Hà N ộ i Gi ả ng viên: Ngô H ồ ng S ơ n B ộ môn Truy ề n thông và M ạ ng máy tính 2 Nội dung  Internet. Internet trong doanh nghiệp  NAT, Firewall, VPN…  Quản lý Internet  Các tổ chức chuẩn hóa  Tiêu chuẩn 3 Enterprise Internet 4 Enterprise Internet  Các tổ chức doanh nghiệp sử dụng Internet. TCP bên trong gói tin IP IP header TCP/UDP segment ESP header encrypted authenticated The ESP fields in the IP datagram ESP Trailer ESP authent 12 Internet Governance 13 Ai quản lý Internet? 