Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 91/555 IV. CÁC MÔ HÌNH FIREWALL. IV.1. Giới thiệu về Firewall. Firewall hay còn gọi là bức tường lửa được hiểu như là một hệ thống máy tính và thiết bị mạng giúp ta có thể bảo mật và giám sát các truy xuất từ bên trong ra ngoài và ngược lại từ bên ngoài vào trong từ đó ta có thể phòng chống các truy cập bất hợp pháp. IV.2. Dual homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN). Dual-homed host ch ỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất. Hình 6.4 – Kiến trúc Firewall Dual homed host. IV.3. Screened Host. Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nố i tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau: - Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố định. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 92/555 - Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch proxy thông qua bastion host). Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau: - Một số dịch vụ được phép đi vào trực tiếp qua packet filtering. - Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy. Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed host đôi khi cũng có lỗi mà cho phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này). Hơn nữa, kiến trúc dual-homed host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host. So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong m ạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened subnet trở thành kiến trúc phổ biến nhất. Hình 6.5 – Kiến trúc Firewall Screened host. IV.4. Screened Subnet. Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 93/555 Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép hầu hết nh ững gì outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạ ng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấ n công khi bastion host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và Email server bên trong. Hình 6.6 – Kiến trúc Firewall Screened Subnet. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 94/555 Bài 7 CÁC DỊCH VỤ MẠNG CƠ SỞ Tóm tắt Lý thuyết 6 tiết - Thực hành 20 tiết Mục tiêu Các mục chính Bài tập bắt buộc Bài tập làm thêm Kết thúc bài học này cung cấp học viên kỹ năng sử dụng các công cụ client của các dịch vụ mạng cơ sở như: web, ftp, mail… I. Dịch vụ Web. II. Dịch vụ FTP. III. Dịch vụ e-mail. IV. Ngôn ngữ HTML. Dựa vào bài tập môn mạng máy tính. Dựa vào bài tập môn mạng máy tính. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 95/555 Bài 7 CÁC DỊCH VỤ MẠNG CƠ SỞ V. DỊCH VỤ WORLD WIDE WEB. V.1. Một số khái niệm về Internet. Các thuật ngữ cơ sở. - HTTP (Hypertext Transfer Protocol): là giao thức cho phép các máy tính giao tiếp qua World Wide Web và kết nối với nhau qua các hyperlink. - Gopher: là hệ thống cho phép ta duyệt các tài nguyên trên mạng Internet, dịch vụ này ra đời trước Web và hoạt động giống như một danh bạ, liệt kê các tập tin sắp xếp theo tầng. - Dịch vụ trực tuyến (Online Service): là những dịch vụ truy cập Internet có thu cướ c phí do các công ty lớn cung cấp như: AOL (America Online), CompuServe hoặc MSN (Microsoft Network). - HTML (Hypertext Markup Language): là ngôn ngữ định dạng dùng để tạo ra các trang Web giúp người dùng có thể đọc và truy cập từ bất kỳ máy nào trên mạng, dùng bất kỳ hệ điều hành nào. - WebPage: là một trang tư liệu Web. - WebSite: là tập hợp các trang Web của một tổ chức, một công ty, một web site có thể có nhiều Web Server. - Home page: là trang Web đầu tin của một Web Site hoặc trang Web xuất hiện đầu tin khi khởi động Web Browser, đồng thời trang này chứa các liên kết tiêu biểu đến các trang Web còn lại. - HyperLink (link): là các mối liên kết giữa các tư liệu. Thông thường, trong một trang Web, các mối liên kết có màu xanh dương và được gạch dưới. Ngoài ra, bất kỳ một hình ảnh, văn bản nào khi di chuyển con trỏ chuột tới chuyển sang hình đều là các liên kết (link). - URL (Uniform Resource Locator): là đường dẫn chỉ tới một tập tin trong một máy chủ trên Internet. Chuỗi URL thường bao gồm: tên giao thức, tên máy chủ và đường dẫn đến tập tin trong máy chủ đó. Ví dụ: http://www.hcmuns.edu.vn/TongQuan/Tongquan.htm có nghĩa là: giao thức sử dụng http:// (Hypertext Transfer Protocol), tên máy chủ: www.hcmuns.edu.vn , đường dẫn và tên tập tin: /TongQuan/Tongquan.htm. - Lưu ý: đường dẫn sử dụng dấu "/" thay cho dấu "\". - IXP (Internet Exchange Provider): là nhà cung cấp đường truyền và cổng truy cập Internet. - ISP (Internet Service Provider): là nhà cung cấp dịch vụ Internet cho người dùng trực tiếp qua mạng điện thoại như là cấp quyền truy cập Internet, cung cấp các dịch vụ như Web, E-mail, Chat, Telnet… - ICP (Internet Content Provider ): là nhà cung cấp thông tin lên Internet, thông tin được cập nhật định kỳ hay thường xuyên và thuộc nhiều lĩnh vực như thể thao, kinh tế giáo dục, chính trị, quân sự … Các hoạt động chính trên Web. - Duyệt Web tìm kiếm thông tin như số điện thoại, địa chỉ nhà, tin tức, tin dự báo thời tiết, bảng giá chứng khoán, các phần mềm miễn phí… . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 96/555 Hình 7.1 – Minh họa một số trang Web để tìm kiếm thông tin. - Giải trí như nghe nhạc,xem phim, chơi game trên mạng. - Trao đổi E-mail. - Truy xuất và download các tập tin. - Tán ngẫu (chat). - Sắp xếp các chuyến đi du lịch như đặt vé máy bay, đăng ký phòng khách sạn . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 97/555 Hình 7.2 – Minh họa một trang Web dùng để tìm thông tin các chuyến bay. - Đào tạo từ xa qua mạng. Hình 7.3 – Minh họa một trang Web dùng để đào tạo từ xa. - Hội thảo từ xa. - Quảng cáo sản phẩm. - Đặt mua hàng. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 98/555 Hình 7.4 – Minh họa một số trang Web dùng để mua bán qua mạng. - Thực hiện các giao dịch ngân hàng. - Hỗ trợ chính phủ điện tử và thương mại điện tử. Hình 7.5 – Minh họa một trang Web của Tp HCM. V.2. Giới thiệu mô hình hoạt động của Web. Dịch vụ World Wide Web (viết tắt là www hoặc Web) là một dịch vụ cung cấp thông tin trên hệ thống mạng. Các thông tin này được lưu trữ dưới dạng siêu văn bản (hypertext) và thường được thiết kế bằng ngôn ngữ HTML (Hypertext Markup Language). Siêu văn bản là các tư liệu có thể là văn bản (text), hình ảnh tĩnh (image), hình ảnh động (video), âm thanh (audio) , được liên kết vớ i nhau qua các mối liên kết (link) và được truyền trên mạng dựa trên giao thức HTTP (Hypertext Transfer Protocol), qua đó người dùng có thể xem các tư liệu có liên quan một cách dễ dàng. Mô hình hoạt động: . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 99/555 Hình 7.6 – Mô hình hoạt động của Web Server. Web server: là một ứng dụng được cài đặt trên máy chủ trên mạng với chức năng là tiếp nhận các yêu cầu dạng HTTP từ máy trạm và tùy theo yêu cầu này máy chủ sẽ cung cấp cho máy trạm các thông tin web dạng HTML. Web Client: là một ứng dụng cài trên máy trạm (máy của người dùng đầu cuối) gọi là Web Browser để gởi yêu cầu đến Web Server và nhận các thông tin phản hồi rồ i hiện lên màn hình giúp người dùng có thể truy xuất được các thông tin trên máy Server. Một trong những trình duyệt Web (Web Browser) phổ biến nhất hiện nay là Internet Explorer. V.3. Khảo sát web browser Internet Explorer. Chương trình Internet Explorer rất quen thuộc với người dùng vì nó đã tích hợp sẵn trong các hệ điều hành của Microsoft như Win9x, Win2K, WinXP… Nhưng chú ý là các phiên bản IE trên các hệ điều hành Win9X, WinME là những phiên bản cũ và có nhiều lỗ hổng cần cài phiên bản mới và cài các chương trình sửa lỗi cho các phiên bản đó. (Để sửa lỗi ta nên vào trang Web Support của Microsoft, rồi download các ch ương trình sửa lỗi cho IE và cài lên máy) Truy cập vào các Web site. Trước khi duyệt các Website ta phải khởi động chương trình bằng cách click Start/Programs/Internet Explorer/Internet Explorer, đối với Win2K thì Start/Programs/Internet Explorer. Sau khi chương trình đã chạy, ta nhập địa chỉ Website mà ta cần truy cập vào ô Address. Ví dụ: trong hình dưới đây là địa chỉ: http://www.hcmuns.edu.vn/ngcuu/nghiencuu.htm . (1) Hình 7.7 – Nội dung của trang Web (1) . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 100/555 Ngoài ra để duyệt thông tin trên Website nhanh ta có thể sử dụng các nút trên thanh công cụ sau: - Nút quay về trang trước : các trang Web đã duyệt qua phần lớn chứa trong thư mục Temporary Internet Files (trong Win98 thì thư mục cache là C:\Windows\Temporary Internet Files, trong Win2K trở lên là C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files), do đó khi cần quay về trang Web trước ta dùng chức năng Back để IE đọc thông tin trong đĩa cứng không cần lấy từ Internet nữa, nhằm tăng tốc độ duyệt Web. - Nút tới trang sau : cũng tương tự như chức năng Back, tính năng Forward giúp ta truy cập nhanh trang Web phía sau đã duyệt rồi chứa trong đĩa cứng. - Nút ngừng tải dữ liệu : khi ta muốn ngừng truy xuất vào một Website hiện tại ta chọn tính năng Stop. - Nút về trang chủ (HomePage hay trang mặc định): giúp ta trở về trang default được quy định trong mục Option. - Nút cập nhật lại thông tin : khi duyệt các trang Web cũ mà IE không chịu lấy thông tin mới trên Internet mà cứ lấy thông tin trong đĩa cứng, ta cần chọn chức năng Refresh để cập nhật thông tin mới từ Internet. Kiểm tra phiên bản và nâng cấp IE Trước khi dùng IE duyệt Web ta cần kiểm tra phiên bản hiện tại để quyết định nâng cấp hoặc cài chương trình sửa lỗi tránh trường hợp duyệt Web không an toàn. Xem phiên bản của IE Click vào menu Help - About Internet Explorer, như hình sau là phiên bản 6.0. Hình 7.8 – Hộp thoại hiển thị phiên bản Internet Explorer 6.0. Lưu hình và nội dung văn bản từ trang Web. Như là bạn thấy trên trang Web, có rất nhiều nội dung hay mà bạn cần lưu trữ lại và chia sẻ cho nhiều người cùng biết. Bạn có thể lưu trữ toàn bộ trang web hoặc một phần trang Web như: một đoạn văn bản, hình hoặc những liên kết. Bạn cũng có thể in toàn bộ trang Web ra giấ y. . . dàng. Mô hình hoạt động: . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 99/555 Hình 7.6 – Mô hình hoạt động của Web Server. Web server: là một ứng dụng. dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 97/555 Hình 7.2 – Minh họa một trang Web dùng để tìm thông tin các chuyến bay. - Đào tạo từ xa qua mạng. Hình 7.3 – Minh họa một. Học phần 3 - Quản trị mạng Microsoft Windows Trang 91/555 IV. CÁC MÔ HÌNH FIREWALL. IV.1. Giới thiệu về Firewall. Firewall hay còn gọi là bức tường lửa được hiểu như là một hệ thống máy tính