NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂYChương 1: Tổng quan về an toàn bảo mật thông tin.Trong chương sẽ đưa ra một số khái niệm liên quan tới an toàn bảo mật cho hệ thống thông tin.Chương 2: Biện pháp nâng cao đảm bảo an toàn bảo mật cho hệ thống thông tin.Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây.
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG PHẠM HẢI HƯNG NGHIÊN CỨU GIẢI PHÁP NÂNG CAO ĐỘ AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN ỨNG DỤNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: …TS.NGUYỄN KHẮC LỊCH……………… Phản biện 1: T.S Hồ Văn Hương Phản biện 2: PGS. TS Trịnh Nhật Tiến Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: 11 giờ 15 phút, ngày 15 tháng 02 năm 2014 Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Ngày nay công nghệ thông tin có vai trò hết sức quan trọng trong sự tồn tại và phát triển đối với bất kỳ một cá nhân, tổ chức, công ty hay rộng hơn là đối với toàn thể nhân loại. Song bên cạnh những tác dụng tích cực mà công nghệ đem lại thì đã xuất hiện khía cạnh tiêu cực rất lớn dựa trên nền tảng ứng dụng công nghệ thông tin đó là việc khai thác, sử dụng, lấy cắp những thông tin nhạy cảm, các tài liệu mật…Do đó đối với bất kỳ một cá nhân, tổ chức khi đưa công nghệ thông tin vào ứng dụng thì cũng sẽ phải đối mặt với những vấn đề tiêu cực có thể xảy ra. Chính vì những nhu cầu trên thực tiễn như trên của ngành Công nghệ thông tin nói chung và của cơ quan nơi em công tác nói riêng nên em đã quyết định chọn đề tài “Nghiên cứu giải pháp nâng cao độ an toàn bảo mật cho hệ thống thông tin ứng dụng tại trường Cao đẳng Cộng đồng Hà Tây” làm luận văn tốt nghiệp với mong muốn tìm hiểu, nghiên cứu và áp dụng được các giải pháp để đảm bảo nâng cao được an toàn bảo mật cho hệ thống thông tin tại trường Cao đẳng Cộng đồng Hà Tây. Toàn bộ luận văn được chia làm 03 chương: Chương 1: Tổng quan về an toàn bảo mật thông tin. Trong chương sẽ đưa ra một số khái niệm liên quan tới an toàn bảo mật cho hệ thống thông tin. Chương 2: Biện pháp nâng cao đảm bảo an toàn bảo mật cho hệ thống thông tin. Trình bày về các nguy cơ gây mất an toàn hệ thống thông tin, đưa ra một số các giải pháp đảm bảo an toàn và nghiên cứu sâu vào giải pháp sử dụng firewall. Chương 3: Ứng dụng đảm bảo an ninh hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây. Nội dung của chương là giới thiệu hiện trạng mạng thực tế tại trường Cao đẳng Cộng đồng Hà Tây, đưa ra đánh giá về hệ thống hiện tại và đưa ra giải pháp để nâng cao độ bảo mật và an ninh mạng ứng dụng cho trường. Trong quá trình làm luận văn không thể tránh khỏi một số các thiếu sót rất mong nhận được sự đóng góp ý kiến của các thầy cô và các bạn học viên. 2 Chương 1 - TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN 1.1 Khái niệm về an toàn bảo mật An toàn bảo mật là đảm bảo an toàn cho cơ sở hạ tầng thông tin và các hoạt động truyền thông, đảm bảo sự toàn vẹn của hệ thống thiết bị, mạng lưới, các dịch vụ truyền thông, đảm bảo sự toàn vẹn, bí mật, khả dụng, nhất quán của thông tin dữ liệu trong hệ thống thiết bị và trên mạng lưới. 1.2 Tấn công/ đột nhập là gì Tấn công, đột nhập lên một hệ thống là một sự vi phạm chính sách an toàn bảo mật của hệ thống đó. 1.3 Đặc trưng của một hệ thống thông tin bảo mật Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo các đặc trưng bí mật, toàn vẹn và tính khả dụng. 1.3.1 Tính bí mật Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin. 1.3.2 Tính toàn vẹn Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. 1.3.3 Tính khả dụng Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ. Tức là người quản lý phải đảm bảo cho các thông tin luôn luôn sẵn sàng được sử dụng khi có các yêu cầu hợp lệ. 1.3.4 Tính xác thực Đặc trưng này nhằm chứng thực sự đáng tin cậy của thông tin. Tính xác thực gồm có xác thực thực thể và xác thực dữ liệu 3 1.4 Nguyên tắc xây dựng một hệ thống bảo mật 1.4.1 Chính sách và cơ chế Chính sách bảo mật (Security policy) là hệ thống các quy định nhằm bảo đảm sự an toàn của hệ thống. Cơ chế bảo mật (Security mechanism) là hệ thống các phương pháp, công cụ, thủ tục…dùng để thực thi các quy định của chính sách bảo mật. 1.4.2 Các mục tiêu của bảo mật hệ thống Các mục tiêu cơ bản được đặt ra cho một hệ thống bảo mật là: - Ngăn chặn : mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách. - Phát hiện : mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và đang xảy ra trên hệ thống. - Phục hồi : mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang diễn ra hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt hại thấp nhất. 1.5 Thực trạng an toàn bảo mật thông tin tại các tổ chức, cơ quan Hiện nay trong một số các tổ chức và cơ quan có quy mô lớn, đã có những bộ phận chuyên biệt, có những chính sách và cơ chế rõ ràng để đảm bảo an toàn bảo mật cho thông tin. Nhưng tại các tổ chức, cơ quan vừa và nhỏ việc coi trọng và đầu tư cho việc đảm bảo an toàn bảo mật cho hệ thống thông tin còn chưa được quan tâm tới. Việc bảo đảm an toàn được thực hiện một cách thủ công, rời rạc tùy theo ý thức của từng cá nhân. Đa số người sử dụng chỉ quan tâm tới việc sử dụng dịch vụ, các ứng dụng trên mạng nhanh, thuận tiện, dễ sử dụng chứ chưa quan tâm tới tính an toàn của thông tin. Như vậy có thể khẳng định hiện nay tình hình an toàn bảo mật thông tin tại các cơ quan, tổ chức trong nước đang gặp rất nhiều thách thức, nhiều các mối nguy hiểm tiềm tàng. Để đảm bảo an toàn bảo mật thông tin cho các tổ chức, cơ quan được cải thiện đòi hỏi cần phải thay đổi được nhận thức về tầm quan trọng của an ninh bảo mật thông tin đặc biệt là nhận thức của ban lãnh đạo, từ đó xây dựng các kế hoạc nâng cao trình độ nguồn nhân lực và trang thiết bị cần thiết phục vụ công tác an toàn bảo mật thông tin trong tổ chức, cơ quan. 4 Chương 2 - BIỆN PHÁP NÂNG CAO ĐẢM BẢO AN TOÀN BẢO MẬT CHO HỆ THỐNG THÔNG TIN 2.1 Các nguy cơ gây mất an toàn bảo mật hệ thống Có thể chia các nguy cơ thành các nhóm sau: - Truy xuất thông tin trái phép - Phát thông tin sai - Ngăn chặn hoạt động của hệ thống - Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống 2.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống 2.2.1 Giải pháp kiểm soát truy nhập Kiểm soát truy nhập là quá trình trong đó người dùng được nhận dạng và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên. 2.2.1.1 Kiểm soát truy nhập tùy chọn Kiểm soát truy nhập tùy chọn (Discretionary Access Control - DAC) được định nghĩa là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể hoặc nhóm các chủ thể. 2.2.1.2 Kiểm soát truy nhập bắt buộc Kiểm soát truy nhập bắt buộc (Mandatory Access Control – MAC) là một chính sách truy nhập không do các nhân sở hữu tài nguyên quyết định mà do hệ thống quyết định. MAC được dùng trong hệ thống có những loại dữ liệu nhạy cảm như các thông tin bảo mật trong cơ quan chính phủ, quân đội. 2.2.1.3 Kiểm soát truy nhập dựa trên vai trò Kiểm soát truy nhập dựa trên vai trò (Role based access control - RBAC) là một phương pháp điều khiển và đảm bảo quyền sử dụng cho người sử dụng có thể thay thế kiểm soát truy nhập tùy ý (DAC) và kiểm soát truy nhập bắt buộc (MAC). 2.2.1.4 Kiểm soát truy nhập dựa trên luật Kiểm soát truy nhập dựa trên luật (Rule based access control) là hình thức kiểm soát truy nhập của người dùng vào hệ thống, tài nguyên dựa trên các luật (rules) đã được định 5 nghĩa trước. Các luật có thể được thiết lập để hệ thống cho phép truy nhập đến các tài nguyên của mình cho người dùng thuộc một tên miền, một dải địa chỉ IP… 2.2.2 Giải pháp phát hiện và phòng chống đột nhập Giải pháp để phát hiện và phòng chống đột nhập thường được sử dụng trong thực tế là sử dụng hệ thống IDS (Intrusion Detection System) và IPS (Intrusion Prevention System): 2.2.2.1 Hệ thống Intrusion Detection System - IDS Phát hiện đột nhập (Intrusion Detection System – IDS) là hệ thống phát hiện các dấu hiệu của tấn công đột nhập. Nhiệm vụ của IDS là theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu khả nghi và cảnh báo cho hệ thống, người quản trị biết được. Chức năng hệ thống IDS: chức năng quan trọng nhất của một hệ thống IDS là giám sát, cảnh báo và bảo vệ. Kiến trúc của hệ thống IDS: một hệ thống IDS bao gồm các thành phần chính là thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection), thành phần phản hồi (respontion). Phân loại hệ thống IDS: Mỗi hệ thống IDS có một phạm vi giám sát, một kỹ thuật thực hiện khác nhau. Do vậy việc phân loại hệ thống IDS/IPS cũng được dựa trên 2 cơ sở là phạm vi giám sát và kỹ thuật thực hiện. 2.2.2.2 Hệ thống Intrusion Prevention System - IPS Phòng chống đột nhập (Intrusion Prevention System – IPS) là hệ thống có chức năng phát hiện đột nhập, các cuộc tấn công vào hệ thống và tự động ngăn chặn các cuộc tấn công đó. Hệ thống IPS thường được đặt ở vành đai mạng để bảo vệ tất cả các thiết bị trong mạng. Kiến trúc hệ thống IPS: hệ thống IPS gồm 3 modul chính là phân tích gói tin, phát hiện tấn công và phản ứng. 2.2.3 Giải pháp mã hóa thông tin Mã hóa thông tin là kỹ thuật biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới có thể hiểu được. 6 2.2.3.1 Kỹ thuật mã hóa dùng khóa đối xứng Kỹ thuật mã hóa dùng khóa đối xứng hay còn gọi là mã hóa khóa bí mật là kỹ thuật sử dụng chung một khóa duy nhất cho cả hai khâu mã hóa và giải mã. Do vậy khóa cần được giữ bí mật trong suốt thời gian sử dụng giữa cả bên gửi và bên nhận. 2.2.3.2 Kỹ thuật mã hóa dùng khóa bất đối xứng Kỹ thuật mã hóa dùng khóa bất đối xứng hay còn gọi là mã hóa khóa công khai là kỹ thuật sử dụng một cặp khóa, trong đó khóa công khai dùng để mã hóa và khóa bí mật (khóa riêng) dùng để giải mã. Với kỹ thuật này chỉ có khóa bí mật cần được giữ bí mật, khóa công khai không cần giữ bí mật. 2.2.4 Giải pháp phòng chống các phần mềm độc hại Phần mềm độc hại là một thuật ngữ bao hàm tất cả các loại phần mềm được thiết kế để tấn công làm hại tới hệ thống, máy tính, mạng hoặc các tài nguyên. 2.2.4.1 So sánh với mẫu biết trước Kỹ thuật này sẽ phân tích các file có nghi ngờ là bị nhiễm độc, sau đó so sánh kết quả với các mẫu của phần mềm độc hại đã biết trước, nếu phát hiện một đoạn mã độc hại thì file đó có thể bị lây nhiễm các phần mềm độc hại và sau đó phần mềm bảo vệ sẽ cố gắng loại bỏ đoạn mã độc hại khỏi file. 2.2.4.2 Nhận dạng hành vi đáng ngờ Nhận dạng hành vi đáng ngờ là một chức năng thông minh không phải phần mềm bảo vệ nào cũng có. Với kỹ thuật này phần mềm bảo vệ sẽ theo dõi sự hoạt động bất thường của hệ thống để có thể phát hiện ra các các phần mềm độc hại chưa được biết đến (chưa có trong cơ sở dữ liệu của phần mềm) từ đó đưa ra cảnh báo tới người dùng và đồng thời tiến hành cô lập các phần mềm đáng ngờ để bảo đảm an toàn hệ thống. 2.2.4.3 Nhận dạng nhờ kiểm soát liên tục Với kỹ thuật này phần mềm bảo vệ thường thực hiện kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống. 2.2.4.4 Kết hợp mọi phương thức Kỹ thuật này sẽ kết hợp nhiều phương thức như kiểm soát truy nhập để ngăn chặn các phần mềm độc hại xâm nhập và hạn chế việc truy xuất sửa đổi cơ sở dữ liệu, kỹ thuật so sánh với mẫu biết trước, kỹ thuật nhận dạng hành vi đáng ngờ… 7 2.3 Giải pháp firewall ứng dụng nâng cao an toàn bảo mật hệ thống 2.3.1 Giới thiệu về firewall 2.3.1.1 Khái niệm 2.3.1.2 Các chức năng chính của firewall - Quản lý và kiểm soát luồng dữ liệu trên mạng - Xác thực quyền truy cập - Hoạt động như một thiết bị trung gian - Bảo vệ tài nguyên - Ghi nhận và báo cáo các sự kiện 2.3.1.3 Các thành phần cơ bản của firewall Một firewall bao gồm một hoặc nhiều thành phần sau đây: - Bộ lọc gói tin (Packet Filtering): Bộ lọc gói tin cho phép hay từ chối gói tin mà nó nhận được. - Cổng ứng dụng (Application Gateway): cổng ứng dụng được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service. - Cổng vòng (Circuit level gateway): cổng vòng thực hiện chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào, nó thường được sử dụng cho những kết nối ra ngoài, điều này giúp che giấu thông tin về mạng nội bộ. 2.3.1.4 Phân loại firewall Firewall có thể được phân loại như sau: - Software firewall (firewall mềm): là những firewall được cài đặt trên một hệ điều hành thường có thể đảm nhiệm nhiều vai trò như một DNS server hay DHCP server. - Applicance firewall (firewall cứng): là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Ngoài cách phân loại như trên firewall còn có thể phân loại dựa vào các công nghệ sử dụng trong firewall như sau: 8 - Personal firewalls: được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các hệ điều hành. - Packet filters: là thiết bị được thiết kế để lọc gói tin dựa trên những đặc diểm đơn giản của gói tin. - Network Address Translations (NAT) firewalls - Circuit-level firewall - Proxy firewall - Stateful firewall - Transparent firewall: hoạt động ở lớp 2 của mô hình OSI nó hỗ trợ khả năng lọc các gói tin IP. 2.3.1.5 Mô hình kiến trúc của firewall Kiến trúc Dual homed host Mô hình kiến trúc firewall kiểu Dual homed host được xây dựng dựa trên máy tính dual homed host. Máy tính dual home host là một máy tính có it nhất hai card mạng giao tiếp với hai mạng khác nhau, lúc này máy tính này đóng vai trò là router mềm. Kiến trúc Screened host Screened host là cấu trúc cung cấp các dịch vụ từ một host bên trong mạng nội bộ (bastion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật là packet filtering và proxy service. Kiến trúc Screened subnet host Kiến trúc screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi nhằm cô lập cho mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host khác. [...]... giải pháp nâng cao độ an toàn bào mật cho hệ thống thông tin ứng dụng tại trường Cao đẳng Cộng đồng Hà Tây luận văn đã đạt được các nội dung sau: - Đã tìm hiểu, nghiên cứu về các đặc trưng của một hệ thống thông tin bảo mật, các nguyên tắc xây dựng một hệ thống bảo mật - Nghiên cứu về một số các nguy cơ gây mất an toàn cho hệ thống và các giải pháp để đảm bảo an toàn cho hệ thống - Đi sâu nghiên cứu. .. firewall được sử dụng làm Web proxy server 11 Chương 3 - ỨNG DỤNG ĐẢM BẢO AN NINH HỆ THỐNG MẠNG TẠI TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG HÀ TÂY 3.1 Giới thiệu về trường Cao đẳng Cộng đồng Hà Tây 3.2 Yêu cầu của hệ thống Đưa ra giải pháp đảm bảo được các yêu cầu: - Tính ổn định và sẵn sàng cao của hệ thống - Quản lý được các lưu lượng đi vào và ra khỏi hệ thống mạng - Tăng cường bảo mật cho toàn hệ thống mạng - Có... ứng dụng an toàn thông tin: hầu như chưa có ứng dụng hay thiết bị nào chuyên dụng, ngoại trừ sử dụng chia tách VLAN tại các khu nhà, hệ thống Wifi khỏi mạng nội bộ và sử dụng phầm mềm chống virus BKAV trên các máy tính 3.3.2 Đánh giá hệ thống hiện tại Dựa trên các đặc trưng của một hệ thống thông tin bảo mật em đưa ra đánh giá về hệ thống hiện tại của trường như sau: Xét về tính bí mật, tính toàn vẹn... của trường Cao đẳng Cộng đồng Hà Tây Em đề xuất giải pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây như sau: 3.4.1 Bảo vệ ở mức thiết bị Để bảo vệ các thiết bị này em sử dụng các ACL (Access Control List) dùng để lọc các gói dữ liệu bằng cách cấu hình quy tắc chính sách phù hợp và quá trình các gói tin để kiểm soát quyền truy cập của người sử dụng. .. trình độc hại được tải về từ Internet - Đảm bảo cho hệ thống server an toàn và hoạt động ổn định - Chi phí phù hợp và có tính tương thích với hệ thống hiện tại, đáp ứng được khả năng mở rộng trong tương lai 3.3 Thực trạng mô hình mạng tại trường Cao đẳng Cộng đồng Hà Tây 3.3.1 Hiện trạng mạng tại trường Hệ thống mạng nội bộ của trường có 07 khu nhà chính, được nối với nhau bằng hệ thống cáp quang Hình... mạng ra vào hệ thống thông qua các firewall đặt tại đầu mạng vào - Phát hiện và ngăn chặn sự thâm nhập bất hợp pháp vào hệ thống thông qua hệ thống phát hiện và ngăn chặn xâm nhập trong Forefront TMG - Bảo vệ hệ thống server và client khỏi sự lan truyền và phá hoại của virus thông qua mô hình diệt virus cho server và client 23 KẾT LUẬN VÀ KIẾN NGHỊ Đảm bảo an toàn, bảo mật cho hệ thống thông tin trong... firewall vào bảo vệ hệ thống server tuy không thể giúp hệ thống server hoàn toàn tránh khỏi bị tấn công, nhưng đã giảm được tỉ lệ mất gói tin và thời gian đáp ứng xuống rất nhiều, giúp cho server có thể kéo dài thời gian phục vụ người dùng và đưa ra các cảnh báo cho người quản trị biết khi hệ thống đang bị tấn công 3.4.4.2 Đánh giá giải pháp Với giải pháp thiết kế để nâng cao độ bảo mật và an toàn như... do toàn bộ hệ thống mạng tại trường đang sử dụng hệ điều hành của Microsoft nên khi ứng dụng firewall của Microsoft sẽ dễ dàng có tính tương thích và đạt được các hiệu năng cao nhất 3.4.3 Bảo vệ hệ điều hành Bảo vệ cho hệ điều hành sẽ bao gồm cả hệ điều hành trên máy server và máy client Bảo vệ sẽ bao gồm việc hoạch định và xây dựng các chính sách cài đặt, cập nhật và bịt các lỗ hổng cho hệ điều hành... của hệ thống mạng tại trường Cao đẳng Cộng đồng Hà Tây: - Các máy server: sử dụng hệ điều hành Windows Server 2003 & 2008 và đa phần chỉ phục vụ cho người dùng nội bộ - Cơ sở dữ liệu: hiện tại đang sử dụng Microsoft SQL Server - Các máy tính cá nhân: chủ yếu sử dụng hệ điều hành Windows XP & Windows 7 - Toàn bộ các máy tính trong mạng đều sử dụng cùng một dải địa chỉ Ip là 172.16.0.0/16 - Các ứng dụng. .. đảm bảo an toàn, bảo mật cho hệ thống thôi sẽ là không đủ, cần phải luôn nghiên cứu và áp dụng nhiều phương pháp cải tiến mới để 24 có thể bảo vệ hệ thống trước các nguy cơ tấn công luôn có thể xảy ra bất kỳ lúc nào Luận văn trong tương lại sẽ hướng tới: - Nghiên cứu các giải pháp dựa trên mô hình Role Based Access Control giúp kiểm soát truy nhập trên tường lửa tốt hơn - Nghiên cứu sâu hơn các giải pháp . ngoài + Card thứ hai nối với vùng mạng DMZ. + Card thứ ba nối với mạng nội bộ. Mô hình back firewall Với mô hình này cần tới hai firewall Forefront TMG, mỗi firewall có hai card mạng được. thuật mã hóa dùng khóa bất đối xứng hay còn gọi là mã hóa khóa công khai là kỹ thuật sử dụng một cặp khóa, trong đó khóa công khai dùng để mã hóa và khóa bí mật (khóa riêng) dùng để giải mã. Với. trên máy tính dual homed host. Máy tính dual home host là một máy tính có it nhất hai card mạng giao tiếp với hai mạng khác nhau, lúc này máy tính này đóng vai trò là router mềm. Kiến trúc Screened