Sau khi hoàn tất chương, sinh viên có những khả năng: Phân biệt được khái niệm về Intranet, Extranet và vùng DMZ. Trình bày mô hình mạng an toàn với vùng DMZ. Hiểu được khái niệm VLAN, ích lợi và kỹ thuật xây dựng mô hình mạng với VLAN. Trình bày được khái niệm NAT-PAT và ứng dụng của NAT-PAT trong việc xây dựng mô hình mạng an toàn.
Chương Các mơ hình mạng an tồn • DMZ (vùng phi quân sự) • VLAN (mạng LAN ảo) • NAT (dịch địa chỉ) Bộ môn MMT&TT 14/05/2010 Mục tiêu • Cung cấp cho người học nhìn tổng quan cách thức xây dựng mơ hình mạng an tồn • Sau hồn tất chương, sinh viên có khả năng: ▫ Phân biệt khái niệm Intranet, Extranet vùng DMZ ▫ Trình bày mơ hình mạng an tồn với vùng DMZ ▫ Hiểu khái niệm VLAN, ích lợi kỹ thuật xây dựng mơ hình mạng với VLAN ▫ Trình bày khái niệm NAT-PAT ứng dụng NAT-PAT việc xây dựng mơ hình mạng an tồn Bộ mơn MMT&TT 14/05/2010 Mơ hình mạng an tồn • Khái niệm Mơ Mơ hình hình mạng mạng an an tồn tồn bao bao gồm gồm nhiều nhiều vùng vùng vật vật lý lý và luận luận lý lý với với nhiều nhiều mức mức bảo bảo mật mật khác khác nhau Bộ môn MMT&TT 14/05/2010 Vùng an ninh • Khái niệm Vùng Vùng an an ninh ninh (security (security zone) zone) là một phần phần của mạng mạng được định định nghĩa nghĩa chung chung 11 mức mức an an ninh ninh Bộ môn MMT&TT Vùng Vùng an an ninh ninh thường thường được chia chia ra làm làm 33 loại: loại: •• Intranet Intranet •• Extranet Extranet •• DMZ DMZ 14/05/2010 Vùng an ninh • Intranet Intranet Intranet •• Là Là một mạng mạng dùng dùng riêng riêng •• Sử Sử dụng dụng các giao giao thức thức và dịch dịch vụ vụ thông thông tin tin tương tương tự tự Internet Internet •• Cung Cung cấp cấp các dịch dịch vụ vụ như Web, Web, FTP, FTP, Email, Email, … … Bộ môn MMT&TT •• Tốc Tốc độ độ cao cao •• Dễ Dễ dàng dàng truy truy xuất xuất các tài tài nguyên nguyên •• Sử Sử dụng dụng các dạng dạng mạng mạng như: như: ++ Ethernet Ethernet ++ Fast Fast Ethernet, Ethernet, Gigabit Gigabit Ethernet Ethernet ++ Token Token ring ring ++ ATM ATM 14/05/2010 Vùng an ninh • Extranet Extranet Extranet •• Là Là một Intranet Intranet có có kết kết nối nối với với mạng mạng dùng dùng ở ngoài như các khách khách hàng, hàng, đối đối tác, tác, nhà nhà cung cung cấp, cấp, … … •• Sử Sử dụng dụng để để trao trao đổi đổi thông thông tin, tin, hợp hợp tác tác hoặc chia chia sẻ sẻ các dữ liệu liệu đặc đặc biệt biệt •• Có Có thể thể nối nối kết kết được với với Internet Internet Bộ môn MMT&TT •• Yêu Yêu cầu cầu tính tính riêng riêng tư tư và bảo bảo mật mật •• Có Có thể thể dùng dùng PKI PKI hoặc kỹ kỹ thuật thuật VPN VPN để để thiết thiết lập lập nếu cần cần độ độ an an toàn toàn cao cao 14/05/2010 Vùng an ninh • DMZ (Demilitarized Zone) DMZ DMZ là 11 vùng vùng của mạng mạng được thiết thiết kế kế đặc đặc biệt, biệt, cho cho phép phép những người người dùng dùng bên bên ngoài truy truy xuất xuất vào vào Nếu Nếu vùng vùng DMZ DMZ bị bị tấn công công và gây gây hại hại thì vẫn khơng khơng ảnh ảnh hưởng hưởng đến đến mạng mạng riêng riêng của tổ tổ chức chức Bộ môn MMT&TT Truy Truy cập cập vào vào vùng vùng DMZ DMZ luôn được điều điều khiển khiển và giới giới hạn hạn bởi Firewall Firewall và hệ hệ thống thống Router Router 14/05/2010 Vùng an ninh • DMZ - Cách thiết kế Phân Phân lớp lớp DMZ DMZ (Layered (Layered DMZ) DMZ) •• Đặt Đặt giữa 22 firewall firewall có có các quy quy định định khác khác nhau •• Cho Cho phép phép bên bên ngồi Internet Internet nối nối kết kết vào, vào, nhưng chặn chặn không không cho cho truy truy cập cập vào vào mạng mạng cục cục bộ bên bên trong Bộ môn MMT&TT Tường Tường lửa lửa nhiều nhiều giao giao diện diện DMZ DMZ (Multiple (Multiple Interface Interface Firewall Firewall DMZ) DMZ) •• Dùng Dùng thiết thiết bị bị Firewall Firewall mạnh mạnh có thể quản quản lý lý các lưu lưu thông thơng trên nhiều nhiều cổng cổng •• Hiện Hiện nay, nay, mơ mơ hình hình này được sử sử dụng dụng nhiều nhiều hơn 14/05/2010 Vùng an ninh • DMZ - Cách thiết kế Mạng Mạng nội nội bộ phải phải được Firewall Firewall bảo bảo vệ vệ cả từ từ mạng mạng bên bên ngoài (Internet) (Internet) và cả từ từ vùng vùng DMZ DMZ vì vùng vùng DMZ DMZ có có khả khả năng bị bị tấn công công và khai khai thác thác Phải Phải gia gia cố cố hệ hệ thống thống DMZ, DMZ, chẳng chẳng hạn hạn :: •• Gở Gở bỏ bỏ các dịch dịch vụ vụ ítít sử sử dụng dụng •• Gở Gở bỏ bỏ các thành thành phần phần không không cần cần thiết thiết Bộ mơn MMT&TT Các Các máy máy tính tính trong vùng vùng DMZ: DMZ: •• Được Được gọi gọi là Bastion Bastion host host •• Có Có thể thể được truy truy xuất xuất từ từ mạng mạng nội nội bộ bên bên trong và cả mạng mạng bên bên ngoài 14/05/2010 Vùng an ninh • DMZ – Các dịch vụ bên vùng Các Các dịch dịch vụ vụ trong vùng vùng DMZ: DMZ: •• Web, Web, Email, Email, FTP FTP •• DNS DNS •• IDS IDS (hệ (hệ thống thống phát phát hiện xâm xâm nhập) nhập) Bộ môn MMT&TT Một Một số số hệ hệ thống thống yêu yêu cầu cầu phải phải đảm đảm bảo bảo an an toàn toàn cho cho vùng vùng DMZ DMZ bằng cách cách sử sử dụng dụng các giao giao thức thức bảo bảo mật mật như SSL, SSL, TLS TLS 14/05/2010 10 Vùng an ninh • DMZ – Nhiều vùng vùng DMZ Đặc Đặc thù thù yêu yêu cầu cầu của từng hệ hệ thống thống khác khác nhau ⇒ Phải thiết lâp ⇒ Phải thiết lâp nhiều nhiều vùng an ninh khác vùng an ninh khác nhau ⇒ ⇒ Các Các mức mức bảo bảo mật mật cho cho từng vùng vùng thiết thiết kế kế cũng khác khác nhau Các Các vấn vấn đề: đề: •• Phức Phức tạp tạp khi cài cài đặt, đặt, bảo bảo vệ vệ và quản quản trị trị •• Các Các luật luật trong Firewall Firewall phải phải lớn lớn => => dễ dễ nhầm nhầm lẫn lẫn Giải Giải pháp: pháp: •• Dùng Dùng chiến chiến thuật thuật cấm cấm tất (deny (deny all) all) •• Chỉ Chỉ cho cho phép phép từng dịch dịch vụ vụ riêng riêng biệt biệt có có yêu yêu cầu cầu Một hệ thống E-Commerce đại Bộ mơn MMT&TT 14/05/2010 11 VLAN • Khái niệm •• Phân Phân mạng mạng lớn lớn thành thành nhiều nhiều mạng mạng nhỏ nhỏ theo theo chức chức năng •• Dùng Dùng switch switch có có hỗ hỗ trợ trợ tính tính năng VLAN VLAN •• Muốn Muốn liên liên lạc lạc giữa các máy máy tính tính trong các VLAN VLAN khác khác nhau phải phải dùng dùng 11 router router VLAN VLAN là 11 nhóm nhóm luận luận lý lý các máy máy tính, tính, thiết thiết bị bị mạng mạng mà mà không không bị bị giới giới hạn hạn vị vị trí trí địa địa lý lý hay hay kết kết nối nối vật vật lý lý giữa chúng chúng Bộ môn MMT&TT 14/05/2010 12 VLAN • Ích lợi •• Ngăn Ngăn broadcast broadcast làm làm tăng tăng hiệu hiệu năng mạng mạng •• Tiết Tiết kiệm kiệm thiết thiết bị bị switch switch •• Nâng Nâng cao cao tính tính bảo bảo mật mật trong mạng mạng •• Dễ Dễ dàng dàng triển triển khai khai và quản quản lý lý các nhóm nhóm làm làm việc việc theo theo từng VLAN VLAN Bộ môn MMT&TT 14/05/2010 13 VLAN • Trunk Sử Sử dụng dụng giao giao thức thức ISL ISL hoặc 802.1Q 802.1Q cho cho đường đường trunk trunk (Trunk link) Switch Switch tự tự động động thêm thêm Tag Tag điều điều khiển khiển để để chỉ rõ rõ Frame Frame thuộc thuộc VLAN VLAN nào khi Frame Frame đi vào vào đường đường trunk trunk Bộ môn MMT&TT 14/05/2010 14 NAT (Network Address Translation) • Khái niệm NAT NAT che che dấu dấu địa địa chỉ bên bên trong mạng mạng cục cục bộ (địa (địa chỉ private) private) khi giao giao tiếp tiếp với với máy máy tính tính ở mạng mạng Internet Internet (public) (public) Máy Máy tính tính bên bên trong mạng mạng LAN LAN có thể nối nối kết kết trực trực tiếp tiếp với với máy máy tính tính ở ngồi, ngồi, nhưng máy máy tính tính ở ngồi ngồi khơng “thấy” khơng “thấy” máy máy tính bên LAN tính bên LAN Dãy Dãy địa địa chỉ dùng dùng riêng riêng cho cho các mạng mạng cục cục bộ Bộ môn MMT&TT 14/05/2010 15 NAT • Static NAT NAT NAT ánh ánh xạ xạ 11 địa địa chỉ cục cục bộ (192.168.10.10) (192.168.10.10) sang sang 11 địa địa chỉ thực thực (209.165.200.226) (209.165.200.226) Bộ môn MMT&TT 14/05/2010 Thường Thường dùng dùng cho cho các Server Server 16 NAT • Dynamic NAT Dynamic Dynamic NAT NAT tự tự động động ánh ánh xạ xạ 11 địa địa chỉ priavte priavte (192.168.10.10) (192.168.10.10) sang sang 11 địa địa chỉ trong dãy dãy (pool) (pool) địa địa chỉ public public cho cho trước trước (209.165.200.226 (209.165.200.226 230) 230) Bộ mơn MMT&TT Dùng Dùng khi có có được nhiều nhiều địa địa chỉ thực thực ở ngồi ngồi 14/05/2010 17 NAT • PAT (Port Address Translation) PAT PAT còn gọi gọi là NAT NAT Overload Overload PAT PAT ánh ánh xạ xạ nhiều nhiều địa địa chỉ cục cục bộ (192.168.10.11– (192.168.10.11– 192.168.10.12) 192.168.10.12) sang địa thực sang địa thực với với các cổng cổng khác (209.165.200.226 khác (209.165.200.226 cổng cổng 1444 1444 và 1445) 1445) Thích Thích hợp hợp cho cho dạng dạng mạng mạng có có nhiều nhiều máy máy cục cục bộ dùng dùng chung chung đường đường truyền truyền Internet Internet (như (như ADSL ADSL chẳng chẳng hạn) hạn) Bộ môn MMT&TT 14/05/2010 18 ... với với máy máy tính tính ở mạng mạng Internet Internet (public) (public) Máy Máy tính tính bên bên trong mạng mạng LAN LAN có thể nối nối kết kết trực trực tiếp tiếp với với máy máy tính tính ở... giữa các máy máy tính tính trong các VLAN VLAN khác khác nhau phải phải dùng dùng 11 router router VLAN VLAN là 11 nhóm nhóm luận luận lý lý các máy máy tính, tính, thiết thiết bị bị mạng mạng mà... tính ở ngồi, ngồi, nhưng máy máy tính tính ở ngồi ngồi khơng “thấy” khơng “thấy” máy máy tính bên LAN tính bên LAN Dãy Dãy địa địa chỉ dùng dùng riêng riêng cho cho các mạng mạng cục cục bộ Bộ môn