Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 69 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
69
Dung lượng
1,15 MB
Nội dung
TRƢỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ - VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: TÌM HIỂU MẠNG MÁY TÌNH VÀ BẢO MẬT MẠNG BẰNG FIREWALL Người hướng dẫn : PGS.TS NGUYỄN HOA LƯ Sinh viên thực hiện: NGUYỄN DANH QUANG Lớp 47K ĐTVT Vinh, 05-2011 MỤC LỤC Lời mở đầu Mục lục Danh sách hình vẽ Bảng từ viết tắt Chương Tổng quan mạng máy tính .7 1.1 Khái niệm mạng máy tính 1.2 Phân loại mạng máy tính .9 1.3 Kiến trúc mạng 16 1.4 Hệ thống cáp thiết bị sử dụng mạng máy tính 17 1.5 Các phương pháp truy nhập đường truyền vật lý .28 Chương Kiến trúc phân tầng mơ hình OSI .35 2.1 Kiến trúc phân tầng 35 2.2 Mơ hình OSI 38 Chương Bảo mật phương pháp bảo mật Firewall 45 3.1 Định nghĩa khái niệm bảo mật mạng 45 3.1.1 Các hình thức cơng mạng 46 3.1.2 Các mức độ an ninh mạng 47 3.1.3 Các chiến lược bảo mật 48 3.2 Bảo mật mạng Firewall 51 3.2.1 Các thành phần Firewall chế hoạt động 56 3.2.2 Một số mơ hình Firewall 62 Kết luận .68 Tài liệu tham khảo .69 DANH SÁCH HÌNH VẼ Hình 1.1 Mạng xử lý với tiền xử lý Hình 1.2 Chuyển mạch kênh 10 Hình 1.3 Chuyển mạch thông báo 11 Hình 1.4 Chuyển mạch gói 12 Hình 1.5 Mạng hình 13 Hình 1.6 Mạng hình Bus 14 Hình 1.7 Mạng hình vịng 14 Hình 1.8 Cáp đồng trục 18 Hình 1.9 Cáp sợi quang 19 Hình 1.10 Cáp STP UTP 20 Hình 1.13 Kết nối Repeater 22 Hình 1.14 Nối hai mạng cục Bridge 23 Hình 1.15 Kết nối mạng Router 26 Hình 1.16 Kết nối mạng Gateway 28 Hình 1.11 Vòng logic mạng Bus 31 Hình 1.12 Hoạt động phương pháp Token -ring 33 Hình 2.1 Minh hoạ kiến trúc phân tầng tổng quát 35 Hình 2.2 Kiến trúc phân tầng mơ hình OSI 40 Hình 2.3: Quan niệm tầng tiếp cận OSI 42 Hình 2.4 Quan hệ đơn vị liệu tầng kề 43 Hình 3.1 Các mức độ bảo vệ an ninh mạng 47 Hình 3.2 Stateless Firewall 53 Hình 3.3 Stateful Firewall 54 Hình 3.4 Deep Packet Layer Firewall 54 Hình 3.5 Giao diện PIX 55 Hình 3.6 Bố trí NetScreen Firewall 56 Hình 3.7 Sơ đồ làm việc Packet Filtering 57 Hình 3.8 Kết nối người dùng (Client) với Server qua Proxy 59 Hình 3.9 Kết nối qua cổng vịng (Circuit–Level Gateway) 61 Hình 3.10 Sơ đồ kiến trúc Dual–homed Host 62 Hình 3.11 Sơ đồ kiến trúc Screened Host 65 Hình 3.12 Sơ đồ kiến trúc Screened Subnet Host 66 TỪ VIẾT TẮT SỐ HIỆU VIẾT TẮT CỤM TỪ LAN Local Area Network MAN Metrolitan Area Network WAN Wide Area Netword VLAN Virtual local area network GAN Global Area Network TCP Transmission Control Protocol IP Internet Protocol LLC Local link control MAC Media Access Control 10 STP Shield Twister Pair 11 UTP Unshield Twister Pair 12 ARCnet 13 14 Attached Resource computer network International Organization for ISO Standardization Carrier Sense Multiple Access with CSMA/CD Collision Detection 15 IPX Internetwork Packet Exchange 16 DNS Domain Name System 17 PDU Protocol Data Unit 18 SDU Service Data Unit 19 NIC Network Interface Controller 20 PCI Protocol control Information 21 SAP Service Acess Point 22 OSI Open System interconnection CHƢƠNG TỔNG QUAN VỀ MẠNG MÁY TÍNH Từ năm 60 xuất mạng xử lý trạm cuối thụ động nối vào máy xử lý trung tâm.Máy xử lý trung tâm làm tất việc, từ quản lý làm thủ tục truyền liệu, quản lý đồng trạm cuối việc xử lý ngắt từ trạm cuối Để giảm nhẹ nhiệm vụ máy xử lý trung tâm, người ta phải thêm vào tiền xử lý để nối thành mạng truyền tin, thiết bị tập trung dồn kênh dùng để tập trung đường truyền tín hiệu gửi tới từ trạm cuối Sự khác chỗ: dồn kênh truyền song song thơng tin trạm cuối gửi tới, tập trung khơng có khả nên phải dùng nhớ đệm để lưu giữ tạm thời thông tin Máy trung tâm Bộ tiền xử lý Bộ tập trung Bộ tập trung dồn kênh Nối theo vịng Hình 1.1 Mạng xử lý với tiền xử lý Từ đầu năm 70, máy tính nối với trực tiếp để tạo thành mạng máy tính nhằm phân tán tải hệ thống tăng độ tin cậy Cũng năm 70, bắt đầu xuất khái niệm mạng truyền thơng (Communicaton Network) thành phần nút mạng gọi chuyển mạch ( Switching Unit) dùng để hướng thơng tin tới đích Các nút mạng nối với đường truyền (Transmission Line) máy xử lý thông tin người sử dung (Host) trạm cuối (Terminal) nối trực tiếp vào nút mạng để cần trao đổi thông tin qua mạng Bản thân nút mạng thường máy tính nên đồng thời đóng vai trò máy người sử dụng 1.1 Khái niệm mạng máy tính Mạng máy tính tập hợp máy tính kết nối với đường truyền vật lí theo kiến trúc Việc kết nối máy tính nhằm mục tiêu chia sẻ tài nguyên chung từ vị trí khác Sự kết nối thơng qua dây dẫn, tia laser, sóng điện từ hay vệ tinh viễn thơng Các máy tính kết nối thành mạng nhằm đạt tới mục tiêu sau: - Nâng cao giá trị tài nguyên mạng thiết bị mạng chương trình ứng dụng, liệu, thiết bị ngoại vi ổ đĩa ngồi, máy in, mouse, modem.Vì máy tính dùng chung - Tăng hiệu suất làm việc máy mạng - Tăng độ tin cậy hệ thống máy tính đơn lẻ mạng gặp cố thay - Tạo mơi trường truyền thông mạnh nhiều người sử dụng phạm vi rộng: mục tiêu ngày trở nên quan trọng mạng máy tính phát triển toàn cầu ngày nay.Thu thập, lưu trữ thông tin diện rộng.Tổ chức triển khai đề án lớn cách dễ dàng thuận lợi - Tiết kiệm chi phí: tài nguyên dùng chung, hệ thống tin cậy phí bảo dưỡng mạng máy tính thấp so với máy tính riêng lẻ - Bảo vệ trì liệu Nhìn chung tất mang máy tính có dùng chung số thành phần, chức đặc tính định Đó là: Máy chủ (Server): thành phần máy tính cung cấp tài nguyên dùng chung mạng Máy trạm (Client): máy tính truy cập tái nguyên dùng chung cấp server Phương tiện truyền dẫn (Media ): cách thức máy tính nối với Dữ liệu dùng chung (Shared data): tập tin máy chủ cung cấp ngang qua mạng Máy in thiết bị ngoại vi dùng chung khác: tài nguyên mà máy chủ cung cấp Tài nguyên (resaurce): tập tin, máy in, thành phần khác mà người dùng mạng sử dụng 1.2 Phân loại mạng máy tính Có nhiều cách để phân loại mạng khác tuỳ thuộc vào yếu tố chọn để làm tiêu phân loại, chẳng hạn „„khoảng cách địa lý‟‟, „„hình thức chuyển mạch ‟‟, „„kiến trúc mạng‟‟ hay „„tài nguyên mạng ‟‟ Phân loại mạng máy tính theo khoảng cách địa lí Nếu lấy “khoảng cách địa lí” làm yếu tố để phân loại có mạng cục bộ, mạng diện rộng, mạng toàn cầu Mạng cục (LAN): Phạm vi hoat động mạng tương đối nhỏ (ví dụ như: tồ nhà, trường học với khoảng cách lớn nhât nút mạng vòng vài chục kilômét trở lại Mạng đô thị (MAN): mạng cài đặt phạm vi đô thị trung tâm kinh tế – xã hội có bán kính khoảng 100 km trở lại Mạng diện rộng (WAN): phạm vi hoạt động mạng vượt qua biên giới quốc gia chí lục địa Mạng toàn cầu (GAN): phạm vi hoạt động mạng trải rộng khắp lục địa trái đất Phân loại mạng máy tính theo kỹ thuật chuyển mạch Mạng chuyển mạch kênh: Data Da ta Da A ta B Hình 1.2 Chuyển mạch kênh Trong trường hợp này, có thực thể cần trao đổi thơng tin với chúng thực kênh truyền cố định trì bên ngắt liên lạc Các liệu truyền theo đường cố định Phương pháp có hai nhược điểm chính: Thứ phải tiêu tốn thời gian để thiết lập đường truyền cố định thực thể va thứ hai hiệu suất sử dụng đường truyền không cao có lúc kênh bị bỏ khơng hai bên hết thông tin cần truyền thực thể khác không sử dụng kênh truyền Mạng chuyển mạch thông báo: Thông báo đơn vị thơng tin người sử dụng có khn dạng sử dụng trước Mỗi thơng báo có chứa vùng thơng tin điều khiển rõ đích thông báo Căn vào thông tin mà nút trung gian truyền thơng báo tới nút theo đường dẫn tới đích Như vậy, nút cần phải lưu trữ tạm thời để “đọc” thông tin điều khiển thông báo để sau chuyển tiếp 10 tính tốn thiết lập theo chuẩn cho phép truy nhập vào nguồn từ mạng với tốc độ bảo vệ.Việc thiết lập tính Cisco PIX Cisco IOS thiết kế nhằm nâng cao mức độ bảo mật mạng Firewall PIX ngăn chặn kết nối khơng xác thực nhiều mạng, cho phép xác thực (authentication, authorization), dịch vụ quản lý(AAA), access-list, cấu hình VPN (IPSec), FTP logging Hình 3.5 Giao diện PIX b) NetScreen: NetScreen firewall firewall ngăn chặn chiều sâu cho phép bảo vệ lớp ứng dụng Trong PIX firewall cấu hình stateless statefull firewall hỗ trợ bảo mật lớp mạng lớp giao vận NetScreen firewall thiết bị bảo vệ trạng thái lớp chiều sâu gói tin vào tất kiểm tra định tạo đường song song khác,bao gồm địa nguồn, địa đích , cổng nguồn, cổng đích, liệu kiểu tra phù hợp giao thức Thiết bị NetScreen bảo trì bảng phiên mà đường thứ khác địa nguồn, địa đích, cổng nguồn, cổng đích, tác động phiên 55 Hình 3.6 Bố trí NetScreen Firewall Phần mềm Check Point Firewalls Hầu hết, hardware firewalls cing cấp hiệu điều khiển truy nhập mạng, nhiều không thiết kế để phát cản trở cơng đặc biệt với đích mức độ ứng dụng Các kiểu ngăn chặn kẻ công hiệu với phần mềm firewall Check Point nhà bán hàng phần mềm firewall thị trường ngày Các phần mềm firewall cho phép mạng nhiều đặc biệt ứng dụng mạng bảo vệ từ không xác thực địa nguồn internet Mối liên quan với mở web tạo khả nhiều người có khả truy nhập vào mạng cá nhân.Việc bảo vệ mạng vành đai thiết lập cốt lõi giải pháp Check Point Các hoạt động Check Point phù hợp sản phẩm tích hợp đường nối mạng bảo mật, chất lượng dịch vụ quản lý mạng mạng IP rộng lớn 3.2.1 Các thành phần Firewall & chế hoạt động Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: - Bộ lọc gói (Packet–Filter) - Cổng ứng dụng (Application–level Gateway hay Proxy Server) - Cổng mạch (Circuite level Gateway) 56 Bộ lọc gói (Packet Filter): Packet filtering Ethernet ` ` ` Hình 3.7 Sơ đồ làm việc Packet Filtering Firewall hoạt động chặt chẽ với giao thức TCI/IP làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data paket) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc gói hay khơng Các luật lệ lọc gói dựa thông tin đầu packet (packet header ), dùng phép truyền packet mạng Đó là: • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) 57 • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thơng báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet (Outcomming interface of Packet) Nếu luật lệ lọc gói thoả mãn packet chuyển qua Firewall Nếu không, packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục Ưu điểm: • Đa số hệ thống Firewall sử dụng lọc gói Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói bao gồm phần mềm router • Ngồi ra, lọc gói suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Hạn chế: • Việc định nghĩa chế độ lọc gói việc phức tạp; địi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ lọc trở nên dài phức tạp, khó để quản lý điều khiển • Do làm việc dựa header packet, rõ ràng lọc gói khơng kiểm sốt nội dung thông tin packet Các packet chuyển qua có 58 thể mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu Cổng ứng dụng (Application–Level Gateway) Proxy Server Bastion host Server Client Kết nối cảm giác Kết nối thật Người dùng Trạm ngồi Hình 3.8 Kết nối người dùng (Client) với Server qua Proxy Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service (dịch vụ đại diện) proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua Firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host là: 59 - Bastion host ln chạy version an tồn (secure version) phần mềm hệ thống (operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại cơng vào hệ điều hành (operating system), đảm bảo tích hợp Firewall - Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị cơng Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host - Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card • Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống • Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại • Mỗi proxy độc lập với proxy khác bastion host Điều cho phép đơn giản trình cài đặt proxy mới, hay tháo gỡ proxy có vấn đề Ví dụ: Telnet Proxy Ví dụ người dùng bên (gọi outside client) muốn sử dụng dịch vụ telnet để kết nối vào hệ thống mạng qua môt bastion host có telnet proxy Q trình xảy sau: + Outside client telnets đến bastion host Bastion host kiểm tra mật (password), hợp lệ outside client phép vào giao diện telnet proxy Telnet proxy cho phép tập nhỏ lệnh telnet, định máy chủ nội outside client phép truy nhập 60 + Outside client máy chủ đích telnet proxy tạo kết nối riêng tới máy chủ bên chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin telnet proxy máy chủ thật bên trong, máy chủ bên tin telnet proxy client thật Ưu điểm: • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ • Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khố • Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thơng tin truy nhập hệ thống • Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Hạn chế: Yêu cầu users biến đổi (modify) thao tác, modify phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Cổng vòng (Circuit–Level Gateway): Outside host out in out in out in Circuit–Level Gateway Inside host Hình 3.9 Kết nối qua cổng vòng (Circuit–Level Gateway) Cổng vòng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc gói 61 Hình minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua Firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống Firewall, che dấu thơng tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà nhà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ cơng bên ngồi 3.2.2 Một số mơ hình FIREWALL Dual-homed host firewall: Internet/Intranet Dual-homed Host Ethernet ` ` Hình 3.10 Sơ đồ kiến trúc Dual–homed Host 62 Dual–homed Host hình thức xuất đấu để bảo vệ mạng nội Dual–homed Host máy tính có hai giao tiếp mạng: nối với mạng cục nối với mạng (Internet) Hệ điều hành Dual–homed Host sửa đổi để chức chuyển gói tin (packet forwarding) hai giao tiếp mạng không hoạt động Để làm việc với máy Internet, người dùng mạng cục trước hết phải login vào Dual–homed Host, từ bắt đầu phiên làm việc Ƣu điểm Dual–homed Host: • Cài đặt dễ dàng, không yêu cầu phần cứng phần mềm đặc biệt • Dual–homed Host yêu cầu cấm khả chuyển gói tin, vậy, thơng thường hệ Unix, cần cấu hình dịch lại nhân (kernel) hệ điều hành đủ Nhƣợc điểm Dual–homed Host: • Khơng đáp ứng u cầu bảo mật ngày phức tạp, hệ phần mềm tung thị trường • Khơng có khả chống đỡ cơng nhằm vào thân nó, Dual–homed Host bị đột nhập, trở thành đầu cầu lý tưởng để công vào mạng nội Đánh giá kiến trúc Dual–homed Host: Để cung cấp dịch vụ cho người sử dụng (user) bên (internal network) có số giải pháp sau: Kết hợp với proxy server cung cấp proxy service Cấp account cho user máy dual–homed host mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ mạng bên (external network) họ phải truy nhập (login) vào máy trước Nếu dùng phương pháp cấp account cho user máy dual–homed host user khơng thích sử dụng dịch vụ phiền phức vậy, lần họ muốn sử dụng dịch vụ phải logi in vào máy khác (dual–homed host) khác với máy họ vấn đề không suốt với người sử dụng 63 Nếu dùng proxy server : Khó cung cấp nhiều dịch vụ cho người sử dụng phần mềm proxy server proxy client khơng phải loại dịch vụ có sẵn Khi số dịch vụ cung cấp nhiều khả đáp ứng hệ thống giảm xuống tất proxy server đặt máy Một khuyết điểm hai mơ hình là: mà máy dual– homed host nói chung proxy server bị đột nhập vào Người cơng (attacker) đột nhập vào qua lưu thông bên internal network bị attacker thấy hết điều nguy hiểm Trong hệ thống mạng dùng ethernet token ring liệu lưu thơng hệ thống bị máy nối vào mạng đánh cắp liệu kiến trúc thích hợp với số mạng nhỏ Screened host firewall Kiến trúc kết hợp kỹ thuật Packet Filtering Proxy Services Packet Filtering: Lọc số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng muốn dùng dịch vụ phải kết nối đến proxy server mà không bỏ qua proxy server để nối trực tiếp với mạng bên trong/bên ngồi (internal/external network), đồng thời cho phép “pháo đài” (bastion host) mở số kết nối với internal/external host Proxy Service: bastion host chứa proxy server để phục vụ số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server 64 Internet Screening Router FireWall Ethernet ` ` ` Bastion Host Hình 3.11 Sơ đồ kiến trúc Screened Host Đánh giá số ƣu, khuyết điểm kiến trúc Screened Host: Screened Host: Đã tách chức lọc gói IP proxy server hai máy riêng biệt Packet Filtering giữ chức lọc gói nên kiểm sốt, khó xảy lỗi (tn thủ qui tắc chức năng) Proxy Servers đặt máy khác nên khả phục vụ (tốc độ đáp ứng) cao Cũng tương tự kiến trúc dual–homed host mà packet filtering system bastion host chứa proxy server bị đột nhập vào (người cơng đột nhập qua hàng rào này) lưu thông internal network bị người công thấy điều nguy hiểm Từ khuyết điểm kiến trúc ta có kiến trúc thứ sau khắc phục phần khuyết điểm 65 Internet Bastion Host ` Exterior Router Perimeter Network Interior Router FireWall Internal Network ` ` ` Hình 3.12 Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống bao gồm hai packet–filtering router bastion host (hình 4.3.3) Kiến trúc có độ an tồn cao cung cấp mức bảo mật network application định nghĩa mạng perimeter network Để tăng độ an toàn internal network, kiến trúc screen subnet sử dụng thêm mạng DMZ (DMZ hay perimeter network) để che phần lưu thông bên internal network Tách biệt internal network với Internet Mạng trung gian (DMZ) đóng vai trị mạng nhỏ, lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ truyền trực tiếp qua mạng DMZ Với thơng tin đến, router ngồi (exterior router) chống lại công chuẩn (như giả mạo địa IP) điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên ngồi truy nhập bastion host Router (interior router) cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng 66 nội với truyền thông bastion host Với thông tin đi, router điều khiển mạng nội truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host Quy luật filtering router yêu cầu sử dụng dịch vụ proxy cách cho phép thông tin bắt nguồn từ bastion host Ƣu điểm: • Kẻ cơng cần phá vỡ ba tầng bảo vệ: router ngồi, bastion host router • Bởi router ngồi quảng bá mạng trung gian (DMZ Network) tới Internet, hệ thống mạng nội khơng thể nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua bảng định tuyến (routing table) DNS (Domain Name Server) • Bởi router quảng cáo DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy Đánh giá kiến trúc Screened Subnet Host: Đối với hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời khả theo dõi lưu thông người sử dụng hệ thống liệu trao đổi giữ người dùng hệ thống cần bảo vệ kiến trúc phù hợp Sử dụng screening router : exterior router interior router Áp dụng qui tắc dư thừa bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) tăng khả bảo vệ cao Ngoài ra, cịn có kiến trúc biến thể khác như: sử dụng nhiều bastion host, ghép chung router router ngoài, ghép chung bastion host router … 67 KẾT LUẬN Có thể nói mạng máy tính yếu tố quan trọng thiếu trình phát triển xã hội ngày nay, không lĩnh vực hoạt động mà lại khơng có mạng máy tính Với mạng máy tính, đâu tất người tìm kiếm thơng tin, chia sẻ thơng tin quản lý thơng tin cách nhanh chóng xác có độ an tồn cao Tuy nhiên việc ứng dụng khái niệm vào thực tế lại công việc phức tạp đòi hỏi kỹ cài đặt, lập cấu hình trì hệ thống Cơng việc đòi hỏi hiểu biết tường tận phần cứng phần mềm, muốn điều ta phải nắm vững kiến thức mạng máy tính Qua thời gian thực tập tìm hiểu em thấy vấn đề kỹ thuật bảo mật mạng máy tính đề tài rộng cần thiết sống môi trường làm việc kể tương lai Khả ứng dụng đề tài rõ kiến thức mạng máy tính tầm quan trọng vấn đề bảo mật mạng, để từ xây dựng hệ thống mạng tối ưu an toàn Em nghĩ rằng, đồ án bước tiền đề để em tiếp tục tìm hiểu cách đầy đủ sâu sắc tương lai Một lần em xin cảm ơn thầy cô giảng dạy em thời gian qua, đặc biệt em xin chân thành cảm ơn PGS.TS Nguyễn Hoa Lư tận tình bảo giúp đỡ để em hoàn thành đồ án Vinh, tháng 05 năm 2011 Sinh viên thực Nguyễn Danh Quang 68 TÀI LIỆU THAM KHẢO [1] Vũ Đình Cường, Từng Bước Khám Phá An Ninh Mạng - Bảo Vệ Máy Tính Bằng Tường Lửa & Phương Pháp Lướt Web An Toàn,NXB Lao Động Xã Hội, tháng 04/2009 [2] Nguyễn Hồng Sơn, Giáo trình hệ thống máy tính CCNA,NXB Giáo Dục,2001 [3] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo Dục, 1999 [4] Trí Việt - Hà Thành, Tự Học Bảo Mật Và Quản Trị Mạng, Nxb Văn hóa Thơng tin,2009 Tài liệu internet: www.quantrimang.com www.dtvt.org www.dientuvienthong.net 69 ... 44 CHƢƠNG BẢO MẬT VÀ PHƢƠNG PHÁP BẢO MẬT BẰNG FIREWALL 3.1 Định nghĩa khái niệm bảo mật mạng Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hoạt động nhằm công phá hoại hệ thống mạng từ... tiếp vào nút mạng để cần trao đổi thông tin qua mạng Bản thân nút mạng thường máy tính nên đồng thời đóng vai trò máy người sử dụng 1.1 Khái niệm mạng máy tính Mạng máy tính tập hợp máy tính. .. phí bảo dưỡng mạng máy tính thấp so với máy tính riêng lẻ - Bảo vệ trì liệu Nhìn chung tất mang máy tính có dùng chung số thành phần, chức đặc tính định Đó là: Máy chủ (Server): thành phần máy tính