- Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra, còn
7. Giao thức IPSEC
V.4.1. Khái niệm mạng riêng ảo
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (Leased Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường xuyên.
Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo.
Mạng riêng ảo được xây dựng trên các kênh logic có tính “ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo.
Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật như trong mạng riêng.
Có 2 dạng chính mạng riêng ảo VPN là:
Remote Access VPN: cho phép thực hiện các kết nối truy nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đường quay số, ISDN, đường thuê bao số DSL.
Site- to - Site VPN: dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối VPN.
Có thể chia thành 2 loại khác:
Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau.
Extranet VPN là khi Intranet VPN của một khách hàng
Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực người dùng, dữ liệu được bảo mật thông qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho
mạng VPN hoạt động như một mạng riêng.
Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau.
Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và tốc độ truyền dẫn.
Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm
V.4.2. Kiến trúc của mạng riêng ảo
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng.
Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư.
Đường hầm:
Là kết nối giữa 2 điểm cuối khi cần thiết.
Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác.
Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc vật lý của mạng.
Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng.