NTU (Network Transfer Unit) là thiết bị đảm bảo sự nối kết trong suốt giữa thiết bị đầu cuối (DTE - Data Terminal Equipment) của người dùng và mạng dữ liệu số (DDN - Digital Data Network) thông qua đường thuê bao chuyên dụng số (Leased Line). Các kỹ thuật phân thời gian, phân tần số cho phép một đường cáp đơn cung cấp một số lượng kênh cho người sử dụng. Loại DS-0 (fractional T1) có tốc dộ 64 Mb/sec bằng một kênh điện thoại. DS - 1 (T1) có tốc độ 1.544 Mb/sec bao gồm 24 kênh DS-0 v.v.
78 trang |
Chia sẻ: maiphuongdc | Lượt xem: 1826 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Internet và các dịch vụ trên internet, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
FIN có thể tiếp tục gửi dữ liệu nhưng sẽ không nhận thêm bất kỳ gói dữ liệu nào từ người gửi. Chỉ đến khi người nhận gửi FIN thì sự kết nối mới thực sự đóng.
* Window: chỉ ra số các byte dữ liệu được chấp nhận. TCP dùng trường này để điều khiển dòng truyền và quản lý buffer.
* U rgent: đây là byte đăng ký dữ liệu nào trong thông điệp nên được xử lý trước tiên.
* Options: biến các tuỳ chọn của TCP.
* Data: phần data của người dùng.
Dạng thông điệp của UDP:
Các dạng thông điệp của UDP đều có dạng chung như sau:
0 15 16 31
Source port
Destination port
Length
Checksum
Data
d. Lớp ứng dụng (Application Layer):
Lớp ứng dụng là lớp giao thức cao nhất nằm trong cấu trúc phân lớp của INTERNET. Lớp này bao gồm tất cả các tiến trình dùng các giao thức của lớp transport để truyền dữ liệu. Có nhiều giao thức ứng dụng ở lớp này, phần lớn là nhằm cung cấp cho người dùg các dịch vụ ứng dụng. Các dịch vụ thông dụng trên lớp này đều đã được đề cập đến trong phần giới thiệu về INTERNET như:
- Telnet: cung cấp khả năng truy cập từ xa thông qua mạng.
- FTP: dùng để truyền file trên mạng.
- SMTP (Simple Mail Transfer Protocol): truyền thư điện tử.
- RIP (Routing Information Protocol): dùng để trao đổi thông tin chọn đường.
2. Một số các ứng dụng trên TCP/IP giúp cho việc kiểm tra, quản lý các dịch vụ trên Internet.
Để kiểm tra và quản lý các dịch vụ trên INTERNET, TCP/IP đã đưa ra một số các ứng dụng để trợ giúp cho các nhà quản trị hệ thống như:
- tcpd: tcpd là một chương trình ứng dụng củaTCP/IP giúp cho việc quản lý một số các dịch vụ trên INTERNET như : Telnet, FTP, Rlogin, Talk... Hoạt động củat tcpd là: khi có một yêu cầu đối với một dịch vụ INTERNET đến, tcpd trước tiên sẽ chạy thay thế cho các dịch vụ đó. tcpd tiếp nhận yêu cầu và thực hiện một số các công việc kiểm tra. Nếu tất cả là tốt thì khi đó tcpd sẽ gọi chạy chương trình dịch vụ tương ứng và rút lui khỏi dịch vụ này.
- ethernetfind: ethernetfind là trình ứng dụng cho phép người quản trị hệ thống nhận biết tất cả các gói dữ liệu ddang lưu truyền trên ethernet.
Ví dụ như để có thể biết tất cả các gói dữ liệu đang lưu truyền giữa hai trạm taydo và hanoi trên ethernet ta có dùng ethernètind với cấu trúc như sau:
ethernet between taydo hanoi
Lúc đó ta có thể kiểm tra các gói dữ liệu lưu truyền giữa hai trạm này với nhau.
- ping: gửi một thông điệp ICMP echo đến một hệ thống ở xa. Khi dùng lệnh này, một chuỗi các thông điệp sẽ được gửi đi và nhận về do đó lệnh ping rất hay dùng để kiểm tra liệu kênh truyền hoặc host đó có hoạt động hay không.
- rpcinfo: xem thông tin vào các chương trình đang hoạt động trên một trạm cục bộ hay một trạm ở xa.
- traceroute: gửi một chuỗi các gói dữ liệu (datagram) cùng với các trường Time-to-live khác nhau. các thông điệp ICMP sẽ được trả vào từ mỗi router trên đường truyền đến đích.
- finger: finger là một giao thức ứng dụng của TCP/IP. Nó được dùng để nhận các thông tin vào một người dùng độc lập hoặc một người dùng đang thâm nhập hệ thống của mình.
- w: w là một ứng dụng cho phép hiển thị thông tin vào các người dùng đang thâm nhập vào máy, cùng với các tiến trình của họ. Trình ứng dụng w được viết bởi Larry Greenfield và Michael K.Johnson.
- ps: ps là một chương trình ứng dụng quan trọng cho phép ta kiểm tra các tiến trình đang được thực hiện. Dựa vào ứng dụng này ta có thể quản lý được dễ dàng các tiến trình đang được tiến hành trên hệ thống của chúng ta.
Tóm lại TCP/IP là một bộ giao thức mở chuẩn có khả năng tương thích với nhiều mạng vật lý, các tính năng của TCP/IP đã được hoàn thiện dần và trở thành một bộ gia thức được dùng rộng rãi như một ngôn ngữ chung để kết nối các máy tính trên khắp thế giới với nhau.
Chương iii
Mạng trục internet
việt nam (VNN)
Tháng 9 năm 1997, Việt Nam tham gia kết nối vào mạng INTERNET toàn cầu như một thành viên chính thức. Có nghĩa là chúng ta có địa chỉ riêng cung cấp và truy nhập thông tin trên mạng. Cho đến nay việc cung cấp ứng dụng INTERNET đã được cơ quan chủ quản là: VNPT (Tổng công ty Bưu chính viễn thông Việt Nam) tổ chức quản lý đến từng thuê bao trên mạng. Cụ thể VNPT giao cho Công ty Điện toán và Truyền số liệu (VDC) trực tiếp quản lý cấp phát địa chỉ và các dịch vụ vho người sử dụng thông qua các ISP, các mạng dùng riêng và các thuê bao tại bưu điện tỉnh, thành phố trực thuộc trung ương. Cùng với VNPT còn có Bộ Nội vụ, Bộ Văn hoá - Thông tin tham gia lập thành Ban điều phối Quốc gia. Trước khi trình bày một cách đầy đủ về tổ chức quản lý, cấu hình mạng VNN, xin được nêu ra một vài tư liệu cơ bản về mạng INTERNET trên thế giới.
I. Mạng internet toàn cầu
1. Tổ chức của INTERNET.
Tổ chức mạng INTERNET bao gồm các Uỷ ban, các nhóm đặc trách quản lý thống nhất trong toàn hiệp hội và theo từng khu vực. Cụ thể như sau:
* Hiệp hội INTERNET (ISOC - Internet Society)
* Uỷ ban kiến trúc mạng (IAP - Internet Architecture Broad)
Nhóm nghiên cứu phát triển INTERNET (IRTF)
Nhóm đặc trách kỹ thuật cho mạng (IETF)
Trung tâm thông mạng (NIC - Net work information Center)
Tại Châu á, Thái Bình Dương là APNIC
NIC chịu trách nhiệm phân tên và địa chỉ cho các mạng máy tính.
Sơ đồ dưới đây sẽ cho thấy rõ hơn về tổ chức của INTERNET:
ISOC
IAB
NIC
IRTF
APNIC
...NIC
IETF
Sơ đồ 3.1 Tổ chức của INTERNET
2. Các đối tượng tham gia INTERNET.
Các đối tượng tham gia vào mạng INTERNET rất đa dạng nhưng có thể tập trung thành các lĩnh vực chính dựa vào mục đích tham gia như: quân sự, thương mại quản lý nhà nước, giáo dục, và các thành phần khác.
Tỉ lệ tham gia vào mạng INTERNET của các thành phần được biểu diễn trong hình dưới đây (Theo thống kê của viễn thông úc năm 1999).
3. Cấu trúc mạng INTERNET
Cấu trúc mạng INTERNET bao gồm các nhà cung cấp cửa truy nhập INTERNET (IAP), các nhà cung cấp dịch vụ INTERNET (ISP) và những người sử dụng thông qua mạng truyền thông. Có thể biểu diễn cấu trúc mạng như sau:
Nhà cung cấp dịch vụ INTERNET (ISP)
Nhà cung cấp dịch vụ INTERNET (ISP)
Mạng truyền số liệu công cộng
Mạng điện thoại công cộng
Modem
Nhà cung cấp cửa truy nhập INTERNET (IAP)
Người sử dụng
Mạng dùng riêng
Sơ đồ 3.2: Cấu trúc INTERNET
4. Các con số về mạng INTERNET trên thế giới.
Sau đây là những con số được thống kê đến hết năm 1999 của mạng INTERNET (theo thống kê của Viễn thông úc):
- Số máy chủ kết nối vào mạng : 8,9,triệu.
- Số nuoc sử dụng : 123 nuoc
- Số người sử dụng : hơn 130 triệu.
- Số mạng máy tính trên INTERNET: 200.000
*Trung bình cứ 20 phút có một mạng máy tính tham gia INTERNET.
* Mức tăng trưởng hàng năm : Hơn 120%.
II. Mạng internet việt nam (Vnn)
1. Tổ chức mạng INTERNET Việt Nam.
Như đã nói ở phần đầu, mạng INTERNET Việt Nam VNPT giao cho Công ty Điện toán và Truyền số liệu trực tiếp khai thác, quản lý và cung cấp cho khách hàng với sự tham gia của các bộ, ngành liên quan. Công ty Điện toán và Truyền số liệu là đầu nối chịu trách nhiệm trước khách hàng, có sự hỗ trợ của các Bưu điện địa phương.
Sơ đồ dưới đây khái quát cách tổ chức của mạng INTERNET Việt Nam:
Sơ đồ 3.3 – Tổ chức Intrnet Việt Nam
Người
sử dụng
đơn vị có IAP
mạng dùng
riêng WWW
đơn vị kinh IAP
doanh cung ISP
cấp dịch vụ ICP
UBND
Tỉnh, TP trực
thuộc TƯ
Bộ
nội vụ
Bộ văn hóa
Thông tin
Tổng cục
Bưu điện
Ban điều phối quốc gia
2. Cấu hình mạng INTERNET Việt Nam.
Cấu hình mạng INTERNET Việt Nam (Backbone Network Configuration) được trình bày trong hình 3.2. Qua đó ta thấy mạng trục bao gồm:
Hai cổng nối kết vào mạng INTERNET toàn cầu đặt tại Hà Nội và TP.Hồ Chí Minh cửa nối với quốc tế thông qua vệ tinh. Tốc độ đường truyền:
- Tại Hà Nội : 256 Kbps
- Tại TP. Hồ Chí Minh : 64Kbps
Hai bộ định tuyến (Gateway) tại hai cửa ngõ này dùng loại gateway - CISCO 4700M.
Ngoài ra còn một đường cáp tốc độ 2Mbps tại mỗi cửa.
Trước khi thông tin vào bộ tập trung (HUB) chúng được kiểm tra bằng một bức tường lửa (Firewall).
Bộ tập trung (HUB).
- Tại Hà Nội: CISCO CATALYST 5.000 bao gồm:
* Máy chủ quản lý tên (miền) địa chỉ: (DNS) SUN SPARC 4.
* Máy chủ quản lý truy nhập : (TACAS SERVER) SUN SPARC 4.
* Hệ thống quản lý mạng: (NMS) SUN ULTRA.
* Hệ thống tính cước và quản lý ứng dụng (BILLING AND APPLICATION SERVER) SUN ULTRA.
- Tại TP. Hồ Chí Minh: CISCO CATALYST 1900 gồm:
* Máy chủ quản lý tên (miền) địa chỉ: SUN SPARC 20.
* Hệ thống quản lý ứng dụng (WEB - MAIL TACAS SERVER) SUNSPARC 20.
bộ tập trung có hai đường truyền.
- Một vào bộ quan lý truy nhập gián tiếp (ACCESS SERVSER) AS 5100
- Một tới bộ định tuyến (Router).
Tại Hà Nội : Router CISCO 7513.
Tại TP. HCM : Router CISCO 4700M
Hai Router này nối với nhau bằng trung kế (TRUNK) 2Mbps đồng thời cùng nối với mạng chuyển mạch goí (PSDN) bằng đường dự phòng 128Kbps.
Hai ACCESS SERVER được nối vào mạng điện thoại công cộng qua trung kế thoại và nối vào mạng chuyển mạch gói bằng đường truyền 128Kbps.
Người sử dụng kết nối vào mạng thông qua mạng điện thoại công cộng và mạng chuyền mạch gói.
Khi người sử dụng đầu cuối muốn tham gia kết nối vào mạng điện thoại công cộng họ cần phải sử dụng một Modem tốc độ tối thiểu 9600Kbps.
3. Các thiết bị phụ trợ kết nối:
NTU (Network Transfer Unit):
NTU (Network Transfer Unit) là thiết bị đảm bảo sự nối kết trong suốt giữa thiết bị đầu cuối (DTE - Data Terminal Equipment) của người dùng và mạng dữ liệu số (DDN - Digital Data Network) thông qua đường thuê bao chuyên dụng số (Leased Line). Các kỹ thuật phân thời gian, phân tần số cho phép một đường cáp đơn cung cấp một số lượng kênh cho người sử dụng. Loại DS-0 (fractional T1) có tốc dộ 64 Mb/sec bằng một kênh điện thoại. DS - 1 (T1) có tốc độ 1.544 Mb/sec bao gồm 24 kênh DS-0 v.v...
NTU có thể được kết nối với nhau qua đường Leased Line theo các mô hình:
Modem vô tuyến:
Modem vô tuyến AirLink S-Band cung cấp một kết nối không dây để truyền dữ liệu, sử dụng kỹ thuật dải rộng trong băng sóng 2400 - 2483.5.
MHz. Modemm hỗ trợ đường truyền song công đồng bộ ở tốc độ từ 1.2 - 64 Kbps và từ 1.2 - 19.2 Kbps không đồng bộ.
Các tính năng của thiết bị:
- Khoảng cách giữa 2 đầu liên kết đạt được từ 35 - 50 km.
- Tần số làm việc từ 2.4 - 2483.5 GHz.
- Có thể hoạt động theo cá mô hình kết nối điểm tới điểm (point to point) hoặc điểm tới nhiều điểm (point to multipoint).
- Các giao thức là trong suốt đối với trạm làm việc.
- Sửa lỗi.
- Nhiều kênh chuyển đổi được.
- Nguồn nuôi thay đổi được.
- Chức năng lặp lại tín hiệu phục vụ cho viẹc mở rộng hệ thống mạng.
- Anten vô hướng hoặc có hướng.
- Các đèn LED chỉ thị nguồn nuôi, đồng bộ và chất lượng tín hiệu.
- Các cổng giao tiếp DTE loại RS-232, V.11/V.35 và EIA-530.
- Tín hiệu đồng hồ nội bộ hoặc lấy từ mạng về.
- Điều chỉnh được khoảng thời gian trễ RTS - CTS.
Modem vô tuyến AirLink được chế tạo để hoạt động như một modem hữu tuyến đa điểm thông thường và có thể thay thế modem thường mà không hề ảnh hưởng gì đến các chương trình ứng dụng của người dùng. Modem song công có thể hoạt động trong cả môi trường điểm-tới-điểm (point to point) và điểm-tới -nhiều điểm (point to multipoint).
Modem có thể được cấu hình thành máy chủ (master) hoặc máy tớ (slave). Trong cấu hình điểm-tới-nhiều điểm điển hình thì có một máy chủ và nhiều máy tớ dùng chung một kênh RF. Nếu chỉ có một máy tớ thì hệ thống trở thành điểm-tới-điểm.
Khoảng cách giữa 2 modem vô tuyến phổ biến là dưới 15km. Khoảng cách xa nhất có thể đạt được là 50km với anten định hướng tầm xa (high-gain) đặt ở trên cao tại cả 2 phía thu và phát. Với cự ly trên dưới 15km có thể sử dụng anten vô hướng tầm xa tại trạm chủ và anten định hướng tại các trạm tớ.
- Kết nối điểm-tới-điểm:
Trong kết nối điểm-tới-điểm chỉ có một máy chủ nối với một máy tớ bằng sóng điện từ (hình 4.4) Máy chủ phát tín hiệu đồng bộ đồng hồ burst, máy tớ thu nhận, đồng bộ hoá theo xung nhịp này và phát tín hiệu xung đáp lại. Cơ cấu này tạo ra đường truyền song công đồng bộ. Các modem AirLink có thể được dùng để nối rất nhiều thiết bị với nhau bằng sóng điện từ (ví dụ: nối máy tính với máy in...) hoặc làm cầu nối giữa các mạng cục bộ (trong một toà nhà hoặc giữa các toà nhà với nhau...)
- Kết nối điểm-tới-nhiều điểm:
Với mô hình liên kết này, một trạm chủ có thể được nối với 2 hoặc nhiều thiết bị đầu cuối (terminal) khác nhau. Các đầu cuối này được điều khiển bởi trạm chủ bằng thủ tục hỏi vòng (polling) mà trong trường hơpj này là tiến trình đánh địa chỉ các đầu cuối bởi một phần mềm chạy trên trạm chủ. Thực chất đây là tập hợp của nhiều liên kết điểm-tới-điểm giữa trạm chủ và từng đầu cuối với đường truyền song công đồng bộ. Xung đồng bộ được máy chủ phát đi và tất cả các máy tớ đều điều chỉnh nhịp đồng bộ theo xung này.
Slave
Terminal
Host
Master
Slave
Slave
Terminal
Terminal
Hình 3.6 - Kết nối điểm – tới – nhiều điểm.
- Chế độ lặp lại tín hiệu (repeater)
Khi khoảng cách yêu cầu kết nối trở nên quá lớn hoặc trên đường truyền có các chướng ngại vật lớn, thì có một giải pháp là cấu hình cho modem chạy ở chế độ lặp lại tín hiệu. Ví dụ, một liên kết điểm-tới-điểm có thể được tiếp sức ở giữa quãng đường bằng cách nối máy tớ với một máy chủ chạy ở chế độ lặp lại tín hiệu và sử dụng kênh RF khác (hình 4.6). Số lượng các trạm lặp phụ thuộc vào số lượng kênh sóng cho phép, các anten và địa hình.
Để thực hiện kết nối này ta phải thiết lập một vùng lặp (repeater site). Trong vùng lặp có 2 modem, 1 chủ và 1 tớ hoạt động ở 2 kênh sóng RF khác nhau. Dữ liệu được truyền giữa 2 modem này qua một sợi cáp xoắn. Mặc dù modem có thể hoạt động được cả ở 2 chế độ đồng bộ và không đồng bộ nhưng trong vùng lặp thì tín hiệu bắt buộc phải là đồng bộ.
Thiết bị định tuyến (router):
Trong hệ thống chuyển mạch gói routing là cụm từ chỉ việc chọn đường gửi các gói dữ liệu qua mạng, trạm định tuyến (router) - hay thiết bị định tuyến - là các trạm đặc biệt thực hiện chức năng này.
Một Router có thể là một thiết bị cứng chuyên dụng hoặc có thể là một phần mềm chạy trên một máy PC (chạy hệ điều hành UNIX, MS-DOS, WINDOWS, MACINTOS...). Các gói dữ liệu lưu chuyển trong một liên mạng (INTERNET - mạng của các mạng), đi từ Router này đến Router khác cho tới khi chúng đến được đích.
Router phải tiến hành tác vụ định tuyến cho mỗi gói nó nhận được, nó phải quyết định xem bằng cách nào có thể đưa gói đến đích. Thông thường các gói không hề chứa đựng bất kỳ một thông tin nào giúp cho Router ngoại trừ địa chỉ IP của đích, nó chỉ cho biết nơi nó muốn đến chứ không phải bằng cách nào. Router thông tin với nhau bằng cách sử dụng các “giao thức định tuyến” như RIP và OSPF để xây dựng các bảng định tuyến trong bộ nhớ và tìm đường để đưa gói đến đích. Trong một mạng lớn có rất nhiều các kết nối vật lý giữa các chuyển mạch gói, một mạng có thể tự nó có khả năng điều khiển một gói dữ liệu từ lúc nó được gửi đi cho đến khi nó được nhận. Những thuật toán chọn đường ở trong một mạng thì chỉ có tác dụng ở chính bên trong mạng, các máy ở ngoài không thể can thiệp vào các quyết định này. Các mạng ở ngoài chỉ có thể coi mạng này như một thực thể phân phát gói dữ liệu. Bộ giao thức TCP/IP cung cấp cho ta một mạng ảo cùng với dịch vụ cung cấp gói phân phát gói dữ liệu IP truyền qua mạng. Chọn đường cho các gói dữ liệu trong mạng INTERNET là một công việc khó khăn, đặc biệt là giữa các máy tính có nhiều mối liên kết ra ngoài. Mỗi khi gói dữ liệu được truyền đến, router xác định các thông tin về tình trạng của các kết nối với bên ngoài, cập nhập lại bảng chọn đường, đồng thời cũng xác định chiều dài các gói dữ liệu (datagram length), loại dịch vụ (type of service)... được xác định ở trong header của gói dữ liệu trước khi lựa chọn con đường tốt nhất.
Khi định tuyến cho một gói, Router so sánh địa chỉ của gói với các chỉ mục (entry) trong bảng định tuyến và gửi gói dữ liệu đi theo hướng được chỉ ra bởi bảng định tuyến. Trên thực tế thường không có một tuyến xác định cho từng đích cụ thể và Router sẽ sử dụng tuyến mặc định, nói chung là các tuyến này thường chỉ đến một Router khác có kết nối mạng rộng rãi hơn (đa số các mạng cục bộ có tuyến mặc định chỉ ra INTERNET)
Là một thiết bị không thể thiếu được trong kỹ thuật kết nối hệ thống Intranet/Internet và với mức độ phức tạp trong hoạt động nhằm đảm bảo cho quá trình truyền dữ liệu được an toàn thông suốt nên việc cài đặt và xây dựng cấu hình cho thiết bị định tuyến trở thành hết sức quan trọng. Công việc này đòi hỏi một quá trình nghiên cứu, thử nghiệm kỹ lưỡng để đạt được hiệu quả tối đa.
Chương iv
Xây dựng internet firewall
Khái niệm về hệ thống mạng INTERNET ngày nay đã trở nên quá quen thuộc đối với mọi người đến mức các sách báo thông thường (không phải chuyên môn, kỹ thuật) khi đề cập đến INTERNET không còn cần phải đưa thêm các lời chú giả kèm theo. Trong khi các ấn bản phổ thông thường xuyên đưa tin xoay quanh chủ đề INTERNET thì các ấn bản kỹ thuật lại chuyển sang một đề tài mời, đó là vấn đề an ninh trên mạng.
Xa lộ thông tin INTERNET là một tiến bộ phi thường của kỹ thuật hiện đại, nó cung cấp cho con người khả năng truy nhập thông tin một cách nhanh chóng, tiện lợi và khả năng quảng bá thông tin đến mọi nơi trên tế giới trong khoảng thời gian ngắn nhất. Tuy nhiên như người ta thường nói INTERNET giống như một xã hội thu nhỏ có đủ mặt tốt và những mặt xấu. Chúng ta không thể không đề cập đến mặt trái của INTERNET, đó là hiểm hoạ đáng sợ của việc đánh cắp và phá huỷ thông tin cũng như việc tuyên truyền, phổ biến những tin tức độc hại, sai lệch. Do đó, việc bảo vệ các thông tin mật trên mạng, cũng như chống người lạ thâm nhập vào trong hệ thống để lấy cắp thông tin trở thành một vấn đề cấp thiết thúc đẩy các nhà khoa học thiết kế các hệ thống an ninh cho mạng máy tính.
Để thực hiện việc đảm bảo vấn đề an ninh trên mạng, từ trước đến nay đã có nhiều phương pháp khác nhau, chẳng hạn như việc sử dụng mật khẩu (password), phân quyền người dùng, cấm sửa đổi các file hệ thống... Trong đó hiện nay phương pháp phân quyền và điều khiển thâm nhập được dùng làm giải pháp chủ yếu. Để tăng cường an ninh trên mạng, nhất là khi phát triển các mô hình mạng Intranet với đầy đủ các dịch vụ như WWW (World Wide Web), tra cứu cơ sở dữ liệu, truy cập từ xa và khi nối vào INTERNET thì những biện pháp nêu trên là chưa đủ mà chúng ta còn cần đến các công nghệ mới như là cổng kiểm soát (guarded gate), hay còn được gọi là Firewall. Cổng chắn này thường được đặt giữa mạng cục bộ Intranet với thế giới INTERNET rộng lớn bên ngoài. Tất cả các biện pháp trên thuộc lĩnh vực quản trị mạng, một lĩnh vực khá mới mẻ đối với Việt Nam.
i. khái niệm về internet firewall.
Firewall theo ý nghĩa thông thường thì nó là một bức tường chống không cho lửa đi qua để bảo vệ không cho lửa lan tràn từ phần này sang phần khác. Các nhà quản lý hệ thống máy tính đã áp dụng cách thức này để bảo vệ hệ thống máy tính của họ.
Mục đích của Firewall là tạo nên một lớp vỏ bọc bao quanh một mạng để bảo vệ các máy ở bên trong mạng tránh các mối đe dọa khác nhau ở bên ngoài. Cơ chế làm việc của Firewall là dựa trên việc kiểm tra các gói dữ liệu của IP lưu chuyển giữa Server và Client. Các mối đe doạ mà Firewall có thể chống lại bao gồm:
- Chống lại các cuộc thâm nhập từ xa đến các Server nguồn khi không được cho phép.
- Từ chối các dịch vụ bỏ bom logic vào một mạng (chẳng hạn như khi có một trạm ở bên ngoài mạng gởi hàng ngàn bức thư vào trong một mail server ở trong một mạng với âm mưu làm rối loạn hệ thống).
- Không cho phép thâm nhập ra ngoài khi cần thiết.
- Chống lại sự giả danh (các thư điện tử bắt nguồn từ một trạm bên ngoài có thể gây nên sự lúng túng cho người khác).
Một phương án đơn giản nhất để chống lại các vấn đề này là không nối mạng của mình với bất kỳ một mạng nào khác. Tuy nhiên đây hoàn toàn không phải là một phương pháp hay bởi mục đích chính của chúng ta hiện nay là hoà mạng toàn cầu. Thay vào đó, hiện nay người ta thường dùng một kiểu Firewall điển hình như hình vẽ sau:
Trong cấu hình này, mạng được bảo vệ được phân cách với bên ngoài bởi một Firewall Gateway. Một Gateway thường được dùng để thực hiện việc duy trì các dịch vụ giữa hai mạng với nhau. Trong trường hợp là một Fireway Gateway thì nó còn cung cấp 1 dịch vụ lọc cho phép giới hạn các thể thức thông tin được cho qua để vào hay ra từ các trạm trong mạng.
II. một số kiểu firewall thông dụng
Hiện nay ta có thể thực hiện việc đảm vảo an ninh trên mạng ngay bên trong mạng bằng cách xây dựng các công cụ dựa trên một số dịch vụ hiện có trên mạng, tuy nhiên phương pháp này không hiệu quả, nhất là đối với các hệ thống lớn. Để đảm bảo an ninh cho một hệ thống lớn, thông thường ta phải cấu tạo nên hệ thống Firewall để kiểm tra tất cả các dịch vụ có liên quan đến mạng của mình.
ở đây em xin trình bày ba kiểu cấu hình thông dụng của Firewall như sau:
1. Packet Filtering Gateway (Cổng lọc gói):
Phương pháp cổng lọc gói là một phương pháp đơn giản và rẻ nhất để trang bị một mức độ lọc cơ bản cho một mạng. Các thiết bị bao gồm một Router (thiết bị định tuyến) dùng để nối hai mạng lại với nhau. Thiết bị chọn đường này được dùng cùng với một phần mềm cho qua hay loại bỏ các gói (packet) dựa trên địa chỉ nguồn hay đích của cổng. Hoạt động lọc có thể áp dụng cho các gói vào, các gói ra, hoặc cả hai. Để thực hiện việc lọc các gói thì router cần phải biết rằng các gói nào được chấp nhận và các gói nào bị loại bỏ. Phần thông tin này được lưu giữ trong một file định nghĩa bộ các luật lọc của router. Hệ thống các luật lọc này thường bao gồm các thông tin về nguồn và đích để cho phép lọc các gói gửi đến hay gửi đi.
Đôi khi để giải quyết vấn đề tốc độ, việc lọc chỉ xảy ra đối với các gói vào hay các gói ra chứ không cả hai. Điều này liên quan mật thiết đến tốc độ của bản thân Router và phải được tính toán kỹ lưỡng, làm sao cho cổng lọc gói này không trở thành cái nút cổ chai cho toàn bộ hệ thống mạng. Kết nối INTERNET trên thực tế thường có tốc độ trung bình cỡ 56 - Kb/s hoặc 1.544 - Mb/s (đường T1). Lọc gói là một tác vụ liên quan đến các gói, do đó các gói càng nhỏ thì càng có nhiều gói đi qua trong 1 giây và do đó hệ thống lọc càng phải tính toán, xử lý nhiều hơn. Một gói dữ liệu IP nhỏ nhất - chỉ chứa các header IP và không có dữ liệu khác đi kèm - dài 20 byte (160 bit). Vì vậy, một liên kết ở tốc độ 56 Kb/s có thể truyền được 350 gói một giây và ở tốc độ 1.544 Kb/s là 9650 gói một giây. Bảng tham số dưới đây cho thấy quan hệ giữa tốc độ và số lượng gói truyền trong một giây:
Loại kết nối
Tốc độ trung bình
(bit/s)
Số gói/giây
(gói 40byte)
Số gói/giây
(gói 40byte)
Modem V.32 bis
14.400
90
45
Đường 56 Kb/s
56.000
350
175
Đường T1
1.544.000
9.650
4.825
Mạng Ethernet
(thực tế)
3.000.000
18.750
9.375
Mạng Ethernet
(lý thuyết)
10.000.000
62.500
31.250
Đường T3
45.000.000
281.250
140.620
FDDI
100.000.000
625.000
312.500
Trên thực tế, các dịch vụ trên INTERNET thường dựa trên giao thức TCP/IP nên các gói dữ liệu lưu chuyển trong mạng sẽ là loại TCP/IP. Chiều dài tối thiểu của một gói TCP/IP (chỉ chứa phần header IP và header TCP, không có dữ liệu) là 40 byte, và do đó số lượng các gói trong 1 giây sẽ giảm xuống một nửa như trong bảng. Các gói có thêm dư liệu đi kèm sẽ còn dài hơn nữa nên số lượng gói mà bộ lọc phải xử lý sẽ thấp hơn trong bảng.
Hiện nay việc thiết kế các Gateway mức cao đều dựa vào việc lọc các gói dữ liệu, và chúng hoạt động khá tốt. Tuy nhiên nó cũng có một số điểm bất tiện như: việc bảo trì cũng như thiết kế một cổng lọc gói đòi hỏi người thiết kết phải hiểu rất rõ về INTERNET, các bộ lọc gói là công cụ rất tiện lợi nhưng chúng không cho phép chúng ta hoàn toàn tuyệt đối tin tưởng vào sự đảm bảo an toàn của chúng.
Mặt khác, việc phân mảnh các gói dữ liệu đã gây khó khăn rất nhiều cho việc thiết kế các bộ lọc gói. Ngoại trừ mảnh đầu tiên, các mảnh khác của gói là không chứa số hiệu của cổng đích, do đó phần thông tin dùng để trợ giúp cho việc lọc gói bị hạn chế. Nếu ta chỉ quan tâm đến các mối đe doạ từ bên ngoài thì có thể thiết kế bộ lọc mà không cần quan tâm nhiều đến việc lọc các mảnh. Mảnh đầu tiên có chứa thông tin về số hiệu cổng sẽ được kiểm tra, còn các mảnh khác sẽ được cho qua. Nếu như mảnh đầu tiên bị loại bỏ thì khi các mảnh còn lại đi qua cũng sẽ bị trạm đích loại bỏ. Tuy nhiên khi ta phải quan tâm đến việc lọc các thông tin ra ngoài thì đây là một vấn đề khó khăn bởi nếu không được cho phép thì chỉ có mảnh đầu tiên bị lọc bỏ, các mảnh khác bị rò rỉ ra ngoài và ta không thể đảm bảo được là liệu có một người nào đó ở bên ngoài tiến hành thu thập các mảnh này và xử lý, ghép nối chúng trở lại thành một gói chính xác.
2. Circuit-Level Gateways:
Thực chất cổng lọc này chỉ là một mạng chuyển tiếp (relay) cho việc lưu chuyển giữa hai trạm được nối với nhau thông qua mạch kết nối thực tế của mạng. Circuit Gateway thực hiện việc chuyển tiếp ở mức kết nối TCP. Người gọi nối với một port ở trên gateway, và gateway này nối với một số các đích khác ở trên phía khác của gateway. Gateway đơn giản chỉ chuyển luồng dữ liệu từ một port này đến một port khác. Như vậy gateway có vai trò như thiết bị chuyển mạch (do vậy được gọi là Circuit-Level).
Trong một số trường hợp, mạch kết nối được thiết lập một cách tự động đối với các chức năng
Các file đính kèm theo tài liệu này:
- 27973.DOC