bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.42 MB, 106 trang )
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức,
các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về
địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét.
Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể
tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó
không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin
vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên
vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài
nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và
mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ
khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến
những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của
những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng
không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước
để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời
cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và
phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được
tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản
về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng
của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ
firewall có nhiều tính ứng dụng trong thực tiễn.
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy
tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao
Lớp Điện Tử 7 - K48
1
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật
phổ biến nhất hiện nay.
Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mô hình bảo mật
bằng Firewall cho hệ thống mạng doanh nghiệp.
Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu
Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần
Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH
Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr
Christian Tusborg – IT manager Skills Group đã giúp tôi thực hiện đồ án này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần
đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi
những thiếu sót, tôi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và
các bạn.
Trân trọng cảm ơn .
Lớp Điện Tử 7 - K48
2
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
TÓM TẮT ĐỒ ÁN
Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực công nghệ thông tin nó
là tổng hòa nhiều công nghệ khác nhau nhằm mang lại sự an toàn cho hệ thống thông tin
của một tổ chức nào đó.
Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn
mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thông có tính chất
toàn cầu chứ không chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu vực.
Vì vậy để bảo đảm an toàn thông tin trong quá trình truyền thông thì các phương pháp
bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó.
Phần I của đồ án này sẽ đưa ra một cái nhìn toàn diện về mô hình truyền thông
trên mạng Internet và những hình dung chung nhất về các công nghệ bảo mật trong một
bức tranh tổng thể. Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay tôi sẽ
đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường lửa”,
Phần II của đồ án sẽ tập trung giải quyết vấn đề này . Trên cơ sở lý luận đã
nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa
chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn
cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống
thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan.
Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn cảnh
về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng. Theo nhịp độ
phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn, chính vì
vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm bảo cho
một nền thông tin an toàn và bền vững.
Lớp Điện Tử 7 - K48
3
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
THESIS SUMMARY
Information security is a wide-reaching and complex term because it is made up
of many high technologies in order to make our information system more secure.
Today, most information systems must meet the international standards because
information transportation takes place not only in a organization itseft or in a region but
also all over the world. Therefore to secure information exchanged, the security
technologies used must meet international standards.
The first Part of my thesis will provide an overview of information transportation
process in the Internet and a genaral picture of information security technologies. I will
do a thorough research on firewall technology, one of the most popular and effective
security methods in the second part of my thesis.
It’s essential that research results be successfully applicable in real-life selected
technologies. Bearing this in mind, I will clarify applications of firewall technology into
information systems in enterprises in addition to visual illustrations. All of these are
presented in third part.
Hopefully, readers will have general understanding of security technologies in
general and firewall technology in particular. As technological progresses take place
nearly every minute, hacking activities have become increasingly damaging and
seemingly uncontrollable. Hence, security technologies must be steadily improved for
the sake of a well-sustained information system.
Lớp Điện Tử 7 - K48
4
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
MỤC LỤC
LỜI NÓI ĐẦU ............................................................................................................
TÓM TẮT ĐỒ ÁN ......................................................................................................
THESIS SUMMARY ...................................................................................................
DANH SÁCH HÌNH VẼ .............................................................................................
DANH SÁCH CÁC TỪ VIẾT TẮT .............................................................................
LỜI MỞ ĐẦU ............................................................................................................
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT ..........................................................
Chương 1 .................................................................................................................
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP ........................................................
1.1. GIỚI THIỆU CHUNG ..................................................................................
1.2. MÔ HÌNH OSI .............................................................................................
1.3. KIẾN TRÚC TCP/IP ...................................................................................
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP ........
1.4.1. Giao thức IP (Internet Protocol) .............................................................
1.4.2. Giao thức UDP ( User Datagram Protocol ) ..........................................
1.4.3. Giao thức TCP ( Transmission Control Protocol ) ..................................
1.5. QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC
LỚP ................................................................................................................. 30
Chương 2 ............................................................................................................. 32
KHÁI NIỆM BẢO MẬT ..................................................................................... 32
2.1. KHÁI NIỆM BẢO MẬT .......................................................................... 32
2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN .................................................
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH ......................................................... 34
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU. ..................... 36
Chương 3 ............................................................................................................. 45
CÁC CÔNG NGHỆ BẢO MẬT .......................................................................... 45
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP ................................................... 45
3.1.1. Bảo mật ở mức vật lý ......................................................................... 46
3.1.2. Bảo mật sử dụng bức tường lửa ......................................................... 47
3.1.3. Bảo mật sử dụng lọc gói dữ liệu ........................................................ 49
3.1.4. Bảo mật sử dụng các phương pháp mã hóa ........................................ 50
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê. ............ 53
3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI .................................. 54
Phần II. .................................................................................................................... 56
CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG ......................................................... 56
Chương I .............................................................................................................. 56
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL ..................................................... 56
1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL . 56
1.2. ĐỊNH NGHĨA FIREWALL ...................................................................... 58
1.3. PHÂN LOẠI FIREWALL ........................................................................ 59
1.3.1. Firewall phần mềm ............................................................................ 59
Lớp Điện Tử 7 - K48
5
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
1.3.2. Firewall phần cứng ........................................................................... 59
1.4. CHỨC NĂNG CỦA FIREWALL ............................................................. 59
1.4.1. Điều khiển truy nhập (Access Control) ............................................. 59
1.4.1.1. Vị trí xảy ra quá trình lọc gói ..................................................... 59
1.4.1.2. Hoạt động lọc gói (Packet Filtering) ........................................... 61
1.4.1.3. Luật lọc ( Filtering Rules) .......................................................... 61
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy
Application) ............................................................................................ 62
1.4.2. Quản lý xác thực (User Authentication). ............................................ 64
1.4.3. Kiểm tra và Cảnh báo (Activity Logging and Alarms). ...................... 65
1.4.3.1. Chức năng kiểm tra (Activity logging) ........................................ 65
1.4.3.2. Chức năng cảnh báo (Alarm) ...................................................... 65
Chương 2 ............................................................................................................. 66
CÁC KIẾN TRÚC FIREWALL CƠ BẢN ........................................................... 66
2.1. FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) ... 66
2.2. FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) ......................... 67
2.2.1. Gateway mức mạng (Network Level Gateway) .................................. 68
2.2.2. Gateway mức ứng dụng (Application level Gateway) ........................ 68
2.3. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) ......... 70
2.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL )71
2.4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng ............................. 71
2.4.2. Dạng thứ hai là máy phòng thủ có một card mạng ............................. 71
Chương 3 ............................................................................................................. 7 2
NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL .......................... 72
3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM” .............................................. 72
3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG” ............................................. 75
3.2.1. Cơ chế lọc gói tin : ............................................................................. 75
3.2.2. Một số đặc điểm ACL: ...................................................................... 75
3.2.3. Phân loại ACL ................................................................................... 76
3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control
Lists) ....................................................................................................... 76
3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access
Control Lists) .......................................................................................... 77
3.2.3.3. So sánh giữa standard ACL và extended ACL ............................ 78
3.2.4. Ứng dụng ACL .................................................................................. 79
3.3. NAT ........................................................................................................ 79
3.3.1. Cấu hình NAT trên nhiều cổng ......................................................... 83
3.3.2. Phiên dịch địa chỉ động ..................................................................... 84
3.3.3. Phiên dịch địa chỉ tĩnh ...................................................................... 85
3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation) 85
3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall .......................... 86
3.4.1. Vận chuyển giao thức TCP ................................................................ 86
3.4.2. Vận chuyển giao thức UDP ................................................................ 88
Lớp Điện Tử 7 - K48
6
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
3.5. Một số kỹ thuật khác được sử dụng trong Firewall .................................. 89
3.5.1. Kỹ thuật thẩm kế an toàn ................................................................... 89
3.5.2. Kỹ thuật lõi an toàn ............................................................................ 89
3.5.3. Kỹ thuật cân bằng phụ tải .................................................................. 90
3.6. Sự kết hợp các biện pháp kỹ thuật ............................................................ 90
Chương 4 ............................................................................................................. 91
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL ............................................. 91
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN
NINH MẠNG .................................................................................................. 92
4.1.1. Mạng bên trong(Inside Network) ....................................................... 92
4.1.2. Mạng bên ngoài (Outside Network) ................................................... 92
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ) .................................. 92
4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP ................. 93
4.2.1. Kiến trúc cơ bản ................................................................................ 93
4.2.2. Dual-Homed System .......................................................................... 94
4.2.3. Kiến trúc Screening Host ................................................................... 95
4.2.4. Kiến trúc Screened Subnet ................................................................. 96
4.3. CÁC MÔ HÌNH FIREWALL PHỨC TẠP ............................................... 97
4.4. Đánh giá Firewall .................................................................................... 100
KẾT LUẬN ........................................................................................................... 103
TÀI LIÊỤ THAM KHẢO ...................................................................................... 105
DANH SÁCH HÌNH VẼ
Hình 1.1. Mô hình tham chiếu OSI 15
Lớp Điện Tử 7 - K48
7
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Hình 1.2. Kiến trúc TCP/IP....................................................................................16
Hình 1.3. Khuôn dạng IP datagram.........................................19
Hình1. 4. Phân lớp địa chỉ IP.................................................................................21
Hình 1.6. Khuôn dạng UDP datagram..............................23
Hình 1.7. Khuôn dạng TCP datagram........................25
................................................................................................................................26
Hình 1.8. Thiết lập và giải phóng liên kết.............................................................26
Hình 1.9. Cơ chế cửa sổ trượt...........................................29
Hình 1.11 . Mục tiêu CIA.......................................................................................33
Hình 1.12 . Quy trình bảo mật................................................................................35
Hình 1.13.Tấn công kẻ trung gian..........................................................................39
Hình 1.14. Mô hình bảo mật theo lớp...................................46
Hình 1.15 Bảo mật sử dụng bức tường lửa.......................47
Hình 1.16 . Các loại IPS....................................49
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu.......................50
Hình 1.18 . Kết nối từ xa sử dụng VPN...................................52
..................................................................................................................................58
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet........58
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức........................60
Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP.....................61
Hình 2.4. Hoạt dộng của người đại diện ứng dụng................................................62
Hình 2.5 Tưởng lửa lọc gói tin...............................................................................67
Hình 2.6. Tường lửa dịch vụ ủy thác.......................................67
Hình 2.7. Giao tiếp trên mạng thông qua proxy server.........................................69
Hình 2.8. Pháo đài phòng ngự................................................................................71
Hình 2.9. Sơ đồ hoạt động của ISA Server............................74
Hình 2.10. Hoạt động của Standard ACL..............................................................76
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau...........79
Hình 2.12. Chức năng phân vùng của firewall......................................................81
Hình 2.13 . Quá trình phiên dich địa chỉ................................................................82
Hình 2.14 . Cấu hình NAT trên nhiều cổng...........................................................83
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngoài................................84
Hình 2.16 Quá trình tạo một kết nối TCP từ bên trong ra bên ngoài..................87
Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng.........................91
4.2.1.Kiến trúc cơ bản.............................................................................................93
Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong
mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và
ngược lại..................................................................................................................93
Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một
cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng
Lớp Điện Tử 7 - K48
8
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được
nối với mạng ngoài. Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ
cổng có độ an toàn cao hơn ra cổng có độ an toàn thấp hơn trên firewall đều
được phép nhưng khi đi từ cổng có độ an toàn thấp đến cổng có độ an toàn cao
thì đều bị cấm. Đôi khi có những ngoại lệ (Exception) là do chủ ý của người
quản trị.....................................................................................................................93
Trong kiến trúc trên các router ngăn cách giữa mạng trong với firewall và mạng
ngoài với firewall không chỉ giữ vai trò định tuyến và là cửa ngõ đi ra khỏi mạng
mà còn giữ vai trò là bộ lọc gói (Packet filtering) không có trạng thái hoặc có
trạng thái. Các server trong vùng đệm DMZ không chỉ là các server cung cấp các
ứng dụng giao tiếp với người trên Internet mà còn giữ vai trò là proxy server. . 93
Hình 2.18 . Kiến trúc firewall cơ bản.....................................................................94
Đây là cấu hình cơ bản nhất của một mạng thông thường khi giao tiếp với
Internet, ở đây firewall có cấu hình mặc định là 3 cổng. Khi quy mô và số mạng
trong vùng nội bộ tăng lên có nhu cầu bảo mật khác nhau thì ta sử dụng số cổng
nhiều hơn với cấu hình độ bảo mật trên các cổng khác nhau. Không chỉ có thế
firewall còn được sử dụng với các công nghệ bảo mật khác nhằm mang lại hiểu
quả an toàn cao nhất. Sau đây ta xét kiến trúc an ninh mở rộng sử dụng firewall
kết hợp với một công nghệ bảo mật khác..............................................................94
4.2.2. Dual – Homed System..................................................................................94
Hệ thống là một máy tính có ít nhất 2 card mạng được chỉ ra trong hình 2.19.
Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của
card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể
được một các thủ công .Giả sử rằng hệ thống đang chạy WEB server .Nếu định
tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau
được .Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web
server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn
có thể sử dụng cấu hình hệ thống này .Tuy nhiên ,các hacker có thể tấn công vào
sơ hở này (nếu trường hợp các ứng dụng và bản vá lỗi chưa được cài đặt )........94
..................................................................................................................................95
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng............................................95
4.2.3. Kiến trúc Screen Host...................................................................................95
Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ
thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng
vai trò kiểm soát toàn bộ gói tin vào ra .................................................................95
..................................................................................................................................95
Hình 2.20. Kiến trúc Screening Host.....................................................................95
Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với
các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho
phép hay không cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài
Lớp Điện Tử 7 - K48
9
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và
Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ
Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin
từ mạng ngoài vào nội bộ ......................................................................................95
4.2.4. Kiến trúc Screeded Subnet...........................................................................96
Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo
mật được thêm vào giữa vùng ưu tiên và vùng nội bộ .........................................96
..................................................................................................................................96
hình 2.21. Kiến trúc Screened Subnet....................................................................96
Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài
phòng ngự không thể chống lại được tấn công từ hacker ....................................96
DANH SÁCH CÁC TỪ VIẾT TẮT
Từ viết tắt Từ đầy đủ Chú thích
FW Firewall Bức tường lửa
VPN Virtual Private Network Mạng riêng ảo
NAT Network Address Translation Phiên dịch địa chỉ mạng
OSI Open Systems Interconnection Mô hình liên kết các hệ
thống mở
CSU/DSU Chanel Service Unit/ Digital Service
Unit
Đơn vị dịch vụ kênh và
đơn vị dịch vụ số
LAN Local Area Network Mạng cục bộ
MAN Metropolitan Area Network Mạng đô thị
GAN Global Area Network Mạng toàn cầu
CAN Campus Area Network Mạng trường học
WAN Wide Area Network Mạng diện rộng
SAN Storage Area Network Mạng lưu trữ
VPN Vitual Private Network Mạng riêng ảo
IEEE Institue of Electrical and Electronic
Engineers
Tổ chức chuẩn IEEE
IBM International Business Machines Tập đoàn IBM
PC Personal Computer Máy vi tính
RF Radio Frequency Tần số radio
NIC Network Interface Card Card giao tiếp mạng
Lớp Điện Tử 7 - K48
10
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Từ viết tắt Từ đầy đủ Chú thích
AP Access Point Điểm truy cập
ISO International Organization for
Standardizations
Tổ chức chuẩn ISO
CSDL Cơ sở dữ liệu
FTP Fire Transfer Protocol Giao thức truyền file
SMTP Simple Mail Transfer Protocol Giao thức truyền email
DNS Domain Name System Hệ thống tên miền
HTTP Hypertext Transfer Protocol Giao thức truyền tải nội
dung trên mạng
TCP Transmission Control Protocol Giao thức điều khiển
đường truyền
UDP User Datagram Protocol Giao thức UDP
IP Internet Protocol Giao thức mạng
IPX Internetwork Packet Exchange Giao thức mạng
DoS Denial of Service Từ chối dịch vụ
ACL Access Control List Danh sách điều khiển truy
cập
RFC Request For Comments Tổ chức chuẩn RFC
IETF Internet Engineering Task Force Tổ chức chuẩn IETF
Lớp Điện Tử 7 - K48
11
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ
giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án
này được tôi chia thành 3 phần với những nội dung như sau:
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.
Phần này trình bày các khái niệm về mô hình truyền thông OSI và bộ giao thức
TCP/IP, khái niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức
đó. Các nội dung được trình theo các chương sau:
Chương 1: Mô hình OSI và bộ giao thức TCP/IP
Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm
hiểu 3 giao thức cơ bản IP, UDP, TCP.
Chương 2: Khái niệm bảo mật
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương
pháp tấn công thường gặp.
Chương 3: Các công nghệ bảo mật
Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp
để bảo mật hệ thống.
PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung
chi tiết liên quan đến công nghệ này. Nội dung đó nằm trong các chương sau:
Chương 4: Bức tường lửa
Lớp Điện Tử 7 - K48
12
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng
loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh
nghiệp
KẾT LUẬN
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
Chương 1
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ trợ
và phải trải qua nhiều giai đoạn khác nhau. Công nghệ càng hiện đại cho phép thông tin
được truyền đi càng nhanh chóng với độ tin cậy cao. Tuy nhiên để có thể khai thác và
quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng bộ về
công nghệ trong quá trình truyền tin. Xuất phát từ các nhu cầu đó mô hình OSI và bộ
giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng hiện
nay.
Trong chương này tôi giới thiệu mô hình OSI và bộ giao thức TCP/IP để đưa ra
cái nhìn tổng quan về quá trình truyền tin trên các mạng truyền thông nói chung và mạng
Internet nói riêng. Và đó cũng là nền tảng để phân tích, xây dựng và triển khai các kế
hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
1.1. GIỚI THIỆU CHUNG
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong
những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ
những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép các
Lớp Điện Tử 7 - K48
13
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được áp
dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô
hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System
Interconnection) OSI.
1.2. MÔ HÌNH OSI
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương
thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo khả
năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng một mô
hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các hệ thống
mở (Reference Model for Open System Interconnection) hay gọn hơn mô hình tham
chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi bit
theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin
qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều
khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối
ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên nhận,
có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền thông.
Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu
cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Lớp Điện Tử 7 - K48
14
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi trường OSI
và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng dưới
đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.
Hình 1.1. Mô hình tham chiếu OSI
1.3. KIẾN TRÚC TCP/IP
Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có
chức năng riêng trong việc xử lý thông tin. Bộ giao thức TCP/IP là tổ hợp của nhiều giao
thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ thống
TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:
Lớp Điện Tử 7 - K48
15
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
Hình 1.2. Kiến trúc TCP/IP
1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay
còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm thiết
bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể hoạt
động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.
2. Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp
các dữ liệu trên mạng. Trong bộ giao thức TCP/IP tầng mạng có một số giao
thức hỗ trợ cho việc vận chuyển các gói dữ liệu như IP (Internet Protocol),
Lớp Điện Tử 7 - K48
16
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
ICMP (Internet Control Message Protocol) và IGMP ( Internet Group
Management Protocol).
3. Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ
liệu giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên. Trong bộ giao thức
TCP/IP tầng giao vận có 2 giao thức là TCP (Transmission Control Protocol) và
UDP (User Datagram Protocol)
- TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết
(Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment,
thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
Lớp Điện Tử 7 - K48
17
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
- UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một
datagram) không hướng liên kết và thiếu tin cậy.
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được
thêm bởi tầng ứng dụng.
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP
bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập
mạng. Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà
phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).
Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên
cứu không có tính ứng dụng cao trong thực tiễn. Mô hình TCP/IP là kế thừa của mô
hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng
hiện nay. Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song
đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa việc
xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.
Lớp Điện Tử 7 - K48
18
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP
1.4.1. Giao thức IP (Internet Protocol)
Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con
thành liên kết mạng để truyền dữ liệu. IP là giao thức cung cấp dịch vụ phân phát
datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn thiết
lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích và
không duy trì bất kì thông tin nào về datagram đã gửi đi.
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3
Ý nghĩa tham số các trường trong IP header:
• Version (4bit) chỉ version hiện tại của IP được cài đặt.
• Header length(4 bit) chỉ độ dài phần mào đầu của datagram. Bao gồm cả phần
lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi không có
Option
Hình 1.3. Khuôn dạng IP datagram
• TOS (Type of service 8 bits) chỉ loại dịch vụ. Các loại dịch vụ gồm có:
o Độ trễ nhỏ nhất
o Thông lượng lớn nhất
o Độ tin cậy cao nhất
o Chi phí thấp nhất
Lớp Điện Tử 7 - K48
19
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
• Total length (16 bits) chỉ độ dài toàn bộ khung IP datagram tính theo bytes. Dựa
vào trường này và trường header length ta tính được vị trí bắt đầu của dữ liệu
trong IP datagram.
• Identification (16 bits) là trường định danh, cùng các tham số khác như Source
address và Destination address để định danh duy nhất cho mỗi datagram được gửi
tới 1 host. Thông thường phần Identification được tăng thêm 1 khi datagram được
gửi đi.
• Flags ( 3 bits )các cờ được sử dụng khi phân đoạn các datagram
0 1 2
0 DF MF
o bit 0: reserved chưa sử dụng có giá trị 0
o bit 1: ( DF ) = 0 (May fragment)
= 1 (Don’t fragment)
o bit 2 : ( MF) =0 (Last fragment)
=1 (More Fragment)
• Fragment offset (13 bits) chỉ vị trí của đoạn Fragment trong datagram tính theo
đơn vị 64 bits.
• TTL (8 bits) thiết lập thời gian tồn tại của datagram để tránh tình trạng datagram
đi lang thang trên mạng. TTL thường có giá trị 32 hoặc 64 tùy theo hệ điều hành
và được giảm đi 1 khi dữ liệu đi qua mỗi router. Khi trường này bằng 0 datagram
sẽ bị hủy bỏ và sẽ thông báo lại cho trạm gửi.
• Protocol (8 bits) chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm đích
thường là TCP hay UDP.
• Header checksum (16 bits) để kiểm soát lỗi cho vùng IP header.
• Source address (32 bits) địa chỉ IP trạm nguồn.
• Destination Address (32 bits) địa chỉ IP trạm đích.
• Options (độ dài thay đổi) khai báo các tùy chọn do người sử dụng yêu cầu,
thường là:
Lớp Điện Tử 7 - K48
20
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
o Độ an toàn và bảo mật.
o Bảng ghi tuyến mà datagram đã đi qua được ghi trên đường truyền.
o Time stamp.
o Xác định danh sách địa chỉ IP mà datagram phải trải qua nhưng không
bắt buộc phải truyền qua router định trước.
o Xác định tuyến trong đó các router mà IP datagram phải được đi
qua
Địa chỉ IP (IP address)
Là số hiệu mã hóa để định danh một trạm trên mạng Internet được gọi là
địa chỉ IP. Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng
gồm 1 byte) thường được biểu diễn dưới dạng thập phân có dấu chấm
(Dotted-decimal notation), người ta chia địa chỉ IP thành 5 lớp ký hiệu
A,B,C,D,E với cấu trúc như
Hình1. 4. Phân lớp địa chỉ IP
Lớp Khoảng địa chỉ
A
B
C
D
0.0.0.0 đến 127.255.255.255
128.0.0.0 đến 191.255.255.255
192.0.0.0 đến 223.255.255.255
224.0.0.0 đến 239.255.255.255
Lớp Điện Tử 7 - K48
21
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
E 240.0.0.0 đến 247.255.255.255
Hình 1.5 Các lớp địa chỉ Internet
Để phân biệt giữa các lớp địa chỉ người ta dùng các bits đầu tiên của byte đầu tiên để
định danh lớp địa chỉ.
Định tuyến (IP routing)
Bên cạnh việc cung cấp địa chỉ để chuyển phát các gói tin, định tuyến là một
chức năng quan trọng của giao thức IP.
Ta thấy rằng lớp IP nhận datagram từ lớp dưới chuyển lên và có trách nhiệm định
tuyến cho các gói tin đó. Tại lớp IP mỗi thiết bị định tuyến có một bảng định tuyến chứa
đường đi tốt nhất đến một mạng nào đó. Các thiết bị định tuyến đó là Router hoặc
Switch Layer 3. Khi một gói tin được chuyển đến Router hoặc Switch địa chỉ IP sẽ được
đọc và xác định địa chỉ mạng đích, đường đi tới các mạng này sẽ được tìm trong bảng
định tuyến và nếu tìm thấy thì gói tin sẽ được gửi đến router kế tiếp trên đường truyền
xác định. Trong trường hợp đường đi không được tìm thấy thì gói tin sẽ bị đẩy ra default
gateway. Khi 1 gói tin đi lang thang trên mạng quá lâu vượt quá giá trị TTL mà vẫn
chưa tìm được đường đến đích thì gói tin đó sẽ bị hủy bỏ và sẽ có 1 thông báo lỗi gửi về
cho máy gửi nhờ giao thức ICMP. Cơ chế định tuyến có thể được thực hiện nhờ nhiều
giao thức định tuyến khác nhau như RIP, IGMP,EIGRP, OSPF, IS-IS… tùy vào quy mô
mạng và độ tin cậy yêu cầu ta có thể lựa chọn giao thức định tuyến thích hợp.
1.4.2. Giao thức UDP ( User Datagram Protocol )
UDP là giao thức không liên kết (connectionless oriented), cung cấp dịch vụ giao
vận không tin cậy (unrealiable) được sử dụng thay thế cho TCP trong tầng giao vận.
Khác với TCP, UDP không có chức năng thiết lập và giải phóng liên kết, không có cơ
chế báo nhận (ACK), không sắp xếp tuần tự các đơn vị dữ liệu (datagram) đến và có thể
Lớp Điện Tử 7 - K48
22
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
dẫn đến tình trạng mất hoặc trùng dữ liệu mà không hề có cơ chế thông báo lỗi cho
người gửi. Khuôn dạng của UDP datagram được mô tả như sau:
Hình 1.6. Khuôn dạng UDP datagram
Số hiệu cổng nguồn (16 bits) số hiệu cổng nơi gửi datagram.
Số hiệu cổng đích (16 bits) số hiệu cổng nơi datagram được chuyển tới
Độ dài UDP (16 bits) độ dài tổng cộng kể cả phần header của gói tin UDP datagram.
UDP Checksum (16 bits) dùng để kiểm soát lỗi, nếu phát hiện lỗi thì datagram sẽ bị
loại bỏ mà không có một thông báo nào trả lại cho trạm gửi.
UDP có cơ chế gán và quản lý các số hiệu cổng (port number) để định danh duy nhất
cho các ứng dụng chạy trên một máy của mạng. Do có ít chức năng phức tạp nên UDP
có xu thế hoạt động nhanh hơn so với TCP. Nó thường dùng cho các ứng dụng không
cần đòi hỏi độ tin cậy cao trong giao vận.
1.4.3. Giao thức TCP ( Transmission Control Protocol )
TCP và UDP là 2 giao thức ở tầng giao vận và cùng sử dụng giao thức IP trong tầng
mạng. Nhưng không giống như UDP, TCP cung cấp dịch vụ liên kết tin cậy (realiable)
và có liên kết (connetion oriented). Có nghĩa là 2 ứng dụng sử dụng TCP phải thiết lập
liên kết với nhau trước khi trao đổi dữ liệu. Sự tin cậy trong dịch vụ được cung cấp bởi
TCP thể hiện như sau :
• Dữ liệu từ tầng ứng dụng được gửi đến được TCP chia thành các segment có
kích thước phù hợp nhất để truyền đi.
Lớp Điện Tử 7 - K48
23
16 bits số hiệu cổng nguồn 16 bits số hiệu cổng đích
16 bits độ dài UDP 16 bits UDP checksum
Dữ liệu (nếu có)
8 byte
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
• Khi TCP gửi đi 1 segment, nó duy trì một thời lượng để chờ phúc đáp từ máy
nhận. Nếu trong khoảng thời gian đó phúc đáp không được gửi đến thì segment
đó được truyền lại.
• Khi TCP trên trạm nhận nhận dữ liệu từ trạm gửi nó sẽ gửi tới trạm gửi một
phúc đáp, tuy nhiên phúc đáp này không được gửi lại ngay mà thường trễ một
khoảng thời gian.
• TCP duy trì giá trị tổng kiểm tra (checksum) trong phần header của dữ liệu để
nhận ra bất kì sự thay đổi nào trong quá trình truyền dẫn. Nếu 1 segment bị lỗi
thì TCP ở phía trạm nhận sẽ bị loại bỏ và không phúc đáp lại để trạm gửi truyền
lại segment bị lỗi đó.
• Giống như IP datagram, TCP segment có thể tới đích một cách không tuần tự.
Do vậy TCP ở trạm nhận sẽ sắp xếp lại dữ liệu và sau đó gửi lên tầng trên đảm
bảo tính đúng đắn của dữ liệu. Khi IP datagram bị trùng lặp TCP tại trạm nhận
sẽ loại bỏ dữ liệu trùng lặp đó.
• TCP cũng cung cấp khả năng điều khiển luồng, phần đầu của liên kết TCP có
vùng đệm (buffer) giới hạn do đó TCP tại trạm nhận chỉ cho phép trạm gửi
truyền một lượng dữ liệu nhất định (nhỏ hơn không gian bufer còn lại). Điều này
tránh xảy ra trường hợp host có tốc độ cao chiếm toàn bộ buffer của host có tốc
độ chậm hơn.
Khuôn dạng của TCP được mô tả trong hình 1.7 :
16 bits source port number 16 bits destination port number
32 bits sequence number
32 bits acknowledgement number
4 bits
header
length
6 bits
Reserved
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
16 bits windows size
Lớp Điện Tử 7 - K48
24
Nguyễn Bá Hiếu Bảo mật mạng bằng công nghệ firewall
16 bits TCP checksum 16 bits urgent pointer
Options ( Nếu có )
Data (Nếu có)
Hình 1.7. Khuôn dạng TCP datagram
Source Port (16 bits ) là số hiệu cổng của trạm nguồn.
Destination Port (16 bits ) là số hiệu cổng của trạm đích.
Sequence Number (32 bits) là số hiệu byte đầu tiên của segment trừ khi bit SYN
được thiết lập. Nếu bit SYN được thiết lập thì sequence number là số hiệu tuần tự khởi
đầu ISN (Initial Sequence Number ) và byte dữ liệu đầu tiên là ISN + 1. Thông thường
trường này là TCP thực hiện việc quản lý từng byte truyền đi trên một kết nối TCP.
Acknowledgment Number (32 bits). Số hiệu của segment tiếp theo mà trạm nguồn
đang chờ nhận và ngầm định báo nhận tốt các segment mà trạm đích đã gửi cho trạm
nguồn.
Header Length (4 bits). Số lượng từ (32bit) trong TCP header, chỉ ra vị trí bắt đầu
của từng vùng dữ liệu vì trường Option có độ dài thay đổi. header length có giá trị từ
20 đến 60 bytes.
Reserved (6 bits). Dành để dùng trong tương lai.
Control bits : các bit dùng để điều khiển
o URG : xác định vùng con trỏ khẩn có hiệu lực.
o ACK : vùng báo nhận ACK number có hiệu lực.
o PSH : chức năng PUSH.
o RST : khởi động lại liên kết.
o SYN : đồng bộ hóa các số hiệu tuần tự (Sequence number).
o FIN : không còn dữ liệu từ trạm nguồn .
Lớp Điện Tử 7 - K48
25
