Tải bản đầy đủ (.doc) (103 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Đồ án bảo mật mạng bằng công nghệ firewallv3

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.95 MB, 103 trang )

LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ
chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng
cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở
nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và
cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay
sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà
cịn là kho thơng tin vơ tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet
là nguồn tài ngun vơ giá trong kỉ ngun số hiện nay. Chính vì vậy việc khai thác và
tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công
nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngồi những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy
cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn
đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của
những người làm cơng nghệ thơng tin trên thế giới nói chung và ở Việt Nam nói riêng
khơng chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong
nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng
thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát
hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm
bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập tơi đã tự tìm hiểu các khái niệm cơ bản
về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng
của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng cơng nghệ
firewall có nhiều tính ứng dụng trong thực tiễn.
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy
tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP,

Lớp Điện Tử 7 - K48

1



giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo
mật phổ biến nhất hiện nay.
Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mơ hình bảo mật
bằng Firewall cho hệ thống mạng doanh nghiệp.
Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu
Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP
Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công
nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh
Thao , Mr Christian Tusborg – IT manager Skills Group đã giúp tơi thực hiện đồ án
này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu q rộng, lượng thơng tin và tài liệu
cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ khơng tránh
khỏi những thiếu sót, tơi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội
đồng và các bạn.
Trân trọng cảm ơn .

Lớp Điện Tử 7 - K48

2


TÓM TẮT ĐỒ ÁN
Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực cơng nghệ thơng tin
nó là tổng hịa nhiều cơng nghệ khác nhau nhằm mang lại sự an tồn cho hệ thống
thơng tin của một tổ chức nào đó.
Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn
mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thơng có tính chất
tồn cầu chứ khơng chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu
vực. Vì vậy để bảo đảm an tồn thơng tin trong q trình truyền thơng thì các phương

pháp bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó.
Phần I của đồ án này sẽ đưa ra một cái nhìn tồn diện về mơ hình truyền thơng
trên mạng Internet và những hình dung chung nhất về các cơng nghệ bảo mật trong một
bức tranh tổng thể. Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay tôi
sẽ đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường
lửa”,
Phần II của đồ án sẽ tập trung giải quyết vấn đề này . Trên cơ sở lý luận đã
nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa
chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn
cao tơi sẽ trình bày các phương pháp triển khai cơng nghệ bức tường lửa trong hệ thống
thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan.
Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn tồn
cảnh về bức tranh bảo mật nói chung và cơng nghệ bức tưởng lửa nói riêng. Theo nhịp
độ phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn,
chính vì vậy các cơng nghệ cũng cần khơng ngừng được cải tiến không ngừng để đảm
bảo cho một nền thơng tin an tồn và bền vững.

Lớp Điện Tử 7 - K48

3


THESIS SUMMARY
Information security is a wide-reaching and complex term because it is made up
of many high technologies in order to make our information system more secure.
Today, most information systems must meet the international standards because
information transportation takes place not only in a organization itseft or in a region
but also all over the world. Therefore to secure information exchanged, the security
technologies used must meet international standards.
The first Part of my thesis will provide an overview of information

transportation process in the Internet and a genaral picture of information security
technologies. I will do a thorough research on firewall technology, one of the most
popular and effective security methods in the second part of my thesis.
It’s essential that research results be successfully applicable in real-life selected
technologies. Bearing this in mind, I will clarify applications of firewall technology
into information systems in enterprises in addition to visual illustrations. All of these
are presented in third part.
Hopefully, readers will have general understanding of security technologies in
general and firewall technology in particular. As technological progresses take place
nearly every minute, hacking activities have become increasingly damaging and
seemingly uncontrollable. Hence, security technologies must be steadily improved for
the sake of a well-sustained information system.

Lớp Điện Tử 7 - K48

4


MỤC LỤC
LỜI NÓI ĐẦU.......................................................................................................... 1
TÓM TẮT ĐỒ ÁN.................................................................................................... 3
THESIS SUMMARY................................................................................................ 4
DANH SÁCH HÌNH VẼ........................................................................................... 5
DANH SÁCH CÁC TỪ VIẾT TẮT.......................................................................... 8
LỜI MỞ ĐẦU........................................................................................................ 10
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.................................................... 12
Chương 1............................................................................................................. 12
MƠ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP................................................... 12
1.1. GIỚI THIỆU CHUNG............................................................................. 12
1.2. MƠ HÌNH OSI......................................................................................... 12

1.3. KIẾN TRÚC TCP/IP............................................................................... 14
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP . .17
1.4.1. Giao thức IP (Internet Protocol)........................................................ 17
1.4.2. Giao thức UDP ( User Datagram Protocol )..................................... 21
1.4.3. Giao thức TCP ( Transmission Control Protocol )............................22
1.5. Q TRÌNH ĐĨNG MỞ GĨI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC
LỚP................................................................................................................. 30
Chương 2............................................................................................................. 32
KHÁI NIỆM BẢO MẬT.................................................................................... 32
2.1. KHÁI NIỆM BẢO MẬT......................................................................... 32
2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN............................................ 31
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH........................................................ 34
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU....................36
Chương 3............................................................................................................. 45
CÁC CÔNG NGHỆ BẢO MẬT......................................................................... 45
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP.................................................. 45
3.1.1. Bảo mật ở mức vật lý........................................................................ 46
3.1.2. Bảo mật sử dụng bức tường lửa........................................................ 47
3.1.3. Bảo mật sử dụng lọc gói dữ liệu....................................................... 49
3.1.4. Bảo mật sử dụng các phương pháp mã hóa....................................... 50
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê............53
3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI................................. 54
Phần II..................................................................................................................... 56
CƠNG NGHỆ FIREWALL VÀ ỨNG DỤNG........................................................ 56
Chương I............................................................................................................. 56
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL................................................... 56
1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL56

Lớp Điện Tử 7 - K48


5


1.2. ĐỊNH NGHĨA FIREWALL..................................................................... 58
1.3. PHÂN LOẠI FIREWALL....................................................................... 59
1.3.1. Firewall phần mềm........................................................................... 59
1.3.2. Firewall phần cứng.......................................................................... 59
1.4. CHỨC NĂNG CỦA FIREWALL........................................................... 59
1.4.1. Điều khiển truy nhập (Access Control)............................................ 59
1.4.1.1. Vị trí xảy ra q trình lọc gói .................................................... 59
1.4.1.2. Hoạt động lọc gói (Packet Filtering).......................................... 61
1.4.1.3. Luật lọc ( Filtering Rules)......................................................... 61
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy
Application)............................................................................................ 62
1.4.2. Quản lý xác thực (User Authentication)............................................ 64
1.4.3. Kiểm tra và Cảnh báo (Activity Logging and Alarms).....................65
1.4.3.1. Chức năng kiểm tra (Activity logging)...................................... 65
1.4.3.2. Chức năng cảnh báo (Alarm)..................................................... 65
Chương 2............................................................................................................. 66
CÁC KIẾN TRÚC FIREWALL CƠ BẢN.......................................................... 66
2.1. FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66
2.2. FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER)........................ 67
2.2.1. Gateway mức mạng (Network Level Gateway)................................ 68
2.2.2. Gateway mức ứng dụng (Application level Gateway)......................68
2.3. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering).......70
2.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL )
........................................................................................................................ 71
2.4.1. Dạng thứ nhất là máy phịng thủ có hai card mạng...........................71
2.4.2. Dạng thứ hai là máy phòng thủ có một card mạng............................ 71
Chương 3............................................................................................................. 72

NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL........................72
3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM”............................................. 72
3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG”............................................ 75
3.2.1. Cơ chế lọc gói tin :............................................................................ 75
3.2.2. Một số đặc điểm ACL:...................................................................... 75
3.2.3. Phân loại ACL.................................................................................. 76
3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control
Lists)....................................................................................................... 76
3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access
Control Lists).......................................................................................... 77
3.2.3.3. So sánh giữa standard ACL và extended ACL........................... 78
3.2.4. Ứng dụng ACL................................................................................. 79
3.3. NAT........................................................................................................ 79
3.3.1. Cấu hình NAT trên nhiều cổng........................................................ 83
3.3.2. Phiên dịch địa chỉ động.................................................................... 84
3.3.3. Phiên dịch địa chỉ tĩnh...................................................................... 85
Lớp Điện Tử 7 - K48

6


3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation)
.................................................................................................................... 85
3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall........................ 86
3.4.1. Vận chuyển giao thức TCP............................................................... 86
3.4.2. Vận chuyển giao thức UDP............................................................... 88
3.5. Một số kỹ thuật khác được sử dụng trong Firewall................................. 89
3.5.1. Kỹ thuật thẩm kế an toàn.................................................................. 89
3.5.2. Kỹ thuật lõi an toàn........................................................................... 89
3.5.3. Kỹ thuật cân bằng phụ tải................................................................. 90

3.6. Sự kết hợp các biện pháp kỹ thuật.......................................................... 90
Chương 4............................................................................................................. 91
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL........................................... 91
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN
NINH MẠNG................................................................................................. 92
4.1.1. Mạng bên trong(Inside Network)...................................................... 92
4.1.2. Mạng bên ngoài (Outside Network).................................................. 92
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ)................................. 92
4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP...............93
4.2.1. Kiến trúc cơ bản................................................................................ 93
4.2.2. Dual-Homed System......................................................................... 94
4.2.3. Kiến trúc Screening Host.................................................................. 95
4.2.4. Kiến trúc Screened Subnet................................................................ 96
4.3. CÁC MƠ HÌNH FIREWALL PHỨC TẠP.............................................. 97
4.4. Đánh giá Firewall................................................................................... 100
KẾT LUẬN........................................................................................................... 103
TÀI LIÊỤ THAM KHẢO..................................................................................... 105

Lớp Điện Tử 7 - K48

7


DANH SÁCH HÌNH VẼ
Hình 1.1. Mơ hình tham chiếu OSI
Hình 1.2. Kiến trúc TCP/IP
Hình 1.3. Khn dạng IP datagram
Hình 1.4. Phân lớp địa chỉ IP
Hình 1.6. Khn dạng UDP datagram
Hình 1.7. Khn dạng TCP datagram

Hình 1.8. Thiết lập và giải phóng liên kết
Hình 1.9. Cơ chế cửa sổ trượt
Hình 1.10. Q trình đóng /mở gói dữ liệu
Hình 1.11 . Mục tiêu CIA
Hình 1.12 . Quy trình bảo mật
Hình 1.13.Tấn cơng kẻ trung gian
Hình 1.14. Mơ hình bảo mật theo lớp
Hình 1.15 Bảo mật sử dụng bức tường lửa
Hình 1.16 . Các loại IPS
Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu
Hình 1.18 . Kết nối từ xa sử dụng VPN
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet
Hình 2.2. Các vị trí có thể kiểm sốt gói tin trong tầng giao thức
Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP
Hình 2.4. Hoạt dộng của người đại diện ứng dụng
Hình 2.5 Tưởng lửa lọc gói tin.
Hình 2.6. Tường lửa dịch vụ ủy thác
Hình 2.7. Giao tiếp trên mạng thơng qua proxy server
Hình 2.8. Pháo đài phịng ngự
Hình 2.9. Sơ đồ hoạt động của ISA Server
Hình 2.10. Hoạt động của Standard ACL
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an tồn khác nhau
Hình 2.12. Chức năng phân vùng của firewall
Hình 2.13 . Quá trình phiên dich địa chỉ
Hình 2.14 . Cấu hình NAT trên nhiều cổng
Hình 2.15. Phiên dịch địa chỉ từ mạng trong ra mạng ngồi
Hình 2.16 Q trình tạo một kết nối TCP từ bên trong ra bên ngồi
Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng
Hình 2.18 . Kiến trúc firewall cơ bản
Hình 2.19. Hệ Dual-Homed system

Hình 2.20. Hệ screening host
Lớp Điện Tử 7 - K48

15
16
20
22
23
25
27
29
30
33
35
39
46
47
49
50
52
58
60
61
62
67
67
69
71
74
76

79
81
82
83
84
87
91
94
95
95
8


Hình 2.21. Hệ Sreened Subnet

96

DANH SÁCH CÁC TỪ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

Chú thích

FW

Firewall

Bức tường lửa


VPN

Virtual Private Network

Mạng riêng ảo

NAT

Network Address Translation

Phiên dịch địa chỉ mạng

OSI

Open Systems Interconnection

CSU/DSU
LAN

Chanel Service Unit/ Digital Service
Unit
Local Area Network

Mơ hình liên kết các hệ
thống mở
Đơn vị dịch vụ kênh và
đơn vị dịch vụ số
Mạng cục bộ

MAN


Metropolitan Area Network

Mạng đơ thị

GAN

Global Area Network

Mạng tồn cầu

CAN

Campus Area Network

Mạng trường học

WAN

Wide Area Network

Mạng diện rộng

SAN

Storage Area Network

Mạng lưu trữ

VPN


Vitual Private Network

Mạng riêng ảo

IEEE

Tổ chức chuẩn IEEE

IBM

Institue of Electrical and Electronic
Engineers
International Business Machines

PC

Personal Computer

Máy vi tính

RF

Radio Frequency

Tần số radio

NIC

Network Interface Card


Card giao tiếp mạng

AP

Access Point

Điểm truy cập

ISO

Tổ chức chuẩn ISO

CSDL

International Organization for
Standardizations
Cơ sở dữ liệu

FTP

Fire Transfer Protocol

Giao thức truyền file

SMTP

Simple Mail Transfer Protocol

Giao thức truyền email


DNS

Domain Name System

Hệ thống tên miền

HTTP

Hypertext Transfer Protocol

Giao thức truyền tải nội
dung trên mạng

Lớp Điện Tử 7 - K48

Tập đoàn IBM

9


Từ viết tắt

Từ đầy đủ

Chú thích

TCP

Transmission Control Protocol


UDP

User Datagram Protocol

Giao thức điều khiển
đường truyền
Giao thức UDP

IP

Internet Protocol

Giao thức mạng

IPX

Internetwork Packet Exchange

Giao thức mạng

DoS

Denial of Service

Từ chối dịch vụ

ACL

Access Control List


RFC

Request For Comments

Danh sách điều khiển truy
cập
Tổ chức chuẩn RFC

IETF

Internet Engineering Task Force

Tổ chức chuẩn IETF

Lớp Điện Tử 7 - K48

10


LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền
bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản
đồ án này được tôi chia thành 3 phần với những nội dung như sau:
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.
Phần này trình bày các khái niệm về mơ hình truyền thơng OSI và bộ giao thức
TCP/IP, khái niệm bảo mật và giới thiệu các cơng nghệ bảo mật trên nền bộ giao thức
đó. Các nội dung được trình theo các chương sau:
Chương 1: Mơ hình OSI và bộ giao thức TCP/IP
Trình bày mơ hình truyền thơng tin trên mạng Internet theo các lớp và đi sâu tìm

hiểu 3 giao thức cơ bản IP, UDP, TCP.
Chương 2: Khái niệm bảo mật
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương
pháp tấn công thường gặp.
Chương 3: Các công nghệ bảo mật
Tìm hiểu các cơng nghệ bảo mật thường được sử dụng và các biện pháp kết hợp
để bảo mật hệ thống.
PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung
chi tiết liên quan đến cơng nghệ này. Nội dung đó nằm trong các chương sau:
Chương 4: Bức tường lửa
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng
loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh
nghiệp
KẾT LUẬN
Lớp Điện Tử 7 - K48

11


PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
Chương 1
MƠ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
Truyền thông tin trên mạng là một q trình phức tạp địi nhiều cơng nghệ hỗ
trợ và phải trải qua nhiều giai đoạn khác nhau. Công nghệ càng hiện đại cho phép
thông tin được truyền đi càng nhanh chóng với độ tin cậy cao. Tuy nhiên để có thể khai
thác và quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng
bộ về cơng nghệ trong q trình truyền tin. Xuất phát từ các nhu cầu đó mơ hình OSI

và bộ giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng
hiện nay.
Trong chương này tơi giới thiệu mơ hình OSI và bộ giao thức TCP/IP để đưa ra
cái nhìn tổng quan về q trình truyền tin trên các mạng truyền thơng nói chung và
mạng Internet nói riêng. Và đó cũng là nền tảng để phân tích, xây dựng và triển khai
các kế hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
1.1. GIỚI THIỆU CHUNG
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong
những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ
những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép
các hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được
áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn
Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái qt nhất mơ
hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System
Interconnection) OSI.

Lớp Điện Tử 7 - K48

12


1.2. MƠ HÌNH OSI
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và khơng tương
thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo
khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng
một mơ hình tiêu chuẩn cho các mạng gọi là mơ hình tham chiếu cho việc liên kết các
hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mơ
hình tham chiếu OSI (OSI Reference Model).
Mơ hình OSI gồm 7 tầng thực hiện các chức năng sau:

Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi
bit theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin
qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều
khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối
ưu trên mạng ngồi ra cịn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên
nhận, có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền thơng.
Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu
cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Tầng ứng dụng (Application Layer): Đóng vai trị là giao diện giữa mơi trường
OSI và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng
dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.

Lớp Điện Tử 7 - K48

13


Hình 1.1. Mơ hình tham chiếu OSI
1.3. KIẾN TRÚC TCP/IP
Thơng thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có
chức năng riêng trong việc xử lý thông tin. Bộ giao thức TCP/IP là tổ hợp của nhiều
giao thức ở các tầng khác nhau nhưng thông thường mơ hình phân lớp trong các hệ
thống TCP/IP được xem là mơ hình giản lược của mơ hình OSI gồm 4 lớp như sau:

Hình 1.2. Kiến trúc TCP/IP


Lớp Điện Tử 7 - K48

14


1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay
còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mơ hình TCP/IP bao gồm
thiết bị giao tiếp mạng và chương trình cung cấp các thơng tin cần thiết để nó có thể
hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.

2. Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp các dữ
liệu trên mạng. Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ trợ cho
việc vận chuyển các gói dữ liệu như IP (Internet Protocol), ICMP (Internet Control
Message Protocol) và IGMP ( Internet Group Management Protocol).

3. Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ liệu
giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên. Trong bộ giao thức TCP/IP tầng

Lớp Điện Tử 7 - K48

15


giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User
Datagram Protocol)

-

TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết
(Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment,

thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …

-

UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một
datagram) không hướng liên kết và thiếu tin cậy.
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm

bởi tầng ứng dụng.
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mơ hình TCP/IP bao
gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có
rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).

Lớp Điện Tử 7 - K48

16


Mơ hình OSI ra đời trước đó là mơ hình tham chiếu cho việc học tập và nghiên
cứu khơng có tính ứng dụng cao trong thực tiễn. Mơ hình TCP/IP là kế thừa của mơ
hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng
hiện nay. Tuy nhiên hai mơ hình trên không loại trừ lẫn nhau mà tồn tại song song
đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa
việc xây dựng và phát triển hệ thống mạng truyền thơng trên phạm vi tồn thế giới.
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP
1.4.1. Giao thức IP (Internet Protocol)

Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con
thành liên kết mạng để truyền dữ liệu. IP là giao thức cung cấp dịch vụ phân phát
datagram theo kiểu không liên kết và không tin cậy nghĩa là khơng cần có giai đoạn
thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích
và khơng duy trì bất kì thông tin nào về datagram đã gửi đi.
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3
Ý nghĩa tham số các trường trong IP header:
 Version (4bit) chỉ version hiện tại của IP được cài đặt.

Lớp Điện Tử 7 - K48

17


 Header length(4 bit) chỉ độ dài phần mào đầu của datagram. Bao gồm cả phần
lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi khơng có
Option

Hình 1.3. Khn dạng IP datagram
 TOS (Type of service 8 bits) chỉ loại dịch vụ. Các loại dịch vụ gồm có:
o

Độ trễ nhỏ nhất

o

Thơng lượng lớn nhất

o


Độ tin cậy cao nhất

o

Chi phí thấp nhất

 Total length (16 bits) chỉ độ dài toàn bộ khung IP datagram tính theo bytes.
Dựa vào trường này và trường header length ta tính được vị trí bắt đầu của dữ liệu
trong IP datagram.
 Identification (16 bits) là trường định danh, cùng các tham số khác như Source
address và Destination address để định danh duy nhất cho mỗi datagram được gửi
tới 1 host. Thông thường phần Identification được tăng thêm 1 khi datagram được
gửi đi.
 Flags ( 3 bits )các cờ được sử dụng khi phân đoạn các datagram
0
1
2
0
DF
MF
o bit 0: reserved chưa sử dụng có giá trị 0
o bit 1: ( DF ) = 0 (May fragment)

Lớp Điện Tử 7 - K48

18


= 1 (Don’t fragment)
o bit 2 : ( MF) =0 (Last fragment)

=1 (More Fragment)
 Fragment offset (13 bits) chỉ vị trí của đoạn Fragment trong datagram tính theo
đơn vị 64 bits.
 TTL (8 bits) thiết lập thời gian tồn tại của datagram để tránh tình trạng
datagram đi lang thang trên mạng. TTL thường có giá trị 32 hoặc 64 tùy theo hệ
điều hành và được giảm đi 1 khi dữ liệu đi qua mỗi router. Khi trường này bằng 0
datagram sẽ bị hủy bỏ và sẽ thông báo lại cho trạm gửi.
 Protocol (8 bits) chỉ giao thức tầng trên kế tiếp sẽ nhận vùng dữ liệu ở trạm đích
thường là TCP hay UDP.
 Header checksum (16 bits) để kiểm soát lỗi cho vùng IP header.
 Source address (32 bits) địa chỉ IP trạm nguồn.
 Destination Address (32 bits) địa chỉ IP trạm đích.
 Options (độ dài thay đổi) khai báo các tùy chọn do người sử dụng yêu cầu,
thường là:
o

Độ an toàn và bảo mật.

o

Bảng ghi tuyến mà datagram đã đi qua được ghi trên đường

truyền.
o

Time stamp.

o

Xác định danh sách địa chỉ IP mà datagram phải trải qua nhưng


không bắt buộc phải truyền qua router định trước.

o

Xác định tuyến trong đó các router mà IP datagram phải được

đi qua
Địa chỉ IP (IP address)
Là số hiệu mã hóa để định danh một trạm trên mạng Internet được gọi là
địa chỉ IP. Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng (mỗi vùng
gồm 1 byte) thường được biểu diễn dưới dạng thập phân có dấu chấm
Lớp Điện Tử 7 - K48

19


(Dotted-decimal notation), người ta chia địa chỉ IP thành 5 lớp ký hiệu
A,B,C,D,E với cấu trúc như

Hình1. 4. Phân lớp địa chỉ IP
Lớp
A

Khoảng địa chỉ
0.0.0.0 đến 127.255.255.255

B

128.0.0.0 đến 191.255.255.255


C

192.0.0.0 đến 223.255.255.255

D

224.0.0.0 đến 239.255.255.255

E

240.0.0.0 đến 247.255.255.255
Hình 1.5 Các lớp địa chỉ Internet

Để phân biệt giữa các lớp địa chỉ người ta dùng các bits đầu tiên của byte đầu tiên để
định danh lớp địa chỉ.
Định tuyến (IP routing)
Bên cạnh việc cung cấp địa chỉ để chuyển phát các gói tin, định tuyến là một
chức năng quan trọng của giao thức IP.
Ta thấy rằng lớp IP nhận datagram từ lớp dưới chuyển lên và có trách nhiệm
định tuyến cho các gói tin đó. Tại lớp IP mỗi thiết bị định tuyến có một bảng định
tuyến chứa đường đi tốt nhất đến một mạng nào đó. Các thiết bị định tuyến đó là
Lớp Điện Tử 7 - K48

20



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×