Bài giảng Mạng máy tính và truyền thông: Chương 6
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (933.19 KB, 18 trang )
Chương 6
Các mơ hình mạng
an tồn
• DMZ (vùng phi qn sự)
• VLAN (mạng LAN ảo)
• NAT (dịch địa chỉ)
Bộ mơn MMT&TT
14/05/2010
1
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về cách
thức xây dựng các mơ hình mạng an tồn.
• Sau khi hồn tất chương, sinh viên có những khả năng:
▫ Phân biệt được khái niệm về Intranet, Extranet và vùng DMZ.
▫ Trình bày mơ hình mạng an tồn với vùng DMZ.
▫ Hiểu được khái niệm VLAN, ích lợi và kỹ thuật xây dựng mơ hình
mạng với VLAN.
▫ Trình bày được khái niệm NAT-PAT và ứng dụng của NAT-PAT
trong việc xây dựng mơ hình mạng an tồn.
Bộ mơn MMT&TT
14/05/2010
2
Mơ hình mạng an tồn
• Khái niệm
Mơ
Mơ hình
hình mạng
mạng an
an toàn
toàn
bao
bao gồm
gồm nhiều
nhiều vùng
vùng vật
vật
lý
lý và
và luận
luận lý
lý với
với nhiều
nhiều
mức
mức bảo
bảo mật
mật khác
khác nhau.
nhau.
Bộ môn MMT&TT
14/05/2010
3
Vùng an ninh
• Khái niệm
Vùng
Vùng an
an ninh
ninh (security
(security zone)
zone) là
là
một
một phần
phần của
của mạng
mạng được
được định
định
nghĩa
nghĩa chung
chung 11 mức
mức an
an ninh.
ninh.
Bộ mơn MMT&TT
Vùng
Vùng an
an ninh
ninh thường
thường
được
được chia
chia ra
ra làm
làm 33 loại:
loại:
•• Intranet
Intranet
•• Extranet
Extranet
•• DMZ
DMZ
14/05/2010
4
Vùng an ninh
• Intranet
Intranet
Intranet
•• Là
Là một
một mạng
mạng dùng
dùng riêng
riêng
•• Sử
Sử dụng
dụng các
các giao
giao thức
thức và
và dịch
dịch
vụ
vụ thông
thông tin
tin tương
tương tự
tự Internet.
Internet.
•• Cung
Cung cấp
cấp các
các dịch
dịch vụ
vụ như
như
Web,
Web, FTP,
FTP, Email,
Email, …
…
Bộ mơn MMT&TT
•• Tốc
Tốc độ
độ cao
cao
•• Dễ
Dễ dàng
dàng truy
truy xuất
xuất các
các tài
tài nguyên
nguyên
•• Sử
Sử dụng
dụng các
các dạng
dạng mạng
mạng như:
như:
++ Ethernet
Ethernet
++ Fast
Fast Ethernet,
Ethernet, Gigabit
Gigabit Ethernet
Ethernet
++ Token
Token ring
ring
++ ATM
ATM
14/05/2010
5
Vùng an ninh
• Extranet
Extranet
Extranet
•• Là
Là một
một Intranet
Intranet có
có kết
kết nối
nối với
với
mạng
mạng dùng
dùng ở
ở ngoài
ngoài như
như các
các khách
khách
hàng,
hàng, đối
đối tác,
tác, nhà
nhà cung
cung cấp,
cấp, …
…
•• Sử
Sử dụng
dụng để
để trao
trao đổi
đổi thơng
thơng tin,
tin,
hợp
hợp tác
tác hoặc
hoặc chia
chia sẻ
sẻ các
các dữ
dữ liệu
liệu
đặc
đặc biệt.
biệt.
•• Có
Có thể
thể nối
nối kết
kết được
được với
với Internet.
Internet.
Bộ mơn MMT&TT
•• u
u cầu
cầu tính
tính riêng
riêng tư
tư và
và bảo
bảo mật
mật
•• Có
Có thể
thể dùng
dùng PKI
PKI hoặc
hoặc kỹ
kỹ thuật
thuật VPN
VPN
để
để thiết
thiết lập
lập nếu
nếu cần
cần độ
độ an
an toàn
toàn cao.
cao.
14/05/2010
6
Vùng an ninh
• DMZ (Demilitarized Zone)
DMZ
DMZ là
là 11 vùng
vùng của
của mạng
mạng được
được thiết
thiết
kế
kế đặc
đặc biệt,
biệt, cho
cho phép
phép những
những người
người
dùng
dùng bên
bên ngồi
ngồi truy
truy xuất
xuất vào.
vào.
Nếu
Nếu vùng
vùng DMZ
DMZ bị
bị tấn
tấn cơng
cơng và
và gây
gây
hại
hại thì
thì vẫn
vẫn khơng
khơng ảnh
ảnh hưởng
hưởng đến
đến
mạng
mạng riêng
riêng của
của tổ
tổ chức.
chức.
Bộ môn MMT&TT
Truy
Truy cập
cập vào
vào vùng
vùng DMZ
DMZ luôn
luôn được
được
điều
điều khiển
khiển và
và giới
giới hạn
hạn bởi
bởi Firewall
Firewall
và
và hệ
hệ thống
thống Router.
Router.
14/05/2010
7
Vùng an ninh
• DMZ - Cách thiết kế
Phân
Phân lớp
lớp DMZ
DMZ (Layered
(Layered DMZ)
DMZ)
•• Đặt
Đặt giữa
giữa 22 firewall
firewall có
có các
các quy
quy
định
định khác
khác nhau.
nhau.
•• Cho
Cho phép
phép bên
bên ngồi
ngồi Internet
Internet nối
nối
kết
kết vào,
vào, nhưng
nhưng chặn
chặn không
không cho
cho
truy
truy cập
cập vào
vào mạng
mạng cục
cục bộ
bộ bên
bên
trong.
trong.
Bộ môn MMT&TT
Tường
Tường lửa
lửa nhiều
nhiều giao
giao diện
diện DMZ
DMZ
(Multiple
(Multiple Interface
Interface Firewall
Firewall DMZ)
DMZ)
•• Dùng
Dùng thiết
thiết bị
bị Firewall
Firewall mạnh
mạnh có
có thể
thể quản
quản
lý
lý các
các lưu
lưu thơng
thơng trên
trên nhiều
nhiều cổng
cổng
•• Hiện
Hiện nay,
nay, mơ
mơ hình
hình này
này được
được sử
sử dụng
dụng
nhiều
nhiều hơn.
hơn.
14/05/2010
8
Vùng an ninh
• DMZ - Cách thiết kế
Mạng
Mạng nội
nội bộ
bộ phải
phải được
được Firewall
Firewall bảo
bảo vệ
vệ
cả
cả từ
từ mạng
mạng bên
bên ngoài
ngoài (Internet)
(Internet) và
và cả
cả
từ
từ vùng
vùng DMZ
DMZ vì
vì vùng
vùng DMZ
DMZ có
có khả
khả năng
năng
bị
bị tấn
tấn công
công và
và khai
khai thác.
thác.
Phải
Phải gia
gia cố
cố hệ
hệ thống
thống DMZ,
DMZ, chẳng
chẳng hạn
hạn ::
•• Gở
Gở bỏ
bỏ các
các dịch
dịch vụ
vụ ítít sử
sử dụng
dụng
•• Gở
Gở bỏ
bỏ các
các thành
thành phần
phần khơng
khơng cần
cần thiết.
thiết.
Bộ mơn MMT&TT
Các
Các máy
máy tính
tính trong
trong vùng
vùng DMZ:
DMZ:
•• Được
Được gọi
gọi là
là Bastion
Bastion host.
host.
•• Có
Có thể
thể được
được truy
truy xuất
xuất từ
từ mạng
mạng nội
nội
bộ
bộ bên
bên trong
trong và
và cả
cả mạng
mạng bên
bên ngoài.
ngoài.
14/05/2010
9
Vùng an ninh
• DMZ – Các dịch vụ bên trong vùng
Các
Các dịch
dịch vụ
vụ trong
trong vùng
vùng DMZ:
DMZ:
•• Web,
Web, Email,
Email, FTP
FTP
•• DNS
DNS
•• IDS
IDS (hệ
(hệ thống
thống phát
phát hiện
hiện xâm
xâm nhập)
nhập)
Bộ môn MMT&TT
Một
Một số
số hệ
hệ thống
thống yêu
yêu cầu
cầu phải
phải đảm
đảm bảo
bảo an
an
toàn
toàn cho
cho vùng
vùng DMZ
DMZ bằng
bằng cách
cách sử
sử dụng
dụng
các
các giao
giao thức
thức bảo
bảo mật
mật như
như SSL,
SSL, TLS.
TLS.
14/05/2010
10
Vùng an ninh
• DMZ – Nhiều vùng trong vùng DMZ
Đặc
Đặc thù
thù yêu
yêu cầu
cầu của
của từng
từng
hệ
hệ thống
thống khác
khác nhau
nhau
⇒
Phải
thiết
lâp
⇒ Phải thiết lâp nhiều
nhiều
vùng
an
ninh
khác
vùng an ninh khác nhau
nhau
⇒
⇒ Các
Các mức
mức bảo
bảo mật
mật cho
cho
từng
từng vùng
vùng thiết
thiết kế
kế cũng
cũng
khác
khác nhau.
nhau.
Các
Các vấn
vấn đề:
đề:
•• Phức
Phức tạp
tạp khi
khi cài
cài đặt,
đặt, bảo
bảo
vệ
vệ và
và quản
quản trị.
trị.
•• Các
Các luật
luật trong
trong Firewall
Firewall
phải
phải lớn
lớn =>
=> dễ
dễ nhầm
nhầm lẫn.
lẫn.
Giải
Giải pháp:
pháp:
•• Dùng
Dùng chiến
chiến thuật
thuật cấm
cấm tất
tất
cả
cả (deny
(deny all)
all)
•• Chỉ
Chỉ cho
cho phép
phép từng
từng dịch
dịch vụ
vụ
riêng
riêng biệt
biệt có
có u
u cầu
cầu
Một hệ thống E-Commerce hiện đại
Bộ mơn MMT&TT
14/05/2010
11
VLAN
• Khái niệm
•• Phân
Phân mạng
mạng lớn
lớn thành
thành
nhiều
nhiều mạng
mạng nhỏ
nhỏ theo
theo
chức
chức năng.
năng.
•• Dùng
Dùng switch
switch có
có hỗ
hỗ trợ
trợ
tính
tính năng
năng VLAN
VLAN
•• Muốn
Muốn liên
liên lạc
lạc giữa
giữa
các
các máy
máy tính
tính trong
trong các
các
VLAN
VLAN khác
khác nhau
nhau phải
phải
dùng
dùng 11 router.
router.
VLAN
VLAN là
là 11 nhóm
nhóm luận
luận lý
lý các
các máy
máy tính,
tính, thiết
thiết bị
bị mạng
mạng mà
mà
khơng
khơng bị
bị giới
giới hạn
hạn vị
vị trí
trí địa
địa lý
lý hay
hay kết
kết nối
nối vật
vật lý
lý giữa
giữa chúng.
chúng.
Bộ môn MMT&TT
14/05/2010
12
VLAN
• Ích lợi
•• Ngăn
Ngăn broadcast
broadcast làm
làm tăng
tăng hiệu
hiệu năng
năng mạng
mạng
•• Tiết
Tiết kiệm
kiệm thiết
thiết bị
bị switch
switch
•• Nâng
Nâng cao
cao tính
tính bảo
bảo mật
mật trong
trong mạng.
mạng.
•• Dễ
Dễ dàng
dàng triển
triển khai
khai và
và quản
quản lý
lý các
các nhóm
nhóm làm
làm việc
việc theo
theo từng
từng VLAN.
VLAN.
Bộ mơn MMT&TT
14/05/2010
13
VLAN
• Trunk
Sử
Sử dụng
dụng giao
giao thức
thức ISL
ISL hoặc
hoặc
802.1Q
802.1Q cho
cho đường
đường trunk
trunk
(Trunk link)
Switch
Switch tự
tự động
động thêm
thêm Tag
Tag
điều
điều khiển
khiển để
để chỉ
chỉ rõ
rõ Frame
Frame
thuộc
thuộc VLAN
VLAN nào
nào khi
khi Frame
Frame
đi
đi vào
vào đường
đường trunk.
trunk.
Bộ môn MMT&TT
14/05/2010
14
NAT (Network Address Translation)
• Khái niệm
NAT
NAT che
che dấu
dấu địa
địa chỉ
chỉ bên
bên
trong
trong mạng
mạng cục
cục bộ
bộ (địa
(địa
chỉ
chỉ private)
private) khi
khi giao
giao tiếp
tiếp
với
với máy
máy tính
tính ở
ở mạng
mạng
Internet
Internet (public)
(public)
Máy
Máy tính
tính bên
bên trong
trong mạng
mạng
LAN
LAN có
có thể
thể nối
nối kết
kết trực
trực
tiếp
tiếp với
với máy
máy tính
tính ở
ở ngồi,
ngồi,
nhưng
nhưng máy
máy tính
tính ở
ở ngồi
ngồi
khơng
“thấy”
được
khơng “thấy” được máy
máy
tính
bên
trong
LAN.
tính bên trong LAN.
Dãy
Dãy địa
địa chỉ
chỉ dùng
dùng riêng
riêng
cho
cho các
các mạng
mạng cục
cục bộ
bộ
Bộ môn MMT&TT
14/05/2010
15
NAT
• Static NAT
NAT
NAT ánh
ánh xạ
xạ 11 địa
địa chỉ
chỉ cục
cục bộ
bộ
(192.168.10.10)
(192.168.10.10) sang
sang 11 địa
địa
chỉ
chỉ thực
thực (209.165.200.226)
(209.165.200.226)
Bộ môn MMT&TT
14/05/2010
Thường
Thường dùng
dùng
cho
cho các
các Server
Server
16
NAT
• Dynamic NAT
Dynamic
Dynamic NAT
NAT tự
tự động
động ánh
ánh xạ
xạ 11 địa
địa
chỉ
chỉ priavte
priavte (192.168.10.10)
(192.168.10.10) sang
sang 11
địa
địa chỉ
chỉ trong
trong dãy
dãy (pool)
(pool) địa
địa chỉ
chỉ public
public
cho
cho trước
trước (209.165.200.226
(209.165.200.226 -- 230)
230)
Bộ mơn MMT&TT
Dùng
Dùng khi
khi có
có được
được nhiều
nhiều
địa
địa chỉ
chỉ thực
thực ở
ở ngoài.
ngoài.
14/05/2010
17
NAT
• PAT (Port Address Translation)
PAT
PAT cịn
cịn gọi
gọi là
là
NAT
NAT Overload
Overload
PAT
PAT ánh
ánh xạ
xạ nhiều
nhiều địa
địa chỉ
chỉ cục
cục bộ
bộ
(192.168.10.11–
(192.168.10.11– 192.168.10.12)
192.168.10.12)
sang
1
địa
chỉ
thực
sang 1 địa chỉ thực với
với các
các cổng
cổng
khác
nhau
(209.165.200.226
khác nhau (209.165.200.226 cổng
cổng
1444
1444 và
và 1445)
1445)
Thích
Thích hợp
hợp cho
cho dạng
dạng
mạng
mạng có
có nhiều
nhiều máy
máy cục
cục
bộ
bộ dùng
dùng chung
chung đường
đường
truyền
truyền Internet
Internet (như
(như
ADSL
ADSL chẳng
chẳng hạn)
hạn)
Bộ môn MMT&TT
14/05/2010
18
