Giới thiệu các thiết bị kết nối mạng - Môn giám sát và ứng phó sự cố - Học Viện Kỹ Thuật Mật Mã
Các thiết bị liên kết mạng là thành phần không thể thiếu khi muốn thiết lập và mở rộng quy mô cũng như phạm vi của mạng máy tính. Hình 3.13 tổng hợp việc sử dụng các thiết bị, phương tiện truyền dẫn theo quy mô và phạm vị của mạng. Trong mục này, chúng ta cùng tìm hiểu về chức năng, hoạt động của các thiết bị liên kết mạng như: Repeater, Bride, Hub, Switch, Router, Gateway, và một số thiết bị, giải pháp đảm bảo an toàn mạng máy tính. Tài liệu giúp bạn tham khảo và đạt kết quả tốt. Mời bạn đọc đón xem!
Môn: Tiểu luận môn Giám sát và ứng phó sự cố an toàn mạng
Trường: Học viện kỹ thuật mật mã
Thông tin:
Tác giả:
Preview text:
lOMoARcPSD|47892172
3.2.4. Các thiết bị kết nối mạng
Các thiết bị liên kết mạng là thành phần không thể thiếu khi muốn thiết lập và mở
rộng quy mô cũng như phạm vi của mạng máy tính. Hình 3.13 tổng hợp việc sử dụng các
thiết bị, phương tiện truyền dẫn theo quy mô và phạm vị của mạng. Trong mục này, chúng
ta cùng tìm hiểu về chức năng, hoạt động của các thiết bị liên kết mạng như: Repeater,
Bride, Hub, Switch, Router, Gateway, và một số thiết bị, giải pháp đảm bảo an toàn mạng máy tính.
Hình 3.13. Vị trí của các thiết bị liên kết mạng trong mô hình mạng
a) Bộ khuếch đại Repeater
Tín hiệu truyền đi trên khoảng cách lớn có thể bị suy hao. Do đó, muốn phục hồi tín
hiệu để có thể truyền tiếp đi trên đường truyền đến các trạm ở xa, cần sử dụng thiết bị Repeater. 1 lOMoARcPSD|47892172
Hình 3.14. Hoạt động của Repeater
Chức năng của Repeater là:
• Khuếch đại, phục hồi các tín hiệu đã bị suy yếu do tổn thất năng lượng trong khi truyền.
• Cho phép mở rộng mạng vượt xa chiều dài giới hạn của một môi trường truyền. 2 lOMoARcPSD|47892172
• Chỉ được dùng nối hai mạng có cùng giao thức mạng (các mạng giống nhau về
kiểu frame dữ liệu nhưng có thể khác nhau về topo mạng, kiểu kết nối cáp mạng).
Hình 3.15a. Repeater kết nối 2 segment mạng hình BUS
Hình 3.15b. Repeater kết nối 2 segment mạng hình STAR
Repeater hoạt động ở tầng vật lý trong mô hình OSI, nó không thể lọc các tín hiệu
mà chỉ có thể khuếch đại tín hiệu. Tuy nhiên, nếu trên mạng có nhiều tiếng ồn hoặc tín
hiệu gốc bị méo thì Repeater không thể loại bỏ tiếng ồn hoặc xử lý lại tín hiệu gốc đó.
Uu điểm chính của Repeater là mở rộng phạm vi của mạng, rẻ và đơn giản, dễ sử
dụng. Tuy nhiên, nếu mạng quá rộng thì thời gian trễ sẽ tăng lên. Vì thế, việc dùng các
Repeater phải tuân theo quy tắc 5-4-3 (quy tắc của Ethernet). b) Bộ tập trung Hub
Chức năng như Repeater nhưng mở rộng hơn với nhiều đầu cắm (port) cho việc kết
nối đến nhiều thiết bị với các loại cáp mạng khác nhau. Hub tạo ra điểm kết nối tập trung
để kết nối mạng theo kiểu hình sao. lOMoARcPSD|47892172
Hình 3.16. Hub và cách kết nối mạng sử dụng Hub
Nếu phân loại theo phần cứng thì có 3 loại Hub:
• Hub đơn (Stand alone hub): Có số cổng cố định, không có khả năng mở rộng thêm số cổng.
• Hub mô đun (Modular Hub): Rất phổ biến cho các hệ thống mạng có thể dễ dàng
mở rộng và luôn có chức năng quản lý, các modular có từ 4 đến 14 khe cắm, có
thể lắp thêm các môđun theo các chuẩn khác nhau, ví dụ Ethernet 10BaseT, 100BaseT, v.v.
• Hub phân tầng (Stackable hub): Lý tưởng cho các cơ quan muốn đầu tư tối thiểu
ban đầu nhưng lại có kế hoạch phát triển LAN sau này.
Nếu phân loại theo khả năng thì có 2 loại:
• Hub thụ động (Passive Hub): chỉ đảm bảo chức năng kết nối, không xử lý lại tín hiệu.
• Hub chủ động (Active Hub): có khả năng khuếch đại và xử lý các tín hiệu truyền
giữa các thiết bị của mạng. Quá trình xử lý tín hiệu được gọi là tái sinh tín hiệu,
làm cho tín hiệu trở nên tốt hơn, ít nhạy cảm với lỗi, do vậy khoảng cách giữa
các thiết bị có thể tăng lên. Tuy nhiên kéo theo giá thành cao hơn nhiều so với Hub bị động.
Các Hub thông minh (Intelligent Hub) là Hub chủ động nhưng có thêm khả năng tạo
ra các gói tin thông báo hoạt động của mình giúp cho việc quản trị mạng dễ dàng hơn, có
thể định dạng, kiểm tra và cho phép hoặc không cho phép bởi người quản trị mạng từ trung tâm quản lý Hub. Hoạt động của Hub:
• Tín hiệu Hub thu được sẽ được phân phối đến tất cả các cổng của nó.
• Tại một thời điểm, chỉ có dữ liệu của một phiên liên lạc được Hub xử lý.
• Mỗi node chia sẻ chung băng thông (ví dụ: 10 Mbps). Do đó, trong mạng sử
dụng càng nhiều node thì tốc độ mạng càng chậm. lOMoARcPSD|47892172
Hình 3.17. Hoạt động của Hub
Hình 3.18. Tín hiệu truyền trong mạng sử dụng Hub
Trong mạng sử dụng Hub, nếu tại 1 thời điểm có 2 luồng dữ liệu được gửi nhận giữa
các máy tính thì sẽ xảy ra xung đột (Collision), Hub không có khả năng phân biệt 2 luồng
dữ liệu này để gửi nhận đúng đích. lOMoARcPSD|47892172
Hình 3.19. Khả năng xung đột trong mạng sử dụng Hub Quy tắc 5-4-3
Để đảm bảo quá trình truyền nhận dữ liệu được ổn định trong mạng, các kết nối
mạng phải tuân theo quy tắc 5-4-3: • 5 cable segments in series
• 4 Repeaters, or Hubs (4 repeater hops) • 3 populated segments
Hình 3.20 minh họa một ví dụ về thiết kế mạng LAN theo quy tắc 5-4-3.
Hình 3.20. Ví dụ về luật 5-4-3 lOMoARcPSD|47892172
Như vậy, kết nối giữa 2 host bất kỳ trong một mạng LAN không được có nhiều hơn 4
Repeater/Hub nối tiếp nhau. Nếu kết nối các Repeater/Hub song song thì không được quá 3 cấp.
c) Bộ chuyển mạch Switch
Switch là thiết bị giống Bridge và Hub cộng lại nhưng thông minh hơn. Switch có
khả năng chỉ chuyển dữ liệu đến đúng thiết bị đích, và làm giảm xung đột (collision) trên
mạng. Switch có tốc độ xử lý nhanh hơn Hub và Bridge, và có thể hỗ trợ nhiều chức năng
khác như: Phân đoạn mạng trong các mạng cục bộ lớn thành các mạng LAN ảo (Virtual
LAN - VLAN). Switch có chức năng định tuyến giữa các VLAN gọi là Switch Layer 3.
Switch hoạt động ở tầng Data Link: Lọc các frame dữ liệu dựa vào thông tin điều khiển trên frame đó.
Hình 3.21a. Bộ chuyển mạch Switch và cách kết nối mạng sử dụng Switch
Switch đôi khi được mô tả như là một Bridge nhiều cổng. Trong khi một Bridge cơ
bản chỉ có 2 cổng kết nối đến 2 phân đoạn mạng (segment) khác nhau, thì Switch có thể
có nhiều cổng tùy thuộc vào việc nó có bao nhiêu phân đoạn mạng kết nối đến.
Giống như Brigde, Switch học các thông tin quan trọng của các gói dữ liệu mà nó
nhận được từ các thiết bị khác trong mạng. Switch dùng những thông tin này để xây dựng
bảng lưu trữ các địa chỉ MAC của các thiết bị kết nối trực tiếp đến các cổng (port) của nó,
gọi là bảng CAM, từ đó, xác định và chuyển gói dữ liệu đến đúng đích mà dữ liệu cần
gửi đến, các node mạng không phải là node đích sẽ không nhận được gói dữ liệu đó. Đây
là đặc điểm khác biệt lớn nhất giữa Switch và Hub hay Bridge. Để đảm bảo các tính năng
đó, switch có cơ chế tự học và cơ chế chuyển tiếp. lOMoARcPSD|47892172
Hình 3.21b. Hoạt động của Switch
Hình 3.21c. Bảng CAM trên Switch
Cơ chế tự học:
Switch tự nhận biết địa chỉ MAC của các máy kết nối với nó, thông qua việc lọc các
frame đi qua nó. Lưu vào bảng chuyển tiếp các thông tin về địa chỉ MAC của máy đó,
cùng số hiệu interface của switch mà máy đó kết nối đến.
Cơ chế chuyển tiếp:
Khi switch nhận được một frame, nó sẽ thực hiện như sau:
1. Tìm địa chỉ cổng vào của frame
2. Tìm địa chỉ cổng ra, bằng cách dùng bảng chuyển tiếp (bảng CAM) 3. IF tìm thấy cổng ra THEN {
IF cổng ra == cổng vào THEN hủy bỏ Frame lOMoARcPSD|47892172
ELSE chuyển tiếp frame đến cổng ra } ELSE quảng bá Frame.
Switch là bộ chuyển mạch thực sự. Tại một thời điểm, switch cho phép nhiều cặp
liên kết cùng hoạt động. Ví dụ, A gửi dữ liệu đến B‟, C gửi dữ liệu đến C‟, mà không có
xung đột. Giao thức CSMA/CD được sử dụng trên mỗi link, không bị xung đột với các
link khác. Do vậy, ta nói, mỗi interface của switch tạo nên một vùng xung đột riêng (Collision Domain).
Hình 3.22. Switch xử lý đồng thời nhiều phiên liên lạc
Phân loại Switch theo chế độ hoạt động:
• Cut-through mode : Chỉ đọc địa chỉ MAC đích và chuyển frame dữ liệu ra port
đích. Ưu điểm: Tốc độ xử lý nhanh, thời gian trễ nhỏ. Nhược điểm: không kiểm
soát lỗi và lưu lượng, chỉ sử dụng cho Ethernet cùng tốc độ các port.
• Store and Forward Mode : Switch đọc toàn bộ nội dung 1 frame dữ liệu, kiểm
tra lỗi rồi mới truyền ra port đích. Ưu điểm: Truyền dữ liệu tin cậy hơn, truyền
được giữa các port khác tốc độ và khác chuẩn. Nhược điểm: Tốc độ xử lý chậm, thời gian trễ lớn.
d) Thiết bị điều chế và giải điều chế MODEM
Modem là tên viết tắt của hai từ điều chế (MOdulation) và giải điều chế
(DEModulation). Chức năng ban đầu và là chức năng chính của modem là điều chế tín lOMoARcPSD|47892172
hiệu số (Digital) sang tín hiệu tương tự (Analog) để gửi theo đường điện thoại và ngượclại. Hình 3.23. Modem
Tín hiệu số từ máy tính đến Modem, được Modem biến đổi thành tín hiệu tương tự
để có thể đi qua mạng thoại. Tín hiệu này đến Modem được biến đổi ngược lại thành tín
hiệu số đưa vào máy tính.
Các kỹ thuật điều chế cơ bản:
• Điều chế biến đổi biên độ (Amplitude Modulation)
• Điều chế pha (Phase Modulation)
• Điều chế tần số (Frequency Modulation)
Hiện có rất nhiều modem hiện đại từ loại thấp: 300, 600, 1200, 2400bit/s đến loại
9600, 14400, 28800, 56600 bit/s. Với tốc độ truyền tương đối cao trên đường biên hẹp
nên đòi hỏi những kỹ thuật điều chế phức tạp.
Một đặc điểm cơ bản của modem là nó có thể điều chế và giải điều chế các tín hiệu
mang tin thành các tín hiệu đường dây để có thể truyền đi xa trong kết nối WAN. Quá
trình điều chế có thể là đối với tín hiệu số hoặc tín hiệu tương tự, điều này thì Router
không thể làm được nếu không lắp thêm card chuyên dụng. Modem không có chức năng
định tuyến cao cấp, ko cấu hình được giao thức định tuyến, cũng như nhiều tính năng
khác của router, chỉ có tác dụng kết nối đến ISP và làm gateway cho mạng để kết nối ra ngoài.
Phân loại theo môi trường truyền:
• Modem tương tự (mạng điện thoại)
• Modem ADSL (mạng điện thoại): Modem XDSL, quang, v.v.
• Modem cáp (mạng truyền hình cáp)
• Modem điện lực (mạng truyền thông điện lực) lOMoARcPSD|47892172
• Modem vệ tinh (mạng vệ tinh)
Modem ADSL (router ADSL) có 2 chế độ hoạt động:
Chế độ bridge: Ở chế độ hoạt động này, modem ADSL (router ADSL) như một cầu
nối. Khi đó modem ADSL (router ADSL) không còn chức năng định tuyến nữa. Modem
ADSL lúc này chỉ thực hiện chức năng kết thúc của đường truyền ADSL. Thiết bị đóng
vai trò gateway sẽ do một thiết bị phía sau modem đảm nhận (là router chẳng hạn).
Chế độ route: Có hỗ trợ routing (static route, RIP), tuy nhiên ko hỗ trợ đầy đủ các
giao thức định tuyến như một router thực sự. Một số modem cũng có chức năng định
tuyến nhưng nó không hỗ trợ nhiều giao thức định tuyến như Router. Một số Modem
ADSL có hỗ trợ dynamic routing (RIPv1, RIPv2), Static Routing.
e) Bộ dồn kênh Multiplexer
Trong điện tử, một bộ dồn kênh Multiplexer là một thiết bị có khả năng lựa chọn
một trong những tín hiệu đầu vào tương tự (analog) hoặc số (digital) và chuyển tiếp đầu
vào đã được lựa chọn trên một đường duy nhất (line). Thông thường, một bộ dồn kênh có
2n đầu vào và 1 đầu ra. Thường được sử dụng để tăng số lượng dữ liệu có thể gửi qua
mạng trong một khoảng thời gian với băng thông nhất định. Cũng có thể gọi là một bộ
lựa chọn dữ liệu (Data selector)
Multiplexer cho phép nhiều tín hiệu chia sẻ trên cùng 1 thiết bị, thay vì mỗi thiết bị cho 1 tín hiệu đầu vào.
Hình 3.24. Bộ dồn kênh và bộ phân kênh
f) Thiết bị cầu nối Bridge
Bridge dùng để nối 2 phân đoạn mạng sử dụng giao thức giống hoặc khác nhau, ví
dụ: kết nối 2 phân đoạn mạng hình sao (Ethernet), hoặc kết nối 2 phân đoạn mạng Token
Bus với nhau, hay giữa phân đoạn mạng Ethernet với Token Bus, v.v. Bridge thường được
sử dụng để chia mạng thành nhiều phân đoạn (segment) nhỏ nhằm giảm lưu lượng trên
mạng. Cũng giống như Repeater, Bridge cho phép mở rộng phạm vi mạng, cho phép kéo
dài khoảng cách giữa các segment cũng như phạm vi toàn mạng. Tuy nhiên, khác với lOMoARcPSD|47892172
Repeater, Bridge có khả năng lọc các frame dữ liệu, và chỉ chuyển tiếp các frame có đích
là một máy tính ở phân đoạn mạng khác.
Bridge hoạt động ở lớp Data Link trong mô hình OSI, với 2 chức năng chính là lọc
và chuyển vận. Để thực hiện các chức năng này, thiết bị bridge tự học hỏi, xây dựng và
duy trì bảng thông tin về địa chỉ MAC của các máy tính kết nối đến mỗi cổng của nó. Hình 3.25a. Bridge
Quá trình làm việc của Bridge như sau:
1. Bridge nhận mọi frame dữ liệu từ cả 2 phân đoạn mạng kết nối trực tiếp đến nó
2. Bridge kiểm tra địa chỉ đích (địa chỉ MAC đích) của frame dữ liệu, bằng cách tìm
kiếm địa chỉ đó trên bảng địa chỉ của nó.
• Nếu máy đích nằm cùng trên một phân đoạn mạng với máy nguồn, thì gói tin có
thể gửi được tới đích mà không cần Bridge. Nghĩa là bridge không chuyển tiếp gói tin.
• Ngược lại, nếu máy đích là một máy thuộc phân đoạn mạng khác thì bridge sẽ
chuyển tiếp gói tin sang cổng tương ứng với phân đoạn mạng chứa máy đích.
Hình 3.25b. Hoạt động của Brigde lOMoARcPSD|47892172
Bridge chỉ phù hợp với các mạng đơn giản, và sử dụng trong mạng cục bộ. Khi cần
kết nối nhiều mạng với nhau, đảm bảo yêu cầu truyền thông liên mạng thì cần phải có
thiết bị kết nối khác để đảm nhận việc lựa chọn tuyến đường vận chuyển dữ liệu giữa các
mạng, đó là thiết bị Router (Bộ dẫn đường, hay còn gọi là bộ định tuyến)
g) Thiết bị định tuyến Router
Router dùng để ghép nối các mạng LAN lại với nhau thành mạng diện rộng (WAN),
hoặc kết nối giữa LAN với WAN. Router có 2 chức năng chính là định tuyến và chuyển tiếp.
• Định tuyến (Routing): Lựa chọn đường đi tốt nhất cho các gói tin hướng ra mạng bên ngoài.
• Chuyển tiếp (Forwarding): Chuyển tiếp gói tin theo đường đi đã chọn để đến đích.
Để xây dựng bảng thông tin về các đường đi đến các mạng mà nó nhận biết được,
router sử dụng 2 phương thức định tuyến chính: Định tuyến tĩnh hoặc/và định tuyến động.
Định tuyến tĩnh (Static Routing): Người quản trị cấu hình các đường cố định và cài đặt các
đường đi này vào bảng định tuyến của Router. Định tuyến động (Dynamic Routing): Sử
dụng các giao thức định tuyến động để tính toán, trao đổi thông tin và xây dựng bảng
định tuyến (Routing Table). Các giao thức định tuyến thường sử dụng là: các giao thức
vectơ khoảng cách (RIP, IGRP, EIGRP, v.v.) và các giao thức trạng thái đường liên kết (OSPF, IS-IS, v.v.).
Router thường được sử dụng trong các tình huống sau:
• Kết nối nhiều loại mạng : LAN, MAN, WAN
• Kết nối các mạng có tốc độ tuyền khác nhau
• Kết nối các mạng sử dụng giao thức mạng khác nhau, có đơn vị truyền tối đa
(MTU – Maximum Transfer Unit) khác nhau.
Hầu hết các Router đều có 3 loại cổng kết nối (Interface) chính (Hình 3.26).
• LAN Interface: Là các interface sử dụng để kết nối trực tiếp đến mạng cục bộ.
Các interface này hỗ trợ kết nối theo chuẩn Ethernet, Fast Ethernet, Gigabit Ethernet, v.v.
• Serial Interface: Hay còn gọi là WAN interface, là các interface hỗ trợ kết nối
WAN theo phương thức truyền tuần tự (Serial). Các interface này có các giao
diện kết nối là V35, EIA/TIA-232, SSIC, v.v.
• Management Interface: Là các interface sử dụng cho mục đích quản trị thiết bị,
bao gồm cổng Console (kết nối đến máy tính của người quản trị để cấu hình thiết
bị Router) và cổng Auxiliary (kết nối để quản trị thông qua Modem). lOMoARcPSD|47892172
Hình 3.26. Thiết bị Router, các loại interface và kết nối mạng sử dụng Router
Cơ chế hoạt động của Router:
• Làm việc trong tầng 3 (Network) của mô hình OSI
• Căn cứ vào địa chỉ logic (địa chỉ IP mạng) để quản lý traffic truyền giữa các mạng
• Tính toán, lưu trữ, duy trì và cập nhật thông tin về các đường đi tốt nhất đến các
mạng đích mà nó nhận biết được
Các chức năng khác của Router:
• Kiểm soát tắc nghẽn trên mạng (congestion control)
• Kiểm soát chất lượng dịch vụ trên mạng (QoS), bao gồm : Độ tin cậy, độ trễ, jitter và băng thông
• Gửi các thông báo lỗi trên mạng
• Tách và ghép dữ liệu khi truyền qua các mạng có MTU khác nhau (fragmentation)
• Quản lý liên mạng (internetworking)
• Quản lý địa chỉ mạng (NAT, DHCP, ACL, cấm broadcast, tích hợp chức năng Firewall, v.v.)
• Quản trị, giám sát, thống kê trạng thái hoạt động các mạng và đường truyền kết nối vào Router.
h) Thiết bị cổng nối Gateway
Gateway là thiết bị mạng cho phép kết nối và chuyển đổi dữ liệu giữa các mạng
khác nhau về: Kiến trúc mạng, giao thức mạng, tiêu chuẩn mạng, loại hình mạng. Các ví lOMoARcPSD|47892172
dụ điển hình như: E-Mail gateway, Voice/ data gateway, LAN/ Internet gateway, PC/ Mainframe gateway, v.v.
Gateway hoạt động ở lớp Application trong mô hình OSI, tuy nhiên thực tế thì
Gateway có thể hoạt động ở bất kỳ tầng nào của mô hình này. Gateway có thể là thiết bị
phần cứng hoặc phần mềm cài đặt trong máy tính. Gateway thường là một Server có 2
card mạng kết nối với 2 mạng khác nhau. i) Thiết bị Patch Panel
Là một thiết bị gồm nhiều đầu zắc (snap in) để gắn đầu RJ45 (thường có 24 hoặc 48
ports). Có hai loại: Có sẵn các port hoặc empty (rỗng), đối với loại empty thì cần phải
gắn thêm snap-in (có khi người ta gọi là đầu cái của RJ45).
Hình 3.27. Patch Panel và các thiết bị phụ trợ Sử dụng Patch panel:
1. Thường được gắn vào tủ rack (Tủ rack đặt các thiết bị mạng quan trọng như Switch, Modem, Server, v.v.
2. Đường dây (cable) sẽ nối với patch panel (phải có công cụ để gắn dây cáp vào
đằng sau patch panel, hoặc gắn vào snap-in rồi gắn snap-in vào patch panel), sau đó sử
dụng sợi dây gọi là dây patch cord để nối từ patch panel đến switch (hay core switch – Switch Layer 3).
Lý do nên sử dụng Patch panel trong việc kết nối mạng:
• Việc bấm các đầu RJ45 vào dây cáp UTP không dễ dàng (Ví dụ: Cat5e, Cat6) và thường không chuẩn.
• Theo thời gian đầu RJ45 sẽ bị oxy hoá, các tín hiệu tới đầu sẽ bị dội tín hiệu và
switch liên tục phải nhận và xử lý những tín hiệu lỗi này - hậu quả hệ thống mạng càng chậm.
• Khi gắn patch panel các thao tác kết nối tới switch sẽ rất thuận tiện, đồng thời hỗ
trợ được cho các thiết bị tester kiểm tra, marping hệ thống mạng. Đồng thời sử
dụng sợi patch cord (là sợi cáp được đúc sẵn 2 đầu RJ45 tại nhà máy sản xuất lOMoARcPSD|47892172
cáp, sẽ làm tối ưu hoá đường truyền và đầu RJ45 được tráng một lớp bảo vệ sự
oxy hoá) một đầu sẽ cắm vào patch panel, một đầu cắm vào switch.
Hình 3.28. Kết nối từ máy tính đến Hub/Switch sử dụng Patch Panel
k) Tường lửa (Firewall)
Tường lửa là 1 gateway có chức năng giám sát và lọc thông tin trao đổi giữa liên
mạng nhằm bảo vệ và ngăn chặn các truy cập trái phép giữa các mạng (packet filter). Các
gói tin khi qua Firewall sẽ được đối chiếu các thông tin (như địa chỉ, giao thức, số hiệu
cổng, v.v.) với các Rule (luật) qui định trước để quyết định cho phép truyền dữ liệu qua hay không.
Firewall hoạt động trong các tầng 2, 3, 4, 5 và 7 của mô hình OSI.
Các chức năng khác của Firewall: NAT/PAT, DHCP, VPN, URL filter (phải kết hợp
với phần mềm lọc URL), Routing, Xác thực bằng RADIUS hay TACACS+, Application Proxy.
Hình 3.29. Sử dụng tường lửa trong mạng lOMoARcPSD|47892172 Nhược điểm:
• Chỉ ngăn chặn được theo địa chỉ lớp 2 (địa chỉ MAC), địa chỉ lớp 3 (địa chỉ IP)
và địa chỉ lớp 4 (cổng dịch vụ - Port number). Không có khả năng chống virus
và xâm nhập mạng bất hợp pháp
• Chỉ lọc được thông tin từ nguồn không mong muốn, không thể đọc và phân tích thông tin tốt xấu
• Không thể chống lại những tấn công không đi qua nó
• Không thể chống lại những tấn công bằng dữ liệu (ví dụ: mã độc hại đính kèm mail, v.v.)
Các Firewall thông dụng:
• Phần mềm: Microsoft ISA, Iptable trên Linux, Checkpoint FW-1
• Phần cứng : Cisco PIX, 3COM SonicWall, CyberGuard, Netscreen, v.v.
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng
bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ
bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng Phân loại:
Có nhiều cách để phân loại tường lửa, tùy theo cách chọn lựa tiêu chí đánh giá mà
chúng ta cócác loại tường lửa sau:
• Tường lửa cá nhân/Tường lửa hệ thống
• Tường lửa dựa trên phần mềm hay phần cứng
• Tường lửa lọc trên tầng mạng (Packet-filtering firewalls), lọc trên tầng ứng dụng
(Application-level gateway firewall) hay lọc trên tầng phiên
• Tường lửa sử dụng công nghệ lọc gói hay dò trạng thái.
l) Hệ thống phát hiện/ngăn chặn xâm nhập
Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection Systems) và hệ thống ngăn
chặn xâm nhập (IPS- Intrusion Prevention Systems) là các hệ thống (phần cứng hoặc
phần mềm) giám sát mạng để phát hiện hoặc ngăn chặn các truy cập trái phép từ bên
ngoài vào một mạng máy tính hoặc một host.
IDS/IPS làm việc đến tầng 7 trong mô hình OSI, thường hỗ trợ cho hệ thống
Firewall để bảo vệ mạng tránh các tấn công từ bên ngoài.
Nội dung trong các gói tin khi truyền qua mạng sẽ được so sánh với các mẫu nhận
diện đã biết trước hoặc tự suy đoán để quyết định dữ liệu này là hợp lệ hay không.
Nhược điểm: Phải cập nhật thường xuyên các rule. Việc suy đoán dễ bị nhầm lẫn.
Ưu điểm: Có khả năng phát hiện và phòng chống truy cập trái phép ở cấp ứng dụng
như: E-mail, Web, FTP, v.v. Có khả năng chống virus và các hính thức tấn công mạng khác. lOMoARcPSD|47892172
Như vậy, giới hạn hoạt động của các thiết bị trên các tầng theo mô hình OSI có thể
được tổng hợp trong Hình 3.30, trong đó các thiết bị làm việc ở tầng trên cũng làm việc
được ở mọi tầng bên dưới. Do đó, quản trị hệ thống cần cân nhắc trong việc lựa chọn
thiết bị sử dụng để triển khai hệ thống mạng sao cho hợp lý và hiệu quả nhất.
Hình 3.30. So sánh phạm vi hoạt động của các thiết bị mạng trong mô hình OSI
Document Outline
- 3.2.4.Các thiết bị kết nối mạng
- a)Bộ khuếch đại Repeater
- Chức năng của Repeater là:
- b)Bộ tập trung Hub
- Hoạt động của Hub:
- Quy tắc 5-4-3
- c)Bộ chuyển mạch Switch
- Cơ chế tự học:
- Cơ chế chuyển tiếp:
- Phân loại Switch theo chế độ hoạt động:
- d)Thiết bị điều chế và giải điều chế MODEM
- Phân loại theo môi trường truyền:
- e)Bộ dồn kênh Multiplexer
- f)Thiết bị cầu nối Bridge
- g)Thiết bị định tuyến Router
- Cơ chế hoạt động của Router:
- Các chức năng khác của Router:
- h)Thiết bị cổng nối Gateway
- i)Thiết bị Patch Panel
- Sử dụng Patch panel:
- Lý do nên sử dụng Patch panel trong việc kết nối m
- k)Tường lửa (Firewall)
- Nhược điểm:
- Các Firewall thông dụng:
- Phân loại:
- l)Hệ thống phát hiện/ngăn chặn xâm nhập