Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
Chương 13: Internet trong doanh nghiệp,
Quản lý Internet
Giảng viên: Ngô Hồng Sơn Bộ môn Truyền thông và Mạng máy tính
2
Nội dung
l Internet trong doanh nghiệp l NAT, Firewall, VPN…
l Quản lý Internet l Các tổ chức chuẩn hóa l Tiêu chuẩn
3
Enterprise Internet
4
Enterprise Internet l Các tổ chức doanh nghiệp sử dụng Internet
như thế nào?
l Các thành phần của mạng doanh nghiệp l NAT (Network Address Translation) l Firewall l VPN (Virtual private network) l Spam Mail Filter, Web Contents Filter l ….
5
Nhìn lại lịch sử Internet
l Internet ngày xưa: l Dùng cho các tổ chức nghiên cứu và giáo dục l An toàn, an ninh chưa phải là vấn đề lớn l Người sử dụng “toàn là người tốt”
l Internet ngày nay: l Dùng cho rất nhiều mục đích, e.g kinh doanh, thương
mại, l Người sử dụng: đa dạng l Vấn đề an toàn an ninh phải được quan tâm
CC
PC PC
Branch 2
Một mạng doanh nghiệp
ISP
Firewall
Application SV3
Mail WEB
Department Server 1
PC
Router
Application SV2
Application SV1
PC PC PC PC PC PC PC
Department Server 1 Router Router
VPN
PC PC
PC PC
DMZ (De Militarized Zone)
Headquarter
US Office
European Office
Domestic Branch 1 CC
PC PC
CC
CC Communication Controller Leased Line
Internet
Department 1 Department 2
Mobile PC With VPN Client
ISP
VPN
VPN
ISP
ISP
NAT–Network Address Translation
l IPv4: Một tổ chức chỉ có vài đ/c IP thực l Địa chỉ IP riêng được sử dụng bên trong l NAT: Chuyển Private Address (Port Number)
sang Global Address và ngược lại l NAT (phần mềm chạy trên router/server): có một
bảng chuyển đổi địa chỉ
Prefix Lowest Address Highest Address Number of Hosts
10.0.0.0/8 10.0.0.0 10.255.255.255 16,777,216
172.16.0.0/12 172.16.0.0 172.31.255.255 1,048,576
192.168.0.0/16 192.168.0.0 192.168.255.255 65,536
Reserved addresses for private network
Conception et architectures des réseaux
8
NAT cơ bản
l Fonctionnement général
l Sécurité : Seules les machines autorisées sont visibles de l’extérieur
@privée @publique
10.1.55.42 200.2.1.11
10.1.55.56 200.2.1.12
… …
… …
data 134.205.1.5 10.1.55.42
@ip_dst @ip-src data 134.205.1.5 200.2.1.11
@ip_dst @ip-src
data 10.1.55.42 134.205.1.5
@ip_dst @ip-src data 200.2.1.11 134.205.1.5
@ip_dst @ip-src
INTERNET
Conception et architectures des réseaux
9
Port Address Translation - PAT
l NAT cơ bản:
l 1 địa chỉ riêng <-> 1 địa chỉ công cộng l PAT
l ({@ip_riêng, #port riêng}; {@ip công cộng, #port công cộng})
Conception et architectures des réseaux
10
PAT l Bảng ánh xạ
@ip_privée Port privé @ip_pub Port_pub
10.1.55.42 2051 200.1.2.11 2051
10.1.55.42 2044 200.1.2.11 2044
10.1.55.75 2067 200.1.2.11 2067
10.1.55.75 2044 200.1.2.11 2068
Conception et architectures des réseaux
11
Protocole DHCP
l Dynamic Host Configuration Protocol
l Cho phép mỗi máy khi tham gia vào mạng có thể lấy cấu hình một cách tự động
l Được sử dụng để phân phối địa chỉ IP cho các trạm.
Conception et architectures des réseaux
12
Fonctionnement de DHCP l Server DHCP :
l Phân phối địa chỉ IP l Có 1 địa chỉ IP tĩnh
l Cơ chế: l Client broadcasst gói DHCPDISCOVER để tìm
DHCP server trong mạng l Server trả lời với gói DHCPOFFER (broadcast),
với các tham số l Client thiết lập cấu hình bằng cách gửi
DHCPREQUEST để hợp thức hóa IP của nó; l Server trả lời bằng DHCPAK xác nhận địa chỉ IP
Conception et architectures des réseaux
13
Serveur DHCP
Serveur DHCP Client DHCP
1. Discover : Tìm kiếm server
2. Offer : Cung cấp địa chỉ Offer
3. Request : yêu cầu địa chỉ
4. Ack :Khởi tạo địa chỉ 5. Giải phóng địa chỉ
DHCP
14
Bức tường lửa - Firewall l Firewall (Phần cứng/mềm) Chặn các gói tin không mong
muốn/Cho phép các gói tin cần thiết đi vào/ra mạng một tổ chức.
l Về cơ bản, có 2 loại: l Packet Filtering l Application Gateway
Internet
Internal Network Firewall
15
Bộ lọc gói tin
l Tất cả các gói tin vào/ra đều phải đi qua firewall l Bộ lọc kiểm soát gói tin dựa vào :
- IP source, destination address - IP Protocol Type :TCP,UDP,ICMP,OSPF - TCP/UDP source, destination port….
l Việc lọc dựa trên các chính sách của tổ chức đó l Chính sách được thể hiện qua việc đặt các “rule” cho firewall
# Source Destination Protocol Source Port Dest Port Action
1 10.1.2.3 * * * * Deny
2 * 10.2.3.* TCP * 25 Allow
3 * 10.1.* TCP * 25 Allow
4 * * * * * Deny
An example of filtering rule
*: Means any
16
l Gateway ứng dụng, kết hợp với bộ lọc gói, cung cấp phương pháp truyền thông an toàn cho các ứng dụng vào/ra của tổ chức
l Một số ứng dụng: Telnet, FTP,HTTP có thể được cấu hình để chỉ sử được qua gateway
l Gateway kiểm soát tên truy cập/mật khẩu l Bộ lọc chỉ cho phép ứng dụng xuất phát từ gateway.
Gateway ứng dụng
PC PC PC PC
Department Server 1 Router
Department Internet
Firewall
Application Gateway
User A
Telnet to Gateway from inside Telnet to outside
host from Gateway
Filtering
17
VPN – Mạng riêng ảo
l VPN: cho phép sử dụng kết nối Internet như đường truyền riêng. l Các công nghệ cơ bản:
l Mã hóa l Xác thực
l Ví dụ: l IPSec (IP security protocol): Họ giao thức IP. l ESP protocol – (Một dạng của IPSec) cho phép mã hóa các đoạn tin
TCP bên trong gói tin IP
IP header TCP/UDP segment ESP header
encrypted authenticated
The ESP fields in the IP datagram
ESP Trailer
ESP authent
18
Internet Governance
19
Ai quản lý Internet?
l 1969, RFC1 l 1973, Ethernet l 1990, ISP thương mại đầu tiên (The World) l 1993, InterNIC (Network Information Center) l 1998, ICANN (Internet Corporation for
Assigned Names and Numbers)
20
Chuẩn hóa Internet
21
Các tổ chức liên quan đến việc chuẩn hóa Internet l ISOC (Internet Society)
l Chịu trách nhiệm về chuẩn hóa Internet
l IAB (Internet Architecture Board)
l IESG (Internet Engineering Steering Group) l Ủy ban của ISOC, chịu trách
nhiệm duyệt, thông qua chuẩn kỹ thuật
l IETF (Internet Engineering Task Force) l Phát triển các chuẩn kỹ thuật
l IANA (Internet Assigned Numbers Authority) l Cấp phát tài nguyên: địa chỉ,
số hiệu mạng
l ICANN (Internet Corporation for Assigned Names and Numbers) l Quản lý cấp phát tên miền và địa chỉ IP
22
IETF
RFC-Editor ICANN
IANA
IESG
IAB
ISOC
ISTF IRTF
area area area
WG WG WG WG WG WG
23
IETF
24
IETF l Tổ chức phi lợi nhuận
l Xây dựng các tài liệu kỹ thuật (RFC) về Internet l Free
l http://www.ietf.org/
25
Tài liệu liên quan
l RFC (Request For Comments) l Internet-Drafts l Miễn phí trên Internet
26
IETF Working Group l Có khoảng 100 WGs trong 8 lĩnh vực
http://www.ietf.org/html.charters/wg-dir.html Application General Internet Operations and Management Routing Security Transport Sub-IP
l Hướng dẫn về WG: RFC1603 l Thành viên: tham gia với tư cách cá nhân
27
ISO vs. IETF
• Quốc gia vs. Cá nhân • “Vote” vs. “Discuss” • De jure vs. De facto
28
Quy trình đưa ra giao thức trong IETF
1. Đề xuất giao thức • Internet Draft • Lấy ý kiến: Request for comment (RFC)
2. Các bước phải thông qua • Standards Track
• Proposed Standard
• Draft Standard
• Standard
3. Được chấp nhận rộng rãi như 1 giao thức
29
Một số tổ chức khác
l IEEE: Institute of Electrical and Electronic Engineers l ITU:International Telecommunication Unit (http://www.itu.int/)
l ISO:International Organization for Standardization (http://www.iso.ch/)
l W3C:World Wide Web Consortium (http://www.w3.org/) l WIPO, INTA l DAVIC l USENIX l ACM Sigcomm l etc..
30
Vấn đề quản lý địa chỉ
ICANN IANA
31
Acknowledgement l This course materials contains charts and texts
provided by Keio University, Japan