Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh
108 trang |
Chia sẻ: tuandn | Lượt xem: 2821 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đồ án Bảo mật mạng bằng công nghệ firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập tôi đã tự tìm hiểu các khái niệm cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, tôi mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ firewall có nhiều tính ứng dụng trong thực tiễn.
Đồ án tốt nghiệp này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật phổ biến nhất hiện nay.
Phần cuối của đồ án tôi sẽ đưa ra phương pháp xây dựng một mô hình bảo mật bằng Firewall cho hệ thống mạng doanh nghiệp.
Tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Đinh Hữu Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr Christian Tusborg – IT manager Skills Group đã giúp tôi thực hiện đồ án này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, tôi rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và các bạn.
Trân trọng cảm ơn .
TÓM TẮT ĐỒ ÁN
Bảo mật là một phạm trù rộng và phức tạp, trong lĩnh vực công nghệ thông tin nó là tổng hòa nhiều công nghệ khác nhau nhằm mang lại sự an toàn cho hệ thống thông tin của một tổ chức nào đó.
Ngày nay bất kì một hệ thống thông tin nào cũng phải tuân theo các tiêu chuẩn mang tính chất quốc tế, đó là quy định bắt buộc khi phạm vi truyền thông có tính chất toàn cầu chứ không chỉ bó hẹp trong phạm vi của chính tổ chức đó hay phạm vi khu vực. Vì vậy để bảo đảm an toàn thông tin trong quá trình truyền thông thì các phương pháp bảo mật cũng cần tương thích với các chuẩn mang tính chất quốc tế đó.
Phần I của đồ án này sẽ đưa ra một cái nhìn toàn diện về mô hình truyền thông trên mạng Internet và những hình dung chung nhất về các công nghệ bảo mật trong một bức tranh tổng thể. Trong các công nghệ bảo mật cơ bản và hiệu quả nhất hiện nay tôi sẽ đi sâu phân tích và đánh giá phương pháp bảo mật bằng công nghệ “bức tường lửa”,
Phần II của đồ án sẽ tập trung giải quyết vấn đề này . Trên cơ sở lý luận đã nghiên cứu việc có thể đưa ra được phương án áp dụng thành công công nghệ đã lựa chọn là điều rất cần thiết. Với mong muốn đồ án là một sản phẩm mang tính thực tiễn cao tôi sẽ trình bày các phương pháp triển khai công nghệ bức tường lửa trong hệ thống thông tin của tổ chức, kèm theo đó là những minh họa có tính chất trực quan.
Với những nội dung trên hy vọng mang lại cho người đọc một cái nhìn toàn cảnh về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nói riêng. Theo nhịp độ phát triển mau lẹ của công nghệ các biện pháp tấn công ngày càng tinh vi hơn, chính vì vậy các công nghệ cũng cần không ngừng được cải tiến không ngừng để đảm bảo cho một nền thông tin an toàn và bền vững.
THESIS SUMMARY
Information security is a wide-reaching and complex term because it is made up of many high technologies in order to make our information system more secure.
Today, most information systems must meet the international standards because information transportation takes place not only in a organization itseft or in a region but also all over the world. Therefore to secure information exchanged, the security technologies used must meet international standards.
The first Part of my thesis will provide an overview of information transportation process in the Internet and a genaral picture of information security technologies. I will do a thorough research on firewall technology, one of the most popular and effective security methods in the second part of my thesis.
It’s essential that research results be successfully applicable in real-life selected technologies. Bearing this in mind, I will clarify applications of firewall technology into information systems in enterprises in addition to visual illustrations. All of these are presented in third part.
Hopefully, readers will have general understanding of security technologies in general and firewall technology in particular. As technological progresses take place nearly every minute, hacking activities have become increasingly damaging and seemingly uncontrollable. Hence, security technologies must be steadily improved for the sake of a well-sustained information system.
MỤC LỤC
LỜI NÓI ĐẦU 3
TÓM TẮT ĐỒ ÁN 5
THESIS SUMMARY 6
DANH SÁCH HÌNH VẼ 7
DANH SÁCH CÁC TỪ VIẾT TẮT 10
LỜI MỞ ĐẦU 13
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT 14
Chương 1 14
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP 14
1.1. GIỚI THIỆU CHUNG 14
1.2. MÔ HÌNH OSI 15
1.3. KIẾN TRÚC TCP/IP 16
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP 19
1.4.1. Giao thức IP (Internet Protocol) 19
1.4.2. Giao thức UDP ( User Datagram Protocol ) 23
1.4.3. Giao thức TCP ( Transmission Control Protocol ) 24
1.5. QUÁ TRÌNH ĐÓNG MỞ GÓI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP 30
Chương 2 32
KHÁI NIỆM BẢO MẬT 32
2.1. KHÁI NIỆM BẢO MẬT 32
2.2. MỤC TIÊU CỦA BẢO MẬT THÔNG TIN 33
2.3. BẢO MẬT LÀ MỘT QUY TRÌNH 34
2.4. NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU. 36
Chương 3 45
CÁC CÔNG NGHỆ BẢO MẬT 45
3.1. CÔNG NGHỆ BẢO MẬT THEO LỚP 45
3.1.1. Bảo mật ở mức vật lý 46
3.1.2. Bảo mật sử dụng bức tường lửa 47
3.1.3. Bảo mật sử dụng lọc gói dữ liệu 49
3.1.4. Bảo mật sử dụng các phương pháp mã hóa 50
3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê. 53
3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI 54
Phần II. 56
CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG 56
Chương I 56
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 56
1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL 56
1.2. ĐỊNH NGHĨA FIREWALL 58
1.3. PHÂN LOẠI FIREWALL 59
1.3.1. Firewall phần mềm 59
1.3.2. Firewall phần cứng 59
1.4. CHỨC NĂNG CỦA FIREWALL 59
1.4.1. Điều khiển truy nhập (Access Control) 59
1.4.1.1. Vị trí xảy ra quá trình lọc gói 59
1.4.1.2. Hoạt động lọc gói (Packet Filtering) 61
1.4.1.3. Luật lọc ( Filtering Rules) 61
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application) 62
1.4.2. Quản lý xác thực (User Authentication). 64
1.4.3. Kiểm tra và Cảnh báo (Activity Logging and Alarms). 65
1.4.3.1. Chức năng kiểm tra (Activity logging) 65
1.4.3.2. Chức năng cảnh báo (Alarm) 65
Chương 2 66
CÁC KIẾN TRÚC FIREWALL CƠ BẢN 66
2.1. FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) 66
2.2. FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) 67
2.2.1. Gateway mức mạng (Network Level Gateway) 68
2.2.2. Gateway mức ứng dụng (Application level Gateway) 68
2.3. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 70
2.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL ) 71
2.4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng 71
2.4.2. Dạng thứ hai là máy phòng thủ có một card mạng 71
Chương 3 72
NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL 72
3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM” 72
3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG” 75
3.2.1. Cơ chế lọc gói tin : 75
3.2.2. Một số đặc điểm ACL: 75
3.2.3. Phân loại ACL 76
3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists) 76
3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) 77
3.2.3.3. So sánh giữa standard ACL và extended ACL 78
3.2.4. Ứng dụng ACL 79
3.3. NAT 79
3.3.1. Cấu hình NAT trên nhiều cổng 83
3.3.2. Phiên dịch địa chỉ động 84
3.3.3. Phiên dịch địa chỉ tĩnh 85
3.3.4. Cơ chế phiên dịch thông qua địa chỉ cổng (Port Address Translation) 85
3.4. Cơ chế điều khiển và giám sát các kết nối qua Firewall 86
3.4.1. Vận chuyển giao thức TCP 86
3.4.2. Vận chuyển giao thức UDP 88
3.5. Một số kỹ thuật khác được sử dụng trong Firewall 89
3.5.1. Kỹ thuật thẩm kế an toàn 89
3.5.2. Kỹ thuật lõi an toàn 89
3.5.3. Kỹ thuật cân bằng phụ tải 90
3.6. Sự kết hợp các biện pháp kỹ thuật 90
Chương 4 91
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL 91
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG 92
4.1.1. Mạng bên trong(Inside Network) 92
4.1.2. Mạng bên ngoài (Outside Network) 92
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ) 92
4.2. CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP 93
4.2.1. Kiến trúc cơ bản 93
4.2.2. Dual-Homed System 94
4.2.3. Kiến trúc Screening Host 95
4.2.4. Kiến trúc Screened Subnet 96
4.3. CÁC MÔ HÌNH FIREWALL PHỨC TẠP 97
4.4. Đánh giá Firewall 100
KẾT LUẬN 103
TÀI LIÊỤ THAM KHẢO 105
DANH SÁCH HÌNH VẼ
Hình 1.1. Mô hình tham chiếu OSI 15
DANH SÁCH CÁC TỪ VIẾT TẮT
Từ viết tắt
Từ đầy đủ
Chú thích
FW
Firewall
Bức tường lửa
VPN
Virtual Private Network
Mạng riêng ảo
NAT
Network Address Translation
Phiên dịch địa chỉ mạng
OSI
Open Systems Interconnection
Mô hình liên kết các hệ thống mở
CSU/DSU
Chanel Service Unit/ Digital Service Unit
Đơn vị dịch vụ kênh và đơn vị dịch vụ số
LAN
Local Area Network
Mạng cục bộ
MAN
Metropolitan Area Network
Mạng đô thị
GAN
Global Area Network
Mạng toàn cầu
CAN
Campus Area Network
Mạng trường học
WAN
Wide Area Network
Mạng diện rộng
SAN
Storage Area Network
Mạng lưu trữ
VPN
Vitual Private Network
Mạng riêng ảo
IEEE
Institue of Electrical and Electronic Engineers
Tổ chức chuẩn IEEE
IBM
International Business Machines
Tập đoàn IBM
PC
Personal Computer
Máy vi tính
RF
Radio Frequency
Tần số radio
NIC
Network Interface Card
Card giao tiếp mạng
AP
Access Point
Điểm truy cập
ISO
International Organization for Standardizations
Tổ chức chuẩn ISO
CSDL
Cơ sở dữ liệu
FTP
Fire Transfer Protocol
Giao thức truyền file
SMTP
Simple Mail Transfer Protocol
Giao thức truyền email
DNS
Domain Name System
Hệ thống tên miền
HTTP
Hypertext Transfer Protocol
Giao thức truyền tải nội dung trên mạng
TCP
Transmission Control Protocol
Giao thức điều khiển đường truyền
UDP
User Datagram Protocol
Giao thức UDP
IP
Internet Protocol
Giao thức mạng
IPX
Internetwork Packet Exchange
Giao thức mạng
DoS
Denial of Service
Từ chối dịch vụ
ACL
Access Control List
Danh sách điều khiển truy cập
RFC
Request For Comments
Tổ chức chuẩn RFC
IETF
Internet Engineering Task Force
Tổ chức chuẩn IETF
LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật firewall, bản đồ án này được tôi chia thành 3 phần với những nội dung như sau:
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT.
Phần này trình bày các khái niệm về mô hình truyền thông OSI và bộ giao thức TCP/IP, khái niệm bảo mật và giới thiệu các công nghệ bảo mật trên nền bộ giao thức đó. Các nội dung được trình theo các chương sau:
Chương 1: Mô hình OSI và bộ giao thức TCP/IP
Trình bày mô hình truyền thông tin trên mạng Internet theo các lớp và đi sâu tìm hiểu 3 giao thức cơ bản IP, UDP, TCP.
Chương 2: Khái niệm bảo mật
Trình bày khái niệm bảo mật là gì, mục tiêu trọng tâm của bảo mật, các phương pháp tấn công thường gặp.
Chương 3: Các công nghệ bảo mật
Tìm hiểu các công nghệ bảo mật thường được sử dụng và các biện pháp kết hợp để bảo mật hệ thống.
PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Phần này trình bày bảo mật sử dụng công nghệ Bức tường lửa, với các nội dung chi tiết liên quan đến công nghệ này. Nội dung đó nằm trong các chương sau:
Chương 4: Bức tường lửa
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại.
Chương 5: Ứng dụng Bức tường lửa trong các doanh nghiệp
Một số ứng dụng của bức tường lửa trong bảo mật thông tin cho các doanh nghiệp
KẾT LUẬN
PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT
Chương 1
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
Truyền thông tin trên mạng là một quá trình phức tạp đòi nhiều công nghệ hỗ trợ và phải trải qua nhiều giai đoạn khác nhau. Công nghệ càng hiện đại cho phép thông tin được truyền đi càng nhanh chóng với độ tin cậy cao. Tuy nhiên để có thể khai thác và quản lý mạng trên một phạm vi rộng lớn thì cần phải có sự tương thích và đồng bộ về công nghệ trong quá trình truyền tin. Xuất phát từ các nhu cầu đó mô hình OSI và bộ giao thức TCP/IP ra đời để làm quy chuẩn cho việc xây dựng các hệ thống mạng hiện nay.
Trong chương này tôi giới thiệu mô hình OSI và bộ giao thức TCP/IP để đưa ra cái nhìn tổng quan về quá trình truyền tin trên các mạng truyền thông nói chung và mạng Internet nói riêng. Và đó cũng là nền tảng để phân tích, xây dựng và triển khai các kế hoạch bảo mật phục vụ cho mục tiêu an ninh mạng.
1.1. GIỚI THIỆU CHUNG
Bộ giao thức điều khiển truyền dẫn / giao thức Internet (TCP/IP) là một trong những giao thức mạng được sử dụng rộng rãi nhất ngày nay. Ra đời và phát triển từ những năm 1970 bởi APRA (Advance Research Projects Agency), TCP/IP cho phép các hệ thống không đồng nhất có thể giao tiếp được với nhau. Ngày nay TCP/IP được áp dụng rộng rãi trong cả mạng cục bộ cũng như các mạng diện rộng và trên toàn Internet.
Trước khi xem xét giao thức TCP/IP chúng ta tìm hiểu 1 cách khái quát nhất mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System Interconnection) OSI.
1.2. MÔ HÌNH OSI
Như đã nói ở trên việc tồn tại nhiều kiến trúc mạng khác nhau và không tương thích với nhau gây ra trở ngại cho việc trao đổi thông tin giữa các mạng này. Để tạo khả năng hội tụ cho các sản phẩm mạng, tổ chức tiêu chuẩn hóa quốc tế đã xây dựng một mô hình tiêu chuẩn cho các mạng gọi là mô hình tham chiếu cho việc liên kết các hệ thống mở (Reference Model for Open System Interconnection) hay gọn hơn mô hình tham chiếu OSI (OSI Reference Model).
Mô hình OSI gồm 7 tầng thực hiện các chức năng sau:
Tầng vật lý (Physical Layer): Là tầng thấp nhất, thực hiện việc bốc xếp các chuỗi bit theo chỉ thị của tầng kết nối dữ liệu.
Tầng kết nối dữ liệu (Datalink Layer): Cung cấp phương tiện để truyền thông tin qua giao diện vật lý. Có 2 chức năng cơ bản là điều khiển các liên kết logic và điều khiển truy nhập đường truyền.
Tầng mạng (Network Layer): Thực hiện chức năng đình tuyến để tìm đường đi tối ưu trên mạng ngoài ra còn chức năng chuyển mạch.
Tầng vận chuyển (Transport Layer): Vận chuyển dữ liệu giữa bên gửi và bên nhận, có cơ chế điều khiển luồng, phát hiện và sửa sai đảm bảo độ tin cậy.
Tầng phiên (Session Layer): Thiết lập duy trì đồng bộ hóa các phiên truyền thông.
Tầng trình diễn (Presentation Layer): Chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường truyền OSI.
Tầng ứng dụng (Application Layer): Đóng vai trò là giao diện giữa môi trường OSI và người sử dụng, thu thập các yêu cầu của người sử dụng, xử lí và trao cho tầng dưới đồng thời nhận kết quả xử lí của tầng dưới trao cho người dùng.
Hình 1.1. Mô hình tham chiếu OSI
1.3. KIẾN TRÚC TCP/IP
Thông thường các giao thức được phát triển trong các tầng mà mỗi tầng lại có chức năng riêng trong việc xử lý thông tin. Bộ giao thức TCP/IP là tổ hợp của nhiều giao thức ở các tầng khác nhau nhưng thông thường mô hình phân lớp trong các hệ thống TCP/IP được xem là mô hình giản lược của mô hình OSI gồm 4 lớp như sau:
Hình 1.2. Kiến trúc TCP/IP
1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó.
2. Tầng Internet (Internet Layer): thực hiện việc chọn đường và chuyển tiếp các dữ liệu trên mạng. Trong bộ giao thức TCP/IP tầng mạng có một số giao thức hỗ trợ cho việc vận chuyển các gói dữ liệu như IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP ( Internet Group Management Protocol).
3. Tầng giao vận (Transport Layer): bao gồm các dịch vụ phân phát dòng dữ liệu giữa 2 đầu cuối, phục vụ tầng ứng dụng ở bên trên. Trong bộ giao thức TCP/IP tầng giao vận có 2 giao thức là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol)
TCP là giao thức cung cấp dịch vụ vận chuyển dữ liệu theo kiểu hướng liên kết (Connection Oriented) và tin cậy với việc phân chia dữ liệu thành các segment, thiết lập các kết nối logic, phúc đáp, thiết lập thời lượng kiểm tra lỗi …
UDP cung cấp các dịch vụ vận chuyển dữ liệu (mỗi đơn vị dữ liệu gọi là một datagram) không hướng liên kết và thiếu tin cậy.
Bất kỳ yêu cầu tin cậy nào trong việc chuyển phát dữ liệu đều phải được thêm bởi tầng ứng dụng.
4. Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập mạng. Có rất nhiều ứng dụng cung cấp cho người sử dụng trong tầng này mà phổ biến là:
Telnet sử dụng trong việc truy cập mạng từ xa.
FTP (File Transfer Protocol) dịch vụ truyền tệp.
SMTP (Simple Mail Transfer Protocol ) dịch vụ thư tín điện tử.
WWW (World Wide Web).
Mô hình OSI ra đời trước đó là mô hình tham chiếu cho việc học tập và nghiên cứu không có tính ứng dụng cao trong thực tiễn. Mô hình TCP/IP là kế thừa của mô hình OSI và có tính ứng dụng cao cho việc quy chuẩn để xây dựng các hệ thống mạng hiện nay. Tuy nhiên hai mô hình trên không loại trừ lẫn nhau mà tồn tại song song đồng thời vì mục đích sử dụng của chúng tương hỗ cho nhau nhằm tiêu chuẩn hóa việc xây dựng và phát triển hệ thống mạng truyền thông trên phạm vi toàn thế giới.
1.4. MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IP
1.4.1. Giao thức IP (Internet Protocol)
Mục đích của giao thức liên mạng IP là cung cấp khả năng kết nối các mạng con thành liên kết mạng để truyền dữ liệu. IP là giao thức cung cấp dịch vụ phân phát datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích và không duy trì bất kì thông tin nào về datagram đã gửi đi.
Khuôn dạng đơn vị dữ liệu dùng trong IP được thể hiện như trong hình 1.3
Ý nghĩa tham số các trường trong IP header:
Version (4bit) chỉ version hiện tại của IP được cài đặt.
Header length(4 bit) chỉ độ dài phần mào đầu của datagram. Bao gồm cả phần lựa chọn Option tính theo đơn vị 32 bits, tối thiểu là 5 từ (32 byte) khi không có Option
Hình 1.3. Khuôn dạng IP datagram
TOS (Type of service 8 bits) chỉ loại dịch vụ. Các loại dịch vụ gồm có:
Độ trễ nhỏ nhất
Thông lượng lớn nhất
Độ tin cậy cao nhất
Chi phí thấp nhất
Total length (16 bits) chỉ độ dài toà