Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”.
Bố cục bài báo cáo này gồm 4 chương như sau:
- Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng.
- Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN.
- Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN.
- Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động.
Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc.
Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình.
Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này.
Tôi xin chân thành cảm ơn!!
17 trang |
Chia sẻ: ngtr9097 | Lượt xem: 3277 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Đồ án Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
MỤC LỤC
MỤC LỤC 1
DANH MỤC HÌNH VẼ 3
DANH MỤC CÁC TỪ VIẾT TẮT 7
LỜI NÓI ĐẦU 9
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 11
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 11
1.1.1 Tính cần thiết của mạng riêng ảo 11
1.1.2 Mục đích của mạng riêng ảo 12
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO 13
1.2.1 Sự phát triển của các loại VPN 13
1.2.2 Khái niệm mạng riêng ảo 14
1.2.3 Các thiết bị VPN 15
1.2.4 Phân loại VPN 16
1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo 17
1.2.6 Các thành phần cơ bản của VPN 19
1.2.7 Ưu và nhược điểm của VPN 26
CHƯƠNG 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO 28
2.1. KỸ THUẬT TUNNELING 28
2.2. CÁC GIAO THỨC XÂY DỰNG MẠNG RIÊNG ẢO 30
2.2.1 Giao thức VPN tại tầng 2: PPTP, L2F, L2TP 30
2.2.2 Giao thức VPN tại tầng 3 (IPSec) và IKE 42
2.2.3 Các giao thức quản trị 51
2.3. CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO 52
2.3.1 Giới thiệu công nghệ VPN 52
2.3.2 MPLS VPN 57
2.3.3 IPSec VPN 58
2.3.4 SSL VPN 59
2.4. SO SÁNH CÁC CÔNG NGHỆ VPN 61
2.4.1 So sánh IPSec VPN và SSL VPN 61
2.4.2 So sánh MPLS, SSL và IPSec VPN 65
CHƯƠNG 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT 73
3.1. VPN-1 POWER CỦA CHECKPOINT 73
3.1.1 Các thành phần của VPN-1 Power 74
3.1.2 Các thuật ngữ và khái niệm 74
3.1.3 Site to Site VPN 75
3.1.4 Remote Access VPN 77
3.2. GIẢI PHÁP CỦA CHECK POINT CHO VPN 77
3.2.1 Site to Site VPN 78
3.2.2 Remote Access VPN 88
CHƯƠNG IV: GIẢI PHÁP MẠNG RIÊNG ẢO 96
SỬ DỤNG PHẦN MỀM CHECK POINT 96
4.1. MÔ HÌNH TRIỂN KHAI VPN 96
4.1.1 Mô hình Site to Site VPN 96
4.1.2 Mô hình Client to Site VPN (Remote Access VPN) 97
4.2. CÁC BƯỚC TIẾN HÀNH TRIỂN KHAI VPN TRÊN PHẦN MỀM CHECK POINT 98
4.2.1 Cài đặt CheckPoint VPN-1 NGX R65 98
4.2.2 Triển khai VPN với CheckPoint VPN-1 99
4.3. TEST CÁC KẾT NỐI VPN ĐÃ THIẾT LẬP 120
4.3.1 Site to Site VPN 120
4.3.2 Remote Access VPN 124
KẾT LUẬN 128
PHỤ LỤC 130
PHỤ LỤC 1. CÀI ĐẶT HỆ ĐIỀU HÀNH SECUREPLATFORM 130
Cài đặt hệ điều hành SecurePlatform 130
PHỤ LỤC 2. CÀI ĐẶT GÓI PHẦN MỀM NGX R65 TRÊN SECUREPLATFORM 134
PHỤ LỤC 3. CÀI ĐẶT SMARTCONSOLE CLIENT 140
TÀI LIỆU THAM KHẢO 145
DANH MỤC HÌNH VẼ
Hình 1.1: Các thiết bị VPN 16
Hình 1.2: Hai loại mạng riêng ảo thường dùng 17
Hình 1.3: Các thành phần cơ bản của VPN 19
Hình 2.1: Ví dụ minh hoạ vai trò của các giao thức 29
Hình 2.2 : Kiến trúc của PPTP 30
Hình 2.3: Đóng gói PPTP/GRE 31
Hình 2.4: Cấu trúc gói dữ liệu trong đường hầm PPTP 31
Hình 2.5: Đường hầm L2F 33
Hình 2.6: Các tiến trình trong L2F 34
Hình 2.7: Truyền dữ liệu trên đường hầm L2F 35
Hình 2.8: Đường hầm L2TP 36
Hình 2.9: Quá trình tạo đường hầm L2TP 38
Hình 2.10: Quá trình đóng gói dữ liệu trong đường hầm L2TP 39
Hình 2.11: Quá trình mở gói dữ liệu trong đường hầm L2TP 40
Hình 2.12: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH 43
Hình 2.13: Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH 44
Hình 2.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 44
Hình 2.15: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý ESP 45
Hình 2.16: Giải pháp IPSec VPN 59
Hình 2.17: So sánh các đặc tính của hai giải pháp IPSec và SSL VPN 65
Hình 2.18: So sánh các công nghệ VPN 69
Hình 2.19: Các lựa chọn công nghệ VPN khác nhau làm việc như thế nào? 71
Hình 3.1. Các giải pháp VPN-1 Power 73
Hình 3.2: Hai kiểu cộng đồng VPN 76
Hình 3.3: Client từ xa tới host đằng sau Gateway 77
Hình 3.4: Đường hầm VPN được đơn giản hóa 78
Hình 3.5: Tính bí mật, tính toàn vẹn và xác thực thông qua IPSec 79
Hình 3.6: Thuật ngữ VPN 80
Hình 3.7: Hai mô hình Star và một Mesh 82
Hình 3.8: Ý nghĩa khác nhau của việc mã hóa trong các cộng đồng mạng lưới riêng biệt. 83
Hình 3.9: Điều kiện đặc biệt 84
Hình 3.10: Ba cộng đồng VPN 84
Hình 3.11: Kiểm soát truy cập trong các cộng đồng VPN 87
Hình 3.12: Từ xa tới gateway 90
Hình 4.1: Mô hình triển khai Site to Site VPN 96
Hình 4.2: Mô hình triển khai Client to Site VPN (Remote Access) 98
Hình 4.3: Mô hình triển khai phần mềm CheckPoint VPN-1 98
Hình 4.4: Đăng nhập vào SmartCenter thông qua SmartDashboard 100
Hình 4.5: Giao diện SmartDashboard 100
Hình 4.6: Định nghĩa mạng LAN_S1 101
Hình 4.7: Định nghĩa mạng DMZ_HN 101
Hình 4.8: Định nghĩa node cho Web Server 102
Hình 4.9: Định nghĩa node mạng cho File Server 102
Hình 4.10: Định nghĩa node mạng cho Mail Server 102
Hình 4.11: VPN phải được chọn trong thuộc tính của tường lửa fw-head 103
Hình 4.12: Xác định VPN Domain 104
Hình 4.13: Chọn một cộng đồng VPN 104
Hình 4.14: Định nghĩa đối tượng mạng của đối tác (LAN_HCM) 105
Hình 4.15: Tạo đối tượng tường lửa của đối tác 106
Hình 4.16: Thuộc tính của tường lửa đối tác 106
Hình 4.17: Xác định VPN Domain cho tường lửa đối tác 107
Hình 4.18: Đưa fw-hcm vào cộng đồng VPN 107
Hình 4.19: Cấu hình cộng đồng VPN Site to Site 108
Hình 4.20: Sử dụng Shared Secret để xác thực 108
Hình 4.21: Tập luật VPN Site to Site hoàn chỉnh tại fw-head 109
Hình 4.22: Xác định kết nối VPN cho luật IKE VPN Rule 109
Hình 4.23: Cài đặt chính sách cho tường lửa fw-head 110
Hình 4.24: Cài đặt chính sách thành công 110
Hình 4.25: Tập luật VPN Site to Site cài đặt trên fw-hcm 111
Hình 4.26: Tạo User kết nối từ xa 111
Hình 4.27: Login Name 112
Hình 4.28: Authentication Scheme 112
Hình 4.29: Tạo nhóm người dùng VPN-User 113
Hình 4.30: Thêm fw- head vào cộng đồng RemoteAccess 114
Hình 4.31: Add nhóm người dùng VPN-User vào cộng đồng VPN 114
Hình 4.32: Visitor Mode Configuration 115
Hình 4.33: Clientless VPN 115
Hình 4.34: SSL Clients 116
Hình 4.35: Định nghĩa dải mạng cho client khi truy cập vào 116
Hình 2.36: Set domain for Remote Access Community 117
Hình 4.37: Chọn LAN_S1 117
Hình 4.38: Xác nhận domain LAN_S1 cho Remote Access Community 118
Hình 4.39: Remote Access Rule 118
Hình 4.40: Add Community to rule 119
Hình 4.41a: Cài đặt chính sách an toàn 119
Hình 4.41b: Cài đặt chính sách thành công 120
Hình 4.42: Kiểm tra các kết nối thông qua SmartView Monitor 120
Hình 4.43: Ping từ host 2 đến host 1 121
Hình 4.44: Tạo các nhóm người dùng trên File Server 121
Hình 4.45: Các thư mục chia sẻ trên File Server 122
Hình 4.46: Từ host 2 truy cập vào File Server với tài khoản TPKeToan 122
Hình 4.47: Tài nguyên chia sẻ trên File Server 123
Hình 4.48: TPKeToan sửa đổi file trên thư mục Ke Toan 123
Hình 4.49: TPKeToan không thể sửa đổi file trên thư mục Nhan Su 124
Hình 4.50: Thử kết nối thông qua trình duyệt web 125
Hình 4.51: Đăng nhập bằng tài khoản Client1 125
Hình 4.52: Xác thực kết nối 126
Hình 4.53: User kết nối thành công 126
Hình 4.54: Kiểm tra địa chỉ được cấp phát thuộc dải mạng VPN-Client 127
Hình 4.55: Client1 truy cập vào File Server với tài khoản TPNhanSu 127
Hình PL1.1: Danh sách driver 130
Hình PL1.2: Loại hệ thống cài đặt 131
Hình PL1.3: Chọn Networking Device 132
Hình PL1.4: Cấu hình giao diện mạng 132
Hình PL1.5: Cấu hình cổng console https 133
Hình PL2.1: Truy cập vào FW_S1 qua giao diện Web 135
Hình PL2.2: Cấu hình Domain 136
Hình PL2.3: Cấu hình các kết nối mạng 136
Hình PL2.4: Cấu hình định tuyến cho tường lửa FW_S1 137
Hình PL2.5: Cấu hình thời gian 137
Hình PL2.6: Cấu hình người quản trị 138
Hình PL2.7: Cấu hình GUI Client 138
Hình PL2.8: Cài đặt các sản phẩm VPN-1 Power và SmartCenter 139
Hình PL2.9: Khởi động lại máy FW_S1 139
Hình PL3.1: Màn hình bắt đầu quá trình cài đặt Console client 140
Hình PL3.2: Chấp nhận bản quyền 141
Hình PL3.3: Loại sản phẩm cài đặt 141
Hình PL3.4: Cài đặt mới 142
Hình PL3.5: Chọn SmartConsole 142
Hình PL3.6: Thông báo sản phẩm được chọn 143
Hình PL3.7: Chọn thư mục cài đặt 143
Hình PL3.8: Chọn các thành phần client sẽ cài đặt 144
Hình PL3.9: Hoàn tất cài đặt SmartConsole NGX R65 144
DANH MỤC CÁC TỪ VIẾT TẮT
AAA
Authentication – Athorization – Accounting
AH
Authentication Header
ATM
Asynchronous Transfer Mode
CE
Customer Edge devices
CEF
Cisco Express Forwarding
CHAP
Challenge Handshake Authentication Protocol
CID
Call Identification
DMVPN
Dynamic Multipoint VPN
DMZ
Demilitarized Zone
EAP
Extensible Authentication Protocol
ESP
Encapsulating Security Payload
FR
Frame Relay
FTP
File Transfer Protocol
GRE
Generic Route Encapsulation
HTTP
HyperText Transfer Protocol
ICA
Internal Certificate Authority
ICMP
Internet Control Message Protocol
IETF
Internet Engineering Task Force
IKE
Internet Key Exchange
IPSec
Internet Protocol Security
ISAKMP/Oakley
Internet Security Association and Key Management
Protocol/Oakley
ISDN
Integrated Services Digital Network
ISP
Internet Service Provider
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunneling Protocol
LAC
L2TP Access Concentrator
LAN
Local Area Network
LCP
L2TP Control Protocol
LNS
L2TP Network Server
MPLS
Multi Protocol Label Switching
NAS
Network Access Server
NAT
Network Address Translation
NFS
Network File System
NFS
Network File System
OSI
Open Systems Interconnection
PAP
Password Authentication Protocol
PDA
Personal Digital Assistants
PE
Provider Edge devices
POP
Post Office Protocol
PPP
Point to Point Protocol
PPTP
Point to Point Tunneling Protocol
PSTN
Public Switched Telephone Network
QoS
Quality of Service
RADIUS
Remote Authentication Dial-In User Service
RFC
Requests for Comments
SA
Security Association
SMLI
Stateful Multi-Layer Inspection
SMLI
Stateful Multi-Layer Inspection
SMTP
Simple Mail Transfer Protocol
SNMP
Simple Network Management Protocol
SPAP
Shiva Password Authentication Protocol
SPI
Security Parameter Index
SSL
Secure Sockets Layer
TCP
Transmission Control Protocol
UDP
User Datagram Protocol
VoIP
Voice over IP
VPN
Virtual Private Network
VPNC
VPN Consortium
VRF
Virtual Routing and Forwarding
WAN
Wide Area Network
LỜI NÓI ĐẦU
Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó.
Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”.
Bố cục bài báo cáo này gồm 4 chương như sau:
- Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng.
- Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN.
- Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN.
- Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động.
Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc.
Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình.
Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này.
Tôi xin chân thành cảm ơn!!
Hà Nội, ngày 30/05/2009
CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO
1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO
1.1.1 Tính cần thiết của mạng riêng ảo
Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn.
Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks).
Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp.
Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền.
Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa.
Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication).
- Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng.
- Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn.
- Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn.
1.1.2 Mục đích của mạng riêng ảo
- Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng.
- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay.
1.2.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này,