Đồ án Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point

Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó. Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng. Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”. Bố cục bài báo cáo này gồm 4 chương như sau: - Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng. - Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN. - Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN. - Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động. Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc. Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình. Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này. Tôi xin chân thành cảm ơn!!

docx17 trang | Chia sẻ: ngtr9097 | Lượt xem: 3277 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Đồ án Giải pháp VPN an toàn cho mạng sử dụng FW ChecK Point, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
MỤC LỤC MỤC LỤC        1 DANH MỤC HÌNH VẼ        3 DANH MỤC CÁC TỪ VIẾT TẮT        7 LỜI NÓI ĐẦU        9 CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO        11 1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO        11 1.1.1 Tính cần thiết của mạng riêng ảo        11 1.1.2 Mục đích của mạng riêng ảo        12 1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO        13 1.2.1 Sự phát triển của các loại VPN        13 1.2.2 Khái niệm mạng riêng ảo        14 1.2.3 Các thiết bị VPN        15 1.2.4 Phân loại VPN        16 1.2.5 Các yêu cầu cơ bản đối với mạng riêng ảo        17 1.2.6 Các thành phần cơ bản của VPN        19 1.2.7 Ưu và nhược điểm của VPN        26 CHƯƠNG 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO        28 2.1. KỸ THUẬT TUNNELING        28 2.2. CÁC GIAO THỨC XÂY DỰNG MẠNG RIÊNG ẢO        30 2.2.1 Giao thức VPN tại tầng 2: PPTP, L2F, L2TP        30 2.2.2 Giao thức VPN tại tầng 3 (IPSec) và IKE        42 2.2.3 Các giao thức quản trị        51 2.3. CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO        52 2.3.1 Giới thiệu công nghệ VPN        52 2.3.2 MPLS VPN        57 2.3.3 IPSec VPN        58 2.3.4 SSL VPN        59 2.4. SO SÁNH CÁC CÔNG NGHỆ VPN        61 2.4.1 So sánh IPSec VPN và SSL VPN        61 2.4.2 So sánh MPLS, SSL và IPSec VPN        65 CHƯƠNG 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT        73 3.1. VPN-1 POWER CỦA CHECKPOINT        73 3.1.1 Các thành phần của VPN-1 Power        74 3.1.2 Các thuật ngữ và khái niệm        74 3.1.3 Site to Site VPN        75 3.1.4 Remote Access VPN        77 3.2. GIẢI PHÁP CỦA CHECK POINT CHO VPN        77 3.2.1 Site to Site VPN        78 3.2.2 Remote Access VPN        88 CHƯƠNG IV: GIẢI PHÁP MẠNG RIÊNG ẢO        96 SỬ DỤNG PHẦN MỀM CHECK POINT        96 4.1. MÔ HÌNH TRIỂN KHAI VPN        96 4.1.1 Mô hình Site to Site VPN        96 4.1.2 Mô hình Client to Site VPN (Remote Access VPN)        97 4.2. CÁC BƯỚC TIẾN HÀNH TRIỂN KHAI VPN TRÊN PHẦN MỀM CHECK POINT        98 4.2.1 Cài đặt CheckPoint VPN-1 NGX R65        98 4.2.2 Triển khai VPN với CheckPoint VPN-1        99 4.3. TEST CÁC KẾT NỐI VPN ĐÃ THIẾT LẬP        120 4.3.1 Site to Site VPN        120 4.3.2 Remote Access VPN        124 KẾT LUẬN        128 PHỤ LỤC        130 PHỤ LỤC 1. CÀI ĐẶT HỆ ĐIỀU HÀNH SECUREPLATFORM        130 Cài đặt hệ điều hành SecurePlatform        130 PHỤ LỤC 2. CÀI ĐẶT GÓI PHẦN MỀM NGX R65 TRÊN SECUREPLATFORM        134 PHỤ LỤC 3. CÀI ĐẶT SMARTCONSOLE CLIENT        140 TÀI LIỆU THAM KHẢO        145 DANH MỤC HÌNH VẼ Hình 1.1: Các thiết bị VPN        16 Hình 1.2: Hai loại mạng riêng ảo thường dùng        17 Hình 1.3: Các thành phần cơ bản của VPN        19 Hình 2.1: Ví dụ minh hoạ vai trò của các giao thức        29 Hình 2.2 : Kiến trúc của PPTP        30 Hình 2.3: Đóng gói PPTP/GRE        31 Hình 2.4: Cấu trúc gói dữ liệu trong đường hầm PPTP        31 Hình 2.5: Đường hầm L2F        33 Hình 2.6: Các tiến trình trong L2F        34 Hình 2.7: Truyền dữ liệu trên đường hầm L2F        35 Hình 2.8: Đường hầm L2TP        36 Hình 2.9: Quá trình tạo đường hầm L2TP        38 Hình 2.10: Quá trình đóng gói dữ liệu trong đường hầm L2TP        39 Hình 2.11: Quá trình mở gói dữ liệu trong đường hầm L2TP        40 Hình 2.12: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH        43 Hình 2.13: Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH        44 Hình 2.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP        44 Hình 2.15: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý ESP        45 Hình 2.16: Giải pháp IPSec VPN        59 Hình 2.17: So sánh các đặc tính của hai giải pháp IPSec và SSL VPN        65 Hình 2.18: So sánh các công nghệ VPN        69 Hình 2.19: Các lựa chọn công nghệ VPN khác nhau làm việc như thế nào?        71 Hình 3.1. Các giải pháp VPN-1 Power        73 Hình 3.2: Hai kiểu cộng đồng VPN        76 Hình 3.3: Client từ xa tới host đằng sau Gateway        77 Hình 3.4: Đường hầm VPN được đơn giản hóa        78 Hình 3.5: Tính bí mật, tính toàn vẹn và xác thực thông qua IPSec        79 Hình 3.6: Thuật ngữ VPN        80 Hình 3.7: Hai mô hình Star và một Mesh        82 Hình 3.8: Ý nghĩa khác nhau của việc mã hóa trong các cộng đồng mạng lưới riêng biệt.        83 Hình 3.9: Điều kiện đặc biệt        84 Hình 3.10: Ba cộng đồng VPN        84 Hình 3.11: Kiểm soát truy cập trong các cộng đồng VPN        87 Hình 3.12: Từ xa tới gateway        90 Hình 4.1: Mô hình triển khai Site to Site VPN        96 Hình 4.2: Mô hình triển khai Client to Site VPN (Remote Access)        98 Hình 4.3: Mô hình triển khai phần mềm CheckPoint VPN-1        98 Hình 4.4: Đăng nhập vào SmartCenter thông qua SmartDashboard        100 Hình 4.5: Giao diện SmartDashboard        100 Hình 4.6: Định nghĩa mạng LAN_S1        101 Hình 4.7: Định nghĩa mạng DMZ_HN        101 Hình 4.8: Định nghĩa node cho Web Server        102 Hình 4.9: Định nghĩa node mạng cho File Server        102 Hình 4.10: Định nghĩa node mạng cho Mail Server        102 Hình 4.11: VPN phải được chọn trong thuộc tính của tường lửa fw-head        103 Hình 4.12: Xác định VPN Domain        104 Hình 4.13: Chọn một cộng đồng VPN        104 Hình 4.14: Định nghĩa đối tượng mạng của đối tác (LAN_HCM)        105 Hình 4.15: Tạo đối tượng tường lửa của đối tác        106 Hình 4.16: Thuộc tính của tường lửa đối tác        106 Hình 4.17: Xác định VPN Domain cho tường lửa đối tác        107 Hình 4.18: Đưa fw-hcm vào cộng đồng VPN        107 Hình 4.19: Cấu hình cộng đồng VPN Site to Site        108 Hình 4.20: Sử dụng Shared Secret để xác thực        108 Hình 4.21: Tập luật VPN Site to Site hoàn chỉnh tại fw-head        109 Hình 4.22: Xác định kết nối VPN cho luật IKE VPN Rule        109 Hình 4.23: Cài đặt chính sách cho tường lửa fw-head        110 Hình 4.24: Cài đặt chính sách thành công        110 Hình 4.25: Tập luật VPN Site to Site cài đặt trên fw-hcm        111 Hình 4.26: Tạo User kết nối từ xa        111 Hình 4.27: Login Name        112 Hình 4.28: Authentication Scheme        112 Hình 4.29: Tạo nhóm người dùng VPN-User        113 Hình 4.30: Thêm fw- head vào cộng đồng RemoteAccess        114 Hình 4.31: Add nhóm người dùng VPN-User vào cộng đồng VPN        114 Hình 4.32: Visitor Mode Configuration        115 Hình 4.33: Clientless VPN        115 Hình 4.34: SSL Clients        116 Hình 4.35: Định nghĩa dải mạng cho client khi truy cập vào        116 Hình 2.36: Set domain for Remote Access Community        117 Hình 4.37: Chọn LAN_S1        117 Hình 4.38: Xác nhận domain LAN_S1 cho Remote Access Community        118 Hình 4.39: Remote Access Rule        118 Hình 4.40: Add Community to rule        119 Hình 4.41a: Cài đặt chính sách an toàn        119 Hình 4.41b: Cài đặt chính sách thành công        120 Hình 4.42: Kiểm tra các kết nối thông qua SmartView Monitor        120 Hình 4.43: Ping từ host 2 đến host 1        121 Hình 4.44: Tạo các nhóm người dùng trên File Server        121 Hình 4.45: Các thư mục chia sẻ trên File Server        122 Hình 4.46: Từ host 2 truy cập vào File Server với tài khoản TPKeToan        122 Hình 4.47: Tài nguyên chia sẻ trên File Server        123 Hình 4.48: TPKeToan sửa đổi file trên thư mục Ke Toan        123 Hình 4.49: TPKeToan không thể sửa đổi file trên thư mục Nhan Su        124 Hình 4.50: Thử kết nối thông qua trình duyệt web        125 Hình 4.51: Đăng nhập bằng tài khoản Client1        125 Hình 4.52: Xác thực kết nối        126 Hình 4.53: User kết nối thành công        126 Hình 4.54: Kiểm tra địa chỉ được cấp phát thuộc dải mạng VPN-Client        127 Hình 4.55: Client1 truy cập vào File Server với tài khoản TPNhanSu        127 Hình PL1.1: Danh sách driver        130 Hình PL1.2: Loại hệ thống cài đặt        131 Hình PL1.3: Chọn Networking Device        132 Hình PL1.4: Cấu hình giao diện mạng        132 Hình PL1.5: Cấu hình cổng console https        133 Hình PL2.1: Truy cập vào FW_S1 qua giao diện Web        135 Hình PL2.2: Cấu hình Domain        136 Hình PL2.3: Cấu hình các kết nối mạng        136 Hình PL2.4: Cấu hình định tuyến cho tường lửa FW_S1        137 Hình PL2.5: Cấu hình thời gian        137 Hình PL2.6: Cấu hình người quản trị        138 Hình PL2.7: Cấu hình GUI Client        138 Hình PL2.8: Cài đặt các sản phẩm VPN-1 Power và SmartCenter        139 Hình PL2.9: Khởi động lại máy FW_S1        139 Hình PL3.1: Màn hình bắt đầu quá trình cài đặt Console client        140 Hình PL3.2: Chấp nhận bản quyền        141 Hình PL3.3: Loại sản phẩm cài đặt        141 Hình PL3.4: Cài đặt mới        142 Hình PL3.5: Chọn SmartConsole        142 Hình PL3.6: Thông báo sản phẩm được chọn        143 Hình PL3.7: Chọn thư mục cài đặt        143 Hình PL3.8: Chọn các thành phần client sẽ cài đặt        144 Hình PL3.9: Hoàn tất cài đặt SmartConsole NGX R65        144 DANH MỤC CÁC TỪ VIẾT TẮT AAA Authentication – Athorization – Accounting AH Authentication Header ATM Asynchronous Transfer Mode CE Customer Edge devices CEF Cisco Express Forwarding CHAP Challenge Handshake Authentication Protocol CID Call Identification DMVPN Dynamic Multipoint VPN DMZ Demilitarized Zone EAP Extensible Authentication Protocol ESP Encapsulating Security Payload FR Frame Relay FTP File Transfer Protocol GRE Generic Route Encapsulation HTTP HyperText Transfer Protocol ICA Internal Certificate Authority ICMP Internet Control Message Protocol IETF Internet Engineering Task Force IKE Internet Key Exchange IPSec Internet Protocol Security ISAKMP/Oakley Internet Security Association and Key Management Protocol/Oakley ISDN Integrated Services Digital Network ISP Internet Service Provider L2F Layer 2 Forwarding L2TP Layer 2 Tunneling Protocol LAC L2TP Access Concentrator LAN Local Area Network LCP L2TP Control Protocol LNS L2TP Network Server MPLS Multi Protocol Label Switching NAS Network Access Server NAT Network Address Translation NFS Network File System NFS Network File System OSI Open Systems Interconnection PAP Password Authentication Protocol PDA Personal Digital Assistants PE Provider Edge devices POP Post Office Protocol PPP Point to Point Protocol PPTP Point to Point Tunneling Protocol PSTN Public Switched Telephone Network QoS Quality of Service RADIUS Remote Authentication Dial-In User Service RFC Requests for Comments SA Security Association SMLI Stateful Multi-Layer Inspection SMLI Stateful Multi-Layer Inspection SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SPAP  Shiva Password Authentication Protocol SPI Security Parameter Index SSL Secure Sockets Layer TCP Transmission Control Protocol UDP User Datagram Protocol VoIP Voice over IP VPN Virtual Private Network VPNC VPN Consortium VRF Virtual Routing and Forwarding WAN Wide Area Network LỜI NÓI ĐẦU Đối với các tổ chức, doanh nghiệp, mạng riêng ảo (VPN – Virtual Private Network) được sử dụng như một giải pháp an toàn cho lưu thông và giao dịch trong mạng của mình. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của một tổ chức. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân các tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên cơ sở mạng công cộng (như Internet). Đặc biệt, phần mềm Check Point VPN-1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó. Trong khuôn khổ báo cáo Đồ án tốt nghiệp này, tôi xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng. Tên đề tài: “Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point”. Bố cục bài báo cáo này gồm 4 chương như sau: - Chương 1: CÁC KHÁI NIỆM MẠNG RIÊNG ẢO – Trình bày về các khái niệm cơ bản trong mạng riêng ảo, thành phần, phân loại, các yêu cầu, ưu điểm và nhược điểm của mạng riêng ảo; tính cần thiết và mục đích của nó trong việc đảm bảo an toàn cho các hoạt động mạng. - Chương 2: NGHIÊN CỨU CÁC GIAO THỨC VÀ CÔNG NGHỆ MẠNG RIÊNG ẢO - Tổng hợp kiến thức cơ bản về các giao thức VPN tại tầng 2 (PPTP, L2F, L2TP), tại tầng 3 (IPSec) trong mô hình OSI và giao thức hỗ trợ IPSec là IKE; các công nghệ mạng riêng ảo: MPLS, IPSec và SSL VPN. - Chương 3: GIẢI PHÁP MẠNG RIÊNG ẢO CỦA CHECK POINT – Tìm hiểu về sản phẩm VPN-1 Power của Check Point và phân tích giải pháp của hãng phầm mềm tường lửa hàng đầu này cho VPN. - Chương 4: GIẢI PHÁP MẠNG RIÊNG ẢO SỬ DỤNG PHẦN MỀM TƯỜNG LỬA CHECK POINT – Xây dựng mô hình và triển khai cài đặt, cấu hình thiết lập mạng riêng ảo (Site to Site VPN và Remote Access VPN) sử dụng giải pháp mạng riêng ảo của Check Point (VPN-1 Power) đảm bảo an toàn cho các hoạt động mạng trong một công ty với một trụ sở chính tại Hà Nội, một chi nhánh tại Thành phố Hồ Chí Minh và người dùng di động. Với điều kiện hạn chế về khả năng tìm hiểu cũng như trang thiết bị thực hành, tôi thực hiện bài báo cáo này không thể tránh khỏi những sai sót và phần thực hành chưa được hoàn thiện như thực tế. Tôi rất mong nhận được sự cảm thông và những chỉ dẫn thêm của thầy cô, cũng như các bạn để có thể trang bị thêm nhiều kiến thức bổ ích và đạt kết quả tốt hơn nữa trong thực tiễn làm việc. Tôi xin cảm ơn tập thể giảng viên Khoa An toàn Thông tin - Học viện Kỹ thuật Mật Mã đã tận tình giảng dạy, hướng dẫn và trang bị kiến thức cho tôi trong suốt 5 năm học vừa qua để từ đó đã tạo điều kiện tốt nhất cho tôi thực hiện đồ án tốt nghiệp trong hơn 2 tháng này. Xin cảm ơn bố mẹ, gia đình và bạn bè tôi đã cổ vũ, động viên rất nhiều để tôi có được sự quyết tâm, nỗ lực thực hiện mục tiêu của mình. Đặc biệt, tôi xin chân thành cảm ơn thầy giáo ThS. Hoàng Sỹ Tương - Giảng viên Khoa ATTT đã tận tình giúp đỡ và hướng dẫn tôi hoàn thành Đồ án Tốt nghiệp này. Tôi xin chân thành cảm ơn!! Hà Nội, ngày 30/05/2009 CHƯƠNG 1: KHÁI NIỆM MẠNG RIÊNG ẢO 1.1. TÍNH CẦN THIẾT VÀ MỤC ĐÍCH CỦA MẠNG RIÊNG ẢO 1.1.1 Tính cần thiết của mạng riêng ảo Với sự lớn mạnh bùng nổ của mạng máy tính và người dùng mạng, các nhà quản lý Công nghệ thông tin (CNTT) phải đối mặt với nhiệm vụ củng cố hợp nhất những mạng đang có, các site ở xa, và những người dùng từ xa thành một cấu trúc đơn nhất an toàn. Các cơ quan chi nhánh đòi hỏi kết nối với các chi nhánh khác và với trụ sở chính. Người dùng từ xa yêu cầu nâng cao đặc điểm kết nối để đối phó với những môi trường mạng thay đổi hiện nay. Những thoả thuận với các đối tác yêu cầu kết nối doanh nghiệp với doanh nghiệp bằng các mạng bên ngoài (External Networks). Đặc biệt, sự hợp nhất xảy ra cần sử dụng cơ sở hạ tầng sẵn có. Điều đó có nghĩa là kết nối được khởi tạo thông qua mạng Internet giống như sử dụng các mạng Leased lines chuyên dụng. Các site và người dùng từ xa phải được hợp nhất trong khi phải duy trì ở cùng một mức độ an ninh cao. Một lần kết nối được thiết lập, các kết nối phải được đảm bảo an toàn như cũ, cung cấp mức độ cao về tính riêng tư, xác thực, và toàn vẹn trong khi giữ được giá thành thấp. Thêm nữa, chỉ những luồng dữ liệu hợp pháp mới được phép vào mạng bên trong. Những luồng dữ liệu có hại có thể nhận biết được phải được kiểm tra về nội dung. Trong mạng bên trong (Internal network) những mức khác nhau về truy cập cũng phải được cài đặt để những dữ liệu nhạy cảm chỉ được sẵn sàng với những người dùng hợp pháp, đúng quyền. Công nghệ mạng riêng ảo (Virtual Private Network - VPN) sử dụng cơ sở hạ tầng sẵn có (Internet) như một cách để xây dựng và nâng cao các kết nối sẵn có bằng một cách an toàn nào đó. Dựa vào những giao thức an toàn Internet chuẩn, sự thực thi VPN đảm bảo các liên kết an toàn giữa các kiểu đặc biệt của các nốt mạng: Như module VPN-1 Power của CheckPoint. Site to Site VPN đảm bảo các liên kết an toàn giữa các gateway. Remote Access VPN đảm bảo liên kết an toàn giữa các gateway và các client truy cập từ xa. Việc truyền thông giữa các bên cần một nền móng kết nối không chỉ nhanh, có khả năng mở rộng và phục hồi nhưng cũng cung cấp: Tính bí mật (Confidentiality), tính toàn vẹn (Integrity) và tính xác thực (Authentication). - Tính bí mật: Chỉ các bên tham gia truyền thông mới có thể đọc được thông tin riêng tư trao đổi giữa chúng. - Tính xác thực: Các bên truyền thông phải chắc chắn rằng họ đang kết nối với bên mong muốn. - Tính toàn vẹn: Dữ liệu nhạy cảm truyền qua giữa các bên truyền thông không bị thay đổi, và điều đó có thể được chứng thực với một phép kiểm tra tính toàn vẹn. 1.1.2 Mục đích của mạng riêng ảo - Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng. - Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. - Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. - Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa - Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, … - Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu. 1.2. KHÁI NIỆM VỀ MẠNG RIÊNG ẢO Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kỹ thuật. Với sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng thành viên lớn với kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau. Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu sản phẩm và dịch vụ bằng các Website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng Internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hoá, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể thăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như mạng Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động cơ cho sự phát triển mạnh mẽ của VPN như ngày nay. 1.2.1 Sự phát triển của các loại VPN VPN không phải là kĩ thuật mới. Mô hình VPN đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay. Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WAN, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này,