Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 2

Tham khảo tài liệu giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 2, công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 2 Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năngtương thích, Khả năng quản trị.1.3.1. Bảo mật Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tàinguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cậptrái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận địnhnày rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộngkhác như mạng điện thoại chuyển mạch công cộng (Public Switched TelephoneNetworks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các Hacker,Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó quacác mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thựcthi một cách chặt chẽ. Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo cáccách như sau: + Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưulượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượngkhác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuậtphòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượngra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụkhác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và nhưvậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet. + Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiếtlập định danh của người dùng và quyết định anh ta có được phép truy cập tới cáctài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA)là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xácnhận người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thànhcông, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, mộtnhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì,cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường. + Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu đểđảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyềnqua mạng không tin cậy. Bảo mật giao thức Internet(Internet Protocol Security -IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoádữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng góidữ liệu riêng biệt. + Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấpkhoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy, cần phải tạora các khoá, phân phối và cập nhật, làm tươi chúng.1.3.2. Tính sẵn sàng và tin cậy Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng(uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vìtoàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủbởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internetvà PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian.Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ(ISP). Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịchvụ” (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa ISPvà người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy cậpmạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức muốnđảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạchxương sống có khả năng phục hồi cao. Đó là: + Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thaythế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suấtcực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khiđược yêu cầu. + Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tănggiải thông mạng. + Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này khôngchỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làmlạnh Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quanmật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm bảorằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũngnhư hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPNcó thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khácnếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàntoàn trong suốt với người dùng cuối.1.3.3. Chất lượng dịch vụ Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều cómong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyềntừ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác. Vấ ...