Giáo trình hướng dẫn phân tích cấu hình thiết bị truy cập intermet bằng IS3010 p5
Thêm vào BST
Báo xấulượt xem 4
download
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
TCP phân chia các thông điệp thành các segment, sau đó nó ráp các segment này lại tại bên nhận, và nó có thể truyền lại những gói dữ liệu nào đã bị mất. Với TCP thì dữ liệu đến đích là đúng thứ tự, TCP cung cấp Virtual Circuit giữa các ứng dụng bên gởi và bên nhận. Giao thức TCP thiết lập một kết nối bằng phương pháp “Bắt tay 3 lần” (three-way handshake)
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Giáo trình hướng dẫn phân tích cấu hình thiết bị truy cập intermet bằng IS3010 p5
- h a n g e Vi h a n g e Vi XC XC e e F- F- w w PD PD er er ! ! W W O O N N y y bu bu Tài liệu hướng dẫn giảng dạy to to k k lic lic C C w w m m w w w w o o .c .c .d o .d o c u -tr a c k c u -tr a c k TCP phân chia các thông điệp thành các segment, sau đó nó ráp các segment này lại tại bên nhận, và nó có thể truyền lại những gói dữ liệu nào đã bị mất. Với TCP thì dữ liệu đến đích là đúng thứ tự, TCP cung cấp Virtual Circuit giữa các ứng dụng bên gởi và bên nhận. Giao thức TCP thiết lập một kết nối bằng phương pháp “Bắt tay 3 lần” (three-way handshake) Hình 6.1 – Cách thiết lập kết nối của giao thức TCP. Hình vẽ dưới đây là một ví dụ về cách thức truyền, nhận gói tin bằng giao thức TCP. Hình 6.2 – Minh họa cách truyền, nhận gói tin trong giao thức TCP. Giao thức TCP là giao thức có độ tin cậy cao, nhờ vào phương pháp truyền gói tin, như cơ chế điều khiển luồng (flow control), các gói tin ACK,… Hình vẽ sau đây thể hiện gói tin của TCP. . Trang 88/555 Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi XC XC e e F- F- w w PD PD er er ! ! W W O O N N y y bu bu Tài liệu hướng dẫn giảng dạy to to k k lic lic C C w w m m w w w w o o .c .c .d o .d o c u -tr a c k c u -tr a c k Hình 6.3 – Cấu trúc gói tin của TCP. Các thành phần trong gói tin: Source port: port nguồn - Destination Port: port đích - Sequence number: số tuần tự (để sắp xếp các gói tin theo đúng trật tự của nó). - Acknowledgment number (ACK số): số thứ tự của Packet mà bên nhận đang chờ đợi. - Header Length: chiều dài của gói tin. - Reserved: trả về 0 - Code bit: các cờ điều khiển. - Windows: kích thước tối đa mà bên nhận có thể nhận được - Checksum: máy nhận sẽ dùng 16 bit này để kiểm tra dữ liệu trong gói tin có đúng hay không. - Data: dữ liệu trong gói tin (nếu có). - III.2. Giao thức UDP (UDP protocol). UDP không giống như TCP, UDP là nghi thức phi kết nối, nghĩa là dữ liệu gởi tới đích là không tin cậy. Bởi vì kết nối không được tạo trước khi dữ liệu truyền, do đó UDP nhanh hơn TCP. UDP là nghi thức không tin cậy, nó không đảm bảo dữ liệu đến đích là không bị mất, đúng thứ tự mà nó nhờ các nghi thức ở lớp trên đảm nhận chức năng này. UDP có ưu thế hơn TCP: Nhờ vào việc không phải thiết lập kết nối trước khi thật sự truyền dẫn dữ liệu nên truyền với tốc độ - nhanh hơn. Bên nhận không cần phải trả về gói tin xác nhận (ACK) nên giảm thiểu sự lãng phí băng thông. - . Trang 89/555 Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi XC XC e e F- F- w w PD PD er er ! ! W W O O N N y y bu bu Tài liệu hướng dẫn giảng dạy to to k k lic lic C C w w m m w w w w o o .c .c .d o .d o c u -tr a c k c u -tr a c k Hình 6.4 – Cấu trúc gói tin của UDP. Các thành phần trong gói tin UDP: Source Port: port nguồn. - Destination Port: port đích. - UDP Length: chiều dài của gói tin. - UDP Checksum: dùng để kiểm tra gói tin có bị sai lệch hay không - Data: dữ liệu đi kèm trong gói tin (nếu có). - III.3. Khái niệm Port. Trong cùng một thời điểm, một máy tính có thể có nhiều chương trình đang chạy. Vậy làm sao để xác định một gói tin sẽ được chương trình nào sử dụng? Khái niệm Port ra đời để giải quyết chuyện đó. Mỗi chương trình ứng dụng mạng đều có một Port xác định. Để gởi gói tin đến một chương trình tại máy tính A, ta chỉ cần gởi gói tin đến địa chỉ IP của máy A, và Port mà chương trình đó đang sử dụng. TCP hoặc UDP dùng port hoặc socket, nó là con số mà thông qua đó thông tin được truyền lên các lớp cao hơn. Các con số port được dùng trong việc lưu vết các cuộc hội thoại khác nhau trên mạng xảy ra trong cùng một thời điểm. Port là một loại địa chỉ logic trên một máy tính, là con số 2 byte. Các port có giá trị nhỏ hơn 1024 được dùng làm các port chuẩn. Các ứng dụng dùng port riêng có giá trị lớn hơn 1024. Các giá trị port được chứa trong phần địa chỉ nguồn và đích của mỗi segment TCP. Một ứng dụng có thể sử dụng port riêng trong miền cho mình để giao dịch trên mạng nhưng chú ý là không được trùng với các port chuẩn. Ví dụ một số port chuẩn mà các phần mềm sử dụng HTTP: Port number 80 - FTP: Port number 21 - DNS: Port number 53 - Telnet: Port number 23 - SMTP: Port number 25 - TFTP: Port number 69 - SNMP: Port number 161 - RIP: Port number 520 - . Trang 90/555 Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi XC XC e e F- F- w w PD PD er er ! ! W W O O N N y y bu bu Tài liệu hướng dẫn giảng dạy to to k k lic lic C C w w m m w w w w o o .c .c .d o .d o c u -tr a c k c u -tr a c k IV. CÁC MÔ HÌNH FIREWALL. IV.1. Giới thiệu về Firewall. Firewall hay còn gọi là bức tường lửa được hiểu như là một hệ thống máy tính và thiết bị mạng giúp ta có thể bảo mật và giám sát các truy xuất từ bên trong ra ngoài và ngược lại từ bên ngoài vào trong từ đó ta có thể phòng chống các truy cập bất hợp pháp. IV.2. Dual homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN). Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất. Hình 6.4 – Kiến trúc Firewall Dual homed host. IV.3. Screened Host. Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau: Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố - định. . Trang 91/555 Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi XC XC e e F- F- w w PD PD er er ! ! W W O O N N y y bu bu Tài liệu hướng dẫn giảng dạy to to k k lic lic C C w w m m w w w w o o .c .c .d o .d o c u -tr a c k c u -tr a c k Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch - proxy thông qua bastion host). Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau: Một số dịch vụ được phép đi vào trực tiếp qua packet filtering. - Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy. - Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc dual-homed host đôi khi cũng có lỗi mà cho phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này). Hơn nữa, kiến trúc dual-homed host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host. So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened subnet trở thành kiến trúc phổ biến nhất. Hình 6.5 – Kiến trúc Firewall Screened host. IV.4. Screened Subnet. Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. . Trang 92/555 Học phần 3 - Quản trị mạng Microsoft Windows
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Giáo trình hướng dẫn phân tích lãi suất và giá trị của tiền tệ theo thời gian tích lũy p3
5 p | 
104
| 
10
-
Giáo trình hướng dẫn phân tích lãi suất và giá trị của tiền tệ theo thời gian tích lũy p9
5 p | 97
| 8
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p6
11 p | 82
| 8
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p4
11 p | 93
| 6
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p7
11 p | 75
| 4
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p3
11 p | 79
| 4
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p2
11 p | 88
| 4
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p1
11 p | 90
| 4
-
Giáo trình hướng dẫn phân tích ứng dụng phương thức gán đối tượng cho một giao diện đối lập trừu tượng p8
5 p | 85
| 4
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p10
11 p | 71
| 3
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p9
11 p | 63
| 3
-
Giáo trình hướng dẫn phân tích cấu tạo mô hình quản lý mạng phân phối xử lý dữ liệu p8
11 p | 75
| 3
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p1
5 p | 74
| 2
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p2
5 p | 67
| 2
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p3
5 p | 85
| 2
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p5
5 p | 64
| 2
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p6
5 p | 90
| 2
-
Giáo trình hướng dẫn phân tích khả năng chống phân mảnh dung lượng ổ cứng bằng Clean system p7
5 p | 68
| 2
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn
Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.
