Mục lục
Lời nói đầu
Trong một kỷ nguyên công nghệ thông tin đang ngày càng phát triển và được chú trọng như hiện nay, mạng Internet đã trở nên quen thuộc đối với mọi người, không mấy ai còn lạ lẫm với những ứng dụng thiết thực của nó. Việc ứng dụng nó vào lĩnh vực trong cuộc sống đặc biệt là lĩnh vực kinh tế thực sự là rất cần thiết và hiệu quả.
Sau một khoá học ở Học viện Kỹ thuật quân sự, em đã được học những gì cơ bản nhất về mạng, một số ngôn ngữ lập trình và với đồ án tốt nghiệp này, em
62 trang |
Chia sẻ: huyen82 | Lượt xem: 1263 | Lượt tải: 0
Tóm tắt tài liệu Hệ thống hỗ trợ công tác kinh doanh cho Công ty Thiết bị văn phòng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
đã lựa chọn thiết kế một hệ thống hỗ trợ cho công việc kinh doanh của một công ty nhằm nâng cao, ứng dụng những kiến thức đã học vào thực tế.
Hệ thống này được thiết kế giống một trang Web. Nó phải đảm bảo thực hiện được những chức năng sau:
Giúp khách hàng lựa chọn sản phẩm và đặt hàng trực tuyến
Tư vấn kỹ thuật cho khách hàng trực tuyến
Công ty có thể quản lý được hệ thống này.
Sau một thời gian nghiên cứu, nhờ sự giúp đỡ chỉ bảo tận tình của thầy Đào Thanh Tĩnh, hệ thống của em đã hoàn thành. Tuy nhiên, đây là một chương trình đầu tiên nên có thể vẫn còn nhiều sơ sót, chưa được tối ưu, bởi thế em rất mong nhận được sự chỉ bảo hướng dẫn thêm của các thầy và các bạn để hệ thống được tốt hơn và hoàn thiện hơn nữa.
Em xin chân thành cảm ơn!
Chương i: thiết kế trang Web.
Giới thiệu chung.
Trang web được xây dựng bởi một tập các file của các chương trình ứng dụng khác nhau. Ví dụ như các text file, gồm text xuất hiện trên trang đó và các text để định dạng trang, chỉ ra các nối kết và hiển thị hình ảnh. Các lệnh định dạng trang web được gọi là nhãn HTML, các lệnh này được có trong ngôn ngữ định dạng mà bộ trình duyệt web hiển thị được các trang web. Các file này thường có phần mở rộng là .htm hoặc .html.
Thêm nữa, trang web còn gồm các file đồ hoạ. Mỗi hình xuất hiện trên trang web được lưu trong một file riêng, thường có phần mở rộng là .gif hoặc .jpg hoặc .jpeg. Nhãn HTML điều khiển nơi mỗi hình xuất hiện trên trang web. Kích thước các file đồ hoạ cần phải nhỏ và không nên sử dụng quá nhiều vì kích thứơc toàn bộ các file yêu cầu để hiển thị một trang web càng lớn thì càng mất nhiều thời gian để xem lại trang web đó, đặc biệt đối với người sử dụng có tốc độ kết nối Intenet chậm.
Ngoài ra, trang web còn bao gồm các file video hay file audio để tăng thêm tính hấp dẫn, thu hút người xem.
Các bước để tạo một Web site:
Dự định cấu trúc của web để có ý tưởng chung về thông tin gì sẽ ở trên trang chủ và các trang chính khác. Cần xác định rõ độc giả của trang web là ai, trang web được tạo ra nhằm mục đích gì để từ đó thiết lập các chủ đề chính, các khối thông tin giới thiệu trên trang web.
Dùng các chương trình ứng dụng tạo các trang cho web và lưu chúng lại. Dùng trình biên tập đồ hoạ để tạo hay xem đồ hoạ cho các trang.
Dùng bộ trình duyệt riêng xem các file đã tạo, cần kiểm tra văn bản có đúng chính tả không, đồ hoạ phải trông đẹp mắt và nối kết giữa các trang. Lặp lại bước 2 và 3 để trang web trông đủ đẹp.
Phổ biến web bằng cách đặt file của nó vào web server.
Dùng bộ trình duyệt xem các trang web được lưu thông trong web server.
Kỹ thuật định hướng.
Một trang web được thiết kế với sự định hướng rõ ràng sẽ giúp người xem di chuyển giữa các trang một cách dễ dàng và nhanh chóng:
Xây dựng một trang web với cấu trúc linh động, không nên cứ giữ một cấu trúc nghiêm ngặt cho trang web của mình nhưng phải đơn giản và nhất quán. Hầu hết các web site có cấu trúc theo hệ thống, bắt đầu bằng những thông tin tổng quát nhất trên trang chủ với các nối kết sang các trang chi tiết hơn, đây là cách tổ chức thông tin tốt nhất. Tuy nhiên, hãy cố gắng giới hạn số lần sang trang mà người đọc phải thực hiện để tìm kiếm thông tin mà họ cần. Thông tin trên các trang nên là những thông tin cần thiết và hấp dẫn để giữ được sự hứng thú của người đọc.
Sử dụng các kết nối định hướng để hướng dẫn người đọc sang các trang khác. Ví dụ khi muốn người đọc sang các trang tiếp, theo thứ tự, hãy sử dụng nối kết Next (bảo đảm cả một kết nối Previuos). Một kết nối cuối trang chủ thì cũng rất hữu dụng. Và các nối kết định hướng thường được đặt trên các nút hoặc các biểu tượng. Mặc dù hầu hết các bộ trình duyệt hiển thị đồ thị, tốt nhất là nên cung cấp các nối kết, bên cạnh các biểu tượng hoặc các nút để phòng khi một số người đọc đang sử dụng các bộ trình duyệt không hỉên thị trên các nút, đó là lý do mà các nối kết định hướng dược lặp đi lặp lại lặp lại trên các trang web và các kết nối text ở cuối trang.
Các frame cân nhắc: nếu muốn người đọc xem các trang trong một trật tự nào đó mà họ chọn, hãy sử dụng các frame để hiển thị các kết nối trang ở bất kỳ thời điểm nào. Các trang được tạo cấu trúc với các frame thường có bảng nội dung trong một frame ở bên trái của trang. Khi người đọc chuyển từ trang này sang trang khác, bảng nội dung frame vẫn có thể thấy trên màn hình. Khi họ hoàn tất việc xem một trang, họ sẽ chọn một kết nối khác.
Một số khía cạnh kỹ thuật khác.
Để có được một trang web hấp dẫn, dễ truy cập thì cần quan tâm đến một số khía cạnh khác nữa, như:
Cố gắng không dùng các phông chữ và kích thước text riêng trừ khi thật sự cần thiết cho việc thiết kế trang.
Quan trọng nhất là với mục đích thiết kế trang web sẽ được phổ biến rộng khắp trên thế giới nên có nhiều người thuộc các dân tộc, nền văn hoá khác nhau đọc nó. Điều có thể được chấp nhận trong nền văn hoá của bạn có thể bị cho là thô tục đối với nền văn hoá khác. Vì vậy, ngôn ngữ trên trang Web cần được chú trọng. Các thông tin cung cấp trên trang Web như địa chỉ, điện thoại, lệ phí và giá vận chuyển cần bao gồm cả các thông tin cho ngoài nước.
Cần chú ý đến vấn đề bảo mật những thông tin cá nhân của nguồn thông tin, tránh để lộ những thông tin riêng tư trên trang web mà chưa được phép.
Một số phương pháp tạo trang web:
Chúng ta có thể tạo trang Web bằng tay hoặc sử dụng Web Page Editor.
Tạo trang Web bằng tay:
HTML – Hypertex Markup Language là ngôn ngữ của các trang World Wide Web. Các định dạng mà chúng ta ứng dụng cho văn bản, tiêu đề và các hình ảnh trên các trang web được điểu khiển bởi HTML. Nó được phát triển để cung cấp một cách định dạng văn bản và hình ảnh để các bộ trình duyệt web đọc. HTML là một ngôn ngữ đánh dấu hơn là một ngôn ngữ lập trình, đó là cách mã hoá thông tin để tất cả các kiểu của bộ trình duyệt có thể đọc và hiển thị trang này. Nó được phát triển liên tục, các mã mới được bổ dung và các mã cũ được bỏ đi. Sự phát triển của HTML được quản lý bởi World Wide Web Consortium hoặc W3C.
1.5.2. Tạo trang Web bằng cách sử dụng Web Page Editor.
a, Giới thiệu về Web Page Editor.
Với Web Page Editor, tất cả các trang Web được thiết kế đều được xem dưới hình thức mà nó sẽ xuất hiện trong bộ trình duyệt. Ta không cần phải vào một trình ứng dụng khác hoàn toàn để xem trang Web đã được định dạng.
Khi sử dụng Web Page Editor bạn tiết kiệm được rất nhiều thời gian vì không cần phải nhập vào tất cả HTML tag. Các Web Page Editor đã bổ sung tag cho bạn, bạn có thể tập trung vào thiết kế dàn bài và nội dung của trang.
b, Một số Editor phổ biến
Netscape Composer: Là một phần của bộ Netscape Communication và có thể được tải từ Netscape Web site tại
Frontpage và Frontpage Express là hai Web Page Editor xuất phát từ Microsoft. Frontpage Express là một chương trình tối ưu để tạo trang Web một cách nhanh chóng. Frontpage có nhiều tính năng hơn Frontpage Express và cho phép xem cũng như quản lý toàn bộ cấu trúc của Web và tạo các trang Web. Để biết thêm bạn có thể xem Microsoft Web site tại
PageMill là Web Page Editor từ Adobe. Để biết thêm, hãy xem Adobe Web site tại Đây không phảI là một phần mềm chia sẻ hay miễn phí.
HotDog Professional là một chương trình có thể chia sẻ của Sausage Software ( )
Tạo các đồ hoạ web.
Các đồ hoạ máy tính được lưu giữ theo nhiều dạng file khác nhau, nhưng thuộc hai kiểu chính sau:
Vector image: gồm các đường thẳng và các dạng khác nhau, được tô màu hoặc bóng đổ.
Bitmap image: gồm các chấm màu hoặc pixel. Các tài liệu Web thường sử dụng hình ảnh bitmap và hai dạng chính của nó là GIF (CompuServer’s Graphics Interchange Format) và JPEG (Joint Photographic Experts Group)
Các chương trình đồ hoạ có ba loại chính:
Chương trình vẽ và photo giúp bạn đọc các file hình ảnh khác và tuỳ ý sử dụng chúng khi sử dụng Web hoặc là tạo một hình ảnh của Web cho chính bạn bằng cách sử dụng một cây cọ vẽ và các công cụ khác.
Các chương trình minh hoạ tạo các hình ảnh chủ yếu là các đồ hoạ vector và vì thế có ít đặc tính hơn trong việc tối ưu hoá các file bitmap được sử dụng trong Web.
Các lợi ích của đồ hoạ: đồ hoạ được thiết kế thành các chương trình có các đặc tính đơn giản tập trung vào chuyển đổi các hình ảnh từ một định dạng này sang một định dạng khác và cách điều chỉnh sơ các hình ảnh đó.
Một số chương trình đồ hoạ hay được sử dụng:
Microsoft Paint giúp người sử dụng máy tính tô màu một hình ảnh đơn giản hoạt động trong một hình ảnh và chỉnh sửa nó.
Adobe Photoshop là một chương trình đồ hoạ cho mục đích tổng quát và chuyên nghiệp, giúp bạn scan, chỉnh sửa, tô màu và phát triển các hình ảnh.
Để thực hiện tốt việc tạo đồ hoạ cho Web thì phải cân đối được tốc độ tải và chất lượng hình ảnh. Nếu bạn chú trọng về tốc độ thì phải giảm đi số lượng các màu và các chi tiết trong một hình ảnh. Nếu chú trọng về độ trung thực của màu sắc thì sử dụng hình ảnh chi tiết cao và bổ sung các hiệu ứng đặc biệt nào đó nên làm giảm tốc độ tải xuống một cách đáng kể. Việc tối ưu hoá có thể giúp làm giảm tối thiểu hoạt động cân đối.
Khi tối ưu hóa tốc độ, các hình ảnh cần phải tải nhanh nếu không người sử dụng sẽ không đợi chúng trước khi chuyển sang trang khác. Tốc độ tải nhanh đối với các trang web có kích thước nhỏ và các hình ảnh sử dụng lại nếu có thể. Các yếu tố chính ảnh hưởng đến kích cỡ là: chọn định dạng (JPEG, GIF); kích thước ảnh; số lượng màu.
Để giảm thiểu tối đa kích thước ảnh thì cách tốt nhất là sử dụng chiều cao và chiều rộng của một hình ảnh nhỏ nhất (trong các ảnh điểm). Chiều cao và chiều rộng nếu được giảm đi một nửa thì tức là hầu hết các file ảnh có kích cỡ đã giảm tối đa là một nửa. Khi thực hiện việc định kích thước dùng cho hình ngay từ đầu thì sẽ có những kết quả tốt nhất. Hầu hết các chương trình đồ hoạ sẽ cung cấp một trình điều khiển thuộc tính về kích cỡ, độ co giãn và thuộc tính định lại kích cỡ để giảm kích thước ảnh.
Các hình ảnh có ít chi tiết hoặc là có nhiều tính chất đồng nhất trong số các pixel của nó sẽ tạo ra các file nhỏ. Tất cả các định dạng cho web dựa trên việc nén dữ liệu và nén các đặc điểm trợ giúp tính đồng nhất. Với việc nén dữ liệu, nếu một nhóm các pixel giống nhau về màu sắc thì mọi pixel sẽ không đòi hỏi giá trị màu sắc của nó trong file này, nhóm này có thể đại diện bằng một giá trị đơn. Màu sắc thay đổi càng ít trong một hạt các pixel thì càng ít nhóm được đòi hỏi, và kích cỡ càng nhỏ.
Số lượng màu sử dụng cho hình ảnh càng ít thì file càng nhỏ. Nên sử dụng ít màu khi vẽ một bức tranh ngay từ lúc đầu. Bên cạnh đó, có nhiều chương trình đồ hoạ giúp ta giảm bảng mẫu màu của hính ảnh đang có. Việc giảm đi số lượng màu trong bảng mẫu sẽ làm giảm kích thước file ảnh nhưng không do file này có ít dữ liệu về bảng mẫu, dữ liệu bảng mẫu là một phần nhỏ của file ảnh. Khi chương trình xóa các mẫu này, nó sẽ cung cấp cho các pixel có ảnh hưởng các màu mới. Nó có ít màu nên có một pixel thì chỉ tương ứng với một màu của pixel đó. Các pixel thuộc một nhóm pixel cùng màu và không cần dữ liệu của chúng trong file này.
Việc tốc độ tải nhanh là quan trọng nhưng cũng cần giữ mức độ chất lượng. Khi được đưa kích cỡ vào một nội dung nào đó thì cách để bảo đảm chất lượng là chọn định dạng file thích hợp và điều khiển độ sâu, sự đồng nhất về màu sắc trong hình ảnh.
Số lượng màu khác nhau mà một file hình ảnh có thể chứa được gọi là độ sâu của màu sắc. Các file .gif có độ sâu màu tối đa là 256 màu (màu 8 bit), nhưng cũng có thể có các độ sâu màu 7 bit (128 màu), 6 bit (64 màu),…. Các file .jpeg có độ sâu màu hỗn hợp của 16,7 triệu màu, gọi là màu 24 bit, một độ sâu màu làm cho các hình ảnh jpeg đẹp hơn cho việc chụp màu. Trong một độ sâu được đưa thì số lượng màu thực sự được sử dụng trong hình ảnh (bảng màu) có thể ít hơn độ sâu màu cho phép. Một hình ảnh gif có thể chỉ sử dụng 200 màu. Dù có sự khác nhau như vậy nhưng khó có thể nhận biết khi hiển thị trên màn hình vì có những máy tính chỉ hiển thị chỉ 256 màu khác nhau. Vậy trên trang web có hình ảnh thì các hình ảnh đó nên sử dụng cùng một bảng màu. Các máy tính sử dụng bảng màu trên màn hình có thể chỉ hiển thị các màu của chỉ một bảng màu vào một thời điểm.
Chuyển các màu hỗn hợp thành một màu đơn có thể làm tăng chất lượng hình ảnh, giảm đI kích cỡ file và giúp nhận được hiệu ứng trong suốt đồng bộ cho màu đó mà không có những lốm đốm. Phương thức dễ nhất là tô màu cho một vùng có màu không đồng bộ bằng một màu duy nhất, sử dụng các công cụ sơn phổ biến trong các trình đồ hoạ.
Tạo các file web Audio:
Có năm bước chính để tạo các file Web Audio:
Bắt giữ audio bằng thiết bị thu như băng catssette, các đĩa nhỏ hoặc băng audio kỹ thuật số.
Tạo một file audio không nén trên máy tính bằng cách sử dụng thẻ âm thanh của nó.
Hiệu chỉnh và xử lý audio không nén.
Mã hoá file vào một format audio khác nhau.
Tải audio kết quả vào Web Server, bổ sung các liên kết vào các file audio từ các trang web.
Chương II: bảo mật mạng
Mạng Internet là một mạng công cộng rất rộng lớn, số người truy cập vào đây rất nhiều gồm cả kẻ xấu lẫn kẻ tốt, với vô số mục đích, nên thông tin trên mạng rất dễ bị ăn cắp, sửa đổi và bị phá hoại. Mặt khác, những kẻ xấu có thể tận dụng chúng để truy cập vào hệ thống mạng nội bộ của một công ty, một tổ chức nhằm phá hoại hoặc chỉ vì muốn thoả mãn sự hiếu kỳ, sở thích ưa phiêu lưu, mạo hiểm. Dù với bất kỳ nhu cầu nào điều đó cũng sẽ gây tổn hại cho công ty, tổ chức đó, đặc biệt là với các công ty, tập đoàn kinh doanh, tài chính.
Công việc bảo mật trên mạng được thực hiện dưới nhiều hình thức, bằng nhiều cách. Hệ thống bảo mật được thiết kế bởi nhiều lớp với nhiều phần mềm chống ăn cắp, sao chép thông tin, phá hoại thông tin,… hay mã hoá thông tin, kết hợp với nhau. Tất cả đều nhằm mục đích là che dấu hay bảo vệ các điểm yếu trên mạng, chống sự xâm phạm bất hợp pháp, chống sự phá hoại gây bất lợi cho những người sử dụng mạng.
Hệ thống hỗ trợ công tác kinh doanh thiết kế dưới đây nằm trong một mạng nội bộ của công ty, giao tiếp với Internet nên cũng rất dễ bị phá hoại thông qua mạng Internet. Vì vậy, hệ thống bảo mật mạng nội bộ khỏi tác động của bên ngoài cần phải được tìm hiểu.
2.1. Giới thiệu qua về hệ thống bảo mật cho mạng máy tính:
2.1.1. Mục đích:
Việc kết nối máy tính là nhằm sử dụng chung tài nguyên của hệ thống và chia sẻ tài nguyên cho nhau của các đối tượng tham gia hoạt động trong mạng, cho dù họ đang ở các vị trí địa lý khác nhau.
Tài nguyên hệ thống chủ yếu là các dữ liệu, thông tin, một thứ rất quý giá cần được bảo vệ, chống thất thoát trên các mạng truyền dữ liệu công cộng. Vì vậy, cần phải có một hệ thống bảo mật để bảo vệ những tài nguyên đó.
Hệ thống bảo mật cần phải đảm bảo 4 yêu cầu sau:
Authentication: là một quá trình nhằm định danh một đối tượng như máy tính hay người sử dụng. Các đối tượng trước khi liên lạc với nhau cần phải biết chính xác danh tính của nhau.
Intergrity: đảm bảo sự chính xác của dữ liệu trong quá trình truyền từ đối tượng này sang đối tượng khác, tránh trường hợp dữ liệu bị sửa đổi trên đường truyền.
Confidentiality: đảm bảo dữ liệu đến chính xác đối tượng cần nhận.
Anti-Replay: đảm bảo không thể dựa vào các dữ liệu cũ để có thể khai thác vào các mục đích bẻ khoá, ăn trộm, phá hoại thông tin sau này.
2.1.2. Các chiến lược bảo mật hệ thống:
Quyền hạn tối thiểu: bất kỳ một đối tượng nào cũng chỉ có những quyền hạn nhất định đối với tài nguyên chung. Khi thâm nhập vào mạng, đối tượng chỉ được sử dụng tài nguyên với những quyền hạn nhất định đã được phân.
Bảo vệ theo chiều sâu: tạo nhiều chế độ an toàn để chúng hỗ trợ lẫn nhau.
Nút thắt: chỉ cho phép thông tin vào hệ thống qua duy nhất một con đường, tổ chức cơ chế kiểm soát và điều khiển luồng thông tin này.
Điểm nối yếu nhất: kẻ phá hoại thường tím những điểm yếu nhất của hệ thống để tấn công nên cần phải tìm ra và bảo vệ các điểm yếu đó.
Tính toàn cục: các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ thống cục bộ. Nếu có kẻ nào muốn bẻ gãy một cơ chế an toàn, chúng có thể làm bằng cách tấn công vào một hệ thống tự do của ai đó trong mạng và dùng hệ thống đó để tấn công từ bên trong.
Tính đa dạng của việc bảo vệ: sử dụng nhiều biện pháp khác nhau cho những hệ thống khác nhau, nếu không sẽ tạo điều kiện cho một kẻ tấn công vào được một hệ thống dễ dàng tấn công hệ thống khác.
2.1.3. Các mức bảo vệ an toàn mạng:
Không thể có một giải pháp bảo vệ mạng tuyệt đối nên sẽ sử dụng đồng thời nhiều mức bảo vệ khác nhau, tạo nhiều lớp rào chắn đối với các hoạt động xâm phạm.
Việc bảo mật thông tin trong mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, máy chủ của mạng. Vì vậy, các phương pháp nhằm chống thất thoát thông tin trên đường truyền, sẽ được xây dựng bằng các mức chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng theo mô hình sau:
Quyền truy nhập (Acess Right): kiểm soát việc truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. Việc quản lý được tiến hành ở mức truy nhập file. Việc xác lập các quyền được quyết định bởi người quản lý mạng (Supervisor).
Đăng ký tên/ mật khẩu (Login/ Password): mỗi người sử dụng muốn được sử dụng mạng phải đăng ký tên/ mật khẩu để người ngoài không biết tên/ mật khẩu không thể truy nhập mạng. Phương pháp này không mấy hiệu quả với những người quá hiểu biết về hệ thống.
Mã hoá dữ liệu (Data Encryption): biến đổi dữ liệu từ dạng nhận thức sang dạng không nhận thức được theo một thuật toán nào đó và sẽ biến đổi ngược lại tại bên nhận.
Lớp bảo vệ vật lý (Physical Protection): ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống.
Firewall: nhằm bảo vệ an toàn cho một máy tính hoặc một mạng nội bộ, ngăn chặn các xâm nhập trái phép và có thể lọc bỏ các thông tin mà ta không muốn gửi đi hay nhận về vì những lý do nào đó.
Mã hoá dữ liệu
Đăng ký tên/ mật khẩu
Quyền truy nhập
Thông tin
Lớp bảo vệ vật lý
Firewall
2.2. Giới thiệu về Firewall.
2.2.1. Các khái niệm chung:
2.2.1.1 Firewall là gì?
Như trên, Firewall là lớp rào chắn ngoài cùng của hệ thống bảo mật mạng. Nó là thiết bị (thường là router) bảo vệ mạng khỏi sự thâm nhập không mong muốn từ phía bên ngoài cũng như kiểm soát sự truy cập của người sử dụng bên trong mạng vào các nguồn tài nguyên.
Firewall sẽ không có tác dụng đảm bảo an toàn mạng khi nó đứng một mình mà nó phải đi cùng để bảo về website và hệ thống mạng. Để firewall làm việc có hiệu quả cao nhất ta cần xác định quy mô của mạng, nhiệm vụ chính của firewall là gì rồi mới cấu hình firewall cho phù hợp.
Firewall tăng cường tính bảo mật và giảm thiểu sự rủi ro cho mạng bằng cách chọn lọc các dịch vụ, giao thức sử dụng trong mạng.
Hầu hết các router được sử dụng như Firewall để lọc các datagram dựa vào địa chỉ nguồn, đích hoặc nhờ các giao thức ở tầng cao hơn hay theo các chính sách an ninh của mỗi mạng.
Các loại Firewall tinh vi hơn thì sử dụng dịch vụ uỷ quyền (Proxy Server) hay còn được gọi là Bastion Host. Dịch vụ này có nhiệm vụ ngăn chặn các truy nhập trực tiếp của người sử dụng trong mạng ra bên ngoài. Do đó, người quản trị mạng có thể kiểm soát được các quyền trao đổi thông tin giữa bên trong và bên ngoài mạng.
2.2.1.2. Mục đích của việc xây dựng Firewall.
Mục đích của Firewall là làm việc như một cổng bảo an, cấp quyền điều khiển cho các thành phần bên trong mạng; cho phép ai đó được quyền truy xuất vào tài nguyên nào của mạng cũng như cho ai được quyền truy xuất ra ngoài mạng.
Nó còn đựơc sử dụng để kiểm soát các kết nối giữa mạng nội bộ và mạng bên ngoài. Ví dụ, ta có thể sử dụng Firewall để ghi những điểm cuối và lượng dữ liệu gửi qua mọi kết nối TCP/ IP giữa tổ chức và thế giới bên ngoài.
Thậm chí, Firewall còn được sử dụng để nghe trộm và ghi lại tất cả các cuộc hội thoại giữa mạng nội bộ và thế giới bên ngoài.
Nếu tổ chức có hơn một vị trí và ta có Firewal cho mỗi vị trí đó, ta có thể lập trình cho các Firewall này để mã hoá gói tin được gửi qua mạng giữa các vị trí một cách tự động. Trong trường hợp này, ta có thể sử dụng Internet như một mạng diện rộng riêng của chính mình mà không gây tổn hại dữ liệu; cơ chế này thường được dựa vào để tạo một mạng riêng ảo (Virtual Private Network) hoặc VPN.
2.2.1.3. Chức năng của Firewall:
Firewall hỗ trợ cho hệ thống bảo mật của toàn mạng, phải linh hoạt, dễ dàng chỉnh sửa cho phù hợp với nhu cầu của hệ thống.
Firewall phải từ chối thực hiện tất cả các dịch vụ ngoại trừ các dịch vụ đặc biệt được người quản trị cho phép.
Firewall có khả năng mở rộng, nâng cấp hoặc có khả năng thẩm định quyền cao cấp.
Nó phải thực hiện được các kỹ thuật lọc để cho phép hay không cho phép các dịch vụ tới các hệ thống máy chủ đã chỉ định theo nhu cầu.
Firewall phải sử dụng các Proxy Server cho các dịch vụ như FTP (File Transfer Protocol) thì phạm vi thẩm định quyền cao cấp mới có thể tập trung và thực hiện tại Firewall. Nếu như mạng có sử dụng các dịch vụ như NNTP (Network News Transport Protocol), HTTP (HyperText Transfer Protocol) hay Gopher thì Firewall phải có các dịch vụ uỷ quyền tương ứng.
Firewall phải có khả năng tập trung truy nhập SMTP (Simple Mail Transfer Protocol) để làm tăng các kết nối trực tiếp giữa máy tính đến hệ thống ở xa.
Nếu sử dụng một hệ điều hành mở như UNIX, NT, … thì các phiên bản bảo mật của các hệ điều hành này cũng phảI là một phần của Firewall cũng như các công cụ bảo mật khác, có như thế mới bảo đảm có một Firewall toàn vẹn, chắc chắn.
Firewall phải được phát triển theo hướng kiểm soát được sức mạnh và độ chính xác của nó.
Firewall và hệ điều hành sử dụng trên nó phải luôn được nâng cấp và bảo dưỡng.
2.2.2. Các thành phần và sự hoạt động của Firewall:
2.2.2.1. Các thành phần của Firewall:
Firewall gồm các phần cơ bản như sau:
Chính sách bảo mật mạng (Network Security Policy).
Thiết bị thẩm định quyền (Advanced Authentication).
Bộ lọc gói tin (Packet Filtering).
Trình ứng dụng (Application Gateway).
Chính sách bảo mật mạng:
Chức năng cơ bản của Firewall là giới hạn luồng thông tin lưu thông giữa hai mạng: mạng nội bộ (Internal Network) và mạng bên ngoài (External Network), như là mạng Internet. Để thiết lập Firewall, cần phải xác định rõ loại dữ liệu nào được qua và loại nào không được qua. Công việc này chính là việc xây dựng một chính sách bảo mật mạng. Sau khi đã xác định rõ chính sách, ta cần tạo các kỹ thuật thực tế để thực hiện chính sách.
Có hai chiến lược cơ bản để xây dựng chính sách:
Chấp nhận mặc định (Default Permit): tạo cho Firewall một tập các điều kiện xác định dữ liệu bị khoá. Bất cứ một máy chủ hoặc thủ tục nào không bị kiểm soát bởi chính sách sẽ được qua vì đã được xác lập mặc định.
Từ chối mặc định (Derfalt Deny): mô tả những thủ tục đặc biệt được cho phép qua Firewall và các máy chủ đặc biệt có thể cho dữ liệu đi qua và được quyền liên lạc. Những thứ còn lại sẽ bị từ chối.
Một ví dụ về cấu trúc của Firewall.
Ưu điểm của chiến lược chấp nhận mặc định là khiến dễ dàng định rõ, phác ra các thủ tục được xem là quá nguy hiểm và dựa vào kiến thức của mình để khoá các thủ tục mới vì chúng luôn thay đổi và được phát hiện ra.
Với chiến lược từ chối mặc định, dễ cài đặt các thủ tục được người sử dụng và nhà quản lý đòi hỏi. Bất cứ một thủ tục nào mà tổ chức không sử dụng sẽ dễ dàng bị ngăn chặn.
Việc cài đặt Firewall bị ảnh hưởng trực tiếp bởi hai mức chính sách mạng:
Chính sách bảo mật mạng xác định các dịch vụ được phép truy cập hay nhất định bị từ chối được gọi là chính sách bậc cao. Chính sách này cũng xác định các dịch vụ đó được sử dụng như thế nào.
Chính sách bậc thấp xác định Firewall sẽ giới hạn việc truy cập và lọc các dịch vụ bị từ chối ở chính sách bậc cao như thế nào.
Các chính sách này phải mềm dẻo và linh hoạt vì: Mạng Internet thay đổi hàng ngày với một tốc độ rất nhanh, các dịch vụ dùng trên internet cũng thay đổi theo. Vì vậy, nhu cầu của các công ty cũng sẽ thay đổi nên mạng sẽ phải bị chỉnh sửa để có thể thích nghi cho phù hợp với những sự thay đổi đó, nhưng không được gây vấn đề gì làm tổn hại đến công việc bảo mật. Chính sách bảo mật sẽ hầu như không bao giờ thay đổi nhưng các thủ tục sẽ luôn được xem xét, chỉnh sửa lại.
Chính sách đề ra phải dự đoán được các rủi ro và sự thay đổi của chúng để có thể chỉnh sửa, có các phương pháp bảo mật phù hợp vì những rủi ro gặp phải trên Internet sẽ không ngừng biến đổi.
Chính sách phải tạo được một sự cân bằng giữa việc bảo vệ mạng với việc cấp quyền cho người sử dụng truy cập đến tài nguyên của mạng.
Khi thiết lập một chính sách tạo Firewall, phải hiểu rõ khả năng và giới hạn của Firewall cũng như nắm rõ các mối đe doạ và nguy cơ. Phải nhớ, Firewall thường thực hiện các chính sách sau:
Firewall cho phép các máy con sử dụng tất cả các dịch vụ đã mặc định, ngoại trừ một số dịch vụ được xác định rõ là không được phép.
Cũng bằng cách này, Firewall sẽ từ chối thực hiện tất cả các dịch vụ theo mặc định, nhưng sau đó sẽ cho phép thực hiện các dịch vụ này khi chúng được xác định rõ là được phép sử dụng.
Thiết bị thẩm định quyền (Advanced Authentication):
Là các SmartCard như ID card hay các loại card được mã hoá bằng từ và một số phần mềm. Các thiết bị này là những sự lựa chọn để đối phó với việc có nhiều password bị bẻ gãy. Nếu chọn một trong các thiết bị trên, các hacker sẽ không thể dùng lại password đã bị giám sát trong quá trình kết nối.
Thiết bị thẩm định quyền được sử dụng khá phổ biến hiện nay là hệ thống password một lần (One-time Password System). Nó làm việc chung với phần mềm hoặc phần cứng. Các password nếu có bị giám sát cũng chỉ có thể sử dụng được một lần.
Hệ thống thẩm định quyền của Firewall cần phải được đặt trong Firewall vì nó chịu trách nhiệm kiểm soát và điều khiển việc truy cập tới các máy con.
Tất cả các kết nối bắt đầu từ Internet tới hệ thống máy trạm sẽ phải chịu sự thẩm định quyền trước khi sự cho phép được chấp nhận. Password có thể vẫn cần thiết phải sử dụng nhưng trước khi truy cập được cho phép thì những Password này đã được bảo vệ cho dù chúng đã bị giám sát.
Bộ lọc gói tin (Packet Filtering):
Việc lọc các gói tin IP thường được thực hiện bằng việc sử dụng router. Các router này có thể lọc các gói tin IP dựa vào các trường sau:
Địa chỉ IP nguồn
Địa chỉ IP đích
Cổng TCP/ UDP nguồn
Cổng TCP/ UDP đích.
Trong việc chặn đứng các kết nối ra hay vào mạng, việc chọn lọc được thực hiện bằng nhiều cách, bao gồm cả việc chặn các kết nối tới các cổng cụ thể. Ví dụ, có thể quyết định ngăn chặn những kết nối từ các địa chỉ hoặc các máy con những địa chỉ mà cảm thấy không đáng tin cậy, hoặc có thể quyết định ngăn kết nối từ các từ tất cả các địa chỉ ở bên ngoài mạng. Tất cả những việc đó đều có thể thực hiện được bằng việc lọc bỏ.
Mặc dù, bộ lọc gói tin làm nhiệm vụ rất hiệu quả, làm tăng độ bảo mật mạng nhưng nó vẫn có một số nhược điểm.
Các quy luật của nó phức tạp khiến cho việc xác định và kiểm tra gặp khó khăn. Bởi vì khi có vấn đề thì chỉ có thể hoặc phải kiểm tra bằng tay mọi khả năng hoặc phải phán đoán để tìm ra chỗ thuận lợi để có thể kiểm tra tính chính xác các quy luật của nó.
Mặt khác, trong các router không có chức năng khoá. Nếu router không có khả năng khoá thì nếu có các gói tin nguy hiểm thâm nhập thì sẽ không thể phát hiện hoặc khi phát hiện thì đã quá muộn.
Cạnh đó, việc cho phép các loại truy cập xác định (những truy cập bình thường bị chặn) đi qua, sẽ phải tạo một sự ngoại lệ đối với các quy tắc. Những sự ngoại lệ này sẽ tạo các quy luật lọc rất khác nhau, thậm chí khó kiểm soát.
Một số Firewall còn sử dụng dịch vụ uỷ quyền (Proxy Server), còn gọi là pháo đài bảo vệ (Bastion Host) để tăng độ bảo mật cho mạng.
Mạng Internet (outside)
Mạng nội bộ
(Inside)
Bastion Host
Dịch vụ uỷ quyền (proxy service) có thể “biểu diễn” người dùng trong mạng trên Internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống mạng nội bộ và bảo đảm rằng những người dùng trong mạng không kết nối trực tiếp với hệ thống bên ngoài.
Proxy server có thể đánh giá và lọc tốt cả các gói dữ liệu đến hoặc ngăn các gói dữ liệu đi ra.
Một số proxy server được thiết kế để cho phép chỉ những ngừơi dùng trong mạng truy cập Internet và không cho phép bất cứ người dùng bên ngoài nào trong mạng. Vì mọi yêu cầu đến Internet server đều tạo ra phản hồi, proxy server phải cho phép lượng giao thông quay về, nhưng nó thực hiện điều này bằng cách chỉ cho phép lượng lưu thông là một phản hồi nào đó của người dùng trong mạng. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả hai chiều.
Proxy server còn có thể cung cấp dịch vụ cache cho ngưòi dùng trong mạng. Nó lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn. Khi người dùng truy cập đến những nơi nầy, thông tin được lấy từ vùng cache đã lưu trữ trước đó.
Có hai loại proxy server:
Proxy server mức – mạng: Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống bên trong và ngoài. Có một mạch ảo giữa người dùng bên trong và proxy server. Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP. Người dùng ngoài chỉ thấy địa chỉ IP của proxy server. Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù lượng lưu thông được phép đi qua, các hệ thống ngoài không bao giờ thấy được hệ thống bên trong. Loại kết nối này thường được dùng để kết nối người dùng trong mạng “được ủy thác” với Internet.
Proxy server mức – ứng dụng: cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó.
Để ý rằng có “một khoảng trống” ảo tồn tại trong bức tường lửa giữa mạng nội bộ và mạng bên ngoài, và các khoảng trống này được nối bằng các phần tử đại diện cho người dùng nội bộ hoặc ngoài. Phải cài đặt từng proxy riêng lẻ cho mỗi dịch vụ mức ứng dụng.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông._.
Các file đính kèm theo tài liệu này:
- P0094.doc