LỜI CẢM ƠN
Trong quá trình thực tập này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình của Th.S
Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đại học Điện lực, thầy đã
giành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng em trong quá trình thực tập.
Em xin chân thành cảm ơn sâu sắc TS. Nguyễn Hữu Quỳnh – trưởng Khoa CNTT, TS.
Nguyễn Thị Thu Hà – phó Khoa CNTT cùng toàn thể các thầy cô trong khoa Công Nghệ
Thông Tin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức,
kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại học Điện
Lực.
Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn trong
khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó khăn, thử
thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập đầy gian
nan, vất vả.
Hà nội, ngày 15 tháng 10 năm 2013
Sinh viên thực hiện
Nguyễn Minh Đức
MỤC LỤC
LỜI CẢM ƠN 1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG TRUNG
TÂM DỮ LIỆU 1
1.1. Khái niệm Trung Tâm Dữ Liệu (Data Center) 1
1.2. An toàn bảo mật thông tin, dữ liệu 1
1.3. Tìm hiểu về tường lửa (Firewall) 2
Hình 1.1. Sơ đồ làm việc của Packet Filtering 4
Hình 1.2. Kết nối qua cổng vòng( Circuit-Level Gateway) 6
Hình 1.3. Sơ đồ kiến trúc Dual-homed Host 7
Hình 1.4. Sơ đồ kiến trúc Screened Host 8
Hình 1.5. Sơ đồ kiến trúc Screened Subnet Host 9
Hình 1.6. Vùng DMZ được tách riêng với mạng nội bộ 10
Hình 1.7. Sơ đồ kiến trúc sử dụng 2 Bastion Host 11
1.4. Tìm hiểu hệ thống Proxy 11

Hình 1.8. Kết nối sử dụng Application Level Gateway 12
Hình 1.9. Kết nối giữa người dùng (Client) với Server qua Proxy 13
1.5. Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu 14
1.6. Kết luận 15
CHƯƠNG 2: KHẢO SÁT MÔ HÌNH TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 17
1.7. Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại 17
1.8. Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực 19
1.9. Kết luận 21
CHƯƠNG 3: TÌM HIỂU VÀ CÀI ĐẶT SMOOTHWALL CHO HỆ THỐNG
MẠNG TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 22
1.10. Giới thiệu hệ thống Smoothwall 22
1.11. Cài đặt SmoothWall Express 22
1.12. Quản trị SmoothWall Express 25
1.13. Làm việc với VPN 35
1.14. Sử dụng SmoothWall Express Tools 36
1.15. Sử dụng SmoothWall Express Services 38
1.16. Quản lý Sử dụng SmoothWall Express 47
1.17. Thông tin và bản ghi 51
KẾT LUẬN 58
TÀI LIỆU THAM KHẢO 59
DANH MỤC HÌNH ẢNH
LỜI CẢM ƠN 1
Hình 1.1.Sơ đồ làm việc của Packet Filtering 4
Hình 1.2.Kết nối qua cổng vòng( Circuit-Level Gateway) 6
Hình 1.3.Sơ đồ kiến trúc Dual-homed Host 7
Hình 1.4.Sơ đồ kiến trúc Screened Host 8
Hình 1.5.Sơ đồ kiến trúc Screened Subnet Host 9
Hình 1.6.Vùng DMZ được tách riêng với mạng nội bộ 10
Hình 1.7.Sơ đồ kiến trúc sử dụng 2 Bastion Host 11
Hình 1.8.Kết nối sử dụng Application Level Gateway 12

Hình 1.9.Kết nối giữa người dùng (Client) với Server qua Proxy 13
DANH MỤC BẢNG BIỂU
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG
TRUNG TÂM DỮ LIỆU
1.1. Khái niệm Trung Tâm Dữ Liệu (Data Center).
Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…)
làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn
định cao. Các tiêu chí khi thiết kế DC bao gồm:
Tính module hóa cao.
Khả năng mở rộng dễ dàng.
Triển khai các giải pháp mới tối ưu về nguồn và làm mát.
Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao.
Datacenter là nơi chứa đựng, tập hợp tất cả dữ liệu của doanh nghiệp, của các tổ
chức, ngành… nhằm hỗ trợ việc xử lý thông tin và ra các quyết định. Với mục đích đó,
các số liệu là nguyên liệu của các phép tính và rất quan trọng.
1.2. An toàn bảo mật thông tin, dữ liệu.
1.2.1. Khái quát bảo mật thông tin
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính và
gửi đi trên mạng Internet. Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tin
trên máy tính. Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theo
hai hướng chính như sau:
Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).
Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên
ngoài (System Security).
Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vện và bảo mật cho việc lưu trữ và truyền tin trong các máy
tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình
truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó
trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào

thông qua mạng.
1.2.2. Khái niệm.
Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học
có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có các
1
máy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụ
cho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,…
1.2.3. Các loại tấn công cơ bản
Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động.
Tấn công thụ động: Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin.
Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê được
tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặc
làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó phát hiện
nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ động có thể làm
thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó.
Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn
hơn nhiều. Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắn
đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. vì vậy, chúng ta cần phải xây
dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn.
1.2.4. Nhiệm vụ của người quản trị.
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiên
cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho
hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác
nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tài
nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấn
công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ra ngoài ý
muốn.
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chính một

cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có để
đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.
1.3. Tìm hiểu về tường lửa (Firewall).
1.3.1. Khái niệm về tường lửa (Firewall).
1.3.1.1. Khái niệm về Firewall.
Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin
tưởng thường là Internet. Firewall bao gồm các cơ cấu nhằm:
2
Ngăn chặn truy nhập bất hợp pháp.
Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ.
Ghi nhận và theo dõi thông tin mạng.
1.3.1.2. Đặc điểm.
Thông tin giao lưu được theo hai chiều.
Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua.
Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:
Những dịch vụ nào cần ngăn chặn
Những host nào cần phục vụ
Mỗi nhóm cần truy nhập những dịch vụ nào
Mỗi dịch vụ sẽ được bảo vệ như thế nào
1.3.1.3. Ưu điểm và hạn chế.
 Ưu điểm:
Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong
khi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài.
Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là
“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi
cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian,…
Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu
từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra.
 Hạn chế:
Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó.

Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác định
trước.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không
“đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc bằng dữ liệu (data – drivent attack).
Khi có một số chương trình được chuyền theo thư điện tử, vượt qua Firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua
nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách
để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
3
1.3.2. Các thành loại Firewall và cơ chế hoạt động.
Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây:
Bộ lọc gói (Packet – Fileter).
Cổng ứng dụng (Application – level Gateway hay Proxy Server).
Cổng vòng (Circuite level Gateway).
a) Bộ lọc gói (Packet Filtering)
 Nguyên lý hoạt động:
Hình 1.1. Sơ đồ làm việc của Packet Filtering.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật
lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi
Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát (IP Source address).
Địa chỉ IP nơi nhận (IP Destination address).
Những thủ rục truyền tin (TCP, UDP, ICMP, IP tunnel).
Cổng TCP/UDP nơi xuất phát (TCP/UDP souree port).
Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
Dạng thông báo ICMP (ICMP message type).

Giao diện Packet đến (Incomming interface of Packet).
Giao diện Packet đi (Outcomming interface of Packet).
 Ưu điểm
4
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm
của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm
trong mỗi phần mềm Router.
Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Hạn chế
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header,
và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn,
các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
b) Cổng ứng dụng (Application – Level Gateway)
 Nguyên lý hoạt động
Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì
nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một Bastion Host là:
Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm
hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục
đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo
sự tích hợp Firewall.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user
password hay smart card.
Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định.
Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao
thông qua nó, mỗi sự kết nối, khoảng thời gian kết nói. Nhật ký này rất có ích trong
việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.

Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho
phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề.
 Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.
5
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép
lại thông tin về truy nhập hệ thống.
 Hạn chế
Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt
trên máy Client cho truy nhập vào các dịch vụ Proxy. Ví Dụ, Telnet truy nhập qua
cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.
Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứng
dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng
dụng trên lệnh Telnet.
c) Cổng vòng (Circuit-Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện
bất kỳ một hành động xử lý hay lọc gói nào.
Hình 1.2. Kết nối qua cổng vòng( Circuit-Level Gateway).
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một
Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho
những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức
tường lửa dễ dàng sử dụng cho những mạng nội bộ muốn trực tiếp truy nhập tới các
dịch vụ Internet, trong khi vẫn cung cấp chức năng Bastion Host để bảo vệ mạng nội
bộ từ những sự tấn công bên ngoài.
1.3.3. Những mô hình Firewall
1.3.3.1. Dual homed host

Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng
nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục
bộ và một nối với mạng ngoài (Internet).
6
Hình 1.3. Sơ đồ kiến trúc Dual-homed Host
 Ưu điểm của Dual–homed Host:
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông
thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành
là đủ.
 Nhược điểm của Dual–homed Host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như
những hệ phần mềm mới được tung ra thị trường.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó,
và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công
vào mạng nội bộ.
1.3.3.2. Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng
Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy
Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên
ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số
kết nối với internal/external host.
7
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch
vụ hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 1.4. Sơ đồ kiến trúc Screened Host
 Ưu điểm
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể
sau:

Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều
dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng
nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng
khó có thể cao vì cùng lúc đảm nhận nhiều chức năng.
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy
riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như
khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên
khả năng phục vụ (tốc độ đáp ứng) cũng cao.
 Nhược điểm
Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system
cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột
nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công
thấy.
Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục
được phần nào khuyết điểm trên .
8
1.3.3.3. Screened Subnet
Hình 1.5. Sơ đồ kiến trúc Screened Subnet Host.
Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một
Bastion Host (hình 2.7). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức
bảo mật Network và Application trong khi định nghĩa một mạng perimeter network.
Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và
mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và
mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ,
và sự truyền trực tiếp qua mạng DMZ là không thể được.
 Ưu điểm
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router
trong.
 Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng
nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn

ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information
exchange ( Domain Name Server ).
1.3.3.4. Demilitarized Zone (DMZ)
DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng nội bộ và
mạng internet, là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào
9
và chấp nhận các rủi ro tấn công từ internet. Hệ thống firewall này có độ an toàn cao
nhất vì nó cung cấp cả mức bảo mật network và application.
Hình 1.6. Vùng DMZ được tách riêng với mạng nội bộ.
 Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là
được biết đến bởi Internet qua routing table và DNS information exchange (Domain
Name Server).
1.3.3.5. Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng
như tách biệt các Servers khác nhau.
10
Hình 1.7. Sơ đồ kiến trúc sử dụng 2 Bastion Host.
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local
user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những
người sử dụng bên ngoài (external user).
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều
mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà một
Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
1.4. Tìm hiểu hệ thống Proxy.
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn.
Những Proxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức
thực thi trên dual-homed host hoặc Bastion Host. Những chương trình Client của

người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử
dụng cần giao tiếp.
1.4.1. Tác dụng và chức năng.
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến ứng dụng được
cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu
hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn
truy xuất đến Internet cho tất cả người sử dụng. Khi truy xuất đến Internet thì họ
không thể thực hiện những công việc đó một cách trực tiếp, phải login vào Dual-
Homed Host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào
đó chuyển đổi những kết quả đạt được của công việc trở lại Workstation sở hữu.
11
Hình 1.8. Kết nối sử dụng Application Level Gateway.
Proxy Application chính là chương trình trên Application – level Gateway
Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua
Firewall, tiến trình này được thực hiện trình tự như sau:
Thành lập một kết nối đến Proxy Applicaltion trên Firewall.
Proxy Applicaltion thu nhập thông tin về việc kết nối và yêu cầu của người sử
dụng.
Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận,
Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích.
Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client và
Server.
1.4.2. Kết nối thông qua Proxy (Proxying)
Proxing được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng
cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên, hầu hết các dịch
vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng.
12
Hình 1.9. Kết nối giữa người dùng (Client) với Server qua Proxy.
1.4.3. Các dạng Proxy
Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng
kết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng của
Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là một
phương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một
vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Dạng thay đổi Client
Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy
tính của người sử dụng. Người sử dụng với ứng dụng đó hành động chỉ như những ứng
dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng
dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đến
ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng.
Proxy vô hình
Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử
dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.
Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Chúng tự
động được đổi hướng đến ứng dụng Proxy đang chờ. Firewall đóng vai trò như một
Host đích. Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nối
với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
13
1.5. Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu.
1.5.1. Các hình thức tấn công.
 Vô tình
Hiểm họa vô tình là khi người sử dụng click vào các thông báo mà không biết nội
dung của nó là gì, vô tình chỉnh sửa, thay đổi hoặc xóa bỏ các trạng thái, các dữ liệu
mà không biết nó ảnh hưởng xấu, phá hỏng hoặc làm thay đổi Trung Tâm Dữ Liệu.
 Cố ý
Tấn công cố ý (có chủ đích) là kẻ phá hoại đã có ý đồ, mục đích đánh phá vào
Trung Tâm Dữ Liệu.
 Thụ động
Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin. Đối với tấn công chủ

động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó.
 Chủ động
Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Chúng ta cần
phải xây dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn
hơn.
1.5.2. Giải pháp cho Trung tâm dữ liệu.
1.5.2.1. Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.
Bảo vệ dữ liệu tránh được những truy cập trái phép.
Bảo vệ dữ liệu khỏi bị thay đổi không mong muốn.
Bảo vệ trực tiếp dữ liệu bằng mật mã.
1.5.2.2. Bảo toàn thông tin Dữ liệu.
Bảo toàn thông tin Dữ liệu chính là việc bảo vệ tính toàn vẹn Dữ liệu: ở đây là
tránh được những truy cập trái phép đến Dữ liệu, từ đó thay đổi thông tin trong Dữ
liệu.
1.5.2.3. Xác thực Dữ liệu
Nhiệm vụ chủ yếu là xác thực đúng đối tượng và quyền truy cập vào Dữ liệu của
đối tượng đến các dữ liệu được phép.
1.5.2.4. Sẵn sàng truy cập Dữ liệu trong Trung tâm dữ liệu.
14
Nhiệm vụ chủ yếu của chức năng này đảm bảo cho việc truy xuất của các đổi
tượng đến Dữ liệu luôn được thực hiện, không bị cản trở, ảnh hưởng bởi các yếu tố
bên ngoài như kẻ khác giả mạo, ngăn chặn việc truy cập của người dùng hợp pháp và
đến dữ liệu được lưu trữ trong Trung tâm dữ liệu.
1.5.2.5. Kiểm soát thông tin vào, ra Trung tâm dữ liệu.
Ở đây việc kiểm soát thông tin vào, ra là kiểm soát việc truy xuất thông tin trong
Trung tâm dữ liệu.
- Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tin
truy nhập, kiểm soát luồng và kiểm soát suy diễn.
 Kiểm soát truy nhập
Một hệ thống kiểm soát truy nhập bao gồm có 3 phần chính sau:

Phần 1: Các chính sách an ninh và quy tắc truy nhập (security policies, access
rules).
Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (control procedures).
Phần 3: Là các phương tiện và công cụ thực hiện việc kiểm soát truy nhập hay
còn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trực tiếp và tự động).
 Kiểm soát lưu lượng
Ở đây chúng ta hiểu lưu lượng chính là “luồng” thông tin di chuyển giữa hai đối
tượng. Do đó việc kiểm soát lưu lượng chính là việc kiểm tra luồng thông tin có “đi”
từ đối tượng này sang đối tượng khác hay không.
 Kiểm soát suy diễn
Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việc
tập hợp các thông tin khác, hay phân tích từ thông tin khác.
1.6. Kết luận.
Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rất
quan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo an
toàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết.
Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay. Firewall
có rất nhiều cách thức bảo mật khác nhau như:
Bộ lọc gói (Packet – Fileter).
Cổng ứng dụng (Application – level Gateway hay Proxy Server).
Cổng vòng (Circuite level Gateway).
Một số giải pháp cho Trung tâm dữ liệu:
• Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.
• Bảo toàn thông tin Dữ liệu.
15
• Kiểm soát thông tin vào, ra Trung tâm dữ liệu.
16
CHƯƠNG 2: KHẢO SÁT MÔ HÌNH TRƯỜNG ĐẠI HỌC ĐIỆN LỰC
1.7. Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại.
1.7.1. Nhu cầu sử dụng.

Trường Đại học Điện Lực hiện nay đang đào tạo và giảng dạy hơn 10.000 sinh
viên hệ Đại học chính quy, chưa kể hệ liên thông và cao đẳng. Với số lượng sinh viên
lớn như vậy thì việc quản lý hồ sơ lý lịch, điểm thi, các thông tin về học phí,…là rất
nhiều. Cùng với việc quản lý về sinh viên là việc quản lý về giảng viên, lịch lên lớp
của các giảng viên, các dữ liệu bài giảng của các giảng viên. Và đặc biệt, hiện nay
trường đang thực hiện cách thức học mới đó là đào tạo từ xa đa phương tiện. Việc đưa
bài giảng, dữ liệu, hình ảnh và âm thanh lên hệ thống Trung tâm dữ liệu để các sinh
viên có thể học được mọi lúc, mọi nơi, mọi thời điểm và có thể xem lại bài nhiều lần.
Vì nhu cầu về hệ thống Trung tâm dữ liệu lớn và vô cùng cần thiết như vậy nên cần
phải có hệ thống Trung tâm dữ liệu đáp ứng yêu cầu cho trường Đại học Điện Lực.
1.7.2. Cơ sở vật chất và hệ thống mạng trường Đại học Điện Lực
 Cơ sở vật chất trong trường.
Trường Đại học Điện Lực có tổng cộng gần 300 máy tính để bàn phục vụ làm
việc và học tập. Hầu hết mạng Internet trong trường là sử dụng từ hệ thống mạng trong
Khoa Công Nghệ Thông Tin đi tới các khu, phòng ban và các phòng máy.
Trường hiện có 5 Server đặt tại các vị trí khác nhau trong trường và với mục đích
khác nhau. Trong phòng Khoa Công Nghệ Thông Tin đặt 2 Server, 1 Server để quản
lý hệ thống mạng, 1 Server của Khoa Tài Chính Kế Toán để quản lý dữ liệu và
Website của Khoa Tài Chính Kế Toán. 1 Server đặt tại Trung tâm học liệu (thư viện)
trường để quản lý về sách, giáo trình cho sinh viên, quản lý về mượn trả sách trong thư
viện. 1 Server đặt tại phòng Khảo thí để phục vụ việc thi trắc nghiệm, quản lý điểm,
ngân hàng đề thi. 1 Server đặt tại phòng Đào tạo để quản lý, lưu trữ các dữ liệu về sinh
viên.
 Hệ thống mạng trường Đại học Điện Lực.
Về cơ bản, hệ thống mạng trường là một mạng hình sao có quy mô lớn với số
lượng các nút mạng lên tới 300, hỗ trợ các ứng dụng đào tạo từ xa đa phương tiện (dữ
liệu, âm thanh và hình ảnh) cho sinh viên cả trong và ngoài trường. Vì vậy, trường cần
phải xây dựng một hạ tầng mạng vững chắc, có năng lực lớn, có tính mở rộng và mềm
17
dẻo, tính sẵn sàng cao, khả năng dự phòng tối đa, và hỗ trợ các dịch vụ thông minh

trên mạng.
Mô tả hệ thống mạng trường Đại học Điện Lực.
Mạng của trường kết nối các mạng LAN tại các tòa nhà như khu Hành Chính
(nơi này cũng là nơi đặt các máy chủ quan trọng), khu làm việc G, khu giảng đường,
thư viện, khu nhà xưởng thực hành và khu ký túc xá. Việc phân bổ các nút mạng theo
mỗi khu vực như sau:
Khu giảng đường: 150 nút.
Khu hành chính: 40 nút.
Thư viện: 30 nút.
Khu nhà G: 40 nút.
Khu nhà xưởng thực hành: 10 nút.
Khu ký túc xá: 10 nút.
Dựa trên mô hình kế thừa, các thiết bị tại mỗi tầng – các thiết bị nói trên ở đây
chính là các thiết bị chuyển mạch (switch) có khả năng thực hiện một hoặc đồng thời
cả chuyển mạch Layer 2, Layer 3, Layer 4 – được phân bổ vào từng khu vực như sau:
Khu giảng đường
Gồm các thiết bị chuyển mạch tại tầng Access và tầng Distribution, hay gọi là
Access switch và Distribution switch. Khu giảng đường gồm có 4 tầng, với mật độ nút
mạng dày đặc. Do vậy, Distribution switch phải có một hiệu suất mạnh để xử lý toàn
bộ số lượng lưu thông từ các Access switch. Ngoài ra, Distribution switch cũng có thể
được lựa chọn để đóng vai trò là một Access switch. Các Distribution switch sẽ được
kết nốt về Center Switch qua cổng tốc độ 1000 Mbps trên GBIC –Gigabit Interface
Convertor dùng cáp quang tùy thuộc vào khoảng cách giữa 2 switch.
Khu hành chính
Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tại
đây. Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch – xử lý
đồng thời layer 2, layer 3, layer 4 switching). Center Switch này sẽ cung cấp các giao
tiếp GBIC kết nối đến các Distribution switch ở các khu nhà còn lại. Hệ thống các máy
chủ ứng dụng các máy chủ ứng dụng cà Database được kết nối trực tiếp vào Center
Switch. Khu hành chính có số lượng số lượng nhỏ các máy trạm, nên các máy này

cũng sẽ được kết nối trực tiếp vào Center Switch mà vẫn không ảnh hưởng đến hiệu
suất của thiết bị.
18
Khu nhà G
Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tại
đây. Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch – xử lý
đồng thời layer 2, layer 3, layer 4 switching).
Các khu khác
Số lượng các nút mạng tại đây là nhỏ, vì vậy, thiết bị chuyển mạch tại những vị
trí này sẽ đóng vai trò là Access switch và Distribution switch. Các switch này sẽ được
kết nối về Center Switch qua các giao tiếp trên GBIC.
 Các yêu cầu chính cho hạ tầng mạng trường Đại Học Điện Lực.
Hệ thống các thiết bị mạng được trang bị cho trường là những thiết bị áp dụng
các công nghệ hiện đại nhằm đảm bảo cho hệ thống đã đầu tư sử dụng được tối thiểu
trong vòng 5 năm mà không bị lỗi thời và hệ thống thiết kế có khả năng mở rộng cao
nhằm tiết kiệm chi phí cho việc nâng cấp về sau.
Hệ thống có khả năng hoạt động liên tục 24/24h và 7 ngày/tuần.
Có khả năng tích hợp việc truyền dẫn tín hiệu khác như Video, Voice,… trong
tương lai khi có nhu cầu trang bị.
Đảm bảo tính an ninh và bảo mật dữ liệu cho các máy chủ.
Việc bảo hành, bảo trì, nâng cấp và thay đổi phù hợp với nhu cầu phát sinh của
trường một cách tiện lợi và tiết kiệm.
1.8. Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực.
Hiện nay trường Đại học Điện Lực đang sử dụng hệ thống bảo mật tiêu chuẩn
TIA – 942.
1.8.1. Các yêu cầu cho Computer Room
Computer Room là một không gian điều khiển môi trường xung quang để đáp
ứng mục đích duy nhất là vỏ bọc thiết bị và đường cable liên quan trực tiếp tới các hệ
thống máy tính và các hệ thống viễn thông khác.
Các yêu cầu trọng tải sàn bao gồm thiết bị, cable, patch-coord, phương tiện

truyền dẫn.
Các yêu cầu về dịch vụ vệ sinh (các yêu cầu vệ sinh của mỗi phần thiết bị đòi hỏi
dịch vụ tương thích cho thiết bị).
19
Các yêu cầu luồng khí.
Các yêu cầu khung lắp.
Các yêu cầu nguồn điện DC và các hạn chế độ dài mạch.
1.8.2. Vị trí
Computer Room nên đặt cách xa các nguồn nhiễu điện từ như máy biến áp, máy
phát điện, thiết bị x-ray, máy phát radio hoặc rada.
Computer Room không nên có cửa thông ra ngoài, vì nó có thể làm tăng nhiệt độ và
giảm an ninh.
1.8.3. Thiết kế kiến trúc
a) Kích thước
Nên xem xét để đáp ứng các yêu cầu được biết của các thiết bị đặc trưng (thông
tin này có thể thu thập từ các nhà cung cấp thiết bị). Việc định kích thước phải dự kiến
cho các yêu cầu hiện tại cũng như trong tương lai.
b) Chiều cao trần nhà.
Chiều cao tối thiểu của Computer Room sẽ là 2.6m từ sàn nhà hoàn chỉnh tới bất kỳ
vật cản nào. Các yêu cầu làm mát hoặc các rack/cabinet cao hơn 2.13m có thể khiến
trần nhà cao hơn.
a) Chiếu sáng
Ánh sáng tối thiểu là 500 lux theo mặt phẳng ngang và 200lux theo mặt phẳng
đứng, đo được 1m trên sàn hoàn chỉnh ở giữa các aisle giữa các cabinet.
Các thiết bị chiếu sang không được cấp nguồn từ cùng bảng phân phối điện với
thiết bị viễn thông trong Computer Room. Các đèn khẩn cấp và biển báo nên đặt đúng
cho mỗi vị trí.
b) Cửa ra vào
Khả năng trọng tải sàn trong Computer Room phải đủ để chịu đựng cả tải trọng
phân phối và tập trung của thiết bị được lắp đặt cùng với đường cable và phương

tiện truyền dẫn. Khả năng trọng tải phân phối tối thiểu là 7.2 kPA.
Sàn phải có khả năng treo vật tối thiểu 1.2 kPA cho các tải trọng hỗ trợ được treo
phía dưới sàn.
c) Xem xét địa chấn
Các thông số kỹ thuật cho thiết bị liên quan phải phù hợp với các yêu cầu áp
dụng cho khu vực địa chấn.
20
1.8.4. Thiết kế điện
a) Nguồn điện
Các mạch cung ứng riêng biệt đáp ứng Computer Room phải được đáp ứng và
ngắt trong bảng điện của riêng nó.
Các ổ cắm tiện dụng nên đặt cách nhau 3.65 m dọc theo các bức tường Computer
Room hoặc gần hơn nếu được chỉ định bởi yêu cầu, và có thể với tới bằng dây dài
4.5m.
b) Nguồn điện dự phòng
Các bảng điện Computer Room phải được hỗ trợ bằng hệ thống phát điện dự
phòng cho Computer Room. Máy phát điện được sử dụng phải được ước tính tải lượng
điện tiêu thụ.
1.9. Kết luận.
Về cơ bản, hệ thống mạng trường là một mạng hình sao có qui mô lớn với số
lượng các nút mạng lên tới 300, đang thực hiện hỗ trợ các ứng dụng đào tạo từ xa đa
phương tiện (dữ liệu, âm thanh và hình ảnh) cho sinh viên cả trong và ngoài trường. Vì
vậy, trường cần phải cây dựng một hạ tầng mạng vững chắc,…
Quan điểm thiết kế nói chung là vừa phải đảm bảo nhu cầu hiện tại nhưng phải
sẵn sàng cho sự phát triển trong tương lai. Sự phát triển này bao gồm cả số điểm kết
nối, số lượng người dùng, số lượng dịch vụ, phương thức kết nối,…
21