VÙNG BẢO MẬT(SECURITY ZONES)

SECURITY ZONES LÀ GÌ ?

Vùng bảo mật là một phần của mạng, có các yêu cầu bảo mật
được đặt ra. Các vùng bảo mật thường được phân tách bằng các
thiết bị kiểm soát lưu thông như tường lửa hoặc bộ định tuyến.
Ví dụ về các vùng an ninh là mạng nội bộ, mạng ngoại vi, khu
phi quân sự và mạng cục bộ ảo.
 GIỚI THIỆU VỀ DMZ

Việc nhóm các mức độ bảo mật vào các khu vực hay vùng khác
nhau là một điều thường thấy trong hệ thống an ninh mạng và bảo
mật vật lý. Mỗi vùng được tin cậy nhiều hơn hoặc ít hơn các khu
khác. Giao diện giữa các khu vực có một số loại kiểm soát truy cập
để hạn chế di chuyển giữa các khu vực ( như giữa sinh trắc học và
trạm bảo vệ hoặc tường lửa).  Trong an ninh mạng thường có một
vùng trung gian giữa Internet và mạng nội bộ được gọi là DMZ.
 ĐỊNH NGHĨA VỀ DMZ

 DMZ là vùng đệm ở giữa mạng không được bảo vệ và

mạng được bảo vệ cho phép giám sát và điều tiết lưu
thông giữa hai mạng.
 Các máy chủ có thể truy cập Internet (máy chủ pháo đài
– bastion host) được đặt trong DMZ giữa Internet và
mạng nội bộ
 ĐỊNH NGHĨA VỀ DMZ

 Máy chủ pháo đài (bastion host) là một máy tính đặc
biệt được đặt trên mạng công cộng. Từ góc độ an toàn
mạng, nó là nút mạng duy nhất lộ ra và rất dễ bị tấn
công. Nó thường được đặt ở phía bên ngoài của hệ
thống 1 tường lửa hoặc ở giữa 2 tường với hệ thống 2
tường lửa và nằm trong DMZ
 ĐỊNH NGHĨA VỀ DMZ

 Máy chủ pháo đài (bastion host) xử lí và sàng lọc tất cả

các luồng đến và ngăn chặn các luồng độc hại xâm nhập
vào mạng giống như 1 cổng vào. Các ví dụ điển hình
nhất của máy chủ pháo đài là hệ thống mail, tên miền,
máy chủ dịch vụ web cũng như máy chủ dịch vụ FTP.
 ĐỊNH NGHĨA VỀ DMZ

 Kiến trúc triển khai ba tầng là việc triển khai nhiều

mạng con giữa mạng riêng và internet được phân tách
bằng tường lửa. Mỗi tường lửa tiếp theo có các quy tắc
lọc nghiêm ngặt hơn để hạn chế lưu lượng truy cập chỉ
đến các nguồn đáng tin cậy. Mạng con ngoài cùng
thường là một DMZ.
 ĐỊNH NGHĨA VỀ DMZ

DMZ là một mạng con của mạng tổ chức, có thể là mạng vật lý hoặc logic. Một số các máy chủ, dữ liệu và dịch

vụ bên ngoài sẽ được đặt trong DMZ, chúng có thể được truy cập từ internet, nhưng phần còn lại của mạng

LAN nội bộ thì vẫn không thể truy cập được. Điều này tạo ra một lớp bảo mật bổ sung cho mạng LAN giúp nó

có thể giảm thiểu khả năng hacker truy cập trực tiếp vào máy chủ và dữ liệu nội bộ qua internet.
DMZ
 KIẾN TRÚC XÂY DỰNG CỦA DMZ

 Tường lửa đa cổng (Multi-homed Firewall)

Mạng con đã được sàng lọc (Screened Subnet)

TƯỜNG LỬA ĐA CỔNG (MULTI-HOMED FIREWALL)

Tường lửa đa cổng có thể được

sử dụng để thiết lập DMZ với
một tường lửa duy nhất.
Trên bất kì máy đa chủ, chuyển
tiếp IP nên được vô hiệu hóa.
MẠNG CON ĐÃ ĐƯỢC SÀNG LỌC (SCREENED SUBNET)
MẠNG CON ĐÃ ĐƯỢC SÀNG LỌC (SCREENED SUBNET)

 Trong Screended Subnet, có một tường lửa riêng biệt ở cả

hai phía của DMZ.
 Khi sử dụng mô hình này, chúng ta nên sử dụng mỗi
tường lửa là một nhà cung cấp / sản phẩm khác.
                  
 NAT / PAT
MỘT PROXY HOẠT ĐỘNG MÀ KHÔNG CẦN PHÂN MỀM ĐẶC BIỆT VÀ MINH BẠCH CHO NGƯỜI DÙNG CUỐI.
 NAT: CHUYỂN ĐỔI ĐỊA CHỈ MẠNG

• Sửa lại địa chỉ IP, cho phép bạn sử dụng địa chỉ nội bộ
riêng tư và ánh xạ chúng tới địa chỉ IP công cộng.
• NAT (Static) chỉ cho phép ánh xạ một - một địa chỉ IP.
NAT
 NAT
• Máy tính 10.0.0.1 gửi một gói đến địa chỉ 175.56.28.3
• Bộ định tuyến lấy gói tin. Sửa đổi địa chỉ gốc thành một địa chỉ công khai
(215.37.32.202), sau đó gửi gói tin đến đích.
• Máy đích chấp nhận gói tin khi nó được gửi tới.
• Máy đích có địa chỉ IP = 172.56.28.3 gửi gói tin trả lời bằng cách sử dụng
địa chỉ nguồn  215.37.32.202
• Bộ định tuyến nhận gói, xem địa chỉ đích và tra cứu trong bảng NAT,
chuyển  lại thành địa chỉ ban đầu (10.0.0.1) và chuyển tiếp nó.
• Máy nguồn nhận phản hồi khi gói được gửi tới, sau đó nó xử lý chúng.
 PAT: CHUYỂN ĐỔI ĐỊA CHỈ CỔNG

 PAT là một loại NAT trong đó nhiều địa chỉ IP riêng được ánh xạ
vào một IP công cộng duy nhất (nhiều-một) bằng cách sử dụng
các cổng.
 Ở đây, địa chỉ IP giao diện được sử dụng kết hợp với số cổng và
nhiều máy chủ có thể có cùng một địa chỉ IP vì số cổng là duy
nhất.
PAT
 NAT / PAT
Ưu điểm:
 Cho phép bạn sử dụng các địa chỉ riêng tư trong nội bộ, bạn không cần lấy
địa chỉ IP công cộng dùng cho mỗi máy tính.
 Bảo vệ mạng bằng cách ngăn chặn các thực thể bên ngoài bắt đầu từ các
cuộc trò chuyện cho tới máy móc bên trong.
 Che giấu cấu trúc mạng nội bộ.
 Minh bạch, không yêu cầu phần mềm đặc biệt.
Nhược điểm:
• Điểm lỗi duy nhất hay hiện tượng nghẽn cổ chai.
• Không bảo vệ khỏi nội dung xấu.
 ĐỊA CHỈ RIÊNG TƯ TRONG CHUẨN RFC 1918

• 10.x.x.x
• 172.16.x.x-172.31.x.x
• 192.168.x.x
 CÁC CÂU HỎI LIÊN QUAN

Trong khi đánh giá lưu lượng mạng, bạn phát hiện ra một số địa chỉ mà bạn k
hông quen thuộc.  Một số địa chỉ nằm trong dải địa chỉ được gán cho các phân
 đoạn mạng nội bộ.  Địa chỉ IP nào sau đây là địa chỉ IPV4 riêng theo định ng
hĩa của RFC 1918?  (Chọn tất cả các áp dụng.) 
A. 10.0.0.18  
B. 169.254.1: .119 
C. 172.31.8.204  
D. 192.168.6.43  
 CÁC CÂU HỎI LIÊN QUAN

Phương tiện nào sau đây là phương tiện để IPv6 và IPv4 có thể cùng tồn tại
trên cùng một mạng? (Chọn tất cả các áp dụng.)  
A. Dual stack 
B. Tunneling 
C. IPsec 
D. NAT-PT 
E. Truyền tải IP 
 CÁC CÂU HỎI LIÊN QUAN

Trong khi Lauren đang theo dõi lưu lượng trên hai đầu của kết nối mạng, cô ấy
thấy lưu lượng truy cập đến địa chỉ IP công cộng hiển thị bên trong mạng sản
xuất. Nó hướng tới một máy chủ nội bộ có địa chỉ đích được đặt trước RFC
1918. Cô ấy nên mong đợi công nghệ nào được sử dụng ở biên giới mạng? 
A. NAT 
B. VLAN 
C. S / NAT 
D. BGP 
 CÁC CÂU HỎI LIÊN QUAN

Phần nào dưới đây không phải là một phân đoạn mạng?
A. Intranet
B. DMZ
C. Extranet
D. VPN
 CÁC CÂU HỎI LIÊN QUAN

Bạn là quản trị viên bảo mật cho một công ty thương mại điện tử và bạn
đang cần đưa một máy chủ web vào hoạt động. Bạn nên đặt nó ở vùng mạng
nào?
A. Internet
B. DMZ
C. Intranet
D. Sandbox