28

vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng
khỏi các mạng không tin tưởng.
Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài
vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện
việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

Hình 24 Firewall 1.5.1.2 Các kiểu firewall
 Firewall dựa trên Application level gateway
29Hình 25 Application level gateway
 Cổng vòng (Circuit level gateway)

Hình 26 Circuit level gateway
 Proxy Server Firewall

30

Hình 27 Proxy Server Firewall
1.5.2 Mạng VPN
1.5.2.1 Định nghĩa
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là

rộng WAN. PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ
LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để
thực hiện nối thông.
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp
vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho
các hộ khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10
N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty
lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi
số chuyên dụng cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và
nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống
kê lượng nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này
chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê
bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách.
Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp,
chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà
không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt.
33

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là
AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên
riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần
mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng
để thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các
hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước
phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt
đầu chuyển sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ
VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho
một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết
kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của
dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn

chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn
phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây
thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng
của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private
Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu
xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các
kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng
rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu
thiết lập mạng dùng riêng.
2.2 PHÂN LOẠI VPN
Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng
VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết
nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy
cập từ xa có thể kết nối người dùng từ xa tới mạng
2.2.1 VPN truy cập từ xa (Remote Access)
Remote Access, hay còn gọi là virtual private dial-up network (VPDN).
Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng
chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối
36

từ xa đến mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote
access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP
này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số
truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục
bộ của công ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN,
các đường thuê bao số (DSL).