LỜI CẢM ƠN
Trong quá trình thực tập này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình của Th.S
Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đại học Điện lực, thầy đã
giành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng em trong quá trình thực tập.
Em xin chân thành cảm ơn sâu sắc TS. Nguyễn Hữu Quỳnh – trưởng Khoa CNTT, TS.
Nguyễn Thị Thu Hà – phó Khoa CNTT cùng toàn thể các thầy cô trong khoa Công Nghệ
Thông Tin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức,
kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại học Điện
Lực.
Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn trong
khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó khăn, thử
thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập đầy gian
nan, vất vả.
Hà nội, ngày 15 tháng 10 năm 2013
Sinh viên thực hiện
Nguyễn Minh Đức
MỤC LỤC
LỜI CẢM ƠN 1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG TRUNG
TÂM DỮ LIỆU 1
1.1. Khái niệm Trung Tâm Dữ Liệu (Data Center) 1
1.2. An toàn bảo mật thông tin, dữ liệu 1
1.3. Tìm hiểu về tường lửa (Firewall) 2
Hình 1.1. Sơ đồ làm việc của Packet Filtering 4
Hình 1.2. Kết nối qua cổng vòng( Circuit-Level Gateway) 6
Hình 1.3. Sơ đồ kiến trúc Dual-homed Host 7
Hình 1.4. Sơ đồ kiến trúc Screened Host 8
Hình 1.5. Sơ đồ kiến trúc Screened Subnet Host 9
Hình 1.6. Vùng DMZ được tách riêng với mạng nội bộ 10
Hình 1.7. Sơ đồ kiến trúc sử dụng 2 Bastion Host 11
1.4. Tìm hiểu hệ thống Proxy 11

Hình 1.9.Kết nối giữa người dùng (Client) với Server qua Proxy 13
DANH MỤC BẢNG BIỂU
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG
TRUNG TÂM DỮ LIỆU
1.1. Khái niệm Trung Tâm Dữ Liệu (Data Center).
Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…)
làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn
định cao. Các tiêu chí khi thiết kế DC bao gồm:
Tính module hóa cao.
Khả năng mở rộng dễ dàng.
Triển khai các giải pháp mới tối ưu về nguồn và làm mát.
Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao.
Datacenter là nơi chứa đựng, tập hợp tất cả dữ liệu của doanh nghiệp, của các tổ
chức, ngành… nhằm hỗ trợ việc xử lý thông tin và ra các quyết định. Với mục đích đó,
các số liệu là nguyên liệu của các phép tính và rất quan trọng.
1.2. An toàn bảo mật thông tin, dữ liệu.
1.2.1. Khái quát bảo mật thông tin
Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính và
gửi đi trên mạng Internet. Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tin
trên máy tính. Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theo
hai hướng chính như sau:
Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).
Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên
ngoài (System Security).
Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vện và bảo mật cho việc lưu trữ và truyền tin trong các máy
tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình
truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó
trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào

cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có để
đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.
1.3. Tìm hiểu về tường lửa (Firewall).
1.3.1. Khái niệm về tường lửa (Firewall).
1.3.1.1. Khái niệm về Firewall.
Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin
tưởng thường là Internet. Firewall bao gồm các cơ cấu nhằm:
2
Ngăn chặn truy nhập bất hợp pháp.
Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ.
Ghi nhận và theo dõi thông tin mạng.
1.3.1.2. Đặc điểm.
Thông tin giao lưu được theo hai chiều.
Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua.
Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:
Những dịch vụ nào cần ngăn chặn
Những host nào cần phục vụ
Mỗi nhóm cần truy nhập những dịch vụ nào
Mỗi dịch vụ sẽ được bảo vệ như thế nào
1.3.1.3. Ưu điểm và hạn chế.
 Ưu điểm:
Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong
khi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài.
Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là
“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi
cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian,…
Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu
từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra.
 Hạn chế:
Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó.

Giao diện Packet đến (Incomming interface of Packet).
Giao diện Packet đi (Outcomming interface of Packet).
 Ưu điểm
4
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm
của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm
trong mỗi phần mềm Router.
Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Hạn chế
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header,
và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn,
các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
b) Cổng ứng dụng (Application – Level Gateway)
 Nguyên lý hoạt động
Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì
nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một Bastion Host là:
Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm
hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục
đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo
sự tích hợp Firewall.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user
password hay smart card.
Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định.
Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao
thông qua nó, mỗi sự kết nối, khoảng thời gian kết nói. Nhật ký này rất có ích trong
việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.

Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng
nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục
bộ và một nối với mạng ngoài (Internet).
6
Hình 1.3. Sơ đồ kiến trúc Dual-homed Host
 Ưu điểm của Dual–homed Host:
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông
thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành
là đủ.
 Nhược điểm của Dual–homed Host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như
những hệ phần mềm mới được tung ra thị trường.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó,
và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công
vào mạng nội bộ.
1.3.3.2. Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng
Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy
Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên
ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số
kết nối với internal/external host.
7
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch
vụ hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 1.4. Sơ đồ kiến trúc Screened Host
 Ưu điểm
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể
sau:

ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information
exchange ( Domain Name Server ).
1.3.3.4. Demilitarized Zone (DMZ)
DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng nội bộ và
mạng internet, là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào
9
và chấp nhận các rủi ro tấn công từ internet. Hệ thống firewall này có độ an toàn cao
nhất vì nó cung cấp cả mức bảo mật network và application.
Hình 1.6. Vùng DMZ được tách riêng với mạng nội bộ.
 Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.
Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là
không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là
được biết đến bởi Internet qua routing table và DNS information exchange (Domain
Name Server).
1.3.3.5. Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng
như tách biệt các Servers khác nhau.
10
Hình 1.7. Sơ đồ kiến trúc sử dụng 2 Bastion Host.
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local
user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những
người sử dụng bên ngoài (external user).
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều
mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà một
Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
1.4. Tìm hiểu hệ thống Proxy.
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn.
Những Proxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức
thực thi trên dual-homed host hoặc Bastion Host. Những chương trình Client của

Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng
kết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng của
Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là một
phương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một
vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Dạng thay đổi Client
Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy
tính của người sử dụng. Người sử dụng với ứng dụng đó hành động chỉ như những ứng
dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng
dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đến
ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng.
Proxy vô hình
Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử
dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.
Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Chúng tự
động được đổi hướng đến ứng dụng Proxy đang chờ. Firewall đóng vai trò như một
Host đích. Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nối
với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
13
1.5. Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu.
1.5.1. Các hình thức tấn công.
 Vô tình
Hiểm họa vô tình là khi người sử dụng click vào các thông báo mà không biết nội
dung của nó là gì, vô tình chỉnh sửa, thay đổi hoặc xóa bỏ các trạng thái, các dữ liệu
mà không biết nó ảnh hưởng xấu, phá hỏng hoặc làm thay đổi Trung Tâm Dữ Liệu.
 Cố ý
Tấn công cố ý (có chủ đích) là kẻ phá hoại đã có ý đồ, mục đích đánh phá vào
Trung Tâm Dữ Liệu.
 Thụ động
Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin. Đối với tấn công chủ

Phần 1: Các chính sách an ninh và quy tắc truy nhập (security policies, access
rules).
Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (control procedures).
Phần 3: Là các phương tiện và công cụ thực hiện việc kiểm soát truy nhập hay
còn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trực tiếp và tự động).
 Kiểm soát lưu lượng
Ở đây chúng ta hiểu lưu lượng chính là “luồng” thông tin di chuyển giữa hai đối
tượng. Do đó việc kiểm soát lưu lượng chính là việc kiểm tra luồng thông tin có “đi”
từ đối tượng này sang đối tượng khác hay không.
 Kiểm soát suy diễn
Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việc
tập hợp các thông tin khác, hay phân tích từ thông tin khác.
1.6. Kết luận.
Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rất
quan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo an
toàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết.
Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay. Firewall
có rất nhiều cách thức bảo mật khác nhau như:
Bộ lọc gói (Packet – Fileter).
Cổng ứng dụng (Application – level Gateway hay Proxy Server).
Cổng vòng (Circuite level Gateway).
Một số giải pháp cho Trung tâm dữ liệu:
• Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.
• Bảo toàn thông tin Dữ liệu.
15
• Kiểm soát thông tin vào, ra Trung tâm dữ liệu.
16
CHƯƠNG 2: KHẢO SÁT MÔ HÌNH TRƯỜNG ĐẠI HỌC ĐIỆN LỰC
1.7. Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại.
1.7.1. Nhu cầu sử dụng.

trên mạng.
Mô tả hệ thống mạng trường Đại học Điện Lực.
Mạng của trường kết nối các mạng LAN tại các tòa nhà như khu Hành Chính
(nơi này cũng là nơi đặt các máy chủ quan trọng), khu làm việc G, khu giảng đường,
thư viện, khu nhà xưởng thực hành và khu ký túc xá. Việc phân bổ các nút mạng theo
mỗi khu vực như sau:
Khu giảng đường: 150 nút.
Khu hành chính: 40 nút.
Thư viện: 30 nút.
Khu nhà G: 40 nút.
Khu nhà xưởng thực hành: 10 nút.
Khu ký túc xá: 10 nút.
Dựa trên mô hình kế thừa, các thiết bị tại mỗi tầng – các thiết bị nói trên ở đây
chính là các thiết bị chuyển mạch (switch) có khả năng thực hiện một hoặc đồng thời
cả chuyển mạch Layer 2, Layer 3, Layer 4 – được phân bổ vào từng khu vực như sau:
Khu giảng đường
Gồm các thiết bị chuyển mạch tại tầng Access và tầng Distribution, hay gọi là
Access switch và Distribution switch. Khu giảng đường gồm có 4 tầng, với mật độ nút
mạng dày đặc. Do vậy, Distribution switch phải có một hiệu suất mạnh để xử lý toàn
bộ số lượng lưu thông từ các Access switch. Ngoài ra, Distribution switch cũng có thể
được lựa chọn để đóng vai trò là một Access switch. Các Distribution switch sẽ được
kết nốt về Center Switch qua cổng tốc độ 1000 Mbps trên GBIC –Gigabit Interface
Convertor dùng cáp quang tùy thuộc vào khoảng cách giữa 2 switch.
Khu hành chính
Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tại
đây. Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch – xử lý
đồng thời layer 2, layer 3, layer 4 switching). Center Switch này sẽ cung cấp các giao
tiếp GBIC kết nối đến các Distribution switch ở các khu nhà còn lại. Hệ thống các máy
chủ ứng dụng các máy chủ ứng dụng cà Database được kết nối trực tiếp vào Center
Switch. Khu hành chính có số lượng số lượng nhỏ các máy trạm, nên các máy này

truyền dẫn.
Các yêu cầu về dịch vụ vệ sinh (các yêu cầu vệ sinh của mỗi phần thiết bị đòi hỏi
dịch vụ tương thích cho thiết bị).
19
Các yêu cầu luồng khí.
Các yêu cầu khung lắp.
Các yêu cầu nguồn điện DC và các hạn chế độ dài mạch.
1.8.2. Vị trí
Computer Room nên đặt cách xa các nguồn nhiễu điện từ như máy biến áp, máy
phát điện, thiết bị x-ray, máy phát radio hoặc rada.
Computer Room không nên có cửa thông ra ngoài, vì nó có thể làm tăng nhiệt độ và
giảm an ninh.
1.8.3. Thiết kế kiến trúc
a) Kích thước
Nên xem xét để đáp ứng các yêu cầu được biết của các thiết bị đặc trưng (thông
tin này có thể thu thập từ các nhà cung cấp thiết bị). Việc định kích thước phải dự kiến
cho các yêu cầu hiện tại cũng như trong tương lai.
b) Chiều cao trần nhà.
Chiều cao tối thiểu của Computer Room sẽ là 2.6m từ sàn nhà hoàn chỉnh tới bất kỳ
vật cản nào. Các yêu cầu làm mát hoặc các rack/cabinet cao hơn 2.13m có thể khiến
trần nhà cao hơn.
a) Chiếu sáng
Ánh sáng tối thiểu là 500 lux theo mặt phẳng ngang và 200lux theo mặt phẳng
đứng, đo được 1m trên sàn hoàn chỉnh ở giữa các aisle giữa các cabinet.
Các thiết bị chiếu sang không được cấp nguồn từ cùng bảng phân phối điện với
thiết bị viễn thông trong Computer Room. Các đèn khẩn cấp và biển báo nên đặt đúng
cho mỗi vị trí.
b) Cửa ra vào
Khả năng trọng tải sàn trong Computer Room phải đủ để chịu đựng cả tải trọng
phân phối và tập trung của thiết bị được lắp đặt cùng với đường cable và phương