Đề tài Tạo một Web site

Mục lục Lời nói đầu Trong một kỷ nguyên công nghệ thông tin đang ngày càng phát triển và được chú trọng như hiện nay, mạng Internet đã trở nên quen thuộc đối với mọi người, không mấy ai còn lạ lẫm với những ứng dụng thiết thực của nó. Việc ứng dụng nó vào lĩnh vực trong cuộc sống đặc biệt là lĩnh vực kinh tế thực sự là rất cần thiết và hiệu quả. Sau một khoá học ở Học viện Kỹ thuật quân sự, em đã được học những gì cơ bản nhất về mạng, một số ngôn ngữ lập trình và với đồ án tốt nghiệp này, em đã lựa chọn thiết kế một hệ thống hỗ trợ cho công việc kinh doanh của một công ty nhằm nâng cao, ứng dụng những kiến thức đã học vào thực tế. Hệ thống này được thiết kế giống một trang Web. Nó phải đảm bảo thực hiện được những chức năng sau: Giúp khách hàng lựa chọn sản phẩm và đặt hàng trực tuyến Tư vấn kỹ thuật cho khách hàng trực tuyến Công ty có thể quản lý được hệ thống này. Sau một thời gian nghiên cứu, nhờ sự giúp đỡ chỉ bảo tận tình của thầy Đào Thanh Tĩnh, hệ thống của em đã hoàn thành. Tuy nhiên, đây là một chương trình đầu tiên nên có thể vẫn còn nhiều sơ sót, chưa được tối ưu, bởi thế em rất mong nhận được sự chỉ bảo hướng dẫn thêm của các thầy và các bạn để hệ thống được tốt hơn và hoàn thiện hơn nữa. Em xin chân thành cảm ơn! Chương i: thiết kế trang Web. Giới thiệu chung. Trang web được xây dựng bởi một tập các file của các chương trình ứng dụng khác nhau. Ví dụ như các text file, gồm text xuất hiện trên trang đó và các text để định dạng trang, chỉ ra các nối kết và hiển thị hình ảnh. Các lệnh định dạng trang web được gọi là nhãn HTML, các lệnh này được có trong ngôn ngữ định dạng mà bộ trình duyệt web hiển thị được các trang web. Các file này thường có phần mở rộng là .htm hoặc .html. Thêm nữa, trang web còn gồm các file đồ hoạ. Mỗi hình xuất hiện trên trang web được lưu trong một file riêng, thường có phần mở rộng là .gif hoặc .jpg hoặc .jpeg. Nhãn HTML điều khiển nơi mỗi hình xuất hiện trên trang web. Kích thước các file đồ hoạ cần phải nhỏ và không nên sử dụng quá nhiều vì kích thứơc toàn bộ các file yêu cầu để hiển thị một trang web càng lớn thì càng mất nhiều thời gian để xem lại trang web đó, đặc biệt đối với người sử dụng có tốc độ kết nối Intenet chậm. Ngoài ra, trang web còn bao gồm các file video hay file audio để tăng thêm tính hấp dẫn, thu hút người xem. Các bước để tạo một Web site: Dự định cấu trúc của web để có ý tưởng chung về thông tin gì sẽ ở trên trang chủ và các trang chính khác. Cần xác định rõ độc giả của trang web là ai, trang web được tạo ra nhằm mục đích gì để từ đó thiết lập các chủ đề chính, các khối thông tin giới thiệu trên trang web. Dùng các chương trình ứng dụng tạo các trang cho web và lưu chúng lại. Dùng trình biên tập đồ hoạ để tạo hay xem đồ hoạ cho các trang. Dùng bộ trình duyệt riêng xem các file đã tạo, cần kiểm tra văn bản có đúng chính tả không, đồ hoạ phải trông đẹp mắt và nối kết giữa các trang. Lặp lại bước 2 và 3 để trang web trông đủ đẹp. Phổ biến web bằng cách đặt file của nó vào web server. Dùng bộ trình duyệt xem các trang web được lưu thông trong web server. Kỹ thuật định hướng. Một trang web được thiết kế với sự định hướng rõ ràng sẽ giúp người xem di chuyển giữa các trang một cách dễ dàng và nhanh chóng: Xây dựng một trang web với cấu trúc linh động, không nên cứ giữ một cấu trúc nghiêm ngặt cho trang web của mình nhưng phải đơn giản và nhất quán. Hầu hết các web site có cấu trúc theo hệ thống, bắt đầu bằng những thông tin tổng quát nhất trên trang chủ với các nối kết sang các trang chi tiết hơn, đây là cách tổ chức thông tin tốt nhất. Tuy nhiên, hãy cố gắng giới hạn số lần sang trang mà người đọc phải thực hiện để tìm kiếm thông tin mà họ cần. Thông tin trên các trang nên là những thông tin cần thiết và hấp dẫn để giữ được sự hứng thú của người đọc. Sử dụng các kết nối định hướng để hướng dẫn người đọc sang các trang khác. Ví dụ khi muốn người đọc sang các trang tiếp, theo thứ tự, hãy sử dụng nối kết Next (bảo đảm cả một kết nối Previuos). Một kết nối cuối trang chủ thì cũng rất hữu dụng. Và các nối kết định hướng thường được đặt trên các nút hoặc các biểu tượng. Mặc dù hầu hết các bộ trình duyệt hiển thị đồ thị, tốt nhất là nên cung cấp các nối kết, bên cạnh các biểu tượng hoặc các nút để phòng khi một số người đọc đang sử dụng các bộ trình duyệt không hỉên thị trên các nút, đó là lý do mà các nối kết định hướng dược lặp đi lặp lại lặp lại trên các trang web và các kết nối text ở cuối trang. Các frame cân nhắc: nếu muốn người đọc xem các trang trong một trật tự nào đó mà họ chọn, hãy sử dụng các frame để hiển thị các kết nối trang ở bất kỳ thời điểm nào. Các trang được tạo cấu trúc với các frame thường có bảng nội dung trong một frame ở bên trái của trang. Khi người đọc chuyển từ trang này sang trang khác, bảng nội dung frame vẫn có thể thấy trên màn hình. Khi họ hoàn tất việc xem một trang, họ sẽ chọn một kết nối khác. Một số khía cạnh kỹ thuật khác. Để có được một trang web hấp dẫn, dễ truy cập thì cần quan tâm đến một số khía cạnh khác nữa, như: Cố gắng không dùng các phông chữ và kích thước text riêng trừ khi thật sự cần thiết cho việc thiết kế trang. Quan trọng nhất là với mục đích thiết kế trang web sẽ được phổ biến rộng khắp trên thế giới nên có nhiều người thuộc các dân tộc, nền văn hoá khác nhau đọc nó. Điều có thể được chấp nhận trong nền văn hoá của bạn có thể bị cho là thô tục đối với nền văn hoá khác. Vì vậy, ngôn ngữ trên trang Web cần được chú trọng. Các thông tin cung cấp trên trang Web như địa chỉ, điện thoại, lệ phí và giá vận chuyển cần bao gồm cả các thông tin cho ngoài nước. Cần chú ý đến vấn đề bảo mật những thông tin cá nhân của nguồn thông tin, tránh để lộ những thông tin riêng tư trên trang web mà chưa được phép. Một số phương pháp tạo trang web: Chúng ta có thể tạo trang Web bằng tay hoặc sử dụng Web Page Editor. Tạo trang Web bằng tay: HTML – Hypertex Markup Language là ngôn ngữ của các trang World Wide Web. Các định dạng mà chúng ta ứng dụng cho văn bản, tiêu đề và các hình ảnh trên các trang web được điểu khiển bởi HTML. Nó được phát triển để cung cấp một cách định dạng văn bản và hình ảnh để các bộ trình duyệt web đọc. HTML là một ngôn ngữ đánh dấu hơn là một ngôn ngữ lập trình, đó là cách mã hoá thông tin để tất cả các kiểu của bộ trình duyệt có thể đọc và hiển thị trang này. Nó được phát triển liên tục, các mã mới được bổ dung và các mã cũ được bỏ đi. Sự phát triển của HTML được quản lý bởi World Wide Web Consortium hoặc W3C. 1.5.2. Tạo trang Web bằng cách sử dụng Web Page Editor. a, Giới thiệu về Web Page Editor. Với Web Page Editor, tất cả các trang Web được thiết kế đều được xem dưới hình thức mà nó sẽ xuất hiện trong bộ trình duyệt. Ta không cần phải vào một trình ứng dụng khác hoàn toàn để xem trang Web đã được định dạng. Khi sử dụng Web Page Editor bạn tiết kiệm được rất nhiều thời gian vì không cần phải nhập vào tất cả HTML tag. Các Web Page Editor đã bổ sung tag cho bạn, bạn có thể tập trung vào thiết kế dàn bài và nội dung của trang. b, Một số Editor phổ biến Netscape Composer: Là một phần của bộ Netscape Communication và có thể được tải từ Netscape Web site tại Frontpage và Frontpage Express là hai Web Page Editor xuất phát từ Microsoft. Frontpage Express là một chương trình tối ưu để tạo trang Web một cách nhanh chóng. Frontpage có nhiều tính năng hơn Frontpage Express và cho phép xem cũng như quản lý toàn bộ cấu trúc của Web và tạo các trang Web. Để biết thêm bạn có thể xem Microsoft Web site tại PageMill là Web Page Editor từ Adobe. Để biết thêm, hãy xem Adobe Web site tại Đây không phảI là một phần mềm chia sẻ hay miễn phí. HotDog Professional là một chương trình có thể chia sẻ của Sausage Software ( ) Tạo các đồ hoạ web. Các đồ hoạ máy tính được lưu giữ theo nhiều dạng file khác nhau, nhưng thuộc hai kiểu chính sau: Vector image: gồm các đường thẳng và các dạng khác nhau, được tô màu hoặc bóng đổ. Bitmap image: gồm các chấm màu hoặc pixel. Các tài liệu Web thường sử dụng hình ảnh bitmap và hai dạng chính của nó là GIF (CompuServer’s Graphics Interchange Format) và JPEG (Joint Photographic Experts Group) Các chương trình đồ hoạ có ba loại chính: Chương trình vẽ và photo giúp bạn đọc các file hình ảnh khác và tuỳ ý sử dụng chúng khi sử dụng Web hoặc là tạo một hình ảnh của Web cho chính bạn bằng cách sử dụng một cây cọ vẽ và các công cụ khác. Các chương trình minh hoạ tạo các hình ảnh chủ yếu là các đồ hoạ vector và vì thế có ít đặc tính hơn trong việc tối ưu hoá các file bitmap được sử dụng trong Web. Các lợi ích của đồ hoạ: đồ hoạ được thiết kế thành các chương trình có các đặc tính đơn giản tập trung vào chuyển đổi các hình ảnh từ một định dạng này sang một định dạng khác và cách điều chỉnh sơ các hình ảnh đó. Một số chương trình đồ hoạ hay được sử dụng: Microsoft Paint giúp người sử dụng máy tính tô màu một hình ảnh đơn giản hoạt động trong một hình ảnh và chỉnh sửa nó. Adobe Photoshop là một chương trình đồ hoạ cho mục đích tổng quát và chuyên nghiệp, giúp bạn scan, chỉnh sửa, tô màu và phát triển các hình ảnh. Để thực hiện tốt việc tạo đồ hoạ cho Web thì phải cân đối được tốc độ tải và chất lượng hình ảnh. Nếu bạn chú trọng về tốc độ thì phải giảm đi số lượng các màu và các chi tiết trong một hình ảnh. Nếu chú trọng về độ trung thực của màu sắc thì sử dụng hình ảnh chi tiết cao và bổ sung các hiệu ứng đặc biệt nào đó nên làm giảm tốc độ tải xuống một cách đáng kể. Việc tối ưu hoá có thể giúp làm giảm tối thiểu hoạt động cân đối. Khi tối ưu hóa tốc độ, các hình ảnh cần phải tải nhanh nếu không người sử dụng sẽ không đợi chúng trước khi chuyển sang trang khác. Tốc độ tải nhanh đối với các trang web có kích thước nhỏ và các hình ảnh sử dụng lại nếu có thể. Các yếu tố chính ảnh hưởng đến kích cỡ là: chọn định dạng (JPEG, GIF); kích thước ảnh; số lượng màu. Để giảm thiểu tối đa kích thước ảnh thì cách tốt nhất là sử dụng chiều cao và chiều rộng của một hình ảnh nhỏ nhất (trong các ảnh điểm). Chiều cao và chiều rộng nếu được giảm đi một nửa thì tức là hầu hết các file ảnh có kích cỡ đã giảm tối đa là một nửa. Khi thực hiện việc định kích thước dùng cho hình ngay từ đầu thì sẽ có những kết quả tốt nhất. Hầu hết các chương trình đồ hoạ sẽ cung cấp một trình điều khiển thuộc tính về kích cỡ, độ co giãn và thuộc tính định lại kích cỡ để giảm kích thước ảnh. Các hình ảnh có ít chi tiết hoặc là có nhiều tính chất đồng nhất trong số các pixel của nó sẽ tạo ra các file nhỏ. Tất cả các định dạng cho web dựa trên việc nén dữ liệu và nén các đặc điểm trợ giúp tính đồng nhất. Với việc nén dữ liệu, nếu một nhóm các pixel giống nhau về màu sắc thì mọi pixel sẽ không đòi hỏi giá trị màu sắc của nó trong file này, nhóm này có thể đại diện bằng một giá trị đơn. Màu sắc thay đổi càng ít trong một hạt các pixel thì càng ít nhóm được đòi hỏi, và kích cỡ càng nhỏ. Số lượng màu sử dụng cho hình ảnh càng ít thì file càng nhỏ. Nên sử dụng ít màu khi vẽ một bức tranh ngay từ lúc đầu. Bên cạnh đó, có nhiều chương trình đồ hoạ giúp ta giảm bảng mẫu màu của hính ảnh đang có. Việc giảm đi số lượng màu trong bảng mẫu sẽ làm giảm kích thước file ảnh nhưng không do file này có ít dữ liệu về bảng mẫu, dữ liệu bảng mẫu là một phần nhỏ của file ảnh. Khi chương trình xóa các mẫu này, nó sẽ cung cấp cho các pixel có ảnh hưởng các màu mới. Nó có ít màu nên có một pixel thì chỉ tương ứng với một màu của pixel đó. Các pixel thuộc một nhóm pixel cùng màu và không cần dữ liệu của chúng trong file này. Việc tốc độ tải nhanh là quan trọng nhưng cũng cần giữ mức độ chất lượng. Khi được đưa kích cỡ vào một nội dung nào đó thì cách để bảo đảm chất lượng là chọn định dạng file thích hợp và điều khiển độ sâu, sự đồng nhất về màu sắc trong hình ảnh. Số lượng màu khác nhau mà một file hình ảnh có thể chứa được gọi là độ sâu của màu sắc. Các file .gif có độ sâu màu tối đa là 256 màu (màu 8 bit), nhưng cũng có thể có các độ sâu màu 7 bit (128 màu), 6 bit (64 màu),…. Các file .jpeg có độ sâu màu hỗn hợp của 16,7 triệu màu, gọi là màu 24 bit, một độ sâu màu làm cho các hình ảnh jpeg đẹp hơn cho việc chụp màu. Trong một độ sâu được đưa thì số lượng màu thực sự được sử dụng trong hình ảnh (bảng màu) có thể ít hơn độ sâu màu cho phép. Một hình ảnh gif có thể chỉ sử dụng 200 màu. Dù có sự khác nhau như vậy nhưng khó có thể nhận biết khi hiển thị trên màn hình vì có những máy tính chỉ hiển thị chỉ 256 màu khác nhau. Vậy trên trang web có hình ảnh thì các hình ảnh đó nên sử dụng cùng một bảng màu. Các máy tính sử dụng bảng màu trên màn hình có thể chỉ hiển thị các màu của chỉ một bảng màu vào một thời điểm. Chuyển các màu hỗn hợp thành một màu đơn có thể làm tăng chất lượng hình ảnh, giảm đI kích cỡ file và giúp nhận được hiệu ứng trong suốt đồng bộ cho màu đó mà không có những lốm đốm. Phương thức dễ nhất là tô màu cho một vùng có màu không đồng bộ bằng một màu duy nhất, sử dụng các công cụ sơn phổ biến trong các trình đồ hoạ. Tạo các file web Audio: Có năm bước chính để tạo các file Web Audio: Bắt giữ audio bằng thiết bị thu như băng catssette, các đĩa nhỏ hoặc băng audio kỹ thuật số. Tạo một file audio không nén trên máy tính bằng cách sử dụng thẻ âm thanh của nó. Hiệu chỉnh và xử lý audio không nén. Mã hoá file vào một format audio khác nhau. Tải audio kết quả vào Web Server, bổ sung các liên kết vào các file audio từ các trang web. Chương II: bảo mật mạng Mạng Internet là một mạng công cộng rất rộng lớn, số người truy cập vào đây rất nhiều gồm cả kẻ xấu lẫn kẻ tốt, với vô số mục đích, nên thông tin trên mạng rất dễ bị ăn cắp, sửa đổi và bị phá hoại. Mặt khác, những kẻ xấu có thể tận dụng chúng để truy cập vào hệ thống mạng nội bộ của một công ty, một tổ chức nhằm phá hoại hoặc chỉ vì muốn thoả mãn sự hiếu kỳ, sở thích ưa phiêu lưu, mạo hiểm. Dù với bất kỳ nhu cầu nào điều đó cũng sẽ gây tổn hại cho công ty, tổ chức đó, đặc biệt là với các công ty, tập đoàn kinh doanh, tài chính. Công việc bảo mật trên mạng được thực hiện dưới nhiều hình thức, bằng nhiều cách. Hệ thống bảo mật được thiết kế bởi nhiều lớp với nhiều phần mềm chống ăn cắp, sao chép thông tin, phá hoại thông tin,… hay mã hoá thông tin, kết hợp với nhau. Tất cả đều nhằm mục đích là che dấu hay bảo vệ các điểm yếu trên mạng, chống sự xâm phạm bất hợp pháp, chống sự phá hoại gây bất lợi cho những người sử dụng mạng. Hệ thống hỗ trợ công tác kinh doanh thiết kế dưới đây nằm trong một mạng nội bộ của công ty, giao tiếp với Internet nên cũng rất dễ bị phá hoại thông qua mạng Internet. Vì vậy, hệ thống bảo mật mạng nội bộ khỏi tác động của bên ngoài cần phải được tìm hiểu. 2.1. Giới thiệu qua về hệ thống bảo mật cho mạng máy tính: 2.1.1. Mục đích: Việc kết nối máy tính là nhằm sử dụng chung tài nguyên của hệ thống và chia sẻ tài nguyên cho nhau của các đối tượng tham gia hoạt động trong mạng, cho dù họ đang ở các vị trí địa lý khác nhau. Tài nguyên hệ thống chủ yếu là các dữ liệu, thông tin, một thứ rất quý giá cần được bảo vệ, chống thất thoát trên các mạng truyền dữ liệu công cộng. Vì vậy, cần phải có một hệ thống bảo mật để bảo vệ những tài nguyên đó. Hệ thống bảo mật cần phải đảm bảo 4 yêu cầu sau: Authentication: là một quá trình nhằm định danh một đối tượng như máy tính hay người sử dụng. Các đối tượng trước khi liên lạc với nhau cần phải biết chính xác danh tính của nhau. Intergrity: đảm bảo sự chính xác của dữ liệu trong quá trình truyền từ đối tượng này sang đối tượng khác, tránh trường hợp dữ liệu bị sửa đổi trên đường truyền. Confidentiality: đảm bảo dữ liệu đến chính xác đối tượng cần nhận. Anti-Replay: đảm bảo không thể dựa vào các dữ liệu cũ để có thể khai thác vào các mục đích bẻ khoá, ăn trộm, phá hoại thông tin sau này. 2.1.2. Các chiến lược bảo mật hệ thống: Quyền hạn tối thiểu: bất kỳ một đối tượng nào cũng chỉ có những quyền hạn nhất định đối với tài nguyên chung. Khi thâm nhập vào mạng, đối tượng chỉ được sử dụng tài nguyên với những quyền hạn nhất định đã được phân. Bảo vệ theo chiều sâu: tạo nhiều chế độ an toàn để chúng hỗ trợ lẫn nhau. Nút thắt: chỉ cho phép thông tin vào hệ thống qua duy nhất một con đường, tổ chức cơ chế kiểm soát và điều khiển luồng thông tin này. Điểm nối yếu nhất: kẻ phá hoại thường tím những điểm yếu nhất của hệ thống để tấn công nên cần phải tìm ra và bảo vệ các điểm yếu đó. Tính toàn cục: các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ thống cục bộ. Nếu có kẻ nào muốn bẻ gãy một cơ chế an toàn, chúng có thể làm bằng cách tấn công vào một hệ thống tự do của ai đó trong mạng và dùng hệ thống đó để tấn công từ bên trong. Tính đa dạng của việc bảo vệ: sử dụng nhiều biện pháp khác nhau cho những hệ thống khác nhau, nếu không sẽ tạo điều kiện cho một kẻ tấn công vào được một hệ thống dễ dàng tấn công hệ thống khác. 2.1.3. Các mức bảo vệ an toàn mạng: Không thể có một giải pháp bảo vệ mạng tuyệt đối nên sẽ sử dụng đồng thời nhiều mức bảo vệ khác nhau, tạo nhiều lớp rào chắn đối với các hoạt động xâm phạm. Việc bảo mật thông tin trong mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, máy chủ của mạng. Vì vậy, các phương pháp nhằm chống thất thoát thông tin trên đường truyền, sẽ được xây dựng bằng các mức chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng theo mô hình sau: Quyền truy nhập (Acess Right): kiểm soát việc truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó. Việc quản lý được tiến hành ở mức truy nhập file. Việc xác lập các quyền được quyết định bởi người quản lý mạng (Supervisor). Đăng ký tên/ mật khẩu (Login/ Password): mỗi người sử dụng muốn được sử dụng mạng phải đăng ký tên/ mật khẩu để người ngoài không biết tên/ mật khẩu không thể truy nhập mạng. Phương pháp này không mấy hiệu quả với những người quá hiểu biết về hệ thống. Mã hoá dữ liệu (Data Encryption): biến đổi dữ liệu từ dạng nhận thức sang dạng không nhận thức được theo một thuật toán nào đó và sẽ biến đổi ngược lại tại bên nhận. Lớp bảo vệ vật lý (Physical Protection): ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Firewall: nhằm bảo vệ an toàn cho một máy tính hoặc một mạng nội bộ, ngăn chặn các xâm nhập trái phép và có thể lọc bỏ các thông tin mà ta không muốn gửi đi hay nhận về vì những lý do nào đó. Mã hoá dữ liệu Đăng ký tên/ mật khẩu Quyền truy nhập Thông tin Lớp bảo vệ vật lý Firewall 2.2. Giới thiệu về Firewall. 2.2.1. Các khái niệm chung: 2.2.1.1 Firewall là gì? Như trên, Firewall là lớp rào chắn ngoài cùng của hệ thống bảo mật mạng. Nó là thiết bị (thường là router) bảo vệ mạng khỏi sự thâm nhập không mong muốn từ phía bên ngoài cũng như kiểm soát sự truy cập của người sử dụng bên trong mạng vào các nguồn tài nguyên. Firewall sẽ không có tác dụng đảm bảo an toàn mạng khi nó đứng một mình mà nó phải đi cùng để bảo về website và hệ thống mạng. Để firewall làm việc có hiệu quả cao nhất ta cần xác định quy mô của mạng, nhiệm vụ chính của firewall là gì rồi mới cấu hình firewall cho phù hợp. Firewall tăng cường tính bảo mật và giảm thiểu sự rủi ro cho mạng bằng cách chọn lọc các dịch vụ, giao thức sử dụng trong mạng. Hầu hết các router được sử dụng như Firewall để lọc các datagram dựa vào địa chỉ nguồn, đích hoặc nhờ các giao thức ở tầng cao hơn hay theo các chính sách an ninh của mỗi mạng. Các loại Firewall tinh vi hơn thì sử dụng dịch vụ uỷ quyền (Proxy Server) hay còn được gọi là Bastion Host. Dịch vụ này có nhiệm vụ ngăn chặn các truy nhập trực tiếp của người sử dụng trong mạng ra bên ngoài. Do đó, người quản trị mạng có thể kiểm soát được các quyền trao đổi thông tin giữa bên trong và bên ngoài mạng. 2.2.1.2. Mục đích của việc xây dựng Firewall. Mục đích của Firewall là làm việc như một cổng bảo an, cấp quyền điều khiển cho các thành phần bên trong mạng; cho phép ai đó được quyền truy xuất vào tài nguyên nào của mạng cũng như cho ai được quyền truy xuất ra ngoài mạng. Nó còn đựơc sử dụng để kiểm soát các kết nối giữa mạng nội bộ và mạng bên ngoài. Ví dụ, ta có thể sử dụng Firewall để ghi những điểm cuối và lượng dữ liệu gửi qua mọi kết nối TCP/ IP giữa tổ chức và thế giới bên ngoài. Thậm chí, Firewall còn được sử dụng để nghe trộm và ghi lại tất cả các cuộc hội thoại giữa mạng nội bộ và thế giới bên ngoài. Nếu tổ chức có hơn một vị trí và ta có Firewal cho mỗi vị trí đó, ta có thể lập trình cho các Firewall này để mã hoá gói tin được gửi qua mạng giữa các vị trí một cách tự động. Trong trường hợp này, ta có thể sử dụng Internet như một mạng diện rộng riêng của chính mình mà không gây tổn hại dữ liệu; cơ chế này thường được dựa vào để tạo một mạng riêng ảo (Virtual Private Network) hoặc VPN. 2.2.1.3. Chức năng của Firewall: Firewall hỗ trợ cho hệ thống bảo mật của toàn mạng, phải linh hoạt, dễ dàng chỉnh sửa cho phù hợp với nhu cầu của hệ thống. Firewall phải từ chối thực hiện tất cả các dịch vụ ngoại trừ các dịch vụ đặc biệt được người quản trị cho phép. Firewall có khả năng mở rộng, nâng cấp hoặc có khả năng thẩm định quyền cao cấp. Nó phải thực hiện được các kỹ thuật lọc để cho phép hay không cho phép các dịch vụ tới các hệ thống máy chủ đã chỉ định theo nhu cầu. Firewall phải sử dụng các Proxy Server cho các dịch vụ như FTP (File Transfer Protocol) thì phạm vi thẩm định quyền cao cấp mới có thể tập trung và thực hiện tại Firewall. Nếu như mạng có sử dụng các dịch vụ như NNTP (Network News Transport Protocol), HTTP (HyperText Transfer Protocol) hay Gopher thì Firewall phải có các dịch vụ uỷ quyền tương ứng. Firewall phải có khả năng tập trung truy nhập SMTP (Simple Mail Transfer Protocol) để làm tăng các kết nối trực tiếp giữa máy tính đến hệ thống ở xa. Nếu sử dụng một hệ điều hành mở như UNIX, NT, … thì các phiên bản bảo mật của các hệ điều hành này cũng phảI là một phần của Firewall cũng như các công cụ bảo mật khác, có như thế mới bảo đảm có một Firewall toàn vẹn, chắc chắn. Firewall phải được phát triển theo hướng kiểm soát được sức mạnh và độ chính xác của nó. Firewall và hệ điều hành sử dụng trên nó phải luôn được nâng cấp và bảo dưỡng. 2.2.2. Các thành phần và sự hoạt động của Firewall: 2.2.2.1. Các thành phần của Firewall: Firewall gồm các phần cơ bản như sau: Chính sách bảo mật mạng (Network Security Policy). Thiết bị thẩm định quyền (Advanced Authentication). Bộ lọc gói tin (Packet Filtering). Trình ứng dụng (Application Gateway). Chính sách bảo mật mạng: Chức năng cơ bản của Firewall là giới hạn luồng thông tin lưu thông giữa hai mạng: mạng nội bộ (Internal Network) và mạng bên ngoài (External Network), như là mạng Internet. Để thiết lập Firewall, cần phải xác định rõ loại dữ liệu nào được qua và loại nào không được qua. Công việc này chính là việc xây dựng một chính sách bảo mật mạng. Sau khi đã xác định rõ chính sách, ta cần tạo các kỹ thuật thực tế để thực hiện chính sách. Có hai chiến lược cơ bản để xây dựng chính sách: Chấp nhận mặc định (Default Permit): tạo cho Firewall một tập các điều kiện xác định dữ liệu bị khoá. Bất cứ một máy chủ hoặc thủ tục nào không bị kiểm soát bởi chính sách sẽ được qua vì đã được xác lập mặc định. Từ chối mặc định (Derfalt Deny): mô tả những thủ tục đặc biệt được cho phép qua Firewall và các máy chủ đặc biệt có thể cho dữ liệu đi qua và được quyền liên lạc. Những thứ còn lại sẽ bị từ chối. Một ví dụ về cấu trúc của Firewall. Ưu điểm của chiến lược chấp nhận mặc định là khiến dễ dàng định rõ, phác ra các thủ tục được xem là quá nguy hiểm và dựa vào kiến thức của mình để khoá các thủ tục mới vì chúng luôn thay đổi và được phát hiện ra. Với chiến lược từ chối mặc định, dễ cài đặt các thủ tục được người sử dụng và nhà quản lý đòi hỏi. Bất cứ một thủ tục nào mà tổ chức không sử dụng sẽ dễ dàng bị ngăn chặn. Việc cài đặt Firewall bị ảnh hưởng trực tiếp bởi hai mức chính sách mạng: Chính sách bảo mật mạng xác định các dịch vụ được phép truy cập hay nhất định bị từ chối được gọi là chính sách bậc cao. Chính sách này cũng xác định các dịch vụ đó được sử dụng như thế nào. Chính sách bậc thấp xác định Firewall sẽ giới hạn việc truy cập và lọc các dịch vụ bị từ chối ở chính sách bậc cao như thế nào. Các chính sách này phải mềm dẻo và linh hoạt vì: Mạng Internet thay đổi hàng ngày với một tốc độ rất nhanh, các dịch vụ dùng trên internet cũng thay đổi theo. Vì vậy, nhu cầu của các công ty cũng sẽ thay đổi nên mạng sẽ phải bị chỉnh sửa để có thể thích nghi cho phù hợp với những sự thay đổi đó, nhưng không được gây vấn đề gì làm tổn hại đến công việc bảo mật. Chính sách bảo mật sẽ hầu như không bao giờ thay đổi nhưng các thủ tục sẽ luôn được xem xét, chỉnh sửa lại. Chính sách đề ra phải dự đoán được các rủi ro và sự thay đổi của chúng để có thể chỉnh sửa, có các phương pháp bảo mật phù hợp vì những rủi ro gặp phải trên Internet sẽ không ngừng biến đổi. Chính sách phải tạo được một sự cân bằng giữa việc bảo vệ mạng với việc cấp quyền cho người sử dụng truy cập đến tài nguyên của mạng. Khi thiết lập một chính sách tạo Firewall, phải hiểu rõ khả năng và giới hạn của Firewall cũng như nắm rõ các mối đe doạ và nguy cơ. Phải nhớ, Firewall thường thực hiện các chính sách sau: Firewall cho phép các máy con sử dụng tất cả các dịch vụ đã mặc định, ngoại trừ một số dịch vụ được xác định rõ là không được phép. Cũng bằng cách này, Firewall sẽ từ chối thực hiện tất cả các dịch vụ theo mặc định, nhưng sau đó sẽ cho phép thực hiện các dịch vụ này khi chúng được xác định rõ là được phép sử dụng. Thiết bị thẩm định quyền (Advanced Authentication): Là các SmartCard như ID card hay các loại card được mã hoá bằng từ và một số phần mềm. Các thiết bị này là những sự lựa chọn để đối phó với việc có nhiều password bị bẻ gãy. Nếu chọn một trong các thiết bị trên, các hacker sẽ không thể dùng lại password đã bị giám sát trong quá trình kết nối. Thiết bị thẩm định quyền được sử dụng khá phổ biến hiện nay là hệ thống password một lần (One-time Password System). Nó làm việc chung với phần mềm hoặc phần cứng. Các password nếu có bị giám sát cũng chỉ có thể sử dụng được một lần. Hệ thống thẩm định quyền của Firewall cần phải được đặt trong Firewall vì nó chịu trách nhiệm kiểm soát và điều khiển việc truy cập tới các máy con. Tất cả các kết nối bắt đầu từ Internet tới hệ thống máy trạm sẽ phải chịu sự thẩm định quyền trước khi sự cho phép được chấp nhận. Password có thể vẫn cần thiết phải sử dụng nhưng trước khi truy cập được cho phép thì những Password này đã được bảo vệ cho dù chúng đã bị giám sát. Bộ lọc gói tin (Packet Filtering): Việc lọc các gói tin IP thường được thực hiện bằng việc sử dụng router. Các router này có thể lọc các gói tin IP dựa vào các trường sau: Địa chỉ IP nguồn Địa chỉ IP đích Cổng TCP/ UDP nguồn Cổng TCP/ UDP đích. Trong việc chặn đứng các kết nối ra hay vào mạng, việc chọn lọc được thực hiện bằng nhiều cách, bao gồm cả việc chặn các kết nối tới các cổng cụ thể. Ví dụ, có thể quyết định ngăn chặn những kết nối từ các địa chỉ hoặc các máy con những địa chỉ mà cảm thấy không đáng tin cậy, hoặc có thể quyết định ngăn kết nối từ các từ tất cả các địa chỉ ở bên ngoài mạng. Tất cả những việc đó đều có thể thực hiện được bằng việc lọc bỏ. Mặc dù, bộ lọc gói tin làm nhiệm vụ rất hiệu quả, làm tăng độ bảo mật mạng nhưng nó vẫn có một số nhược điểm. Các quy luật của nó phức tạp khiến cho việc xác định và kiểm tra gặp khó khăn. Bởi vì khi có vấn đề thì chỉ có thể hoặc phải kiểm tra bằng tay mọi khả năng hoặc phải phán đoán để tìm ra chỗ thuận lợi để có thể kiểm tra tính chính xác các quy luật của nó. Mặt khác, trong các router không có chức năng khoá. Nếu router không có khả năng khoá thì nếu có các gói tin nguy hiểm thâm nhập thì sẽ không thể phát hiện hoặc khi phát hiện thì đã quá muộn. Cạnh đó, việc cho phép các loại truy cập xác định (những truy cập bình thường bị chặn) đi qua, sẽ phải tạo một sự ngoại lệ đối với các quy tắc. Những sự ngoại lệ này sẽ tạo các quy luật lọc rất khác nhau, thậm chí khó kiểm soát. Một số Firewall còn sử dụng dịch vụ uỷ quyền (Proxy Server), còn gọi là pháo đài bảo vệ (Bastion Host) để tăng độ bảo mật cho mạng. Mạng Internet (outside) Mạng nội bộ (Inside) Bastion Host Dịch vụ uỷ quyền (proxy service) có thể “biểu diễn” người dùng trong mạng trên Internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống mạng nội bộ và bảo đảm rằng những người dùng trong mạng không kết nối trực tiếp với hệ thống bên ngoài. Proxy server có thể đánh giá và lọc tốt cả các gói dữ liệu đến hoặc ngăn các gói dữ liệu đi ra. Một số proxy server được thiết kế để cho phép chỉ những ngừơi dùng trong mạng truy cập Internet và không cho phép bất cứ người dùng bên ngoài nào trong mạng. Vì mọi yêu cầu đến Internet server đều tạo ra phản hồi, proxy server phải cho phép lượng giao thông quay về, nhưng nó thực hiện điều này bằng cách chỉ cho phép lượng lưu thông là một phản hồi nào đó của người dùng trong mạng. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả hai chiều. Proxy server còn có thể cung cấp dịch vụ cache cho ngưòi dùng trong mạng. Nó lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn. Khi người dùng truy cập đến những nơi nầy, thông tin được lấy từ vùng cache đã lưu trữ trước đó. Có hai loại proxy server: Proxy server mức – mạng: Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống bên trong và ngoài. Có một mạch ảo giữa người dùng bên trong và proxy server. Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đổi địa chỉ IP. Người dùng ngoài chỉ thấy địa chỉ IP của proxy server. Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù lượng lưu thông được phép đi qua, các hệ thống ngoài không bao giờ thấy được hệ thống bên trong. Loại kết nối này thường được dùng để kết nối người dùng trong mạng “được ủy thác” với Internet. Proxy server mức – ứng dụng: cung cấp tất cả các chức năng cơ bản của proxy server và còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó. Để ý rằng có “một khoảng trống” ảo tồn tại trong bức tường lửa giữa mạng nội bộ và mạng bên ngoài, và các khoảng trống này được nối bằng các phần tử đại diện cho người dùng nội bộ hoặc ngoài. Phải cài đặt từng proxy riêng lẻ cho mỗi dịch vụ mức ứng dụng. Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng đã ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server. Cũng có thể bỏ các tên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu vì mục đích hợp lý và an toàn. Tính “hợp lý” là một tùy chọn thú vị. Có thể thiết lập bộ lọc để loại bỏ mọi bản tin điện tử có nội dung xấu. Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết. Ví dụ, nếu truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ và yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của người sử dụng, firewall sẽ so sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không. Proxy server mức ứng dụng cung cấp các proxy điều khiển truy cập qua bức tường lửa theo một cách duy nhất. Chúng hiểu rõ các giao thức của ứng dụng được phép vận hành qua lại thông qua gateway, và quản lý toàn bộ luợng lưu thông vào và ra, trong trường hợp không thể dùng bộ định tuyến kiểm tra. 2.2.2.2 Cơ chế hoạt động của Firewall: Firewall thường được mô tả như là hệ phòng thủ bao quanh, với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập và xuất. Giống như hệ phòng thủ xung quanh các lâu đài thời trung cổ. Các hào và tường tạo nên hệ phòng thủ, còn các phòng gác ở cổng và các cửa kéo là các “chốt”, ở đó mọi người phải đi qua khi vào và ra khỏi lâu đài. Có thể theo dõi và khóa truy cập tại các chột này. Các mạng dùng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ hệ dữ liệu bên trong, người ta xây dựng hệ thống phòng thủ gồm dây thép, hào, dầu nóng và những thứ khác để đẩy lùi những kẻ phá rối. Nhưng mối đe dọa thật sự là những kẻ đi qua các bức tường vào ban đêm và qua được mọi vật cản để đến đích tấn công. Nếu bức tường lửa giống như lâu đài, người dùng được hợp thức hóa để truy cập ở mức độ nào, và họ được làm gì một khi vào được bên trong? Dĩ nhiên mọi bức tường lửa đều cần tìm cách nào đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng bất hợp lệ. Dưới thời trung cổ, những thị dân và thương gia được phép vào sân chợ trong lâu đài tương đối dễ dàng để có thể mua bán hàng hóa. Vào ban đêm, cổng được khóa và hàng hóa được cất trong lâu đài – thường có đội tuần tra. Trong khi hầu như mọi người đều có thể vào sân chợ nhưng chỉ có những người được ủy thác và có thư ủy nhiệm mới được vào vùng bên trong lâu đài. Trong vùng các bức tường này có lực lượng tăng cường là mức bảo vệ cuối cùng chống kẻ tấn công. Tương tự như thế, các máy chủ web và FTP của bạn nằm ở “sân chợ”, nơi được kết nối vào Internet để cho phép truy cập công cộng. Đằng sau hệ thống này là mạng dùng riêng, cần phải bảo vệ. Giống như hệ phòng thủ nhiều vòng của lâu đài, có thể cài đặt nhiều thiết bị bức tường lửa để ngăn chặn những kẻ tấn công vào mạng. Các thiết bị “kẽm gai” sẽ báo trước khi có kẻ gian nhảy qua đường hào và leo lên tường. Đây là nơi mà các router được dùng cùng với bức tường lửa của bạn. Trong thời bình, trước khi được gặp gỡ người cai trị lâu đài, thị dân, thương gia, và những chức sắc đến từ vùng khác đều phải qua những cuộc khám xét gắt gao. Nếu tình hình chính trị căng thẳng, người cai trị không muốn gặp trực tiếp khách, người ta chọn cho những người khách gặp người đại diện và người này chuyển tin qua lại giữa hai bên. Firewall cũng tiến hành lọc gói (packet-filtering) bằng phương pháp khám xét tận đáy (strip search). Các gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theo một số điều kiện nhất định. Một dịch vụ ủy thác (proxy service) hoạt động như là người đại diện cho những người dùng cần truy cập hệ thống ở bên kia bức tường lửa. nhớ các đặc trưng của bất cứ gói tin nào ra khỏi mạng và chỉ cho phép quay trở lại theo những đặc trưng này. 2.2.3. Phân loại Firewall và cách lựa chọn Firewall: 2.2.3.1. Phân loại Firewall: Firewall có thể được phân thành bốn loại như sau: Lọc gói tin: Loại Firewall này cho phép việc điều khiển truy cập tại lớp IP và hoặc chấp nhận, từ chối hoặc loại bỏ các gói tin dựa trên một nguồn chính, những địa chỉ của mạng đích và các loại chương trình ứng dụng. Loại Firewall này cung cấp độ bảo mật ở mức đơn giản với giá thành tương đối rẻ. Những Firewall loại này cũng cung cấp sự thực thi ở mức cao và thường rõ ràng đối với người sử dụng. Nhược điểm của Firewall lọc gói tin: Dễ bị làm hại khi những kẻ tấn công nhắm vào những thủ tục ở mức cao hơn thủ tục mức mạng, là những thủ tục chúng hiểu. Vì không phải quản trị viên nào cũng có những hiểu biết chi tiết về kỹ thuật của thủ tục ở mức mạng nên Firewall loại này thường quá khó để định hình và kiểm tra. Đây là thứ làm tăng rủi ro cho hệ thống. Không thể che dấu cấu trúc của mạng cá nhân, vì vậy, mạng cá nhân sẽ bị phơi bày với thế giới bên ngoài. Loại này có khả năng kiểm định rất giới hạn, và như ta đã biết, việc kiểm định chính là lỗ hổng chính trong chính sách bảo mật mạng. Không phải tất cả các chương trình ứng dụng trên mạng Internet được Firewall loại này hỗ trợ. Firewall loại này không luôn hỗ trợ cho một số điều khoản của chính sách bảo mật như việc thẩm định quyền và điều khiển truy cập giới hạn thời gian trong ngày. Firewall mức ứng dụng: Firewall loại này cho phép điều khiển truy cập tại lớp ứng dụng. Vì vậy, có hoạt động như những Gateway mức ứng dụng giữa hai mạng. Vì nó thực hiện các chức năng tại lớp ứng dụng nên chúng có khả năng kiểm tra sự lưu thông một cách chi tiết, khiến chúng an toàn hơn so với Firewall lọc gói tin. Loại này thường chậm hơn loại Firewall lọc gói tin vì chính sự khảo sát kỹ lưỡng việc lưu thông của chúng. Vì vậy, để đạt được những mục đích của chính sách, chúng giới hạn và yêu cầu người sử dụng bình thường hoặc thay đổi nhu cầu sử dụng hoặc sử dụng những phần mềm đặc biệt. Firewall loại này không dễ hiểu đối với người sử dụng. Ưu điểm: Vì chúng hiểu được thủ tục ở lớp mạng nên chúng có thể chống lại tất cả những kẻ tấn công. Thường dễ dàng hơn rất nhiều khi định hình so với Firewall loại lọc gói tin, vì không đòi ta phảI biết chi tiết về thủ tục của những mức dưói. Chê dấu được cấu hình mạng cá nhân. Có đầy đủ điều kiện để thẩm định cùng các công cụ nhằm kiểm soát sự lưu thông và vận dụng những file chứa thông tin như địa chỉ mạng nguồn và đích, loại chương trình ứng dụng, xác minh người sử dụng và password, bắt đầu và kết thúc thời gian truy cập, số byte thông tin được truyền đi. Chúng có thể hỡ trợ hơn cho chính sách bảo mật bao gồm sự thẩm định người sử dụng có quyền ở mức nào và điều khiển truy cập giới hạn thời gian trong ngày. Hybrid Firewall: Vì nhận ra được một số nhược điểm của hai loại Firewall trên, một số nhà cung cấp đã giới thiệu Firewall Hybrid, loại này chứa những kỹ thuật của cả hai loại trên. Chúng khắc phục được gần hết các nhược điểm ở trên nhưng vì vẫn tin và dùng phương pháp lọc gói tin để hỗ trợ những ứng dụng nhất định nên Firewall loại này có chung những nhược điểm bảo mật. Firewall mức ứng dụng thế hệ thứ hai: Vẫn là Firewall mức ứng dụng, chỉ khác là loại này dễ dàng giải quyết vấn đề của phiên bản trước mà không làm ảnh hưởng tới khả năng thực thi. Những ưu điểm của Firewall loại này: Có thể sử dụng như một firewall cho mạng Intranet vì khả năng thực thi dễ dàng và tổng quát hơn của chúng. Có thể cung cấp đầy đủ địa chỉ mạng cần chuyển dữ liệu tới, thêm vào đố là cấu hình mạng được che dấu. Có thể hỗ trợ những phương pháp thẩm định mức người sử dụng có quyền tiên tiến hơn. 2.2.3.2. Lựa chọn Firewall: Trước khi lựa chọn sử dụng các sản phẩm của Firewall, cần phát triển chính sách bảo mật chung, rồi sau đó lựa chọn Firewall có thể sử dụng để thực hiện chính sách đã chọn. Cần cẩn thận khi đánh giá các Firewall, phải hiểu kỹ thuật cơ bản đã sử dụng trong Firewall vì một số kỹ thuật Firewall có độ bảo mật kém hươn các loại khác. Khái niệm về Firewall sẽ không đổi nên cần đánh giá Firewall dựa trên mức bảo mật và việc thi hành các chức năng được yêu cầu. Khi nói đến những chức năng bảo mật thì nghĩa là đang nói về khả năng mà sản phẩm firewall này có để chia sự bảo mật đến đâu và có phù hợp với các mục tiêu và chính sách bảo mật. Một số đặc điểm cần tìm hiểu ở Firewall: Sự đảm bảo an toàn. Đặc quyền: mức độ để hạn chế những cái mà sản phẩm có thể áp đặt người sử dụng truy cập. Sự thẩm định: loại điều khiển truy cập nào sản phẩm cung cấp? Nó có hỗ trợ việc cấp quyền? Đó là những kỹ thuật thẩm định. Những kỹ thuật này bao gồm những chức năng bảo mật như thẩm định việc truy cập mạng máy tính nguồn/ đích, thẩm định password, những cạc điều khiển truy cập, và các thiết bị kiểm tra vân tay. Kiểm định các khả năng: Khả năng của sản phẩm để kiểm soát sự lưu thông mạng, bao gồm những cố gắng truy cập không hợp lệ, nhứng thâm nhập phát sinh và cung cấp những thông báo và những tín hiệu thống kê. Những đặc điểm mà một sản phẩm Firewall tốt cần đạt: Linh hoạt: Firewall cần được mở rộng đủ để phù hợp với chính sách bảo mật, cũng như cho phép thay đổi những chức năng. Hãy nhớ là, chính sách bảo mật hiếm khi thay đổi nhưng các thủ tục bảo mật luôn được xem xét lại, đặc biệt khi có những chương trình ứng dụng mới của mạng Internet và Web – centric. Khả năng thực thi: Firewall cần đủ nhanh để người sử dụng không cảm thấy sự hiển thị các gói tin. Khối lượng dữ liệu đưa vào và tốc độ truyền được kết hợp với sản phẩm phải đủ hợp lý, phù hợp với giảI thông trên Internet. Khả năng phân cấp: Firewall có thể phân cấp không? Sản phẩm sẽ cho phép sửa lại cho hợp với nhiều nấc và nhiều khoảng cách trong phạm vi mạng được bảo vệ. Điều này gồm Oss, các thiết bị và cấu hình bảo mật. Những thứ người sử dụng cần. Dễ sử dụng: sản phẩm Firewall cần có giao diện người – máy đồ hoạ làm đơn giản công việc khởi động, cấu hình và quản lý. Rõ ràng: nếu ta sử dụng một cấu hình lộn xộn, những người sử dụng sẽ phản đối nó và không sử dụng nữa. Ngược lại, một Firewall rõ ràng và thân thiện với người sử dụng sẽ hỗ trợ ta rất nhiều trong việc sử dụng nó một cách thích hợp. Hỗ trợ khách hàng: hỗ trợ về cài đặt, sử dụng và bảo dưỡng. Tổ chức các lớp hướng dẫn giúp người sử dụng thành thạo các kỹ thuật. 2.2.4. Những hạn chế của Firewall Bên cạnh những lợi ích của firewall, vẫn có những bất lợi chẳng hạn như firewall không có khả năng bảo vệ mạng khỏi sự tấn công từ bên trong (back-doors treats), dễ bị tấn công bởi các hacker ở trong mạng, hạn chế một số truy cập. 2.5.1. Hạn chế truy cập: Firewall sẽ dường như cấm truy nhập tới một số dịch vụ nhất định mà người dùng có nhu cầu như Telnet, FTP, NFS, …. Hạn chế này không phảI chỉ do mình Firewall gây ra, mà là do các sự truy cập còn bị ngăn chặn tại các lớp máy chủ do các chính sách bảo mật tại các máy trạm. 2.5.2. Back-Door Challenges: Mối đe doạ của modem Khi sử dụng Modem, ta thường nối trực tiếp với internet và đó cũng chính là một kẽ hở để hacker tấn công vào hệ thống mạng của chúng ta. Với tốc độ của Modem hiện nay, có thể chạy được những giao thức như SLIP (Serial Line IP) và PPP (Point-to-Point Protocol), đó chính là nguyên nhân làm tăng cơ hội cho hacker chui vào mạng. 2.5.3. Những sự tấn công ở bên trong. Nói chung, chúng ta thường không đề phòng nhiều sự tấn công từ bên trong hệ thống. Mặc dầu, firewall có thể ngăn chặn sự tấn công từ bên ngoài vào những dữ liệu quan trọng nhưng lại không cấm sao chép hay lấy cắp các thông tin đó từ phía trong. Chương III: Giới thiệu hệ thống hỗ trợ công tác kinh doanh 3.1. Mục đích: INFOCO là một công ty chuyên cung cấp các sản phẩm máy tính, tư vấn kỹ thuật, thiết kế mạng. Ra đời khi mà nền CNTT nước nhà đang trên đà phát triển, nắm bắt nhu cầu của người tiêu dùng, đặc biệt là tầng lớp trí thức, công chức, học sinh và sinh viên ngày nay, công ty quyết định xây dựng một hệ thống hỗ trợ công việc kinh doanh trên mạng. Hệ thống phải thực hiện được các chức năng sau: Giúp khách hàng đặt hàng trực tuyến. Tư vấn và hỗ trợ kỹ thuật cho khách hàng. Quản lý được hệ thống. 3.2. Giới thiệu hệ thống. Hệ thống hỗ trợ công việc kinh doanh này được thiết kế giống như một Web site, bao gồm hai phần chính: "Shopping" và "Admin". Đến với “Shopping”, người xem có thể tìm thấy nhiều thông tin bổ ích về các sản phẩm máy tính để bàn, xách tay và các linh kiện đi kèm trên khắp thế giới bao gồm các cataloge của chúng, người đọc còn có thể thấy các địa chỉ giúp họ tìm hiểu về sản phẩm và các phần mềm đi kèm. Ngoài ra, khi lang thang trong phần này, người xem có thể lựa chọn và đặt hàng mua những sản phẩm mà mình có nhu cầu. “Admin” là nơi để người quản lý hệ thống chỉnh sửa và cập nhập các thông tin về sản phẩm công ty cung cấp. 3.3. Yêu cầu cần đạt được của hệ thống: E Yêu cầu về nội dung thông tin : Giới thiệu chung về công ty Giới thiệu đến người xem những thông tin, kiến thức về các các sản phẩm của công ty kinh doanh.(có kèm theo hình ảnh minh họa) Giúp khách hàng lựa chọn những sản phẩm mình cần. Tin tức mới cập nhật ( sản phẩm mới ). E Yêu cầu về kỹ thuật : Quản trị hệ thống Cập nhật dữ liệu từ xa Tìm kiếm tra cứu đơn giản E Yêu cầu về mỹ thuật : Các trang dễ nhìn, dễ bắt mắt, ấn tượng Bố cục dễ xem dễ sử dụng Font chữ sử dụng giao diện tiếng Việt theo mã tiếng Việt Unicode. Thông tin chính xác rõ ràng. E Khách hàng : Tất cả mọi người truy nhập vào Website Dữ liệu đầu vào của hệ thống : Thông tin về công ty Thông tin về sản phẩm kèm theo hình ảnh minh hoạ. Thông tin về giá và chất lượng của sản phẩm. Dữ liệu xuất ra của hệ thống : Các tin tức mới Các sản phẩm hiện có của cửa hàng. Giới thiệu đến bạn xem thông tin về cửa hàng Các kiến thức về các sản phẩm, các chương trình khuyến mại đặc biệt của các sản phẩm (nếu có) . Các phiếu đặt hàng của khách hàng E Yêu cầu về phần cứng : Máy chủ có hỗ trợ Java, Access 97 Yêu cầu về phần mềm : Sử dụng Access 97. Java Máy chủ có hỗ trợ Java, Access 97 Chương IV: thiết kế hệ thống 4.1. Giới thiệu cấu trúc của hệ thống. Mô hình kết nối các trang trong hệ thống: 4.1.1. Trang chủ (Home page). Khi người đọc kết nối đến hệ thống, trang này sẽ hiện lên đầu tiên. Tại đây sẽ giới thiệu cho khách hàng những thông tin sau: Thông tin mới co liên quan tới những công nghệ và sản phẩm mới. Những sản phẩm được giảm giá hay trong chương trình khuyến mại. Các thông tin quảng cáo. Dựa vào kết nối mà người đọc chọn, các trang tiếp theo sẽ được hiển thị. Trước đó, sẽ hiển thị trang “Sign – in” hoặc trang này sẽ bị thay thế nếu người đọc chọn “Sign – out”. Trang này được mô tả như hình sau: 4.1.2. Trang About us. Trang này chứa các thông tin: Các thông tin giới thiệu công ty Địa chỉ, điện thoại, fax, địa chỉ email của công ty. Những người và cách liên lạc khi khách hàng cần biết thêm về thông tin. 4.1.3. Trang Shopping (Mua bán). Trang này tương tự trang chủ, được mô tả như hình sau: 4.1.4. Trang Desktop. Trang này giới thiệu với khách hàng các thông tin và hình ảnh của các loại máy tính để bàn. Khi khách hàng chọn sản phẩm và kích vào nút “Buy now”, lập tức sản phẩm này sẽ được lưu ngay vào thẻ mua bán – Shop cart một cách tự động, kèm theo các thông tin liên quan như giá cả. 4.1.5. Các trang Notebook, Component, Others. Các trang này tương tự trang Desktop. 4.1.6. Trang Drive (Đường dẫn). Trang này lưu các địa chỉ giúp khách hàng tra cứu các thông tin. 4.1.7. Trang View cart (hiển thị) Trang này có cấu trúc như sau: Tại đây hiển thị các sản phẩm mà khách hàng đã lựa chọn bằng cách kích nút “Buy now” khi ở các trang Desktop, Notebook, Component và Others. Cột Amount được tính cho mỗi sản phẩm riêng biệt bằng công thức sau: Amount = Quantity * Price * (1 – Discount/100) Ô Total Amount hiển thị khoản tiền tổng của các sản phẩm đã được lựa. Bên cột Quantity mang giá trị mặc định là 1, khách hàng có thể thay đổi cột này thành các giá trị mình cần. Cột Remove giúp khách hàng huỷ các sản phẩm mình không còn muốn mua. Khi người đọc thay đổi giá trị tại Quantity và Remove thì giá trị tại cột Amount và ô Total Amount sẽ thay đổi theo. Chức năng của ba nút ở cuối trang: Update: hiện danh sách sản phẩm mới được đưa vào trang Shop cart. Back to shop: giúp khách hàng trở lại trang Shopping để họ có thể lựa chọn và xem xét lại các sản phẩm. Order: sau khi khách hàng lựa chọn sản phẩm xong, nhấn nút Order, trang Order sẽ hiển thị. 4.1.8. Trang Order (Đặt hàng) Trang này hiển thị danh sách các cart, sản phẩm được chọn và các thông tin kèm theo. Tại đây cũng hiển thị tên khách hàng chủ của các cart, nó vẫn cho phép người khách này có thể trở lại lựa chọn như một người mới hoặc trở lại trang Sign-in/ Sign-up. Trang này tổ chức thành hai phần, bố trí từ trên xuống dưới: Shop cart và nút lệnh, được mô tả như hình sau: Phần Shop cart hiển thị những sản phẩm đã được lựa cùng các thông tin liên quan đến sản phẩm đó. Trước khi nút Submit được kích, khách hàng vẫn có thể thay đổi các thành phần trong order cart. Sau khi đã Sign-in/ Sign-up, nếu khách hàng chọn nút Submit, Order cart của khách hàng đã được chấp nhận và lưu lại. 4.1.9. Trang Sign-in. Trang này chỉ có hai hộp để khách hàng đăng nhập tên và password của mình. 4.1.10. Sign-up page. Cấu trúc của trang được thể hiện như sau: 4.1.11. Trang Admin. Nếu người sử dụng truy cập hệ thống bằng: Username = “admin” Password = “admin” Và kích vào nút Admin Page ở bên phải khung, trang này sẽ được hiển thị cùng các khả năng của nó, hiển thị như hình sau: 4.1.12. Trang Input News và Input Drive. Hai trang này có cấu trúc tương tự nhau được mô tả như sau: Nếu nút Submit được chọn thì các thông tin ở trang này sẽ được tải lên, ngược lại sẽ bị xoá nếu nút Reset được chọn. 4.1.13. Trang Manage News. Được mô tả như sau: Trang này hiển thị các thông tin về các sản phẩm. Khi các hộp kiểm tra nằm ở cột bên trái được đánh dấu, và nút Delete được chọn thì lập tức các sản phẩm và thông tin liên quan nó sẽ bị xoá. 4.2. Thiết kế cơ sở dữ liệu: Table : tblproduct Name Type Size Description prodid number Integer Mã số của sản phẩm Name Text 50 Tên của sản phẩm Desc Memo Mô tả sản phẩm Warranty Text 50 Thời gian bảo hành sản phẩm Price Number Double Giá của sản phẩm Discount Number integer Giảm giá Image Text 50 Hình ảnh của sản phẩm subcatid Number Integer Mã số của hạng mục cụ thể Available Number Byte Số lượng hàng có sẵn Table : tbluser Name Type Size Description userid number Long Integer Mã số của khách hàng Username Text 20 Tên của khách hàng Password Text 20 Password của khách hàng Fullname Text 30 Tên đầy đủ của khách hàng Company Text 50 Tên công ty khách hàng Address Text 50 Địa chỉ khách hàng Tel Text 25 Điện thoại của khách hàng Email Text 30 địa chỉ thư điện tử khách hàng Table : tbldriver Name Type Size Description id Text 50 Mã số Category Text 50 Hạng mục sản phẩm Description Memo Mô tả Link Text 50 Đường dẫn giới thiệu Table : tblsubcat Name Type Size Description catid number Byte Mã số của hạng mục sản phẩm Subcatid Number Integer Mã số của hạng mục cụ thể Subcat Text 50 Tên của hạng mục cụ thể Table : tblcategory Name Type Size Description catid number Byte Mã số của hạng mục sản phẩm Category Text 30 Tên của hạng mục sản phẩm Table : tblorder Name Type Size Description orderid number Longinteger Mã số của đơn hàng Userid Number Longinteger Mã số của khách hàng Orderdate Text 50 Ngày của đơn hàng Complete Number Byte Số mục đơn hàng đã thực hiện Table : tblorderdetail Name Type Size Description orderid number Longinteger Mã số đơn hàng Prodid Number Longinteger Mã số của sản phẩm Quantity Number Longinteger Số lượng sản phẩm của đơn hàng Table : tblnews Name Type Size Description Newid Text 50 Mã số của thông tin sản phẩm mới Catelogy Text 50 Tên của hạng mục Title Memo Đầu đề của thông tin Summarization Memo Thông tin tóm tắt Content Memo Thông tin mô tả Date Text 50 Ngày cập nhật Image Text 50 Hình ảnh của sản phẩm mới 4.3. Biểu đồ dòng dữ liệu. 4.4. Phân tích. Chương trình được thực hiện theo hai module: Shopping và Admin 4.4.1. Module Shopping. 4.4.2. Module Admin. admin Register Process register Log in Process Check Admin Manage user Manage news Input news/ driver Manage message Process update Web-server 4.5. Thiết kế chi tiết. 4.5.1.Customer SubModule. a, Module Display products (doshow.jsp): Module náy có hai biến chính và một số biến phụ: Biến id là categoryid hoặc subcategoryid, mang giá trị số; Biến type mang giá trị sâu, tương quan với id, là loại của tên của id, ví dụ: “cat, “subcat”. Một số biến khác như productid, productname, price, discount, quantity. Chúng được sử dụng trong hàm thêm sản phẩm vào cart. Module này trực tiếp gọi tới module Viewcart. Module này sẽ kết nối với bảng tblproduct hoặc bảng tblsubcategory để chọn tất cả sản phẩm có categoryid hoặc subcategoryid = id. Nó thực hiện hiển thị sản phẩm cùng các hình ảnh, mô tả, giá, chế độ giảm giá và số lượng sản phẩm. b, Module Display cart (viewcart): Có hai biến id và type (tương tự của doshow.jsp) và một biến multivalue sử dụng để xác nhận việc có sản phẩm. Tại đây có 1 hộp kiểm tra và 1 hộp text để xoá đi hay thay đổi số lượng sản phẩm đã chọn. Nó gọi trực tiếp tới Order module. c, Module Display main News (HomeNew.jsp và cũng là trang chủ). Nó hiển thị các tin tức mới của các hạng mục mới, tuỷ chọn tìm kiếm. d, Module Display News detail (HotNews.jsp) Có hai biến chính là id và category of News, lấy dữ liệu từ bảng tblnews. Ngoài ra, để hiển thị các thông tin mới khác trong hạng mục, module này có một số biến khác như newsid, newstitle, summarization, content, date, image. e, Một số file thực hiện Tên file Đầu vào Thực hiện Đầu ra Quan hệ với Login.jsp Username Password Công nhận Dologin.jsp Dologin.jsp Username Password Login.jsp Kiểm tra username và password Sai: sai username hay sai password Đúng: tạo một phiên xác nhận username hợp lệ. Đưa ra: “Wrong. Try again!” đăng nhập vào hệ thống. Chginfo.jsp Username Trong phiên Null Not null: hiển thị thông tin có thể thay đổi, ngoại trừ username và fullname. tới Homepage truyền thông tin đã thay đổi tới file đặt hàng Nếu pasword bị đổi, gọi dochange.jsp Nếu thông tin người sử dụng bị đổi gọi dochange2.jsp dochange.jsp Old password New password So sánh password cũ và cáI có sẵn trong CSDL. đúng: cập nhập thay đổi sai: huỷ bỏ thay đổi vào Homepage trở lại chginfo.jsp Dochange2.jsp Chấp nhận thông tin về người sử dụng mới, loại bỏ username và fullname khỏi Chginfo.jsp Cập nhật sự thay đổi Tới Homepage Signout.jsp Username trong phiên Thiết lập username = null Nếu username có sẵn khác Null trong phiên tại file: dologin.jsp, chginfo.jsp, dochange.jsp, dochange2.jsp, signout.jsp thì sẽ trở lại Homepage một cách tự động để không cho người đọc đăng nhập vào từ URL vì lý do bảo mật. 4.5.2.Các module hỗ trợ. Tên file Biến Trả lại Mô tả Được gọi bởi HomeNews.jsp Hiển thị những tin tức mới nhất của các hạng mục sản phẩm. HomePage HotNews.jsp NewsID NewsCategory Hiển thị những thông tin chính xác của một hạng mục, gồm các kết nối tới các thứ khác. HomeNews ShopHome.jsp Hiển thị ba sản phẩm bán chạy nhất và ba sản phẩm được giảm giá nhiều nhất, gồm các kết nối tới những sản phẩm đó một cách chinh xác. NewsIn.htm Hiển thị form chấp nhận thông tin mới Input.jsp Cập nhật thông tin mới vào CSDL NewsIn DriverInput.htm Nhập vào các driver mới InputDriverPage Driver.jsp Hiển thị trang Driver DriverPage DriverInput.jsp Cập nhật driver vào CSDL NewsM.jsp Hiển thị các tin tức mới, có thể bằng các hạng mục, để sửa đổi và xoá bỏ Web master modifyNews.jsp NewsID Hiển thị trang Modify News để sửa chữa. NewsM.jsp modify.jsp NewsInformation Cập nhật những thay đổi của tin tức vào CSDL modifyNews.jsp delNew.jsp NewsID Loại bỏ những tin tức đã được chọn ra khỏi CSDL newsM.jsp 4.5.3. Shopping SubModule. Hàm/ Thủ tục Biến Trả lại Mô tả Gọi đến trang success.html Nối tới trang Shopping Cho biết đặt hàng đã thành công doshow.jsp ID, typeID Trang đặt hàng Hiển thị trang đặt hàng. Thêm sản phẩm vào danh sách cart Gọi tới trang Viewcart. Hầu hết trang Shopping order.jsp Kiểm tra khách hàng đã đăng ký hay chưa. Nếu đăng ký rồi thì hiển thị thông tin và danh sách cart. Khách hàng có thể tới các trang khác. Nếu chưa, cho biết đăng ký bị loại. doorder.jsp Cập nhật đặt hàng vào bảng tblorder/ tblorderdetail. Nếu thành công, gọi tới success.html, ngược lại, trở về trang Order cùng thông báo lỗi. order.jsp viewcart.jsp Nối tới trang Order Hiển thị danh sách cart Cho phép sửa danh sách cart 4.5.4. Thành phần khác. Hàm/ thủ tục Biến Trả lại Mô tả Gọi bởi/ vì Popular Isnum() IsDigit() IsEmail() IsDay() String String String String True / False True / False True / False True / False Kiểm tra nhập dữ liệu trước khi xử lý. Scope = “ page “. Search page Login page Signin page Updateuser page Product Manage AddUser() Update() Search() GetProductCategory() GetProductSubCategory() GetProductList() Oder() PlaceOrder() GetUserInfo() GetUserId() SetUserInfo() UserExist() getNews() getBestBuy() getMaxDiscount() getNewsID() getDriverID() getNewsCategory() Finalize() String id, String choice; int ordered, String prodid, String quantity; String username, Vector ProductEntry; String sername; String sername; StringUserInfo, String type; String username; String query; String query; String query; Vector Vector Vector String[ ] String True/false ResultSet ResultSet ResultSet int count int count ResultSet Nối tới CSDL để thực hiện hàm hỗ trợ tất cả submodule trong module Shopping. Cập nhật thông tin người sử dụng Lựa sản phẩm bằng Category Lựa sản phẩm bằng Sub Category Thiết lập thông tin sản phẩm để hiển thị Vector gồm các sản phẩm trong subcategory/category chèn vào tblOrder đăng ký thông tin người sử dụng Kiểm tra người sử dụng đúng hay không Xác nhận người sử dụng có tồn tại hay không. Tạo tin tức Tạo sản phẩm bán tốt nhất Tạo 3 sản phẩm giảm giá nhiều nhất Tạo ID mới Tạo driverID Tạo hạng mục mới đóng kết nối Hiển thị sản phẩm Kết quả tìm kiếm View cart page Order page Sign-up Sign-in Sign-in HomeNews.jsp ShopHome.jsp HotNews.jsp HomeNews.jsp Driver.jsp HotNews.jsp Shopping Cart AddItem() RemoveItem() UpdateQuantity() GetEnumeration() GetCost() GetNumOfItem() getProdid() GetTotalvalue() GetQuantity() GetElement() GetAll() ShoppingCart() RemoveAll() Int id, name, price, quantity Id, Quantity Enumeration Int amount Int quantity Hashtable=0 Quản lý các bảng mới sửa chứa tin tức sản phảm để bán. Scope = “ session “. Quản lý hành động thêm vào/ xoá bỏ khỏi cart Số lượng sản phẩm Thành phần bảng Làm giá Cộng tiền Cho giá trị ban đầu vào cart Xoá thành phần của bảng Display Cart or Order Connecti-on Pool ConnectionPool() InitializePool() SetParameter() GetConnection() ReturnConnection() getNewConnection() Destroy() Properties props, int initalConnections; Properties props, int initalConnections; connection con; Connection returned; Kết nối Quản lý kết nối: -Init connection pool -Init hashtable for connection -tạo kết nối tự động lúc đầu -giải phóng kết nối khỏi hashtable -giá trị ban đầu của kết nối mới -đóng hashtable và kết nối -giải phóng connection pool