Giải pháp IP-VPN của Nortel

Giải pháp IP-VPN của Nortel VPN là giải pháp truy nhập từ xa (remote access) dựa trên nền tảng mạng Internet công cộng. Đây là một giải pháp kinh tế, có tính bảo mật cao, một giải pháp của tương lai. I. VPN là gì? Các kênh truyền riêng ảo sẽ được thiết lập giữa các đầu cuối thông qua mạng Internet công cộng, giúp cho các nhân viên có thể truy cập về mạng LAN trong công ty mình bất cứ lúc nào, bất cứ nơi đâu, chỉ cần có kết nối được tới Internet. II. Ưu điểm của VPN so với các giải pháp truy cập từ xa truyền thống Trước đây, để truy nhập từ xa ta thường dùng giải pháp quay số (dial-in), thuê các đường truyền riêng, thuê kênh riêng trong dịch vụ truyền dữ liệu gói. Tuy nhiên các giải pháp này có những hạn chế nhất định. Giải pháp thuê kênh riêng hoặc đường truyền riêng: –         Chi phí cho việc thuê đường truyền riêng hoặc kênh truyền riêng là rất đắt. –         Không thể đáp ứng việc kết nối từ mọi nơi, mọi lúc. –         Khi số điểm kết nối tăng (n) thì số kết nối cần thuê tăng lên rất nhiều n*(n-1)/2 . Giải pháp quay số từ xa: –         Giá thành khi thực hiện các cuộc quay số ngoại hạt cao. –         Hạn chế bởi tốc độ đường truyền điện thoại thông thường 56K. –         Số lượng kết nối đồng thời hạn chế. Trong khi đó, giải pháp VPN đem lại cho chúng ta rất nhiều lợi ích: o       Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet. o       Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các Client truy cập từ xa). o       Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng. o       Số lượng kết nối đồng thời lớn. o       Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá. Quản lý các kết nối dễ dàng thông qua các Account người dùng. III. Hệ thống IP-VPN với giải pháp của Nortel Contivity Secure IP Gateway là dòng sản phẩm chuyên dụng cho giải pháp VPN của Nortel Network, đứng đầu trên thế giới trong việc cung cấp các thiết bị chuyên dụng cho IP-VPN, tiếp theo sau là Cisco, Lucent, Check Point, Nokia . Cho phép xây dựng hệ thống IP-VPN với chi phí hợp lý cho mọi mô hình doanh nghiệp từ nhỏ, trung bình đến lớn và rất lớn. Từ mô hình các doanh nghiệp lẫn mô hình cho các nhà cung cấp dịch vụ (ISP), các mô hình site-to-site VPN, Extranet VPN. Contivity Secure IP Gateway là một sản phẩm duy nhất tích hợp đầy đủ các chức năng: VPN + IP Routing + Security. Giúp cho hệ thống mạng của bạn có cấu trúc đơn giản hơn, dễ quản trị hơn mà vẫn đảm bảo an ninh. –         VPN Client được hỗ trợ trên tất cả các hệ điều hành Microsoft windows từ version 95 trở lên. Có khả năng hỗ trợ các hệ điều hành khác như Linux, Unix … (Với điều kiện mua thêm Lisence). –         Số lượng kênh VPN kết nối đồng thời: Từ 5 đến 5000 kết nối. Với tốc độ mã hoá 3DES VPN đạt tối đa 140Mpps. –         Chức năng định tuyến của Router: Với khả năng định tuyến động, với các giao thức OSPF, RIP. –         Firewall: State full Firewall có khả năng lọc gói hiệu quả với hệ thống tập lệnh phong phú. Đảm bảo băng thông của mạng không bị tắc nghẽn với tốc độ xử lý của Firewall lên tới 400Mpps. –         Các giao thức thiết lập kênh ảo: IPSec, P2PPP, L2TP, L2F. –         Khả năng nhận thực: Internal/External LDAP, RADIUS, Hard or soft Tokens, X.509 Certificates. –         Đảm bảo QoS với các giao thức: Diffserv, RSVP, RED (Random early Detect). IV. Một số bài toán thực tế 1. Các doanh nghiệp qui mô vừa và nhỏ:  a. Bài toán: Công ty A, có hệ thống mạng, máy chủ Hà Nội, với 100 máy trạm, mail server, file server lưu dữ liệu. Chi nhánh ở Hồ Chí Minh với khoảng 20 máy. Yêu cầu đặt ra là giải pháp để các thành viên ở Hồ Chí Minh có thể truy cập được Dữ liệu trên Server tại Hà Nội, một số nhân viên thường xuyên đi công tác có thể kết nối từ xa về hệ thống dữ liệu của công ty. Hệ thống mạng tại Hà Nội kết nối Internet với yêu cầu bảo mật cao (có firewall), cấu trúc mạng đơn giản, dễ quản trị, giá thành thấp.  b. Giải pháp: Sử dụng giải pháp VPN với sản phẩm của Nortel. Nhận xét, do hệ thống yêu cầu: VPN + Firewall + Routing, như vậy nếu dùng theo mô hình truyền thống, ta sẽ phải sử dụng 2-3 thiết bị, nhưng với Nortel bạn chỉ phải dùng duy nhất 1 sản phẩm, cấu trúc mạng rất đơn giản, dễ quản lý, giá thành thấp: –         Tại Hà nội dùng Contivity 600, có phần mềm Statefull firewal, hỗ trợ các giao thức định tuyến động, hỗ trợ IP-VPN với 30 kết nối đồng thời. Các nhân viên tại HCM và các nhân viên thường xuyên đi công tác sẽ được cài phần mềm VPN client, mỗi khi kết nối vào Internet chỉ cần kích hoạt phần mềm VPN thì họ có thể truy cập về hệ thống máy chủ tại Hà Nội. Mô hình VPN cho các doanh nghiệp vừa và nhỏ –         Với giải pháp này chỉ cần chi phí ban đầu cho trung tâm tại Hà Nội (thuê đường truyền internet + Contivity 600). Chi nhánh tại HCM thì chỉ cần thuê đường truyền ADSL thông thường để kết nối Internet. Các nhân viên lưu động có truy cập từ xa về mạng mình ở bất cứ điểm truy cập Internet nào (trong nước, quốc tế). –         Khả năng đáp ứng của hệ thống: Với Contivity 600, với tốc độ 15Mbps 3DES, 160 Mbps firewall đảm bảo cho 100 máy trạm kết nối Internet, đảm bảo Security. Với 30 Tunnel truy cập đồng thời đảm bảo cho các user tại HCM và các user lưu động truy cập về trung tâm. Đảm bảo Security với: Ipsec, 3Des, Client policy,  RADIUS, LDAP. Statefull firewall với tập lệnh phong phú, khả năng lọc gói hiệu quả. Tại phía người truy cập sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của VPN client soffware. Cấu hình chi tiết: Contivity 600 128Bit Encryption DM1401066 Contivity 600, 30 tunnels, dual 10/100 autosense ethernet controllers, Server S/W w/128Bit Encryption, external auto-sensing power supply, Unlimited license for IPsec Client S/W, . CPC:A0831586 Contivity Adv Routing Lic – 600 DM0016010 Contivity Advanced Routing License including OSPF, VRRP, IETF Differentiated Services, and Bandwidth Management for the Contivity 600. Requires V3.50 software. CPC: A0852828 Contivity Stateful Firewall Lic. – C600/10×0/1100 DM0016009 Contivity Stateful Firewall License for the 600/1010/1050/1100 platforms. (Minimum required software for 600: V3.60; Minimum Required Software for 10×0/1100: V4.07. CPC: A0852827 Single x.21 v.35 half height card- field installed DM2111026 Single x.21 v.35 half height card-Field Installed CPC:  N0030266 V.35 CABLE – DTE DS28/V.35 DM0011045 V.35 CABLE – DTE DS28/V.35, for use with Single V.35 card (DM2111007). CPC: A0718084  c. Hạch toán chi phí: Chi phí rất tiết kiệm, ngoài các chi phí để thuê đường truyền Internet tại Hà Nội và HCM, nếu hệ thống mạng LAN đã có sẵn, ta chỉ việc mua thêm bộ sản phẩm Contivity 600 với cấu hình: Với giá thành khoảng 4,800USD. 2. Cho các doanh nghiệp qui mô trung bình:  a. Bài toán: Công ty B, có hệ thống mạng, máy chủ Hà Nội, với 300 máy trạm, mail server, file server lưu dữ liệu. Chi nhánh ở Hồ Chí Minh với khoảng 200 máy, Server lưu dữ liệu. Hải phòng với 30 máy. Yêu cầu đặt ra là tất cả nhân viên tại HN, HCM, Hải phòng đều có thể truy cập được Dữ liệu trên Server tại HN, HCM. Các nhân viên thường xuyên đi công tác xa, công tác nước ngoài vẫn có thể kết nối về hệ thống dữ liệu của công ty. Các hệ thống mạng tại 2 trung tâm chính kết nối Internet với yêu cầu có firewall, cấu trúc mạng đơn giản, dễ quản trị, giá thành thấp.  b. Giải quyết: –         Tại HN và HCM ta sử dụng 2 contivity 1740. –         Tại Hải phòng dùng 1 Contivity 600. –         Các user tại mỗi địa điểm sẽ truy cập DL trong mạng HCM, HN theo kiểu site to site, không cần dùng đến chương trình VPN client. –         Các nhân viên đi công tác xa sẽ kết nối về 2 trung tâm bằng VPN client. Mô hình VPN cho các doanh nghiệp qui mô trung bình –         Đảm bảo yêu cầu của hệ thống: o       Tại HN và HCM sử dụng Contivity 1740 với khả năng cung cấp 500 Tunnel đồng thời, đảm bảo cung cấp khả năng truy cập  từ xa cho toàn bộ nhân viên tại các vùng. o       Cấu hình của 1740: 100Mbps 3DES, 200Mbps Firewall đảm bảo đáp ứng được tốc độ cho hệ thống mạng LAN truy cập Internet và mạng từ ngoài truy cập vào. Đảm bảo Security cho toàn mạng với phần mềm Statefull firewall với tập lệnh phong phú cho việc thiết lập Policy và lọc gói. Các kết nối VPN được bảo mật với các giao thức Ipsec, 3Des, Client policy,  RADIUS, LDAP. o       Với Contivity 600, cung cấp đồng thời 30 Tunnel đảm bảo cung cấp cùng lúc cho 30 máy trạm tại Hải Phòng truy cập đến các Server tại HCM và HN. Cấu hình chi tiết: Contivity 1740 C1740 2 LAN 3 PCI 128BIT DM1401135 Contivity 1740, 500 tunnels, Dual 10/100 Ethernet LAN Ports, 3 PCI Exp Slot, Server S/W with (128-Bit) Encryption, Contivity VPN Client for Windows, (Incl Documentation). See Note 1. CPC: A0519954 10/100 Ethernet Card (FACTORY)(price included) DM1004002 10/100 Ethernet Card (FACTORY INSTALL), for use in the Contivity 1600/1700/2500/2600/2700/4500/4600 only. CPC:A0717454 Contivity Advanced Routing License – S/W v3.5 Min DM0016005 Contivity Advanced Routing License including OSPF, VRRP, IETF Differentiated Services, and Bandwidth Management for the Contivity 15X0/1600 Series  (Minimum Required Software: V3.50).  CPC:A0843946  Contivity Stateful Firewall License – S/W v3.5 Min DM0016002 Contivity Stateful Firewall license for the 15X0/1600/1700 platform  (Minimum Required Software: V3.50).  CPC:A0843943  Single x.21 v.35 half height card- field installed DM2111026 Single x.21 v.35 half height card-Field Installed CPC:  N0030266 V.35 CABLE – DTE DS28/V.35, use with DM2111007 DM0011087 V.35 CABLE – DTE DS28/V.35, length: 6 in. for use with Single V.35 card (DM2111006 and DM2111007). For use with Contivity 1600 and 17×0 only. CPC:A0995160 Contivity 600: Contivity 600 128Bit Encryption DM1401066 Contivity 600, 30 tunnels, dual 10/100 autosense ethernet controllers, Server S/W w/128Bit Encryption, external auto-sensing power supply, Unlimited license for IPsec Client S/W. CPC:A0831586 ADSL Annex A – Field Install C600/17×0/2700/5000 DM2111016 Asymmetrical Digital Subscriber Line Annex A (ADSL)(FIELD INSTALL), for use in Contivity 600/17×0/2700/5000 Only. Includes RJ11 Cable. CPC: A0538049 Contivity Adv Routing Lic – 600 DM0016010 Contivity Advanced Routing License including OSPF, VRRP, IETF Differentiated Services, and Bandwidth Management for the Contivity 600. Requires V3.50 software. CPC: A0852828  c. Hạch toán chi phí: –         Chi phí kết nối Lease-Line tại HN và HCM. –         Kết nối ADSL thông thường tại HP. Giá thành thiết bị mạng: mỗi thiết bị contivity 1740 giá khoảng 10,000USD, contivity 600 giá khoảng 3,400USD. V. Cụ thể cấu hình và thông số kỹ thuật của từng sản phẩm Ở trên ta chỉ nêu ra 2 trường hợp mạng điển hình, với 2 qui mô doanh nghiệp vừa và nhỏ, tuy nhiên dòng sản phẩm Contivity của Nortel rất phong phú, có thể đáp ứng mọi mô hình mạng từ nhỏ đến lớn, các bạn có thể tham khảo trong các bảng sau: Contivity 600, 1100, 1010/1050 Contivity 1700, 1740, 2700, 5000

Giới thiệu về DNS và chuyển vùng DNS

Giới thiệu chung

DNS (Domain Name System) là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất. Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối.

Các tên DNS tạo ra theo định dạng sau ., ví dụ infosec.vasc.com.vn. Trong khi danh sách các kiểu tên DNS được thiết kết lại bởi ICANN (Công ty quản lý dịch vụ tên miền), một số các kiểu thông thường bao gồm: .edu (dạng các website giáo dục) , .mil (các website cho quân đội), .org (thuộc dạng các tổ chức phi thương mại) .com (các tổ chức kinh tế),… Và cũng có các kiểu tên miền chỉ định theo tên nước, ví dụ .ie (Ireland), .jp (Japan), .de (Germany)

Khi một máy tính (một DNS client) muốn tìm kiểm một URL, nó đưa yêu cầu (GetHostByName) tới DNS server của nó. DNS client sử dụng một DNS resolver để định vị DNS server. Nếu DNS server không xác định được tên miền cần tìm, hay DNS server không có chút thông tin gì về URL đó trong vùng nhớ đệm của nó, nó sẽ không thể trả lời yêu cầu của client ngay lập tức. Thay vào đó, DNS server sẽ hoặc sử dụng một DNS forwarder hoặc tạo lại một yêu cầu theo quy tắc đệ quy.

Việc giả mạo DNS liên quan tới việc bắt buộc một DNS client tạo yêu cầu tới một server mạo danh, và khi đó client sẽ nhận được trả lời sai từ server giả mạo đó. Có 3 cách thực hiện kiểu tấn công giả mạo DNS này, bao gồm:

1. Giả mạo các phản hồi DNS

Kẻ tấn công có thể sử dụng cơ chế đệ quy, giả mạo yêu cầu mà DNS server gửi ra ngoài trong quá trình tìm kiểm một địa chỉ, và phản hồi các thông tin sai trước khi các thông tin thật đến. Mỗi gói tin DNS có một số ID dạng 16 bit mà DNS server dùng để kiểm tra yêu cầu ban đầu gửi đi là gì. Khi sử dụng BIND, một phần mềm thông dụng dạng DNS server, số này tăng lên 1 sau mỗi yêu cầu gửi đến, và việc tạo yêu cầu rất dễ dàng giả mạo. BIND đã được sửa lỗi theo phiên bản gần đây, mà các gói tin DNS được khởi tạo theo các con số ngẫu nhiên (phiên bản BIND v9).

Để kiểm tra liệu một DNS server có thể có lỗ hổng hay không đối với sự tấn công giả mạo địa chỉ DNS, bạn có thể gửi các yêu cầu tới server, thẩm định liệu có thể đoán số ID kế tiếp trong một gói tin yêu cầu giử tới DNS. Nếu các yêu cầu ID có thể đoán trước được, điều này có nghĩa là vùng nhớ đệm trong DNS có thể ánh xạ không đúng tới địa chỉ IP thật, và đó chính là lỗ hổng bảo mật trong DNS.

2. Giả mạo địa chỉ trong vùng nhớ đệm của DNS

Sau các yêu cầu đệ quy, các ánh xạ địa chỉ nhận được sẽ tồn tại trong DNS cache. DNS server sẽ dựa vào cùng nhớ đệm này để xác định thông tin cho các yêu cầu đến và phản hồi từ client gửi tới, giúp cho việc truy cập thông tin nhanh hơn. Độ dài thời gian mà các kết quả yêu cầu đệ quy được giữ luôn trong DNS cache (kí hiệu là TTL — time to live) có thể được thiết lập.

Việc các địa chỉ bị giả mạo nằm trong DNS cache kéo theo việc gửi thông tin ánh xạ không đúng với thời gian tồn tại (TTL) dài. Vậy nên, tại thời điểm kế tiếp khi có một yêu cầu gửi tới, nó sẽ nhận được thông tin sai. Việc sai thông tin này cũng có thể bị ảnh hưởng do việc nhận dữ liệu từ một DNS server từ xa nào đó bị giả mạo . Có thể giới hạn sự giả mạo thông tin này bằng cách giảm thời gian thông tin tồn tại trong cache (TTL), nhưng điều này cũng làm giảm hiệu năng của server.

Một ứng dụng thông dụng của DNS dạng phần mềm mã nguồn mở là BIND (Berkeley Internet Name Daemon), mà cung cấp hầu hết các chức năng quan trọng về DNS server. Tuy nhiên, cũng có rất nhiều lỗ hổng bảo mật trong BIND, và vì vậy, việc đảm bảo đang sử dụng phần mềm BIND với phiên bản mới nhất là rất quan trọng. Hiện tại, các chuẩn mới về DNS đã khắc phục được lỗi này trong vùng nhớ đệm của DNS.

3. Phá vỡ mức bảo mật môi trường

Việc tấn công bằng cách giả mạo địa DNS phá vỡ mức bảo mật của môi trường làm việc mạng trong DNS server. Ví dụ: tấn công dựa theo các lỗ hổng dạng tràn vùng đệm đối với các phiên bản BIND cũ, mà cho phép kẻ tấn công đoạt được quyền root truy cập. Khi kẻ tấn công đoạt được quyền truy cập trong môi trường DNS, anh ta có thể điều khiển được môi trường mạng.

Để giúp đỡ trong việc quản lý và gỡ rối, rất hữu ích khi biết rằng việc truyền thông DNS sử dụng cả giao thức TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), và thông thường người ta sử dụng một firewall được cấu hình đứng lọc gói tin trước khi đi qua DNS.

Một cách để ngăn các nguy hiểm không được chứng thực là sử dụng một hệ thống DNS được chia theo vùng quản lý. Điều này liên quan tới cài đặt một DNS server bên trong. Khi đó, mỗi DNS bên ngoài được thiết lập chỉ chứa các thông tin liên quan bởi các host bên ngoài,như SMTP gateway, hay một NS bên ngoài. Hầu hết các mail server hiện tại có thể điều khiển SMTP mail rất tốt (như MS Outlook và Lotus Lote của IBM đều có các SMTP gateway), nó cũng an toàn hơn vì có cơ chế riêng rẽ cho việc nhận SMTP mail. Sau đó, nếu mail bên ngoài chuyển đổi thành công, kẻ tấn công sẽ không thể tự động truy cập tới hệ thống mail bên trong.

Tương lai phát triển của DNS

DNS có thể có lỗ hổng do bị giả mạo gói tin bởi vì thiếu vắng quyền chứng thực khi truy cập. Điều này có thể được khắc phục với DNSSEC. Đây là một cơ chế bảo mật mới bằng cách cho phép các Website kiểm tra các tên miền của họ và chịu trách nhiệm đối với các địa chỉ IP theo các chữ ký điện tử và thuật toán mã hoá công khai. Điều này cũng có nghĩa rằng, khi DNS client nhận một phản hồi từ yêu cầu của nó, nó có thể kiểm tra yêu cầu đó từ một tài nguyên được chứng thực. DNSSEC đã bắt đầu được nhúng trong BIND 9, và trong một số hệ điều hành.

DNSSEC sẽ đòi hỏi nhiều hơn về hiệu năng của phần cứng, băng thông lớn hơn và đòi hỏi phải thay đổi đối với tất cả các DNS server hiện tại. Vì vậy, việc áp dụng công nghệ mới này vẫn còn đang được triển khai và hứa hẹn trong tương lai.

Hôm nay,thông qua bài viết này Bình triệu đề cập tới vấn đề chuyển vùng.Chắc hẳn bạn sẽ quan tâm.Mong bài viết sẽ cho bạn hiểu rõ hơn về nó,cũng như có nhưng kiến thức nhất định về vấn đề này.

Chuyển vùng (Phần này được sưu tập của tác giả Binh Trieu – vietnam security)
Một trong những cấu hình sai nghiêm trọng mà người quản trị hệ thống có thể mắc phải là cho phép người dùng Internet không đáng tin cậy được tiến hành chuyển vùng DNS.

Chuyển vùng (Zone Transfer)cho phép máy phục vụ phụ cập nhật cơ sỡ dữ liệu từ máy chính.Như vậy là làm dư thừa khi chạy DNS,nhỡ như máy phục vụ tên chính không khả dụng.Nói chung,máy phục vụ DNS phụ chỉ cần chuyển vùng DNS.Thế nhưng,nhiều máy phục vụ DNS bị lập cấu hình sai và cung cấp bản sao vùng cho người nào yêu cầu.không nhất thiết là xấu nếu thông tin cung cấp liên quan đến hệ thống nối mạng Internet và có tên máy chủ hợp lệ,dẫu tạo điều kiện dễ dàng cho kẻ tấn công tìm thấy đích.Vấn đề thực sự nảy sinh khi tổ chức không áp cụng cơ chế DNS cổng riêng để cách ly thông tin DNS ngoài (công khai) với thông tin DNS trong.Cung cấp thông tin địa chỉ IP trong cho người dùng không đáng tin cậy qua mạng Internet cũng giống như cung cấp bản đồ trong của tổ chức.
Chúng ta hãu xem xét một vài phương pháp chuyển vùng,và các loại thông tin.Tuy có nhiều công cụ chuyển vùng,nhưng tôi giới hạn thào luận ở vài loại phổ biến mà thôi.

Cách đơn giản để chuyển vùng là dùng máy khách “nslookup”thường do thi hành UNIX và NT mang lại.Chúng ta áp dụng “nslookup” trong chế độ tương tác với nhau:

[bash] $ nslookup
Default Server: ns1.example.net
Address:10.10.20.2
>216.182.1.1
Default Server : [10.10.20.2]
Address: 10.10.20.2
Name: gate.tellurian.net
Address:10.10.20.2
>set type=any
>ls –d tellurian.net. >>/tmp/zone_out

Đầu tiên chúng ta chạy “nslookup” trong chế độ tương tác.Một khi khởi động xong,nó sẽ cho biết máy phục vụ tên mặc định,thường là máy phục vụ DNS của tổ chức hoặc máy phục vụ DNS của người cung cấp dịch vụ Internet.Tuy nhiên,máy phục vụ DNS (10.10.20.2)không có thẩm quyềncho vùng đích,nên sẽ không có hết thảy mẫu tin DNS.Bởi vậy,chúng ta cần tự tay cho “nslookup” biết là sẽ truy vấn máy phục vụ DNS nào.Trong ví dụ này,chúng ta dùng máy phục vụ DNS chính cho Tellurian network (10.10.20.2).

Tiếp theo chúng ta định loại mẫu tin là “any”.Tác vụ này cho phép bạn kéo mẫu tin DNS bất kì (man nslookup) cho danh sách hoàn chỉnh.
Sau cùng,liệt kê toàn bộ mẫu tin liên quan đến vùng bằng tuỳ chọn “ls”.”-d” liệt kê tất cả mẩu tin vùng.Chúng ta thêm “.”ở cuối câu để cho biết tên vùng hội đủ điều kiện-song đa phần là để vậy.Hãy đổi hướng kết quả và tập tin “/tmp/zone_out” để có thể thao tác sau này.
Chuyển vùng xong,chúng ta xem trong tập tin coi có thông tin lý thú nào cho phép nhắm đến hệ thống cụ thể không.Hãy xem kết quả sau:
[bash] more zone_out

acct18 1D IN A 192.168.230.3
1D IN HINFO
1D IN MX 0 tellurianadmin-smtp
1D IN RP- bsmith.rci bsmith.who
1D IN TXT “Location:Telephone Room”
ce 1D IN CNAME aesop
au 1D IN A 192.168.230.4
1D IN HINFO “aspect” “MS-DOS”
1D IN MX 0 andromeda
1D IN RP jcoy.erebus jcoy.who
1D IN TXT “Location: Library”
acct21 1D IN A 192.168.230.5
1D IN HINFO “Gateway2000” “WinWKGRPS”
1D IN MX 0 tellurianadmin-smtp
1D IN RP bsmith.rci bsmith.who
1D IN TXT “Location: Acounting”

Chúng ta sẽ không đi chi tiết từng mẫu tin,chỉ lưu ý vài loại quan trọng.Đối với mỗi mục nhập,chúng ta có mẫu tin A cho biết địa chỉ IP của tên hệ thống nằm bên phải.Ngoài ra,mỗi máy chủ đều có mẩu tin HINFO nhận diện nền hoặc hoặc loại hệ điều hành đang chạy (RFC-952).Mẩu tin HINFO tuy không cần thiết song cung cấp nhiều thông tin cho kẻ tấn công.Vì chúng ta đã lưu kết quả chuyển vùng vào tập tin đầu ra nên dễ dàng thao tác kết quả bằng chương trình UNIX như : grep,sed,awk,hoặc Perl.

Giả thiết chúng ta là những chuyên gia trong SunOS hoặc Solaris,có thể tìm ra địa chỉ IP có mẩu tin HINFO liên quan đến SPARC,Sun,hoặc Solaris.

[bash] $ grep -i solaris zone_out |wc -1

388

Chúng ta có 388 mẩu tin tham chiếu “Solaris”.Khỏi phải nói,chúng ta có quá nhiều mục tiêu.

Giả sử chúng ta muốn tìm hệ thống thử nghiệm,vô tình là chọn lựa cho kẻ tấn công.Tại sao? Thật đơn giản-chúng thường không kích hoạt nhiều đặc tính bảo mật,mật mã để đoán,nhà quản trị không hay để ý hoặc bận tâm ai đăng nhập chúng.Một chốn lý tưởng cho những kẻ xâm nhập.Do đó,chúng ta tìm hệ thống thử nghiệm như sau:

[bash] $ grep -i test /tmp/zone_out |wc -1

96

Nên có khỏang 96 mục nhập trong tập tin vùng có chứa từ “test”.Phải bằng với số hệ thống thử nghiệm thật.Trên đây chỉ là một vài ví dụ đơn giản.Hầu hết kẻ xâm nhập sẽ mổ xẻ dữ liệu này để tập trung vào loại hệ thống cụ thể có chổ yếu đã biết.

Có vài điểm cần ghi nhớ.Phương pháp neu trên chỉ truy cập lần lượt máy phục vụ tên.Tức là bạn phải thực hiện cùng một tác vụ cho tất cả máy phục vụ tên có thẩm quyền đối với vùng đích.Chúng ta chỉ truy vấn vùng Tellurian.net mà thôi.Nếu có vùng con,sẽ phải thực hiện cùng loại truy vấn cho từng vùng con(chẳng hạn như greenhouse.tellurian.net).Sau cùng bạn nhận thông báo không thể liệt kê vùng hoặc từ chối truy vấn.Thường điều này cho thấy máy phục vụ đã được lập cấu hình để vô hiệu hóa chuyển vùng của người dùng bất hợp pháp.Vì vậy,bạn khó lòng chuyển vùng từ máy phục vụ này.Nhưng nếu có nhiều máy phục vụ DNS,bạn sẽ có cơ may tìm được máy cho phép chuyển vùng.

Có rất nhiều công cụ đẩy nhanh tiến trình này,bao gồm: host,Sam Spade,axfr và dig(không đề cập ở đây).

Lệnh “host” mang nhiều hương vị của UNIX.Cách dùng lệnh “host”như sau:

host -1 tellurian.net
hoặc
host -1 -v -t any tellurian.net

Nếu cần mỗi địa chỉ IP để đưa vào kịch bản shell,bạn cut(cắt) địa chỉ IP khỏi lệnh “host”

host -1 tellurian.net |cut -f 4 -d” ” >>/tmp/ip_out

Không phải chức năng in dấn chân nào cũng buộc phải thực hiện qua lệnh UNIX.Một số sản phẩm Windows cũng cung cấp thông tin như vậy.

Sau cùng bạn chuyển vùng bằng một trong những công cụ siêu việt,axfr của Gaius.Trình tiện ích này sẽ chuyển thông tin vùng,cơ sở dữ liệu vùng và tập tin máy chủ cho từng vùng được truy vấn dưới dạng nén.Thâm chí bạn có thể chuyểnvu2ng cấp cao như com và edu để lấy tất cả vùng liên quan đến “com” và “edu”.Tuy nhiên,không nên làm vậy.Muốn chạy axfr,bạn gõ như sau”

[bash] $ axfr tellurian.net
axfr: Using default directory: /root/axfrdb
Found 2 name servers for domain “Tellurian.net”;
Text deleted.
Received xxx answer (xxx records).

Để truy vấn thông tin vừa lấy trong cơ sở dữ liệu “axfr”,bạn gõ như sau:

[bash] $ axfr tellurian.net

Hướng dẫn từng bước Cách thiết lập W2K VPN server

Hướng dẫn từng bước Cách thiết lập W2K VPN server

Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet.  Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN.  Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.

Các hệ điều hành Windows 2000 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẳn trong RRAS (Remote Routing Access Service).  Sau khi thiết lập một server thành VPN server thì các clients có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ hay còn gọi là LAN như là đang kết nối trực tiếp với network đó.

VPN Clients

Thế nào là VPN client?  VPN clients có thể là bất kì một computer nào sử dụng hệ điều hành từ Win9x, Windows NT Workstation hay là Windows 2000 Professional.  Ngay cả server cũng có thể là VPN clients.  Cách làm việc giữa client computer và server như thế nào?  Cách đơn giản và thong dụng nhất là client computer khởi tạo một kết nối với ISP bằng giao thức PPP (Point to Point Protocol).  Sau khi kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink, client có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN.

Lưu ý: Khi client kết nối được với VPN server, thực tế nó vẫn đang kết nối với internet.  Tuy nhiên, sau khi thiết lập được kết nối VPN với VPN server, thì client hay máy trạm sẽ tự động tìm kiếm một địa chỉ IP mà địa chỉ IP này phải trùng hay nói đúng hơn là phải cùng subnet với mạng ảo mà nó kết nối tới, sự kết nối này sẽ tạo ra một interface ảo hay là một cạd mạng ảo.  Card mạng ảo này sẽ thiết lập một gateway mặc định.


Cách cài đặt VPN Server

Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần phải cài đặt VPN server. Trong bài này chúng ta sẽ cùng nhau tìm hiểu cách cài đặt một VPN Server như thế nào cũng như sẽ điểm qua một vài vấn đề quan trọng trong hệ thống hạ tầng của giải pháp mạng ảo VPN.

Bước đầu tiên là enable Routing and Remote Access Service (RRAS).  Bước này thì bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều hành Windows.  Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable, cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây:

1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote Access (RRAS).

2. Trong Routing and Remote Access console, right click
   tên server của bạn, và chọn Enable Routing and
   Remote Access.  Sau khi chọn như ở trên nó cần khoảng vài giây để activate.

3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này bạn nên chọn mục Manually configured server và click Next theo hình dưới đây.
   
   

4. Bạn cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi bạn hoàn tất phần wizard, và cuối cùng là chọn Finish để hoàn tất phần enable RRAS.
5. Sau khi hoàn tất phần enable RRAS bạn cần phải restart service, bạn chỉ chọn Yes.

Lưu ý: Chúng ta không sử dụng mục Virtual private network (VPN) server vì có một trở ngại là khi chọn mục này, nó sẽ bảo vệ cái interface mà bạn chọn bằng cách cài bộ lọc mà chỉ cho phép hai giao thức căn bản là L2TP và PPTP được quyền truyền tải dử liệu, RRAS sẽ không truyền tải nếu nó không phải là giao thức trên, đó là lý do nên sử dụng mục Manually configured server.

Khi RRAS bắt đầu làm việc thì bạn sẽ thấy như tấm hình dưới đây.



Phần General Tab

Right click vào server name của bạn và chọn Properties theo hình dưới đây.



Trong phần Properties trên bạn có thể chọn vào mục Router vì computer của bạn sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với lại mạng nội bộ LAN, đó là lý do bạn cần phải chọn vào mục router.  Phần làm việc của mục router này là route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo dạng demand-dial.  Nếu bạn muốn VPN theo dạng gateway-to-gateway VPN, bạn nên chọn mục Router và luôn cả mục LAN and demand-dial routing.

Bạn nhớ chọn thêm mục Remote access server.  Nếu bạn không chọn mục này thì VPN client không thể gọi vào được.


The Server “IP” Tab

Chọn vào mục IP tab như hình dưới đây.

Chọn vào mục Enable IP routing, mục này cho phép clients được quyền truy cập vào mạng nội bộ của bạn, nếu bạn không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi.

Mục Allow IP-based remote access and demand-dial
connections phải được enable để các clients có thể cấp phát địa chỉ IP khi client truy cập.  Khi bạn chọn mục này có nghĩa là bạn cho phép giao thức điều khiển IP (IPCP), giao thức này được sử dụng để thiết lập kết nối theo dạng PPP.

Bước kế tiếp là bạn cần phải quyết định số IP cấp phát cho VPN clients như thế nào. Bạn có hai cách cấp phát IP

• Dynamic Host Configuration Protocol (DHCP) IP động.
• Static Address Pool IP Tĩnh

Theo kinh nghiệm thì nên chọn DHCP vì không cần phải mệt óc chia và cấp phát thế nào cho clients.  Khi DHCP server được configure với một scope địa chỉ IP cho card LAN của VPN server, thông thường by default RRAS/VPN server có khoảng 10 ports để cho phép tạo kết nối, vì vậy nó sẽ chôm khoảng 10 IP address của DHCP server và nó sẽ sử dụng một cho chính nó.  Nếu tất cả IP address đều được sử dụng hết bởi các kết nối VPN và nếu VPN server của bạn có nhiều hơn 10 ports thì nó sẽ lấy thêm 10 IP addresses nữa từ DHCP server để sơ cua cho các truy cập sau.


Cách dễ nhất để giải quyết địa chỉ IP cho client là đặt DHCP server trong cùng một subnet với VPN server interface.  Bạn có thể thiết lập DHCP Relay Agent, tuy nhiên phần này sẽ đề cập ở mục khác.

Nếu như bạn sử dụng IP tĩnh để cho phép client tạo kết nối thì phải bảo đảm rằng nó phải cùng subnet với mạng nội bộ của VPN server hay là internet interface của VPN server.  Còn không thì hơi phiền phức.

Ở phần cuối của hình dưới bạn chọn vào mục Use the following adapter to obtain DHCP, DNS, and WINS addresses for dial-up clients, ở đây bạn nên chọn NIC card còn lại của VPN server, vì là client khi kết nối với mạng VPN của bạn, nó cần phải nằm trong cùng mạng LAN, cho nên bạn phải chọn NIC card của RRAS server vì NIC card này sẽ chịu trách nhiệm cung cấp các thông tin về DHCP, DNS và WINS cho client.

Sau khi bạn chọn xong thì click OK để tiếp tục phần configure ports như hình dưới đây.

Configuring the VPN Ports

Trong phần RRAS Console, bạn right click vào Ports, chọn Properties như hình dưới đây.




Configuring the VPN Ports

Trong phần Ports Properties như hình dưới đây.  Chọn VPN interface mà bạn muốn enable, ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN, giao thức PPTP tương đối là đơn giản nhất, cho nên bạn nên bắt đầu bằng giao thức này bằng cách chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure như hình dưới đây.



Trong phần configure WAN Miniport (PPTP) như hình dưới, bạn nên chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server.

Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers.  Nếu bạn muốn thực hiện giải pháp gateway-to-gateway VPN solution, thì bạn nên chọn mục này, nhưng nếu bạn chỉ muốn cho phép nhận kết nối từ clients thôi thí bạn có thể disable thư mục này.

Trong hộpPhone number for this device, nhập vào địa chỉ IP của VPN server interface như hình dưới.

Ở mục Maximum ports box, bạn có thể nhập vào bao nhiêu ports cũng được tùy theo nhu cầu của bạn, ports thì có tổng cộng khoảng 16384 ports, cho nên nếu bạn có nhu cầu nhiều hơn số lượng ports đó thì bạn phải cần thêm một VPN server.




Click OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình dưới đây, nhưng không sao bạn cứ việc click Yes.  Sau đó click Apply trong phần Port Properties.



Bước cuối cùng là cho phép truy cập qua Remote Access Policy. Chọn vào thư mục Remote Access Policy, bên tay phải bạn right click vào mục Allow access if dial-in permission is enable chọn properties như hình dưới.

Trong phần Allow access if dial-in permission is enable Properties, chọn vào mục Grant remote access permission.  Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the conditions setting to
Grant remote access permission như hình dưới sau đó.

Click Apply and then click OK.



Kết luận

Trong bài viết này chúng ta đã cùng nhau lướt qua cách thiết lập một VPN server.  Thật ra cách thiết lập một VPN server như chúng ta vừa làm thuộc dạng đơn giản đủ để cho phép clients tạo các kết nối với VPN server.  Tuy nhiên một khi bạn đã có thể bảo đảm rằng VPN server của bạn đã làm việc một cách tốt đẹp bằng cách bạn tạo một kết nối thử nghiệm từ ngoài vào, nếu thành công thì bạn hãy bước một bước kế tiếp kỉ thuật hơn cũng như gia tăng bảo mật.

Windows 2000 RRAS Server rất mạnh và cũng là một chương trình phần mềm chẳng đơn giản chút nào.  Có rất nhiều options trong cái RRAS console này, nếu bạn biết cách phát huy hay sử dụng nó đúng thì sẽ tạo cho bạn rất nhiều thích thú.  Tốt nhất khi thiết lập bất cứ server loại nào, điều bạn nên nhớ đầu tiên là cố gắng đơn giản việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết lập đã hoạt động căn bản rồi, từ đây chúng ta sẽ đi xâu.

Bài viết không gì ngoài mục đích giúp đỡ những ai quan tâm cũng như bao giờ thử nghiệm thiết lập mạng riêng ảo. Bài soạn tương đối vắng tắt vì có quá nhiều hình ảnh, thời gian cũng giới hạn, cho nên nếu bạn có gì không hiểu thì có thể liên lạc với mình tại địa chỉ này.

IPv4 & IPv6

Đầu tiên bạn phải tìm hiểu về IP là gì, còn IPv4 và IPv6 chẳng qua là vấn đề cạn kiệt địa chỉ IP khi số lượng computer kết nối quá nhiều trên internetworking.
IP là gì? IP là một con số được định danh cho một máy tính kết nối với Internet . Ví dụ : IP 203.162.56.73 Domain có thể dùng IP đó để đặt website trên đó.

Đoạn dưới đây được copy từ quantrimang
Số liệu của Tổ chức tài nguyên Internet khu vực (RIR) cho biết, dung lượng còn lại của địa chỉ IP thế hệ 4 (IPv4) chỉ đủ dùng trong thời gian từ 10 đến 15 năm nữa. Nguyên nhân của tình trạng cạn kiệt dần địa chỉ IPv4 là do sự phát triển quá nhanh của các loại hình dịch vụ mới đòi hỏi nhu cầu tài nguyên tăng cao (dịch vụ di động, wifi, ADSL…).
Để tìm giải pháp cho vấn đề này, thế giới đang nỗ lực trong việc thử nghiệm và triển khai một thế hệ địa chỉ IP mới (IPv6) nhằm đáp ứng nhu cầu ngày càng gia tăng về không gian địa chỉ IP, hiện IPv6 đã đang được thử nghiệm ở Việt Nam và dự kiến đưa hệ thống này vào hoạt động song song với IPv4.
IPv6 là giao thức IP phiên bản 6 là thế hệ mới của các địa chỉ Internet, kế thừa hệ thống địa chỉ hiện tại là IPv4. Hệ thống địa chỉ này làm tăng khả năng của các địa chỉ IP quét trên hàng tỷ người sử dụng và các tiện ích ứng dụng internet. IPv6 sẽ tăng thêm các địa chỉ IP hiện có để hỗ trợ ảo cho số lượng không hạn định người sử dụng và các thiết bị trên internet. Một trong những điểm giá trị nhất của IPv6 là khả năng hỗ trợ các ứng dụng Internet độc lập.
Ý thức được tầm quan trọng trong việc phát triển của IPv6, chính phủ Trung Quốc đầu tư khoảng 1,4 tỷ nhân dân tệ và chính phủ chỉ đạo nhiều bộ, ngành và các nhà cung cấp dịch vụ phối hợp với nhau để xây dựng mạng IPv6, mạng sẽ bắt đầu xây dựng từ năm 2005, khi hoàn thành vào năm 2010 nó sẽ là mạng IPv6 lớn nhất thế giới. Theo kế hoạch của Bộ Quốc phòng Mỹ, bộ này cũng lên kế hoạch hoàn tất xây dựng mạng IPv6 vào năm 2007. Châu Âu cũng đang triển khai các dự án thiết lập nhiều mạng IPv6: 6NET, Euro6IX, GEANT(mạng nghiên cứu của châu Âu) .
IPv6 ở Việt Nam sẽ chạy song song với IPv4
Với việc được cấp một /32 IPv6 vào tháng 5/2004, Tổng công ty Bưu chính Viễn thông Việt Nam (VNPT) là đơn vị duy nhất hiện đang thực hiện triển khai thử nghiệm IPv6 tại Việt Nam. Hiện nay, VNPT giao cho Công ty Điện toán và Truyền số liệu (VDC) thực hiện dự án thử nghiệm này, VDC đã thực hiện triển khai thử nghiệm kết nối IPv6 thông qua mạng IPv6 của các đối tác và đã có đề xuất phương án triển khai mạng IPv6 ở Việt Nam.
Mục tiêu của VDC trong việc triển khai IPv6 là nhằm nghiên cứu tiếp cận công nghệ mới IPv6, thử nghiệm kết nối với các mô hình mạng LAN, WAN IPv6 trong nước và quốc tế, nghiên cứu tìm hiểu các loại hình dịch vụ trên nền công nghệ IPv6 và dự trữ sẵn các địa chỉ IPv6 trên mạng Internet cho mạng VNN. Bên cạnh các mục tiêu này, Việt Nam cũng đang thực hiện các điều kiện về tiêu chuẩn để VNPT/VNN được chấp nhận tham gia mạng 6Bone toàn cầu. Việc ứng dụng IPv6 trên mạng VNN sẽ theo mô hình IPv4 và IPv6 song song cùng tồn tại cho từng phần mạng.
Với hai node mạng IPv6 tại Hà Nội và thành phố Hồ Chí Minh, việc thử nghiệm các dịch vụ truy cập web, dịch vụ truyền tệp (FTP), dịch vụ thư điện tử, dịch vụ truy cập từ xa, các dịch vụ Multimedia,… đã được VNPT thử nghiệm. Theo đánh giá về việc thử nghiệm các dịch vụ trên nền IPv6 đều cho thấy tính an toàn về bảo mật cao hơn, tỷ lệ truy cập thành công các phiên truy nhập dịch vụ đều đạt 100%, tốc độ nhanh, chất lượng dịch vụ cũng tốt hơn.
Kế hoạch ứng dụng phát triển IPv6 trên mạng VNN
Trên cơ sở các kết quả đã đạt được, VDC sẽ tiếp tục đẩy mạnh nghiên cứu, tìm hiểu các ứng dụng mới trên nền công nghệ IPv6, các phương thức kết nối mạng, chuyển đổi IPv4/IPv6, quản lý mạng và đảm bảo dịch vụ. Mạng IPv6 VNN sẽ được mở rộng và hoàn thiện hạ tầng. Sẽ xin cấp và quy hoạch sử dụng và cấp phát lại cho khách hàng nguồn địa chỉ IPv6. Các đường kết nối IPv6 trực tiếp từ mạng IPv6 VNN đi các mạng IPv6 trong khu vực và quốc tế cũng sẽ được mở. Một trong những mục tiêu quan trọng là cung cấp các dịch vụ IP trên nền IPv6 cho các đối tượng khách hàng có nhu cầu ứng dụng công nghệ IPv6, như các trường học, viện nghiên cứu, trung tâm đào tạo, các trung tâm phần mềm, doanh nghiệp….
Với các công việc đã và sẽ được triển khai, mục tiêu trong giai đoạn 2006-2010 sẽ loại bỏ dần việc sử dụng công nghệ và các ứng dụng IPv4 trên mạng VNN

Cà phê muối

Cà phê muối

Chàng trai gặp cô gái ở một buổi tiệc. Cô rất xinh đẹp, quyến rũ và đến hơn nửa số người trong buổi tiệc đều để ý đến cô. Trong khi chàng trai chỉ là một người rất bình thường, không ai buồn nhìn tới. Cuối cùng, khi buổi tiệc gần kết thúc, chàng trai ngượng ngịu mời cô gái uống cà phê với mình. Cô gái rất ngạc nhiên, nhưng vì lời mời quá lịch sự nên cô đồng ý. Họ ngồi ở một chiếc bàn nhỏ trong góc phòng tiệc, nhưng chàng trai quá lo lắng, mãi không nói được lời nào, làm cho cô gái cũng cảm thấy bất tiện.

Bỗng nhiên, chàng trai gọi người phục vụ:

– Xin cho tôi ít muối để tôi cho vào cà phê!

Mọi người xung quanh đều hết sức ngạc nhiên và nhìn chăm chăm vào chàng trai! Chàng trai đỏ mặt, nhưng vẫn múc một thìa muối cho vào cốc cà phê và uống.

Cô gái tò mò:

– Sao anh có sở thích kỳ quặc thế?

– Khi tôi còn nhỏ, tôi sống gần biển – Chàng trai giải thích – Khi chơi ở biển, tôi có thể cảm thấy vị mặn của nước, giống như cà phê cho muối vào vậy! Nên bây giờ, mỗi khi tôi uống cà phê với muối, tôi lại nhớ tới tuổi thơ và quê hương của mình.

Cô gái thực sự cảm động. Một người đàn ông yêu nơi mình sinh ra thì chắc chắn sẽ yêu gia đình và có trách nhiệm với gia đình của mình. Nên cô gái cởi mở hơn, về nơi cô sinh ra, về gia đình… Trước khi ra về, họ hẹn nhau một buổi gặp tiếp theo…

Qua những lần gặp gỡ, cô gái thấy chàng trai quả là một người lý tưởng: rất tốt bụng, biết quan tâm… Và cô đã tìm được người đàn ông của mình nhờ cốc cà phê muối.

Câu chuyện đến đây vẫn là có hậu, vì “công chúa” đã tìm được “hoàng tử”, và họ cưới nhau, sống hạnh phúc.

Mỗi buổi sáng, cô gái đều pha cho chàng trai – nay đã là chồng cô – một cốc cà phê với một thìa muối. Và cô biết rằng chồng cô rất thích như vậy. Suốt 50 năm, kể từ ngày họ cưới nhau, bao giờ người chồng cũng uống cốc cà phê muối và cảm ơn vợ đã pha cho mình cốc cà phê ngon đến thế.

Sau 50 năm, người chồng bị bệnh và qua đời, để lại cho người vợ một bức thư:

– “Gửi vợ của anh,

Xin em hãy tha thứ cho lời nói dối suốt cả cuộc đời của anh. Đó là lời nói dối duy nhất – về cốc cà phê muối. Em có nhớ lần đầu tiên anh mời em uống cà phê không? Lúc đó anh đã quá lo lắng, anh định hỏi xin ít đường, nhưng anh lại nói nhầm thành muối. Anh cũng quá lúng túng nên không thể thay đổi được, đành phải tiếp tục lấy muối cho vào cốc cà phê và bịa ra câu chuyện về tuổi thơ ở gần biển để được nói chuyện với em. Anh đã định nói thật với em rất nhiều lần, nhưng rồi anh sợ em sẽ không tha thứ cho anh. Và anh đã tự hứa với mình sẽ không bao giờ nói dối một lời nào nữa, để chuộc lại lời nói dối ban đầu.

Bây giờ anh đã đi thật xa rồi, nên anh sẽ nói sự thật với em. Anh không thích cà phê muối, nhưng mỗi sáng được uống cốc cà phê muối từ ngày cưới em, anh chưa bao giờ cảm thấy tiếc vì anh đã phải uống cả. Nếu anh có thể làm lại từ đầu, anh vẫn sẽ làm như thế để có thể được em, và anh sẽ uống cà phê muối suốt cả cuộc đời.”

Khi người vợ đọc xong lá thư cũng là khi lá thư trong tay bà ướt đẫm nước mắt. Nếu bạn hỏi người vợ rằng: “Cà phê muối vị thế nào?”, chắc chắn bà sẽ trả lời: “Ngọt lắm”.

6 yêu cầu cho việc học tốt

1- Vạch kế hoạch: Học tập và làm việc có hệ thống nghiên cứu điều gì nên làm trước, điều gì làm sau. Nếu bạn bỏ ra 1 giờ để vạch kế hoạch bạn sẽ tiết kiệm được 3 giờ khi thực hiện nó.

2- Học vào lúc bạn cảm thấy có lợi nhất cho môn học: Nếu đó là bài giảng văn, bạn hãy học ngay sau khi nghe giảng bài. Nếu đó là bài học thuộc lòng hoặc trả lời câu hỏi, hãy học trước khi lên lớp. Sau khi nghe giảng, bạn hãy xem lại, chọn lại và tổ chức ghi chép. Trước khi trả bài miệng, bạn dùng thì giờ để học thuộc lòng, xem lại các dữ kiện (nhất là đối với các môn XH), chuẩn bị câu hỏi cho bài cũ. Việc đặt câu hỏi là một kỹ thuật tốt để giúp đào sâu vẫn đề và đưa ra các phần bạn cần nghiên cứu thêm.

3- Hiểu rõ các ghi chép: Tìm ra các ý tưởng quan trọng mà thầy cô đã nhấn mạnh. Lưu ý các từ “cho nên, vì vậy” và “chủ yếu”, “điều quan trọng” mà thầy cô đã tóm tắt.

4- Học một cách chủ động chứ không thụ động: Không nên đọc đi đọc lại một câu như vẹt. Hãy dùng nhiều giác quan khi học. Cố gắng cho đầu óc bạn nhìn thấy được.

+ Sử dụng âm thanh: Đọc các chữ to giọng và lắng nghe chúng.

+ Sử dụng sự liên tưởng: Liên tưởng điều đang học với điều gì quan trọng có liên quan.

5- Ghi chú cẩn thận: Nó sẽ đòi hỏi bạn suy nghĩ theo lối phân tích. Ghi ngắn, đủ dữ liệu sẽ tốt hơn là viết tất cả mọi điều ghi được vì bạn không còn thời gian để phân tích rồi tổng hợp lại.

6- Luôn học tại bàn: Thái độ này chuẩn bị cho bạn cả hai ưu thế trí tuệ lẫn thể hình. Không được nằm dài trên giường để học bởi bạn sẽ ngủ quên lúc nào không biết. Lâu dần nằm học sẽ tạo thói quen lười biếng.

(Theo TVE)

Nâng cao các kĩ năng học tập

Nâng cao các kĩ năng học tập

Hoàng Nam

Mùa thi đang đến gần, cho học sinh tất cả các cấp. Và thậm chí, học là việc không chỉ của những người ở lứa tuổi học sinh, sinh viên. Học như thế nào để nắm vấn đề một cách nhanh nhất, hiểu vấn đề một cách sâu nhất và để vượt qua các kỳ thi một cách đơn giản nhất? Dưới đây có một số nội dung mà bạn có thể tham khảo để tìm ra phương pháp phù hợp nhất cho bản thân trong việc học – hiểu – thi.

Tạo thói quen học tập

Trước hết xác định xem học cái gì, học trong bao lâu và học bao nhiêu (bao nhiêu chương, bao nhiêu trang, bao nhiêu vấn đề… chẳng hạn) (đây là một việc không quá khó). Đề ra thời gian học từng thứ và phải tuân thủ đúng theo lịch thời gian đó. Hãy học những vấn đề khó trước. Nếu không thì hãy bắt đầu với việc học những phần mà bạn thấy dễ và thú vị. Nên có những nơi dành riêng cho việc học. Nhưng bạn cũng nên chú ý đến các yếu tố ánh sáng, nhiệt độ và điều kiện trang bị các phương tiện học tập chỗ bạn học.

Học khoảng 50 phút rồi nghỉ 10 phút. Khi giải lao bạn hãy vươn người, thư giãn và ăn chút snack để nạp lại năng lượng. Dành nhiều thời gian hơn cho việc sắp xếp tổ chức sự liên hệ giữa các phần và các khái niệm, lập đề cương và tập viết bài. Dành một khoảng thời gian ngắn hơn cho việc học thuộc tạm thời, ôn tập và tự kiểm tra. Còn thời gian thừa thì bạn hãy dành để ôn tập lại.

Nếu bạn cảm thấy mệt mỏi hay buồn chán hãy đổi sang làm việc khác hay hoạt động khác, học môn khác hay thay đổi môi trường học. Bạn hãy tạm dừng không học nữa khi bạn cảm thấy việc học của mình không còn hiệu quả.

Hãy ôn tập và nhớ vẹt một số vấn đề, đặc biệt là những vấn đề cụ thể ngay trước khi bạn đi ngủ. Nên học với một người bạn của mình. Hãy tự đặt câu hỏi cho nhau, so sánh bài ghi hay trao đổi những câu hỏi mà các bạn đoán là sẽ gặp trong bài kiểm tra.

Chuẩn bị cho kì thi

Khi ki thi đã được thông báo trước: Hãy xem xem kì thi sắp tới sẽ bao quát hay không bao quát những vấn đề gì. Hãy tìm hiểu xem kiểu ra đề sẽ như thế nào: nội dung, viết đoạn tiểu luận ngắn, tiểu luận dài hay cả hai.

Học ôn: Hãy tóm tắt các bài giảng trên lớp và các bài ghi của bạn. Mấy tối trước hôm thi hãy xem lại chúng một lần cuối cùng.

Chú trọng đến các điểm sau trong phần ôn tập của bạn:

– Những điểm đã được nhấn mạnh trên lớp hay trong các bài học.

– Những vấn đề mà thầy cô giáo bạn đã khuyên bạn nên học.

– Các câu hỏi ở phần hướng dẫn học ở cuối các bài, những câu hỏi trả lời nhanh và phần hướng dẫn ôn tập ở cuối mỗi chương trong sách giáo khoa.

Chuẩn bị dạng bài thi:

– Đối với các bài thi mang tính chủ quan: hãy ôn tập như đó là bài thi viết vậy.

– Đối với những vấn đề cụ thể: cần phải chú trọng: Định nghĩa của một số thuật ngữ cơ bản và các ví dụ; phần liệt kê các ý; viết ra một số câu trả lời sai đối với dạng câu hỏi xác định đúng, sai.

– Đối với các bài thi viết: Chú ý đến các khái niệm; liệt kê những câu hỏi có thể gặp trong bài thi; chuẩn bị trước dàn ý trả lời của các câu hỏi và tập trả lời chúng.

– Đối với một số vấn đề rắc rối có thể gặp trong bài thi: Học thuộc các công thức nếu cần thiết; tập dượt tình huống gặp phải một số vấn đề rắc rối trong khi thi.

(Theo TTO)

Firewall là gì ?

Firewall là gì ?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đ­ợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin t­ởng (Trusted network) khỏi các mạng không tin t­ởng (Untrusted network).

Thông th­ờng Firewall đ­ợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Chức năng chính:

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát ng­ời sử dụng và việc truy nhập của ng­ời sử dụng. Kiểm soát nội dung thông tin thông tin l­u chuyển trên mạng. Các thành phần

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

Bộ lọc packet (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuite level gateway) Bộ lọc paket (Paket filtering router)

Nguyên lý :

Khi nói đến việc l­u thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đ­ợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đ­ợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:

Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type) Giao diện packet đến ( incomming interface of packet) Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet đ­ợc thoả mãn thì packet đ­ợc chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đ­ợc các kết nối vào các máy chủ hoặc mạng nào đó đ­ợc xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) đ­ợc phép mới chạy đ­ợc trên hệ thống mạng cục bộ.

Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ­u điểm của ph­ơng pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đ­ợc bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với ng­ời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.

Hạn chế:

Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ng­ời quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi tr­ờng. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đ­ợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng (application-level getway)

Nguyên lý:

Đây là một loại Firewall đ­ợc thiết kế để tăng c­ờng chức năng kiểm soát các loại dịch vụ, giao thức đ­ợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ng­ời quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ t­ơng ứng sẽ không đ­ợc cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể đ­ợc định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ng­òi quản trị mạng cho là chấp nhận đ­ợc trong khi từ chối những đặc điểm khác.

Một cổng ứng dụng th­ờng đ­ợc coi nh­ là một pháo đài (bastion host), bởi vì nó đ­ợc thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:

Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này đ­ợc thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nh­ là đảm bảo sự tích hợp firewall. Chỉ những dịch vụ mà ng­ời quản trị mạng cho là cần thiết mới đ­ợc cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đ­ợc cài đặt, nó không thể bị tấn công. Thông th­ờng, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đ­ợc cài đặt trên bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh­ user password hay smart card. Mỗi proxy đ­ợc đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.

Ưu điểm:

Cho phép ng­ời quản trị mạng hoàn toàn điều khiển đ­ợc từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập đ­ợc bởi các dịch vụ. Cho phép ng­ời quản trị mạng hoàn toàn điều khiển đ­ợc những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ t­ơng ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.

Hạn chế:

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai b­ớc để nối với máy chủ chứ không phải là một b­ớc thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.

Cổng vòng (circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện đ­ợc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.

Hình d­ới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc nh­ một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ.

Cổng vòng th­ờng đ­ợc sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin t­ởng những ng­ời dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể đ­ợc cấu hình nh­ là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức t­ờng lửa dễ dàng sử dụng cho những ng­ời trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức t­ờng lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.

Những hạn chế của firewall

Firewall không đủ thông minh nh­ con ng­ời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nh­ng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đ­ờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số ch­ơng trình đ­ợc chuyển theo th­ điện tử, v­ợt qua firewall vào trong mạng đ­ợc bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đ­ợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đ­ợc áp dụng rộng rãi.

Le Hoan PC

HƯỚNG DẪN NHẬP MÔN HTML

HƯỚNG DẪN NHẬP MÔN HTML

Bài này sẽ trình bày về những bí ẩn của ngôn ngữ đánh dấu siêu văn bản (HTML), nhưng thực chất chẳng có gì bí ẩn. Nếu đã biết cách dùng trình xử lý văn bản, bạn có thể tạo ra các trang Web chỉ trong vài phút.
Nhờ được xây dựng trên nền văn bản và đồ hoạ, World Wide Web (WWW) đã đưa Internet nhập vào dòng chảy của cuộc sống. Nhưng tính hấp dẫn của WWW vượt xa hơn nhiều so với giao diện đồ hoạ, là cái đã lôi cuốn nhiều người dùng PC không rành kỹ thuật. Nhờ HTML tương đối đơn giản nên nhiều người bình thường có thể tạo ra các Web site đầy ấn tượng. Nếu bạn khao khát muốn đưa cái gì đó của mình lên Web, thì tất cả những điều mà bạn cần có là một tài khoản đăng ký với hãng cung cấp Web, một ít bí quyết về HTML, và một chút óc sáng tạo.
Bài báo này sẽ đưa bạn đi một chuyến du lịch trên trang Web điển hình, để bạn có thể thấy nó được thực hiện như thế nào. Đặc biệt, bạn sẽ được giới thiệu về các phần tử cấu tạo nên HTML (Hypertext Markup Language – Ngôn ngữ đánh dấu siêu văn bản) – linh hồn các trang Web. Và ngay cả trong trường hợp không có dự định tạo ra Web site riêng cho mình, thì bạn cũng có thêm được hiểu biết về những gì xảy ra khi bạn nối vào Web và xem các trang ưa thích.

HTML: Ngôn ngữ đánh dấu:

Sau những lóng ngóng với vài trang Web trong cuộc du lịch Internet, có thể bạn nghĩ rằng phải có gói phần mềm tinh vi để thu được tất cả những hiệu ứng trang trí đầy quyến rũ này. Mặc dù có một số công cụ dành cho những người say mê HTML thực sự, nhưng bạn có thể dùng một trình soạn thảo văn bản bất kỳ như Notepad của Windows để tạo ra những trang Web hấp dẫn.
Sự thật là hầu hết các trang đều không có gì khác ngoài văn bản được gia cố thêm bằng một phần tử HTML xếp đặt đúng quy cách. Để hiểu được cách hoạt động của chúng, bạn phải xem xét từng từ trong cụm từ Ngôn ngữ đánh dấu siêu văn bản và xem chúng có ý nghĩa gì:
Siêu văn bản (HyperText). Như bạn đã biết, liên kết siêu văn bản là một từ hay một câu trong trang Web dùng để chỉ đến trang Web khác. Khi nhấn chuột lên một trong các liên kết này, trình duyệt của bạn (như Netscape Navigator hoặc Internet Explorer) sẽ đưa bạn tức khắc đến trang Web kia mà không cần hỏi han gì. Vì những liên kết siêu văn bản này thật sự là tính năng đặc trưng của World Wide Web, các trang Web thường được biết như là những tài liệu siêu văn bản. Cho nên HTML có từ siêu văn bản trong tên của nó, vì bạn dùng nó để tạo nên các tài liệu siêu văn bản này.
Đánh dấu (Markup). Có từ điển định nghĩa markup là các chỉ dẫn chi tiết về kiểu dáng được ghi trên bản viết tay để xếp chữ in. Trong lĩnh vực này, chúng ta có thể viết lại định nghĩa như sau: các lệnh chi tiết về kiểu dáng được đánh vào tài liệu văn bản để đưa lên WWW. Đó là HTML theo một định nghĩa tóm tắt. Nó gồm một vài mã đơn giản để tạo ra văn bản nét đậm hoặc nghiêng và các bảng liệt kê dấu chấm đầu dòng, các hình đồ hoạ chèn thêm vào, cùng với sự xác định các mối liên kết siêu văn bản. Bạn đánh các mã này vào những chỗ thích hợp trong tài liệu văn bản gốc, trình duyệt Web sẽ thực hiện việc dịch chúng.
Ngôn ngữ (Language). Đây có thể là từ dễ nhầm lẫn nhất trong cụm từ này. Nhiều người diễn giải HTML như là một ngôn ngữ lập trình. HTML không có gì liên quan đến việc lập trình máy tính cả. HTML gọi là ngôn ngữ chỉ vì nó gồm các tập hợp nhỏ các nhóm hai đến ba chữ và các từ mà bạn dùng để quy định kiểu dáng như nét đậm hoặc nghiêng.

Các thẻ HTML:

Bây giờ chúng ta cùng đi sâu vào các khái niệm đằng sau HTML, và xem xét một số ví dụ mẫu. Để bắt đầu, tất cả công việc phải làm là khởi động trình soạn thảo văn bản yêu thích của bạn và bảo đảm đã có một tài liệu rỗng được hiển thị.
Trình xử lý văn bản của bạn phải có khả năng lưu tập tin ở dạng văn bản. Notepad làm việc này một cách tự động; còn các trình xử lý văn bản khác, như Word và WordPerfect, thì có tuỳ chọn văn bản trong hộp thoại Save As. Hãy tham khảo tài liệu thuyết minh của trình xử lý văn bản. Đồng thời bạn phải lưu các trang với đuôi mở rộng HTM hoặc HTML, như trong Homepage.htm chẳng hạn.
Tạo lập trang Web là một vấn đề đơn giản, chỉ cần đánh văn bản của bạn vào rồi chèn thêm các ký hiệu đánh dấu, gọi là thẻ có dạng như sau:
<TAG>văn bản chịu tác động</TAG>
Phần thẻ là một mã (thường chỉ có một hoặc hai chữ) xác định hiệu ứng mà bạn yêu cầu. Ví dụ, cho thẻ nét đậm là <B>. Cho nên nếu bạn muốn câu ACME Coyote Suppplies xuất hiện theo kiểu chữ đậm (bold), bạn phải đưa dòng sau đây vào tài liệu của mình:
<B>ACME Coyote Supplies</B>
Thẻ đầu tiên báo cho trình duyệt (browser) hiển thị tất cả phần văn bản tiếp theo bằng phông chữ đậm, liên tục cho đến thẻ <B>. Dấu gạch chéo (/) xác định đó là thẻ kết thúc, và báo cho trình duyệt ngưng hiệu ứng đó. HTML có nhiều thẻ dùng cho nhiều hiệu ứng khác, bao gồm chữ nghiêng (italic), dấu đoạn văn bản (paragraph), tiêu đề, tên trang, liệt kê, liên kết, và nhiều thứ nữa.

Cấu trúc cơ sở:

Các trang Web khác nhau, tẻ nhạt hay sinh động, vô nghĩa hoặc rất cần thiết, nhưng tất cả đều có cùng một cấu trúc cơ sở, nên đa số các trình duyệt đang chạy trên hầu hết các kiểu máy tính đều có thể hiển thị thành công hầu hết các trang Web.
Các tập tin HTML luôn bắt đầu bằng thẻ <HTML>. Thẻ này không làm gì khác ngoài nhiệm vụ báo cho trình duyệt Web biết rằng nó đang đọc một tài liệu có chứa các mã HTML. Tương tự, dòng cuối trong tài liệu của bạn luôn luôn là thẻ </HTML>, tương đương như Hết.
Chi tiết kế tiếp trong catalog thẻ HTML dùng để chia tài liệu thành hai phần: đầu và thân.
Phần đầu giống như lời giới thiệu cho trang. Các trình duyệt Web dùng phần đầu này để thu nhặt các loại thông tin khác nhau về trang. Để xác định phần đầu, bạn đưa thêm thẻ <HEAD> và thẻ </HEAD> vào ngay sau thẻ <HTML>. Mặc dù bạn có thể đặt một số chi tiết bên trong phạm vi phần đầu này, nhưng phổ biến nhất là tên trang. Nếu có ai đó xem trang này trong browser, thì tên trang sẽ xuất hiện trong dải tên của cửa sổ browser. Để xác định tên trang, bạn đặt đoạn văn bản tên đó giữa các thẻ <TITLE> và </TITLE>. Ví dụ nếu bạn muốn tên trang của mình là My Home Sweet Home Page, bạn đưa nó vào như sau:
<TITLE>My Home Sweet Home Page</TITLE>
Phần thân là nơi bạn nhập vào các văn bản sẽ xuất hiện trên trang Web lẫn các thẻ khác quy định dáng vẻ của trang. Để xác định phần thân, bạn đặt các thẻ <BODY> và </BODY> sau phần đầu (dưới </HEAD>).
Các thẻ sau đây xác định cấu trúc cơ bản của mọi trang Web:
<HTML>
<HEAD>
<TITLE> tên trang <TITLE>
Các thẻ tiêu đề khác
</HEAD>
<BODY>
Văn bản và các thẻ của trang Web
</BODY>
</HTML>

Văn bản và các đoạn:

Như đã trình bày ở trên, bạn bổ sung văn bản của trang Web bằng cách đánh nó vào giữa các thẻ <BODY> và </BODY>. Tuy nhiên, cần nhớ rằng không thể bắt đầu một đoạn văn (chương, mục) mới mà chỉ ấn phím Enter. Bạn phải dùng thẻ để báo cho browser biết rằng bạn muốn chuyển vào một đoạn văn mới:
<HTML>
<HEAD>
<TITLE>My Home Sweet Home Page
</HEAD>
<BODY>
Văn bản này sẽ xuất hiện trong phần thân của trang Web.
<P>
Văn bản này sẽ xuất hiện trong một đoạn văn bản mới
</BODY>
</HTML>

Bổ sung định dạng và các tiêu đề:

HTML bao gồm nhiều thẻ làm đẹp cho văn bản trong trang. Bạn đã thấy ở trên, một từ hoặc một câu sẽ hiện thành dạng chữ đậm như thế nào khi được đặt vào giữa các thẻ <B> và </B>. Bạn cũng có thể biểu hiện văn bản theo kiểu chữ nghiêng bằng cách bao chúng lại bằng các thẻ <I> và </I>, và làm cho các từ xuất hiện ở dạng cách đơn với các thẻ <TT> và </TT>.
Giống như các chương sách, nội dung của nhiều trang Web được chia thành các đoạn. Để giúp phân cách các đoạn này và làm cho dễ đọc hơn, bạn có thể sử dụng tiêu đề. Lý tưởng nhất, các tiêu đề này phải có tác dụng như là những đề mục nhỏ, thể hiện ý tưởng tóm tắt về đoạn văn đó. Để làm cho các đề mục này nổi bật, HTML có 6 loại thẻ tiêu đề để hiển thị văn bản theo phông chữ đậm với nhiều cỡ chữ khác nhau, từ ứng với phông lớn nhất đến ứng với phông nhỏ nhất.

Làm việc với các liên kết siêu văn bản

Thẻ HTML dùng để thiết lập các liên kết siêu văn bản là <A> và </A>. Thẻ <A> hơi khác so với các thẻ khác mà bạn đã gặp vì bạn không thể dùng nó một mình mà phải kèm thêm địa chỉ của tài liệu bạn muốn liên kết. Sau đây là cách hoạt động của nó:
<AHREF=Address>
HREF là viết tắt của hypertext reference (tham chiếu siêu văn bản). Chỉ cần thay từ địa chỉ bằng địa chỉ thực của trang Web mà bạn muốn dùng để liên kết . Dưới đây là một ví dụ:
<AHREF=http://www/dosword.com/dosworld/index.html>
Như vậy còn chưa kết thúc. Tiếp theo, bạn phải cung cấp một số văn bản diễn giải liên kết để nhấn chuột vào đó. Công việc còn lại là chèn văn bản vào giữa các thẻ <A> và </A> như sau:
<AHREF=address> Văn bản liên kết </A>
Sau đây là một ví dụ :
Why not head to the <AHREF=http://www.dosworld.com/dosworld/index.html>DOSWorld home page</A>?

Chèn hình:

Nếu bạn muốn Web site của mình nổi trội hơn, bạn phải theo xu hướng đồ hoạ với các hình ảnh được chọn kỹ lưỡng. Làm thế nào để chèn hình vào trong khi các tập tin HTML chỉ có văn bản? Nhờ bổ sung thẻ <IMG> vào tài liệu, nó sẽ ra lệnh Chèn một hình vào đây. Thẻ này xác định tên của tậ tin đồ hoạ để trình duyệt có thể mở tập tin đó và hiển thị các hình:
<IMG SRC=filename>
ở đây, SRC là viết tắt của source (nguồn) và tên tập tin là tên và đường dẫn của tập tin đồ hoạ mà bạn muốn hiển thị (dùng dạng GIF hoặc JPG). Giả sử bạn có một hình tên là logo.gif nằm trong thư mục Graphics. Để đưa nó vào trang Web, bạn dùng dòng sau đây.
<IMG SRC=Graphics/logo.gif>

Các bảng tham khảo HTML trên Web:

Một vài thẻ bạn thấy trong bài này chỉ là những cái vụn vặt trên bề mặt HTML. Có hàng tá các thẻ bổ sung khác cho phép bạn thành lập các danh sách liệt kê dấu đầu dòng, các bảng, và cả các biểu tương tác.
Để tìm hiểu về chúng, bạn hãy thử dùng một trong các bảng tham khảo HTML trên Web. Yahoo! cung cấp một danh sách các tham khảo này ở địa chỉ http://www.yahoo.com/Computers_and_Internet/
Information_and_Documentation/Data_Formats/HTML/Reference/
Đồng thời, Microsoft cũng có một bảng tham khảo HTML xuất sắc (dĩ nhiên đã được cài vào Internet Explorer của riêng họ) ở địa chỉ:
http://www.microsoft.com/workshop/author/newhtml/default.html.
Cuối cùng khi bạn đã trở thành chuyên gia viết mã HTML, thì một trong các phương pháp tốt nhất để biết nhiều hơn về HTML là xem mã mà những người khác đã dùng để xây dựng các trang của họ. Ngay khi có một trang cụ thể trong browser của mình, bạn hãy lưu chúng lại (dùng File/Save As trong Netscape Navigator hoặc File/Save As File trong Internet Explorer), rồi mở tập tin đã lưu nó ra xem trong trình xử lý văn bản của bạn.
Ngoài ra, Netscape Navigator và Internet Explorer cũng cho phép xem các trang bất kỳ được mở ra trong browser; hãy chọn View/Document Source trong Netscape Navigator hoặc View/Source trong Internet Explorer.
Các bộ soạn thảo HTML
Không nhất thiết phải tìm hiểu các thẻ HTML để tạo dựng các trang Web. Có nhiều chương trình Windows có thể thực hiện công việc chèn thêm các thẻ thích hợp này một cách tự động. Sau đây là ví dụ một số trình soạn thảo đang có sẵn:
Word 97. Phiên bản mới nhất của Microsoft Word có sẵn khả năng HTML, bao gồm cả các ví dụ mẫu và lệnh Save to HTML để chuyển đổi các tài liệu World hiện hữu thành HTML.
Netscape Composer. Một phần của bộ Netscape Communicator, có kỹ thuật tạo trang WYSIWYG (thấy gì được nấy) và tích hợp chặt chẽ với Netscape Navigator. Hãy tìm địa chỉ http://home.netscape.com/để có nhiều thông tin hơn.
WebEdit. Chương trình WebEdit xuất sắc của Kenn Nesbitt có giao diện trực giác và hỗ trợ hầu hết các thẻ HTML có trên hành tinh này, đồng thời tốc độ rất nhanh.
HomeSite. Đây là một trình biên tập HTML tương đối mới. Một điều rất ngạc nhiên là nó được biên soạn bởi một người vẽ tranh biếm hoạ – tác giả của phim hoạt hình Dexter. Nó là một bộ soạn thảo đầy đủ tính năng, bao gồm cả trình kiểm tra chính tả cài sẵn, browser, frame wizard, các thẻ HTML mã hoá màu, và nhiều cái khác nữa. Tìm theo địa chỉ http://www.dexnet.com/homesite.html.
Bùi Xuân Toại
DOS World 6/97

Các Phương tiện Kết nối mạng liên khu vực (WAN)

Bên cạnh phương pháp sử dụng đường điện thoại thuê bao để kết nối các mạng cục bộ hoặc mạng khu vực với nhau hoặc kết nối vào Internet, có một số phương pháp khác:

• Đường thuê bao (leased line). Đây là phương pháp cũ nhất, là phương pháp truyền thống nhất cho sự nối kết vĩnh cửu. Bạn thuê đường dây từ công ty điện thoại (trực tiếp hoặc qua nhà cung cấp dịch vụ). Bạn cần phải cài đặt một “Chanel Service Unit” (CSU) để nối đến mạng T, và một “Digital Service Unit” (DSU) để nối đến mạng chủ (primary) hoặc giao diện mạng.
  
• ISDN (Integrated Service Digital Nework). Sử dụng đường điện thoại số thay vì đường tương tự. Do ISDN là mạng dùng tín hiệu số, bạn không phải dùng một modem để nối với đường dây mà thay vào đó bạn phải dùng một thiết bị gọi là “codec” với modem có khả nǎng chạy ở 14.4 kbit/s. ISDN thích hợp cho cả hai trường hợp cá nhân và tổ chức. Các tổ chức có thể quan tâm hơn đến ISDN có khả nǎng cao hơn (“primary” ISDN) với tốc độ tổng cộng bằng tốc độ 1.544 Mbit/s của đường T1. Cước phí khi sử dụng ISDN được tính theo thời gian, một số trường hợp tính theo lượng dữ liệu được truyền đi và một số thì tính theo cả hai. 
• CATV link. Công ty dẫn cáp trong khu vực của bạn có thể cho bạn thuê một “chỗ” trên đường cáp của họ với giá hấp dẫn hơn với đường điện thoại. Cần phải biết những thiết bị gì cần cho hệ thống của mình và độ rộng của dải mà bạn sẽ được cung cấp là bao nhiêu. Cũng như việc đóng góp chi phí với những khách hàng khác cho kênh liên lạc đó là như thế nào. Một dạng kỳ lạ hơn được đưa ra với tên gọi là mạng “lai” (“hybrid” Network), với một kênh CATV được sử dụng để lưu thông theo một hướng và một đường ISDN hoặc gọi số sử dụng cho đường trở lại. Nếu muốn cung cấp thông tin trên Internet, bạn phải xác định chắc chắn rằng “kênh ngược” của bạn đủ khả nǎng phục vụ cho nhu cầu thông tin của khách hàng của bạn. 
• Frame relay. Frame relay “uyển chuyển” hơn đường thuê bao. Khách hàng thuê đường Frame relay có thể mua một dịch vụ có mức độ xác định – một “tốc độ thông tin uỷ thác” (“Committed Information Rale” – CIR). Nếu như nhu cầu của bạn trên mạng là rất “bột phát” (burty), hay người sử dụng của bạn có nhu cầu cao trên đường liên lạc trong suốt một khoảng thời gian xác định trong ngày, và có ít hoặc không có nhu cầu vào ban đêm – Frame relay có thể sẽ kinh tế hơn là thuê hoàn toàn một đường T1 (hoặc T3). Nhà cung cấp dịch vụ của bạn có thể đưa ra một phương pháp tương tự như là phương pháp thay thế đó là Switched Multimegabit Data Service.
  
• Chế độ truyền không đồng bộ (Asynchoronous Trangfer Mode – ATM). ATM là một phương pháp tương đối mới đầu tiên báo hiệu cùng một kỹ thuật cho mạng cục bộ và liên khu vực. ATM thích hợp cho real-time multimedia song song với truyền dữ liệu truyền thống. ATM hứa hẹn sẽ trở thành một phần lớn của mạng tương lai.
  
• Đường vi sóng (Microware links). Nếu cần kết nối vĩnh viễn đến nhà cung cấp dịch vụ nhưng lại thấy rằng đường thuê bao hay những lựa chọn khác là quá đắt, bạn sẽ thấy microware như là một lựa chọn thích hợp. Bạn không cần trả quá đắt cho cách này của microware, tuy nhiên bạn cần phải đầu tư nhiều tiền hơn vào lúc đầu, và bạn sẽ gặp một số rủi ro như tốc độ truyền đến mạng của bạn quá nhanh.
  
• Đường vệ tinh (satellite links). Nếu bạn muốn được chuyển một lượng lớn dữ liệu đặc biệt là từ những địa điểm từ xa thì đường vệ tinh là câu trả lời. Tầm hoạt động của những vệ tinh cùng vị trí địa lý với trái đất cũng tạo ra một sự chậm trễ (hoặc “bị che dấu”) mà những người sử dụng Telnet có thể cảm nhận được.