Lesson 01 — An ninh mạng (Network Security)

Ba module tương tác: mô phỏng firewall rule engine, sơ đồ mạng với DMZ, và minh họa đường hầm VPN mã hóa.

1. Mô phỏng Firewall Rule Engine

Định nghĩa ruleset (hoặc dùng bộ mặc định), nhập thông tin gói tin, rồi bấm Chạy Engine để xem quá trình duyệt rule từng bước.

# Src IP / Subnet Dst IP / Subnet Dst Port Protocol Action

Nhập thông tin gói tin

Cách đọc kết quả: Engine duyệt rule từ #1 xuống. Gói khớp rule đầu tiên thì thực hiện action ngay, không kiểm tra rule tiếp theo. Rule cuối thường là DENY any (implicit deny).

2. Sơ đồ mạng — DMZ và phân vùng

Click vào các nút bấm để xem luồng traffic qua sơ đồ mạng — từ internet vào web server (DMZ), và từ DMZ vào database (internal).

INTERNET FW ngoài 80✓ 443✓ DB✗ INT✗ DMZ Web Server 10.0.1.10 Mail Server 10.0.1.20 DNS Server 10.0.1.30 FW trong 5432✓ DEF✗ INTERNAL Database Server 10.0.2.10 App Server 10.0.2.20 Workstations 10.0.2.100-200 U User A Attacker ISP Router Không tin cậy Bán tin cậy Tin cậy cao
Click nút phía trên để xem luồng traffic và giải thích.

3. Minh họa đường hầm VPN mã hóa

Chọn chế độ VPN và bấm Gửi gói tin để xem quá trình đóng gói, mã hóa, và giải mã trong tunnel VPN.

Văn phòng HN 10.1.0.0/16 VPN GW ENCRYPT INTERNET (Không tin cậy) VPN GW DECRYPT Trụ sở HCM 10.2.0.0/16 Host nội bộ 10.1.0.50 Server nội bộ 10.2.0.30 Tunnel mã hóa Nghe lén Gói gốc (plaintext) src: 10.1.0.50 dst: 10.2.0.30 ██████████████████ Gói đã mã hóa (IPsec/WG) Sau giải mã (plaintext) src: 10.1.0.50 dst: 10.2.0.30
Chọn chế độ VPN và bấm Gửi gói tin để bắt đầu mô phỏng.
Tại sao kẻ nghe lén không đọc được? Trong tunnel, gói IP gốc được mã hóa (AES-256 với IPsec, ChaCha20 với WireGuard) — dữ liệu trở thành chuỗi byte ngẫu nhiên. Kẻ nghe lén trên đường truyền chỉ thấy outer IP header (địa chỉ hai VPN gateway) và chuỗi bytes không có nghĩa. Khóa giải mã chỉ tồn tại tại 2 đầu tunnel.