BỘ THÔNG TIN VÀ TRUYỀN THÔNG CỤC BƯU ĐIỆN TRUNG ƯƠNG SỔ TAY MƠ HÌNH THAM CHIẾU VỀ KẾT NỐI MẠNG CỦA BỘ, NGÀNH, ĐỊA PHƯƠNG VỚI MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CỦA CÁC CƠ QUAN ĐẢNG, NHÀ NƯỚC Hà Nội, năm 2020 PHẦN I - MỞ ĐẦU Để thuận lợi tra cứu, áp dụng triển khai kết nối mạng bộ, ngành, địa phương vào mạng truyền số liệu chuyên dùng phục vụ quan Đảng, Nhà nước Cục Bưu điện Trung ương quản lý Cục Bưu điện Trung ương xây dựng sổ tay kết nối mạng bộ, ngành, địa phương vào mạng truyền số liệu chuyên dùng để triển khai áp dụng cơng việc đồng bộ, hiệu Giải thích từ ngữ: - Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước hệ thống thông tin quan trọng quốc gia, sử dụng hoạt động truyền số liệu chuyên dùng quan Đảng, Nhà nước Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước bao gồm mạng TSLCD cấp I mạng TSLCD cấp II - Cổng kết nối thiết bị mạng, thiết bị bảo mật thiết bị khác có chức tương đương để cung cấp giao diện kết nối hệ thống mạng quan, tổ chức với hệ thống mạng bên Từ ngữ viết tắt: - Mạng TSLCD: Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước - CPĐT: Chính phủ điện tử - TTDL: Trung tâm liệu - DNVT: Doanh nghiệp viễn thông - CQNN: Cơ quan Nhà nước - BNĐP: Bộ, ngành, địa phương - CBCC: Cán công chức - ATTT: An tồn thơng tin - HTTT: Hệ thống thơng tin - DNS: Hệ thống máy chủ phân giải tên miền sang IP ngược lại PHẦN II - NỘI DUNG I MƠ HÌNH TỔNG QUAN MẠNG LAN, WAN, TTDL Hình Mơ hình tổng quan kết nối mạng LAN, WAN, trung tâm liệu Phân hệ TTDL BNĐP: kết nối trực tiếp vào mạng TSLCD qua hạ tầng mạng truyền tải DNVT kết nối trụ sở BNĐP phân thành phân vùng HTTT chuyên dùng HTTT công cộng đồng sở liệu thơng qua hệ thống kiểm sốt ATTT: Phân hệ mạng diện rộng (WAN) BNĐP: kết nối tập trung lưu lượng TTDL BNĐP qua thiết bị tập trung DNVT Phân hệ mạng nội (LAN) đơn vị trực thuộc BNĐP: có kết nối kết nối mạng TSLCD cấp II kết nối Internet qua điểm tập trung Internet CQNN DNVT II MƠ HÌNH KẾT NỐI TRUNG TÂM DỰ LIỆU VÀO MẠNG TSLCD MƠ HÌNH SỐ 1: Kết nối phân vùng TTDL doanh nghiệp viễn thơng với bộ, ngành, địa phương Hình Kết nối phân vùng TTDL DNVT phục vụ BNĐP trụ sở BNĐP Mơ hình sử dụng trường hợp TTDL DNVT chưa đủ điều kiện kết nối trực tiếp vào mạng TSLCD Để triển khai mơ hình này, DNVT cần triển khai kênh kết nối cáp quang trực tiếp, qua thiết lập kênh L2/L3VPN qua hạ tầng mạng DNVT kênh IPSec VPN qua Internet từ TTDL DNVT trụ sở BNĐP BNĐP cần đáp ứng quy định Điều Thông tư số 27/2017TT-BTTTT ngày 20/10/2019; Phụ lục Thông tư số 12/2019/TT-BTTTT ngày 5/11/2019 chịu trách nhiệm vấn đề liên quan đến an toàn bảo mật kết nối vào mạng TSLCD MƠ HÌNH SỐ 2: Kết nối trực tiếp phân vùng TTDL DNVT phục vụ BNĐP vào mạng TSLCD Hình Kết nối trực tiếp phân vùng TTDL DNVT phục vụ BNĐP vào mạng TSLCD Mơ hình kết nối sử dụng trường hợp TTDL DNVT đủ điều kiện kết nối trực tiếp vào mạng TSLCD Để triển khai mơ hình này, DNVT cần triển khai kênh kết nối cáp quang trực tiếp vào mạng TSLCD cấp I qua kết nối trung kế với mạng TSLCD cấp I Cục BĐTW Với yêu cầu cần đáp ứng: TTDL DNVT cần đáp ứng quy định TTDL phục vụ BNĐP; DNVT cần phân tách khu vực riêng TTDL phục vụ BNĐP với khu vực TTDL phục vụ mục đích thương mại cho người dân, tổ chức, doanh nghiệp; Tại khu vực TTDL phục vụ BNĐP: cần phân tách phân vùng HTTT chuyên dùng phân vùng HTTT cơng cộng MƠ HÌNH SỐ 3: Kết nối TTDL BNĐP vào mạng TSLCD Hình Kết nối TTDL BNĐP vào mạng TSLCD Mô hình kết nối sử dụng trường hợp BNĐP có TTDL riêng đặt trụ sở BNĐP Kết nối từ TTDL BNĐP vào mạng TSLCD sử dụng kênh truyền mạng TSLCD sẵn có BNĐP Với yêu cầu cần đáp ứng: BNĐP cần phân tách phân vùng HTTT chuyên dùng phân vùng HTTT công cộng - Đối với phân vùng HTTT chuyên dùng: Kết nối vào mạng TSLCD sử dụng IP private Cục BĐTW quy hoạch; Phân vùng HTTT chuyên dùng để đồng sở liệu với HTTT Chính phủ, BNĐP khác kết nối từ cán bộ, công chức đến HTTT chuyên dùng - Đối với phân vùng HTTT công cộng: Phân vùng HTTT công cộng phục vụ người dân, tổ chức, doanh nghiệp truy cập đến HTTT công cộng; Sử dụng AS/IP độc lập VNNIC cấp, kết nối Internet theo chế multi-home tới nhiều ISP, kết nối vào VNIX MƠ HÌNH SỐ 4: Mơ hình kết nối Internet TTDL a) Mơ hình kết nối Internet TTDL Phân hệ Internet TTDL quy hoạch cung cấp dịch vụ chung cho hoạt động BNĐP, bao gồm ứng dụng, cổng thông tin BNĐP, dịch vụ web khác, sở liệu, hệ thống thông tin dùng chung DNS, thư điện tử (email)… Hình Kết nối Internet TTDL Phân hệ Internet cần quy hoạch theo kiến trúc mạng độc lập, kết nối đa hướng (multi-home), bước chuyển đổi IPv6 b) Giải pháp kết nối đa hướng với ISP Trạm trung chuyển Internet quốc gia VNIX Hình Kết nối đa hướng với ISP VNIX Hệ thống mạng TTDL kết nối Internet cần thiết kế theo mô hình phân tầng, bao gồm khối sau: - Tầng định tuyến: khối Router Gateway kết nối định tuyến đa hướng cho toàn hệ thống mạng với ISP, trạm trung chuyển Internet quốc gia VNIX - Tầng an toàn an ninh: khối Firewall/IPS đảm bảo an toàn tổng thể cho hệ thống mạng, bảo vệ hệ thống mạng phân vùng quản lý phía mạng - Tầng chuyển mạch: khối Hệ thống chuyển mạch (Switch) kết nối tầng, phân vùng quản lý hệ thống thiết bị máy chủ - Tầng máy chủ: khối Server farm máy chủ, ứng dụng, thiết bị lưu trữ, lưu… Các phương án để kết nối Internet TTDL sau: - Phương án kết nối Internet qua DNVT (ISP): phân hệ Internet TTDL kết nối (peering, transit) với hoặc nhiều ISP để trao đổi lưu lượng transit Internet theo nhu cầu - Phương án đấu nối VNIX1: Hệ thống trạm trung chuyển Internet quốc gia VNIX quản lý Trung tâm Internet Việt nam (VNNIC), triển khai điểm Hà Nội, Đà Nẵng Tp Hồ Chí Minh VNIX cho phép mạng quan, tổ chức, doanh nghiệp sử dụng số hiệu mạng ASN địa IP độc lập VNNIC cấp phát kết nối đến để trao đổi lưu lượng Internet Đối với phân hệ Internet TTDL kết nối VNIX theo mơ sau: + Kết nối đa phương MLPA để trao đổi lưu lượng Internet nước: Với mơ hình kết nối với VNIX phân hệ Internet TTDL cần thiết lập kênh kết nối vật lý, cấu hình định tuyến eBGP ngang hàng (peering) với thiết bị quản lý định tuyến (route server) VNIX kết nối trao đổi lưu lượng trực tiếp với tất thành viên khác, có 21 thành viên ISP, ICP, IDC, mạng quan nhà nước, phủ, mạng DNS quốc gia, DNS ROOT … kết nối VNIX + Kết nối song phương BLPA: Trên sở kênh kết nối vật lý tới VNIX, việc kết nối đa phương MLPA BNĐP thỏa thuận kết nối song phương BLPA với thành viên khác có VNIX để trao đổi lưu lượng riêng transit qua mạng khác Có thể thoả thuận với ISP kết nối vào VNIX để transit lưu lượng Internet quốc tế VNIX thay phải thuê thêm kênh vật lý đến ISP Có thể kết hợp hai phương án kết nối (qua ISP VNIX) đảm bảo tính sẵn sàng cho hệ thống, tiết kiệm chi phí đường truyền tăng chất lượng kết nối dịch vụ cho hệ thống phân mạng kết nối Internet cho tổ chức BNĐP c) Quy hoạch địa IP (IPv4/IPv6): Hệ thống mạng BNĐP cần phải phân vùng với mục đích, mức độ an tồn khác để quản lý; quy hoạch địa IP cho toàn hạ tầng CNTT đảm bảo hiệu quả, liên tục, tránh bị phân mảnh, đáp ứng nhu cầu sử dụng khối đảm bảo khả mở rộng tương lai mà không cần quy hoạch, thay đổi lại địa sách định tuyến https://vnnic.vn/vnix Sử dụng địa IPv4, IPv6 số hiệu mạng độc lập (ASN) VNNIC cấp để quy hoạch, phân bổ phân hệ Internet TTDL, không dùng địa IP private kết hợp với NAT để cung cấp dịch vụ Internet BNĐP đăng ký với VNNIC 01 số hiệu mạng, 01 vùng địa IPv4 (2^16 = 512 địa chỉ) 01 vùng địa IPv6 /32 /48 (tương đương với 2^32 địa 2^48 địa chỉ) Từ chia thành vùng địa nhỏ tuỳ theo nhu cầu, ví dụ sau (tham khảo website VNNIC2): - Các phân vùng mạng cho ứng dụng kết nối trực tiếp Internet: DMZ-1, DMZ-2: /25 địa IPv4 (2^7 = 128 địa chỉ), /56 địa IPv6 - Các phân vùng CSDL, Middleware: /26 địa IPv4 (2^6=64 địa chỉ), /64 địa IPv6 - Phân vùng NOC/SOC: /27 địa IPv4, /64 địa IPv6 - Phân vùng kết nối bên tới ISP: /29 địa IPv4, /64 địa IPv6 - Dự phòng địa cho phân vùng phát sinh tương lai Hình Quy hoạch IPv4/IPv6 https://www.vnnic.vn/sites/default/files/tailieu/VNNIC_TaiLieuHuongDanQuiHoachQuanLySuDungIPv6.pdf d) Chuyển đổi IPv6: Địa IPv4 hết, khơng cịn đủ để phát triển mạng Internet, cần phải chuyển đổi sang IPv6 Việc triển khai chuyển đổi IPv6 khuyến nghị theo phương án song song IPv4/IPv6 (dual-stack), sau tiến tới dùng IPv6 (IPv6 only) Chi tiết tham khảo địa chỉ: https://vnnic.vn/ipv6forgov Hình Lộ trình chuyển đổi IPv6 cho quan Nhà nước Về CQNN thực theo lộ trình chuyển đổi giai đoạn, 10 bước3 theo khuyến nghị VNNIC https://www.vnnic.vn/sites/default/files/tailieu/brochureIPv6-coquannhanuoc-final.pdf 10 III MƠ HÌNH KẾT NỐI MẠNG WAN CỦA BỘ, NGÀNH VÀO MẠNG TSLCD MƠ HÌNH SỐ 5: Kết nối mạng WAN Bộ, ngành vào mạng TSLCD MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP I - CỤC BƯU ĐIỆN TRUNG ƯƠNG ĐIỂM TẬP TRUNG MẠNG WAN BỘ/NGÀNH Server Farm User Internet 01 MẠNG BACKBONE LIÊN TỈNH Internet 02 ROUTER BIÊN CÁP QUANG TRUNG KẾ (1+1) MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP II ROUTER BIÊN LƯU LƯỢNG TSLCD MẠNG TRUYỀN TẢI CỦA DOANH NGHIỆP VIỄN THÔNG / MẠNG WAN BỘ/NGÀNH TỰ TRIỂN KHAI ROUTER BIÊN ROUTER BIÊN ROUTER BIÊN ĐƠN VỊ TRỰC THUỘC A ĐƠN VỊ TRỰC THUỘC B ĐƠN VỊ TRỰC THUỘC C Gh i chú: Lưu lượng WAN Hình Mơ hình kết nối mạng WAN Bộ, ngành vào mạng TSLCD Mơ hình kết nối mơ hình kết nối trực tiếp đơn vị trực thuộc bộ, ngành lên điểm tập trung mạng WAN bộ, ngành (thông thường trụ sở TTDL bộ, ngành) Với yêu cầu cần đáp ứng: Trên hạ tầng mạng TSLCD cấp II (trong trường hợp bộ, ngành đơn vị trực thuộc có kết nối mạng TSLCD cấp II) hạ tầng mạng WAN bộ, ngành (trong trường hợp bộ, ngành tự triển khai hạ tầng mạng WAN riêng): tạo kết nối điểm – đa điểm từ đơn vị trực thuộc điểm tập trung mạng WAN bộ, ngành; Tại điểm tập trung mạng WAN bộ, ngành: thực chuyển tiếp lưu lượng từ đơn vị trực thuộc đến ứng dụng TTDL bộ, ngành 11 IV MƠ HÌNH KẾT NỐI MẠNG WAN CỦA ĐỊA PHƯƠNG VÀO MẠNG TSLCD MƠ HÌNH SỐ 6: Mơ hình tập trung lưu lượng WAN Internet điểm quản lý tập trung địa phương Hình 10 Mơ hình tập trung lưu lượng WAN Internet điểm quản lý tập trung địa phương Mô hình sử dụng trường hợp địa phương có nhu cầu triển khai Internet tập trung cho đơn vị trực thuộc Với yêu cầu cần đáp ứng: Trên hạ tầng mạng TSLCD cấp II (trong trường hợp địa phương đơn vị trực thuộc có kết nối mạng TSLCD cấp II) hạ tầng mạng WAN địa phương (trong trường hợp địa phương tự triển khai hạ tầng mạng WAN riêng): tạo kết nối điểm – đa điểm từ đơn vị trực thuộc điểm tập trung mạng WAN địa phương; Tại điểm tập trung mạng WAN địa phương thực hiện: Chuyển tiếp lưu lượng từ đơn vị trực thuộc đến ứng dụng TTDL địa phương Chuyển tiếp lưu lượng kết nối Internet đơn vị trực thuộc qua kênh kết nối Internet điểm tập trung 12 MƠ HÌNH SỐ 7: Mơ hình tập trung lưu lượng WAN điểm quản lý tập trung địa phương Hình 11 Mơ hình tập trung lưu lượng WAN điểm quản lý tập trung địa phương Mơ hình sử dụng trường hợp địa phương khơng có nhu cầu triển khai Internet tập trung cho đơn vị trực thuộc Với yêu cầu cần đáp ứng: Trên hạ tầng mạng TSLCD cấp II (trong trường hợp địa phương đơn vị trực thuộc có kết nối mạng TSLCD cấp II) hạ tầng mạng WAN địa phương (trong trường hợp địa phương tự triển khai hạ tầng mạng WAN riêng): tạo kết nối điểm – đa điểm từ đơn vị trực thuộc điểm tập trung mạng WAN địa phương; Tại điểm tập trung mạng WAN địa phương thực chuyển tiếp lưu lượng từ đơn vị trực thuộc đến ứng dụng TTDL địa phương; Đối với lưu lượng Internet: thực rẽ nhánh trực tiếp cổng kết nối đơn vị trực thuộc 13 MÔ HÌNH SỐ 8: Mơ hình tập trung lưu lượng WAN điểm quản lý tập trung DNVT Hình 12 Tập trung lưu lượng điểm quản lý tập trung DNVT Mơ hình sử dụng trường hợp địa phương khơng có đủ trang thiết bị để thiết lập điểm tập trung mạng WAN địa phương Với yêu cầu cần đáp ứng: Trên hạ tầng mạng TSLCD cấp II: tạo kết nối điểm – đa điểm từ đơn vị trực thuộc điểm tập trung mạng WAN địa phương DNVT; Tại điểm tập trung mạng WAN địa phương DNVT thực chuyển tiếp lưu lượng từ đơn vị trực thuộc đến ứng dụng TTDL địa phương; Đối với lưu lượng Internet: thực rẽ nhánh trực tiếp cổng kết nối đơn vị trực thuộc 14 V MƠ HÌNH KẾT NỐI MẠNG LAN CỦA ĐƠN VỊ TRỰC THUỘC BNĐP VÀO MẠNG TSLCD MƠ HÌNH SỐ 9: Kết nối mạng LAN đơn vị trực thuộc BNĐP vào mạng TSLCD: Hình 13 Kết nối mạng LAN đơn vị trực thuộc BNĐP vào mạng TSLCD: Mơ hình sử dụng trường hợp đơn vị khơng có HTTT (thường điểm quận/huyện, xã/phường) Với yêu cầu cần đáp ứng: Tại cổng kết nối đơn vị: thực tách riêng phân hệ kết nối Internet (IP Public VNNIC quy hoạch) phân hệ kết nối mạng TSLCD (IP private Cục BĐTW quy hoạch) Cổng kết nối đơn vị cần đáp ứng yêu cầu Phụ lục Thông tư 12/2019/TT-BTTTT; Tại phân hệ LAN: máy tính sử dụng đồng thời kết nối Internet TSLCD (IP đơn vị sử dụng quy hoạch); Trên hạ tầng mạng DNVT cung cấp kết nối Internet cho đơn vị: cần triển khai điểm tập trung Internet cho CQNN để quản lý tập trung lưu lượng Internet CQNN địa phương 15 VI MƠ HÌNH HỆ THỐNG DNS MƠ HÌNH SỐ 10: Hệ thống DNS quản lý tên miền .gov.vn BNĐP a) Phân cấp tên miền máy chủ quản lý tên miền: ICANN Root Server VN VNNIC vn, gov.vn, DNS Server (DNS Quốc gia VN) Bộ, Ngành, Địa Phương .gov.vn .gov.vn DNS Server Zone tên miền Chuyển giao Máy chủ DNS quản lý Hình 14 Hệ thống DNS quản lý tên miền .gov.vn BNĐP b) Mơ hình khuyến nghị: Khuyến nghị mơ hình tổng thể DNS quản lý tên miền theo hình vẽ sau: VNNIC TRUNG TÂM DỮ LIỆU BNĐP Chuyển giao vn, gov.vn, DNS Server (DNS Quốc gia VN) ISP/DNS Hosting/Nhà đăng ký tên miền .gov.vn DNS Primary .gov.vn DNS Secondary Hình 15 Mơ hình tổng thể DNS quản lý tên miền 16 BNĐP có tối thiểu 02 máy chủ DNS để quản lý tên miền, máy chủ (Master) đặt TTDL, máy chủ phụ (secondary) đặt thuê ISP/Đơn vị cung cấp dịch vụ DNS Hosting Hoạt động truy cập tên miền www..gov.vn sau: Root Server Web server www..gov.vn vn, gov.vn, DNS Server (DNS Quốc gia VN) .gov.vn DNS Server (Authoritative DNS) Internet User Local DNS Server (DNS Caching) Hình 16 Hoạt động truy cập tên miền www. Chương trình máy người sử dụng (máy client) gửi yêu cầu tìm kiếm địa IP ứng với tên miền .gov.vn tới máy chủ quản lý tên miền cục Local DNS Server (DNS Caching) thuộc mạng Máy chủ DNS Caching thực trình truy vấn đệ quy tìm kiếm thơng tin địa IP tên miền trả lời cho client để truy cập website www..gov.vn c) Khai báo, quản lý tên miền ngược: BNĐP cấp phát địa IP từ VNNIC, đưa vào sử dụng cần khai báo tên miền ngược máy chủ DNS mình, chi tiết tham khảo hướng dẫn địa sau: https://www.vnnic.vn/diachiip/hotro/thamkhao/ d) Các yêu cầu cụ thể: - Máy chủ DNS: tối thiểu 02 máy chủ DNS với địa IP khác quản lý tên miền đặt 02 mạng độc lập khác nhau: TTDL BNĐP đơn vị cung cấp dịch vụ ISP, DNS Hosting nhà đăng ký tên miền - 01 máy chủ DNS Primary (Master) quản lý liệu chính, toàn khai báo ghi dịch vụ .gov.vn thực máy chủ 17 - 01- 02 máy chủ DNS Secondary (Slave): đồng với máy chủ master theo chế zone transfer, sử dụng TSIG để đảm bảo an toàn (XFR + TSIG) Cơ chế TSIG (transaction signature) trình sử dụng chung mã bảo mật chia sẻ máy chủ DNS Primary DNS Secondary để đảm bảo giao tiếp máy chủ DNS xác thực .gov.vn DNS Primary Cơ sở liệu sync .gov.vn DNS Secondary Internet XFR + TSIG XFR + TSIG .gov.vn DNS Secondary Hình 17 Đồng CSDL máy chủ DNS Primary Secondary - Ghi nhật ký hoạt động, phần mềm giám sát DNS, phân tích log DNS - Triển khai DNSSEC, đóng vai trị ký DNSSEC cho tên miền để đảm bảo an tồn tên miền Các cơng việc thực tạo khóa DNSSEC ký lên zone tên miền .gov.vn Gửi cập nhật đăng ký ghi chuyển giao (Deligation Signer - DS) lên hệ thống DNS quốc gia VNNIC quản lý thông qua nhà đăng ký tên miền DNSSEC: ký DNSSEC cho tên miền .gov.vn .gov.vn DNS Caching Client query .gov.vn Authoritative DNS recursive query validated response Non-validated authentic response Non-authentic Attacker Attacker Hình 18 Triển khai DNSSec Tham khảo hướng dẫn: https://vnnic.vn/sites/default/files/tailieu/VNNICTaiLieuHuongDanTrienKhaiDNSSEC-DHP-Final.pdf 18 MƠ HÌNH SỐ 11: Hệ thống máy chủ tên miền đệm (DNS Caching) a) Sự cần thiết: Phục vụ truy cập dịch vụ Internet sử dụng tên miền, truy vấn tên miền VN tên miền quốc tế thiết bị (máy tính để bàn, máy tính xách tay, thiết bị di động…) mạng đơn vị (BNĐP) Quản lý thiết lập sách truy cập tên miền tập trung, hệ thống DNS Caching kết hợp với hệ thống ATTT khác để bảo vệ chống mã độc, botnet… b) Mơ hình khuyến nghị: Khuyến nghị mơ hình tổng thể DNS Caching cho BNĐP sau: VNIX/Nước TRUNG TÂM DỮ LIỆU BNĐP Zone transfer .gov.vn DNS Primary .gov.vn DNS Secondary Root Server ISP/DNS Hosting/Nhà đăng ký tên miền .gov.vn DNS Caching VNNIC LAN vn, gov.vn, DNS Server (DNS Quốc gia VN) PC, Laptop Hình 19 Mơ hình tổng thể DNS Caching cho BNĐP - Các thiết bị (máy tính để bàn, máy tính xách tay, thiết bị di động, …) mạng đơn vị (BNĐP) trước kết nối sử dụng dịch vụ (nội Internet) việc phải kết nối, truy vấn tên miền để tìm kiếm thơng tin địa IP dịch vụ cần kết nối đến - Hệ thống DNS Caching tìm kiếm trả lời thông tin tên miền cho thiết bị mạng đơn vị yêu cầu hình vẽ c) Các yêu cầu cụ thể: - Máy chủ DNS: tối thiểu 02 máy chủ DNS Caching với địa IP khác đặt trung tâm TTDL BNĐP 02 máy chủ hoạt động Active-Active, đảm bảo 19 khả dự phịng nóng, 01 máy chủ bị lỗi hỏng hóc cịn 01 máy chủ cịn lại hoạt động, đảm bảo khơng bị gián đoạn - Hệ thống thiết lập theo chế đệ quy (recursive), tức tìm kiếm câu trả lời từ máy chủ DNS khác để trả lời cho máy trạm (client) Hoặc hệ thống thiết lập theo chế caching forwarder (chuyển tiếp) để chuyển tiếp toàn kết nối, truy vấn tên miền đến hệ thống DNS Caching khác - Hệ thống phục vụ truy vấn tên miền từ thiết bị (máy tính để bàn, máy tính xách tay, thiết bị di động, …) mạng đơn vị, không tiếp nhận phục vụ truy vấn tên miền từ bên - Toàn thiết bị (máy tính để bàn, máy tính xách tay, thiết bị động, …) mạng đơn vị phải cấu hình để sử dụng hệ thống DNS Caching - Ghi nhật ký hoạt động, phần mềm giám sát DNS, phân tích log DNS - Triển khai DNSSEC, đóng vai trị xác thực (validation) để đảm bảo an tồn tên miền: DNS Caching hỗ trợ DNSSEC có vai trò quan trọng, giúp bảo vệ người sử dụng, chống lại việc giả mạo phản hồi truy vấn tên miền thông quan việc xác thực chữ ký số ghi DNS có câu trả lời truy vấn tên miền DNSSEC: bật chức xác thực DNSSEC (validation) .gov.vn DNS Caching Client .gov.vn Authoritative DNS query recursive query validated response authentic response Non-validated Non-authentic Attacker Attacker Hình 20 Triển khai DNSSec Tham khảo hướng dẫn: https://vnnic.vn/sites/default/files/tailieu/VNNICTaiLieuHuongDanTrienKhaiDNSSEC-ISP-Final.pdf 20 VII Mơ hình mục tiêu Hình 21 Mơ hình mục tiêu Mơ hình mục tiêu mơ hình chuẩn, đáp ứng yêu cầu ATTT, sử dụng trường hợp BNĐP có đầy đủ điều kiện, trang thiết bị để triển khai Các yêu cầu bản: - Trên hạ tầng mạng TSLCD cấp II (trong trường hợp BNĐP đơn vị trực thuộc có kết nối mạng TSLCD cấp II) hạ tầng mạng WAN BNĐP (trong trường hợp BNĐP tự triển khai hạ tầng mạng WAN riêng): tạo kết nối điểm – đa điểm từ đơn vị trực thuộc điểm tập trung mạng WAN BNĐP - Tại điểm tập trung mạng WAN BNĐP thực hiện: + Chuyển tiếp lưu lượng từ đơn vị trực thuộc đến ứng dụng HTTT chuyên dùng BNĐP đặt TTDL DNVT + Chuyển tiếp lưu lượng kết nối Internet đơn vị trực thuộc qua kênh kết nối Internet điểm tập trung 21