ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Nguyễn Thị Phương MẠNG RIÊNG ẢO VÀ GIẢI PHÁP HỆ THỐNG TRONG TỔNG CỤC THUẾ Ngành: Công nghệ Thông tin Chuyên ngành: Truyền liệu Mạng máy tính Mã số: 60 48 15 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS TS NGUYỄN VĂN TAM Hà Nội - 2009 Trường Cao Đẳng Giao Thông VậnTải LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục Danh mục thuật ngữ từ viết tắt Danh mục hình vẽ MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Tổng quan 1.2 Khái niệm VPN 1.3 Khái niệm đường hầm 10 1.4 Phân loại VPN 10 1.4.1 Overlay VPN 11 1.4.2 Site to site VPN ( Mơ hình VPN ngang cấp) 15 1.5 Kết luận 21 CHƢƠNG MẠNG RIÊNG ẢO TRÊN NỀN CÔNG NGHỆ MPLS 22 2.1 Vấn đề đặt ra? 22 - Tính khả chuyển 22 - Điều khiển lưu lượng 23 - Chất lượng dịch vụ (QoS) 23 2.2 Chuyển mạch nhãn đa giao thức gì? 25 2.2.1 2.2.2 2.2.3 2.2.4 Khái niệm 25 Đặc điểm mạng MPLS 25 Một số khái niệm kiến trúc MPLS .26 Phương thức hoạt động công nghệ MPLS 29 2.2.5 Chuyển tiếp gói MPLS đường chuyển mạch nhãn .33 2.3 Kết luận 40 CHƢƠNG ỨNG DỤNG MPLS IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG 41 3.1 Bối cảnh chung 41 3.2 Đánh giá ưu nhược điểm hệ thống sở hạ tầng 44 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2.1 Mơ hình kết nối WAN vấn đề đặt ra? .44 3.2.2 Mơ hình kết nối Internet vấn đề nảy sinh 46 3.3 Giải pháp MPLS IP VPN để nâng cao an ninh cho hệ thống mạng TCT 51 3.3.1 Đề xuất cải tiến để đảm bảo tính dự phịng an ninh cho hệ thống51 3.3.2 Giải pháp thiết kế hệ thống 54 3.3.3 Đánh giá hệ thống đảm bảo an ninh 68 3.3.4 Hoạt động thử nghiệm 75 3.4 Kết luận 76 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 78 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC CÁC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT Tên viết tắt BTC Nội dung Bộ tài Hệ thống khách hàng sử dụng dịch vụ nhà C (Custommer network) – C network CE(Customer network device) CEF cung cấp Các thiết bị hệ thống C – network mà dùng để kết nối với hệ thống nhà cung cấp Cisco Express Forwarding Chính CE router CE router nối với PE router mạng VPN bao gồm nhóm CE router kết nối với PE router nhà cung cấp dịch vụ, Tuy nhiên có CPE PE router có khái niệm VPN cịn CE router khơng nhận thấy diễn mạng nhà cung cấp coi chúng kết nối với thông qua mạng riêng Một phần hệ thống C network mà Customer site thành phần láng giềng chúng có nhiều liên kết vật lý FEC Lớp chuyển tiếp tương đương FEC Lớp chuyển tiếp tương đương Frame Relay Công nghệ chuyển mạch khung IP Internet Protocol L2PT ( Layer Tunnening Protocol) Giao thức đường hầm lớp MPLS (Multiprotocol Label Switching ) Chuyển mạch nhãn đa giao thức P: Provider – P network Nhà cung cấp dịch vụ VPN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tên viết tắt Nội dung Các thiết bị hệ thống mạng P network PE (Provider edge device) mà dùng để kết nối với hệ thống khách hàng PPTP (Point to Point Tunnening Protocol) Giao thức đường hầm điểm điểm PVC Kênh ảo cố định PVC ( permanent virtual Mạch ảo cố định circuit) QoS (Quality of Service) Chất lượng dịch vụ Router Bộ định tuyến SVC (switch virtual circuit) Mạch ảo chuyển đổi TCT Tổng cục thuế TDM ( time divisor Công nghệ chuyển mạch kênh, tách ghép kênh multiplexing) theo thời gian TTM Trung tâm miền TTT Trung tâm tỉnh VC(Vitual chanel) Kênh ảo VPN (Vitual private network) Mạng riêng ảo VRF(vitual Bảng định tuyến ảo routing/forwarding table) X.25 Công nghệ chuyển mạch gói LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC HÌNH VẼ Hình 1.2 Over lay VPN triển khai lớp 12 Hình 1.3 Mơ hình Overlay VPN triển khai lớp 13 Hình 1.4 Mơ hình triển khai dạng đường hầm 14 Hình 1.5 Mơ hình Overlay VPN 14 Hình 1.6 Mơ hình site to site VPN 16 Hình 1.7 Mơ hình VPN ngang cấp sử dụng router dùng chung 17 Hình 1.8 Mơ hình VPN ngang cấp với router dùng chung 18 Hình 1.9 Mơ hình VPN ngang cấp sử dụng router dành riêng 19 Hình 1.10 Mơ hình router dành riêng 20 Hình 2.1 Full mesh với kết nối ảo 23 Hình 2.2 Một ví dụ mạng IP dựa mạng lõi ATM 24 Hình 2.3 Nhãn kiểu khung 26 Hình 2.4 Nhãn kiểu tế bào 27 Hình 2.5 Cấu trúc nút MPLS 30 Hình 2.6 Các FEC riêng biệt cho tiền tố địa 32 Hình 2.7 Tổng hợp FEC 32 Hình 2.8 Sự tạo nhãn MPLS chuyển tiếp 33 Hình 2.9 Các ứng dụng khác MPLS 34 Hình 2.10 Mơ hình mạng MPLS 37 Hình Hình Hình Hình Hình 3.1 Hạ tầng mạng BTC 42 3.2 Mơ hình Overlay layer – – VPN mạng trục 44 3.3 Mô hình Peer – to – Peer VPN TTM, TTT 45 3.4 Mơ hình kết nối Internet BTC 47 3.5 Kết nối mạng diện rộng hệ thống Thuế 49 Hình Hình Hình Hình 3.6 Dịng liệu ngành Thuế 50 3.7 Kiến trúc hệ thống truyền thông BTC 51 3.8 Sơ đồ kết nối mạng trục BTC 52 3.9 Các kết nối WAN hai trung tâm miền 53 Hình Hình Hình Hình 3.10 Sơ đồ hệ thống mạng phân bố từ TTM xuống TTT 54 3.11 Cấu trúc mạng trục với WAN truyền thống MPLS VPN 55 3.12 Mơ hình kết nối sử dụng dịch vụ MPLS IP VPN 55 3.13 Khả định tuyến gói tin MPLS IP VPN 56 Hình 3.14 Mơ hình vùng MPLS IP VPN thuê nhà cung cấp dịch vụ 56 Hình 3.15 Mơ hình kết nối sử dụng IP Sec VPN thông qua Internet 57 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.16 Lớp mạng trục BTC 58 Hình 3.17 Kết nối từ TTT lên TTM 59 Hình 3.18 Lớp mạng phân phối Bộ tài 60 Hình 3.19 Các phân lớp mạng 61 Hình 3.20 Virtual Interface với GRE Encapsulation thông qua mạng MPLS VPN công cộng 62 Hình 3.21 Các kết nối GRE hệ thống 63 Hình 3.22 Mạng trung ương ngành truy cập vào mạng WAN BTC 64 Hình 3.23 Lớp truy cập đơn vị vào mạng WAN tài 65 Hình 3.24 Sử dụng 02 Router kết nối cho đơn vị có u cầu tính dự phịng cao 65 Hình 3.25 Truy cập IPSec VPN tới MPLS VPN tài thơng qua Internet 66 Hình 3.26 Mơ hình khai báo Thuế On-line 68 Hình Hình Hình Hình Hình 3.27 Kiến trúc bảo mật đề xuất 69 3.28 Mã hoá đường truyền Leased – lines TTT - TTM 70 3.29 Mô hình phân tách lớp mạng, đảm bảo an ninh cho đơn vị 71 3.30 An ninh vịng ngồi 73 3.31 Bảo vệ hệ thống ứng dụng 74 Hình 3.32 Mơ hình thử nghiệm 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU Thế kỷ 20 coi kỷ phát minh quan trọng thúc đẩy xã hội phát triển Đi đầu cách mạng không kể tới tiến vượt bậc áp dụng Thuế, Ngân hàng - thành phần kinh tế then chốt đáp ứng nhu cầu tài huyết mạch kinh tế Ngày nay, mà có nhiều cơng ty kết nối mạng doanh nghiệp với Intemet, hay cơng ty có nhiều trụ sở vị trí địa lý khác cần liên lạc thông tin nội ngành với việc bảo mật thơng tin ngành điều bắt buộc phải đối mặt với vấn đề khơng tránh khỏi bảo mật thơng tin Viêc chia sẻ thông tin mạng công cộng có nghĩa người muốn tìm kiếm, khơi phục thơng tin lên mạng Điều xảy người tiếp cận thông tin lại có ý định phá mạng Nhưng hacker có ý đồ xấu nghe thông tin, tiếp cận thông tin khơng đáng, trái phép, lừa bịp, chép thơng tin mối đe doạ lớn cho việc bảo mât mạng Vậy làm để bảo mật thơng tin q trình truyền tin mạng chung? Có nhiều phương án để đảm bảo truyền tin mạng cách an toàn phương án hữu hiệu triển khai mạng riêng ảo (Virtual private network - VPN) VPN hệ thống mạng triển khai dựa quy tắc: áp dụng tiêu chuẩn bảo mật, quản lý chất lượng dịch vụ hệ thống mạng công cộng vào hệ thống mạng cá nhân VPN cung cấp cho lựa chọn mới: Xây dựng mạng cá nhân cho thông tin liên lạc klểu site- to- site mạng cơng cộng hay Intemet Bởi hoat động mạng chung thay mạng cá nhân nên cơng ty mở rộng WAN mơt cách hiệu quả, khách hàng di động hay văn phịng nơi xa xơi, khách hàng hay nhà cung cấp hay đối tác kinh doanh VPN mở rộng WAN truyền thống cách thay kết nối điểm tới điểm vật lý kết điểm tới điểm logic chia sẻ hạ tầng chung, cho phép tất lưu lượng tổng hợp, hội tụ vào kết nối vât lý Kết tạo nên băng thông tiềm tiết kiệm chí phí đầu Bởi khách hàng khơng cịn phải trì mạng cá nhân thân VPN rẻ tiết kiệm chi phí đáng kể so với WAN, tồn chi phí hoạt động vận hành giảm VPN thay cho hạ tầng WAN, thay chí cịn tăng cường hệ thống mạng thương mại cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM Luận văn “Mạng riêng ảo giải pháp hệ thống Tổng Cục Thuế” vào nghiên cứu mạng riêng ảo, phân tích loại mạng riêng ảo cho thấy LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com mặt tích cực hạn chế loại, bên cạnh nghiên cứu cơng nghệ MPLS – công nghệ chuyển mạch nhãn đa giao thức – , Các ứng dụng công nghệ MPLS sâu vào nghiên cứu ứng dụng quan trọng cơng nghệ MPLS mạng riêng ảo Trên sở phân tích mang tính lý thuyết luận văn đưa giải pháp để ứng dụng công nghệ vào hệ thống mạng thực tế Tổng cục thuế Về bố cục, nội dung luận văn chia làm chương: Chương 1: Nghiên cứu tổng quan mạng riêng ảo, loại mạng riêng ảo Chương 2: Nghiên cứu mạng riêng ảo công nghệ MPLS Chương 3: Nghiên cứu hệ thống mạng truyền thông Tổng cục thuế sở phân tích, khảo sát trạng hệ thống mạng Bộ tài đưa giải pháp mơ hình thiết kế mang tính ứng dụng khả thi kỹ thuật công nghệ kinh tế Chương 4: Kết luận hướng phát triển Ngoài ra, luận văn cịn có thêm danh mục thuật ngữ, từ viết tắt, danh mục bảng biểu, hình vẽ danh mục tài liệu tham khảo để thuận tiện cho việc tìm hiểu tra cứu nội dung luận văn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƢƠNG TỔNG QUAN VỀ MẠNG RIÊNG ẢO Trong chương này, báo cáo luận văn giới thiệu tổng quan mạng riêng ảo, khái niệm VPN, khái niệm đường hầm, phân loại VPN Đi sâu vào hai loại VPN là: mơ hình Overlay VPN site to site VPN Trên sở phân tích nội dung loại cho ta thấy rõ ưu, nhược cịn tồn mơ hình 1.1 Tổng quan VPN thuật ngữ quen thuộc nay, lựa chọn gần tối ưu cơng ty có từ chi nhánh trở lên có nhu cầu kết nối mạng với nhau, có nhu cầu thiết lập mối quan hệ thân thiết với khách hàng, đối tác, đặc thù cơng việc có nhiều nhân viên làm việc từ xa Ai biết VPN khơng cịn thuật ngữ mới, nhiên biết VPN đề cập xây dựng từ cuối thập kỷ 80 kỷ trước, trải qua nhiều giai đoạn phát triển Thế hệ VPN thứ AT&T phát triển có tên SDNs (Software Defined Networks) Thế hệ thứ ISDN X25 Thế hệ thứ FR ATM Và hệ nay, hệ thứ VPN mạng IP Thế hệ VPN mạng MPLS 1.2 Khái niệm VPN VPN công nghệ cung cấp phương thức giao tiếp an toàn mạng riêng dựa vào kỹ thuật đường hầm để tạo mạng riêng sở hạ tầng mạng dùng chung (mạng Internet) Về chất q trình đặt tồn gói tin vào lớp tiêu đề chứa thông tin định tuyến truyền an tồn qua mạng cơng cộng VPN mạng riêng sử dụng để kết nối mạng riêng lẻ hay nhiều người sử dụng xa thông qua kết nối ảo dẫn qua đường Internet thay cho kết nối thực, chuyên dụng đường leased line VPN bao gồm hai phần: mạng nhà cung cấp dịch vụ mạng khách hàng mạng nhà cung cấp dịch vụ chạy dọc sở hạ tầng mạng công cộng, bao gồm định tuyến cung cấp dịch vụ cho mạng khách hàng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 67 có địa Public IP, địa kết cuối VPN Server cho kết nối VPN ( VPN client, site-to-site) từ người sử dụng bên Internet 3.3.2.5 Kết nối tới mạng bên ngồi Hệ thống hạ tầng truyền thơng ngành Tài theo thiết kế đề xuất hệ thống mở, cho phép đơn vị khác bên ngành Tài truy cập vào đơn vị thuộc Ngành Tài đảm bảo an ninh, chất lượng dịch vụ toàn hệ thống Một số kết nối từ bên vào hạ tầng Truyền thơng ngành Tài như: Kết nối Ngân hàng bên Kết nối Tới mạng MAN Hồ Chí Minh Kết nối VAN cho hải quan Các kết nối phục vụ khai báo Thuế online Về nguyên tắc, tất lưu lượng đơn vị bên khác hạ tầng dùng chung ngành Tài phân tách MPLS VPN khác mạng MPLS VPN riêng BTC Dưới ví dụ kết nối cụ thể Mơ hình khai báo Thuế online Hình vẽ mơ hình khai báo Thuế online triển khai hạ tầng BTC Theo đó, cá nhân, tổ chức truy cập qua Internet, qua cổng kết nối Internet ngành tài chính, tới IPSec VPN Server Tại đây, người khai báo thuế sử dụng username/password công cộng ( giả sử: user= thue_online, pass=public), sau xác thực thành cơng, kết nối IPSec VPN từ máy tính người khai báo thuế tới VPN Server ánh xạ tới VPN dùng chung cho khai báo thuế online Qua đó, người sử dụng truy cập Server khai báo Thuê online đặt Thuế Các lưu lượng khai báo thuế online hoàn toàn phân tách VPN riêng hệ thống MPLS VPN riêng ngành Tài chính, an ninh tổng thể tồn hệ thống đảm bảo LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 68 Hình 3.26 Mơ hình khai báo Thuế On-line Ngoài ra, với hỗ trợ dịch vụ truy cập từ Internet dial-up vào MPLS VPN Bộ tài chính, cho phép Các ngành trực thuộc Bộ Tài triển khai loại hình truy cập cho cơng cộng cách an tồn dễ dàng mở rộng Khách hàng công cộng truy cập VPN „username‟ công cộng ánh xạ tương ứng tới MPLS VPN công cộng hệ thống Bộ Tài chính, qua khách hàng truy cập tài nguyên công cộng phép Các truy cập cơng cộng hồn tồn tách riêng với MPLS VPN khác hệ thống, an ninh tổng thể tồn hệ thống Bộ tài đảm bảo 3.3.3 Đánh giá hệ thống đảm bảo an ninh Ngày , hầu doanh nghiệp nào có kết nối Internet cũng s dụng Firewall để tự bảo vệ trước giới nhiều biến động bên ngồi Và lớp phòng vệ bên ngoài của các doanh nghiệp Với sự tiến bộ vượt bậc của công nghệ , công cụ , kỹ thuật công ngày dễ dàng , có vơ số website hướng dẫn cung cấp miễn phí cơng cụ cơng Internet Do đó, phịng thủ vịng ngồi phịng thủ lớp không thì không đủ để đảm bảo các vấn đề an ninh mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 69 Cho đến nay, doanh nghiệp buộc phải triể n khai nhiều thứ công nghệ bảo mật để đối phó với mối đe d ọa mới nó xuất hiện Phòng ngừa virus, bộ lọc chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát xâm nhập để chống hacker , Tồn q trình tốn , cồng kềnh và dư thừa Mục tiêu thực hiện bảo mật là đưa giải pháp bảo mật tốt với chi phí đầu tư thấp Hình 3.27 Kiến trúc bảo mật đề xuất Kiến trúc bảo mật bao gồm nhiều phân lớp bảo mật: Phân lớp bảo vệ: sử dụng công nghệ bảo mật Firewall, IDS, IPS để chống lại công xuất phát từ bên lẫn bên Bảo mật kết nối mạng: đảm bảo thông tin quan trọng bảo mật đường truyền Xác thực nhận dạng, cấp quyền truy cập tới tài nguyên hệ thống Kiểm soát truy cập, đảm bao an ninh phân lớp ứng dụng Áp dụng vào hệ thống mạng Bộ tài chính, việc đảm bảo an ninh cho toàn hệ thống chia thành phần chính: An ninh cho kết nối WAN An ninh cho phần mạng trục MPLS Bộ tài An ninh đơn vị sử dụng dịch vụ MPLS VPN nội ngành Tài An ninh hệ thống cho cổng kết nối Internet ( Internet gateway) 3.3.3.1 An ninh cho kết nối WAN Trên hạ tầng mạng Bộ tài Chính ( Bao gồm TTT & TTM), kết nối sử dụng MPLS VPN nhà cung cấp dịch vụ công cộng, sử dụng phương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 70 thức mã hóa IPSec cho GRE tunnel theo mơ tả hồn tồn đảm bảo tính an tồn Đối với kết nối WAN truyền thống ( sử dụng leased-lines), sử dụng thiết bị mã hóa đường truyền Layer-1 cho đường leased-lines, Layer-2 cho Frame-Relay Hình vẽ mơ tả việc sử dụng thiết bị mã hóa Layer-1 điểmđiểm cho kết nối Leased-lines từ TTT, trụ sở Ngành lên thiết bị TTM-2 Ưu điểm việc sử dụng thiết bị mã hóa Layer-1 điểm-điểm khơng làm phức tạp hóa cấu trúc lơgíc tồn hệ thống Hình 3.28 Mã hố đƣờng truyền Leased – lines TTT - TTM 3.3.3.2 An ninh cho phần mạng trục MPLS VPN tài MPLS cung cấp kh ả tách biệt định tuyến, địa mạng đầy đủ các dịch vụ layer-2 VPN truyền thống khác MPLS dấu các cấu trúc đị a ch ỉ lớp mạng core VPN khác Cần thực biện pháp chống giả mạo đị a chỉ (IP Spoofing): Yêu cầu triển khai tất cả các PE router để chống IP spoofing Cho phép kiểm tra từng gói tin LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 71 nhận được của một giao diện Căn cứ vào địa IP nguồn gói tin , nếu bảng đị nh tuyến không có đường đị nh tuyến nào trỏ tới cùng một cổng giao tiếp nơi mà gói tin đã đến, router loại bỏ gói tin Có biện pháp chống tấn công từ chối dị ch vụ kiểu phân bố (DDoS): Lọc, giới hạn route Áp dụng bư ớc ingress & egress filter (xem RFC 2267) bằng các access lists (ACLs) Các PE router cần được cấu hì nh chỉ ch ấp nhận các gói tin vào t phía CE gói tin tḥc CE Kết PE router loại bỏ gói tin vào PE từ CE với địa nguồn trùng với địa mạng Core thuộc CE khác 3.3.3.3 An ninh cho đơn vị sử dụng dịch vụ MPLS VPN riêng ngành tài Hình vẽ thể mơ hình phân tách lớp mạng, đảm bảo an ninh cho ngành trực thuộc sử dụng dịch vụ MPLS VPN hạ tầng mạng Bộ tài Hình 3.29 Mơ hình phân tách lớp mạng, đảm bảo an ninh cho đơn vị LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 72 Trong đó, mạng nội ngành trực thuộc Thuế, KB, HQ, tách biệt VPN khác nhau, sử dụng dải địa IP trùng ( ví dụ 10.1.x.x hình vẽ) Giữa mạng nội khơng thể có trao đổi số liệu trực tiếp với Để tách riêng Server dùng chung đơn vị thành VRF riêng, áp dụng tính Multi-VRF CE router ( Multi-VRF tính cho phép cấu hình nhiều bảng VRF CE router vật lý, ứng dụng mơ tả hình vẽ đây: Trong sách đánh số RD, RT đưa đây, mạng nội ngành không truy cập trực tiếp tới phân hệ Server dùng chung ngành khác, mà phải thông qua phân hệ Server dùng chung ngành Ví dụ, User mạng Thuế khơng trực tiếp truy cập tới Servers dùng chung KB, mà phải gián tiếp thông qua Servers dùng chung Thuế Địa IP sử dụng sơ đồ mang tính chất mơ tả, theo đó, mạng nội thuộc ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu ngành thực thơng qua phân hệ Server dùng chung Do đó, việc bảo vệ an ninh ngành với nhau, chống loại hình cơng xuất phát từ bên sang ngành khác, chống việc lan tràn virus, worm hệ thống thực thiết bị đảm bảo an ninh hệ thống kết nối CE-Router đơn vị ( kết nối tới mạng MPLS BTC) phân hệ Server dùng chung đơn vị Các thiết bị đảm bảo an ninh hệ thống bao gồm Firewall, IDS/IPS, Anti-virus, Anti-worm, ngồi ra, Server ứng dụng quan trọng bổ sung thêm phần mềm bảo vệ H-IPS 3.3.3.4 An ninh hệ thống cho kết nối Internet Việc bảo vệ an ninh hệ thống chống lại mối đe dọa từ bên ngồi Internet thực thơng qua nhiều mức bảo vệ khác Bảo vệ vòng ngoài: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 73 IPS Internet BTC Firewall Anti Virus, worm Hình 3.30 An ninh vịng ngồi Bắt đầu từ kết nới Internet, Internet router thực công việc bảo vệ chống cơng từ bên ngồi dựa vào danh sách điều khiển truy cập ( AccessControl-List), sau trước lưu lượng đến được firewall , hệ thống chống xâm nhập (IPS) đặt tại vòng ngoài Hệ thống IPS được đặt trước tường lửa làm lớp bảo vệ đ ầu tiên phản ứng l ại với các cuộc xâm nhập , không cần sự can thiêp của người quản trị hệ thống Kiểm soát truy cập t Internet được bảo vệ bởi tư ờng lửa Đây là lớp phòng vệ đầu tiên trước các mạng không có độ tin cậy cao mạng an ninh hệ thống BTC Hệ thống Firewall vòng nối thẳng tới PE-router mạng MPLS BTC, hệ thống firewall cần hỗ trợ khả phân chia VLAN giao diện Ethernet, khả tạo nhiều „virtual-firewall‟, để qua gán „virtualfirewall‟ cho ngành trực thuộc, gán VLAN VRF tương ứng với VPN ngành Như vậy, ngành sử dụng kết nối Internet hạ tầng chung BTC, ngành trao quyền quản lý „virtual-firewall‟ cho ngành trực thuộc tự thiết lập sách bảo mật riêng phù hợp với đặc thù ngành Tầng Firewall thứ hai bảo vệ hệ thống ứng dụng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 74 CA Server App Server Mail Server N-IDS H-IPS Firewall Hình 3.31 Bảo vệ hệ thống ứng dụng Tường lửa thứ hai của b ộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều sâu để bảo vệ hệ thống ứng dụng Một đặc điểm ứng dụng ngành Tài việc sử dụng giao thức https cho ứng dụng quan trọng, thiết bị chống xâm nhập IDS cần hỗ trợ khả phân tích giám sát lưu lượng dạng mã hóa SSL Phân hệ Server sở liệu ( backend server) Được bảo vệ tầng firewall thứ ba Firewall thuộc tầng khác sử dụng hãng khác nhằm mục đích giảm thiểu khả bị công lỗ hổng bảo mật thời điểm chủng loại firewall Ngồi ra, cần có hệ thống chống Virus, Worm, lọc URL làm việc với Firewall, cho phép hoạt động suốt người sử dụng Xác thực Nhận dạng Các truy cập từ bên vào số Server ứng dụng đặc biệt vùng DMZ cần xác thực username/password cấp quyền truy cập Việc thực nhờ RADIUS Server Các firewall có khả xác thực & cấp quyền truy cập làm việc với RADIUS Server RADIUS Server đặt phân hệ quản trị mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 75 3.3.4 Hoạt động thử nghiệm Qua phân tích đánh giá Hiện Tổng cục thuế tiến hành thử nghiệm hệ thống sử dụng Cục thuế Hải Dương, chi cục Thuế Hải Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc thu kết mong muốn tiêu chí đặt cụ thể: Hình 3.32 Mơ hình thử nghiệm Truyền số liệu thực tế qua hệ thống MPLS VPN VNPT Trên Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem kết nối IP tới Virtual-Template Router khác tham gia vào hệ thống thử nghiệm có thành cơng Kiểm tra với lưu lượng thật Kiểm nghiệm độ ổn định hệ thống dịch vụ công cộng MPLS VPN Giám sát độ ổn định kết nối qua hệ thống MPLS VPN Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết dịch vụ công cộng MPLS VPN Thực download với nhiều session khác nhau, từ máy tính khác nhau, xác định tốc độ truyền thực tế lớn Kiểm nghiệm khả đảm bảo security thực tế cho kết nối MPLS VPN nhà cung cấp dịch vụ Giả mạo địa chỉ: Từ máy tính mạng LAN đơn vị (giả sử Cục thuế Hải dương) ping tới địa ( ping được) với địa nguồn IP máy tính khác mạng LAN đơn vị khác ( giả sử chi cục thuế Chí Linh) Kiểm tra xem máy tính mạng LAN đơn vị bị giả mạo ( Chí linh) có nhận gói tin LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 76 phản hồi hay không Nếu nhận được, chức chống giả mạo địa hệ thống mạng MPLS VPN người sử dụng khơng có Với cơng nghệ MPLS VPN, kiểm chứng khơng thể gửi gói tin từ VPN tới VPN khác, khơng cần kiểm tra đặc tính ( mạng thử nghiệm có VPN) Cần trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau khoảng thời gian đủ dài ( tháng) để kết luận tính khả thi việc triển khai sử dụng rộng rãi dịch vụ MPLS VPN tồn ngành Tài 3.4 Kết luận Tóm lại với giải pháp thiết kế hệ thống đưa hệ thống mạng truyền thông Bộ Tài nói chung Tổng cục Thuế nói riêng khắc phục nhược điểm mơ hình kết nối thu hệ thống tổng thể đáp ứng nhu cầu tốc độ truyền an toàn liệu Hệ thống với thiết kế cập nhật ứng dụng thành tựu CNTT kết hợp với kế thừa hệ thống tại, cho phép tạo nên hệ thống linh hoạt, có khả phát triển, mở rộng cao, tính dự phòng cao đáp ứng nhu cầu tồn Bộ Tài Chính nói chung Tổng cục Thuế nói riêng tương lai Tuy nhiên, hiệu hệ thống khơng thể tính giá trị vật chất, số liệu cụ thể Với thiết kế mới, thơng tin tồn Bộ Tài Chính xử lý an tồn, xác, kịp thời đảm bảo hoạt động ổn định tồn Bộ Tài Chính trước u cầu Việc áp dụng công nghệ MPLS IP VPN hệ thống mạng ngành Tài thu lợi ích đáng kể trước tiên ta thấy rõ hệ thống không yêu cầu thêm thiết bị mạng Router, switch so với xây dựng hệ thống mạng IP truyền thống Tất thiết bị Router, Switch TTT, TTM hỗ trợ sẵn sàng tính năng, giao thức MPLS, việc xây dựng hệ thống MPLS VPN riêng đơn triển khai sử dụng tính MPLS sẵn thiết bị Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài tiết kiệm khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách đơn vị khác hệ thống Firewall, IPS, Anti-Virus cần thiết tất 64 TTT, TTM so với không xây dựng hệ thống MPLS VPN riêng Hệ thống phù hợp với định hướng CNTT Bộ Tài Chính, đồng thời phù hợp với xu phát triển công nghệ giới, khơng bị lãng phí, lạc hậu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 77 tương lai Phù hợp với môi trường tin học viễn thông Việt nam thời điểm tại, đón bắt xu hướng công nghệ Việt nam tương lai LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 78 CHƢƠNG KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Ngày nay, ứng dụng Internet sử dụng rộng rãi lĩnh vực, khắp nơi giới Sự mở rộng Internet kéo theo cải tiến khơng ngừng mơ hình mạng, kéo theo dịch vụ mạng để đáp ứng nhu cầu truyền thơng tin cách an tồn, hiệu Một ứng dụng quan trọng mạng riêng ảo Ngoài việc giới thiệu khái niệm mạng riêng ảo, luận văn cịn sâu vào phân tích loại mạng riêng ảo nay, hạn chế cịn tồn mơ hình, mạnh mơ hình giúp người đọc có nhìn tổng quan mơ hình để từ lựa chọn áp dụng vào mơ hình cho có hiệu qủa Hiện có nhiều cơng nghệ đời nhằm nghiên cứu phương thức truyền tin mạng cách an tồn cơng nghệ ứng dụng rộng rãi MPLS VPN Luận văn trình bày khái niệm phương thức hoạt động công nghệ MPLS sâu vào phân tích cấu trúc MPLS cách thức truyền gói tin gắn nhãn mạng từ địa nguồn tới địa đích cách an tồn Trên sở phân tích hệ thống mạng trạng Bộ tài nói chung, Tổng cục Thuế nói riêng luận văn đưa giải pháp thiết kế hệ thống cụ thể để thu hệ thống có mức độ đảm bảo an ninh Để có hệ thống mạng đáp ứng nhu cầu thực tế Bộ tài Luận văn xin đề xuất số hướng nghiên cứu tương lai sau: - Xây dựng giải pháp thiết kế trung tâm dự phịng thơng tin - Xây dựng hệ thống vận hành bảo dưỡng hệ thống phân tích, chuẩn đốn kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý vấn đề an ninh, bảo mật, hệ thống cho phép thực khảo sát tập hợp liệu lập báo cáo chi tiết đo đạc hiệu xuất mạng - điều mà BTC quan tâm - Qui hoạch lại địa IP cho Bộ tài chính, cho khai thác ưu điểm tận dụng hết tài nguyên mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 79 TÀI LIỆU THAM KHẢO Tiếng Việt Mơ hình hạ tầng truyền thơng Bộ tài Mơ hình hạ tầng truyền thông Tổng cục Thuế Tiếng Anh http://www.tech-faq.com/tunneling.shtml 2.http://www.congnghemoi.net/Hatangmang/ChitietHatangmang/tabid/7 60/ArticleID/525/tid/585/Default.aspx Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering Development and New Technologies “MPLS – Enable Application” http://www.slb.com/media/services/consulting/infrastructure/mpls_white paper.pdf http://en.wikipedia.org/wiki/MPLS_VPN Rosen E., Viswanathan, A and R Callon, "Multiprotocol Label Switching Architecture", Work in Progress 10 Callon R., et al., "A Framework for Multiprotocol Label Switching", Work in Progress 11 http://www.activator-uk.com/page29.aspx LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 81 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... luận văn đưa giải pháp để ứng dụng công nghệ vào hệ thống mạng thực tế Tổng cục thuế Về bố cục, nội dung luận văn chia làm chương: Chương 1: Nghiên cứu tổng quan mạng riêng ảo, loại mạng riêng ảo. .. cá nhân sử dụng kênh thuê riêng, frame- relay hay ATM Luận văn ? ?Mạng riêng ảo giải pháp hệ thống Tổng Cục Thuế? ?? vào nghiên cứu mạng riêng ảo, phân tích loại mạng riêng ảo cho thấy LUAN VAN CHAT... IP VPN VÀO HỆ THỐNG MẠNG NGÀNH VÀ GIẢI PHÁP HỆ THỐNG Tổng quan hệ thống mạng ngành thuế Đánh giá ưu nhược điểm hệ thống sở hạ tầng Giải pháp MPLS IP VPN để nâng cao an ninh mạng cho ngành Thuế