TIỂU LUẬN ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK.” HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐÀO VĂN NGỌC NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK Chuyên nghành: Truyền liệu Mạng máy tính Mã số: 60.48.15 TĨM TẮT LUẬN VĂN THẠC SỸ HÀ NỘI – 2011 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Đặng Hoài Bắc Phản biện 1: ……….……………………………… ………………… Phản biện 2: ……………….….……………………….……………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: …… …… ngày …… tháng …… năm ……… Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Công nghệ thông tin (CNTT) ngày vào tất lĩnh vực xã hội: kinh tế, giáo dục, giải trí mang lại thành đáng kể Đối với doanh nghiệp, cơng ty tài chính, ngân hàng CNTT đóng vai trị quan trọng việc phát triển mở rộng doanh nghiệp, tạo thuận lợi việc kinh doanh vấn đề quản lý điều hành, đặc biệt CNTT đóng vai trò quan trọng việc tạo khác biệt nâng cao khả cạnh tranh ngân hàng thời hội nhập Để hệ thống CNTT Ngân Hàng hoạt động có hiệu suất cao, thời điểm Ngân Hàng nước bước phát triển thiết lập cho hệ thống sở hạ tầng đại như: Hệ thống hạ tầng mạng đại, Hệ thống quản lý liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao (Clustering); Tối ưu hố mạng nâng cao hiệu suất đường truyền (WAN Application Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ thống (Monitoring); Giải pháp an ninh bảo mật (Security) phòng chống Virus xâm nhập mạng; Phịng chống cơng, xâm nhập bất hợp pháp vào hệ thống; Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm đảm bảo hoạt động liên tục, thông suốt hệ thống… Ngoài ra, theo thống kê tổ chức nghiên cứu thị trường toàn cầu - Gartner sở hạ tầng truyền thống có nguy bị tải do: Lưu trữ tăng từ 40% đến 70% năm; Mức độ sử dụng (máy chủ hệ thống lưu trữ) tăng từ 15% đến 25% năm; Việc cấp nguồn làm mát tăng khoảng 30% tổng chi phí Nhu cầu điện tốn tiếp tục tăng trưởng; mật độ tủ Rack phịng máy chủ tăng gấp đơi sau năm kể từ năm 1992, mật độ thiết bị cao thông qua sử dụng máy chủ phiến, ảo hóa máy chủ tập trung hóa máy chủ Do đó, mật độ điện gia tăng mạnh mẽ; chi phí sở hạ tầng vật lý (cấp nguồn, làm mát) ngang bằng, vượt chi phí mua sắm trang thiết bị CNTT mà cấp nguồn làm mát chiếm phần lớn ngân sách dành cho CNTT Chính vậy, việc nghiên cứu giải pháp mạng cho TTDL Ngân hàng yếu tố định để đảm bảo tới khách hàng cam kết cung cấp dịch vụ nhanh chóng, an tồn, ổn định hiệu Xuất phát từ sở khoa học thực tiễn đó, em định chọn đề tài: "Nghiên cứu Kiến trúc hệ thống mạng bảo mật TTDL áp dụng cho Ngân hàng An Bình" cho luận văn tốt nghiệp Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng bảo mật TTDL, kết hợp thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai giải pháp xây dựng hệ thống mạng bảo mật TTDL đáp ứng nhu cầu phát triển CNTT nước giới Việt Nam Đồng thời dựa sở kinh nghiệm tích lũy thời gian qua Từ đó, đề xuất xây dựng hệ thống mạng bảo mật TTDL đảm bảo phát triển bên vững cung cấp tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống CNTT Ngân hàng An Bình Vơi nội dung gồm chương sau: Chương Tổng quan hệ thống mạng TTDL Chương Một số nguyên tắc xây dựng kiến trúc Mạng Bảo mật TTDL Chương Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK Em xin chân thành cảm ơn thầy giáo TS Đặng Hoài Bắc nhiệt tình hướng dẫn em, cán kỹ thuật Ngân hàng TMCP An Bình tạo điều kiện thuận lợi có đóng góp quý báu để em hồn thành đề tài Trong đề tài tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp để hoàn thiện nội dung nghiên cứu Người thực đề tài xin chân thành cảm ơn! Chương - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM DỮ LIỆU 1.1 Giới thiệu Trong chương em vào việc gới thiệu tổng quan hệ thống mạng TTDL số vấn đề đặt TTDL, thách thức nhà quản lý TTDL, đồng thời miêu tả yêu cầu đặt hệ thống mạng bảo mật TTDL như: yêu cầu chức năng, lực xử lý, tính sẵn sàng, độ ổn định Và tới miêu tả sơ lược kiến trúc mạng vùng tranh tổng thể hệ thống mạng TTDL 1.2 Các vấn đề đặt TTDL Đối với công ty, doanh nghiệp hay tổ chức nào, TTDL trái tim hệ thống Cơng nghệ Thơng tin Một mục tiêu quan trọng TTDL có sở hạ tầng thống nhất, có khả phối kết hợp chặt chẽ công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ cơng nghệ tính tốn 1.3 Các u cầu hệ thống mạng TTDL 1.3.1 Chức (Functionality) Với thiết kế kiến trúc mạng SONA module hóa chức năng, yêu cầu cụ thể đề đảm bảo rõ thiết kế hạ tầng mạng - Lớp sở hạ tầng mạng (Networked Infrastruture Layer) - Lớp dịch vụ tương tác (Interactive Services Layer) - Lớp dịch vụ mạng ứng dụng (Application Networking Services) 1.3.2 Năng lực xử lý (Performance) Do tính chất phức tạp tính tồn Năng Lực Xử Lý, người ta tập trung vào yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý để nhận biết mạng, là: - Thời gian đáp ứng (Responsiveness) - Thông lượng (Throughtput) - Tối ưu sử dụng (Utilization) 1.3.3 Khả mở rộng (Scalability) Mở rộng mềm điểm quan trọng Người quản trị mạng phải có khả dự đốn mở rộng mạng để từ xác định loại giao thức định tuyến sử dụng mạng (nhằm tránh việc thay đổi giao thức định tuyến phức tạp) có quy hoạch địa IP (IP Plan) phù hợp với hệ thống mạng 1.3.4 Độ ổn định (Availability) Kiến trúc mạng TTDL hỗ trợ doanh nghiệp chiến lược toàn diện nhằm đảm bảo tính liên tục kinh doanh Đảm bảo tính kiên cường, mau phục hồi kho liệu: - Công nghệ kết nối WAN/MAN TTDL với tốc độ cao, độ trễ thấp - Các công nghệ kéo dài mạng lưu trữ (SAN Extension) - Loại bỏ điểm chết hệ thống máy chủ (Single-Point of Server Failure) - Mạng riêng ảo (VPN - Virtual Private Network) - Hệ thống lựa chọn TTDL (Global Site Selector) - Độ ổn định (Độ sẵn sàng) tính tốn sau: Availability(Intrinsic) A i = MTBF / (MTBF + MTTR) 1.3.5 Khả bảo mật Các giải pháp bảo mật phải triển khai nhiều lớp TTDL: Bảo mật hạ tầng, bảo mật thơng tin, Quản trị/quy trình/chính sách, kiểm toán 1.3.6 Khả quản lý (Manageability) Hệ thống mạng vận hành hiệu quản lý tốt Khả quản lý cần đảm bảo nội dung sau: - Quản lý lỗi (Fault Management) - Quản lý cấu hình (Configuration Management) - Kiểm toán hệ thống (Accounting Management) - Quản lý hiệu (Performance Management) - Quản lý an ninh (Security Management) 1.4 Kiến trúc tổng quan vùng TTDL 1.4.1 Hệ thống mạng máy chủ (Server Farm Network) Đề xuất TTDL sở hạ tầng mạng IP xây dựng dựa hệ thống chuyển mạch thông minh cách cho phép chuyển mạch lưu trữ thông qua chuyển mạch IP, tăng cường sức mạnh sở hạ tầng mạng IP cho TTDL Khả tích hợp trực tiếp dịch vụ quan trọng, mang tính sống cịn TTDL, Firewall, IPS, Server Load Balancing, SSL Off-load… 1.4.2 Mạng lưu trữ (SAN - Storage Area Network) Xu hướng công nghệ chuyển dần từ hệ thống lưu trữ trực tiếp DAS (Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area Network) nhằm nâng cao khả mở rộng mức độ thông minh hệ thống 1.4.3 Mạng kết nối TTDL Khi xu hướng xây dựng TTDL tập trung ngày củng cố phát triển việc giảm thiểu thời gian gián đoạn, xảy cố việc xây dựng TTDL dự phòng thiết lập kết nối TTDL TTDL dự phịng trở nên quan trọng hết 1.5 Kết luận Chương qua giới thiệu tổng quan hệ thống mạng TTDL, đồng thời nêu lên khó khăn thách thức nhà quản lý TTDL, đưa yêu cầu việc thiết kế hệ thống mạng TTDL, đưa số phân tích kiến trúc phân vùng mạng bảo mật TTDL giúp bạn đọc hình dung tranh tổng thể hệ thống mạng TTDL Chương - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU 2.1 Giới thiệu Kiến trúc mạng TTDL cung cấp tảng có khả mở rộng, cho phép TTDL áp dụng triển khai công nghệ hệ thống truyền thống công nghệ hệ thống mới, phát triển mạnh, đảm bảo bền vững, tính sẵn sàng khả mở rộng 2.2 Nguyên tắc chung xây dựng hệ thống mạng 2.2.1 Kiến trúc mạng theo mơ hình phân cấp Hiện có nhiều mơ hình áp dụng triển khai giới song mơ hình mạng phân cấp thiết kế theo phân hệ hóa nghiên cứu phát triển 2.2.2 Kiến trúc mạng theo mơ hình dự phịng Việc thực thiết kế dự phòng giúp tránh trường hợp có điểm hệ thống bị cố ngưng hoạt động làm ngưng trệ tồn hệ thống Do đó, thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải áp dụng biện pháp dự phịng 2.2.3 Kiến trúc mạng Ảo hóa Khi xây dựng TTDL, bước việc tập trung hóa (Data Center Consolidation) bước thực ảo hóa TTDL (Data Center Virtualization) Giai đoạn ảo hóa cho phép người quản trị TTDL tạo lớp ảo, trừu tượng ứng dụng, hệ thống máy chủ sở hạ tầng mạng Ảo hóa TTDL việc tạo thực thể logic từ thực thể vật lý, tạo nhiều thực thể logic từ thực thể vật lý Ảo hóa mở khả tận dụng cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác tăng hiệu suất sử dụng hệ thống 2.2.4 Kiến trúc mạng Module hóa Hệ thống mạng phân chia theo khối chức khu vực rõ ràng Các khối chức riêng biệt (Core , Management, Edge ) Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành, nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên khối không gây ảnh hưởng đến khối khác Với khối quan tâm đến khu vực lại khía cạnh giao diện vật lý giao tiếp dịch vụ cung cấp 2.3 Kiến trúc hệ thống mạng TTDL Mơ hình Enterprise Composite Network chia hệ thống mạng thành phân vùng chức vật lý luận điểm khác gọi 03 phân hệ Enterprise Campus, Enterprise Edge Service Provider Edge Hình 2.5 Mơ hình Enterprise Composite Network 2.3.1 Phân hệ mạng Campus Đây phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng độ tin cậy cao Phân hệ chứa thành phần mạng cần thiết hoạt động cách độc lập bên phân khu địa lý với phân khu địa lý định nghĩa tịa nhà hay nhiều tòa nhà liên kết vật lý liên kết ảo với Cấu trúc mạng thiết kế theo dạng module chia làm lớp rõ ràng bao gồm: lớp distribution, lớp core lớp access, nhiệm vụ chức lớp sau: 10 Chương – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT CHO TTDL ABBANK 3.1 Giới thiệu Như phân tích trên, hệ thống mạng phải thiết kế dựa tiêu chí, tiêu chuẩn quốc tế (phân cấp, dự phịng, Module hóa, Ảo hóa) 3.2 Thiết kế hệ thống mạng TTDL 3.2.1 Mơ hình thiết kế Hình 3.1 Mơ hình tổng thể hệ thống mạng TTDL 3.2.2 Thuyết minh kỹ thuật cho phân hệ 3.2.2.1 Thuyết minh kỹ thuật vùng Internet 3.2.2.1.1 Phân tích lưu lượng từ ABBank Internet Với lưu lượng Internet em thiết kế để gửi traffic đường 02 đường Internet FTTH Khi thiết kế cho traffic gửi Internet, cần định nghĩa loại 11 traffic Internet kết hợp sử dụng giải pháp cân tải mức gateway Ở em sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) Router kết nối Internet 3.2.2.1.2 Phân tích lưu lượng từ Internet vào Như đề cập trước lưu lượng từ Internet vào thông qua 02 đường Leased Line dành riêng cho dịch vụ public Internet VPN, Swift, Website, Internet Banking… Khi xây dựng hệ thống định tuyến Internet trung tâm TTDL ABBANK mơ hình Multi-Homing thơng qua nhiều kênh kết nối đến nhà cung cấp dịch vụ ISP kế hoạch triển khai bảng định tuyến để kết nối đến ISP tuỳ thuộc vào sách hỗ trợ ISP sở Với giải pháp kết hợp giúp cho hệ thống định tuyến Internet trung tâm ABBank xây dựng với kiến trúc dự phịng hồn chỉnh Mơ hình kết nối giải pháp minh hoạ tổng quát qua sơ đồ kết nối vật lý sau: 3.2.2.1.3 Giải pháp chia tải cho hệ thống internet Cơ chế hoạt động chia tải Load Sharing môi trường mạng kết nối với ISP hệ thống định tuyến Internet trung tâm ABBank thông qua giao thức BGP minh hoạ qua sơ đồ kết nối tổng quát sau: Hình 3.7 Mơ hình cấu hình BGP Load Sharing 12 3.2.2.2 Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet) Trong Module thành phần sử dụng thiết kế chạy dự phòng, lưu lượng liệu trước vào mạng kiểm soát hai Firewall ngăn chặn từ bên phần tử truy cập vào mạng với ý định xấu 3.2.2.3 Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN) Theo phân tích trên, hệ thống mạng thiết kế theo mơ hình phân cấp, phần tập trung phân tích yêu cầu cho Module WAN : tách hệ thống Core Router khỏi hệ thống Router đấu nối xuống chi nhánh, phòng giao dịch máy ATM (WAN module) Để làm vậy, em phân cấp hệ thống WAN thành 03 mức Core, Distribution Access 3.2.2.3.1 Vùng mạng diện rộng lõi (Module WAN Core) Hiện tại, mạng truyền dẫn core hệ thống bao gồm thiết bị định tuyến đặt hội sở Hà Nội hai trung tâm miền Đà Nẵng thành phố Hồ Chí Minh Thực truyền liệu IP Routing Layer-3 lớp mạng Backbone Router nhận dạng backbone peer dựa địa IP Address kết hợp với định tuyến lớp thông minh 3.2.2.3.2 Phân vùng mạng diện rộng phân phối (Module WAN Distribute) Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực truyền liệu IP Routing Layer-3 lên lớp mạng Backbone 3.2.2.3.3 Phân vùng mạng diện rộng truy nhập (Module WAN Access) Lớp mạng WAN lớp Access lớp mạng chi nhánh Ngân hàng Lớp mạng kết nối trực tiếp lớp Distribution TTDLMơ hình thiết kế điểm (một chi nhánh) lớp Access 3.2.2.4 Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus network) Đây vùng mà dùng để kết nối tới toàn người dùng kết nối tới hệ thống máy chủ Như trình bầy, hệ thống thiết kế phân cấp: Core, 13 Distribution, Access Vấn đề đặt cho Module liên quan tới lớp chủ yếu VLAN, STP, VTP… 3.2.2.4.1 Thuyết minh hoạt động lớp Dự kiến số lượng thiết bị truy nhập dành cho người dùng lớn, đề xuất sử dụng dòng thiết bị hỗ trợ PoE (cho IP Phone) Ở hình 3.13, ta hình dung sau: frame từ HostA đến HostC ngẫu nhiên chọn Link Link tuỳ vào thuật tốn Hash Hình 3.13 Mơ hình chia VLAN kết nối Etherchanel Một câu hỏi đặt sử dụng nhiều đường kết nối lên Switch distribution là: liệu có tồn q trình loop frame hệ thống hậu tạo thành “broadcast storm” khơng? Câu trả lời là: “Có” có nhiều đường link nên tạo bảng MAC Switch ghi lại thành địa MAC nguồn nhiều cổng Switch khác Để giải vấn đề loop này, toàn thiết bị mặc định sử dụng tính Spanning-tree Hình 3.14 Mơ hình tổng quan STP 14 Bên cạnh tính dự phịng cho đường link switch access switch distribution, em sử dụng thêm số tính ưu việt khác Port Fast, BPDU Gurad, Root Guard, Loop Guard, Backbone Fast… 3.2.2.4.2 Thuyết minh bảo mật thiết bị mạng người dùng Một vài phương án bảo mật Module liệt kê sau: - Sử dụng 802.1x Authentication - Sử dụng Dynamic ARP Inspection - Sử dụng Port Security - Sử dụng Private VLAN - Sử dụng Storm-Control - Sử dụng DHCP Snooping 3.2.2.5 Thuyết minh kỹ thuật cho vùng Mạng Lõi (Module Core) Phân vùng Mạng Lõi ABBANK dùng làm trung tâm để kết nối tới toàn vùng khác mạng 3.2.2.5.1 Tối ưu hóa chuyển mạch Để tối ưu xử lý theo kiến trúc chuẩn tận dụng lực xử lý thiết bị, thiết bị Mạng Lõi core chia thành thiết bị ảo khác Đồng thời sử dụng công nghệ FCoE chuyển mạch lưu trữ Ethernet kết hợp với VDC để chia thiết bị chuyển mạch mạng lõi thành phân vùng chuyển mạch cho lưu trữ theo mơ hình 3.19 Hình 3.19 Mơ hình ảo hóa thiết bị chuyển mạch mạng lõi 15 Như biết, giới hạn lớn công nghệ Etherchannel hoạt động thiết bị Và sử dụng STP Switch chế chống loop STP nên liệu chạy qua kết nối từ cổng fowarding, cổng cịn lại trạng thái block, khơng tận dụng tất kết nối uplink switch Để giải vấn đề đề xuất sử dụng giải pháp vPC thay cho STP liệu loadbalacing đường, không cho phép tận dụng tối đa khả đường truyền cổng switch mà vPC cho phép thời gian hội tụ nhanh kết nối vPC bị lỗi Vậy mơ hình kết nối hình tam giác, thiết bị kết nối tới thiết bị cơng nghệ vPC ( virtual PortChannel ) giúp chạy Multichassis Etherchannel ngăn chặn xảy loop hệ thống mạng Hình 3.20 Mơ hình giải pháp kết nối vPC 3.2.2.5.2 Tối ưu hóa định tuyến Giao thức định tuyến dự định sử dụng OSPF, công thức tính Metric cho OSPF là: Metric = ReferenceBandwidth/Bandwidth (trong giá trị mặc định Reference Bandwidth mà OSPF sử dụng 108) Vậy nên, đường link hoạt động tốc độ 100Mbps OSPF tính tốn xác Và có Metric sau: Metric = 10 8/100.000.000 = Tuy nhiên, tốc độ lớn 100 Mbps kết sao? Lúc đó, OSPF coi tồn đường link với tốc 100Mbps, 1Gbps, 10Gbps Do vậy, OSPF không đưa tuyến đường tối ưu Ứng dụng chế hoạt 16 động OSPF vào thiết kế hệ thống mạng, em xin đưa phương án thay đổi cách thức tính tốn OSPF mạng để tối ưu băng thông 1Gbps, 10Gbps cách sử dụng Reference Bandwidth 1011 (hay 100.000.000.000) Lúc OSPF tính tốn Metric xác Lấy vị dụ: Metric cho đường tốc độ 100Mbps là: 10 11/100.000.000= 1000 Metric cho đường có tốc độ 1Gbps là: 10 11/1.000.000.000 = 100 Metric cho đường có tốc độ 10Gbps là: 1011/10.000.000.000 = 10 Với việc phân biệt Metric khác đường link khác giúp cho OSPF hoạt động xác 3.2.2.5.3 Tối ưu hóa bảo mật thiết bị mạng lõi Như phân tích nhiều mục trước, Module Core thiết kế cho tối ưu hóa khả chuyển mạch định tuyến - Lớp hai: Database VLAN cấu hình password để chống lại việc đồng trái phép - Lớp ba: Giao thức OSPF yêu cầu xác thực MD5 3.2.2.5.4 Tối ưu hóa dự phịng cho gateway Đề giải vấn đề down Gateway, người ta xây dựng thuật toán tự động chuyển đổi Gateway gateway bị down Có nhiều giao thức dự phòng dành cho Gateway mà thiết bịi hỗ trợ HSRP, VRRP, GLBP, IRDP Tuy nhiên, với hệ thống mạng ABBank em đề xuất sử dụng GLBP làm giao thức dự phòng cho Gateway Em phân tích kết nối tới Module làm ví dụ để hình dung chế hoạt động giao thức dự phòng 3.2.2.6 Thuyết minh kỹ thuật phân vùng mạng Lưu trữ Hệ thống lưu trữ: bao gồm thiết bị lưu trữ, hệ thống máy tính, hay ứng dụng chạy nó, phần quan trọng phần mềm điều khiển, q trình truyền thơng tin qua mạng 17 3.2.3 Tính tốn phân hoạch IP 3.2.3.1 Ngun tắc phân hoạch địa IP Nhằm hỗ trợ tối đa khả mở rộng hệ thống, sử dụng địa lớp A (10.0.0.0 – 10.255.255.255) để phân chia cho toàn hệ thống mạng 3.2.3.2 Dự kiến quy hoạch lớp mạng TTDL Theo tính tốn sử dụng lớp mạng A để làm dải mạng quy hoạch cho toàn hệ thống mạng ABBANK - Lớp mạng: 10.0.0.0/8 - Subnet: 255.0.0.0 - Host Range: 10.0.0.1 tới 10.255.255.254 Trong phân hoạch cụ thể thiết kế theo hình lấy lớp mạng gốc lớp A phân xuống cho Khu vực cho TTDL, mạng LAN cho chi nhánh, ATM, địa mạng WAN tới Chi nhánh, ATM bảng 3.1 sau: Bảng 3.1 Bảng phân hoạch địa IP STT Địa IP SubNetMask Ghi 10.0.0.0/8 255.0.0.0 Lớp mạng toàn hệ thống I 10.0.0.0/11 255.224.0.0 Địa dùng cho Miền Bắc I.1 10.0.0.0/16 255.255.0.0 Địa dùng cho KV Hà Nội&TTDL I.1.1 10.0.0.0/18 255.255.192.0 TTDL Hà Nội I.1.1.1 10.0.0.0/19 255.255.224.0 Địa IP mạng bảo mật TTDL 10.0.0.0/24 255.255.255.0 subnet zero 10.0.1.0/24 255.255.255.0 VLAN Quản trị thiết bị mạng 10.0.2.0/24 255.255.255.0 VLAN Kết nối phân vùng WAN … …… …… …………… 31 10.0.31.0/24 255.255.255.0 Dự phòng I.1.1.2 10.0.32.0/19 255.255.224.0 Lớp mạng cho Máy chủ TTDL 10.0.32.0/24 255.255.255.0 subnet zero … …… ………… ………………………… 18 10.0.63.0/24 255.255.255.0 Dự phòng I.1 10.1.0.0/16 255.255.0.0 Chi nhánh tỉnh …… ……………… ……… ……………… I.31 10.31.0.0/16 255.255.0.0 Chi nhánh tỉnh 31 II 10.32.0.0/11 255.224.0.0 Địa dùng cho KV Miền Nam III 10.64.0.0/11 255.224.0.0 Địa dùng cho KV Miền Trung IV 10.96.0.0/11 255.224.0.0 Địa dùng cho mạng WAN IV.1 10.96.0.0/16 255.255.0.0 WAN IV.2 10.100.0.0/16 255.255.0.0 WAN dự phịng 31 3.2.4 Thiết kế hệ thống an ninh TTDL 3.2.4.1 Mơ hình thiết kế hệ thống an ninh mạng TTDL Đảm bảo an ninh thông tin yêu cầu quan trọng hệ thống mạng ngân hàng Hệ thống cần đảm bảo an tồn thơng tin từ ngoài, từ vào trong, từ vùng biên mạng tới vùng lõi mạng Hạ tầng bảo mật đảm bảo tính tồn vẹn, tính sẵn sàng, an toàn, chia thành miền an ninh sau: - Miền an ninh thiết bị người sử dụng - Miền an ninh phân vùng mạng truy nhập - Miền an ninh phân vùng mạng lõi 3.2.4.2 Thuyết minh thiết kế hệ thống an ninh mạng 3.2.4.2.1 Bảo mật lớp mạng biên Phân hệ mạng biên bao gồm phân vùng: WAN, Extranet (partners), Internet, DMZ Đây miền quan trọng tham gia vào tất dịch vụ miền tiềm ẩn nhiều nguy Để giải vấn đề kiến nghị sử dụng giải pháp bảo mật kết hợp hệ thống khác như: Firewall, Proxy, Web Sercurrity Gateway, IPS, DLP, Web Application Firewall để đảm bảo an toàn ứng dụng Ngân hàng 19 3.2.4.2.2 Bảo mật mạng lõi Vùng mạng lõi nơi ngăn cách hệ thống vùng máy chủ quan trọng (Server farm) vùng mạng biên, cần xây dựng hệ thống bảo mật với kết hợp tường lửa, IPS, hệ thống nhận dạng truy nhập để kiểm soát truy cập từ vùng mạng biên vào vùng mạng lõi kiểm soát truy cập người sử dụng ứng dụng, dịch vụ cài đặt máy chủ vùng server farm Kiến nghị sử dụng hệ thống bảo mật vùng mạng lõi với nhiều lớp bảo vệ, hãng khác so với giải pháp bảo mật cho phân hệ mạng biên : - Lớp Firewall - Lớp IPS 3.2.4.2.3 Bảo mật mức người dùng (mạng truy nhập) Bảo mật mức người dùng (mạng truy nhập) yếu tố quan trọng giúp giảm nguy an ninh an tồn thơng tin, kiến nghị sử dụng phần mềm tường lửa, diệt virus cài đặt máy người dùng, kết hợp với việc xác thực thông qua AD – Active Directory để quản trị tập trung Đồng thời kết hợp với triển khai giải pháp kiểm soát truy nhập mạng (NAC - Network Access Control) 3.2.5 Thiết kế tối ưu hóa định tuyến cho mạng ABBANK 3.2.5.1 Vai trò việc định tuyến Định tuyến chức Router nhằm đưa gói tin tới mạng đích theo yêu cầu từ mạng nguồn Một giải pháp thiết kế định tuyến hợp lý góp phần không nhỏ giúp làm tăng tốc độ ứng dụng mạng, tiết kiệm băng thông truyền, tận dụng khả xử lý Router, tăng tính dự phịng đơn giản hóa thao tác quản trị 3.2.5.2 Giải pháp sử dụng định tuyến tĩnh Định tuyến tĩnh (static routing) việc nhà quản trị tự xác định mạng đích điểm đến tiếp (next hop) để tới mạng đích đó, có nghĩa với mạng đích chuyển gói tin tới Router Ví dụ sau dịng lệnh định tuyến tĩnh: ip route 10.192.64.0 255.255.255.0 10.65.4.1 20 Với phương pháp nhà quản trị phải thao tác tay (manual) nhập giá trị định tuyến vào cấu hình Router sử dụng định tuyến tĩnh có số bất cập 3.2.5.3 Giải pháp sử dụng định tuyến động Định tuyến động (dynamic routing) giải pháp tốt cho việc giải toán quản lý cập nhật route hệ thống mạng trở nên lớn quy mô số lượng thiết bị 3.2.5.4 Giải pháp định tuyến Hệ thống mạng WAN Dựa phân tích để đáp ứng tốt quy mô phát triển hoạt động nghiệp vụ ABBank, Đề xuất sử dụng giải pháp định tuyến động OSPF Về OSPF Area dùng cho Backbone OSPF Area dùng cho miền cấu trúc sau: 3.2.5.5 Phương án cân tải dự phịng Như phân tích trên, hệ thống mạng ngân hàng ABBANK sử dụng giao thức định tuyên OSPF Đây giao thức định tuyến cho phép tự động cân tải dự phòng đường truyền Tuy nhiên, muốn OSPF cân băng tải toàn đường kết nối WAN phải có giá trị Cost Nếu manually thay đổi giá trị cost đường truyền có tốc độ khác để có cost khiến cho q trình load balancing khơng hiệu Giải pháp đưa là: Tạo Tunnel cho OSPF chạy Tunnel thay chạy trực tiếp interface kết nối 3.2.5.6 Phương án sử dụng tối ưu hóa đường truyền (Quality of Service) Cách thức xây dựng QoS tuân thủ theo bước đây: - Bước 1: Xác định loại ứng dụng cần làm QoS (hay gọi Classification) - Bước 2: Đánh dấu ứng dụng cần làm QoS - Bước 3: Thiết lập policy cho ứng dụng cần làm QoS - Bước 4: Gán policy vào cổng giao tiếp 21 Bảng 3.2 Phân loại liệu thực QoS Loại liệu Mô tả Cách thức cấu hình Khi khơng cấu hình QoS cho loại liệu số lỗi xảy Voice như: Cuộc gọi bị disconnect, bị méo tiếng, người nghe Sử dụng cách thức cấu hình LLQ (Low Latency Queuing) người gõi kết thúc hay chưa Đây loại liệu hình ảnh, Video khơng sử dụng QoS khiến cho hình ảnh bị mất, bị trễ bị Sử dụng cách thức cấu hình LLQ nhịe hình… Khơng u cầu thời gian thực, khơng cấu hình QoS, hệ thống coi toàn liệu nhau, liệu tới Data Router coi Câu hỏi đặt là: Một số liệu quan trọng cần gửi trước? Một số liệu khác cho phép trễ ? Cách xử lý 3.3 Có thể sử dụng LLQ cho số loại liệu yêu cầu xử lý nhanh giao dich ngân hàng, giao dịch chuyển tiền… số liệu khác khơng địi hỏi phải xử lý FTP ta sử dụng phương án cấu hình CBWFQ (Class-Based Weight Fair Queuing) Kết luận Đi từ việc phân tích khó khăn thách thức hệ thống mạng bảo mật TTDL doanh nghiệp nhà quản trị mạng chương 1, hay phân tích kiến trúc mạng theo tiêu chí, tiêu chuẩn quốc tế thành phần phân vùng mạng bảo mật TTDL chương em tới xây dựng mơ hình kiến trúc mạng bảo mật TTDL khuyến nghị áp dụng cho ABBANK chương 3, mơ hình thiết kế u cầu tn thủ nguyên tắc, hay tiêu chuẩn quốc tế việc xây dựng kiến trúc mạng TTDL như: tính sẵn sàng, khả mở rộng, bảo mật, …cùng với đưa khuyến nghị sử dụng giao thức định tuyến đảm bảo phù hợp, phương thức bảo mật cho phân vùng 22 đảm bảo có chiều sâu, giải pháp đảm bảo tính ổn định, sẵn sàng hệ thống STP, GLBP, VPC, VDC Từ hịan thiện mơ hình, giải pháp, cách thức triển khai hệ thống mạng bảo mật TTDL ABBANK KẾT LUẬN VÀ KHUYẾN NGHỊ Qua viết thấy TTDL đóng vai trị tối quan trọng hạ tầng Cơng nghệ thơng tin doanh nghiệp nói chung doanh nghiệp hoạt động lĩnh vực Tài chính, Ngân hàng Bảo hiểm nói riêng Xu hướng phát triển TTDL bao gồm xu hướng tập trung hóa (Consolidation), ảo hóa (Virtualization) tự động hóa (Automation) Khi xây dựng TTDL, ba yếu tố cốt yếu TTDL cần đảm bảo, khả bảo vệ (Protect), khả tối ưu hóa (Optimization), khả phát triển (Grow) Đồng thời giải pháp Trung tâm dư liệu kết hợp nhiều công nghệ khác nhau, từ công nghệ mạng, công nghệ lưu trữ đến công nghệ truyền dẫn Đề tài giới thiệu kiến trúc mạng theo tiêu chuẩn quốc tế SONA tới phân tích phân vùng mạng TTDL qua kiến nghị áp dụng cho hệ thống ABBANK như: cơng nghệ ảo hóa, cơng nghệ FCOE, VPC, VDC kiến nghị sử dụng giao thức hay thuật tốn nhằm nâng cao tính sẵn sàng ổn định hệ thống mạng kết hợp với phân tích giải pháp 23 Đề tài hoàn thành nội dung yêu cầu luận văn tốt nghiệp thạc sĩ kỹ thuật song thời gian thực có hạn, nội dung khơng tránh khỏi thiếu sót định Tác giả mong nhận ý kiến đóng góp Hội đồng để bổ sung hoàn thiện Một số hướng nghiên cứu đề tài là: - Nghiên cứu giải pháp bảo mật nâng cao cho hệ thống mạng đảm bảo an ninh an toàn liệu (giải pháp phát ngăn chặn truy nhập mức host, hồn thiện chống thất liệu người dùng, hịan thiện giải pháp kiểm soát truy nhập mạng, xây dựng hệ thống phát liện lỗ hổng bảo mật…) - Tiếp tục nghiên cứu tối ưu hóa hệ thống mạng: giải pháp cân tải mức mạng tới mức ứng dụng áp dụng cho nhiều TTDL, hay giải pháp tối ưu hóa băng thơng mạng - Tiếp tục nghiên cứu hòan thiện giải pháp chuyển mạch hội tụ (FCOE), hay kỹ thuật vPC, VDC kỹ thuật giúp khắc phục điểm yếu công nghệ trước STP 24 DANH MỤC TÀI LIỆU THAM KHẢO [1] Cisco Validated Design: Cisco Data Center Infrastructure 2.5 Design Guide March 9, 2010 [2] Cisco Systems, Inc.170 West Tasman Drive San Jose, CA 95134-1706 USA: Data Center High Availability Clusters Design Guide – Nov 2005 [3] Designing Cisco Network Service Architectures 05.08.07 [4]Guide to Intrusion Detection and Prevention Systems (IDPS)– Recommendations of the National Institute of Standards and Technology (NIST), February 2007 [5] Mike Herbert: Evolution of the Data Center Access Architecture [6] Internet Security Systems: www.iss.net/products/product_sections/Server_Protection.html [7] Intrusion Prevention Systems: the Next Step in the Evolution of IDS: http://www.securityfocus.com/infocus/1670 ... định chọn đề tài: "Nghiên cứu Kiến trúc hệ thống mạng bảo mật TTDL áp dụng cho Ngân hàng An Bình" cho luận văn tốt nghiệp Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng bảo mật TTDL, kết hợp thực... VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐÀO VĂN NGỌC NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK Chuyên nghành: Truyền liệu Mạng máy tính... thể hệ thống mạng TTDL 6 Chương - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU 2.1 Giới thiệu Kiến trúc mạng TTDL cung cấp tảng có khả mở rộng, cho phép TTDL áp dụng