Hình 1.9 Thiết lập VPN dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là: + Loại trừ được các Router từ đường WAN xương sống. + Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới. + Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet. Tuy nhiên cũng có một số nhược điểm: + Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng. + Khả năng mất các gói dữ liệu khi truyền vẫn còn cao. + Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet. + Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo 1.5.3. Mạng riêng ảo mở rộng (Extranet VPN) Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1- 10 Hình 1.10 Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng. Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể. Hình 1.11 Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: + Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi + Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn + Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống. Tuy nhiên cũng có một số nhược điểm: + Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại + Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức + Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia. + Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo 1.6.1. Sự cần thiết của chính sách an toàn Mạng Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ chức và từng bước được vận dụng để thực thi bảo mật mạng. Không có một sản phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng. Nó thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức. Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức sử dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo mật, các vi phạm bảo mật. Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy cơ bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta không xác định được cần bảo vệ cái gì. Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được phép và không được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theo các luật đó. Một chính sách an toàn mạng toàn diện của Công ty phải được xác định theo sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ cung cấp cho ta một số nguyên tắc chung: + Những người nào mà chúng ta muốn ngăn chặn? + Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay không? + Hệ thống có chứa thông tin mật hoặc nhạy cảm không? + Phân loại các thông tin mật hoặc nhạy cảm như thế nào? + Mật khẩu hoặc mã hoá có đủ bảo vệ không? + Chúng ta có cần truy cập Internet hay không? . được thể hiện như trong hình 1- 10 Hình 1.10 Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm. khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy. số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.6. Các công nghệ và các chính sách an toàn Mạng riêng