Thiếtkếmạngchocácchi
nhánh
Bài viết này sẽ đề cập đến quá trình thiết
kế dịch vụ tường lửa chomạng của các
chi nhánh. Bài toán: Công ty A mở thêm
m
ột chinhánh mới. Các yêu cầu:
- Chinhánh có khoảng 50 nhân viên và
c
ần có kết nối vào Internet. Chinhánh
c
ần có kết nối với DataCenter.
- Chinhánh cung cấp các thông tin cho khách hàng và các đối
tác thông qua việc sử dụng một Web Server chứa các trang
web. Web Server này phải tách biệt với mạng trong của chi
nhánh bằng một tường lửa.
- Các yêu cầu truy cập ra Internet từ các client bên trong mạng
chi nhánh phải qua một tường lửa.
- Cáctài nguyên trên Web Server phải được sẵn sàng cho
khách hàng và đối tác truy cập
- Tạichinhánh cần có 1 người quản trị mạng. Nhiệm vụ của
người n
ày là thiếtkế dịch vụ tường lửa chochinhánh sao cho
đảm bảo an to
àn chocác thông tin khi truy cập ra Internet
cũng như bảo đảm an toàn chomạngchinhánh khỏi các truy
cập trái phép từ bên ngoài.
Việc đầu tiên cần xem xét là tính tập trung và phân tán
c
ủa dịch vụ
- Dữ liệu tập trung tại
DataCenter
- Chinhánh ph
ải có kết nối tới
DataCenter
- D
ịch vụ tường lửa và cơ sở
hạ tầng mạng ở DataCenter
phải cung cấp đủ thông lượng
để phục vụ kết nối tất cả các
chi nhánh
- Các truy c
ập từ bên ngoài
vào chinhánh ph
ải qua
DataCenter và chịu sự quản lý
của DataCenter
- Chi phí thấp, dễ quản lý
- Xác suất sự cố cao (đứt
đường WAN)
- Dữ liệu lưu trữ theo phân
cấp trên cácchinhánh
- Cácchinhánh có th
ể kết nối
với cácchinhánh khác
- Dịch vụ tường lửa ở mối chi
nhánh ph
ải cung cấp đủ thông
lượng để phục vụ các kết nối
- Các truy cập từ bên ngoài
vào chinhánh không c
ần
thông qua DataCenter.
- Linh ho
ạt, tính sãn sàng cao
- Chi phí cao, khó quản lý
Xem xét các truy cập từ bên trong ra cáctài nguyên bên
ngoài
Các truy cập này có thể là từ các client trong mạngchinhánh
tới cáctài nguyên thuộc DataCenter/các chinhánh khác hoặc
ra Internet. Cần xem xét các yếu tố:
- Phạm vi truy cập: chỉcho phép các client bên trong mạng
tới một nhóm giới hạn cáctài nguyên bên ngoài. Các client
ph
ải là thành viên của một domain và được xác thực trên
tường lửa
- Kiểu lưu lượng: cần nắm được các loại giao thức truyền tải
lưu lượng mà các chương tr
ình ứng dụng chạy trong mạngchi
nhánh sử dụng. Điều này hỗ trợ việc cấu hình các dịch vụ
chặn/lọc các gói tin trên tường lửa.
- Thiếtkếcác luật truy cập (access rule) và network rule:
dùng các access rule để xác định các giao thức, mạng nguồn,
mạng đích, nội dung truy cập v.v…để áp đặt chocác truy cập
ra bên ngoài. Dùng network rule để xác định việc chặn/cho
phép truyền thông giữa các mạng. Ví dụ, cho phép các người
dùng Internet truy cập vào Web Server đặt tại vùng DMZ của
chi nhánh.
-
Hiệu năng: Nếu đặt cáctài nguyên tạichinhánh thì các tốc
độ truy cập dữ liệu v
à tính sẵn sàng của dịch vụ tạichinhánh
sẽ là rất cao. Tuy nhiên cần có đường truyền WAN tốc độ cao
kết nối với DataCenter để cập nhật, đồng bộ và sao lưu dữ
liệu. Nếu chinhánhchỉ có đường truyền WAN tốc độ thấp thì
có th
ể sử dụng kỹ thuật caching của tường lửa để tăng hiệu
năng cho mạng.
Xem xét các truy cập từ bên ngoài vào cáctài nguyên bên
trong
- Kiểu lưu lượng: cần xác định rõ cách thức người dùng từ
bên ngoài truy cập vào tài nguyên trong mạngchinhánh như
thế nào. Trong một vài trường hợp, tường lửa có thể tự động
chặn/lọc gói tin của một số giao thức thông dụng. Ngoài ra đối
với các giao thức khác, cần sự giám sát và việc cấu hình của
người quản trị.
- Chức năng nghiệp vụ: nếu chinhánh có chức năng cung
cấp tài nguyên chocác client ở bên ngoài thì cần cấu hình
d
ịch vụ tường lửa để quản lý việc truy cập tới cáctài nguyên
này.
Thiết kế hỗ trợ người dùng
Việc thiếtkế dịch vụ tường lửa còn phải đảm bảo các yêu cầu
về chức năng chocác client. Cụ thể là:
-
Truy cập Internet: nếu client có nhu cầu truy cập ra Internet
hoặc các ứng dụng Web thì có thể cấu hình một Web proxy
cho mạngchi nhánh. Sau khi cấu hình Web proxy, các yêu
c
ầu truy cập sẽ được gửi tới tường lửa và tường lửa sẽ gửi các
yêu cầu tới đích.
- Truy cập các chương trình ứng dụng: nếu các client cần
truy cập tới các chương trình ứng dụng dùng Winsock qua
tường lửa thì cần cấu hình các client một cách thích hợp để
việc truyền thông từ các client qua tường lửa tới ứng dụng
diễn ra suôn sẻ.
- Xác thực người dùng: nếu chinhánh có quy định về việc
phân loại người dùng để gán quyền truy cập vào tài nguyên thì
tường lửa cần phải xác thực người dùng. Bên cạnh đó, điều
này còn cho phép việc kiểm soát truy cập vào tới từng đối
tượng tài nguyên.
Thiết kếcho công tác vận hành
Khi thiếtkế dịch vụ tường lửa còn cần phải tính đến bài toán
v
ận hành dịch vụ này. Các yếu tố sau phải tính đến:
- Tối ưu hóa: dịch vụ tường lửa khi khởi chạy phải tối ưu về
hiệu năng. Để làm được điều này cần chủ động giám sát quá
trình hoạt động của dịch vụ thông qua file nhật ký, các cảnh
báo.
-
Hỗ trợ: Cần tính đến khả năng hỗ trợ dịch vụ. Ví dụ, đối với
các chinhánh không có đội ngũ kỹ thuật th
ì dịch vụ tường lửa
cần được cấu hình để quản lý từ xa.
- Thay đổi: dịch vụ tường lửa khi cần có thể phải thay đổi. Ví
dụ như thêm 1 tường lửa thứ hai mới để bảo vệ các Server
trong mạng của chi nhánh. Khi đó có thể cần thay đổi cấu
hình của tường lửa thứ nhất cho phù hợp.
. Thiết kế mạng cho các chi
nhánh
Bài viết này sẽ đề cập đến quá trình thiết
kế dịch vụ tường lửa cho mạng của các
chi nhánh. Bài toán:. WAN)
- Dữ liệu lưu trữ theo phân
cấp trên các chi nhánh
- Các chi nhánh có th
ể kết nối
với các chi nhánh khác
- Dịch vụ tường lửa ở mối chi
nhánh ph
ải