1. Trang chủ
  2. » Công Nghệ Thông Tin

Tài liệu Thiết kế mạng cho các chi nhánh doc

5 461 2

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 214,86 KB

Nội dung

Thiết kế mạng cho các chi nhánh Bài viết này sẽ đề cập đến quá trình thiết kế dịch vụ tường lửa cho mạng của các chi nhánh. Bài toán: Công ty A mở thêm m ột chi nhánh mới. Các yêu cầu: - Chi nhánh có khoảng 50 nhân viên và c ần có kết nối vào Internet. Chi nhánh c ần có kết nối với DataCenter. - Chi nhánh cung cấp các thông tin cho khách hàng và các đối tác thông qua việc sử dụng một Web Server chứa các trang web. Web Server này phải tách biệt với mạng trong của chi nhánh bằng một tường lửa. - Các yêu cầu truy cập ra Internet từ các client bên trong mạng chi nhánh phải qua một tường lửa. - Các tài nguyên trên Web Server phải được sẵn sàng cho khách hàng và đối tác truy cập - Tại chi nhánh cần có 1 người quản trị mạng. Nhiệm vụ của người n ày là thiết kế dịch vụ tường lửa cho chi nhánh sao cho đảm bảo an to àn cho các thông tin khi truy cập ra Internet cũng như bảo đảm an toàn cho mạng chi nhánh khỏi các truy cập trái phép từ bên ngoài. Việc đầu tiên cần xem xét là tính tập trung và phân tán c ủa dịch vụ - Dữ liệu tập trung tại DataCenter - Chi nhánh ph ải có kết nối tới DataCenter - D ịch vụ tường lửa và cơ sở hạ tầng mạng ở DataCenter phải cung cấp đủ thông lượng để phục vụ kết nối tất cả các chi nhánh - Các truy c ập từ bên ngoài vào chi nhánh ph ải qua DataCenter và chịu sự quản lý của DataCenter - Chi phí thấp, dễ quản lý - Xác suất sự cố cao (đứt đường WAN) - Dữ liệu lưu trữ theo phân cấp trên các chi nhánh - Các chi nhánh có th ể kết nối với các chi nhánh khác - Dịch vụ tường lửa ở mối chi nhánh ph ải cung cấp đủ thông lượng để phục vụ các kết nối - Các truy cập từ bên ngoài vào chi nhánh không c ần thông qua DataCenter. - Linh ho ạt, tính sãn sàng cao - Chi phí cao, khó quản lý Xem xét các truy cập từ bên trong ra các tài nguyên bên ngoài Các truy cập này có thể là từ các client trong mạng chi nhánh tới các tài nguyên thuộc DataCenter/các chi nhánh khác hoặc ra Internet. Cần xem xét các yếu tố: - Phạm vi truy cập: chỉ cho phép các client bên trong mạng tới một nhóm giới hạn các tài nguyên bên ngoài. Các client ph ải là thành viên của một domain và được xác thực trên tường lửa - Kiểu lưu lượng: cần nắm được các loại giao thức truyền tải lưu lượng mà các chương tr ình ứng dụng chạy trong mạng chi nhánh sử dụng. Điều này hỗ trợ việc cấu hình các dịch vụ chặn/lọc các gói tin trên tường lửa. - Thiết kế các luật truy cập (access rule) và network rule: dùng các access rule để xác định các giao thức, mạng nguồn, mạng đích, nội dung truy cập v.v…để áp đặt cho các truy cập ra bên ngoài. Dùng network rule để xác định việc chặn/cho phép truyền thông giữa các mạng. Ví dụ, cho phép các người dùng Internet truy cập vào Web Server đặt tại vùng DMZ của chi nhánh. - Hiệu năng: Nếu đặt các tài nguyên tại chi nhánh thì các tốc độ truy cập dữ liệu v à tính sẵn sàng của dịch vụ tại chi nhánh sẽ là rất cao. Tuy nhiên cần có đường truyền WAN tốc độ cao kết nối với DataCenter để cập nhật, đồng bộ và sao lưu dữ liệu. Nếu chi nhánh chỉ có đường truyền WAN tốc độ thấp thì có th ể sử dụng kỹ thuật caching của tường lửa để tăng hiệu năng cho mạng. Xem xét các truy cập từ bên ngoài vào các tài nguyên bên trong - Kiểu lưu lượng: cần xác định rõ cách thức người dùng từ bên ngoài truy cập vào tài nguyên trong mạng chi nhánh như thế nào. Trong một vài trường hợp, tường lửa có thể tự động chặn/lọc gói tin của một số giao thức thông dụng. Ngoài ra đối với các giao thức khác, cần sự giám sát và việc cấu hình của người quản trị. - Chức năng nghiệp vụ: nếu chi nhánh có chức năng cung cấp tài nguyên cho các client ở bên ngoài thì cần cấu hình d ịch vụ tường lửa để quản lý việc truy cập tới các tài nguyên này. Thiết kế hỗ trợ người dùng Việc thiết kế dịch vụ tường lửa còn phải đảm bảo các yêu cầu về chức năng cho các client. Cụ thể là: - Truy cập Internet: nếu client có nhu cầu truy cập ra Internet hoặc các ứng dụng Web thì có thể cấu hình một Web proxy cho mạng chi nhánh. Sau khi cấu hình Web proxy, các yêu c ầu truy cập sẽ được gửi tới tường lửa và tường lửa sẽ gửi các yêu cầu tới đích. - Truy cập các chương trình ứng dụng: nếu các client cần truy cập tới các chương trình ứng dụng dùng Winsock qua tường lửa thì cần cấu hình các client một cách thích hợp để việc truyền thông từ các client qua tường lửa tới ứng dụng diễn ra suôn sẻ. - Xác thực người dùng: nếu chi nhánh có quy định về việc phân loại người dùng để gán quyền truy cập vào tài nguyên thì tường lửa cần phải xác thực người dùng. Bên cạnh đó, điều này còn cho phép việc kiểm soát truy cập vào tới từng đối tượng tài nguyên. Thiết kế cho công tác vận hành Khi thiết kế dịch vụ tường lửa còn cần phải tính đến bài toán v ận hành dịch vụ này. Các yếu tố sau phải tính đến: - Tối ưu hóa: dịch vụ tường lửa khi khởi chạy phải tối ưu về hiệu năng. Để làm được điều này cần chủ động giám sát quá trình hoạt động của dịch vụ thông qua file nhật ký, các cảnh báo. - Hỗ trợ: Cần tính đến khả năng hỗ trợ dịch vụ. Ví dụ, đối với các chi nhánh không có đội ngũ kỹ thuật th ì dịch vụ tường lửa cần được cấu hình để quản lý từ xa. - Thay đổi: dịch vụ tường lửa khi cần có thể phải thay đổi. Ví dụ như thêm 1 tường lửa thứ hai mới để bảo vệ các Server trong mạng của chi nhánh. Khi đó có thể cần thay đổi cấu hình của tường lửa thứ nhất cho phù hợp. . Thiết kế mạng cho các chi nhánh Bài viết này sẽ đề cập đến quá trình thiết kế dịch vụ tường lửa cho mạng của các chi nhánh. Bài toán:. WAN) - Dữ liệu lưu trữ theo phân cấp trên các chi nhánh - Các chi nhánh có th ể kết nối với các chi nhánh khác - Dịch vụ tường lửa ở mối chi nhánh ph ải

Ngày đăng: 21/01/2014, 02:20

TỪ KHÓA LIÊN QUAN

w