a. Xương sống của mạng
Giải pháp mà em đưa ra cho công ty Hòa Phát ở đây là 1 mô hình mạng theo kiến trúc phân cấp (hierarchical models) kết hợp với mô hình an ninh.
Hình 32. Kiến trúc chung của mô hình phân cấp
Hình 33. Giải pháp cho công ty sử dụng kiến trúc phân cấp kết hợp an ninh
• Lớp lõi (Core Layer): đây là trục xương sống của mạng và được dùng Router có tốc độ cao, có công suất dư thừa, có khả năng tự khắc phục lỗi, có khả năng lọc gói, hay lọc các tiến trình đang chuyển trong mạng ở đây chúng ta dùng thiết bị
dòng 881 của Cisco. Router này có chức năng firewall khi kết hợp với thiết bị PIX 525 sẽ giúp tạo ra hai lớp bảo vệ cho hệ thống mạng của công ty.
•Lớp phân phối (Distribution Layer): là ranh giới giữa lớp truy nhập và lớp lõi của mạng. Lớp phân tán thực hiện các chức năng như đảm bảo gửỉ dữ liệu đến từng phân đoạn mạng, đảm bảo an ninh – an toàn phân đoạn mạng theo nhóm công tác. Chia miền Broadcast/ Multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong tuyến định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng……..). Thực hiện các cơ chế đảm bảo chất lượng dịch vụ QOS. Bởi những yêu cầu khắt khe như vậy nên chúng ta phải sử dụng một switch layer 3 kết hợp với hai switch layer 2.
•Lớp truy cập (Access Layer) cung cấp các khả năng truy nhập cho người dùng cục bộ hay từ xa truy nhập vào mạng. Ở đây chỉ cần sử dụng các switch layer 2.
b. Xây dựng vùng DMZ(Demilitarized Zone)
Hình 34. Vùng DMZ
DMZ được thiết kế là 1 vùng LAN được đặt cô lập giữa mạng nội bộ và Internet. Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từ trong mạng nội bộ. Đây sẽ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet. Trên đây chúng ta sẽ tiến hành cài đặt các dịch vụ: DNS Server, Mail Server, Web Server.
Việc thiết kế Pix Firewall như trong mô hình sẽ có tác dụng lọc thông tin từ 2 phía (bên ngoài internet, mạng cục bộ) kết hợp với hệ thống phát hiện xâm nhập NIDS sẽ giúp cho toàn bộ hệ thống mạng trở nên an toàn trước sự tấn công.
c.Vùng Private VLAN
Hình 35. Xây dựng vùng VLAN
Có thể tạo ra mạng LAN ảo, tạo ra các nhóm làm việc không phụ thuộc vào vị trí của thiết bị, chẳng hạn, những người thuộc cùng nhóm nghiên cứu không cần ngồi cùng một phòng hay cùng một tầng trong toà nhà mà vẫn là các thành viên trong một mạng LAN ảo.
Chúng ta sẽ tạo ra 2 vùng VLAN một vùng là Server Farm dùng phục vụ cho việc truyền thông , cung cấp những dịch vụ cho các máy ở các phòng ban. Ở đây các server như DHCP, Database, Domain Controller sẽ được xây dựng.
Ngoài ra một vùng VLAN được cô lập dành cho việc quản lý , ở nơi này chúng ta sẽ đặt AAA server và Admin server
Việc xây dựng VLAN như này sẽ đem lại cho chúng ta các lợi ích như:
• Mạng có tính linh động cao, dễ dàng di chuyển thiết bị từ mạng LAN ảo này sang mạng LAN ảo khác.
• Mạng LAN ảo cho phép kiểm soát kiểm soát các miền quảng bá và kiếm soát tính bảo mật.
• Tiết kiệm băng thông của mạng: Do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền chỉ trong một
VLAN duy nhất, không truyền ở các VLAN khác nên giảm được lưu lượng quảng bá, tiết kiệm được băng thông đường truyền.
• Ưu điểm khác là bằng việc sử dụng các bộ chuyển mạch thay cho các bộ định tuyến, hiệu năng làm việc cao hơn, giá thành rẻ hơn, khả năng quản trị tốt hơn.