Môi trường mạng riêng ảo đối tác cho phép các thực thể mở rộng, như đối tác thương mại, nhà cung cấp có thể truy cập tới mạng Intranet của tổ chức một cách an toàn sử dụng Internet mà không phải dựa trên các kênh thuê riêng và các kết nối quay số, như minh hoạ trong hình 5.8
Hình – Thiết lập mạng riêng ảo đối tác
Các xem xét thiết kế mà ta phải lưu ý khi thiết kế một giải pháp mạng riêng ảo cho môi trường này là:
- Bảo mật: Các phương tiện và giao thức bảo mật nghiêm ngặt cần được thực thi tại các Router, Gateway và Firewall ngoại vi. Hơn nữa, các thiết bị ngoại vi này nên được ẩn dấu sau firewall với các chính sách bảo mật được định nghĩa rõ ràng
- Lược đồ đánh địa chỉ và định tuyến: Trong môi trường này, ta không thể mong đợi các mạng mở không bị trục trặc. Nếu hai mạng sử dụng một lược đồ địa chỉ riêng, khả năng xung đột địa chỉ xẩy ra là rất cao. Điều này có thể dẫn đến vấn đề định tuyến khi Router và Gateway sẽ không có khả năng giải quyết các địa chỉ nhập nhằng này. Kết quả là, ta cần phải đảm bảo rằng
- Phân phối khoá: Vì một thiết lập mở rộng khá phức tạp và bao gồm cả đến các thực thể mở rộng không tin cậy, thêm vào đó một số lượng lớn các Client và liên lạc, một cơ chế quản lý và phân phối khoá an toàn và tự động như
IKE hoặc ISAKMP/Oakley là bắt buộc với tất các các nhóm – Server, Client, Router, Gateway, Firewall…
- Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá đầu cuối - tới - đầu cuối cũng như xác thực một cách triệt để. Điều này là cần thiết vì dữ liệu có thể từ một môi trường không tin cậy và đã được định tuyến qua Internet hay các mạng công cộng khác, cho nên rất dễ gặp phải các nguy cơ bảo mật và sự sai lệch. Giống như chính sách bảo mật được dùng trong môi trường truy cập từ xa và môi trường cục bộ, ta nên thiết lập các bộ lọc gói và thông qua các phương tiện nghiêm ngặt để đảm bảo rằng dữ liệu không được xác thực cũng như không được mã hoá sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến giữa các Router cũng nen được mã hoá và xác thực.
- Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi mạng cuối là điều thích hợp. Mặc dù thực tế điều này nâng cao tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet là không cao, nhưng nó phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ tin cậy trong môi trường Intranet và sau đó quyết định giữa 2 tuỳ chọn (Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao.
- Các giao thức đường hầm: Nếu các Client từ xa sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi, như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp, các giao thức đường hầm với các cơ chế bảo mật mạnh thêm vào
Trong phần sau, ta sẽ xem xét các bước thông thường để thực thi mạng riêng ảo
Chương 3. Các bước xây dựng mạng riêng ảo
Khi ta đã chú ý về bất kỳ công nghệ nào, một khi ta đã thực thi và bắt đầu sử dụng nó, thì nó trở thành một phần công việc của ta. Điều này cũng đúng với các mạng riêng ảo. Một khi đã thực thi, thậm chí trước khi ta thực hiện, mạng riêng ảo trở thành một phần không thể thiếu của hoạt động giao dịch hằng ngày. Và như vậy, nếu có bất kỳ sai sót nào trong pha thực thi hay lập kế hoạch không chặt chẽ, những người dùng và tổ chức của ta sẽ chịu hậu quả, dẫn đến nhiều công việc phức tạp và mất nhiều thời gian.
Điều này lý giải tại sao ta phải thực sự hiểu các yêu cầu và các kế hoạch tương lai của tổ chức trước khi bắt đầu lập kế hoạch. Chỉ sau khi kế hoạch và tiếp đó là bản thiết kế phù hợp, nên chia thành các pha thực thi
Việc thực thi đầy đủ một giải pháp dựa trên mạng riêng ảo có thể khái quá thành năm bước sau:
- Chuẩn bị cơ sở
- Lựa chọn các sản phẩm và một nhà cung cấp dịch vụ - Kiểm thử kết quả
- Thiết kế và thực thi giải pháp - Quản trị và giám sát
Sau đây ta sẽ thảo luận chi tiết các bước này