Nhóm này gồm bốn (03) thiết bị, máy chủ và phần mềm: Thiết bị VIE-P3
Thiết bị này ảo hóa các ứng dụng liên quan để cho phép các máy được phép làm việc từ xa có thể truy cập tới các tài liệu, số liệu cần bảo mật ở mạng bên trong của mạng nội bộ. Thiết bị VIE-P3 sử dụng các nguyên tắc công nghệ tương tự như VIE-P0 nhưng đã được thay đổi chính sách hoạt động. Máy ảo để chạy các ứng dụng sẽ được nối với bàn phím và màn hình của các máy làm việc từ xa có cài đặt sẵn phần mềm ứng dụng VIE-VPN đã được đăng ký từ trước.
Chính sách hoạt động của VIE-P3 về cơ bản sẽ khác VIE-P0 với mục tiêu chống rò rỉ dữ liệu và loại bỏ hoàn toàn nguy cơ lây nhiễm mã độc cho VIE-P3 ngay cả khi kết nối giữa máy trạm từ xa và máy ở mạng trong là kết nối qua môi trường Internet.
Máy chủ mạng
Hình 4.5: Mô hình giải hệ thống giải pháp VPN
Máy chủ mạng là máy chủ VPN (Virtual Private Network – Mạng riêng ảo) được dùng để thiết lập mạng riêng ảo từ máy từ xa đến thiết bị VIE-P3. Theo nguyên tắc thì thành phần máy chủ VPN có thể được thay thế bởi một giải pháp VPN của hãng thứ ba. Tuy nhiên, với mục tiêu đảm an ninh một cách toàn vẹn, giải pháp VCM12 đã được trang bị tính năng kết nối VPN bằng một quy trình xác thực riêng nhưng vẫn dựa trên nền tảng của giao thức bảo mật IpSec.
Phần mềm VCM12 Client P3 (VCP3) sử dụng chung giao thức với VCP0 có bổ sung thêm các chức năng bảo mật và truy cập từ xa cần thiết. Các tác vụ sau sẽ lần lượt được thực hiện khi khởi động VIE-VPN:
- Máy trạm từ xa dùng VIE-VPN truy cập tới máy chủ mạng để yêu cầu được kết nối vào mạng nội bộ bằng cơ chế mạng riêng ảo VPN;
- Sau khi máy trạm đã được phép gia nhập mạng ngoài của mạng nội bộ, VCP3 sử dụng thành phần tương tự như VCP0 để kích hoạt giao thức VIE- RDP và truyền dữ liệu giữa màn hình và bàn phím của máy trạm với máy ảo trên thiết bị VIE-P3;
- Người sử dụng mở các ứng dụng đã được ảo hóa trên VIE-P3 để truy cập tới tài liệu và dữ liệu cần thiết, nhưng không thể tải chúng về máy trạm và tải mã độc từ máy trạm lên VIE-P3;
- Khi VCP3 chấm dứt hoạt động, mọi kênh truyền VIE-RDP đều đóng lại, máy trạm chuyển về chế độ hoạt động độc lập bình thường;
Người dùng có thể đưa các tệp ở máy trạm từ xa với những định dạng được phép lên VIE-P3 thông qua một kênh truyền dữ liệu đã được kiểm soát. Các tệp này sẽ tiếp tục được quét kỹ bởi các phần mềm của hãng thứ ba. Người sử dụng có thể mở các tệp này để tác nghiệp ngay trên VIE-P3.
Trong những trường hợp xét thấy cần thiết và an toàn, quản trị viên có thể cấu hình VIE-P3 cho phép người dùng chép dữ liệu từ clipboard của máy trạm từ xa vào ứng dụng tác nghiệp chạy trên VIE-P3, nhưng hoàn toàn không có cách nào chép dữ liệu từ clipboard của VIE-P3 về máy trạm từ xa. Như vậy, người sử dụng có thể sử dụng Internet trên máy trạm từ xa để tra cứu tài liệu và chuyển nội dung tham khảo vào VIE-P3 để soạn thảo, nhưng hoàn toàn không thể chuyển dữ liệu từ VIE-P3 về máy trạm từ xa.