Hình bên dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trúc mạng bao gồm các khu vực thành phần kết nối qua thiết bị an ninh mạng Pix firewall 515 của Cisco.
2950-24 37 Hïng V ¬ng Firewall PIX 515 Router 2611XM Router 3550- 12T ISDN 128 Kbps PDC DNS Internet PSTN Leased line 128 Kbps Ng êi dïng tõ xa Router 2511 ISDN BDC DNS Database Web IDS Content Engine 172.18.x.x 172.19.4.x 172.19.5.x 172.19.1.x 172.19.2.x 172.19.3.x 2 B¾c S¬n BDC DNS ISDN Router 35 Ng« QuyÒn QH.GOV.VN Mail AAA CPnet
a. Đánh địa chỉ IP cho toàn mạng:
Để đảm bảo hoạt động bình thường của hệ thống, địa chỉ mạng tại 37 Hùng Vương và tại 2 địa điểm trên phải thỏa mãn các yêu cầu sau:
• Địa chỉ không trùng lặp
• Sử dụng các địa chỉ IP dùng riêng (Private IP address): địa chỉ trong các lớp 10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x
• Đảm bảo thay đổi ít nhất, tránh ảnh hưởng đến hoạt động của hệ thống hiện có.
Trên cơ sở các yêu cầu này, địa chỉ IP phải được cấp phát và sử dụng như sau: • Hệ thống tại 35 Ngô Quyền
o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0)
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.16.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 35 Ngô Quyền được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.
• Hệ thống tại 2 Bắc Sơn
o Router ISDN (dùng kết nối với 37 Hùng Vương) được đặt địa chỉ là 172.17.1.1
o Các thiết bị trên mạng sử dụng Router ISDN làm default gateway
o Các máy chủ tại 2 Bắc Sơn được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ. • Hệ thống tại 37 Hùng Vương
o Địa chỉ mạng LAN: 172.18.x.x (netmask 255.255.0.0)
o Địa chỉ hệ thống mạng máy chủ 172.19.1.x (netmask 255.255.255.0) o Địa chỉ hệ thống phục vụ người dùng kết nối từ xa 172.19.2.x (netmask
255.255.255.0)
o Địa chỉ hệ thống phục vụ kết nối với 2 Bắc Sơn và 35 Ngô Quyền 172.19.3.x (netmask 255.255.255.0)
o Địa chỉ hệ thống mạng kết nối với Internet do nhà cung cấp dịch vụ kết nối Internet (ISP) quy định
o Địa chỉ các giao tiếp mạng của Firewall PIX được đánh tương ứng với các hệ thống mạng mà nó kết nối
o Các thiết bị trên mạng sử dụng Firewall PIX làm default gateway.
o Các máy chủ được cấp phát địa chỉ tĩnh, các máy trạm được cấp phát địa chỉ động thông qua dịch vụ DHCP trên máy chủ.
o Firewall PIX làm nhiệm vụ chuyển đổi địa chỉ đối với các yêu cầu truy nhập Internet.
• Các kết nối ISDN
Các kết nối ISDN từ 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương sử dụng địa chỉ tương ứng là 172.19.4.x và 172.19.5.x cho các yêu cầu đấu nối (ISDN interface của router)
b. Khu vực mạng LAN tại 37 Hùng Vương:
Bao gồm hệ thống các Catalyst (Switch) kết nối theo kiến trúc phân lớp (lớp lõi là 2 Catalyst 3550 12T của Cisco, lớp phân phối và truy nhập gồm có các Catalyst 2950-24 ), các máy trạm được kết nối đên các cổng của lớp lớp phân phối và truy nhập.
Máy chủ quản lý mạng: Gồm máy chủ cài đặt hệ điều hành Win2000 Server, cài đặt dịch vụ Active Directorry.
c. Giao tiếp kết nối các trụ sở 37 Hùng Vương, Bắc Sơn, Ngô Quyền:
Tại 37 Hùng Vương thiết lập 2 kênh truyền ISDN. Tại 35 Ngô Quyền và 2 Bắc Sơn mỗi điểm có 1 kênh truyền ISDN.
Đường truyền ISDN được nối từ số 2 Bắc Sơn và 35 Ngô Quyền về 37 Hùng Vương, tốc độ đường truyền là 128 kbps (kênh 2B+D), trong đó bao gồm 2 kênh thông tin (2B) và 1 kênh báo hiệu (1D), mỗi kênh B có tốc độ là 64kbps.
Mỗi đường truyền ISDN sẽ tương ứng với 1 số điện thoại ISDN, tức là việc quay số từ 2 văn phòng về 37 Hùng vương sẽ tương tự như việc quay trực tiếp về số điện thoại ISDN được cấp.
Hệ thống router tại 37 Hùng Vương, 2 Bắc Sơn và 35 Ngô Quyền được thiết lập để sử dụng đường truyền ISDN ở chế độ Dial-on-demand. Mỗi khi có yêu cầu gửi thông tin, hệ thống tự động thiết lập kết nối qua thao tác quay số ISDN của điểm tương ứng. Sau khi sử dụng xong kênh truyền, nếu sau một thời gian (do người quản trị hệ thống quy định) không có thông tin truyền trên đường, hệ thống sẽ tự ngắt kết nối.
Hệ thống tại số 2 Bắc Sơn và 35 Ngô Quyền gồm 2 mạng LAN riêng biệt, được thiết đặt để sử dụng các router kết nối về 37 Hùng Vương như Default Gateway. Thông qua router 37 Hùng Vương, 2 điểm này cũng có thể liên lạc được với nhau.
• Cần thuê dịch vụ ISDN từ nhà cung cấp (Cục Bưu điện Trung ương).
• Sử dụng 01 network module 4-cổng ISDN cho Router 2611, có gắn sẵn modem ISDN tương thích NT1
• Trang bị router ISDN cho các điểm 2 Bắc Sơn và 35 Ngô Quyền để kết nối về 37 Hùng Vương sử dụng loại Cisco 1720 với các module ISDN có modem NT-1.
d. Kết nối khai thác dịch vụ Internet:
Hệ thống kết nối Internet được xây dựng để phục vụ nhu cầu tìm kiếm và trao đổi thông tin với thế giới, phục vụ cho các nhiệm vụ chính trị của cơ quan Quốc hội Việt Nam. Hệ thống mạng của Quốc hội được kết nối với Internet bằng đường kết
nối Internet trực tiếp đến nhà cung cấp dịch vụ Internet (ISP). Để đảm bảo phục vụ các yêu cầu truy nhập Internet của một lượng người dùng tương đối lớn (hơn 400 người), kết nối Internet trong giai đoạn hiện tại phải có tốc độ 128 Kbps. Trong tương lai cần nâng cấp đường truyền khi nhu cầu sử dụng tăng và điều kiện kinh phí cho phép.
Hệ thống kết nối Internet bao gồm 01 router (Cisco router 2651), thiết bị kết nối leased line NTU/HTU, và thiết bị cache (lưu trữ đệm, chọn loại Cisco Content Engine 560) hỗ trợ tăng tốc truy cập Internet, chức năng của các thiết bị như sau:
• Router: Thực hiện chức năng định tuyến giữa hệ thống mạng cơ quan Quốc hội và mạng Internet. Router cũng được sử dụng làm bức tường ngăn đầu tiên chặn các ý đồ tấn công từ Internet, sử dụng các tính năng lọc gói trên router.
• NTU/HTU : Là modem đầu cuối cho kết nối lased-line tốc độ cao (chọn loại Datacraft HTU-2). Cho phép tốc độ truyền dẫn số liệu đồng bộ đạt được từ 64Kbps- 2Mbps.
• Content Engine: hỗ trợ đường truyền Internet, khi có một người sử dụng đã vào một trang nào đó thì trang này tự động được lưu vào trong cache theo các quy luật định trước. Những người tiếp theo truy nhập vào cùng một trang sẽ truy nhập thông tin từ máy chủ cache thay vì phải truy nhập ra Internet. Máy chủ cache nên là máy chủ chuyên dụng với phần mềm hệ thống và phần mềm ứng dụng chuyên dụng để đảm bảo tối ưu hoá đường truyền cũng như giảm được nguy cơ về an ninh.
e. An ninh thông tin mạng:
Việc đảm bảo an toàn thông tin cho hệ thống thông tin tại Văn phòng Quốc hội được xây dựng trên nhiều lớp
• Thành phần quan trọng, đóng vai trò trung tâm của việc đảm bảo an toàn thông tin là firewall, có nhiệm vụ phân tách hệ thống mạng thành các thành phần với các yêu cầu về an toàn thông tin, bảo mật khác nhau.
• Firewall cho phép thiết lập các quy tắc kiểm soát kết nối giữa các máy trạm (client) và máy chủ (server) trong các thành phần khác nhau của mạng, qua đó giới hạn việc truy nhập từ Internet trực tiếp vào mạng bên trong. Các máy
tính trên Internet chỉ được phép làm việc với máy chủ thư tín tại 37 Hùng Vương để trao đổi thư, trong khi các máy tính trên mạng nội bộ có thể được truy nhập vào Internet một cách dễ dàng.
• Firewall cũng giới hạn việc truy nhập trực tiếp của các máy trạm trong hệ thống mạng của Văn phòng Quốc hội vào các máy chủ của hệ thống Internet/intranet. Chỉ có các dịch vụ cho phép truy nhập tự do mới được mở trên firewall (bao gồm Web, gửi/nhận thư qua SMTP/POP3/IMAP, tra cứu tên DNS, truyền file ...). Các dịch vụ khác chỉ mở đối với các máy quản trị hệ thống hay các máy đủ thẩm quyền.
• Hệ thống sử dụng các tính năng của hệ điều hành, đặc biệt là hệ điều hành Windows 2000 và Windows NT 4.0 để đảm bảo mức an ninh thông tin bên trong mạng nội bộ, bao gồm:
o Thiết lập các chính sách về mật khẩu: độ dài, độ phức tạp, thời gian tối thiểu và tối đa sử dụng nhằm tránh lộ mật khẩu của người sử dụng o Thiết lập các chính sách về quyền của người sử dụng trong hệ thống
mạng: quyền chia sẻ file, máy in, quyền đăng nhập vào máy chủ và máy trạm ....
o Phân quyền truy nhập vào các tài nguyên của hệ thống một cách hợp lý.
Thiết bị firewall được chọn là Cisco PIX 515:
• PIX 525 với 6 cổng Ethernet 10/100 Mbps (2 cổng có sẵn trên thiết bị, card 4 cổng 10/100) và 2 cổng Gigabit sử dụng cáp quang
• Tốc độ băng thông lên đến 330 Mbps, số kết nối đồng thời đến 280.000 Đây là thiết bị có năng lực xử lý rất lớn, vượt xa băng thông của kết nối Internet của Văn phòng Quốc hội (dự kiến chỉ lên đến 2 Mbps, giai đoạn đầu chỉ có 128 Kbps).