Hỡnh bờn dưới là sơ đồ tổng thể của toàn mạng của VPQH, ta thấy kiến trỳc mạng bao gồm cỏc khu vực thành phần kết nối qua thiết bị an ninh mạng Pix firewall 515 của Cisco.
2950-24 37 Hùng Vương Firewall PIX 515 Router 3550- PDC DNS Internet Leased line 128 Kbps Database Web IDS Content Engine 172.18.x.x 172.19.1.x AAA CPnet
67
a. Đỏnh địa chỉ IP cho toàn mạng:
Để đảm bảo hoạt động bỡnh thường của hệ thống, địa chỉ mạng tại 37 Hựng Vương và tại 2 địa điểm trờn phải thỏa món cỏc yờu cầu sau:
Địa chỉ khụng trựng lặp
Sử dụng cỏc địa chỉ IP dựng riờng (Private IP address): địa chỉ trong cỏc lớp 10.x.x.x, 172.16.x.x đến 172.31.x.x và 192.168.x.x
Đảm bảo thay đổi ớt nhất, trỏnh ảnh hưởng đến hoạt động của hệ thống hiện cú.
Trờn cơ sở cỏc yờu cầu này, địa chỉ IP phải được cấp phỏt và sử dụng như sau:
Hệ thống tại 35 Ngụ Quyền
o Địa chỉ mạng 172.16.x.x (netmask 255.255.0.0)
o Router ISDN (dựng kết nối với 37 Hựng Vương) được đặt địa chỉ là 172.16.1.1
o Cỏc thiết bị trờn mạng sử dụng Router ISDN làm default gateway
o Cỏc mỏy chủ tại 35 Ngụ Quyền được cấp phỏt địa chỉ tĩnh, cỏc mỏy trạm được cấp phỏt địa chỉ động thụng qua dịch vụ DHCP trờn mỏy chủ.
Hệ thống tại 2 Bắc Sơn
o Router ISDN (dựng kết nối với 37 Hựng Vương) được đặt địa chỉ là 172.17.1.1
o Cỏc thiết bị trờn mạng sử dụng Router ISDN làm default gateway
o Cỏc mỏy chủ tại 2 Bắc Sơn được cấp phỏt địa chỉ tĩnh, cỏc mỏy trạm được cấp phỏt địa chỉ động thụng qua dịch vụ DHCP trờn mỏy chủ.
Hệ thống tại 37 Hựng Vương
o Địa chỉ mạng LAN: 172.18.x.x (netmask 255.255.0.0)
o Địa chỉ hệ thống mạng mỏy chủ 172.19.1.x (netmask 255.255.255.0) o Địa chỉ hệ thống phục vụ người dựng kết nối từ xa 172.19.2.x (netmask
255.255.255.0)
o Địa chỉ hệ thống phục vụ kết nối với 2 Bắc Sơn và 35 Ngụ Quyền 172.19.3.x (netmask 255.255.255.0)
o Địa chỉ hệ thống mạng kết nối với Internet do nhà cung cấp dịch vụ kết nối Internet (ISP) quy định
o Địa chỉ cỏc giao tiếp mạng của Firewall PIX được đỏnh tương ứng với cỏc hệ thống mạng mà nú kết nối
o Cỏc thiết bị trờn mạng sử dụng Firewall PIX làm default gateway. o Cỏc mỏy chủ được cấp phỏt địa chỉ tĩnh, cỏc mỏy trạm được cấp phỏt địa
chỉ động thụng qua dịch vụ DHCP trờn mỏy chủ.
o Firewall PIX làm nhiệm vụ chuyển đổi địa chỉ đối với cỏc yờu cầu truy nhập Internet.
Cỏc kết nối ISDN
Cỏc kết nối ISDN từ 2 Bắc Sơn và 35 Ngụ Quyền về 37 Hựng Vương sử dụng địa chỉ tương ứng là 172.19.4.x và 172.19.5.x cho cỏc yờu cầu đấu nối (ISDN interface của router)
b. Khu vực mạng LAN tại 37 Hựng Vương: (adsbygoogle = window.adsbygoogle || []).push({});
Bao gồm hệ thống cỏc Catalyst (Switch) kết nối theo kiến trỳc phõn lớp (lớp lừi là 2 Catalyst 3550 12T của Cisco, lớp phõn phối và truy nhập gồm cú cỏc Catalyst 2950-24 ), cỏc mỏy trạm được kết nối đờn cỏc cổng của lớp lớp phõn phối và truy nhập.
69
Mỏy chủ quản lý mạng: Gồm mỏy chủ cài đặt hệ điều hành Win2000 Server,
cài đặt dịch vụ Active Directorry.
c. Giao tiếp kết nối cỏc trụ sở 37 Hựng Vương, Bắc Sơn, Ngụ Quyền:
Tại 37 Hựng Vương thiết lập 2 kờnh truyền ISDN. Tại 35 Ngụ Quyền và 2 Bắc Sơn mỗi điểm cú 1 kờnh truyền ISDN.
Đường truyền ISDN được nối từ số 2 Bắc Sơn và 35 Ngụ Quyền về 37 Hựng Vương, tốc độ đường truyền là 128 kbps (kờnh 2B+D), trong đú bao gồm 2 kờnh thụng tin (2B) và 1 kờnh bỏo hiệu (1D), mỗi kờnh B cú tốc độ là 64kbps.
Mỗi đường truyền ISDN sẽ tương ứng với 1 số điện thoại ISDN, tức là việc quay số từ 2 văn phũng về 37 Hựng vương sẽ tương tự như việc quay trực tiếp về số điện thoại ISDN được cấp.
Hệ thống router tại 37 Hựng Vương, 2 Bắc Sơn và 35 Ngụ Quyền được thiết lập để sử dụng đường truyền ISDN ở chế độ Dial-on-demand. Mỗi khi cú yờu cầu gửi thụng tin, hệ thống tự động thiết lập kết nối qua thao tỏc quay số ISDN của điểm tương ứng. Sau khi sử dụng xong kờnh truyền, nếu sau một thời gian (do người quản trị hệ thống quy định) khụng cú thụng tin truyền trờn đường, hệ thống sẽ tự ngắt kết nối.
Hệ thống tại số 2 Bắc Sơn và 35 Ngụ Quyền gồm 2 mạng LAN riờng biệt, được thiết đặt để sử dụng cỏc router kết nối về 37 Hựng Vương như Default Gateway. Thụng qua router 37 Hựng Vương, 2 điểm này cũng cú thể liờn lạc được với nhau.
Cần thuờ dịch vụ ISDN từ nhà cung cấp (Cục Bưu điện Trung ương).
Sử dụng 01 network module 4-cổng ISDN cho Router 2611, cú gắn sẵn modem ISDN tương thớch NT1
Trang bị router ISDN cho cỏc điểm 2 Bắc Sơn và 35 Ngụ Quyền để kết nối về 37 Hựng Vương sử dụng loại Cisco 1720 với cỏc module ISDN cú modem NT-1.
d. Kết nối khai thỏc dịch vụ Internet:
Hệ thống kết nối Internet được xõy dựng để phục vụ nhu cầu tỡm kiếm và trao đổi thụng tin với thế giới, phục vụ cho cỏc nhiệm vụ chớnh trị của cơ quan Quốc hội Việt Nam. Hệ thống mạng của Quốc hội được kết nối với Internet bằng đường kết
nối Internet trực tiếp đến nhà cung cấp dịch vụ Internet (ISP). Để đảm bảo phục vụ cỏc yờu cầu truy nhập Internet của một lượng người dựng tương đối lớn (hơn 400 người), kết nối Internet trong giai đoạn hiện tại phải cú tốc độ 128 Kbps. Trong tương lai cần nõng cấp đường truyền khi nhu cầu sử dụng tăng và điều kiện kinh phớ cho phộp.
Hệ thống kết nối Internet bao gồm 01 router (Cisco router 2651), thiết bị kết nối leased line NTU/HTU, và thiết bị cache (lưu trữ đệm, chọn loại Cisco Content Engine 560) hỗ trợ tăng tốc truy cập Internet, chức năng của cỏc thiết bị như sau:
Router: Thực hiện chức năng định tuyến giữa hệ thống mạng cơ quan Quốc hội và mạng Internet. Router cũng được sử dụng làm bức tường ngăn đầu tiờn chặn cỏc ý đồ tấn cụng từ Internet, sử dụng cỏc tớnh năng lọc gúi trờn router.
NTU/HTU : Là modem đầu cuối cho kết nối lased-line tốc độ cao (chọn loại Datacraft HTU-2). Cho phộp tốc độ truyền dẫn số liệu đồng bộ đạt được từ 64Kbps- 2Mbps.
Content Engine: hỗ trợ đường truyền Internet, khi cú một người sử dụng đó vào một trang nào đú thỡ trang này tự động được lưu vào trong cache theo cỏc quy luật định trước. Những người tiếp theo truy nhập vào cựng một trang sẽ truy nhập thụng tin từ mỏy chủ cache thay vỡ phải truy nhập ra Internet. Mỏy chủ cache nờn là mỏy chủ chuyờn dụng với phần mềm hệ thống và phần mềm ứng dụng chuyờn dụng để đảm bảo tối ưu hoỏ đường truyền cũng như giảm được nguy cơ về an ninh.
e. An ninh thụng tin mạng:
Việc đảm bảo an toàn thụng tin cho hệ thống thụng tin tại Văn phũng Quốc hội được xõy dựng trờn nhiều lớp
Thành phần quan trọng, đúng vai trũ trung tõm của việc đảm bảo an toàn thụng tin là firewall, cú nhiệm vụ phõn tỏch hệ thống mạng thành cỏc thành phần với cỏc yờu cầu về an toàn thụng tin, bảo mật khỏc nhau.
Firewall cho phộp thiết lập cỏc quy tắc kiểm soỏt kết nối giữa cỏc mỏy trạm (client) và mỏy chủ (server) trong cỏc thành phần khỏc nhau của mạng, qua đú giới hạn việc truy nhập từ Internet trực tiếp vào mạng bờn trong. Cỏc mỏy
71
tớnh trờn Internet chỉ được phộp làm việc với mỏy chủ thư tớn tại 37 Hựng Vương để trao đổi thư, trong khi cỏc mỏy tớnh trờn mạng nội bộ cú thể được truy nhập vào Internet một cỏch dễ dàng.
Firewall cũng giới hạn việc truy nhập trực tiếp của cỏc mỏy trạm trong hệ thống mạng của Văn phũng Quốc hội vào cỏc mỏy chủ của hệ thống Internet/intranet. Chỉ cú cỏc dịch vụ cho phộp truy nhập tự do mới được mở trờn firewall (bao gồm Web, gửi/nhận thư qua SMTP/POP3/IMAP, tra cứu tờn DNS, truyền file ...). Cỏc dịch vụ khỏc chỉ mở đối với cỏc mỏy quản trị hệ thống hay cỏc mỏy đủ thẩm quyền.
Hệ thống sử dụng cỏc tớnh năng của hệ điều hành, đặc biệt là hệ điều hành Windows 2000 và Windows NT 4.0 để đảm bảo mức an ninh thụng tin bờn trong mạng nội bộ, bao gồm:
o Thiết lập cỏc chớnh sỏch về mật khẩu: độ dài, độ phức tạp, thời gian tối thiểu và tối đa sử dụng nhằm trỏnh lộ mật khẩu của người sử dụng o Thiết lập cỏc chớnh sỏch về quyền của người sử dụng trong hệ thống
mạng: quyền chia sẻ file, mỏy in, quyền đăng nhập vào mỏy chủ và mỏy trạm .... (adsbygoogle = window.adsbygoogle || []).push({});
o Phõn quyền truy nhập vào cỏc tài nguyờn của hệ thống một cỏch hợp lý.
Thiết bị firewall được chọn là Cisco PIX 515:
PIX 525 với 6 cổng Ethernet 10/100 Mbps (2 cổng cú sẵn trờn thiết bị, card 4 cổng 10/100) và 2 cổng Gigabit sử dụng cỏp quang
Tốc độ băng thụng lờn đến 330 Mbps, số kết nối đồng thời đến 280.000 Đõy là thiết bị cú năng lực xử lý rất lớn, vượt xa băng thụng của kết nối Internet của Văn phũng Quốc hội (dự kiến chỉ lờn đến 2 Mbps, giai đoạn đầu chỉ cú 128 Kbps).