Theo định hướng 112 - Văn phòng Chính phủ, mô hình hệ thống mạng của các Bộ phải được thiết kếnhư một thực thể thống nhất, cùng phối kết hợp và hỗ trợ lẫn nhau. Toàn bộ hệ thống mạng được chia làm 4 vùng:
56
- Vùng truy nhập: là vùng có chức năng truy cập với mạng CPNet của Chính phủ, các hệ thống mạng khác và cung cấp dịch vụ truy cập từ xa.
- Vùng DMZ: là vùng có chức năng cung cấp các dịch vụ công cho mạng bên ngoài và mạng bên trong. Vùng DMZ chứa các thành phần của hệ thống mạng mà người sử dụng từ xa qua mạng Internet và mạng CPNet có thể truy cập được thông tin. Các thiết bị và máy chủvùng này được thiết lập cung cấp các dịch vụnhư: Website, thư điện tử, ... các dịch vụ này sẽ phải hồi đáp các yêu cầu về truy cập Website, thư điện tử, ... từ người dùng ngoài mạng Internet, mạng khác và từ mạng nội bộ.
- Vùng quản trị (hay vùng an toàn): là vùng được dùng đểlàm nơi đặt các máy chủ CSDL, máy chủ Backup và các máy chủ ứng dụng phục vụ hoạt động của hệ thống mạng nội bộ.
- Vùng làm việc: là vùng trong đó phân bổ, bố trí các VLAN thuộc mạng nội bộ. Các VLAN này được kết nối trực tiếp với nhau thông qua thiết bị Firewall.
Firewall lớp ngoài là thiết bị bảo vệ, ngăn cách giữa vùng truy nhập và vùng DMZ. Thiết bị bảo vệ sẽ nhận yêu cầu kết nối từ lớp truy nhập rồi kiểm tra các nguy cơ có thể có từ các yêu cầu kết nối này.
- Ngăn mọi dịch vụ không cần thiết, các giao thức cho phép sẽ chỉ bao gồm giao thức IPSec VPN, các giao thức thư điện tử, các giao thức Website Http, ... và cấm tất cả các truy cập từ các địa chỉ không cho phép, tới các dịch vụ không được phép.
- Cho phép truy cập từ ngoài vào trong và từ trong ra ngoài một số giao thức: HTTP, DNS, SMTP, ...
- Mọi truy cập từ ngoài vào trong sẽ phải hướng qua các thiết bị tại vùng DMZ.
57
Hình 25 Mô tả sơ đồ hệ thống mạng của cơ quan
Firewall lớp trong Trong vùng quản trị, các máy chủ chạy các chương trình ứng dụng và các dịch vụđáp ứng nhu cầu khai thác của người dùng trong mạng nội bộ và Firewall lớp trong nằm giữa vùng DMZ và vùng quản trị.
Nhiệm vụ của Firewal này là bảo vệ, kiểm soát luồng dữ liệu đi từ trong mạng nội bộ ra mạng ngoài, mạng Internet và ngăn chặn sự truy cập không hợp pháp từ mạng ngoài và mạng Internet vào mạng nội bộ. Bên cạnh đó, trên firewall
58
này có các cổng Ethernet 10/100 Mbps kết nối với vùng làm việc của mạng nội bộ. Tại các cổng kết nối này, Firewall llớp trong có thể phân chia thành các VLAN (mạng LAN ảo) cho phép kiểm soát các miền thông tin trong mạng và kiểm soát an ninh thông tin. Hình 28 mô tả rõ hoạt động của mô hình kết nối đó.