Qua khảo sát tại các hệ thống máy chủ Web cài đặt ở các cơ quan, có thể nhận thấy có một số đặc điểm chung như sau:
- Tuy mức độ đầu tư về hạ tầng CNTT khác nhau tại mỗi điểm phụ thuộc vào điều kiện, quy mô, phạm vi, song máy chủ Web thường được đặt trong phân vùng mạng có bảo vệ DMZ (Demilitarized Zone). Phân vùng mạng này cho phép mọi truy cập từ mạng Internet, nghĩa là từ bất kỳ máy tính nào. Đây là phân vùng mạng có nhiều nguy cơ tấn công.
- Các phân vùng mạng khác gồm phân vùng mạng trục tạo kết nối giữa các hệ thống lớn, mạng LAN của các phòng ban trực thuộc, phân vùng mạng quản trị hệ thống, phân vùng mạng riêng, phân vùng mạng lưu trữ nội bộ, v.v.
- Các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ Email, máy chủ dịch vụ công cũng thường được đặt trong miền mạng DMZ có bảo vệ. Một số máy chủ cơ sở dữ liệu và máy chủ DHCP được đặt trong phân vùng mạng nội bộ. Máy chủ quản trị hệ thống thường đặt trong phân vùng quản trị.
- Phân vùng mạng riêng thường dành cho những dịch vụ đặc biệt khác. Phân vùng này thường gồm các máy trạm nội bộ, phục vụ các hoạt động quản trị hành chính và thông tin nội bộ.
Luận văn tập trung vào máy chủ Web, là nơi sẽ tiến hành cài đặt công cụ thu thập và phân tích Weblog. Do vậy, luận văn chỉ tập trung vào phân vùng mạng DMZ, nơi đặt máy chủ Web và kết nối của phân vùng này với Internet. Phân vùng này có thể có một số thiết bị bảo vệ như tường lửa, IDS/IPS tùy vào mức độ đầu tư hạ tầng CNTT của các cơ quan tổ chức. Máy chủ Web có thể gồm cả tường lửa lớp ứng dụng (Web Application Firewal - WAF) và DNS server, nơi có thể thu thập dữ liệu giám sát hoạt động của máy chủ Web.
Từ những lý do trên, luận văn xây dựng mô hình hệ thống thử nghiệm với máy chủ Web như trên hình 4.1 như sau.
`
`
Công cụ phân tích WebLog
Hệ thống mạng và máy chủ Web nơi thử nghiệm
Miền mạng LAN nội bộ Miền bảo vệ DMZ Server Farm DB Storage App Servers Internet Máy chủ Web Router ra ngoài External Firewall (đường ra Internet) Router nội bộ Firewall nội bộ
Hình 4.1. Mô hình thử nghiệm phân tích Weblog máy chủ Web
Máy chủ Web có cấu hình như sau:
- Phần cứng máy chủ: Dual Intel Xeon, 8 Core, 20 Threads, tốc độ 2 x 2.1 GHz, đĩa cứng 1.2 TB.
- Phần mềm: Hệ điều hành máy chủ là Microsoft Windows Server 2012 R2. Hệ thống WebServer được xây dựng trên nền tảng máy chủ Web Microsoft IIS, sử dụng MySQL.
Công cụ thu thập và phân tích Weblog được chọn thử nghiệm là:
- Thử nghiệm phân tích, phát hiện bất thường sử dụng công cụ Weblog Expert.