Chương 2 GIẢI PHÁP NÂNG CAO KHẢ NĂNG ATTT CỦA HÀ NỘI PORTAL
2.2 MÔ HÌNH GIẢI PHÁP MẠNG CHO HÀ NỘI PORTAL
2.2.2 Bảo mật qua các thiết bị phần cứng
Để đảm bảo an toàn cho mạng IP, ngoài việc thiết kế mạng phân chia thành các khối module thực hiện các chức năng khác nhau, hệ thống mạng cũng cần phải được phân thành các lớp an toàn mạng khác nhau.
Việc phân lớp an toàn mạng khác nhau nhằm phân định các quyền truy cập đến các vùng dịch vụ (vùng Front-End, Back-End), các máy chủ CSDL, mạng quay số RAS và khu vực mạng nội bộ của Hà Nội - Portal. Việc kiểm soát truy nhập, dịch vụ giữa các vùng mạng được thực hiện bởi thiết bị FireWall.
Với nguyên tắc đảm bảo an toàn của hệ thống mạng, FireWall sẽ kiểm soát thông tin truy nhập từ Internet, kiểm soát truy nhập từ mạng này sang mạng khác. Với khả năng cung cấp các tính năng VPN, NAT, PAT FireWall sẽ che dấu các địa chỉ thật của mạng trong. Firewall đặt trong mạng thực hiện các công việc sau
- Cho phép hệ thống có thể được cấu hình để chỉ mở một số cổng dịch vụ cần thiết truy xuất đến các máy chủ dịch vụ bên trong vùng Front-End, Back-End.
- Firewall được sử dụng cùng với hệ thống IDS tạo thành hệ thống an ninh phát hiện và chống các kiểu tấn công DoS, Bomb Mail từ bên ngoài, kể cả các cuộc tấn công xuất phát từ các máy tính. IDS được đặt trước Firewall hoạt động như một camera giám sát cửa trước, nó sẽ giúp phát hiện ra việc có ai đó đang đột nhập vào mạng kể cả trường hợp đột nhập không thành công. Có thể tăng cường bảo mật trong các vùng DMZ bằng cách đặt các hệ thống IDS khác vào vùng này. Tuy nhiên, hiện tại chưa cần thiết phải đầu tư thêm IDS cho các vùng DMZ vì giá phần cứng của thiết bị này không nhỏ. Có thể tính đến khả năng này trong dự án nâng cấp mở rộng hệ thống.
- Tách vùng LAN và vùng Dial-up đối với các truy xuất từ Internet.
- Bảo vệ cho vùng LAN của Hà Nội Portal (nơi cất giữ các thông tin nhạy cảm ví dụ như CSDL LDAP - bản chính, mail box của thuê bao, dữ liệu sao lưu của các website) đối với các vùng còn lại kể cả vùng Dial-up.Hạn chế đúng quyền với các dial-up users khi truy xuất vào các vùng mạng khác nhau.
Để tăng độ bảo mật, người quản trị có thể thực hiện dịch vụ NAT, che dấu toàn bộ các địa chỉ IP riêng bên trong. Có một số cơ chế NAT như sau:
- NAT tĩnh: 1 địa chỉ IP Internet tương ứng với 1 địa chỉ mạng trong.
- NAT động: Mỗi một cổng của địa chỉ IP Internet tương ứng với 1 cổng nào đó của 1 địa chỉ IP mạng bên trong. Với giải pháp này ta có thể tận dụng được khoảng địa chỉ IP Internet, và che dấu được cấu trúc thực sự của mạng bên trong. Ví dụ: với 1 địa chỉ IP Internet 203.162.10.120, ta có thể gán dịch vụ HTTP (80) cho địa chỉ bên trong 192.168.1.1 (80), dịch vụ POP3 (110) cho địa chỉ 192.168.1.10(110), dịch vụ SMTP(25) cho địa chỉ 192.168.1.11 (25),… Internet M¹ng m¸y chñ DMZ thùc sù 192.168.X.Y (203.162.X.Y) FireWall (NAT) M¹ng DMZ FireWall thùc hiÖn c¬ chÕ NAT
Hình vẽ: Cơ chế NAT của Firewall
FIREWALL THỰC HIỆN CƠ CHẾ NAT FIREWALL NAT MÁY CHỦ DMZ THỰC SỰ MẠNG DMZ
Chƣơng 3. THỬ NGHIỆM CÔNG NGHỆ SSL
TRONG VIỆC ĐẢM BẢO ATTT TRÊN ĐƢỜNG TRUYỀN
3.1 GIAO THỨC SSL 3.1.1 Giới thiệu về SSL