Trong đó, mạng nội bộ của các ngành trực thuộc như Thuế, KB, HQ,... được tách biệt bởi các VPN khác nhau, có thể sử dụng dải địa chỉ IP trùng nhau ( ví dụ 10.1.x.x như trên hình vẽ). Giữa các mạng nội bộ này không thể có sự trao đổi số liệu trực tiếp với nhau.
Để có thể tách riêng Server dùng chung của các đơn vị thành 1 VRF riêng, có thể áp dụng tính năng Multi-VRF trên các CE router. ( Multi-VRF là một tính năng cho phép cấu hình nhiều bảng VRF trên cùng 1 CE router vật lý, ứng dụng được mô tả như hình vẽ dưới đây:
Trong chính sách đánh số RD, RT đưa ra ở đây, mạng nội bộ của ngành này không truy cập trực tiếp được tới phân hệ Server dùng chung của ngành khác, mà phải thông qua phân hệ Server dùng chung của ngành mình.
Ví dụ, User ở mạng trong của Thuế không trực tiếp truy cập tới Servers dùng chung của KB, mà phải gián tiếp thông qua các Servers dùng chung của Thuế.
Địa chỉ IP sử dụng trên sơ đồ mang tính chất mô tả, theo đó, mạng nội bộ thuộc các ngành hoàn toàn tách biệt với nhau, việc trao đổi số liệu giữa các ngành được thực hiện thông qua các phân hệ Server dùng chung. Do đó, việc bảo vệ an ninh giữa các ngành với nhau, chống các loại hình tấn công xuất phát từ bên trong sang các ngành khác, chống việc lan tràn virus, worm trên hệ thống được thực hiện bởi các thiết bị đảm bảo an ninh hệ thống trên kết nối giữa CE-Router của một đơn vị ( kết nối tới mạng MPLS BTC) và phân hệ Server dùng chung của đơn vị đó. Các thiết bị đảm bảo an ninh hệ thống này bao gồm các Firewall, IDS/IPS, Anti-virus, Anti-worm, ngoài ra, trên các Server ứng dụng quan trọng có thể bổ sung thêm các phần mềm bảo vệ H-IPS
3.3.3.4 An ninh hệ thống cho kết nối Internet
Việc bảo vệ an ninh hệ thống chống lại các mối đe dọa từ bên ngoài Internet được thực hiện thông qua nhiều mức bảo vệ khác nhau.
Anti Virus, worm Internet IPS Firewall BTC Hình 3.30 An ninh vòng ngoài
Bắt đầu từ kết nối Internet, Internet router thực hiện các công việc bảo vệ chống các tấn công cơ bản từ bên ngoài dựa vào các danh sách điều khiển truy cập ( Access- Control-List), sau đó trước khi lưu lượng đến được firewall , hệ thống chống xâm nhập (IPS) được đặt ngay tại vòng ngoài . Hệ thống IPS được đặt trước tường lửa làm lớp bảo vệ đ ầu tiên và phản ứng l ại với các cuộc xâm nhập , không cần sự can thiêp của người quản trị hệ thống
Kiểm soát truy cập t ừ Internet được bảo vệ bởi tư ờng lửa. Đây là lớp phòng vệ đầu tiên trước các mạng không có độ tin cậy cao về mạng an ninh hệ thống như BTC.
Hệ thống Firewall vòng ngoài này được nối thẳng tới PE-router của mạng MPLS BTC, hệ thống firewall này cần hỗ trợ khả năng phân chia VLAN trên các giao diện Ethernet, khả năng tạo nhiều „virtual-firewall‟, để qua đó có thể gán mỗi „virtual- firewall‟ cho một ngành trực thuộc, gán các VLAN các VRF tương ứng với VPN của các ngành. Như vậy, khi các ngành sử dụng kết nối ra ngoài Internet trên hạ tầng chung của BTC, các ngành này sẽ có thể được trao quyền quản lý „virtual-firewall‟ đó cho các ngành trực thuộc tự thiết lập các chính sách bảo mật riêng phù hợp với đặc thù của từng ngành.
App Server
CA Server Mail Server
N-IDS
H-IPS
Firewall
Hình 3.31 Bảo vệ các hệ thống ứng dụng
Tường lửa thứ hai của b ộ tài chánh là lớp phòng vệ thứ hai và phòng vệ chiều sâu để bảo vệ hệ thống những ứng dụng.
Một đặc điểm của các ứng dụng ngành Tài chính là việc sử dụng giao thức https cho các ứng dụng quan trọng, do đó các thiết bị chống xâm nhập IDS cần hỗ trợ khả năng phân tích giám sát lưu lượng dạng mã hóa SSL.
Phân hệ các Server cơ sở dữ liệu ( backend server)
Được bảo vệ bởi tầng firewall thứ ba. Firewall thuộc các tầng khác nhau được sử dụng của các hãng khác nhau nhằm mục đích giảm thiểu khả năng bị tấn công do lỗ hổng bảo mật trên tại một thời điểm của một chủng loại firewall nào đó.
Ngoài ra, cần có các hệ thống chống Virus, Worm, lọc URL làm việc với các Firewall, cho phép hoạt động trong suốt đối với người sử dụng.
Xác thực và Nhận dạng
Các truy cập từ bên ngoài vào một số Server ứng dụng đặc biệt nào đó trên vùng DMZ cần được xác thực username/password và cấp quyền truy cập. Việc này được thực hiện nhờ các RADIUS Server. Các firewall có khả năng xác thực & cấp quyền truy cập sẽ làm việc với các RADIUS Server. RADIUS Server được đặt trong phân hệ quản trị mạng.
3.3.4 Hoạt động thử nghiệm
Qua những phân tích đánh giá trên. Hiện tại Tổng cục thuế đã tiến hành thử nghiệm trên hệ thống đang sử dụng đối với Cục thuế Hải Dương, chi cục Thuế Hải Dương, chi cục thuế Huyện Chí Linh, chi cục Thuế Huyện Gia Lộc và đã thu được kết quả như mong muốn đối với các tiêu chí đã đặt ra cụ thể:
Hình 3.32 Mô hình thử nghiệm
Truyền số liệu thực tế qua hệ thống MPLS VPN của VNPT
Trên các Cisco router tham gia thử nghiệm, sử dụng lệnh “Ping” kiểm tra xem kết nối IP tới các Virtual-Template của các Router khác tham gia vào hệ thống thử nghiệm có thành công.
Kiểm tra với lưu lượng thật.
Kiểm nghiệm độ ổn định của hệ thống dịch vụ công cộng MPLS VPN Giám sát độ ổn định của kết nối qua hệ thống MPLS VPN.
Chất lượng dịch vụ, tốc độ truyền số liệu thực tế so với tốc độ cam kết của dịch vụ công cộng MPLS VPN
Thực hiện download với nhiều session khác nhau, từ các máy tính khác nhau, xác định tốc độ truyền thực tế lớn nhất có thể.
Kiểm nghiệm khả năng đảm bảo security thực tế cho kết nối MPLS VPN của nhà cung cấp dịch vụ.
Giả mạo địa chỉ: Từ 1 máy tính trong mạng LAN của 1 đơn vị (giả sử Cục thuế Hải dương) ping tới địa chỉ nào đó ( có thể ping được) với địa chỉ nguồn IP của 1 máy tính khác trên mạng LAN của 1 đơn vị khác ( giả sử chi cục thuế Chí Linh). Kiểm tra
phản hồi hay không. Nếu nhận được, chức năng chống giả mạo địa chỉ của hệ thống mạng MPLS VPN đối với người sử dụng không có.
Với công nghệ MPLS VPN, đã được kiểm chứng là không thể gửi 1 gói tin từ 1 VPN này tới 1 VPN khác, do đó không cần kiểm tra đặc tính này ( trong mạng thử nghiệm chỉ có 1 VPN).
Cần duy trì hệ thống thử nghiệm hoạt động với lưu lượng thực tế sau 1 khoảng thời gian đủ dài ( ít nhất 1 tháng) để có thể kết luận về tính khả thi trong việc triển khai sử dụng rộng rãi dịch vụ MPLS VPN trên toàn ngành Tài chính.
3.4 Kết luận
Tóm lại với giải pháp thiết kế hệ thống đưa ra đối với hệ thống mạng truyền thông Bộ Tài chính nói chung và Tổng cục Thuế nói riêng đã khắc phục được nhược điểm của mô hình kết nối hiện tại và thu được một hệ thống tổng thể mới đáp ứng được nhu cầu về tốc độ truyền và an toàn dữ liệu.
Hệ thống với thiết kế cập nhật mới ứng dụng các thành tựu mới của CNTT kết hợp với sự kế thừa hệ thống hiện tại, cho phép tạo nên một hệ thống linh hoạt, có khả năng phát triển, mở rộng cao, tính dự phòng cao đáp ứng được các nhu cầu mới của toàn Bộ Tài Chính nói chung và Tổng cục Thuế nói riêng trong tương lai.
Tuy nhiên, hiệu quả của hệ thống mới không thể tính được bằng các giá trị vật chất, bằng các số liệu cụ thể. Với thiết kế mới, các thông tin trên toàn Bộ Tài Chính được xử lý an toàn, chính xác, kịp thời và vì vậy đảm bảo hoạt động ổn định của toàn Bộ Tài Chính trước những yêu cầu mới.
Việc áp dụng công nghệ MPLS IP VPN đối với hệ thống mạng ngành Tài chính thu được những lợi ích đáng kể trước tiên ta thấy rõ hệ thống này không yêu cầu thêm bất kỳ thiết bị mạng như Router, switch nào so với xây dựng hệ thống mạng IP truyền thống. Tất cả các thiết bị Router, Switch tại TTT, TTM đều hỗ trợ sẵn sàng các tính năng, giao thức MPLS, do đó việc xây dựng hệ thống MPLS VPN riêng chỉ đơn thuần là triển khai sử dụng các tính năng MPLS sẵn trên các thiết bị này.
Với việc xây dựng MPLS VPN riêng ngành tài chính, Bộ tài chính sẽ tiết kiệm được khoản đầu tư đáng kể để đảm bảo an ninh hệ thống, phân tách các đơn vị khác nhau bằng các hệ thống Firewall, IPS, Anti-Virus cần thiết trên tất cả 64 TTT, TTM so với khi không xây dựng hệ thống MPLS VPN riêng.
Hệ thống phù hợp với định hướng về CNTT của Bộ Tài Chính, đồng thời phù hợp với xu thế phát triển công nghệ trên thế giới, không bị lãng phí, lạc hậu trong
tương lai. Phù hợp với môi trường tin học và viễn thông của Việt nam trong thời điểm hiện tại, đón bắt được xu hướng công nghệ tại Việt nam trong tương lai.
CHƢƠNG 4 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
Ngày nay, các ứng dụng Internet đã được sử dụng rộng rãi trong mọi lĩnh vực, ở khắp mọi nơi trên thế giới. Sự mở rộng của Internet kéo theo sự cải tiến không ngừng của các mô hình mạng, kéo theo đó là các dịch vụ mạng để đáp ứng nhu cầu truyền thông tin một cách an toàn, hiệu quả. Một trong những ứng dụng quan trọng đó là mạng riêng ảo.
Ngoài việc giới thiệu khái niệm về mạng riêng ảo, luận văn còn đi sâu vào phân tích các loại mạng riêng ảo hiện nay, những hạn chế còn tồn tại trong mỗi mô hình, những thế mạnh của mỗi mô hình đó giúp người đọc có cái nhìn tổng quan về mỗi mô hình để từ đó lựa chọn áp dụng vào mỗi mô hình sao cho có hiệu qủa nhất.
Hiện nay có nhiều công nghệ mới ra đời nhằm nghiên cứu phương thức truyền tin trên mạng một cách an toàn một trong những công nghệ đang được ứng dụng rộng rãi hiện nay đó là MPLS VPN. Luận văn trình bày khái niệm và phương thức hoạt động của công nghệ MPLS đi sâu vào phân tích cấu trúc MPLS cũng như cách thức truyền gói tin gắn nhãn đi trong mạng từ một địa chỉ nguồn tới một địa chỉ đích một cách an toàn.
Trên cơ sở phân tích hệ thống mạng hiện trạng của Bộ tài chính nói chung, Tổng cục Thuế nói riêng luận văn cũng đưa ra các giải pháp thiết kế hệ thống cụ thể để thu được một hệ thống mới có mức độ đảm bảo an ninh hơn.
Để có được một hệ thống mạng đáp ứng được nhu cầu thực tế của Bộ tài chính Luận văn xin đề xuất một số hướng nghiên cứu trong tương lai sau:
- Xây dựng giải pháp thiết kế một trung tâm dự phòng thông tin.
- Xây dựng một hệ thống vận hành bảo dưỡng ở đó hệ thống này có thể phân tích, chuẩn đoán các kết nối mạng chi tiết theo thời gian thực, hệ thống quản lý các vấn đề an ninh, bảo mật, hệ thống cho phép thực hiện khảo sát và tập hợp dữ liệu và lập báo cáo chi tiết và đo đạc hiệu xuất của mạng - điều mà BTC quan tâm.
- Qui hoạch lại địa chỉ IP cho Bộ tài chính, sao cho có thể khai thác được ưu điểm và tận dụng hết tài nguyên mạng.
TÀI LIỆU THAM KHẢO Tiếng Việt
1. Mô hình hạ tầng truyền thông Bộ tài chính 2. Mô hình hạ tầng truyền thông Tổng cục Thuế
Tiếng Anh
3. http://www.tech-faq.com/tunneling.shtml
4. 2.http://www.congnghemoi.net/Hatangmang/ChitietHatangmang/tabid/7 60/ArticleID/525/tid/585/Default.aspx
5. Ina Minei, Junian Lucek “ MPLS – Enable Application” Emering Development and New Technologies
6. “MPLS – Enable Application”
7. http://www.slb.com/media/services/consulting/infrastructure/mpls_white paper.pdf
8. http://en.wikipedia.org/wiki/MPLS_VPN
9. Rosen E., Viswanathan, A. and R. Callon, "Multiprotocol Label Switching Architecture", Work in Progress.
10.Callon R., et al., "A Framework for Multiprotocol Label Switching", Work in Progress.