3.2.2. Giải pháp an toàn bảo mật cho mạng
Phương án đề xuất cho STC:
Phương án 1: Nâng cấp thiết bị chuyển mạch tập trung và Firewall
Hình 3 : Thiết kế đề xuất nâng cấp thiết bị chuyển mạch tập trung và Firewall
Phương án đề xuất thiết kế cho STC
Hệ thống mạng tại phòng máy chủ theo phương án đề xuất được thiết kế quy hoạch theo sơ đồ khối thành các vùng Core, vùng Server, vùng User và vùng kết nối Internet.
Tại vùng Core, đề xuất phương án nâng cấp thiết bị chuyển mạch trung tâm, sử dụng thiết bị Switch Layer 3 có hiệu năng xử lý cao hơn thiết bị Switch 2960 mà Sở đang sử dụng, thực hiện chia Vlan cho vùng máy chủ và vùng người sử dụng. Cùng với đó, STC cần sử dụng Firewall phân tách riêng biệt giữa Server zone và User zone với các mức bảo mật khách nhau cho từng zone, mỗi VLAN kết nối vào một zone, traffic đi giữa các zone đều phải đi qua Firewall.
Vùng Server tập trung toàn bộ các máy chủ ứng dụng nghiệp vụ, văn phòng, chia sẻ file… của STC và PTC
Vùng User bao gồm các máy tính của cán bộ, nhân viên làm việc tại Sở.
Vùng kết nối Internet, WAN, hạ tầng truyền thơng: cung cấp kết nối ra ngồi Internet, PTC và các đơn vị khác trong, ngồi ngành Tài chính, tại đây vẫn sử dụng thiết bị Juniper SRX240 để bảo vệ kết nối WAN cho hệ thống.
Phương án 2: Sử dụng Frirewall và Switch chạy HA
Hình 4 : Thiết kế đề xuất sử dụng Frirewall và Switch chạy HA
Phương án đề xuất thiết kế cho STC
Tại sơ đồ thiết kế đề xuất nêu trên cũng đề xuất phương án quy hoạch hệ thống mạng tại STC theo sơ đồ khối thành các vùng Core, vùng Server, vùng User và vùng kết nối Internet.
Vùng Core, Sử dụng cặp thiết bị chuyển mạch trung tâm Layer 3 chia VLAN cho các zone chạy HA để đảm bảo tính sẵn sàng cho hệ thống mạng. Thêm vào đó đề xuất STC nên sử dụng cặp Firewall chạy tính năng HA để đảm bảo tính dự phịng và sẵn sàng cao nhất cho hệ thống mạng. Cặp Firewall chia vùng mạng nội bộ cũ (LAN) thành 2 zone là Server zone và User zone với các mức độ vảo mật khác nhau, tất cả các traffic đi qua giữa 2 zone đều phải đi qua cặp Firewall này và được Firewall kiểm sốt, chúng cũng có nhiệm vụ bảo vệ dữ liệu vào/ra giữa hệ thống mạng nội bộ và hệ thống mạng của các đơn vị trực thuộc, Internet.
Vùng Server bao gồm các máy chủ chạy ứng dụng nghiệp vụ, văn phòng, chia sẻ file, …
Vùng User bao gồm các máy tính của cán bộ, nhân viên làm việc tại Sở.
Vùng kết nối Internet, WAN, hạ tầng truyền thơng: cung cấp kết nối ra ngồi Internet, PTC và các đơn vị khác trong, ngồi ngành Tài chính.
Phương án đề xuất này đáp ứng nhu cầu dự phòng, mở rộng cho 10 tỉnh thành bằng cách sử dụng thêm 1 thiết bị firewall và thêm 1 thiết bị chuyển mạch tập trung tại vùng Core.
Thiết kế đề xuất cho STC: sơ đồ luồng dữ liệu
Hình 5 : Thiết kế đề xuất cho STC
Sơ đồ luồng dữ liệu
Tất cả các yêu cầu sử dụng từ phía User zone khi muốn yêu cầu đến vùng máy chủ để yêu cầu dịch vụ từ Server zone đều phải đi đến thiết bị Firewall, Firewall sẽ kiểm sốt các u cầu từ phía người dùng khi có yêu cầu từ người sử dụng, sau đó nếu những yêu cầu từ người sử dụng hợp lệ đúng với các chính sách đã được thiết lập từ người quản trị thì chúng sẽ được gửi đến các Server ứng dụng tương ứng để máy chủ xử lý và phản hồi.
Mặt khác, Firewall cũng có nhiệm vụ kiểm sốt luồng dữ liệu vào/ra từ hệ thống mạng LAN tại STC đến các đơn vị trực thuộc và ra ngồi Internet đế đảm bảo tính bảo mật giữa các kết nối. Trước tiên, đối với các kết nối giữa hệ thống mạng LAN tại STC đến các đơn vị trực thuộc đều được gửi đến Firewall được kiểm sốt bởi các chính sách mà người quản trị đã thiết lập. Tương tự như vậy, kết nối từ hệ thống LAN vào/ra Internet cũng được kiểm soát bởi Firewall
Phương án đề xuất cho PTC
Phương án 1: Đề xuất sử dụng Proxy
Hình 6 : Mơ hình hệ thống mạng cho PTC sử dụng Proxy
Đề xuất sử dụng thêm Proxy tại các PTC để kiểm soát dữ liệu vào\ra đảm bảo kết nối từ người dùng đến các đơn vị trực thuộc và ra ngoài internet. Phương án này phù hợp với số lượng người dùng tại PTC khoảng hơn 100 người dùng và dưới 150 người dùng đáp ứng lưu lượng truy cập lớn từ nhiều người sử dụng.
Phương án 2: Phương án khơng sử dụng Proxy
Hình 7 : Mơ hình hệ thống mạng cho PTC khơng sử dụng Proxy
Hệ thống mạng tại PTC và các đơn vị trực thuộc khi kết nối đến hạ tầng mạng truyền thông đến STC và kết nối Internet được bảo vệ bởi các thiết bị bảo mật Firewall Cisco 1841 hoặc Juniper SRX210/SSG20. Những yêu cầu từ phía người dùng tại PTC được kiểm sốt bởi thiết bị Firewall khi kết nối đến hệ thống mạng tại STC và ra ngoài Internet. Phương án này phù hợp với số lượng người dùng vào khoảng 60 người dùng,
với lưu lương truy cập từ số lượng người dùng ít thì băng thơng của hạ tầng truyền thơng thì có thể đáp ứng được để truyền tải dữ liệu.
Hệ thống mạng và bảo mật:
STT Tên/Chức năng/Mô tả Số lượng Ghi chú
1 Bộ chuyển mạch Layer3 cho STC 1
2 Tường lửa STC 2
3 Proxy cho PTC 1 Cho mỗi PTC