Hình 30. Mô hình mạng cũ
Trên cơ sở khảo sát hiện trạng hệ thống mạng VNUnet và Coltechnet, dựa trên những đánh giá, phân tích về hạn chế của cả hai hệ thống mạng cũng như những yêu cầu thực tế, việc triển khai những thiết bị phần cứng chuyên về bảo mật như Nokia IP hay IPS Proventia G200 (thiết bị phát hiện và ngăn chặn xâm nhập) cũng như các phần mềm giám sát mạng như HP Openview, Nagios là cần thiết và có ý nghĩa rất quan trọng.
Mục tiêu đặt ra là phải tạo ra một hệ thống bảo vệ, bảo mật vững chắc cho hệ thống mạng nội bộ và đặc biệt là hệ thống Server của trường.
Dựa trên tình hình thực tế và mục tiêu cụ thể, mô hình triển khai được đưa ra như sau.
Hình 31. Mô hình mạng mới
Thiết bị Nokia IP1220 có một vị trí rất quan trọng vì nó vừa là điểm cầu nối vào hệ thống Server, vừa là một gateway kết nối ra mạng Internet. Nokia Check Point là bức rào cản đầu tiên bảo vệ hệ thống mạng nội bộ, đặc biệt nó ngăn cách và bảo vệ hệ thống Server với mạng bên ngoài.
Trên thiết bị Nokia hiện tại gồm có 8 cổng kết nối Ethernet. Có 5 cổng sẽ được sử dụng để kết nối vào mạng, còn lại ba cổng dự trữ được dùng cho mục đích sau này. Trong 5 cổng Ethernet được sử dụng:
- Một cổng dùng để kết nối đến Router gateway để ra ngoài mạng Internet, cổng này có địa chỉ public là 210.86.230.x (địa chỉ này được sử dụng để kết nối VPN).
- Hai cổng kết nối đến hai thiết bị IPS Proventia G200, qua đó kết nối tới hệ thống Server. Với cách thiết kế này các Server sẽ có hai lớp bảo vệ. Lớp bảo vệ đầu tiên là hệ thống tường lửa, SmartDefense của Check Point Nokia. Nhiệm vụ của tường lửa thiết lập các luật quy định quyền truy cập cho các đối tượng. Nó ngăn chặn phần lớn các truy cập bất hợp pháp và cho phép các truy cập hợp pháp vào mạng. SmartDefense là hệ thống phòng thủ thông minh giúp phát hiện và ngăn chặn các xâm phạm, tấn công vào mạng. Lớp thứ hai là thiết bị phát hiện và ngăn chặn xâm nhập IPS Proventia G200. Thiết bị này chuyên dùng bảo vệ mạng khỏi các cuộc tấn công và thâm nhập. Với hai lớp bảo vệ này hệ thống Server sẽ là hệ thống được bảo vệ an toàn nhất trong mạng.
- Một cổng nối tới các class room. Tường lửa sẽ quy định các chính sách truy cập cho class room, chỉ cho các class room quyền truy cập trong giới hạn được phép.
- Cổng còn lại nối tới toàn bộ phần còn lại của mạng qua Switch tổng Catalys 6509.
Các cấu hình được thiết lập trên Nokia Check Point gồm có các chính sách tường lửa, NAT và cấu hình VPN Gateway. Chính sách tường lửa được áp dụng trên tất cả các cổng để hạn chế, cho phép các dịch vụ và phân quyền cho người dùng truy cập tới các Server. VPN gateway cấu hình truy cập từ xa sử dụng Office Mode. Người dùng có thẩm quyền sẽ được phép kết nối VPN tới mạng nội bộ qua địa chỉ public của thiết bị, sau đó người dùng có thể truy cập, sử dụng các tài nguyên như là một máy trong mạng. Việc quản lý người dùng VPN được thực hiện bởi máy chủ OpenLDAP. Trên thiết bị cũng được thiết lập các chính sách định tuyến cần thiết để hệ thống mạng hoạt động theo yêu cầu. Các thiết lập cài đặt chi tiết được trình bày trong phần 9.2 Cài đặt.
8.2.Cài đặt
Quá trình cài đặt trải qua hai bước. Bước một là lắp đặt và tiến hành các cài đặt cần thiết. Bước hai là thiết lập, cấu hình các chức năng.