III. PHÂN CHIA QUÁ TRÌNH TRIỂN KHAI
4. TRIỂN KHAI HỆ THỐNG GIAI ĐỌAN IV
4.3 xuất thiết kế VPN cho mạng Sacombank
Như đã đề cập ở trên, hệ thống mạng của Sacombank rất lớn và phức tạp, trải rộng trên phạm vi địa lý lớn với nhiều hoạt động nghiệp vụ phức tạp và chồng chéo. Các máy trạm (nhưng không phải tất cả) tại chi nhánh đều phải kết nối về máy chủ dữ liệu trên Trung tâm để trao đổi dữ liệu và trong khi (cũng không phải tất cả) cũng có nhiều máy trạm đặt tại văn phòng Trung tâm cần phải trao đổi dữ liệu với những máy chủ này. Tất cả các kết nối đó có thể thông qua mạng LAN tại Văn phòng Trung tâm và thông qua đường điện thoại công cộng và qua Firewall ngăn chặn. Hiện tại các giải pháp thực hiện VPN được qui lại làm hai loại chính
+ Stand-alone gateway + Tích hợp VPN gateway
Trong hai lớp này, chỉ có giải pháp tích hợp VPN/Firewall là được thiết kế cho một giải pháp bảo mật internet hoàn chỉnh. Stand-alone VPN gateway không tích hợp với firewall sẽ tạo ra nhiều khoá khăn phức tạp không cần thiết trong công tác bảo mật và quản trị. Thêm nữa, với stand-alone VPNs, việc đặt VPN Gateway trong mối liên quan tới Firewall trở nên không thể bởi vì Firewall không thể điều khiển luồng truy nhập (access control) với các dữ liệu đã bị mã hoá một cách riêng rẽ
Vì vậy chúng tôi đề nghị sử dụng giải pháp tích hợp VPN/Firewall tại tầng thứ 2 của hệ thống mạng Sacombank để tạo ra các kết nối VPN giữa tầng này tới các chi nhánh và tới các VLAN tại văn phòng TW. Giải pháp tích hợp VPN/Firewall sẽ đáp ứng được tất cả các yêu cầu an ninh :
• Chống lại các mối đe doạ xuất phát từ mạng bên ngoài, ngay cả các cuộc tấn công kiểu DoS có thể làm tổn thương một stand-alone gateway sẽ bị phát hiện và loại trừ nhờ firewall
• Điều khiển luồng truy nhập với tất cả các luồng dữ liệu vào ra: Đặt VPN gateway với thiết bị điều khiển truy nhập cho phép tăng cường khả năng an ninh với các luồng dữ liệu. Từ Firewall và VPN gateway chia sẻ các thông tin người dùng, phân chia định nghĩa các nhóm có thể sử dụng tài nguyên, dịch vụ mà họ được phép và tất cả các luồng dữ liệu trên VPN đều được mã hoá kiểm tra để đảm bảo chắc chắn rằng chỉ có những nội dung (content) phù hợp mới được đi qua Firewall
• Quản lý tập trung: Tích hợp VPN làm đơn giản đi khi thực hiện các chính sách an ninh mạng trong trường hợp có yêu cầu thực hiện cả VPN và Firewall. Các dữ liệu cập nhật và các thay đổi trong chính sách an ninh mạng có thể đồng thời áp dụng tới tất cả các VPN/Firewall, tối thiểu hoá khả năng xảy ra lỗi do cấu hình. Thêm vào đó, các thông tin người dùng được chia sẻ trong nhiều ứng dụng mạng bao gồm cả VPN và Firewall. Theo cách này, quản trị mạng không cần phải duy trì các thông tin người dùng dự phòng
• Consolidate Logging: theo đó tất cả các thông tin kiểm soát được hợp nhất trong các file log
• Scaleable Architecture: Với sự tăng cường, mở rộng thêm chi nhánh, hoạt động của mạng vẫn không bị ngắt quãng. Đây là ưu điểm đặc biệt cho mạng Sacombank cần có tính sẵn sàng cao (High Available)
• Simplified Routing: Khi dữ liệu chuyển tải qua các thiết bị mạng, mỗi đường dẫn được phản ảnh như những entry của bảng định tuyến. Khi các resources được đưa vào mạng, bảng định tuyến phải hướng luồng dữ liệu thẳng tới Firewall và gateway. Việc tích hợp VPN/Firewall đơn giản hoá việc này bằng việc tìm ra các đường định tuyến tới các thiết bị. • Performance: giải pháp tích hợp VPN/Firewall có thể Optimize performance mạng qua các
(bandwidth Management). Bảng dưới đây tổng kết những ưu điểm của giải pháp tích hợp VPN/Firewall