Các mô hình thiết kế WAN

Một phần của tài liệu Giáo trình thiết kế mạng nguyễn gia như, lê trọng vĩnh (đh duy tân) (Trang 189 - 197)

Chương 4: THIẾT KẾ MẠNG DIỆN RỘNG

4.7.1. Các mô hình thiết kế WAN

Mô hình phân cấp hỗ trợ thiết kế WAN thường là mô hình phân cấp ba tầng (Do Cisco ủưa ra): Tầng 1 là tầng lừi (Core), tầng 2 phõn tỏn

(Distribution), tầng 3 là tầng truy nhập (Access), gọi tắt là mô hình phân cấp phục vụ cho việc khảo sát và thiết kế WAN.

Hình 4.18. Mô hình phân cấp 3 lớp

Tầng lõi là phần kết nối mạng trục(WAN backbone) kết nối các trung tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa cỏc NOC là xa hay rất xa, do vậy chi phớ kết nối và ủộ tin cậy cần phải ủược xem xột kỹ. Hơn nữa vấn ủề ủảm bảo chất lượng dịch vụ QoS cũng ủược ủặt ra, dẫn ủến phõn loại, phõn cấp ưu tiờn dịch vụ.

Tầng phõn tỏn là phần kết nối cỏc ủiểm ủại diện POP, hay cỏc nhỏnh mạng vào NOC.

Tầng truy nhập từ xa là phần kết nối của người dựng di ủộng, hay các chi nhánh nhỏ vào POP hay vào NOC.

Cỏc ưu ủiểm của mụ hỡnh phõn cấp: Nhờ mụ hỡnh phõn cấp người thiết kế WAN dễ tổ chức khảo sát, dễ lựa chọn các phương án, và công nghệ kết nối, dễ tổ chức triển khai, cũng như ủỏnh giỏ kết quả.

4.7.1.2. Mô hình an ninh – an toàn 4.7.1.2.1. An ninh – an toàn mạng là gì?

Một số khái niệm

• Computer Security (an toàn máy tính) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cỏch lựa chọn cỏc cụng cụ thiết kế ủể bảo vệ dữ liệu và tấn công của tin tặc.

• Network Security (an toàn mạng) – Cỏc phương phỏp ủể bảo vệ dữ liệu trong suốt quỏ trỡnh chuyển ủộng của chỳng.

• Internet Security (an toàn Internet) – Cỏc phương phỏp ủể bảo vệ dữ liệu trong suốt quỏ trỡnh vận chuyển của chỳng ra ngoài ủến kết nối Internet

Tài nguyên mà chúng ta muốn bảo vệ là gì?

• Là cỏc dịch vụ mà mạng ủang triển khai

• Là cỏc thụng tin quan trọng mà mạng ủú ủang lưu giữ, hay cần lưu chuyển

• Là cỏc tài nguyờn phần cứng và phần mềm mà hệ thống mạng ủú ủể cung ứng cho những người dựng mà nú cho phộp, ...

Nhỡn từ một phớa khỏc thỡ vấn ủề an ninh – an toàn mạng khi thực hiện kết nối WAN cũn ủược thể hiện qua tớnh bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn dùng (availability) của các tài nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng.

Vấn ủề an ninh – an toàn mạng cũn thể hiờn qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng. Các quan hệ này ủược xỏc ủịnh, ủược ủảm bảo qua phương thức xỏc thực (authentication), xỏc ủịnh ủược phộp (authorization) dựng, và bị từ chối (repudiation).

• Tớnh bảo mật: Bảo ủảm tài nguyờn mạng khụng bị tiếp xỳc, bị sử dụng bởi những người không có thẩm quyền. Chẳng hạn dữ liệu truyền trờn mạng ủược ủảm bảo khụng bị lấy trộm cần ủược mó hoỏ trước khi truyền. Cỏc tài nguyờn ủú ủều cú chủ và ủược bảo vệ bằng các công cụ và các cơ chế an ninh mạng.

• Tớnh toàn vẹn: ðảm bảo khụng cú việc sử dụng và sửa ủổi nếu khụng ủược phộp, vớ dụ như lấy hay sửa ủổi dữ liệu, cũng như thay ủổi cấu hỡnh hệ thống bởi những người khụng ủược phộp hoặc không có quyền. Thông tin lưu hay truyền trên mạng và các tệp cấu hỡnh hệ thống luụn ủược ủảm bảo giữ toàn vẹn. Chỳng chỉ ủược sử dụng và ủược sửa ủổi bởi những người chủ của nú hay ủược cho phộp.

Hình 4.19. Mô hình an ninh – an toàn

Tớnh sẵn dựng: Tài nguyờn trờn mạng luụn ủược bảo ủảm khụng thể bị chiếm giữ bởi người khụng cú quyền. Cỏc tài nguyờn ủú luụn sẵn sàng phục vụ những người ủược phộp sử dụng. Những người có quyền có thể dùng bất cứ khi nào, bất cứ lúc nào.

Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ cụng cộng (ngõn hàng, tư vấn, chớnh phủ ủiện tử, ...).

Việc xỏc thực: Thực hiện xỏc ủịnh người dựng ủược quyền dựng một tài nguyờn nào ủú như thụng tin hay tài nguyờn phần mềm và phần cứng trên mạng. Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ. Xác thực thường dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay cỏc dấu hiệu ủặc dụng. Sự cho phộp xỏc ủịnh người dựng ủược quyền thực hiện một hành ủộng nào ủú như ủọc/ghi một tệp (lấy thông tin), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một ủoạn mạng (dựng tài nguyờn phần cứng), gửi hay nhận thư ủiện tử, tra cứu cơ sở dữ liệu - dịch vụ mạng,...

Người dựng thường phải qua giai ủoạn xỏc thực bằng mật khẩu (password, RADIUS,...) trước khi ủược phộp khai thỏc thụng tin hay một tài nguyờn nào ủú trờn mạng.

Cỏc vấn ủề về an ninh – an toàn mạng khi kết nối WAN cần ủược xem xột và thực hiện sau khi ủó chọn giải phỏp kết nối, nhất là khi kết nối WAN cho các mạng công tác, mà sử dụng các mạng dữ liệu công cộng, hay mạng Internet.

Xây dựng mô hình an ninh – an toàn khi kết nối WAN: Các bước xây dựng

• Xỏc ủịnh cần bảo vệ cỏi gỡ?

• Xỏc ủịnh bảo vệ khỏi cỏc loại tấn cụng nào?

• Xỏc ủịnh cỏc mối ủe dọa an ninh mạng cú thể?

• Xỏc ủịnh cỏc cụng cụ ủể bảo ủảm an ninh mạng?

• Xây dựng mô hình an ninh – an toàn

Thường xuyên kiểm tra các bước trên, nâng cấp, cập nhật và vá lỗi hệ thống khi cú một lỗ hổng an ninh mạng ủược cảnh bỏo.

Mục ủớch của việc xõy dựng mụ hỡnh an ninh – an toàn khi kết nối WAN là xõy dựng cỏc phương ỏn ủể triển khai vấn ủề an ninh – an toàn mạng khi kết nối và ủưa WAN vào hoạt ủộng.

• ðầu tiờn, mục ủớch và yờu cầu về an ninh mạng hệ thống ứng dụng phải ủược vạch ra rừ ràng. Chẳng hạn mục tiờu và yờu cầu an ninh mạng khi kết nối WAN cho các cơ quan hành chính nhà nước sẽ khỏc với việc kết nối WAN cho cỏc trường ủại học.

• Thứ hai, mô hình an ninh – an toàn mạng phải phù hợp với các chính sách, nguyên tắc và luật lệ hiện hành.

• Thứ ba, phải giải quyết cỏc vấn ủề liờn quan ủến an ninh – an toàn mạng một cỏch toàn cục. Cú nghĩa là phải ủảm bảo cả về phương tiện kỹ thuật và con người triển khai.

Hình 4.20. Mô hình Firewall Front End – Back End 4.7.1.2.2. Một số công cụ triển khai mô hình an ninh – an toàn mạng

Hệ thống tường lửa (Firewall): Là một ủiểm chặn trong quỏ trỡnh ủiều khiển và giỏm sỏt. Tường lửa cú tỏc dụng ngăn chặn, cho phộp hay ủưa ra cỏc luật cho cỏc ủịa chỉ và cỏc vựng ủịa chỉ khỏc nhau. Firewall cú các chức năng sau:

• Ngăn ngừa khả năng tấn công từ các mạng ngoài.

• Kiểm soỏt luồng thụng tin giữa mạng ủược ủy thỏc (Trusted Network) và internet thụng qua cỏc chớnh sỏch truy nhập ủó ủược thiết lập.

• Cho phép hoặc cấm các dịch vụ truy nhập hai chiều, từ trong ra ngoài và từ ngoài vào trong.

• Kiểm soỏt ủịa chỉ truy nhập và dịch vụ sử dụng.

• Kiểm soát khả năng truy nhập người sử dụng giữa hai mạng.

INFORMATION

Access rights data encryption Phisical protection Firewalls

login/password

Hình 4.21. Chức năng Firewall Firewall cú những hạn chế của nú, ủú là:

• Không thể bảo vệ từ các cuộc tấn công vòng qua nó (bypassing)

• Khụng thể bảo vệ chống lại ủe dọa từ bờn trong

• Không thể bảo vệ chống lại sự di chuyển của tất cả các loại chương trình hoặc file bị nhiễm virus

Hệ thống phát hiện và ngăn ngừa xâm nhập (IDS/IPS)

IDS (Intrusion Detection System – hệ thống phát hiện xâm nhập) là một hệ thống giỏm sỏt lưu thụng mạng, cỏc hoạt ủộng khả nghi và cảnh báo cho hệ thống, nhà quản trị. IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bờn ngoài (từ cỏc hacker). IDS phỏt hiện dựa trờn cỏc dấu hiệu ủặc biệt về cỏc nguy cơ ủó biết (giống như cỏch cỏc phần mềm diệt virus dựa vào cỏc dấu hiệu ủặc biệt ủể phỏt hiện và diệt virus) hay dựa trờn so sỏnh lưu thụng mạng hiện tại với baseline (thụng số ủo ủạc chuẩn của hệ thống) ủể tìm ra các dấu hiệu khác thường. Các chức năng của IDS:

• Bảo vệ tớnh toàn vẹn (integrity) của dữ liệu, bảo ủảm sự nhất quỏn của dữ liệu trong hệ thống. Cỏc biện phỏp ủưa ra ngăn chặn ủược việc thay ủổi bất hợp phỏp hoặc phỏ hoại dữ liệu.

• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp.

• Bảo vệ tớnh riờng tư, tức là ủảm bảo cho người sử dụng khai thỏc tài nguyờn của hệ thống theo ủỳng chức năng, nhiệm vụ ủó ủược phõn cấp, ngăn chặn ủược sự truy nhập thụng tin bất hợp phỏp.

• Cung cấp thụng tin về sự xõm nhập, ủưa ra những chớnh sỏch ủối phó, khôi phục, sửa chữa …

IPS (Intrusion Prevention System – hệ thống chống xõm nhập) ủược ủịnh nghĩa là một phần mềm hoặc một thiết bị chuyờn dụng cú khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh mạng.

Hệ thống phát hiện lỗ hổng an ninh mạng

Hệ thống phát hiện lỗ hổng an ninh mạng là hệ thống gồm các công cụ quột và thử thăm dũ tấn cụng mạng. Nú ủược người quản trị mạng dựng ủể phỏt hiện ra cỏc lỗ hổng về an ninh mạng an toàn trước khi ủưa mạng vào hoạt ủộng và thường xuyờn theo dừi ủể nõng cấp, vỏ cỏc lỗ hổng an ninh mạng.

4.7.1.3. Topo mng

Topo của WAN mô tả cấu trúc và cách bố trí phần tử của WAN cũng như phương thức kết nối giữa chúng với nhau. Phần tử của WAN ở ủõy là NOC – trung tõm mạng, POP - ủiểm ủại diện của một vựng, hay các LAN, PC, Laptop,... Các NOC, hay POP có thể là các campus LAN, hay là một WAN.

Mô hình topo giúp các nhà thiết kế WAN thực hiện việc:

• Tổ chức khảo sát

• Phân tích và quản lý trong quá trình thiết kế Thi công hiệu quả.

• Cấu trỳc, ủịa phương hoỏ mạng cần triển khai.

• Các mô hình chức năng của hệ thống

• Phõn tớch cỏc chức năng của hệ thống ủể dự bỏo và xỏc ủịnh cỏc yờu cầu trao ủổi thụng tin.

4.7.1.3. Mô hình ng dng

Mô hình ứng dụng là mô hình xây dựng trên các ứng dụng. Phân tích kết nối dựa trên các yêu cầu ứng dụng.

Tỏch, gộp cỏc ứng dụng, ủỏnh giỏ yờu cầu dải thụng, ủỏnh giỏ cỏc yờu cầu về chất lượng dịch vụ, ủỏnh giỏ yờu cầu ủộ tin cậy của cỏc kết nối...

Một phần của tài liệu Giáo trình thiết kế mạng nguyễn gia như, lê trọng vĩnh (đh duy tân) (Trang 189 - 197)

Tải bản đầy đủ (PDF)

(216 trang)