Hình 4.4: Triển khai chức năng Truy cập Internet an toàn
Nhóm này gồm ba (03) thiết bị và phần mềm sau đây: Thiết bị VIE-P0
Thiết bị VIE-P0 có các chức năng cơ bản sau đây:
Người dùng, từ một máy trạm ở mạng trong, truy cập vào Internet thông qua giao thức VIE-RDP là một mở rộng đặc biệt của giao thức RDP và sử dụng công nghệ ảo hóa ứng dụng.
Trong phiên truy cập Internet, sau quá trình xác thực cẩn mật, giao thức VIE- RDP nối bàn phím và màn hình của máy trạm với trình duyệt được ảo hóa và chạy trên VIE-P0 thông qua các cổng được kiểm soát chặt chẽ trên tường lửa trong. Khi đó, về thực chất, người dùng làm việc trên VIE-P0 chỉ dùng màn hình, bàn phím và một phần rất nhỏ tài nguyên CPU và bộ nhớ của máy trạm.
Khả năng bị chiếm quyền máy chủ và máy trạm, rò rỉ dữ liệu, lây nhiễm mã độc bị loại bỏ hoàn toàn do cơ chế ảo hóa đa tầng, giao thức an toàn VIE-RDP kiểm soát hoàn toàn việc truyền dữ liệu giữa phần mềm máy trạm trong và VIE-P0, giữa máy trạm từ xa và VIE-P3.
Nhờ giao thức VIE-RDP, màn hình vừa có thể hiển thị các trình duyệt chạy trên VIE-P0, vừa có thể tiếp tục hiển thị giao diện các ứng dụng cho công việc tương ứng với ứng dụng trên máy trạm. Các ứng dụng này đều dùng tài nguyên độc lập trên các máy trạm.
Trong trường hợp người dùng cần tải về các tệp dữ liệu với những định dạng được phép, thiết bị VIE-P0 cho phép sao lưu các tệp đó vào một thư mục cho trước. Sau khi các tệp này đã được quét kỹ bởi các phần mềm của hãng thứ ba, VIE-P0 sẽ tự động chuyển các tệp này về máy trạm một cách an toàn nhờ giao thức VIE-RDP.
Trong những trường hợp xét thấy cần thiết và an toàn, quản trị viên có thể cấu hình VIE-P0 cho phép người dùng có thể chép dữ liệu từ clipboard của VIE-P0 vào các ứng dụng chạy trên máy trạm, nhưng hoàn toàn không có cách nào chép dữ liệu từ clipboard của máy trạm để chuyển lên VIE-P0. Như vậy, người sử dụng có thể sử dụng Internet tại VIE-P0 để tra cứu tài liệu và chuyển nội dung tham khảo vào máy trạm trong để soạn thảo, nhưng hoàn toàn không thể chuyển dữ liệu từ máy trạm trong lên máy VIE-P0 để gửi dữ liệu ra ngoài.
Các chính sách quản lý sử dụng tài nguyên, phiên làm việc và bộ phân tải giúp nâng cao hiệu quả sử dụng, tính ổn định và hiệu năng của toàn hệ thống.
Phần mềm ứng dụng VCP0
Đây là một phần mềm được cài đặt trên máy trạm mạng trong, kết nối giữa VCM12-Client P0 (VCP0) và VIE-P0 thông qua tường lửa trong và tuân thủ giao thức VIE-RDP. Khi VCP0 hoạt động, giao thức VIE-RDP được khởi động và truyền dữ liệu giữa màn hình, bàn phím trên máy trạm với ứng dụng ảo được tạo sinh trên thiết bị VIE-P0. Tường lửa ngăn cách mạng trong và mạng ngoài được cấu hình để mở ra các cổng có kiểm soát chỉ dành cho VIE-RDP.
Tƣờng lửa trong
Mạng trong được ngăn cách với mạng ngoài bởi một tường lửa có chức năng tương đương với ISA của Microsoft. Tường lửa này được cấu hình theo đặc tả kỹ thuật chuyên biệt của VCM12 để cho phép VIE-RDP hoạt động và vẫn giữ được sự ngăn cách an toàn tuyệt đối.
Tiện ích VCM12-VS (VS = vulnerability scanning) sẽ được dùng để kiểm tra các thiết lập phía máy chủ ứng dụng, mạng và tường lửa trong đã thỏa mãn các tiêu
chuẩn an ninh của giải pháp chưa. Đây là một tiện ích không thể thiếu cho các chuyên viên triển khai hệ thống.