Mô Hình Mạng Hợp Lý Tin Cậy

Firewall Fortinet

Please rate this

Trong một mô hình mạng hợp lý cần phải phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế.
Trước tiên ta cần tìm hiểu về các thành phần trong mô hình mạng:
  • Vùng mạng nội bộ: Còn gọi là mạng LAN (Local area network), là nơi đặt các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị Công Ty.
  • Vùng mạng DMZ: Vùng DMZ là một vùng mạng trung lập nằm giữa mạng nội bộ và mạng Internet,  là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet, người dùng lan local cũng có thể truy cập tới các Server DMZ nhưng server DMZ không truy cập được vào vùng lan local. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ FTP, máy chủ Applications…
  • Vùng mạng Server: Vùng mạng Server hay Server Farm, là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server, Radius Server…
  • Vùng mạng Internet: Còn gọi là mạng WAN, kết nối với mạng Internet toàn cầu.
  • Mô Hình 1:

Đặt một firewall giữa các vùng mạng nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công trái phép và thiết lập các chính sách cho người dùng.

mo hinh 1

  • Mô Hình 2:

Trong mô hình này, ta đặt một Firewall giữa vùng mạng Internet và vùng mạng DMZ và một Firewall giữa vùng mạng DMZ và vùng mạng nội bộ, không nên đặt 2 Firewall cùng 1 loại, khi kẻ xấu nắm bắt lỗ hổng vượt qua được lớp Firewall đầu tiên sẽ tiếp tục tốn nhiều thời gian để nghiên cứu vượt qua loại firewall thứ 2 hoặc có thể không thể vượt qua được.

mo hinh 2Các Các tiêu chí cơ bản khi xây dựng một hệ thống mạng hợp lý:

  • Nên đặt các máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ, nhằm tránh các tấn công mạng nội bộ hoặc gây ảnh hướng tới an toàn mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm soát. Chú ý không đặt máy chủ web, mail server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ trong vùng mạng này.
  • Các máy chủ không trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… nên đặt trong vùng mạng server network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ thống thông tin yêu cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật.
  • Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall giữa đường nối mạng Internet với các vùng mạng khác nhằm hạn chế các tấn công từ mạng từ bên ngoài vào; đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ.

Triển khai và rủi ro phần cứng, đường truyền:

  • Đối với một số doanh nghiệp không xây dựng lại từ đầu hệ thống mạng mà đã có một số thiết bị cơ bản, yêu cầu phải cải tạo và nâng cấp thêm thiết bị như Firewall ta có thể triển khai theo 2 cách thức ta có thể triển khai dùng Firewall thay thế cho Router Gateway Internet đã lỗi thời, Firewall đóng vai trò là thiết bị kết nối các đường truyền WAN và mạng Local, việc chuyển đổi từ cáp quang sang cáp điện RJ45 ta dùng converter hoặc chuyển mode brige cho model nhà mạng.
  • Dùng 2 đường truyền internet trở lên và triển khai chạy load balance tăng tốc độ truy cập và dự phòng rủi ro.
  • Đầu tư 2 thiết bị chạy mode HA  đối với các thiết bị quan trọng như Firewall và  Core Switch.
  • Đi dây kết nối giữa các thiết bị luôn từ 2 cáp trở lên thông qua các giao thức như LACP…..
  • Dự phòng nguồn điện bằng thiết bị UPS.
  • Kết nối VPN khi có 2 văn phòng chi nhánh trở lên.

Hỗ trợ kỹ thuật: 0966.253.105

Thông tin về giá: sales@innotel.com.vn

Related Posts:

cisco-catalyst

Cisco công bố danh sách 318 switch dính lỗ hổng nghiêm trọng

Hơn 300 mẫu switch (thiết bị chuyển mạch) của Cisco...

(11)-IT-Innotel-co-tam b

Kỹ sư Innotel có tâm nhất quả đất!

Ai cũng nghĩ rằng nhân viên IT là những người...

peplink

Peplink thay thế dòng 310 bằng Peplink 210

Vừa qua hãng Peplink load balance đã thay thế dòng...

Theme Settings