Đề xuất giải pháp xây dựng hệ thống Firewall quốc tế cho



tải về 218.19 Kb.
trang1/4
Chuyển đổi dữ liệu06.04.2019
Kích218.19 Kb.
  1   2   3   4

Đề xuất giải pháp

Xây dựng hệ thống Firewall quốc tế cho mạng VNN


  1. Tổng quan


Mạng toàn cầu Internet đang phát triển với một tốc độ đáng kinh ngạc trên toàn thế giới, nó thay đổi mạnh mẽ cách thức làm việc, trao đổi thông tin, giao tiếp, cuộc sống.. của hầu hết các cơ quan, tổ chức, cá nhân có tham gia vào. Nhưng cùng với tất cả các ưu điểm mà nó mang lại là các mối nguy hiểm ngày càng tăng về mức độ, khả năng lây lan, độ phức tạp trong phương thức tiến hành và rất khó ngăn chặn. Mạng Internet ở Việt Nam nói chung và hệ thống mạng Internet VNN nói riêng cũng không là trường hợp ngoại lệ.

Các mối nguy hại đến an ninh mạng có thể được phân loại theo nhiều cách: theo tầng hoạt động (trong mô hình tham chiếu OSI), theo ứng dụng, theo cách thức, đối tượng thâm nhập, phá hoại. Các mối nguy hại có thể đến từ cả bên ngoài và bên trong hệ thống mạng, có thể thuộc các dạng đã biết hoặc chưa biết, có thể được phát động từ một điểm đơn lẻ hoặc từ nhiều điểm tấn công cùng một lúc. Đích của các cuộc tấn công có thể là bất cứ điểm nào trên hệ thống: từ máy chủ, máy trạm, các bộ chuyển mạch, bộ định tuyến, và thậm chí chính là các bức tường lửa.

Các mối nguy hại có thể làm ảnh hưởng, phá hoại, làm sai lệch, đánh cắp thông tin, dữ liệu của các thành phần hoặc toàn bộ mạng. Ngoài ra, nó còn làm ảnh hưởng tới đời sống văn hóa-tư tưởng, sự ổn định của một bộ phận xã hội nếu các thông tin phản động, phá hoại, thù địch về kinh tế, chính trị, văn hóa không được kiểm soát, ngăn chặn cả từ 2 phía.

Thực tế, tại bất kỳ điểm nào trên toàn mạng, đều tồn tại tiềm tàng tổng hợp tất cả các dạng nguy hại kể trên, không kể chức năng, nhiệm vụ hay hoạt động của thành phần đó.

Với vai trò của nhà cung cấp truy cập, cung cấp dịch vụ Internet, và các loại hình dịch vụ trên nền Internet khác đang được triển khai, Công ty VDC đã và đang phải đảm nhận công việc bảo vệ, duy trì an ninh mạng cho hệ thống mạng Internet VNN (chiếm phần lớn thị phần về dịch vụ, ứng dụng Internet ở Việt Nam hiện nay). Việc đầu tư, nâng cấp, xây dựng mới các hệ thống firewall cho mạng Internet VNN nhằm mục đích:


  • Đáp ứng nhu cầu và tốc độ phát triển nhanh chóng của các dịch vụ truyền thống cũng như các dịch vụ mới trên mạng VNN

  • Tăng cường khả năng an toàn, bảo mật cho hệ thống mạng VNN

  • Thực hiện chính sách quản lý luồng thông tin trên mạng VNN theo qui định của nhà nước

  • Đảm bảo tính sẵn sàng, sự ổn định về chất lượng dịch vụ trên mạng VNN cho khách hàng.

Xây dựng một hạng tầng an ninh mạng vững chắc trước các mối hiểm họa đến an ninh mạng là một công việc phức tạp, đề cập đến mọi khía cạnh theo một cách tổng thể, cần được đầu tư theo hướng chiến lược, lâu dài cả về công nghệ, thiết kế tổng thể, trang thiết bị và con người.

Theo xu hướng công nghệ hiện nay, một hạ tầng an ninh mạng tốt phải có các đặc tính sau:



  • Giàu tính năng bảo mật: Yêu cầu này đòi hỏi các hệ thống firewall phải có khả năng bảo vệ mạng dựa trên nhiều tầng cùng lúc:

    • Tầng network: có khả năng chặn, lọc các gói tin theo địa chỉ, theo cấu trúc, loại bỏ các gói tin giả mạo địa chỉ, chuẩn hóa các gói tin phân mảnh, hỗ trợ các giao thức định tuyến động, có khả năng thực hiện được việc chuyển đổi, che dấu địa chỉ (nguồn, đích)..

    • Tầng transport: có khả năng chặn, lọc các gói tin theo giao thức (TCP/UDP) theo số hiệu cổng (port), có khả năng ngăn chặn các gói tin theo các dạng tấn công kiểu từ chối dịch vụ (DoS) dựa vào cơ chế của giao thức TCP và một số kiểu tấn công khác trên tầng này. Phải là các firewall statefull (phân biệt được chiều đi/đến của gói tin và mối quan hệ của chúng với các luật đã được thiết lập dựa trên bảng trạng thái và tính chất của giao thức).

    • Tầng application: có khả năng hiểu được và có thể thiết lập chính sách tương ứng với các giao dịch theo từng ứng dụng, ngăn chặn được virus, worm.. một cách thông minh, Có khả năng bảo vệ mạng khỏi . Có khả năng cập nhật thường xuyên cơ sở dữ liệu về virus, worm cũng như các dạng tấn công mới, có khả năng thiết lập độ ưu tiên, độ trễ của các gói tin theo từng ứng dụng (ví dụ: ưu tiên cho các ứng dụng truyền voice/video..). Có khả năng tích hợp với các hệ thống, máy chủ chuyên dụng bên ngoài để lọc nội dung thông tin: lọc theo địa chỉ (url), lọc theo nội dung (content filtering), lọc virus, worm, các đoạn mã độc hại có thể phá hủy các ứng dụng trên máy chủ..

  • Khả năng quản trị tập trung cao: Khả năng quản trị tập trung được thể hiện ở cách thức quản lý thống nhất các chính sách bảo mật không những cho từng firewall mà còn có thể áp dụng cho các firewall, các bộ định tuyến, gateway khác trên toàn bộ hệ thống mạng được quản lý. Việc thiết lập chính sách bảo mật cho các đối tượng trên phải được thực hiện thông qua một giao diện thống nhất duy nhất, và có khả năng thực hiện tại nhiều nơi. Khả năng quản trị tập trung phải cho phép quản trị nhiều domain, nhiều phân đoạn mạng khác nhau với các chính sách bảo mật khác nhau hoặc giống nhau từ một điểm duy nhất.

  • Khả năng tương thích về mặt kết nối cao, hỗ trợ nhiều công nghệ mạng, chuẩn kết nối, tốc độ, giao thức khác nhau cùng lúc. Với các firewall đóng vai trò làm gateway quốc tế, cần phải có tốc độ kết nối Gbps, chỉ số throughput lớn, có khả năng quản lý các kết nối với số lượng lớn, tốc độ thiết lập kết nối cao, hỗ trợ giao thức IPv6, hỗ trợ hầu hết các giao thức định tuyến động…

  • Có tính năng thiết lập kết nối VPN dạng site-to-site và client-to-site, áp dụng các thuật toán mã hóa, xác thực tin cậy: DES, 3DES, AES, MD5, SHA1..

  • Có độ sẵn sàng cao theo chế độ active-standby hoặc active-active, hỗ trợ cân bằng tải (load sharing).

  • Hỗ trợ sao lưu và phục hồi toàn bộ hệ thống: bao gồm cả phần mềm, các cấu hình, các thiết lập bảo mật.
  1. Yêu cầu kỹ thuật của hệ thống Firewall quốc tế - mạng Internet VNN

    1. Mô hình kết nối chung



Dự án "Nâng cấp hệ thống Firewall mạng VNN" nhằm mục đích đầu tư hệ thống Firewall Gateway quốc tế cho mạng VNN tại 03 nút mạng trung tâm đặt tại Hà nội, Đà nẵng và TP Hồ Chí Minh.

Với yêu cầu này, hệ thống Firewall sẽ được đầu tư cần đáp ứng các yêu cầu kỹ thuật bắt buộc đã được tính toán trước; và cũng có thể có thêm các tính năng mở rộng của bản thân thiết bị hoặc kết hợp với các thiết bị khác trên hệ thống. Các yêu cầu kỹ thuật của các hệ thống Firewall được trình bày trong phần dưới đây.




    1. Поделитесь с Вашими друзьями:
  1   2   3   4


Cơ sở dữ liệu được bảo vệ bởi bản quyền ©tieuluan.info 2019
được sử dụng cho việc quản lý

    Quê hương