Professional Documents
Culture Documents
Lec 07
Lec 07
Nội dung
• Khái niệm chung về thiết kế hệ thống mạng
• Quá trình thiết kế an toàn bảo mật cho mạng
• Phân tích một số mô hình thiết kế an toàn bảo mật
1
1. TỔNG QUAN VỀ QUY TRÌNH THIẾT KẾ
HỆ THỐNG MẠNG
Bùi Trọng Tùng, SoICT, HUST
2
Quy trình thiết kế(tiếp)
• Triển khai cài đặt (Implementation)
• Cài đặt phần cứng : triển khai hệ thống cáp mạng, lắp đặt,
cấu hình thiết bị nối kết mạng (hub, switch, router)
• Cài đặt phần mềm
• Cấu hình server, máy trạm
• Cài đặt, cấu hình các dịch vụ mạng
• Tạo người dùng, phân quyền sử dụng
• Vận hành (Operation)
• Kiểm tra
• Sự kết nối giữa các máy tính
• Hoạt động của các dịch vụ
• Mức độ an toàn của hệ thống
Dựa vào bảng đặc tả yêu cầu
• Giám sát : hiệu năng, hiệu suất, độ an toàn mạng
5
3
Mô hình thiết kế
• Mô hình phân cấp 3 lớp (3-layer hierarchical topology)
4
Mô hình phân cấp 3 lớp
• Lớp phân phối (Distribution Layer)
• Triển khai các chính sách của mạng
• ACL, lọc gói, QoS
• Firewall
• Cân bằng tải
• VLAN routing
• Cung cấp các kết nối dự phòng cho lớp truy cập
• Lớp truy cập (Access Layer)
• Có thể triển khai thêm các chính sách từ lớp phân phối
• Cung cấp kết nối tới các nhóm máy trạm
• Phân đoạn mạng
• Lưu ý : không sử dụng router tại lớp này
10
10
5
Mô hình mạng doanh nghiệp(2)
• Enterprise Core: phần mạng hạ tầng có vai trò
gắn kết tất cả các phân vùng trong mạng
• Intranet Data Center: phân vùng tập trung các
máy chủ lưu trữ dữ liệu và các ứng dụng
• Phục vụ cho người dùng bên trong, không cho phép
truy cập từ bên ngoài
• Yêu cầu ATBM:
• Tính sẵn sàng của các máy chủ
• Ngăn chặn các hành vi tấn công DoS, lạm quyền, xâm
nhập trái phép, rò rỉ dữ liệu, giả mạo thông tin
• Đảm bảo an toàn dữ liệu
• Giám sát, kiểm duyệt dữ liệu
11
11
12
12
6
Mô hình mạng doanh nghiệp(4)
• Enterprise Internet Edge: phần hạ tầng mạng cung
cấp kết nối Internet, bao gồm cả phân vùng DMZ
cung cấp dịch vụ công cộng, kết nối vào trong mạng
cho người dùng ở xa, kết nối tới các mạng chi nhánh
Yêu cầu ATBM:
• Tính sẵn sàng của hạ tầng và dịch vụ
• Phòng chống tấn công DoS, xâm nhập, rò rỉ dữ liệu, giả mạo
• Bảo đảm an toàn dữ liệu
• Bảo vệ máy chủ và dịch vụ
• Phân nhóm máy chủ, dịch vụ, người dùng
• Giám soát, kiểm duyệt dữ liệu
13
13
14
14
7
Mô hình mạng doanh nghiệp(6)
• Enterprise Branch: Hệ thống mạng chi nhánh ở
xa, có thể nối tới mạng trung tâm qua kết nối
WAN hoặc Internet. Các yêu cầu về ATBM tương
tự như phân vùng Enterprise Campus
• Management: Phân vùng mạng phục vụ cho
công tác quản trị mạng
• Out-of-band (OOB) Management: đường truyền dữ liệu
quản trị tách biệt với đường truyền dữ liệu người dùng
• In-band (IB) Management: dữ liệu quản trị và dữ liệu
người dùng chung đường truyền
15
15
16
16
8
Thiết kế an toàn bảo mật cho mạng
• Phân tích yêu cầu
• Khảo sát hệ thống mạng, các tài nguyên trong mạng cần
bảo vệ
• Phân tích các nguy cơ
• Phát triển kế hoạch và chính sách ATBM cho mạng
• Xây dựng giải pháp thiết kế
• Triển khai và vận hành
• Đào tạo người dùng
17
17
18
18
9
Phân tích yêu cầu
• Tìm hiểu các đặc điểm chung của tổ chức (hoạt động, cơ
cấu tổ chức...)
• Nhu cầu kết nối với mạng công cộng ?
• Nhu cầu truy cập từ bên ngoài ?
• Nhu cầu hỗ trợ các người dùng “di động” ?
• Các ứng dụng trong mạng?
19
19
20
20
10
Phân tích các tài nguyên trong mạng
• Tài nguyên cần bảo vệ:
• Thiết bị hạ tầng của mạng: switch, router, firewall,…
• Dịch vụ mạng và các máy chủ cung cấp dịch vụ: DHCP, DNS,…
• Thiết bị và người dùng đầu cuối
• Dữ liệu
• Các phân vùng trong mạng
• Thông tin về các máy chủ và dịch vụ trong mạng
• Phân tích luồng dữ liệu tới các phân vùng
• Nguồn truy cập
• Các nhóm người dùng chính
• Luồng dữ liệu của hệ thống mạng đang sử dụng
21
22
22
11
Các cơ chế ATBM(nhắc lại)
• Mật mã học:
• Bảo vệ bí mật
• Xác thực toàn vẹn
• Xác thực nguồn gốc
• Định danh
• Xác thực danh tính Kiểm soát truy cập
• Phân quyền
• Nhật ký(Logging)
• Kiểm toán(Auditing)
• Ngụy trang
23
23
24
24
12
Các nguyên tắc khi thiết kế
• Phân nhóm người dùng và quyền truy cập
• Tối thiểu hóa quyền
• Phân tách mạng thành các phân vùng cho các nhóm người
dùng khác nhau
• Phân vùng hệ thống mạng theo chức năng và thiết
kế giải pháp cho từng phân vùng
• Cách ly các phân vùng có mức độ an ninh khác nhau
và giám sát đầy đủ lưu lượng giữa các phân vùng
• Phòng thủ theo chiều sâu
• Thiết kế có dự phòng tài nguyên để nâng cao tính
sẵn sàng
• Giữ cho thiết kế đơn giản
25
25
26
26
13
Thiết kế ATBM cho Intranet Data Center
27
27
Firewall Firewall
28
28
14
Thiết kế ATBM cho Enterprise Campus
NAC: Network
Access Control
IDPS
IDPS
29
29
30
30
15
Thiết kế ATBM cho Enterprise Internet
Edge
BGP
Routing
31
31
firewall
32
32
16
Giám sát luồng dữ liệu Web
33
33
Email Inspector
34
34
17
Thiết kế ATBM cho Enterprise Branch
Firewall /
VPN Gateway
35
35
36
36
18
Thiết kế an toàn bảo mật mức vật lý
• Sử dụng các biện pháp bảo vệ cho các thiết bị
phần cứng và hạ tầng kết nối
• Thiết kế an toàn bảo mật mức vật lý:
• Phòng và tủ chứa thiết bị cần được khóa
• Thiết lập chính sách, quy định về việc vào ra phòng
• Hệ thống camera giám sát khu vực đặt thiết bị
• Đường truyền cần đặt ngầm hoặc đặt trong ống bảo vệ
• Hệ thống nguồn điện dự phòng
• Hệ thống phát hiện và phòng cháy, chữa cháy
• Hệ thống chống sét
37
37
38
38
19
Tài liệu tham khảo
• Bài giảng sử dụng hình ảnh minh họa từ tài liệu “Cisco
SAFE Reference Guide”, 2009 Cisco Systems
39
39
20