MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG
HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH
CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU
CHƯƠNG TRÌNH 112
Tháng 6-2004
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - ,
”Security Made Easy”
2
MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG
HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH CHO
TRUNG TÂM TÍCH HỢP DỮ LIỆU
1. Hệ thống kiểm soát truy nhập
1.1. Các nguyên tắc định hướng để lựa chọn hệ thống kiểm
soát truy nhập:
• Hệ thống có khả năng kiểm soát chính sách truy nhập hệ thống trên cơ sở kiểm
tra IP nguồn, IP đích hoặc trên cơ sở kiểm tra Username và Password
• Kiểm soát gói tin từ mức 3 đến mức 7 theo mô hình OSI, đảm bảo kiểm soát gói
tin từ lớp mạng đến cả trên tầng ứng dụng.
• Hệ thống kiểm soát có tính bảo mật cao, có nhiều tính năng an toàn an ninh.
• Có tính năng quản lý, quản trị tập trung về chính sách an ninh và cảnh báo, log.
• Đảm bảo bảo vệ theo chiều sâu với nhiều tầng kiểm soát.
• Cung cấp khả năng chuyển địa chỉ nội bộ thành địa chỉ public (NAT)
• Cung cấp tính năng tạo cổng mã hoá VPN.
• Tích hợp trên nền phần cứng chuyên dụng để giảm thiểu nguy cơ bị xâm nhập và
phá hoại do lỗ hổng bảo mật của hệ điều hành, đồng thời giảm chi phí bảo hành,
bảo trì hệ điều hành.
• Có khả năng phòng chống các tấn công như DoS, DDoS, SYNFlood, ... từ phía
mạng không tin cậy.
• Lọc nội dung, kiểm soát truy nhập trên cơ sở lọc URL.
• Có độ sẵn sàng cao (High Avaibility)
• Đảm bảo băng thông cho hệ thống trong trường hợp có áp dụng VPN
• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng
chống virus (anti-virus), hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS)
• Có khả năng thay thế nhanh cả phần cứng và phần mềm.
•
Có sự hỗ trợ tốt nhất của nhà cung cấp về cài đặt, triển khai, sửa lỗi bảo trì bảo
hành
1.2. Giải pháp đề nghị áp dụng:
1.2.1. Mô hình trung tâm nhỏ
1.2.1.1. Vị trí lắp đặt:
Sử dụng 02 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - ,
”Security Made Easy”
3
CPNet
Internet
SWITCH
Server
Server
Server
Internal Network
Firewall1
Safe@225U
PC PC
Laptop
Firewall2
Safe@225U
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Khi một firewall bị
lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại
1.2.1.2. Các tính năng đạt được:
Các tính năng firewall
• Thông lượng firewall đạt tốc độ tới 150Mbps
• Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô hình
kết nối VPN client-to-site và site-to-site
• Hỗ trợ tới 8000 kết nối đồng thời
• Hỗ trợ khả năng sẵn sàng cao High Availability
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
1.2.2. Mô hình trung tâm trung bình
1.2.2.1. Vị trí lắp đặt
Sử dụng 03 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
3. Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - ,
”Security Made Easy”
4
CPNet Internet
SWITCH
FTP Server
Mail Server
Web Server
DMZ Network
Firewall3
Celestix
FV930
SWITCH
Admin Point
Computer
Computer
Computer
Computer Laptop
Internal Network
Firewall1
Safe@225U
Firewall2
Safe@225U
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO VUNG DMZ, DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Khi một firewall bị
lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại. Ngoài ra, firewall thứ ba sẽ làm
tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng
1.2.2.2. Các tính năng đạt được
Các tính năng firewall
1. Firewall bảo vệ bên ngoài:
o Thông lượng firewall đạt tốc độ tới 150Mbps
o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô
hình kết nối VPN client-to-site và site-to-site
o Hỗ trợ tới 8000 kết nối đồng thời
o Hỗ trợ khả năng sẵn sàng cao High Availability
2. Firewall bảo vệ bên trong:
o Thông lượng firewall đạt tốc độ tới 220Mbps
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - ,
”Security Made Easy”
5
o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 54 Mbps. Hỗ trợ cả hai
mô hình kết nối VPN client-to-site và site-to-site
o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá.
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
• Chống tấn công
o Chống lại các tấn công mới nhất tại tầng ứng dụng. Firewall lớp 2 phải có khả
năng cập nhật các mẫu tấn công mới nhất.
1.2.3. Mô hình trung tâm lớn
1.2.3.1. Vị trí lắp đặt
Sử dụng 03 firewall bảo vệ:
1. Firewall thứ nhất chuyên để quản lý truy cập Internet
2. Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet
3. Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng, bảo vệ vùng máy chủ
quan trọng
CPNet
Internet
Firewall1
Safe@225U
Firewall2
Safe@225U
SWITCH
FTP Server
Mail Server
Web Server
DMZ Network
Firewall3
Resilience
4510
SWITCH
May chu quan tri
tap trung
cua Check Point
Computer
Computer
Computer
Computer
Laptop
PC Zone
DataBase Server APP Server
SWITCH
DE XUAT MO HINH BAO VE MANG BANG FIREWALL
CHO VUNG DMZ, VUNG CAC MAY CHU, DUONG INTERNET VA CPNET
Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị. Firewall thứ ba sẽ
làm tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng,
các máy chủ quan trọng
Đề xuất “Giải pháp an ninh mạng và phòng chống virus cho Trung tâm THDL 112”
Misoft-MinhViet JSC – NW Security Service provider (6/2004) - ,
”Security Made Easy”
6
1.2.3.2. Các tính năng đạt được
Các tính năng firewall
Firewall bảo vệ bên ngoài:
o Thông lượng firewall đạt tốc độ tới 150Mbps
o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps. Hỗ trợ cả hai mô
hình kết nối VPN client-to-site và site-to-site
o Hỗ trợ tới 8000 kết nối đồng thời
o Hỗ trợ khả năng sẵn sàng cao High Availability
Firewall bảo vệ bên trong:
Đảm bảo hoạt động với tốc độ cao, khả năng sẵn sàng cao
o Thông lượng firewall đạt tốc độ tới 600Mbps
o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 200 Mbps AES/MD5. Hỗ
trợ cả hai mô hình kết nối VPN client-to-site và site-to-site
o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá.
Các tính năng kĩ thuật:
• Kiểm soát truy cập
o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng
o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)
• Biên dịch địa chỉ:
o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài
o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa
chỉ card mạng bên ngoài
• Chống tấn công
Firewall lớp 2 phải có khả năng chống lại các tấn công mới nhất tại tầng ứng
dụng, khả năng cập nhật các mẫu tấn công mới nhất.
• Khả năng sẵn sàng cao: Firewall lớp 2 phải gồm hai module chạy theo chế độ active-
standby. Khi một module bị hỏng, module còn lại sẽ tự động thay thế mà không cần
sự can thiệp của người quản trị. Khi cần có thể nâng cấp lên hoạt động với mô hình
active-active
2. Hệ thống phát hiện và phòng chống xâm nhập
2.1. Các nguyên tắc lựa chọn hệ thống phát hiện và phòng
chống xâm nhập
• Phát hiện và phòng chống được các kiểu xâm nhập trái phép, luôn luôn được cập
nhật các kỹ thuật phòng chống xâm nhập mới nhất
• Có khả năng bố trị tại nhiều vùng khác nhau trong hệ thống: vùng DMZ, vùng
Core, vùng LAN ... hoặc theo dõi xâm nhập tại gateway, tại server, tại từng PC.
• Có khả năng kiểm soát nhiều giao thức khác nhau
• Không ảnh hưởng/Ảnh hưởng ít nhất đến băng thông của hệ thống
• Có khả năng chủ động chống lại các tấn công, xâm nhập một cách tự động.
• Không đưa ra/Ít đưa ra các cảnh báo sai về xâm nhập (low false positive)
• Quản trị tập trung hệ thống phát hiện và phòng chống xâm nhập, có khả năng
thực hiện đánh giá tương quan giữa các sự kiện về an toàn an ninh tại các vị trí
khác nhau trong hệ thống.
• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng
chống virus (anti-virus), hệ thống kiểm soát truy nhập (firewall)