Không giống như Intranet VPN và Remote Access VPN. Extranet VPN
khơng hẳn có nghĩa là “Xa hơn ngồi phạm vi”. Thực tế, Extranet VPN cho phép
kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại
mở rộng như: đối tác, khách hàng, nhà cung cấp
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 110

Hình 1.10 Mạng Extranet truyền thống

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải
hồn tồn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong
việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm
như vậy có thể phải thay đổi tồn bộ mạng Intranet và có thể ảnh hưởng đến các
mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà
thực thi và quản trị mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ
dàng và giảm chi phí đáng kể.


Hình 1.11 Mạng Extranet dựa trên VPN

Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn cơng DOS vẫn cịn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các
ứng dụng Multimedia.

+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể khơng được bảo đảm
Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp
VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của cơng nghệ, chi phí và bảo mật”
1.6. Các cơng nghệ và các chính sách an tồn Mạng riêng ảo


1.6.1. Sự cần thiết của chính sách an tồn Mạng
Chính sách an tồn mạng có vai trị quan trọng trong việc bảo mật của một tổ
chức và từng bước được vận dụng để thực thi bảo mật mạng. Khơng có một sản
phẩm hay một giải pháp chuẩn chung cho một chính sách an tồn mạng. Nó
thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức.
Một chính sách an tồn mạng thể hiện tầm nhìn của Cơng ty về cách thức sử
dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao
hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo
mật, các vi phạm bảo mật.
Một chính sách an tồn làm cho khả năng đối phó với các rủi ro, các nguy cơ
bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta
không xác định được cần bảo vệ cái gì.
Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được
phép và khơng được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể
hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên
của công ty, một thoả thuận chung để mọi người chấp nhận và tn theo các luật
đó.
Một chính sách an tồn mạng tồn diện của Cơng ty phải được xác định theo
sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ
cung cấp cho ta một số nguyên tắc chung:
+ Những người nào mà chúng ta muốn ngăn chặn?
+ Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay
khơng?
+ Hệ thống có chứa thơng tin mật hoặc nhạy cảm không?

+ Phân loại các thông tin mật hoặc nhạy cảm như thế nào?
+ Mật khẩu hoặc mã hố có đủ bảo vệ khơng?
+ Chúng ta có cần truy cập Internet hay khơng?


+ Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng
bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn cho
phép?
+ Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật?
+ Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này?
Đó là những ngun tắc mang tính định hướng chung cho việc thiết lập và
thực hiện một chính sách an tồn mạng.
1.6.2. Chính sách an tồn mạng
Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều
nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy
nhiên cần phải lưu ý rằng:
+ Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng
dụng có những khiếm khuyết có thể bị khai thác.
+ Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi
qua nó hoặc các kết nối Terminate tại gateway từ bên ngồi, vì các giao thức cũng
có thể tiềm ẩn nhiều lỗ hổng bảo mật.
+ Bất kỳ một hệ thống nào có chứa thơng tin mật hoặc nhạy cảm đều không
nên cho phép truy cập trực tiếp từ bên ngoài.
+ Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu
cầu xác thực mật khẩu và kiểm soát truy cập thích hợp.
+ Truy cập trực tiếp từ bên ngồi ln phải được xác thực và kiểm tốn
Chính sách an tồn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ
chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này.
Mỗi luật trong chính sách an tồn mạng nên được thực thi trên một firewall hoặc
RAS. Và chính sách an tồn mạng của một cơng ty phải trả lời được các câu hỏi

sau:


+ Những ai được truy cập vào mạng của Công ty? Những Client, đối tác,
khách hàng nào được cung cấp truy cập tới mạng của Cơng ty?
+ Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác.
+ Những ai có thể truy cập Internet từ mạng của Cơng ty?
+ Lúc nào thì tài khoản của một người dùng sẽ bị xoá?
+ Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có
truy cập Internet khơng được bảo vệ.
+ Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không?
+ Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay
khơng?
+ Các máy tính của người dùng từ xa, người dùng di động được bảo mật như
thế nào? Họ phải làm gì để có thể truy cập an tồn tới mạng của công ty.
+ Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại
thơng này hay khơng?
1.6.3. Chính sách an tồn Mạng riêng ảo
Trong khi một chính sách an tồn mạng truyền thống xác định luồng thông tin
nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật
VPN mơ tả các đặc tính của việc bảo vệ hiện trạng luồng thơng tin. Theo một
nghĩa nào đó, nó là một tập con của chính sách an tồn mạng , vì nó chỉ cơ đọng
hơn và phụ thuộc vào vấn đề cho phép luồng thơng tin giữa các đích nào đó trước
khi nó có thể được bảo vệ.
Một chính sách an tồn VPN mơ tả hiện trạng luồng thơng tin riêng được bảo
vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã
hoá, độ dài khố, quản lý khố…). Chính sách an tồn VPN có thể được định nghĩa
trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp
sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách
phù hợp với việc mơ tả dịng lưu lượng trước khi nó được phép đi vào các thiết bị.



Trong khi thực hiện VPN cần lưu ý:
+ Chỉ có một kết nối mạng được cho phép.
+ VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty
+ Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần
mềm Virus và cập nhật thường xuyên để quét
+ Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau
một khoảng thời gian nhất định(chẳng hạn: sau 30 phút).
Câu hỏi ôn tập
1.

Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo?

2.

Ba loại mơ hình VPN là: __________, __________, và __________.
a.
b.
c.
d.

Intranet
Internet
Extranet
Remote Access