Giải pháp mạng bảo mật Firewall và kết nối truy cập từ xa (VPN)

VPN (Virtual Private Networks) là giải pháp truy nhập từ xa (Remote Access) dựa trên nền tảng mạng Internet công cộng. VDO xin giới thiệu giải pháp VPN. Đây là một giải pháp kinh tế, có tính bảo mật cao, một giải pháp của tương lai.

1. Sự cần thiết, mục đích và lợi ích của công nghệ VPN

1.1 Giới thiệu về dịch vụ VPN

- Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng riêng ảo, cho phép bạn mở rộng phạm vi mạng nội bộ (LAN) bằng cách sử dụng lợi thế của mạng Internet.  Kỹ thuật VPN cho phép bạn kết nối với một máy chủ nằm xa hàng ngàn dặm với mạng nội bộ của công ty (LAN  – Local Area Network) của bạn và làm cho nó trở thành một điểm truy cập (Node) hay một PC nữa trong mạng LAN và trở thành 1 mạng diện rộng (WAN).  Một đặc điểm nữa của VPN là sự kết nối giữa máy trạm và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.

- Các hệ điều hành Windows 2000 Server, Windows 2003 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẵn trong dịch vụ cho phép truy cập từ xa RRAS (Remote Routing Access Service).  Sau khi thiết lập một máy chủ (Server) thành một máy chủ đón nhận kết nối từ xa (VPN Server) thì các máy trạm (Clients) có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ (mạng LAN) như là đang kết nối trực tiếp với mạng đó.

- Dịch vụ kết nối từ xa thông qua dịch vụ VPN Client tới máy chủ sẽ đảm bảo truy cập tới thông tin trong mạng nội bộ một cách an toàn bởi giao thức mã hóa và đào đường hầm trên nền tảng mạng Internet, nhằm mục đích tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu, khai thác các dịch vụ CSDL trên mạng

1.2 Mục đích sử dụng dịch vụ VPN

- Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng.

- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau.

Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng  tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.

- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa

- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …

- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.

1.3 Lợi ích của công nghệ VPN

- Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet.

- Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các máy trạm truy cập từ xa).

- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng ( Hiện nay đường truyền ADSL tại Việt nam đã đủ cung cấp băng thông cho khái thác dịch vụ như CSDL Kế toán, công văn, công việc, bán hàng, mua hàng, quản lý thông tin trong doanh nghiệp thông qua hệ thống làm việc từ xa – VPN )

- Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có các mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp ( VPN Client hoặc Site to site / truy cập từ các máy trạm vào văn phòng công ty hoặc truy cập từ hệ thống mạng văn phòng này sang hệ thống mạng văn phòng khác tạo thành 1 hệ thống mạng thống nhất )

- Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá trên nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo mật hệ thống)

- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ ( Cung cấp thông tin các Acccont để xác thực truy cập ).

2. Tính năng của giải pháp VPN

2.1 Mô hình chung

- Mô hình chung: Mô hình mạng riêng ảo sử dụng đường kết nối Internet để tạo ra một đường hầm ảo trao đổi thông tin từ mạng từ xa kết nối thành 1 mạng thống nhất.

mo-hinh-VPN-1

- Mô hình kết nối VPN đơn: Mô hình VPN kết nối từ các máy trạm ở xa vào mạng LAN của doanh nghiệp:

mo-hinh-VPN-2

- Mô hình site to site: VPN kết nối giữa 02 mạng nội bộ từ xa với nhau (LAN – LAN):

mo-hinh-VPN-3

2.2 Yêu cầu giải pháp

a. Phần cứng

- Một modem ADSL hỗ trợ dịch vụ Virtual Server (Dịch vụ máy chủ ảo)

- Cần có một đường truyền ADSL tốc độ cao (dịch vụ ADSL với địa chỉ IP tĩnh là tốt nhất) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.

- 01 máy chủ cài đặt Firewall cung cấp các kết nối VPN làm máy chủ VPN (VPN Server) , có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL để kết nối với bên ngoài (Internet).

- Máy chủ cung cấp dịch vụ tốt nhất chạy ứng dụng trên nền tảng Domain Controler của hãng Microsoft để đảm bảo an toàn, dễ quản trị khi chia sẻ dữ liệu và chia sẻ các dịch vụ trong mạng LAN (Dịch vụ File, Email nội bộ, Email Internet, Phần mềm Nghiệp vụ: Kế toán, quản lý công văn công việc, nhân sự tiền lương, chăm sóc khách hàng, …)

b. Phần mềm

- Firewall Software: Firewall mềm chạy trên nền tảng applicant. Là Firewall bảo vệ hện thống mạng bên trong, chứng thực các kết nối từ bên ngoài vào, mã hóa dữ liệu khi truyền ra ngoài theo kênh VPN. Có một quy tắc được áp đặt trên hệ thống bảo mật (Firewall) cho phép thông tin được truyền qua hệ thống bảo mật (Firewall), sau đó những thông tin này sẽ được chuyển (Pass) qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị hệ thống bảo mật (Firewall) chặn lại.

2.3 Bảo mật, an toàn thông tin

- Xác thực truy cập (User Authentication): Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ và được phép Kết nối và truy cập hệ thống truy cập từ xa (VPN Server).

- Quản lý phân cấp địa chỉ (Address Management): Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN và khai thác các tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN).

- Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

- Hệ thống bảo mật (Firewall):  sẽ đáp ứng đựoc các cơ chế bảo mật đề ra:   IPSec, 3Des, Client Policy,  RADIUS, LDAP theo các tiêu chuẩn bảo mật và mã hóa của thế giới. Tại phía người truy cập sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của ứng dụng VPN (VPN Client Sofware).

- Chống thất thoát dữ liệu do người dùng truyền ra ngoài thông qua các cơ chế chia sẻ file ngang hàng (P2P), chat (Yahoo, Sky, MSM…) cũng như các phương thức truyền file khác qua mạng Internet.

3. Dự trù giải pháp

- Đường truyền dự phòng cho hệ thống Firewall, VPN: được cung cấp bởi một ISP khác, có IP tĩnh. Khi có sự cố sẽ chuyển qua đường dự phòng chạy. Trong trường hợp bình thướng thì đường dự phòng đóng vai trò là đường Internet để tăng băng thông cho đường truyền chính.

- Hệ thống phần cứng chi Firewall cần nâng cấp mạnh hơn sau một thời gian sữ dụng để đáp ứng nhu cầu ngày càng cao của Doanh Nghiệp.

4. Kết luận

- Với công nghệ thông tin phát triển như hiện nay áp dụng  các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa.

- Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển  mạnh ở nước ta như  hiện nay.

- Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình.