Tin Tức
Bảo mật trong hệ thống mạng LAN
Th11
Với nhu cầu trao đổi thông tin ngày càng cao hiện nay, các cơ quan, tổ chức cần thiết phải kết nối với mạng Internet. Ngoài tốc độ thì an toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu với hệ thống mạng của các cơ quan, doanh nghiệp, tổ chức. Tính năng bảo mật mạng LAN cần được doanh nghiệp chú trọng.
Một số quy tắc bảo mật máy tính và hệ thống mạng LAN
– Sao lưu dữ liệu quan trọng.
– Cài và cập nhật đều đặn phần mềm diệt virus.
– Gỡ bỏ file, chương trình và dịch vụ không cần thiết.
– Cập nhật hệ điều hành.
– Cài tường lửa và cấu hình chuẩn.
– Đóng các cổng truy cập không cần thiết.
– Đặt mật khẩu BIOS.
– Thiết lập các quy định cho GPO.
– Dùng phần mềm lọc nội dung cho HTTP, FTP và SMTP.
– Dùng phần mềm chống thư rác.
Mô hình mạng bảo mật cho hệ thống mạng Lan
Một mô hình mạng được bảo mật cao là điều cần thiết cho mỗi tổ chức để phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế.
Mô hình mạng bảo mật gồm các thành phần, các vùng khác nhau, các thành phần trong mô hình mạng.
Các vùng mạng
– Vùng mạng nội bộ (Local area network – LAN)
Các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị được đặt trong vùng mạng này.
– Vùng mạng DMZ
Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet. Đây là nơi chứa các dữ liệu cho phép người dùng từ Internet truy xuất vào. Người dùng cần chấp nhận các rủi ro tấn công từ Internet khi truy cập vào DMZ. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, Mail, DNS, FTP,…
– Vùng mạng Server (Server Farm)
Các máy chủ không trực tiếp (bao gồm Database Server, LDAP Server,…) cung cấp dịch vụ cho mạng Internet sẽ được đặt tại Server Farm.
– Vùng mạng Internet
Đây là vùng kết nối với mạng Internet toàn cầu.
Các tiêu chí khi thiết kế mô hình mạng bảo mật
– Các máy chủ web, mail… cung cấp dịch vụ ra mạng Internet nên được đặt trong vùng DMZ. Vùng DMZ giúp bảo vệ các máy chủ khỏi các tấn công mạng nội bộ hoặc mất quyền kiểm soát.
Lưu ý: Trong DMZ không đặt web server, mail server hoặc các máy chủ chỉ cung cấp dịch vụ cho nội bộ.
– Các máy chủ ứng dụng, database server, máy chủ xác thực… dành cho mạng nội bộ nên được đặt trong vùng mạng server network. Các máy chủ cần được bảo vệ khỏi các tấn công từ Internet và mạng nội bộ.
Ngoài ra, bạn có thể chia nhỏ vùng server network để nâng cao tính bảo mật với các hệ thống bao gồm nhiều cụm máy chủ khác nhau hoặc thông tin yêu cầu mức bảo mật cao.
– Triển khai hệ thống phòng thủ tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép.
– Trước khi kết nối đến ISP, bạn nên đặt một Router ngoài cùng nhằm lọc các lưu lượng và các gói tin không mong muốn.
Một số mô hình mạng LAN phổ biến
Mô hình 1
Vùng mạng Internet, Local và DMZ được thiết kế tách biệt nhau. Người dùng có thể để firewall đặt giữa các vùng mạng. Tường lửa này có nhiệm vụ kiểm soát luồng dữ liệu giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công.
Mô hình 2
Một firewall được đặt giữa mạng Internet và DMZ và một firewall giữa DMZ và local. Mạng Local cách mạng Internet bằng 2 lớp firewall.
Mô hình 3
Firewall thứ nhất đặt giữa mạng Internet và DMZ, firewall thứ hai đặt giữa vùng DMZ và vùng local và firewall thứ ba đặt giữa Local và Internet. Các luồng dữ liệu giữa các vùng với nhau đều được kiểm soát bởi các firewall.
