Bài viết sưu tầm
Thiết Kế Mạng Riêng Ảo (VPN) và Dịch Vụ Bảo Mật - Phần 1
Tóm tắt
Trọng tâm của tài liệu này là thiết kế Mạng riêng ảo và Dịch vụ bảo mật sẽ được triển khai trong tổ chức. Việc thiết kế được thực hiện trên cơ sở phân tích yêu cầu, xác định các tính năng chính của mạng được triển khai. Chúng tôi cũng nhấn mạnh kiến trúc của toàn bộ hệ thống, ảnh chụp màn hình cũng đã được cung cấp và sơ đồ ER được vẽ bằng biểu đồ rõ ràng.
Chủ đề: Thiết kế Mạng riêng ảo, thiết lập VPN mới, Mạng riêng ảo
Giới thiệu
Với xu hướng liên lạc cập nhật từng phút ngày càng tăng, mỗi tổ chức bắt buộc phải cài đặt một cơ sở hạ tầng mạng hiệu quả, an toàn và mạnh mẽ. Các mạng thường xuyên phải đối mặt với các cuộc tấn công để bẻ khóa dữ liệu và làm gián đoạn các hoạt động của đối thủ.
Để tránh mạng của một người, các doanh nghiệp triển khai mạng riêng ảo để giảm nguy cơ bị tấn công từ bên ngoài và chỉ duy trì dữ liệu trong mạng được tạo và để nâng cao hiệu quả. Công ty XYZ đã tiếp cận chúng tôi để xây dựng một mạng lưới cho họ để họ có thể quảng bá người học, nhân viên hành chính và cơ sở, tổ chức cần một cơ sở hạ tầng mạng hiệu quả để xử lý giao tiếp bên trong và bên ngoài.
Vì chúng tôi đã đưa cho họ Tài liệu Phân tích Yêu cầu đã được Người giám sát và khách hàng của chúng tôi phê duyệt, vì vậy bây giờ chúng tôi đang chuyển sang giai đoạn tiếp theo của dự án này, đó là “Giai đoạn Thiết kế” và ở đây chúng tôi sẽ thiết kế mạng theo ý tưởng của mình. lập kế hoạch và cập nhật cuối cùng.
Mục đích và đối tượng thiết kế mạng riêng ảo
Tài liệu này sẽ nêu bật Thiết kế mạng bao gồm các thông số kỹ thuật và triển khai mạng bao gồm kiến trúc hệ thống mạng, các giải pháp mạng với cấu trúc liên kết của chúng, các bảng Địa chỉ IP với các Vlan đã cho cho các trang web tương ứng của chúng, các đặc điểm an toàn với bảng đầu vào và đầu ra, kế hoạch dự phòng và kế hoạch triển khai được cập nhật, Cấu hình cho các chính sách và kế hoạch trong tương lai của chúng tôi. Cung cấp những hướng dẫn này, nó sẽ giúp tổ chức thực hiện:
- Ước tính hóa đơn
- Thời gian triển khai từng giai đoạn mạng
- Ước tính hiệu quả, an toàn và hiệu suất của mạng
- Về sự phát triển của mạng và những khó khăn về an toàn, tương lai của mạng được cài đặt.
Và tại đây, khán giả của chúng tôi, bạn sẽ tìm thấy một công ty mà chúng tôi đang làm việc: “Công ty XYZ”.
Yêu cầu phần cứng và phần mềm để thiết kế mạng riêng ảo
| Mục | thông số kỹ thuật |
| Máy chủ tệp | Máy chủ lưu trữ Cisco UCS S3260 được khuyến nghị làm máy chủ tệp vì nó có thể dễ dàng tích hợp với bộ định tuyến và đủ hiệu quả để xử lý dữ liệu trơn tru [1]Để lưu trữ dữ liệu của công ty. Các khoang ổ đĩa hỗ trợ trao đổi nóng để giảm thiểu thời gian chết Các nút máy chủ hai ổ cắm kép dựa trên Bộ xử lý Intel® Xeon® Có thể mở rộng hoặc CPU Intel E5-2600 v4 với tối đa 44 lõi trên mỗi nút máy chủ [1]Bộ nhớ DDR4 lên đến 1,5 TB trên mỗi nút máy chủ (tổng cộng 3 TB)Hỗ trợ NVMe và Bộ nhớ Flash hiệu suất cao [1] |
| Máy chủ ứng dụng | Sẽ giúp truy cập các dịch vụ Máy chủ Windows 2012 sẽ được sử dụng làm máy chủ ứng dụng vì danh tiếng tốt và tính linh hoạt của nó sẽ được tích hợp để hoạt động như[1] |
| bộ định tuyến | Bộ định tuyến dịch vụ tích hợp Cisco 4000 Series được ưu tiên cho bảo mật này, hỗ trợ ảo hóa, ngăn chặn các cuộc tấn công DDOS, hiện được các chuyên gia triển khai, thử nghiệm và khuyến nghị do tính hiệu quả và hiệu suất của nó [3]. |
| công tắc | Công tắc được sử dụng để phân phối mạng từ bộ định tuyến đến mọi thiết bị được kết nối trên mạng. Trong mạng hiện tại, cần có công tắc 8, 16 và 24 cổng. Cisco Catalyst 2960-L, model no. Có thể sử dụng WS-C2960L cũng có sẵn ở cổng 8, 16 và 24 như WS-C2960-16TS và WS-C2960-24TS [4]. |
Những yêu cầu khác
| Bức tường lửa | Tường lửa thế hệ tiếp theo của Cisco Firepower có thể được coi là tùy chọn hoàn hảo để phát hiện các cuộc tấn công, ngăn chặn các mối đe dọa và đưa ra phản hồi. Ngoài ra, nó có thể dễ dàng cấu hình [2]. |
| cáp | Cáp sẽ được sử dụng qua mạng LAN và để cung cấp kết nối Ethernet cho các điểm truy cập. Vì mục đích này, Cáp Ethernet CAT 6/6a sẽ được sử dụng cho khoảng cách dưới 300 feet và cho khoảng cách lớn hơn 300 feet Cáp OFC Chế độ Đơn sẽ được sử dụng [ 5]. |
Abstract
Tài liệu này sẽ phác thảo thiết kế giữa hai vị trí của một mạng an toàn. Trong nghiên cứu này, VPN – Mạng riêng ảo sẽ được thiết lập cho tổ chức. Tổ chức có hai trang web ở Úc và mạng của nó sẽ cho phép truy cập VPN tới các máy khách từ xa của công ty.
Assumptions
Bàn giao tài liệu này sẽ dẫn đến:
- Việc thiết kế hợp lý sẽ giúp nhà cung cấp lựa chọn đúng loại tài nguyên phần cứng cho việc lắp đặt mạng.
- Ngân sách của toàn bộ dự án sẽ trở nên có thể dự đoán được.
- Khoảng thời gian cho mỗi cột mốc có thể được viết ra.
Design Strategy
Chiến lược thiết kế cho Thiết kế Mạng riêng ảo phải đủ mạnh để duy trì hiệu suất tốt của mạng dưới các tham số bảo mật hiệu quả.
- Xác thực và xác minh nghiêm ngặt để truy cập mạng.
- Mã hóa/Giải mã thông tin.
- Danh sách kiểm soát truy cập và triển khai tường lửa.
- Hạn chế cao đối với quản lý của máy chủ.
- Kế hoạch dự phòng
- Kế hoạch bảo trì
- Phản ứng với các cuộc tấn công DDOS và các mối đe dọa
- Thời gian ngừng hoạt động của máy chủ tối giản
Methodology
Mạng riêng ảo giúp mọi người ẩn danh trên các kết nối công cộng bằng cách hoạt động như một máy chủ proxy, sử dụng các phương pháp sau để bảo mật và an toàn dữ liệu.
1.1 IPSec
Giao thức an toàn Internet (IPsec) là giao thức cung cấp liên kết lớp mạng Internet an toàn. Nó được Lực lượng đặc nhiệm kỹ thuật Internet triển khai để bảo mật việc truyền thông tin qua mạng. Thiết kế IPsec nhất quán với các mục tiêu an toàn xác thực, toàn vẹn và bảo mật. Dữ liệu được mã hóa trong giao thức bảo mật này, được đóng gói trong gói IPsec và quá trình giải mã gói IP ban đầu diễn ra ở cuối điểm đường hầm khi người dùng dự định được đóng gói DE.
1.2 Giao thức đường hầm lớp 2 (L2TP)
Giao thức bảo mật này được sử dụng cùng với giao thức điểm-điểm của Microsoft và Cisco. Giao thức an toàn này có thể giúp chuyển giao thức phi IP sang mạng IP. Do thiếu tính bảo mật của L2TP, nó thường được sử dụng kết hợp với IPsec. Hệ thống IPsec sẽ xuất hiện dưới dạng một gói được mã hóa duy nhất khi tất cả thông tin L2TP đang hoạt động.
1.3 Liên kết VPN (S) giữa hai bên
Mạng riêng ảo giữa hai cơ sở sẽ được xây dựng. VPN sẽ cho phép cả hai đầu truyền thông tin và sử dụng dịch vụ một cách an toàn. L2TP – Giao thức đường hầm lớp 2 được gắn kết để cho phép liên kết của cả hai vị trí. L2TP chỉ chịu trách nhiệm khởi tạo liên kết, nhưng không có kiểm tra an toàn nào được thực hiện.
Vì vậy, để làm cho mạng an toàn hơn IPSec – Internet Protocol Security sẽ được gắn với L2TP để làm cho các tham số bảo mật trở nên hiệu quả. IPSec cung cấp chức năng mã hóa toàn diện cho mọi gói thông tin được truyền qua mạng. Điều này được thực hiện trong 4 bước:
- Định cấu hình L2TP để kết nối cả hai kết nối L2TP
- Tạo Chính sách Giai đoạn 1 của IKE
- Định cấu hình Chính sách IPSec
- Tạo bản đồ tiền điện tử
Đây là bốn bước liên quan đến việc định cấu hình đường hầm L2TP thích hợp cùng với giao thức IPSec [6].
Sơ đồ kiến trúc VPN
Toàn bộ kiến trúc được chia thành các hệ thống con và được mô tả trong phân đoạn này.
1.1 Sơ đồ kiến trúc VPN sử dụng Wireless Controller
Tại đây, bộ điều khiển không dây của một công ty (được sử dụng để quản lý tập trung các điểm truy cập không dây khác nhau của công ty) có thể hoạt động như một bộ tập trung VPN (với giấy phép phù hợp) và, nếu cần, thiết lập các đường hầm VPN với các bộ điều khiển khác, các điểm truy cập từ xa (văn phòng tại nhà) và máy khách VPN (người làm việc từ xa / nhân viên đi du lịch).
Như thể hiện trong các sơ đồ trên, không phải lúc nào cũng cần có liên kết VPN từ trụ sở chính đến văn phòng chi nhánh/nhân viên đi công tác, v.v. Nó có thể được tạo từ một trang web này sang trang web khác, một trang web đến nhiều địa điểm và nhiều trang web đến nhiều địa điểm tùy thuộc vào thiết lập, thiết kế và các loại liên kết được hỗ trợ bởi các hệ thống VPN khác nhau. Tất nhiên, cả VPN Site-to-Site và Site-to-Client đều có thể được thiết lập.
1.2 Mô hình thông tin chính sách VPN
(Hệ thống quản lý mạng dựa trên chính sách cho IP VPN – Hình khoa học trên Techlivewire.com. Có sẵn từ: http://www.techlivewire.com/figure/Hierarchy-of-VPN-Policy-Information-Model_fig1_224742035)
(còn tiếp)...
» Tin mới nhất:
- Linux Shell: Viết chương trình shell tạo user theo thông tin trong file user.db (18/12/2024)
- Cài python trên windows để lab automation (thay thế ubuntu) (18/12/2024)
- Black Box Testing - Phần 2 (17/12/2024)
- What is deep reinforcement learning? (17/12/2024)
- Kĩ năng nào đang có nhu cầu cho kĩ sư phần mềm ngày nay? (17/12/2024)
» Các tin khác:
- Giới thiệu về JWT (JSON Web Token) (16/06/2023)
- Bộ tiêu chuẩn quốc gia về đánh giá sản phẩm phần mềm ISO/IEC 9126 (16/06/2023)
- Tìm hiểu Ivy (15/06/2023)
- Linux ngày càng trở nên phổ biến (15/06/2023)
- Cách sử dụng JTable (12/06/2023)
- DHCP Server vs DHCP Relay Agent on Cisco Router (09/06/2023)
- Các cách học tiếng Anh hiệu quả dành cho Sinh viên (05/06/2023)
- Công nghệ thông tin và doanh nghiệp (03/06/2023)
- Sao lưu cơ sở dữ liệu trong DB2 (25/05/2023)
- Kỹ thuật chuyển đổi dữ liệu qua lại giữa hai ListBox trong C# (18/05/2023)
