Nắm giữ vai trò quan trọng trong hoạt động của các tổ chức, mô hình mạng doanh nghiệp bảo mật có nhiệm vụ để phân biệt chức năng của các vùng mạng, đồng thời xây dựng các chính sách an toàn thông tin cho mỗi vùng mạng theo yêu cầu đặt ra từ doanh nghiệp.
Trong nội dung bài viết dưới đây, hãy cùng Wefix tìm hiểu chi tiết những thông tin liên quan đến mô hình mạng doanh nghiệp và những lưu ý đặc biệt trong quy trình thiết kế mô hình mạng bảo mất cho doanh nghiệp hiện nay.
Các thành phần của mô hình mạng bảo mật
Cấu tạo phổ biến của một mô hình mạng doanh nghiệp bảo mật bao gồm những thành phần chính dưới đây:
1. Vùng mạng nội bộ
Vùng mạng nội bộ hay còn có tên gọi khác là mạng LAN (Local Area Network), là vùng mạng không thể thiếu để đặt các thiết bị mạng, máy trạm và máy chủ của mạng nội bộ trong doanh nghiệp.
2. Vùng mạng DMZ
Vùng mạng DMZ nằm ở vị trí trung lập trong mô hình mạng doanh nghiệp, cụ thể là nằm giữa mạng nội bộ và mạng internet. Nhiệm vụ của vùng mạng DMZ là chứa đựng các thông tin cho phép người sử dụng dùng từ internet truy xuất vào. Ngoài ra, vùng mạng DMZ cũng là nơi chấp nhận những rủi ro có thể xảy đến bất cứ lúc nào từ internet. Một số những dịch vụ được hoạt động trong vùng mạng DMZ đó là: máy chủ mail, máy chủ web, máy chủ FTP, máy chủ DNS, …
3. Vùng mạng Server hay Server Farm
Vùng mạng Server (Server Farm) chính là nơi đặt các thiết bị máy chủ gián tiếp và cung cấp dịch vụ cho mạng Internet. Để triển khai vùng mạng này cần sử dụng các máy chủ đó là Database Server, LDAP Server, …
4. Vùng mạng Internet
Vùng mạng Internet hay còn được gọi là mạng ngoài, đồng thời cũng là vùng mạng kết nối trực tiếp với mạng lưới internet trên toàn cầu.
Thiết kế và tổ chức mô hình mạng doanh nghiệp bảo mật đóng vai trò liên quan đến sự an toàn và ảnh hưởng trực tiếp đến hệ thống mạng và các cổng thông tin điện tử trong và ngoài doanh nghiệp. Hơn thế nữa, mô hình mạng doanh nghiệp cũng là cơ sở nhằm giúp doanh nghiệp đảm bảo bí mật thông tin nội bộ, xây dựng một hệ thống phòng thủ chắc chắn hạn chế tối đa sự “nhòm ngó”, ăn cắp thông tin hay sự tấn công bất ngờ từ đối thủ hay tội phạm công nghệ.
3 mô hình mạng doanh nghiệp phổ biến hiện nay
1. Mô hình 1: Các vùng mạng được thiết kế riêng biệt, bao gồm vùng mạng internet, mạng nội bộ và mạng DMZ. Giữa các vùng mạng sẽ có một hệ thống tường lửa (firewall) với mục đích kiểm soát thông tin giữa các vùng mạng đồng thời hạn chế sự tấn công trái phép tới các vùng mạng.
2. Mô hình 2: Mô hình mạng doanh nghiệp sẽ có 2 hệ thống tường lửa. 1 hệ thống được đặt giữa vùng mạng internt và DMZ. Hệ thống còn lại sẽ được để giữa vùng mạng nội bộ mà vùng mạng DMZ.
3. Mô hình 3: Mô hình này được mô tả như sau:
- 1 Hệ thống tường lửa đặt giữa vùng mạng internet và DMZ
- 1 Hệ thống tường lửa đặt giữa vùng mạng DMZ và vùng mạng nội bộ
- 1 Hệ thống tường lửa đặt giữa vùng mạng nội bộ và vùng mạng internet.
Tất cả các hoạt động truy cập giữa các vùng mạng đều phải thông qua sự kiểm soát chặt chẽ bởi một hệ thống tường lửa (firewall).
Thiết kế mô hình mạng doanh nghiệp bảo mật cần lưu ý gì?
Trong quy trình thiết kế mô hình mạng doanh nghiệp hiện nay cần phải có sự cẩn trọng, chuyên nghiệp trong từng bước triển khai. Một sai sót nhỏ trong quy trình cũng có thể gây ra sai lầm đáng tiếc cho toàn bộ hoạt động của tổ chức. Dưới đây là một số những lưu ý doanh nghiệp cần quan tâm:
- Để tránh tình huống xấu khi doanh nghiệp bị tấn công mạng nội bộ, hay các trường hợp an toàn mạng nội bộ bị ảnh hưởng khi máy chủ bị tấn công và chiếm quyền kiểm soát, việc bnj cần làm là đặt các máy chủ web, máy chủ mail cung cấp dịch vụ ra mạng internet trong vùng mạng DMZ.
- Không nên sử dụng các máy chủ để cung cấp trực tiếp dịch vụ ra mạng ngoài như máy chủ cơ sở dữ liệu, xác thực bởi rất có thể rơi vào tình huống bị tấn công trực diện từ Internet và các mạng nội bộ. Đồng thời, đối với các hệ thống thông tin trong doanh nghiệp đòi hỏi mức độ bảo mật cao hay phân chia thành nhiều cụm máy chủ thì bạn có thể chia vùng server network thành các vùng độc lập để nâng cấp tính năng bảo mật cao hơn.
- Chú ý thiết lập ra các hệ thống phòng thủ tường lửa, thiết bị phát hiện sự xâm nhập để tăng cường khả năng bảo vệ mô hình mạng doanh nghiệp. Chống lại sự tấn công và xâm nhập trái phép từ bên ngoài. Các vị trí nên đặt hệ thống phòng thủ tường lửa và thiết bị chống xâm nhập có thể là:
+ Giữa đường nối mạng internet với các vùng mạng khác để hạn chế sự tấn công bên ngoài.
+ Giữa vùng mạng nội bộ và mạng DMZ
+ Đặt hệ thống chống xâm nhập tại các vùng cần bảo vệ.
- Lưu ý cuối cùng trong thiết kế mô hình mạng doanh nghiệp bảo mật đó là bạn nên đặt một router ngoài cùng trước khi thực hiện kết nối, hoạt động với nhà cung cấp dịch mạng internet (ISP). Bằng cách này, doanh nghiệp sẽ chọn lọc được ra những lưu lượng không cần thiết và hạn chế những thông tin được gửi đến từ các địa chỉ IP lạ, không hợp lệ.