Thiết kế mạng cho các chi nhánh (Phần 2)
Ngu
ồn : quantrimang.com.vn 
Bài viết này sẽ đề cập đến quá trình thiết kế dịch vụ tường lửa cho mạng
của các chi nhánh. Bài toán: Công ty A mở thêm một chi nhánh mới. Các yêu
cầu:

- Chi nhánh có khoảng 50 nhân viên và cần có kết nối vào Internet. Chi nhánh
cần có kết nối với DataCenter.

- Chi nhánh cung cấp các thông tin cho khách hàng và các đối tác thông qua việc
sử dụng một Web Server chứa các trang web. Web Server này phải tách biệt với
mạng trong của chi nhánh bằng một tường lửa.

- Các yêu cầu truy c
ập ra Internet từ các client bên trong mạng chi nhánh phải
qua một tường lửa.

- Các tài nguyên trên Web Server phải được sẵn sàng cho khách hàng và đối tác
truy cập

- Tại chi nhánh cần có 1 người quản trị mạng. Nhiệm vụ của người này là thiết
kế dịch vụ tường lửa cho chi nhánh sao cho đảm bảo an toàn cho các thông tin
khi truy cập ra Internet cũng như bảo đảm an toàn cho mạng chi nhánh khỏi các
truy cập trái phép từ bên ngoài.

Việc đầu tiên cần xem xét là tính tập trung và phân tán của dịch vụ- Dữ liệu tập trung tại DataCenter
- Chi nhánh phải có kết nối tới

được xác thực trên tường lửa

- Kiểu lưu lượng: cần nắm được các loại giao thức truyền tải lưu lượng mà các
chương trình ứng dụng chạy trong mạng chi nhánh sử dụng. Điều này hỗ trợ
việc cấu hình các dịch vụ chặn/lọc các gói tin trên tường lửa.

- Thiết kế các luật truy cập (access rule) và network rule: dùng các access
rule để xác định các giao thức, mạng nguồn, mạng đích, nội dung truy cập
v.v…để
áp đặt cho các truy cập ra bên ngoài. Dùng network rule để xác định việc
chặn/cho phép truyền thông giữa các mạng. Ví dụ, cho phép các người dùng
Internet truy cập vào Web Server đặt tại vùng DMZ của chi nhánh.

- Hiệu năng: Nếu đặt các tài nguyên tại chi nhánh thì các tốc độ truy cập dữ liệu
và tính sẵn sàng của dịch vụ tại chi nhánh sẽ là rất cao. Tuy nhiên cần có đường
truyền WAN tốc độ cao kết nối với DataCenter để cập nhật, đồng bộ và sao lưu
dữ liệu. Nếu chi nhánh chỉ có đường truyền WAN tốc độ thấp thì có thể sử dụng
kỹ thuật caching của tường lửa để tăng hiệu năng cho mạng.

Xem xét các truy cập từ bên ngoài vào các tài nguyên bên trong

- Kiểu lưu lượng: cần xác định rõ cách thức người dùng từ bên ngoài truy cập
vào tài nguyên trong mạng chi nhánh như thế nào. Trong một vài trường hợp,
tường lửa có thể tự động chặn/lọ
c gói tin của một số giao thức thông dụng.
Ngoài ra đối với các giao thức khác, cần sự giám sát và việc cấu hình của người
quản trị.

- Chức năng nghiệp vụ: nếu chi nhánh có chức năng cung cấp tài nguyên cho
các client ở bên ngoài thì cần cấu hình dịch vụ tường lửa để quản lý việc truy

được điều này cần chủ động giám sát quá trình hoạt động của dịch vụ thông qua
file nhật ký, các cảnh báo.

- Hỗ trợ
: Cần tính đến khả năng hỗ trợ dịch vụ. Ví dụ, đối với các chi nhánh
không có đội ngũ kỹ thuật thì dịch vụ tường lửa cần được cấu hình để quản lý từ
xa.

- Thay đổi: dịch vụ tường lửa khi cần có thể phải thay đổi. Ví dụ như thêm 1
tường lửa thứ hai mới để bảo vệ các Server trong mạng của chi nhánh. Khi đó
có th
ể cần thay đổi cấu hình của tường lửa thứ nhất cho phù hợp.