Ưu điểm và yếu điểm trong sơ đồ bảo mật mạng sau ?

[nmdduc]

Hi all,
Mọi người cho ý kiến khi áp dụng một trong 3 sơ đồ bảo mật mạng dưới đây:
Ở đây tôi sử dụng cả Firewall và VPN trên hai thiết bị độc lập.

Sơ đồ mô tả:



Cảm ơn mọi người.

ĐứcNM

[cvo15303]

:P :P Hi ĐứcNM,mình có chút ý kiến như sau:
1.Trong topology thứ 2,hình như router phải làm việc overload đấy.Theo mình nghĩ,hãy để router làm 1 perimeter device thì đỡ phải delay.Còn Fw làm VPN server là tuyệt rồi(Frontigate firewall làm rất tốt việc này,cả với các dial-up user)
2.Trong topology thứ 3,mình nghĩ việc encrypt và deencrypt sẽ gây nên delay lớn ,đúng không.ngoài ra,hình như Fw không có cơ hội để thể hiện tính năng nhều lắm.(Các traffic từ trong ra thì sao?)
Theo mình,mình thích mô hình đầu tiên nhất,mình đang xây dựng giống vậy.Không biết đó có phải là standard topology trong thực tế k?Với lại,đâu nhất thiết phải dùng PIX,hiện nay trên thị trường có nhiều cái cũng hay lắm đấy.
Vấn đề nữa ,sao Đức không chọn Fw có tính năng VPN luôn cho tiện quản lý và tiết kiệm hơn?
Mong được học hỏi thêm từ Đức.
Mến.

[nmdduc]

Thanks cvo15303,
Hiện tại KH đang sử dụng một thiết bị Firewall, bây giờ muốn xây dựng mạng VPN để kết nối các Văn phòng và chi nhánh qua mạng Internet. Họ nhấn mạnh sử dụng độc lập hai chức năng Firewall và VPN. Nếu dùng tích hợp cả hai tính năng FW & VPN trên cùng một thiết bị thì không cần bàn luận cả 3 sơ đồ phải không !

1. Sơ đồ 1 được sử dụng nhiều hơn cả, VPN Gateway được bảo vệ sao Firewall, nhưng Firewall chịu ảnh hưởng do lưu lượng thông tin đã được mã hoá từ VPN GW. Tất nhiên FW phải mở một số cổng dịch vụ dùng cho VPN GW ???
2. Sơ đồ 2 ngược lại sơ đồ 1, VPN GW có thể bị attack từ ngoài ???, tính năng Firewall đảm bảo hơn.
3. Sơ đồ 3 gửi kèm theo sau đây, có thể giảm ảnh hưởng lưu lượng mã hoá của VPN GW tới năng lực FW, nhưng tính năng Firewall không bị ảnh hưởng.

Tôi sửa sơ đồ 3 như sau:



Xin mọi người cho ý kiến.

Rgrds,

ĐứcNM

[nausicaa]

Bạn vẫn chưa nêu rõ cấu hình trong các mô hình này như thế nào, theo mình hiểu thì trong mô hình 1 và 2, VPN vẫn phải pass các non-encrypt packet cho firewall, nếu không thì các máy trong LAN không thể truy cập được internet. Do vậy trong sơ đồ 1,2 số lượng packet phải xử lý của VPN và FW là như nhau, và đúng như bạn nhận xét thì trong sơ đồ 2, VPN sẽ bị sự tấn công từ ngoài, nhưng về phía FW thì cũng không có gì đảm bảo hơn, trừ khi VPN của bạn kiêm luôn 1 số tính năng FW.

Trong sơ đồ 3 của hình 2, thì FW cũng phải xử lý số lượng packet như sơ đồ 1,2. Bạn chỉ giảm được tải cho VPN không phải xử lý các non-encrypt packet, như VPN vẫn phải chịu sự tấn công từ ngoài vào như sơ đồ 2.

Theo mình thì mô hình là hơn cả 1, vì với khả năng xử lý của các CPU hiện nay thì bạn không lo FW quá tải đâu, trừ khi bạn thiết kế firewall có lưu lượng lớn khoảng vài chục MB/s trở lên. Còn đối với VPN thì bạn chỉ cần quan tâm tới lưu luợng của các ecrypt packet vì công đoạn encrypt/decrypt là công đoạn bắt CPU phải làm việc nhiều nhất, mà trong 3 mô hình của bạn thì số lượng encrypt packet VPN cần phải xử lý là như nhau.

[neoII]

Hi,

Theo mình:

* Với sơ đồ 1+2: nếu người dùng chỉ dùng internet thôi không cần VPN thì sao?

* Với sơ đồ 3 hình đầu tiên là thỏa mãn cho yêu cầu có thêm VPN và không cần sửa lại hệ thống cũ.




Mô hình chỉ có giá trị tham khảo, do mình không biết thiết bị firewall của bạn thế nào, có thích hợp với mô hình này hay không.

[networkdude]

Chào các bạn,
Xin phép góp ý một chút cho vui:

1/ mô hình 1: FW phải chịu tất cả các traffics (FW và VPN) qua nó. Vì VPN traffics cũng phải qua FW để terminate ở VPN server đằng sau FW.
2/ mô hình 2: với mô hình này thì tất cả traffics từ ngoài vào phải encryptions hết mới qua được VPN server mà vào trong LAN. Nếu public users muốn access vào Web server của công ty thì sao ? chẳng lẽ phải bắt họ cũng phải chạy VPN client sao ? thông thường Web/Mail servers sẽ được treo ở nhánh DMZ của FW.
3/ mô hình 3 (diagram đầu tiên) : FW song song với VPN server là mô hình được Cisco đề nghị sử dụng - tách traffics của FW và VPN ra để tránh overloading cho FW. Nếu như lượng FW/VPN traffics không nhiều lắm (vài trăm ngàn sessions đồng thời) thì tích hợp FW/VPN trên một thiết bị là hay nhất để bảo toàn cho VPN luôn.

Networkdude