Cisco AVVID có thể được xem như là một khung để mô tả một mạng tối ưu hỗ trợ
giải pháp giao dịch Internet và là bản đồ chỉ dẫn cho việc bổ sung mạng. Phần này
sẽ thảo luận về các lớp khác nhau của khung Cisco AVVID. Dưới đây là các phần
khác nhau của kiến trúc Cisco AVVID:
Clients (khách) –Sư đa dạng của các thiết bị có thể được sử dụng để truy cập
đến giải pháp giao dịch Internet thông qua mạng là rộng lớn. Những thiết bị
này có thể bao gồm phones, PCs, PDAs Một điểm khác nhau chính từ kiến
trúc truy ền thống đó là giải pháp Standards-base (chuẩn –cơ sở) có thể mở
rộng sự đang dạng của các thiết bị được kết nối. Thậm chí đối với cả các
thiết bị chưa được sử dụng rộng rãi. Không giống như các giải pháp video và
điện thoại truyền thống, các thiết bị truy cập riêng là không cần thiết. Thay
vào đó các chức năng được thêm vào thông qua các dịch vụ mạng thông
minh được cung cấp trong cơ sở hạ tầng hiện tại.
24 trang |
Chia sẻ: maiphuongdc | Lượt xem: 2489 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Bài giảng An ninh mạng và thiết bị tường lửa pix của cisco, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ết đến như là Script kiddies. Phần lớn họ không
phải là những người tài giỏi hoặc là những hacker có kinh nghiệm., nhưng họ có
những động cơ thúc đẩy, mà những động cơ đó đều quan trọng.
Mối đe dọa có cấu trúc bao gồm các hacker - những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống
mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài
công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
4
công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng
Internet hoặc mạng quay số truy cập vào servers
Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ
thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông
qua môi trường vật lý. Thông thường những người này đang có bất bình với những
thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty.
Có 3 cách thức tấn công mạng:
Tấn công theo kiểu thăm dò: Một kẻ xâm nhập cố gắng khai phá và xây dựng
sơ đồ hệ thống, các dịch vụ và các điểm có thể tấn công.
Tấn công theo kiểu truy cập: Một kẻ xâm nhập tấn công mạng hoặc hệ thống
để lấy dữ liệu, giành quyền truy cập hoặc cố gắng tiến tới chế độ truy cập đặc
quyền
Tấn công kiểu DoS: Một kẻ xâm nhập tấn công mạng, phá hủy hoặc làm
hỏng hệ thống máy tính, hoặc không cho phép bạn và những người khác truy
cập vào hệ thống mạng của bạn và các dịch vụ khác
2.2.1 Tấn công theo kiểu thăm dò
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
5
Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các
dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc thu
thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành động
truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu tiên sẽ
quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành việc
này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa chỉ
IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng
dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên
host đích.
Thăm dò cũng tương tự như một kẻ trộm có phạm vi hoạt động ra ngoài một láng
giềng đối với những ngôi nhà có khả năng bị tấn công mà chúng có thể xâm nhập
vào bên trong. Giống như một biệt thự bỏ hoang, một cánh cửa chính dễ dàng mở
hoặc một cửa sổ. Trong nhiều trường hợp kẻ chộm kẻ trộm đã đi xa trước khi tiếng
động cánh cửa phát ra. Nhưng để khám phá những dịch vụ có thể tấn công được họ
có thể phải mạo hiểm vào khoảng thời gian sau đó khi mà lúc đó có thể có ai đó
phát hiện.
2.2.2. Tấn công theo kiểu truy cập
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy
cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông
thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử
dụng bởi những kẻ thâm nhập. Đôi khi nó cũng thật đơn giản cũng giống như việc
tìm kiếm các thư mục chia sẻ trong Window 9x hoặc NT hoặc các thư mục đã được
xuất dạng NFS trong hệ thống UNIX với việc đọc hoặc đọc và ghi dữ liệu được
thực hiện bởi bất cứ ai. Kẻ thâm nhập sẽ không gặp bất cứ vấn đề gì đối với các file
dữ liệu và thậm chí là không bao giờ, dễ dàng truy xuất các thông tin mang tính
riêng tư cao và hoàn toàn không bị bảo vệ bởi những cặp mắt soi mói, đặc biệt kẻ
tấn công là người sử dụng nội bộ
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
6
Truy cập hệ thống là khả năng của kẻ thâm nhập dành quyền truy cập vào
một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nhập không có tài
khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy
cập thông thường bao gồm việc chạy các hack, các đoạn kịch bản hoặc các công cụ
để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng
Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.
Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập
thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu
thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập
hiện tại. Trong nhiều trường hợp điều này bao gồm việc dành quyền truy cập gốc
trong hệ thống UNIX để cài đặt sniffer để ghi lại tất cả những lưu lượng mạng được
truyền qua, như là username và password có thể được sử dụng để truy cập đến các
đích khác.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
2.2.3. Tấn công theo kiểu DoS
DoS là khi một kẻ tấn công vô hiệu hóa hoặc làm hỏng mạng, hệ thống hoặc
các dịch vụ với mục đích để ngăn cản các dịch vụ dành cho người sử dụng. Nó
thường bao gồm việc phá hủy hệ thống hoặc làm hệ thống chậm xuống và không
thể sử dụng. Nhưng Dos cũng có thể dễ dàng xóa sạch hoặc làm hỏng các thông tin
cần thiết cho kinh doanh. Trong hầu hết các trường hợp thực thi việc tấn công chỉ
đơn giản là bao gồm chạy hack, các kịch bản hoặc các công cụ. Kẻ tấn công không
cần phải truy cập đến đích trước bởi vì tất cả những việc đó thường đòi hỏi một
phương pháp để đạt được. Vì những lý do này và bởi vì khả năng phá hoại lớn nên
Dos đặc biệt làm lo sợ đối với người điều hành các web site thương mại.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
7
An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi
vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này bạn cần phải tạo một chính sách an ninh mà
nó cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện
những nhiệm vụ sau:
Nhận dạng mục đích bảo mật của tổ chức
Tài liệu về tài nguyên cần bảo vệ.
Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, bạn cần phải xác định cái
mà bạn muốn bảo vệ và bảo vệ nó như thế nào. Bạn cần phải có hiểu biết vể các
điểm yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Bạn cũng cần
phải hiểu về các chức năng thông thường của hệ thống vì thế mà bạn phải biết là
bạn cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử
dụng. Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách
bảo vệ nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có
thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.
Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở
phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
8
Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật
như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy
cập trái phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo
mật của Cisco có hiệu quả nhất.
Bước 2: kiểm tra hệ thống mạng về các vi phạm và sự tấn công chống lại chính
sách bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh
của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các
hacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như
là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo
mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình
đúng.
Bước 3: Thử nghiệm để kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị
quét bảo mật của Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của
mạng.
Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các
pha kiểm tra, thử nghiệm để hoàn thiện hơn
Cả bốn bước – Bảo mật, kiểm tra, thử nghiệm và hoàn thiện – cần được lặp đi lặp
lại liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an
ninh của công ty
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
9
Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách
an ninh dưới đây:
Chứng thực: chỉ đem lại quyền truy cập của người sử dụng
Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong
muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép
Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ
hợp pháp truyền qua
Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ
hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần
thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn
cho việc truy cập của hacker.
Chú ý: Nhớ rằng cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản việc truy
cập trái phép mặt vật lý đến hệ thống mạng
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
10
Viểm kiểm tra hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn công
chống lại chính sách an ninh của công ty. Các cuộc tấn công này có thể xảy ra trong
vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu hoặc từ
bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện với các
thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion
Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra
các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng
(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security
Wheel được cấu hình và làm việc đúng đắn.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
11
Việc đánh giá là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi nhất,
nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công. Điều
này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1 và
bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết bị
quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng hợp từ
hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó phục vụ
cho chính sách an ninh của bạn và nó bảo mật cho pha trong bước 1. Nếu bạn muốn
duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của Security
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
12
Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được tạo ra
hàng ngày.
Cisco AVVID có thể được xem như là một khung để mô tả một mạng tối ưu hỗ trợ
giải pháp giao dịch Internet và là bản đồ chỉ dẫn cho việc bổ sung mạng. Phần này
sẽ thảo luận về các lớp khác nhau của khung Cisco AVVID. Dưới đây là các phần
khác nhau của kiến trúc Cisco AVVID:
Clients (khách) – Sư đa dạng của các thiết bị có thể được sử dụng để truy cập
đến giải pháp giao dịch Internet thông qua mạng là rộng lớn. Những thiết bị
này có thể bao gồm phones, PCs, PDAs…Một điểm khác nhau chính từ kiến
trúc truyền thống đó là giải pháp Standards-base (chuẩn – cơ sở) có thể mở
rộng sự đang dạng của các thiết bị được kết nối. Thậm chí đối với cả các
thiết bị chưa được sử dụng rộng rãi. Không giống như các giải pháp video và
điện thoại truyền thống, các thiết bị truy cập riêng là không cần thiết. Thay
vào đó các chức năng được thêm vào thông qua các dịch vụ mạng thông
minh được cung cấp trong cơ sở hạ tầng hiện tại.
Network Platforms (các nền tảng của mạng) – Cở sở hạ tầng của mạng cung
cấp các kết nối vật lý, logic cho các thiết bị, gắn kết chúng vào trong hệ
thống mạng. Các nền tảng của mạng là LAN switches, routers, gateways và
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
13
các thiết bị khác mà nó kết nối người sử dụng với các server. Các nền tảng
mạng của Cisco được cạnh tranh nhau về đặc tính, hiệu quả và giá thành
nhưng sự cạnh tranh chính đó là sự tích hợp và sự tương tác với các yếu tố
khác của khung Cisco AVVID. Lớp này của Cisco AVVID làm cơ sở cho tất
cả các ứng dụng mà sẽ được tích hợp để giải quyết vấn đề giao dịch.
Intelligent Network Services ( Các dịch vụ mạng thông minh) – các dịch vụ
mạng thông minh được cung cấp thông qua các phần mềm hoạt động trên
nền tảng mạng, là một lợi ích to lớn của kiến trúc end-to-end cho việc triển
khai giải pháp giao dịch Internet. Từ chất lượng của dịch vụ (QoS) đến bảo
mật, tính toán, và quản lý, các dịch vụ mạng thông minh phản ánh chính sách
và quy tắc giao dịch của doanh nghiệp. Việc thiết lập nhất quán các dịch vụ
end-to-end thông qua mạng là một vấn đề quan trọng bởi vì cơ sở hạ tầng
mạng được sử dụng làm cơ sở cho các tiện ích mạng. Các dịch vụ nhất quán
này có thể là các ứng dụng giao dịch Internet mới và các sáng kiến giao dịch
để phát triển nhanh chóng mà không cần phải xây dựng lại hệ thống mạng.
Ngược lại việc xây dựng mạng dựa trên chiến lược best-of-breed có thể
mang lại nhiều hy vọng hiệu quả hơn đối với một thiết bị nào đó nhưng nó
không thể hy vọng gì việc phân phối đặc tính end-to-end trong một môi
trường đa nhà cung cấp. Cisco AVVID cung cấp chuẩn để quy định việc
chuyển đổi và kết hợp của các nhà tích hợp giao dịch Internet. Nhưng việc
thêm vào các dịch vụ mạng thông minh được đưa ra bởi giải pháp AVVID
Cisco end-to-end nó đã vượt ra ngoài những gì có thể đạt được một cách tốt
nhất trong môi trường breed
Internet middleware layer (lớp phần mềm chuyên dụng Internet) – trong
phần kế tiếp bao gồm các dịch vụ điểu khiển và các dịch vụ truyền thông, là
phần chính của bất kỳ một kiến trúc mạng nào, cung cấp các phần mềm và
các công cụ để phá tan sự rắc dối phát sinh từ những công nghệ mới. Sự kết
hợp các lớp này cung cấp cho các công cụ cho người tích hợp và những
khách hàng để thiết kế cơ sở hạ thầng mạng và để tùy chỉnh các dịch vụ
mạng thông minh nhằm đáp ứng nhu cầu của ứng dụng. Các lớp quản lý truy
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
14
cập, thiết lập cuộc gọi, vành đai an ninh, ưu tiên và băng thông, đặc quyền
người sử dụng. Phần mềm, chẳng hạn như phân phối danh bạ khách hàng,
các giải pháp thông điệp, đa phương tiện và phối hợp cung cấp các khả năng
và thiết lập giao tiếp mà nó cho phép phối hợp giữa người sử dụng và đa
dạng của các nền ứng dụng. Trong chiến lược best-of-breed bất kỳ khả năng
nào cũng cần phải được cấu hình và quản lý riêng biệt. Trong truyền thống
thì các đại lý điều khiển các lớp này, giới hạn sự đổi mới.
Việc triển khai nhanh chóng các giải pháp giao dịch Internet phải dựa trên sự
nhất quán của dịch vụ điều khiển và khả năng giao tiếp của các dịch vụ trên
toàn bộ mạng. Các khả năng này thường được phân phát bởi các server của
Cisco trên toàn bộ mạng. Các lớp dịch vụ điều khiển và dịch vụ truyền thông
là keo dính để gắn kết các lớp công nghệ mạng của khung Cisco AVVID với
giải pháp giao dịch Internet, trong hiệu lực điều chỉnh cơ sở hạ tầng mạng và
các dịch vụ mạng thông minh đáp ứng nhu cầu của giải pháp giao dịch
Internet. Đổi lại các giải pháp giao dịch Internet cần điều chỉnh phù hợp để
đạt được hiểu quả cao nhất và sẵn có trên cơ sở hạ tầng mạng do khai thác
các dịch vụ end-to-end sẵn có thông qua khung Cisco AVVID
Những người tích hợp giao dịch Internet (Internet business integrators). Như
là một phần của hệ sinh thái mở. Nó bắt buộc để kích hoạt các đối tác của
Cisco AVVID. Cisco nhận các yêu cầu quan trọng để đội ngũ với người tích
hợp, đối tác chiến lược và khách hàng để cung cấp các dịch vụ kinh doanh
hoàn tất. Cisco AVVID cung cấp hướng dẫn cho những tương tác này bằng
cách mô tả một thiết lập nhất quán các dịch vụ và khả năng mà hình thành cơ
sở cho bất kỳ kiểu nào của các mối quan hệ đối tác.
Giải pháp giao dịch Internet (Internet business solutions) – Doanh nghiệp,
khách hàng đang triển khai các giải pháp kinh doanh Internet để lại các tổ
chức kỹ sư của họ. Liên kết các ứng dụng với giải pháp giao dịch Internet
không phải là giải pháp được cung cấp bởi Cisco, nhưng nó cho phép, tăng
cường,và phân phối thông qua Ciso AVVID. Khả năng cho các công ty để
chuyển đổi các mô hình kinh doanh truyền thống của họ đến các mô hình
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
15
kinh doanh Internet và triển khai các giải pháp kinh doanh Internet là chìa
khóa sống còn của họ. Cisco AVVID là kiến trúc mà e-Internet xây dựng các
giải pháp giao dịch Internet dễ dàng được triển khai và quản lý. Cuối cùng,
thêm các giải pháp giao dịch Internet được thực hiện, các công ty sẽ làm việc
hiểu quả hơn và tăng năng suất, giá trị.
Internet đang tạo ra cơ hội kinh doanh to lớn cho Cisco và khách hàng của Cisco.
Giải pháp kinh doanh thông qua Internet như là thương mại điện tử, e-learning và
chăm sóc khách hàng đem lại hiệu quả sản xuất tăng đột ngột
Cisco AVVID là một kiến trúc doanh nghiệp, nó cung cấp cơ sở hạ tậng mạng thông
minh cho các giải pháp kinh doanh thông qua mạng Internet ngày nay. Cisoc
AVVID cung cấp sơ đồ chỉ dẫn cho việc kết hợp các giao dịch của khác hàng và các
chiến lược công nghệ thành một khối kết dính.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
16
Với Cisco AVVID các khách hàng có một sơ đồ chỉ dẫn toàn diện cho
phép các giải pháp kinh doanh thông qua Internet và tạo ra các lợi thế về cạnh tranh.
Có 4 thuận lợi của Cisco AVVID:
Intergration:(sự tích hợp) – Từ tác dụng của kiến trúc Cisco AVVID và ứng
dụng hiểu biết về mạng sẵn có trong IP, các công ty có thể phát triển một
cách toàn diện các công cụ để hoàn thiện khả năng kinh doanh của mình
Intelligence (sự hiểu biết) – Ưu tiên các lưu lượng truy cập và các dịch vụ
mạng thông minh làm tăng tối đa hiệu quả của mạng cho việc thực thi các
ứng dụng được tối ưu.
Invovation (Sự dổi mới) – Các khách hàng có khả năng thích nghi một cách
nhanh chóng trong một môi trường kinh doanh có nhiều biến đổi
Interoperability (thao tác giữa các phần) – Các chuẩn dựa trên hệ giao tiếp
lập trình ứng dụng (APIs) cho phép sự tích hợp mở với 3 phần đó là nhà phát
triển, nhà cung cấp và khách hàng với quyền được lựa chọn và tính mềm
dẻo.
Kết hợp cơ sở hạ tầng mạng và các dịch vụ với các ứng dụng mới trên thế giới,
Cisco AVVID tăng cường sự tích hợp của các chiến lược công nghệ với tầm nhìn
kinh doanh.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
17
SAFE dựa trên Cisco AVVID, nó có tính mềm dẻo, năng động đảm bảo cho việc
thiết kế mạng. SAFE cho phép đảm bảo và thành công cho các doanh nghiệp tạo
thuận lợi cho việc giao dịch điện tử và cạnh tranh trong nền kinh tế Internet.
Là một người đi đầu trong các hoạt động mạng, Cisco có một vị trí lý tưởng để giúp
các công ty trong vấn đề an ninh mạng của họ. SAFE blueprint cùng với best-of-
breed bổ sung các sản phẩm, các đối tác và các dịch vụ đảm bảo các doanh nghiệp
có thể phát triển một cách mạnh mẽ, đảm bảo vấn đề an ninh mạng trong các mạng
thời đại
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
18
Có một số lợi ích to lớn trong việc thực thi SAFE blueprint đối với vấn đề an ninh
của giao dịch điện tử:
Cung cấp cơ sở để tiến tới vấn đề đảm bảo, giá cả hợp lý, sự hội tụ các mạng.
Cho phép các công ty thu lợi nhuận, triển khai modular, cân bằng cơ cấu an
ninh trong từng giai đoạn
Phân phối, tích hợp sự bảo vệ mạng thông qua các sản phẩm và dịch vụ cấp
cao
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
19
SAFE Blueprint cung cấp một kế hoạch an ninh mạnh mẽ được xây dựng trên Cisco
AVVID. Lớp SAFE được sát nhập thông qua kiến trúc Cisco AVVID
Infrastructure layers (lớp cơ sở hạ tầng) – Sự thông minh, cân bằng các dịch
vụ an ninh trên nền của Cisco như là routers, switches, hệ thống phát hiện sự
xâm nhập và các thiết bị khác.
Appliances layer (lớp các thiết bị) – Sự tích hợp các chức năng chính trong
các thiết bị cầm tay di động và các máy khách remote PC
Service control layer (lớp điều khiển dịch vụ) – Các giao thức an ninh quan
trọng và các APIs cho phép các giải pháp an ninh làm việc gắn bó với nhau.
Application layer (lớp ứng dụng) – yếu tố an ninh của host và các ứng dụng
cơ bản đảm bảo tính toàn vẹn của các ứng dụng giao dịch điện tử quan trọng
Để thuận tiện cho việc triển khai một cách nhanh chóng, hợp nhất các chính sách an
ninh trên toàn bộ doanh nghiệp, SAFE bao gồm các modun mà địa chỉ của nó yêu
cầu phải riêng biệt trên mỗi vùng mạng. Thông qua SAFE blueprint, người quản lý
vấn đề an ninh không cần phải thiết kể lại toàn bộ kiến trúc an ninh vào mỗi khi có
một dịch vụ mới được thêm vào mạng. Với một modun mẫu, nó sẽ đơn giản hơn và
lợi nhuận hơn để đảm bảo mỗi một dịch vụ mới khi nó cần thêm vào và để tích hợp
nó với toàn bộ kiến trúc an ninh.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
20
Một nét đặc trưng duy nhất của SAFE blueprint đó là nó là một kế hoạch công
nghiệp đầu tiên được đề cử một cách đúng đắn. Các giải pháp an ninh mạng sẽ bao
gồm nó trong các phần của mạng, và nó giải thích tại sao chúng sẽ được triển khai.
Mỗi một modun trong SAFE blueprint được thiết kế riêng để cung cấp hiệu quả tối
đa cho các giao dịch điện tử, trong khi tại thời điểm đó nó cho phép các doanh
nghiệp duy trì tính an ninh và tính toàn vẹn
Cisco đã mở ra các kiến trúc AVVID và SAFE blueprint cho các nhà cung cấp thứ 3
tạo ra một hệ các giải pháp an ninh để thúc đẩy sự phát triển các sản phẩm và các
ứng dụng đa dịch vụ best-in-class.Kiến trúc Cisco AVVID và SAFE blueprint cung
cấp thao tác với phần cứng và phần mềm của hãng thứ 3 sử dụng giao diện truyền
thông chuẩn, APIs và các giao thức. Hệ này được đưa ra thông qua chương trình kết
hợp giữa Security và Virtual Provate Network (VPN). Một chương trình các giải
pháp thao tác, cung cấp cho khách hàng của Cisco cùng với việc kiểm tra và chứng
nhận, bổ sung các sản phẩm cho an ninh giao dịch của họ. Hệ này cho phép các
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
21
doanh nghiệp thiết kế và phát triển an ninh mạng tốt nhất cho các giao dịch và sự
nhanh nhậy tối đa
Security và VPN Solutions Set trong Cisco AVVID Partner Program là một chương
trình các giải pháp hoạt động giữa các thành phần được phát triển để phân phát một
cách toàn diện vấn đề bảo mật và các giải pháp VPN cho mạng của Cisco đến các
khách hàng của Cisco.
Chương trình này là một phần chính của chiến lược SAFE trong đó nó cung cấp một
hệ thống phong phú đa dạng các sản phẩm, đối tác và các dịch vụ mà nó cho phép
các công ty đảm bảo an toàn, độ tin cậy và đạt lợi nhuận, mang lại thuận lợi của nền
kinh tế Internet.
Chương trình này cung cấp sự đảm bảo mà các giải pháp an ninh tạo nên các sản
phẩm Partner đã được kiểm tra và chứng nhận là có thể hoạt động phối hợp với các
sản phẩm an ninh của Cisco và nó thêm các giá trị nhất định đến mạng lưới của
Cisco. Mục đích là cho phép các khách hàng của Cisco sự an toàn, tạo thuận lợi mở
rộng thị trường giao dịch điện tử.
CHAPTER 2: Network Security and The Cisco PIX Firewall
Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN
22
An ninh và các giải pháp VPN được tạo ra thông qua chương trình phối hợp hoạt
động giữa các thành phần được hội tụ trên các ứng dụng giao dịch quan trọng như là
thương mại điện tử, bảo mật truy cập từ xa, intranets, extranets, hỗ trợ tích hợp và
quản lý. Các giải pháp hiện tại có mục tiêu nhằm đến những khách hàng đang tiếp
tục yêu cầu và phát triển trong mạng lưới của họ:
Indentity solutions (giải pháp nhận dạng) – bao gồm sự chứng thực, cấp phép
và các giải pháp Public Key Infrastructure (PKI) như là card thông minh, thẻ
cứng và thẻ mềm, các server chứng thực và các server
Các file đính kèm theo tài liệu này:
- chuong_2.pdf