Mạng Riêng Ảo Là Gì? Tìm Hiểu Về Mạng Riêng Ảo Của VNPT

 Mạng mang ảo VPN là gì?

Nhu cầu truy cập từ xa  (ngoài văn phòng) mạng nội bộ VPN để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn cacs thông tin quan trọng nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin.

Mạng riêng ảo VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo cho các công ty, văn phòng, tập đoàn,... nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng nội bộ của công ty, khách hàng thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. Kênh truyền VPN cho phép các máy tính truyền thông, kết nối với nhau thông qua một môi trường LAN chia sẻ như mạng Internet công cộng nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu data. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, quan trọng cho phép dữ liệu data có thể gửi từ máy truyền qua môi trường mạng internet chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để có thể bảo đảm tính riêng tư và bảo mật  của khách hàng trên môi trường chia sẻ này, các gói tin quan trọng này được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm, đánh cắp thông tin" gói tin trên đường truyền.

Mạng riêng ảo VPN

Các tình huống thông dụng của mạng LAN ảo VPN:

- Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho khách hàng ở xa, bên ngoài công ty có nhu cầu thông qua Internet công cộng. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu data hay các file server, các thông tin quan trong, gửi nhận email từ các mail server nội bộ của doanh nghiệp, tập đoàn, công ty.

- Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ như: một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Thái Lan và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Thái Lan tạo một đường truyền riêng trên mạng Internet công cộng phục vụ quá trình truyền thông an toàn, hiệu quả.

- Intranet/ Internal mạng riêng ảo VPN: Trong một số tổ chức, công ty, doanh nghiệp quá trình truyền dữ liệu data giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác không có liên quan truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

Để triển khai một hệ thống VPN mạng LAN ảo chúng ta cần có những thành phần cơ bản sau đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp cho khách hàng các địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption: cung cấp các giải pháp mã hoá dữ liệu data trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu data.

- Key Management: cung cấp giải pháp quản lý các khoá dùng bằng Username và Password cho quá trình mã hoá và giải mã dữ liệu data của khách hàng.

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như việc sử dụng ngôn ngữ giao tiếp trong thế giới loài người) và giao thức phổ biến hiện nay là TCP/IP.

Khi truyền các gói tệp tin quan trọng, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật thông tin. Có nhiều giải pháp để thực hiện việc này, nhưng trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra khá hiệu quả và tiết kiệm chi phí trong quá trình triển khai, phát triển, nâng cấp trong tương lai.

Trong quá trình chứng thực hay mã hóa các dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau:

- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ chặt chẽ, đáng tin cậy phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ nghiêm ngặt.

- ESP (Encapsulating Security Payload): Nội dung thông tin đã được mã hóa, ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền. Phương thức này rất hay và được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP.

Vui lòng gửi yêu cầu tốc độ kênh truyền và địa điểm đăng ký dịch vụ qua mail leasedlinevnpt.net@gmail.com hoặc số 0917 200 126 - 0943 300 126 để được báo giá sớm nhất.

Tư vấn và đăng ký (8AM-10PM)

Hotline 24/7: 0919 8899 48 - 0943 300 126

leased-line-vnpt