- thường thì Firewall hay Proxy server đều hỗ trợ NAT

- trong mô hình này, bạn được cấp bao nhiêu IP public tĩnh (theo sơ đồ thì có 2 IP public), và bạn định dùng các IP tĩnh này như nào cho mạng của mình

- nếu bạn đã có hardware firewall rồi thì có thể ko cần dùng proxy server nữa, hardware firewall sẽ vừa là NAT server, vừa đóng vai trò là firewall.

Mục đích của Topology

============================
Yêu cầu mạng phải đáp ứng được các nhu cầu sau:
Độ an toàn tương đối.
Trụ sở chính có thể kết nối được với các văn phòng Chi nhánh bằng VPN Multiple site to site
Sếp yêu cầu có Proxy se rve r vì muốn từ trụ sở chính, theo dõi, giám sát bất kỳ nhân viên nào dùng Web để làm gì? việc riêng hay việc của công ty, từ bất kỳ vị trí nào, trụ sở chính, hay văn phòng chi nhánh?
IP public tĩnh thì mình có 203.190.166.248/29
"ip range : 203.190.166.248- 203.190.166.255"
vậy là mình có 6 ip, trong hình chỉ dùng 2 thôi, còn thừa 4 chưa biết dùng như thế nào để có ích đây?

- các IP public tĩnh mà ISP cấp cho bạn, bạn có thể sử dụng nếu như có các server mail, web, ftp (mà bạn muốn nó hoạt động giống như một server thật trên Internet, vd www.yahoo.com)

- chẳng hạn với dải IP của bạn, có thể dành các IP chưa sử dụng cho các server này, => từ ngoài có thể truy cập server tại cty bạn với IP thật mà ko cần qua NAT.

- bạn có thể thiết kế mạng của mình với mô hình như sau:

Web server ----
----------------|
Mail server ---- -----(Hardware Firewall) ---
--------------- |------------------------|
FTP server-----|---------------------------------|
-----------------------------------------------|---(ADSL)--->Internet
-----------------------------------------------|
LANs (PCs)---(Proxy server,vd ISA server)--|

- 6 IP tĩnh public mà ISP cấp cho bạn, có thể phân bổ như sau:

+ 2 IP tĩnh dành cho router ADSL
+ 1 IP tĩnh dành cho Proxy server
+ 3 IP tĩnh dành cho 3 server (trường hợp này bạn phải bỏ Hardware firewall, vì nếu set cả IP tĩnh cho Hardware firewall thì sẽ ko đủ số địa chỉ IP tĩnh - phải mất 2 địa chỉ IP tĩnh nữa), nhưng các server web, mail, ftp đó sẽ được bảo mật kém hơn

- nếu bạn muốn dùng Hardware firewall thì chỉ cần 1 IP public tĩnh cho nó, còn các server thì bạn dùng dải IP private (với cách này bạn phải NAT qua firewall và các server sẽ ko có IP thật)

Bổ sung topology

================================================== ==============
Cám ơn ý kiến đóng góp của bạn.
Một điều mình băn khăn là mình không biết Firewall cứng đó có thể Nat port cho proxy server hay không. Nếu Nat được thì các users muốn ra Internet, chỉ có một con đường đã được duyệt là Proxy server. Nếu không NAT được thì mình vẽ lại topology như hình dưới và có thêm vài ý kiến. Nếu bạn hay ai đó có ý nào hay hơn, góp ý giúp mình nhé.

Nếu dùng IP tĩnh thật cho Web, mail, Ftp không thông qua NAT thì có lẽ mình không dám. Theo bạn Yahoo họ làm đó sao, nhưng mình nghĩ không thể bắt chước người hùng Yaho o theo kiểu này được, họ có một lực lượng hùng hậu để đối phó với sự cố, hoặc là trên máy Web đó của họ, có thể tích hợp thêm công cụ tường lửa nào đó mà mình chưa biết....
Mình vẽ lại hình, mình nghĩ dùng Hardware VPN/Firewall sẽ tốt hơn, vì Hardware VPN/Firewall đở cho văn phòng Chi nhánh không phải mua thêm licence cho ứng dụng cài trên Server Database bằng cách dùng VPN kết nối Server tại trụ sở chính, và an toàn cho dữ liệu. Con một điều, nếu proxy server bảo mật không chắc thì hệ thống cũng nguy, vì proxy kết nối trực tiếp với bên ngoài, hacker tấn công vào hệ thống bên trong từ đường này, do vây bản thân nó phải đảm nhiệm thêm vai trò Firewall.
Theo bạn nói, kết nối proxy sẻver với ADSL như vậy là mình phải dùng một đường Leaseline và thêm một đường ADSL nữa hả bạn. Mình không hiểu ý này của bạn.

- thực ra bạn dùng IP thật hay IP private đều được, với IP private thì bạn phải NAT qua firewall (firewall và proxy đều thực hiện NAT được), nếu có đủ số IP public để gán cho Hardware firewall và server, firewall sẽ cần 2 IP tĩnh thật như là router ADSL, mỗi server nếu dùng IP thật sẽ là khoảng 3 IP (nếu bạn có 3 server như vd trên), qua firewall thì bạn yên tâm các server sẽ được bảo vệ tốt hơn.

- còn nếu ko muốn dùng IP tĩnh (ko đủ số IP)cho các server thì bạn chỉ cần gán 1 IP tĩnh cho firewall, 1 IP còn lại sẽ thuộc về dải IP private kết nối đến các server, với cách này để truy cập từ ngoài vào bạn phải NAT qua firewall (proxy server software thực chất cũng đóng vai trò firewall)

=> bạn cần xem thành phần nào cần bảo mật cao hơn, các PCs, hay cụm server, từ đó bạn đặt firewall hardware vào thành phần đó, proxy server vào thành phần còn lại (firewall hardware chạy ổn định và thường bảo mật tốt hơn nhiều so với software)

- nếu bạn chỉ có 01 firewall (hoặc là software, hoặc là hardware) thì bạn có thể kết nối cụm server, và LANs vào chung firewall đó, nếu firewall có phân vùng DMZ thì bạn chuyển server vào phân vùng này (các server dùng IP private đặt khác dải IP private của LAN), phần lớn các firewall hay proxy server đều hỗ trợ VPN để cho bạn kết nối từ bên ngoài.

Cho em hỏi với các bác ơi. Làm thế nào để tạo được các hình ảnh về một mạng như các bác ở trên thế ạ.(cái ảnh của bác nhatruc ấy)

Dùng phần mềm Visio có trong dĩa Microsoft Office