Xây dựng và triển khai hệ thống mạng công ty abc trên cơ chế bảo mật isa 2006

Công nghệ thông tin được sử dụng một cách có hiệu quả và bền vững là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ.. Giá trị thông tin doanh nghiệp là tài sản

Công nghệ thông tin là ngành ứng dụng công nghệ quản lý và xử lý thông tin Tốc độ phát triển nhanh của công nghệ làm cho việc luân chuyển thông tin trở nên cực kỳ nhanh chóng và vai trò của công nghệ thông tin ngày càng trở nên quan trọng Phạm vi ứng dụng ngày càng được mở rộng trên nhiều lĩnh vực Những khả năng mới mẻ và ưu việt của công nghệ thông tin đã nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập

Trong thực tế hiện nay công nghệ thông tin đã được ứng dụng trong các hoạt động sản xuất, giao dịch Công nghệ thông tin được sử dụng một cách có hiệu quả và bền vững là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Giá trị thông tin doanh nghiệp là tài sản vô giá, không chỉ thuần túy về vật chất mà có những giá trị không thể đo đếm được như uy tín đối với khách hàng, nếu uy tín đối với khách hàng bị đánh cắp, sau đó bị lợi dụng với những mục đích khác nhau: Hacker attacker, Virut, Worm, đây là những mối lo ngại hàng đầu của tất cả các hệ thống thông tin Chính vì vậy tất

cả những hệ thống này cần trang bị những công cụ đủ mạnh và cách xử lý để đối phó với sự xâm nhập bất hợp pháp từ bên ngoài Đó là các Firewall Vì sự cần

thiết đó, nên em chọn đề tài “ Xây Dựng và Quản Lý Hệ thống Mạng Công Ty

ABC Trên Cơ Chế Bảo Mật ISA 2006”

Em xin cảm ơn có sự giúp đỡ và hướng dẫn của TS Phan Lê Na, cùng các thầy cô trong tổ KHMT đã góp ý giúp em hoàn thành đề tài này

Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên báo cáo chuyên ngành còn nhiều thiếu sót và hạn chế Em mong được sự góp ý giúp đỡ của các thày cô và các bạn để hoàn thiện hơn Em xin chân thành cảm ơn!

Sinh viên Thực hiện:

Lª ThÞ Thu

Mã sv: 0851049099

Ngày nay nhu cầu về thiết kế và quản lý hệ thống mạng cho công ty là nhu cầu được nhiều công ty quan tâm Ở phần 1 này ta sẽ triển khai việc thiết kế mạng cho công ty dựa vào khảo sát hiện trạng và yêu cầu của công ty từ đó phân tích rồi đưa ra giải pháp và thiết kế mạng cho công ty

1.1 Khảo sát và phân tích yêu cầu của công ty

1.1.1 Yêu cầu và hiện trạng của công ty

Thiết kế mạng cho 1 công ty:

-công ty có phó giám đốc và giám đốc, ngoài ra còn có 40 nhân viên chia thành 4 phòng ban: kế toán, kinh doanh , kế hoạch, tiếp tân; mỗi phòng có 9 nhân viên và 1 trưởng phòng

-Cty sẽ đi internet bằng 2 đường adsl đề phòng sự cố nếu chết một đường thì đườn kia sẽ là backup, 2 đương adsl đó là do 2 nhà cung cấp khác nhau

-Mỗi phòng có 1 đường mạng riêng

-Các nhân viên khi duyệt web bị lọc, xếp muốn cho đi trang nào thì được trang đó Nhân viên ko đc chat, dowload trong giờ làm việc

-Trưởng phòng, ban giám đốc đc đi internet và chat thoải mái

1.1.2 Về hiện trạng công ty

Công ty muốn lắp đặt thi công hệ thống mạng cho một trụ sở mới xây Trụ sở là nhà Hai tầng, 3 phòng ở tầng 1 và 3 phòng ở tầng 2( mỗi phòng

36 m2)

Chi tiết: Nhân sự và phòng ban trong công ty:

Phòng Kinh doanh: 10 người (tầng 1)

Phòng Tiếp Tân : 10 người (tầng 1)

- 2 đường ADSL sẽ do 2 nhà cung cấp khác nhau cung cấp

- Mỗi phòng có một đường mạng riêng

- Dữ liệu được bảo mật an toàn, không bị mất mát ra ngoài, công ty dễ quản lý tài liệu, đề thi dễ backup và diệt virus

- Khi mở rộng mạng tương đối đơn giản

- Việc quản trị dễ dàng với mô hình domain/client

- Sử dụng Switch (không sử dụng hub) vì Switch có khả năng mở rộng mạng

- Tốc độ mạng cao, nhanh chóng

- Mạng của toà nhà sẽ có một vành đai bảo vệ nhờ dùng firewall ISA 2006

b Khó Khăn:

- Yêu cầu Cấu hình máy Server phải mạnh ( Nên dùng máy server chuyên dụng)

- Yêu cầu về đường truyền và tốc đô cao

- Chi phí dự kiến sẽ khá cao

- Máy server phải cài nhiều dịch vụ cung cấp cho các máy client

- Phụ thuộc nhiều vào Server và đường truyền

1.1.5 Lựa chọn giải pháp

- Loại Mạng: VLAN

- Topo: Kết nối mạng theo mạng hình sao chuyển đổi qua các switch layer 3

- Số nút mạng :Tối thiểu 45 nút mạng tương ứng với số máy gia nhập mạng của công ty

- Mỗi tầng sẽ dùng 1 switch layer 3 24 port

- Internet : 2 đường ADSL sẽ do 2 nhà cung cấp khác nhau cung cấp( VNPT và FPT)

- Cáp xoắn đôi UTP Cat5

- Mô hình mạng :Server-Client

- Hệ điều hành

+ Server cài Winserver 2003 Enterpisre Edition

+ Client cài Win Xp pro

- Firewall: cài isa server 2006

- Phần mềm diệt virus BKAV

a Giải pháp thiết lâp mạng riêng

- Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến Mỗi cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN 1), do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN nào đó

- MAC address based VLAN: Cách cấu hình này ít được sử dụng do có nhiều bất tiện trong việc quản lý Mỗi địa chỉ MAC được đánh dấu với một VLAN xác định

- Protocol – based VLAN: Cách cấu hình này gần giống như MAC Address based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa chỉ MAC Cách cấu hình không còn thông dụng nhờ sử dụng giao thức DHCP

Lợi ích của VLAN

- Tiết kiệm băng thông của hệ thống mạng:

VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain) Khi có gói tin quảng bá (broadcast), nó

sẽ được truyền duy nhất trong VLAN tương ứng Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng

- Tăng khả năng bảo mật:

Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN) Như trong ví dụ trên, các máy tính trong VLAN kế toán (Accounting) chỉ có thể liên lạc được với nhau Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ sư (Engineering)

- Dễ dàng thêm hay bớt máy tính vào VLAN:

Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn

- Giúp mạng có tính linh động cao:

VLAN có thể dễ dàng di chuyển các thiết bị Giả sử trong ví dụ trên, sau một thời gian sử dụng đơn vị quyết định để mỗi bộ phận ở một tầng riêng biệt Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu

VLAN có thể được cấu hình tĩnh hay động Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch Sau đó, gán cho nó vào một VLAN nào đó Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào

b Giải pháp kiểm soát quyền quy cập Internet

Sử dụng phần mềm ISA Firewall 2006

Ưu điểm:

- ISA hỗ trợ rất nhiều tính năng như management access, access rule,VPN… Trong khi chi phí triển khai rất thấp

- ISA có giao diện quen thuộc và dễ cấu hình

- Với quy mô hiện tại của công ty thì ISA firewall 2006 là sự lựa chọn hợp lý vì vừa tiết kiệm được chi phí vừa dảm bảo được yêu câu bảo mật

Mô tả chi tiết

- ISA firewall sẽ phân cách mạng VLAN với mạng internet bên ngoài

- ISA cấm mọi truy cập bên ngoài vào mạng nội bộ trừ những truy cập hợp pháp đã quy định trên ISA

- Thông qua firewall, các máy trạm bên trong cũng sẽ được điều khiển, giám sát và hạn chế truy nhập internet

- Trên firewall mô tả các rules để quy định cho phép hoặc cấm 1 số máy trạm truy cập đến máy File server

- Lúc này, mạng của công ty sẽ có được một vành đai bảo vệ

c Giải pháp dữ liệu tập trung

Ưu điểm:

- Hạn chế được việc thất thoát dữ liệu quan trong ra bên ngoài

- Hạn chế được việc mất dự x liẹu do virut, do người dùng bất cẩn hay do

ổ cứng bị lỗi hay hư hỏng

- Xác thực người dùng truy cập với tài khoản tập trung trên máy server

- Việc quản lý truy cập tài nguyên của người dùng sẽ tập trung, dễ dàng

và đơn giản hơn

Mô tả chi tiết

- File Server sẽ sử dụng dòng chuyên dụng hỗ trợ công nghệ MIROR/RAID 5 để có thế mâng cao tốc đọ truy xuất, tính sẵn sàng và an toàn

dữ liệu( trường hợp bị 1 ổ cứng bị hỏng vẫn không bị mất) Hệ thống lưu điện trên server sẽ giúp server hoạt động thêm 1 khoảng thời gian khi xảy ra mát điện Ngoài ra công nghệ HotSwap hỗ trợ lắp đặt thiết bị ngay lập tức mà không cần phải ngắt nguồn điện Hệ thống quạt chuyên dúng cho server tải nhiệt nhanh nâng tuổi thọ của máy

- Mỗi người dùng sẽ được cấp quyền truy cập dựa vào nhu cầu và chức

- Đường internet sử dụng gói cước OFFICE của FPT và VNPT

- Tốc độ truy cập internet tối đa Dowload 3,072 Kbps, Upload 640 Kbps

- Cam kết tốc độ truy cập internet tối thiểu tốc độ Dowload 128 Kbps, Upload 128 Kbps

1.2 Thiết kế mạng cho công ty ABC

Phần này là sơ đồ mạng của công ty được thiết kế dựa vào các phân tích và giải pháp đã nêu trên

- 3 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng định tuyến giữa các VLAN ảo của các phòng

- 1 Router có chức năng cân bằng tải đồng thời làm ADSL nối đường Internet của công ty ra bên ngoài( VNPT+ FPT)

- Cáp quang nối tới switch các toà nhà sẽ đảm bảo tốc độ truyền và bảo mật

1.2.2 Sơ đồ tổng thể

Yêu cầu và bố trí:

- 2 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng định tuyến giữa các VLAN ảo, mỗi tầng sẽ đặt 1 swich nối đến 3 phòng ban trong tầng đó

- 40 máy tính cho các phòng tiếp tân, kinh doanh, kế toán và kế hoạch

- 2 laptop dành cho phó giám đốc và giám đốc

- Cáp quang nối tới switch các phòng sẽ đảm bảo tốc độ truyền và bảo mật

1.2.3 Sơ đồ chi tiết

Trên đây mô hình phòng ban Kế Toán, Kinh Doanh, Tiếp Tân, kế Hoạch Mỗi Phòng có 10 máy trong đó có 1 máy của trưởng phòng, 9 máy còn lại ta xếp theo 3 hàng dọc và 3 hàng ngang

1.2.4 Xây đựng cấu trúc OU, Group và User

1.2.5 Bảng phân địa chỉ IP

Ta sẽ dùng dãy ip từ 172.16.1.1 đến 172.16.1.100 để chia cho cả công ty

IP Subnet mask Defaut getway DNS Sever Sever 172.16.1.1

192.168.1.10

255.255.0.0 255.255.255.0

172.16.1.1 192.168.1.1

172.16.1.1 192.168.1.1

Phần II: TRIỂN kHAI HỆ THỐNG MẠNG CHO CÔNG TYABC

2.1 Nâng cấp Server lên Domain Controler Domain name : congtyabc.com

Click Start, chọn Run Nhập vào dcpromo, xuất hiện Hộp thoại B.1 Domain Controller

for a new domain: tạo ra

một Domain mới, Server hiện thời sẽ trở thành một Domain Controller đầu tiên trong Domain mới này

B.2 Hộp thoại Create New Domain lựa chọn:

Domain in a new forest:

B.3 Hiện cửa sổ New Domain Name, nhập vào

congtyabc.com

B.6 Hệ thống yêu cầu đặt

Password, tiếp theo là

tổng hợp những thông tin

đã cấu hình Active Directory và tiến hành cài đặt Sau khi kết thúc quá

trình cài đặt, Finish và

khởi động lại hệ thống

2.2 Cấu hình dịch vụ Domain Name System (DNS)

B.1 Click chuột phải trên

Reverse Lookup Zones chọn New Zone, Next

B.2 Chọn mục: To all

domain controllers in the Active directory domain congtyabc.com, click Next

B.3 Nhập địa chỉ IP là 10.0.0 Network ID, click Next

Kết thúc quá trình click

Finish

B.4 Trên màn hình cửa sổ DNS right click vào congtyabc.com trong Forward

lookup zones chọn New

Host Nhập tên ở Name, tên

mà DNS dùng để phân giải, nhập IP_address là 10.0.0.3 là địa chỉ của DNS máy Server, Add Host

2.3 Cài đặt MS ISA Server 2006 trên máy Server

B.1 Bỏ đĩa ISAServer vào rồi

chạy: install ISA Server 2006

B.2 Chấp nhận những yêu cầu

mà nhà cung cấp dịch vụ đưa

ra, Click Next để tiếp tục cài

đặt

B.3 Cửa sổ tên đăng ký, tên tổ

B.6 Chọn Card LAN là Card bên mạng nội bộ, Click Ok

B.7 Chọn Remove, Click Ok

B.8 Click Next

B.9 Cick vào mục: Allow

non-encrypted Firewall client connections, click Next, Next, Install, Finish

2.4 Sao lưu và phục hồi cấu hình ISA

Đối với các hệ thống lớn với nhiều phòng ban và nhân viên, trong mỗi bộ phận lại yêu cầu những chính sách truy cập riêng làm cho số lượng policy rất nhiều và khó quản lí Vì vậy để bảo đảm hệ thống luôn hoạt động ổn định chúng

ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra Chúng ta có thể sao lưu toàn bộ ISA Server hay chỉ một số các firewall policy nào đó

2.4.1 Sao lưu(Backup) cấu hình Firewall

Internet Security and Accleration Sever 2006 management Console,

click chuột phải chọn

B.3 Trong cửa sổ Export

File Location ta chọn

đường dẫn đến chỗ ta sẽ lưu file bankup, sau đó

B.2 Chọn Next để tiếp

tục quá trình

B.3 Trong của sổ Select

the Import File ta chọn

đường dẫn đến file ta đã backup từ trước, sau đó

B.5 Trong cửa sổ Enter

password mà ta đã lưu

khi tiến hành back up

vào, sau đó Next

chọn Filewall Policy, Create

New Access Rule

B.2 Nhập vào mô tả tên rule :

B.5 Trong Access rule Source chọn Add, chọn Internal, Local Host

close, Next

B.6 Trong Access Rule

Destinations chọn external, Local Host, click close, Next

B.7: chọn All Users, click

Next

B.8 Kết thúc quá trình tạo

rule, Finish và áp dụng quy

tắc vừa tạo

2.5.2 Tạo quy tắc DNS

B.1 ISA Managerment,

chọn Firewall Policy, Create New Access Rule

B.2 Nhập vào mô tả tên rule

: DNS Sever

B.3 Tại cửa sổ Protocol để truy vấn DNS mà thôi nên ta giữ nguyên chế độ Selected

protocols chọn Add

B.4 Nhấp chọn DNS trong Folder Common Protocols

B.5 Trong Access Rule

B.7 Trong User Sets chọn

giữ nguyên chế độ

chọn Add

duy nhất 1 thuộc tính

là Internal

B.6 trong Access Rule

Destinations ta chọn Add

B.7 Trong cửa sổ Add

chọn New -> URL Set

B.8 Trong cửa sổ

Properties đặt tên cho URL set này là Web duoc truy cap

Tiếp tục bên dưới bạn

Add các trang Web

cho phép người dùng truy cập vào theo cú pháp:

http://*.<domain name>/*

http://<domain name>/*

B.9 Cửa sổ Add

chọn URL Set -> Web

duoc truy cap

B.10 Trong User Sets chọn All User và

Remove nó đi Sau đó

B.15 Chọn Entire

congtyabc.com

B.20 Màn hình sau khi hoàn tất

B.21 Tại máy client log vào user ketoan2

www.dantri.com ko vào được

2.5.4 Giới hạn thời gian sử dụng của rule Nhan Vien

B.1 Double click lên

Rule Web Group KD

và chọn Tab Schedule

B.2 Nhấp New để tạo một Schedule mới và đặt tên là thoi gian

B.2 Tạo tiếp một Access

Rule mới đặt tên là Sep

B.3 Trong Rule Action chọn Allow

B.4 Trong Protocol

chọn All outbound

traffic

B.5 Trong Access Rule

Sources chọn Internal

B.6 Trong Access Rule

External

B.7 Trong User Sets:

Group Quan Tri

(Thao tác tương tự như

tạo Nhan Vien)

B.8 Kết thúc quá trình

tạo rule, Finish và áp

dụng quy tắc vừa tạo

B.9 Màn hình sau khi hoàn tất

B.10 Tại máy client log vào user giamdoc thì có thể vào bất cứ web nào

2.5.6 Giới hạn Nhân Viên chỉ xem được văn bản text khi truy cập Web

B.1 Double click lên

Rule Nhan vien và

chọn Tab Content Types

B.2 chọn Selected content types, rồi chọn

Documents, Text