đề tài triển khai hệ thống mạng

Mô hình mạng tổng quát hiện tại của Công ty như sau : SƠ ĐỒ MẠNG TỔNG QUÁT SƠ ĐỒ BỐ TRÍ MÁY HIỆN TẠI 2.YÊU CẦU CỦA CÔNG TY + Đối với hê thống mạng bên trong : - Nhóm user ở bộ phận kế t

Trang 1

ĐỒ ÁN TỐT NGHIỆP

TRIỂN KHAI HỆ THỐNG MẠNG

Giáo viên hướng dẫn : Ths Đinh Tiên Minh

Sinh viên thực hiện : Hồ Thị Thanh Thủy

Trang 2

1.TÌNH HÌNH THỰC TẾ CỦA CÔNG TY

- Hiện tại Công Ty Đa Biên có 1 hê thống mạng gồm 5 máy tính, trong đó có 1 server &

4 máy client cho 3 bộ phận kế toán , kinh doanh , nhân sự Có 1 switch nối vào route ADSL để sử dụng internet Mô hình mạng tổng quát hiện tại của Công ty như sau :

SƠ ĐỒ MẠNG TỔNG QUÁT

SƠ ĐỒ BỐ TRÍ MÁY HIỆN TẠI

2.YÊU CẦU CỦA CÔNG TY

+ Đối với hê thống mạng bên trong :

- Nhóm user ở bộ phận kế toán cho sử dụng phần mềm Kế toán

- Nhóm user ở bộ phận nhân sự cho sử dụng mail và cho sử dụng internet , không được

sử dụng chương trình của user của user nhóm kế toán

- Nhóm user ở bộ phận kinh doanh cho sử dụng các phân mềm kinh doanh , không được

sử dụng chương trình của user nhóm kế toán

- Các user được phân quyền phù hợp với công việc của mình

- Có file server chia sẽ dữ liệu

- Có web server public ra internet

- Cho server có khả năng giám sát

- Tạo điều kiện thuận lợi cho nhân viên có thể làm việc mà không cần trực tiếp vào công

Trang 3

ty ( remote access).

- Giám sát truy cập

+ Đối với hê thống mạng bên ngoài :

- Giám sát người ngoài internet đăng nhập trái phép , nếu có sẽ xuất hiện thông báo ở server

- Cho user trong công ty sử dụng chức năng remote access khi ở ngoài công ty đăng nhậpthuận tiện cho công việc khi ở xa thông qua mạng Internet

PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP

< Trong phần này chúng ta sẽ đưa ra cho công ty một số giải pháp thuyết phục và quan trọng nhất đó là các sơ đồ " SƠ ĐỒ MẠNG TỔNG QUÁT , SƠ ĐỒ ĐI DÂY MẠNG " nếu cần thiết chúng ta cũng nên giới thiệu các kiến thức cần nắm để triển khai >

1.SƠ ĐỒ

A.SƠ ĐỒ MẠNG TỔNG QUÁT

B.SƠ ĐỒ ĐI DÂY MẠNG

- Sơ Đồ Mạng Tầng Trệt(3 PC,1 Router , 1 Switch)

Trang 4

-Công ty cần xây dựng 1 hệ thống mạng theo mô hình domain để quản lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng

-Hiện nay, công ty chỉ có nhu cầu chia sẽ FILE Server, MAIL Server, WEB Server, DNS Server , DHCP Server Công ty có thể xây dựng các dich vụ trên chung vào máy chủ nội

bộ để tiết kiệm chi phí

-Triển khai CA Server , IPSEC để tăng độ bảo mật(Mail , Web) nếu có nhu cầu

-Cài các tools như là GFI.LANguard.Network.Security.Scanner, Network monitor v.v…

Hỗ trợ việc giám sát và theo dõi nâng cao độ an toàn cho hệ thống mạng

-Triển khai vpn (cài radious server nếu cần chứng thực và quản lý trong giao tiếp VPN)

và kết hợp vpn ipsec hoặc SSL (nếu có nhu cầu bảo mật cao hơn )

-Cài gói adminpak trên máy client giúp IT có thể quản lý hệ thống linh động

-Có chính sách Backup hợp lý đảm bảo an toàn dữ liệu ở mức cao ( Nếu có điều kiện triễn khai các ổ cứng theo kiểu RAID-5 hoặc MIRRO tăng tốc và dự phòng )

3 CÁC KIẾN THỨC CƠ BẢN CẦN NẮM TRƯỚC KHI TRIỂN KHAI

( Tham khảo Chi Tiết Trong Phụ Lục )

A.CẦN HIỂU RÕ WINDOW SERVER 2003

B HIỂU BIẾT Ý NGHĨA VÀ CẤU HÌNH CÁC DỊCH VỤ MẠNG :

Dich vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng)

Dịch Vụ DHCP (Dynamic Host Configuration Protocol)

- Đây là dịch vụ cho phép tự động gán IP cho các máy tính trong hệ thống

Dịch vụ DNS ( Domain Name SyStem)

- Làm nhiệm vụ phân giải địa chỉ IP thành tên miền dạng DNS và ngược lại

Trang 5

MAIL Server

- Phục vụ nhu cầu về Mail cho công ty

ISA Server

- Bảo vệ , ngăn ngừa các nguy cơ cho hệ thống và điều chỉnh lưu lượng mạng

4.CẤU HÌNH VÀ DỰ TOÁN THIẾT BỊ

( Tham Khảo Chi Tiết Trong Phụ Lục )

- Hiện Tại công ty đã có sẵn 4 PC làm client và 1 server làm File server

- Do nhu cầu mỡ rộng công ty mua thêm 1 Server làm Web , Mail Ngoài ra công ty còn mua thêm 3 PC tăng cường cho phòng kế toán và 1 PC có cấu hình ổn định để xây đựng Fire Wall

PHẦN III : TRIỂN KHAI HỆ THỐNG MẠNG

1.SƠ ĐỒ TRIỄN KHAI THỰC TẾ

( Tôi nhắc lại sơ đồ để làm rõ thêm về phần triển khai này)

- Chức năng của các thiết bị :

SERVER 1 : Làm DC , DHCP , File Server và Mail server nội bộ

SERVER 2 : Làm Web Server

SERVER 3 : Làm Fire Wall bảo vệ vùng mạng INTERNAL

SWITCH 1 , 2 : Làm nhiệm vụ kết nối

Các PC : Nhansu1 , Kinhdoanh 1,2 , Ketoan1,2,3,4 Là các Client của công ty

Router ADSL VSIC : Kết nối INTERNET và NAT Web Server , Mail Server ra

INTERNET Ngoài ra còn là FireWall ngoài bảo vệ hệ thống mạng và vùng DMZ

- Với cách triển khai như trên mô hình , công ty sẽ có một hệ thống mạng với các chức năng như sau :

Có Mail server phục vụ cho việc giao tiếp mail nội bộ , trong công ty ra internet và từ ngoài vào công ty.có độ tin cậy cao

Trang 6

Có Web Server phục vụ nhu cầu quản cáo Sản Phẩm , Mua Bán và Thương Hiệu Với khả năng bảo mật và hạn chế Hacker cao

Có một hệ thống dữ liệu dùng chung có tính bảo mật cao,phân quyền truy cập và đáng tincậy

Có sự phân chia quyền hạn giữa các nhân viên , đáp ứng nhu cầu làm việc giữa các nhân viên trong công ty

Có một hệ thống mạng hỗ trợ cho các nhân viên làm việc từ xa thông qua mạng internet

- BƯỚC CẤU HÌNH : (Thao khảo chi tiết trong phần phụ lục)

- Move 3 group Ketoan , Kinhdoanh , Nhansu vào 3 OU tương ứng

- Tạo tài khoản cho các nhân viên

KETOAN

user: ketoan1 , password: kt1

KINHDOANH

user: kinhdoanh1 , password: kd1

NHANSU

user: nhansu1 , password:ns1

- Add các tài khoản vừa tạo vào 3 group tương ứng

- Cài các nhóm phần mềm để chia sẽ cho các Client trông ty tương ứng

Các Client kế toán dùng phần mềm kế toán

Các Client kinh doanh thì được dùng phần mềm kinh doanh

Các Client nhân sự thì được dùng các phần mềm nhân sự

- Phân quyền nhóm user ở bộ phận kế toán cho sử dụng phần mềm kế toán

- Phân quyền nhóm user ở bộ phận kinh doanh cho sử dụng phần mềm kinh doanh ,

Trang 7

không được sử dụng chương trình của user của user nhóm kế toán

- Phân quyền nhóm user ở bộ phận nhân sự sử dụng các ứng dụng hổ trợ cho nhân sự , không được sử dụng chương trình của user kế toán

- Các user được phân quyền phù hợp với công việc của mình Tạo Folder chứa dữ liệu của 3 group KETOAN, KINHDOANH , NHANSU và Phân Quyền hợp lý cho 3 group

đó Cấu hình Backup theo lịch cho dữ liệu 3 group KETOAN , KINHDOANH,

NHANSU nhầm đảm bảo an toàn và khắc phục dữ liệu nhanh chóng

- Tạo Script map ổ đĩa tương ứng cho từng nhóm user

- Cài mail server MDEAMON 9.5 và tạo các tài khoản mail tương ứng với các userKETOAN

user: ketoan1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ]

Tạo Reverse Lookup Zone

Tạo host MAIL.DABIEN.ORG

- Cài Windows Server 2003 và cài dịch vụ Web Server

- Cấu hình cho trang Web của công ty

- Do công ty xài dịch vụ ADSL không có IP Public Nếu muốn public trang web công ty

ra Internet chúng ta có thể sử dụng dịch vụ Dynamic DNS ([Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ])

Client Ketoan

Trang 8

IP : 192.168.1.11 -> 192.168.1.15Sub : 255.255.255.0

DG : 192.168.1.254

DNS : 192.168.1.1

- Cài Windows XP professional

- Join vào domain DABIEN.ORG

Client Kinh Doanh

IP : 192.168.1.21 -> 192.168.1.23Sub : 255.255.255.0

DG : 192.168.1.254

DNS : 192.168.1.1

Trang 9

- Cài Windows Server 2003

- Join vào DABIEN.ORG

- Cài ISA Server 2003

- Cấu Hình Các rule sau :

Tạo rule truy vấn DNS để phân giải tên miền

Tạo Rule hợp lý cho các nhân viên theo yêu cầu công ty

Tạo vùng DMZ và cấu hình giao dịch giữa mạng trong và DMZ theo cơ chế Rout

Tạo network rule cho phép mạng trong truy cập Web Server trong vùng DMZ theo cơ chế Route

Tạo rule cho phép mạng trong giao dịch Web Server trong vùng DMZ

( Do ISP quản lý nên có ip động )

- Cấu hình kết nối với ISP

- Cấu hình DHCP cấp IP cho ISA Server

- Nat Web Server ra internet sử dụng dịch vụ Dynamic DNS

- Tạo kế nối VPN cho nhân viên có thể làm việc từ xa sử dụng dịch vụ Dynamic DNS

2.SƠ ĐỒ DEMO

( Đây là sơ đồ rút gọn giúp chúng ta báo báo trước hội đồng )

- Do thiếu điều kiện triển khai thực tế , nên nhóm chúng ta sẽ triển khai mô hình rút gọn

sử dụng phần mềm “VM-WARE WorkStation” để chạy thử với mô hình như sau :

• Sơ đồ phân tích :

Trang 10

- Chức năng của các thiết bị :

Máy ảo 1 : Làm DC , DHCP , File Server và Mail server nội bộ

Máy ảo 2 : Kiểm tra hoạt động cho mạng trong vùng INTERNAL

Máy ảo 3 : Làm Web Server

Máy ảo 4: Làm Fire Wall bảo vệ vùng mạng INTERNAL , Tạo DMZ

Máy ảo 5: Giả lập router và định tuyến cho 2 vùng mạng EXTERNAL của ISA và vùng mạng bên ngoài hệ thống

Máy ảo 6 : Kiểm tra trang Web trong vùng DMZ và kiểm tra kết nối VPN tới mạng trong

- Với cách triển khai như trên mô hình DEMO sẽ có một hệ thống mạng với các chức năng như sau :

Có Mail server phục vụ cho việc giao tiếp mail nội bộ

Trang 11

- Tạo tài khoản cho các nhân viên

KETOAN

KINHDOANH

NHANSU

user: nhansu1 , password:ns1

- Add các tài khoản vừa tạo vào 3 group tương ứng

- Cài các nhóm phần mềm để chia sẽ cho các Client trông ty tương ứng

Các Client kế toán dùng phần mềm kế toán

Các Client kinh doanh thì được dùng phần mềm kinh doanh

Các Client nhân sự thì được dùng các phần mềm nhân sự

- Phân quyền nhóm user ở bộ phận kế toán cho sử dụng phần mềm kế toán

- Phân quyền nhóm user ở bộ phận kinh doanh cho sử dụng phần mềm kinh doanh , không được sử dụng chương trình của user của user nhóm kế toán

- Phân quyền nhóm user ở bộ phận nhân sự sử dụng các ứng dụng hổ trợ cho nhân sự , không được sử dụng chương trình của user kế toán

- Các user được phân quyền phù hợp với công việc của mình Tạo Folder chứa dữ liệu của 3 group KETOAN,KINHDOANH,NHANSU và Phân Quyền hợp lý cho 3 group đó Cấu hình Backup theo lịch cho dữ liệu 3 group KETOAN,KINHDOANH, NHANSU nhầm đảm bảo an toàn và khắc phục dữ liệu nhanh chóng

- Tạo Script map ổ đĩa tương ứng cho từng nhóm user

- Cài mail server MDEAMON 9.5 và tạo các tài khoản mail tương ứng với các userKETOAN

Trang 12

-Cấu hình cây DNS

Tạo Reverse Lookup Zone

Tạo host MAIL.DABIEN.ORG

- Cài Windows XP Professional service pack 2

- Join vào domain dabien.org

- Vai trò là 1 client trong mạng internal của ISA

- Cài Windows Server 2003 , dịch vụ DNS Server và dịch vụ IIS

- Tạo Primary Zones dabien.com.vn

- Tạo Reverse Look Zones

- Tạo host [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ]

- Cấu hình cho trang Web của công ty

Trang 13

- Cài Windows Server 2003

- Join vào DABIEN.ORG

- Cài ISA Server 2003

- Cấu Hình Các rule sau :

Tạo rule truy vấn DNS để phân giải tên miền

Tạo Rule hợp lý cho các nhân viên theo yêu cầu công ty

Tạo vùng DMZ và cấu hình giao dịch giữa mạng trong và DMZ theo cơ chế Rout

Tạo network rule cho phép mạng trong truy cập Web Server trong vùng DMZ theo cơ chế Route

Tạo rule cho phép mạng trong giao dịch Web Server trong vùng DMZ

- Cài đặt dịch vụ Windows Server 2003 và DNS Server

- Tạo Primary Zones ISP.com.vn

- Tạo Reverse Look Zones

- Tạo host [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ]

- Nat Web Server ra internet

- Tạo kế nối VPN cho nhân viên có thể làm việc từ xa

Trang 14

- Cài Windows XP Professional service pack 2

- Vai trò là 1 client ngoài internet

PHẦN IV: HƯỚNG PHÁT TRIỂN

1.CÔNG TY PHÁT TRIỂN THÊM HỘI SỞ CHI NHÁNH

- Sơ đồ mạng của công ty có thể phát triển cho chi nhánh theo công nghệ VPN Site to Site

2.CÔNG TY CÓ NHU CẦU CẢI TIẾN BĂNG THÔNG CHO MẠNG

- Với nhu cầu kết nối Internet hiện nay, nếu trong hệ thống mạng của chúng ta chỉ có 1 đường truyền ADSL thì tốc độ truy cập internet có thể bị chậm do đường truyền bị quá tải, hoặc tại 1 thời điểm không thể truy cập internet vì đường truyền đang bị mất tin hiệu

- Nếu như công ty đăng ký thêm một line ADSL với nhu cầu tăng băng thông cho hệ thống mạng công ty có thể triển khai LOAD BALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL

- Để giải quyết được các vấn đề nêu trên, trong 1 hệ thống mạng lớn ta cần có nhiều đường truyền ADSL để cân bằng tải (Loadbalancing) và hỗ trợ khả năng chịu lỗi

(Failover) cho các kết nối Internet

- Để cấu hình Loadbalancing và Failover cho nhiều đường truyền Internet ta có rất nhiều giải pháp như: DrayTek Vigor, Pfsense, MS ISA Server, Kerio WinRoute Firewall…

- Trong đồ án này chúng em sẽ giới thiệu với các bạn cách cấu hình Loadbalancing và Failover cho nhiều đường truyền Internet trên Kerio WinRoute Firewall 6.5

+ Ưu điểm của Kerio Winroute Firewall 6.5:

• Giá license không cao, tham khảo [Chỉ có thành viên của diễn đàn mới xem được nội

Trang 15

dung của liên kết này ]

• Đơn giản cài đặt và cấu hình

• Hỗ trợ đầy đủ các tính năng bảo mật: AntiVirus, Traffic Policy, Content Filtering…Tham khảo tại [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này ]

3.CÔNG TY CẦN CÓ MỘT HỆ THỐNG MẠNG BẢO MẬT CAO HƠN

- Đây là mô hình xây dựng trên nền tản ISA Server 2004 theo công nghệ Back to Back

. Ưu Điểm :

- Khả năng bảo mật cao

- Gây khó khăn cho Hacker từ bên ngoài tấn công vào

. Nhược điểm :

- Chi phí rất cao

- Đòi hỏi người quản trị có kiến thức sâu về ISA

Trang 16

PHẦN V: CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ

1 ĐỀ PHÒNG XÂM NHẬP VÀ VỮNG CHẮC HÓA HỆ THỐNG MẠNG

 Bỏ chế độ share ẩn mạc định của các ổ đĩa trên máy server

 Nếu có điều kiện thì nên cách ly vật lý cho các Server

(Tốt nhất là có phòng cách ly cho Server hoặc có tủ cho Server)

 Disable service không cần thiết

(Cải thiện tốc độ mạng và an toàn về vấn đề bảo mật)

 Update các Hotfix,Service Pack

(Đảm bảo cho hệ thống mạng an toàn thoát khỏi các cuộc tấn công của các hacker)

 Rename admin account , đặt pass có độ phức tạp cao

 Không ngồi tại máy server truy cập Internet

(Có thể sử dụng Dịch vụ Remote Access để kiểm soát Server hoặc có chế độ update cho server hợp lý)

 Dùng tài khoản thường để lock màn hình server khi không làm việc

 Cài đặt WSUS Server (Windows server update service server)

 Triển khai Audit policy cho hệ thống

(Nhằm giám sát lưu lượng mạng và đề phòng xâm nhập)

Trang 17

 Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệ thống nhằm vữngchắc hệ thống mạng

 Dùng Certificate mã hóa dữ liệu trên đường truyền ( hệ thống Domain )

 Triển khai Certificate cho Web mã hóa SSl ( Secure socket layer):

( Nhằm đảm bảo an toàn trong giao dịch Web )

 Triển khai CA cho Mail

( Nhằm gia tăng tính xác thực cho các tài khoản mail )

 Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu cho người dùng mạng

2 MỘT SỐ GIẢI PHÁP THÔNG DỤNG CẦN CÓ CHO HỆ THỐNG MẠNG

Bạn không thể biết trước được khi nào hệ thống mạng gặp sự cố Vì sự cố có thể đến tự nhiên , cố ý hoặc vô tình của người sử dụng , virus , hư hỏng phần cứng , mất điện v.v… Một khi sự cố xãy ra thì sẽ rất là mất thời gian nếu chúng ta không có sự chuẩn bị từ trước Vì vậy , bạn cần phải có những giải pháp hợp lý để có thể khắc phục sự cố một cách nhanh chóng , đem lại sự tin cậy cho hệ thống mạng Chính vì vậy nhóm chúng em xin đưa ra một số giải pháp phù hợp với tình hình của công ty để đảm bảo an toàn cho hệ thống mạng cho công ty như sau :

 A.GIẢI PHÁP PHẦN CỨNG

- Do tình hình thường xuyên xãy ra mất điện có thể làm hư hỏng server nên chúng ta cần phải có thiết bị lưu trữ tạm thời như USP

 B.GIẢI PHÁP BACKUP DỮ LIỆU

- Chúng ta đã biết dữ liệu của một công ty là rất quan trọng Không thể nào nói dữ liệu sẽmất hết khi có sự cố xãy ra Chính vì vậy người quản trị mạng phải có nhiệm vụ dự phòng một cách an toàn , tránh mất mát dữ liệu cho công ty

- Có rất nhều biện pháp khắc phục sự cố cho hệ thống mạng như : NTBACKUP(Được tích hợp trong Win) , Veritas , Arcserve, Novanet, Retrospect,

∙ Trong phần này nhóm cúng em xin đề cập tới NTBACKUP do nó đã được tích hợp sẵn trên Win

(Chi tiết cấu hình xem mục lục trang)

 C Tạo danh sách dự phòng cho các tài khoản , nhằm cải thiện việc tạo tài khoản bằng tay rất mất nhiều thời gian :

- Trường hợp hệ thống bị hư hoàn toàn phải làm lại từ đầu Tài khoản công ty có rất nhiều nếu như chúng ta tạo lại bằng tay rất mất thời gian Vì thế ta phải có sự chuẩn bị từđầu , trong phần này nhóm chúng em xin đưa ra một Script có thể tự động add user từ một danh sách đã chuẩn bị từ trước Chi tiết xem mục lục trang

Định dạng
Số trang	26
Dung lượng	521,5 KB