Trường THPT được thành lập cách đây năm, đang trong quá trình thay đổi hệ thống hoạt động công tác giảng dạy và quản lý. Sau khi tập trung nghiên cứu, ban giám hiệu nhà trường đưa ra một giải pháp như sau. Tạo lập mạng quản lý nội bộ, nhằm kết nối tất cả các phòng ban của trường tới từng lớp và từng khối học sinh. Giúp học sinh ý thức được sự quan trọng của mạng lưới, nhằm mục đích phục vụ cho công việc học tập và duy trì tốt hơn hoạt động của nhà trường. Từ đố mọi thông tin cần thiết sữ được cập nhập và hạn chế những thiết sót trong công việc cảu các phòng ban đối với quyền lợi của học sinh. Đảm bảo môi tường hoạt động tốt nhất cho học sinh và các thầy cô giáo trong nhà trường, tạo mối liên kết chặt chẽ hơn giữa nhà trường và hội phụ huynh.
Trang 1VIỆN ĐÀO TẠO VÀ ỨNG DỤNG CÔNG NGHỆ
TRUNG TÂM ĐÀO TẠO CNTT NIIT-ICT HÀ NỘI
*******
BÁO CÁO
Đề tài:
Xây Dựng Hệ Thống Mạng Trường Học
Nhóm 2:
Thành viên:
Bùi Viết Văn
Bùi Mạnh Tùng
Phạm Thành Trung
Nguyễn Xuân Đức
Nguyễn Tiến Phúc
Chu Hưng Thịnh
Lớp: CP10
Trang 2Hà Nội ngày 15 / 6 / 2015
Mục Lục Phân tích yêu cầu
1. Tình hình thực tế
2. Yêu cầu
Giải pháp xây dựng hệ thống mạng trong trường
3. Designlogic
4. Designphysical
5. Xây dựng hệ thống mạng theo mô hình LAN File Sever
6. Xây dựng hệ thống AD, DNS, DHCP, File Sever, WebSever, Maill, ISA Sever
6.1 Trang thiết bị và tổng chi phí
7. Biện pháp an ninh
7.1 Mã hóa dữ liệu
7.2 Biện pháp bảo vệ
7.2.1 Switch
7.2.2 Router
7.2.3 Tường lửa (Fire wall)
7.3 IDS (Instrusion direction system) Thiết bị phát hiện xâm nhập
hệ thống
8. Biện pháp đề phòng
9. Đánh giá báo cáo
10. Tổng kết
Trang 3Lời mở đầu
- Có thể nói ngày nay trong khoa học máy tính khống lĩnh vực nào có thể quan trọng hơn lĩnh vực nối mạng Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chugs có thể trao đổi thông tin qua lại với nhau, dùng chung hoặc chia sẻ dữ liệu thông qua việc in ấn hay sao chép qua đĩa mềm, CD room …
- Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ chức hay các công ty Trong điều kiện kinh tế hiện nay hều hết đa số các
tổ chức hay các công ty Trong điều kiện kinh tế hiện nay hầu hết đa số các tổ chức hay công ty có phạm vi sử dụng bị giới hận bởi diện tích và mặt bằng đều triển khai xây dựng mạng LAN để phục vụ cho việc quản
lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tính bảo mật dữ liệu mặt khác mạng LAN còn giúp các nhân viên trong tổ chức hay công ty truy cập dữ liệu một cách thuận tiện với tốc độ cao Một điểm thuận lợi nữa là mạng LAN còn giúp cho
người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng
là người dùng một cách rõ ràng và thuận tiện giúp cho những có trách nhiệm lãnh đạo công ty dễ dàng quản lý nhân viên và điều hành công ty
- Trường THPT **** được thành lập cách đây ** năm, đang trong quá trình thay đổi hệ thống hoạt động công tác giảng dạy và quản lý Sau khi tập trung nghiên cứu, ban giám hiệu nhà trường đưa ra một giải pháp như sau Tạo lập mạng quản lý nội bộ, nhằm kết nối tất cả các phòng ban của trường tới từng lớp và từng khối học sinh Giúp học sinh ý thức
được sự quan trọng của mạng lưới, nhằm mục đích phục vụ cho công việc học tập và duy trì tốt hơn hoạt động của nhà trường Từ đố mọi thông tin cần thiết sữ được cập nhập và hạn chế những thiết sót trong công việc cảu các phòng ban đối với quyền lợi của học sinh Đảm bảo môi tường hoạt động tốt nhất cho học sinh và các thầy cô giáo trong nhà trường, tạo mối liên kết chặt chẽ hơn giữa nhà trường và hội phụ huynh
Trang 4KHẢO SÁT TÌNH HÌNH THỰC TẾ CỦA 1 TRƯỜNG TRUNG HỌC PHỔ THÔNG
1. Tình hình thực tế
Nhà trường có 1 phòng máy tính tổng 50 máy tính Có 1 phòng sử dụng hệ thống điều hành windows Trường gồm các phòng học và các phòng làm việc riêng, có thư viện Hiện tại hệ thống mang ở trường thực hiện vẫn thủ công, chưa đáp ứng đủ trong công việc
2. Yêu cầu
+ Đối với hệ thống mạng bên trong:
- Tất cả các user đều được sử dụng Internet
- User của bộ phận ban giám hiệu được sử dụng tất cả cá phần mền
- User ở bộ phận đào tạo cho sử dụng các phần mềm đào tạo
- User ở bộ phận quản lý sử dụng phần mềm quản lý
- Mỗi một máy trong phòng, ban đều dùng user riêng
- Các user được phân quyền phù hợp với công việc của mình
- Có file server chia sẻ dữ liệu
- Có web server pulic ra internet
- Cho server có khả năng giám sát được tất cả các công việc
- Giám sát truy cập
+ Đối với hệ thống mạng bên ngoài:
- Giám sát người ngoài internet đăng nhập trái phép, nếu có sẽ xuất hiện thông báo ở server
Trang 53. Thiết kế logic hệ thống.
Firewal
Internet
(Switch) Router, DaTabase, Mail sever, Web
sever, Win sever, AD, DHCP
P.Văn Thư
V.Phòng Đoàn
P.Thư viện
P.Quản Lý P.Đào Tạo
P.Hiệu Phó
P.Hiệu Trưởng
Switch Phòng Máy
(Switch)DHCP, DNS, Proxy, ActiveDirectory (Winsv), Router
Switch
Trang 64. Thiết kế vật lý
Internet
Firewall
Server
Switch
Switch
H.Phó H.Trưởng
Đào Tạo Thư Viện
Switch
Trang 7
5. Xây dựng theo hệ thống mạng Lan- File Sever
- Mô hình này mở rộng hơn mô hình mạng Lan – Workgroup Dữ liệu sẽ được lưu trữ tập trung trên server, in ấn cũng được phân quyền và chế độ
ưu tiên nhằm tăng cường tính bảo mật và an toàn dữ liệu Mô hình mạng này phù hợp với các cơ quan, tổ chức với quy mô vừa và nhỏ có khả năng tài chính tương đối thấp
- Với ưu điểm quản lý tập trung: dữ liệu được lưu trữ tập trung trên
server, ccs tài khoản truy cập tới thư mục chia sẻ cũng được server quản lý
- Tăng cường tính bảo mật và an toàn dữ lệu trong mạng nội bộ
- Tốc độ truyền tải dữ liệu cao
6 Xây dựng hệ thống AD, DNS, DHCP, FileServer, WebServer, FTP, Mail và ISA Server
+ AD (Active Directory) dịch vụ thư mục (Directory server) có nhiệm
vụ để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phét tương tác với các thư mục khác
+ Dịch vụ DNS có nhiệm vụ phân giải tên miền
+ Dịch vụ DHCP có nhiệm vụ tạo địa chỉ IP tự động
+ Hệ thống File Server có chức năng tạo hệ thống File cho các Client truy cập vào để lấy hoặc thêm dữ liệu vào
+ Web Server có nhiệm vụ tạo hệ thống Website cho trường, là nơi để các sinh viên tìm tài liệu học tập, xem các thông tin… (Có hai cách triển
Trang 8khai là dùng IIS tích hợp sẵn hoặc sử dụng phần mềm ngoài như là
Apache, v.v… )
+ Mail server (máy chủ dùng để nhận và gửi mail) còn cho phép các đơn
vị có thể tự mình quản lý hệ thống máy chủ thư điện tử của chính mình, chủ động trong việc quản trị máy chủ thư điện tử, đảm bảo an toàn hơn cho hệ thống thông tin
6.1 Giá thành.
SupweWorkstation Sever 7045A-W
TB (intel 64bit Xeon Quad Core
or Dual Core, DDR2 Up to 64GB, HDD 8x 3.5”)
PC
Switch TP-LINK
48 port
Switch TP-LINK
24 port TL-SF1024D
Trang 9
7. Biện pháp an ninh
7.1 Mã hóa dữ liệu .
+ Khái niệm mã hóa dữ liệu đề cập đến những phép tính toán học và chương trình thuật toán chuyển văn bản gốc thành dạng văn bản mã hóa, đây là mọt dạng thức khiến cho những người không được ủy quyền không thể đọc được Người nhận tin nhắn mã hóa sẽ sử dụng một khóa tạo nên cơ chế thuật toán để giải mã dữ liệu, chuyển nó trở về phiên bản văn bản ban đầu
+ Trước khi có Internet, phương pháp mã háo dữ liệu rất ít khi được sử dụng rộng rãi vì nó được coi là công cụ bảo đảm an ninh trong lĩnh vực ngoại giao và quân sự nhiều hơn Tuy nhiên từ khi dịch vụ ngân hàng, mua sắm trực tuyến và các dịch vụ khác trở nên phổ biến thì ngay cả những người chỉ có nhu cầu sử dụng Internet cơ bản tại nhà cũng biết đến mã hóa dữ liệu
+ Hiện nay ngành công nghiệp tài chính ngày càng sử dụng giải pháp này nhiều hơn để bảo vệ cho việc giao dịch chuyển tiền, những người hoạt động thương mại điện tử sự dụng để bảo vệ cho thông tin thẻ tín dụng khi thực hiện hoạt động thương mại và các công ty sử dụng để bảo đảm tính an toàn cho thông tin liên lạc cá nhân nhạy cảm và lưu trữ dữ liệu (cơ sở dữ liệu)
+ Các trình duyệt web ngày nay tự động mã hóa văn bản khi thực hiện kết nối với máy chủ cần bảo mật Việc này được dùng để ngăn không
Trang 10khoog cho kẻ xấu xâm nhập và liên lạc cá nhân Ngay cả khi họ có khả năng lấy được tin nhắn, giải pháp mã hóa cũng chỉ cho họ xem văn bản
ở dạng hỗn độn không thể nhận biết được hoặc được gọi là dạng ngữ pháp không thể đọc Khi đến với người nhận, dữ liệu sẽ được giải mật
mã để cho phép người nhận để xem văn bản gốc của tin nhắn
+ Khi internet được mở dưới dạng tự nhiên mà mọi người đều có thể xem được và việc lướt web không được bảo đảm an toàn, thì sự áp dụng giải pháp mã hóa dữ liệu trong môi trường liên lạc chung như gửi email
và tin nhắn nhanh có thể sẽ trở nên phổ biến hơn Nếu không có cơ chế bảo mật, thông tin truyền qua internet có thể dễ dàng bị bất cứ ai lấy được và xâm phạm Dữ liệu quan trọng này có thể được thỏa hiệp theo nhiều cách, đặc biệt là khi được lưu trữ trong các máy chủ bị thay đổi người sử dụng theo thời gian Xét về mặt tội phạm trộm cắp, kẻ trộm thông tin nhận dạng cá nhân đang ngày càng gia tăng, vì vậy giải pháp
mã hóa dữ liệu rất đáng theo đuổi
+ Mã hóa dữ liệu hay được gọi là mã hóa tập tin là một quá trình mà các
dữ liệu dạng văn bản gốc được chuyển thành văn bản mật mã đễ làm nó không thể đọc được
+ Được biết đến phổ biến hơn với tên gọi “mã hóa”, quá trình này có thể được thực hiện theo nhiều cách khác nhau và cới mức độ đảm bảo ản toàn khác nhau
+ Một số giải pháp mã hóa dữ liệu tối ưu có thể được sử dụng qua nhiều thế kỷ, trong khi các phương pháp giải mã khác có thể bị phá vỡ bởi những người có kỹ năng về lĩnh vực này trong vòng vài phút hoặc thậm chí vài giây
+ Trong thời đại công nghệ số, hàng ngày mọi người phải phụ thuộc nhiều vào mã hóa dữ liệu Rất có thể là bạn cũng đã từng nhận hoặc gửi những dữ liệu mã hóa vì mục địch nào đó, thậm chí dù bạn không trực tiếp thực hiện việc mã hóa hoặc giải mã dữ liệu
+ Trong quá trình này, một đoạn văn bản gốc thông thường chỉ có thể được đọc bởi những người có khóa để chuyển đổi nó
Trang 11+ Giải pháp mã hóa dữ liệu được kiểm soát hoặc giới hạn ở nhiều nước Nhiều nước đã ban hành hoặc đang xét duyệt những bộ luật dùng để duy trì tính cưỡng chế thực thi pháp luật và khả năng bảo đảm an ninh quốc gia thông qua các quy định của công nghệ này
7.2 Biện pháp bảo vệ.
7.2.1 Switch
Đặt địa chỉ MAC, thiếp lập Static MAC address (Gắn cho mỗi
cổng của switch tương ứng với địa chỉ MAC nhất định
Cấu hình VLAN (Virtual LAN) trên switch (chia nhỏ mạng LAN với mỗi phòng ban lập các VLAN khác nhau)
7.2.3 Router
-Password truy cập Cấu hình password truy cập 2 mode của Router, Mode user và privileged use (ưu tiên)
- Access Control Lists
ACLS có thể cho phếp hay ngăn chặn một số địa chỉ IP đi qua Router
7.2.4 Tường lửa (Fire wall)
Khi được cấu hình hoạt động, nó ngăn chặn những cuộc truy cập bất hớp pháp từ bên ngoài mạng nội bộ, giúp ngăn cản người dùng trong
hệ thống khỏi những nguy cơ tiềm tàng từ mạng bên ngoài và từ các cổng
Trang 12- Packet filtering firewall
Được cấu hình để cho phép hay ngăn cấm quá trình truy cập của post hay địa chỉ IP cụ thể nào đó
- Application layer Gateways
Nó kiểm tra toàn bộ gói tin và việc bỏ lọc gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn
- Stateful inspection (ưu tiên)
Sự kết hợp của 2 quá trình nói trên, nó khắc phục nhược điểm còn lại, cung cấp sự nhận biết ở lớp ứng dụng cho file wall mà không phải tháo rời gói tin, cho khả năng bảo mật cao hơn
7.3 IDS (Instrusion direction system) Thiết bị pháp hiện thâm nhập hệ thống.
Ngoài những tính năng giám sát và phát hiện, IDS còn có khả năng làm lệch hướng các cuộc tấn công mà nó phát hiện và ngăn chặn Giống như FileWall, IDS có thể hoạt động như một phần mềm, hay là sự kết hợp giữa phần cứng và phần mềm Với 3 loại IDS hoạt động chủ yếu, Network-based IDS, Host-based IDSs, Application-based IDSs
7.4 Biện pháp đề phòng
- Bỏ chế độ share ẩn mặc định của các ổ đĩa trên máy server Nếu có điều kiện thì nên cách ly vật lý cho các Server (Tốt nhất là có phòng cách ly cho Server hoặc có tủ cho Server)
- Disable service không cần thiết (Cải thiện tốc độ mạng và an toàn về vấn đề bảo mật)
- Update các Hotfix, Service Pack (Đảm bảo cho hệ thống mạng an toàn thoát khỏi các cuộc tấn công của hacker)
- Rename admin account, đặt pass có độ phức tạp cao
Trang 13- Không ngồi tại máy server truy cập Internet.
- Dùng tài khoản thường để lock màn hình server kh không làm việc
- Cài đặt WSUS Server (Windows server update service server)
- Triển khai Audit policy cho hệ thống mạng (Nhằm giám sát lưu lượng
và đề phòng xâm nhập)
- Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệ thống nhằm vững chắc hệ thống mạng
- Dùng Certificate mã hóa dữ liệu trên đường truyền (hệ thống Domain)
- Triển khai Certificate cho web mã hóa SSI ( Secure Socket layer)
- Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu
~ Hết ~