Xây dựng và quản lý hệ thống mạng doanh nghiệp trên nền ISA 2006

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN --- BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC XÂY DỰNG VÀ QUẢN LÝ HỆ THỐNG MẠNG DOANH NGHIỆP TRÊN NỀN ISA 2006 Sinh viên thực hiện: ĐINH VĂN MẠ

TRƯỜNG ĐẠI HỌC VINH

KHOA CÔNG NGHỆ THÔNG TIN

TRƯỜNG ĐẠI HỌC VINH

KHOA CÔNG NGHỆ THÔNG TIN

-

BÁO CÁO

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

XÂY DỰNG VÀ QUẢN LÝ HỆ THỐNG MẠNG

DOANH NGHIỆP TRÊN NỀN ISA 2006

Sinh viên thực hiện: ĐINH VĂN MẠNH

LỜI CẢM ƠN

Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới các quý thầy cô giáo trong trường Đại Học Vinh nói chung và các thầy cô giáo trong khoa Công Nghệ Thông Tin, bộ môn Kỹ Thuật Máy Tính nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt thời gian qua

Hơn hết em xin gửi lời cảm ơn đến thầy Đặng Hồng Lĩnh, thầy đã tận tình giúp

đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp.Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công tác sau này

Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên,đóng góp ý kiến và giúp đỡ trong quá trình học tâp, nghiên cứu và hoàn thành đồ án tốt nghiệp

Ngày 10 tháng 12 năm 2012

Sinh viên thực hiện

Đinh Văn Mạnh

LỜI MỞ ĐẦU

- -

Công nghệ thông tin là ngành ứng dụng công nghệ quản lý và xử lý thông tin Tốc độ phát triển nhanh của công nghệ làm cho việc luân chuyển thông tin trở nên cực kỳ nhanh chóng và vai trò của công nghệ thông tin ngày càng trở nên quan trọng Phạm vi ứng dụng ngày càng được mở rộng trên nhiều lĩnh vực Những khả năng mới mẻ và ưu việt của công nghệ thông tin đã nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập

Trong thực tế hiện nay công nghệ thông tin đã được ứng dụng trong các hoạt động sản xuất, giao dịch Công nghệ thông tin được sử dụng một cách có hiệu quả và bền vững là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Giá trị thông tin doanh nghiệp là tài sản vô giá, không chỉ thuần túy về vật chất mà có những giá trị không thể đo đếm được như uy tín đối với khách hàng, nếu uy tín đối với khách hàng bị đánh cắp, sau đó bị lợi dụng với những mục đích khác nhau: Hacker attacker, Virut, Worm, đây là những mối lo ngại hàng đầu của tất cả các hệ thống thông tin Chính vì vậy tất

cả những hệ thống này cần trang bị những công cụ đủ mạnh và cách xử lý để đối phó với sự xâm nhập bất hợp pháp từ bên ngoài Đó là các Firewall Vì sự cần

thiết đó, nên em chọn đề tài “ Xây Dựng và Quản Lý Hệ thống Mạng Công Ty TNHH & TM Chấn Hưng Trên Nền ISA 2006”

Em xin cảm ơn có sự giúp đỡ và hướng dẫn của Ths.Đặng Hồng Lĩnh, cùng các thầy cô trong tổ Kỹ Thuật Máy Tính đã góp ý giúp em hoàn thành khóa luận này

Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên khóa luận còn nhiều thiếu sót và hạn chế Em mong được sự góp ý giúp đỡ của các thầy cô

LỜI MỞ ĐẦU 3

CHƯƠNG I: XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH NGHIỆP 5

1.1 Khảo sát và phân tích yêu cầu của doanh nghiệp 6

1.1.1 Yêu cầu của doanh nghiệp 6

1.1.2 Về hiện trạng doanh nghiệp 6

1.1.3 Yêu cầu khách hàng 6

1.1.4 Thuận lợi và khó khăn 6

1.1.5 Lựa chọn giải pháp 7

1.2 Thiết kế mạng cho công ty 10

1.2.1 Sơ đồ logic 10

1.2.2 Sơ đồ tổng thể 11

1.2.3 Bảng phân địa chỉ IP 12

CHƯƠNG II:TRIỂN KHAI HỆ THỐNG MẠNG CHO DOANH NGHIỆP 13

2.1 Nâng cấp Server lên Domain Controler 13

2.2 Cấu hình dịch vụ Domain Name System (DNS) 15

2.3 Cài đặt MS ISA Server 2006 trên máy Server 15

2.4 Sao lưu và phục hồi cấu hình ISA 18

2.4.1 Sao lưu(Backup) cấu hình Firewall 18

2.4.2 Tiến hành phục hồi(Restore) 19

2.5 Thiết lập các quy tắc cho ISA 2006 21

2.5.1 Tạo quy tắc mở các kết nối trong nội bộ và Internet 21

2.5.2 Tạo quy tắc DNS 23

2.5.3 Tạo quy tắc cho phép nhóm Nhân Viên truy cập 1 số trang web 25

2.5.4 Giới hạn thời gian sử dụng của rule Nhân Viên 30

2.5.5 Tạo quy tắc cho Nhóm quản lý có thể truy cập bất cứ web nào 31

2.5.6 Giới hạn Nhân Viên chỉ xem được văn bản text khi truy cập Web 34

2.5.7Cấm tất cả không được truy cập web đen 35

2.5.8 Tạo bảng thông báo cấm truy cập 38

2.5.9 Cấm Nhân viên chát trong giờ làm việc 39

2.5.10 Report trong ISA Server 2006 42

2.5.11 Tạo Remote Access PPTP VPN Server 44

2.5.12 Tạo Access Rule cho phép kết nối VPN : 47

2.5.13 Bật chức năng Remote Desktop trên máy Web Server 47

KẾT LUẬN 51

TÀI LIỆU THAM KHẢO 52

CHƯƠNG I: XÂY DỰNG HỆ THỐNG MẠNG CHO DOANH

NGHIỆP

Ngày nay nhu cầu về thiết kế và quản lý hệ thống mạng cho công ty là nhu cầu được nhiều công ty quan tâm Ở chương I này ta sẽ triển khai việc thiết kế mạng cho công ty dựa vào khảo sát hiện trạng và yêu cầu của công ty từ đó phân tích rồi đưa ra giải pháp và thiết kế mạng cho công ty

1.1 Khảo sát và phân tích yêu cầu của doanh nghiệp

1.1.1 Yêu cầu của doanh nghiệp

Thiết kế mạng cho 1 công ty:

-Công ty có phó giám đốc và giám đốc, ngoài ra còn có 20 nhân viên chia thành 4 phòng ban: kế toán, kinh doanh , kế hoạch, tiếp tân;

-Công ty sẽ đi Internet bằng 2 đường ADSL đề phòng sự cố nếu chết một đường thì đường kia sẽ là backup, 2 đường ADSL đó là do 2 nhà cung cấp khác nhau

-Mỗi phòng có 1 đường mạng riêng

-Các nhân viên khi duyệt web bị lọc, quản lý muốn cho đi trang nào thì được vào trang đó, nhân viên không được chat, làm việc riêng hay download trong giờ làm việc

-Trưởng phòng, ban giám đốc được đi internet và làm việc riêng tùy thích không bị hạn chế

1.1.2 Về hiện trạng doanh nghiệp

Trụ sở là nhà Hai tầng, 3 phòng ở tầng 1 và 3 phòng ở tầng 2

Chi tiết: Nhân sự và phòng ban trong công ty:

Phòng Kinh doanh: 10 người (tầng 1)

Phòng Tiếp Tân : 3 người (tầng 1)

a Thuận lợi:

- Dữ liệu được bảo mật an toàn, không bị mất mát ra ngoài, công ty dễ quản lý tài liệu, đề thi…dễ backup và diệt virus

- Khi mở rộng mạng tương đối đơn giản

- Việc quản trị dễ dàng với mô hình domain/client

- Sử dụng Switch (không sử dụng Hub) vì Switch có khả năng mở rộng mạng

- Tốc độ mạng cao, nhanh chóng

- Mạng của toà nhà sẽ có một vành đai bảo vệ nhờ dùng firewall ISA 2006

b Khó Khăn:

- Yêu cầu Cấu hình máy Server phải mạnh ( Nên dùng máy server chuyên dụng)

- Yêu cầu về đường truyền và tốc đô cao

- Chi phí dự kiến sẽ khá cao

- Máy server phải cài nhiều dịch vụ cung cấp cho các máy client

- Phụ thuộc nhiều vào Server và đường truyền

1.1.5 Lựa chọn giải pháp

- Loại Mạng: VLAN

- Topo: Kết nối mạng theo mạng hình sao chuyển đổi qua các switch layer 3

- Số nút mạng :Tối thiểu 45 nút mạng tương ứng với số máy gia nhập mạng của công ty

- Mỗi tầng sẽ dùng 1 switch layer 3 24 port

- Internet : 2 đường ADSL sẽ do 2 nhà cung cấp khác nhau cung cấp

( VNPT và FPT)

- Cáp xoắn đôi UTP Cat5

- Mô hình mạng :Server-Client

- Hệ điều hành

+ Server cài Winserver 2003 Enterpisre Edition

+ Client cài Win Xp pro

- Firewall: cài isa server 2006

- Phần mềm diệt virus BKAV

A Giải pháp thiết lâp mạng riêng

* VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của đơn vị

Phân loại VLAN

- Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến Mỗi cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN 1), do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN nào đó

- MAC address based VLAN: Cách cấu hình này ít được sử dụng do có nhiều bất tiện trong việc quản lý Mỗi địa chỉ MAC được đánh dấu với một VLAN xác định

- Protocol – based VLAN: Cách cấu hình này gần giống như MAC Address based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa chỉ MAC Cách cấu hình không còn thông dụng nhờ sử dụng giao thức DHCP

Lợi ích của VLAN

- Tiết kiệm băng thông của hệ thống mạng:

VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain) Khi có gói tin quảng bá (broadcast), nó

sẽ được truyền duy nhất trong VLAN tương ứng Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng

- Tăng khả năng bảo mật:

Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN) Như trong ví dụ trên, các máy tính trong VLAN kế toán (Accounting) chỉ có thể liên lạc được với nhau Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ sư (Engineering)

- Dễ dàng thêm hay bớt máy tính vào VLAN:

Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn

- Giúp mạng có tính linh động cao:

VLAN có thể dễ dàng di chuyển các thiết bị Giả sử trong ví dụ trên, sau một thời gian sử dụng đơn vị quyết định để mỗi bộ phận ở một tầng riêng biệt Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu

VLAN có thể được cấu hình tĩnh hay động Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch Sau đó, gán cho nó vào một VLAN nào đó Trong cấu hình động mỗi cổng của switch có thể tự cấu

Sử dụng phần mềm ISA Firewall 2006

ISA Server là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật

hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phải qua ISA kiểm duyệt rất kỹ lưỡng

Ưu điểm:

- ISA hỗ trợ rất nhiều tính năng như management access, access rule,VPN… Trong khi chi phí triển khai rất thấp

- ISA có giao diện quen thuộc và dễ cấu hình

- Với quy mô hiện tại của công ty thì ISA firewall 2006 là sự lựa chọn hợp lý vì vừa tiết kiệm được chi phí vừa dảm bảo được yêu câu bảo mật

Mô tả chi tiết

- ISA firewall sẽ phân cách mạng VLAN với mạng internet bên ngoài

- ISA cấm mọi truy cập bên ngoài vào mạng nội bộ trừ những truy cập hợp pháp đã quy định trên ISA

- Thông qua firewall, các máy trạm bên trong cũng sẽ được điều khiển, giám sát và hạn chế truy nhập internet

- Trên firewall mô tả các rules để quy định cho phép hoặc cấm 1 số máy trạm truy cập đến máy File server

- Lúc này, mạng của công ty sẽ có được một vành đai bảo vệ

C Giải pháp dữ liệu tập trung

Ưu điểm:

- Hạn chế được việc thất thoát dữ liệu quan trọng ra bên ngoài

- Hạn chế được việc mất dự liệu do virut, do người dùng bất cẩn hay do ổ cứng bị lỗi hay hư hỏng

- Xác thực người dùng truy cập với tài khoản tập trung trên máy server

- Việc quản lý truy cập tài nguyên của người dùng sẽ tập trung, dễ dàng

và đơn giản hơn

Mô tả chi tiết

- File Server sẽ sử dụng dòng chuyên dụng hỗ trợ công nghệ MIROR/RAID 5 để có thế nâng cao tốc độ truy xuất, tính sẵn sàng và an toàn dữ liệu( trường hợp 1 ổ cứng bị hỏng vẫn không bị mất) Hệ thống lưu điện trên server sẽ giúp server hoạt động thêm 1 khoảng thời gian khi xảy ra mất điện Ngoài ra công nghệ HotSwap hỗ trợ lắp đặt thiết bị ngay lập tức mà không cần phải ngắt nguồn điện Hệ thống quạt chuyên dùng cho server tải nhiệt nhanh nâng tuổi thọ của máy

- Mỗi người dùng sẽ được cấp quyền truy cập dựa vào nhu cầu và chức năng công việc để bảo mật dữ liệu và thông tin của công ty

- Trên File server và các máy trạm ta dùng phần mềm Symantec Antivus

để phòng ngừa Virus cho mạng

D Đường truyền kết nối

- Đường truyền trong mạng Vlan sử dụng cáp xoắn đôi UTP cat 5, RJ45 tốc độ 100 Mbps

- Đường internet sử dụng gói cước OFFICE của FPT và VNPT

- Tốc độ truy cập internet tối đa Dowload 3,072 Kbps, Upload 640 Kbps

- Cam kết tốc độ truy cập internet tối thiểu tốc độ Dowload 128 Kbps, Upload 128 Kbps

1.2 Thiết kế mạng cho doanh nghiệp

Phần này là sơ đồ mạng của công ty được thiết kế dựa vào các phân tích và giải pháp đã nêu trên

1.2.1 Sơ đồ logic

- 1 máy Sever dùng làm File Sever có thể cài ISA Sever 2006 giúp quản

lý các đối tượng như domain, ou, group, user, máy in, và rất nhiều các đối tượng khác

- 3 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng định tuyến giữa các VLAN ảo của các phòng

- 1 Router có chức năng cân bằng tải đồng thời làm ADSL nối đường Internet của công ty ra bên ngoài( VNPT+ FPT)

- Cáp quang nối tới switch các toà nhà sẽ đảm bảo tốc độ truyền và bảo mật

1.2.2 Sơ đồ tổng thể

Dựa vào sơ đồ bố trí các phòng ban và số lượng các nhân viên của mỗi phòng ban thì ta thiết kế được sơ đồ tổng thể

Yêu cầu và bố trí:

- 2 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng định tuyến giữa các VLAN ảo, mỗi tầng sẽ đặt 1 swich nối đến 3 phòng ban trong tầng đó

- 20 máy tính cho các phòng tiếp tân, kinh doanh, kế toán và kế hoạch

- 2 laptop dành cho phó giám đốc và giám đốc

- Cáp quang nối tới switch các phòng sẽ đảm bảo tốc độ truyền và bảo mật

1.2.3 Bảng phân địa chỉ IP

Ta sẽ dùng dãy ip từ 172.16.1.1 đến 172.16.1.100 để chia cho cả công ty

IP Subnet mask Defaut getway DNS Sever

192.168.1.10

255.255.0.0 255.255.255.0

172.16.1.1 192.168.1.1

172.16.1.1 192.168.1.1

CHƯƠNG II: TRIỂN KHAI HỆ THỐNG MẠNG CHO DOANH

NGHIỆP

2.1 Nâng cấp Server lên Domain Controler

Domain name : hocmang.com

Click Start, chọn Run Nhập vào dcpromo, xuất hiện Hộp thoại

B.1 Domain Controller for

a new domain: tạo ra một

Domain mới, Server hiện

thời sẽ trở thành một Domain

Controller đầu tiên trong

Domain mới này

B.2 Hộp thoại Create New

Domain lựa chọn: Domain

in a new forest:

B.3 Hiện cửa sổ New

Domain Name, nhập vào tên

Domain: hocmang.com

Hệ thống kiểm tra cài đặt

DNS, cài đặt DNS trên máy

tính như một DNS server

B.6 Hệ thống yêu cầu đặt

Password, tiếp theo là tổng

hợp những thông tin đã cấu

hình Active Directory và tiến

hành cài đặt Sau khi kết thúc

quá trình cài đặt, Finish và

khởi động lại hệ thống

2.2 Cấu hình dịch vụ Domain Name System (DNS)

Cấu hình DNS để có thể phân giải IP 10.0.0.3 thành địa chỉ

server.hocmang.com và ngược lại Mở DNS trong Administrative Tools

B.1 Click chuột phải trên

Reverse Lookup Zones

chọn New Zone, Next

B.2 Chọn mục: To all

domain controllers in the

Active directory domain

hocmang.com, click Next

B.3 Nhập địa chỉ IP là 10.0.0

Network ID, click Next

Kết thúc quá trình click

Finish

B.4 Trên cửa sổ DNS right

click vào hocmang.com

trong Forward lookup zones

chọn New Host Nhập tên ở

Name, tên mà DNS dùng để

phân giải, nhập IP_address

là 10.0.0.3 là địa chỉ của

DNS máy Server, Add Host

2.3 Cài đặt MS ISA Server 2006 trên máy Server

B.1 Bỏ đĩa ISAServer vào rồi

chạy: install ISA Server 2006

B.5 Tiếp đó chọn Add

Adapter…

B.6 Chọn Card LAN là Card

bên mạng nội bộ, Click Ok

B.7 Chọn Remove, Click Ok

B.8 Click Next

B.9 Cick vào mục: Allow

non-encrypted Firewall client

connections, click Next, Next,

Install, Finish

2.4 Sao lưu và phục hồi cấu hình ISA

Đối với các hệ thống lớn với nhiều phòng ban và nhân viên, trong mỗi bộ phận lại yêu cầu những chính sách truy cập riêng làm cho số lượng policy rất nhiều và khó quản lí Vì vậy để bảo đảm hệ thống luôn hoạt động ổn định chúng

ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra Chúng ta có thể sao lưu toàn bộ ISA Server hay chỉ một số các firewall policy nào đó

2.4.1 Sao lưu(Backup) cấu hình Firewall

B.3 Trong cửa sổ Export

B.3 Trong của sổ Select

the Import File ta chọn

đề lên thông tin hiện tại

B.5 Trong cửa sổ Enter

PassWord ta điền

password mà ta đã lưu

khi tiến hành back up

vào, sau đó Next

B.6 Chọn Finish để kết

thúc quá trình

2.5 Thiết lập các quy tắc cho ISA 2006

2.5.1 Tạo quy tắc mở các kết nối trong nội bộ và Internet

B.5 Trong Access rule

Local Host, click close, Next

B.7: chọn All Users, click

Next

B.8 Kết thúc quá trình tạo

rule, Finish và áp dụng quy

tắc vừa tạo

2.5.2 Tạo quy tắc DNS

B.1 ISA Managerment,

chọn Firewall Policy, Create

New Access Rule

B.2 Nhập vào mô tả tên rule :

DNS Sever

B.3 Tại cửa sổ Protocol để

truy vấn DNS mà thôi nên ta

giữ nguyên chế độ Selected

protocols chọn Add

B.4 Nhấp chọn DNS trong

Folder Common Protocols

B.5 Trong Access Rule

2.5.3 Tạo quy tắc cho phép nhóm Nhân Viên truy cập 1 số trang web