XÂY DỰNG và QUẢN lý hệ THỐNG MẠNG CHO CÔNG TY ICC

Sử dụng được hệ thống Pfsense bảo vệ dữ liệu,quản lý phân vùng cơ cấu tổ chức của công ty, quản lý được thời gian truy cậpinternet của từng người truy cập.. - Xây dựng firewall quản trị

TRƯỜNG CAO ĐẲNG NGHỀ BÁCH KHOA HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

MẠNG CHO CÔNG TY ICC

Sinh viên thực hiện : Tạ Ngọc Hân

Lớp QTM1 - K3

Giáo viên hướng dẫn: ThS Lê Xuân Thành

HÀ NỘI 5-2014

PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP

1 Thông tin về sinh viên

Họ và tên sinh viên: Tạ Ngọc Hân

Điện thoại liên lạc: 0982003254 Email: Tangochan1992@gmail.com

Lớp: QTM1-K3 Hệ đào tạo:Trường Cao Đẳng Nghề Bách Khoa -HN

Đồ án tốt nghiệp được thực hiện tại: Trường Cao Đẳng Nghề Bách Khoa -HN

Thời gian làm ĐATN: Từ ngày / / đến / /

2 Mục đích nội dung của ĐATN

3 Các nhiệm vụ cụ thể của ĐATN

4 Lời cam đoan của sinh viên:

Tôi – Tạ Ngọc Hân- cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự

hướng dẫn của ThS Lê Xuân Thành.Các kết quả nêu trong ĐATN là trung thực, khôngphải là sao chép toàn văn của bất kỳ công trình nào khác

Hà Nội, ngày 1 tháng 6 năm2014

Tác giả ĐATN

Họ và tên sinh viên

Tạ Ngọc Hân

5 Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép bảovệ:

Hà Nội, ngày 1 tháng 6 năm2014

Giáo viên hướng dẫn

ThS Lê Xuân Thành

MỤC LỤC

CHƯƠNG 1 ĐẶT VẤN ĐỀ 2

1.1 Nhiệm vụ của đồ án 2

1.2 Khảo sát hạ tầng của công ty 3

1.2.1 Thông tin cơ bản 3

1.2.2 Hạ tầng mạng hiện có 3

1.2.3 Yêu cầu cho hệ thống mới: 4

CHƯƠNG 2: THIẾT KẾ HỆ THỐNG 5

2.1 Hạ tầng của công ty 5

2.2 Dịch vụ hệ thống Firewall (Pfsense) 5

2.3 Lựa chọn nhà cung cấp dịch vụ: 6

CHƯƠNG 3: KẾT QUẢ THỰC HIỆN 11

3.1 Sơ đồ logic toàn bộ công ty ICC 11

3.2 Sơ đồ vật lý của công ty ICC 11

3.3 Xây dựng Firewall: 14

3.3.1 Alias 14

3.3.2 Port Forward 15

3.3.3 Cấu hình NAT 16

3.4 Chi phí toàn hệ thống: 21

CHƯƠNG 4: KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU 22

4.1 Các việc đã làm 22

4.2 Pfsense phát triển 22

TÀI LIỆU THAM KHẢO 23

CHƯƠNG 1 ĐẶT VẤN ĐỀ

I.1 Nhiệm vụ của đồ án

- Phân tích hệ thống mạng cho công ty.

Sử dụng Pfsense để đáp ứng số lượng nhiều hơn cho sự phát triển của công ty, đảmbảo từng phòng ban khác nhau Sử dụng được hệ thống Pfsense bảo vệ dữ liệu,quản lý phân vùng cơ cấu tổ chức của công ty, quản lý được thời gian truy cậpinternet của từng người truy cập Phân vùng xây dựng hệ thống để cấp các quyềntruy cập cho người dùng, đưa hệ thống máy chủ vào vùng DMZ

Với mô hình mạng trên ta sẽ đảm bảo được các yêu cầu về tốc độ xử lý, an toànthông tin và bảo mật dữ liệu cho web, dattabase Mô hình trên được phát triển theohướng có thể mở rộng các dịch vụ cho tượng lai, mô hình trên sẵn sàng đáp ứng cácnhu cầu về thêm các thiết bị như PC, IP Phone một cách dễ dàng Hệ thống web cóthể dùng để trả lời trực tiếp và những nhu cầu từ khách hàng

Hệ thống IXP riêng biệt có thể dễ dàng mở rộng các dịch vụ video conferencing dễdàng Với đường line riêng qua mạng LAN trong công ty được bảo vệ khỏi các cuộctấn công từ PSTN

PfSense hỗ trợ VPN trong sử dụng Internet Protocol Security (IPSec), OpenVPNhoặc PPTP Do có một số hạn chế với NAT nên IPSec VPN cũng bị hạn chế khi kếtnối thông qua NAT, hạn chế ở đây thể hiện ở chỗ thiếu đi sự hỗ trợ cho các máykhách VPN di động hoặc từ xa

- Xây dựng firewall quản trị hệ thống mạng.

Pfsense sử dụng cho một công ty, doanh nghiệp nhỏ là rất cần thiết pfsense bảo vệđược sự tấn công từ bên ngoài, tránh các loại virut xâm nhập và quản lý được nhữngnội dung, tài liệu quan trọng của công ty cần được bảo mật

Pfsense được sử dụng phổ biến cho nhiều công ty doanh nghiệp và sỹ nghiệp rộngdãi trong cả nước, nó như một hộp thư bí mật bảo về dữ liệu của mỗi công ty tránhđánh cắp các hacker bên ngoài làm hỏng hệ thống ăn cắp dữ liệu của công ty Ngoài

ra pfsense còn quản lý được từng người trong công ty đang truy cập kết nối và traođổi dữ liệu như thế nào, kiểm soát từng thời gian của các phòng trong công ty tránhkhe hở để các virut và hacker bên ngoài xâm nhập

I.2 Khảo sát hạ tầng của công ty.

1.2.1 Thông tin cơ bản

- Trụ sở: Tòa nhà 4 tầng với diện tích mặt sàn 120m2 (20x6), đạt tại số nhà 14 ngõ

68 Quan Nhân- Trung Hòa- Cầu Giấy- Hà Nội

Hệ thống phải được bảo mật, các hệ thống ngoài không nhìn thấy mô hình mạngbên trong cũng như các thiết bị Hệ thống các trang web để quảng bá công ty, giớithiệu sản phẩm và hệ thống VoiP

- Tầng 1 là phòng kinh doanh (9 người).

o 3 máy in và 1 máy scan

1.2.3 Yêu cầu cho hệ thống mới:

Sử dụng pfsense đáp ứng số lượng người dùng nhiều hơn cho sự phát triển của công

ty bây giờ và về sau

Đảm bảo từng phòng ban khác nhau, sử dụng được pfsense bảo vệ dữ liệu và bảo vệphòng máy chủ

Xây dựng hệ thống mới trên cơ sở cải tạo nâng cấp hệ thống cũ tránh các rủi rokhông nên có về sau của công ty Vì vậy xây dựng hệ thống pfsense nâng cấp hệthống cũ, chi phí thấp phù hợp cho xu hướng của các công ty nói chung

Phân quyền cho những người sử dụng truy cập trong công ty, cấp user truy cập vào

hệ thống mạng của công ty tránh các thành phần bên ngoài xâm nhập vào hệ thống.Đáp ứng được công việc trong thời gian dài, không bị sập hệ thống trong khi làmviệc hoặc giao dịch với khách hàng

CHƯƠNG 2: THIẾT KẾ HỆ THỐNG

II.1 Hạ tầng của công ty.

Công ty hiện có sự bố trí khoảng cách chỗ ngồi của các nhân viên chưa hợp lý.Khoảng cách các thiết bị chưa thật sự phù hợp tính vật lý Sự phân chia mạng giữacác phòng còn rắc rối, tốn kém Thiết bị của công ty bảo vệ cho công việc và bảomật cho dữ liệu của công ty còn chưa phù hợp, dễ bị đánh cắp và sự tấn công từ bênngoài phá hủy hệ thống tráo đổi dữ liệu cần thiết của công ty Dây mạng đi từ phòngnày qua phòng khác còn nhằng nhịt, các switch còn thừa các cổng Port Vlan chotừng phòng còn chưa có

II.2 Dịch vụ hệ thống Firewall (Pfsense)

Công ty sẽ lắp đặt hệ thống bảo mật tường lửa Firewall để đảm bảo cho công việc

sử dụng hàng ngày trong công ty Pfsense sẽ giúp công ty tránh khỏi các cuộc tấncông từ bên ngoài, các trang web chứa nhiều virut và các hacker xâm nhạp lấy cắptài liệu và phá vỡ hệ thống, quản lý công việc của từng nhân viên các hình thức truycập trang web và dữ liệu riêng của công ty Trong thời gian làm việc thì Firewall sẽchặn các trang web cấm của công ty đưa ra và được truy cập các trang web phục vụcho công việc, ngoài ra còn được truy cập các trang web phục vụ cho cá nhânnhưng không được tải và đăng những hình ảnh, video, âm thanh… Lên các trangweb được truy cập trong giờ làm việc Giờ làm việc của công ty làm việc theo giờhành chính từ 7h30’ đến 17h hàng tuần (trừ các ngày lễ nghỉ) Thời gian trực ca củacác nhân viên từ 18h đến 21h các ngày trong tuần Thứ 7 ở công ty chỉ có nhân viênphòng kỹ thật, kinh doanh và phòng kế toán làm việc từ 8h đến 16h Chủ nhật vàcác ngày lễ nghỉ ở công ty sẽ có 2 người trưởng phòng kỹ thuật tới bảo trì lại hệthống Firewall là một ứng dụng có chức năng định tuyến vào tường lửa mạnh vàứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sựbảo mật Phần mềm được thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diệnweb và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng.Firewall có thể đáp ứng được một mạng doanh nghiệp nhỏ và nó cũng dễ dàngtrong quản lý và cung cấp nhiều tính năng để như trong các sản phẩm thương mại.Mặc dù vậy một số tính năng đã được sử dụng trong các doanh nghiệp lớn vẫn cònnhiều hạn chế Pfsense VPN là một mạng riêng sử dụng hệ thống mạng công cộng

(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạngLAN ở công ty Hệ thống pfsense sẽ cải thiện hệ thống toàn bộ công ty, bảo mật antoàn kiểm soát thời gian chu toàn mọi việc trông công ty, nâng cấp bộ máy hệ thốngtránh các xâm nhập từ bên ngoài ăn cắp dữ liệu cần thiết trong công ty Đua công ty

đi lên một cách mạnh mẽ vững chắc trong các cuộc trao đổi kinh doanh của cácnhân viên công ty giao dịch trực tiếp với khách hàng và các như cầu khách hàng tớicông ty trực tiếp giao dịch

II.3 Lựa chọn nhà cung cấp dịch vụ:

- Nhà cung cấp: FPT

Chúng em đề xuất gói cước Fiber Goid để áp dụng cho công ty ICC

Modem Fiber Draytek vigor 2820 ADLS 2/2

Vigor2750 series dành cho tốc độ rất cao đường dây thuê bao kỹ thuật số 2(VDSL2) cơ sở hạ tầng, sự lựa chọn hiệu quả chi phí để nâng cấp cơ sở hạ tầng hiện

có xDSL-khi nhà điều hành triển khai FTTx cho mạng thế hệ kế tiếp (NGN).Vigor2750 series có một giao diện VDSL2 WAN và 4 Gigabit LAN chuyển đổi đểđảm bảo dữ liệu và các gói tin bằng giọng nói truyền đến các thiết bị phía kháchhàng cho các ứng dụng băng thông rộng, chẳng hạn như độ nét cao video, chơigame trực tuyến và điện thoại Internet / truy cập Ngoài ra, Vigor2750 series là thiết

bị tương lai chứng minh phù hợp với chính thức IPv6 (Internet Protocol version 6)sẵn sàng chứng nhận Với IPv6 sẵn sàng xác nhận, người dùng không cần phải lo

lắng về việc chạy ra địa chỉ của IPv4 hiện tại do sự tăng trưởng nhanh chóng của

việc sử dụng máy chủ mail, máy chủ FTP, máy chủ web, hệ thống ERP, CSM, giámsát hoặc truyền thông hợp nhất cho phía doanh nghiệp và triple play hoặc nhà tựđộng hóa cho đội chủ nhà / SOHO

Firewall Cisco ASA 5510-BUM-K9

- Cisco ASA 5510-BUM-k9 với số cổng kết nối 50xRJ45, tốc độ truyền dữ liệu10/100Mbps, giao thức TC/IP, OSPF, HTTP.Có các tính năng Firewall protection,VPNsupport, VLANsupport

- Core Switch Cisco 3550-12T 10 port 1G - 2 uplink GBIC, chạy cực tít , thích hợpdoanh nghiệp và văn phòng , ứng dụng cho tải cực nặng chạy 24/24 , supportLayer2/ Layer3 ip routte switch có đầy đủ tai rack , 2 fan hút như bễ lò rèn chạycực êm chạy được tất cả các port.Tốc độ đường truyền mạch 160Gbps, hỗ trợnhiều phương thức xác thực (Kerberos,SSH,RADIUS ) Hỗ trợ ARP,bóp trafficshiapng,PoE

Switch:Linksys SFE2000

- SR2024T hỗ trợ đặc tính chuyển mạch non-blocking, wire-speed cho các máy trạmtrong mạng truy nhập với tốc độ 10, 100, và 1000, cộng thêm nhiều sự lựa chọn chokết nối tới mạng trục chính 24 cổng 10/100/1000 hỗ trợ các trạm làm việc kết nối

có dây vào mạng trong khi 2 cổng miniGBIC cho phép mở rộng môi trường truyềnnhư cáp quang cho mạng trục chính

Với SR2024T, bạn có thể kết nối mạng 10/100 Ethernet sẵn có tới một đường trụcchính tốc độ Gigabit Tất cả các cổng của thiết bị đều có đặc tính tự động tìmMDI/MDI-X vì vậy bạn không phải lo lắng về loại cáp đang sử dụng Mỗi cổng củathiết bị là độc lập và có khả năng tự động điều chỉnh tốc độ tốt nhất và hoặc chạytheo chế độ half- hoặc full-duplex SR2024T vừa hỗ trợ đặc tính Address learning

và aging vừa hỗ trợ đặc tính điều khiển luồng dữ liệu theo chuẩn 802.3x giúp cácmáy trạm có thể hoạt động với tốc độ ổn định Đặc tính store-and-forward giúpngăn chặn mất các gói tin trong quá trình truyền dữ liệu qua mạng

SR2024T là thiết bị có độ tin cậy, tốc độ cao, được thiết kế với kiểu dáng và tínhnăng phù hợp với nhiều môi trường làm việc của mạng Có thể được đặt trên tủ racktrong hệ thống mạng của bạn

WIRELESS TP-LINK TD-W8980

- Modem ADSL2 +, Router NAT, 4-Port Gigabit Switch và Wireless N Access Point,

2.4GHz và 5GHz 300Mbps 300Mbps kết nối đồng thời cho 600MBps của tổng sốbăng thông có sẵn

Khả năng kết nối linh hoạt: ADSL hoặc Ethernet WAN cho nhiều loại kết nốiInternet, 2 cổng USB để chia sẻ lưu trữ, chia sẻ máy in, máy chủ FTP và MediaServer

SEVER

- Máy chủ IBM System x3650 M4 Trong nhiều năm lại đây, x3650 là dòng máy chủ

được nhiều doanh nghiệp vừa và nhỏ tại Việt Nam tin dùng với khả năng mở rộng

và nâng cấp dễ dàng ở mức giá hợp lý Với những lựa chọn như bộ vi xử lý XeonE5-2600 mới nhất sử dụng công nghệ sandy-bridge mới của Intel và khả năng cấp

mạng ảo 10GbE Virtual Fabric, x3650 M4 đơn giản hóa mọi thách thức mà cácdoanh nghiệp gặp phải Ngoài ra, x3650 M4 còn trang bị công nghệ ổ lưu trữ thểrắn (SSD) IBM eXFlash, đưa năng lực lưu trữ ở cấp độ doanh nghiệp lớn của IBMvào trong máy chủ rack 2 socket cho các doanh nghiệp tầm trung Công nghệ SSDgiúp nâng cao hiệu năng tới 30 lần và đạt được tỷ lệ gia tăng hiệu năng/watt tới90%, giúp các doanh nghiệp hỗ trợ các ứng dụng đòi hỏi khả năng xử lý dữ liệucao Ngoài ra, hệ thống x3650 M4 mới còn hỗ trợ danh mục giải pháp phân tíchthông minh IBM Smarter Analytics - một tập hợp các giải pháp phân tích nhỏ gọn,tích hợp, được hỗ trợ bởi các hệ thống System x 2-socket có mật độ lưu trữ caochạy kho dữ liệu IBM InfoSphere Data Warehouse cùng với phần mềm quản lý hiệunăng và thông tin hỗ trợ ra quyết định (Business Intelligence – BI) Cognos.

rack, kích thước 1U, phù hợp với các doanh nghiệp có yêu cầu cao về hiệu năng,mật độ, tính linh hoạt và tiết kiệm chi phí Máy chủ x3550 M4 có cùng hiệu năng về

xử lý dữ liệu và kết nối mạng như x3650 M4 nhưng chỉ với kích thước 1U Cácdoanh nghiệp có thể yên tâm triển khai các ứng dụng quan trọng với x3550 M4 nhờnhững tính năng dễ quản lý có khả năng tối đa hóa thời gian hoạt động và các tínhnăng sẵn có của một nhà cung cấp CNTT hàng đầu như khả năng tích hợp sẵnnguồn điện dự phòng và bảo vệ ổ cứng (RAID mirroring 1)

Máy chủ IBM System x3500 M4 là máy chủ dạng tháp 2 socket, được thiết kế vớikhả năng cung cấp hiệu năng ở cấp độ trung tâm dữ liệu trong một máy tínhdesktop Được hỗ trợ bộ nhớ 768GB, hỗ trợ 32 ổ cứng 2,5inch và bộ vi xử lý IntelXeon E5 – 2600 mới nhất, x3500 M4 phù hợp cho các doanh nghiệp mới phát triểnhoặc các doanh nghiệp có phòng ban phân tán Nhờ tính năng linh hoạt, doanhnghiệp chỉ cần đầu tư cho nhu cầu của hiện tại và dễ dàng mở rộng công suất trongtương lai khi có nhu cầu

CHƯƠNG 3: KẾT QUẢ THỰC HIỆN 3.1Sơ đồ logic toàn bộ công ty ICC.

Sơ đồ logic toàn bộ công ty

- Mô hình toàn công ty các thiết bị chính được tập chung ở phòng giám đốc, ngoài

ra để đảm bảo mức tín hiệu giữa các thiết bị có khoảng cách hơn 100m, ta dùngcác switch 24 cổng ở tâng 1 và 3

Mô hình mạng toàn công ty bao gồm:

Router: Hệ thống bao gồm 1 Router kết nối đến Internet

Hệ thống các máy chủ được đặt phong server có máy lạnh, máy chue Databasecấu hình mạng để đáp ứng nhu cầu xử lý và đồng bộ dữ liệu các tầng

Hệ thống Firewall là dùng để bảo vệ vùng CSDL: database server, DHCPserver… Web Firewall để bảo vệ vùng DMZ (chứa web Server)

3.2Sơ đồ vật lý của công ty ICC.

 Tầng 1 là phòng kinh doanh (9 người)

o 9PC,lap, IP Phone

o 3 máy in

o 3 máy Scan

o 1 Access Poin

Sơ đồ vật lý tầng 4

Do công ty có nhiếu nhân viên và quyền hạn của hầu hết mọi người là như nhau, vìvậy không cần phải quy hoạch địa chỉ IP, DHCP Server sẽ phụ trách phần chia địachỉ IP về máy của nhân viên Quản lý sẽ quản lý theo user ở trong đồ main

3.3.2 Port Forward

Tại menu tường lửa > NAT > chọn thẻ Port Forward, thực hiện tạo mới một ruleNAT cho phép các máy tính từ Internet truy cập máy chủ web trong vùng DMZ

NAT Webserver- DMZ

3.3.3 Cấu hình NAT

Cấu hình NAT Reflection

Đối với hạ tầng mạng phức tạp yêu cấu hình những rule linh động hơn để phù hợpvới kiến trúc mạng doanh nghiệp, ta có thể chọn Manual Outbound NAT với mụcđích tùy biến với rule hiện có

Rule mặc định được cấu hình tại card WAL

Rule được tạo tự động khi sử dụng NAT

Giao diện lập lịch Pfsense

Chỉ định thời gian working

Rule hoạt động

3.3.4 QoS

Cấu hình QoS dịch vụ mạng khác

Cấu hình các nhóm Gateway

Để đảm bảo các kết nối từ Internet có thể truy cập website, chúng tôi thực hiện tạo một rule trong tường lửa cho phép kết nối từ WAN dến Alias định nghĩa các máy chủweb.

Tạo Alias danh sách các máy chủ web

Danh mục máy chủ web