TRƯỜNG ĐẠI HỌC KINH TẾ KHOA THƯƠNG MẠI ĐIỆN TỬ ––––––––––––––––––––––––––––––– Học phần MẠNG VÀ TRUYỀN THÔNG Báo cáo THIẾT KẾ MẠNG LAN CHO DOANH NGHIỆP Tên Nhóm : Nhóm Lớp học phần : MIS3002_46K22.1 Sinh viên thực : Nguyễn Quỳnh Anh Nguyễn Thị Như Hồng Lê Thị Tiết Trinh Hà Thị Thanh Phan Thị Hoài Thương Dương Hoàng Thúy Vi Nguyễn Thị Huỳnh Viên Giảng viên hướng dẫn : Nguyễn Thị Uyên Nhi Đà Nẵng, 09/2022 Mục lục Giới thiệu doanh nghiệp va khảo sat hiện trạng mạng tại doanh nghiệp I Giới thiệu doanh nghiệp Khảo sát trạng doanh nghiệp II Mô hình mạng, phân loại mạng Mơ hình mạng Phân loại mạng áp dụng cho doanh nghiệp .5 III Cac thiết bị kết nối, phương tiện truyền thông IV Chia mạng 11 V Thiết kế bản vẽ mạng 12 VI Phương an an toan bảo mật cho mạng 14 VII Kết luận 17 I Giới thiệu doanh nghiệp va khảo sat hiện trạng mạng tại doanh nghiệp Giớớ́i thiệệ̣u doanh nghiệệ̣p UOYMedia Company cơng ty có tốc độ phát triển mạnh mẽ lĩnh vực thương mại điện tử xuyên biên giới Việt Nam Đây công ty chuyên thiết kế san xuất cac mặt hang in ấn POD cho thi trường Châu Mỹ va Châu Âu Ngoài cịn Thiết kế phần mềm cơng nghệ, cung cấấ́p dịch vụ giải pháp Digital Marketing… Cơng ty có năm kinh nghiệm thương mại điện tử với hàng triệu sản phẩm bán thị trườờ̀ng quốc tế nhờờ̀ phậệ̣n chủ chốt doanh nghiệp, bao gồm 50 nhân làm việc tồn thờờ̀i gian ngày phát triển khơng ngừng Hình 1: Giới thiệu doanh nghiệp Khảả̉o sát hiệệ̣n trạệ̣ng vềề̀ doanh nghiệệ̣p Cấấ́u trúc tòa nhà tổ chức hệ thống máy tính cơng ty Các phịng ban đặặ̣t vị trí tầng, cụ thể: Tâng 1: Gồm có Phịng Phịng thiết kế + Idea : 20 nhân viên Phịng hành - nhân sự: nhân viên Phịng kế tốn: nhân viên Phòng kỹỹ̃ thuật - IT: 15 nhân viên Phòng marketing: 10 nhân viên Phòng giám đốc: nhân viên Tầng 3: tầng quản lý tập trung máy chủ quan trọng công ty (5 server) II Mô hình mạng, phân loại mạng Mô hìề̀nh mạệ̣ng Thực truyền thông, kết nối thiết bị công ty với Internet thông qua mô hìề̀nh TCP/IP Mô hìề̀nh TCP/IP kết hợp hai giao thức Trong đó, IP giao thức liên mạng cho phép gói tin gửi đến khu vực định sẵn Giao thức thực cách thêm thơng tin dẫn đườờ̀ng vào gói tin để đến nơi định sẵn từ ban đầu Còn TCP - giao thức truyền vận giúp kiểm tra đảm bảo an tồn cho gói tin qua trạm Trong trình thực hiện, giao thức TCP nhận thấấ́y gói tin bị lỗi truyền tín hiệu yêu cầu hệ thống gửi lại gói tin khác Q trình làm rõ mục chức tầng mơ hìề̀nh TCP/IP Mơ hình tcp/ip gồm có tầng từ vật lý thấấ́p nhấấ́t đến tầng ứng dụng tầng cao nhấấ́t Tầng 4: Tầng ứng dụng (Application) Đây tầng giao tiếp mơ hình TCP/IP Tầng ứng dụng có vai trị giao tiếp liệu máy khác thông qua dịch vụ mạng (trình duyệt web, email, chat, số giao thức trao đổi liệu: SSH, SMTP, FTP, ) Khi đến tầng ứng dụng, liệu định dạng theo kiểu Byte nối Byte, với thông tin định tuyến giúp xác định đườờ̀ng gói tin Tầng 3: Tầng giao vận (Transport) Chức tầng xử lý vấấ́n đề giao tiếp máy chủ mạng hoặặ̣c khác mạng kết nối với nhờờ̀ định tuyến Ở tầng 3, liệu phân đoạn, đoạn khơng kích thước phải nhỏ 64KB Lúc này, cấấ́u trúc đầy đủ segment header chứa thông tin điều khiển tiếp đến liệu Trong tầng có giao thức cốt lõi TCP UDP TCP đảm bảo chấấ́t lượng gói tin tốn thờờ̀i gian lâu để kiểm tra đầy đủ thông tin (từ thứ tự việc kiểm soát vấấ́n đề tắc nghẽn lưu lượng liệu) Ngược lại, UDP giúp tốc độ đườờ̀ng truyền nhanh không đảm bảo chấấ́t lượng liệu gửi Tầng 2: Tầng mạng (Internet) Giống tầng mạng mơ hình OSI, tầng TCP/IP giao thức chịu trách nhiệm truyền tải liệu mạng cách logic Những phân đoạn liệu đóng gói (Packets) có kích thước phù hợp với mạng chuyển mạch dùng để truyền tải liệu Những gói tin chèn thêm phần header chứa thông tin tầng mạng chuyển đến tầng Những giao thức tầng bao gồm: ICMP, IP ARP Tầng 1: Tầng vật lý (Physical) Đây tầng chịu trách nhiệm truyền liệu hai thiết bị mạng Tại tầng 1, gói liệu đóng vào khung (Frame) định tuyến đến đích định ban đầu Phân loạệ̣i mạệ̣ng áp dụng cho doanh nghiệệ̣p a Phân loạệ̣i theo cấu hìề̀nh mạệ̣ng: Mạệ̣ng dạệ̣ng hìề̀nh Star Cấấ́u trúc liên kết mạng hình cấấ́u trúc liên kết sử dụng phổ biến nhấấ́t tính đơn giản hiệu Trong loại cấấ́u trúc liên kết này, nút tập trung nằm lõi cấấ́u trúc liên kết mạng, tấấ́t nút khác phải giao tiếp thông qua Cấấ́u trúc liên kết chủ yếu sử dụng gia đình văn phịng ngày Ưu điểm Dễ dàng cài đặặ̣t thực dây Dễ dàng khắc phục cố phát cố mạng Nếu thiết bị bị lỗi, khơng ảnh hưởng đến thiết bị khác mạng Bạn dễ dàng thêm hoặặ̣c bớt thiết bị mà không ảnh hưởng đến phần lại mạng Quản lý giám sát tập trung thông qua chuyển mạch trung tâm Nhược điểm Nhược điểm việc sử dụng cấấ́u trúc liên kết có điểm lỗi nhấấ́t, tức nút chuyển mạch trung tâm bị hỏng, có gián đoạn giao tiếp cho tấấ́t thiết bị kết nối Cần thêm hệ thống cáp bạn kết nối thiết bị riêng lẻ với nút trung tâm Hiệu suấấ́t toàn mạng phụ thuộc vào hiệu suấấ́t nút trung tâm b Phân loạệ̣i theo khoảả̉ng cách địệ̣a lý Sử dụng mạệ̣ng cục LAN Phạm vi kết nối tòa nhà tầng, nên hệ thống mạng LAN lựa chọn phù hợp, mang đến nhiều tiện ích cho cơng ty Ứng dụng mạng cục để máy tính hệ thống chia sẻ, sử dụng tài nguyên nhanh chóng, dễ dàng hay truy cập Internet Bên cạnh đó, cịn kết nối để truyền lệnh đến thiết bị ngoại vi máy in, máy scan, máy fax,… Hệ thống mạng Lan đại kết nối theo cách thông dụng sử dụng wifi (mạng cục không dây) sử dụng dây Ethernet kết nối (mạng cục nối dây) Trong đó: Mạng LAN Ethernet loại mạng Lan truyền thống Kiến trúc mạng cục kiểu thống bao gồm hoặặ̣c nhiều trung tâm, thiết bị chuyển mạch hoặặ̣c định tuyến truyền thống mà thiết bị riêng lẻ kết nối với thơng qua cáp Ethernet Mạng cục LAN wifi bao gồm hoặặ̣c nhiều điểm truy cập, thiết bị đặặ̣t phạm vi có tín hiệu kết nối không cần dây dẫn Các điểm truy cập quản lý lưu lượng mạng đến từ thiết bị cục giao tiếp mạng cục với mạng bên Đối với mạng LAN gia đình quy mơ nhỏ, định tuyến băng thông rộng không dây thực chức điểm truy cập Dù hệ thống mạng LAN có dây Ethernet hay mạng LAN khơng dây cho phép thiết bị kết nối trực tiếp với nhau, không thông qua thiết bị trung tâm Về giao thức mạng sử dụng mạng cục máy tính chủ yếu giao thức Internet (IP) Hầu hết hệ điều hành mạng phổ biến ngày có hỗ trợ tích hợp cho công nghệ TCP / IP cần thiết c Phân loạệ̣i theo chức Mô hìề̀nh mạệ̣ng khách - chủ( Client/Serve): Máy tính hoạt động máy chủ: cung cấấ́p tài nguyên dịch vụ cho máy trạm khác mạng Máy chủ hỗ trợ thao tác máy trạm khách hiệu Máy tính thiết bị ngoại vi hoạt động máy trạm: khơng cung cấấ́p tài ngun cho máy tính hoặặ̣c thiết bị ngoại vi khác mà sử dụng tài nguyên máy chủ cung cấấ́p Tùy thuộc vào nhu cầu công ty, máy khách mơ hình máy chủ mơ hình khác Ưu điểm Hoạt động bấấ́t kỳ máy tính hỗ trợ giao thức truyền thơng Mơ hình máy chủ khách mang đặặ̣c điểm phần mềm, khơng liên quan đến phần cứng, u cầu nhấấ́t máy chủ phải có cấấ́u hình cao máy khách Máy chủ khách hàng cung cấấ́p cho ngườờ̀i dùng nhiều dịch vụ khác tiện lợi việc truy cập từ xa khơng có mẫu máy cũ Nhược điểm Khả bảo mật nhu cầu trao đổi liệu máy trạm máy chủ Ln phải có máy chủ hoạt động 24/7 để trì tồn hệ thống mạng Vì phụ thuộc vào máy chủ nên máy chủ bị lỗi tồn hệ thống mạng dừng Chi phí lắp đặặ̣t cao d Phân loạệ̣i theo phương thức truyềề̀n tin Point to point Trong hệ thống mạng này, máy tính nối lại với thành cặặ̣p nút nút có trách nhiệm lưu trữ tạm thờờ̀i sau đườờ̀ng truyền rỗi Khung liệu gửi truyền trực tiếp từ máy gửi đến máy nhận hoặặ̣c chuyển tiếp qua nhiều máy trung gian trước đến máy tính nhận Do mà mạng loại gọi mạng "lưu chuyển tiếp" (store and forward) Kết nối point to point Wifi giúp chia sẻ tài liệu ứng dụng bảo mật riêng doanh nghiệp UOYMedia Company Với đảm bảo có nhấấ́t hệ thống quản lý LAN nhấấ́t quán Tốc độ - data rate thông lượng - throughput phải cao, chấấ́t lượng phải đủ cạnh tranh với cách kết nối mạng có dây Tạo nhiều cầu nối khác nhau, phục vụ nhiều ngườờ̀i dùng lúc Nhanh chóng khơi phục độ phủ sóng truyền tải vơ tuyến có thiên tai: lũ lụt, hoả hoạn, lỗi nhà cung cấấ́p (dây truyền mạng đứt, trạm phát sóng vơ tuyến bị hư hại, ) Một kế hoạch dự phòng cho cố doanh nghiệp hoạt động đặặ̣c thù liên quan việc 24/24 thông tin phải thông suốt liên tục III Cac thiết bị kết nối, phương tiện truyền thông Stt Tên Server Switch 24 port Switch 16 port Switch port Modem Firewall Router Máy in Client 10 Đầu cáp RJ 11 Dây cáp 12 Cáp quang Switch Cisco SF95D-08 Thiết bị chuyển mạch Cisco 95 Series cung cấấ́p giải pháp dễ sử dụng cho mạng lưới doanh nghiệp nhỏ c Dễ sử dụng: thiết bị chuyển mạch Cisco 95 Series hoạt động hộp, khơng có phần mềm để cài đặặ̣t khơng có để cấấ́u hình Mỗi cổng chuyển mạch tự động đặặ̣t tốc độ tối ưu xác định xem có chạy tự động chế độ nửa hoặặ̣c chế độ song cơng hồn tồn hay khơng Là giải pháp Cisco dựa tiêu chuẩn, thiết bị chuyển mạch dòng Cisco 95 Series thiết kế để chứa tấấ́t thiết bị mạng bạn, bao gồm: – Hỗ trợ tốc độ 10 Mb / giây, 100 Mbps tối đa Gb / giây (1000 Mbps) mạng – Phát cáp tự động, bạn lo lắng việc sử dụng loại cáp sai – Tương thích với thiết bị mạng từ nhà cung cấấ́p khác Switch Cisco SF350-24-K9-EU Cisco SF350-24-K9-EU thiết kế tối giản mục đích sử dụng với 24 Port RJ45 tốc độ 10/100Mbps, kèm theo cổng 10/100/1000, kết hợp miniGBIC phục vụ cho kết nối LAN dòng cao Tự động chuyển chế độ cáp thẳng (MDI/MDI-X) với tính địa học tập Kiểm soát lưu lượng liệu giúp cho việc truyền tải liệu tối ưu Switch Cisco 16 Port 10/100 SF90D-16 Sở hữu tới 16 cổng kết nối có tốc độ 10/100/1000Mbps giúp q trình truyền nhận tín hiệu diễn nhanh chóng, Switch Cisco 16 cổng rấấ́t thích hợp dùng cho đơn vị, doanh nghiệp có quy mơ vừa nhỏ Hơn thế, loại thiết bị cịn có khả loại bỏ tấấ́t gói tin bị lỗi, đồng thờờ̀i tiết kiệm tới 15% điện kiểm soát luồng IEEE 802.3x cho Full Duplex Backpressure cho Half Duplex Đặặ̣c biệt, với Switch Cisco 16 cổng sở hữu cấấ́u trúc chuyển mạch non - blocking giúp chuyển tiếp lọc gói tin với tốc độ nhanh cho thơng lượng cao Cũng giống Switch Cisco 16 cổng gigabit cấấ́u tạo, công dụng, Switch Cisco 16 cổng 10/100Mbps lại trang bị thêm tính nhận biết thơng minh, giúp thiết bị tự động chuyển đổi sang cáp thẳng hoặặ̣c cáp chéo Cáp quang UTP (cat 6e) Cáp mạng UTP, loại cáp thườờ̀ng sử dụng nhiều nhấấ́t doanh nghiệp có quy mô vừa nhỏ So với loại dây cáp mạng khác, Cat6A có cấấ́u tạo đặặ̣c biệt Điều cho phép Cat6A mang lại khả truyền tải liệu nhanh với khoảng cách xa - Cấấ́u tạo: Cat6A cấấ́u tạo từ thành phần sợi cáp (4 cặặ̣p dây đồng, rãnh tứ chống nhiễu chéo, lớp bọc PS cách nhiệt, lớp băng nhôm chống nhiễu, cắt vỏ lớp vỏ PVC bảo vệ) Lớp vỏ bọc cáp Cat6 làm từ nhựa dẻo PVC rấấ́t khó cháy với khả đàn hồi cao giúp cho dây chịu tác động trước thấấ́t thườờ̀ng thiên nhiên tác nhân bên ngồi Cat6A có khả dẫn truyền thông tin tốt mà không chịu nhiều ảnh hưởng điều kiện môi trườờ̀ng Băng thông Cat6A đạt tới 500 MHZ Cáp đồng trục RG-6 Đây loại cáp sở hữu độ dày vừa đủ, khả chống nhiễu chống chọi môi trườờ̀ng khắc nghiệt tốt Loại cáp RG 59 sử dụng cho nhiều mục đích ngồi trờờ̀i, âm trần hoặặ̣c nhà Loại dây có giá thành cao RG 59 chủ yếu dùng nhiều cho cơng trình văn phịng, building, tịa nhà, dự án Khoảng cách tối đa RG-59 300-400m Đầu nốớ́i RJ-45 Các dây cáp RJ45 sử dụng phổ biến kết nối mạng LAN (mạng máy tính cục bộ), cho phép máy tính gần kết nối để làm việc chia sẻ liệu Firewall: ASA5585X Cisco ASA ASA5508-K8 với dịch vụ FirePOWER tườờ̀ng lửa hệ - nextgeneration firewall (NGFW) Cisco, có chức IPS, mang đến dịch vụ bảo mật tập trung vào mối đe dọa đặặ̣c biệt Cisco ASA ASA5508-K8 bảo vệ toàn diện hệ thống mạng khỏi mối đe dọa biết nâng cao, bao gồm bảo vệ chống lại tấấ́n công phần mềm độc hại nhắm mục tiêu liên tục Cisco ASA ASA5508-K8 sử dụng cho doanh nghiệp vừa nhỏ với số lượng user ít, hoặặ̣c sử dụng làm firewall VLAN nhỏ Hỗ trợ VPN Site -to-site remote access VPN, cung cấấ́p khả truy cập hiệu suấấ́t cao, bảo mật cao tính sẵn sàng cao để giúp đảm bảo tính liên tục doanh nghiệp Cisco ASA5508-K8 tườờ̀ng lửa trạng thái cấấ́p doanh nghiệp triển khai rộng rãi nhấấ́t giới Cisco ASA5508-K8 với dịch vụ FirePOWER có tính tồn diện sau: Khả hiển thị kiểm soát ứng dụng chi tiết (AVC) hỗ trợ 4.000 lớp ứng dụng hoạt động dựa sách phát mối đe dọa xâm nhập (IPS) phù hợp để tối ưu hóa hiệu bảo mật Cung cấấ́p khả ngăn chặặ̣n mối đe dọa nhận thức đầy đủ ngườờ̀i dùng, sở hạ tầng, ứng dụng nội dung để phát mối đe dọa Lọc URL danh mục, cung cấấ́p cảnh báo tồn diện kiểm sốt lưu lượng truy cập web thực thi sách hàng trăm triệu URL 80 danh mục AMP cung cấấ́p cung cấấ́p chế phát phần mềm đọc hại, sandbox, với tổng chi phí sở hữu thấấ́p giá trị bảo vệ cao cấấ́p giúp bạn khám phá, hiểu ngăn chặặ̣n phần mềm độc hại mối đe dọa bị lớp bảo mật khác bỏ qua Router Draytek Vigor2926 Dòng Router Draytek 2926 Series cho phép kết nối đồng thờờ̀i lên đến đườờ̀ng Internet, cân tải hoặặ̣c chuyển đổi dự phịng Vigor2926 series khơng thiết bị kết nối Internet đáng tin cậy, mà cổng kết nối tườờ̀ng lửa linh hoạt máy chủ VPN, thiết bị bao gồm tính quản lý mạng LAN tồn diện VLAN, quản lý băng thơng (Bandwidth Management), quản lý dịch vụ (Quality of service), kiểm sốt DNS, giúp Vigor2926 trở thành giải pháp hồn hảo cho doanh nghiệp Ưu điểm: Cổng WAN kép + kết nối modem di động USB với khả chuyển đổi dự phòng Bảng điều khiển nhấấ́t quản lý từ xa switch mạng điểm truy cập Hỗ trợ VPN cho kết nối từ xa Nhược điểm: Cần thiết bị DrayTek khác cho nhiều mục đích sử dụng Cần nhiều kiến thức để tìm hiểu tính chun sâu Thơng lượng khơng dây trung bình phạm vi xa DrayTek Vigor 2926 router cao cấấ́p phù hợp với doanh nghiệp vừa nhỏ đủ thân thiện với ngườờ̀i dùng đủ mạnh để cung cấấ́p tốc độ Internet phát triển hệ thống mạng mở rộng Máy in Canon LBP3300: Chấấ́t lượng in tốt Dễ sử dụng Phần mền tốt Hỗ trợ kỹỹ̃ thuật tốt 10 Máy Chủ Dell PowerEdge T40 Là dịng máy chủ Dell có cấấ́u hình cao giá vô hợp lý Là sản phẩm hỗ trợ tốt nhấấ́t cho doanh nghiệp phát triển hoặặ̣c công ty khởi nghiệp Server Dell T40 hỗ trợ tính giải tấấ́t khối lượng công việc như: Lưu trữ, chia sẻ, bảo mật liệu Ưu điểm: Cấấ́u hình mạnh mẽ, thiết kế nhỏ gọn: Dell PowerEdge T40 dạng Tower máy chủ chuyên biệt cho tổ chức hay chi nhánh văn phòng với sở hạ tầng hai server Thiết kế dạng đứng nhỏ gọn giúp dễ dàng xếp linh hoạt cho không gian làm việc Tối ưu hiệu suấấ́t làm việc: giúp doanh nghiệp chia sẻ, cung cấấ́p liệu nhanh chóng, cụ thể cho đội ngũ nhân hay đối tác, khách hàng mà khơng cần phải tốn thờờ̀i gian, di chuyển, phí chuyển đổi… 11 Dell PowerEdge T40 Được sử dụng ứng dụng: Ứng dụng tương tác chia sẻ công việc Ứng dụng cho hệ thống Email/Messaging Ứng dụng cho khối văn phịng, tài ngân hàng Các ứng dụng thương mại điện tử, bán hàng trực tuyến IV Chia mạng Room Subnet ID Subnet Mask Broadcast Phòng thiếớ́t kếớ́ + Idea Phịng hành - nhân Phịng kếớ́ tốn Phịng kỹ tḥệ̣t - IT Phịng marketing Phịng giám đớớ́c V Thiết kế bản vẽ mạng Có tấấ́t server, server chạy dịch vụ khác để tiết kiệm chi phí Chi tiết dịch vụ mơ hình chức sau: Hình 2: Mơ hình chức Hình 3: Mơ hình vật lý Hình 4: Mơ hình IP Chi tiết cơng nghệ sử dụng: Sử dụng Window Server 2003 để cài đặặ̣t quản lý tấấ́t dịch vụ quan trọng công ty File server: Lưu trữ, chia sẽ, quản lý liệu tập trung Domain Controller, DNS, DHCP server: quản lý hệ thống đối tượng, phân giải tên, cấấ́p phát IP động cho toàn vùng mạng LAN Web, FTP, Printer server: Quản lý web, ftp máy in mạng RIS, WSUS: triển khai hệ điều hành, cập nhật vá lỗi cho hệ thống RRAS, Antivirus: làm chức router (Lan-Routing, VPN, NAT), quản lý vi quét virus cho antivirus client máy nhân viên cập nhật diệt virus từ internet VI Phương an an toan bảo mật cho mạng Tính bảo mật thể ba phương diện: Vùng mạng nội hệ thống kết nối thiết bị doanh nghiệp bao gồm: máy chủ, thiết bị mạng, trạm mạng Vùng mạng DMZ giữ vai trị việc kết nối thơng tin ngườờ̀i sử dụng mạng Internet truy cập vào vùng mạng nội Vùng nằm trung gian, vùng mạng nội vùng mạng server Vùng mạng server vùng hoạt động thiết bị gián tiếp bao gồm máy chủ nơi cung cấấ́p dịch vụ ngồi internet Vùng DMZ kếớ́t hợp hệệ̣ thớớ́ng tường lửa đa tầng DMZ(Demilitarized Zone) vùng nằm LAN(Local Area Network) internet DMZ nơi chứa server cung cấấ́p service cho host LAN host từ LAN bên Là bước cuối packet qua trước truyền vào internet, nơi packet đến trước vào mạng LAN Nếu hacker từ mạng bên ngồi kiểm sốt public server Web, Mail, FTP? Rấấ́t hacker dựa vào server bị chiếm đoạt để đánh vào server khác (như DNS, DHCP, Directory Service…) thâm nhập sâu vào máy trạm bên Vậy để giảm thiệt hại cho host LAN ta dùng DMZ DMZ có đườờ̀ng mạng hoặặ̣c subnet mạng khác với mạng internal host từ mạng LAN khác truy cập đến host LAN sử dụng dịch vụ mà DMZ cung cấấ́p Hệ thống tườờ̀ng lửa đa tầng Firewall thứ nhấấ́t (được gọi front-end firewall) có NIC nối với mạng external (external interface) NIC lại nối với DMZ (internal interface) Front-end firewall có nhiệm vụ kiểm soát traffic từ Internet tới DMZ mạng internal Firewall thứ hai (được gọi back-end firewall) có NIC nối với DMZ (external interface) NIC lại nối với mạng internal (internal interface) Back- end firewall có nhiệm vụ kiểm sốt traffic từ DMZ Internet tới mạng internal Rõ ràng, so với single firewall giải pháp tốn chi phí triển khai phải đầu tư tới hai thiết bị firewall tách biệt mặặ̣t hiệu suấấ́t độ an toàn cho hệ thống mạng cải thiện Hệệ̣ thớớ́ng phịng chớớ́ng xâm nhậệ̣p Hiện hình thức tấấ́n cơng ngườờ̀i có ý đồ xấấ́u ngày nhiều tinh vi Ví dụ: Trong đơn vị tự cài đặặ̣t cơng cụ (Ethereal, Cain & abel…) máy tính làm việc hoặặ̣c máy tính xách tay để tiến hành nghe hay quét trực tiếp lên máy chủ, từ lấấ́y tài khoản email, Web, SQL server nhằm thay đổi liệu, thay đổi lịch cơng tác…các hình thức tấấ́n công kiểu này, hệ thống tườờ̀ng lửa phát [3] Giải pháp hữu hiệu cho thực trạng xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion prevention system) IDS/IPS hệ thống bảo mật vô quan trọng, có khả phát tấấ́n công dựa vào dấấ́u hiệu thiết lập sẵn hoặặ̣c đoạn mã độc hại, bấấ́t thườờ̀ng giao thơng mạng; đồng thờờ̀i loại bỏ chúng trước gây hại cho hệ thống IPS thườờ̀ng đặặ̣t phía sau Firewall hoạt động lọc thứ cấấ́p hoạt động độc hại Do IDS (Intrusion Detection System) đặặ̣t inline nên chúng có khả phân tích thực tác vụ tự động tấấ́t luồng lưu lượng mạng Các tác vụ bao gồm cảnh báo cho quản trị viên, lược bỏ gói tin nguy hiểm, tạm dừng lưu lượng truy cập đến từ địa nguồn độc hại khởi động lại kết nối Hệ thống IPS hoạt động hiệu phải đảm bảo giảm thiểu tối đa việc cản trở hiệu truy cập mạng Ngoài ra, hệ thống IPS phải hoạt động đủ nhanh xác để phát hoạt động độc hại theo thờờ̀i gian thực giảm thiểu cảnh báo giả Sử dụng thiếớ́t bịệ̣ chuyên dụng có tính bảả̉o mậệ̣t phong phú Router TP-Link R605 Access Point TP-Link EAP245 dành cho doanh nghiệp có quy mô sử dụng 80 thiết bị TP-Link R605 cho phép doanh nghiệp quản lý từ xa tập trung lúc nơi Sản phẩm có VPN bảo mật cao sở hữu tính bảo mật phong phú: Tườờ̀ng lửa mạnh mẽ: Các sách tườờ̀ng lửa nâng cao bảo vệ mạng liệu bạn Hỗ trợ VLAN thuận tiện: Tạo phân đoạn mạng ảo để tăng cườờ̀ng bảo mật quản lý mạng đơn giản DoS Defense: Tự động phát chặặ̣n tấấ́n công Từ chối Dịch vụ (DoS) TCP / UDP / ICMP Flooding, Ping of Death mối đe dọa liên quan khác Lọc IP / MAC / URL: Ngăn chặặ̣n mạnh mẽ vi rút tấấ́n công từ kẻ xâm nhập Liên kết IP-MAC: Dành riêng định IP tĩnh cho máy khách để bảo vệ chống lại tấấ́n cơng ARP giả mạo Kích hoạt ALG cú nhấấ́p chuột: Kích hoạt ALG lần nhấấ́p cho ứng dụng FTP, H323, SIP, IPsec PPTP TP- Link EAP245 đặặ̣c biệt thiết kế cho mơi trườờ̀ng doanh nghiệp địi hỏi u cầu Wifi khắt khe nhấấ́t trườờ̀ng học, khách sạn doanh nghiệp TP-Link EAP245 có thiết kế gắn trần đơn giản, cung cấấ́p tổng tốc độ Wi-Fi 1750Mbps tính bảo mật phong phú lựa chọn hàng đầu cho doanh nghiệp vừa nhỏ: Bảo mật mạng khách với nhiều tùy chọn xác thực(SMS/Facebook Wi-Fi/ Voucher,v.v.) Mạng khách cung cấấ́p quyền truy cập an toàn cho khách chia sẻ mạng Wi-Fi doanh nghiệp với tính Captive Portal giúp doanh nghiệp kiểm sốt khách định truy cập vào mạng Việc bổ sung tính xác thực SMS Facebook giúp đơn giản hóa cổng thơng tin cá nhân, nhằm giúp việc kết nối với khách hàng dễ dàng quảng bá doanh nghiệp bạn Internal Firewall Kaspersky Thảm họa virus hệ thống mạng ám ảnh làm việc công ty Khi virus lây lan hệ thống làm hệ thống đóng băng hoặặ̣c hoạt động không ổn định, gây ảnh hưởng đến hoạt động công ty đặặ̣c biệt cơng ty có xương sống mạng máy tính – hoạt động dựa mạng máy tính.Để đề phịng lây nhiễm virus lây lan phát tán virus hệ thống, cài đặặ̣t hệ thống phịng chống virus thực cần thiết.Nhóm chúng tơi định sử dụng phần mềm Kaspersky Endpoint Security để thực công việc Khảả̉ bậệ̣t Kaspersky Endpoint Security Kaspersky Endpoint Security for Business sở hữu công nghệ chống phần mềm độc hại nhấấ́t Kaspersky Lab, kết hợp biện pháp bảo vệ dựa chữ ký, chủ động có hỗ trợ web để phòng vệ hiệu quả, nhiều cấấ́p Cùng với cập nhật tự động từ Mạng Bảo mật Kaspersky tảng điện toán đám mây, Kaspersky cung cấấ́p phản ứng nhanh mối đe dọa phát triển Bên cạnh khả chống phần mềm độc hại, Kaspersky Endpoint Security for Business cịn bao gồm cơng nghệ qt lỗ hổng cơng nghệ quản lý vá lỗi giúp tiêu diệt lỗ hổng hệ điều hành phần mềm ứng dụng Hơn nữa, chức mã hóa linh hoạt Kaspersky Endpoint Security for Business giúp bảo vệ liệu cơng ty trườờ̀ng hợp máy tính xách tay hoặặ̣c thiết bị lưu trữ tháo rờờ̀i, bị mấấ́t hoặặ̣c bị đánh cắp Cách thức hoạệ̣t động Kaspersky Endpoint Security chia thành lớp Lớp hệ thống tườờ̀ng lửa an ninh có nhiệm vụ chặặ̣n xâm nhập chưa phân quyền bấấ́t hợp pháp Tầng hạn chế truy cập số lượng lớn tấấ́n công DDoS thườờ̀ng diễn làm tê liệt hệ thống Tầng thứ hai quản lý việc truy xuấấ́t liệu thông qua việc phân quyền Nó giúp chặặ̣n đứng yêu cầu truy x́ấ́t liệu khơng phù hợp hay có nghi vấấ́n đề chờờ̀ xử lý, đồng thờờ̀i tiêu diệt mã độc phát Tầng rấấ́t quan trọng việc bảo vệ liệu công ty loại liệu hệ thống quan trọng tầng lưu giữ chi phối Và tầng cuối tầng đảm bảo cho việc phục hồi với hệ thống lưu tự động đảm nhận nhiệm vụ khơi phục liệu bị xóa hay bị mã hóa Mơ hìề̀nh triển khai Kaspersky Security Center (KSC) quản lý tập trung máy chủ, máy trạm theo cấấ́p độ khác theo mô hình Master-Slave có chế cập nhật tự động hoặặ̣c thủ công giúp giảm tiêu tốn tài nguyên mạng Như sơ đồ trên, mô hệ thống triển khai theo nhiều cấấ́p độ, giúp bảo vệ trụ sở theo số lượng máy tính khác, bảo vệ chi nhánh ngườờ̀i dùng công tác VII Kết luận Để xây dựng mạng máy tính cho cơng ty, cần xác định nhu cầu tương lai công ty Khi bạn hiểu rõ nhu cầu việc xây dựng mạng lưới văn phịng bạn trở nên dễ dàng nhiều Trên toàn nội dung thiết kế mạng LAN cho doanh nghiệp UOYMedia Company Một công ty phát triển lĩnh vực thương mại điện tự Đà Nẵng Trong phần báo cáo này, chúng em tìm hiểu được: Mơ hinh mang, phân loai mang Cac thiêt bi kêt nôi, phương tiên truyên thông Chia mang Thiêt kê ban ve mang Phương an an toan bao mât cho mang Bảả̉ng phân công nhiệệ̣m vụ nhóm ... thống mạng Lan đại kết nối theo cách thông dụng sử dụng wifi (mạng cục không dây) sử dụng dây Ethernet kết nối (mạng cục nối dây) Trong đó: Mạng LAN Ethernet loại mạng Lan truyền thống Kiến trúc mạng. .. truy cập Dù hệ thống mạng LAN có dây Ethernet hay mạng LAN khơng dây cho phép thiết bị kết nối trực tiếp với nhau, không thông qua thiết bị trung tâm Về giao thức mạng sử dụng mạng cục máy tính... chủ, thiết bị mạng, trạm mạng Vùng mạng DMZ giữ vai trị việc kết nối thơng tin ngườờ̀i sử dụng mạng Internet truy cập vào vùng mạng nội Vùng nằm trung gian, vùng mạng nội vùng mạng server Vùng mạng