Việc sử dụng máy tính trong doanh nghiệp như một công cụ để phụcvụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệthống mạng trong doanh nghiệp là rất thiết thực để có mộ
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI TẬP LỚN
Trang 2LỜI MỞ ĐẦU
Trong xu hướng phát triển của xã hội ngày nay, công nghệ thông tinluôn có mặt ở bất cứ lĩnh vực, ngành nghề nào Mạng lưới công nghệ
muốn cập nhật thông tin một cách nhanh nhất và chính xác nhất Trênthực tiễn đó các doanh nghiệp cũng không thể thiếu việc áp dụng côngnghệ thông tin vào doanh nghiệp của mình để quản lý và phát triển Đối với các doanh nghiệp hiện nay đặc biệt là doanh nghiệp có nhiềuchi nhánh ở những vị trí địa lý xa nhau thì việc quản lý và chia sẻ tàinguyên giữa các chi nhánh rất khó khăn và tốn chi phí nếu không cócông nghệ thông tin
Việc sử dụng máy tính trong doanh nghiệp như một công cụ để phục
vụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệthống mạng trong doanh nghiệp là rất thiết thực để có một hệ thống quản
lý tốt, an toàn, có độ bảo mật cao, chi phí hợp lý và thuận tiện trong việctrao đổi thông tin giữa các chi nhánh,…
Với những lý do trên chúng tôi quyết định lựa chọn đề tài “Thiết lập
mô hình mạng an toàn có 3 vùng ( Internet, DMZ, LAN) sử dụng phầnmềm Cisco Packet Tracer” Đề tài rất thực tế và phù hợp với các yêu cầuđặt ra hiện nay cho các tổ chức, doanh nghiệp và nó còn giúp chúng tôi
có thêm kinh nghiệm
Trang 3MỤC LỤC
CHƯƠNG 1: MÔ HÌNH MẠNG AN TOÀN
1.1 Mạng an toàn
1.1.1 Khái niệm
1.1.2 Biện pháp
1.1.3 Lợi ích
1.2 Mô hình mạng an toàn
1.2.1 Khái niệm
1.2.2 Yếu tố
1.2.3 Thành phần
1.2.4 Mô hình 13
CHƯƠNG 2: KĨ THUẬT VÀ CÔNG CỤ SỬ DỤNG 16
2.1 Công cụ Cisco Packet Tracer 16
2.2 Virtual Local Area Network (VLAN) 16
2.2.1 Khái niệm 16
2.2.2 Cách thức hoạt động 16
2.2.3 Ưu điểm của VLAN 17
2.2.4 Nhược điểm của VLAN 17
2.2.5 Ứng dụng của VLAN 18
2.3 Network Address Translation (NAT) 18
2.3.1 Khái niệm 18
2.3.2 Chức năng chính của NAT 18
2.3.3 Ưu điểm của NAT 19
2.3.4 Nhược điểm của NAT 19
CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VÀ KẾT QUẢ 20
3.1 Xây dựng mô hình mạng an toàn 20
3.2 Cấu hình VLAN trên các thiết bị 21
3.2.1 Cấu hình VLAN trên router r2 21
3.2.2 Cấu hình VLAN trên Switch 22
Trang 43.2.3 Cấu hình trunk trên switch 22
3.3 Cấu hình NAT trên router 22
3.3.1 Cấu hình access list trên router r2 22
3.3.2 Cấu hình NAT overload trên router r2 23
3.4 Thực hiện kiểm tra kết quả 23
KẾT LUẬN 25
Trang 5DANH MỤC HÌNH ẢNH
Hình 1 1 Mạng an toàn
Hình 1 2 Mô hình mạng an toàn
Hình 1 3 Firewall
Hình 1 4 DMZ
Hình 1 5 Mạng LAN 10
Hình 1 6 Vùng mạng DMZ 10
Hình 1 7 Cấu trúc vùng DMZ 11
Hình 1 8 Vùng mạng server 13
Hình 1 9 Mô hình mạng 1 tường lửa 14
Hình 1 10 Mô hình mạng 2 tường lửa 14
Hình 1 11 Mô hình mạng 3 tường lửa 15
Hình 3 1 Xây dựng mô hình mạng an toàn 21
Hình 3 2 Cấu hình mạng VLAN trên route r2 22
Hình 3 3 Cấu hình mạng VLAN trên switch 23
Hình 3 4 Cấu hình trunk trên switch 23
Hình 3 5 Cấu hình access list trên router r2 23
Hình 3 6 Cấu hình Nat overload trên router r2 24
Hình 3 7 Ping từ PC7 bên ngoài internet đến r2 24
Hình 3 8 Ping từ PC1 trong VLAN1 đến địa chỉ 123.24.25.254 24
Hình 3 9 Ping từ PC2 trong VLAN2 đến địa chỉ 123.24.25.254 25
Hình 3 10 Ping từ PC5 trong VLAN3 đến địa chỉ 123.24.25.254 25
Trang 6CHƯƠNG 1: MÔ HÌNH MẠNG AN TOÀN
1.1 Mạng an toàn
1.1.1 Khái niệm
Mạng an toàn (hoặc mạng bảo mật) là một hệ thống mạng được thiết kế
và triển khai để bảo vệ thông tin, dữ liệu và các tài nguyên quan trọng khỏicác mối đe dọa và tấn công từ các nguồn bên ngoài Mục tiêu chính của mạng
an toàn là đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của thông tin trongmạng
Hình 1 1 Mạng an toàn
Mạng an toàn bao gồm việc áp dụng các biện pháp bảo mật và quản lý rủi
ro để đối phó với các mối đe dọa mạng Dưới đây là một số khía cạnh quantrọng trong mạng an toàn:
● Xác thực và Quản lý truy cập: Mạng an toàn thực hiện xác thực
người dùng và quản lý quyền truy cập vào các tài nguyên mạng Điềunày đảm bảo rằng chỉ những người dùng được ủy quyền mới có thểtruy cập vào thông tin và dữ liệu quan trọng, và hạn chế sự truy cập củanhững người không được phép
● Mã hóa dữ liệu: Mã hóa dữ liệu là quá trình chuyển đổi thông tin
thành dạng không đọc được trước khi nó được truyền qua mạng Mã
Trang 7hóa giúp đảm bảo rằng dữ liệu không thể bị đánh cắp hoặc hiểu đượcbởi các bên không được ủy quyền.
● Bảo vệ chống lại tấn công mạng: Mạng an toàn sử dụng các công
nghệ và biện pháp bảo mật như tường lửa, phát hiện xâm nhập, phòngngừa tấn công từ chối dịch vụ (DDoS), và các biện pháp phòng thủkhác để ngăn chặn và giảm thiểu các cuộc tấn công mạng
● Quản lý an ninh: Mạng an toàn đòi hỏi việc triển khai và quản lý các
công cụ và quy trình để phát hiện, giám sát và xử lý các sự cố bảo mật.Điều này bao gồm việc thực hiện kiểm tra an ninh định kỳ, cập nhật và
vá lỗi hệ thống, và tuân thủ các tiêu chuẩn an ninh
● Giáo dục và nhận thức: Mạng an toàn cũng đòi hỏi việc đào tạo người
dùng và nhân viên về các vấn đề liên quan đến an ninh mạng, như cáchphòng ngừa các cuộc tấn công, sử dụng mật khẩu mạnh, và phân biệtcác thủ đoạn xâm nhập Tăng cường nhận thức an ninh trong tổ chức làmột phần quan trọng để đảm bảo mạng an toàn
Mạng an toàn là một yếu tố cơ bản trong việc xây dựng và duy trì một môitrường kết nối an toàn và đáng tin cậy Đối với các tổ chức và doanh nghiệp,mạng an toàn giúp bảo vệ thông tin quan trọng, ngăn chặn sự mất mát kinh tế,
và duy trì niềm tin của khách hàng và đối tác
1.1.2 Biện pháp
Mạng an toàn là một mạng máy tính được thiết kế để bảo vệ thông tin
và tài sản khỏi các mối đe dọa Mạng an toàn sử dụng một loạt các biện phápbảo mật để ngăn chặn các cuộc tấn công mạng, chẳng hạn như truy cập tráiphép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại
Các biện pháp bảo mật phổ biến được sử dụng trong mạng an toàn bao gồm:
● Mật khẩu và xác thực: Mật khẩu và xác thực là một trong những biện
pháp bảo mật quan trọng nhất Mật khẩu phải mạnh và được thay đổi
Trang 8thường xuyên Xác thực hai yếu tố (2FA) cung cấp một lớp bảo mật bổsung bằng cách yêu cầu người dùng cung cấp một mã một lần (OTP)ngoài mật khẩu
● Chống vi-rút và phần mềm độc hại: Chống vi-rút và phần mềm độc
hại là các chương trình phần mềm giúp bảo vệ máy tính khỏi các phầnmềm độc hại, chẳng hạn như vi-rút, phần mềm gián điệp và phần mềmquảng cáo
● Tường lửa: Tường lửa là một thiết bị hoặc phần mềm giúp lọc lưu
lượng mạng giữa các mạng Tường lửa có thể được sử dụng để ngănchặn các cuộc tấn công mạng, chẳng hạn như truy cập trái phép vàtruyền tải dữ liệu độc hại Quản lý truy cập: Quản lý truy cập kiểm soátquyền truy cập vào hệ thống và dữ liệu Quản lý truy cập có thể được
sử dụng để hạn chế quyền truy cập của người dùng không đáng tin cậy
● Giám sát mạng: Giám sát mạng theo dõi lưu lượng mạng để phát hiện
các hoạt động bất thường Giám sát mạng có thể được sử dụng để pháthiện các cuộc tấn công mạng đang diễn ra
Mạng an toàn rất quan trọng đối với các doanh nghiệp, tổ chức và cá nhân.Mạng an toàn giúp bảo vệ thông tin và tài sản khỏi các mối đe dọa, chẳng hạnnhư truy cập trái phép, tiết lộ thông tin, gián đoạn dịch vụ và phá hoại
1.1.3 Lợi ích
● Bảo vệ thông tin: Mạng an toàn giúp bảo vệ thông tin khỏi bị truy cập
trái phép, tiết lộ hoặc sửa đổi
● Bảo vệ tài sản: Mạng an toàn giúp bảo vệ tài sản khỏi bị trộm cắp hoặc
phá hoại
● Bảo vệ danh tiếng: Mạng an toàn giúp bảo vệ danh tiếng của doanh
nghiệp hoặc tổ chức khỏi bị tổn hại do vi phạm dữ liệu hoặc các cuộctấn công mạng khác
Trang 9● Tuân thủ quy định: Mạng an toàn giúp doanh nghiệp hoặc tổ chức
tuân thủ các quy định về bảo mật thông tin
1.2 Mô hình mạng an toàn
1.2.1 Khái niệm
Mô hình mạng an toàn (Secure Network Model) là một cấu trúc hoặcbản thiết kế được sử dụng để xác định cách tổ chức và triển khai các thànhphần mạng và biện pháp bảo mật để đảm bảo tính bảo mật của mạng máytính Nó là một khung làm việc để xác định và áp dụng các biện pháp bảo mậtthích hợp để bảo vệ thông tin, nguồn tài nguyên và hoạt động của hệ thốngmạng
Hình 1 2 Mô hình mạng an toàn
Mục tiêu chính của mô hình mạng an toàn là đảm bảo tính toàn vẹn,sẵn sàng, sự riêng tư và xác thực của thông tin trong mạng, đồng thời giảmthiểu rủi ro bảo mật và đáp ứng các yêu cầu bảo mật của tổ chức
Trang 101.2.2 Yếu tố
Một mô hình mạng an toàn thường bao gồm các yếu tố sau:
● Firewall (Tường lửa): Chặn và kiểm soát lưu lượng mạng đến và đi từ
mạng nội bộ
Hình 1 3 Firewall
● DMZ (Zone giữa hai tường lửa): Một khu vực an toàn ở giữa hai
tường lửa, chứa các dịch vụ mạng công cộng như máy chủ web
Hình 1 4 DMZ
● Virtual Private Network (VPN): Cho phép người dùng từ xa kết nối
an toàn vào mạng nội bộ thông qua Internet
● Intrusion Detection System (Hệ thống phát hiện xâm nhập): Theo
dõi lưu lượng mạng để phát hiện các hoạt động bất thường hoặc xâmnhập
Trang 11● Authentication and Access Control (Xác thực và Kiểm soát Truy
cập): Đảm bảo rằng chỉ người dùng có quyền truy cập vào tài nguyên
mạng
● Encryption (Mã hóa): Bảo vệ dữ liệu truyền qua mạng để đảm bảo
tính bí mật
● Security Policies (Chính sách An toàn): Xác định các quy tắc và quy
định để bảo vệ mạng và tài nguyên
● Incident Response Plan (Kế hoạch Phản ứng Trong trường hợp
Xâm nhập): Chuẩn bị cho việc ứng phó khi có sự cố bảo mật xảy ra.
Mô hình mạng an toàn thường phụ thuộc vào nhiều yếu tố như loại hệthống, quy mô tổ chức, môi trường hoạt động và các rủi ro cụ thể Nó đượcxây dựng để đảm bảo tính toàn vẹn, sẵn sàng và bảo mật của mạng, và là mộtphần quan trọng trong việc bảo vệ thông tin và tài sản của tổ chức khỏi cácmối đe dọa mạng
1.2.3 Thành phần
1.2.3.1 Vùng mạng nội bộ
Vùng mạng nội bộ (Internal Network): Đây là mạng LAN (Local
Area Network) nội bộ của tổ chức, nơi các máy trạm và máy chủ được kết nốilại với nhau để chia sẻ dữ liệu và tài nguyên nội bộ Mạng LAN nội bộ baogồm cáp, điểm truy cập, bộ chuyển mạch, bộ định tuyến Và các thành phầnkhác cho phép thiết bị kết nối với máy chủ nội bộ, máy chủ web và các mạngLAN khác thông qua mạng diện rộng
Mạng LAN nội bộ bao gồm cáp, điểm truy cập, bộ chuyển mạch, bộđịnh tuyến Và các thành phần khác cho phép thiết bị kết nối với máy chủ nội
bộ, máy chủ web và các mạng LAN khác thông qua mạng diện rộng
Bộ định tuyến chỉ định địa chỉ IP cho từng thiết bị trên mạng Cũngnhư tạo điều kiện kết nối Internet được chia sẻ giữa tất cả các thiết bị được
Trang 12kết nối Bộ chuyển mạch mạng kết nối với bộ định tuyến và tạo điều kiệngiao tiếp giữa các thiết bị được kết nối Nhưng không xử lý cấu hình IP Mạngcục bộ hoặc chia sẻ kết nối Internet Bộ chuyển mạch là công cụ lý tưởng đểtăng số lượng cổng LAN có sẵn trên mạng.
Hình 1 6 Vùng mạng DMZ
➢ Cấu trúc DMZ chia làm 3 phần chính:
Trang 13● Máy chủ DMZ: Là máy chủ được đặt trong DMZ và chứa các dịch
vụ hoặc ứng dụng có thể được truy cập từ Internet như Web Server,Mail Server, DNS Server, và nhiều dịch vụ khác Tuy nhiên, cácmáy chủ này chỉ được phép truy cập vào mạng nội bộ trong trườnghợp cần thiết
● Bức tường lửa DMZ: Là bức tường lửa được đặt trên DMZ, có
chức năng lọc các gói tin vào và ra khỏi DMZ để đảm bảo rằng chỉcác gói tin hợp lệ và được phép truy cập mới được truyền đi Bứctường lửa trong mạng DMZ được cấu hình để chỉ cho phép các kếtnối xác định được thiết lập giữa các máy chủ trong DMZ và các máychủ trong mạng nội bộ
● Máy chủ bảo mật: Là máy chủ được đặt trong mạng nội bộ, có vai
trò giám sát và quản lý các hoạt động trên DMZ Máy chủ bảo mậtthường được cài đặt các phần mềm quản lý sự kiện an ninh (SIEM)
và hệ thống phân tích nhật ký để theo dõi các hoạt động trên DMZ
và phát hiện các mối đe dọa tiềm năng Ngoài ra, máy chủ bảo mậtcòn có thể được cấu hình để gửi cảnh báo đến quản trị viên ngay khiphát hiện các cuộc tấn công đã vượt qua tường lửa của DMZ
Hình 1 7 Cấu trúc vùng DMZ
Trang 14➢ Cách thức hoạt động
● DMZ hoạt động như một vùng đệm giữa internet công cộng vàmạng riêng Mạng con DMZ được triển khai giữa hai tường lửa Sau đó, tất cả các gói mạng gửi đến sẽ được sàng lọc bằng tường lửahoặc thiết bị bảo mật khác trước khi chúng đến các máy chủ đượclưu trữ trong DMZ
● Nếu các cuộc tấn công của tin tặc vượt qua tường lửa đầu tiên, thìchúng phải có quyền truy cập trái phép vào các dịch vụ trong DMZtrước khi có thể gây ra bất kỳ thiệt hại nào đối với mạng nội bộ.Cuối cùng, trong trường hợp các dịch vụ trong DMZ bị xâm nhậpthành công, tin tặc vẫn phải vượt qua bức tường lửa cuối cùng củamạng nội bộ trước khi có thể tiếp cận các tài nguyên hay dữ liệunhạy cảm của doanh nghiệp
● Những kẻ tấn công có thể tấn công vào kiến trúc DMZ an toàn nhất.Tuy nhiên một khi cuộc tấn công diễn ra, báo động sẽ được kíchhoạt và thông báo cho các chuyên gia bảo mật để kịp thời ngăn chặncác cuộc tấn công
● Để giải thích một cách đơn giản thì cách thức hoạt động của DMZ
là sử dụng các máy chủ Mail, Web và tường lửa Firewall để cô lậpcác dịch vụ và ứng dụng được truy cập từ Internet và giữ an toàncho mạng nội bộ Nó giúp ngăn chặn các cuộc tấn công mạng vàgiảm thiểu các rủi ro đối với hệ thống mạng
1.2.3.3 Vùng mạng Server
Vùng mạng Server hoặc Server Farm: Đây là nơi đặt các máy chủ
chuyên dụng, như máy chủ cơ sở dữ liệu (Database Server), máy chủ ứngdụng (Application Server), và các máy chủ khác mà doanh nghiệp sử dụng đểcung cấp các dịch vụ và ứng dụng cho người dùng hoặc khách hàng
Trang 151.2.4 Mô hình
Mô hình mạng phổ biến:
firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewallgiữa vùng mạng nội bộ và vùng mạng Internet Như vậy, mỗi sự truycập giữa các vùng với nhau đều được kiểm soát bởi một firewall nhưhình vẽ
Trang 16Hình 1 9 Mô hình mạng 1 tường lửa
một firewall giữa vùng mạng DMZ và vùng mạng nội bộ
Hình 1 10 Mô hình mạng 2 tường lửa
firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewallgiữa vùng mạng nội bộ và vùng mạng Internet Như vậy, mỗi sự truycập giữa các vùng với nhau đều được kiểm soát bởi một firewall
Trang 17Hình 1 11 Mô hình mạng 3 tường lửa
Trang 18CHƯƠNG 2: KĨ THUẬT VÀ CÔNG CỤ SỬ DỤNG
2.1 Công cụ Cisco Packet Tracer
Cisco Packet Tracer là một phần mềm giả lập mạng miễn phí được pháttriển bởi Cisco Systems Phần mềm này cho phép người dùng tạo và môphỏng các mạng máy tính bằng cách sử dụng các thiết bị mạng của Cisco,chẳng hạn như router, switch, máy chủ, máy trạm và thiết bị IoT
Packet Tracer được sử dụng để giảng dạy và học tập về mạng Phầnmềm này là một công cụ tuyệt vời để giúp người dùng hiểu cách hoạt độngcủa các mạng máy tính và cách cấu hình các thiết bị mạng
2.2 Virtual Local Area Network (VLAN)
2.2.1 Khái niệm
VLAN (Virtual Local Area Network) là một mạng tùy chỉnh, được tạo
từ một hay nhiều mạng cục bộ khác (LAN) Mạng VLAN cho phép mộtnhóm thiết bị khả dụng trong nhiều mạng được kết hợp với nhau thành mộtmạng logic Từ đó tạo ra một mạng LAN ảo (Virtual LAN), được quản lýgiống như một mạng LAN vật lý
2.2.2 Cách thức hoạt động
định các cổng với số VLAN thích hợp
nhau có cùng một Virtual LAN
vậy, cần có một cách nào đó để có thể gửi lưu lượng giữa hai switchtrong mạng Cách đơn giản nhất chính là gán một port trên mỗi switchcủa Virtual LAN và chạy một cable giữa chúng
Trang 192.2.3 Ưu điểm của VLAN
trên mạng riêng của mình
2.2.4 Nhược điểm của VLAN
toàn bộ mạng
lớn