Các thiết bị như máy tính, máy chủ, thiết bị lưu trữ và các thiết bị mạng khác được kết nối trong một khu vực địa lý hạn chế.● Thiết bị mạng Network Devices: Các thiết bị mạng cơ bản như
MÔ HÌNH MẠNG CAMPUS NETWORK
Giới thiệu về mạng Campus Network
Mạng Campus Network (Mạng cơ sở đại học) là một hệ thống mạng máy tính mà các thiết bị mạng như máy tính, máy chủ, thiết bị lưu trữ, và các thiết bị mạng khác được kết nối trong một khu vực địa lý cụ thể như một trường đại học, một công ty, hoặc một cơ sở vật chất lớn khác Mục tiêu chính của mạng Campus Network là cung cấp khả năng kết nối nhanh chóng và hiệu quả cho người dùng trong phạm vi khu vực địa lý cụ thể đó.
Mạng Campus truyền thống
Mạng Campus truyền thống thường được thiết kế để cung cấp kết nối mạng cho một khu vực địa lý cụ thể như trường đại học, doanh nghiệp, hoặc tổ chức lớn. Mạng này thường sử dụng một số thành phần và công nghệ cơ bản sau:
●Cấu trúc mạng (Topology): Mạng truyền thống thường sử dụng cấu trúc mạng
LAN (Local Area Network) hoặc mạng WLAN (Wireless Local Area Network) Các thiết bị như máy tính, máy chủ, thiết bị lưu trữ và các thiết bị mạng khác được kết nối trong một khu vực địa lý hạn chế.
●Thiết bị mạng (Network Devices): Các thiết bị mạng cơ bản như switch, router, access point và các thiết bị cần thiết khác được sử dụng để kết nối và điều khiển dữ liệu giữa các thiết bị trong mạng.
●Kết nối (Connectivity): Sử dụng các công nghệ kết nối như Ethernet, Wi-Fi và các loại cáp mạng để truyền dữ liệu giữa các thiết bị.
●Bảo mật Mạng (Network Security): Đảm bảo an toàn cho dữ liệu và thông tin truyền qua mạng bằng cách sử dụng các biện pháp bảo mật như tường lửa (Firewall), mã hóa dữ liệu, cơ chế xác thực (Authentication) và các phương pháp khác để ngăn chặn các mối đe dọa từ bên ngoài hoặc bên trong mạng.
●Quản lý Mạng (Network Management): Cấu hình, giám sát, bảo trì và quản lý mạng để đảm bảo hoạt động ổn định và hiệu quả.
●Dịch vụ Mạng (Network Services): Cung cấp các dịch vụ như email, file sharing, web hosting và các ứng dụng khác thông qua mạng.
Mạng Campus truyền thống thường tập trung vào việc cung cấp kết nối ổn định, bảo mật, và hiệu suất cho người dùng trong khu vực địa lý cụ thể Tuy nhiên, với sự phát triển của công nghệ, các mô hình mạng mới như mạng SD-WAN (Software Defined-Wide Area Network) và mô hình mạng có tính linh hoạt cao hơn đang trở nên phổ biến để đáp ứng nhu cầu mở rộng và đa dạng hóa của các tổ chức. a Vấn đề khả năng hoạt động của mạng và giải pháp
Khả năng hoạt động hiệu quả của mạng lưới là mối quan tâm hàng đầu của nhiều tổ chức, doanh nghiệp cũng như các trường học Bởi lẽ, điều này ảnh hưởng trực tiếp đến hiệu suất và hoạt động thường nhật Để đảm bảo tính ổn định của mạng lưới, có nhiều giải pháp và biện pháp bạn có thể thực hiện.
●Kiểm tra và Đánh giá Mạng:
Thực hiện kiểm tra định kỳ và đánh giá hiệu suất của mạng để xác định vấn đề và điểm yếu có thể xảy ra.
Sử dụng các công cụ quản lý mạng (network management tools) để giám sát băng thông, tình trạng kết nối và hiệu suất mạng.
●Nâng Cấp Cơ Sở Hạ Tầng:
Xác định và nâng cấp phần cứng và phần mềm cần thiết cho mạng nếu cần thiết để đáp ứng nhu cầu ngày càng tăng cao.
Cập nhật firmware và phần mềm của thiết bị mạng để đảm bảo an toàn và tối ưu hóa hiệu suất.
Tăng cường biện pháp bảo mật bằng cách sử dụng firewall, mã hóa dữ liệu, cơ chế xác thực mạng, và các biện pháp bảo mật khác để ngăn chặn các mối đe dọa từ bên ngoài và bên trong mạng.
●Tối ưu hóa Hiệu Suất:
Tối ưu hóa cấu hình mạng, bao gồm việc điều chỉnh các thiết lập của router, switch và các thiết bị mạng khác để tăng hiệu suất và giảm thời gian chờ đợi.
●Dự phòng và Sao lưu:
Triển khai các hệ thống dự phòng để tránh sự cố và sự gián đoạn mạng.
Sao lưu dữ liệu quan trọng và cấu hình mạng định kỳ để đảm bảo có thể phục hồi khi có sự cố xảy ra.
●Đào tạo và Hỗ trợ Người Dùng: Đào tạo người dùng về cách sử dụng mạng hiệu quả và an toàn.
Cung cấp hỗ trợ kỹ thuật cho người dùng khi họ gặp vấn đề kết nối hoặc sử dụng mạng.
●Sử dụng Công nghệ Mới:
Xem xét áp dụng các công nghệ mới như SD-WAN, cloud networking, hay IoT (Internet of Things) để cải thiện hiệu suất và linh hoạt cho mạng.
Tổ chức cần thiết phải liên tục theo dõi, bảo trì và cải tiến mạng của mình để đảm bảo khả năng hoạt động tốt nhất, đáp ứng nhanh chóng các yêu cầu của người dùng và ngăn chặn các vấn đề có thể xảy ra b Luật 80/20
Trong môi trường mạng, luật 80/20 này có thể áp dụng theo cách sau:
Phân phối Băng thông không đều có thể dẫn đến tình trạng một số thiết bị hoặc ứng dụng đơn lẻ chiếm dụng phần lớn băng thông, gây ra tình trạng tắc nghẽn hoặc độ trễ mạng Ứng dụng hoặc máy chủ cụ thể có thể tạo ra lưu lượng mạng cao hơn so với phần còn lại, dẫn đến hiệu ứng chồng chéo, ảnh hưởng đến hiệu suất tổng thể của mạng.
Bảo vệ mạng là điều tối quan trọng để đảm bảo dữ liệu và hệ thống không bị tấn công Lỗ hổng bảo mật, thiếu hệ thống bảo mật hoàn chỉnh có thể làm mạng trở nên dễ bị tấn công mạng, dẫn đến mất mát thông tin, gây ra hậu quả nghiêm trọng.
●Tải trọng và Hiệu suất: Có thể có một số thành phần trong mạng, chẳng hạn như các thiết bị core, các đường truyền quan trọng hoặc ứng dụng quan trọng,chiếm một tỷ lệ nhỏ nhưng tạo ra phần lớn của tải trọng và ảnh hưởng lớn đến hiệu suất tổng thể của mạng.
Các mô hình mạng Campus
Mô hình mạng Campus có 4 mô hình bao gồm:
●Mô hình Centralized Core (Trung tâm tập trung):
Mô hình này có một trung tâm Core Network (Mạng hạ tầng trung tâm) được kết nối trực tiếp đến tất cả các chi nhánh hoặc khu vực con khác trong mạng.
Các thiết bị như switch và router được sắp xếp xung quanh trung tâm core, cung cấp kết nối đến mạng core.
●Mô hình Distributed Core (Trung tâm phân tán):
Mô hình này có nhiều core network hay các trung tâm phân tán, mỗi trung tâm phục vụ một khu vực hoặc chi nhánh cụ thể.
Các trung tâm core có thể được kết nối với nhau để tạo thành một mạng lưới, cung cấp tính linh hoạt và tăng cường bảo mật.
●Mô hình Hierarchical (Cấu trúc phân cấp):
Mô hình này chia mạng thành các tầng (Layers) với các tầng Core, Distribution và Access.
Tầng Core đóng vai trò trung chuyển dữ liệu dung lượng lớn, tầng Distribution phân tách và phân phối dữ liệu, còn tầng Access cung cấp kết nối trực tiếp tới các thiết bị đầu cuối.
Trái ngược với mô hình phân cấp, mô hình phẳng không có sự phân chia rõ ràng giữa các tầng.
Các thiết bị mạng được kết nối trực tiếp với nhau mà không thông qua các tầng trung gian, tạo ra một môi trường mạng đơn giản và linh hoạt. a Mô hình mạng chia sẻ
Mô hình mạng chia sẻ (Shared Network Model) là một kiểu mô hình mạng trong đó tất cả các thiết bị kết nối vào mạng chia sẻ cùng sử dụng tài nguyên mạng và thông tin Điều này có thể bao gồm việc chia sẻ dữ liệu, thiết bị và tài nguyên mạng như băng thông, ổ cứng, máy chủ, và các thiết bị mạng khác Mô hình này thường được sử dụng trong môi trường mạng như một mạng LAN (Local Area Network).
Các đặc điểm chính của mô hình mạng chia sẻ bao gồm:
●Chia sẻ Tài nguyên: Các tài nguyên mạng như máy chủ, băng thông mạng, thiết bị lưu trữ, và các dịch vụ mạng khác được chia sẻ giữa các thiết bị và người dùng trong mạng.
●Khả năng Truy cập Chung: Mọi thiết bị trong mạng có khả năng truy cập vào các tài nguyên chung dựa trên quyền truy cập được cấp phép.
●Hiệu quả Tài nguyên: Mô hình này có thể giúp tối ưu hóa việc sử dụng tài nguyên, do các tài nguyên được chia sẻ và sử dụng chung giữa nhiều người dùng.
●Quản lý Truy cập: Cần có quản lý truy cập chặt chẽ để đảm bảo rằng người dùng chỉ có quyền truy cập vào những tài nguyên mà họ được phép.
●Bảo mật Mạng: Việc chia sẻ tài nguyên yêu cầu bảo mật mạng tốt để ngăn chặn truy cập trái phép vào dữ liệu hoặc tài nguyên quan trọng.
●Sự Đơn giản và Linh hoạt: Mô hình này thường đơn giản và dễ triển khai, tuy nhiên, cũng có thể hạn chế tính linh hoạt trong việc quản lý quyền truy cập và bảo mật.
Mô hình mạng chia sẻ vẫn phổ biến trong môi trường văn phòng, doanh nghiệp nhỏ và trường học vì khả năng tối ưu hóa hiệu suất và tài nguyên mạng Tuy nhiên, để đảm bảo bảo mật và quản lý tài nguyên hiệu quả, cần phải có sự quản lý cẩn thận.
Mô hình phân đoạn LAN (LAN Segmentation Model) là một cách tiếp cận trong thiết kế mạng LAN (Local Area Network) để tách mạng thành các phân đoạn nhỏ hơn (segment) để cải thiện hiệu suất, bảo mật và quản lý mạng.
Các đặc điểm chính của mô hình phân đoạn LAN bao gồm:
Mạng LAN được chia thành các phân đoạn nhỏ hơn dựa trên các tiêu chí như vị trí vật lý, nhóm người dùng, hoặc dựa trên chức năng công việc.
Mỗi phân đoạn có thể đặt tên hoặc được xác định bằng các phần mạng hoặc VLAN (Virtual LAN) riêng biệt.
Phân đoạn mạng giúp giảm tải trọng trên mỗi phân đoạn cụ thể, cải thiện băng thông và giảm độ trễ, tăng hiệu suất truyền dữ liệu.
Các vấn đề về đụng độ mạng có thể được giảm bớt khi lưu lượng mạng được phân phối đều.
Mô hình này cũng giúp tăng cường bảo mật bằng cách ngăn chặn sự truy cập không cần thiết giữa các phân đoạn khác nhau.
Các nguyên tắc phân đoạn có thể được áp dụng để tạo vùng mạng riêng biệt và kiểm soát truy cập.
Phân đoạn LAN cung cấp tính linh hoạt cao trong việc quản lý mạng vì mỗi phân đoạn có thể được quản lý độc lập với các cài đặt và quy định riêng.
●Tối Ưu Hóa Tài Nguyên:
Cải thiện việc sử dụng tài nguyên mạng bằng cách tập trung tài nguyên vào các phân đoạn cụ thể, giảm thiểu việc sử dụng không hiệu quả.
Mô hình phân đoạn LAN là một phương pháp hiệu quả để cải thiện hiệu suất, bảo mật và quản lý mạng trong môi trường LAN Tuy nhiên, việc thiết kế và triển khai một mô hình phân đoạn LAN đòi hỏi sự cân nhắc kỹ lưỡng để đảm bảo rằng các phân đoạn được thiết kế phù hợp với nhu cầu và yêu cầu cụ thể của tổ chức. c Mô hình lưu lượng mạng
Mô hình lưu lượng mạng (Network Traffic Model) là một cách tiếp cận để phân tích và mô tả các luồng dữ liệu di chuyển qua mạng Đây là một công cụ hữu ích để hiểu và dự đoán hành vi của mạng trong việc chuyển tiếp dữ liệu, giúp quản trị mạng hiểu rõ hơn về tải trọng mạng, vấn đề về băng thông và quản lý lưu lượng.
Một số mô hình lưu lượng mạng phổ biến bao gồm:
●Mô hình Poisson: Mô hình này giả định rằng các sự kiện (Gói tin dữ liệu) xảy ra độc lập với nhau trong một khoảng thời gian cố định, và tỷ lệ của chúng không thay đổi Nó thường được sử dụng để mô hình hóa lưu lượng mạng không đồng đều.
Mô hình mạng ba lớp của Cisco
Mô hình này được sử dụng để tổ chức và thiết kế một mạng máy tính phân tán để đáp ứng nhu cầu của doanh nghiệp.
Mô hình mạng ba lớp bao gồm:
1 Access Layer (Lớp truy cập): Lớp này chủ yếu tập trung vào việc kết nối các thiết bị cuối người dùng (như máy tính, máy in, điện thoại IP ) đến mạng Ở lớp này, các switch (bộ chuyển mạch) thường được sử dụng để cung cấp kết nối trực tiếp với thiết bị của người dùng Nó cũng thường xử lý việc kiểm soát quyền truy cập vào mạng và segment mạng thành các phân đoạn nhỏ hơn để giảm tải cho lớp Core Layer.
2 Distribution Layer (Lớp phân phối): Lớp này đóng vai trò chuyển tiếp giữa lớp
Access và lớp Core Nó thường chịu trách nhiệm về việc định tuyến (routing), lọc (filtering), và tập trung quản lý Các thiết bị như các router (bộ định tuyến) và các switch Layer 3 thường được triển khai ở đây để cung cấp khả năng định tuyến và lọc dữ liệu.
3 Core Layer (Lớp hạ tầng cốt lõi): Đây là lớp nhanh nhất và chịu trách nhiệm vận chuyển dữ liệu nhanh chóng từ một phần mạng đến phần mạng khác Ở lớp này, mục tiêu chính là tối thiểu hóa độ trễ trong việc chuyển tiếp dữ liệu Các thiết bị chuyển mạch cao cấp như switch cốt lõi (core switches) thường được triển khai ở đây.
Mô hình ba lớp của Cisco cung cấp một cách tiếp cận có tổ chức để xây dựng mạng, cho phép dễ dàng mở rộng và quản lý hiệu quả Đồng thời, nó cũng giúp cải thiện hiệu suất và tính sẵn sàng của mạng trong môi trường doanh nghiệp. a Lớp truy cập (Access)
Lớp truy cập (Access Layer) trong mô hình mạng phân cấp của Cisco là lớp đầu tiên, thường là lớp gần với người dùng cuối và các thiết bị kết nối trực tiếp với mạng Lớp này chịu trách nhiệm chủ yếu về việc cung cấp kết nối cho các thiết bị cuối như máy tính, điện thoại IP, máy in, thiết bị IoT, và các thiết bị khác vào mạng.
Một số điểm chính về lớp truy cập:
●Kết nối Người dùng: Lớp truy cập là nơi mà các thiết bị cuối của người dùng (như máy tính cá nhân, điện thoại di động, máy in) được kết nối trực tiếp vào mạng.
●Switches (Bộ chuyển mạch): Thông thường, các switch Ethernet được sử dụng ở lớp truy cập để cung cấp kết nối và phân phối dữ liệu giữa các thiết bị cuối và lớp phân phối.
●Quản lý Quyền truy cập: Lớp này thường thực hiện các chức năng quản lý quyền truy cập, giúp kiểm soát và quản lý quyền truy cập vào mạng, bao gồm cả việc thiết lập các VLAN (Virtual Local Area Networks) để segment hệ thống mạng.
●Bảo mật: Các thiết bị và chính sách bảo mật thường được triển khai ở lớp truy cập để đảm bảo an ninh mạng cho các thiết bị người dùng kết nối.
Lớp truy cập trong mô hình mạng ba lớp của Cisco có vai trò quan trọng trong việc cung cấp kết nối an toàn và hiệu suất cao cho người dùng cuối và các thiết bị trực tiếp kết nối vào mạng Nó cũng đóng vai trò trong việc segment hóa mạng để tối ưu hóa quản lý và bảo mật mạng. b Lớp phân phối (Distribution)
Lớp phân phối (Distribution Layer) là một trong ba lớp trong mô hình mạng phân cấp của Cisco Lớp này đóng vai trò chuyển tiếp giữa lớp truy cập và lớp hạ tầng cốt lõi (Core Layer) Nó chịu trách nhiệm về việc định tuyến (Routing), lọc (Filtering), và tập trung quản lý trong mạng.
Một số điểm quan trọng về lớp phân phối:
●Chuyển Tiếp Dữ liệu: Lớp phân phối chịu trách nhiệm về việc chuyển tiếp dữ liệu từ lớp truy cập đến lớp cốt lõi và ngược lại Nó là điểm kết nối chính giữa các thiết bị trong lớp truy cập và lớp cốt lõi.
Định tuyến (Routing) là quá trình trao đổi dữ liệu giữa các mạng con hoặc miền khác nhau trong một mạng lớn Các thiết bị như router đóng vai trò thực hiện chức năng định tuyến, đảm bảo dữ liệu được chuyển tiếp đúng hướng đến đích.
●Lọc (Filtering): Lớp phân phối có thể thực hiện việc lọc dữ liệu, giúp kiểm soát lưu lượng dữ liệu và cải thiện bảo mật mạng bằng cách áp dụng các chính sách lọc để ngăn chặn hoặc điều chỉnh dữ liệu chuyển tiếp qua mạng.
●Quản lý Trung Tâm: Nó cũng thường là nơi tập trung các hoạt động quản lý mạng như giám sát, quản lý lỗi, cấu hình và quản lý băng thông.
Mạng LAN ảo (Virtual LAN – VLAN)
Mạng LAN ảo (Virtual LAN - VLAN) là một kỹ thuật trong mạng máy tính để tạo ra các mạng con logic hay các phân đoạn mạng trong một mạng LAN vật lý duy nhất Điều này cho phép bạn chia một mạng vật lý thành nhiều mạng con ảo, không phụ thuộc vào vị trí vật lý của các thiết bị trên mạng.
Một số điểm quan trọng về VLAN bao gồm:
●Segmentation (Phân đoạn): VLAN cho phép chia một mạng vật lý thành nhiều mạng con logic Người quản trị mạng có thể tạo ra các VLAN dựa trên cơ sở vị trí vật lý, chức năng hoặc theo nhóm người dùng.
●Isolation (Cô lập): Các VLAN được cô lập logic, nghĩa là các thiết bị trong một VLAN không thể trực tiếp liên lạc với các thiết bị thuộc VLAN khác, trừ khi được cấu hình để làm điều đó.
●Bảo mật: VLAN cung cấp lớp bảo mật bổ sung bằng cách ngăn chặn truy cập từ các thiết bị không được phép vào các VLAN.
●Quản lý linh hoạt: VLANs cung cấp tính linh hoạt trong việc quản lý mạng Người quản trị có thể quản lý mạng dễ dàng hơn bằng cách chia mạng thành các phân đoạn nhỏ hơn và quản lý mỗi VLAN một cách độc lập.
●Tối ưu hóa lưu lượng: VLAN giúp tối ưu hóa lưu lượng mạng bằng cách giảm độ trễ và tăng hiệu suất trong việc truyền tải dữ liệu giữa các thiết bị trong cùng một VLAN.
VLANs thường được triển khai trong các môi trường văn phòng, trường học, doanh nghiệp hoặc bất kỳ môi trường mạng nào có nhu cầu phân đoạn mạng để tăng cường bảo mật và quản lý Sử dụng VLANs giúp tổ chức mạng linh hoạt hơn, tiết kiệm chi phí và tăng cường tính bảo mật. a Các kiểu thành viên của VLAN (VLAN Membership)
Có hai kiểu thành viên chính trong một VLAN, bao gồm:
●Access Ports (Cổng Truy Cập): Đây là các cổng trên Switch được gán cho một
VLAN cụ thể Các thiết bị kết nối vào các cổng Access Port này sẽ trở thành thành viên của VLAN tương ứng Access ports thường được sử dụng để kết nối các thiết bị người dùng như máy tính, điện thoại IP, máy in, và các thiết bị cuối khác vào mạng.
●Trunk Ports (Cổng Trunk): Trunk Ports là các cổng trên Switch được sử dụng để chuyển các khung dữ liệu từ nhiều VLAN qua một kết nối duy nhất Chúng cho phép các khung dữ liệu từ nhiều VLAN khác nhau được gửi qua một đường truyền duy nhất để tận dụng băng thông và linh hoạt hơn trong môi trường mạng lớn Cổng Trunk thường được sử dụng để kết nối các Switch với nhau hoặc với các thiết bị khác như router hoặc máy chủ có khả năng hỗ trợ nhiều VLAN.
Các cổng Access và Trunk đều có vai trò quan trọng trong việc quản lý và triển khai VLAN trên mạng Các cấu hình cụ thể về cổng Access và Trunk cần được xác định và thiết lập để đảm bảo thiết bị phù hợp với VLANs và dữ liệu được chuyển tiếp một cách chính xác và an toàn trong mạng. b Triển khai VLAN
Triển khai VLAN là quá trình cấu hình và tạo các VLAN trong một mạng để phân đoạn mạng vật lý thành các mạng con logic
Các bước chính để triển khai VLAN trong một mạng:
1) Lập Kế Hoạch: Đầu tiên, cần phải lập kế hoạch xác định các VLAN cần thiết trong mạng Xác định những nhóm thiết bị, chức năng hoặc vị trí vật lý của các thiết bị để xác định cách chia mạng thành các VLAN phù hợp.
2) Tạo VLANs: Trên Switch hoặc thiết bị mạng, người quản trị sẽ tạo các VLAN bằng cách sử dụng giao diện quản trị (CLI hoặc giao diện đồ họa) Cấu hình Switch để tạo các VLAN theo kế hoạch đã lên.
3) Gán Cổng Access: Gán các cổng trên Switch cho các VLAN tương ứng Cổng được gán cho VLAN sẽ trở thành Access port của VLAN đó để kết nối các thiết bị người dùng hoặc thiết bị cuối.
4) Cấu Hình Trunk Ports (Cổng Trunk): Nếu cần, cấu hình các cổng trunk để kết nối các switch hoặc các thiết bị mạng khác, để chuyển các khung dữ liệu từ nhiều VLAN qua một đường truyền duy nhất.
5) Kểm Tra và Xác Nhận: Sau khi triển khai, quản trị viên mạng cần kiểm tra kết nối của các thiết bị vào các cổng Access và đảm bảo rằng các thiết bị nằm trong các VLAN đúng đắn Kiểm tra cả việc chuyển tiếp dữ liệu giữa các VLAN thông qua các cổng Trunk.
6) Quản Lý và Bảo Trì: Tiếp theo là quản lý và bảo trì hệ thống VLAN Điều này bao gồm việc duy trì cấu hình, thêm hoặc loại bỏ VLAN khi cần thiết, và thực hiện các hoạt động bảo trì định kỳ.
MÔ HÌNH MẠNG BACKUP
Giới thiệu mạng Backup
Mạng Backup là một hệ thống lưu trữ dự phòng dữ liệu hoặc thông tin quan trọng từ thiết bị, hệ thống, hoặc ứng dụng máy tính khác Mục tiêu chính của mạng Backup là bảo vệ thông tin quan trọng khỏi mất mát do các sự cố như lỗi hệ thống, hỏng hóc phần cứng, tấn công virus, hoặc nguy cơ tự nhiên.
Mạng Backup có thể sử dụng nhiều phương pháp và công nghệ để sao lưu dữ liệu, bao gồm:
●Sao lưu tại chỗ (On-site Backup): Lưu trữ dữ liệu sao lưu tại cùng một vị trí vật lý hoặc mạng nội bộ, thường là trên ổ cứng ngoại vi hoặc server trong doanh nghiệp.
Sao lưu từ xa (Off-site backup) lưu trữ dữ liệu dự phòng ở một vị trí riêng biệt với nơi chứa dữ liệu gốc Bằng cách này, dữ liệu được bảo vệ khỏi các sự cố hỏng hóc thiết bị hoặc tấn công mạng bất ngờ có thể ảnh hưởng đến địa điểm ban đầu Việc tạo các bản sao lưu từ xa thường xuyên đảm bảo an toàn cho dữ liệu và cho phép khôi phục dữ liệu nhanh chóng trong trường hợp xảy ra thảm họa hoặc mất mát dữ liệu.
●Cloud Backup: Sử dụng dịch vụ lưu trữ đám mây để sao lưu dữ liệu, cung cấp khả năng linh hoạt, tiết kiệm chi phí và dễ dàng quản lý từ xa thông qua internet.
Một số công nghệ phổ biến được sử dụng trong mạng Backup bao gồm:
●Sao lưu định kỳ tự động (Scheduled Backup): Thiết lập lịch trình để tự động sao lưu dữ liệu theo chu kỳ nhất định.
●Sao lưu liên tục (Continuous Backup): Sao lưu dữ liệu ngay khi có sự thay đổi, đảm bảo không mất mát dữ liệu do sự cố xảy ra.
●Sao lưu ẩn (Incremental Backup): Lưu trữ chỉ những thay đổi mới được thêm vào từ thời điểm sao lưu gần nhất.
●Sao lưu đồng bộ (Synchronous Backup): Đảm bảo dữ liệu sao lưu luôn được cập nhật đồng bộ với dữ liệu gốc trong thời gian thực.
Việc triển khai mạng sao lưu hiệu quả là tối quan trọng trong chiến lược bảo mật và bảo vệ dữ liệu của tổ chức và cá nhân Bằng cách sử dụng các giải pháp sao lưu phù hợp, người dùng có thể đảm bảo tính toàn vẹn và bảo mật của thông tin quan trọng, đồng thời cho phép phục hồi nhanh chóng sau các sự cố không mong muốn như mất dữ liệu, tấn công mạng hay thảm họa thiên nhiên.
Tầm quan trọng của backup dữ liệu
Backup dữ liệu rất quan trọng vì nó đóng vai trò cực kỳ quan trọng trong việc bảo vệ thông tin quan trọng và đảm bảo sự liên tục của hoạt động của cá nhân, doanh nghiệp hoặc tổ chức a Các dữ liệu cần backup
Một số loại dữ liệu phổ biến mà nên được xem xét để thực hiện việc sao lưu:
●Dữ liệu cá nhân: Bao gồm các tệp tin cá nhân như hình ảnh, video, tài liệu văn bản, email, danh bạ, lịch trình, và các tài liệu công việc quan trọng.
●Dữ liệu doanh nghiệp: Bao gồm thông tin về khách hàng, thông tin tài chính, dữ liệu sản phẩm/dịch vụ, hợp đồng, bản ghi giao dịch, và thông tin quản lý nhân sự.
●Cơ sở dữ liệu: Bao gồm các hệ thống cơ sở dữ liệu của doanh nghiệp, chẳng hạn như cơ sở dữ liệu khách hàng, dữ liệu sản phẩm, và dữ liệu quản lý nội bộ.
Hệ thống lưu trữ dữ liệu sẽ sao lưu cấu hình hệ thống, cấu hình cài đặt và thông tin môi trường làm việc Đối với hệ thống làm việc trên windows, ta thực hiện sao lưu trên các thư mục Documents and Settings (WinXP) và Program Files (mọi phiên bản) Mục đích là phục hồi hệ thống một cách nhanh chóng nếu xảy ra sự cố Đối với phần mềm máy tính khác, chúng ta nên tạo một gói cài đặt, sau đó mỗi khi cài đặt, hệ thống cũng được khôi phục cấu hình, cài đặt một cách nhanh chóng.
●Ứng dụng và phần mềm: Sao lưu cài đặt ứng dụng, giấy phép phần mềm, và các tập tin cần thiết để khôi phục ứng dụng và phần mềm đã được cấu hình.
●Dữ liệu hệ thống và logs: Ghi chép về hoạt động hệ thống, logs, và dữ liệu vận hành hệ thống cũng cần được sao lưu để phục hồi và phân tích sau khi có sự cố.
●Dữ liệu quan trọng của website hoặc ứng dụng: Đối với các doanh nghiệp có website hoặc ứng dụng trực tuyến, việc sao lưu dữ liệu của trang web hoặc ứng dụng (như cơ sở dữ liệu, mã nguồn, hình ảnh, video) là quan trọng để đảm bảo sự liên tục của hoạt động trực tuyến. b RPO và RTO – Yếu tố chính đo lường khi lên kế hoạch Backup dữ liệu
RPO (Recovery Point Objective) và RTO (Recovery Time Objective) là hai yếu tố chính quan trọng được sử dụng để đo lường và xác định kế hoạch Backup và phục hồi dữ liệu:
RPO là thời điểm cuối cùng mà dữ liệu có thể được phục hồi mà không gây ảnh hưởng lớn đến tổ chức hoặc doanh nghiệp.
Nó xác định khoảng thời gian tối đa mà một tổ chức có thể chấp nhận mất mát dữ liệu trong trường hợp sự cố xảy ra (ví dụ: lỗi hệ thống, tấn công virus, hỏng hóc phần cứng).
Ví dụ, nếu một tổ chức có RPO là 1 giờ, điều này có nghĩa là hệ thống phải được sao lưu ít nhất mỗi giờ để đảm bảo rằng không có mất mát dữ liệu nhiều hơn 1 giờ trong trường hợp xảy ra sự cố.
RTO là khoảng thời gian dự kiến mà một tổ chức hoặc doanh nghiệp có thể phục hồi dữ liệu và khôi phục các dịch vụ sau khi xảy ra sự cố.
Nó xác định thời gian tối đa mà một hệ thống hoặc dịch vụ có thể bị gián đoạn trước khi được khôi phục lại và hoạt động bình thường trở lại.
Ví dụ, nếu một tổ chức có RTO là 4 giờ, điều này có nghĩa là hệ thống phải được khôi phục và hoạt động trở lại trong vòng 4 giờ sau khi xảy ra sự cố.
Giải pháp backup dữ liệu
Sao lưu truyền thống (Traditional Backup): Bao gồm việc sao lưu dữ liệu lên thiết bị lưu trữ cục bộ như ổ cứng ngoài, máy chủ trong nội bộ tổ chức hoặc đám mây riêng.
Sao lưu đám mây (Cloud Backup): Sử dụng dịch vụ lưu trữ đám mây để sao lưu dữ liệu thông qua internet, cung cấp tính linh hoạt, tiết kiệm chi phí và dễ dàng quản lý từ xa.
Sao lưu liên tục (Continuous Backup): Sao lưu dữ liệu ngay khi có sự thay đổi, giúp đảm bảo không mất mát dữ liệu do sự cố xảy ra.
Sao lưu đồng bộ (Synchronous Backup): Đảm bảo dữ liệu sao lưu luôn được cập nhật đồng bộ với dữ liệu gốc trong thời gian thực.
Sao lưu ẩn (Incremental Backup): Lưu trữ chỉ những thay đổi mới được thêm vào từ thời điểm sao lưu gần nhất, tiết kiệm dung lượng lưu trữ.
Sao lưu ảo hóa (Virtualization Backup): Đối với môi trường ảo hóa, có các giải pháp sao lưu dữ liệu dành riêng để sao lưu và khôi phục các máy ảo và tài nguyên ảo hóa.
Sao lưu dữ liệu di động (Mobile Backup): Sao lưu dữ liệu từ các thiết bị di động như điện thoại di động hoặc máy tính bảng lên đám mây hoặc máy tính cá nhân.
Sao lưu công nghệ snapshot (Snapshot Backup): Tạo ra bản sao dữ liệu tạm thời của hệ thống hoặc tập tin để phục hồi nhanh chóng. a Local Backup
Sao lưu dữ liệu cục bộ (Local Backup) là việc sao lưu và lưu trữ thông tin quan trọng trên các thiết bị nằm trong phạm vi nội bộ hoặc gần với nguồn dữ liệu gốc.Đây là một phương pháp backup thông thường:
●Ổ cứng ngoại vi (External Hard Drives): Sử dụng các ổ cứng gắn ngoại vi để sao lưu dữ liệu từ máy tính hoặc server của tổ chức Các ổ cứng này thường được kết nối trực tiếp qua cổng USB hoặc các kết nối khác.
Máy chủ cục bộ lưu trữ dữ liệu trên máy chủ nội bộ của tổ chức hoặc doanh nghiệp, có thể thông qua ổ đĩa cứng hoặc hệ thống lưu trữ mạng (NAS).
●Phương pháp sao lưu định kỳ (Scheduled Backups): Thiết lập lịch trình để tự động sao lưu dữ liệu theo chu kỳ nhất định, chẳng hạn như hàng ngày, hàng tuần hoặc theo nhu cầu cụ thể.
●Đảm bảo an toàn dữ liệu cục bộ: Việc bảo vệ dữ liệu sao lưu cục bộ yêu cầu bảo mật cẩn thận, chẳng hạn như mã hóa dữ liệu, sử dụng mật khẩu mạnh và quản lý truy cập.
Dữ liệu sao lưu cục bộ dễ dàng truy cập và khôi phục nhanh chóng khi cần vì nó được lưu trữ ngay tại nguồn thông tin gốc, giúp người dùng thuận tiện tìm kiếm và lấy dữ liệu khi cần thiết.
●Giới hạn của Local Backup: Dữ liệu sao lưu cục bộ có thể gặp nguy cơ mất mát nếu xảy ra sự cố về thiên tai, hỏng hóc vật lý hoặc mất mát do hỏng hóc thiết bị. b Online Backup (sao lưu trực tuyến)
Sao lưu trực tuyến (Online Backup) là quá trình sao lưu và lưu trữ dữ liệu thông qua mạng internet, thường là trên các dịch vụ lưu trữ đám mây.
●Lưu trữ dữ liệu trên đám mây (Cloud Storage): Dữ liệu được sao lưu và lưu trữ trên các máy chủ đám mây được quản lý bởi các nhà cung cấp dịch vụ lưu trữ đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Dropbox, và nhiều dịch vụ khác.
●Tiện lợi và khả năng truy cập từ xa: Dữ liệu được sao lưu trực tuyến có thể truy cập và quản lý từ bất kỳ đâu có kết nối internet, cung cấp tính linh hoạt cao cho người dùng.
●Bảo mật và độ an toàn cao: Các dịch vụ lưu trữ đám mây thường cung cấp các cơ chế bảo mật mạnh mẽ như mã hóa dữ liệu, kiểm soát truy cập, và sao lưu đa vùng để đảm bảo an toàn cho thông tin.
Hệ thống lưu trữ
Hệ thống lưu trữ là cấu trúc hoặc công nghệ được sử dụng để lưu trữ, quản lý và truy xuất dữ liệu Các hệ thống lưu trữ phổ biến bao gồm ổ cứng (HDD), ổ đĩa SSD, lưu trữ đám mây, lưu trữ trong máy chủ (server storage) và lưu trữ trên mạng (network-attached storage - NAS) Mỗi hệ thống có đặc điểm riêng và được sử dụng tùy thuộc vào nhu cầu lưu trữ, hiệu suất và yêu cầu bảo mật của người dùng hoặc tổ chức. a Backup dữ liệu vào USB – External Hard Drive
Việc backup dữ liệu vào USB hoặc ổ cứng gắn ngoại vi (External Hard Drive) là quá trình sao lưu và lưu trữ thông tin từ máy tính hoặc thiết bị vào thiết bị lưu trữ ngoại vi.
Ổ USB là thiết bị lưu trữ di động nhỏ gọn, dễ dàng mang theo Dung lượng lưu trữ của USB có thể dao động từ vài GB đến vài TB, giúp người dùng lưu trữ và sao chép dữ liệu từ máy tính qua cổng USB.
●External Hard Drive (Ổ cứng gắn ngoại vi): Đây là ổ cứng có kích thước lớn hơn,cung cấp dung lượng lưu trữ lớn từ vài GB đến nhiều TB Có thể kết nối với máy tính thông qua cổng USB hoặc các kết nối khác và sao lưu dữ liệu từ máy tính vào ổ cứng này.
Khi tiến hành sao lưu, người dùng có thể sao chép dữ liệu từ máy tính hoặc thiết bị khác sang USB hoặc ổ cứng ngoài bằng cách kéo và thả hoặc sử dụng phần mềm sao lưu đi kèm với thiết bị lưu trữ.
USB và External Hard Drive có tính di động cao, cho phép người dùng sao lưu và mang theo dữ liệu một cách dễ dàng Tính năng này đặc biệt hữu ích khi cần truy cập dữ liệu trên nhiều thiết bị hoặc khi cần chia sẻ dữ liệu với người khác.
●Bảo mật và an toàn: Dữ liệu sao lưu trên USB hoặc External Hard Drive cần được bảo vệ bằng cách sử dụng mật khẩu hoặc các công cụ mã hóa để đảm bảo an toàn khi thiết bị lưu trữ bị mất hoặc bị đánh cắp b Backup dữ liệu bằng thiết bị chuyên dụng – NAS – SAN
Backup dữ liệu bằng thiết bị chuyên dụng như NAS (Network-Attached Storage) và SAN (Storage Area Network) là quá trình sao lưu và quản lý dữ liệu trên các hệ thống lưu trữ được thiết kế đặc biệt cho mục đích này.
●NAS (Network-Attached Storage): Là một hệ thống lưu trữ dữ liệu độc lập kết nối trực tiếp vào mạng máy tính NAS thường bao gồm các ổ cứng hoặc ổ đĩa mềm, được quản lý và truy cập thông qua mạng LAN hoặc WLAN.
●SAN (Storage Area Network): Là một hệ thống lưu trữ dữ liệu phức tạp hơn, chuyên biệt cho các môi trường doanh nghiệp lớn SAN sử dụng kết nối Fibre Channel hoặc iSCSI để kết nối các thiết bị lưu trữ và máy chủ.
●Quá trình backup: NAS và SAN cung cấp khả năng sao lưu và lưu trữ dữ liệu từ máy tính hoặc hệ thống mạng vào các thiết bị lưu trữ chuyên dụng này Có thể thực hiện sao lưu định kỳ, sao lưu liên tục hoặc các phương pháp backup khác tùy thuộc vào thiết lập của hệ thống.
●Tính bảo mật và an toàn: NAS và SAN thường có các cơ chế bảo mật mạnh mẽ để bảo vệ dữ liệu, bao gồm mã hóa, kiểm soát truy cập và các tính năng an ninh khác để đảm bảo an toàn cho thông tin.
Thiết bị NAS và SAN được thiết kế để cung cấp hiệu suất cao đáp ứng nhu cầu lưu trữ dữ liệu ngày càng lớn Ngoài ra, chúng còn hỗ trợ quản lý dễ dàng thông qua giao diện người dùng trực quan hoặc phần mềm quản lý đi kèm Nhờ vậy, người dùng có thể dễ dàng theo dõi, giám sát và quản lý hệ thống lưu trữ của mình.
Các hệ thống NAS và SAN hỗ trợ khả năng khôi phục dữ liệu nhanh chóng và linh hoạt từ bản sao lưu khi cần thiết, cho phép doanh nghiệp khôi phục hoạt động kinh doanh một cách hiệu quả sau sự cố mất dữ liệu.
Backup dữ liệu vào Tapes (băng từ) là quá trình sao lưu và lưu trữ thông tin quan trọng từ máy tính hoặc hệ thống vào các băng từ dữ liệu có khả năng lưu trữ lớn
CÁC PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG
Nhóm giải pháp về hệ thống ngăn chặn, phát hiện tấn công
a Hệ thống tường lửa đa tầng
Tường lửa đóng vai trò quan trọng trong việc kiểm soát truy cập giữa mạng Internet và mạng nội bộ, gồm hai loại chính: phần cứng và phần mềm, mỗi loại sở hữu ưu điểm riêng Tường lửa phần cứng có hiệu suất ổn định, hoạt động độc lập hệ điều hành, ngăn chặn hiệu quả các giao thức ở tầng mạng theo mô hình TCP/IP Ngược lại, tường lửa phần mềm linh hoạt trong cấu hình tại tầng ứng dụng trong mô hình TCP/IP.
Ví dụ, tường lửa tầng thứ nhất (thường là phần cứng) đã loại bỏ hầu hết các kiểu tấn công trực diện vào hệ thống máy chủ web, máy chủ mail như kiểu tấn công phân tán (DDOS), tức hacker dùng các công cụ tạo các yêu cầu truy xuất tới máy chủ từ nhiều máy tính khác trên mạng với tần suất cao để nhằm làm cho máy chủ quá tải và dẫn tới ngừng phục vụ.
Nhưng hacker cũng không dừng tại đó, chúng có thể vượt qua hệ thống tường lửa tầng thứ nhất với những gói tin hợp lệ để vào hệ thống mạng LAN Bằng các giao thức tầng ứng dụng chúng có thể lại đạt được mục đích Chính vì thể triển khai hệ thống tường lửa phần mềm sẽ hỗ trợ và làm gia tăng tính bảo mật cho toàn mạng Trong trường hợp, một hệ thống tường lửa gặp sự cố thì hệ thống còn lại vẫn kiểm soát được. b Hệ thống phát hiện và chống xâm nhập IDS/IPS
Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng nhiều và tinh vi
Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ (Ethereal, Cain & Abel ) trên máy tính làm việc hoặc máy tính xách tay để tiến hành nghe lén hay quét trực tiếp lên các máy chủ, từ đó có thể lấy các tài khoản email, Web, FTP, SQL server nhằm thay đổi điểm thi, tiền học phí đã nộp, thay đổi lịch công tác các hình thức tấn công kiểu này, hệ thống tường lửa không thể phát hiện.
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion Prevention System) IDS/IPS là hệ thống bảo mật vô cùng quan trọng, nó có khả năng phát hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết lập sẵn hoặc các đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể loại bỏ chúng trước khi có thể gây hại cho hệ thống.
Danh sách điều khiển truy xuất, an toàn cổng thiết bị, địa chỉ mạng
a Danh sách điều khiển truy xuất
Việc triển khai mạng không dây và mở rộng mạng LAN một cách tự phát tại các phòng ban, đặc biệt là những phòng có nhiều thiết bị di động và laptop, dẫn đến tình trạng tăng số kết nối vào mạng nội bộ Điều này gây ra hậu quả băng thông toàn mạng giảm sút và khó kiểm soát bảo mật, gây ảnh hưởng đến hiệu suất và an toàn của toàn hệ thống mạng.
Danh sách truy nhập là gồm các luật cho phép hay ngăn chặn các gói tin sau khi tham chiếu vào thông tin trong tiêu đề của gói tin để giới hạn các người dùng có thể truy xuất vào các hệ thống máy chủ nội bộ b Bảo mật cổng của thiết bị, lọc địa chỉ vật lý của thiết bị mạng Ở các điểm truy nhập mạng công cộng, việc mở rộng LAN của người dùng, việc truy xuất vào các máy chủ nội bộ cần được kiểm soát.
Các giải pháp như cấu hình bảo mật cổng của thiết bị, quản lý địa chỉ vật lý là giải pháp cực kỳ an ninh và hiệu quả trong trường hợp này.
Cấu hình bảo mật công của thiết bị trên các switch nhằm đảm bảo không thể mở rộng LAN khi chưa có sự đồng ý của người quản trị hệ thống, nếu vi phạm điều đó, port trên switch đó sẽ chuyển về trạng thái cấm hoặc trạng thái ngừng hoạt động.
●Địa chỉ vật lý là địa chỉ được cài đặt sẵn từ nhà sản xuất Về nguyên tắc tất cả các máy tính trên mạng sẽ không trùng nhau về địa chỉ này Sự kiểm soát theo địa chỉ này là rất cụ thể tới từng máy tính trong mạng, trừ khi người dùng có quyền cài đặt phần mềm và làm giả địa chỉ này ở máy tính đó, hoặc là mở máy tính rồi thay thế card giao tiếp mạng mới.
●Các thiết bị mạng hiện nay đều được trang bị chức năng ngăn theo địa chỉ vật lý này giúp quản trị mạng kiểm soát được người dùng sử dụng mạng, nhất là muốn triển khai trên hệ thống wireless.
Nhóm giải pháp khác
a Xây dựng hệ thống cập nhật, sửa lỗi tập trung
Bước đầu tiên của hacker khi tiến hành tấn công là khảo sát hệ thống đích để tìm ra những lỗ hổng của hệ điều hành, dịch vụ hay ứng dụng Những lỗ hổng này thường là những lỗi chưa được nhà cung cấp vá trên website.
Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng bảo mật Để cập nhật bản vá lỗi cho tất cả các máy khách trong toàn bộ hệ thống qua Internet mất thời gian và tốn nhiều băng thông đường truyền và không thống nhất.
Giải pháp cập nhật phần mềm tự động sẽ kiểm tra các bản cập nhật từ nhà cung cấp trên Internet về máy chủ và tự động triển khai những bản cập nhật đó cho tất cả máy khách trong toàn mạng, tối ưu hóa quá trình quản lý bản cập nhật và đảm bảo an toàn cho hệ thống.
Hệ thống WSUS (Windows Server Update Services) của Microsoft không những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web b Ghi nhật ký, theo dõi, giám sát hệ thống i Ghi nhật ký
Giải pháp ghi lại các phiên kết nối, các phiên đăng nhập của người dùng, các tiến trình hoạt động sẽ giúp quản trị mạng có thể tìm lại dấu vết của người dùng, hacker và các lỗi có thể gây ra cho hệ thống trước đó Các máy chủ Web, máy chủ Email và máy chủ ứng dụng khác cần được kích hoạt tính năng ghi nhật ký, việc quản lý lưu trữ các thông tin này là rất cần thiết Hacker chuyên nghiệp khi đã xâm nhập thành công vào hệ thống, việc không thể bỏ qua chính là việc xóa dấu vết đã được ghi Chính vì thế triển khai hệ thống ghi nhật ký tập trung tại một máy chủ chuyên dụng khác là rất hiệu quả.
Các phần mềm mã nguồn mở như: Syslog-ng: (http://www.balabit.com); SyslogAgent: (http://syslogserver.com) là giải pháp tốt Hệ thống sẽ giúp chủng ta ghi các cảnh báo, thông báo từ các thiết bị phần cứng như: Tường lửa, Router, Switch, từ các máy chủ Web, Database, và các hệ thống khác. ii Theo dõi, giám sát
Theo dõi, giám sát là công việc thường xuyên và quan trọng của nhà quản trị mạng chuyên nghiệp, đó chính là công việc phòng chống hiệu quả trước khi sự cố xuất hiện Theo dõi, giám sát có thể:
●Phát hiện trên hệ thống mạng có nhiều virus phát tán.
●Giám sát các máy tính trong mạng LAN và trên môi trường Internet.
●Theo dõi hiệu năng hoạt động các phần cứng của máy chủ để tiến hành nâng cấp, bảo trì, bảo dưỡng.
●Phát hiện hacker đang dùng các công cụ nghe lên mật khẩu, quét các lỗi của hệ thống và các ứng dụng.
●Thống kê số lượng các kết nối, các session cũng như những lưu lượng bất thường trên hệ thống mạng… c Giải pháp mã hóa dữ liệu và đường truyền
Dữ liệu trên máy chủ, máy tính cá nhân của các cơ quan, doanh nghiệp hiện chưa an toàn vì không được mã hóa nội dung và kể cả khi đi trên đường truyền Dữ liệu ấy có thể được đọc bởi:
●Người dùng đăng nhập thành công vào máy tính Hacker dùng các phần mềm capture (Bắt) thông tin trên đường truyền
●Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ, tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã được dữ liệu.
Giải pháp Ipsec sẽ được triển khai tại các hệ thống máy chủ và máy người dùng cũng như các thiết bị mạng phải được cấu hình. d Đào tạo người dùng
Theo các thống kê về an ninh mạng của CERT (Computer Emergency Response Team-http://www.cert.org/)cho thấy, có khoảng 70% số trường hợp bị thất thoát thông tin có liên quan tới yếu tố con người bên trong các hệ thống còn 30% là xuất phát từ bên ngoài mạng nội bộ của các tổ chức thông qua các hành vi truy nhập trái phép hệ thống của hacker.
Theo tiêu chuẩn ISO 17799/BS-7799, "An ninh về nhân sự" quy định trách nhiệm của nhân viên, vai trò của các cá nhân trong đảm bảo an ninh thông tin Mục tiêu của tiêu chí này là giảm thiểu lỗi do con người, ăn cắp hoặc lạm dụng tài sản công ty.
Do vậy việc đào tạo người dùng để họ tự bảo vệ các tài nguyên cho máy tính họ và cho cả tổ chức là nhiệm vụ hết sức quan trọng. Đào tạo người dùng biết cách phòng chống các thủ đoạn của hacker như lừa đảo qua email Vi dụ: hacker thường lợi dụng tính tò mò của người dùng khi tham gia Internet để lấy thông tin khi yêu cầu người dùng nhập vào. Đào tạo người dùng sử dụng các công cụ, phần mềm đúng trình tự, khi cần thiết phải kịp thời báo cáo với người quản trị hệ thống Đào tạo người dùng phải tuân thủ nguyên tắc bảo mật và an toàn thông tin của tổ chức, kể cả khi họ không tham gia làm việc tại cơ quan. e Hệ thống chống virus Để cải thiện tốc độ xử lý của tường lửa, thông thường quản trị mạng không cấu hình kích hoạt tính năng lọc cao cấp của tường lửa (tường lửa ở các vị trí phải xử lý lưu lượng lớn) Khi đó các chương trình quét virus được cài đặt nhằm phát hiện và ngăn chặn các đoạn mã độc, các chương trình gián điệp, các email có tệp tin virus đính kèm Nhưng trên thực tế để đầu tư một khối lượng lớn các chương trình virus cho tất cả các máy tính toàn cơ quan thì kinh phí đầu tư khá cao. Để giảm chi phí bản quyền, giải pháp là triển khai mô hình chống virus chủ – khách Hiện nay có nhiều hãng nổi tiếng như Norton, Kaspersky, Trend micro vv có thể triển khai theo mô hình này Lợi ích khi triển khai hệ thống là:
●Chi phí giảm hơn nhiều so với cài đặt trên từng máy khách
●Việc cập nhật phiên bản mới của các máy khách dễ dàng, nhanh chóng và hiệu quả cao.
NỘI DUNG KHẢO SÁT -THIẾT KẾ HỆ THỐNG
Giới thiệu
Tên gọi: Trung tâm thư viện Địa chỉ: Hà Nội
Thu thập và phân tích yêu cầu
Hiện tại, trường đã có hệ thống mạng LAN tương đối ổn định, phục vụ khá tốt cho các hoạt động cần thiết của các phòng ban trong trung tâm thư viên
▪Hệ thống mạng hiện tại được xây dựng theo mô hình hình sao (Star), với một thiết bị trung tâm (thường là switch hoặc router) kết nối với tất cả các máy tính khác trong mạng
▪Số lượng và loại thiết bị: Hệ thống mạng bao gồm 15 máy tính chia thành 4 phòng: phòng đọc sách 2 máy, phòng thực hành 6 máy, phòng học 2 máy, phòng kỹ thuật 5 máy, có 1 switch layer 2, 1 router và 1 máy chủ Máy chủ chứa dữ liệu và ứng dụng chính, trong khi switch và router quản lý lưu lượng truy cập mạng
▪Có sử dụng dịch vụ mạng
▪ Băng thông: Hiện tại, hệ thống mạng đang sử dụng khoảng 50% băng thông tối đa Trong giờ cao điểm, băng thông sử dụng có thể lên đến 60% Điều này cho thấy hệ thống mạng vẫn còn đủ băng thông để đáp ứng nhu cầu sử dụng.
▪ Khả năng lưu trữ: Máy chủ lưu trữ hiện tại đang sử dụng khoảng 60% dung lượng tối đa Với tốc độ tăng trưởng dữ liệu hiện tại, chúng tôi dự đoán rằng máy chủ sẽ cần thêm dung lượng trong vòng 12 tháng tới.
Máy chủ hiện đang hoạt động ở mức 70% tải trung bình, tuy nhiên một số máy chủ có thể đạt gần mức tải tối đa vào giờ cao điểm Để đảm bảo hiệu suất tốt nhất, chúng tôi đang xem xét nâng cấp hoặc tăng thêm số lượng máy chủ.
●Bảo mật của hệ thống mạng hiện tại:
▪Biện pháp bảo mật đã triển khai Hệ thống mạng hiện tại đã triển khai một : số biện pháp bảo mật cơ bản, bao gồm tường lửa để ngăn chặn truy cập không hợp lệ từ bên ngoài, và phần mềm chống vi-rút để bảo vệ máy tính khỏi malware Ngoài ra, hệ thống cũng sử dụng mã hóa để bảo vệ dữ liệu khi truyền tải qua mạng.
Các biện pháp bảo mật hiện tại vẫn tồn tại một số vấn đề, bao gồm các cuộc tấn công mạng đã từng gây gián đoạn dịch vụ, cũng như sự xâm nhập của phần mềm độc hại dẫn đến mất dữ liệu và giảm hiệu suất.
Nhược điểm: Hệ thống hiện tại Chưa đáp ứng tối đa yêu cầu sử dụng tài nguyên của các phòng ban, chưa tận dụng tối đa tài nguyên vốn có của trung tâm, hệ thống có tính bảo mật không cao dễ khai thác các lỗ hổng bảo mật cụ thể:
● Hiệu suất: Mặc dù hệ thống mạng hiện tại có thể đáp ứng được nhu cầu cơ bản, nhưng trong giờ cao điểm, băng thông mạng thường bị quá tải, dẫn đến tốc độ truy cập chậm và không ổn định.
● Bảo mật: Hệ thống mạng hiện tại chưa có các biện pháp bảo mật mạnh mẽ Điều này tạo ra rủi ro về an ninh mạng, với khả năng bị tấn công từ bên ngoài hoặc bị rò rỉ thông tin từ bên trong.
● Quản lý: Việc quản lý hệ thống mạng hiện tại khá phức tạp và tốn kém thời gian Việc này dẫn đến việc khó khăn trong việc theo dõi và giải quyết các vấn đề phát sinh.
Phía trường học yêu cầu xây dựng mạng LAN đáp ứng nhu cầu hoạt động trung tâm của hệ thống Mạng LAN sử dụng tối đa các nguồn lực sẵn có trong trường, tiết kiệm chi phí lắp đặt, dễ dàng mở rộng hệ thống khi cần và đảm bảo tính bảo mật cao.
● Nâng cấp hạ tầng mạng: Để cải thiện hiệu suất, chúng ta có thể nâng cấp băng thông mạng hoặc thêm các Switch hoặc Router để phân phối lưu lượng mạng một cách hiệu quả hơn Ngoài ra, việc nâng cấp hoặc thay thế các thiết bị lỗi hoặc cũ kỹ cũng có thể giúp cải thiện hiệu suất.
● Triển khai các dịch vụ mạng mới: Chúng ta có thể triển khai các dịch vụ mạng mới như VoIP hoặc Video Conferencing để tăng cường khả năng giao tiếp và hợp tác Ngoài ra, việc triển khai các dịch vụ lưu trữ đám mây hoặc ảo hóa máy chủ cũng có thể giúp tận dụng tối đa tài nguyên và cung cấp khả năng mở rộng linh hoạt.
Thiết kế giải pháp
4.3.1 Yêu cầu của hệ thống
Yêu cầu các phòng trong trung tâm thư viện được lặp đặt hệ thống mạng:
●Phòng đọc sách 5 máy tính có kết nối mạng
●Phòng học 2 máy có kết nối mạng.
●Phòng kỹ thuật 10 máy có kết nối mạng.
●Phòng thực hành 20 máy có kết nối mạng.
●Triển khai Wireless LAN cho phép học sinh truy cập không dây, yêu cầu xác thực mật khẩu để kết nối là 12345678.
●Thiết kế hệ thống mạng theo mô hình Client–Server 1 máy chủ.
●Tất cả các máy trong hệ thống đều có thể giao tiếp với nhau được.
4.3.2 phân tích yêu cầu và sơ đồ
Các dịch vụ mạng web mail,
Mô hình mạng: Lan hình sao (STAR)
Chuẩn mạng 802.3 Ethernet giao thức CSMA/CD để truyền tải và chia sẻ dữ liệu chung.
▪Thiết bị Switch 1 có chức năng chính là phân tách các vùng va chạm trong mạng nội bộ của trung tâm thư viện; gom lưu lượng của toàn bộ các máy tính nội bộ và đưa ra thiết bị Firewall.
▪Thiết bị Switch Layer 2 cung cấp 24 cổng kết nối 10/100 FE cho các thiết bị.
▪Trên Switch Layer 2 chia thành 3 VLAN: VLAN 20 dùng cho các máy trạm của phòng kỹ thuật kết nối với Firewall (Zone Trust); VLAN 30 dùng cho các máy trạm của phòng đọc sách kết nối với Firewall (Zone Trust); VLAN
40 dùng cho các máy trạm của phòng học, kết nối với Firewall (Zone Trust).
Switch 2 đảm nhận vai trò phân tách các vùng va chạm, thu thập lưu lượng từ tất cả máy tính nội bộ và chuyển đến tường lửa.
▪Thiết bị Switch Layer 3 cung cấp 24 cổng kết nối 10/100 FE cho các thiết bị.
▪Trên Switch Layer 3 chia thành 1 VLAN 10 dùng cho các máy trạm của phòng thực hành kết nối với Firewall (Zone Trust).
Thiết bị tường lửa thống nhất quản lý mối đe dọa (FW UTM) có 7 cổng kết nối Fast Ethernet 10/100, được chia thành 7 vùng (Zone) Mỗi Zone được sử dụng cho một phân vùng mạng riêng biệt, bao gồm mạng nội bộ của các phòng ban (Trust), mạng máy chủ (DMZ), kết nối mạng ngoài Modem ADSL Internet (Untrust) và vùng Wi-Fi (Wi-Fi).
▪FW UTM sẽ thực hiện cách ly lưu lượng giữa các vùng, thực thi các chính sách định tuyến lọc gói tin và hạn chế truy nhập giữa các vùng khác nhau.
▪Modem ADSL Internet: Kết nối mạng LAN
4.3.3 Kế hoạch phân bố IP và Vlan
Bảng Thông tin về Vlan
Vlan_ID Tên Vlan Ghi chú
60 Vlan60 Kết nối modem internet
4.3.4 Dự kiến xây dựng hệ thống đường mạng
STT Tên phòng Số nút Số PC Số mét dây mạng
4.3.5 Thông tin về địa chỉ IP
STT VLAN địa chỉ Mục đích
4.3.6 Quy hoạch giao diện kết nối
Quy hoạch các giao diện kết nối đảm bảo tính thống nhất trong cấu hình thiết bị, thuận tiện trong vận hành, khai thác, quản lý và xử lý sự cố mạng
●Giao diện kết nối của Switch 1, 2
Thiết bị Cổng VLAN Mục đích
Switch 1 1 -> 10 20 Kết nối máy tính phòng kỹ thuật
11 20 Kết nối cổng 0/0 của Firewall 12-> 16 30 Kết nối máy tính phòng đọc sách
17 30 Kết nối cổng 0/1 của Firewall 18->19 40 Kết nối máy tính phòng học
20 40 Kết nối cổng 0/2 của Firewall
Thiết bị Cổng VLAN Mục đích
Switch 2 1->20 10 Kết nối máy tính phòng thực hành
21 10 Kết nối cổng 0/3 của Firewall
22 70 WIFI phòng thực hành 23->24 N/A Dự phòng
●Giao diện kết nối của FW UTM
Thiết bị Port Zone Port VLAN Mục đích
0/0 trust 11 20 Kết nối phòng kỹ thuật
0/1 trust 17 30 Kết nối phòng đọc sách
0/2 trust 20 40 Kết nối máy tính phòng học
0/3 trust 21 10 Kết nối máy tính phòng thực hành
0/4 DMZ 50 Kết nối máy chủ server
●Địa chỉ trong mạng VLAN10
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Địa chỉ trong mạng VLAN20
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Địa chỉ trong mạng VLAN30
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Địa chỉ trong mạng VLAN40
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Địa chỉ trong mạng VLAN50
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Địa chỉ trong mạng VLAN60
STT Từ địa chỉ - đến địa chỉ
●Địa chỉ trong mạng VLAN70
STT Từ địa chỉ - đến địa chỉ Subnetmask Mục đích
●Số thiết bị thực tế trong
STT Tên thiết bị Số lượng
Cài đặt mạng
STT Nội dung công việc đơn vị thực hiện Ghi chú
1 triển khai hệ thống mạng và cáp Đơn vị chuyên môn
2 Rà soát các kết nối, thiết bị mạng
3 Cấu hình thiết bị Switch layer 2,
Firewall tập trung, chuyển cho các đơn vị Đơn vị chuyên môn
4 Tiếp nhận, lắp đặt thiết bị Switch layer 2, Switch layer 3, Firewall, server Đơn vị chuyên môn
4.1 Cấu hình modem, kết nối cáp giữa các phòng
4.2 Bật nguồn thiết bị switch, firewall
4.5 Lập hồ sơ mạng: cấu hình thiết bị, vẽ sơ đồ vật lý, sơ đồ logic
4.6 Báo cáo kết quả thực hiện
5 Xử lý các sự cố mạng
Kiểm thử
Đặt xong phần cứng và các máy tính đã được kết nối mạng Bước kế tiếp là vận hành mạng
Kiểm tra sự kết nối máy tính với nhau, hoạt động của các dịch vụ, khả năng truy cập của người dùng vào các dịch vụ và mức độ an toàn của hệ thống
Kiểm tra xem đúng thiết kế ban đầu không
