Không có một máy chủ trung tâm nào quản lý và cung cấp tài nguyên cho các thiết bịkhác; thay vào đó, mỗi máy tính có thể trực tiếp chia sẻ tài nguyên như tệp, máy in, hoặc các dịch vụ kh
CƠ SỞ LÝ THUYẾT
Khả năng dự phòng, phục hồi hệ thống hoạt động liên tục
1.2.1 Các hệ thống lưu trữ tập trung
Là một loại hệ thống lưu trữ dữ liệu trong đó tất cả các dữ liệu và tài nguyên lưu trữ được tập trung vào một hoặc một vài máy chủ hoặc thiết bị lưu trữ duy nhất, thay vì phân tán trên nhiều máy tính hoặc thiết bị lưu trữ cá nhân Điều này giúp dễ dàng quản lý, sao lưu, bảo mật và kiểm soát quyền truy cập vào dữ liệu Các hệ thống lưu trữ tập tin phổ biến:
1 NAS (Network Attached Storage): NAS là hệ thống lưu trữ dữ liệu được thiết kế để kết nối trực tiếp vào mạng của tổ chức, cho phép nhiều người dùng truy cập và chia sẻ dữ liệu một cách đồng thời Thiết bị NAS sử dụng giao thức mạng để cung cấp quyền truy cập vào các tệp dữ liệu cho tất cả các máy tính trong mạng nội bộ.
2 SAN (Storage Area Network): SAN là hệ thống lưu trữ chuyên dụng kết nối các máy chủ và thiết bị lưu trữ qua một mạng riêng biệt, giúp cải thiện hiệu suất truy xuất dữ liệu Khác với NAS, SAN yêu cầu một mạng độc lập và được thiết kế đặc biệt cho các ứng dụng yêu cầu tốc độ cao và khả năng chịu tải lớn, thường gặp trong các tổ chức lớn.
3 Cloud Storage (Lưu trữ đám mây): Lưu trữ đám mây là một phương thức lưu trữ dữ liệu trực tuyến, cho phép truy cập từ bất kỳ nơi nào có kết nối Internet Các dịch vụ như Google Drive, Dropbox, Amazon Web Services, và Microsoft Azure cung cấp giải pháp lưu trữ linh hoạt, thuận tiện và tiết kiệm chi phí.
Quá trình sao lưu dữ liệu là tạo ra một bản sao của dữ liệu để bảo vệ nó khỏi bị mất hoặc hỏng hóc Bản sao lưu này có thể được lưu trữ ở một vị trí khác, giúp người dùng hoặc tổ chức khôi phục lại dữ liệu nếu có sự cố xảy ra như mất mát dữ liệu do sự cố phần cứng, phần mềm, tấn công mạng hoặc sai sót của người dùng.
1 Full Backup (Sao lưu toàn bộ): a Full Backup là quá trình sao lưu toàn bộ dữ liệu, từ file, thư mục cho đến trạng thái hệ thống. b Nhược điểm của phương pháp này là dung lượng lưu trữ lớn và thời gian sao lưu lâu, đặc biệt là đối với hệ thống có lượng dữ liệu khổng lồ c Ưu điểm lớn của Full Backup là tính toàn diện và khả năng phục hồi dễ dàng, vì tất cả dữ liệu đều nằm trong một bản sao duy nhất.
2 Differential Backup (Sao lưu khác biệt): a Differential Backup chỉ sao lưu các thay đổi được thực hiện từ lần sao lưu toàn bộ gần nhất. b Tiết kiệm không gian lưu trữ và thời gian so với Full Backup c Nhược điểm là mỗi lần sao lưu sẽ tốn nhiều không gian lưu trữ hơn Incremental Backup, vì dữ liệu được sao lưu tính từ lần sao lưu toàn bộ gần nhất mà không tái sử dụng bản sao lưu trước đó.
3 Incremental Backup (Sao lưu gia tăng): a Incremental Backup chỉ sao lưu các thay đổi kể từ lần sao lưu gần nhất, có thể là Full Backup hoặc Incremental Backup. b Phương pháp này giúp tiết kiệm tối đa không gian lưu trữ và thời gian sao lưu Khi phục hồi, hệ thống cần tất cả các bản sao lưu trước đó, bao gồm bản sao lưu toàn bộ và các bản sao lưu gia tăng, để có thể khôi phục dữ liệu một cách hoàn chỉnh. c Nhược điểm của Incremental Backup là quá trình khôi phục có thể phức tạp và tốn thời gian hơn nếu có nhiều bản Incremental Backup.
4 Mirror Backup (Sao lưu phản chiếu): a Mirror Backup tạo ra một bản sao chính xác của dữ liệu và thường không sử dụng nén hoặc mã hóa Phương pháp này rất hữu ích khi cần sao lưu dữ liệu một cách trực tiếp và dễ truy cập, chẳng hạn như trong môi trường máy chủ chia sẻ. b Tuy nhiên, Mirror Backup dễ bị tác động nếu dữ liệu gốc bị lỗi hoặc nhiễm mã độc, vì bất kỳ thay đổi nào trên dữ liệu gốc cũng sẽ được phản chiếu ngay lập tức lên bản sao lưu.
5 Daily Backup (Sao lưu hàng ngày): a Phương pháp này thường chỉ sao lưu các tệp đã thay đổi trong ngày Thích hợp với dữ liệu thay đổi thường xuyên và giúp giảm thiểu dung lượng sao lưu.
6 System State Backup: a Sao lưu trạng thái hệ thống để lưu các thành phần hệ thống quan trọng như Registry, thông tin cấu hình hệ điều hành và các thành phần hệ thống khác.
7 Đây là một loại sao lưu đặc biệt trong Windows Server và là một phương pháp cần thiết khi cần khôi phục lại hệ thống trong trường hợp gặp lỗi hệ điều hành
RAID (Redundant Array of Independent Disks) technology combines multiple disks into a single system to enhance performance and data fault tolerance Windows Server supports various RAID levels to cater to different performance and data safety requirements, ensuring optimal data management and protection.
1 RAID 0 (Striping): a RAID 0 là phương pháp kết hợp các ổ đĩa bằng cách chia dữ liệu thành các khối và ghi chúng đồng đều lên các ổ đĩa Điều này giúp tăng tốc độ truy xuất dữ liệu vì nhiều ổ đĩa có thể đọc/ghi đồng thời. b RAID 0 không cung cấp khả năng chịu lỗi, vì nếu một ổ đĩa bị hỏng, toàn bộ dữ liệu sẽ bị mất RAID 0 thích hợp cho các ứng dụng yêu cầu tốc độ cao và không có dữ liệu quan trọng.
2 RAID 1 (Mirroring): a RAID 1 nhân bản dữ liệu trên ít nhất hai ổ đĩa Khi một ổ đĩa bị lỗi, dữ liệu vẫn còn nguyên trên ổ đĩa còn lại, giúp tăng cường độ an toàn cho dữ liệu. b RAID 1 không tăng tốc độ ghi, nhưng có thể tăng tốc độ đọc do có thể đọc dữ liệu từ nhiều ổ đĩa Đây là giải pháp lý tưởng cho hệ thống yêu cầu an toàn dữ liệu cao, nhưng yêu cầu gấp đôi dung lượng lưu trữ so với dữ liệu gốc.
File storage & backup
File Storage thường dùng các tính năng như File and Storage Services và
Dịch vụ lưu trữ và quản lý không gian lưu trữ là một trong những tính năng quan trọng của hệ thống mạng doanh nghiệp Với Storage Spaces, bạn có thể tạo và quản lý không gian lưu trữ một cách dễ dàng, đồng thời chia sẻ tệp tin và dữ liệu trên mạng nội bộ hoặc qua các dịch vụ đám mây Ngoài ra, các công cụ như File Server Resource Manager (FSRM), Distributed File System (DFS) và nhiều phương thức lưu trữ khác giúp đáp ứng nhu cầu phức tạp của môi trường doanh nghiệp, đảm bảo rằng dữ liệu của bạn được lưu trữ và quản lý một cách an toàn và hiệu quả.
Các Thành Phần và Tính Năng Chính:
File and Storage Services: Đây là một trong những dịch vụ chính trong
Windows Server, cung cấp giao diện để quản lý các tùy chọn lưu trữ và chia sẻ.
Từ đây, người quản trị có thể cấu hình các thư mục chia sẻ, các hệ thống lưu trữ và phân bổ không gian lưu trữ một cách linh hoạt, giúp tối ưu hóa việc quản lý và sử dụng tài nguyên lưu trữ.
Storage Spaces là tính năng cho phép tạo ra các nhóm lưu trữ từ nhiều ổ đĩa vật lý, gọi là storage pool, giúp người quản trị có thể tạo các ổ ảo (virtual disks) từ storage pool này với các cấu hình khác nhau như Simple Mirror.
Parity, mang lại khả năng chịu lỗi và tăng cường hiệu suất lưu trữ Simple
Các phương pháp sao chép dữ liệu phổ biến hiện nay bao gồm không sao chép dữ liệu, chỉ tăng dung lượng, giúp giảm thiểu chi phí lưu trữ Mirror là phương pháp sao chép dữ liệu để đảm bảo phục hồi nhanh chóng khi có lỗi, giúp giảm thiểu thời gian chết Ngoài ra, Parity là phương pháp chia dữ liệu thành các phần và lưu lại với mã chẵn lẻ để tăng khả năng chịu lỗi, giúp đảm bảo tính toàn vẹn của dữ liệu.
Công cụ File Server Resource Manager (FSRM) là giải pháp quản lý tài nguyên lưu trữ hiệu quả, cho phép quản trị viên thiết lập giới hạn không gian lưu trữ cho từng người dùng hoặc thư mục thông qua tính năng Quota Management Bên cạnh đó, FSRM còn cung cấp tính năng File Screening, giúp ngăn chặn các tệp tin không mong muốn như tệp đa phương tiện hoặc tệp thực thi lưu trữ trên các thư mục cụ thể Ngoài ra, FSRM cũng cung cấp các báo cáo chi tiết về tình trạng sử dụng lưu trữ thông qua tính năng Storage Reports, giúp quản lý và tối ưu hóa không gian lưu trữ một cách hiệu quả.
Hệ thống tệp phân tán (Distributed File System - DFS) là giải pháp giúp quản lý và truy cập dữ liệu phân tán ở nhiều vị trí khác nhau, từ đó tăng hiệu suất truy cập và khả năng mở rộng Với DFS Namespace, người dùng có thể truy cập tài nguyên một cách thống nhất thông qua một không gian tên logic, mà không phụ thuộc vào vị trí vật lý của tài nguyên đó Đồng thời, DFS Replication đảm bảo rằng các tệp dữ liệu luôn được cập nhật và đồng bộ giữa các vị trí lưu trữ khác nhau, giúp duy trì tính toàn vẹn và nhất quán của dữ liệu.
NTFS (New Technology File System): Hệ thống tệp tiêu chuẩn cho Windows
Server với tính năng bảo mật, nén dữ liệu, mã hóa, và hỗ trợ các quyền truy cập chi tiết.
Hệ thống tệp tin ReFS (Resilient File System) được thiết kế để đáp ứng nhu cầu lưu trữ của các ứng dụng đòi hỏi hiệu suất cao, đồng thời tích hợp các tính năng chống lỗi tự động, khôi phục dữ liệu và tối ưu hóa cho việc lưu trữ dung lượng lớn, giúp đảm bảo tính toàn vẹn và an toàn của dữ liệu.
Vai trò và Lợi ích của File Storage trong Doanh nghiệp
Để đảm bảo dữ liệu và khả năng chịu lỗi, Storage Spaces cung cấp các cấu hình như Mirror và Parity, giúp bảo vệ dữ liệu trong trường hợp ổ đĩa bị lỗi Tính năng này đặc biệt quan trọng đối với doanh nghiệp, giúp giảm thiểu rủi ro mất dữ liệu và đảm bảo tính liên tục trong công việc, từ đó mang lại sự ổn định và tin cậy cho hệ thống lưu trữ.
Việc áp dụng FSRM và Quota Management giúp tăng cường hiệu quả quản lý dữ liệu bằng cách tối ưu hóa dung lượng lưu trữ, hạn chế lãng phí tài nguyên và thiết lập các chính sách lưu trữ hợp lý, từ đó nâng cao hiệu suất sử dụng tài nguyên và giảm thiểu chi phí.
Khả năng mở rộng trong doanh nghiệp: Cho phép doanh nghiệp có thể dễ dàng bổ sung dung lượng lưu trữ mà không ảnh hưởng đến hệ thống hiện tại, phù hợp với nhu cầu tăng trưởng của doanh nghiệp.
Hỗ trợ sao lưu và phục hồi dữ liệu: Cho phép doanh nghiệp phục hồi lại dữ liệu khi bị mất mát
Tăng cường bảo mật và kiểm soát dữ liệu là một giải pháp quan trọng giúp quản trị viên quản lý chặt chẽ các loại file được phép lưu trữ, từ đó bảo vệ hệ thống khỏi các truy cập trái phép và mã độc Việc kiểm soát dữ liệu hiệu quả giúp ngăn chặn các rủi ro an ninh mạng và đảm bảo tính toàn vẹn của dữ liệu.
LÊN KẾ HOẠCH TRIỂN KHAI
Lên kế hoạch triển khai
Việc lên kế hoạch và triển khai là một trong những bước quan trọng nhất để đảm bảo hệ thống hoạt động ổn định và hiệu quả, đặc biệt trong môi trường doanh nghiệp.
Việc lên kế hoạch giúp người quản trị xác định các chi phí và thiết kế bản vẽ chi tiết, từ đó xây dựng và sử dụng hiệu quả cho các hoạt động bảo trì và vận hành.
Lựa chọn các dịch vụ và hệ điều hành máy chủ
Việc chọn hệ điều hành và các dịch vụ cần thiết để có thể duy trì các công việc mà viện giáo dục quốc tế HUFLIT đưa ra
Các phần mềm được triển khai bao gồm:
Hệ điều hành máy chủ (NOS)
Windows Server: Quản lý Domain Controller, DHCP, DNS, Active Directory,
Phần mềm giám sát mạng(Network monitoring):
Một Domain Controller (DC) là máy chủ quan trọng trong hệ thống mạng, chịu trách nhiệm quản lý và kiểm soát các tài khoản người dùng cũng như máy tính trong một miền (domain) của Windows Server Máy chủ này giúp thực thi các chính sách bảo mật và xác thực người dùng khi truy cập vào mạng, đảm bảo tính bảo mật và an toàn cho toàn bộ hệ thống.
Web Server:Web Server là một loại máy chủ cung cấp nội dung web cho người dùng qua giao thức HTTP hoặc HTTPS Khi một người dùng nhập địa chỉ trang web vào trình duyệt hoặc nhấn vào liên kết, trình duyệt sẽ gửi yêu cầu đến web server, và web server sẽ phản hồi lại bằng cách gửi nội dung của trang web về cho người dùng, thường bao gồm mã HTML, CSS, JavaScript, hình ảnh, video và các tài liệu khác.
Phần mềm bảo mật và tường lửa(Pfsense):Pfsense là một hệ điều hành mã nguồn mở được thiết kế để hoạt động như một firewall và router Việc quản lý giao diện web giúp dễ dàng cấu hình và quản lý các quy tắc của tường lửa, kiểm soát lưu lượng mạng.
pfSense là một giải pháp tường lửa mạnh mẽ và linh hoạt, cung cấp nhiều tính năng quan trọng để bảo vệ và quản lý hệ thống mạng pfSense cung cấp tính năng lọc gói tin với khả năng kiểm tra và lọc lưu lượng mạng dựa trên các quy tắc tùy chỉnh, giúp ngăn chặn các cuộc tấn công và truy cập trái phép pfSense cũng hỗ trợ định tuyến tĩnh và định tuyến động thông qua các giao thức định tuyến phổ biến, giúp tối ưu hóa luồng lưu lượng mạng Ngoài ra, pfSense hỗ trợ thiết lập VPN với các giao thức bảo mật như IPsec và OpenVPN, giúp kết nối an toàn giữa các chi nhánh hoặc cho phép người dùng từ xa truy cập vào mạng nội bộ một cách bảo mật pfSense cũng tích hợp với các công cụ như Snort hoặc Suricata để phát hiện và ngăn chặn các hành vi đáng ngờ hoặc các cuộc tấn công vào hệ thống mạng pfSense cung cấp khả năng kiểm soát băng thông và ưu tiên lưu lượng mạng, đảm bảo các dịch vụ quan trọng luôn được ưu tiên sử dụng tài nguyên mạng khi cần thiết Cuối cùng, pfSense cung cấp các công cụ ghi nhận nhật ký và giám sát lưu lượng mạng chi tiết, cho phép quản trị viên dễ dàng phân tích và quản lý các hoạt động trong hệ thống mạng.
Phần mềm bảo mật và tường lửa pfSense đóng vai trò quan trọng trong doanh nghiệp bằng cách hoạt động như một lớp bảo vệ chính, ngăn chặn các kết nối trái phép và hạn chế nguy cơ xâm nhập từ bên ngoài vào hệ thống mạng nội bộ Ngoài ra, pfSense cho phép tạo các kết nối an toàn qua VPN, phân phối lưu lượng giữa nhiều đường truyền internet, tăng khả năng chịu tải của hệ thống mạng và đảm bảo tính sẵn sàng của mạng Khi tích hợp với các hệ thống IDS/IPS, pfSense có khả năng phát hiện và ngăn chặn các mối đe dọa tiềm ẩn, giúp bảo vệ dữ liệu và giảm thiểu rủi ro Đồng thời, pfSense cũng cho phép giới hạn và phân phối băng thông cho các ứng dụng hoặc người dùng cụ thể, cũng như cung cấp các công cụ giám sát chi tiết để quản trị viên theo dõi lưu lượng mạng và phát hiện các hoạt động bất thường.
Suricata là một công cụ phát hiện và phòng chống xâm nhập mạng mã nguồn mở, cho phép doanh nghiệp thiết kế lại để phù hợp với hệ thống mạng của mình, giúp nâng cao hiệu quả bảo mật thông tin.
Suricata là một công cụ mạnh mẽ giúp phân tích và giám sát lưu lượng mạng, cho phép theo dõi lưu lượng TCP, UDP, ICMP và nhiều giao thức khác Thông qua khả năng này, Suricata có thể phát hiện các dấu hiệu bất thường và cảnh báo người dùng về các mối đe dọa tiềm ẩn.
Suricata hỗ trợ Deep Packet Inspection (DPI), cho phép thực hiện phân tích sâu vào các gói tin, bao gồm cả phần dữ liệu của gói tin, giúp phát hiện nhiều loại mã độc và mối đe dọa tinh vi hơn so với các hệ thống giám sát bề mặt gói tin truyền thống.
Suricata tận dụng kiến trúc đa luồng, cho phép xử lý đồng thời nhiều gói tin, từ đó giúp tăng cường hiệu suất và khả năng mở rộng cho các hệ thống mạng lớn, đảm bảo khả năng xử lý thông tin nhanh chóng và hiệu quả.
Suricata tương thích với các quy tắc của Snort, một hệ thống phát hiện và ngăn chặn xâm nhập mạng phổ biến khác, giúp người dùng tận dụng kho quy tắc phong phú của Snort để phát hiện mối đe dọa mà không cần phải viết lại từ đầu.
Ghi lại log: Suricata có thể trích xuất và lưu trữ các tệp từ lưu lượng HTTP,
FTP và các giao thức khác, giúp phân tích sâu hơn các mối đe dọa
Suricata hỗ trợ mã hóa TLS, cho phép phân tích lưu lượng TLS và kiểm tra chứng chỉ, giúp phát hiện các mã độc ẩn bên trong các phiên làm việc an toàn.
Vai trò của suricata trong hệ thống mạng
Suricata là một công cụ mạnh mẽ giúp phát hiện nhiều loại tấn công phổ biến, bao gồm tấn công từ chối dịch vụ (DoS/DDoS), tấn công SQL Injection, khai thác lỗi ứng dụng web, quét mạng và các hoạt động độc hại khác, giúp bảo vệ hệ thống mạng khỏi các mối đe dọa an ninh mạng.
Phòng chống mã độc: Bằng cách phân tích sâu vào lưu lượng mạng,
Suricata có thể phát hiện và ngăn chặn nhiều loại mã độc trước khi chúng xâm nhập vào hệ thống.
Giám sát và phân tích lưu lượng mạng: Suricata cung cấp dữ liệu chi tiết về lưu lượng mạng, cho phép các chuyên gia bảo mật phân tích và hiểu rõ hơn về các hành vi mạng, từ đó cải thiện khả năng phản ứng với các sự cố.
Tăng cường bảo mật cho các dịch vụ và ứng dụng mạng: Với khả năng phân tích lưu lượng và phát hiện các mẫu hành vi bất thường Suricata giúp bảo vệ các dịch vụ và ứng dụng mạng trước những mối đe dọa tiềm ẩn.
Tích hợp vào hệ thống bảo mật tổng thể: Suricata có thể tích hợp vào
Here is a rewritten paragraph that captures the essence of the original content, optimized for SEO:"SIEM (Security Information and Event Management) systems work in tandem with other security solutions, such as firewalls and event management tools, to provide a comprehensive layer of protection for network systems, ensuring a robust defense against potential threats."
Thiết bị cần có
SST Tên Thiết Bị Số Lượng
Giá tiền Tên Thiết Bị Số Lượng
Logical topology và Physical topology, IP Table
1 Physical Topology: Mô hình vật lý thể hiện vị trí thực tế của các thiết bị (switch, router, máy tính) trong mạng.
Hình 27 Sơ đồ vật lý tầng trệt
Hình 29 Sơ đồ Vật lý tầng trệt
Hình 28 Sơ đồ vật lý tầng 1
2 Logical Topology: Mô hình logic thể hiện cách dữ liệu được truyền trong mạng và các dịch vụ mạng được phân bổ.
Hình 31 Sơ đồ vật lý tầng 3
Hình 32 Sơ đồ logic cho toàn bộ hệ thống mạng
Bảng phân chia Ip cho toàn hệ thống
Đánh giá và kiểm chứng kế hoạch
Sau khi hoàn thành thiết kế, bước kiểm tra tính khả thi là vô cùng quan trọng, giúp đánh giá khả năng thực hiện dự án từ góc độ kỹ thuật và tài chính Điều này đòi hỏi phải xem xét liệu các thiết bị và phần mềm đã chọn có đáp ứng được yêu cầu của doanh nghiệp hay không, đồng thời xác định xem liệu dự án có thể được hoàn thành trong ngân sách và thời gian đã đề ra.
Thử nghiệm: Tiến hành thử nghiệm trên mô hình thử (testbed) để đảm bảo hệ thống hoạt động ổn định trước khi triển khai chính thức.
Kiểm tra bảo mật: Đảm bảo hệ thống được bảo mật thông qua việc triển khai tường lửa, VPN và các hệ thống phát hiện xâm nhập.
Để đảm bảo tính liên tục của hoạt động kinh doanh, việc lập kế hoạch dự phòng và khôi phục là vô cùng quan trọng Điều này bao gồm việc đánh giá khả năng phục hồi sau thảm họa, sao lưu dữ liệu thường xuyên và triển khai các chiến lược dự phòng hiệu quả như sử dụng RAID, sao lưu dữ liệu tại các địa điểm từ xa và tận dụng các dịch vụ đám mây.
TRIỂN KHAI THỰC TẾ
Cấu hình
3.2.1 Câu hình VLAN cho khu vực các phòng hành chính
Hình 33 Các vlan của khu vực hành chính
Hình 34 Cho các vlan đi qua cổng trunk để đến được gateway trên router
Hình 35 Các gateway của vlan trên router
Hình 36 Các Vlan đã được định tuyến thành công
3.2.2 Cấu hình VLAN và DHCP cho khu vực các phòng LAB của sinh viên
Hình 37 Chia Vlan cho từng lab
Hình 38 Cấu hình trunk cho các vlan tiếp cận router cấp DHCP
Hình 39 Thiết lập DHCP pool cho các phòng lab
Hình 41 Đã cấp ip thành công cho các máy trong phòng lab
3.2.2 Cấu hình VLAN và DHCP cho AccessPoint
Hình 42 Giao diện Pfsense và các cổng interface
Hình 45 Static route các đường mạng vlan
Hình 46 Các rule cho phép các mạng đi qua các interface của firewall
Hình 47 các rule cho phép các mạng đi qua cổng Wan của firewall