Đang tải... (xem toàn văn)
Đồ án thiết kế mạng
Mục Lục Contents Mục Lục 1 Contents 1 Thiết bị có sẵn ở Trụ sở chính : 4 Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn 5 Mô hình mạng toàn nhà chính gồm các thiết bị chính được tập trung ở phòng server và IT. Ngoài ra để đảm bảo mức tín hiệu giữa các thiết bị có khoảng cách hơn 100m, ta dùng các switch 24 và 48 port ở các tầng 7 Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch trung tâm để đảm bảo tốc độ truyền dữ liệu 7 Router: Hệ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới 2 chi nhánh . 7 Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng bộ dữ liệu từ chi nhánh. Database được bảo vệ bằng Server Backup 7 Hệ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mật chuyên dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hệ thống Scan virus chuyên dụng của hãng Trend Micro đặt trước Firewall gateway 7 Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính 8 Router: 1 Router kết nối chi nhánh chính và truy cập WAN 8 Firewall: Firewall gate cho toàn bộ hệ thống 8 Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính 9 Router: 1 Router kết nối chi nhánh chính và truy cập WAN 9 Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hệ thống IPS cho Web, Mail Server 9 3. Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị 25 1 Hệ thống Firewall gateway sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers. 46 Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng. 47 Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công 48 Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng 48 Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng 49 Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn 49 Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống virus của hãng Trend Micro. Các sản phẩm bao gồm: 50 2 Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua. 50 Các web site thông tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về an toàn thông tin cho các công ty chứng khoán: 51 Các sản phẩm của hệ thống Firewall/VPN 51 Các sản phẩm của hệ thống phòng chống xâm nhập (IPS) 51 Các sản phẩm của hệ thống phòng chống Virus 51 3 I. Cơ sở hạ tầng và yêu cầu của công ty ABC 1. Cơ sở hạ tầng: Trụ sở chính : Tòa nhà 3 lầu với diện tích mặt sàn 2400m 2 (60x40) , đặt ở Quận Thanh Khê Chi nhánh 1: Gồm một tòa nhà 2 lầu và 1 tầng hầm, với diện tích mặt sàn 600m 2 (30x20), đặt ở Quận Liên Chiểu o Chi nhánh 2: Tòa nhà 4 lầu , diện tích mặt sàn 4000m 2 . Đặt Quận Ngũ Hành Sơn o Cơ sở vật chất đã có sẵn của trụ sở chính: H1.2. Mô hình mạng sẵn có của công ty ABC Thiết bị có sẵn ở Trụ sở chính : Tên thiết bị Hãng sản xuất Số lượng 4 PC PV-D5701 20 Màn hình LCD SAMSUNG E1920NX Wide 20 máy in laser trắng đen HP LaserJet P1102 5 SW 24 port l2 Switch Cisco WS-CE500-24TT 2 DataBase Server IBM® System® x3550M3 (7944 - A2A) 1 Firewall ISA 1 • Chi nhánh 1 và chi nhánh 2 vừa được xây dựng mới hoàn toàn . 2. Các yêu cầu về hệ thống mạng: H1.3. Các yêu cầu của hệ thống mạng 5 Hệ thống máy chủ mạnh , hoạt động 24/24, đảm bảo yêu cầu truy cập từ mọi trụ sở và chi nhánh vào mọi thời điểm. Thời gian phản hồi các yêu cầu đáp ứng thời gian thực. Hệ thống chấm công bằng cách quét vân tay cho nhân viện trên trụ sở chính và chi nhánh trong vòng 15 phút. Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thấy mô hình mạng bên trong cũng như các thiết bị. Hệ thống trang web để quảng bá sản phẩm , hệ thống thư điện tử. Hệ thống Voip II. Thiết kế hệ thống mạng 1. Mô hình mạng logic: 1.1. Tòa nhà chính: H2.1 Mô hình logic tòa nhà chính 6 Mô hình mạng toàn nhà chính gồm các thiết bị chính được tập trung ở phòng server và IT. Ngoài ra để đảm bảo mức tín hiệu giữa các thiết bị có khoảng cách hơn 100m, ta dùng các switch 24 và 48 port ở các tầng. Switch ở các tầng lầu có port Uplink có tốc độ 1000MB/s dùng để nối với switch trung tâm để đảm bảo tốc độ truyền dữ liệu. Mô hình mạng toàn nhà bao gồm: Router: Hệ thống bao gồm 2 router, 1 kết nối mạng WAN và 1 Router kết nối tới 2 chi nhánh . Hệ thống các máy chủ được đặt tại phòng server có máy lạnh và hệ thống dự phòng UPS, máy chủ Database cấu hình mạnh để đáp ứng nhu cầu xử lý và đồng bộ dữ liệu từ chi nhánh. Database được bảo vệ bằng Server Backup. Hệ thống Firewall: Firewall gate là sự kết hợp của phần mềm bảo mật chuyên dụng của hãng checkpoint VPN-1 UTM chạy trên phần cứng chuyên dụng crossbeam 6, IPS để bảo vệ vùng CSDL : database server, App server , DHCP server … Web firewall để bảo vệ vùng DMZ (chứa web và mail server) và hệ thống Scan virus chuyên dụng của hãng Trend Micro đặt trước Firewall gateway. 1.2. Chi nhánh 1: Vì chi nhánh 1 khá nhỏ nên ko có hệ thống Server riêng, database sẽ được truy cập từ chi nhánh chính. 7 H2.2. Mô hình logic chi nhánh 1 Mô hình mạng bao gồm: Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính Router: 1 Router kết nối chi nhánh chính và truy cập WAN Firewall: Firewall gate cho toàn bộ hệ thống 1.3. Chi nhánh 2 : Tập trung số lượng lớn nhân viên của công ty ABC 8 H2.3. Mô hình logic chi nhánh 2 Mô hình mạng bao gồm: Các thiết bị được lắp đặt tập trung tại phòng server như chi nhánh chính Router: 1 Router kết nối chi nhánh chính và truy cập WAN Firewall: Firewall gate là sự kết hợp của phần mềm VPN-1 UTM của hãng checkpoint chạy trên phần cứng chuyên dụng crossbeam C6 – hệ thống IPS cho Web, Mail Server. 9 2. Lý do chọn mô hình mạng: • Với mô hình mạng trên sẽ đảm bảo được các yêu cầu về tốc độ xử lý, an toàn thông tin và bảo mật dữ liệu cho web, mail, server farm. • Chúng tôi chọn mô hình trên theo hướng mở rộng các dịch vụ cho tương lai, mô hình trên sẵn sàng đáp ứng các nhu cầu về thêm các thiết bị như PC, IP Phone, Print một cách dễ dàng. • Hệ thống web có thể dùng để mua hàng và thanh toán trực tiếp một cách an toàn. • Hệ thống IPX riêng biệt có thễ dễ dàng mở rộng các dịch vụ video conferencing dễ dàng – Với đường line riêng nên mạng Lan trong công ty được bảo vệ khỏi các cuộc tấn công từ PSTN • Các tòa nhà đều có hệ thống máy chủ cơ sở dữ liệu riêng,nhằm giảm tải cho máy chủ CSDL ở tòa trung tâm. hệ thống CSDL ở 2 chi nhánh sẽ được truyền về máy chủ CSDL ở tòa nhà chính vào thời gian định săn để quản lý tập trung và backup kịp thời. 3. Sơ đồ vật lý: 3.1. Tòa nhà chính: Trụ sở chính diện tích 2400 m2 - 132 nhân viên gồm nhân viên các phòng – Giám Đốc – Phó Giám Đốc 10 [...]... 4 : 22 H2.15 Sơ đồ vật lý – chi nhánh 2 – lầu 4 Đây là lầu đặt hệ thống máy chủ, các switch của các lầu sẽ được dẫn lên tầng 4 này CN2 – lầu 4 gồm : phòng giám đốc chi nhánh , phòng kế toán, phòng quản lý nhân sự, phòng server , thư viện, hội trường CN2 – lầu 4 có 49 người được phân bố : • • • 23 Giám đốc : 1 Thư ký: 1 Kế toán : 15 • Nhân Sự: 18 • IT : 8 • Quản thư : 6 Mô hình các thiết bị sử dụng... gateway Ghi chú R3 R1 255.255.255.0 Kết nối tới sw core bên trong mạng R2 S0/1 192.168.200.6 255.255.255.252 N/A Kết nối với R1 F0/0 192.168.10.1 255.255.255.0 N/A Kết nối tới sw core bên trong mạng R3 S0/1 192.168.200.2 255.255.255.252 N/A Kết nối với R1 R3 Router CN2 192.168.1.1 R2 Router CN1 F0/0 F0/0 192.168.100.1 255.255.255.0 Kết nối tới sw core bên trong mạng N/A Bảng 1 : Địa chỉ IP trên các... nhánh 1: Chi nhánh 1 diện tích 600 m2 (30x20) 14 H2.7 Sơ đồ vật lý – Chi nhánh 1 – lầu 1 CN1 - Tầng hầm: Kho Hàng: 2PC – 1 IP Phone – 1 Print 15 H2.8 Sơ đồ vật lý – chi nhánh 1 – lầu 2 CN1 - Tầng 1: Bộ phận lắp đặt: 16 PC – 16 IP Phone – 3 Print Phòng bảo hành: 4 PC – 1 IP Phone 16 Phòng kế toán: 8 PC – 8 IP Phone – 4 Print 1 Finger divice – 1 máy POS H2.9 Sơ đồ vật lý – chi nhánh... tâm là 1 sw 24 port L3 có tốc độ xử lý cao và 1 sw dự phòng • • được thiết kế theo mô hình phân cấp Hệ thống firewall Check point và IPS Một router để kết nối ra internet và kết nối tới chi nhánh trung tâm Giải thích về sự chọn lọc các thiết bị : 24 Sử dụng Access Point ở phòng họp và phòng thư viện tiện lợi cho việc sử dùng laptop kết nối internet và tài nguyên trong khi hội họp , và 1 access point... 1000mb/s), bên đó ta dùng 1 Sw nữa thiết kế theo mô hình phân cấp nhắm dự phòng trường họp sw core gặp sự cố 3 Quy hoạch địa chỉ IP cho hệ thống mạng và thiết bị Mô hình chung : 25 H 2.17 Mô hình chung quy định địa chi IP Thiết bị Ký hiệu Cổng IP Subnet mask Router tòa nhà chính R1 S0/0 192.168.200.1 255.255.255.252 N/A Kết nối với R2 R1 S0/1 192.168.200.5 255.255.255.252 N/A Kết nối với 26 Default gateway... – Thiết bị CN2-lầu 1 19 H2.12 Sơ đồ vật lý – chi nhánh 2 – lầu 2 CN2 – lầu 2 : gồm : Thu Ngân : 6 người Giao hàng : 10 người Quản kho : 5 người Nhân viên tư vấn : 30 người Lắp đặt , bảo trì: 20 Chi tiết thiết kế : 20 CN2- lầu 2 gồm 1 switch 48 port + patch panel 48 port, được dẫn tới các PC và máy in tới tất cả các phòng ban ở lầu 2 H2.13 – Chi tiết thiết bị CN2- lầu 2 CN2-lầu2 gồm các thiết. .. 203.100.100.2 27 Chi nhánh 1: IP Internet: 203.101.101.1 - 4 Chi nhánh 2: IP Internet: 203.102.102.1 - 4 Hệ thống sử dụng VLAN để chia mạng Lợi ích của VLAN Tiết kiệm băng thông của hệ thống mạng: Tăng khả năng bảo mật: Dễ dàng thêm hay bớt máy tính vào VLAN: Giúp mạng có tính linh động cao: Hệ thống Vlan được biểu diễn qua các bảng sau : • Tòa nhà trung tâm STT VLAN 28 Số thiết bị cần cấp địa chỉ... 11 PC – 11 IP Phone – 2 Print Phòng IT: 6 PC – 6 IP Phone Phòng Họp: 1 Access Point 3.3 Chi nhánh 2: Chi nhánh 2 với diện tích 4000 M2, nhưng diện tích mặt sàn xây dựng là 3000m2(60x50) Chi nhánh 2 có 229 người bao gồm quản lý – nhân viên – bảo vệ - lao công 18 H2.10 Sơ đồ vật lý – chi nhánh 2 – lầu 1 CN2 - Lầu 1 : • • • • • Bộ phận thu ngân gồm 6 PC + 2 máy in + 1 máy quét thẻ Bộ phận giao hàng... 2.16 : Chi tiết thiết bị CN2 – lầu 4 • • • • • • • • • Phòng giám đốc 1 PC Phòng Thư ký 1PC + 1 máy in Phòng nhân sự 16 PC + 2 máy in Phòng kế toán 15 PC + 2 máy in Phòng IT 6 PC + 1 máy in Phòng họp gồm 1 access point + 1 PC + 1 máy chiếu Phòng giải trí + thư viện : 1 access point Phòng server : 1 Database server + 1 DHCP server 1 switch 48 port + 2 sw 24 port + 2 patch panel 48 port để kết nối tới... RJ45 3 Thu ngân PC PV-D5701 5 4 Thu ngân Máy in HP LaserJet P1102 2 RJ45 192.168.1.34/27 192.168.1.33 à192.168.1.62/27 RJ45 5 Nhân sự PC PV-D5701 6 6 Nhân sự Máy in HP LaserJet P1102 1 7 Kế toán PC PV-D5701 6 8 Kế toán Máy in HP LaserJet P1102 1 9 Nghiêncứu PC PV-D5701 6 10 Nghiêncứu Máy in HP LaserJet P1102 1 RJ45 192.168.1.98/28 192.168.1.97 à192.168.1.110/28 RJ45 11 Server Farm Print Server D-LINK . point 3.2. Chi nhánh 1: Chi nhánh 1 diện tích 600 m 2 (30x20) 14 H2.7 Sơ đồ vật lý – Chi nhánh 1 – lầu 1 CN1 - Tầng hầm: Kho Hàng: 2PC – 1 IP Phone – 1 Print 15 H2.8 Sơ đồ vật lý – chi nhánh 1 –. sàng cao của toàn mạng 48 Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng 49 Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa. và chi nhánh trong vòng 15 phút. Hệ thống mạng phải được bảo mật, các hệ thống ngoài mạng không nhìn thấy mô hình mạng bên trong cũng như các thiết bị. Hệ thống trang web để quảng bá sản