Xây dựng mô hình mạng bảo mật với cisco ASA firewall cho công ty cổ phần tập đoàn quang minh bắc giang

Có nhiều ứng dụng được cung cấp trong tâng này, phổ biến là: Telnet sử dụng trong truy cập từ xa, FTP File Transfer Protocol- dịch vụ truyền tệp tin, Email dịch vụ thư điện tử… 1.4 Tổng

LỜI CAM ĐOAN

Tôi cam đoan: Đồ án tốt nghiệp với đề tài “Xây dựng mô hình mạng bảo mật với Cisco ASA Firewall cho Công ty cổ phần Tập đoàn Quang Minh Bắc Giang” là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của thầy giáo Ths Trần Duy Minh các kết quả nghiên cứu có tính độc lập riêng, không sao

chép bất kỳ tài liệu nào và chưa công bố nội dung này ở bất kỳ đâu

Tôi xin hoàn toàn chịu trách nhiệm về công trình nghiên cứu của riêng mình

!

Thái Nguyên, tháng 6 năm 2016

Sinh viên

Lục Văn Luân

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Th.S Trần Duy Minh

đã tận tình giúp đỡ em trong suốt quá trình làm đồ án

Em cũng xin gửi lời biết ơn sâu sắc tới các thầy, cô giáo trong trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên Các thầy, cô đã xây dựng cho chúng em một kho tri thức khổng lồ, không chỉ là kiến thức chuyên ngành, các thầy cô còn dạy bảo chúng em đạo làm người, rèn luyện cho chúng em nghị lực, khát vọng vươn lên, phát huy khả năng tư duy sáng tạo trong mọi lĩnh vực

Cuối cùng, em xin được cảm ơn gia đình, bạn bè, những người thân yêu nhất của em Mọi người luôn ở bên cạnh, động viên, khuyến khích em vươn lên trong quá trình học tập và trong cuộc sống

Thái Nguyên, tháng 6 năm 2016

Sinh viên

Lục Văn Luân

1.7.2 Chức năng chính của ASA 19

1.7.3 Cơ chế hoạt động của tường lửa ASA 20

1.8 Network Access Translation (NAT) 23

1.8.1 Khái niệm 23

1.8.2 Một số kỹ thuật NAT 23

1.8.3 NAT trên Cisco ASA 25

1.9 Access Control List ( ACL ) 25

CHƯƠNG 2: KHẢO SÁT VÀ ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG MẠNG TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN QUANG MINH – BẮC GIANG 282.1 Giới thiệu 28

2.1.1 Lịch sử phát triển28

2.1.2 Lĩnh vực kinh doanh 29

2.2 Tổ chức bộ máy quản lý của công ty 30

2.3 Khảo sát hiện trạng hệ thống mạng cảu công ty 32

3.2.1 Sơ đồ Logic mạng mới cho công ty 42

3.2.2 Sơ đồ vật ký hệ thống mạng của công ty 43

3.3 Đề xuất giải pháp bảo mật mạng sử dụng ASA 46

3.3.1 Tính năng chính của Firewall Cisco ASA 5520 46

3.3.2 Xây dựng các luật bảo mật dựa trên ASA 53

3.3.3 Xây dựng quy trình bảo mật 54

CHƯƠNG 4: XÂY DỰNG VÀ CÀI ĐẶT MÔ PHỎNG CHƯƠNG TRÌNH 584.1 Mục tiêu của bài toán58

4.2 Cấu hình các thiết bị 59

4.2.1 Cấu hình ASA qua ASDM 60

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO 68

Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet 17

Hình 1.7 Mô tả các mức độ bảo mật trong hệ thống mạng 22

Hình 1.8 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet 23

Hình 1.9 Bảng NAT động của một mang LAN 24

Hình 1.10 Mô tả cơ chế PAT 24

Hình 1.11 Sơ đồ ACL điều khiển truy cập mạng.25

Hình 2.1 Sơ đồ tổ chức bộ máy công ty 30

Hình 2.2 Tòa nhà chính của công ty 32

Hình 2.3 Sơ đồ logic hệ thống mạng của công ty34

Hình 3.1 Sơ đồ thiết kế mạng bảo mật sử dụng ASA Firewall 40

Hình 3.2 Sơ đồ mạng LOGIC mới cho công ty 42

Hình 3.3 Sơ đồ vật lý mạng tầng 143

Hình 3.4 Sơ đồ vật lý mạng tầng 243

Hình 3.5 Sơ đồ vật lý mạng tầng 344

Hình 3.6 Sơ đồ vật lý mạng tầng 444

Hình 3.7 Sơ đồ vật lý mạng tầng 545

Hình 3.8 Bảng phân bổ địa chỉ ip 45

Hình 3.9 bảng chi phí các thiết bị mới cần thê 46

Hình 4.1 Sơ đồ mạng mô phỏng trên GNS3 58

Hình 4.2 Kiểm tra kết nối từ C2 đến PC5 60

Hình 4.3 Kiểm tra ping từ ASA đến C1 64

Hình 4.4 Kiểm tra ping từ ASA đến PC1 Và PC2 64

Hình 4.5 Kiểm tra ping từ ASA đến C2 64

Hình 4.6 Kiểm tra ping từ PC3 đến PC1 và PC264

Hình 4.7 Kiểm tra ping từ PC1 đến C2 65

Hình 4.8 Kiểm tra ping từ PC3 đến C2 65

Hình 4.9 Kiểm tra kết nối từ PC3 đến PC4 65

Hình 4.10 Kiểm tra từ PC1 ra internet 66

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về mạng máy tính

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi môi trường truyền (đường truyền) theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau

Môi trường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Các tín hiệu điện tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on – off) Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theo tần số của sóng điện từ có thể dùng các môi trường truyền vật lý khác nhau để truyền các tín hiệu Ở đây môi trường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trường truyền dữ liệu tạo nên cấu trúc của mạng Hai khái niệm môi trường truyền

và cấu trúc là những đặc trưng cơ bản của mạng máy tính

Hình 1.1: Một mô hình liên kết các máy tính trong mạng

Tốc độ truyền dữ liệu trên đường truyền còn được gọi là thông lượng của đường truyền – thường được tính bằng số lượng bit được truyền đi trong một giây (bps)

1.2 Mô hình OSI (Open Systems Interconnect)

Ở thời kỳ đầu của công nghệ nối mạng, việc gửi và nhận dữ liệu ngang qua mạng thường gây nhầm lẫn do các công ty lớn như IBM, Honeywell tự đề ra những tiêu chuẩn riêng cho hoạt động kết nối máy tính

Năm 1984, tổ chức Tiêu chuẩn hóa Quốc Tế - ISO ( International Standard Organization) chính thức đưa ra mô hình OSI ( Open Systems Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết

bị không cùng chủng loại

Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau.

Hình 1.2 Mô hình OSI

1.2.1 Các giao thức trong mô hình OSI

Trong mô hình OSI có hai loại giao thích chính được áp dụng: Giao thức có liên kết và giao thức không liên kết

 Giao thức có liên kết: Trước khi truyền dữ liệu hai tầng đồng mức cần thiết lập một liên kết logic và các gói tin được trao đổi thông qua liên kết này, việc

có liên kết logic sẽ nâng cao độ an toàn trong truyền dữ liệu

 Giao thức không liên kết: Trước khi truyền dữ liệu không thiết lập liên kết logic và mỗi gói tin được truyền độc lập với các gói tin trước hoặc sau nó

1.3 Mô hình TCP/IP

TCP/IP ( Transmission Control Protocol/ Internet Protocol) là bộ giao thức cho phép kết nối các hệ thống mạng không đồng nhất với nhau Ngày nay, TCP/IP được sử dụng rộng rãi trong các mạng cục bộ cũng như trên mạng Internet toàn

TCP/IP là giản lược của mô hình tham chiếu OSI với bốn tầng:

 Tầng truy cập ( Network Access Layer)

 Tầng mạng (Internet Layer)

 Tậng vận chuyển (Transport Layer)

 Tầng ứng dụng ( Application Layer)

a Tầng truy cập mạng ( Network Access Layer)

Tầng truy cập là tầng thấp nhất trong mô hình TCP/IP, bao gồm các thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để có thể hoạt động, truy nhập đường truyền vật lý qua thiets vị giao tiếp mạng đó

b Tầng mạng (Network Layer)

Tầng mạng xử lý quá trình truyền gói tin trên mạng Các giao thức của tầng này gồm: IP (Internet Protocol), ICMP ( Internet Control Message Protocol), IGMP ( Internet Group Message Protocol)

c Tầng vận chuyển ( Transport Layer)

Tầng vận chuyển phụ trách luồng dữ liệu giữa hai trạm thực hiện các ứng dụng của tầng trên

Tầng này có hai giao thức chính: TCP (Transmission Control Protocol) Và UDP ( User Datagram Protocol)

TCP cung cấp một luồng dữ liệu tin cậy giữa hai trạm, nó sử dụng các cơ chế chia nhỏ các gói tin của tầng trên thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian time-out để đảm bảo bên nhận biết được các gói tin đã gửi đi Do tầng này đảm bảo tính tin cậy, tầng trên sẽ không cần quan tâm đến nữa

UDP cung cấp một dịch vụ đơn giản hơn cho tầng ứng dụng Nó chỉ gửi các gói dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được đích

d Tầng ứng dụng ( Application Layer)

Tầng ứng dụng là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cấp cho người sử dụng để truy cập mạng Có nhiều ứng dụng được cung cấp trong tâng này, phổ biến là: Telnet (sử dụng trong truy cập từ xa), FTP ( File Transfer Protocol- dịch vụ truyền tệp tin), Email (dịch vụ thư điện tử)…

1.4 Tổng quan về quản trị mạng

Quản trị mạng được định nghĩa là các công việc quản trị mạng lưới bao gồm cung cấp các dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo mạng lưới cung cấp đúng chỉ tiêu định ra

1.4.1 khái quát công việc quản trị mạng bao gồm:

-Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soát cấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau

- Quản trị người dùng, dịch vụ mạng: bao gồm các công tác quản lý người

sử dụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đã đề ra

- Quản trị hiệu năng, hoạt động mạng: bao gồm các công tác quản lý, giám sát hoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định

-Quản trị an ninh, an toàn mạng: bao gồm các công tác quản lý, giám sát mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép Việc phòng chống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức tấn công như Dos làm tê liệt hoạt động của mạng cũng là một phần rất quan trọng trong công tác quản trị, an ninh, an toàn mạng

1.5 Bảo mật mạng máy tính

1.5.1 Định nghĩa bảo mật mạng máy tính

Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng trướcnhững hoạt động nhằm tấn công phá hoại hệ thống mạng cả từ bên trong như bên ngoài

Hoạt động phá hoại là những hoạt động như xâm nhập trái phép sử dụng tài

nguyên trái phép ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tàinguyên mạng và cơ sở dữ liệu của hệ thống.

Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một

hệ thống mạng Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càngđược đạt lên hàng đầu

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đềbảo mật mạng ở các cấp độ sau:

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

 Mức server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trìnhnhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát ai? được quyền như thế nào? với mỗi

cơ sở dữ liệu

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗitrường dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau cóquyền truy cập khác nhau

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào

đó và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu

c) Đánh lừa (IP spoofing)

Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việchoặc thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết.

d) Tấn công từ chối dịch vụ (Denial of services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách hacker gửi các gói tinvới tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thốngchiếm hết băng thông sử dụng

e) Tấn công trực tiếp password

Đó là kiểu tấn công trực tiếp vào username và password của người sử dụng nhằm ăn cắp tài khoải sử dụng vào mục đích tấn công Hacker dùng phần mềm

để tấn công ( vị dụ như Dictionary attacks )

g) Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặcliên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password

1.5.3 Các mức độ bảo mật

Hình 1.3 Các mức độ bảo mật

 Quyền truy nhập

Đây là lớp bảo vệ sâu nhất nhằm kiểm soát tài nguyên mạng kiểm soát ởmức độ file và việc xác định quyền hạn của người dùng do nhà quản trị quyếtđịnh như: chỉ đọc( only read), chỉ ghi (only write), thực thi(execute)

 Đăng nhập / Mật khẩu (login/password)

Đây là lớp bảo vệ mức độ truy nhập thông tin ở mức độ hệ thống Đây làmức độ bảo vệ được sử dụng phổ biến nhất vì nó đơn giản và ít tốn kém Nhà quảntrị cung cấp cho mỗi người dùng một username và password và kiểm soát mọi

hoạt động của mạng thông qua hình thức đó Mỗi lần truy nhập mạng người dùng phải đăng nhập Username và password, hệ thống kiểm tra hợp lệ mới cho đăng nhập

 Mã hóa dữ liệu (Data encryption)

Đó là sử dụng các phương pháp mã hoá dữ liệu ở bên phát và thực hiện giải mã ở bên thu bên thu chỉ có thể mã hóa chính xác khi có khoá mã hóa do bên phát cung cấp

 Bảo vệ vật lý (Physical protect)

Đây là hình thức ngăn chạn nguy cơ truy nhập vật lý bất hợp pháp vào hệthống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng,dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống

 Bức tường lửa (firewall)

Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộthông qua firewall Chức năng của tường lửa là ngăn chặn các truy nhập trái phép(theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin mà

ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó Phương thức bảo vệnày được dùng nhiều trong môi trường liên mạng Internet

1.6 Tường lửa (Firewall)

1.6.1 Giới thiệu

Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một số

cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là Thiết bị bảo

vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của

NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege)

Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ thống Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng Để

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an ninh

1.6.2 Phân loại

Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và firewall mềm (bên trong) Trong đó cả hai đều có những nhược điểm và ưu điểm riêng Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng

1.6.2.1 Tường lửa cứng

Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều

hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper…

Đặc điểm của Firewall cứng:

Hoạt động ở tầng Network và tầng Transport

Tốc độ xử lý

Tính bảo mật cao

Tính linh hoạt thấp

Khả năng nâng cấp thấp

Không kiểm tra được nội dung gói tin

Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiều chức năng Ngoài làm chức năng tường lửa bảo mật, chúng còn kèm theo các module khác như routing, vpn, …

Hình 1.4 Mô hình Firewall cứng

1.6.2.2 Tường lửa mềm

Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server, Zone Alarm, Norton firewall, các phần mềm antivirut hay các hệ điều hành đều có tính năng firewall…

Đặc điểm:

Hoạt động ở tầng Application

Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Hình 1.5 Mô hình Firewall mềm

1.6.3 Chức năng của Firewall

- Kiểm soát luồng thông tin giữa Intranet và Internet

- Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

và mạng Internet Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

Hình 1.6 Mô tả luồng dữ liệu ra vào giữa Internet và Intranet

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

(data-Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virut

1.7 Tường lửa Cisco ASA

1.7.1 Giới thiệu

Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt ASA viết tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng dụng anti-malware

Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều (outbuond-đi ra) với rất ít việc cấu hình Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết

bị trên mạng có mức bảo mật thấp hơn

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là inbound

Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside)

Mức bảo mật 0: Đây là mức bảo mật thấp nhất, thường được gán cho cổng

mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside)

Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại

nếu yêu cầu mở rộng vùng mạng.

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua câu lệnh security-level

Đặc tính nổi bật của ASA là:

- Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN IPSec/SSL

- Có khả năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services

- Giảm thiểu chi phí vận hành và phát triền

1.7.2 Chức năng chính của ASA

- Tường lửa (Firewall): Bảo mật mạng từ các cuộc xâm nhập không xác thực, trong khi vẫn cho phép hoạt động mạng diễn ra bình thường, không bị trì trệ

- Mã hóa SSL/Ipsec VPN: Mở rộng hệ thống mạng bằng cách cho phép truy cập mạng từ xa nhưng vẫn đảm bảo an toàn với các công nghệ mã hóa

- Ngăn chặn xâm nhập: Bảo vệ tài nguyên quan trọng trong mạng từ các cuộc tấn công, có đầy đủ chức năng của hệ thống ngăn chận xâm nhập (IPS), Cisco ASA chống lại các mối đe dọa như các lỗ hổng bảo mật từ các ứng dụng, hệ điều hành,

- Bảo mật nội dung: Tăng tính hiệu quả sử dụng và loại bỏ mối đe dọa từ những nội dung không mong muốn trong mạng

1.7.3 Cơ chế hoạt động của tường lửa ASA

1.7.3.1 Các chế độ làm việc

Firewall ASA có 4 chế độ làm việc chính:

- Chế độ giám sát (Moniter Mode): Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạng hoặc khôi phục lại mật khẩu Trong khi ở chế độ giám sát, bạn có thể nhập lệnh để xác định vị trí một máy chủ TFTP và vị trí của hình ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu tải vể Bạn truy cập vào chế độ này bằng cách nhấn “break” hoặc “ESC” chìa khóa ngay sau khi bật nguồn thiết bị

- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>” Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh Bạn không thể cấu hình bất cứ điều gì từ chế độ này Để bắt đầu với cấu hình, lệnh đầu tiên phải nhập

là enable Gõ enable và nhấn enter

- Chế độ đặc quyền (privileged Mode): Cho phép bạn thay đổi các thiết lập hiện hành Bất cứ lệnh nào trong chế độ không đặc quyền cũng làm việc trong chế độ này Từ chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng lệnh show running-config

- Chế độ cấu hình ( Configuration Mode): Cho phép thay đổi tất cả thiết lập cấu hình hệ thống

được lưu trữ trong bộ nhớ flash.

Loại thứ hai startup-configuration là cấu hình sao lưu của configuration Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi thiết

running-bị khởi động lại Ngoài ra, Ngoài ra, startup-configuration được tải khi thiết running-bị

khởi động Để xem configuration được lưu trữ, gõ lệnh show config.

startup-1.7.3.3 Mức độ bảo mật (Security Level)

Security Level được gán cho interface (hoặc vật lý hay logical interfaces) và nó cơ bản một số từ 0 - 100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi

sub-là, liên quan đến interface khác Vì mỗi interface firewall đại diện cho một mạng

cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta Các quy tắc chính cho mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào một interface với một mức độ bảo mật thấp hơn Mặt khác, một interface với một mức độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control List - ACL)

Một số mức độ bảo mật điển hình:

 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định interface bên ngoài của firewall Đó là mức độ bảo mật ít tin cậy nhất và phải được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ của chúng ta Mức độ bảo mật này thường được gán cho interface kết nối với Internet Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ

ràng cho phép một quy tắc ACL.

 Security Level1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, )

 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ

nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho

interface kết nối mạng nội bộ công ty đằng sau nó

Hình 1.7 Mô tả các mức độ bảo mật trong hệ thống mạng

Việc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL) Nếu NAT-Control

được kích hoạt trên thiết bị, sau đó có một cặp chuyển đổi nat/global giữa các

interface có Security Level từ cao tới thấp

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất cả

lưu lượng truy cập trừ khi được cho phép bởi một ACL Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp.

 Truy cập giữa các interface có cùng một Security Level: Theo mặc định

là không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit.

1.8 Network Access Translation (NAT)

1.8.1 Khái niệm

Sự suy giảm của không gian địa chỉ công cộng IPv4 đã buộc các cộng đồngInternet tìm cách thay thế của địa chỉ máy chủ nối mạng NAT do đó được tạo ra

để giải quyết các vấn đề xảy ra với việc mở rộng của Internet

Một trong những lợi ích của việc sử dụng NAT trong các mạng IP như sau+ NAT giúp giảm thiểu về sự cạn kiệt địa chỉ IP công cộng

+ NAT tang cường an ninh bằng cách ẩnNetworksTopology và Addressing+ NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn

+ NAT cũng có thể coi như một Firewall cơ bản

1.8.2 Một số kỹ thuật NAT

1.8.2.1 kỹ thuật NAT tĩnh (Static NAT)

- Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấuhình

- Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi

vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực

Hình 1.8 Mô tả NAT tĩnh của một mạng LAN ra ngoài Internet

1.8.2.2 Kỹ thuật NAT động (Dynamic NAT)

Với NAT, khi số IP nguồn không bằng số IP đích Số host chia sẻ nói chung

bị giới hạn bởi số IP đích có sẵn Khi đó kỹ thuật NAT động (Dynamic NAT)được sử dụng để giải quyết vấn đề trên với việc ánh xạ một địa chỉ có thể tươngứng với nhiều địa chỉ

Hình 1.9 Bảng NAT động của một mang LAN

1.8.2.3 Kỹ thuật NAT overloading ( hay PAT)

- Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗiđịa chỉ riêng được phân biệt bằng số port

- Có tới 65 356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng

- Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấpPAT Nhìn chung người ta sử dụng NAT để bao gồm những thiết bị PAT

Hình 1.10 Mô tả cơ chế PAT

1.8.3 NAT trên Cisco ASA

Cisco ASA Firewall hỗ trợ hai loại chuyển đổi địa chỉ chính :

- Dynamic NAT translation

+ Chuyển đổi Source Address trên Interface bảo mật cao hơn vào một phạm

vi (hay pool) của địa chỉ IP trên một Interface kém an toàn hơn, cho kết nối rangoài

+ Lệnh “nat” xác định máy chủ nội bộ sẽ được dịch, và lệnh global xácđịnh các dải địa chỉ trên outgoing interface

+ Cấu hình Dynamic NAT translation :

ciscoasa(config)#nat (internal_interface_name) “nat-id” “internalnetwork IPsubnet” ciscoasa(config)#global(external_interface_name)“nat-id” “external IP poolrange”

- Static NAT translation

+ Chuyển đổi theo cơ chế một-một giữa một IP trên một Interface an toàn hơn

và một IP trên một Interface kém an toàn

+ Static NAT cho phép các host trên một Interface kém an toàn (ví dụ nhưInternet) để truy cập máy chủ trên một Interface bảo mật cao hơn

+ Cấu hình Static NAT translation:

ciscoasa(config)#static (real_interface_name,mapped_interface_name)

“mapped_IP” “real_IP” netmask”subnet_mask”

1.9 Access Control List ( ACL )

Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List

Hình 1.11 Sơ đồ ACL điều khiển truy cập mạng.

Access Control List(danh sách điều khiển truy cập) là một danh sách chophép hoặc từ chối lưu lượng truy cập từ một nguồn đến một đích đến

Sau khi một ACL được cấu hình, nó được áp dụng cho một giao diện với một lệnh access-group Nếu không có ACL được áp dụng cho một Interface, lưu lượng truy cập ra bên ngoài (from inside to outside ) được phép theo mặc định, và lưu lượng truy cập trong nội bộ (from outside to inside) bị từ chối theo mặc định

ACL có thể được áp dụng (bằng cách sử dụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với các Interface Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, và theo hướng "out"của ACL kiểm soát traffic ra khỏi một interface

Cách thực hiện các ACL :

-Đối với Outbound Traffic (từ vùng có Security-level cao hơn đến thấp hơn),

tham số địa chỉ nguồn một mục ACL là địa chỉ thực sự thực tế của máy chủ hoặc mạng.

- Đối với Inbound Traffic (từ vùng có Security-level thấp hơn đến cao hơn),tham số địa chỉ đích ACL là địa chỉ IP chuyển dịch

-ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thực hiệntrên thiết bị bảo mật

- ACL ngoài việc hạn chế lưu lượng thông qua tường lửa, nó có thể được

sử dụng cũng như là một đường truyền lựa chọn cơ chế áp dụng một vài hành độngkhác để lưu lượng truy cập được lựa chọn như mã hóa, dịch thuật, lập chính sách,chất lượng dịch vụ

Lệnh cấu hình default ACL :

ciscoasa(config)# access-list “access_list_name”[lineline_number] [extended] {deny|permit} protocol“source_address”“mask”[operatorsource_port]

“dest_address” “mask” [operator dest_port]

Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:

ciscoasa(config)#access-group“access_list_name”[in|out] interface“interface_name ”

Các tham số trong lệnh:

- Access_list_name: một tên mô tả của ACL cụ thể Cùng tên được sử dụngtrong lệnh access-group

-Lineline_number: mỗi mục ACL có số dòng riêng của mình

-Extended: sử dụng khi xác định cả hai nguồn và địa chỉ đích trong ACL

- Deny|permit : xác định truy cập cụ thể được phép hoặc bị từ chối

- Protocol: chỉ định giao thức giao thông (IP, TCP, UDP,…)

- Source_address mask: chỉ định địa chỉ IP nguồn và subnet mask Nếu làmột địa chỉ IP duy nhất, có thể sử dụng từ khoá "host" mà không cần subnet mask,

có thể sử dụng từ khóa "any" để chỉ định bất kỳ địa chỉ

-[operator source_port] : chỉ định số cổng nguồn

-D est_address mask : đây là địa chỉ IP đích và subnet mask Có thể sửdụng những từ khóa “host” hoặc “any”

- [operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượng yêucầu truy cập

CHƯƠNG 2: KHẢO SÁT VÀ ĐÁNH GIÁ HIỆN TRẠNG HỆ THỐNG MẠNG TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN

QUANG MINH – BẮC GIANG

2.1 Giới thiệu

2.1.1 Lịch sử phát triển

+ Tên Công ty: Công ty Cổ phần Tập đoàn Quang Minh

+ Tên giao dịch quốc tế: Quang Minh Group

+ Tên viết tắt: QMGroup

- Loại hình doanh nghiệp: Công ty cổ phần

- Địa chỉ trụ sở chính: Khu dân cư số 1- phường Hoàng Văn Thụ- Thành phố Bắc Giang- tỉnh Bắc Giang

- Năm thành lập: Tháng 05 năm 2005

- Vốn điều lệ: 11.000.000.000 đồng ( Mười một tỷ đồng )

Tháng 05 năm 2005, Công ty Cổ phần Tập đoàn Quang Minh được thành lập với tên gọi là Công ty Cổ phần Quang Minh với lực lượng cán bộ có bề dầy kinh nghiệm và tâm huyết hoạt động xây dựng trên 25 năm Khi mới thành lập Công ty chỉ

có tổng số 25 cán bộ công nhân viên, với máy móc thiết bị còn hạn chế, chủ yếu là đi thuê thiết bị để thi công, giá trị xây lắp đạt khoảng 20 tỷ đồng

Từ năm 2005 đến 2009, với sự quyết tâm nỗ lực phấn đấu của toàn thể cán bộ công nhân viên, công ty đã phát triển lớn mạnh thi công xây dựng nhiều công trình xây dựng trọng điểm

Tính đến tháng 12/2009 tổng số CBCNV là 120 người ( chưa kể công nhân lao động) giá trị xây lắp ước tính đạt 350 tỷ đồng Trực tiếp thi công một số công trình trọng điểm của tỉnh Bắc Giang như: Kho bạc Nhà nước tỉnh, Chung cư khu dân cư số

1, Tòa nhà đa năng Công ty, Bệnh viện Phụ sản Bắc Giang, Khu Trung tâm Văn hóa Thể thao - Dịch vụ thành phố Bắc Giang Ngoài việc nhận thầu thi công xây dựng các công trình, Công ty mạnh dạn đầu tư khai thác các dự án bất động sản như: Khu Chung cư cho người có thu nhập thấp tỉnh Bắc Giang tại Khu dân cư số 1, thành phố Bắc Giang, Dự án Khu Dịch vụ du lịch thương mại sinh thái Phượng Hoàng tại xã Yên

-Lư, Yên Dũng với hơn 200 ha

Để đáp ứng nhu cầu của thị trường và chủ động cung cấp vật liệu trong quá trình thi công xây dựng, tháng 8/2009 Công ty thành lập Chi nhánh bê tông chuyên sản xuất bê tông thương phẩm, cấu kiện bê tông đúc sẵn với đội ngũ cán bộ công nhân có

trình độ cao và máy móc thiết bị hiện đại hoạt động có hiệu quả, doanh thu hàng năm ước đạt hơn 30 tỷ đồng.

Với sự tăng trưởng lớn mạnh không ngừng, để phù hợp với nhu cầu của thị trường và quy mô sản xuất kinh doanh của Công ty, đến tháng 3/2010 Công ty Cổ phần Quang Minh được đổi tên thành Công ty Cổ phần Tập đoàn Quang Minh sản xuất kinh doanh đa lĩnh vực, đa ngành nghề

Xác định nguồn nhân lực là then chốt, nên từ khi thành lập đến nay Công ty liên tục đào tạo, bồi dưỡng và bổ sung lực lượng cán bộ có trình độ cao, tâm huyết

và trách nhiệm với công việc

Lực lượng cán bộ, công nhân được bổ sung liên tục, lớp sau kế thừa kinh nghiệm, tiếp thu công nghệ kỹ thuật mới trong công tác thi công, quản lý thi công

và công tác sản xuất kinh doanh

Trong quá trình hoạt động sản xuất kinh doanh Công ty tập trung rất cao cho công tác đầu tư máy móc thiết bị, công nghệ mới, nâng cao trình độ nhân lực nhằm thoả mãn tốt nhất các nhu cầu của khách hàng trong và ngoài nước

 Đầu tư môi giới bất động sản, mua bán nhà đất, cho thuê nhà ở

 Kinh doanh dịch vụ nhà hàng, khách sạn, ăn uống

 Nhận thầu, tổng thầu các công trình xây dựng dân dụng, công trình giao thông, thủy lợi, bưu điện, hạ tầng kỹ thuật

 Đầu tư kinh doanh phát triển nhà và hạ tầng đô thị, khu dân cư, khu công nghệ cao, khu kinh tế mới, khu chế xuất, khu công nghiệp

 Kinh doanh xuất nhập khẩu vật tư, vật liệu xây dụng, máy móc, thiết bị, phụ tùng tư liệu sản xuất, tư liệu tiêu dùng, phương tiện vận tải; Cung cấp, lắp đặt, sửa chữa bảo hành điều hóa không khí, điện lạnh, thiết bị phòng cháy nổ, thang máy, sửa chữa xe máy thi công xây dựng

 Phạm vi hoạt động: Trong và ngoài nước

Công ty được phép liên hệ trực tiếp, liên kết, liên doanh với các tổ chức kinh tế trong và ngoài nước thực hiện các hợp đồng kinh tế phù hợp với luật pháp Việt Nam và thông lệ quốc tế

Mô hình tổ chức quản lý của Công ty được xây dựng phù hợp với đặc điểm sản xuất kinh doanh, tạo thuận lợi và có hiệu quả trong quá trình triển khai sản xuất kinh doanh cũng như các công cụ quản lý của nhà quản lý cấp cao nhất.

Bộ máy quản lý của công ty được tổ chức theo kiểu trực tuyến Đứng đầu là Tổng Giám đốc, dưới là các Phó Tổng Giám đốc phụ trách các lĩnh vực; kế đến là các phòng chức năng; sau đó là đội công trình và chi nhánh bê tông

Hình 2.1 Sơ đồ tổ chức bộ máy công ty

- Đại hội đồng cổ đông: Đại hội đồng cổ đông gồm tất cả cổ đông có quyền biểu quyết, là cơ quan quyết định cao nhất của công ty.

- Hội đồng quản trị: Hội đồng quản trị là cơ quan quản lý công ty, có toàn quyền nhân danh công ty để quyết định, thực hiện các quyền và nghĩa vụ của công

ty không thuộc thẩm quyền của Đại hội đồng cổ đông

Hội đồng quản trị quyết định chiến lược, kế hoạch phát triển trung hạn và

kế hoạch kinh doanh hàng năm của công ty; giám sát, chỉ đạo hoạt động điều hành của Tổng Giám đốc công ty

-Tổng Giám đốc: Là người có thẩm quyền cao nhất, chịu trách nhiệm toàn diện và điều hành toàn bộ hoạt động của công ty; trực tiếp chỉ đạo công tác kế hoạch tháng, quý, năm, công tác tài chính kế toán, công tác tổ chức cán bộ, công tác thanh tra, thi đuakhen thưởng

- Các Phó Tổng Giám đốc (Phó Tổng Giám đốc thường trực, Phó Tổng Giám đốc phụ trách kỹ thuật, Phó Tổng Giám đốc phụ trách kinh tế) theo chuyên môn và chức danh của mình sẽ trợ giúp giám đốc trong các việc: điều hành kế hoạch tác nghiệp thay giám đốc khi giám đốc uỷ quyền, nghiệm thu thanh toán các công trình để thu hồi vốn, khoán thanh toán các công trình cho các đội; phụ trách công tác kỹ thuật thi công; quản lý vật tư và tài sản cố định

- Các phòng chức năng: Công ty có 5 phòng chức năng:

 Phòng Đầu tư: Là Phòng nghiệp vụ tham mưu cho Tổng giám đốc công tác quản lý, sản xuất kinh doanh trong nội bộ công ty và triển khai phát triển các

dự án đầu tư trong và ngoài Công ty

 Phòng Kinh tế thị trường: Có chức năng tham mưu giúp việc cho Tổng giám đốc Công ty về công tác Kế hoạch, kinh tế, liên danh liên kết và công tác đấu thầu các công trình Phụ trách cung ứng vật tư cho các công trình, đàm phám, soạn thảo, kiểm tra trình Tổng Giám đốc các hợp đồng kinh tế liên quan

 Phòng Kỹ thuật: Là phòng nghiệp vụ tham mưu giúp Tổng giám đốc Công ty về vấn đề kỹ thuật thi công, chất lượng công trình, an toàn vệ sinh lao động, quản lý, điều động, kiểm tra máy móc thiết bị thi công tại công trường

 Phòng tài chính- kế toán: Thực hiện chức năng giám đốc về mặt tài chính, thu thập số liệu phản ánh vào sổ sách và cung cấp thông tin kinh tế kịp thời phục vụ cho việc ra quyết định của giám đốc Thường xuyên báo cáo kịp thời tình hình tài chính, đưa ra các biện pháp hạ giá thành, tiết kiệm chi phí, lập kế hoạch quản lý tài chính, chi tiêu hợp lý, hợp pháp làm nghĩa vụ ngân sách với Nhà nước, quản lý kế toán các đội, quyết toán các công trình

 Phòng tổ chức hành chính: Thực hiện công tác tổ chức cán bộ và lao động,giải quyết các chế độ chính sách đối với người lao động; bảo vệ nội bộ, thanh tra, phòng cháy chữa cháy; thực hiện công tác thi đua khen thưởng, văn thư lưu trữ

hồ sơ, quản lý văn phòng công ty, quản lý nhà đất, bảo vệ sức khoẻ cho người lao động

- Các đơn vị sản xuất trực tiếp gồm:

 Chi nhánh bê tông: Chuyên sản xuất kinh doanh bê tông thương phẩm,

bê tông đúc sẵn cung cấp cho các công trình của công ty và bán ra ngoài

 Các đội xây dựng: Trực tiếp thi công xây dựng các công trình của công ty

Về mặt tổ chức sản xuất trực tiếp ở các đội: Các đội được xây dựng khép kín, mỗi đội thực hiện một nhiệm vụ khác nhau và hạch toán phụ thuộc Mỗi đội có: một đội trưởng, một hoặc hai đội phó, một kế toán, một kỹ thuật viên, một thủ kho Giữa các đội và các phòng có mối quan hệ chặt chẽ trong việc định hướng sản phẩm, lựa chọn phương án sản xuất, kế hoạch tiêu thụ sản phẩm, mua sắm thiết bị, vật tư, tổ chức lao động, vốn cho sản xuất

2.3 Khảo sát hiện trạng hệ thống mạng cảu công ty

Hình 2.2 Tòa nhà chính của công ty

Công ty cổ phần tập đoàn Quang minh gồm 1 tòa nhà chính, và 2 tòa nhà dành cho 2 đơn vị sản xuất trực tiếp, đặt tại Khu dân cư số 1- phường Hoàng Văn Thụ- Thành phố Bắc Giang- tỉnh Bắc Giang

Hiện nay, hệ thống thiết bị mạng của công ty đang có như sau:

 Các thiết bị mạng