Triển khai và bảo mật hệ thống mạng doanh nghiệp trên nền tảng ảo hóa VMware
LỜI MỞ ĐẦU Hiện ngành công nghệ thông tin phát triển nhanh với công nghệ ngày tiên tiến đại Một thành tựu lớn mà ngành công nghệ thông tin mang lại cho sống người mạng máy tính Đây mơi trường thơng tin liên kết người tồn cầu lại với nhau, việc trao đổi thông tin trở nên nhanh chóng, tiện lợi hết Mạng máy tính hình thành từ nhu cầu muốn chia sẻ tài nguyên dùng chung nguồn liệu Máy tính cá nhân cơng cụ tuyệt vời giúp tạo liệu, bảng tính, hình ảnh, nhiều dạng thông tin khác, không cho phép chia sẻ liệu bạn tạo nên Nếu khơng có hệ thống mạng, liệu phải in giấy người khác hiệu chỉnh sử dụng chép lên đĩa mềm tốn nhiều thời gian cơng sức Khi người làm việc môi trường độc lập mà nối máy tính với máy tính nhiều người khác, ta sử dụng máy tính khác máy in Mạng máy tính tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên cho phép giao tiếp trực tuyến bao gồm gửi nhận thông điệp hay thư điện tử, giao dịch, bn bán mạng, tìm kiếm thông tin mạng Một số doanh nghiệp đầu tư vào mạng máy tính để chuẩn hố ứng dụng chẳng hạn như: chương trình xử lý văn bản, để bảo đảm người sử dụng phiên phần mềm ứng dụng dễ dàng cho công việc Các doanh nghiệp tổ chức nhận thấy thuận lợi E-mail chương trình lập lịch biểu Nhà quản lý sử dụng chương trình tiện ích để giao tiếp, truyền thơng nhanh chóng hiệu với nhiều người, để tổ chức xếp tồn cơng ty dễ dàng Trước có cơng nghệ ảo hóa, hệ điều hành ứng dụng chạy máy tính vật lý Một mối quan hệ 1:1 tồn máy tính vật lý hệ điều hành Mối quan hệ sử dụng cơng suất, khoảng – 10% công suất máy chủ vật lý Khi muốn triển khai nhiều hệ điều hành phải có nhiều máy chủ vật lý Mỗi lần nâng cấp phần cứng cần nhiều thời gian để mua, láp ráp cài đặt Máy chủ dự phòng vật lý trình tốn nhiều thời gian Trong mơi trường khơng ảo hóa thời gian dành để mua phần cứng, láp ráp, cài đặt hệ điều hành, cập nhật hệ điều hành, cài đặt cấu hình ứng dụng cần thiết mấ t nhiề u thời gian Mơ hình khơng linh hoạt khơng hiệu Nhiều chi phí phát sinh chi phí đầu tư, khơng gian, điện tiêu thụ, hệ thống làm mát, chi phí bảo trì… Cơng nghệ ảo hóa cơng nghệ đời nhằm khai thác triệt để khả làm việc máy chủ vật lý Ảo hóa cho phép vận hành nhiều máy ảo máy chủ vật lý, dùng chung tài nguyên máy chủ vật lý CPU, Ram, ổ cứng,… tài nguyên khác Các máy ảo khác vận hành hệ điều hành ứng dụng máy chủ vật lý Cơng nghệ ảo hố cho phép hợp chạy nhiều khối lượng công việc máy ảo máy vi tính Một máy ảo máy tính tạo phần mềm, giống máy tính vật lý, chạy hệ điều hành ứng dụng Mỗi máy ảo có phần cứng ảo riêng nó, bao gồm CPU, nhớ, đĩa cứng, card mạng ảo, giống phần cứng cho hệ điều hành ứng dụng Do nhờ có cơng nghệ ảo hóa mà doanh nghiệp giảm nhiều chi phí lắp đặt, bảo trì khơng gian cho máy chủ Thấy tầm quan trọng mạng máy tính cơng nghệ ảo hóa nên nhóm em chọn đề tài “Triển khai bảo mật hệ thống mạng doanh nghiệp tảng ảo hóa VMware” Hy vọng tài liệu hữu ích, ko cho người làm quen với mạng hệ thống, mà giúp cho bạn tìm hiểu vấn đề tích lũy thêm nhiều kiến thức CHƯƠNG I: CƠNG NGHỆ ẢO HĨA VMWARE 1.1 Giới thiệu cơng nghệ ảo hóa VMware Ảo hóa (Virtualization) quan trọng điện tốn đám mây Với ảo hóa có khả mở rộng Máy chủ ảo (Virtual Server) phân bổ cơng suất máy tính, dung lượng lưu trữ, nhớ theo yêu cầu khách hàng Ảo hóa cho phép bạn chạy khối lượng cơng việc nhiều máy chủ cách củng cố môi trường để ứng dụng bạn chạy máy ảo Đối với Mơ Hình Trung Tâm Dữ Liệu Vật Lý (Topology of a Physical Data Center) truyền thống việc quản lý trì trung tâm liệu vật lý tốn thời gian thường khơng hiệu Mơ hình trung tâm liệu vật lý Mơ hình trung tâm liệu ảo hóa Trong ảo hóa máy ảo phần mềm máy tính, giống máy tính vật lý, chạy hệ điều hành ứng dụng Ảo hóa cơng nghệ tách riêng phần cứng vật lý từ hệ điều hành máy tính cung cấp giải pháp cho nhiều vấn đề mà IT thường gặp Trong môi trường vật lý, hệ điều hành giả định quyền sở hữu tất CPU vật lý hệ thống CPU ảo hóa nhấn mạnh hiệu suất chạy trực tiếp CPU có sẵn Trong mơi trường vật lý, hệ điều hành giả định quyền sở hữu tất nhớ vật lý hệ thống Bộ nhớ ảo hóa nhấn mạnh hiệu suất chạy trực tiếp RAM có sẵn Và cơng nghệ ảo hóa VMWARE ngày cung cấp cho tất vấn đề nêu Và cơng nghệ ảo hóa VMWARE chúng em giới thiệu tiếp sau đây: - VMware vSphere® VMFS cho phép kiến trúc lưu trữ phân tán, cho phép nhiều máy chủ ESXi để đọc ghi vào nhớ chia sẻ đồng thời -File máy ảo lưu trữ thư mục VMFS kho liệu NFS Tại trung tâm liệu kiểm soát phần mềm, tất sở hạ tầng ảo hóa, kiểm sốt trung tâm liệu hồn toàn tự động phần mềm 1.2 Giới thiệu mơ hình ảo hóa xây dựng cơng ty 1.3 Cấu hình hệ thống ảo hóa VMware Tiến hành nâng cấp DC-VMware ESXi thành Domain Controller với tên vinabook.local Cấu hình DNS server dùng để cấu hình phân giải ESXi 1, ESXi 2, AD-VMware, vCenter, SAN Vitural Machines Name Distributed Switches Name Hostname IP Address ESXi esxi1.vinabook.local 192.168.3.1 ESXi esxi2.vinabook.local 192.168.3.2 dc.vinabook.local 192.168.3.3 DC-VMware MANAGESTOGARE vCenter vcenter.vinabook.local 192.168.3.4 SAN san.vinabook.local Cấu hình DNS Server 192.168.3.5 Cấu hình cài đặt vCenter Tiến hành truy cập vào vCenter VMware vSphere Client Giao diện vCenter truy cập vào thành công 10 Cho phép Client kết nối VPN giao thức PPTP Tạo Rule cho phép nhóm VPNUser kết nối vào vùng Internal 93 Tập hợp Rule cấu hình TMG 94 5.9 Malware Inspection TMG Malware Inspection thiết kế để phát ngăn chặn bit độc hại HTTP gửi cho khách hàng mạng bảo vệ trước bit độc hại truy cập máy tính người dùng không nghi ngờ lây lang thiệt hại khắc phục Các bước cấu hình: Bật tính malware inspection Update Malware Inspection Cấu hình Malware Inspection Vào Getting Started Wizard chọn Define deployment options Cấu hình Enable Malware Inspection Enable URL Filtering 95 Cấu hình thực update Engine Signature cho việc ngăn chặn Malware xâm nhập vào hệ thống Cấu hình Malware Inspection cho rule Access Internet 96 Các tùy chọn nâng cao Malware Inspection với Rule Setting 5.10 HTTPS Inspection Tính đóng vai trò quan trọng kiểm tra phần mềm độc hạivà giúp cung cấp bảo vệ từ virus tải từ Web dựa máy chủ e-mai lnhư Outlook Web Access (OWA) trang web khác HTTPS Khi người dùng yêu cầu trang an toàntrên Internet, TMG chặn phản hồi từ máy chủ Web, tạo giấy chứng nhận tên gửi lại cho người dùng Trong cách tất lưu lượng HTTPS đượcTMG kiểm tra trước thơng qua máy khách máy chủ Các bước thực hiện: bật tính HTTPS Inspection cài đặt chứng nhận dạng mã độc kiểm tra cấu hình 97 Cấu hình tính HTTPs Inspection Task Web Access Policy Bật tính HTTPs Inspection 98 Cài đặt chứng dùng để xác định mã độc cho HTTPS Inspection (click “Generate…” hộp thoại HTTPS Outboun Inspection tab Genral ) Triển khai chứng domain 99 Triển khai chứng domain thành công Cấu hình HTTPS Inspection thành cơng 5.11 INTRUSION DETECTION SYSTEM (IDS) IDS chức tự động phát đợt cơng từ bên ngồi cảnh báo với người quản trị Mở Forefront TMG Management > Intrusion Prevention System > Behavioral Intrusion Detection > Configure Intrusion Setting for Common Network Attacks 100 Trong mục Common Attacks, click vào ô trống “Port Scan”, cấu hình phát công 5.12 Network Ispection System (NIS) Intrusion Prevention System (IPS) công cụ phổ biến, chủ yếu sử dụngnhư biện pháp chủ động để phát xâm nhập IPS thiết bị bảo vệ hệ thống Một IPS thường coi phần mở rộng Intrution Detection System (IDS), xem hình thức kiểm sốt truy cập, tương tự lớp ứng dụngtường lửa không phát hoạt động đáng ngờ, có biện pháp phòng ngừa để ngăn chặn xâm nhập cho phép lựa chọn đường qua TMG sử dụng Network Intrusion System (NIS) để cung cấp chức IPS TMG 2010 cung cấp dựa đăng ký URL lọc chữ ký phần mềm độc hại 101 Các bước cấu hình: Bật tính NIS Cấu hình NIS (Network Inspection System) Giám sát NIS Mở Forefront TMG Management > Intrusion Prevention System > Behavioral Intrusion Detection > Network Ispection System (NIS) > NIS Task Thêm dãy địa ip cần giám sát 102 Cho phép NIS phản ứng lại trước traffic bất thường Thực giám sát NIS thông qua Log and Report, nhập địa IP cần giám sát 103 Dữ liệu client cần giám sát ghi nhận NIS 5.13 Cài đặt cấu hình Firewall Client Client cần khai báo IP, Subnet Mask, DNS (có hay khơng có được) Khi làm việc mơi trường AD bắt buộc phải có Ưu điểm: Có thể chứng thực user truy cập Internet Truy cập tất dịch vụ Hạn chế: Client phải cài đặt phần mềm Firewall Client 104 Vào Firewall TMG > Networking > Networks > click phải chuột vào Internal > Properties > bật tính Publish automatic discovery requests Tạo Hostname wpad DNS Server 105 Nhập lệnh dnscmd /config /EnableGlobalQueryBlockList cho phép DNS server phân giải Firewall Client cài đặt kết nối thành công đến TMG Server 106 LỜI KẾT Việc lựa chọn đề tài thiết kế mạng LAN cho công ty đề tài mang tính phổ dụng Ngày hầu hết cơng ty triển khai lắp đặt hệ thống mạng, Thiết kế mạng cho công ty đề tài mang tính chất thực tế phần củng cố thêm cho chúng em vể kiến thức mạng máy tính , Phần thơng qua đề tài cung cấp cho chúng em thêm kiến thức xây dựng mơ hình - thiết kế - triển khai lắp đặt hệ thống mạng văn phòng thực tế Cách dây dẫn, bố trí lắp đặt máy tính PC, kết nối với thiết bị trung tâm, lựa chọn mơ hình mạng cho phù hợp với phòng làm việc Để xây dựng hồn thành đồ án ngày hơm chúng em thiếu hướng dẫn, dạy thêm thầy cô môn Và đặc biệt thầy Tài người trực tiếp hướng dẫn, dạy cho chúng em để em hồn thành tốt đồ án nhà trường đưa Tuy đồ án lần chúng em tránh khỏi sai sót lỗi trình làm, chúng em mong dạy thêm thầy Những ưu điểm đồ án: Trong đồ án chúng em thiết kế - xây dựng bảo mật hệ thống mạng cho công ty ứng dụng cơng nghệ ảo hóa tảng VMware cho hệ thống Và giúp em lập bảng dự trù thiết bị kinh phí cần thiết cho việc xây dựng hệ thống mạng 107 ... phí lắp đặt, bảo trì khơng gian cho máy chủ Thấy tầm quan trọng mạng máy tính cơng nghệ ảo hóa nên nhóm em chọn đề tài Triển khai bảo mật hệ thống mạng doanh nghiệp tảng ảo hóa VMware Hy vọng... trị hệ thống tốt 2.1.3 Phân tích đề tài Xây dựng hệ thống mạng Domain quản lý User liệu tập trung Đảm bảo hệ thống mạng vận hành cách ổn định, bảo mật đáp ứng tất yêu cầu công ty Hệ thống mạng. .. đối tác chuyên nghiệp 16 Thiết kế hệ thống bảo mật Firewall TMG chống cơng từ bên ngồi vào mạng nội cơng ty thiết lập sách bảo mật từ bên truy cập Internet Xây dựng tảng ảo hóa VMware nhằm tăng