Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trờn C Ch Bo Mt ISA 2006 tr-ờng đại häc vinh khoa c«ng nghƯ th«ng tin - - LÊ THỊ THU XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG MẠNG CÔNG TY ABC TRÊN CƠ CH BO MT ISA 2006 Khóa luận tốt nghiệp đại häc NghÖ An – 2012 GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 LỜI MỞ ĐẦU - Công nghệ thông tin ngành ứng dụng công nghệ quản lý xử lý thông tin Tốc độ phát triển nhanh công nghệ làm cho việc luân chuyển thông tin trở nên nhanh chóng vai trị cơng nghệ thơng tin ngày trở nên quan trọng Phạm vi ứng dụng ngày mở rộng nhiều lĩnh vực Những khả mẻ ưu việt công nghệ thơng tin nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập Trong thực tế công nghệ thông tin ứng dụng hoạt động sản xuất, giao dịch Công nghệ thông tin sử dụng cách có hiệu bền vững tiêu chí hàng đầu nhiều quốc gia nay, Việt Nam không ngoại lệ Giá trị thông tin doanh nghiệp tài sản vô giá, khơng túy vật chất mà có giá trị khơng thể đo đếm uy tín khách hàng, uy tín khách hàng bị đánh cắp, sau bị lợi dụng với mục đích khác nhau: Hacker attacker, Virut, Worm, mối lo ngại hàng đầu tất hệ thống thơng tin Chính tất hệ thống cần trang bị công cụ đủ mạnh cách xử lý để đối phó với xâm nhập bất hợp pháp từ bên ngồi Đó Firewall Vì cần thiết đó, nên em chọn đề tài “ Xây Dựng Quản Lý Hệ thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006” Em xin cảm ơn có giúp đỡ hướng dẫn TS Phan Lê Na, thầy tổ KHMT góp ý giúp em hoàn thành đề tài Do nhiều yếu tố khách quan tầm hiểu biết chưa sâu sắc nên báo cáo chun ngành cịn nhiều thiếu sót hạn chế Em mong góp ý giúp đỡ thày bạn để hồn thiện Em xin chân thành cảm ơn! Sinh viên Thực hiện: Lª ThÞ Thu Mã sv: 0851049099 GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 PHẦN I: XÂY DỰNG HỆ THỐNG MẠNG CHO CÔNG TY ABC Ngày nhu cầu thiết kế quản lý hệ thống mạng cho công ty nhu cầu nhiều công ty quan tâm Ở phần ta triển khai việc thiết kế mạng cho công ty dựa vào khảo sát trạng u cầu cơng ty từ phân tích đưa giải pháp thiết kế mạng cho cơng ty 1.1 Khảo sát phân tích u cầu công ty 1.1.1 Yêu cầu trạng công ty Thiết kế mạng cho công ty: -công ty có phó giám đốc giám đốc, ngồi cịn có 40 nhân viên chia thành phịng ban: kế toán, kinh doanh , kế hoạch, tiếp tân; phịng có nhân viên trưởng phịng -Cty internet đường adsl đề phòng cố chết đường đườn backup, đương adsl nhà cung cấp khác -Mỗi phịng có đường mạng riêng -Các nhân viên duyệt web bị lọc, xếp muốn cho trang trang Nhân viên ko đc chat, dowload làm việc -Trưởng phòng, ban giám đốc đc internet chat thoải mái 1.1.2 Về trạng công ty Công ty muốn lắp đặt thi công hệ thống mạng cho trụ sở xây Trụ sở nhà Hai tầng, phòng tầng phòng tầng 2( phòng 36 m2) Chi tiết: Nhân phòng ban cơng ty: Phịng Kinh doanh: 10 người (tầng 1) Phòng Tiếp Tân : 10 người (tầng 1) Phòng P.Giám đốc: người (tầng 1) Phòng Kế Hoạch : 10 người (tầng 2) Phịng Kế Tốn: 10 người (tầng 2) Phòng Giám đốc: người (tầng 2) 1.1.3 Yêu cầu khách hàng - Xây dựng đường ADSL đề phòng cố, chết đường đường cịn lại backup - đường ADSL nhà cung cấp khác cung cấp - Mỗi phịng có đường mạng riêng - Các nhân viên duyệt web bị lọc, sếp muốn cho trang trang Nhân viên khơng chat, download làm việc - Trưởng phòng ban giám đốc internet thoải mái GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 1.1.4 Thuận lợi khó khăn a Thuận lợi: - Dữ liệu bảo mật an tồn, khơng bị mát ngồi, cơng ty dễ quản lý tài liệu, đề thi dễ backup diệt virus - Khi mở rộng mạng tương đối đơn giản - Việc quản trị dễ dàng với mơ hình domain/client - Sử dụng Switch (khơng sử dụng hub) Switch có khả mở rộng mạng - Tốc độ mạng cao, nhanh chóng - Mạng tồ nhà có vành đai bảo vệ nhờ dùng firewall ISA 2006 b Khó Khăn: - u cầu Cấu hình máy Server phải mạnh ( Nên dùng máy server chuyên dụng) - Yêu cầu đường truyền tốc đô cao - Chi phí dự kiến cao - Máy server phải cài nhiều dịch vụ cung cấp cho máy client - Phụ thuộc nhiều vào Server đường truyền 1.1.5 Lựa chọn giải pháp - Loại Mạng: VLAN - Topo: Kết nối mạng theo mạng hình chuyển đổi qua switch layer - Số nút mạng :Tối thiểu 45 nút mạng tương ứng với số máy gia nhập mạng công ty - Mỗi tầng dùng switch layer 24 port - Internet : đường ADSL nhà cung cấp khác cung cấp( VNPT FPT) - Cáp xoắn đơi UTP Cat5 - Mơ hình mạng :Server-Client - Hệ điều hành + Server cài Winserver 2003 Enterpisre Edition + Client cài Win Xp pro - Firewall: cài isa server 2006 - Phần mềm diệt virus BKAV a Giải pháp thiết lâp mạng riêng * VLAN viết tắt Virtual Local Area Network hay gọi mạng LAN ảo Một VLAN định nghĩa nhóm logic thiết bị mạng thiết lập dựa yếu tố chức năng, phận, ứng dụng… đơn vị Phân loại VLAN GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 - Port - based VLAN: cách cấu hình VLAN đơn giản phổ biến Mỗi cổng Switch gắn với VLAN xác định (mặc định VLAN 1), thiết bị host gắn vào cổng thuộc VLAN - MAC address based VLAN: Cách cấu hình sử dụng có nhiều bất tiện việc quản lý Mỗi địa MAC đánh dấu với VLAN xác định - Protocol – based VLAN: Cách cấu hình gần giống MAC Address based, sử dụng địa logic hay địa IP thay cho địa MAC Cách cấu hình khơng cịn thơng dụng nhờ sử dụng giao thức DHCP Lợi ích VLAN - Tiết kiệm băng thông hệ thống mạng: VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, đoạn vùng quảng bá (broadcast domain) Khi có gói tin quảng bá (broadcast), truyền VLAN tương ứng Do việc chia VLAN giúp tiết kiệm băng thông hệ thống mạng - Tăng khả bảo mật: Do thiết bị VLAN khác truy nhập vào (trừ ta sử dụng router nối VLAN) Như ví dụ trên, máy tính VLAN kế tốn (Accounting) liên lạc với Máy VLAN kế tốn khơng thể kết nối với máy tính VLAN kỹ sư (Engineering) - Dễ dàng thêm hay bớt máy tính vào VLAN: Việc thêm máy tính vào VLAN đơn giản, cần cấu hình cổng cho máy vào VLAN mong muốn - Giúp mạng có tính linh động cao: VLAN dễ dàng di chuyển thiết bị Giả sử ví dụ trên, sau thời gian sử dụng đơn vị định để phận tầng riêng biệt Với VLAN, ta cần cấu hình lại cổng switch đặt chúng vào VLAN theo yêu cầu VLAN cấu hình tĩnh hay động Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho cổng switch Sau đó, gán cho vào VLAN Trong cấu hình động cổng switch tự cấu hình VLAN cho dựa vào địa MAC thiết bị kết nối vào b Giải pháp kiểm soát quyền quy cập Internet Sử dụng phần mềm ISA Firewall 2006 ISA Server tường lửa (Firewall) chương trình chuyên bảo mật hệ thống mạng Mọi thông tin vào hệ thống phải qua ISA kiểm duyệt kỹ lưỡng GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 Ưu điểm: - ISA hỗ trợ nhiều tính management access, access rule,VPN… Trong chi phí triển khai thấp - ISA có giao diện quen thuộc dễ cấu hình - Với quy mơ cơng ty ISA firewall 2006 lựa chọn hợp lý vừa tiết kiệm chi phí vừa dảm bảo yêu câu bảo mật Mô tả chi tiết - ISA firewall phân cách mạng VLAN với mạng internet bên - ISA cấm truy cập bên vào mạng nội trừ truy cập hợp pháp quy định ISA - Thông qua firewall, máy trạm bên điều khiển, giám sát hạn chế truy nhập internet - Trên firewall mô tả rules để quy định cho phép cấm số máy trạm truy cập đến máy File server - Lúc này, mạng cơng ty có vành đai bảo vệ c Giải pháp liệu tập trung Ưu điểm: - Hạn chế việc thất liệu quan bên ngồi - Hạn chế việc dự x liẹu virut, người dùng bất cẩn hay ổ cứng bị lỗi hay hư hỏng - Xác thực người dùng truy cập với tài khoản tập trung máy server - Việc quản lý truy cập tài nguyên người dùng tập trung, dễ dàng đơn giản Mô tả chi tiết - File Server sử dụng dòng chuyên dụng hỗ trợ cơng nghệ MIROR/RAID để mâng cao tốc đọ truy xuất, tính sẵn sàng an toàn liệu( trường hợp bị ổ cứng bị hỏng không bị mất) Hệ thống lưu điện server giúp server hoạt động thêm khoảng thời gian xảy mát điện Ngồi cơng nghệ HotSwap hỗ trợ lắp đặt thiết bị mà không cần phải ngắt nguồn điện Hệ thống quạt chuyên dúng cho server tải nhiệt nhanh nâng tuổi thọ máy - Mỗi người dùng cấp quyền truy cập dựa vào nhu cầu chức công việc để bảo mật liệu thông tin công ty - Trên File server máy trạm ta dùng phần mềm Symantec Antivus để phòng ngừa Virus cho mạng d Đường truyền kết nối - Đường truyền mạng Vlan sử dụng cáp xoắn đôi UTP cat 5, RJ45 tốc độ 100 Mbps GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 - Đường internet sử dụng gói cước OFFICE FPT VNPT - Tốc độ truy cập internet tối đa Dowload 3,072 Kbps, Upload 640 Kbps - Cam kết tốc độ truy cập internet tối thiểu tốc độ Dowload 128 Kbps, Upload 128 Kbps 1.2 Thiết kế mạng cho công ty ABC Phần sơ đồ mạng công ty thiết kế dựa vào phân tích giải pháp nêu 1.2.1 Sơ đồ logic Trên mơ hình tổng quan kết nối từ Internet đến tầng phịng ban cơng ty u cầu: - máy Sever dùng làm File Sever cài ISA Sever 2006 giúp quản lý đối tượng domain, ou, group, user, máy in, nhiều đối tượng khác GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 - Swich 24 port layer để kết nối từ máy sever đến tầng có chức định tuyến VLAN ảo phòng - Router có chức cân tải đồng thời làm ADSL nối đường Internet cơng ty bên ngồi( VNPT+ FPT) - Cáp quang nối tới switch nhà đảm bảo tốc độ truyền bảo mật 1.2.2 Sơ đồ tổng thể Dựa vào sơ đồ bố trí phòng ban số lượng nhân viên phịng ban ta thiết kế sơ đồ tổng thể GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 Yêu cầu bố trí: - Swich 24 port layer để kết nối từ máy sever đến tầng có chức định tuyến VLAN ảo, tầng đặt swich nối đến phòng ban tầng - 40 máy tính cho phịng tiếp tân, kinh doanh, kế tốn kế hoạch - laptop dành cho phó giám đốc giám đốc - Cáp quang nối tới switch phòng đảm bảo tốc độ truyền bảo mật 1.2.3 Sơ đồ chi tiết Trên mơ hình phịng ban Kế Tốn, Kinh Doanh, Tiếp Tân, kế Hoạch Mỗi Phịng có 10 máy có máy trưởng phịng, máy lại ta xếp theo hàng dọc hàng ngang GVHD: T.S Phan Lê Na SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 1.2.4 Xây đựng cấu trúc OU, Group User GVHD: T.S Phan Lê Na 10 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.16 Qua tab Server chon My server requires authentication.Chọn Apply, OK B.17 nhấn vào biểu tượng Send/Receive, bạn nhận mail từ yahoo tải GVHD: T.S Phan Lê Na 48 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 2.5.8 Cấm tất không truy cập web đen B.1 ISA Managerment, chọn Firewall Policy, Create New Access Rule đặt tên Cam truy cap web den B.2 Tại Rule Action chọn Deny GVHD: T.S Phan Lê Na 49 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.3 Tại cửa sổ Protocol ta mở Port Port 80,Port 443,Port 21 để truy cập dịch vụ HTTP, HTTPS, FTP B.4 Trong Access Rule Sources chọn thuộc tính Internal B.5 Trong Access Rule Destinations ta không chọn thuộc tính External mà tạo URL Set đặt tên Deny Web GVHD: T.S Phan Lê Na 50 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.6 Trong Access Rule Dertinations ta Add Deny Web vào B.7 Trong User Sets chọn All User B.8 Kết thúc trình tạo rule, Finish áp dụng quy tắc vừa tạo GVHD: T.S Phan Lê Na 51 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.9 Tại máy client truy cập vào trang http://www.tuoitre.com lúc truy cập 2.5.9 Tạo bảng thông báo cấm truy cập B.1 Trong thư mục C:\\Inetpub\wwwroot tạo trang iisstart.htm có nội dung:”Ban khong duoc phep truy cap trang nay”.Moi chi tiet xin lien he Administrator B.2 Trở lại hình ISA Server nhấp phải vào Cam truy cap Web den chọn Properties GVHD: T.S Phan Lê Na 52 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.3 Tại Tab Action -> Nhấp Deny, Redirect chọn HTTP requests to this Web page nhập địa máy ISA Server vào :http://172.16.0.1 B.4 Tại Client Logon với tieptan1 truy cập lại trang www.tuoitre.com.vn thấy Web Browser không hiển thị trang báo lỗi mặc định ISA Server mà tự chuyển trang Web mà ta vừa tạo GVHD: T.S Phan Lê Na 53 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 2.5.10 Cấm Nhân viên chat làm việc B.1 Click Right vào Nhan vien chọn Configure HTTP B.2 Chọn Signatures tab GVHD: T.S Phan Lê Na 54 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.3 Chọn Add đặt tên là:Cam chat yahoo messenger,chọn Request headers Search in.Gõ Host: HTTP header.Gõ msg.yahoo.com Signature.Sau click OK B.4 Chọn tab Methods chọn Block specified methods(allow all others) GVHD: T.S Phan Lê Na 55 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.5 Click Add gõ POST vào Method.Click OK B.6 Click Apply click OK B.7 Chọn tab Extensions chọn Block specified extensions (allow all others) GVHD: T.S Phan Lê Na 56 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.8 Add exe vbs vào B.9 Click Apply click OK Màn hình sau hồn tất B.10 Log on Administrator máy Client, thử Sign in vào Yahoo Messenger, bạn đăng nhập Yahoo hay download file exe GVHD: T.S Phan Lê Na 57 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 2.5.11 Report ISA Server 2006 B.1 Chọn Monitoring>Tab Reports->Click Generate a New Report B.2 Gõ chữ Bao cao vào ô Report name B.3 Chọn tất lựa chọn Report Content GVHD: T.S Phan Lê Na 58 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.4 Chọn Start date End date B.5 Chọn Next Report Publishing GVHD: T.S Phan Lê Na 59 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 B.6 Chọn Next Send E-mail Notification B.7 Chọn Finish GVHD: T.S Phan Lê Na 60 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 KẾT LUẬN Báo cáo phân tích đưa giải pháp thiết kế mạng cho công ty, thành lập mơ hình giải pháp bảo mật ISA Server 2006 tiến hành thực yêu cầu trước bắt đầu cài đặt phần mềm ISA 2006 thiết lập rule cho việc bảo mật quản trị mạng doanh nghiệp… cấu hình DNS , nâng cấp Domain Thiết lập rule cho việc bảo mật quản trị mạng doanh nghiệp với ISA Server 2006 bao gồm: - Thực Backup Restore thiết lập rule có ISA Server 2006 - Tạo sách cho nhân viên thuộc cấp quản lí tồn quyền truy cập web, tạo sách cho nhân viên gửi mail yahoo Outlook Express doanh nghiệp - Thiết lập rule để giới hạn trang web phép truy cập khống chế thời gian sử dụng web cho nhân viên thuộc nhóm Nhân viên - Thiết lập rule cho nhân viên không sử dụng dịch vụ Yahoo Chat làm việc - Thiết lập sách cho nhân viên khơng truy cập web đen tạo bảng thông báo cấm truy cập vào trang web định - Ngoài thực điều khoảng cấm khác cho phép xem nội dung file text truy cập webside Do thời gian trình độ có hạn nên khóa luận khơng tránh sai sót mong nhận góp ý q thầy bạn TÀI LIỆU THAM KHẢO GVHD: T.S Phan Lê Na 61 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 1.Phạm Hoàng Dũng, Làm chủ Microsoft Windows Sever 2003, NXB Thống Kê năm 2004 Nguyễn Tấn Phát, ISA Sever 2004- Tường lửa siêu cấp, NXB Giao thông vận tải năm 2006 Vương Phúc, Mạng VLAN ảo PC, NXB Hồng Đức năm 2007 Ngọc Tuấn, Quản trị mạng ứng dụng Active Directory, NXB Thống kê 2004 Nguyễn Trần Đại Hùng, Cấu hình ISA Firewall hoạt động DHCP Server, NXB Thống Kê 2004 Hồng Ngọc, E-Commerce Times, Tổng quan Windows Server 2003, NXB Giao thông vận tải 2004 Website tham khảo: www.quantrimang.com & www.nhatnghe.com GVHD: T.S Phan Lê Na 62 SVTH: Lê Thị Thu ... Thu Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 Phần II: TRIỂN kHAI HỆ THỐNG MẠNG CHO CÔNG TYABC 2.1 Nâng cấp Server lên Domain Controler Domain name : congtyabc.com... Xây Dựng Và Triển Khai Hệ Thống Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 1.2.4 Xây đựng cấu trúc OU, Group User GVHD: T.S Phan Lê Na 10 SVTH: Lê Thị Thu Xây Dựng Và Triển Khai Hệ Thống Mạng. .. Mạng Công Ty ABC Trên Cơ Chế Bảo Mật ISA 2006 PHẦN I: XÂY DỰNG HỆ THỐNG MẠNG CHO CÔNG TY ABC Ngày nhu cầu thiết kế quản lý hệ thống mạng cho công ty nhu cầu nhiều công ty quan tâm Ở phần ta triển