Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 72 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
72
Dung lượng
3,1 MB
Nội dung
Tr-ờng đại học vinh Khoa công nghệ thông tin VÕ VĂN HÀO XÂY DỰNG MƠ HÌNH MẠNG CHO DOANH NGHIỆP VỪA VÀ NHỎ ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KỸ SƯ CÔNG NGHỆ THÔNG TIN Vinh, 05/2010 Đồ án tốt nghiệp Trường Đại học Vinh LỜI MỞ ĐẦU Theo xu hướng phát triển xã hội ngày nay, lĩnh vực công nghệ thông tin thiếu sống, mạng lưới thông tin liên lạc giới ngày phát triển, người muốn cập nhật thông tin cách nhanh xác Việc ứng dụng cơng nghệ thơng tin vào xí nghiệp, quan, trường học yếu tố quan trọng để đưa nước ta bắt kịp, sánh vai nước tiên tiến giới Đất nước ngày phát triển với nhiều chuyển biến giới nên tin học với người xu tất yếu để hội nhập với công nghiệp Để đảm bảo nguồn thông tin sẵn sàng đáp ứng kịp thời cho nhu cầu truy xuất Vì cần phải quản lý thơng tin cách khoa học thống giúp người dễ dàng trao đổi truy xuất bảo mật thông tin Tên đồ án : “Xây dựng mơ hình mạng cho doanh nghiệp vừa nhỏ” Nội dung đồ án bao gồm triển khai hệ thống mạng tảng Windows Server 2003, xoay quanh ISA Firewall 2006 Em định chọn đồ án nội dung đề tài thực tế, phù hợp với tình hình Qua thời gian triển khai đồ án phần giúp em có thêm kinh nghiệm, hiểu biết hệ thống mạng có khả dễ thích nghi vào cơng việc sau trường Mục đích đồ án tìm hiểu triển khai mơ hình mạng, giải pháp mạng cho doanh nghiệp có qui mơ vừa nhỏ Đảm bảo khả tối thiểu mặt quản trị bảo mật hệ thống mạng Em xin chân thành cảm ơn thầy cô bạn dành thời gian giúp đỡ em trình thực đồ án Đặc biệt em xin chân thành cảm ơn thầy Lê Hồng Trang người hướng dẫn trực tiếp cho đề tài em Thầy người tận tình giúp đỡ em thơng tin, hướng giải cách thực đồ án Nhờ mà em làm hoàn thành đồ án Trong trình thực đồ án khơng thiếu khỏi nhiều sai sót, kính mong thầy cô bạn bảo thêm để em hồn thành cơng việc giao Vinh, tháng năm 2010 Sinh viên Võ Văn Hào SV: Võ Văn Hào -2- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Danh mục từ viết tắt, từ chuyên ngành Danh mục từ Logon Đăng nhập hệ thống Logout Đăng xuất hệ thống SAM Security Accounts Manager – Là dạng sở liệu chứa thông tin người dùng : username, pass… SID Security ID - Mã nhận diện bảo mật, ACL Access Control List – Danh sách cấp quyền CSDL Cơ sở liệu DC Domain Controller - Máy điều khiển vùng AD Active Directory DHCP Dynamic Host Configuration Protocol – Giao thức cấp cấu hình động cho máy khách MAC Media Access control - Điều khiển truy xuất đường truyền Broadcast Là vùng bao phủ toàn mạng IIS Internet Information Services – Dịch vụ thông tin Internet ISA Internet Security and Acceleration – Bảo mật tăng tốc băng thơng publish Xuất dịch vụ ngồi Internet VPN Virtual private network – Mạng riêng ảo Domain Tập hợp máy tính người dùng chia se chung sở liệu User Người dùng mạng SV: Võ Văn Hào Nghĩa tiếng Việt -3- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Share Permissions Quyền chia sẻ tài ngun NTFS New Technology File System – Cơng nghệ hệ thống tập tin Server Máy phục vụ, cung cấp mơt dịch vụ Client Máy khách, máy nhận phục vụ Firewall Tường lửa Share Folders Thư mục dùng chung Packet Gói tin mạng SV: Võ Văn Hào -4- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh PHẦN I TRIỂN KHAI HỆ THỐNG MẠNG TRÊN NỀN TẢNG WINDOWS SERVER 2003 Chương I GIỚI THIỆU VỀ MƠ HÌNH MẠNG Trong q trình thực đồ án em khơng có điều kiện vật chất nên tất công việc triển khai thực hiên mơ hình giả lập Mơ hình tổng qt mà em thực sau: Máy Domain controller máy điều khiển miền, kiêm ln nhiệm vụ đóng vai trị server : DNS Server, DHCP Server, Mail Server Thông số card mạng bảng: IP SubnetMask Default gateway DNS Server SV: Võ Văn Hào 192.168.56.100 255.255.255.0 192.168.56.200 192.168.56.100 -5- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Máy ISA firewall có chức tường lửa triển khai điểm chốt chặn Internet mạng nội bộ, quản lý việc trao đổi thông tin hệ thống mạng Server chứa hai card mạng Thông số hai card mạng bảng: Card LAN IP 192.168.56.200 SubnetMask 255.255.255.0 Default gateway DNS Server 192.168.56.100 Card WAN IP 192.168.1.10 SubnetMask 255.255.255.0 Default gateway 192.168.1.1 DNS Server Thông số Card mạng máy chứa dịch vụ Web Server: IP SubnetMask Default Gateway DNS Server 192.168.56.50 255.255.255.0 192.168.56.200 192.168.56.100 Giải thích mơ hình mạng Hệ thống mạng bao gồm có Server( máy phục vụ) Client( máy khách) Các Client mạng kết nối vào miền, chịu quản lý(Về tài nguyên trình đăng nhập vào miền) Server “Domain Controller” Sự kết hợp máy “Domain Controller” tất Client mạng gọi mạng nội bô Mạng nội đặt nằm sau tường lửa triển khai dựa phần mềm ISA Firewall 2006 Máy Web Server độc lập với mạng nội bảo vệ tường lửa Tất hệ thống mạng kết nối với mạng Internet thơng qua Router ADSL Chức Server(máy phục vụ) Máy ISA Firewall 2006 Là máy cài đặt phần mềm ISA Servercó chức tường lửa bảo vệ tài nguyên bên mạng nội Server đặt vành đai mạng ranh giới mạng nội mạng bên Máy Web Server Chứa dịch vụ web nhằm quảng bá thông tin hay liệu hệ thống mạng nội cho người dùng bên Internet Máy Domain Controller Là Server có tác dụng điều khiển cách tập trung tất đối tượng, chứng thực người dùng miền Trên Server cài đặt dịch vụ DHCP có vài trị cung cấp cấu hình động cho Client miền Chứa dịch vụ DNS phân giải tên máy miền thành địa IP Máy VPN Client SV: Võ Văn Hào -6- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Là người dùng xa muốn truy cập vào tài nguyên nội thông qua VPN Server triển khai máy ISA Firewall nhờ người dùng bảo vệ máy khách mạng nội SV: Võ Văn Hào -7- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Chương II GIỚI THIỆU VỀ DỊCH VỤ ACTIVE DIRECTORY 2.1 Giới thiệu dịch vụ Active Directory 2.1.1 Giới thiệu Active Directory dịch vụ thư mục đăng ký quyền Microsoft, phần thiếu kiến trúc Windows Active Directory hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng liệu người dùng, bảo mật nguồn tài nguyên phân phối, cho phép tương tác với thư mục khác Active Directory cung cấp tham chiếu, gọi Directory Service, đến tất đối tượng mạng, gồm có: User, Groups, Computer, Printer, Policy Permission 2.1.2 Kiến trúc Active Directory Trong mơ hình mạng doanh nghiệp, thành phần Active Directory sử dụng, áp dụng để xây dựng nên mơ hình phù hợp với nhu cầu doanh nghiệp Xét khía cạnh mơ hình kiến trúc AD chia thành hai loại sau Cấu trúc Logical Cấu trúc vật lý Cấu trúc Logical Cấu trúc logic AD sử dụng để tổ chức tài nguyên có sẵn mạng, cách sử dụng thành phần mà chúng mơ tả hình vẽ H1- Cấu trúc Active Directory a Objects (Các đối tượng) Có ba loại thơng dụng User, Computer, Printer SV: Võ Văn Hào -8- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh b Organizational Units (OU) Đơn vị nhỏ hệ thống Active Directory OU, xem vật chứa đối tượng dùng để xếp đối tượng khác nhằm phục vụ cho mục đích quản trị cho người quản trị hệ thống Tác dụng việc dùng OU : Trao quyền kiểm soát tập trung loại tài khoản: User Computer hay thiết bị mạng cho nhóm người hay quản trị viên Làm giảm bớt công tác quản trị cho người quản trị hệ thống Kiểm soát chặn bớt số chức ảnh hưởng đến việc bảo mật Client OU thông qua việc sử dụng sách c Domain (vùng, miền) Phương tiện để quy định tập người dùng, máy tính, tài nguyên chia sẻ có quy tắc bảo mật giống tạo cho việc truy cập vào Server dễ dàng gọi Domain Các chức Domain: Là khu vực quản trị đối tượng, tập hợp định nghĩa quản trị cho đối tượng chia sẻ như: Có chung CSDL thư mục, sách bảo mật, quan hệ ủy quyền với Domain khác Giúp quản lý bảo mật tài nguyên chia sẻ Cung cấp Server dự phòng làm chức điều khiển vùng, đồng thời đảm bảo thông tin Server đồng Cấu trúc vật lý Cấu trúc vật lý AD sử dụng để tổ chức việc trao đổi mạng Cấu trúc vật lý bao gồm thành phần: Site Domain Controller a Site Thuật ngữ dùng đến nói vị trí địa lý Domain hệ thống gọi Site Với mổi Site có nhiều Domain khác hay Domain thuộc nhiều Site khác b Domain Controller (DC) Một máy tính chuyên dụng cài đặt Windows Server dùng để lưu trữ Domain Directory, chịu trách nhiệm chứng thực cho người dùng, bảo đảm sách bảo mật thực thi gọi DC Các chức DC: Mỗi DC lưu trữ thơng tin Active Directory cho Domain đó, chịu trách nhiệm quản lí thơng tin tiến hành đồng liệu với DC khác Domain Có khả tự động đồng liệu với DC khác Domain Khi thực tác vụ thông tin lưu trữ DC, thơng tin tự động đồng hóa đến DC khác SV: Võ Văn Hào -9- Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Domain Controller quản lí vấn đề việc tương tác với Domain người dùng 2.1.3 Chức Active Directory Active Directory có nhiều chức năng, có chức sau: Khả lưu trữ liệu tập trung, cho phép người dùng truy cập liệu từ nơi đâu, nâng cao hiệu suất quản trị hệ thống, giảm thiểu độ rủi ro cho tài nguyên Duy trì bảng hướng dẫn bảng mục giúp máy tính mạng dễ dàng tìm tài ngun máy khác Cho phép tạo tài khoản người dùng với mức độ quyền khác Cho phép chia nhỏ miền thành nhiều miền hay đơn vị tổ chức OU Sau ủy quyền cho quản trị viên 2.2 Cài đặt cấu hình Active Directory 2.2.1 Yêu cầu trước cài đặt Những yêu cầu trước cài đặt dịch vụ Active Directory lên HĐH: Phân vùng NTFS với không gian trống 1GB trở lên Phải có tài khoản người quản trị mật Chọn tên miền phù hợp với công việc 2.2.2 Các bước cài đặt Cách thông dụng vào Run gõ lệnh DCPROMO Hộp thoại xuất nhấn Next sang bước SV: Võ Văn Hào - 10 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh 2.3 Publish website qua ISA Firewall 2006 Trên giao diện chương trình policy/New/Website… ISA Fire, chọn Firewall Thực theo lựa chọn Web Publishing rule name : Publish website Select Rule Action : Allow Publishing Type : Publish a single web site or load balancer Server connection Security : User non-secured connect… Đến mục “Internal Publishing Details” nhập thông tin SV: Võ Văn Hào - 58 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Đến mục “Public Name Details” nhập thông tin Đến mục “Select Web Listener” chọn cổng mà máy ISA lắng nghe Chọn “New” thực theo lựa chọn SV: Võ Văn Hào - 59 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Web listener name : cong 80 Client connection Security : Do not require secured… Web listener IP Address : External Authentication setting : No Authentication Sau trình cổng lắng nghe hồn thành mục “Select web listener” xuất sau Sau thực theo mặc định kết thúc Tiến hành kiểm tra việc publish SV: Võ Văn Hào - 60 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Trên máy thật truy cập vào trang www.doantotnghiep.com , kết Quá trình publish website mạng nội cho người dùng Internet thành công SV: Võ Văn Hào - 61 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Chương III GIỚI THIỆU VPN, TẠO KÊT NỐI CHO NHÂN VIÊN Ở XA 3.1 Khái niệm VPN VPN công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa tiết kiệm chi phí Ngồi đảm bảo tính riêng tư bảo mật liệu Khi máy trạm xa kết nối đến ISA Server VPN, máy trạm đưa vào mạng „VPN Clients network‟ Mạng xem mạngnnàoukhácrtrênyISAyServer, nghĩa bảo vệ 3.2 Phân loại VPN Remote-Access Site-to-Site Clien-to-sitertivate Dial-up Network (VPDN), y dạg kết nối User-to-an áp dụng cho công ty mà 3.2.1 Remote-Access Các nhân viên có nhu cầu kết nối tới mạng riêng từ địa điểm từ xa Ở cơng ty cài đặt mạng kiểu Remote-Access diện rộng theo tài nguyên từ nhà cung cấp dịch vụ ESP (Enterprise Service Provider) Các nhân viên từ xa sau quay số từ 1-800 để kết nối sử dụng phần mềm VPN client để truy cập mạng nội họ 3.2.2 Site-to-Site p dụng cho tổ chức có nhiều văn phịng chi nhánh, văn phòng cần trao đổi liệu với Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng công cộng Internet 3.2.3 Client-to-site Là kiểu kết nối từ xa qua đường truyền Internet để truy xuất, trao đổi tài nguyên mạng nội Được áp dụng cho người công tác xa 3.3 Lợi ích việc sử dụng VPN Mở rộng vùng địa lý kết nối Tăng cường bảo mật cho hệ thống mạng Giảm thời gian chi phí truyền liệu đến người dùng xa Tăng cường suất Giảm đơn giản hoá cấu trúc mạng Cung cấp thêm phương thức mạng toàn cầu Cung cấp khả hỗ trợ thông tin từ xa Cung cấp khả tương thích cho mạng băng thơng rộng SV: Võ Văn Hào - 62 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh 3.4 Tính bảo mật VPN Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa mạng điện thoại Phương thức vừa tốn vừa khơng an tồn VPN cho phép máy tính truyền thơng với thơng qua môi trường chia sẻ mạng Internet đảm bảo tính riêng tư bảo mật liệu 3.5 Tạo kết nối cho nhân viên xa 3.5.1 Tạo VPN Server máy ISA Bước 1: Cấp quyền cho nhân viên định Em tạo nhóm “Nhom VPN” nhóm người dùng quyền truy cập Để cấp quyền cho họ vào thuộc tính tài khoản chọn “Allow access” Bước : Khai báo dãy IP cấp cho client thực kết nối Trong giao diện chương trình ISA, chọn thuộc tính mục “Virtual private Networks”, tìm đến Tab “Address Assignment” quy định dải IP SV: Võ Văn Hào - 63 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Bước : Thực cấu hình cho phép kết nối máy ISA Server Trong Tab VPN Client, thực bật chế độ cho phép lên Quy định số kết nối cho phép, Gán nhóm người dùng có quyền truy em chọn 10 cập VPN SV: Võ Văn Hào - 64 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Bước 4: Tạo quy tắc cho phép kết nối Đặt tên cho quy tắc truy cập Chọn Allow Rule Action Chọn giao thức mà nhân viên dùng Định nghĩa nhóm người dùng truy cập VPN Server SV: Võ Văn Hào - 65 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Thêm nhóm vừa định nghĩa vào Trường Đại học Vinh Thực theo mặc định đến kết thúc, nhấn Finish hồn tất q trình cấu hình VPN Server 3.5.2 Tạo kết nối máy client Trên máy client, mở Network Connection, cửa sổ Network Connection, chọn Create a New Network Connection Nhấn Next để tiếp tục Trong hộp thoại Network Connection chọn Virtual private… SV: Võ Văn Hào - 66 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Trong hộp thoại VPN Server Selection, nhập vào địa IP card máy ISA Server Tiến hành theo mặc định hồn thành, hồn tất hộp thoại đăng nhập SV: Võ Văn Hào - 67 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh 3.5.3 Kiểm tra kết nối Sau hoàn thành người dùng tiến hành kiểm tra sau: Nhập tài khoản mật họ Nhấn vào card vừa xuất người dùng đăng nhập, thông số xuất phù hợp với cấu hình ban đâu SV: Võ Văn Hào - 68 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Thực lệnh ping kiểm tra kết nối nhân viên với mạng nội họ, kết thành cơng Vậy q trình tạo kết nối cho nhân viên xa vào mạng nội SV: Võ Văn Hào - 69 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh KẾT LUẬN Đồ án tốt nghiệp “Xây dựng mơ hình mạng cho doanh nghiệp vừa nhỏ” có nội dung liên quan đến việc triển khai hệ thống mạng tảng Window Server 2003, xoay quanh ISA Firewall 2006 Đề tài tìm hiểu đạt được số kết sau: Triển khai dịch vụ môi trường làm việc Windows Server 2003 Tìm hiểu, tiến hành cài đặt cấu hình phần mềm tường lửa tiêu biểu ISA Server 2006, thiết lập số quy tắc phục vụ số sách cần thiết bảo mật cho hệ thống mạng Publish dịch vụ web, mail mạng nội ngồi cho người người dùng Internet Tìm hiểu VPN (Mạng riêng ảo) Cấu hình ISA Server nhằm mục đích tạo kết nối cho người dùng xa muốn truy cập tài nguyên nội Trong thời đại ngày kinh tế phát triển nhanh chóng, doanh nghiệp, tổ chức có quy mơ vừa nhỏ mở nhiều Việc áp dụng công nghệ thông tin vào quản lý cần thiết, việc xây dựng hệ thống mạng để quản lý cách trung tài nguyên người Một lần em xin gửi lời cảm ơn chân thành tới thầy cô giáo dạy dỗ, giúp đỡ em năm tháng học tập trường Hướng phát triển đồ án Triển khai vùng DMZ DMZ(Demilitarized Zone – Vùng phi quân sự) vùng nằm biệt lập so với mạng nội bộ, vùng chứa ứng dụng web, ftp, mail… quảng bá cho người dùng Internet, chấp nhận rui ro bị công Kẻ xấu thâm nhập vào hệ thống mạng phá hoại khu vực thơi cịn khu vực người dùng nội bảo vệ Mở rộng mơ hình mạng Sử dụng cơng nghệ VPN site-to-site đáp ứng u cầu Một kết nối VPN site-to-site kết nối hai hay nhiều hệ thống mạng, sử dụng VPN liên kết qua Internet Các máy ISA firewall đóng vai trị VPN Server triển khai vào hai điểm chốt hệ thống mạng, hai bên trao đổi với qua Internet Mơ hình tương lai triển khai theo mơ hình SV: Võ Văn Hào - 70 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Ngồi cịn thêm server đóng vai trị Additional, giúp cho việc cải thiện làm việc cho Domain controller đồng thời tạo cho nó, máy DC bị lỗi dùng Additional để phục hồi lại hệ thống SV: Võ Văn Hào - 71 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh TÀI LIỆU THAM KHẢO I Tài liệu Internet [1] www.nhatnghe.com [2] msopenlab.com [3] www.quantrimang.com.vn … II Tài liệu sách [1] Giáo trình Windows Server 2003, Trung tâm tin học đại học Khoa học tự nhiên,HTN [2] Hồ Viết Hà, Giáo trình tồn tập triển khai ISA 2004, Network Information Security Vietnam, Inc(http://nis.com.vn) SV: Võ Văn Hào - 72 - Lớp 46k2 - CNTT ... trao đổi truy xuất bảo mật thông tin Tên đồ án : ? ?Xây dựng mơ hình mạng cho doanh nghiệp vừa nhỏ? ?? Nội dung đồ án bao gồm triển khai hệ thống mạng tảng Windows Server 2003, xoay quanh ISA Firewall... Active Directory Trong mơ hình mạng doanh nghiệp, thành phần Active Directory sử dụng, áp dụng để xây dựng nên mơ hình phù hợp với nhu cầu doanh nghiệp Xét khía cạnh mơ hình kiến trúc AD chia thành... lặp lại thao tác cho địa dành riêng khác SV: Võ Văn Hào - 29 - Lớp 46k2 - CNTT Đồ án tốt nghiệp Trường Đại học Vinh Chương IV XÂY DỰNG VÀ CẤU HÌNH WEB SERVER 4.1 Xây dựng cấu hình Web Server Trước