Phân tích và thiết kế hệ thống mạng trong doanh nghiệp

MỤC LỤC

Mô hình mạng ba lớp của Cisco

Access Layer (Lớp truy cập): Lớp này chủ yếu tập trung vào việc kết nối các thiết bị cuối người dùng (như máy tính, máy in, điện thoại IP..) đến mạng. Các thiết bị như các router (bộ định tuyến) và các switch Layer 3 thường được triển khai ở đây để cung cấp khả năng định tuyến và lọc dữ liệu.

Core Layer (Lớp hạ tầng cốt lừi): Đõy là lớp nhanh nhất và chịu trỏch nhiệm vận chuyển dữ liệu nhanh chóng từ một phần mạng đến phần mạng khác. Ở

Mạng LAN ảo (Virtual LAN – VLAN)

●Isolation (Cô lập): Các VLAN được cô lập logic, nghĩa là các thiết bị trong một VLAN không thể trực tiếp liên lạc với các thiết bị thuộc VLAN khác, trừ khi được cấu hình để làm điều đó. ●Tối ưu hóa lưu lượng: VLAN giúp tối ưu hóa lưu lượng mạng bằng cách giảm độ trễ và tăng hiệu suất trong việc truyền tải dữ liệu giữa các thiết bị trong cùng một VLAN. VLANs thường được triển khai trong các môi trường văn phòng, trường học, doanh nghiệp hoặc bất kỳ môi trường mạng nào có nhu cầu phân đoạn mạng để tăng cường bảo mật và quản lý.

●Trunk Ports (Cổng Trunk): Trunk Ports là các cổng trên Switch được sử dụng để chuyển các khung dữ liệu từ nhiều VLAN qua một kết nối duy nhất. Chúng cho phép các khung dữ liệu từ nhiều VLAN khác nhau được gửi qua một đường truyền duy nhất để tận dụng băng thông và linh hoạt hơn trong môi trường mạng lớn. Cổng Trunk thường được sử dụng để kết nối các Switch với nhau hoặc với các thiết bị khác như router hoặc máy chủ có khả năng hỗ trợ nhiều VLAN. Các cổng Access và Trunk đều có vai trò quan trọng trong việc quản lý và triển khai VLAN trên mạng. Các cấu hình cụ thể về cổng Access và Trunk cần được xác. định và thiết lập để đảm bảo thiết bị phù hợp với VLANs và dữ liệu được chuyển tiếp một cách chính xác và an toàn trong mạng. Triển khai VLAN. Triển khai VLAN là quá trình cấu hình và tạo các VLAN trong một mạng để phân đoạn mạng vật lý thành các mạng con logic. Các bước chính để triển khai VLAN trong một mạng:. 1) Lập Kế Hoạch: Đầu tiên, cần phải lập kế hoạch xác định các VLAN cần thiết trong mạng. Xác định những nhóm thiết bị, chức năng hoặc vị trí vật lý của các thiết bị để xác định cách chia mạng thành các VLAN phù hợp. 2) Tạo VLANs: Trên Switch hoặc thiết bị mạng, người quản trị sẽ tạo các VLAN bằng cách sử dụng giao diện quản trị (CLI hoặc giao diện đồ họa). Cấu hình Switch để tạo các VLAN theo kế hoạch đã lên. 3) Gán Cổng Access: Gán các cổng trên Switch cho các VLAN tương ứng. Cổng được gán cho VLAN sẽ trở thành Access port của VLAN đó để kết nối các thiết bị người dùng hoặc thiết bị cuối. 4) Cấu Hình Trunk Ports (Cổng Trunk): Nếu cần, cấu hình các cổng trunk để kết nối các switch hoặc các thiết bị mạng khác, để chuyển các khung dữ liệu từ nhiều VLAN qua một đường truyền duy nhất. 5) Kểm Tra và Xác Nhận: Sau khi triển khai, quản trị viên mạng cần kiểm tra kết nối của các thiết bị vào các cổng Access và đảm bảo rằng các thiết bị nằm trong các VLAN đúng đắn. Kiểm tra cả việc chuyển tiếp dữ liệu giữa các VLAN thông qua các cổng Trunk. 6) Quản Lý và Bảo Trì: Tiếp theo là quản lý và bảo trì hệ thống VLAN.

MÔ HÌNH MẠNG BACKUP 2.1 Giới thiệu mạng Backup

Tầm quan trọng của backup dữ liệu

Backup dữ liệu rất quan trọng vì nó đóng vai trò cực kỳ quan trọng trong việc bảo vệ thông tin quan trọng và đảm bảo sự liên tục của hoạt động của cá nhân, doanh nghiệp hoặc tổ chức. ●Dữ liệu quan trọng của website hoặc ứng dụng: Đối với các doanh nghiệp có website hoặc ứng dụng trực tuyến, việc sao lưu dữ liệu của trang web hoặc ứng dụng (như cơ sở dữ liệu, mã nguồn, hình ảnh, video) là quan trọng để đảm bảo sự liên tục của hoạt động trực tuyến. Nó xác định khoảng thời gian tối đa mà một tổ chức có thể chấp nhận mất mát dữ liệu trong trường hợp sự cố xảy ra (ví dụ: lỗi hệ thống, tấn công virus, hỏng hóc phần cứng).

Ví dụ, nếu một tổ chức có RPO là 1 giờ, điều này có nghĩa là hệ thống phải được sao lưu ít nhất mỗi giờ để đảm bảo rằng không có mất mát dữ liệu nhiều hơn 1 giờ trong trường hợp xảy ra sự cố.

Giải pháp backup dữ liệu

●Phương pháp sao lưu định kỳ (Scheduled Backups): Thiết lập lịch trình để tự động sao lưu dữ liệu theo chu kỳ nhất định, chẳng hạn như hàng ngày, hàng tuần hoặc theo nhu cầu cụ thể. ●Lưu trữ dữ liệu trên đám mây (Cloud Storage): Dữ liệu được sao lưu và lưu trữ trên các máy chủ đám mây được quản lý bởi các nhà cung cấp dịch vụ lưu trữ đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Dropbox, và nhiều dịch vụ khác. ●Bảo mật và độ an toàn cao: Các dịch vụ lưu trữ đám mây thường cung cấp các cơ chế bảo mật mạnh mẽ như mã hóa dữ liệu, kiểm soát truy cập, và sao lưu đa vùng để đảm bảo an toàn cho thông tin.

●Sao lưu tự động và đồng bộ: Các giải pháp sao lưu trực tuyến thường hỗ trợ sao lưu tự động và đồng bộ dữ liệu liên tục, giúp đảm bảo rằng thông tin mới nhất luôn được sao lưu.

Hệ thống lưu trữ

●Quá trình sao lưu: Người dùng có thể sao chép dữ liệu từ máy tính hoặc thiết bị khác vào USB hoặc External Hard Drive bằng cách kéo thả (drag and drop) hoặc sử dụng phần mềm backup được cung cấp kèm theo thiết bị lưu trữ. ●Bảo mật và an toàn: Dữ liệu sao lưu trên USB hoặc External Hard Drive cần được bảo vệ bằng cách sử dụng mật khẩu hoặc các công cụ mã hóa để đảm bảo an toàn khi thiết bị lưu trữ bị mất hoặc bị đánh cắp. Backup dữ liệu bằng thiết bị chuyên dụng như NAS (Network-Attached Storage) và SAN (Storage Area Network) là quá trình sao lưu và quản lý dữ liệu trên các hệ thống lưu trữ được thiết kế đặc biệt cho mục đích này.

●Lưu trữ trên đám mây: Dữ liệu được sao lưu và lưu trữ trên các máy chủ đám mây được quản lý bởi các nhà cung cấp dịch vụ lưu trữ đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Dropbox, và nhiều dịch vụ khác.

CÁC PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG 3.1 Nhóm giải pháp về hệ thống ngăn chặn, phát hiện tấn công

Nhóm giải pháp khác

Thực trạng ở các cơ quan, doanh nghiệp cho thấy việc sử dụng các sản phẩm phần mềm hầu như ít cập nhật các bản vá lỗi, có chăng cũng đang riêng lẻ trên các máy tính cá nhân, đó chính là cơ hội cho hacker dùng các công để khai thác lỗ hổng bảo mật. Hệ thống WSUS (Windows Server Update Services) của Microsoft không những cập nhập bản vá lỗi cho hệ điều hành Windows mà còn cập nhật bản vá lỗi cho tất cả các sản phẩm khác của hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web. ●Tại các máy chủ và máy tính có lưu trữ dữ liệu nhạy cảm, có dữ liệu cần chia sẽ, tại các thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đó đảm bảo rằng nếu có mất thiết bị lưu trữ, máy tính, người tấn công cũng không thể giải mã được dữ liệu.

Theo các thống kê về an ninh mạng của CERT (Computer Emergency Response Team-http://www.cert.org/)cho thấy, có khoảng 70% số trường hợp bị thất thoát thông tin có liên quan tới yếu tố con người bên trong các hệ thống còn 30% là xuất phát từ bên ngoài mạng nội bộ của các tổ chức thông qua các hành vi truy nhập trái phép hệ thống của hacker.

NỘI DUNG KHẢO SÁT -THIẾT KẾ HỆ THỐNG 4.1 Giới thiệu

  • Thiết kế giải pháp .1 Yêu cầu của hệ thống

    ▪Biện pháp bảo mật đã triển khai Hệ thống mạng hiện tại đã triển khai một : số biện pháp bảo mật cơ bản, bao gồm tường lửa để ngăn chặn truy cập không hợp lệ từ bên ngoài, và phần mềm chống vi-rút để bảo vệ máy tính khỏi malware. ● Hiệu suất: Mặc dù hệ thống mạng hiện tại có thể đáp ứng được nhu cầu cơ bản, nhưng trong giờ cao điểm, băng thông mạng thường bị quá tải, dẫn đến tốc độ truy cập chậm và không ổn định. ● Cải thiện các biện pháp bảo mật: Để tăng cường bảo mật, chúng ta có thể triển khai các giải pháp bảo mật như tường lửa, phần mềm chống vi-rút, và hệ thống phát hiện xâm nhập.

    ▪Thiết bị Switch 1 có chức năng chính là phân tách các vùng va chạm trong mạng nội bộ của trung tâm thư viện; gom lưu lượng của toàn bộ các máy tính nội bộ và đưa ra thiết bị Firewall. ▪Trên Switch Layer 2 chia thành 3 VLAN: VLAN 20 dùng cho các máy trạm của phòng kỹ thuật kết nối với Firewall (Zone Trust); VLAN 30 dùng cho các máy trạm của phòng đọc sách kết nối với Firewall (Zone Trust); VLAN 40 dùng cho các máy trạm của phòng học, kết nối với Firewall (Zone Trust). ▪Thiết bị Switch 2 có chức năng chính là phân tách các vùng va chạm trong mạng nội bộ của trung tâm thư viện; gom lưu lượng của toàn bộ các máy tính nội bộ và đưa ra thiết bị firewall.

    Sơ đồ vật lý
    Sơ đồ vật lý