a. Các thiết bị:
• Router Cisco 881-SEC-K9 (hình 18).
Hình 18. Secure Router 811 series
Có hiệu suất cao phù hợp cho các doanh nghiệp vừa và nhỏ. Bao gồm tường lửa và hệ thống chống xâm nhập (IPS) để giảm thiếu các mối đe dọa và bảo vệ chống lại các cuộc tấn công của virus.Với chức năng lọc nội dung gói nhằm hạn chế truy cập đến các trang web không muốn nhằm bảo vệ người sử dụng chống lại phần mềm độc hại và tấn công lừa đảo.Bảo mật kết nối sử dụng cả hai phương pháp IPSEC và Secure Sockets Layer (SSL) VPN giữa các địa điểm cho việc truy nhập từ xa.
• Switch layer 3 Cisco WS-C3750E-24PD-E (hình 20).
Hình 20. Switch 3750 series
Là Switch thuộc nhóm lai layer 3. Switch 3750 giúp chuyển mạch nhanh hơn các Switch thông thường giúp cải thiện tốc độ mạng, có các tính năng ngăn DHCP Snooping giả mạo địa chỉ MAC, Routing. Ngoài ra Switch 3750 còn hỗ trợ các tính năng bảo mật tích hợp ngay trên nó: VACLs …..
• Switch SR2016T-NA (hình 21).
Hình 21. Switch 2016 series
Là Switch thuộc nhóm Layer 2 nghĩa là chúng không có khả năng định tuyến, chỉ có khả năng chuyển mạch. Các Switch loại này hỗ trợ 802.1x và ethernet channel mà các loại khác không hỗ trợ. Chúng làm nhiệm vụ kết nối các máy trạm với nhau và làm cầu nối để gửi xác thực khi một máy tính vào hệ thống mạng. Ngoài ra nó cũng hỗ trợ chúng ta chia các Vlan trên nó.
Pix Firewall (hình 22).
Hình 22. Cisco Pix Firewall 525
PIX là là thiết bị tường lửa stateful là thành phần chính trong giải pháp bảo mật end-to-end của Cisco. Nó là giải pháp bảo mật về phần cứng và phần mềm , đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng. Pix là một thiết bị hybrid vì nó kết hợp các đặc điểm của công nghệ Packet Filtering và Proxy Server .
• Domain Controller(DC) (hình 23).
Hình 23. Minh họa một Domain Controller
Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung .DC cung cấp dịch vụ thẩm định (authentication),thực hiện quản lý các tài khoản có vai trò giúp việc khai thác tài nguyên trở nên dễ dàng hơn.
• DHCP server (hình 24).
Được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng bằng cách tự động gán các địa chỉ IP cho nhân viên khi họ vào mạng. DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc và tránh được trùng IP.
• Web Server (hình 25).
Hình 25. Minh họa một Web server
Web Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin dữ liệu website đã được thiết kế của công ty. Server phải hoạt động liên tục 24/24 giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụ cho việc cung cấp thông tin trực tuyến.
• DNS server (hình 26).
Hình 26. Minh họa một DNS server
Giúp cho việc truy cập các trang web, địa chỉ trên Internet một cách nhanh hơn bằng các phân giải tên thành địa chỉ IP tương ứng ngoài ra chúng ta sử dụng riêng 1 DNS server sẽ tận giúp tốc độ phân giải nhanh hơn và tận dụng được cache của những lần truy cập cũ.
• Mail server (hình 27).
Hình 27. Minh họa một Mail server
Dùng để quản lý các account, nhận và gửi mail cho các nhân viên trong công ty.
• Database Server (hình 28).
Hình 28. Minh họa một Database server
Là Server dùng để chứa dữ liệu cho toàn bộ công ty nó sẽ được lưu lại và được Backup thường xuyên (adsbygoogle = window.adsbygoogle || []).push({});
• AAA Server (hình 29).
Các dịch vụ AAA được chia thành ba phần, xác thực (Authentication), cấp quyền (Authorization), tính cước (accounting).
Authentication: xác thực dùng để nhận dạng người dùng. Trong suốt quá trình xác
thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Serve
Authorization: cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời
gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức
Accounting: cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng cho
phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ.
• Admin Server (hình 30).
Hình 30. Minh họa một AAA server
Giúp cho người quản trị theo dõi các hoạt động giúp nhà quản trị mạng có thể quản lý, thay đổi trạng thái của mạng. Không chỉ các thiết bị vật lý mới quản lý được mà cả những phần mềm như web server, database.
Ví dụ chúng ta có thể dùng SNMP để tắt một interface nào đó trên router của mình, theo dõi hoạt động của card Ethernet, hoặc kiểm soát nhiệt độ trên switch và cảnh báo khi nhiệt độ quá cao.
• NIDS server (hình 31).
Hình 31. Cisco 4250-XL Sensor
Có khả năng phát hiện các mối đe dọa đang tấn công vào mạng. Một NIDS liên quan đến việc triển khai các thiết bị giám sát (monitoring device), hay còn gọi là Sensor (thiết bị này dùng để capture- bắt gói và phân tích traffic khi nó đi qua mạng). Sensor sẽ detect các hoạt động không đủ thẩm quyền và gây hại cho hệ thống trong thời gian thực và có thể đưa ra hành động tương ứng khi được cấu hình.
Các Sensor có thể được triển khai ở các điểm trong mạng mà làm cho các nhà quản lý về bảo mật có thể theo dõi các hoạt động mạng trong khi nó đang hoạt động, mà không cần biết vị trí mục tiêu của tấn công.
NIDS đưa ra cho các nhà quản lý về bảo mật một cái nhìn về bảo mật ở thời gian thực mạng của họ mà không liên quan đến sự phát triển của mạng .
Mạng có thể phát triển bằng cách thêm các host hay các thiết bị mạng mới. Các thiết bị hay các host thêm vào đo vẫn được bảo vệ mà không cần phải thêm Sensor. Các Sensor được thêm vào có thể dễ dàng được triển khai để bảo vệ các mạng mới.
b. Các kỹ thuật
• Sử dụng WAN để kết nối tới chi nhánh ở xa.
• Sử dụng Firewall để chia hệ thống mạng thành 3 vùng bảo mật: Inside – DMZ – Outside.
• Sử dụng Radius Server để xác thực đối với các User muốn vào mạng, kết hợp với công nghệ 802.1x trong các Switch tại các phòng ban.
• Sử dụng công nghệ Ethernet Channel để tăng hiệu xuất của mạng giúp cải thiện tốc độ ngoài ra còn hỗ trợ loadbalancing trên nó.
• Sử dụng STP để ngăn Loop trong mạng.
• Sử dụng VTP để tự động cấp các VLAN xuống các Switch tại các phòng ban.
• Sử dụng Switch layer 3 để có thể định tuyến giữa các Vlan ngoài ra còn có chế độ bảo vệ khỏi sự tấn công bên trong, đặt các Rule cho mạng.
• Sử dụng Mail Exchange để tạo một hệ thống mail riêng của công ty.
• Sử dụng FTP 7 để thiết lập chia sẻ tài nguyên cho các nhân viện trong công ty.