6. Bố cục luận văn
3.3.1. Nội dung thử nghiệm
Luận văn thực hiện thử nghiệm một số nội dung sau đây. - Cấu hình một số dịch vụ trên tường lửa Cisco ASA 5520. - Chia Vlan trên các Switch Cisco.
- Phân quyền truy cập dữ liệu trên File Server, Domain. - Backup File Server.
- Xây dựng chính sách bảo mật cho hệ thống trường. Từ đó có cơ sở để đề xuất triển khai trong thực tế.
Sau khi lắp đặt ASA ở vị trí phù hợp trong hệ thống như đã thiết kế, ta sẽ triển khai các luật sau cho ASA:
Học viên thực hiện cấu hình chia hệ thống ra làm 3 khu vực: WAN (2 đường mạng), LAN và DMZ và thiết lập các Rules cần thiết.
- Cho phép vùng inside và DMZ ra ngoài internet - Cho phép mạng inside truy cập vào DMZ.
- Thực hiện cấm mạng bên ngoài (vùng internet) truy cập vào hệ thống mạng của công ty.
Có 6 lệnh cấu hình cơ bản cho ASA/PIX Firewall:
1. Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh cho nó
2. Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai 3. Ip address – gán một địa chỉ ip cho mỗi cổng
4. Nat – che dấu địa chỉ trên mạng inside từ mạng outside
5. Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một pool (một dải địa chỉ public) của địa chỉ IP
6. Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface.
Kết quả cần đạt: Cisco ASA5520 có thể giúp bảo vệ một hoặc nhiều mạng từ những kẻ xâm nhập và tấn công. Thông qua Rules sẽ cho phép các khu vực có thể kết nối được với nhau. Ngoài ra, hệ thống cần public web từ trong khu vực DMZ ra ngoài WAN để bên ngoài mạng có thể truy cập được web. Quá trình chia ra làm 3 khu vực giúp hệ thống dễ dàng quản lý, tránh lây lan mã độc và chống lại các cuộc tấn công từ bên trong cũng như bên ngoài.
(2)Chia Vlan trên các Switch
Học viên thực hiện cấu hình Switch (ở đây là switch cisco), tạo ra các Vlan (C1 – Vlan 11, C2 – Vlan 12,...) và kết nối chúng tới Switch tổng. Kết quả cần đạt được: Sau khi chia các VLAN, các đường truyền mạng hoạt động ổn định. Các Vlan tách biệt nhau giúp dễ dàng kiểm soát.
(3) Phân quyền truy cập dữ liệu trên File Server, Domain
Học viên thực hiện quá trình tạo ra các folder chứa các dữ liệu của từng phòng ban cũng như các tài khoản của từng phòng ban trong trường Đại học Hà Nội.
Kết quả cần đạt: Chỉ có tài khoản của phòng ban được cấp quyền mới có quyền truy cập vào folder chứa dữ liệu của họ, cũng như không thể truy cập vào dữ liệu phòng ban khác, nhằm chống ăn cắp dữ liệu, các hành vi phá hoại cố ý hoặc vô ý, khoanh vùng kịp thời để phát hiện thủ phạm nếu có vấn đề xảy ra.
(4) Backup File Server
Học viên sử dụng công cụ Backup File Server trên Window Server để có thể backup dữ liệu. Sau khi cài đặt Backup File Server và thông qua giao diện để có thể dễ dàng backup lại những dữ liệu cần thiết.
Kết quả cần đạt: Khi xảy ra sự cố về mất mát hay hỏng hóc dữ liệu, hệ thống có thể dễ dàng khôi phục lại bằng khả năng recovery của công cụ đã cài đặt.
(5) Xây dựng chính sách bảo mật cho hệ thống trường
Học viên đề xuất xây dựng một chính sách bảo mật cho hệ thống của trường, từ đó học sinh và nhân viên có thể tuân theo các quy tắc để đảm bảo an toàn được hệ thống mạng nội bộ của trường.
Kết quả cần đạt: Chính sách bảo mật phải chặt chẽ, phù hợp với hiện trạng của trường Đại học Hà Nội.