VIỆN ĐÀO TẠO VÀ ỨNG DỤNG CÔNG NGHỆ
TRUNG TÂM ĐÀO TẠO CNTT NIIT-ICT HÀ NỘI
*******
BÁO CÁO
Đề tài:
Xây Dựng Hệ Thống Mạng Trường Học
Nhóm 2:
Thành viên:
Bùi Viết Văn
Bùi Mạnh Tùng
Phạm Thành Trung
Nguyễn Xuân Đức
Nguyễn Tiến Phúc
Chu Hưng Thịnh
Lớp: CP10
1
Hà Nội ngày 15 / 6 / 2015
Mục Lục
Phân tích yêu cầu
1. Tình hình thực tế
2. Yêu cầu
Giải pháp xây dựng hệ thống mạng trong trường
3. Designlogic.
4. Designphysical.
5. Xây dựng hệ thống mạng theo mô hình LAN File Sever
6. Xây dựng hệ thống AD, DNS, DHCP, File Sever, WebSever, Maill,
ISA Sever.
6.1 Trang thiết bị và tổng chi phí.
7. Biện pháp an ninh
7.1 Mã hóa dữ liệu.

7.2 Biện pháp bảo vệ
7.2.1 Switch
7.2.2 Router
7.2.3 Tường lửa (Fire wall)
7.3 IDS (Instrusion direction system) Thiết bị phát hiện xâm nhập
hệ thống.
8. Biện pháp đề phòng
9. Đánh giá báo cáo
10. Tổng kết.
2
Lời mở đầu
- Có thể nói ngày nay trong khoa học máy tính khống lĩnh vực nào có
thể quan trọng hơn lĩnh vực nối mạng. Mạng máy tính là hai hay nhiều
máy tính được kết nối với nhau theo một cách nào đó sao cho chugs có
thể trao đổi thông tin qua lại với nhau, dùng chung hoặc chia sẻ dữ liệu
thông qua việc in ấn hay sao chép qua đĩa mềm, CD room …
- Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổ
chức hay các công ty. Trong điều kiện kinh tế hiện nay hều hết đa số các
tổ chức hay các công ty. Trong điều kiện kinh tế hiện nay hầu hết đa số
các tổ chức hay công ty có phạm vi sử dụng bị giới hận bởi diện tích và
mặt bằng đều triển khai xây dựng mạng LAN để phục vụ cho việc quản
lý dữ liệu nội bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ
liệu cũng như tính bảo mật dữ liệu mặt khác mạng LAN còn giúp các
nhân viên trong tổ chức hay công ty truy cập dữ liệu một cách thuận tiện
với tốc độ cao. Một điểm thuận lợi nữa là mạng LAN còn giúp cho
người quản trị mạng phân quyền sử dụng tài nguyên cho từng đối tượng
là người dùng một cách rõ ràng và thuận tiện giúp cho những có trách
nhiệm lãnh đạo công ty dễ dàng quản lý nhân viên và điều hành công ty.
- Trường THPT **** được thành lập cách đây ** năm, đang trong quá
trình thay đổi hệ thống hoạt động công tác giảng dạy và quản lý. Sau khi

tập trung nghiên cứu, ban giám hiệu nhà trường đưa ra một giải pháp
như sau. Tạo lập mạng quản lý nội bộ, nhằm kết nối tất cả các phòng ban
của trường tới từng lớp và từng khối học sinh. Giúp học sinh ý thức
được sự quan trọng của mạng lưới, nhằm mục đích phục vụ cho công
việc học tập và duy trì tốt hơn hoạt động của nhà trường. Từ đố mọi
thông tin cần thiết sữ được cập nhập và hạn chế những thiết sót trong
công việc cảu các phòng ban đối với quyền lợi của học sinh. Đảm bảo
môi tường hoạt động tốt nhất cho học sinh và các thầy cô giáo trong nhà
trường, tạo mối liên kết chặt chẽ hơn giữa nhà trường và hội phụ huynh.
3
KHẢO SÁT TÌNH HÌNH THỰC TẾ CỦA 1 TRƯỜNG TRUNG
HỌC PHỔ THÔNG
1. Tình hình thực tế
Nhà trường có 1 phòng máy tính tổng 50 máy tính. Có 1 phòng sử
dụng hệ thống điều hành windows. Trường gồm các phòng học và các
phòng làm việc riêng, có thư viện. Hiện tại hệ thống mang ở trường thực
hiện vẫn thủ công, chưa đáp ứng đủ trong công việc.
2. Yêu cầu
+ Đối với hệ thống mạng bên trong:
- Tất cả các user đều được sử dụng Internet
- User của bộ phận ban giám hiệu được sử dụng tất cả cá phần mền.
- User ở bộ phận đào tạo cho sử dụng các phần mềm đào tạo.
- User ở bộ phận quản lý sử dụng phần mềm quản lý.
- Mỗi một máy trong phòng, ban đều dùng user riêng.
- Các user được phân quyền phù hợp với công việc của mình.
- Có file server chia sẻ dữ liệu.
- Có web server pulic ra internet.
- Cho server có khả năng giám sát được tất cả các công việc.
- Giám sát truy cập.
+ Đối với hệ thống mạng bên ngoài:

- Giám sát người ngoài internet đăng nhập trái phép, nếu có sẽ xuất hiện
thông báo ở server.
4
3. Thiết kế logic hệ thống.
5
Firewal
Internet
(Switch) Router, DaTabase, Mail sever, Web
sever, Win sever, AD, DHCP
P.Văn Thư
V.Phòng Đoàn
P.Thư viện
P.Quản Lý
P.Đào Tạo
P.Hiệu Phó
P.Hiệu Trưởng
Switch
Phòng Máy
(Switch)DHCP, DNS, Proxy,
ActiveDirectory (Winsv), Router
Switch
4. Thiết kế vật lý







6

Internet
Firewall
Server
Switch
Switch
H.Phó
H.Trưởng
Đào Tạo
Thư Viện
Quản Lý
Văn Thư
VP Đoàn
Switch

5. Xây dựng theo hệ thống mạng Lan- File Sever
- Mô hình này mở rộng hơn mô hình mạng Lan – Workgroup. Dữ liệu sẽ
được lưu trữ tập trung trên server, in ấn cũng được phân quyền và chế độ
ưu tiên nhằm tăng cường tính bảo mật và an toàn dữ liệu. Mô hình mạng
này phù hợp với các cơ quan, tổ chức với quy mô vừa và nhỏ có khả
năng tài chính tương đối thấp.
- Với ưu điểm quản lý tập trung: dữ liệu được lưu trữ tập trung trên
server, ccs tài khoản truy cập tới thư mục chia sẻ cũng được server quản
lý.
- Tăng cường tính bảo mật và an toàn dữ lệu trong mạng nội bộ.
- Tốc độ truyền tải dữ liệu cao.
6. Xây dựng hệ thống AD, DNS, DHCP, FileServer, WebServer,
FTP, Mail và ISA Server
+ AD (Active Directory) dịch vụ thư mục (Directory server) có nhiệm
vụ để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các
nguồn tài nguyên được phân phối, cho phét tương tác với các thư mục

khác.
+ Dịch vụ DNS có nhiệm vụ phân giải tên miền.
+ Dịch vụ DHCP có nhiệm vụ tạo địa chỉ IP tự động.
+ Hệ thống File Server có chức năng tạo hệ thống File cho các Client
truy cập vào để lấy hoặc thêm dữ liệu vào.
+ Web Server có nhiệm vụ tạo hệ thống Website cho trường, là nơi để
các sinh viên tìm tài liệu học tập, xem các thông tin… (Có hai cách triển
7
khai là dùng IIS tích hợp sẵn hoặc sử dụng phần mềm ngoài như là
Apache, v.v… )
+ Mail server (máy chủ dùng để nhận và gửi mail) còn cho phép các đơn
vị có thể tự mình quản lý hệ thống máy chủ thư điện tử của chính mình,
chủ động trong việc quản trị máy chủ thư điện tử, đảm bảo an toàn hơn
cho hệ thống thông tin.
6.1 Giá thành.
SupweWorkstation
Sever 7045A-W
TB (intel 64bit
Xeon Quad Core
or Dual Core,
DDR2 Up to
64GB, HDD 8x
3.5”)
x Xxxx đ
PC
xxxxxx Xxxx đ
Switch TP-LINK
48 port
x Xxx đ
Switch TP-LINK

24 port TL-
SF1024D
X Xxx đ
8

Cat-6 Cable xxxxxxn Xxx đ

RJ45 Xxxxxn Xxx đ
7. Biện pháp an ninh
7.1 Mã hóa dữ liệu.
+ Khái niệm mã hóa dữ liệu đề cập đến những phép tính toán học và
chương trình thuật toán chuyển văn bản gốc thành dạng văn bản mã
hóa, đây là mọt dạng thức khiến cho những người không được ủy quyền
không thể đọc được. Người nhận tin nhắn mã hóa sẽ sử dụng một khóa
tạo nên cơ chế thuật toán để giải mã dữ liệu, chuyển nó trở về phiên bản
văn bản ban đầu.
+ Trước khi có Internet, phương pháp mã háo dữ liệu rất ít khi được sử
dụng rộng rãi vì nó được coi là công cụ bảo đảm an ninh trong lĩnh vực
ngoại giao và quân sự nhiều hơn. Tuy nhiên từ khi dịch vụ ngân hàng,
mua sắm trực tuyến và các dịch vụ khác trở nên phổ biến thì ngay cả
những người chỉ có nhu cầu sử dụng Internet cơ bản tại nhà cũng biết
đến mã hóa dữ liệu.
+ Hiện nay ngành công nghiệp tài chính ngày càng sử dụng giải pháp
này nhiều hơn để bảo vệ cho việc giao dịch chuyển tiền, những người
hoạt động thương mại điện tử sự dụng để bảo vệ cho thông tin thẻ tín
dụng khi thực hiện hoạt động thương mại và các công ty sử dụng để bảo
đảm tính an toàn cho thông tin liên lạc cá nhân nhạy cảm và lưu trữ dữ
liệu (cơ sở dữ liệu).
+ Các trình duyệt web ngày nay tự động mã hóa văn bản khi thực hiện
kết nối với máy chủ cần bảo mật. Việc này được dùng để ngăn không

cho kẻ xấu xâm nhập và liên lác cá nhân. Việc này được dùng để ngăn
9
khoog cho kẻ xấu xâm nhập và liên lạc cá nhân. Ngay cả khi họ có khả
năng lấy được tin nhắn, giải pháp mã hóa cũng chỉ cho họ xem văn bản
ở dạng hỗn độn không thể nhận biết được hoặc được gọi là dạng ngữ
pháp không thể đọc. Khi đến với người nhận, dữ liệu sẽ được giải mật
mã để cho phép người nhận để xem văn bản gốc của tin nhắn.
+ Khi internet được mở dưới dạng tự nhiên mà mọi người đều có thể
xem được và việc lướt web không được bảo đảm an toàn, thì sự áp dụng
giải pháp mã hóa dữ liệu trong môi trường liên lạc chung như gửi email
và tin nhắn nhanh có thể sẽ trở nên phổ biến hơn. Nếu không có cơ chế
bảo mật, thông tin truyền qua internet có thể dễ dàng bị bất cứ ai lấy
được và xâm phạm. Dữ liệu quan trọng này có thể được thỏa hiệp theo
nhiều cách, đặc biệt là khi được lưu trữ trong các máy chủ bị thay đổi
người sử dụng theo thời gian. Xét về mặt tội phạm trộm cắp, kẻ trộm
thông tin nhận dạng cá nhân đang ngày càng gia tăng, vì vậy giải pháp
mã hóa dữ liệu rất đáng theo đuổi.
+ Mã hóa dữ liệu hay được gọi là mã hóa tập tin là một quá trình mà các
dữ liệu dạng văn bản gốc được chuyển thành văn bản mật mã đễ làm nó
không thể đọc được.
+ Được biết đến phổ biến hơn với tên gọi “mã hóa”, quá trình này có thể
được thực hiện theo nhiều cách khác nhau và cới mức độ đảm bảo ản
toàn khác nhau.
+ Một số giải pháp mã hóa dữ liệu tối ưu có thể được sử dụng qua nhiều
thế kỷ, trong khi các phương pháp giải mã khác có thể bị phá vỡ bởi
những người có kỹ năng về lĩnh vực này trong vòng vài phút hoặc thậm
chí vài giây.
+ Trong thời đại công nghệ số, hàng ngày mọi người phải phụ thuộc
nhiều vào mã hóa dữ liệu. Rất có thể là bạn cũng đã từng nhận hoặc gửi
những dữ liệu mã hóa vì mục địch nào đó, thậm chí dù bạn không trực

tiếp thực hiện việc mã hóa hoặc giải mã dữ liệu.
+ Trong quá trình này, một đoạn văn bản gốc thông thường chỉ có thể
được đọc bởi những người có khóa để chuyển đổi nó.
10
+ Giải pháp mã hóa dữ liệu được kiểm soát hoặc giới hạn ở nhiều nước.
Nhiều nước đã ban hành hoặc đang xét duyệt những bộ luật dùng để duy
trì tính cưỡng chế thực thi pháp luật và khả năng bảo đảm an ninh quốc
gia thông qua các quy định của công nghệ này.
7.2 Biện pháp bảo vệ.
7.2.1 Switch
Đặt địa chỉ MAC, thiếp lập Static MAC address (Gắn cho mỗi
cổng của switch tương ứng với địa chỉ MAC nhất định.
7.2.2 VLAN
Cấu hình VLAN (Virtual LAN) trên switch (chia nhỏ mạng LAN
với mỗi phòng ban lập các VLAN khác nhau).
7.2.3 Router
-Password truy cập
Cấu hình password truy cập 2 mode của Router, Mode user và
privileged use (ưu tiên)
- Access Control Lists
ACLS có thể cho phếp hay ngăn chặn một số địa chỉ IP đi qua
Router.
7.2.4 Tường lửa (Fire wall)
Khi được cấu hình hoạt động, nó ngăn chặn những cuộc truy cập
bất hớp pháp từ bên ngoài mạng nội bộ, giúp ngăn cản người dùng trong
hệ thống khỏi những nguy cơ tiềm tàng từ mạng bên ngoài và từ các
cổng.
11
- Packet filtering firewall
Được cấu hình để cho phép hay ngăn cấm quá trình truy cập của

post hay địa chỉ IP cụ thể nào đó.
- Application layer Gateways
Nó kiểm tra toàn bộ gói tin và việc bỏ lọc gói tin được dựa trên các
quy luật đặc trưng, rành mạch hơn.

- Stateful inspection (ưu tiên).
Sự kết hợp của 2 quá trình nói trên, nó khắc phục nhược điểm còn
lại, cung cấp sự nhận biết ở lớp ứng dụng cho file wall mà không phải
tháo rời gói tin, cho khả năng bảo mật cao hơn.
7.3 IDS (Instrusion direction system) Thiết bị pháp hiện thâm
nhập hệ thống.
Ngoài những tính năng giám sát và phát hiện, IDS còn có khả năng
làm lệch hướng các cuộc tấn công mà nó phát hiện và ngăn chặn. Giống
như FileWall, IDS có thể hoạt động như một phần mềm, hay là sự kết
hợp giữa phần cứng và phần mềm. Với 3 loại IDS hoạt động chủ yếu,
Network-based IDS, Host-based IDSs, Application-based IDSs.
7.4 Biện pháp đề phòng
- Bỏ chế độ share ẩn mặc định của các ổ đĩa trên máy server. Nếu có
điều kiện thì nên cách ly vật lý cho các Server (Tốt nhất là có phòng
cách ly cho Server hoặc có tủ cho Server)
- Disable service không cần thiết (Cải thiện tốc độ mạng và an toàn về
vấn đề bảo mật)
- Update các Hotfix, Service Pack (Đảm bảo cho hệ thống mạng an toàn
thoát khỏi các cuộc tấn công của hacker)
- Rename admin account, đặt pass có độ phức tạp cao.
12
- Không ngồi tại máy server truy cập Internet.
- Dùng tài khoản thường để lock màn hình server kh không làm việc.
- Cài đặt WSUS Server (Windows server update service server)
- Triển khai Audit policy cho hệ thống mạng (Nhằm giám sát lưu lượng

và đề phòng xâm nhập)
- Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệ
thống nhằm vững chắc hệ thống mạng.
- Dùng Certificate mã hóa dữ liệu trên đường truyền (hệ thống Domain)
- Triển khai Certificate cho web mã hóa SSI ( Secure Socket layer)
- Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm
cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu.
~ Hết ~
13
14