Thiết kế mạng an toàn cho trường
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.06 MB, 11 trang )
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
CHƯƠNG 4
THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG
CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL
I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp.
1. Hiện trạng hệ thống
Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ
khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô
hình hóa như sau:
* Đường truyền của hệ thống
+ Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền
Internet ADSL tốc độ 2Mbps của VNPT
+ Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử
dụng cáp UTP 4 pair
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
* Các dịch vụ cung cấp:
Hiện tại hệ thống mạng của trường chỉ dùng để trao đổi thông tin giữa các máy
trong LAN và truy cập khai thác Internet, chưa cung cấp bất kỳ dịch vụ nào khác.
* Các thiết bị chính
Switch Catalyst 2950
Switch planet FNSW – 1601
Modem ADSL
Các máy trạm tại các văn phòng
2. Đánh giá hiệu năng và mức an toàn của hệ thống
* Hiệu năng của hệ thống
Hiện tại hệ thống chỉ sử dụng các Hub để phân chia lưu lượng mạng, các
thiết bị này có nhược điểm là không phân chia các miền đụng độ. Do đó khi một
máy gửi tín hiệu đi thì tất cả các máy khác trong cùng miền đụng độ sẽ nhận được
lưu lượng đó. Vì vậy một lượng lớn lưu lượng chạy trong hệ thống mạng là lưu
lượng vô ích. Nó làm giảm đáng kể hiệu năng của hệ thống mạng. Trong tương lai
nếu mở rộng hệ thống mạng hơn nữa thì nguy cơ hệ thống bị tê liệt có thể xảy ra.
Ngoài ra hệ thống mới chỉ dùng một modem ADSL cho việc truy cập mạng.
Điều này chưa thực sự làm cho hệ thống mạng ổn định - không bị rớt mạng.
* Độ an toàn của hệ thống
Nguy cơ bị mất mát dữ liệu
Hiện nay, đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn.
Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống
mạng của trường.
Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của trường đã kết
nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật
nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào.
Những attacker có thể sử dụng virus dưới dạng trojan để truy cập vào
hệ thống ăn cắp hoặc phá hoại thông tin.
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện
tại, những người trong hệ thống mạng có thể dễ dàng dùng các
chương trình nghe lén (sniffer như Cain & Able) để lấy cắp các thông
tin được truyền đi trong mạng (user name và password).
Bị tấn công
Các hệ thống có kết nối Internet thường hay bị tấn công bởi các tin tặc. Nguy cơ
tấn công cũng có thể xảy ra từ chính bên trong mạng, nếu một máy tính trong mạng
bị nhiễm virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công
mạng thì có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được
Internet. Hoặc việc tấn công do chính một thành viên nội bộ hệ thống.
3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường
Qua phân tích cho thấy hệ thống mạng hiện tại của Trường Cao đẳng cơ khí
luyện kim có hiệu năng thấp và có rất nhiều nguy cơ về an ninh mạng. Ngoài ra nhà
trường muốn xây dựng thêm các server để cung cấp dịch vụ mail server và web
server cho toàn bộ nhân viên của trường. Lãnh đạo nhà trường đã quyết định nâng
cấp toàn bộ hệ thống mạng nhằm khắc phục các vấn đề về hiệu năng hệ thống, độ
an toàn của hệ thống và đảm bảo cung cấp các dịch vụ đã được đề ra.
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall.
1. Sơ đồ thiết kế hệ thống mới.
Xây dựng các web server, mail server, sử dụng thêm 1 đường ADSL cho
việc truy cập Internet, 1 đường lease line dành riêng cho các server, thay thế các
hub bằng các Switch 2960 để nâng cao hiệu năng của hệ thống. Đặc biệt là sử dụng
thiết bị PIX firewall để nâng cao mức độ an toàn cho hệ thống mạng. Mô hình mạng
của trường sẽ được thiết kế như sau:
Hệ thống mạng theo mô hình trên có các đặc điểm như sau:
* Xây dựng các Server triển khai các dịch vụ web server và mail server đáp ứng yêu
cầu đề ra ban đầu.
* Sử dụng thêm một đường ADSL 2Mbps cho việc truy cập Internet của người
dùng. Như vậy hệ thống bây giờ có 2 đường ADSL chạy qua một thiết bị cân bằng
tải Draytek V2930. Điều này sẽ cải thiện lớn tốc độ truy cập Internet của người
dùng, đặc biệt tăng tính ổn định của mạng Internet, không xảy ra tình trạng bị rớt
mạng.
Trân Giáo_Khoa CNTT_ĐH Thái Nguyên
* Sử dụng một đường lease line 384Kbps dành riêng cho các Server đảm bảo đường
truyền cho các Server được ổn định.
* Sử dụng switch Cisco để chia mạng LAN ảo - VLAN: Các Hub nối các phòng ban
sẽ được thay thế bằng switch với khả năng chia VLAN, các phòng ban sẽ được chia
vào các VLAN. Mục đích là hạn chế sự broadcast thông tin lên toàn mạng làm tắc
nghẽn đường truyền, nâng cao hiệu suất mạng, mặt khác giúp dễ dàng quản lý, áp
dụng được các chính sách khác nhau đối với từng phòng ban cũng như nhanh chóng
khắc phục các sự cố khi xảy ra.
* Sử dụng Firewall cứng (Cisco PIX Firewall) để bảo vệ hệ thống server và mạng
nội bộ của Trường, Firewall sẽ chia hệ thống mạng ra làm 3 vùng có mức độ ưu tiên
bảo mật khác nhau
Outside: đây là vùng Internet, có mức độ ưu tiên bảo mật thấp nhất
DMZ: vùng đặt các máy chủ, các máy chủ có khả năng truy cập ra vùng
Outside
Inside: mạng nội bộ của khoa, đây là vùng có mức độ ưu tiên bảo vệ cao
nhất, các máy trong vùng inside có khả năng truy cập ra outside và DMZ.
Ước tính giá thành cho việc nâng cấp toàn bộ hệ thống:
Hệ thống mạng sau khi xây dựng vẫn giữ lại các máy trạm, 1 switch 2960, hệ thống
cáp UTP và một modem ADSL
Hệ thống mới cần mua thêm các thiết bị mới với giá cả và chi phí cấu hình ước tính
như sau:(giá cả chỉ mang tính chất tham khảo tại thời điểm khảo sát)
+ 2 CISCO1841 Modular Router w/2xFE, 2 WAN slots, 32 FL/128 DR giá 950 x 2
= 1900 USD
+ Thiết bị cân bằng tải Vigor 2910 giá 95 USD
+ Modem ADSL giá 20 USD
+ PIX 515 giá 980 USD
+ Modem lease line SGHDSL DATACRAFT 560 NTU giá 180 USD
+ 4 Switch 2960 giá 600 x 4 = 2400 USD
+ 3 máy IBM SERVER x3200 - M2 giá 850 USD x 3 = 2550 USD
+ Chi phí thiết kế website, cấu hình server giá 800 USD
+ Chi phí cấu hình các thiết bị cisco: pix, switch, router giá 750 USD
