TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN ĐIỆN TỬ VIỄN THÔNG
BÁO CÁO ĐỒ ÁN III
ĐỀ TÀI: Xây dựng hệ thống mạng thực tế và bảo mật cho
doanh nghiệp.
Giáo viên hướng dẫn:
TS. Trần Thị Ngọc Lan
Sinh viên thực hiện : Trần Thị Liên
20142534
Âu Đình Tiến
20141457
Nguyễn Ngọc Thiện
20144269
Nguyễn Quốc Đạt
20130842
Hà Nội,12/2018
1
Mục lục
Mục lục ............................................................................................................................ 1
Danh mục hình ảnh ........................................................................................................ 4
Phần mở đầu ................................................................................................................... 5
Chương I. Tổng quan về hệ thống mạng ..................................................................... 6
1.1 Giới thiệu về hệ thống mạng................................................................................... 6
1.2 Giới thiệu về mạng LAN ........................................................................................ 6
1.3 Các mơ hình mạng .................................................................................................. 7
1.3.1 Mơ hình OSI ..................................................................................................... 7
1.3.2 Mơ hình TCP/IP ............................................................................................... 9
1.4 Định tuyến............................................................................................................... 9
1.5 VLAN (Virtual Local Area Network) .................................................................. 11
1.5.1 Lợi ích của việc chia VLAN .......................................................................... 12
1.5.2 Các loại VLAN ............................................................................................... 12
1.6 ACL (Access Control List) ................................................................................... 13
1.7 Các thiết bị sử dụng .............................................................................................. 14
1.7.1 Thiết bị Router................................................................................................ 14
1.7.2 Firewall ........................................................................................................... 15
1.7.3 Switch layer 3 ................................................................................................. 16
1.8. Sự cấp thiết sử dụng bảo mật trong hệ thống mạng ............................................ 16
Chương 2: Thiết kế mô phỏng mạng doanh nghiệp ................................................. 18
2.1 Thiết kế mơ hình mạng doanh nghiệp .................................................................. 18
2.2 Cấu hình trên packet Tracer .................................................................................. 19
2.2.1 Cấu hình khu vực Hà Nội ............................................................................... 19
2.2.2 Router Hà Nội ................................................................................................ 19
2
2.2.3 Switch Layer 3................................................................................................ 22
2.2.4 Switch Layer 2................................................................................................ 24
2.2.5 Khu vực nhà cung cấp mạng ISP .................................................................. 26
2.2.6 Khu vực Hồ Chí Minh .................................................................................... 27
2.3 Kết quả mơ phỏng ............................................................................................ 29
Chương 3: Pfsense Firewall và bảo mật hệ thống mạng .......................................... 32
3.1 Tổng quan về tưởng lửa Pfsense, bảo mật hệ thống mạng ................................... 32
3.2 Cài đặt tường lửa Pfsense và máy tính client Window XP .................................. 33
3.3 Triển khai hệ thống Snort(IDS/IPS) trên Pfsense ................................................. 36
3.3.1 Cài đặt gói tin Snort........................................................................................ 36
3.3.2 Cấu hình Snort cơ bản. ................................................................................... 38
3.3.3 Cấu hình Snort cho interface LAN ................................................................. 41
3.3.4 Kiểm tra kết quả ............................................................................................. 46
3.4 Triển khai chặn các trang website http và https.................................................... 49
3.4.1 Tạo Certificate Authority - CA ...................................................................... 49
3.4.2 Cài đặt gói Squid và SquidGuard ................................................................... 52
3.4.3 Cấu hình Squid ............................................................................................... 54
3.4.4 Cấu hình SquidGuard ..................................................................................... 59
3.4.5 Thêm CA lên máy client Window XP ........................................................... 64
3.4.6. Kiểm tra kết quả. ........................................................................................... 72
Kết luận ......................................................................................................................... 75
Tài liệu tham khảo ....................................................................................................... 76
3
Danh mục hình ảnh
Hình 2. 1 Mơ hình mạng doanh nghiệp ......................................................................... 18
Hình 2. 2 Mơ hình nhà cung cấp mạng ISP ................................................................... 18
Hình 2. 3 ACL cho phép Manager có quyền truy cập vào server .................................. 29
Hình 2. 4 ACL khơng cho phép Accounting có quyền truy cập vào server .................. 29
Hình 2. 5 ACL cho phép Director có quyền remote, thay đổi cấu hình router Hà Nội . 30
Hình 2. 6 ACL khơng cho phép Sale có quyền truy nhập Router Hà Nội ..................... 30
Hình 2. 7 Sale có quyền sử dụng Máy in ....................................................................... 31
Hình 2. 8 Accouting có quyền sử dụng Máy in ............................................................. 31
Hình 3. 1 Cài đặt thành cơng tường lửa Pfsense………………………………………34
Hình 3. 2 Đăng nhập giao diện web của tường lửa Pfsense .......................................... 34
Hình 3. 3 Cài đặt thành cơng máy tính Window XP...................................................... 35
Hình 3. 4 Window XP là client của tường lửa Pfsense .................................................. 35
Hình 3. 5 Trang web chứa mã độc bị chặn .................................................................... 47
Hình 3. 6 Cảnh báo vi phạm luật.................................................................................... 48
Hình 3. 7 Block được phát hiện ..................................................................................... 48
Hình 3. 8 Truy cập trang web bình thường .................................................................... 72
Hình 3. 9 Trang web http bị chặn ................................................................................... 73
Hình 3. 10 Trang web https bị chặn ............................................................................... 73
Hình 3. 11 Trang web https theo từ khóa bị chặn .......................................................... 74
4
Phần mở đầu
Sự phát triển nhanh chóng của mạng Internet cùng các thiết bị công nghệ cao
đã mang lại những lợi ích to lớn cho cuộc sống của con người. Từ việc rút ngắn khoảng
cách kết nối giữa người với người, tìm kiếm thơng tin nhanh chóng và cho đến ngày
nay chúng đã gắn liền với hầu hết các hoạt động của con người như sản xuất công
nghiệp, liên lạc, quản lý doanh nghiệp, quản lý dữ liệu,…
Bên cạnh việc quản lý và sử dụng thông tin trong doanh nghiệp hiệu quả là vấn
đề bảo mật thông tin. Bảo mật thông tin là bảo vệ thông tin của cá nhân, doanh nghiệp
hay tránh sự phá hoại hệ thống do một số kẻ xấu cố ý gây ra với mục đích chuộc lợi. Vì
vậy song song với việc phát triển hệ thống mạng thông tin doanh nghiệp là xây dựng
các hệ thống tường lửa với mục đích ngăn chặn các kết nối khơng mong muốn, giảm
nguy cơ mất kiểm sốt hệ thống hoặc bị tấn công và lây nhiễm các mã độc. Và ứng
dụng tường lửa (Firewall) là một trong những thiết bị giúp duy trì sự hoạt động ổn
định cho hệ thống mạng và giúp hệ thống mạng được bảo vệ tốt hơn.
Trong báo cáo này chúng em xin trình bày về đề tài “Xây dựng hệ thống mạng
thực tế và bảo mật cho doanh nghiệp”. Đê tài này chúng em sẽ trình bày về những
đặc trưng cơ bản của hệ thông mạng, các bước xây dựng một hệ thống mạng, mô
phỏng hệ thống mạng qua Packet tracer và bảo mật cho doanh nghiệp bằng ứng dụng
tường lửa Pfsense.
Để hoàn thành Đồ án này chúng em đã tìm hiểu các thông tin qua Internet, sử
dụng phần mềm mô phỏng Packet tracer cùng với những hướng dẫn của TS.Trần Thị
Ngọc Lan. Chúng em xin chân thành cảm ơn cô!
5
Chương I. Tổng quan về hệ thống mạng
1.1 Giới thiệu về hệ thống mạng
Mạng máy tính hay hệ thống mạng là sự kết hợp các máy tính lại với nhau thông
qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng, môi trường
truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông tin qua lại với
nhau. Dữ liệu được quản lý tập trung nên an toàn hơn, sự trao đổi thơng tin dữ liệu giữa
những người dùng sẽ nhanh chóng hơn, thuận lợi hơn. Người dùng có thể trao đổi thư
tín với nhau một cách dễ dàng và nhanh chóng. Có thể cài đặt Internet trên một máy
bất kỳ trong mạng, sau đó thiết lập, định cầu hình cho các máy khác có thể thơng qua
máy đã được cài đặt chương trình share Internet để cũng có thể kết nối ra Internet.
1.2 Giới thiệu về mạng LAN
Mạng máy tính có thể được phân bố trong các phạm vi khác nhau, người ta có
thể phân ra các loại mạng như sau: LAN, WAN và MAN. Trong đó mạng LAN được
sử dụng ở tất cả các hệ thông mạng của công ty, doanh nghiệp.
LAN (Local area network), hay còn gọi là "mạng cục bộ", là mạng tư nhân
trong một toà nhà, một khu vực (trường học hay cơ quan) có cỡ chừng vài km. Chúng
nối các máy chủ và các máy trạm trong các văn phòng và nhà máy để chia sẻ tài
ngun và trao đổi thơng tin.
Mạng LAN có 3 đặc điểm:
• Giới hạn về tầm cỡ phạm vi hoạt động từ vài mét cho đến 1 km.
• Thường dùng kỹ thuật đơn giản chỉ có một đường dây cáp nối tất cả máy.
Vận tốc truyền dữ liệu thông thường là 10 Mbps, 100 Mbps, 1 Gbps, và
gần đây là 100 Gbps.
• Ba kiến trúc mạng kiểu LAN thơng dụng bao gồm:
6
o Mạng bus hay mạng tuyến tính: Các máy nối nhau một cách liên
tục thành một hàng từ máy này sang máy kia. Ví dụ của nó là
Ethernet (chuẩn IEEE 802.3).
o Mạng vòng: Các máy nối nhau như trên và máy cuối lại được nối
ngược trở lại với máy đầu tiên tạo thành vịng kín. Thí dụ mạng
vịng thẻ bài IBM (IBM token ring).
o Mạng sao.
1.3 Các mơ hình mạng
1.3.1 Mơ hình OSI
Mơ hình OSI (Open Systems Interconnection Reference Model) - tạm
dịch là Mơ hình tham chiếu kết nối các hệ thống mở - là một thiết kế dựa vào
nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thơng
giữa các máy vi tính và thiết kế giao thức mạng giữa chúng, được phát triển bởi
International Standards Organization (ISO).
Mơ hình OSI phân chia chức năng của một giao thức ra thành một chuỗi
các tầng cấp. Mỗi một tầng cấp có một đặc tính là nó chỉ sử dụng chức năng của
tầng dưới nó, đồng thời chỉ cho phép tầng trên sử dụng các chức năng của mình.
Việc phân chia hợp lý các chức năng của giao thức khiến việc suy xét về chức
năng và hoạt động của các chồng giao thức dễ dàng hơn, từ đó tạo điều kiện cho
việc thiết kế các chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao. Mỗi tầng
cấp thi hành và cung cấp các dịch vụ cho tầng ngay trên nó, đồng thời địi hỏi
dịch vụ của tầng ngay dưới nó.
Mơ hình tham chiếu OSI là một cấu trúc phả hệ có 7 tầng:
7
• Tầng 1: Tầng vật lý (Physical Layer): thực hiện các chức năng cần
thiết để truyền luồng dữ liệu dưới dạng bit đi qua các mơi trường
vật lý.
• Tầng 2: Tầng liên kết dữ liệu (Data-Link Layer): nhiệm vụ chính
là chuyển dạng của dữ liệu thành các khung dữ liệu (data frames)
theo các thuật tốn nhằm mục đích phát hiện, điều chỉnh và giải
quyết các vấn đề như hư, mất và trùng lập các khung dữ liệu.
• Tầng 3: Tầng mạng (Network Layer): điều khiển vận hành của
mạng con. Xác định mở đầu và kết thúc của một cuộc truyền dữ
liệu.
• Tầng 4: Tầng giao vận (Transport Layer): nhận dữ liệu từ tầng
phiên, cắt chúng thành những đơn vị nhỏ nếu cần, gửi chúng
xuống tầng mạng và kiểm tra rằng các đơn vị này đến được đầu
nhận.
• Tầng 5: Tầng phiên (Session layer): đóng vai trị "kiểm sốt viên"
hội thoại (dialog) của mạng với nhiệm vụ thiết lập, duy trì và đồng
bộ hóa tính liên tác giữa hai bên.
• Tầng 6: Tầng trình diễn (Presentation layer): thực hiện các nhiệm
vụ liên quan đến cú pháp và nội dung của thông tin gửi đi.
• Tầng 7: Tầng ứng dụng (Application layer): cho phép người dùng
(con người hay phần mềm) truy cập vào mạng bằng cách cung cấp
giao diện người dùng, hỗ trợ các dịch vụ như gửi thư điện tử truy
cập và truyền file từ xa, quản lý CSDL dùng chung và một số dịch
vụ khác về thông tin.
8
1.3.2 Mơ hình TCP/IP
Bộ giao thức TCP/IP (Internet protocol suite hoặc IP suite hoặc TCP/IP protocol
suite - bộ giao thức liên mạng) là một bộ các giao thức truyền thông cài đặt chồng giao
thức mà Internet và hầu hết các mạng máy tính thương mại đang chạy trên đó. Bộ giao
thức này được đặt tên theo hai giao thức chính của nó là TCP (Giao thức Điều khiển
Giao vận) và IP (Giao thức Liên mạng). Chúng cũng là hai giao thức đầu tiên được
định nghĩa.
Như nhiều bộ giao thức khác, bộ giao thức TCP/IP có thể được coi là một tập
hợp các tầng, mỗi tầng giải quyết một tập các vấn đề có liên quan đến việc truyền dữ
liệu, và cung cấp cho các giao thức tầng cấp trên một dịch vụ được định nghĩa rõ ràng
dựa trên việc sử dụng các dịch vụ của các tầng thấp hơn. Về mặt lôgic, các tầng trên
gần với người dùng hơn và làm việc với dữ liệu trừu tượng hơn, chúng dựa vào các
giao thức tầng cấp dưới để biến đổi dữ liệu thành các dạng mà cuối cùng có thể được
truyền đi một cách vật lý.
Các tầng trong chồng giao thức của bộ giao thức TCP/IP
• Tầng 1: Tầng liên kết dữ liệu (Data-Link Layer)
• Tầng 2: Tầng mạng (Network Layer)
• Tầng 3: Tầng giao vận (Transport Layer)
• Tầng 4: Tầng ứng dụng (Application layer)
1.4 Định tuyến
Định tuyến là quá trình xác định đường đi tốt nhất trên một mạng máy tính để gói
tin tới được đích theo một số thủ tục nhất định nào đó thơng qua các nút trung gian là
các bộ định tuyến router. Thông tin về những con đường này có thể được cập nhật tự
9
động từ các router khác hoặc là do người quản trị mạng chỉ định cho router. Sau khi
Router nhận gói tin, thì Router sẽ gỡ bỏ phần header lớp 2 để tìm địa chỉ đích thuộc lớp
3. Sau khi đọc xong địa chỉ đích lớp 3 nó tìm kiếm trong Routing Table cho mạng chứa
địa chỉ đích.
Giả sử mạng đó có trong Routing Table, Router sẽ xác định địa chỉ của router
hàng xóm (router chia sẻ chung kết nối). Sau đó gói tin sẽ được đẩy ra bộ đệm của
cổng truyền đi tương ứng, router sẽ khám phá loại đóng gói lớp 2 nào được sử dụng
trên kết nối giữa 2 router. Gói tin được đóng gửi xuống lớp 2 và đưa xuống môi trường
truyền dẫn dưới dạng bit và được truyền đi bằng tín hiệu điện, quang hoặc sóng điện
từ. Q trình sẽ tiếp tục cho tới khi gói tin được đưa đến đích thì thơi.
Để làm được việc này thì các router cần phải được cấu hình một bảng định tuyến
(Routing Table) và giao thức định tuyến (Routing Protocol). Bảng định tuyến là bảng
chứa tất cả những đường đi tốt nhất đến một đích nào đó tính từ router. Khi cần chuyển
tiếp một gói tin, router sẽ xem địa chỉ đích của gói tin, sau đó tra bảng định tuyến và
chuyển gói tin đi theo đường tốt nhất tìm được trong bảng. Trong bảng định tuyến có
thể bao gồm một tuyến mặc định, được biểu diễn bằng địa chỉ 0.0.0.0 0.0.0.0.
Bảng định tuyến của mỗi giao thức định tuyến là khác nhau, nhưng có thể bao
gồm những thơng tin sau:
• Địa chỉ đích của mạng, mạng con hoặc hệ thống.
• Địa chỉ IP của router chặng kế tiếp phải đến.
• Giao tiếp vật lí phải sử dụng để đi đến Router kế tiếp.
• Subnet mask của địa chỉ đích.
• Khoảng cách đến đích (ví dụ: số lượng chặng để đến đích).
• Thời gian (tính theo giây) từ khi Router cập nhật lần cuối.
10
Giao thức định tuyến là ngôn ngữ giao tiếp giữa các router. Một giao thức định
tuyến cho phép các router chia sẻ thông tin về các network, router sử dụng các thơng
tin này để xây dựng và duy trì bảng định tuyến.
Phân loại định tuyến:
Có nhiều tiêu chí để phân loại các giao thức định tuyến khác nhau. Định tuyến
được phân chia thành 2 loại cơ bản:
• Định tuyến tĩnh: Việc xây dựng bảng định tuyến của router được thực
hiện bằng tay bởi người quản trị.
• Định tuyến động: Việc xây dựng và duy trì trạng thái của bảng định
tuyến được thực hiện tự động bởi router.
Việc chọn đường đi được tuân thủ theo 2 thuật toán cơ bản:
o Distance vector: Chọn đường đi theo hướng và khoảng cách tới đích.
o Link State: Chọn đường đi ngắn nhất dựa vào cấu trúc của toàn bộ mạng
theo trạng thái của các đường liên kết mạng.
Người quản trị mạng khi chọn lựa một giao thức định tuyến động cần cân nhắc
một số yếu tố như: độ lớn của hệ thống mạng, băng thông các đường truyền, khả năng
của router, loại router và phiên bản router, các giao thức đang chạy trong hệ thống
mạng.
1.5 VLAN (Virtual Local Area Network)
Virtual LAN là hệ thống mạng LAN ảo được tạo lập trên cùng một thiết bị vật lý.
Với mạng LAN thơng thường, các máy tính trong cùng một địa điểm có thể kết nối với
nhau thông qua mọt thiết bị vật lý tập trung như switch hay hub. Tuy nhiên, trong một
mạng LAN thường có nhiều máy tính có nhu cầu kết nối với nhau thành 1 hệ thống
mạng riêng, nếu sử dụng các thiết bị vật lý thông thường sẽ phát sinh vấn đề số lượng
11
thiết bị sẽ lớn lên rất nhiều và số cổng trên các thiết bị sẽ thừa ra gây lãng phí. Giải
pháp được đưa ra là sử dụng hệ thống mạng LAN ảo trên cùng 1 thiết bị vật lý.
1.5.1 Lợi ích của việc chia VLAN
Tiết kiệm băng thông của hệ thống mạng: VLAN chia mạng LAN thành nhiều đoạn
(segment) nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain). Khi có gói tin
quảng bá (broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó việc
chia VLAN giúp tiết kiệm băng thông của hệ thống mạng.
Tăng khả năng bảo mật: Do các thiết bị ở các VLAN khác nhau không thể truy
nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN). Như trong ví dụ trên,
các máy tính trong VLAN kế tốn (Accounting) chỉ có thể liên lạc được với nhau. Máy
ở VLAN kế tốn khơng thể kết nối được với máy tính ở VLAN kỹ sư (Engineering).
Dễ dàng thêm hay bớt máy tính vào VLAN: Việc thêm một máy tính vào VLAN
rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn.
Giúp mạng có tính linh động cao: VLAN có thể dễ dàng di chuyển các thiết bị. Giả
sử trong ví dụ trên, sau một thời gian sử dụng công ty quyết định để mỗi bộ phận ở một
tầng riêng biệt. Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào
các VLAN theo yêu cầu. VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình
tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán cho
nó vào một VLAN nào đó. Trong cấu hình động mỗi cổng của switch có thể tự cấu
hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào.
1.5.2 Các loại VLAN
• Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến. Mỗi
cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN
1), do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN
nào đó.
12
• MAC address based VLAN: Cách cấu hình này ít được sử dụng do có
nhiều bất tiện trong việc quản lý. Mỗi địa chỉ MAC được đánh dấu với
một VLAN xác định.
• Protocol – based VLAN: Cách cấu hình này gần giống như MAC Address
based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa chỉ
MAC. Cách cấu hình khơng cịn thơng dụng nhờ sử dụng giao thức
DHCP.
1.6 ACL (Access Control List)
ACLs (Access control lists) hay còn gọi là access lists, là một danh sách tuần tự
các câu lệnh hay còn gọi là ACEs (Access control entries), được áp dụng trên một
Interface nào đó, và trên bộ đệm vào hoặc ra, điều khiểu Router từ chối hoặc chuyển
tiếp các gói tin dựa vào thơng tin trong IP header hoặc TCP/UDP header
Mục đích sử dụng ACLs :
• Giới hạn lưu lượng mạng nhằm tăng hiệu năng mạng
• Cung cấp điều khiểu luồng truyền thơng bằng cách giới hạn phân phát
cập nhật tuyến.
• Cung cấp mức bảo mật cơ bản cho truy cập mạng.
• Điều khiểu các loại truyền thông được phép chuyển tiếp hoặc từ chối bởi
Router.
• Khả năng điều khiển truy cập người dùng.
Có 2 loại Access lists là: Standard Access lists và Extended Access lists :
• Standard (ACLs): Lọc (Filter) địa chỉ ip nguồn (Source) vào trong mạng
– đặt gần đích (Destination).
13
• Extended (ACLs): Lọc địa chỉ ip nguồn và đích của 1 gói tin (packet),
giao thức tầng “Network layer header” như TCP, UDP, ICMP…, và port
numbers trong tầng “Transport layer header”. Nên đặt gần nguồn
(source).
1.7 Các thiết bị sử dụng
1.7.1 Thiết bị Router
Router hay còn gọi là thiết bị định tuyến hoặc bộ định tuyến, là thiết bị mạng
máy tính dùng để chuyển các gói dữ liệu qua một liên mạng và đến các đầu cuối, thơng
qua một tiến trình được gọi là định tuyến.
Chức năng của Router:
• Thiết bị mạng Router có chức năng gửi các gói dữ liệu mạng giữa hai
hoặc nhiều hệ thống mạng khác nhau, từ một đến nhiều điểm đích đến
cuối cùng từ router. Điều đó có nghĩa là từ Router bạn có thể cắm trực
tiếp dây Lan đến máy tính, hoặc sử dụng sóng Wifi do Router phát ra. Để
sử dụng sóng Wifi phát ra từ thiết bị này thì Router phải được gắn với
modem. Modem ở đây có thể là modem 1 cổng, modem 4 cổng, modem
wifi 1 cổng hay modem wifi 4 cổng đều được. Modem wifi này đã được
đấu nối với đường truyền dẫn Internet của nhà mạng.
• Bộ định tuyến Router cịn có chức năng kết nối mạng có dây với các thiết
bị di động thông qua chức năng phát wifi. Các mạng nhỏ - chỉ là mạng
cục bộ LAN khác nhau tức là người dùng khác không thể truy cập vào
được mạng LAN nếu như không đi qua cổng Internet được phân chia ra
từ mạng Internet.
• Router có nhiệm vụ kết nối tất cả máy tính trong cùng một mạng cục bộ
liên kết với Internet. Với một Router, chỉ cần cắm cáp từ modem chuyển
sang thì mới có thể kết nối Internet thông qua mạng ADSL hoặc kết nối
14
Internet. Đặc biệt Router có thể cấp phát địa chỉ IP cho các máy trong
mạng LAN.
1.7.2 Firewall
Firewall hay còn gọi là tường lửa, là một thuật ngữ trong chuyên ngành mạng
máy tính. Nó là một cơng cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào
hệ thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thông
tin nội bộ được an tồn, tránh bị kẻ gian đánh cắp thơng tin.
Chức năng của tường lửa:
Firewall hỗ trợ máy tính kiểm sốt luồng thông tin giữa intranet và internet,
Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài,
những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn
truy cập những dịch vụ bên ngoài của những người bên trong hệ thống, mình lấy ví dụ
như giới hạn trang Facebook, tất cả những người trong hệ thống sẽ không thể truy cập
vào được mạng xã hội này. Sau đây là một số nhiệm vụ chính của Firewall:
• Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập ra bên ngồi, đảm bảo
thơng tin chỉ có trong mạng nội bộ.
• Cho phép hoặc vơ hiệu hóa các dịch vụ bên ngồi truy cập vào trong.
• Phát hiện và ngăn chặn các cuộc tấn cơng từ bên ngồi.
• Hỗ trợ kiểm sốt địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho
phép).
• Kiểm sốt truy cập của người dùng.
• Quản lý và kiểm sốt luồng dữ liệu trên mạng.
• Xác thực quyền truy cập.
15
• Hỗ trợ kiểm sốt nội dung thơng tin và gói tin lưu chuyển trên hệ thống
mạng.
• Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay cịn
cổng), giao thức mạng.
• Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ
thống mạng.
• Firewall hoạt động như một Proxy trung gian.
• Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
• Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một
lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
• Tính năng lọc ứng dụng cho phép ngăn chặn
1.7.3 Switch layer 3
Switch Layer 3 được gọi là Switch với 24, 48… ports Ethernet, có gắn thêm
bảng định tuyến IP thông minh vào bên trong và hình thành các Broadcast Domain.
Nói cách khác, Switch Layer 3 chính là router tốc độ cao mà khơng có cổng kết nối
WAN. Mặc dù khơng có cổng kết nối WAN nhưng cần đến chức năng định tuyến như
Router để có thể liên thông với các mạng con hoặc VLANs trong mạng LAN Campus
hay các LAN nhỏ trong một mạng LAN lớn. Loại switch mạng công nghiệp này hoạt
động rất nhanh từ bên trong switch này đến switch khác.
1.8. Sự cấp thiết sử dụng bảo mật trong hệ thống mạng
Sự phát triển nhanh chóng của mạng internet và các cơng nghệ mạng đã mang
lại những lợi ích to lớn cho doanh nghiệp nhưng cũng mang lại những nguy cơ mất an
toàn thơng tin. Chính vì vậy hệ thống mạng của mỗi doanh nghiệp đều cần phải đi kèm
với các giao thức và thiết bị bảo mật thông tin.
16
Bảo mật hệ thống mạng là việc bảo vệ , đảm bảo an toàn cho các thành phần
mạng bao gồm dữ liệu thông tin doanh nghiệp, thiết bị , cơ sở hạ tầng mạng và đảm
bảo mội tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính
bảo mật thơng tin cho hệ thống mạng.
Với hệ thống mở ngày nay của các thiệt bị số, việc liên lạc và trao đổi thông
diễn ra một cách thường xun và liên tục. Vai trị của an tồn thơng tin trong doanh
nghiệp hết sức quan trọng, nó có khả năng quyết định đến nguy cơ sống còn trong mỗi
doanh nghiệp. Các nhà quản lý và giám đốc điều hành ngày nay đang chịu áp lực để có
thể vừa tạo ra được mơi trường mở có thể giao lưu thơng tin với đối tác và khách hàng
lại vừa có thể bảo vệ công ty khỏi những nguy cơ tiềm ẩn. Nhất là khi vấn đề an ninh
mạng đang trở thành mối lo ngại và nguy cơ tiềm tàng, tin tặc có thể truy nhập vào hệ
thống của các doanh nghiệp từ khắp mọi nơi trên thế giới. Các hoạt động tin tặc lien
tục tăng, mức độ nguy hiểm ngàymột gia tăng, tính chất nguy hiểm ngày càng cao, đa
dạng về kiểu tấn công, xu hướng tấn công vào các tổ chức tài chính, ngân hàng, cơ
quan chính phủ.
Do đó , các doanh nghiệp cần phải triển khai các giải pháp về bảo mật cho chính
bản thân hay sử dụng các dịch vụ an ninh mạng do các nhà cung cấp phát triển. Chủ
động triển khai các chiến lược và giải pháp để bảo về hệ thống an toàn trước những
nguy cơ tấn cơng mạng từ kẻ xấu. Từ đó có thể phịng tránh, giảm thiểu các nguy cơ bị
tấn cơng và hạn chế tối thiểu những thiệt hại có thể gặp phải.
17
Chương 2: Thiết kế mô phỏng mạng
doanh nghiệp
2.1 Thiết kế mơ hình mạng doanh nghiệp
Hình 2. 1 Mơ hình mạng doanh nghiệp
Hình 2. 2 Mơ hình nhà cung cấp mạng ISP
18
2.2 Cấu hình trên packet Tracer
2.2.1 Cấu hình khu vực Hà Nội
- Chia làm 2 miền vlan 10 và vlan 20: mục đích tăng độ bảo mật và tăng miền
broadcast domain
-Cấp DHCP tự động cho các PC. Riêng Director và Manager dùng ip tĩnh static
- Định tuyến OSPF và có xác thực
- Chỉ cho phép Director telnet vào router và thay đổi cấu hình
-Cho phép các PC sử dụng máy in
- Tạo Etherchannel để tạo kênh ảo tránh bị ngắt tồn bộ kết nối và để ghép kênh tăng
băng thơng
2.2.2 Router Hà Nội
Router(config)#hostname RT_HN1
RT_HN1(config)#username cisco password ccna@123
RT_HN1(config)#enable secret ccna@123
RT_HN1(config)#service password-encryption
//chia vlan
RT_HN1(config)#interface gi0/0
RT_HN1(config-if)#no shutdown
RT_HN1(config)#interface gi0/0.10
RT_HN1(config-subif)#encapsulation dot1Q 10
19
RT_HN1(config-subif)#ip address 192.168.1.254 255.255.255.0
RT_HN1(config)#interface gi0/0.20
RT_HN1(config-subif)#encapsulation dot1Q 20
RT_HN1(config-subif)#ip address 192.168.2.254 255.255.255.0
RT_HN1(config)#interface gi0/1
RT_HN1(config-if)# ip address 192.168.3.1 255.255.255.252
RT_HN1(config-if)#no shutdown
// Định tuyến OSPF
RT_HN1(config)#router ospf 1
RT_HN1(config-router)# network 192.168.1.0 0.0.0.255 area 0
RT_HN1(config-router)# network 192.168.2.0 0.0.0.255 area 0
RT_HN1(config-router)# network 192.168.3.0 0.0.0.3 area 0
// Tao xác thực OSPF
RT_HN1(config)#interface gi0/1
RT_HN1(config-if)#ip ospf message-digest-key 1 md5 doan3
RT_HN1(config-if)#ip ospf authentication message-digest
// Cấu hình DHCP
RT_HN1(config)#service dhcp
20
// cấp dải dải địa chỉ 192.168.1.21-192.168.1.200
RT_HN1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.20
RT_HN1(config)# ip dhcp excluded-address 192.168.1.201 192.168.1.254
// cấp dải địa chỉ 192.168.2.21-192.168.2.200
RT_HN1(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.20
RT_HN1(config)# ip dhcp excluded-address 192.168.2.201 192.168.2.254
//Mạng Vlan 10 va Vlan 20 cấp địa chỉ DHCP
RT_HN1(config)#ip dhcp pool LAN10
RT_HN1(dhcp-config)# network 192.168.1.0 255.255.255.0
RT_HN1(dhcp-config)#default-router 192.168.1.254
RT_HN1(dhcp-config)#dns-server 8.8.8.8
RT_HN1(config)#ip dhcp pool LAN20
RT_HN1(dhcp-config)# network 192.168.2.0 255.255.255.0
RT_HN1(dhcp-config)# default-router 192.168.2.254
RT_HN1(dhcp-config)#dns-server 8.8.8.8
// Cấu hình telnet ACL chỉ cho phép Director có ip: 192.168.1.1 truy nhập và remote
tới RT_HN
21
RT_HN1(config)#access-list 1 permit host 192.168.1.1
RT_HN1(config)#line vty 0 4
RT_HN1(config-line)#password ccna@123
RT_HN1(config-line)#login
RT_HN1(config-line)#transport input telnet
RT_HN1(config-line)#access-class 1 in
2.2.3 Switch Layer 3
// Tạo Vlan và tạo kết nối trong mạng Lan
Switch(config)#hostname SW_core_1
SW_core_1(config)#vlan 10
SW_core_1(config-vlan)#name Dir_Man
SW_core_1(config-vlan)#vlan 20
SW_core_1(config-vlan)#name Sa_Acc
SW_core_1(config)#interface fa0/1
SW_core_1(config-if)#switchport trunk encapsulation dot1q
SW_core_1(config-if)#switchport mode trunk
SW_core_1(config)#interface fa0/2
SW_core_1(config-if)# switchport mode access
SW_core_1(config-if)# switchport access vlan 10
SW_core_1(config)#interface fa0/3
SW_core_1(config-if)# switchport mode access
22
SW_core_1(config-if)# switchport access vlan 10
// Tạo Etherchanel
SW_core_1(config)#interface range fa0/4-5
SW_core_1(config-if-range)#switchport trunk encapsulation dot1q
SW_core_1(config-if-range)#switchport mode trunk
SW_core_1(config-if-range)#switchport trunk allowed vlan 10
SW_core_1(config-if-range)#speed 100
SW_core_1(config-if-range)#duplex full
SW_core_1(config-if-range)#channel-group 1 mode active
SW_core_1(config)#interface port-channel 1
SW_core_1(config-if)#switchport trunk encapsulation dot1q
SW_core_1(config-if)#switchport mode trunk
SW_core_1(config-if)#switchport trunk allowed vlan 10
SW_core_1(config)#interface range fa0/6-7
SW_core_1(config-if-range)#switchport trunk encapsulation dot1q
SW_core_1(config-if-range)#switchport mode trunk
SW_core_1(config-if-range)#switchport trunk allowed vlan 20
SW_core_1(config-if-range)#speed 100
SW_core_1(config-if-range)#duplex full
23
SW_core_1(config-if-range)#channel-group 2 mode active
SW_core_1(config)#interface port-channel 2
SW_core_1(config-if)#switchport trunk encapsulation dot1q
SW_core_1(config-if)#switchport mode trunk
SW_core_1(config-if)#switchport trunk allowed vlan 20
2.2.4 Switch Layer 2
Switch(config)#hostname SW_0
SW_0(config)#vlan 10
SW_0(config-vlan)#name Dir_Man
SW_0(config)#interface fastEthernet 0/2
SW_0(config-if)#switchport mode access
SW_0(config-if)# switchport access vlan 10
SW_0(config)#interface fastEthernet 0/3
SW_0(config-if)#switchport mode access
SW_0(config-if)# switchport access vlan 10
SW_0(config-if)#exit
SW_0(config)#interface range fa0/4-5
SW_0(config-if-range)#switchport mode trunk
SW_0(config-if-range)#switchport trunk allowed vlan 10
SW_0(config-if-range)#speed 100
SW_0(config-if-range)#duplex full
24
SW_0(config-if-range)#channel-group 1 mode passive
SW_0(config)#interface port-channel 1
SW_0(config-if)#switchport mode trunk
SW_0(config-if)#switchport trunk allowed vlan 10
// config switch thứ 2
Switch(config)#hostname L2_SW_2
L2_SW_2(config)#vlan 20
L2_SW_2(config-vlan)#name Sa_Acc
L2_SW_2(config)#interface range fa0/6-7
L2_SW_2(config-if-range)#switchport mode trunk
L2_SW_2(config-if-range)#switchport trunk allowed vlan 20
L2_SW_2(config-if-range)#speed 100
L2_SW_2(config-if-range)#duplex full
L2_SW_2(config-if-range)#channel-group 2 mode passive
L2_SW_2(config)#interface port-channel 2
L2_SW_2(config-if)#switchport mode trunk
L2_SW_2(config-if)#switchport trunk allowed vlan 20
L2_SW_2(config)#interface range fa0/2-3
L2_SW_2(config-if-range)#switchport mode access
L2_SW_2(config-if-range)#switchport access vlan 20
25