+ Server Farm: Nơi đặt các máy chủ quan trọng (máy chủ nghiệp vụ, máy chủ cơ sở dữ liệu…). Đây là vùng quan trọng nhất, chứa các tài nguyên quan trọng nhất của Trường.
+ Module DMZ: Vùng trung lập DMZ trong Module này được dùng để đặt các máy chủ được Public ra Internet, cho phép truy cập từ ngoài Internet để cung cấp các dịch vụ như thư điện tử (Email), truy cập Web.
+ Module Core: Vùng cốt lòi của hệ thống mạng. Vùng này đảm bảo kết nối cho toàn mạng, phục vụ nhu cầu kết nối từ các vùng đã trình bày ở trên.
Các Module này phải có các thiết bị an toàn bảo mật cần thiết như thiết bị tường lửa (Firewall) để điều khiển truy cập giữa các Module.
Mô hình kết nối hệ thống mạng giai đoạn 1
Mô hình kết nối tổng thể hệ thống mạng khi kết nối với cơ sở 2
Sơ đồ kết nối tổng thể hệ thống mạng khi kết nối với cơ sở 2
c) Giải pháp kết nối mạng LAN
Để đảm bảo tính linh hoạt và hiệu quả trong hoạt động của hệ thống mạng, hệ thống mạng LAN Trường ĐHSPKT Nam Định sẽ sử dụng kết hợp các công nghệ kết nối mạng LAN dưới đây:
- Công nghệ VLAN
Các tòa nhà sẽ được phân bổ và chia thành các VLAN khác nhau với mục đích là tăng hiệu xuất mạng (Giảm Broadcast)
Việc chia VLAN và đánh địa chỉ được thực hiện như sau: Nhà A2: 192.168.2.0/24
Nhà A1: 192.168.1.0/24 Nhà A3: 192.168.3.0/24 Nhà C : 192.168.4.0/24
…………………….
Vùng DMZ cũng có thể được chia thành 01 VLAN riêng: 192.168.11.0/24 Vùng Server Farm chia thành VLAN: 192.168.2.0/28
Vùng User sẽ là địa chỉ mạng con tại các tòa nhà tương ứng.
Để kết nối các VLAN này hay nói cách khác là để các máy trong các tòa nhà giao tiếp được với nhau thì Core Switch Layer 3 sẽ làm nhiệm vụ định tuyến kết nối giữa các VLAN.
- Công nghệ Routing giữa các VLAN
Công nghệ VLAN dùng để phân tách mạng LAN ở tầng 2 của mô hình 7 tầng OSI, do vậy các mạng LAN được phân chia đó sẽ chỉ làm việc với nhau tại lớp 3 qua các thiết bị có chức năng định tuyến (Router hoặc Core Switch Layer 3)
Routing giữa các VLAN
- Công nghệ VPN (Virtual Private Network)
+ Mạng riêng ảo (VPN) sẽ mở rộng phạm vi của các mạng LAN mà không cần bất kỳ đường dây riêng nào. Có thể dùng VPN để cấp quyền truy cập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lý thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ có trong trường.
+ Thiết kế mạng riêng ảo VPN dựa trên các đường truyền Internet ADSL hoặc kênh thuê bao riêng. Dựa vào các thiết bị mạng của trường để thiết kế và cấu hình VPN với mục đích cho giảng viên cũng như sinh viên ở bên ngoài mạng (bên ngoài mạng LAN) có thể truy cập, sử dụng tài nguyên của trường như đang ngồi trong mạng LAN.
d) Mô hình thiết kế hệ thống cáp mạng
Hệ thống cáp đóng vai trò là phương tiện truyền dẫn tín hiệu giữa các thiết bị mạng cũng như giữa thiết bị mạng và các thiết bị đầu cuối (máy tính, máy in,...). Do đó hệ thống cáp đóng vai trò rất quan trọng đối với khả năng thực thi của hệ thống mạng thông tin. Dựa trên mô hình theo kiểu hình sao phân lớp, toàn bộ hệ thống mạng sẽ có 2 lớp cáp kết nối được phân thành các cấp sau:
Mô hình thiết kế hệ thống cáp mạng
Để đảm bảo nhu cầu sử dụng, hệ thống cáp kết nối trung tâm được phân chia theo khoảng cách cũng như theo chủng loại kết nối:
- Tất cả các thiết bị chuyển mạch và Patch Pannel được đặt trên tủ mạng tại phòng máy chủ hoặc trung tâm dữ liệu.
- Hệ thống máy chủ được kết nối trực tiếp đến Core Switch
- Kết nối giữa các Switch nhánh đến Core Switch sử dụng UTP Cat 5e (hoặc Cat
6) tốc độ truyền nhận dữ liệu 1Gbps với khoảng cách < 100m
- Kết nối từ máy trạm đến các Switch nhánh sử dụng cáp AMP UTP Cat 6, khoảng cách tối đa 90m , tốc độ truyền nhận dữ liệu là 1 Gbps.
- Các đầu kết nối được tập trung tại một điểm và các đường cáp mạng được đi trong ống Gen để đảm bảo an toàn, thẩm mỹ.
- Khi thi công hệ thống cáp mạng trong tòa nhà, việc thi công sẽ được thực hiện theo phương án sau:
Mô hình thi công cáp UTP trong tòa nhà nhiều tầng
- Đối với hệ thống kết nối mạng máy tính cục bộ LAN cho hệ thống mạng các tòa nhà của Trường ĐHSPKT Nam Định, ngoài việc lựa chọn đúng các thiết bị mạng, việc lựa chọn các phụ kiện mạng cũng đóng vai trò quan trọng và quyết định đến khả năng hoạt động của toàn thể hệ thống:
+ Thiết bị chuyển mạch trung tâm (Core Switch lớp 3) dạng Rack, có cổng Gigabit cáp đồng (10/100/1000Base-Tx) và khe cắm chuẩn SFP (Small Form Factor).
+ Thiết bị chuyển mạch Switch nhánh tại các toà nhà là Switch dạng Rack, với cổng 10/100Base-TX và cổng kết nối Gigabit cáp đồng, với Switch này việc sử dụng cáp UTP Cat 6 kết nối giữa 2 Switch có thể đạt tốc độ 1Gbps trong phạm vi 100m.
+ Các máy chủ được kết nối trực tiếp tới thiết bị chuyển mạch Core Switch lớp 3.
+ Ổ cắm mạng Wallbox, Patch Panel:
Wallbox, Patch Panel phải đảm bảo tốc độ 100 Mbps và hỗ trợ lên 1 Gbps trong tương lai.
Các đầu dây mạng tại các phòng của người sử dụng được đấu vào các hộp Wallbox. Máy tính sẽ nối với các hộp Wallbox thông qua các đoạn dây Patch 2m và 3m
+ Tủ thiết bị: Các thiết bị mạng được đặt trong các tủ thiết bị chuyên dụng (Comrack) sử dụng các Patch Panel để gài các đầu dây. Từ Patch Panel đến các Switch sử dụng các đoạn dây Patch Cable 2 m hoặc 3m để đảm bảo sự ổn định, dễ bảo trì và tính thẩm mỹ của mạng. Các tủ thiết bị được đặt tại phòng máy chủ. Tủ mạng 27U cho các vùng mạng phân phối, tủ mạng 10U treo tường cho các tòa nhà (hoặc các tầng của các tòa nhà có nhiều nút mạng).
2) Thiết kế hệ thống an ninh, bảo mật
a) Nguyên tắc thiết kế
Để thiết kế được hệ thống an ninh, bảo mật cần xác định được mối đe dọa đối với các tài nguyên trong hệ thống thông tin của trường.
Phân tích các mối đe dọa có thể ảnh hưởng trực tiếp đến các tài nguyên được thể hiện trong bảng dưới đây:
Các tài nguyên | Phân tích mối đe dọa | |
1 | Hệ thống phần cứng | |
1.1 | Các máy chủ tại trường | Virus: Tấn công các ứng dụng trên máy chủ gây ngừng hoạt động của hệ thống. Các Virus này được viết dưới dạng Cookies, JavaScript và Applet. |
Phá máy chủ: Hacker truy nhập vào máy chủ, thay đổi nội dung, thay đổi dịch vụ trên máy chủ, ngừng máy chủ. | ||
1.2 | Các thiết bị mạng | Mạng bị chia nhỏ do các thiết bị mạng bị hỏng và bị tấn công. |
1.3 | Các thiết bị lưu trữ bên ngoài | Thiết bị lưu trữ bên ngoài bị hỏng do Virus hay Hacker. |
Thiết bị lưu trữ bên ngoài bị lấy trộm. | ||
1.4 | Máy Client trong các phòng chuyên môn của trường | Bị kẻ lạ tấn công, truy nhập bất hợp pháp hay chỉnh sửa thông tin trên máy chủ. |
2 | Hệ thống mạng | |
2.1 | Hệ thống mạng tại trường | Mạng hoạt động không bình thường do khối lượng dữ liệu lớn liên tục xuất hiện trên mạng. (do Hacker tấn công hay do các gói dữ liệu không rò địa chỉ chạy quẩn). |
2.2 | Dữ liệu truyền đi trên mạng | Dữ liệu truyền đi trên mạng bị giải mã/phá hoại hoặc thay đổi nội dung. |
3 | Hệ thống phần mềm ứng dụng | |
3.1 | Hệ thống phần mềm quản lý đào tạo | Hệ thống phần mềm ứng dụng bị phá hoại do Virus hay Hacker làm thay đổi chức năng hay vận hành sai. |
4 | Các dữ liệu người sử dụng | |
4.1 | Tên truy cập và mật khẩu của các người sử dụng | Dữ liệu về người sử dụng bị đánh cắp. |
5 | Các CSDL của chương trình | |
5.1 | Các dữ liệu hệ thống tại máy | Dữ liệu bị thay đổi. |
Có thể bạn quan tâm!
-
Thiết kế mạng - ThS. Trần Văn Long, ThS. Trần Đình Tùng Biên soạn - 24 -
Thiết kế mạng - ThS. Trần Văn Long, ThS. Trần Đình Tùng Biên soạn - 25 -
Thiết kế mạng - ThS. Trần Văn Long, ThS. Trần Đình Tùng Biên soạn - 26 -
Thiết kế mạng - ThS. Trần Văn Long, ThS. Trần Đình Tùng Biên soạn - 28
Xem toàn bộ 231 trang tài liệu này.
STT | Các tài nguyên | Phân tích mối đe dọa |
chủ | ||
6 | Người sử dụng | |
6.1 | Các cán bộ sử dụng vận hành hệ thống tại các phòng ban, khoa | Các cán bộ vận hành sai quy trình, sai chức năng gây mất mát dữ liệu. |
Người sử dụng làm hỏng các ứng dụng do nhầm lẫn. | ||
Người sử dụng thực hiện nhiều công việc khác nhau trên hệ thống làm giảm tốc độ của hệ thống. | ||
Người sử dụng vẫn chạy chương trình nhưng lại không ngồi cạnh bên máy. Tạo cơ hội cho người lạ sử dụng bất hợp pháp chương trình. | ||
Bảng nguyên tắc thiết kế
b) Thiết kế hệ thống an ninh, bảo mật
Giải pháp bảo mật và an toàn dữ liệu áp dụng cho Trường ĐHSPKT Nam Định được xây dựng trên cơ sở kết hợp các giải pháp sau:
Giải pháp chống truy nhập bất hợp pháp. Giải pháp bảo vệ hệ thống phần cứng.
Giải pháp bảo mật hệ điều hành.
Giải pháp bảo mật phần mềm ứng dụng. Giải pháp bảo mật Cơ sở dữ liệu.
Giải pháp phòng chống Virus.
Giải pháp kiểm soát nội dung thông tin trên mạng.
- Giải pháp chống truy nhập bất hợp pháp
Giải pháp chống truy nhập bất hợp pháp được xây dựng trên cơ sở sau:
+ Định danh, xác thực người sử dụng của hệ thống.
+ Sử dụng hệ thống Firewall.
+ Bảo vệ bằng màn hình Screen Saver của Windows tại máy trạm làm việc.
- Định danh người sử dụng
Mỗi người sử dụng của hệ thống (cán bộ tại các phòng ban chuyên môn) đều được cấp tên và mật khẩu truy nhập vào hệ thống. Mỗi khi truy nhập vào hệ thống người sử dụng sẽ phải khai báo tên và mật khẩu.
Hệ thống bảo mật sẽ an toàn nếu như mỗi người sử dụng sẽ có tên và mật khẩu khác nhau cho từng mức:
+ Mức hệ thống: Mỗi khi người sử dụng truy nhập vào mạng thông qua kết nối từ xa sẽ phải gò tên và mật khẩu.
+ Mức hệ điều hành: Mỗi khi người sử dụng truy nhập vào máy chủ để chạy các ứng dụng cũng phải gò tên và mật khẩu.
+ Mức cơ sở dữ liệu: Mỗi khi người sử dụng truy nhập vào CSDL đều phải gò tên và mật khẩu.
+ Mức chương trình ứng dụng: Mỗi khi người sử dụng truy nhập vào ứng dụng để khai thác ứng dụng sẽ phải gò tên và mật khẩu.
- Hệ thống Firewall
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống.
Phần bên trong mạng nội bộ (LAN) được chia làm 2 khu vực: khu vực vành đai và khu vực bảo mật. Khu vực vành đai hay còn gọi là DMZ có bảo mật tương đối nhằm cho phép bên ngoài có thể truy cập vào. Khu vực này thường đặt Web Server,… Khu vực bảo mật nằm bên trong hệ thống mạng mà không cho phép bên ngoài truy cập vào khi chưa được phép của người quản trị mạng, khu vực này chứa máy chủ nội bộ và máy PC của người dùng trong hệ thống.
Về mặt chức năng hệ thống, Firewall là một thành phần được đặt giữa hai mạng để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau, bao gồm:
+ Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại phải thực hiện thông qua Firewall.
+ Chỉ những trao đổi được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall.
Về mặt vật lý, Firewall gồm một hoặc nhiều hệ thống máy chủ/Firewall chuyên dùng được kết nối với các bộ chọn đường hoặc có chức năng chọn đường. Firewall đảm bảo các gói được phép vào mạng LAN phải đáp ứng những nguyên tắc nhất định (chính sách bảo mật) mà nhân viên quản trị mạng thiết lập. Để sử dụng Firewall một cách hiệu quả, cần phải xây dựng một chính sách bảo mật tốt và chặt chẽ. Với Firewall, có thể kiểm tra được ai đang truy cập vào mạng và sử dụng dịch vụ nào. Firewall hoạt động theo 2 cách:
+ Từ chối hoặc chấp nhận các gói tin dựa trên danh sách các địa chỉ nguồn được và không được chấp nhận.
+ Cho phép hoặc từ chối các gói tin dựa trên danh sách các địa chỉ cổng đích được và không được chấp nhận.
- Bảo mật phần mềm ứng dụng
Giải pháp này ngăn chặn việc thay đổi phần mềm ứng dụng do các nguyên nhân như sửa đổi File một cách bất hợp pháp hay do Virus. Giải pháp này bao gồm:
+ Phân quyền truy nhập vào thư mực chứa chương trình thực hiện của ứng dụng.
+ Chạy tự động ứng dụng.