Tải bản đầy đủ
KHẢO SÁT VÀ ÁP DỤNG CẤU HÌNH CÔNG NGHỆ TƯỜNG LỬA STATIC PACKET FILTERING TRONG HỆ THỐNG MẠNG CÔNG TY CỔ PHẦN NEWMAT

KHẢO SÁT VÀ ÁP DỤNG CẤU HÌNH CÔNG NGHỆ TƯỜNG LỬA STATIC PACKET FILTERING TRONG HỆ THỐNG MẠNG CÔNG TY CỔ PHẦN NEWMAT

Tải bản đầy đủ

lập vào năm 2001 do Sở Kế hoạch và đầu tư thành phố Hà Nội cấp giấy chứng
nhận đăng ký kinh doanh số 0103757289 ngày 24/02/2001. Công ty được thành
lập và hoạt động theo luật Doanh nghiệp năm 2000. Công ty có tư cách pháp
nhân, có con dấu riêng để giao dịch theo quy định.
Trong những năm đầu thành lập NEWMAT chủ yếu hoạt động trong lĩnh
vực nhập khẩu và bán buôn các sản phẩm thiết bị vệ sinh phòng tắm, nhà bếp,
bình nước nóng, bồn tắm, chậu inox...
Sau 3 năm hoạt động với những nỗ lực không ngừng cộng với chiến lược
phát triển đúng đắn có chiều sâu thì đến năm 2004 Công ty đã xây dựng thành
công thương hiệu tấm lợp OLYMPIC chất lượng cao với nguyên liệu nhập trực
tiếp từ Đài Loan. Không dừng lại ở đó NEWMAT tiếp tục xây dựng thành công
thương hiệu xà gỗ OLYMPIC và trở thành nhà phân phối độc quyền bình nước
nóng ARISTON của Ý trên thị trường Việt Nam.
Không tự thỏa mãn với những thành công ban đầu đến năm 2007 Công ty
đã chính thức xây dựng nhà máy sản suất trên diện tích 15 ha tại Khu Công
nghiệp Phố Nối A - Văn Lâm - Hưng Yên. Triển khai sản xuất bình nước nóng
thương hiệu OLYMPIC. Với 1 phân xưởng sản xuất là phân xưởng sản xuất tấm
lợp OLYMPIC được hoạt động dưới hệ thống quản lý chất lượng ISO 9001: 2000
đã xây dựng được thương hiệu OLYMPIC uy tín, chất lượng trong lòng người tiêu
dùng xứng đáng với danh hiệu “58 Thương hiệu tinh hoa Việt Nam 2008” và
đạt được một số giải thưởng cao quý như “Cúp vàng sản phẩm dịch vụ xuất
sắc”, “Cúp sản phẩm dịch vụ ưu tú hội nhập WTO”…
3.1.2 Chức năng và nhiệm vụ kinh doanh
3.1.2.1 Chức năng:
-

Công ty thực hiện các chức năng sản xuất, kinh doanh, xuất - nhập xà gỗ,
thép đen, thép cuộn, chậu rửa INOX, bình nước nóng… theo đơn đặt hàng
và theo hợp đồng nhằm phục vụ tốt các nhu cầu của xã hội. Các sản phẩm
có thể do Công ty tự thiết kế hay theo thiết kế của bên đặt hàng.

56

-

Công ty chuyên cung cấp các sản phẩm vật liệu xây dựng, sản phẩm thiết bị
nhà bếp, vệ sinh cho các dự án khách sạn, khu nghỉ dưỡng, Resort, dự án
các khu công nghiệp, nhà máy, nhà kho,chợ, các dự án khu chung cư, biệt

-

thự, nhà riêng…
Thực hiện hạch toán kinh doanh có hiệu quả tài khoản có con dấu riêng để
thực hiện giao dịch theo đúng pháp luật.

3.1.2.2 Nhiệm vụ :
-

Kinh doanh theo đúng ngành nghề đã đăng ký.
Chăm lo đời sống tinh thần vật chất và bồi dưỡng, nâng cao trình độ văn

-

hoá, trình độ khoa học kỹ thuật chuyên môn cho cán bộ, công nhân viên chức.
Bảo vệ doanh nghiệp, bảo vệ môi trường, giữ gìn an ninh chính trị và trật

-

tự an toàn xã hội, làm tròn nghĩa vụ quốc phòng.
Phải thực hiện nộp thuế và các nghĩa vụ khác, cần thiết, trực tiếp cho Nhà

-

nước tại địa phương theo đúng quy định của pháp luật.
Tổ chức kinh doanh, hợp tác, liên doanh, liên kết đầu tư với các đơn vị kinh
tế, với các đối tác trong nước theo đúng pháp luật.

Bộ máy quản lý của công ty được tổ chức theo sơ đồ sau :

57

Hình 3. Sơ đồ tổ chức bộ máy quản lý của công ty CP NEWMAT.
3.2. Khảo sát hiện trạng hệ thống mạng
3.2.1 Thực trạng kết nối mạng trong đơn vị
Đường truyền của hệ thống :
-

Đường truyền internet : Hệ thống hiện tại có 2 đường truyền Internet :
+ Đường Lead-line : băng thông 192 Kbps
+ Đường ADSL : tốc độ 2Mbps

-

Đường truyền nội bộ (mạng LAN) : Hệ thống mạng LAN nối các tầng
trong tòa nhà của Công ty với nhau, các loại cáp sử dụng gồm :
+ Cáp UTP 25 pair
+ Cáp STP 4 pair
+ Cáp UTP 4 pair

Các dịch vụ cung cấp :
Hiện tại hệ thống mạng mới chỉ cung cấp dich vụ mail, web cho toàn bộ hệ
thống mạng nội bộ của Công ty

58

Các thiết bị chính :
-

Router Cisco 2620XM
Modem ADSL
Switch Catalyst 2950
Switch planet FNSW – 1601
Compaq ML530 : Server cung cấp dịch vụ Mail
Compaq ML : Server cung cấp dịch vụ Web
Modem lead line.

Các phòng ban :
Tất cả các phòng ban đều kết nối tới Internet, không có các chính sách bảo
mật riêng rẽ cho từng phòng ban.
Qua quá trình khảo sát hệ thống mạng máy tính hiện tại của Công ty, có
thể mô tả hệ thống máy tính của Công ty khi chưa có thiết bị an ninh như sau :

Hình 3. Sơ đồ hệ thống mạng Công ty Cổ phần NEWMAT
3.2.2. Đánh giá hệ thống

59

3.2.1.1. Hiệu năng của hệ thống
Hệ thống mạng hiện nay Công ty đang sử dụng chủ yếu là các Fast hub,
chúng không có khả năng phân chia các miền đụng độ - một máy gửi tin sẽ bị
chuyển tiếp tới toàn bộ các máy trong mạng. Do vậy lưu lượng chủ yếu ở trong hệ
thống mạng sẽ là lưu lượng vô ích, điều này làm giảm hiệu năng đáng kể của hệ
thống mạng – cho dù mạng vẫn hoạt động bình thường. Trong tương lai, nếu hệ
thống mạng mở rộng hơn nữa thì nguy cơ hệ thống mạng bị tê liệt là điều rất có
thể xảy ra.
3.2.1.2. Nguy cơ mất an toàn của hệ thống
Nguy cơ bị mất mát dữ liệu
Hiện nay, đối với hệ thống mạng hiện tại thì nguy cơ mất mát dữ liệu là rất
lớn, nguy cơ này có thể đến từ hai hướng là bên ngoài Internet và ngay trong nội
bộ hệ thống mạng của Công ty :
-

Nguy cơ mất mát thông tin từ bên ngoài Internet : Mạng của Công ty đã
kết nối đến Internet nhưng không có một thiết bị và chương trình bảo
mật nào bảo vệ hệ thống mạng khỏi nguy cơ bị xâm nhập từ bên ngoài
vào. Những hacker có thể sử dụng virus dưới dạng trojan để truy cập

-

vào hệ thống để ăn cắp hoặc phá hoại thông tin.
Nguy cơ mất mát thông tin từ bên trong hệ thống : Với các Switch hiện
tại thì những người trong hệ thống mạng có thể dễ dàng dùng các
chương trình nghe lén (Sniffer) để lấy cắp các thông tin được truyền đi
trong mạng và do đó nguy cơ mất mát thông tin từ trong hệ thống
mạng là nguy cơ ngày càng cao trong các hệ thống mạng hiện nay.

Bị tấn công :
Các hệ thống mạng có kết nối Internet thường hay bị tấn công bởi các tin
tặc với các phương thức tấn công thường gặp như : SYN Defender, FloodAttack
(tấn công tràn ngập), Ping of Death, IP Snoofing (giả mạo IP)...

60

Hậu quả tất yếu của các vụ tấn công như trên là server sẽ bị tê liệt, không
còn khả năng xử lý các yêu cầu khác nữa.
Nguy cơ tấn công cũng có thẻ xảy ra từ bên trong mạng, nếu một máy tính
trong mạng bị nhiễm virus thì có khả nằng tấn công mạng hoặc chạy các chương
trình tấn công mạng làm cho hệ thống mạng bị tê liệt...
3.3. Đề xuất hệ thống mạng mới
3.3.1 Các giải pháp tổng thể cho từng phòng ban
Hệ thống mạng của Công ty gồm nhiều phòng ban, mỗi phòng ban thực
hiện các chức năng khác nhau. Do yêu cầu bảo mật cũng như các yêu cầu về kết
nối trao đổi giữa các phòng ban với nhau và với Internet nên em đề xuất các
chính sách bảo mật dựa trên công nghệ tường lửa Static Packet Filtering như sau
:
-

Phòng Giám đốc có chức năng bao quát toàn bộ nên thiết lập chính sách
cho phép truy cập tới các phòng ban khác và có thể truy cập đến Mail

-

server, Web server, Internet.
Phòng Kế toán – XNK có nhiệm vụ thống kê số liệu từ các phòng ban khác
gửi về do đó thiết lập chính sách cho phép truy cập tới các phòng ban khác

-

nhưng không được phép truy cập Phòng Hành chính nhân sự
Phòng Hành chính nhân sự thu thập các thông tin về nhân sự của các
phòng Phân xưởng sản xuất, phòng Kinh doanh tấm lợp, phòng Kinh doanh
thiết bị vệ sinh và nhận chỉ thị từ phòng Giám đốc. Thiết lập chính sách cho
phép truy cập với các phòng Phân xưởng, Kinh doanh , các máy chủ Web,

-

Mail.
Phòng Phân xưởng sản xuất nhận chỉ thị từ các phòng Kinh doanh,
Nhân sự , Kế toán và phòng Giám đốc. Thiết lập chính sách cho phép truy

-

cập các phòng ban khác, cấm truy cập các máy chủ Web, Mail, Internet.
Các phòng Kinh doanh tấm lợp và Kinh doanh thiết bị vệ sinh nhận
chỉ thị từ phòng Giám đốc và trao đổi thông tin với các phòng Kế toán,
Phân xưởng sản xuất. Thiết lập chính sách cho phép trao đổi thông tin với

61

các phòng ban khác, cấm truy cập Mail server, cho phép truy cập Web
server và Internet.
3.3.2 Dự trù thiết bị tổng thể
-

Router Cisco 2620XM : Hỗ trợ cấu hình các chính sách bảo mật
Modem ADSL : Kết nối Internet
Switch Catalyst 2950 : Hỗ trợ cấu hình chia các VLAN
Compaq ML530 : Server cung cấp dịch vụ Mail
Compaq ML : Server cung cấp dịch vụ Web
Modem lead line.
3.3.3 Sơ đồ thiết kế

Mô hình hệ thống mạng được thiết kế mô phỏng như sau:

Hình 3. Sơ đồ thiết kế hệ thống mạng an toàn để sử dụng hệ thống tường
lửa

62

-

Sử dụng bảo vệ hệ thống máy tính trong mạng của Công ty bằng bức
tường lửa theo cách cấu hình thiết bị định tuyến ACLs nhằm chia hệ
thống mạng thành các vùng có mức độ ưu tiên khác nhau :
+ Outside : Đây là vùng Internet có mức độ ưu tiên bảo mật thấp

nhất.
+ DMZ : Đây là vùng đặt các máy chủ có khả năng truy cập ra vùng
Outside.
+ Inside : Đây là cùng mạng nội bộ của Công ty có mức độ ưu tiên
bảo vệ cao nhất, các máy trong vùng Inside có khả năng truy cập ra
Outside và DMZ.
-

Sử dụng Switch Cisco để chia mạng thành các mạng LAN ảo – VLAN:
Các tầng được quản lý và thiết kế thành các LAN ảo. Mục đích là hạn
chế sự broadcast thông tin lên toàn bộ mạng làm tắc nghẽn đường
truyền, mặt khác giúp dễ dàng quản lý, áp dụng các chính sách bảo mật
khác nhau đối với từng phòng ban cụ thể cũng như nhanh chóng khắc
phục khi có các sự cố xảy ra.
3.3.4 Thiết lập dải địa chỉ IP cho hệ thống mạng
Sau khi chia VLAN có sơ đồ địa chỉ như sau :

Thông tin về VLAN :
VLAN ID

Tên VLAN

Ghi chú

1

VLAN 1

Vlan Quản lý

10

VLAN 10

Tầng 1

20

VLAN 20

Tầng 2

30

VLAN 30

Tầng 3

40

VLAN 40

Tầng 4

50

VLAN 50

Tầng 5

63

Thông tin về địa chỉ IP :
STT
1
2

Dịch vụ
Email
Web

Vùng
DMZ
DMZ

Inside Local IP
11.16.106.100
11.16.105.200

Outside Local IP
203.162.247.141
203.162.247.140

Vùng Outside :
Interface
Serial 0/0/0

Địa chỉ IP
192.31.7.6

Subnet mark
255.255.255.25
2

Chú thích
Router

Vùng Inside :
VLAN ID
1

Tên VLAN
VLAN 1

10

VLAN 10

20

VLAN 20

30

VLAN 30

40

VLAN 40

50

VLAN 50

Dải IP
192.168.1.1 –
192.168.1.254
192.168.10.1 –
192.168.10.254
192.168.20.1 –
192.168.20.254
192.168.30.1 –
192.168.30.254
192.168.40.1 –
192.168.40.254
192.168.50.1 –
192.168.50.254

Gateway
192.168.1.1
192.168.10.1
192.168.20.1
192.168.30.1
192.168.40.1
192.168.50.1

3.4. Giới thiệu phần mềm mô phỏng Cisco Packet Tracer 5.3.1
Packet Tracer 5.3.1 là một phần mềm của Cisco giúp chúng ta thiết kế một
hệ thống mạng ảo với mọi tình huống giống như thật. Packet Tracer được dùng
rất nhiều trong hầu hết các chương trình giảng dạy và huấn luyện tại các trường
hay các trung tâm. Các hãng xưởng cũng dùng Packet Tracer để vẽ và thiết kế hệ
thống mạng của mình. Với Packet Tracer ta có thể tự tạo một mạng ảo với đầy đủ

64

các thiết bị, truyền thông (traffic) và máy chủ, có thể cấu hình các routers,
switches, wireless access points, servers và các thiết bị đầu cuối (end devices)….

Hình 3. Giao diện chương trình mô phỏng Cisco Packet Tracer

65

3.5. Cấu hình mô phỏng hệ thống với tường lửa Static Packet Filtering

Hình 3. Mô phỏng cấu hình tường lửa lọc gói tin tĩnh trên hệ thống mạng
3.5.1.Cấu hình Router định tuyến với các thiết bị mạng
Router(config)#enable secret baomat
Router(config)#line console 0
Router(config-line)#password newmat
Router(config-line)#line vty 0 4
Router(config-line)#password newmattelnet
Router(config-line)#login
Router(config)#interface Serial0/0/0
Router(config-if)#clock rate 64000
Router(config-if)#no shutdown
Router(config-if)#exit

66