MỤC LỤC MỤC LỤC .2 DANH MỤC TỪ VIẾT TẮT Chương I: Tổng quan an ninh mạng máy tính 1.1 Khái niệm An Ninh Mạng 1.2 Tầm quan trọng An Ninh Mạng .8 1.3 Những mối đe dọa đến vấn đề An Ninh Mạng 10 1.3.1 Unstructured threats – Các mỗi đe dọa không có cấu trúc 11 1.3.2 Structured threats – Các mối đe dọa có cấu trúc 11 1.3.3 External threats – Các mối đe dọa bên ngoài 11 1.3.4 Internal threats – Các mối đe dọa bên 12 1.4 Những điểm yếu vấn đề bảo mật .12 1.4.1 Những điểm yếu kỹ thuật 12 1.4.1.1 Những điểm yếu giao thức TCP/IP .12 1.4.1.2 Những điểm yếu Hệ điều hành 13 1.4.1.3 Những điểm yếu thiết bị mạng 13 1.4.2 Những điểm yếu cấu hình 13 1.4.2.1 Tài khoản người dùng không được bảo mật 13 1.4.2.2 Tài khoản hệ thớng có mật khẩu dễ đốn .13 1.4.2.3 Các dịch vụ Internet bị cấu hình sai .13 1.4.2.4 Những cài đặt mặc định sản phẩm không được bảo mật 14 1.4.2.5 Cấu hình sai thiết bị mạng 14 1.4.3 Những điểm yếu sách bảo mật 14 1.5 Các cách thức tấn công mạng .15 1.5.1 Tấn công thăm dò 15 1.5.1.1 Packet sniffers .15 1.5.1.2 Port scans và ping sweeps 16 1.5.1.3 Internet information queries 17 1.5.2 Tấn công truy cập 17 1.5.2.1 Password attack 18 1.5.2.2 Trust exploitation 18 1.5.2.3 Port redirection .19 1.5.2.4 Man in the middle attack 19 1.5.3 Tấn công từ chối dịch vụ .20 1.5.4 Worms, Virus và Trojan Horses 22 Chương II: Giới thiệu số công nghệ và thiết bị bảo mật 24 2.1 Giới thiệu chung Firewall 24 2.1.1 Khái niệm và phân loại Firewall 24 2.1.2 Phương thức hoạt động Firewall 26 2.1.3 Tổng quan Cisco PIX Firewall .28 2.1.3.1 Đặc tính và chức PIX firewall .28 2.1.3.2 Các dòng PIX firewall Cisco 29 a) PIX Firewall 501 .29 b) PIX Firewall 506E .31 c) PIX Firewall 515E .32 d) PIX Firewall 525 .33 e) PIX Firewall 535 .34 2.1.3.3 Nguyên tắc hoạt động PIX Firewall .35 2.1.4 Tổng quan Cisco ASA - Adaptive Security Appliance 37 2.1.4.1 Đặc điểm Cisco ASA .37 2.1.4.2 Các dòng Cisco ASA phổ biến .37 a) Cisco ASA 5505 38 b) Cisco ASA 5510 39 c) Cisco ASA 5520 40 d) Cisco ASA 5540 40 e) Cisco ASA 5550 41 f) Cisco ASA 5580-20 41 g) Cisco ASA 5580-40 42 2.2 Tổng quan VPN – Virtual Private Network 43 2.2.1 Khái niệm và chức VPN .43 2.2.2 Các dạng kết nối mạng riêng ảo VPN 44 2.2.2.1 Truy cập VPN từ xa (Remote Access VPN) 44 2.2.2.2 Kết nối Site-to-Site VPN (LAN-to-LAN) 47 2.2.3 Các giao thức VPN .50 2.2.3.1 Giao thức chuyển tiếp lớp (L2F - Layer Forwarding Protocol) .50 2.2.3.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 52 2.2.3.3 Giao thức định đường hầm lớp (L2TP- Layer Tunneling Protocol) 53 2.2.3.4 Bộ giao thức IPSec (IP Security Protocol) 55 a) Cấu trúc bảo mật IPSec .56 b) Các thành phần bên IPSec .56 c) Các vấn đề tồn IPSec 62 Chương III: Thiết kế hệ thống mạng và số giải pháp bảo mật cho Tập Đoàn An Khánh 63 3.1 Giới thiệu tổng thể 63 3.2 Hiện trạng hệ thống mạng Tập Đoàn An Khánh 63 3.3 Những yêu cầu đối với hệ thống mạng .65 3.4 Mô hình mạng và hệ thống bảo mật đề xuất .65 3.4.1 Mô hình mạng chi nhánh 65 3.4.2 Mô hình bảo mật dự kiến Tập Đoàn .66 3.5 Mô mô hình thiết kế 68 3.5.1 Các phần mềm sử dụng mô .68 3.5.1.1 GNS3- Graphical Network Simulate 68 3.5.1.2 VMware Workstation 69 3.5.1.3 Virtual PC Simulator 69 3.5.1.4 Cisco Adaptive Security Device Manager 70 3.5.2 Triển khai mô 70 3.5.3 Kết quả 90 KẾT LUẬN 97 TÀI LIỆU THAM KHẢO .99 DANH MỤC TỪ VIẾT TẮT 3DES Triple Data Encryption Standard Chuẩn mã hóa dữ liệu ACL Access Control List Danh sách điều khiển truy cập CHAP Challenge-Handshake Giao thức xác thực thử thách - bắt DDoS Authentication Protocol Distributed Denial of Service tay Từ chối dịch vụ được phân tán DES Data Encryption Standard Chuẩn mã hóa dữ liệu DNS Domain Name System Hệ thống tên miền DoS Denial of Service Từ chối dịch vụ ESP Encapsulation Security Payload Đóng gói tải tin an toàn FTP File Transfer Protocol Giao thức truyền File DHCP Dynamic Host Configuration Giao thức cấu hình host động HTTP Protocol Hypertext Transfer Protocol Giao thức truyền siêu văn bản ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển IDS Intrusion Detection System mạng Hệ thống phát xâm nhập IKE Internet Key Exchange Trao đổi khóa IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập IPSec Internet Protocol Security Bảo mật giao thức mạng L2F Layer Forwarding Protocol Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức đường hầm lớp MD5 Message-Digest Algorithm Giải thuật Tiêu hóa tin 5 NAT Network address translation Dịch địa mạng NIC Network Interface Card Cạc giao tiếp mạng PAP Password Authentication Protocol Giao thức xác thực mật khẩu PAT Port Address Translation Dịch địa cổng PKI Public Key Infrastructure Hệ thống mã hóa sở mã PPP Point-to-Point Protocol công khai Giao thức điểm – điểm PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm điểm – điểm SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản Giao thức quản lý mạng đơn giản SNMP Simple Network Management SSH Protocol Secure Shell Trình bao bảo mật VLAN Virtual Local Area Network Mạng LAN ảo VPN Mạng riêng ảo Virtual Private Network Lời mở đầu Như chúng ta biết, ngày Công nghệ thông tin là ngành không thể thiếu phát triển xã hội đại Chỉ với chiếc máy tính được nới mạng Internet toàn cầu, người có thể liên lạc, trao đổi thông tin với: gia đình, bạn bè, đối tác làm ăn…ở khắp nơi thế giới Chúng ta khơng thể phủ nhận vai trị hết sức quan trọng Internet đối với sống người Nhưng Internet phát triển kéo theo những mối lo loại hình tội phạm công nghệ cao hoành hành và có xu thế phát triển mạnh mẽ Những kẻ này lợi dụng Internet để tấn công vào hệ thống mạng tổ chức với những mục đích khác gây nhiều tổn thất cho họ Vì vậy chúng ta cần phải xây dựng hệ thống an ninh mạnh mẽ và có sách bảo mật phù hợp để ngăn chặn những rủi ro có thể xảy Sau thời gian thực tập Tập đoàn An Khánh, được tiếp xúc với hệ thống mạng Tập đoàn và nhận thấy khả bảo mật thô sơ hệ thống mạng nơi Chính vì vậy em quyết định lựa chọn đề tài: “Thiết kế hệ thống mạng số giải pháp bảo mật cho Tập đoàn An Khánh” Đồ án gồm chương cụ thể sau: • Chương I: Tổng quan an ninh mạng máy tính • Chương II: Giới thiệu số công nghệ và thiết bị bảo mật • Chương III: Thiết kế hệ thống mạng và số giải pháp bảo mật cho Tập đoàn An Khánh Do hạn chế số mặt nên Đồ án không tránh khỏi những thiếu sót Vì vậy em rất mong được Thầy, Cô và bạn đóng góp ý kiến để Đồ án có thể được hoàn thiện và mở rộng nữa CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1.1 Khái niệm An Ninh Mạng Có những lúc, ví dụ nhân viên rời văn phòng nhà, kết thúc ngày làm việc, người nhân viên đó bật hệ thống cảnh báo an ninh và đóng cửa để bảo vệ văn phòng và thiết bị, tài liệu mật quan trọng mình có đó Mạng máy tính đỏi hỏi cùng mức độ bảo vệ vậy Các công nghệ An ninh Mạng bảo vệ mạng chúng ta trước việc đánh cắp và sử dụng sai mục đích thơng tin kinh doanh bí mật và chớng lại tấn cơng mã độc từ virus và sâu máy tính mạng Internet Nếu không có An ninh Mạng được triển khai, công ty gặp rủi ro trước xâm nhập trái phép, ngừng trệ hoạt động mạng, gián đoạn dịch vụ, không tuân thủ quy định và thậm chí là hành động phạm pháp nữa 1.2 Tầm quan trọng An Ninh Mạng Internet ngày trở thành mạng dữ liệu công cộng làm cho việc liên lạc cá nhân, công việc trở nên thuận tiện rất nhiều Khối lượng trao đổi qua Internet được tăng theo số mũ mỗi ngày Ngày càng nhiều công ty, chi nhánh ngân hàng thông qua mạng Internet để liên lạc với Rõ ràng mạng Internet làm thay đổi sống người, làm thay đổi công việc kinh doanh làm cho nó trở nên dễ dàng Nhưng đồng thời với lợi ích to lớn nó, mạng Internet cùng với công nghệ liên quan mở cánh cửa làm tăng số lượng vụ tấn công vào những công ty, quan và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm bí mật Q́c gia, sớ liệu tài chính, sớ liệu cá nhân Hậu quả tấn công này có thể là phiền phức nhỏ, có thể làm suy yếu hoàn toàn, dữ liệu quan trọng bị xóa, riêng tư bị xâm phạm, và sau vài ngày, thậm chí vài giờ sau, toàn hệ thống có thể bị tê liệt hoàn toàn Quả thực có thể nói rằng, không đâu lại mất an toàn Internet Theo những thống kê tổ chức an ninh mạng uy tín thì năm 2008 nhất lần, tất cả người sử dụng Internet thế giới bị đặt tình huống nguy hiểm và người sử dụng Việt Nam nằm số đó Điển hình là cố lỗ hổng DNS Cache Poisoning Khi lỗi này chưa được vá, kẻ xấu có thể chuyển hướng truy nhập vào nơi nào chúng muốn và lừa đảo bất kỳ Tình hình nguy hiểm tới mức, tất cả nhà sản xuất phần cứng hay phần mềm danh tiếng thế giới Sun, Cisco, Microsoft, Apple phải tham gia phối hợp khắc phục Hai lần khác là việc xuất những lỗ hổng liên quan đến hệ điều hành Windows Trong cả hai cố, Microsoft phải đưa bản vá khẩn cấp, không theo định kỳ thông lệ Bản báo cáo hồi tháng 1/2009 Trung tâm Nghiên cứu chiến lược và quốc tế (CSIS) nói những tên tình báo công nghiệp, gián điệp nước ngoài, tội phạm internet, và loại khác "đã xâm nhập vào mạng máy tính được bảo vệ cách lỏng lẻo nước Mỹ và lấy nhiều thông tin quý giá" Những "thông tin" CSIS nêu bao gồm công nghệ quân quan trọng, những tài sản trí tuệ quý giá, những bản thiết kế, kế hoạch, quy trình kinh doanh mà người ta phải mất hàng tỉ USD để tạo Năm 2010, kiện “quả bom tấn” WikiLeaks (trang Wikileaks.com) nhà báo người Úc Julian Assange đứng đầu liên tục “phát nổ” làm điên đảo giới tài chính, trị tung những thơng tin mật, thậm chí tới mật tổ chức, đủ để chấn động toàn cầu Theo nhận định nhiều chuyên gia và ngoài nước hội thảo Security World 2011 vừa tổ chức Hà Nội, những nguyên nhân chủ yếu dẫn tới tình trạng WikiLeaks có thể thâu tóm được tay hàng loạt nguồn tài liệu “tới mật” là tài liệu bị rị rỉ nội nhân viên tổ chức Cụ thể, những nguồn thông tin ngành ngoại giao Mỹ, số ngân hàng, công ty bảo hiểm Thụy Sỹ bị “tuồn” ngoài được ngành an ninh q́c gia này xác định là những người được nắm quyền truy cập thông tin nhạy cảm người điều hành, quản lý thông tin, dữ liệu quan trọng liên quan đến tài chính, nhân sự… tiết lộ Tại Việt Nam ba tháng đầu năm 2010 có 300 website bị hacker tấn công Trước đó, năm 2009 có tới 1.000 website bị hacker tấn công, tăng gấp đôi so với năm 2008 (461 website) và gấp so với năm 2007 (342 website), gây thiệt hại hàng ngàn tỷ đồng cho doanh nghiệp và cá nhân Nguyên nhân dẫn đến thực trạng là cá nhân, doanh nghiệp sử dụng hệ điều hành, phần mềm khơng có bản quyền cịn nhiều Bởi vậy, x́t nhiều lỗ hổng an toàn thông tin để hacker, virus lợi dụng tấn cơng Đồng thời, người dùng cịn thường xuyên tải phần mềm không rõ nguồn gốc từ mạng Internet Theo thống kê được Cục Tin học nghiệp vụ (Bộ Công an) đưa ra, năm 2010, mặc dù có 47% số doanh nghiệp, quan hành được điều tra cho biết tăng chi phí đầu tư cho vấn đề an ninh bảo mật thông tin (năm 2009 là 37%), đầu tư này chưa thực hiệu quả, mà 2/3 doanh nghiệp cho hay không biết và không có quy trình phản ứng lại tấn công máy tính Nguy hiểm là 50% tổ chức, quan, doanh nghiệp không có hoặc không biết xây dựng quy trình phản ứng Qua những thống kê thiệt hại trên, cho thấy vấn đề An Ninh Mạng là vấn đề nóng hổi, cấp bách và cần được tổ chức, cá nhân đặc biệt quan tâm chú trọng nhằm đưa giải pháp hợp lý, tránh được những tổn thất nặng nề không đáng có có thể xảy 1.3 Những mối đe dọa đến vấn đề An Ninh Mạng Về bản có bốn mối đe dọa đến vấn đề An Ninh Mạng: • Unstructured threats • Structured threats • External threats • Internal threats 10 Hình 1.1: Những mối đe dọa đối với An Ninh Mạng 1.3.1 Unstructured threats – Các mỗi đe dọa không có cấu trúc Những mối đe doạ thuộc dạng này được tạo những hacker không lành nghề, họ thật không có kinh nghiệm Những người này ham hiểu biết và muốn download dữ liệu từ mạng Internet Họ thật bị thúc đẩy nhìn thấy những gì mà họ có thể tạo 1.3.2 Structured threats – Các mối đe dọa có cấu trúc Hacker tạo dạng này tinh tế dạng unstructured rất nhiều Họ có kỹ thuật và hiểu biết cấu trúc hệ thống mạng Họ thành thạo việc làm thế nào để khai thác những điểm yếu mạng Họ tạo hệ thống có “cấu trúc” phương thức xâm nhập sâu vào hệ thống mạng Cả hai dạng structured và unstructured thông qua Internet để thực tấn công mạng 1.3.3 External threats – Các mối đe dọa bên ngoài Xuất phát từ Internet, những người này tìm thấy lỗ hổng hệ thống mạng từ bên ngoài Khi công ty bắt đầu quảng bá có mặt họ Internet thì là lúc hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá huỷ hệ thống mạng 11 ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd Vyg.C3I6hdMIQb10 encrypted ftp mode passive dns server-group DefaultDNS domain-name ankhanh-group.vn access-list dmz_access_in extended permit icmp any any echo-reply access-list outside_access_in extended permit tcp any host 192.168.1.2 eq www access-list outside_access_in extended permit icmp any any echo-reply access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.4.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 172.16.6.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 10.0.0.0 255.255.248.0 10.0.7.0 255.255.255.224 access-list inside_nat0_outbound extended host 172.16.4.2 10.0.7.0 255.255.255.224 84 permit ip access-list inside_nat0_outbound extended permit ip host Database 10.0.7.0 255.255.255.224 access-list Server_Center_access_in extended permit icmp any any echo-reply access-list inside_access_in extended deny ip host extended deny ip host extended permit PC_HN host Database access-list inside_access_in PC_TN host Database access-list inside_access_in ip any any access-list AK_splitTunnelAcl standard permit 10.0.0.0 255.255.248.0 access-list AK_splitTunnelAcl standard permit host AK_splitTunnelAcl standard permit host 172.16.4.2 access-list Database pager lines 24 mtu inside 1500 mtu dmz 1500 mtu Server_Center 1500 mtu outside 1500 ip local pool BOSS 10.0.7.10-10.0.7.20 255.255.255.0 no failover icmp unreachable rate-limit burst-size asdm image flash:/asdm-603.bin 85 mask no asdm history enable arp timeout 14400 global (outside) 192.168.1.10-192.168.1.11 netmask 255.255.255.0 global (outside) interface nat (inside) access-list inside_nat0_outbound nat (inside) 10.0.0.0 255.255.248.0 static (dmz,outside) tcp 192.168.1.2 www 172.16.4.2 www netmask 255.255.255.255 access-group inside_access_in in interface inside access-group dmz_access_in in interface dmz access-group Server_Center_access_in in interface Server_Center access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 192.168.1.100 route inside 10.0.0.0 255.255.248.0 172.16.1.1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy http server enable 86 http 172.16.4.0 255.255.255.0 dmz no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-3DES-MD5 esp-3des espmd5-hmac crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec transform-set ESP-DES-SHA esp-des esp- sha-hmac crypto ipsec transform-set ESP-3DES-SHA esp-3des espsha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp- md5-hmac crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs 87 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256- MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash md5 group lifetime 86400 no crypto isakmp nat-traversal telnet timeout ssh 10.0.6.6 255.255.255.255 inside ssh 195.168.1.2 255.255.255.255 outside ssh timeout 15 console timeout threat-detection basic-threat threat-detection statistics access-list ! ! group-policy AK internal 88 dynamic group-policy AK attributes wins-server value 172.16.4.2 dns-server value 172.16.4.4 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value AK_splitTunnelAcl default-domain value ankhanh-group.vn username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15 username truongneo password XQMQI36AeOhYMSMm encrypted privilege username truongneo attributes vpn-group-policy AK tunnel-group AK type remote-access tunnel-group AK general-attributes address-pool BOSS default-group-policy AK tunnel-group AK ipsec-attributes pre-shared-key * prompt hostname context Cryptochecksum:3d87b71c9ccf13cfa5068914c2b8705b : end 89 3.5.3 Kết quả Sau thực cấu hình theo yêu cầu đề cho thiết bị hệ thống mạng mô thì ta được kết quả sau: • Sau cấu hình định tuyến, user chi nhánh có thể truyền thông được với nhau: Từ PC_HCM ping đến PC_HN và PC_TN Hình 3.5: PC_HCM ping đến PC_HN thành công Hình 3.6: PC_HCM ping đến PC_TN thành cơng 90 • Các user chi nhánh có thể truy cập tới Website Tập Đoàn được quản lý Web Server vùng DMZ với địa chỉ: http://ankhanh-group.vn hoặc gõ địa Web Server: 172.16.4.2 Hình 3.7: User nội truy cập WebServer Tập đoàn • User bên ngoài Internet có thể truy cập Website Tập Đoàn cách gõ địa Web Server được NAT internet: 192.168.1.2 91 Hình 3.8: User ngồi Internet truy cập Website Tập đồn • User bên mạng Tập Đoàn được phép truy cập Internet Hình 3.9: User mạng nội ping đến host ngồi Internet • User ngoài Internet khơng thể truy cập vào mạng bên Tập Đoàn 92 Hình 3.10: Ngồi internet khơng ping mạng nội • Chỉ PC_HCM được cho phép truy cập vào Database Server Hình 3.11: PC_HCM truy cập vào Database Server • PC_HN và PC_TN không được phép truy cập vào Database Server 93 Hình 3.12: PC_HC PC_TN truy cập vào Database Server • Nhân viên xa có thể truy cập VPN vào mạng nội tập đoàn để làm việc Hình 3.13: PC Internet truy cập VPN gán IP mạng nội 94 Hình 3.14: PC ngồi Internet truy cập VPN ping đến mạng nội • Người quản trị mạng có thể truy cập PIX firewall công cụ SSH Secure Shell Client bên ngoài Internet Hình 3.15: Điền những thông tin cần thiết để truy cập PIX firewall 95 Hình 3.16: Truy cập PIX firewall thành công từ Internet • Người quản trị có thể từ mạng nội truy cập PIX firewall để quản lý Hình 3.17: Khai báo thông tin cần thiết để truy cập PIX firewall từ mạng nội 96 Hình 3.16: Truy cập PIX firewall thành công từ mạng nội KẾT LUẬN An ninh mạng không riêng Việt Nam nói riêng mà toàn thế giới và là vấn đề nóng hổi được đề cập cùng với phát triển mạnh mẽ vũ bão Công Nghệ Thông Tin Việc bảo mật thông tin, chống lại xâm nhập trái phép, tấn công hacker là vấn đề đặc biệt quan trọng được đặt lên hàng đầu cùng với chiến lược kinh doanh phát triển tổ chức Đồ án: “Thiết kế hệ thống mạng số giải pháp bảo mật cho Tập Đồn An Khánh” khơng nằm ngoài mục đích đó Những cơng việc và chưa làm được: Trong đồ án em tìm hiểu được tầm quan trọng An ninh mạng đối với cá nhân, tổ chức nói riêng cả cộng đồng Công nghệ thông tin nói chung Đồng thời em tìm hiểu được số thiết bị và công nghệ bảo mật tốt nhất như: tường lửa PIX firewall và ASA cisco, công nghệ mạng riêng ảo VPN… góp phần bảo đảm an ninh mạng cho hệ thống mạng Qua việc thiết kế và mô hệ thống mạng cho Tập đoàn An 97 Khánh cho thấy việc áp dụng những công nghệ bảo mật vào hệ thống mạng tạo những lớp bảo vệ nhất định trước tấn công hacker Trong trình thực đồ án, công việc tìm hiểu, nghiên cứu chủ yếu qua nguồn tài liệu thu thập được, chưa có điều kiện tiếp xúc với những thiết bị, công nghệ thực nên việc hiểu thêm chúng cách chi tiết là chưa có Hướng phát triển: Công nghệ bảo mật thay đổi để phù hợp với phát triển ngày càng tinh vi hacker Vì vậy, tương lai có thể áp dụng thêm số giải pháp bảo mật khác để hoàn thiện hệ thống bảo mật nữa như: lắp đặt thêm thiết bị phát xâm nhập IDS, bổ xung thêm Firewall dự phòng đảm bảo hệ thống mạng được bảo vệ mức độ cao nhất Firewall gặp cớ… Đồng thời em mong nhận được những ý kiến đóng góp thầy cô và bạn để Đồ án được hoàn thiện Em xin chân thành cám ơn! 98 ... tài: ? ?Thiết kế hệ thống mạng số giải pháp bảo mật cho Tập đoàn An Khánh? ?? Đồ án gồm chương cụ thể sau: • Chương I: Tổng quan an ninh mạng máy tính • Chương II: Giới thiệu sớ cơng nghệ và thiết... Thiết kế hệ thống mạng và số giải pháp bảo mật cho Tập Đoàn An Khánh 63 3.1 Giới thiệu tổng thể 63 3.2 Hiện trạng hệ thống mạng Tập Đoàn An Khánh ... hở mối quan hệ tin cậy nhằm khai thác sai sót mối quan hệ này để thoả hiệp, tức là để kiểm sốt Hệ thớng bên ngoài firewall có mối quan hệ hoàn toàn không tin cậy với hệ thống