MỤC LỤC LỜI CÁM ƠN .Error! Bookmark not defined LỜI CAM ĐOAN Error! Bookmark not defined MỞ ĐẦU CHƯƠNG KHÁI QUÁT CHUNG VỀ MẠNG MÁY TÍNH VÀ AN TỒN THƠNG TIN 1.1 MẠNG MÁY TÍNH 1.1.1 Sự hình thành mạng máy tính 1.1.2 Phân loại mạng máy tính .4 1.1.2.1 Phân loại mạng theo khoảng cách địa lý 1.1.2.2 Phân loại theo kĩ thuật chuyển mạch .5 1.1.2.3 Phân loại mạng theo chế hoạt động 1.1.3 Các yếu tố mạng máy tính .8 1.1.4 Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) 10 1.1.5 Mơ hình OSI 12 1.1.6 Các lợi ích mạng máy tính 13 1.1.7 Vấn đề an toàn thông tin mạng .13 1.2 AN TỒN THƠNG TIN 14 1.2.1 Nguyên lý mạng an toàn .14 1.2.1.1 Khái niện an toàn thông tin 14 1.2.1.2 Nhu cầu an toàn mạng .14 1.2.1.3 Mục đích an toàn mạng 15 1.2.1.4 Điều khiển giải pháp bảo mật 17 1.2.1.5 Phương thức công mạng 17 1.2.1.5.1 Giả mạo IP 17 1.2.1.5.2 Confidentiality Attacks (tấn cơng bí mật) .19 1.2.1.5.3 Integrity Attacks (tấn cơng tính tồn vẹn ) .20 1.2.1.5.4 Availability Attacks(tấn công sẵn sằng) 22 1.2.1.5.5 Những khuyến cáo cisco an toàn mạng .23 1.2.2 Sự phát triển mạng an toàn 23 1.2.2.1 Quá trình phát truyển hệ thống 23 1.2.2.2 Mục đích sách bảo mật .24 1.2.2.3 Các thành phần sách bảo mật .25 1.2.2.4 Nhân tố góp phần vào an toàn mạng .25 1.2.2.4.1 Đảm bảo thiết kế 25 1.2.2.4.2 Tối thiểu đặc quyền 26 1.2.2.4.3 Đơn giản chống phức tạp (Simplicity Versus Complexity) 26 1.2.2.5 Mạng tự bảo vệ cisco (Cisco Self-Defending Network) 26 1.2.2.6 Bộ sản phẩm an toàn thích hợp cisco 27 1.2.3 Vành đai bảo vệ 29 1.2.3.1 Bảo vệ mật router 29 1.2.3.2 Giới hạn số lần đăng nhập sai 31 1.2.3.3 Thiết lập thời gian không hoạt động đăng nhập .31 1.2.3.4 Cấu hình mức đặc quyền 32 1.2.4 Cấu hình xác thực, cho phép, tính tốn 32 1.2.4.1 Sử dụng cisco Security Device Manager (SDM) để cấu hình AAA .33 1.2.4.2 Sử dụng chế độ dịng lệnh để dị tìm lỗi AAA router cisco 33 1.2.5 An toàn router 34 1.2.5.1 Lập kế hoạch quản lý an toàn báo cáo 34 1.2.5.2 Sử dụng SSH (Secure Shell) router 34 1.2.5.3 Chứng thực giao thức định tuyến lọc cập nhật 36 CHƯƠNG 37 XÂY DỰNG CƠ SỞ HẠ TẦNG AN TỒN THƠNG TIN .37 2.1 Thiết bị bảo mật lớp 37 2.1.1 Bảo vệ chống lại công lớp 37 2.1.1.1 Hệ thống switch lớp 37 2.1.1.2 Cách tiếp cận Cơ tới việc bảo vệ switch Lớp (Basic Approaches to Protecting Layer Switches) 38 2.1.1.3 Bảo vệ Chống lại Tấn công STP (Spanning Tree Protocol) 38 2.1.1.4 Chống công tràn MAC (Medium Access Control) 41 2.1.1.5 Ngăn ngừa VLAN hopping 41 2.1.2 Định danh dựa dịch vụ mạng cisco (Cisco IBNS) 43 2.2 Thực bảo vệ điểm cuối 44 2.2.1 IronPort .44 2.2.2 Thiết bị NAC (Network Admission Control) cisco 44 2.2.3 Thực tốt để bảo vệ điểm cuối .45 2.3 Sử dụng cisco IOS firewall để bảo vệ mạng 47 2.3.1 Vai trò tường lửa việc bảo vệ mạng 47 2.3.2 Sự phát truyển loại firewall 48 2.3.3 Công việc firewall lớp ứng dụng 50 2.3.4 Kế hoạch an toàn firewall .50 2.3.5 Thiết lập sách bảo mật tường lửa 52 2.3.6 Sử dụng ACL firewall 53 2.4 Sử dụng Cisco IOS IPS/IDS để bảo vệ mạng 55 2.4.1 Giới thiệu hệ thống dị tìm ngăn cản xâm nhập 55 2.4.2 Phân loại thiết bị IDS IPS .56 CHƯƠNG 59 XÂY DỰNG HỆ THỐNG AN NINH CHO TRƯỜNG .59 CĐSP-THÁI NGUYÊN 59 3.1 Khảo sát trạng hệ thống mạng trường Cao Đẳng Sư Phạm Thái Nguyên 59 3.1.1 Đường truyền hệ thống 59 3.1.2 Dịch vụ cung cấp .59 3.1.3 Thiết bị mạng 60 3.2 Đánh giá hiệu năng, nguy tồn hệ thống Trường .60 3.2.1 Hiệu hệ thống 60 3.2.2 Nguy an toàn hệ thống 61 3.3 Giải pháp khắc phục hệ thống 65 3.4 Phương án thực khắc phục 66 3.4.1 Phương án thứ .66 3.4.2 Phương án thứ hai .69 3.4.3 Phương án thứ 71 3.4.4 Phương án thứ tư .72 3.5 Lựa chọn phương án tiến hành xây dựng .73 3.5.1 Cấu hình thiết bị 76 KẾT LUẬN .84 TÀI LIỆU THAM KHẢO 85 MỞ ĐẦU Trong giai đoạn với phát triển mạnh mẽ kinh tế, xã hội nhu cầu công nghệ thông tin Việt Nam nước đà hội nhập kinh tế giới nên vấn đề thông tin trú trọng Với xu ứng dụng công nghệ thông tin vào tất lĩnh vực đời sống xã hội, hệ thống máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kinh tế kỹ thuật đất nước Bên cạnh phát triển mạnh mẽ cơng nghệ thơng tin xuất ngày nhiều cá nhân hay nhóm, tổ chức hoạt động phá hoại hệ thống máy tính, gây nên tác hại vơ lớn đến an tồn, bảo mật thông tin hệ thống Đứng trước xu hướng phát truyển vậy, thời gian làm đồ án tốt nghiệp, em tìm hiểu nghiên cứu an ninh mạng giải pháp đảm bảo an tồn cho mạng truyền thơng Để đáp ứng yêu cầu nên em “Xây dựng hệ thống an ninh mạng cho Trường CĐSP – Thái Nguyên” Toàn đồ án gồm nội dung sau: Chương Khái qt chung mạng máy tính an tồn thông tin Chương Xây dựng cở sở hạ tầng an tồn thơng tin Chương Xây dựng hệ thống an ninh mạng cho Trường CĐSP-Thái Nguyên CHƯƠNG KHÁI QT CHUNG VỀ MẠNG MÁY TÍNH VÀ AN TỒN THƠNG TIN 1.1 MẠNG MÁY TÍNH 1.1.1 Sự hình thành mạng máy tính Từ năm 1960 xuất mạng nối máy tính thiét bị ngoại vi để sử dụng chung nguồn tài nguyên, giảm chi phí muốn trao đổi thơng tin Với việc tăng nhanh máy tính với pháp triển công nghệ đại động lực thúc đẩy đời phát triển ngày mạnh mẽ mạng máy tính Vào năm 1970 người ta bắt đầu xây dựng mạng truyền thông thành phần nút mạng gọi chuyển mạch dùng để hướng thơng tin tới đích Các mạng nối với đường truyền cịn máy tính xử lý thơng tin người dùng trạm cuối nối trực tiếp vào nút mạng để cần trao đổi thông tin qua mạng Các nút mạng thường máy tính nên đồng thời đóng vai trị người sử dụng Tóm lại: mạng máy tính tập hợp máy tính độc lập (khơng có máy có khả khởi động đình máy khác) kết nối với thông qua đường truyền vật lý (các mơi trường truyền tín hiệu vật lý) tuân theo quy ước truyền thông (cơ sở để máy tính giao tiếp với nhau) 1.1.2 Phân loại mạng máy tính 1.1.2.1 Phân loại mạng theo khoảng cách địa lý Dựa vào khoảng cách địa lý làm yếu tố để phân loại mạng mạng phân thành: mạng cục bộ, mạng thị, mạng diện rộng, mạng toàn cầu:  Mạng cục (Local Area Network - LAN) mạng cài đặt phạm vi tương đối nhỏ ( tồ nhà, phịng ban cơng ty ) với đường kính giới hạn khoảng vài chục Km  Mạng đô thị (Metropolitan Area Network - MAN) mạng cài đặt phạm vi thành phố, trung tâm kinh tế phạm vi cài đặt mạng hàng trăm Km  Mạng diện rộng (Wide Area Network - WAN) mạng có phạm vi hoạt động vùng, khu vực vượt qua biên giới quốc gia  Mạng toàn cầu (Global Area Network - GAN) phạm vi mạng trải rộng khắp lục địa trái đất 1.1.2.2 Phân loại theo kĩ thuật chuyển mạch Nếu lấy kĩ thuật chuyển mạch so sánh phân chia mạnh thành: Mạng chuyển mạch kênh, mạng chuyển mạch gói, mạng chuyển mạch thơng báo Mạng chuyển mạch kênh (Circuit - switched - Network) Đây mạng mà thực thể muốn liên lạc với chúng phải tạo trì kênh liên tục kết thúc trình thơng tin Phương pháp chuyển mạch có hai nhược điểm chính: - Hiệu suất sử dụng đường truyền khơng cao - Mất nhiều thời gian cho việc thiết lập kênh cố định thông tin thực thể Mạng chuyển mạch thông báo (Message - switched -Network) Trong mạng chuyển mạch thông báo việc chọn đường cho thơng báo tới đích thực nút mạng Các nút vào địa đích thông báo để định chọn nút đến cho thơng báo đường dẫn tới đích Như nút cần lưu trữ tạm thời thông báo, đọc thông báo quản lý việc chuyển tiếp thông báo Phương pháp chuyển mạch thơng báo có ưu điểm sau: - Hiệu suất sử dụng đường truyền cao khơng có kênh thơng tin cố định - Mỗi nút mạng lưu trữ thông báo đường truyền khả dụng truyền nên giảm đuực tình trạng tắc nghẽn mạng - Có thể điều khiển truyền tin cách xếp mức độ ưu tiên cho thông báo - Trong mạng chuyển mạch thông báo làm tăng hiệu suất sử dụng dải thông mạng cách gán địa quảng bá cho thơng báo đến nhiều đích khác Nhược điểm chủ yếu chuyển mạch thông báo trường hợp thông báo dài bị lỗi, phải truyền lại thông báo nên hiệu suất khơng cao Phương pháp thích hợp với mạng truyền thư tín điện tử (Electronic mail) Mạng chuyển mạch gói (Packet - switched - Network) Trong mạng chuyển mạch gói thơng báo chia nhiều gói nhỏ (packet), độ dài khoảng 256 bytes, có khn dạng tuỳ theo chuẩn quy định Các gói tin có chứa thơng tin điều khiển địa nguồn, địa đích cho gói tin,số thứ tự gói tin, thơng tin kiểm tra lỗi Do gói tin thơng báo gửi theo nhiều đường khác nhau, tới đích thời điểm khác nhau, nơi nhận vào thông tin gói tin xếp lại chúng theo thứ tự Ưu điểm chuyển mạch gói: - Mạng chuyển mạch gói có hiệu suất hiệu cao mạng chuyển mạch thơng báo kích thước gói tin nhỏ nên nút mạng xử lý tồn gói tin mà khơng cần phải lưu trữ đĩa - Mỗi đường truyền chiếm thời gian ngắn, chúng dùng đường để tới đích Nhựơc điểm: - Vì thời gian truyền tin ngắn nên thời gian chuyển mạch lớn tốc độ truyền khơng cao - Việc tập hợp lại gói tin ban đầu nguyên tắc thực khó khăn, đặc biệt gói tin truyền theo nhiều đường khác - Đối với ứng dụng phụ thuộc thời gian thực việc gói tin tới đích khơng theo thứ tự nhược điểm quan trọng cần phải khắc phục Tuy cịn hạn chế có ưu điểm tính mềm dẻo, hiệu suất cao nên mạng chuyển mạch gói dùng phổ biến 1.1.2.3 Phân loại mạng theo chế hoạt động Trong mơi trường mạng máy tính có chế hoạt động là: peer-topeer client/ server Mơi trường peer - to - peer khơng có máy chun phục vụ cho cơng việc nào, cịn mơi trường client/server phải có máy dành riêng để phục vụ mục đích khác  Mạng dựa máy phục vụ: Trong mạng có máy chuyên dụng phục vụ cho mục đích khác Máy phục vụ chuyên dụng hoạt động người phục vụ khơng kiêm vai trị trạm làm việc hay máy khách Các maý phục vụ chuyên dụng tối ưu hoá để phục vụ nhanh yêu cầu khách hàng mạng Các loại máy phục vụ chuyên dụng thường thấy như: - Máy phục vụ tập tin / in ấn (file/print sever) - Máy phục vụ chương trình ứng dụng (application server) - Máy phục vụ thư tín (mail server) - Máy phục vụ fax (fax server) - Máy phục vụ truyền thông (communication server) Một ưu điểm quan trọng mạng dựa máy phục vụ có tính an tồn bảo mật cao Hầu hết mạng thực tế (nhất mạng lớn) dựa máy phục vụ  Mạng ngang hàng: Không tồn cấu trúc phân cấp mạng Mọi máy tính “bình đẳng” Thơng thường, máy tính kiêm ln hai vai trị máy khách máy phục vụ, khơng máy định chịu trách nhiệm quản lý mạng Người dùng máy tự định phần liệu máy họ dùng chung mạng Thơng thường mạng ngang hàng thích hợp cho mạng có quy mơ nhỏ (chẳng hạn nhóm làm việc) khơng u cầu phải có tính bảo mật 1.1.3 Các yếu tố mạng máy tính  Đường truyền vật lý Đường truyền vật lý thành phần để chuyển tín hiệu điện tử máy tính Các tín hiệu điện tử biểu thị liệu dạng xung nhị phân Tất tín hiệu truyền máy tính dạng sóng điện từ có tần số trải từ cực ngắn tần số tia hồng ngoại.Tuỳ theo tần số sóng điện từ mà dùng đườngtruyền vật lý khác để truyền như: - Các tần số Radio truyền cáp điện phương tiện quảng bá (broadcast) - Sóng cực ngắn dùng để truyền trạm mặt đất vệ tinh Hoặc dùng để truyền từ trạm phát tới trạm thu - Tia hồng ngoại lý tưởng truyền thông mạng Nó truyền từ điểm tới điểm quảng bá từ điểm tới máy thu Tia hồng ngoại loại tia sáng tần số cao truyền qua cáp sợi quang Những đặc trưng đường truyền vật lý là: giải thông, thông lượng, độ suy hao, độ nhiễu điện từ - Dải thông đường truyền độ đo phạm vi tần số mà đường truyền đáp ứng Giải thông phụ thuộc vào độ dài cáp, đường kính sợi cáp, vật liệu dùng chế tạo cáp - Thông lượng đường truyền (throughput) tốc độ truyền liệu đường truyền đơn vị thời gian.Thơng lượng đường truyền phản ánh hiệu sử dụng đường truyền - Độ suy hao giá trị phản ánh mức độ suy yếu tín hiệu đường truyền sau truyền qua đơn vị độ dài cáp - Độ nhiễu điện từ khả làm nhiễu tín hiệu đường truyền cáp qua vùng có sóng điện từ Có hai loại đường truyền: hữu tuyến, vơ tuyến sử dụng việc kết nối mạng máy tính Đường truyền hữu tuyến gồm cáp đồng trục, cáp xoắn đơi, cáp sợi quang; đường truyềnvơ tuyến gồm sóng radio, sóng cực ngắn, tia hồng ngoại Tuy nhiên thiết kế dây cho mạng máy tính người ta phải ý tới nhiều tham số khác như: giá thành, khả chịu nhiệt, khả chống chịu ẩm, khả uốn cong…  Kiến trúc mạng Kiến trúc mạng máy tính bao gồm cách ghép nối vật lý máy tính với quy tắc, quy ước mà tất thực thể tham gia hệ thống mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt Cách máy tính gép nối với goi topology mạng cịn quy tắc quy ước truyền thơng gọi giao thức (protocol) Topology protocol hai khái niệm mạng máy tính Topology Người ta phân biệt hai kiểu nối mạng vật lý kiểu điểm- điểm kiểu quảng bá (broadcasting hay point- to- multipoint) - Kiểu điểm - điểm: Đường truyền nối cặp nút với nhau.Tín hiệu từ nút nguồn đến nút trung gian chuyển tiếp tới đích - Kiểu quảng bá: Với kiểu quảng bá tất nút chung đường truyền vật lý Dữ liệu gửi từ nút tiếp nhận nút cịn lại, gói tin phải có vùng địa đích cho phép nút kiểm tra có phải tin minh khơng Protocol Giao thức (Protocol) khái niệm mạng truyền thơng Có thể hiểu cách khái qt tập hợp tất quy tắc cần thiết (các thủ tục, khuôn dạng liệu, chế phụ trợ ) cho phép giao thức trao đổi thông tin mạng thực cách xác an tồn Có nhiều họ giao thức sử dụng mạng truyền thông IEEE802.X dùng mạng cục bộ, CCITT (nay ITU) dùng cho liên mạng diện rộng đặc biệt họ giao thức chuẩn ISO (tổ chức tiêu chuẩn hố quốc tế ) dựa mơ hình tham chiếu lớp cho việc kết nối hệ thống mở 1.1.4 Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) TCP giao thức phát triển cách để kết nối mạng máy tính khác phương pháp truyền dẫn hệ điều hành TCP giao thức kiểu có kết nối (Connection-Oriented), tức cần phải có giai đoạn thiết lập liên kết cặp thực thể TCP trước chúng thực trao đổi liệu TCP thiết lập kết nối hai đường hai hệ thống cần trao đổi thông tin với thông tin trao đổi hai hệ thống chia thành gói TCP có đặc điểm sau:  Là giao thức chuẩn mở sẵn có, vì: khơng thuộc sở hữu tổ chức nào; đặc tả sẵn có rộng rãi Vì xây dựng phần mềm truyền thơng qua mạng máy tính dựa  TCP/IP độc lập với phần cứng mạng vật lý, điều cho phép TCP/IP dùng để kết nối nhiều loại mạng có kiến trúc vật lý khác 10 3.4.3 Phương án thứ Mail Web ISA Server INTERNET Internet ADSL ISP - VDC DMZ CAT 2950 Leased line 512kbps ROUTER 2600 INSIDE CAT 3560 ASA/PIX Friewall CAT 2950 Khoa Tự Nhiên CAT 2950 Khoa xã Hội CAT 2950 CAT 2950 Khoa TH Mầm Non P Đào Tạo P QL Học Sinh Sinh Viên CAT 2950 CAT 2950 CAT 2950 P Hành Chính VLAN Khách Hình 3.4 Phương án thứ Sử dụng Firewall cứng (Cisco PIX Firewall/ASA) để bảo vệ hệ thống server mạng nội Trường, Firewall chia hệ thống mạng làm vùng có mức độ ưu tiên bảo mật khác Outside: vùng internet, có mức độ ưu tiên bảo mật thấp DMZ: Vùng gồm Server : Web Server, Mail Server vùng cho phép người dùng bên ngồi Internet truy cập vào để xem thông tin Trường Inside: Đây vùng có mức độ an ninh cao vùng đặt máy tính Trường máy chủ liệu quan trọng Chỉ máy tính vùng có khả truy cập Internet máy tính từ Internet khơng thể truy nhập vào máy tính vùng InSide 71 Sau chi phí cho phương án thứ STT Tên thiết bị Số lượng Tường lửa PIX 515E/ASA 5510 Switch –3560 Router 2600 1 Giá thành ($) 2700 2000 1000 5700 Tổng 3.4.4 Phương án thứ tư CAT 2950 Hình 3.5 Phương án thứ tư Các thiết bị sử dụng gồm  Router 2600: Dùng để bảo vệ mạng nội khỏi công từ bên Sử dụng leased line qua router định tuyến lưu lượng internet vào mạng nội 72  Sử dụng Switch 3560 để tạo hệ thống VLAN cho phịng ban, chịu trách nhiệm định tuyến cho VLAN Đồng thời cấu hình đặt luật VLAN với Như Switch 3560 có nhiệm vụ cho phép chia mạng VLAN để nâng cao tốc độ truyền mạng, giảm tắc nghẽn, ngăn lây lan virus hệ thống mạng thiết bị tường lửa hỗ trợ thêm tính an ninh mạng Trường  Đường truyền Internet: - Sử dụng ISA Server để cung cấp để cung cấp dịch vụ Internet cho người dùng thơng thường mạng Tạo rule là: cho phép hay không, luật áp dụng vào thời gian (cho truy cập web vào hành chính…), truy nhập đến đâu (vào số trang web, trang khác khơng) Sau chi phí phương án thứ tư: ST T Tên thiết bị Router 2600 Số lượng Switch –3560 Tổng cộng Đơn giá Đánh giá ước tính($) 1000 Đảm bảo bảo mật 2000 Hiệu xuất mạng tốt 3000 3.5 Lựa chọn phương án tiến hành xây dựng Như gồm có phương án đề Dựa vào tình hình cụ thể điều kiện nhà Trường nên tiến hành sử dụng phương án thứ tư Sau trình cấp phát địa cho VLAN phương án 73 Hình 3.6 Sơ đồ cấp phát địa VLAN Vùng DMZ STT Dịch vụ Vùng IP Address Subnet Web DMZ 172.16.10.5 255.255.255.0 Email DMZ 172.16.10.6 255.255.255.0 ISA Server DMZ 172.16.10.7 255.255.255.0 Vùng VLAN Inside VLAN Tên VLAN IP Range ID VLAN Gateway VLAN 192.168.1.10- 192.168.1.254 74 192.168.1.1 Khoa Tự Nhiên 192.168.2.10- 192.168.2.254 192.168.2.1 Khoa xã Hội 192.168.3.10- 192.168.3.254 192.168.3.1 Khoa TH Mầm Non 192.168.4.10- 192.168.4.254 192.168.4.1 P Đào Tạo 192.168.5.10- 192.168.5.254 192.168.5.1 192.168.6.10- 192.168.6.254 192.168.6.1 P QL Học Sinh Sinh Viên P Hành Chính 192.168.7.10- 192.168.7.254 192.168.7.1 VLAN Khách 192.168.8.10- 192.168.8.254 192.168.8.1 Router 2600 Interface FastEnthernet 0/0 Serial 0/0 IP Address Subnet 10.1.2.2 255.255.255.252 203.168.100.10 255.255.255.248 Chú thích Nối với CAT 3560 Nối Leased line Cấu hình máy trạm  Địa IP: 192.168.x.y  Subnet mask: 255.255.255.0  Gateway: 192.168.x.1 Trong đó: Với x số hiệu VLAN, y số thứ tự máy VLAN Tóm lại: Sau chia vlan phịng ban khoa giải vấn đề sau: Phân tách vùng quảng bá để tạo nhiều băng thông cho người sử dụng 75 Tăng cường tính bảo mật cách cô lập người sử dụng dựa vào kỹ thuật cầu nối Triển khai mạng cách mềm dẻo dựa chức công việc người dùng dựa vào vị trí vật lý họ VLAN giải vấn đề liên quan đến việc di chuyển, thêm thay đổi vị trí máy tính mạng Đảm bảo, bảo mật thơng tin Trường, tránh bị nguy cơng từ bên ngồi, truy cập Internet máy tính Trường 3.5.1 Cấu hình thiết bị Sử dụng phần mềm Packet Tracer 5.1 để mô Sau số câu lệnh cấu hình MS dựa phần mềm mô : MS 3560 MS#show running-config Building configuration Current configuration : 2892 bytes ! version 12.2 service password-encryption ! hostname MS ! enable secret $1$mERr$M3lgT9BwLkFMPB7qbLM5f enable password 0835444F071157 ! ip routing ! ip ssh version ! port-channel load-balance src-mac 76 ! interface FastEthernet0/1 no switchport ip address 10.1.2.1 255.255.255.252 duplex auto speed auto ! interface FastEthernet0/2 switchport mode trunk ! interface FastEthernet0/3 switchport mode trunk ! interface FastEthernet0/4 switchport mode trunk ! interface FastEthernet0/5 switchport mode trunk ! interface FastEthernet0/6 switchport mode trunk ! interface FastEthernet0/7 switchport mode trunk ! interface FastEthernet0/8 switchport mode trunk ! interface FastEthernet0/9 switchport mode trunk ! interface FastEthernet0/10 ! 77 interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 78 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 ip address 192.168.2.1 255.255.255.0 ip access-group 102 in ip access-group 102 out ! interface Vlan3 ip address 192.168.3.1 255.255.255.0 ip access-group 103 in ip access-group 103 out ! interface Vlan4 ip address 192.168.4.1 255.255.255.0 ip access-group 104 in ip access-group 104 out ! interface Vlan5 ip address 192.168.5.1 255.255.255.0 ip access-group 105 in ip access-group 105 out ! interface Vlan6 ip address 192.168.6.1 255.255.255.0 ip access-group 106 in ip access-group 106 out ! interface Vlan7 ip address 192.168.7.1 255.255.255.0 ip access-group 107 in ip access-group 107 out ! interface Vlan8 79 ip address 192.168.8.1 255.255.255.0 ! interface Vlan9 ip address 172.16.10.1 255.255.255.0 ip access-group 102 in ip access-group 102 out ! router rip ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.2.2 ! ! access-list 104 deny ip 192.168.8.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 104 permit ip any any access-list 105 deny ip 192.168.8.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 105 permit ip any any access-list 106 deny ip 192.168.8.0 0.0.0.255 192.168.6.0 0.0.0.255 access-list 106 permit ip any any access-list 107 deny ip 192.168.8.0 0.0.0.255 192.168.7.0 0.0.0.255 access-list 107 permit ip any any access-list 101 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip any any access-list 103 deny ip 192.168.8.0 0.0.0.255 192.168.3.0 0.0.0.255 access-list 103 permit ip any any ! line line vty password 0835444F071157 login ! End 80 SW TN 2950 SW TN#show running-config Building configuration Current configuration : 1271 bytes ! version 12.1 no service password-encryption ! hostname "SW TN" ! interface FastEthernet0/1 ! interface FastEthernet0/2 switchport mode trunk ! interface FastEthernet0/3 switchport access vlan ! interface FastEthernet0/4 switchport access vlan ! interface FastEthernet0/5 switchport access vlan ! interface FastEthernet0/6 switchport access vlan ! interface FastEthernet0/7 switchport access vlan ! interface FastEthernet0/8 switchport access vlan ! 81 interface FastEthernet0/9 switchport access vlan ! interface FastEthernet0/10 switchport access vlan ! interface FastEthernet0/11 switchport access vlan ! interface FastEthernet0/12 switchport access vlan ! interface FastEthernet0/13 switchport access vlan ! interface FastEthernet0/14 switchport access vlan ! interface FastEthernet0/15 switchport access vlan ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! 82 interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface Vlan1 ip address 192.168.2.1 255.255.255.0 ! ip default-gateway 192.168.2.1 ! line ! line vty login line vty 15 login ! End Kiểm tra việc chặn MS 3560 Vlan khách không truy cập vào VLAN khác mạng Nhưng cho phép truy cập vào Web, Mail sau: 83 KẾT LUẬN Với phát triển mạnh mẽ khoa học kỹ thuật đồng nghĩa với xuất ngày nhiều nguy tiềm ẩn Mặt khác công nghệ thông tin ứng dụng lĩnh vực đời sống xã hội Vì vấn đề an tồn thơng tin phải đặt lên hàng đầu tổ chức Với yêu cầu cần phải tìm giải pháp để đảm bảo an tồn thơng tin Đứng trước su em tiến hành xây dựng, tìm hiểu giải pháp an ninh Đồ án “ xây dựng hệ thống an ninh cho trường CĐSP-TN ” đáp ứng vấn đề an ninh thời điểm Do thời gian có hạn kiến thức thâm nhập thực tế non yếu, chưa có điều kiện thực hành thiết bị thật nên khn khổ đồ án này, em trình bày phần kiến thức an ninh mạng Đồ án khơng tránh khỏi thiếu sót, em mong nhận góp ý bảo nhiệt tình từ phía thầy bạn để nâng cao khả chun mơn hồn thiện kiến thức Em xin chân thành cám ơn thầy giáo Nguyễn Tiến Thành tận tình hướng dẫn, giúp đỡ em hồn thành đồ án Thái Nguyên, tháng 06 năm 2009 84 TÀI LIỆU THAM KHẢO [1] http://www.vnpro.org.vn [2] http://www.cisco.com [3] www.net130.com [4] www.ebook.edu.vn [5] Firewall Fundamentals 2006 [6] Configure inter VLAN Routing on layer Switches 85