- •Оглавление
- •Техническое задание
- •Введение
- •1 Схема информационных потоков на предприятии и расчет объема потоков между отделами
- •2 Схема информационных потоков с учетом размещения информационных ресурсов на серверах
- •3 Проектирование структурной схемы корпоративной сети
- •4 Разработка защиты сети от несанкционированного доступа
- •4.1 Защита от внутреннего нсд
- •4.2 Защита от внешнего нсд
- •4.3 Построение vpn между сетью и филиалом 2
- •Открытый и секретный ключи
- •Значимость аутентификации web-сервера
- •5 Организация связи с филиалами
- •5.2 Спутниковый Интернет
- •Оборудование
- •Прямофокусная (осесимметричная) антенна
- •Офсетная антенна
- •6 Распределение адресов рабочих станций с учетом структурной схемы
- •7 Выбор сетевых протоколов
- •8 Выбор топологии сети, среды передачи, активного и пассивного оборудования корпоративной сети
- •8.1 Выбор типов кабелей для сети
- •8.2. Выбор коммутаторов и маршрутизаторов
- •8.3 Выбор сетевых адаптеров
- •8.4 Выбор конфигурации серверов и рабочих станций
- •E140h-m2 - файловый сервер 19" 4u, до 24 дисков
- •Выбор оборудования дляIp-телефонии
- •Преимущества ip-телефонии
- •Перечислим основные элементы корпоративной сети ip-телефонии, выберем оборудование и программное обеспечение:
- •Выбор оборудования длявидеоконференции
- •8.6 Обеспечение качества обслуживания QoS
- •9 Выбор сетевой операционной системы и клиентской операционной системы, сетевое прикладное обеспечение Сетевая операционная система на серверах - Windows Server 2008 r2
- •Субд - 1с:Предприятие 8.
- •Антивирусный сервер – Avast Professional Edition 4.8. Возможности программы:
- •Application - сервер - 2x Application Server
- •Упрощенное выполнение повседневных задач
- •Работа с учетом потребностей пользователя
- •Реализация новых возможностей
- •10. Разработка имитационной программы корпоративной сети и анализ полученных результатов при разных трафиках
- •11 Разработка плана монтажной прокладки соединений сети и расположения сетевого оборудования в зданиях организации, разработка кабельных трасс между зданиями
- •12 Смета разработки проекта сети
- •Заключение
- •Список используемых источников
4.2 Защита от внешнего нсд
Благодаря использованию Proxy-сервера, для пользователей из внешней сети виден только один компьютер (Proxy-сервер выступает «представителем» настоящего сервера в сети), что исключает возможность внешнему пользователю исследовать структуру корпоративной сети и получить доступ к другим ее узлам.
Защиту на данном уровне будем осуществлять, используя внешний DNS-сервер, а также межсетевой экран.
Рассмотрим использование межсетевого экрана.
Межсетевой экран будет принимать трафик из сети Internet и удалённых офисов, перенаправлять его на антивирусный сервер, а трафик с антивирусного сервера перенаправлять в сеть и на сервера. Трафик из сети во внешнюю сеть идёт только с серверов, поэтому выход во внешнюю сеть необходимо запретить со всех рабочих станций, кроме соответствующих серверов.
Распределение прав среди внешних пользователей на доступ к ресурсам серверов приведено в таблице 4.2:
|
Отдел |
Сервер 1 |
Сервер 2 |
Сервер 3
|
Сервер 4 | |||||||||||||||
|
Proxy-сервер |
Web-сервер |
Mail-сервер |
Application-сервер |
Файл-сервер |
Exchange-сервер |
Print-сервер |
ПДО |
ТО |
ХО |
ОИТ |
Амбулатория |
Бухгалтерия |
АСУ |
Отдел кадров |
Охрана | ||||
|
Филиал 1 |
- |
r |
rw |
r |
rw |
rw |
- |
- |
- |
- |
- |
w |
- |
- |
- |
- | |||
|
Филиал 2 |
- |
r |
rw |
r |
r |
- |
- |
- |
- |
- |
- |
w |
- |
- |
w |
- | |||
|
Внешн. |
- |
r |
rw |
r |
- |
- |
- |
- |
- |
- |
- |
-- |
|
- |
- |
- | |||
4.3 Построение vpn между сетью и филиалом 2
Технология VPN позволяет создавать виртуальные частные сети для передачи конфиденциальной информации, используя общедоступные сети, в т.ч. и Internet. Такие сети хорошо подходят для организации обмена данными с удалёнными филиалами и позволяют отказаться от прокладки дорогих выделенных каналов связи. Для защиты данных в такой VPN воспользуемся протоколом SSL.
Протокол SSL обеспечивает защищенный обмен данными за счет сочетания двух следующих элементов:
1)Цифровой сертификат привязан к конкретному домену сети Интернет, а центр сертификации проводит проверки, подтверждающие подлинность организации, а уже затем создает и подписывает цифровой сертификат для этой организации. Такой сертификат может быть установлен только на тот домен web-сервера, доля которого он прошел аутентификацию, что и дает пользователям сети Интернет необходимые гарантии.
2)Шифрование - это процесс преобразования информации в нечитаемый для всех вид, кроме конкретного получателя. Оно основывается на необходимых для электронной коммерции гарантиях конфиденциальности передачи информации и невозможности ее фальсификации.
Если между браузером и web-сервером устанавливается защищенное соединение, то префикс адреса «http» сменится на «https».
Также возможно получить дополнительную информацию о степени защищенности конкретного SSL сеанса. Когда вы устанавливаете сетевое соединение с защищенным web-сервером, сервер должен вначале сам аутентифицировать клиентский web-браузер, что осуществляется с помощью цифрового сертификата, после чего устанавливается защищенное соединение.
В ходе этой процедуры web-браузер проверяет, чтобы:
доменное имя в сертификате соответствовало тому домену, от которого идет запрос на защищенное соединение
сертификат не был просрочен
сертификации, подписавший сертификат домена, входил в число доверенных вашего web-браузера
Этапы этой процедуры проходят без пауз, так что пользователь «не чувствует» этой внутренней работы. Сертификат служит электронным документом, независимым образом заверяемым третьей стороной, такой как компания thawte, которая гарантирует, что домен принадлежит именно этой реально существующей компании. Действующий сертификат дает пользователю гарантию конфиденциальности при передаче прошедшему аутентификацию узлу Интернет. Передача информации осуществляется защищенным образом.