Информатика Состав и характеристика сетевого оборудования ЛВС. Версия шаблона
 Скачать 0.69 Mb.
|
2 Обследование и анализ ЛВС ООО «Каскад» с целью модернизации2.1. Структура ООО «Каскад» и состав действующей сети Фирма «Каскад» осуществляет эскизное проектирование, производство и поставку мебели для организаций и частных лиц. Структура фирмы «Каскад» можно представлена на Рис.5.  Директор                 Рис.5. Структурная схема фирмы «Каскад». Директор издает приказы, заключает договоры, посещает конференции по обмену опытом. Заместитель отвечает за поставку оборудования в случае его износа, технического старения. Бухгалтерия ведет всю финансовую деятельность фирмы. Она осуществляет прием и контроль документации по соответствующим участкам бухучета и подготовку их к счетной обработке, ежемесячно рассчитывает заработную плату в программе 1С версия 8.0 "Предприятие", рассчитывает налоги по зарплате по всем сотрудникам. На основании этих расчетов составляется отчет по фондам и отчет в налоговую инспекцию по единому социальному налогу. Отдел дизайна производит эскизное проектирование мебели. Отдел маркетинга осуществляет разработку маркетинговой политики на предприятии. Отдел сбыта осуществляет рациональную организацию сбыта продукции предприятия, ее поставку потребителям в сроки и объеме в соответствии с заказами и заключенными договорами. Организует приемку готовой продукции от производственных подразделений на склады, рациональное хранение и подготовку к отправке потребителям, определение потребности в транспортных средствах, механизированных погрузочных средствах, таре и рабочей силе для отгрузки готовой продукции. Организует оптовую торговлю выпускаемой предприятием продукции. Отдел кадров организует работу с персоналом для достижения эффективного использования и профессионального совершенствования работников. Обеспечивает укомплектование фирмы. Составляет и оформляет трудовые договоры и контракты, ведет личные дела работников и другую кадровую документацию. Юридический отдел выполняет защиту правовых интересов фирмы. Предприятие состоит из двух зданий – главного офиса и производственного отдела. В главном офисе расположены основные отделы фирмы «Каскад». Производственный отдел находится на расстоянии 1 км от офиса. Основная работа у всех сотрудников – тексты в MS Word и таблицы в MS Excel – составление отчетов о проделанной работе. Отдел бухгалтерии работает с 1C бухгалтерией. Отдел дизайна работает с графическими программами – Photoshop, Corel Draw, а также со специальными программами для дизайнеров. Юридический отдел использует правовую систему Консультант-плюс. Сотрудники фирмы используют интернет для написания, отправки и получения электронных писем. Также сотрудники отдела дизайна используют интернет для отправки эскизов на производство. Сотрудники производственного отдела получают от отдела дизайна проект изделия с помощью интернета. Затем в производственном отделе происходит производство деталей и сборка мебели. Сотрудники главного офиса работают на двух этажах здания: Первый этаж: охрана; отдел маркетинга; отдел сбыта; отдел кадров; юридический отдел; Второй этаж: бухгалтерия; заместитель; секретарь; директор; отдел дизайна. Рассмотрим существующую локальную сеть фирмы «Каскад». Необходимость построения локальной сети для фирмы “Каскад” заключалась в упрощении получения, обработки и хранения информации – заказов на продукцию фирмы, отчетов о продажах, дизайнерских эскизов мебели, сведений о сотрудниках фирмы и заказчиках и т.д. Топология локальной сети фирмы «Каскад» представлена на Рис.6. Всего на предприятии 23 ПК, 22 из которых расположены в главном офисе и один находится в производственном отделе. Компьютеры в отделах главного офиса с помощью коммутатора и кабеля соединены с сервером. Компьютер из производственного отдела соединяется с остальной сетью с помощью модема, скорость которого равна 56 Кбит/с.  Рис.6. Топология ЛВС фирмы «Каскад» Сеть построена по топологии “звезда”, и при этом фирма руководствовалась такими преимуществами топологии “звезда”, как: недорогой кабель и быстрая установка; легкое объединение рабочих групп; простое расширение сети; неисправность одного узла не приводит к остановке работы всей сети; достаточный запас производительности. В центре "звезды" - коммутатор, который непосредственно соединен с каждым отдельным узлом сети через кабель UTP cat5. Кабель соединяет сетевой адаптер с персональными компьютерами отделов фирмы, с одной стороны, с коммутатором - с другой. Число узлов, которые можно подключить к коммутатору, определяется возможным количеством портов самого коммутатора – в данном случае 24. В локальной сети фирмы используется коммутатор Cisco WS-CE500-24TT. Коммутаторы Cisco серии 500 разработаны специально для сегмента малого и среднего бизнеса и применяются в фирмах с числом сотрудников до 250. Конфигурация коммутатора Cisco WS-CE500-24TT приведена в таблице 2 [1]. Таблица 2 Характеристики коммутатора Cisco WS-CE500-24TT
В связи с расширением предприятия и увеличением количества рабочих мест потребуется замена данного оборудования на коммутатор, который будет иметь большее количество портов. Компьютеры отделов с помощью коммутатора подключены к серверу, который одновременно играет роль файл-сервера и сервера базы данных. На сервере установлена сетевая операционная система Microsoft Windows Server 2003. На сервере и каждом компьютере установлен сетевой адаптер: ASUS NX1001 10 PCI (10Base-T).Технические характеристики сервера представлены в таблице 3 [2]. Таблица 3 Технические характеристики сервера
Локальная сеть фирмы «Каскад» построена на технологии Ethernet 10Base-T, которая работает на скорости 10 Мбит/с. В свое время эта технология обеспечивала хорошую производительность. Но на сегодняшний день с развитием предприятия, увеличением заказов на производство продукции Ethernet 10Base-T не справляется с возросшими потребностями фирмы. Поэтому возникли следующие проблемы: малая скорость ответа сервера на запросы; нужен переход на более скоростное соединение (чем 10 Мбит/с) без замены всего оборудования; надо обеспечить высокую надежность сети; необходимо удобное управление сетью. Для решения этих проблем возникла необходимость модернизации локальной сети фирмы. Практика показывает, что модернизацию локальных вычислительных сетей необходимо проводить приблизительно каждые 3-6 лет. Это обусловлено не только развитием новых технологий и увеличением объёмов передачи данных, но и необходимостью решать бизнес задачи стоящие перед компаниями в данный период развития. Модернизацию необходимо проводить в свете новых ИТ-решений в целях обеспечения конкурентоспособности предприятия. Модернизация локальной сети фирмы «Каскад» позволит управленческому персоналу предприятия: Более оперативно получать информацию о номенклатуре, стоимости производимой продукции и объемах ее реализации. Эта информация может быть использована для более точного прогнозирования изменения экономической ситуации на фирме. Оперативно получать информацию о готовой продукции в отделе производства. Оперативно принимать решения по оптимизации управления на основе точной и достоверной информации. Модернизация локальной сети позволит повысить эффективность ее использования, так как в модернизированной сети будет: совместное использование файлов; использование общей базы данных; централизованное резервное копирование и хранение всех данных; контроль за доступом к важной информации; высокая степень защиты данных. Так как фирма планирует расширение отделов и создание новых, необходимо обеспечить новые рабочие места соединением с уже существующей сетью. Замена существующего коммутатора новым в главном офисе позволит перейти на технологию Fast Ethernet и увеличить скорость в сети до 100 Мбит/с. Замена оборудования сервера позволит увеличить скорость ответа на запросы пользователей, обеспечить безопасность информации и централизованное управление сетью. Соединение главного офиса фирмы с производственным отделом и подключение к сети Internet с помощью модема не удовлетворяет современным требованиям безопасности. Оно достаточно дорого и неэффективно, так как скорость составляет всего 56 Кбит/с, а этого недостаточно для работы с графическими файлами. Следовательно, необходимо обеспечить новое, современное и безопасное соединение с производственным отделом предприятия и с сетью Internet. Требования к проекту модернизации сети следующие: увеличить количество персональных компьютеров в отделах (кадров, маркетинговом, сбыта, юридическом, рекламы, дизайна, бухгалтерии, в конференц-зале) и подключить их к локальной сети предприятия; увеличить пропускание канала связи с рабочими станциями до 100 Мбит/с; установить немодемную связь с производственным отделом предприятия; установить доступ к Internet; для связи с новыми рабочими местами обеспечить прокладку кабеля UTP cat5; Модернизированная локальная сеть должна обеспечить решение следующих задач: Общий доступ к корпоративной базе данных; Сетевое хранение файлов. 2.2. Подключение производственного отдела к ЛВС Здание производственного отдела находится в радиусе 1 км от главного офиса. Между ним и офисным зданием расположен трехэтажный дом. Исходя из этого, можно выделить два наиболее рациональных способа подключения производственного отдела к локальной сети фирмы: Прокладка оптоволоконного кабеля между производственным отделом и главным офисом; Подключение с помощью беспроводной технологии Wi-Fi. Рассмотрим первый возможный вариант – прокладка оптоволоконного кабеля. Данный вид кабеля имеет ряд существенных преимуществ: скорость: оптоволоконные сети работают на высоких скоростях порядка 100 Мбит/с – 10 Гбит/с, что позволит оперативно передавать информацию из отдела дизайна в отдел производства. Таким образом, скорость работы сотрудников обоих отделов повысится. полоса пропускания: большая пропускная способность оптоволоконных сетей позволит передавать большее количество эскизов в отдел производства. расстояние: сигналы могут быть переданы без необходимости коррекции и усиления на расстояние до 2 км, что удобно для предприятия. Необходимо будет просто проложить кабель от главного офиса до производственного отдела, расстояние между которыми составляет 1 км. устойчивость: оптоволоконная сеть обладает большим сопротивлением электромагнитному искажению, помехам (таким, как электродвигатели), которые могут исходить от оборудования отдела производства. безопасность: оптоволокно обеспечивает высокий уровень надежности передачи информации, так как в отличие от беспроводного соединения данные нельзя перехватить. Существует несколько вариантов прокладки оптоволоконного кабеля для данного случая: в подземную кабельную канализацию; в грунт; на опорах линий электропередач; Прокладка кабеля в грунт – трудоемкая работа, так как между главным офисом и производственным отделом расположено здание, и она заняла бы много времени и ресурсов. Прокладка кабеля по линиям электропередач возможна, но это потребовало бы приобретение большего количества кабеля. Оптоволокно не используется в сетях с большим напряжением, где возможны очень сильные помехи. Так как участок, на котором расположены оба здания, принадлежит фирме «Каскад», то наиболее оптимальной является прокладка оптоволокна в подземную кабельную канализацию. Прокладка кабеля согласована с проектировщиками зданий и организацией (ЦентрТелеком), которой принадлежит эта канализация. Для прокладки кабеля в подземную канализацию необходим кабель, который обладает такими свойствами, как герметичность и наличие специальной оболочки из прочной металлической проволоки или гофрированной ленты для защиты от грызунов. Исходя из этого, выбираем внешний бронированный оптоволоконный кабель для прокладки в канализацию – кабель оптоволоконный, бронированный и влагостойкий с разъемом SC. Данный оптоволоконный кабель Teldor предназначен для магистральной или поэтажной инсталляции. Волокна окружены пустотелым буфером (жёсткая пластиковая трубка), заполненным гидрофобным гелем, такая конструкция обеспечивает большую устойчивость к растяжению и изменениям температуры. Оболочка кабеля из полиэтилена, устойчивого к ультрафиолету. В данном случае применяется многомодовое оптоволокно с соотношением сердцевины к оболочке 62,5 на 125 микрон. Технические характеристики кабеля приведены в Приложении А [22]. Чтобы соединить производственный отдел с локальной сетью главного офиса с помощью оптоволокна, необходим медиаконвертер. Используем медиаконвертеры PLANET FT-702B - это медиаконвертеры 100Base-FX/100Base-TX, предназначенные для преобразования сигнала из стандарта 10/100Base-TX Fast Ethernet по витой паре в сигнал стандарта 100Base-FX Fast Ethernet для передачи по волоконно-оптическому кабелю. Конвертеры оснащены разъемами SC и работают на расстояниях до 2 км. Технические характеристики медиаконвертера представлены в Приложении А [22]. Для подключения производственного отдела к главному офису с помощью оптоволокна потребуется 1200м кабеля и два медиаконвертера. Расчет стоимости данного оборудования и кабеля представлен в таблице 4. Таблица 4 Расчет стоимости оборудования
Итого, общая стоимость подключения производственного отдела к главному офису составляет 84334 руб. Рассмотрим второй вариант – подключение с помощью беспроводной технологии Wi-Fi. Основные преимущества беспроводной сети: мобильность – появляется возможность использовать приложения, требующие постоянного доступа к сети и предполагающие перемещение клиентских устройств в пределах здания или комплекса зданий; удобство – упрощается подключение пользователей на больших открытых площадках; гибкость – работа может выполняться там, где удобно, а не где есть розетка для подключения к сети; возможность быстрого развертывания во временных помещениях; снижение затрат на кабельную систему – беспроводные сети могут быть развернуты в местах, куда трудно проложить кабельные трассы; снижение затрат на поддержку и обслуживание за счет упрощения добавления и перемещения пользователей; более эффективное использование офисного пространства – обеспечивается дополнительная гибкость при необходимости подключить к сети большие группы пользователей, например, во время собраний. Для подключения потребуется точки доступа со встроенной антенной Cisco Aironet 1310 Outdoor AP/BR with Integrated Antenna, ETSI Config. Точка доступа Cisco Aironet 1300 представляет собой устройство стандарта 801.11g, которое обеспечивает высокоскоростные беспроводные соединения между стационарными или подвижными сетями и клиентами. Серия Cisco Aironet 1300 поддерживает стандарт 802.11q, предусматривающий скорости передачи данных до 54 Мбит/с, и в то же время обеспечивает обратную совместимость функций безопасности с устройствами стандарта 802.11b. Конфигурация точки доступа Cisco Aironet 1310 Outdoor with Integrated Antenna – (AIR-BR1310G-A-K9-R) представлена в таблице 5 [1]. Таблица 5 Характеристики точки беспроводного доступа
Расчет стоимости оборудования для сети Wi-Fi представлен в таблице 6. Сравним полученные результаты: прокладка оптоволокна будет дешевле, чем подключение по беспроводной сети. К тому же передача данных по Wi-Fi является менее безопасной, чем по оптоволоконному кабелю. Между главным офисом и производственным отделом расположено трехэтажное здание, следовательно, передача информации с помощью беспроводной технологии будет несколько затруднена. Таблица 6 Расчет стоимости оборудования для беспроводного подключения
Таким образом, целесообразнее использовать подключение производственного отдела к локальной сети главного офиса с помощью оптоволоконного кабеля. 2.3. Структура модернизированной сети и выбор оборудования Логическая топология модернизированной сети представлена на Рис. 7.  Рис. 7. Логическая топология ЛВС. Физическая топология локальной сети представлена в Приложении Б. В связи с расширением предприятия необходимо подключить новые рабочие места к уже существующей локальной сети. К коммутатору первого этажа будет подключено 22 персональных компьютера (включая 11 новых), коммутатор второго этажа, 1 медиаконвертер с помощью кабеля UTP cat5. К коммутатору второго этажа будет подключено 13 персональных компьютеров (включая 4 новых). Главный офис подключается к производственному отделу с помощью медиаконвертеров и оптоволоконного кабеля, который прокладывается в подземную канализацию. Также вместо обычного модема для соединения с сетью Интернет используется ADSL-модем. Так как скорость 10 Мбит/с, которую обеспечивает технология Ethernet 10Base-T, уже не удовлетворяет запросам предприятия, то для сети будет использована технология Fast Ethernet 100Base-TX. Таким образом, локальная сеть главного офиса будет работать на скорости 100 Мбит/с. В главном офисе для соединения с новыми рабочими местами используется кабель UTP cat5, который прокладывается в короба. Рассмотрим оборудование, которое будет использовано для модернизации сети. В модернизированной локальной сети необходимо использовать два коммутатора из-за увеличения количества компьютеров. Рассмотрим коммутаторы, которые можно использовать для данной сети. Количество портов в коммутаторе должно быть равным или превышать количество компьютеров. Исходя из этого, для первого этажа выбираем коммутатор, который имеет больше 24 портов. А для второго этажа, чтобы не тратить деньги на новый коммутатор, устанавливаем уже существующий Cisco WS-CE500-24TT. Наибольшей популярностью на рынке сетевого оборудования пользуются коммутаторы фирм Cisco и 3Com. Из каталога этих фирм и будем выбирать оборудование. От фирмы 3Com наиболее подходящим для модернизации локальной сети является коммутатор 3CR17334-91. Это управляемый коммутатор второго уровня. Главными его преимуществами являются: 48 встроенных портов для сети скоростью 10/100 Мбит/с и 2 встроенных порта для сети скоростью 10/1000 Мбит/с (если потребуется модернизация сети в будущем). От фирмы Cisco наиболее подходящим является коммутатор Catalyst 2960 WS-C2960-48TC-L. Cisco Catalyst 2960 – серия интеллектуальных коммутаторов с фиксированной конфигурацией, портами Fast Ethernet и Gigabit Ethernet. Позиционируются устройства как коммутаторы для небольших и средних предприятий или филиалов, и имеют расширенные LAN-сервисы. Технические характеристики и цена коммутаторов 3CR17334-91 фирмы 3Com и Catalyst 2960 WS-C2960-48TC-L фирмы Cisco приведены в Приложении В. Коммутаторы имеют практически одинаковые характеристики. Но с коммутаторами Cisco фирма «Каскад» работает уже долгое время. Данное оборудование зарекомендовало себя как надежное и простое в управлении. Неизвестно, будет ли совместим коммутатор фирмы 3Com с уже имеющимся на предприятии оборудованием Cisco. Поэтому для модернизации локальной сети, несмотря на разницу в цене, выберем коммутатор Catalyst 2960 WS-C2960-48TC-L фирмы Cisco. В главном офисе для подключения новых рабочих мест используем кабель UTP cat5. Потребуется 296 м данного кабеля. Для перехода на подключение к сети Internet с помощью ADSL-модема потребуется установить на сервер еще один сетевой адаптер. Так как сетевой адаптер, установленный не сервере не поддерживает технологию Fast Ethernet 100Base-T, то необходимо заменить существующий адаптер на новый. Выбираем сетевой адаптер ASUS NX1101 10/100/1000 PCI. Также будет закуплено 11 новых персональных компьютеров. Требования к рабочим станциям представлены в таблице 7 [2]. В таблице 8 приведена стоимость товаров, которые необходимы для модернизации локальной сети предприятия. Итого, потребуется 387712 руб. на покупку необходимого оборудования для модернизации сети. Таблица 7 Характеристики ПК
Таблица 8 Расчет стоимости оборудования для модернизации сети
Настройка сетевых служб: Чтобы не прописывать IP-адреса вручную, для распределения IP-адресов используем DHCP-сервер. Сеть имеет адрес 192.168.1.0 и маску подсети 255.255.255.0. В качестве шлюза в Интернет в сети работает ADSL-модем с IP-адресом 192.168.1.1. Для DNS-сервера используем 195.22.15.103. Автоматически должны присваиваться адреса из диапазона 192.168.1.10-192.168.1.60. Воспользовавшись мастером настройки сервера, добавляем роль сервера (DHCP-сервер), задаем имя и описание области (KomfortNet, сеть фирмы), задаем начальный и конечный адреса области, маску подсети (начальный – 192.168.1.10, конечный – 192.168.1.60, маска – 255.255.255.0), указываем адрес шлюза (192.168.1.1), DNS-сервера (195.22.15.103), активизируем созданную область. Устанавливаем автоматическое получение IP-адреса и адреса DNS-сервера в свойствах TCP/IP-протокола на любой рабочей станции в сети. Через некоторое время рабочая станция получит IP-адрес из указанного диапазона, адрес DNS-сервера и адрес шлюза в Интернет. Служба DNS преобразует IP-адреса в имена компьютеров. Необходимо настроить DNS-сервер для модернизированной сети. Воспользуемся мастером настроек сервера: выбираем пункт «Создать зону прямого просмотра», зоне прямого просмотра задаем имя. Затем необходимо протестировать работу сервера (в автоматическом или ручном режиме). Для подключения локальной сети фирмы к сети Интернет используем ADSL-модем. Преимущества этого способа подключения следующие: Позволяет получить более высокую скорость, чем при использовании модема; Относительно дешевый. Для подключения локальной сети фирмы «Каскад» к сети Интернет используем ADSL-модем ASUS AM604, характеристики которого представлены в Приложении Г. Для ограничения доступа пользователей к сети Интернет используем программу Traffic Inspeсtor. Программа позволяет контролировать и управлять трафиком любого пользователя. Однако если разделить пользователей по группам, процесс администрирования будет значительно упрощен. Чтобы завести новую группу, необходимо последовательно развернуть опции Traffic Inspector Внутренние сети – Добавить группу и с помощью формы определить имя в поле «Имя группы» (например, Rukovodstvo). После создания группы прописываем пользователей. Добавить пользователя можно из всплывающего меню, выбрав опцию Внутренние сети – Добавить клиента. В поле «Имя» прописывается имя абонента, а в меню Группа выбирается его принадлежность той или иной группе. Например, задаем имя пользователя Director и привязываем его к группе «Rukovodstvo». Далее переходим на закладку Авторизация, где определяется, каким образом пользователю будет разрешен доступ к шлюзу. Можно определить ограничения: на закладках формы можно спланировать разрешенное время работы в течении суток, дней, назначить способ и стоимость тарификации. Большинство настроек пользователя повторяются в свойствах группы и могут быть изменены одновременно для всех пользователей из ее состава. В свойствах сетевого соединения для сети со статической адресацией прописывается собственный IP, адрес шлюза (в нашем случае 192.168.1.1), а также адрес DNS (195.22.15.103). Интенсивность текущего трафика отслеживается монитором. Для его запуска необходимо раскрыть опции меню Traffic Inspector – Внутренние сети – Монитор работы. Окно монитора содержит список пользователей, их атрибуты, данные о мгновенном значении скорости, суммарные значения по объему данных на прием и передачу. Обобщенные отчеты содержат в графической и табличной форме различные статистические данные по работе абонентов, загруженности каналов, посещенных адресах. Закладка Настройки содержит поля для определения граничных значений интервала расчетного времени, единицы измерения трафика (скорость, пакеты), состав отображения (входящий, исходящий, почтовый трафики); на закладках Пользователи и Счетчики можно изменить список пользователей и протоколов, по каждому из которых будет выполнен расчет. 2.4. Информационная безопасность ЛВС Рассмотрим способы обеспечения безопасности локальной сети. Развитие сети Internet предоставило компаниям новые возможности для ведения бизнеса. Но доступ к сети могут получить посторонние лица, и это может иметь непредсказуемые последствия, начиная от кражи информации и трафика, заканчивая полным разрушением сетевой инфраструктуры. На данный момент можно выделить 2 основных вида защиты компьютерных сетей: аппаратные межсетевые экраны и антивирусное программное обеспечение. Аппаратные межсетевые экраны принято считать более стабильными и защищенными, нежели программный комплекс. В первую очередь это связано с тем, что для настройки программного обеспечения требуется высокая квалификация администраторов, участвующих в настройке, постоянный мониторинг системы активности приложений и трафика. Также стабильность работы программных брандмауэров зависит от стабильности работы компонентов сервера. В то время как аппаратные защитные комплексы содержат в себе уже специально предустановленную операционную систему и сконфигурированную изначально таким образом, чтобы администратор, настраивающий данный firewall, допустил как можно меньше ошибок. Тем самым, увеличив отказоустойчивость защиты. Все электронные компоненты данного устройства протестированы на совместимость и идеально подходят друг к другу, что позволяет увеличить срок действия устройства. Рынок аппаратных защитных комплексов очень разнообразен. Для защиты локальной сети фирмы «Каскад» будет использоваться межсетевой экран Cisco Secure Private Internet Exchange (PIX) Firewall, который позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, при этом прост в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm — ASA), который эффективно скрывает адреса пользователей от хакеров. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа. В локальной сети будем использовать Cisco Secure PIX Firewall – 506E, характеристики которого представлены в Приложении Д. Структура локальной сети с использованием PIX 506-E показана на рис.8.  Рис. 8. Схема защиты ЛВС от несанкционированного доступа с помощью межсетевого экрана PIX Firewall. Межсетевой экран устанавливается на границе периметра локальной сети. Чтобы защитить общедоступные ресурсы от внешних атак, создается так называемая «демилитаризованная зона» (DMZ), разделяющая локальную сеть и серверы общего доступа (FTP, DNS, HTTP, др.). При этом внешний МСЭ будет отражать атаки извне, обеспечивать доступ к общедоступным сервисам и блокировать несанкционированный доступ к корпоративной сети извне, разрешая все же пользователям выходить из локальной сети в Интернет, - это обеспечивается списками контроля доступа и политикой безопасности, заданной администратором сети. Доступ из локальной сети к общедоступным сервисам и выход в Интернет обеспечит внутренний МСЭ. Брандмауэр имеет 2 интерфейса: внешний - outside(192.168.1.2) и внутренний – inside(192.168.1.3). Внешний интерфейс называется ethernet0, внутренний - ethernet1. Каждый интерфейс имеет свой уровень безопасности: назначаем для внутренней (локальной) сети уровень безопасности 100(наиболее безопасный), для внешней сети (Интернет) – 0 (наименее безопасный): hostname ciscoasa ciscoasa(config)#interface ethernet0 ciscoasa(config-if)#nameif outside ciscoasa(config-if)#ip address 192.168.1.2 ciscoasa(config-if)# security-level 0 ciscoasa(config)#interface ethernet1 ciscoasa(config-if)#nameif inside ciscoasa(config-if)#ip address 192.168.1.3 ciscoasa(config-if)# security-level 100 По умолчанию на интерфейсе outside все порты заблокированы (уровень безопасности 0), а на интерфейсе inside (уровень 100) все порты открыты. Таким образом, весь исходящий трафик может проходить через PIX без какой-либо специальной конфигурации устройства, но входящий трафик должен быть явно разрешен при помощи листов доступа. Для безопасности сети необходимо ограничить доступ к 5 сервисам, находящимся в DMZ. Таким образом, открываем порты для SMTP, HTTPS, DNS, HTTP, а закрываем – для FTP. Разрешим прохождение трафика из интерфейса outside на интерфейс inside. Открываем трафик для SMTP. Открываем порт tcp 25 для того, чтобы хосты в Интернет могли отправлять почту на сервер, расположенный в DMZ. Команда static преобразует внешний мапированный адрес 172.16.1.4 в реальный DMZ адрес 192.22.15.106. Мапированный адрес – это такой адрес, который хосты, находящиеся в Internet, могут использовать для доступа к серверу, расположенному в DMZ, без необходимости знания его реального адреса (адреса интерфейса). !--Создаем фиксированную трансляцию реального адреса в мапированный адрес: ciscoasa(config)#static (DMZ,outside) 172.16.1.4 192.22.15.106 netmask 255.255.255.0 !--Создаем ACL, чтобы разрешить трафик на указанный порт: ciscoasa(config)#access-list 100 extended permit tcp any host 172.16.1.4 eq 25 !--Привязываем ACL на нужный интерфейс: ciscoasa(config)#access-group 100 in interface outside Открываем трафик для HTTPS. Открываем порт tcp 443, чтобы пользователи внешней сети могли получить доступ к web серверу ciscoasa(config)#static (DMZ,outside) 172.16.1.3 192.22.15.105 netmask 255.255.255.255 ciscoasa(config)#access-list 100 extended permit tcp any host 172.16.1.3 eq 443 ciscoasa(config)#access-group 100 in interface outside Разрешаем DNS трафик. Аналогичным образом открываем порт udp 53 ciscoasa(config)#static (DMZ,outside) 172.16.1.1 192.22.115.103 netmask 255.255.255.255 ciscoasa(config)#access-list 100 extended permit udp any host 172.16.1.1 eq 53 ciscoasa(config)#access-group 100 in interface outside Разрешаем HTTP трафик. Аналогичным образом открываем порт tcp 80 ciscoasa(config)#static (DMZ,outside) 172.16.1.2 192.22.115.104 netmask 255.255.255.255 ciscoasa(config)#access-list 100 extended permit tcp any host 172.16.1.2 eq 80 ciscoasa(config)#access-group 100 in interface outside Блокируем порты для трафика, идущего из интерфейса inside в DMZ. Блокируем FTP трафик. Для того, чтобы заблокировать внутреннюю сеть 192.168.1.0 от доступа к FTP серверу 192.22.15.107, расположенному в DMZ сети, создаем ACL: !--Создаем лист доступа, чтобы заблокировать определенный порт ciscoasa(config)#access-list 100 extended deny tcp 192.168.1.0 255.255.255.0 host 192.22.15.107 eq 21 ciscoasa(config)#access-list 100 extended permit ip any any !--Привязываем созданный ACL к нужному интерфейсу ciscoasa(config)#access-group 100 in interface inside Антивирусное программное обеспечение. Для защиты локальной сети фирмы «Каскад» будем использовать корпоративное антивирусное программное обеспечение Panda WebAdmin Antivirus. Его особенностью является очень быстрый механизм проверки, который эффективно находит и лечит вирусы, не требуя больших ресурсов компьютера. WebAdmin_Antivirus представляет собой управляемое через Интернет антивирусное решение, предоставляющее полную автоматическую защиту для всех серверов и рабочих станций. Основанное на значительно улучшенном антивирусе и технологии администрирования, это решение может быть очень быстро развернуто в компании, автоматически обновлено и дополнительно настроено таким образом, чтобы адаптироваться к каждому пользователю. С любого компьютера, имеющего подключение к Интернету можно наблюдать и безопасно управлять антивирусом во всей сети, включая даже не подключенные к локальной сети компьютеры. |