Функціональна схема локальної мережі

Размещено на http://www.allbest.ru/

Зміст

мережа сервер дисковий користувач

Вступ

1. Постановка завдання

2. Функціональна схема локальної мережі

2.1 Аналіз інформаційних потреб підприємства

2.2 Інформаційні потоки у ЛОМ підприємства

3. Планування структури мережі

3.1 Комп'ютерна мережа. Топологія мережі

3.2 Спосіб управління мережею

3.3 План приміщень

3.4 Розміщення сервера

3.5 Мережна архітектура

3.6 Мережеві ресурси

4. Організація мережі на основі мережевої ОС

4.1 Вибір мережевої ОС

4.2 Служби мережевої ОС

5. Структура корпоративної комп'ютерної мережі підприємства

5.1 Кабельна система

5.2 Технологія монтажу СКС

5.3 Схема побудови

5.4 Організація робочого місця

5.5 Клієнт-серверні компоненти

5.6 Міжстанційна взаємодія

5.7 Мережеві СУБД

5.8 Internet-Intranet компоненти

5.9 Mail-сервер

5.10 Ftp-сервер і клієнти

5.11 Web-сервер

6. Стратегія адміністрування та управління

6.1 Захист інформації в мережі. Загальні положення

6.2 Облікові картки користувачів. Категорії користувачів

6.3 Журнал подій безпеки

6.4 Шифрування даних

6.5 Облік системних ресурсів і аналіз продуктивності

6.6 Файлові системи і керування дисковим простором

6.7 Резервне копіювання

6.8 Мережевий друк

7. Розрахунки витрат на створення мережі

7.1 Визначення вартості матеріальної частини мережі

7.2 Розрахунок витрат на організацію та обслуговування ЛОМ

Висновок

Бібліографічний список



Вступ

В даний час ефективне управління фірмою неможливо без неперервного відстеження станів комерційного і фінансового ринків, без оперативної координації діяльності всіх філій та співробітників. Реалізація названих завдань вимагає спільної участі великої кількості різних фахівців, часто територіально віддалених один від одного. У такій ситуації для організації ефективної взаємодії цих фахівців служать системи розподіленої обробки даних.

Локальна обчислювальна мережа підприємства - це щось більше, ніж просто сума об'єднуються нею компонентів. На підключених до мережі комп'ютерах можна спільно використовувати підключення Інтернету, загальний принтер та інше обладнання, а також загальні файли.

З'єднання комп'ютерів в мережу значно збільшує їх можливості і дозволяє заощадити гроші. Поєднавши комп'ютери в мережу, можна отримати наступні можливості:

1. загальний доступ до підключення Інтернету;

2. загальний доступ до принтера, сканера та іншого обладнання;

3. загальний доступ до файлів і папок;

4. економія дискового простору, тобто не обов'язково зберігати однакові програми на кожній машині.

В даний час будь-яке поважає себе підприємство, що має у своєму розпорядженні більше одного комп'ютера, прагне об'єднати їх в локальну мережу. Проектування локальної обчислювальної мережі - процес складний, тривалий, що вимагає особливої уваги і хороших знань в області мережевих технологій.

Але одного бажання для створення локальної мережі недостатньо. Потрібно ще й спеціальне обладнання. У загальному випадку воно включає основні типи комунікаційного устаткування, яке застосовується сьогодні для освіти локальних мереж і з'єднання їх через глобальні зв'язки один з одним. Для побудови локальних зв'язків між комп'ютерами використовуються різні види кабельних систем, мережні адаптери, концентратори, повторювачі, мости, комутатори і маршрутизатори.

Найважливішим етапом проектування мережі є її оптимізація. Якщо мережа працює задовільно, то подальше підвищення її продуктивності або надійності навряд чи можна досягти зміною тільки якого-небудь одного параметра, як у випадку повністю непрацездатною мережі або ж у разі її грубого налаштування. У разі нормально працюючої мережі подальше підвищення її якості вимагає знаходження деякого вдалого поєднання значень великої кількості параметрів.

Об'єднання комп'ютерів в локальну обчислювальну мережу привносить свої труднощі. Оскільки філія веде роботу із закритою інформацією, доступ до якої стороннім особам строго заборонений, то виникає проблема захисту інформації в ЛОМ. Важливим аспектом загальної надійності є безпека, тобто здатність системи захистити дані від несанкціонованого доступу. У розподіленої системі це зробити набагато складніше, ніж в централізованій. У мережах повідомлення передаються по лініях зв'язку, часто проходять через загальнодоступні приміщення, в яких можуть бути встановлені засоби прослуховування ліній. Іншим вразливим місцем можуть бути залишені без нагляду персональні комп'ютери. Крім того, завжди є потенційна загроза злому захисту мережі від неавторизованих користувачів, якщо мережа має виходи в глобальні мережі загального користування. Локальна обчислювальна мережа повинна бути спроектована таким чином, щоб забезпечити належну ступінь захищеності даних. Треба пам'ятати, що від цього не повинно страждати зручність користувачів і адміністраторів мережі.

Моніторинг і аналіз мережі являють собою важливі етапи контролю роботи мережі. Для виконання цих етапів розроблено ряд засобів, що застосовуються автономно в тих випадках, коли застосування інтегрованої системи управління економічно невиправдано. Постійний контроль над роботою локальної мережі , що становить основу будь-якої корпоративної мережі, необхідний для підтримки її в працездатному стані. Контроль - це необхідний етап, який повинен виконуватися при управлінні мережею . Зважаючи на важливість цієї функції її часто відокремлюють від інших функцій систем управління і реалізують спеціальними засобами. Такий поділ функцій контролю і власне управління корисно для невеликих і середніх мереж , для яких установка інтегрованої системи управління економічно недоцільна. Використання автономних засобів контролю допомагає адміністратору мережі виявити проблемні ділянки й пристрої мережі, а їх відключення або реконфігурацію він може виконувати в цьому випадку вручну.



1. Постановка завдання

Консолідація інформаційних потоків підприємства.

Дано: центральний офіс і мережа його представництв, розташованих на великій відстані один від одного з однотипним набором технічних засобів.

Необхідно: визначити найбільш ефективне рішення з точки зору ціна\якість щодо забезпечення ефективної передачі інформації з усіх представництв у центральний офіс СО. У центральному офісі організувати ЛОМ з виходом в Інтернет.



2. Функціональна схема локальної мережі

2.1 Аналіз інформаційних потреб підприємства

При побудові комп'ютерної мережі потрібно забезпечити такі її функції:

Доступ до мережі Internet з головного офісу.

Надійна та безпечна передача даних мережевими каналами.

Керування мережею з головного офісу.

2.2 Інформаційні потоки у ЛОМ підприємства

Весь обмін інформацією в мережі відбувається через головний офіс, який координує роботу представництв. Відповідно, вся потрібна інформація пересилається до головного офісу, а звідти, якщо надходить запит від якогось з представництв, надсилається до філіалу.



3. Планування структури мережі

3.1 Комп'ютерна мережа. Топологія мережі

Відповідно до проведеного дослідження інформаційних потреб підприємства, можна відразу сказати, що мережа матиме змішану топологію. Оскільки мережа матиме яскраво виражений центр керування, можна говорити про мережу типу «зірка». Але у головному офісі буде налаштована внутрішня мережа з топологією «шина», відповідно, можна говорити про зірково-шинну топологію. Комп'ютери у філіалах будуть з'єднані комутаторами та забезпечуватимуть пересилання інформації до головного офісу.

3.2 Спосіб управління мережею

Виходячи з особливостей даної мережі, обов'язково потрібно виділити сервер, який керуватиме роботою мережі та забезпечуватиме керування мережею.

3.3 План приміщень



3.4 Розміщення сервера

Дане питання є особливо важливим, оскільки сервер є центральною частиною мережі. Для нього варто виділити спеціальне приміщення. До приміщення пред'являються специфічні рекомендації, наприклад:

У серверній потрібно підтримувати надлишковий тиск повітря по відношенню до прилеглих приміщень.

При створенні серверної кімнати доцільно забезпечити резервування електроживлення, наприклад за допомогою підключення дизель-генератора.

Також необхідно використання незалежних систем IP моніторингу серверних, що включають в себе датчики температури і вологості, кабельні або прості датчики витоку води, датчики струму і напруги, лічильники електричної потужності, датчики повітряного потоку і диму.

Основні вимоги:

Допустима температура в приміщенні повинна бути 15-32° С, рекомендована 18-27° С, для цього необхідне кондиціонування повітря.

Вологість повітря в серверній повинна бути в межах від 20% до 80% без конденсації вологи; швидкість зміни вологості 6% на годину.

Запиленість не повинна перевищувати 0,75 мг/м і {СН 512-78}.

Тиск в серверній повинен перевищувати тиск в сусідніх приміщеннях. Рекомендується перевищення тиску не менше 147 Па.

Рівень освітлення має становити не менше 500 лк, виміряному на висоті 1 метр в горизонтальній площині.

Рівень електромагнітного випромінювання не повинен перевищувати 3 В/м у всіх діапазонах частот.

Для певних видів обладнання і необхідно обмежити вібрацію.

Гранично допустима концентрація:

Хлор 0.01 ppm

Пил 100 мкг/мі/24 год.

Вуглеводні 4 мкг / м і / 24 год.

Сірководень 0.05 ppm

Окисли азоту 0.1 ppm

Двоокис сірки 0.3 ppm

Вимоги до електричного забезпечення:

2 планки розеток підключених на різні вводи для кожної стійки.

Стабільність електроживлення повинно забезпечуватися ДБЖ підключеними за схемою On - Line.

Для групової прокладки з урахуванням обсягу горючої завантаження в приміщеннях , оснащених комп'ютерною та мікропроцесорної технікою повинні застосовуватися кабелі з маркуванням нг-HF - не поширюють горіння при груповій прокладці і не виділяють корозійно-активних газоподібних продуктів при горінні і тлінні.

Норми пожежної безпеки:

Приміщення повинно бути обладнане охоронно - пожежною сигналізацією. Серверне приміщення площею більше 24 м І має бути обладнане системою газового пожежогасіння. Серверна (основна та резервна) і телекомунікаційна обладнуються автоматичними установками газового пожежогасіння (АУГП), згідно з вимогами норм. АУГП передбачається для приміщень, де розташовується обладнання управління ІТТ (серверна, центр управління, процесинговий центр). Вогнегасною речовиною повинен бути газ , який має російський сертифікат. Використання фреону 114В2 (тетрафтордіброметан) і порошкових вогнегасників в цих приміщеннях категорично заборонено.

3.5 Мережна архітектура

Згідно до потреб підприємства, було запропоновано мережну архітектуру з такими особливостями:

Доступ до головного офісу віддалених офісів здійснюватиметься за технологією VPN для Intranet мереж. Передбачається встановлення в кожному філіалі спеціалізованого апаратного забезпечення - маршрутизаторів Cisco, які гратимуть ролі VPN-серверів для мережі. В головному офісі також буде встановлений маршрутизатор того ж типу, для приймання та передачі інформації до головного серверу організації. Робота в мережі здійснюватиметься за протоколом IPSec, контролем, шифруванням та передачею керуватимуть згадані вище маршрутизатори.

Комп'ютери в філіалах під'єднуватимуться до маршрутизаторів за допомогою комутаторів для об'єднання кількох робочих станцій.

У головному офісі буде розміщена додаткова власна локальна мережа з виділеним сервером. При цьому комп'ютери будуть об'єднуватися за шинною топологією з використанням екранованої витої пари.

3.6 Мережеві ресурси

Основним мережевим ресурсом в даній мережі є файли на сервері, якими користуються користувачі мережі. Також в якості ресурсів виступають периферійні пристрої, такі як принтери та сканери. Керування доступом до цих пристроїв також виконує мережева ОС.



4. Організація мережі на основі мережевої ОС

4.1 Вибір мережевої ОС

В якості мережевої ОС я вибираю Windows Server 2008 . Дана ОС гарно зарекомендувала себе на ринку в якості ОС для серверів та відповідає вимогам до налаштування.

Наведемо основні характеристики системи Windows 2008 Server:

Вимогливість до апаратної платформи. Маючи важке ядро, ОС пред'являє високі вимоги до апаратної платформи. У той же час зараз вартість апаратної платформи значно знизилася.

Простота адміністрування і супроводу. Адміністрування вимагає знання операційної системи, а інтерфейс знайомий по настільним системам, що значно полегшує процес адміністрування та навчання.

Підтримка стандартних транспортних протоколів. Підтримуються всі найбільш поширені транспортні протоколи : TCP/IP, IPX/SPX, NetBEUI. При цьому забезпечується маршрутизація по LAN-з'єднанню. Для забезпечення маршрутизації по WAN-з'єднанню розроблено розширення StreelSuit. Всі сервіси підтримки різних протоколів поставляються разом з ОС і входять у її вартість.

Ліцензії можна купувати на довільне число користувачів.

Клієнтське програмне забезпечення локалізується практично для всіх мовних груп. Серверне програмне забезпечення забезпечує підтримку всіх мов клієнтської сторони.

Наявність розробок третіх фірм. Практично всі фірми на ринку програмних продуктів розробляють продукти під Windows 2008 Server.

Забезпечується підтримка практично всіх нових пристроїв, що випускаються різними виробниками. Більшість виробників устаткування самостійно розробляють драйвери для систем Windows 2008 Server.

Розробку серверних і клієнтських додатків можна вести практично будь-якими інструментальними засобами: Visual C++, Visual Basic, Visual FoxPro, Delphi, Power Builder і так далі.

Підтримка технології Intranet. Підтримка технології Intranet вбудована в ОС. У базову ОС входять такі служби, як Web-сервер, FTP-сервер, Gopher-cервер, редактор HTML FrontPage, підтримка активних серверних сторінок, Index Server, DNS Server, DHCP Server.

Базова ОС забезпечує підтримку до чотирьох процесорів. При збільшенні числа процесорів необхідно ліцензування з боку виробника апаратної системи. Є кластерні рішення.

Базова ОС забезпечує всі види мережевого друку.

Забезпечення електронної пошти. Пропонується додатковий продукт MS Exchange, що забезпечує функціонування системи. MS Exchange додатково підтримує електронні форми і дозволяє розробляти розширення поштової системи.

Таким чином, Windows 2008 Server цілком підходить в якості мережевої ОС.

На робочих станціях пропонується використовувати Windows 7.

4.2 Служби мережевої ОС

Служби для розгортання системи.

Служби Active Directory.

Служби мережевої політики та доступу.

Служба Hyper-V для управління віртуалізацією.

Служби, які підтримують Intranet-технології Web-сервер, FTP-сервер, Gopher-cервер, редактор HTML FrontPage, підтримка активних серверних сторінок, Index Server, DNS Server, DHCP Server.

Служба мережевого друку.

Служба електронної почти.

5. Структура корпоративної комп'ютерної мережі підприємства

5.1 Кабельна система

В даній роботі планується використання кабелю типу «екранована вита пара», який під'єднуватиметься до пристроїв за допомогою роз'ємів типу RJ-45.

5.2 Технологія монтажу СКС

Для монтажу СКС передбачається залучення кваліфікованих спеціалістів.

Існують спеціальні вимоги і рекомендації з монтажу СКС, виконання яких гарантує збереження початкових робочих характеристик окремих компонентів, зібраних в лінії, канали і системи. Стандарти ISO / IEC 11801 та ANSI/TIA/EIA-568A встановлюють в якості вимог кілька основних правил монтажу, що передбачають методи і акуратність виконання з'єднання компонентів та організації кабельних потоків, які значною мірою підвищують продуктивність системи і полегшують адміністрування встановлених кабельних систем.

Зменшенню спотворення переданого сигналу сприяють спеціальні методи підготовки кабелю і його термінування відповідно до інструкцій виробника, а також гарна організація кабельних потоків, розташування та монтаж телекомунікаційного обладнання, обслуговуючого кабельну систему.

Із збільшенням частоти передачі зростає ризик того, що неправильно змонтований кабель зробить вплив на продуктивність системи. Якщо смуга частот менше 16 МГц, а швидкість передачі нижче 10 Мбіт/с, можна і не помітити, що технологія монтажу була порушена. Однак цей же кабель, що працює при ширині смуги мережі понад 50 МГц і швидкості передачі 100 Мбіт/с або вище, може функціонувати неправильно.

Для уникнення розтягування кабелю під час монтажу сила натягу не повинна перевищувати 110 Н для 4-парних кабелів калібру 24 AWG (0,5 мм). При монтажі кабельних систем в складних умовах (усередині або між будівлями), при протяжності безперервного кондуїту більше 30 м або суму кутів поворотів при протяганні, що перевищує 180 градусів, рекомендується застосовувати динамометр, що дозволяє контролювати натяг кабелю з метою не вийти за рамки специфікацій виробника.

Вище наведена лише загальна рекомендація по максимальній силі натягу 4-парного кабелю. На практиці слід дотримуватися обмеження по максимальному натягу, певні виробником конкретного виду кабелю.

Радіуси вигину встановлених кабелів не повинні бути менше таких значень: 4 зовнішніх діаметра кабелю для горизонтальних кабелів DTP і 10 зовнішніх діаметрів кабелю для багатопарних магістральних кабелів UTP. Необхідність підтримки невеликих радіусів вигину кабелю обумовлена тим, що при різких вигинах пари всередині кабелю деформуються і порушується однорідність збалансованої симетричної передавальної середовища. Подальше випрямлення вигину може не тільки не відновити, але й погіршити форму пари. Забороняється поміщати кабелі в ті канали, кабінети, корпуси та інші монтажні пристрої, у яких радіуси заокруглень або країв не відповідають вимогам виробників кабелів до радіусу їх вигину.

Групуючи і пов'язуючи вільні кабелі необхідно стежити, щоб вони не були перетягнуті, і використовувати спеціальні м'які кабельні хомути.

Забороняється кріпити кабелі металевими скобами, їх слід встановлювати в трасах і просторах, що забезпечують захист від погодних умов та інших небезпечних факторів навколишнього середовища.

Екран кабельної лінії або каналу має бути заземлений на шині телекомунікаційної системи заземлення (Telecommunications Ground Busbar, TGB). Різниця потенціалів між екраном і землею не повинна перевищувати 1 В, а опір між екраном і землею - 4 Ом на робочому місці. Для створення магістралі між двома будівлями з різними потенціалами землі рекомендується використовувати волоконно-оптичні кабелі.

Збереження цілісності звитих пар якнайближче до місця термінування забезпечує мінімальний вплив сигналів один на одного. Розкручені під час монтажу кабельні пари не слід скручувати знову. Правильне скручування контролюється виробником кабелю, неправильне може негативно вплинути на робочі характеристики.

5.3 Схема побудови

5.4 Організація робочого місця

На кожному робочому місці користувача повинен знаходитися мінімальний набір пристроїв для роботи: системний блок, монітор, клавіатура та миша. Допустимо замінити даний набір ноутбуком.

До обладнання робочих місць висуваються певні санітарні умови, які регулюються:

Законом України «Про охорону праці» від 14.10.1992 року;

Правилами охорони праці під час експлуатації електронно-обчислювальних машин затверджених наказом Державного комітету України з промислової безпеки, охорони праці та гірничого нагляду від 26 березня 2010 року N 65 (далі - Правила) та іншими нормативно-правовими актами.;

Гігієнічна класифікація праці за показниками шкідливості та небезпечності факторів виробничого середовища, важкості та напруженості трудового процесу N 4137-86, затвердженою МОЗ СРСР 12.08.86р. та іншими нормативно-правовими актами.

Відповідно до ч. 1 ст. 6 Закону України «Про охорону праці» від 14.10.1992 року умови праці на робочому місці, безпека технологічних процесів, машин, механізмів, устаткування та інших засобів виробництва, стан засобів колективного та індивідуального захисту, що використовуються працівником, а також санітарно-побутові умови повинні відповідати вимогам законодавства.

Відповідно до ч.1 ст. 13 Закону України «Про охорону праці» роботодавець зобов'язаний створити на робочому місці в кожному структурному підрозділі умови праці відповідно до нормативно-правових актів.

5.5 Клієнт-серверні компоненти

Централізовані файлові сервіси.

В якості файлового серверу передбачено використання серверу з накопичувачем великого об'єму для зберігання файлів для загального користування учасниками мережі. Файл-сервери містять ієрархічні файлові системи, з кореневими каталогами і підкаталогами. Комп'ютер-клієнт під'єднується і втілює ці файлові системи до своїх локальних файлових систем. Втілені файлові системи фізично залишаються на серверах. Файловий сервіс - це опис функцій, які файлова система пропонує своїм користувачам. Файловий сервіс визначає інтерфейс файлової системи з клієнтами.

Файловий сервер - це процес, який виконується на окремому комп'ютері і допомагає реалізовувати файловий сервіс. В системі може бути один або кілька файлових серверів, кожен з яких пропонує різний файловий сервіс. Наприклад, в розподіленій системі може бути два сервери, які забезпечують файлові сервіси для систем Windows і UNIX відповідно, і користувач може задіяти відповідний сервіс.

В добре організованій розподіленій системі користувачі не знають, як реалізовано файлову систему. Зокрема, вони не знають кількості файлових серверів, їх місця розташування і функції. Користувачі знають, що якщо процедуру визначено у файловому сервісі, то запити певним чином обслуговуються, і їм повертаються необхідні результати. Користувачі не має відчувати, що файловий сервіс є розподіленим. В ідеалі він виглядає, як і в централізованій файловій системі.

Файловий сервіс в розподілених файлових системах (аналогічно до централізованих) має дві функціонально різні частини: власне файловий сервіс і сервіс каталогів. Перший має справу з операціями над окремими файлами, такими, як читання, запис чи додавання, а другий - із створенням каталогів і управлінням ними, додаванням і видаленням файлів з каталогів тощо.

5.6 Міжстанційна взаємодія

Міжстанційна взаємодія відбуватиметься за визначеними в мережі протоколами.

IP-адреси назначимо з діапазону 192.168.0.1192.168.0.254. При цьому маршрутизаторам належатимуть адреси з діапазону 192.168.0.10 - 20, комутаторам - 20-30, іншим клієнтам - наступні по порядку.



5.7 Мережеві СУБД

В якості мережевої СУБД я виберу SQL Server 2008. Система SQL Server 2008 відштовхується від концепції платформи даних Майкрософт: вона спрощує управління будь-якими даними в будь-якому місці і в будь-який момент часу. Вона дозволяє зберігати в базах даних інформацію, отриману з структурованих, напівструктурованих і неструктурованих джерел, таких як зображення і музика. У SQL Server 2008 є великий набір інтегрованих служб, що розширюють можливості використання даних: ви можете складати запити, виконувати пошук , проводити синхронізацію, робити звіти, аналізувати дані. Всі дані зберігаються на основних серверах, що входять до складу центру обробки даних. До них здійснюється доступ з настільних комп'ютерів і мобільних пристроїв. Таким чином, ви повністю контролюєте дані незалежно від того, де ви їх зберегли.

Система SQL Server 2008 дозволяє звертатися до даних з будь-якого додатку, розробленого із застосуванням технологій Microsoft. NET і Visual Studio, а також у межах сервісно-орієнтованої архітектури і бізнес-процесів - через Microsoft BizTalk Server. Співробітники, що відповідають за збір і аналіз інформації, можуть працювати з даними, не покидаючи звичних додатків , якими вони користуються щодня, наприклад додатків випуску 2007 системи Microsoft Office. SQL Server 2008 дозволяє створити надійну, продуктивну, інтелектуальну платформу, що відповідає всім вимогам по роботі з даними.

5.8 Internet-Intranet компоненти

В корпоративній мережі присутня власна Intranet-мережа на основі VPN-з'єднання, яке забезпечується роботою маршрутизаторів, що описано в пункті «Мережева архітектура».

Для встановлення з'єднання локальної мережі з мережею Internet передбачено встановлення proxy-сервера на сервері локальної мережі.

Для керування мережею застосовуємо влаштовані служби Windows Server.

5.9 Mail-сервер

В якості почтового серверу я використаю hMailServer - безкоштовний поштовий сервер під платформу Windows. Працює як служба Windows і включає в себе інструменти адміністрування і резервного копіювання. Підтримує поштові протоколи IMAP, POP3 і SMTP. Для зберігання налаштувань та індексів використовує бази даних типу MySQL, MS SQL або PostgreSQL, самі ж поштові повідомлення зберігаються на жорсткому диску в форматі MIME.

5.10 Ftp-сервер і клієнти

В якості ftp-сервера в локальній мережі виступатиме спеціально виділений для цього сервер з накопичувачем великого обсягу.

Для керування використовуватиметься влаштована служба серверної ОС.

5.11 Web-сервер

Веб-семрвер - це сервер, що приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, видає їм HTTP-відповіді, зазвичай разом з HTML-сторінкою, зображенням,файлом, медіа-потоком або іншими даними. Веб-сервер - основа Всесвітньої павутини.

Веб-сервером називають як програмне забезпечення, що виконує функції веб-сервера, так і комп'ютер, на якому це програмне забезпечення працює.

Клієнти дістаються веб-сервера за URL-адресою потрібної їм веб-сторінки або іншого ресурсу.

Для нашого випадку не потрібно облаштовувати Web-сервер. При виникненні потреби, організуємо його за домогою ПО Apache.

Для створення сайту можна використати СMS Joomla - відкриту універсальну систему керування вмістом для публікації інформації в інтернеті. Підходить для створення маленьких і великих корпоративних сайтів, інтернет порталів, онлайн-магазинів, сайтів спільнот і персональних сторінок. З особливостей Joomla можна відзначити: гнучкі інструменти з управління обліковими записами, інтерфейс для управління медіа-файлами, підтримка створення багатомовних варіантів сторінок, система управління рекламними кампаніями, адресна книга користувачів, голосування, вбудований пошук, функції категоризації посилань і обліку кліків, WYSIWYG-редактор, система шаблонів, підтримка меню, управління новинними потоками, XML-RPC API для інтеграції з іншими системами, підтримка кешування сторінок і великий набір готових доповнень.

Joomla! написана на мові PHP з використанням архітектури MVC. Для збереження інформації використовується база даних MySQL, PostgreSQL чи MS SQL. Це вільне програмне забезпечення, захищене ліцензією GPL.



6. Стратегія адміністрування та управління

6.1 Захист інформації в мережі. Загальні положення

Завдання захисту інформації в корпоративній мережі (побудова Intranet) має свої суттєві особливості, тому далеко не всі засоби захисту, використовувані для побудови VPN, можуть ефективно застосовуватися в даних додатках. Принципова особливість захисту інформації в корпоративній мережі, полягає в тому, що інформація повинна захищатися, як від зовнішніх, так і від внутрішніх загроз, тобто в якості потенційного зловмисника тут слід розглядати не тільки (а може бути і не стільки) якась стороння відносно корпоративних ресурсів особа, а й санкціоновані користувачі, допущені до ресурсів корпоративної мережі в рамках виконання своїх службових обов'язків ( їх прийнято називати інсайдерами). Це обумовлюється тим, що користувач в даних додатках обробляє особисту інформацію - не він є її власником, при тому, що комп'ютерна обробка інформації проникає в усі сфери діяльності корпорації, все більше набуваючи конфіденційного характеру.

З розглянутих особливостей корпоративних додатків можуть бути сформульовані основоположні вимоги до побудови корпоративної VPN (саме виконання цих вимог і дозволяє позиціонувати той чи інший засіб, як засіб захисту для побудови Intranet):

Всі завдання адміністрування, як в частині завдання розмежувальної політики доступу до корпоративних ресурсів, так і в частині реалізації ключової політики (створення та розповсюдження ключів шифрування віртуальних каналів зв'язку), повинні вирішуватися адміністратором безпеки - користувач повинен бути виключений зі схеми адміністрування, повинен працювати в корпоративній мережі "під примусом" - в рамках тих прав, які йому надані адміністратором - повинен спілкуватися лише з тими користувачами (або комп'ютерами), з якими йому дозволено, при цьому повинен обмінюватися з ними даними тільки в тому вигляді (відкритими, або зашифрованими), в якому дозволено. Як наслідок, шифрування віртуальних каналів зв'язку повинно здійснюватися автоматично "прозоро" для користувача, ключ шифрування повинен бути недоступний користувачеві (а вже тим більше, не їм створюватися), що запобігає можливість порушення санкціонованим користувачем конфіденційності даних, у разі їх розкрадання (інсайдерська атака).

Повинна надаватися можливість шифрування віртуальних каналів зв'язку, як у складі ЛВС, так і каналах мережі загального користування, які об'єднують підмережі (або/та забезпечують доступ до корпоративних ресурсів віддалених і мобільних користувачів). Тому є дві причини, по-перше, необхідно забезпечувати захист від інсайдерських атак (санкціонованим користувачам досить просто отримати доступ до внутрішніх (у складі ЛОМ) каналів зв'язку), по-друге, тільки в цьому випадку (за умови надійної ідентифікації суб'єктів та об'єктів доступу, що також є найважливішою вимогою до корпоративної VPN), в корпоративних додатках можуть реалізовуватися бездротові внутрішньоофісні (indoor) корпоративні мережі (або бездротові сегменти ЛОМ).

Реалізація цих основоположних вимог до побудови корпоративної VPN тягне за собою формування вимог до складу засоби захисту, використовуваному для побудови Intranet.

Оскільки повинна надаватися можливість шифрування віртуальних каналів зв'язку, як у складі ЛВС, так і каналів мережі загального користування, основним компонентом засоби захисту для побудови корпоративної VPN є клієнтська частина, яка встановлюється на комп'ютери у складі VPN - реалізує автоматичне ("під примусом") "прозоре" для користувача шифрування віртуальних каналів зв'язку VPN, як наслідок, основний компонент клієнтської частини засоби захисту, використовуваного для побудови корпоративної VPN - це драйвер, що забезпечує "перехоплення" та відповідну обробку всіх звернень до/з віртуальним каналам;

Оскільки всі завдання адміністрування покладаються на адміністратора безпеки (всі завдання адміністрування та контролю функціонування VPN повинні вирішуватися централізовано), до складу VPN, крім клієнтських частин, що встановлюються на захищаються комп'ютери, повинні бути включені сервер VPN, відповідальний за генерування і розподіл ключів шифрування, і АРМ адміністратора безпеки, що надає можливість централізованої настройки і аудиту роботи VPN з одного робочого місця адміністратора безпеки;

Критичність розкрадання конфіденційної корпоративної інформації обумовлює формування для цих додатків додаткових вимог до її захисту у віртуальних каналах зв'язку:

Оскільки високий рівень криптостійкості забезпечується не тільки завданням необхідної довжини ключа шифрування, але і високою інтенсивністю зміни ключів - процедура генерування ключів шифрування і їх розподілу в мережі повинна здійснюватися сервером VPN автоматично з мінімально можливим періодом (однак це не повинно істотно позначатися на завантаженні зв'язкового ресурсу);

Оскільки в VPN завжди присутня загроза компрометації ключа шифрування, повинна передбачатися мінімізація шкоди, пов'язана з його розкраданням, що досягається використанням свого ключа шифрування (періодично автоматично змінюваного, див. вище) для кожної пари взаємодіючих суб'єктів /об'єктів в мережі.

6.2 Облікові картки користувачів. Категорії користувачів

Кожний клієнт, який використовує мережу, повинен мати облікову картку користувача в домені мережі. Облікова картка користувача (таблиця 1) містить інформацію про користувача, що включає ім'я, пароль і обмеження по використанню мережі, що накладають на нього. Є можливість також згрупувати користувачів, які мають аналогічні ресурси, у групи; групи полегшують надання прав і дозволів на ресурси, досить зробити тільки одну дію, що дає права або дозвіл всій групі.

Таблиця 1. Вміст облікової картки

Облікова картка користувача	Елемент облікової картки	Коментарі
Username	Ім'я користувача	Унікальне ім'я користувача, вибирається при реєстрації.
Password	Пароль	Пароль користувача.
Full name	Повне ім'я	Повне ім'я користувача.
Logon hours	Годинник початку сеансу	Годинник, протягом якого користувачеві дозволяється входити в систему.
Logon workstations		Імена робочих станцій, на яких користувачеві дозволяється працювати. Зазвичай користувач може використовувати будь-яку робочу станцію.

6.3 Журнал подій безпеки

Система дозволяє визначити, що буде розглядатися і записано в журнал подій безпеки щоразу, коли виконуються певні дії або здійснюється доступ до файлів. Елемент ревізії показує виконану дію, користувача, який виконав його, а також дату й час дії. Це дозволяє контролювати як успішні, так і невдалі спроби яких не будь дій.

Журнал подій безпеки для умов підприємства є обов'язковим, тому що у випадку спроби злому мережі можна буде відстежити джерело.

Таблиця 2 включає категорії подій, які можуть бути обрані для ревізії, а також події, що покриваються кожної категорією.



Таблиця 2. Категорії подій для ревізії

Категорія	Події
Початок і кінець сеансу	Спроби початку сеансу, спроби кінця сеансу; створення й завершення мережевих з'єднань до сервера
Доступ до файлів і об'єктам	Доступи до каталогу або файлу, які встановлюються для ревізії в диспетчерові файлів; використання принтера, керування комп'ютером
Використання прав користувача	Успішне використання прав користувача й невдалі спроби використовувати права, не призначені користувачам
Керування користувачами й групами	Створення, видалення й модифікація облікових карток користувача й груп
Трасування процесу	Початок і зупинка процесів у комп'ютері

Таблиця 3 показує типи доступу до каталогів і файлам, які можна перевірити.

Таблиця 3

Доступ до каталогу відображення імен файлів у каталозі	Доступ до файлу відображення даних, збережених у файлі
Відображення атрибутів каталогу	Відображення атрибутів файлу
Зміна атрибутів каталогу	Відображення власника файлу й дозволів
Створення підкаталогів і файлів	Зміна файлу
Перехід у підкаталогах каталогу	Зміна атрибутів файлу
Відображення власника каталогу й дозволів	Запуск файлу
Видалення каталогу	Видалення файлу
Зміна дозволів каталогу	Зміна файлових дозволів
Зміна власника каталогу	Зміна власника файлу

6.4 Шифрування даних

Враховуючи те, що передача даних для віддалених офісів відбуватиметься за технологією VPN, за шифрування даних відповідатиме спеціально виділене для цього обладнання - маршрутизатори CISCO, які здійснюватимуть передачу даних за допомогою комплексу протоколів IPSec.



6.5 Облік системних ресурсів і аналіз продуктивності

Коли необхідно домогтися максимальної швидкодії і стабільності роботи Windows Server, слід звернути увагу на вбудовані лічильники продуктивності і засоби аналізу. Лічильники продуктивності та засоби аналізу дозволяють знайти слабкі місця і визначити, що можна поліпшити за допомогою моніторингу поточних показників продуктивності системи і засобів накопичення даних (журналів) про завантаженість і продуктивності сервера. Для вірної інтерпретації отриманих фактів необхідно розуміти взаємозв'язку апаратних компонентів, що впливають на продуктивність сервера (Windows або Linux), і правильно використовувати наявні інструменти.

Головні апаратні компоненти, які можна модернізувати з метою підвищення продуктивності сервера, це процесор, пам'ять, дискова підсистема і мережевий інтерфейс. Перші три компоненти є внутрішніми для сервера, а четвертий, мережевий інтерфейс, забезпечує взаємодію сервера із зовнішнім світом. Внутрішня продуктивність сервера визначає, чи буде мережевий інтерфейс задіяний на повну потужність, а від мережевого інтерфейсу залежить, чи зможуть клієнти скористатися загальною продуктивністю системи. Всі чотири компоненти відіграють важливу роль і є взаємозалежними.

6.6 Файлові системи і керування дисковим простором

В мережі використана файлова система NTFS - стандартна файлова система для сімейства операційних систем Microsoft Windows NT.

Її особливості:

Відновлюваність. У разі збою диска, NTFS повинна привести себе в робочий, цілісний стан. У кращому випадку, NTFS повернеться в стан, який безпосередньо передував збою, в гіршому якась інформація користувача може бути втрачена, але та, що залишиться, буде в робочому стані. Відновлюваність реалізується через модель обробки транзакцій. Транзакція не що інше , як операція I/O, яка змінює структури NTFS. Якщо така операція не завершується повністю, то NTFS відкатує свої структури даних до стану перед виконанням транзакції.

Захист від несанкціонованого доступу. Файли та каталоги NTFS мають дескриптори захисту, що дозволяє контролювати доступ до них в рамках загальної моделі безпеки NT. Подібними дескрипторами захисту володіють всі об'єкти NT (процеси, потоки, розділи та ін.).

Відмовостійкість. Якщо відновлювальність гарантує цілісність тому після збою, то відмовостійкість може гарантувати відновлення даних користувача. Це реалізується за рахунок надлишковості даних і RAID. Дублювання даних здійснюється на рівні диспетчера томів, який копіює записувані дані на іншому диску.

Диски та файли великого об'єму. В NTFS реалізується дуже ефективна підтримка великих дисків і файлів. Для зберігання номера кластера використовується 64 біти або 8 байт. Тому NTFS дозволяє адресувати 2^64 кластерів, при стандартному розмірі кластера в 4KB і максимальному 64KB. Під розмір файлів також виділено 8 байт, що дозволяє адресувати дуже великі файли.

Підтримка POSIX. Також як NT, NTFS повністю відповідає стандарту POSIX 1003.1. Головна особливість формату полягає в призначенні імен файлів з урахуванням регістра символів, а також реалізація жорстких зв'язків (hard links). Жорсткі зв'язки дозволяють файлам з різних каталогів посилатися на одні й ті ж дані. Жорсткий зв'язок створюється для існуючого файлу і вказує на його дані, хоча для користувача такий об'єкт виглядає як файл.



6.7 Резервне копіювання

Оскільки питання збереження корпоративної інформації в мережі дуже важливе, адміністратор мережі має регулярно проводити копіювання інформації на випадок непередбачуваних ситуацій. Для цього потрібно обрати оптимальне ПО. Я виберу Bacula - мережева клієнт-серверна програма для резервного копіювання, архівування та відновлення. Пропонуючи широкі можливості для управління сховищами даних, полегшує пошук і відновлення втрачених або пошкоджених файлів. Завдяки модульній структурі Bacula масштабується і може працювати як на маленьких так і на великих системах, що складаються з сотень комп'ютерів розташованих у великій мережі. Для Bacula є GUI і веб-інтерфейси різного ступеня складності.

Керування резервним копіюванням покладається на системного адміністратора.

6.8 Мережевий друк

Оскільки створення локальної мережі передбачається тільки в головному офісі, відповідно, точка мережевого друку знаходитиметься саме там. Функцію управління друком бере на себе сервер, на якому встановлена Windows Server, яка має відповідну службу.



7. Розрахунки витрат на створення мережі

7.1 Визначення вартості матеріальної частини мережі

Для облаштування мережі планується закупити:

Маршрутизатор Cisco SB RV042-EU - 1328 грн. - 6шт.

Сервер Patriot Tower HS T1000-1 - 8539грн. - 2шт.

Коммутатор TP-LINK TL-SF1016 - 318грн. - 6шт.

Кабель FTP CAT5e 3 - 300 м за ціною 3грн/м.

Програмне забезпечення:

Microsoft Windows Server R2 - 5767 грн.

Microsoft Windows 7 - 1289 грн/шт.

7.2 Розрахунок витрат на організацію та обслуговування ЛОМ

Щодо обслуговування:

Оплата роботи системного адміністратора: 5000 грн/міс.

Оплата Internet-послуг - 1500грн/міс.



Висновок

В даній роботі моїм завданням було спроектувати мережу для фірми. Виконання завдання дозволило мені ознайомитися з основними етапами проектування, апаратними вузлами локальної мережі та програмним забезпеченням, потрібним для керування мережею. Отримана інформація знадобиться мені у майбутньому, адже загальні знання з цього напрямку не будуть зайвими, враховуючи специфіку моєї майбутньої роботи.



Бібліографічний список

1. http://technet.microsoft.com/ru-ru/windowsserver/bb310558.

2. http://ru.wikipedia.org/.

3. http://www.intuit.ru/studies/courses/57/57/info.

4. http://www.intuit.ru/studies/courses/3591/833/lecture/8656.

5. http://network.xsp.ru/3_6.php.

6. http://www.3dnews.ru/editorial/postroenie_bezopasnih_setei_na_osnove_vpn/.

7. http://habrahabr.ru/post/170895/.

Размещено на Allbest.ru

...