Построение мультисервисной сети

 

 

2.4 Рекомендации по организации групповой политики

 

Групповые политики – это набор  правил, обеспечивающих инфраструктуру, в которой администратор локальных  компьютеров и доменных служб ActiveDirectory операционной системы Windows Server 2008 могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (GroupPolicyObject).

Источником применения групповой  политики является контроллер домена. Когда контроллеров домена несколько, каждый контроллер хранит копию групповых политик и эти копии должны быть синхронизированы.

Каждая политика состоит из двух частей:

1. Контейнер групповой политики (GroupPolicyContainer или «GPC») – хранится  в базе ActiveDirectory и не содержит  настроек и параметров, применяемых к клиентам. В контейнере групповой политики присутствует информация о названии политики, ее идентификатор («GUID»), дата создания, дата изменения, версия, используемая при синхронизации. А так же местоположение шаблона групповой политики.

2. Шаблон групповой политики (GroupPolicyTemplate или «GPT») – находится в папке SYSVOL на контроллере домена. Но не в корне SYSVOL, а во вложенной папке, названной по «GUID»- у политики. Именно шаблон и несет те параметры, которые применяются на стороне клиента.

Роль пользователя в Windows Server 2008 описывает различные настройки и права доступа пользователей к ресурсам сети.

В данной ЛВС определены следующие  роли:

• администратор;
• технические сотрудники;
• бухгалтер;
• регистратор.

Права, определенные для данных ролей, представлены в таблице 2.6.

 

Таблица 2.6

Права, определенные для ролей данной ЛВС

Роль	Права
Администратор	Полный доступ ко всему оборудованию сети, доступ ко всем серверам сети, возможность удалять, редактировать, читать информацию на серверах, регистрировать новых пользователей сети и назначать им права, неограниченный объем трафика сети Интернет.
Технические сотрудники	Доступ к файл-серверу, возможность  чтения, записи, редактирования, удаления информации с данного сервера, доступ к библиотечному серверу,  доступ к принт-серверу, ограниченный объем трафика для доступа к сети интернет.
Бухгалтер	Доступ к файл-серверу, возможность  чтения информации с сервера, доступ к библиотечному серверу, возможность  чтения информации с него, ограниченный объем трафика для выхода в сеть Интернет.
Продолжение таблицы 2.6
Регистратор	Доступ к файл-серверу, возможность  чтения, записи, редактирования, удаления информации с данного сервера, доступ к библиотечному серверу,  доступ к принт-серверу, ограниченный объем  трафика для доступа к сети интернет.

 

2.5 Рекомендации по организации системы защиты ЛВС

 

Для удобной работы пользователей в ЛВС необходимо принимать меры по организации защиты. Защита ЛВС может быть аппаратная  и программная.

Аппаратная защита реализуется с помощью устройств, повышающих уровень надежности работы ЛВС, например, UPS, RAID.

UPS (Источник бесперебойного питания) - источник вторичного электропитания, автоматическое устройство, назначение которого обеспечить подключенное к нему электрооборудование бесперебойным снабжением электрической энергией в пределах нормы, то есть, сглаживать резкие скачки напряжения в сети внешнего электрического тока, корректно завершать работу оборудования при отключении электроэнергии.

RAID (Дисковый массив) - это набор дисковых устройств, работающих вместе, чтобы повысить скорость и надежность системы ввода/вывода. Этим набором устройств управляет специальный RAID-контроллер (контроллер массива), который инкапсулирует в себе функции размещения данных по массиву; а для всей остальной системы позволяет представлять весь массив как одно логическое устройство ввода/вывода. За счет параллельного выполения операций чтения и записи на нескольких дисках, массив обеспечивает повышенную скорость обменов по сравнению с одним большим диском. Массивы также обеспечивают избыточное хранение данных, с тем, чтобы данные не были потеряны в случае выхода из строя одного из дисков. Выбран 5-ый уровень спецификации RAID. На данном уровне организации RAID блоки данных и контрольные суммы циклически записываются на все диски массива, все диски массива имеют одинаковый размер — но один из них невидим для операционной системы. Например, массив состоит из четырех дисков емкостью 1500 Гб каждый, фактически размер массива будет равен 4500 Гб — 1500 Гб отводится на контрольные суммы.

Программная защита организуется с помощью антивирусных программ, Proxy, firewall.

Антивирусная программа - программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. В данной ЛВС был выбран антивирус Kaspersky Total Space Security, описанный в главе 2.3. Обновление антивируса происходит через сеть интернет на файл-сервер. Обновление всех рабочих станций происходит в автоматическом режиме с файл-сервера. Данный способ обновления значительно экономит трафик сети интернет, так как обновление скачивается всего один раз, и повышает скорость обновления, так как пропускная способность локальной сети при обновлении с файл-сервера намного выше пропускной способности сети интернет, предоставленной провайдером.

Proxy — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента. В данной ЛВС служба Proxy встроена в маршрутизатор, используемый для доступа к сети Интернет. Технические характеристики маршрутизатора представлены в приложении А.

Firewall - сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Возможности Firewall:

• фильтрация доступа к заведомо незащищенным службам;
• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
• контроль доступа к узлам сети;
• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;
• регламентирование порядка доступа к сети;
• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Тем не менее, межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

• не защищает узлы сети от проникновения через «люки» или уязвимости ПО;
• не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
• не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем  используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к Firewall и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с Firewall копию всех пересылаемых данных. Firewall в данной ЛВС реализуется с помощью встроенного в маршрутизатор программного обеспечения: Cisco IOS Firewall, Cisco IOS Zone-Based Firewall.

 

 

2.6 Описание способа подключения к Internet

 

Для подключения ЛВС к сети интернет выбран провайдер Beeline с тарифом  «Безлимитный 50», согласно которому провайдер  предоставляет пропускную способность для доступа в интернет до 50 Мбит/с, объем трафика – 50 Гб, при превышении объема трафика скорость соединения с интернетом уменьшается до 256Кбит/с. Стоимость подключения - 5 900тг в месяц.

Для подключения к сети интернет используется маршрутизатор TP-Link TL-R480T+. Данный маршрутизатор содержит 1 постоянный Ethernet LAN порт, 3 взаимозаменяемых порта Ethernet WAN/LAN, в один порт подключается кабель провайдера, второй порт подключается к коммутатору верхнего уровня и обеспечивает доступ всей ЛВС к сети.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

 

В данном курсовом проекте была спроектирована ЛВС для интернет-компании «Creatida», представленной в задании на проектировании.

В ходе разработки курсового проекта  были выполнены следующие виды работ:

• определены назначение и цели создания ЛВС;
• изучена предметная область, описаны сетевые информационные потребности предприятия, определены требования к ЛВС;
• спроектирована структурированная кабельная система,  вертикальная, горизонтальная подсистемы, подсистема администрирования и подсистема рабочего места. Рассчитано количество и комплектацию оборудования для всех подсистем, произведен расчет необходимого кабеля;
• выбрано системное, прикладное и сетевое программное обеспечение;
• организована групповая политика в ЛВС;
• организована система защиты ЛВС;

Спроектированная локальная вычислительная система обладает всеми необходимыми функциями и отвечает требованиям существующих стандартов ЛВС.

Данное ЛВС обеспечивает следующие преимущества:

• совместное использование элементов сети;
• возможность быстрого доступа к необходимой информации;
• надежное хранение и резервирование данных, защиту информации;
• использование ресурсов современных технологий (доступ в Интернет, системы электронного документооборота и проч.).

Данная ЛВС соответствует следующим требованиям:

• ЛВС должна быть эффективной (минимальные затраты и высокое качество работы).
• Открытость сети. ЛВС соответствует этому критерию, если присутствует возможность, не меняя технические и программные параметры сети, подключать дополнительное оборудование.
• Гибкость сети. Если при неисправностях того или иного компьютера или прочего оборудования, сеть продолжает функционировать – ЛВС соответствует этому требованию.

 

 

 

 

Список использованной литературы

 

1. Linux и Windows в домашней сети: Александр Поляк-Брагинский — Санкт-Петербург, БХВ-Петербург, 2008 г.- 336 с.
2. Беспроводная сеть своими руками: Джо Хабрейкен — Москва, НТ Пресс, 2009 г.- 400 с.
3. Компьютерная сеть своими руками: Василий Леонов — Санкт-Петербург, Эксмо, 2010 г.- 240 с.
4. Локальная сеть. Самое необходимое: А. В. Поляк-Брагинский — Санкт-Петербург, БХВ-Петербург, 2009 г.- 592 с.
5. Локальные вычислительные сети: Ю. В. Чекмарев — Санкт-Петербург, ДМК Пресс, 2009 г.- 200 с.
6. Локальные сети. Модернизация и поиск неисправностей: Александр Поляк-Брагинский — Санкт-Петербург, БХВ-Петербург, 2009 г.- 832 с.
7. Настраиваем сеть своими руками: С. В. Глушаков, Т. С. Хачиров — Санкт-Петербург, АСТ, Фолио, 2008 г.- 96 с.
8. Настраиваем сеть своими руками: Т. С. Хачиров — Санкт-Петербург, АСТ, Астрель, Полиграфиздат, 2010 г.- 96 с.
9. Самоучитель создания локальной сети: Ю. В. Васильев — Москва, Триумф, 2008 г.- 160 с.
10. Сеть своими руками: Александр Поляк-Брагинский — Санкт-Петербург, БХВ-Петербург, 2008 г.- 640 с.
11. Сеть своими руками: С. В. Глушаков, А. М. Мирошник, Т. С. Хачиров — Москва, АСТ, АСТ Москва, ВКТ, 2008 г.- 288 с.
12. Создание, обслуживание и администрирование сетей на 100%: А. Ватаманюк — Санкт-Петербург, Питер, 2010 г.- 288 с.
13. www.google.com
14. www.d-link.com
15. www.ww.kz