Details

В условиях цифровизации бизнеса и географической распределённости филиалов критически важной задачей становится создание единого, безопасного и управляемого информационного пространства. Традиционные изолированные сети филиалов не отвечают современным требованиям к операционной эффективности, централизованному контролю и комплексной безопасности. Актуальность работы обусловлена необходимостью разработки и внедрения экономически эффективного, отказоустойчивого и масштабируемого решения для объединения разрозненных узлов распределённого предприятия (на примере сети кафе) в единую корпоративную сеть с соблюдением всех стандартов информационной безопасности. Цель работы - спроектировать, обосновать и реализовать архитектуру объединённой корпоративной сети предприятия, обеспечивающую единое адресное пространство, безопасное взаимодействие филиалов, централизованные сервисы и комплексный мониторинг безопасности. Задачи, решаемые в работе: – Провести анализ современных технологий построения распределённых корпоративных сетей (VPN, маршрутизация, системы безопасности). – Разработать архитектурный проект сети, включая топологию, схему IP-адресации, сегментацию и выбор оборудования. – Спроектировать и реализовать комплекс централизованных корпоративных сервисов и систему безопасности на базе SIEM/IDS. – Провести количественную оценку надёжности и качества обслуживания сети на основе моделей теории массового обслуживания. Объект исследования – сетевая инфраструктура распределённого предприятия (сеть кафе и центральный офис). Предмет исследования – методы и технологии проектирования, построения и обеспечения безопасности объединённых корпоративных сетей. Основное содержание работы. Дипломная работа состоит из введения, четырёх глав, заключения и приложений. В первой главе проведён аналитический обзор технологий построения современных корпоративных сетей. Исследованы понятие и требования к корпоративной сети, рассмотрены технологии VPN (IPsec, WireGuard), принципы маршрутизации и механизмы обеспечения отказоустойчивости. Особое внимание уделено архитектуре корпоративных сервисов и системам безопасности нового поколения (IDS, SIEM). Во второй главе сформулированы функциональные требования пользователей (кассиры, официанты, гости) и технические ограничения. На их основе разработана целевая архитектура: – Выбрана топология «звезда» с центральным офисом в роли хаба. – Разработана иерархическая схема IP-адресации VLAN-сегментация для изоляции трафика. – Обоснован выбор сетевого оборудования (MikroTik, Ubiquiti) и программного обеспечения (Proxmox VE, WireGuard). – Спроектированы подсистемы: VPN-туннели, централизованные сервисы (файловое хранилище, учёт заказов, единая аутентификация через FreeIPA), а также интегрированная система безопасности на базе Wazuh (SIEM/HIDS) и Suricata (NIDS). В третьей главе описана практическая реализация и настройка спроектированной инфраструктуры в контролируемой среде: – Развёрнут серверный кластер на базе Proxmox VE с набором виртуальных машин для корпоративных сервисов. – Настроена система централизованного управления пользователями и доступом (FreeIPA). – Реализованы бизнес-сервисы: файловый сервер (Samba), система учёта заказов (PostgreSQL + REST API), корпоративная почта. – Развёрнута, настроена и интегрирована комплексная система мониторинга безопасности: Wazuh-сервер с агентами на ключевых узлах и сетевая IDS Suricata. Настроены правила корреляции и каналы оповещения. В четвёртой главе выполнен количественный анализ надёжности сети с применением аппарата теории массового обслуживания (ТМО). Сетевой канал смоделирован как система M/M/1/K. На основе модели сформулированы практические рекомендации по настройке приоритизации трафика и размеров буферов для гарантии качества обслуживания критичных приложений. Практическая значимость и результаты. Разработан готовый к внедрению архитектурный проект объединённой корпоративной сети для распределённого предприятия, решающий проблемы изоляции, безопасности и управляемости. Предложена и апробирована экономически эффективная модель на базе открытого программного обеспечения (Proxmox, Wazuh, Suricata, FreeIPA), позволяющая существенно снизить капитальные и операционные затраты. Проведён математический анализ, количественно доказавший достаточность проектных решений для обеспечения требуемой надёжности и производительности. Заключение. В дипломной работе достигнута поставленная цель: на основе комплексного анализа, проектирования, практической реализации и математического моделирования разработана и обоснована эффективная архитектура объединённой корпоративной сети, соответствующая современным требованиям к безопасности, отказоустойчивости, производительности и масштабируемости.

In the context of business digitalization and geographical distribution of branches, the creation of a unified, secure and manageable information space becomes a critical task. Traditional isolated branch networks do not meet modern requirements for operational efficiency, centralized control and comprehensive security. The relevance of the work is due to the need to develop and implement a cost-effective, fault-tolerant and scalable solution for combining disparate nodes of a distributed enterprise (for example, a cafe network) into a single corporate network in compliance with all information security standards. The purpose of the work is to design, justify and implement the architecture of the enterprises unified corporate network, providing a single address space, secure interaction of branches, centralized services and comprehensive security monitoring. Tasks to be solved in the work: – To analyze modern technologies for building distributed corporate networks (VPN, routing, security systems). – Develop an architectural design of the network, including topology, IP addressing scheme, segmentation and equipment selection. – Design and implement a set of centralized corporate services and a security system based on SIEM/IDS. – To quantify the reliability and quality of network service based on queuing theory models. The object of the study is the network infrastructure of a distributed enterprise (a cafe network and a central office). The subject of the research is methods and technologies of designing, building and ensuring the security of integrated corporate networks. The main content of the work. The thesis consists of an introduction, four chapters, a conclusion, and appendices. The first chapter provides an analytical overview of the technologies for building modern corporate networks. The concept and requirements for a corporate network are investigated, VPN technologies (IPsec, WireGuard), routing principles and fault tolerance mechanisms are considered. Special attention is paid to the architecture of corporate services and new generation security systems (IDS, SIEM). The second chapter sets out the functional requirements of users (cashiers, waiters, guests) and technical limitations. The target architecture has been developed based on them.: – The zvezda topology with the central office as a hub has been selected. – A hierarchical VLAN IP addressing scheme has been developed to isolate traffic. – The choice of network equipment (MikroTik, Ubiquiti) and software (Proxmox VE, WireGuard) is justified. – Subsystems have been designed: VPN tunnels, centralized services (file storage, order accounting, unified authentication via FreeIPA), as well as an integrated security system based on Wazuh (SIEM/HIDS) and Suricata (NIDS). The third chapter describes the practical implementation and configuration of the designed infrastructure in a controlled environment.: – A Proxmox VE-based server cluster has been deployed with a set of virtual machines for corporate services. – A centralized user and access management system (FreeIPA) has been set up. – Business services are implemented: file server (Samba), order accounting system (PostgreSQL + REST API), corporate mail. – A comprehensive security monitoring system has been deployed, configured and integrated: a Wazuh server with agents on key nodes and a Suricata network IDS. Correlation rules and notification channels are configured. The fourth chapter provides a quantitative analysis of network reliability using the queuing theory (QMS) framework. The network channel is modeled as an M/M/1/K system. Based on the model, practical recommendations are formulated for configuring traffic prioritization and buffer sizes to ensure the quality of service for critical applications. Practical significance and results. A ready-to-implement architectural design of a unified corporate network for a distributed enterprise has been developed, solving the problems of isolation, security and manageability. A cost-effective model based on open source software (Proxmox, Wazuh, Suricata, FreeIPA) has been proposed and tested, which significantly reduces capital and operating costs. A mathematical analysis has been carried out, which has quantitatively proved the sufficiency of design solutions to ensure the required reliability and performance. Conclusion. The thesis achieved the set goal: based on a comprehensive analysis, design, practical implementation and mathematical modeling, an effective architecture of an integrated corporate network has been developed and substantiated, meeting modern requirements for security, fault tolerance, performance and scalability.