Phụ lục 3 ỦY BAN NHÂN DÂN TỈNH HÀ NAM TRƯỜNG CAO ĐẲNG NGHỀ HÀ NAM GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG 2 NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG (Ban hành kèm theo Quyết định số 285QĐ CĐNHN Ngày 21.GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG 2 NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH
ỦY BAN NHÂN DÂN TỈNH HÀ NAM TRƯỜNG CAO ĐẲNG NGHỀ HÀ NAM GIÁO TRÌNH MƠ ĐUN: QUẢN TRỊ MẠNG NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG (Ban hành kèm theo Quyết định số: 285/QĐ-CĐNHN Ngày 21 tháng 07 năm 2017 Hiệu trưởng trường Cao đẳng nghề Hà Nam) Hà Nam, năm 2017 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm Dựa theo giáo trình này, sử dụng để giảng dạy cho trình độ ngành/ nghề khác nhà trường LỜI GIỚI THIỆU Giáo trình “Quản trị mạng 2” biên soạn nhằm đáp ứng yêu cầu học tập học sinh, sinh viên có kiến thức bản theo giáo trình “Quản trị mạng 1”, đồng thời giúp cho học sinh, sinh viên có tài liệu học tập, rèn luyện tốt khả lập trình, tạo tảng vững để giải tốn thực tiễn Giáo trình gồm 10 chia làm phần: Phần 1: Từ đến Cung cấp kiến thức kỹ liên quan đến công tác giám sát mạng, triển khai quản trị hệ thống từ xa; Ngoài ra, khả phát khơi phục server bị hỏng hóc đề cập đến Chức Group Policy Domain Controller mang tầm quan trọng lớn hệ thống; Do vậy, tạo quản lý đối tượng Group Policy Object kỹ thiếu người quản trị mạng Phần 2: Từ đến 10 Giúp người học có kiến thức kỹ bảo vệ hệ thống mạng với tính quan trọng ISA Server; Bên cạnh đó, việc triển khai hệ thống mạng riêng ảo cho phép truy xuất tài nguyên người dùng không mạng nội công cụ tối ưu người dùng Khi không mạng, vấn đề sử dụng tài khoản để gửi nhận mail mạng cục công việc cấp thiết Sự cố xảy máy ISA điều khó tránh khỏi; thao tác phát khắc phục kịp thời giúp hệ thống hoạt động cách hồn hảo Khi biên soạn, tơi tham khảo giáo trình tài liệu giảng dạy mơ đun số trường Cao đẳng, Đại học Đồng thời kết hợp với vấn đề thực tế thường gặp sản xuất, đời sống để giáo trình có tính thực tế cao, giúp cho người học dễ hiểu, dễ dàng lĩnh hội kiến thức Tôi hy vọng giáo trình bước đầu đạt yêu cầu nội dung vừa thích hợp với đối tượng học sinh, sinh viên thuộc hệ thống Cơ sở giáo dục nghề nghiệp Đồng thời mong sớm nhận ý kiến đóng góp, phê bình bạn đọc nội dung, chất lượng hình thức trình bày để giáo trình ngày hoàn thiện Hà Nam, ngày … tháng … năm 2017 Tác giả biên soạn: Phạm Tất Thành MỤC LỤC LỜI GIỚI THIỆU MỤC LỤC MÔ ĐUN: QUẢN TRỊ MẠNG BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Tại phải dùng Terminal Services Mơ hình xử lý Terminal Services 2.1 Các thành phần Terminal Services 2.2 Lập kế hoạch cấu hình Terminal Services 10 Yêu cầu Server Client 10 3.1 Các yêu cầu Terminal Services server 10 3.2 Các yêu cầu Terminal Services client 11 3.3 Xác định yêu cầu đăng ký xác 11 Cài đặt Terminal Services 11 4.1 Cài đặt Terminal Services Server 11 4.2 Thêm người dùng vào nhóm Remote Desktop Users 14 Cấu hình truy cập từ client vào Terminal Server 14 5.1 Truy cập từ client vào Terminal Server 14 5.2 Tùy chọn cấu hình máy khách Remote Desktop 15 5.3 Thoát khỏi phiên truy cập từ xa 15 Thực đa kết nối truy cập từ xa 15 Câu hỏi 17 Bài tập thực hành 17 BÀI 2: TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER 18 Tổng quan công cụ tinh chỉnh 18 Quan sát đường biểu diễn hiệu Reliability and Performance Monitor (perfmon.msc) 18 2.1 Performance Monitor 19 2.2 Reliability Monitor 21 Ghi lại kiện hệ thống công cụ Event Viewer 22 3.1 Application log 23 3.2 Security log 24 3.3 System Log 25 Sử dụng Task Manager 26 4.1 Applications 26 4.2 Processes 27 4.3 Services 28 4.4 Performance 29 4.5 Networking 30 4.6 Users 31 Câu hỏi 31 Bài tập thực hành 32 BÀI 3: KHÔI PHỤC SERVER KHI BỊ HỎNG 34 Các biện pháp phòng ngừa 34 1.1 Có dự phịng 34 1.2 Bảo vệ điện cho server 34 1.3 Quan tâm môi trường 35 1.4 Hạn chế tiếp cận server 35 1.5 Sử dụng hiệu password 35 Các phương pháp lưu dự phòng khôi phục liệu 35 2.1 Cách lưu dự phòng 36 2.2 Khôi phục liệu 37 a Khôi phục file Folder 37 b Khôi phục ứng dụng liệu 38 c Khôi phục đĩa 39 d Khôi phục hệ điều hành server 39 Công cụ System Information 40 3.1 Trang System Summary 40 3.2 Folder Hardware Resources 40 3.3 Folder Components 41 3.4 Folder Software Environment 42 Câu hỏi 42 Bài tập thực hành 42 BÀI 4: CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICES (RAS) TRONG WINDOWS SERVER 44 Các khái niệm giao thức 44 1.1 Tổng quan dịch vụ truy cập từ xa 44 1.2 Kết nối truy cập từ xa giao thức sử dụng truy cập từ xa 45 a Kết nối truy cập từ xa 45 b Các giao thức mạng sử dụng truy cập từ xa 45 1.3 Modem phương thức kết nối vật lý 46 a Modem 46 b Các phương thức kết nối vật lý 47 An toàn truy cập từ xa 47 2.1 Các phương thức xác thực kết nối 47 a Quá trình nhận thực 47 b.Giao thức xác thực PAP 48 c.Giao thức xác thực CHAP 48 d.Giao thức xác thực mở rộng EAP 48 2.2 Các phương thức mã hóa liệu 49 Triển khai dịch vụ truy cập từ xa 50 3.1 Kết nối gọi vào kết nối gọi 50 3.2 Kết nối sử dụng đa luồng (Multilink) 51 3.3 Các sách thiết lập cho dịch vụ truy nhập từ xa 51 3.4 Sử dụng dịch vụ gán địa động DHCP cho truy cập từ xa 52 3.5 Sử dụng Radius server để xác thực kết nối cho truy cập từ xa 53 a Hoạt động Radius server 53 b Nhận thực cấp quyền 53 c.Tính cước 54 3.6 Mạng riêng ảo kết nối sử dụng dịch vụ truy cập từ xa 54 3.7 Sử dụng Network and Dial-up Connection 56 3.8 Một số vấn đề xử lý cố truy cập từ xa 56 Câu hỏi 58 Bài tập thực hành 58 BÀI 5: GROUP POLICY OBJECT 60 Giới thiệu Group Policy 60 1.1 So sánh System Policy Group Policy 60 1.2 Chức Group Policy 60 Tạo tổ chức đối tượng Group policy 61 2.1 Xem sách cục máy tính xa 62 2.2 Tạo sách miền 62 Thiết lập sách Domain Controller 64 3.1 Thiết lập sách nhóm “chặn người dùng cài đặt phần mềm ứng dụng” 65 3.2 Thiết lập sách nhóm “chặn người dùng sử dụng Internet Explorer” 67 Sử dụng GPO để triển khai MS Office 71 Câu hỏi 76 Bài tập thực hành 77 BÀI 6: GIỚI THIỆU VỀ ISA SERVER 80 Định nghĩa Firewall 80 Phân loại Firewall 80 2.1 Firewall phần mềm 80 2.2 Firewall phần cứng 80 2.3 Bộ định tuyến không dây 80 Chức Firewall 80 Các kiến trúc Firewall 81 4.1 Tường lửa lộc gói tin (Packet filtering firewall) 81 4.2 Cổng tầng ứng dụng (Application gateway) 82 4.3 Bastion Host Firewall (Pháo đài phòng ngự) 82 Giới thiệu ISA server 83 5.1 Điều khiển truy nhập (Access Control) 83 5.2 Vị trí xảy q trình xử lý gói 83 5.3 Luật lọc (Filtering Rules) 84 5.4 Hoạt động tường lửa người đại diện ứng dụng (Proxy Application) 85 5.5 Quản lý xác thực (User Authentication) 86 5.6 Kiểm tra Cảnh báo (Activity Logging and Alarms) 87 a Activity logging 87 b Alarm 87 Các mơ hình Firewall phức tạp 87 6.1 Mô hình Firewall thường sử dụng đến: 88 6.2 Mơ hình Firewall phức tạp thường sử dụng doanh nghiệp lớn 88 Sơ Đồ hoạt động ISA 88 Câu hỏi 89 BÀI 7: CÀI ĐẶT VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA 91 Cài đặt ISA 91 Tạo Rule cho Admin Internet sử dụng tất giao thức 96 Cấu hình cho client Internet sử dụng giao thức HTTP, HTTPS 103 Cấu hình DNS phân giải tên 104 BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK (VPN) 106 Giới thiệu VPN 106 1.1 Bản chất hoạt động VPN 106 1.2 Lợi ích VPN 107 Mô hình VPN client to site dùng giao thức PPTP 108 Mơ hình VPN Client to Site dùng giao thức L2TP/IPSEC 118 Mơ hình VPN Client to Site sử dụng chương trình No-IP 158 Mơ hình VPN Site to Site 172 Câu hỏi 179 Bài tập thực hành 180 BÀI 9: PUBLISHING 182 Cài đặt hệ thống Mail Mdaemon gửi mail qua lại 182 Publishing Mail 187 Cấu hình lọc mail 188 Publishing Web 193 Publishing FTP 194 Publishing Terminal Services 196 Câu hỏi 197 Bài tập thực hành 197 BÀI 10: MONITOR ISA SERVER 199 Trình bày tab Monitor 199 1.1 Tab Session 199 1.2 Tab Services 199 1.3 Tab Report 199 1.4 Tab Connectivity 199 1.5 Tab logging 199 Phát đợt công gửi mail cho admin 200 Network Templates (mơ hình mẫu thơng số cấu hình mạng) 201 Backup Restore 203 Câu hỏi 203 Bài tập thực hành 203 CÁC THUẬT NGỮ CHUYÊN MÔN Error! Bookmark not defined PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ: Error! Bookmark not defined TÀI LIỆU THAM KHẢO Error! Bookmark not defined GIÁO TRÌNH MƠ ĐUN Tên mô đun: Quản trị mạng Mã số mô đun: MĐ 23 I Vị trí, tính chất mơ đun - Vị trí: mơ đun bố trí sau sinh viên học xong môn, mô đun: Mạng máy tính, Quản trị mạng - Tính chất: mơ đun đào tạo chuyên nghành II Mục tiêu mô đun Về kiến thức: Có khả phát cố Biết đánh giá thông lượng đường truyền Có khả cài đặt, cấu hình kết nối Internet Trình bày tính nét đặc trưng ISA Server Trình bày chế lưu, phục hồi toàn máy ISA Server + Hiểu loại ISA Server Client đồng thời cài đặt cấu hình qui trình cho loại ISA Server Clien tính riêng loại Về kỹ năng: Cài đặt, gỡ bỏ phần mềm yểm trợ Terminal service Xác định nguyên nhân gây hỏng Thực biện pháp lưu dự phòng Giải cố mạng Có khả cài đặt, quản lý dịch vụ RAS Có khả kết nối mạng riêng ảo VPN Có khả tiếp nhận gọi xa Cài đặt cấu hình ISA Server windows Server Thực Rule theo yêu cầu + Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall Năng lực tự chủ trách nhiệm: + Làm việc độc lập làm việc theo nhóm, giải cơng việc, vấn đề quản trị hệ thống mạng theo yêu cầu + Chịu trách nhiệm cá nhân việc quản trị hệ thống mạng nhằm đảm bảo yêu cầu kỹ thuật độ an tồn cơng ty, doanh nghiệp III Nội dung mô đun: BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Giới thiệu: Bài học cung cấp cho người học cách thức cài đặt, cấu hình gỡ rối với dịch vụ Terminal Service Windows Server Trong đó, quản trị server từ xa với Terminal Service; Cấu hình Terminal Service quản lý phiên làm việc Terminal Service Mục tiêu bài: - Có khả cài đặt gỡ bỏ phần mềm hỗ trợ; - Có khả tạo máy khách Terminal Services; - Quản lý dịch vụ Terminal Services; - Thực thao tác an tồn với máy tính Nội dung chính: Tại phải dùng Terminal Services Mục tiêu: Giới thiệu cho người học chức dịch vụ Terminal Services với lợi ích đạt sử dụng dịch vụ Terminal Services dịch vụ quản trị từ xa (remote administration) Thông qua Terminal Services, người quản trị thực tác vụ quản trị từ client Terminal Services đòi hỏi máy tính dùng làm Terminal Services Server đủ mạnh để giải tất người dùng kết nối tới client chạy phần mềm khách (client software) Khi chạy Terminal Services cần phải mua cấu hình tất đăng ký cách xác Sau cấu hình Terminal Services, bắt đầu triển khai phần mềm khách chủ Terminal Services bao gồm tiện ích cấu hình, tiện ích quản trị công cụ tạo client để quản lý server client Trong học này, người học biết Terminal Services làm việc nào, cách cài đặt, cấu hình quản lý máy chủ máy khách Terminal Services Terminal Services Terminal Services chạy hai chế độ sau: • Trong chế độ quản trị từ xa (remote administration mode), người quản trị thực tác vụ quản trị từ máy khách mạng • Trong chế độ chương trình ứng dụng máy chủ (application server mode), người dùng phải truy cập từ xa đến chương trình ứng dụng có server Dùng chế độ này, Terminal Services phân phát môi trường Windows Desktop cho máy tính khơng chạy Windows hạn chế phần cứng hay lý khác Trong chế độ application server mode, giao diện đồ họa máy chủ truyền cho máy khách xa; máy gửi tín hiệu bàn phím tín hiệu chuột cho máy chủ Các máy khách gọi thin client Người dùng đăng nhập vào thông qua máy khách mạng nhìn thấy phiên làm việc (session) riêng họ Terminal Services quản lý session client cách suốt Rất nhiều loại thiết bị phần cứng chạy phần mềm thin client, gồm thiết bị đầu cuối máy tính Windows Lợi ích Terminal Services Terminal Services cung cấp nhiều lợi ích làm cho trở thành giải pháp ưu việt cho mạng: Sự phát triển rộng Windows Server - Thay cài đặt phiên đầy đủ Windows Server máy, triển khai Terminal Services Các máy tính có phần cứng khơng dùng phiên đầy đủ Windows Server hỗ trợ sử dụng nhiều đặc tính Windows Server Sự hoạt động đồng thời phần mềm thin client hệ điều hành độc lập - Với Terminal Services, người dùng mạng tiếp tục sử dụng hệ thống có sẵn máy họ, dùng lợi ích mơi trường Windows Server Sự phát triển ứng dụng đơn giản hoá - Thay cài đặt cập nhật ứng dụng tất máy mạng người quản trị cài đặt Terminal Services server Điều đảm bảo người dùng truy cập vào phiên ứng dụng Việc quản trị từ xa máy chủ - Terminal Services cho phép quản trị server từ xa Điều hữu ích người quản trị cần phải rời xa máy chủ khoảng thời gian Mơ hình xử lý Terminal Services Mục tiêu: Giới thiệu thành phần Terminal với chức thành phần Ngoài ra, người học biết yêu cầu xác định ứng dụng chia xẻ loại phần cứng sử dụng 2.1 Các thành phần Terminal Services Terminal Services bao gồm thành phần: Terminal Services server, giao thức Remote Desktop, Terminal Services client Terminal Services server giao tiếp với Terminal Services client cách sử dụng giao thức Remote Desktop - Terminal Services server Hầu hết hoạt động Terminal Services xảy Terminal Services server (hay gọi Terminal server) Khi Terminal Services chế độ ứng dụng máy chủ, tất ứng dụng chạy server Terminal server gửi thông tin hình tới client nhận input từ chuột bàn phím Server phải theo dõi session hoạt động - Giao thức Remote Desktop Khi cài đặt Terminal Services, giao thức Remote Desktop (RDP) tự động cài đặt RDP kết nối cần phải cấu hình để client kết nối tới Terminal server Chúng ta cấu hình kết nối RDP card mạng Có thể sử dụng cơng cụ cấu hình Terminal Services để cấu hình thuộc tính kết nối RDP; thiết lập mật mã quyền, hạn chế lượng thời gian mà session client cịn hoạt động - Terminal Services client Terminal Services client (hay Terminal client) sử dụng công nghệ thin client để phân phối Windows Server Desktop tới người dùng Client cần thiết lập Hình 9.13 – Cài thêm dịch vụ Message Screener Tiến hành cấu hình SMTP sau cài xong dịch vụ Message Screener - Vào Start / Program / Administrator Tools / Internet Information Services (IIS) Manager - Khi hình Internet Information Service (IIS) Service xuất (hình 9.14), bấm vào dấu + Default SMTP Virtual Server chọn Domain nhắp chuột phải chọn New Domain Hình 9.14 – Chỉ định Domain - Trong hình Welcome to the New SMTP Domain Wizard (Hình 9.15), chọn Remote / Next 189 Hình 9.15 – Chỉ định kiểu Domain Remote - Màn hình Domain Name xuất hiện, điền domain tương ứng (khungbo.com) Hình 9.16 – Chỉ định tên Domain Bây mục Domain có tên Domain (khungbo.com), chọn tên Domain (khungbo.com), nhắp chuột phải chọn Properties Chọn tab General hình khungbo.com Properties Hình 9.17 – Thiết lập thuộc tính cho Domain tương ứng Đánh dấu vào Allow incoming mail to be relayed to this domain Chọn Forward all mail smart to the Domain, điền địa 10.0.0.2, chọn OK 190 Nhắp chuột phải vào Default SMTP Virtual Server, chọn Properties Trong hộp thoại Default SMTP Virtual Server Properties (hình 9.18), chọn IP 10.0.0.100 cho IP address, chọn nút OK Hình 9.18 – Thiết lập Default SMTP Virtual Server Properties Quay lại rule Publishing Mail SMTP Server mà ta Publishing Mail, nhắp chuột phải, chọn Properties Trong hình Publishing Mail SMTP Server Properties (hình 9.20), Tab To: điền IP 10.0.0.100, chọn nút Apply / OK Hình 9.20 – Chỉ định địa mạng server Publishing Mail Chọn Configuration Add -ins - Nhắp chuột phải lên SMTP Fiter, chọn Properties Trong hình SMTP Filter Properties, chọn Tab Keywords, chọn nút Add (hình 9.21) 191 Hình 9.21 – Thêm rule để lọc mail Trong hình Mail Keyword Rule, đánh dấu vào Enable this rule Keyword (hình 9.22) Hình 9.22 – Kích hoạt rule với từ định virut - Keyword: điền virut - Apply action if keyword is found in: chọn Message subject or body - Action: chọn Forward message to - E-mail address: điền administrator@khungbo.com / OK Lúc hộp thoại SMTP Filter Properties (hình 9.23), setting có mục virut (được tạo Keyword), chọn Apply, OK 192 Hình 9.23 – Thiết lập thuộc tính lọc với SMTP Kiểm tra lọc mail: Tại “máy tính ngồi mạng”, mở chương trình Outlook Express account hp Khi hình Outlook Express xuất hiện, chọn Create Mail để tiến hành gửi mail cho account kiem (nội dung virut) Tại máy AD ta tiến hành kiểm tra có nhận mail hp gửi đến kiem không - Mở Outlook Express với account kiem thấy khơng có mail hp Tại máy ISA ta tiến hành kiểm tra mail - Mở Outlook Expreess account administrator thấy có mail hp Mail chuyển đến administrator cấu hình lọc mail với từ khoá Virut tự động chuyển đến administrator Publishing Web Mục tiêu: Trong phần (Publishing Web), (Publishing FTP), (Publishing Terminal Services) trình bày cách thức để mở Port cho máy từ External Network truy cập vào mạng Cơng việc cịn gọi Server Publishing Muốn tạo trang web, máy AD cần phải cài chương trình IIS Khi Máy AD cài IIS ta tiến hành tạo trang web: - Vào ổ đĩa C:\Inetpub\wwwroot, tạo file Text Document - Sau tạo file Text Document, đổi tên thành default.htm - Nhắp chuột phải vào file default.htm chọn Edit Nhập nội dung file: chao mung den trang web lưu trữ Sau tạo trang web, mở chương trình IE nhập http://10.0.0.2; Nếu thấy trang web xuất Publishing Web máy ISA: 193 Chọn Firewall Policy, nhắp chuột phải chọn New, chọn Web Server Publíhing Rule Trong hình Wellcome to the New Web Publishing Rule Wizard xuất hiện: - Web publishing rule name: điền Publish Web, chọn Next Trong hộp thoại Select Rule Action: chọn Alow / Next Tại hình Define Website to Publish: - Computer name or IP address: điền 10.0.0.2 / Next Trong Public Name Details: Accept requests for: chọn Any domain name / Next Khi hình Select Web Listener xuất hiện, chọn nút New Màn hình Welcome to the New Web Listener Wizarrd xuất hiện: Web listener name: điền Listener2 / Next Trong hình IP addresses: đánh dấu vào External / Next Khi hình Port Specification xuất hiện, đánh dấu vào Enable HTTP nhập: 80 Sau hoàn tất, kiểm tra thử “máy tính ngồi mạng”: mở chương trình IE nhập địa chỉ: http://192.168.1.100; Nếu trang web hiển thị Publishing FTP Trước tiên ta phải cấu hình FTP Cài đặt FTP: Start / Setting / Control Panel / Add or Remove Programs Trong cửa sổ Add or Remove Programs, chọn Add\Remove Windows Components Từ hình Windows Components Wizard, chọn Application Server, chọn nút Detals Khi cửa sổ Application Server xuất hiện, chọn Internet Information Service (IIS) bấm nút Details Màn hình Internet Information Services (IIS) xuất hiện, chọn File Transfer Protocol (FTP) Service, OK Trở hình Windows Components Wizard, ta thấy Application Server đánh dấu, chọn Next Chương trình bắt đầu cài FTP; Khi trình cài đặt FTP hoàn tất, chọn nút Finish Vào Start / Program / Administrator Tools / Internet Information Services (IIS) Manager Chọn FTP Site, nhắp chuột phải lên Default FTP Site chọn Properties Khi hình Default FTP Site Properties xuất hiện: 194 - Tab FTP Site: IP address Ta chọn IP 10.0.0.2 - Tab Home Directory: đánh dấu vào ô Write - Tab Security Accounts: chọn nút Browse, cửa sổ Select User xuất chọn nút Advanced; chọn nút Find Now để định administrator, chọn OK Lúc ta thấy User name: TUANH\administrator, Password: điền 123456, OK Tại Confirm Password, xác nhận Password Khi cấu hình FTP xong, chép file hay thư mục vào FTP (ở minh họa chép file C:\Program Files\NetMeeting) Chép file C:\Program Files\NetMeeting dán vào C:\Inetpub\ftproot Kiểm tra hoạt động FTP: Sau chép file vào FTP, kiểm tra FTP coi có hoạt động khơng: Tại máy ISA, mở IE nhập ftp://10.0.0.2 Khi hình Log On xuất hiện: - User name: điền administrator - Password: 123 (Password 123 password administrator) Khi Log on vào FTP thấy file Sau truy cập thành công FTP, tiến hành Publicshing FTP để máy ngồi Internet truy cập FTP: Chọn Firewall Policy / New / Server Publishing Rule Điền Publiching FPT / Next; hộp thoại, điền 10.0.0.2 / Next Chọn FTP Server / Next Chọn External / Next Nhấn Finish để hoàn tất / Apply Chọn Configuration / Network / Network Rules / nhắp chuột phải lên Internet Access, chọn Properties - Tab Network Relationship: chọn Network Address Transtation (NAT) / OK Như ta Publishing FTP xong Kiểm tra Publishing FTP: Sau Publishing FTP xong, kiểm tra Publishing FTP “máy tính ngồi mạng” có cơng khơng: mở IE nhập ftp://192.168.1.100 Khi hình Log On xuất hiện: - Users name: điền administrator - Password: điền 123 Nếu thấy file FTP nghĩa Publishing FTP thành cơng 195 Lúc này, Download file FTP (copy không Upload file lên FTP được, copy file Paste vào FTP thấy bị báo lỗi) Muốn Upload file lên FTP, máy ISA nhắp chuột phải lên Publishing FPT chọn Configure FTP Bỏ đánh dấu Read Only / OK / Apply Lúc này, mở IE “máy tính ngồi mạng” nhập ftp://192.168.1.100, copy số file Paste vào FTP không bị lỗi Publishing Terminal Services Máy AD: Nhắp chuột phải Icon Computer, chọn Properties - Tab Remote: đánh dấu vào Allow users to connect remotely to this computer, chọn Select Remote Users / Add / Advanced - Chọn Find Now để định administrator / OK Máy ISA:tiến hành Publishing Terminal Services - Chọn Firewall Policy / New / Server Publishing Rules - Điền Remote Desktop Connection / Next - Điền IP 10.0.0.2 / Next - Chọn RDP (Terminal Services) Server / Next - Chọn External / Next - Chọn Finish để hoàn tất / Apply Như vậy, Publishing Terminal Services thực Tại “máy tính ngồi mạng”, tiến hành kiểm tra Publishing Terminal Server có thành cơng khơng Vào Start / Programs / Accessories / Communications / Remote Desktop Connection - Computer: IP 192.168.1.100 - User name: administrator - Password: 123 - Chọn nút Connect 196 Hình 9.24 – Remote Desktop Connection Màn hình Connect thành cơng ta điều khiển Câu hỏi Mail Mdaemon gì? Tại phải dùng Mail Mdaemon? Cho biết mục đích ý nghĩa tiến trình Publishing Mail, lọc mail, Publishing web, Publishing FTP Bài tập thực hành Cài đặt hệ thống Mail Mdaemon gửi mail qua lại Máy AD cài Mail Mdaemon Mở chương trình Outlook Epress máy ISA, tạo mail POP3 Tạo mail POP3 cho account máy AD Từ máy ISA (account administrator), tiến hành gửi mail cho account máy AD Tại Máy AD ta kiểm tra account kiem nhận mail account admintrator gửi đến chưa 197 Tiến hành Publishing Mail ngồi mạng sử dụng account gửi mail Cấu hình lọc mail: - Cài IIS, SMTP NNTP - Cài đặt dịch vụ Message Screener - Cấu hình SMTP Kiểm tra tính lọc mail Xuất web: - Tạo trang web - Xuất web Publishing FTP: - Cài đặt FTP - Cấu hình Internet Information Services (IIS) Manager - Kiểm tra hoạt động FTP - Publicshing FTP để máy ngồi Internet truy cập FTP - Kiểm tra Publishing FTP 198 BÀI 10: MONITOR ISA SERVER Mục tiêu bài: - Trình bày Tab Monitor; - Phát khắc phục dịch vụ thông qua tab Monitor; - Thực lưu khôi phục lại máy ISA - Thực thao tác an tồn với máy tính Trình bày tab Monitor Mục tiêu: Giới thiệu chức tab Monitor Isa Server 1.1 Tab Session - Cho biết có Session diễn thông qua ISA - Mỗi Session thông qua dạng (SecaureNAT, Web Proxy, Firewall Client) để biết máy tính ngồi mạng thơng qua ISA dạng 1.2 Tab Services - Trình bày dịch vụ ISA chạy tốt - Khởi động dịch vị ISA có trục trặc Ví dụ ta áp dụng rule mà khơng chạy, thay khởi động lại máy tính, ta restart lại dịch vụ Microsoft Firewall (bằng cách chọn Microsoft Firewall, nhắp chuột phải chọn stop; sau tiếp tục restart lại) 1.3 Tab Report Tab Report dùng để tạo báo cáo thống kê, giúp thống kê lại khoảng thời gian máy mạng Lan web nhiều chiếm nhiều băng thông lấy dung lượng nhiều nhất… 1.4 Tab Connectivity Tab Connectivity cho phép tạo kết nối phục vụ cho việc kiểm tra Chẳng hạn, trang web internet thường xuyên truy cập gặp trục trặc, thay phải ngồi CMD để ping kiểm tra có hoạt động khơng,có thể thực dạng Connectivity Mỗi muốn kiểm tra, cần kích hoạt Connectivity thấy thơng báo lỗi 1.5 Tab logging Tab logging cho phép biết rõ chi tiết IP internet chiếm dung lượng bao nhiêu, Rule bị Rule chặn lại v.v… 199 Phát đợt cơng gửi mail cho admin Mục tiêu: Trình bày cách theo dõi, phát đợt công cách gửi mail cho admin Chọn Configuration / General / Enable Intrusion Detection and DNS Attack Detection Khi hình Intrusion Detection xuất hiện, đánh dấu vào Port scan Chọn Tab DNS Attack: đánh dấu vào DNS zone trransfer / OK / Apply Chọn Monitoring / Tab Alerts / Configure Alerts Defintions Khi cửa sổ Alerts Properties xuất hiện, tìm chọn Intrusion detected / Edit Trong hình Intrusion detected Properties, đánh dấu vào Send –e-mail (báo động có cơng gửi mail thơng báo cho admin) - SMTP server: điền IP 10.0.0.2 - From To: điền địa mail admin (administrator@khungbo.com), chọn nút Test gửi mail đến administrator; kiểm tra thấy có mail - Đánh dấu vào Run a program: dùng có chương trình viết để bảo vệ máy tính, có cơng chương trình chạy bảo vệ) Ở minh họa dùng thử chương trình notepad exe để xem chức hoạt động nó) Sau đó, mở Outlook Express thấy có mail “Máy tính ngồi mạng” thử cơng cách Scan Port Bật chương trình SuperScan4 lên Khi hình SuperScan xuất hiện, Hostname/IP điền IP 192.168.1 Chọn Tab Host and Service Discovery, bỏ dấu chọn Host dícovery Chọn tab Scan, bấm nút Play chương trình tự động thực scan port Lúc này, chương trình Scan 10 Port; Muốn biết rõ port cách chi tiết, nhấn vào View HTML Results thấy trình bày chi tiết Port mà Scan Quay lại Máy ISA thấy Notepad bật lên có người cơng Kiểm tra mail thấy có mail báo có địa IP 192.168.1.5 tiến hành cơng 200 Network Templates (mơ hình mẫu thơng số cấu hình mạng) Mục tiêu: Trình bày loại Network Templates cách sử dụng loại với lựa chọn sách Firewall ISA Server firewall mang đến cho thuận lợi to lớn, số Network Templates Với hỗ trợ Templates, cấu hình tự động thơng số Network, Network Rule Access Rules Network Templates thiết kế nhanh chóng tạo cấu hình tảng cho mà xây dựng Các loại Network Templates: - Edge Firewall: sử dụng ISA gắn card Network Có Network interface kết nối đến Internet Network interface kết nối với Internal Network - 3-Leg Perimeter sử dụng Firewall gắn Card Network Có Network interface (kết nối Internet) Internal interface (kết nối mạng nội bộ) DMZ interface (kết nối mạng vành đai – Perimeter Network) - Front Firewall: Đóng vai trị front-end firewall mơ hình back-toback Back-to back mơ hình kết nối Firewall làm việc với theo kiểu trước (front) sau (back); Phía ngồi Front Firewall Internet Front back firewall DMZ network phía sau back firewall Internal network - Single Network Adapter: áp dụng muốn loại chức Firewall Được dùng trường hợp ISA có card Network đóng vai trị hệ thống lưu giữ cache – Web caching server Những lựa chọn cho sách Firewall dùng Network Edge Firewall Templates (bảng 10.1) Mô Tả Firewall Policy Block All (ngăn chặn tất cả) Block Internet Access, allow access to ISP network services (Ngăn chặn truy cập Internet cho phép truy cập đến dịch vụ ISP) Ngăn chặn tất truy cập qua ISA Ngăn chặn tất truy cập qua ISA ngoại trừ truy cập đến Network services DNS services Lựa chọn dùng ISP cung cấp dịch vụ Lựa chọn xác định sách Firewall Allow DNS from Internet Network and VPN Client Network to External Network (Internet) - cho phép Internal Network VPN Client Network dùng DNS ISP để xác định Host names bên Allow Limited Web access Chỉ cho phép truy cập Web dùng giao thức HTTP, (cho phép truy cập web có HTTPS, FTP cịn lại truy cập khác bị ngăn chặn giới hạn) Các Rule sau tạo Allow HTTP ,HTTPS ,FTP from Internal Network to Exterrnal Network – Cho phép truy cập dạng 201 Allow Limited Web access and access to ISP network services (cho phép truy cập Web có giới hạn truy cập đến số dịch vụ ISP) Allow unrestricted access (Cho phép truy cập không giới hạn) HTTP, HTTPS, FTP từ Internal Network bên Allow all protocol from VPN Client Network to Internal Network – cho phép tất giao thức từ VPN Client Network (từ bên ngoài) truy cạp vào bên mạng nội Cho phép truy cập Web có giới hạn dùng HTTP,HTTPS,FTP cho phép truy cập ISP network services DNS lại ngăn chặn tất truy cập network khác Các Rule sau tạo ra: Allow HTTP, HTTPS, FTP from Internal Network and VPN Client Network to External Network (Internet) – Cho phép truy cập HTTP, HTTPS, FTP từ Internal Network VPN Client Network External Network (Internet) Allow DNS from Internal Network and VPN Client Network to External Network (Internet) – Cho Phép Internet Network VPN Client Network truy cập dịch vụ DNS giải Hostname bên (Internet) Allow all protocol from VPN Client Network to Internal Network – cho phép tất giao thức từ VPN Client Network (từ bên ngoài) truy cập vào bên mạng nội Cho phép không hạn chế truy cập Internet qua ISA Server Allow all Protocols from Internal Network and VPN Client Network to External Network (Internet) – Cho phép dùng tất giao thức từ Internal Network VPN Client Network tới External Network (Internet) Allow all protocol from VPN Client Network to Internal Network – cho phép tất gaio thức từ VPN Client Network (từ bên ngoài) truy cập vào bên mạng nội Cấu hình Edge Firewall Chọn Configuration / Network / Templates Task Pane nhắp vào Edge Firewall / Next Chọn Allow unrestricted access / Next / Apply Chọn lại Firewall policy, lúc thấy xuất Rule tạo Edge Firewall Access Rule cho phép Internal network VPN Client truy cập Internet VPN Client quyền truy cập vào Internet network 202 Backup Restore Mục tiêu: Trình bày cách lưu phục hồi ISA nhằm khắc phục xuất lỗi Backup: - Chọn tên máy ISA, nhắp chuột phải chọn Backup… - Chỉ định ổ C: để lưu backup ISA với tên backup; chọn nút Backup - Màn hình Set Password xuất hiện: Password Corfirm password: điền 12345678 / OK Vậy trình Backup xong Restore: Khi ISA gặp lỗi, tiến hành Restore: - Chọn tên máy tính ISA, nhắp chuột phải chọn Restore - Vào ổ đĩa C thấy File Backup lưu, chọn file backup nhấn Restore - Điền password: 12345678 / OK Câu hỏi Nêu chức ý nghĩa tab Monitor Trình bày mơ hình mẫu thơng số cấu hình mạng Bài tập thực hành Kiểm tra phát đợt công gửi mail cho admin Thực Backup cho máy ISA; sau đó, restore lại 203