Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp LỜI CẢM ƠN Sau thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp” phần hoàn thành Ngoài cố gắng thân em nhận giúp đỡ nhiệt tình từ thầy cơ, bạn bè, anh, chị nơi em thực tập Trước hết em xin cảm ơn thầy cô giáo môn công nghệ thông tin trường đại học Kinh tế Quốc dân giúp đỡ em trình học tập Đặc biệt Giảng viên, PGS – TS Đặng Minh Ất tận tình giúp đỡ em suốt trình thực đề tài Xin cảm ơn ban giám đốc anh chị em làm việc công ty Vinapay tạo điều kiện cho em thực tập học hỏi kinh nghiệm để hoàn thành đề tài Em xin chân thành cảm ơn! Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp Mục lục Giới thiệu Chương I : Triển khai hệ thống mạng Các khái niệm 1.1 Định nghĩa mạng máy tính 1.2 Các thành phần mạng(Network Component) 1.3 Các loại mạng máy tính 1.4 Hệ thống domain quản lí mạng LAN- Local Area Network Cơ sở lí thuyết 2.1 Dịch vụ DNS 2.2 Windows Internet Name Service 2.3 Dịch vụ DHCP 2.4 Active Directory Hiện trạng hệ thống Các công việc triển khai & kết 4.1 Các yêu cầu cấu trúc mạng 4.2 Công việc triển khai vào mạng cơng ty Chương II: Quản lí trì hệ thống mạng Các khái niệm 1.1 Một số khái niệm kiến trúc Administrators 1.2 Khái niệm backup restore Cơ sở lí thuyết 2.1 Thực trì bảo mật Domain Controller Active Directoryministrative Workstation Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp 2.2 Thiết lập chiến lược lưu khôi phục domain controller 2.3 Quản lý tài khoản Backup Operators Hiện trạng hệ thống Công việc triển khai kết 4.1 Cấu hình backup cho domain 4.2 Quản trị hệ thống Active Directory Chương III: Nâng cấp hệ thống với ISA Firewall 2004 Các khái niệm Các khái niệm ISA 2004 Cơ sở lí thuyết 2.1 Các Network Templates 2.2 Các cấu hình Network template 2.3 Cấu hình ISA Server 2004 SecureNat, FireWall Web Proxy Clients 2.4 Cấu hình sách truy cập ISA Server –ISA Server 2004 Access Policy Hiện trạng hệ thống Công việc triển khai kết 4.1 Lựa chọn hệ thống Firewall(Proxy) 4.2 Cài đặt ISA Server 2004 Windows Server 2003 4.3 Mơ hình cấu hình ISA vào mạng cơng ty Kết Luận Phụ lục 1: Tài liệu tham khảo Phụ lục 2: Một số từ chuyên ngành Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp GIỚI THIỆU Ngày nay, máy tính internet phổ biến rộng rãi, tổ chức, nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thơng tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lí dễ dàng bị cơng, gây hậu nghiêm trọng Công ty Cổ phần Công nghệ Thanh tốn Việt Nam (Vinapay) - thức thành lập vào tháng năm 2007 nhà đầu tư nước hàng đầu giới Tập đồn Cơng nghệ Net 1; Quỹ đầu tư IDG Venture Tập đoàn MK Việt Nam Mục tiêu Vinapay góp phần xây dựng Việt Nam hạ tầng tốn an tồn cho thương mại di động Sản xuất phát triển loại thẻ liệu cơng nghệ cao (bao gồm thẻ thơng minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản, thẻ SIM phục vụ dịch vụ thương mại điện tử, …) - Nghiên cứu, phát triển thực dịch vụ công nghệ cao liên quan đến toán thương mại điện tử (e-commerce), thương mại di động (m-commerce), thẻ trả trước, thẻ thông minh; - Sản xuất phát triển phần mềm ứng dụng công nghệ cao; - Vận hành cổng điện tử, chuyển mạch để thực kết nối hệ thống toán thẻ ngân hàng, thẻ toán, thẻ trả trước đơn vị phát hành thẻ, cho phép người sử dụng điện thoại di động nạp tiền, trả cước thông qua di động internet; Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp - Lắp đặt, bảo trì, cho thuê hệ thống thiết bị phát hành thẻ, loại máy chấp nhận toán ATM, máy đọc chấp nhận tốn đầu cuối (POS) Với cơng việc toán qua cổng điện tử giao dịch trực tuyến, yêu cầu an toàn liệu Vinapay lại đòi hỏi cao Nhưng doanh nghiệp trẻ (2-2007)Vinapay chưa có hệ thống mạng cơng ty hồn thiện, tính bảo mật khơng đảm bảo Cũng lí thời gian thực tập công ty VINAPAY em chọn đề tài “Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp” Trên sở thực tế mạng Vinapay, em nghiên cứu vấn đề mạng Lan bảo mật mạng Lan doanh nghiệp Đề tài thực với mục đích tìm hiểu hệ thống công cụ cung cấp để qua vận hành thành thạo cơng cụ này, biết cách cấu hình thực hiện, qua tránh lỗ hổng khơng đáng có Đồng thời cịn đưa số cấu hình áp dụng số đề xuất cấu hình Hi vọng giúp ích cho người quản trị mạng áp dụng vào mạng quản lí Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG Các khái niệm 1.1 Định nghĩa mạng máy tính Mạng máy tính (computer network) tập hợp hay nhiều máy tính kết nối với thơng qua phương tiện kết nối (thiết bị kết nối – Switch, hub, dây cáp, sóng vơ tuyến,…) để chia sẻ tài nguyên Việc kết nối máy tính tuân theo chuẩn mạng máy tính (network standard), cơng nghệ mạng giao thức (Protocol) Các máy tính mạng gọi nút mạng Việc sử dụng mạng máy tính giúp tổ chức, doanh nghiệp dễ dàng việc chia sẻ tài nguyên cho người dùng Các tài nguyên chia sẻ bao gồm file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung 1.2 Các thành phần mạng (Network Component) Mỗi mạng máy tính bao gồm máy tính, thiết bị mạng, máy in,… chúng gọi thành phần mạng (network component) bao gồm thành phần sau Máy chủ (server): Là máy tính có tài ngun, dịch vụ, ứng dụng chia sẻ máy tính khác truy nhập tới sử dụng Máy chủ chạy hệ điều hành máy chủ (Windows Server, Linux, Unix) cài phần mềm chuyên dụng dành cho máy chủ Tuỳ thuộc vào chức nhiệm vụ mà máy chủ có tên gọi khác máy chủ liệu (data server), máy chủ thư điện tử (mail server), máy chủ ứng dụng (application server),… Máy trạm (client): Là máy tính mạng kết nối đến máy chủ để sử dụng tài nguyên mà máy chủ chia sẻ Máy trạm chạy hệ điều hành máy trạm phần mềm máy trạm Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp Phương tiện truyền dẫn (media): Là thành phần chuyền dẫn vật lý máy tính dây cáp (cable), sóng radio,… Tài ngun (resources): Là ứng dụng, liệu, phần cứng chuyên dụng,… cung cấp bới máy chủ mạng cho người dùng thông qua máy trạm (files, máy in,…) Card mạng (network adapter): Là thiết bị chun dụng giúp máy tính gửi liệu tới máy tính thơng qua phương tiện truyền dẫn Các thiết bị kết nối HUB, SWITCH, ROUTER Giao thức mạng (network protocol): Là tập hợp quy luật, quy định giúp máy tính giao tiếp với (hiểu – giống ngôn ngữ mà người sử dụng) Topo mạng (network topology): Là cấu trúc vật lý mạng (bus, star, ring,…) phân loại dựa vào loại phương tiện truyền dẫn (media type), giao thức mạng (protocol), card mạng,…(Trong khuôn khổ đề tài nghiên cứu thành phần quản lí bảo mật mạng, thiết bị ngoại vi hay phần cứng máy không đề cập đến) 1.3 Các loại mạng máy tính Mạng máy tính phân loại theo số cách khác nhau: phân loại theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng mạng,… Phân loại theo phạm vi Mạng nội (LAN – local area network): Là mạng máy tính máy tính kết nối trực tiếp với nhau, phạm vi địa lý nhỏ (phịng, tồ nhà,…) Việc giới hạn phụ thuộc vào phương tiện truyền dẫn mà mạng nội sử dụng Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp Mạng diện rộng (WAN – wide area network): Là mạng trải phạm vi địa lý rộng lớn, nối khu vực quốc gia vị trí quốc gia khác với Các phương tiện kết nối sử dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện thoại (telephone line), kết nối dành riêng (lease line) Tuy nhiên giá thànhh kết nối tương đối cao Mạng Internet: Là loại hình mạng đặc thù mạng diện rộng, ngày mạng Internet trở thành loại hình mạng phổ biến Mục đích mạng Internet đáp ứng lại kết nối người dùng đâu giới, giúp tổ chức, doanh nghiệp dễ dàng quảng bá thơng tin, cung cấp dịch vụ chia sẻ dễ dàng với giá thành hợp lý Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area network), Mạng lưu trữ liệu (SAN – storage area network), mạng riêng ảo (VPN – virtual private network), mạng không giây (wireless network),… Trong phạm vi đề tài, với công ty cỡ vừa nhỏ bao gồm máy chủ quản trị sử dụng Windows Server 2003 số máy client(50100 máy) ta xét phạm vi máy tính dạng Local Area Network (LAN) 1.4 Hệ thống domain quản lí mạng LAN Cấu trúc tổ chức mô hình mạng Windows Server 2003 domain Một domain đại diện cho đường biên quản trị Các máy tính, người dùng, đối tượng khác domain chia sẻ sở liệu bảo mật chung Sử dụng domain cho phép nhà quản trị phân chia mạng thành ranh giới bảo mật khác Thêm vào đó, nhà quản trị từ domain khác thiết lập mơ hình bảo mật riêng họ; bảo mật domain riêng biệt để khơng ảnh hưởng đến mơ hình bảo mật domain khác Chủ yếu domain cung cấp phương pháp để phân chia Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp mạng cách logic theo tổ chức Các tổ chức đủ lớn có domain ln ln phân chia để chịu trách nhiệm trì bảo mật nguồn riêng họ Một domain Windows Server 2003 đại diện cho không gian tên tương ứng với cấu trúc tên Một domain tạo, cung cấp số dịch vụ cho hệ thống mạng như: DNS(Domain Name System): Dịch vụ phân giải tên miền sử dụng để phân giải tên host tuân theo chuẩn đặt tên FQDN thành địa IP tương ứng DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa động ): dịch vụ quản lý cấp địa IP cho máy trạm Nhờ dịch vụ địa IP máy công ty trở lên dễ quản lí Windows: Cấu hình hệ điều hành quản lý server có cài đặt dịch vụ hệ thống Active Directory: Quản lý điều hành hoạt động domain controller cung cấp dịch vụ Active Directory Windows Internet Name Service(WINS):cung cấp khả phân giải tên máy tính cách phân giải tên NetBIOS sang địa IP Ngồi Windows Server 2003 cịn cung cấp nhiều tính dạng máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS Cơ sở lí thuyết Để xây đựng mạng máy tính sử dụng Microsoft Windows Server 2003 ta cần nắm rõ dịch vụ cung cấp, điều giúp cho việc cấu hình mạng trở nên dễ dàng khoa học Khi cơng việc Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp sử dụng nâng cấp nhanh hiệu Một số công cụ quản trị hệ thống mạng 2.1 Dịch vụ DNS –Không gian tên nội (sử dụng hệ thống Intranet Local) không gian tên Internet thiết kế sau: Không gian tên DNS nội bộ: Local.Vinapay.com.vn Không gian tên DNS Internet: Vinapay.com.vn Dịch vụ DNS Windows Server 2003 dịch vụ DNS động (Dynamic DNS) Nó cho phép máy trạm xác thực tự động đăng ký ghi với dịch vụ DNS Tất tài khoản máy tính có ghi tương ứng đăng ký phạm vi miền DNS tích hợp dịch vụ Active Directory mà trực thuộc Điều cho phép yêu cầu nội đối tượng máy chủ DNS nội phục vụ Với hệ thống Intranet Vinapay, liệu DNS cho domain nhân đến DC domain khơng phải tồn forest Máy chủ DC tỉnh miền Bắc (Hanoi.Vinapay.com.vn) miền Nam (HCM.Vinapay.com.vn) nắm giữ domain Active Directory miền đồng thời nắm giữ miền DNS domain Do hoạt động mạng miền độc lập không cần thiết sử dụng thêm máy chủ DNS trung tâm để kết nối mạng Hệ thống máy chủ DNS nói có vai trị quan trọng hoạt động hệ thống mạng Chính vai trò quan trọng mà ta cần phải có sách quản trị cách thích hợp để đảm bảo cho dịch vụ DNS ln có tính sẵn sàng cao, lưu phục hồi tốt Cũng tính chất quan trọng hệ thống máy chủ DNS mà sách quản trị máy chủ này, nên hạn chế đến mức tối thiểu số người phép đăng nhập vận hành thao tác máy chủ này, 10