BÀI tập lớn FIREWALL

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.

“chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi vàkhóa truy cập tại các chốt này.

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công Đểbảo vệ dữ liệu bên trong người ta thường dùng firewall Firewall có cách nào

đó để cho phép người dùng hợp đi qua và chặn lại những người dùng khônghợp lệ

Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trênhost bảo đảm hoặc kết hợp cả hai Trong mọi trường hợp, nó phải có ít nhấthai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài.Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là mộtmạng riêng và một mạng công cộng như là Internet Các firewall đầu tiên làcác router đơn giản

2.CHỨC NĂNG CỦA FIREWALL.

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet vàInternet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong(Intranet) và mạng Internet

• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.• Cho phép hoặc cấmnhững dịch vụ từ ngoài truy cập vào trong

• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

• Kiểm soát người sử dụng và việc truy cập của người sử dụng Kiểm soát nộidung thông tin lưu chuyển trên mạng

Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó cóđạt chuẩn hay không Nếu nó đạt, nó được định tuyến giữa các mạng, ngượclại nó bị hủy Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào Nócũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạngbên trong Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạngriêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phânquyền đột nhập Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉđích và số cổng của chúng Điều này còn được gọi là lọc địa chỉ Firewallcũng có thể lọc các loại đặc biệt của lưu lượng mạng Điều này được gọi là lọcgiao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụthuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet Firewallcũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâmnhập rằng họ đã phá vỡ được hệ thống an toàn Về cơ bản, nó phát hiện sự tấncông và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phảnchiếu” (hall of mirrors) Nếu kẻ tấn công tin rằng họ đã vào được một phần

của hệ thống và có thể truy cập xa hơn, các hoạt động của kẻ tấn công có thểđược ghi lại và theo dõi.

Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theodấu vết của họ Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạotập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việctruyền tập tin về nơi của kẻ tấn công qua kết nối Internet

3.NGUYUÊN LÝ HOẠT ĐỘNG CỦA FIREWALL.

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việctheo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, haynói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS,SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packetnày những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó cácloại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉcủa chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn mộttrong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựatrên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền cácpacket đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đóđược chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổnglàm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định đượcphép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tradựa trên header của các packet nên bộ lọc không kiểm soát được nội dụngthông tin của packet Các packet chuyển qua vẫn có thể mang theo nhữnghành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu Trong các phầnsau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa.

4.Phân Loại Firewall:

Firewall được chia làm hai loai

4.1 Firewall Cứng :

Là những loại firewall được tích hợp trên Router Các tổ chức lớn thì có thể sửdụng Router Cisco còn đối với mạng LAN trong gia đình thì thường sử dụngRouter ADSL

Đặc điểm của firewall cứng:

• Không linh hoạt như firewall mềm Không thể thêm chức năng thêmquy tắc như firewall mềm

• Firewall cứng hoạt động ở tầng thấp hơn firewall mềm Tầng Network

và tầng Transport

• Firewall cứng không thể kiểm tra được nội dung của gói tin

• Firewall cứng phổ biến nhất NAT (Network Address Translate)

4.2Firewall Mềm:

Là nhưng firewall được cài đặt trên Server

Đặc điểm của firewall mềm :

• Tính linh hoạt cao có thể thêm bớt các quy tắc,các chức năng

• Firewall mềm hoạt động ở tầng cao hơn firewall cứng .Tầng ứngdụng (Application)

• Firewall mềm có thể kiểm tra được nội dung gói tin thông qua các từkhóa

• Các kiểu firewall mềm : Zone Alarm, Norton Firewall…

5.FIREWALL TRONG MÔ HÌNH MẠNG OSI VÀ TCP/IP.

5.1Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau đểhạn chế lưu lượng Lớp thấp nhất mà firewall hoạt động là lớp 3 Trong môhình OSI đây là lớp mạng Trong mô hình TCP/IP đây là lớp IP (InternetProtocol) Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng

Ở lớp này, một firewall có thể xác định rằng một gói từ một nguồn đáng tincậy, nhưng không xác định gói chứa những gì Ở lớp transport, firewall biếtmột ít thông tin về gói và có thể cho phép hoặc từ chối truy cập dựa vào cáctiêu chuẩn Ở lớp ứng dụng, firewall biết nhiều về những gì đang diễn ra và có

sự lựa chọn trong việc gán quyền truy cập

5.2IP spoofing (sự giả mạo IP)

Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếuchúng hợp lý Một firewall có thể cho phép luồng lưu thông nếu nó đến từ mộthost đáng tin cậy Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tớifirewall Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho

chúng đi qua trừ khi một vài chuẩn khác không thỏa Tất nhiên cracker muốntìm hiểu về luật của firewall để khai thác vào điểm yếu này.

Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thứcmạng riêng ảo (Virtual Private Network - VPN) như là IPSec Biện pháp nàyđòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn Phần mềmhoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểmtra (checksum) Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạothìgóisẽbị hủy

5.3IPSec

IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta

cố giải quyết nó với firewall

IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi InternetEngineering Tast Force (IETF) IPSec giải quyết hai vấn đề gây hại cho bộgiao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nóichuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặnnhững kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy)

Đây là các vấn đề mà firewall cần giải quyết Mặc dù firewall có thể làm giảmnguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưngvẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đangtruyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa cácmạng khác nhau IPSec giúp giải quyết các vấn đề này

Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall vớicác host cho phép IPSec Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói

mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sựxác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “justtrusting” địa chỉ IP hiện tại

6.CÁC KIỂU KHÁC NHAU CỦA FIREWALL.

Firewall được thiết kế theo hai tiếp cận:

• Strip search (khám xét tận đáy): Khi người dùng muốn đăng nhập vào hệthống đều phải qua strip search

• Proxy service (dịch vụ ủy thác): Trong trường hợp gắt gao hơn, người quảntrị không muốn cho hệ thống tiếp xúc trực tiếp với người dùng, khi đó ngườiquản trị giả lập một hệ thống tương tự như cũ để tiếp xúc trực tiếp với kháchhàng Hệ thống giả lập này chuyển tin qua lại giữa hai bên và làm dịch vụ ủythác Proxy service hoạt động như là người đại diện cho những người dùngcần truy cập hệ thống ở phía bên kia firewall

Firewall lọc gói (packet-filtering) dùng phương pháp strip search Các gói dữliệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theomột số điều kiện nhất định

Còn một phương pháp thứ ba gọi là giám sát trạng thái (stateful inspection).Phương pháp này nhớ các đặc trưng của bất cứ người nào rời khỏi hệ thống vàchỉ cho phép quay trở lại theo những đặc trưng này

7.LỢI ÍCH CỦA FIREWALL.

Bất kỳ ai chịu trách nhiệm cho mạng riêng kết nối với mạng công cộng đềucần sự bảo vệ của firewall Ngoài ra, bất kỳ ai kết nối máy tính với Internetthông qua modem nên có phần mềm firewall cá nhân Nhiều người dùngInternet thông qua việc quay số tin tưởng rằng tình trạng nặc danh sẽ bảo vệ

họ Họ nghĩ rằng không có sự xâm nhập nguy hiểm nào làm hại máy tính của

họ Những người dùng quay số trở thành những nạn nhân của các cuộc tấncông nguy hiểm, đôi khi họ phải cài lại hệ điều hành Những kẻ chơi khăm cóthể dùng các robot tự động quét các IP ngẫu nhiên và tấn công bất cứ khi nàothời cơ đến với nó

Firewall bảo vệ các mạng cục bộ từ những kẻ tấn công từ Internet

Firewall cho phép các nhà quản trị mạng đề ra nhiều loại truy cập tới các dịch

vụ Internet để các user LAN lựa chọn Sự lựa chọn này là một phần cốt yếucủa bất kỳ chương trình quản trị thông tin nào, và không chỉ bảo vệ thông tinriêng mà còn biết được những ai đã truy cập và đã làm gì

8.HẠN CHẾ CỦA FIREWALL.

Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thôngtin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sựxâm nhập của những nguồn thông tin không mong muốn nhng phải xác định

rõ các thông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

"đi qua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công

từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợppháp lên đĩa mềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chơng trình đợc chuyển theo th điện tử, vợt quafirewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quétvirus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liêntục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏikhả năng kiểm soát của firewall

(data-Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi

Phần II :THIẾT KẾ FIREWALL CHO MÔ HÌNH MẠNG.

Đề Tài :Thiết kế và cài đặt Firewall cho mạng LAN của chi nhánh ngân hàngngoại thương Hà Nội Vietcombank

− Các máy chủ dịch vụ như cơ sở dữ liệu quản lý, giảng dạy, truyền thông…

− Các máy tính phục vụ cho công tác nghiên cứu khoa học : Cung cấp cácthông tin cho sinh viên, giáo viên, và cung cấp công cụ làm việc cho các cán

bộ giảng dạy, các bộ môn, khoa

− Các máy tính phục vụ riêng cho công tác quản lý hành chính nhằm thựchiện mục tiêu tin học hoá quản lý hành chính

các switch

1.2.Hệ thống cáp

Cáp sử dụng cho mạng lan là cáp UTP(Cáp thẳng) cáp có khả năng chốngnhiễu tốt cáp được nối từ các máy tình đến các Switch được đặt ngay trongphòng học

Cáp chéo được nối từ các Swicth(TP-Link) đến Swicth Cisco (Swicth trungtâm)

Cáp chéo đươc nối từ Router đến các Server

1.3.Quản lý và cấp phát địa chỉ IP

Mạng máy tính thư viện là mạng máy tính dùng riêng, do vậy sẽ được đánhđịa chỉ IP trong dải địa chỉ IP dùng cho mạng dùng riêng quy định tạiRFC1918 (Bao gồm các địa chỉ từ 10.0.0.0 đến 10.255.255.255, 172.16.0.0đến 172.31.255.255 và địa chỉ 192.168.0.0 đến 192.168.255.255) Sốlượng máy tính cho 1 segment mạng

đông nhất được tính bằng một phần 4 số lượng máy tính dự tính sẽ có trongtoàn nhà (Khoảng vài chục máy tính) Như vậy, có thể gán cho 2segment máy tính bằng các phân lớp class C địa chỉ IP từ class B 172.16.0.1đến 172.31.255.255 Hệ thống các máy chủ sẽ nằm trong phân mạng riêng và

có địa chỉ IP gán trong phân lớp địa chỉ 10.11.12.0 Để có thể truy cập raInternet, một số các máy chủ cần có tính năng che dấu địa chỉ như Firewallhay Proxy và các máy chủ này cần có địa chỉ IP thật Các máy tính bên trongmạng sử dụng địa chỉ của các máy chủ khi kết nối ra Internet Nếu cácmáy chủ cần cung cấp thông tin cho người dùng Internet thì cần phảiđánh lại địa chỉ IP cho các máy chủ này là địa chỉ do IANA cung cấp

Để kết nối với các phân mạng máy tính của trường và mạng quốc gia, cầntuân thủ một qui định đánh địa chỉ chặt chẽ để khỏi sử dụng trùng vùng địachỉ mạng dùng riêng Có thể sử dụng các kỹ thuật chuyển đổi địa chỉ NAT đểtránh xung đột địa chỉ khi kết nối 2 mạng

- Trong Mô hình thiết kế mạng Lan cho chi nhánh ngân hàng VietcomBanktrên gồm một router Cisco có chức năng định tuyến Layer 3 hai máy chủ mộtmáy chủ quản lý và một máy chủ CSDL một Switch Cisco cho lớpDistribution và 5 Switch Access của hãng TP-LINK

2.Thiết kế firewall cho mô hình mạng

Do ngân hàng cần tính bảo mật cao,tính ổn định,và một số tính chất đặc thùriêng

Lên cần xây dựng một mô hình firewall thật tôt,nhằm bảo vệ và duy trì tốt hệthống mạng của ngân hàng.Để xây dùng được mô hình như vậy chùng ta cần

tìm hiểu cài đặt các đầy đủ các chức năng của firewall server.Sau đây là môhình thiết kế mạng của ngân hàng có hệ thống tường lửa.

Mô hình tường lửa kết nối Internet

Mô hình mạng LAN sau khi thiết kế Firewall (Dual –Home)

Mô hình Firewall mềm này dùng một Server có hai card mạng một card mạngnối với mạng LAN bên trong một card mạng ngoài dung để kết nối với cácmạng bên ngoài và kết nối Internet

Mạng máy tính cục bộ sẽ được kết nối với phân mạng truy cập Internet thôngqua firewall Firewall sẽ làm nhiệm vụ ngăn chặn và bảo mật các máy tínhthuộc phân mạng nội bộ với mạng Internet phía bên ngoài Như vậy một giaotiếp mạng của firewall sẽ kết nối với phân mạng bên trong và 1 giaotiếp mạng sẽ kết nối với phân mạng Internet công cộng

Phần III :CẤU HÌNH VÀ CÀI ĐẶT

1.Cài đặt Windows Server 2003:

Chọn một máy chủ nội bộ trong mạng LAN của trung tâm để làm domaincontroller Viêc cho tất cả các máy trong mạng LAN vào một domain sẽ rất dễdàng cho việc quản trị mạng và làm tăng tính bảo mật của hệ thống

1 Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer Cho phépboot từ ổ đĩa CD

2 Chương trình Windows setup bằt đầu load những Files phục vụ cho việc.Nhấn Enter khi màn hình Welcome to xuất hiên Sau đó nhấn F8

3 Trên Windows Server 2003, Standard Edition Setup xuất hiện màn hìnhtạo các phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùngcho việc cài đặt Hệ Điều hành Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉlàm một Partion Nhấn Enter

4 Chọn Format the partion using NTFS file System Nhấn Enter

5 Sauk hi máy tình restart lại em sẽ nhập Product key 25 chữ và số

6 Trên trang Licensing Modes chọn đúng option áp dụng cho version ápdụng cho Windows Server 2003

7 Trên trang Computer Name và Administrator Password điền tên củaComputer trong Computer Name text box Theo các bước trong xây dựng TestLab này, thì Domain controller/Exchange Server trên cùng Server và có tên làEXCHANGE2003BE, tên này được điền vào Computer Name text box Điềntiếp vào mục Administrator password và xác nhận lại password tại mụcConfirm password (ghi nhớ lại password administrator cẩn thận, nếu khôngthì em cũng không thể log-on vào Server cho các hoạt động tiếp theo ClickNext

8 Trên trang Date và Time Setting thiết lập đúng mũi giờ Hà Nội

9 Trong phần Networking Components Chấp nhận lựa chọn mặc định môitrường Network là Workgroup (em sẽ tạo môi trường Domain sau, đưa máynày trở thành một Domain controller và cũng là thành viên của Domain (làmột member server, vì trên Server này còn cài thêm nhiều Server Service khácngoài Active Directory Service

10 Sau khi qua trình cài đặt kết thúc máy tình sẽ khởi động lại Quá trìnhlog on lần đầu tiên em sẽ sử dụng tài khoản Administrator

2 Cài Đặt DNS :

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chínhComputer này (EXCHANGE2003BE ) Điều này là cần thiết vì ActiveDirectory Service hoạt động trên Domain Controller, kiểm soát toàn Domainyêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên-hostname, đăng kí các record (A, PTR, SRV records v.v ) Em sẽ cài DNSserver và sau đó sẽ nâng vai trò Computer này lên thành một DomainController, và DNS server này sẽ phục vụ cho toàn Domain

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove WindowsComponents

3 Trong Windows Components, xem qua danh sách Components vàclick Networking Services entry Click Details

4 Check vào Domain Name System (DNS) checkbox và click OK

5 Click Next trong Windows Components

6 Click Finish trên Completing the Windows Components Wizard

7 Đóng Add or Remove Programs

8 Click Start và sau đó click Administrative Tools Click DNS

9 Trong bảng làm việc của DNS (DNS console), mở rộng server name(EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones Right clicktrên Reverse Lookup Zones và click New Zones

10 Click Next trên Welcome to the New Zone Wizard

11 Trên Zone Type , chọn Primary zone option và click Next Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter10.0.0 vào text box Click Next

12 Chấp nhận chọn lựa mặc định trên Zone File page, và click Next TrênDynamic Update page, chọn Allow both nonsecure and secure dynamicupdates option Click Next

13 Click Finish trên Completing the New Zone Wizard page

14 Kế tiếp em tạo Forward lookup zone

15 Right click Forward Lookup Zone và click New Zone

16 Click Next trên Welcome to the New Zone Wizard page

17 trên Zone Type page, chọn Primary zone option và click Next

18 Trên Zone Name page, điền tên của forward lookup zone trong Zonename text box Trong ví dụ này tên của zone là MSFirewall.org, trùng với têncủa Domain sẽ tạo sau này Đưa MSFirewall.org vào text box Click

19 Chấp nhận các xác lập mặc định trên Zone File page và click Next

20 Trên Dynamic Update page, chọn Allow both nonsecure and securedynamic updates Click Next

21 Click Finish trên Completing the New Zone Wizard page

22 Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone.Right click trên MSFirewall.org và Click New Host (A)

23 Trong New Host dialog box, điền vào chính xác Msfirewall.org

24 Close DNS console

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domaincontroller trong Domain MSFirewall.org

Tiến hành các bước sau để tạo Domain và nâng server này thành DomainController đầu tiên của Domain (Primary Domain Controller)

3.Cài Đặt Primary Domain Controler:

1 Click Start và click Run

2 Trong Run dialog box, đánh lệnh dcpromo trong Open text box vàclick OK

3 Click Next trên Welcome to the Active Directory Installation Wizard

4 Click Next trên Operating System Compatibility page

5 Trên Domain Controller Type page, chọn Domain controller for anew domain

6 Trên Create New Domain page, chọn Domain in a new forest option

12 Trên Permissions page, chọn Permissions compatible only with

Windows 2000 or Windows Server 2003 operating system option Click Next

13 Trên Directory Services Restore Mode Administrator Password page(chế độ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DCoffline, vào chế độ troubleshoot này bằng cach1 Restart Computer, chọn F8),điền vào Restore Mode Password và sau đó Confirm password (Các Adminkhông nên nhầm lẫn Password ở chế độ này với Domain AdministratorPassword, điều khiển hoạt động của DCs hoặc Domain) Click Next

14 Trên Summary page, click Next

15 Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặtActive

16 Click Finish trên Completing the Active Directory InstallationWizard page, hoàn thành việc cài đặt

17 Click Restart Now trên Active Directory Installation Wizard page

18 Log-on vào Domain Controller dùng tài khoản Administrator sau khi

đã Restart

4.Cài đặt và cấu hình Microsoft Exchange trên Domain Controller

Computer đã sẵn sàng cho việc cài đặt Microsoft Exchange Trong phần nàychúng ta sẽ tiến hành những bước sau:

• Cài đặt các Service IIS World Wide Web, SMTP và NNTP services

• Cài đặt Microsoft Exchange Server 2003

• Cấu hình Outlook Web Access WebSite

Tiến hành các bước sau để cài World Wide Web, SMTP và NNTP services:

1 Click Start, chọn Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove WindowsComponents

3 Trên Windows Components page, chọn Application Server entry trongComponents page Click Details

4 Trong Application Server dialog box, check vào ASP.NET checkbox.Chọn Internet Information Services (IIS) entry và click Details

5 Trong Internet Information Services (IIS) dialog box, check vàoNNTP Service checkbox Check tiếp SMTP Service checkbox Click OK

6 Click OK trong Application Server dialog box

7 Click Next trên Windows Components page

8 Click OK vào Insert Disk dialog box

9 Trong Files Needed dialog box, đưa đường dẫn đến Folder I386 trên

CD cài đặt Windows Server 2003 trong copy file từ text box Click OK

10 Click Finish trên Completing the Windows Components Wizard page

11 Close Add or Remove Programs

5.Cài đặt Microsoft Exchange:

1 Đưa Exchange Server 2003 CD vào CD-ROM, trên autorun page,click Exchange Deployment Tools link nằm dưới Deployment heading

2 Trên Welcome to the Exchange Server Deployment Tools page, clickDeploy the first Exchange 2003 server link

3 Trên Deploy the First Exchange 2003 Server page, click NewExchange 2003 Installation link

4 Trên New Exchange 2003 Installation page, kéo xuống cuốitrang.Click Run Setup now link

5 Trên Welcome to the Microsoft Exchange Installation Wizard page,click Next

6 Trên License Agreement page, chọn I agree option và click Next

7 Chấp nhận các xác lập mặc định trên Component Selection page vàclick Next

8 Chọn Create a New Exchange Organization option trên InstallationType page

1 và click Next

9 Chấp nhận tên mặc định trong Organization Name text box trênOrganization Name

2 page, và click Next

10 Trên Licensing Agreement page, chọn I agree that I have read andwill be bound by the license agreement for this product và click Next

11 Trên Installation Summary page, click Next

12 Trong Microsoft Exchange Installation Wizard dialog box, click OK

13 Click Finish trên on the Completing the Microsoft Exchange Wizardpage khi cài đặt hoàn thành

14 Đóng tất cả cửa sổ đang open

6 Cài đặt ISA SERVER 2004

Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual home

(máy gắn hai Network Cards) Windows Server 2003 Computer:

Chèn ISA Server 2004 CD-ROM vào ổ CD Autorun menu sẽ xuất hiện

Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page.

Chọn I accept the terms in the license agreement trên License Agreement

page Click Next

Trên Customer Information page, điền Tên và Tên tổ chức trong User Name và Organization text boxes Điền tiếp Product Serial Number Click

Next

Trên Setup Type page, chọn Custom option.đặt ISA Server 2004 software

trên C: drive, click Change để thay đổi vị trí cài đặt chương trình trên đĩa

cứng Click Next

Trên Internal Network page, click Add Internal network khác hơn LAT

(được sử

dụng trong ISA Server 2000) Khi cài đặt ISA Server 2004, thì Internal

network sẽ chứa các Network services được tin cậy và ISA Server 2004

firewall phải giao tiếp được với những Services này

Ví dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP,terminal

services client management workstations, và các dịch vụ khác, thì chính sách

hệ thống của Firewall sẽ tự động nhận biết chúng thuộc Internal network

Trong Internal Network setup page, click Select Network Adapter

Trong Select Network Adapter dialog box, remove dấu check tại Add the following private ranges… checkbox Check vào Add address ranges based on

the Windows Routing Table checkbox Check tiếp vào Network Card nào,

trực tiếp

kết nối vào LAN tại Select the address ranges…Internal network adapter

Chọn LAN sau đó click ok

Click Next trên Internal Network

Trên Firewall Client Connection Settings page, check vào Allow

nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes Những xác lập này sẽ cho phép em kết nối đến ISA

Server 2004 firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay

cả khi dùng

Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạyFirewall Clients

là ISA Server 2000 Firewall client Click Next

Trên Services page, click Next.

Click Install trên Ready to Install the Program page.

Trên Installation Wizard Completed page, click Finish

Cài đặt các chính sách cho Firewall Server2004

Click Start, All Programs Chọn Microsoft ISA Server và click ISA Server Management.

Trong Microsoft Internet Security and Acceleration Server 2004

management console, mở rộng server node và click vào Firewall Policy

node Right click trên Firewall Policy node, trở đến View và click Show

SystemPolicy Rules.

Chỉnh sửa chính sách trong System Policy Editor

Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide

System Policy Rules ở Bảng chứa các nút này

Chúng ta có thể thay đổi cac thiết lập trên một System Policy Rules bằngcách click double lên Rule