87 Bài 5: QUẢN LÝ ĐĨA Mã bài: MĐ24-05 Mục tiêu: - Phân biệt loại định dạng đĩa cứng; - Công nghệ lưu trữ Dynamic storage; - Mơ tả kỹ thuật nén mã hố liệu - Thực thao tác an toàn với máy tính Nội dung chính: Cấu hình hệ thống tâp tin Mục tiêu: - Phân biệt loại định dạng hệ thống tập tin đĩa cứng Hệ thống tập tin quản lý việc lưu trữ định vị tập tin đĩa cứng Windows Server 2003 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 NTFS Nếu bạn định sử dụng tính bảo mật cục bộ, nén mã hoá tập tin bạn nên dùng NTFS Bảng sau trình bày khả hệ thống tập tin Windows Server 2003: Khả Hầu hết hệ điều hành FAT32 Windows 95/98/2000/XP/2003 / Vista/ 7/ 2008 NTFS Windows 2000,2000/XP / 2003/ Vista/7/2008 Hỗ trợ tên tập tin dài Sử dụng hiệu đĩa Hỗ trợ nén đĩa 256ký tự Windows 256 ký tự 256 ký tự Khơng Khơng Có Khơng Có Có Hỗ trợ hạn ngạch Khơng Khơng Có Hỗ trợ mã hố Hỗ trợ bảo mật cục Khơng Khơng Khơng Khơng Có Có Hỗ trợ bảo mật mạng Kích thước Volume tối đa hỗ trợ Có Có Có 4GB 32GB 1024GB Hệ điều hỗ trợ hành FAT16 88 Trên Windows Server 2003/Windows 2000/NT, bạn sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32 thành NTFS Cú pháp lệnh sau: CONVERT [ổ đĩa:] /fs:ntfs Cấu hình đĩa lưu trữ Mục tiêu: - Phân biệt loại đĩa lưu trữ windows server Windows Server 2003 hỗ trợ hai loại đĩa lưu trữ: basic dynamic 2.1 Basic storage Bao gồm partition primary extended Partition tạo đĩa gọi partition primary tồn khơng gian cấp cho partition sử dụng trọn vẹn Mỗi ổ đĩa vật lý có tối đa bốn partition Bạn tạo ba partition primary partition extended Với partition extended, bạn tạo nhiều partition logical 2.2 Dynamic storage Đây tính Windows Server 2003 Đĩa lưu trữ dynamic chia thành volume dynamic Volume dynamic không chứa partition ổ đĩa logic, truy cập Windows Server 2003 Windows 2000 Windows Server 2003/ Windows 2000 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored RAID-5 Ưu điểm công nghệ Dynamic storage so với công nghệ Basic storage: - Cho phép ghép nhiều ổ đĩa vật lý để tạo thành ổ đĩa logic (Volume) - Cho phép ghép nhiều vùng trống không liên tục nhiều đĩa cứng vật lý để tạo ổ đĩa logic - Có thể tạo ổ đĩa logic có khả dung lỗi cao tăng tốc độ truy xuất… 2.2.1 Volume simple Chứa không gian lấy từ đĩa dynamic Không gian đĩa liên tục khơng liên tục Hình sau minh hoạ đĩa vật lý chia thành hai volume đơn giản 2.2.2 Volume spanned 89 Bao gồm nhiều đĩa dynamic (tối đa 32 đĩa) Sử dụng bạn muốn tăng kích cỡ volume Dữ liệu ghi lên volume theo thứ tự, hết đĩa đến đĩa khác Thông thường người quản trị sử dụng volume spanned ổ đĩa sử dụng volume bị đầy muốn tăng kích thước volume cách bổ sung thêm đĩa khác Do liệu ghi nên volume loại khơng tăng hiệu sử dụng Nhược điểm volume spanned đĩa bị hỏng tồn liệu volume truy xuất 2.2.3 Volume striped Lưu trữ liệu lên dãy (strip) nhiều đĩa vật lý (tối đa 32) Do liệu ghi lên dãy, nên bạn thi hành nhiều tác vụ I/O đồng thời, làm tăng tốc độ truy xuất liệu Thông thường, người quản trị mạng sử dụng volume striped để kết hợp dung lượng nhiều ổ đĩa vật lý thành đĩa logic đồng thời tăng tốc độ truy xuất Nhược điểm volume striped ổ đĩa bị hỏng liệu toàn volume giá trị 2.2.4 Volume mirrored Là hai volume đơn giản Bạn dùng ổ đĩa ổ đĩa phụ Dữ liệu ghi lên đĩa đồng thời ghi lên đĩa phụ Volume dạng cung cấp khả dung lỗi tốt Nếu đĩa bị hỏng ổ đĩa làm việc khơng làm gián đoạn q trình truy xuất liệu Nhược điểm phương pháp điều khiển đĩa phải ghi lên hai đĩa, làm giảm hiệu 90 Để tăng tốc độ ghi đồng thời tăng khả dung lỗi, bạn sử dụng biến thể volume mirrored duplexing Theo cách bạn phải sử dụng điều khiển đĩa khác cho ổ đĩa thứ hai Nhược điểm phương pháp chi phí cao Để có volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa 2.2.5 Volume RAID-5 Tương tự volume striped RAID-5 lại dùng thêm dãy (strip) ghi thông tin kiểm lỗi parity Nếu đĩa volume bị hỏng thơng tin parity ghi đĩa khác giúp phục hồi lại liệu đĩa hỏng Volume RAID-5 sử dụng ba ổ đĩa (tối đa 32) Ưu điểm kỹ thuật khả dung lỗi cao tốc độ truy xuất cao sử dụng nhiều kênh I/O Sử dụng chương trình Disk Manager Mục tiêu: - Sử dụng công cụ Disk Manager để quản lý đĩa cứng 91 Disk Manager tiện ích giao diện đồ hoạ phục vụ việc quản lý đĩa volume môi trường Windows 2000 Windows Server 2003 Để sử dụng hết chức chương trình, bạn phải đăng nhập vào máy tài khoản Administrator Vào menu Start \ Programs \ Administrative Tools \ Computer Management Sau mở rộng mục Storage chọn Disk Management Cửa sổ Disk Management xuất sau: 3.1 Xem thuộc tính đĩa Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin chọn Properties Hộp thoại Disk Properties xuất sau: Hộp thoại cung cấp thông tin: - Số thứ tự ổ đĩa vật lý - Loại đĩa (basic, dynamic, DVDROM, DVD, đĩa chuyển dời được, unknown) - Trạng thái đĩa (online offline) - Dung lượng đĩa - Lượng không gian chưa cấp phát - Loại thiết bị phần cứng - Nhà sản xuất thiết bị - Tên adapter - Danh sách volume tạo đĩa 3.2 Xem thuộc tính volume đĩa cục Trên ổ đĩa dynamic, bạn sử dụng volume Ngược lại 92 ổ đĩa basic, bạn sử dụng đĩa cục (local disk) Volume đĩa cục có chức nhau, phần sau dựa vào đĩa cục để minh hoạ Để xem thuộc tính đĩa cục bộ, bạn nhấp phải chuột lên đĩa cục chọn Properties hộp thoại Local Disk Properties xuất 3.2.1 Tab General Cung cấp thông tin nhãn đĩa, loại, hệ thống tập tin, dung lượng sử dụng, trống tổng dung lượng Nút Disk Cleanup dùng để mở chương trình Disk Cleanup dùng để xố tập tin khơng cần thiết, giải phóng khơng gian đĩa 3.2.2 Tab Tools Bấm nút Check Now để kích hoạt chương trình Check Disk dùng để kiểm tra lỗi truy xuất đĩa khởi động lại máy không cách Nút Backup Now mở chương trình Backup Wizard, hướng dẫn bạn bước thực việc lưu tập tin thư mục đĩa Nút Defragment Now mở chương trình Disk Defragment, dùng để dồn tập tin đĩa thành khối liên tục, giúp ích cho việc truy xuất đĩa 3.2.3 Tab Hardware Liệt kê ổ đĩa vật lý Windows Server 2003 nhận diện Bên danh sách liệt kê thuộc tính ổ đĩa chọn 93 3.2.4 Tab Sharing Cho phép chia sẻ không chia sẻ ổ đĩa cục Theo mặc định, tất ổ đĩa cục chia sẻ dạng ẩn (có dấu $ sau tên chia sẻ) 3.2.5 Tab Security Chỉ xuất đĩa cục sử dụng hệ thống tập tin NTFS Dùng để thiết lập quyền truy cập lên đĩa Theo mặc định, nhóm Everyone tồn quyền thư mục gốc đĩa 94 3.2.6 Tab Quota Chỉ xuất sử dụng NTFS Dùng để quy định lượng không gian đĩa cấp phát cho người dùng 3.2.7 Shadow Copies Shadow Copies dịch vụ cho phép người dùng truy cập khôi phục phiên trước tập tin lưu, cách dùng tính máy trạm gọi Previous Versions 3.3 Bổ sung thêm ổ đĩa 3.3.1 Máy tính khơng hỗ trợ tính “hot swap” Bạn phải tắt máy tính lắp ổ đĩa vào Sau khởi động máy tính lại Chương trình Disk Management tự động phát yêu cầu bạn ghi chữ ký đặc biệt lên ổ đĩa, giúp cho Windows Server 2003 nhận diện ổ đĩa Theo mặc định, ổ đĩa cấu hình đĩa dynamic 3.3.2 Máy tính hỗ trợ “hot swap” Bạn cần lắp thêm ổ đĩa vào theo hướng dẫn nhà sản xuất mà khơng cần tắt máy Rồi sau dùng chức Action Rescan Disk Disk Manager để phát ổ đĩa 3.4 Tạo partition volume Nếu bạn cịn khơng gian chưa cấp phát đĩa basic bạn tạo thêm partition mới, cịn đĩa dynamic bạn tạo thêm volume Phần sau hướng dẫn bạn sử dụng Create Partition Wizard để tạo partition mới: Nhấp phải chuột lên vùng trống chưa cấp phát đĩa basic 95 chọn Create Logical Drive Xuất hộp thoại Create Partition Wizard Nhấn nút Next hộp thoại Trong hộp thoại Select Partition Type, chọn loại partition mà bạn định tạo Chỉ có loại cịn khả tạo phép chọn (tuỳ thuộc vào ổ đĩa vật lý bạn) Sau chọn loại partition xong nhấn Next để tiếp tục Tiếp theo, hộp thoại Specify Partition Size yêu cầu bạn cho biết dung lượng định cấp phát Sau định xong, nhấn Next Trong hộp thoại Assign Drive Letter or Path, bạn đặt cho partition ký tự ổ đĩa, gắn (mount) vào thư mục rỗng, khơng làm đặt hết Khi bạn chọn kiểu gắn vào thư mục rỗng bạn tạo vơ số partition Sau định xong, nhấn Next để tiếp tục 96 Hộp thoại Format Partition yêu cầu bạn định có định dạng partition khơng Nếu có dùng hệ thống tập tin gì? đơn vị cấp phát bao nhiêu? nhãn partition (volume label) gì? có định dạng nhanh khơng? Có nén tập tin thư mục không? Sau chọn xong, nhấn Next để tiếp tục Hộp thoại Completing the Create Partition Wizard tóm tắt lại thao tác thực hiện, bạn phải kiểm tra lại xem xác chưa, sau nhấn Finish để bắt đầu thực 3.5 Thay đổi ký tự ổ đĩa đường dẫn Muốn thay đổi ký tự ổ đĩa cho partition/volume nào, bạn nhấp phải chuột lên volume chọn Change Drive Letter and Path Hộp thoại Change Drive Letter and Path xuất Trong hộp thoại này, nhấn nút Edit để mở tiếp hộp thoại Edit Drive Letter and Path, mở danh sách Assign a drive letter chọn ký tự ổ đĩa định đặt cho partition/volume Cuối đồng ý xác nhận thay đổi thực 180 1.3 Phương thức hoạt động đặc điểm dịch vụ Proxy 1.3.1 Phương thức hoạt động Dịch vụ proxy triển khai nhằm mục đích phục vụ kết nối từ máy tính mạng dùng riêng Internet Khi đăng ký sử dụng dịch vụ internet tới nhà cung cấp dịch vụ, khách hàng cấp hữu hạn số lượng địa IP từ nhà cung cấp, số lượng IP nhận khơng đủ để cấp cho máy tính trạm Mặt khác với nhu cầu kết nối mạng dùng riêng Internet mà không muốn thay đổi lại cấu trúc mạng đồng thời muốn gia tăng khả thi hành mạng qua kết nối Internet muốn kiểm sốt tất thơng tin vào ra, muốn cấp quyền ghi lại thông tin truy cập người sử dụng… Dịch vụ proxy đáp ứng tất yêu cầu Hoạt động sở mơ hình client-server Q trình hoạt động dịch vụ proxy theo bước sau: Client yêu cầu đối tượng mạng Internet Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ thực việc xác thực client thỏa mãn proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server Proxy server gửi trả đối tượng cho client Ta thiết lập proxy server để phục vụ cho nhiều dịch vụ dịch vụ truyền file, dịch vụ web, dịch vụ thư điện tử…Mỗi dịch vụ cần có proxy server cụ thể để phục vụ yêu cầu đặc thù dịch vụ từ client Proxy server cịn cấu hình phép quảng bá server thuộc mạng Internet với mức độ an tồn cao Ví dụ ta thiết lập web server thuộc mạng thiết lập qui tắc quảng bá web proxy server phép quảng bá web server Internet Tất yêu cầu truy cập web đến chấp nhận proxy server proxy server thực việc chuyển tiếp yêu cầu tới web server thuộc mạng 181 Các client tổ chức cấu trúc mạng gọi mạng (Inside network) hay gọi mạng dùng riêng IANA (Internet Assigned Numbers Authority) dành riêng khoảng địa IP tương ứng với lớp mạng tiêu chuẩn cho mạng dùng riêng là: 10.0.0.0 - 10.255.255.255 (lớp A) 172.16.0.0 - 172.31.255.255 (lớp B) 192.168.0.0 - 192.168.255.255 (lớp C) Các địa sử dụng cho client mạng dùng riêng mà không gán cho máy chủ mạng Internet Trong việc thiết kế cấu hình mạng dùng riêng khuyến nghị nên sử dụng khoảng địa IP Khái niệm mạng (Outside network) để vùng mà server thuộc vào Các địa sử dụng mạng địa IP đăng ký hợp lệ nhà cung cấp dịch vụ Internet Proxy server sử dụng hai giao tiếp, giao tiếp mạng giao tiếp ngồi Giao tiếp điển hình cạc mạng sử dụng cho việc kết nối proxy server với mạng dùng riêng có địa gán địa thuộc mạng dùng riêng Tất thông tin client thuộc mạng dùng riêng proxy server thực thông qua giao tiếp Giao tiếp ngồi thường hình thức truy cập gián tiếp qua mạng điện thoại công cộng qua cạc mạng kết nối trực tiếp tới mạng Giao tiếp gán địa IP thuộc mạng cung cấp hợp lệ nhà cung cấp dịch vụ Internet 1.3.2 Đặc điểm Proxy Server kết nối mạng dùng riêng với mạng Internet toàn cầu cho phép máy tính mạng internet truy cập tài nguyên mạng dùng riêng Proxy Server tăng cường khả kết nối Internet máy tính mạng dùng riêng cách tập hợp yêu cầu truy cập Internet từ máy tính mạng sau nhận kết từ Internet trả lời lại cho máy có yêu cầu ban đầu 182 Ngoài proxy server cịn có khả bảo mật kiểm sốt truy cập Internet máy tính mạng dùng riêng Cho phép thiết đặt sách truy cập tới người dùng Proxy server lưu trữ tạm thời kết lấy từ Internet nhằm trả lời cho yêu cầu truy cập Internet với địa Việc lưu trữ cho phép yêu cầu truy cập Internet với địa không cần phải lấy lại kết từ Internet, làm giảm thời gian truy cập Internet, tăng cường hoạt động mạng giảm tải đường kết nối Internet Các cơng việc lưu trữ gọi q trình cache 1.4 Cache phương thức cache Nhằm tăng cường khả truy cập Internet từ máy tính trạm mạng sử dụng dịch vụ proxy ta sử dụng phương thức cache Dịch vụ proxy sử dụng cache để lưu trữ đối tượng truy cập trước Tất đối tượng lưu trữ (như hình ảnh tệp tin), nhiên số đối tượng yêu cầu xác thực (Authenticate) sử dụng SSL (Secure Socket Layer) không cache Như với đối tượng cache, yêu cầu từ máy tính trạm tới proxy server, proxy server thay kết nối tới địa mà máy tính trạm yêu cầu tìm kiếm cache đối tượng thỗ mãn gửi trả kết máy tính trạm Như cache cho phép cải thiện hiệu truy cập Internet máy trạm làm giảm lưu lượng đường kết nối Internet Vấn đề gặp phải sử dụng cache đối tượng cache có thay đổi từ nguồn, máy tính trạm yêu cầu đối tượng tới proxy server, proxy server lấy đối tượng cache để phục vụ thơng tin chuyển tới máy tính trạm thông tin cũ so với nguồn, để giải vấn đề cần phải có sách để cache đối tượng đồng thời đối tượng phải liên tục cập nhật Ví dụ: thơng thường địa WEB đối tượng hình ảnh có thay đổi cịn nội dung text thường có thay đối ta thiết đặt cache đối tượng hình ảnh, đối tượng có nội dung text khơng cache, điều khơng ảnh hưởng tới hiệu suất truy cập tập tin hình ảnh thường có kính thước lớn so với đối tượng có nội dung text, việc cập nhật đối tượng phụ thuộc vào phương thức cache mà ta trình bày Proxy server thực thi cache cho đối tượng yêu cầu cách có chu kỳ để tăng hiệu suất mạng Ta thiết lập cache để đảm bảo bao gồm liệu thường hay client sử dụng Proxy server sử dụng cho phép thơng tin mạng dùng riêng Internet, việc thơng tin client mạng truy cập Internet-trong trường hợp proxy server thực Forward caching, client ngồi truy cập tói mạng (tới server quảng bá)-trong trường hợp proxy server thực reverse caching Cả hai trường hợp có từ khả proxy server lưu trữ thông tin (tạm thời) làm cho việc truyền thông thông tin nhanh hơn, sau tính chất cache proxy server: 183 - Phân cache: cài đặt mảng máy proxy server ta thiết lập việc phân phối nội dung cache Proxy server cho phép ghép nhiều hệ thống thành cache logic - Cache phân cấp: Khả phân phối cache cịn chun sâu cách cài đặt chế độ cache phân cấp liên kết loạt máy proxy server với để client truy cập tới gần chúng - Cache định kỳ: sử dụng cache định kỳ nội dung download yêu cầu thường xuyên client - Reverse cache: proxy server cache nội dung server quảng bá tăng hiệu suất khả truy cập, đặc tính cache proxy server áp dụng cho nội dung server quảng bá Proxy server triển khai Forward cache nhằm cung cấp tính cache cho client mạng truy cập Internet Proxy server trì cache tập trung đối tượng Internet thường yêu cầu truy cập từ trình duyệt từ mày client Các đối tượng phục vụ cho yêu cầu từ đĩa cache yêu cầu tác vụ xử lý nhỏ đáng kế so với đối tượng từ Internet, việc tăng cường hiệu suất trình duyệt client, giảm thời gian hồi đáp giảm việc chiếm băng thông cho kết nối Internet Hình vẽ sau mơ tả proxy server xử lý yêu cầu người dùng sao: Hình mơ tả q trình client mạng dùng riêng truy cập ngồi Internet tiến trình tương tự cache reverse (khi người dùng Internet truy cập vào Server quảng bá) bước bao gồm; Client yêu cầu đối tượng mạng Internet Proxy server kiểm tra xem đối tượng có cache hay khơng Nếu đối tượng khơng có cache proxy server proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server proxy server giữ copy đối tượng cache trả đối tượng cho client1 Client gửi yêu cầu đối tượng tương tự 184 Proxy server gửicho client đối tượng từ cache khơng phải từ Internet Ta triển khai dịch vụ proxy để quảng bá server mạng dùng riêng Internet Với yêu cầu đến, proxy server địng vai trị server bên ngoài, đáp ứng yêu cầu client từ nội dung web cache Proxy server chuyển tiếp yêu cầu cho server cache khơng thể phục vụ u cầu (Reverse cache) Lựa chọn phương thức cache dựa yếu tố: không gian ổ cứng sử dụng, đối tượng cache đối tượng cập nhật Về ta có hai phương thức cache thụ động chủ động Phương thức Cache thụ động (passive cache): Cache thụ động lưu trữ đối tượng máy tính trạm yêu cầu tới đối tượng Khi đối tượng chuyển tới máy tính trạm, máy chủ Proxy xác định xem đối tượng cache hay khơng đối tượng cache Các đối tượng cập nhật có nhu cầu Đối tượng bị xoá khỏi cache dựa thời điểm gần mà máy tính trạm truy cập tới đối tượng Phương thức có lợi ích sử dụng xử lý tốn nhiều không gian ổ đĩa Phương thức Cache chủ động (active cache): Cũng giống phương thức cache thụ động, Cache chủ động lưu trữ đối tượng máy tính trạm yêu cầu tới đối tượng máy chủ Proxy đáp ứng yêu cầu lưu đối tượng vào Cache Phương thức tự động cập nhật đối tượng từ Internet dựa vào: số lượng yêu cầu đối tượng, đối tượng thường xuyên thay đối Phương thức tự động cập nhật đối tượng mà máy chủ Proxy phục vụ mức độ thấp khơng ảnh hưởng đến hiệu suất phục vụ máy tính trạm Đối tượng cache bị xố dựa thơng tin header HTTP, URL Triển khai dịch vụ proxy Mục tiêu: - Lựa chọn mơ hình mạng để triển khai dịch vụ Proxy - Cài đặt dịch vụ Proxy 2.1 Các mô hình kết nối mạng Đối tượng phục vụ proxy server rộng, từ mạng văn phòng nhỏ, mạng văn phịng vừa tới mạng tập đồn lớn Với quy mơ tổ chức có cấu trúc mạng sử dụng proxy server cho phù hợp Sau xem xét số mơ hình mạng cỡ nhỏ, mạng cỡ trung bình mạng tập đồn lớn Trong sâu vào mơ hình thứ dành cho mạng văn phịng nhỏ phù hợp quy mơ tổ chức công ty vừa nhỏ Việt nam Mơ hình mạng văn phịng nhỏ : - Bao gồm mạng LAN độc lập - Sử dụng giao thức IP 185 - Kết nối Internet đường thoại (qua mạng điện thoại cơng cộng hình thức quay dial-up hay sử dụng công nghệ ADSL) đường trực tiếp (Leased Line) - 250 máy tính trạm Mơ hình kết nối mạng hình vẽ: Theo mơ hình này, với phương thức kết nối Internet Proxy server sử dụng 02 giao tiếp sau: - Kết nối Internet đường thoại qua mạng PSTN: • 01 giao tiếp với mạng nội thông qua card mạng • 01 giao tiếp với Internet thơng qua Modem - Kết nối Internet đường trực tiếp (Leased Line) • 01 giao tiếp với mạng nội thơng qua card mạng • 01 giao tiếp với Internet thơng qua card mạng khác Lúc bảng địa nội (LAT-Local Address Table) xây dựng dựa danh sách địa IP mạng nội Mơ hình kết nối mạng cỡ trung bình Đặc trưng mạng văn phịng cỡ trung bình sau: - Văn phịng trung tâm với vài mạng LAN - Mội văn phòng chi nhánh có mạng LAN - Sử dụng giao thức IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường thoại đường trực tiếp (Leased Line) - 2000 máy tính trạm Mơ hình mạng hình 6.8 Theo mơ hình này, văn phịng chi nhánh sử dụng máy chủ Proxy cung cấp khả lưu trữ thông tin nội (local caching), quản trị kết nối kiểm sốt truy cập tới văn phịng 186 trung tâm Tại văn phòng trung tâm, số máy chủ Proxy hoạt động theo kiến trúc mảng (array) cung cấp khả bảo mật chung cho toàn mạng, cung cấp tính lưu trữ thơng tin phân tán (distributed caching) cung cấp kết nối Internet Mơ hình kết nối mạng tập đoàn lớn Mạng tập đồn lớn có đặc trưng sau: - Văn phịng trung tâm có nhiều mạng LAN có mạng trục LAN - Có vài văn phịng chi nhánh, văn phịng chi nhánh có mạng LAN - Sử dụng giao thức mạng IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường đường trực tiếp (Leased Line) - Có nhiều 2000 máy tính trạm Mơ hình mạng hình đây: Theo mơ hình mạng văn phịng chi nhánh cấu hình tương tự mơ hình văn phịng cỡ trung bình Các u cầu kết nối Internet khơng đáp ứng cache nội máy chủ Proxy văn phòng chi nhánh chuyển tới loạt máy chủ Proxy hoạt động theo kiến trúc mảng văn phòng trung tâm Tại văn phòng trung tâm máy chủ Proxy sử dụng 02 giao tiếp mạng (card mạng) 01 card mạng giao tiếp với mạng trục LAN 01 card mạng giao tiếp với mạng LAN thành viên 187 2.2 Thiết lập sách truy cập qui tắc 2.2.1 Các qui tắc Ta thiết lập proxy server để đáp ứng yêu cầu bảo mật vận hành cách thiết lập qui tắc để xác định xem liệu người dùng, máy tính ứng dụng có quyền truy cập truy cập tới máy tính mạng hay Internet hay khơng Thơng thường proxy server định nghĩa loại qui tắc sau: Qui tắc sách truy nhập, qui tắc băng thơng, qui tắc sách quảng bá, đặc tính lọc gói qui tắc định tuyến chuỗi (chaining) Khi client mạng yêu cầu đối tượng proxy server xử lý qui tắc để xác định xem yêu cầu có xác định chấp nhận hay không Tương tự client bên (Internet) yêu cầu đối tượng từ server mạng, proxy server cững xử lý qui tắc xem yêu cầu có cho phép khơng Các qui tắc sách truy nhập:Ta sử dụng proxy server để thiết lập sách bao gồm qui tắc giao thức, qui tắc nội dung Các qui tắc giao thức định nghĩa giao thức sử dụng cho thơng tin mạng Internet Qui tắc giao thức xử lý mức ứng dụng Ví dụ qui tắc giao thức cho phép Client sử dụng giao thức HTTP Các qui tắc nội dung qui định nội dung site mà client truy nhập Các qui tắc nội dung xử lý mức ứng dụng Ví dụ qui tắc nội dung cho phép client truy nhập tới địa Internet Qui tắc băng thông: Qui tắc băng thông xác định kết nối nhận quyền ưu tiên.Trong việc điều khiển băng thơng thường proxy server không giới hạn độ rộng băng thông Hơn cho biết chất lượng dịch vụ (QoS) 188 cấp phát ưu tiên cho kết nối mạng Thường kết nối khơng có qui tắc băng thơng kèm theo nhận quyền ưu tiên ngầm định kết nối có qui tắc băng thơng kèm xếp với quyền ưu tiên quyền ưu tiên ngầm định Các qui tắc sách quảng bá: Ta sử dụng proxy server để thiết lập sách quảng bá, bao gồm qui tắc quảng bá server qui tắc quảng bá web Các qui tắc quảng bá server web lọc tất yêu cầu đến từ yêu cầu client mạng (internet) tới server mạng Các qui tắc quảng bá server web đưa yêu cầu đến cho server thích hợp phía sau proxy server Đặc tính lọc gói: Đặc tính lọc gói proxy server cho phép điều khiển luồng gói IP đến từ proxy server Khi lọc gói hoạt động gói giao diện bên ngồi bị rớt lại, trừ chúng hoàn toàn cho phép cách cố định lọc gói IP, cách động sách truy cập hay quảng bá Thậm chí bạn khơng để lọc gói hoạt động truyền thơng mạng Internet mạng cục cho phép bạn thiết lập rõ ràng qui tắc cho phép truy cập Trong hầu hết trường hợp, việc mở cổng động thường sử dụng Do đó, người ta thường khuyến nghị bạn nên thiết lập qui tắc truy cập cho phép client mạng truy nhập vào Internet qui tắc quảng bá cho phép client bên truy nhập vào server bên Đó lọc gói IP mở cách cố định sách truy nhập qui tắc quảng bá lại mở cổng kiểu động Giả sử bạn muốn cấp quyền cho người dùng mạng truy cập tới site HTTP Bạn khơng nên thiết lập lọc gói IP để mở cổng 80 Nên thiết lập qui tắc site, nội dung giao thức cần thiết phép việc truy nhập Trong vài trường hợp ta phải sử dụng lọc gói IP, ví dụ nên thiết lập lọc gói IP ta muốn quảng bá Server bên Qui tắc định tuyến cấu hình chuỗi proxy (chaining): thường qui tắc áp dụng sau để định tuyến yêu cầu client tới server định để phục vụ yêu cầu 2.2.2 Xử lý yêu cầu Một chức proxy server khả kết nối mạng dùng riêng Internet bảo vệ mạng khỏi nội dung có ác ý Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo sách truy cập cho phép client truy cập tới server Internet cụ thể, sách truy cập với qui tắc định tuyến định client truy cập Internet Khi proxy server xử lý yêu cầu đi, proxy server kiểm tra qui tắc định tuyến qui tắc nội dung qui tắc giao thức để xem xét việc truy cập có phép hay khơng u cầu cho phép quy tắc giao thức, qui tắc nội dung site cho phép không qui tắc từ chối yêu cầu Một vài qui tắc thiết lập để áp dụng cho client cụ thể Trong 189 trường hợp này, client định địa IP user name Proxy server xử lý yêu cầu theo cách khác phụ thuộc vào kiểu yêu cầu client việc thiết lập proxy server.Với yêu cầu, qui tắc xử lý theo thứ tự sau: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến cấu hình chuỗi proxy Trước tiên, proxy server kiểm tra qui tắc giao thức, proxy server chấp nhận yêu cầu qui tắc giao thức chấp nhận cách cụ thể yêu cầu không qui tắc giao thức từ chối yêu cầu Sau đó, proxy server kiểm tra qui tắc nội dung Proxy server chấp nhận yêu cầu qui tắc nội dung chấp nhận yêu cầu khơng có qui tắc nội dung từ chối Tiếp đến proxy server kiểm tra xem liệu có lọc gói IP thiết lập để loại bỏ yêu cầu không để định xem liệu yêu cầu có bị từ chối Cuối cùng, proxy server kiểm tra qui tắc định tuyến để định xem yêu cầu phục vụ Giả sử cài đặt proxy server máy tính với hai giao tiếp kết nối, kết nối với Internet kết nối vào mạng dùng riêng Ta cho dẫn phép tất client truy cập vào tất site Trong trường hợp này, sách truy nhập qui tắc sau: qui tắc giao thức cho phép tất client sử dụng giao thức tất thời điểm Một qui tắc nội dung cho phép tất người truy cập tới nội dung tất site tất thời điểm Lưu ý qui tắc cho phép client truy cập Internet khơng cho client bên ngồi truy cập vào mạng bạn 2.2.3 Xử lý yêu cầu đến Proxy server thiết lập để Server bên truy cập an tồn đến từ client ngồi Ta sử dụng proxy server để thiết lập sách quảng bá an tồn cho Server mạng Chính sách quảng bá (bao gồm lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server, với qui tắc định tuyến) định Server quảng bá Khi proxy server xử lý yêu cầu xuất phát từ client bên ngồi, kiểm tra lọc gói IP, qui tắc quảng bá qui tắc định tuyến để định xem liệu yêu cầu có thực hay không Server thực yêu cầu Giả sử cài đặt proxy server với hai giao tiếp kết nối, kết nối tới Internet kết nối vào mạng dùng riêng Nếu lọc gói hoạt động sau đó, lọc gói IP từ chối u cầu u cầu bị từ chối Nếu qui tắc quảng bá web từ chối yêu cầu yêu cầu bị loại bỏ Nếu qui tắc định tuyến thiết lập yêu cầu định tuyến tới Server upstream site chủ kế phiên Server xác định xử lý yêu cầu Nếu qui tắc định tuyến yêu cầu định tuyến tới Server cụ thể web Server trả đối tượng 2.3 Proxy client phương thức nhận thực Chính sách truy nhập qui tắc quảng bá Proxy server thiết lập phép từ chối nhóm máy tính hay nhóm người 190 dùng truy nhập tới server Nếu qui tắc áp dụng riêng với người dùng, Proxy server kiểm tra đặc tính yêu cầu để định người dùng nhận thực Ta thiết lập thơng số cho yêu cầu thông tin đến để người dùng phải proxy server nhận thực trước xử lý qui tắc Việc đảm bảo yêu cầu phép người dùng đưa yêu cầu xác thực Bạn thiết lập phương pháp nhận thực sử dụng thiết lập phương pháp nhận thực cho yêu cầu yêu cầu đến khác Về Proxy server thường hỗ trợ phương pháp nhận thực sau đây: phương thức nhận thực bản., nhận thực Digest, nhận thực tích hợp Microsoft windows, chứng thực client chứng thực server Đảm bảo chương trình proxy client phải hỗ trợ phương pháp nhận thực mà proxy server đưa Trình duyệt IE trở lên hỗ trợ hầu hết phương pháp nhận thực, vài trình duyệt khác hỗ trợ phương pháp nhận thực Đảm bảo trình duyệt client hỗ trợ số phương pháp nhận thực mà Proxy server hỗ trợ 2.3.1 Phương pháp nhận thực Phương pháp nhận thực gửi nhận thông tin người dùng ký tự text dễ dàng đọc Thơng thường thơng tin user name password mã hố phương pháp khơng có mã hố sử dụng Tiến trình nhận thực mơ tả sau, proxy client nhắc người dùng đưa vào username password sau thông tin client gửi cho proxy server Cuối username password kiểm tra tài khoản proxy server 2.3.2 Phương pháp nhận thực Digest Phương pháp có tính chất tương tự phương pháp nhận thực khác việc chuyển thông tin nhận thực Các thông tin nhận thực qua tiến trình xử lý chiều thường biết với tên "hashing" Kết tiến trình gọi hash hay message digest giải mã chúng Thông tin gốc phục hồi từ hash Các thông tin bổ sung vào password trước hash nên khơng bắt password sử dụng chúng để giả danh người dùng thực Các giá trị thêm vào để giúp nhận dạng người dùng Một tem thời gian thêm vào để ngăn cản người dùng sử dụng password sau bị huỷ Đây ưu điểm rõ ràng so với phương pháp nhận thực người dùng bất hợp pháp chặn bắt password 2.3.3 Phương pháp nhận thực tích hợp Phương pháp sử dụng tích hợp sản phẩm Microsoft Đây phương pháp chuẩn việc nhận thực username password không gửi qua mạng Phương pháp sử dụng giao thức nhận thực V5 Kerberos giao thức nhận thực challenge/response 191 2.3.4 Chứng thực client chứng thực server Ta sử dụng đặc tính SSL để nhận thực Chứng thực sử dụng theo hai cách client yêu cầu đối tượng từ server: server nhận thực cách gửi chứng thực server cho client Server yêu cầu client nhận thực (Trong trường hợp client phải đưa chứng thực client phù hợp tới server) SSL nhận thực cách kiểm tra nội dung chứng thực số mã hố proxy client đệ trình lên q trình đăng nhập (Các người dùng có chứng thực số từ tổ chức ngồi có độ tin tưởng cao) Các chứng thực server bao gồm thông tin nhận biết server Các chứng thực client thường gồm thông tin nhận biết người dùng tổ chức đưa chứng thực Chứng thực client: Nếu chứng thực client lựa chọn phương thức xác thực proxy server yêu cầu client gửi chứng thực đến trước yêu cầu đối tượng Proxy server nhận yêu cầu gửi chứng thực cho client Client nhận chứng thực kiểm tra xem có thực thuộc proxy server Client gửi yêu cầu cho proxy server, nhiên proxy server yêu cầu chứng thực từ client mà đưa trước Proxy server kiểm tra xem chứng thực có thực thuộcc client phép truy cập không Chứng thực server: Khi client yêu cầu đối tượng SSL từ server, client yêu cầu server phải nhận thực Nếu proxy server kết thúc kết nối SSL sau proxy server phải nhận thực cho client Ta phải thiết lập định chứng thực phía server để sử dụng nhận thực server cho client 2.3.5 Nhận thực pass-though Nhận thực pass-though đến khả proxy server chuyển thông tin nhận thực client cho server đích Proxy server hỗ trợ nhận thực cho u cầu đến Hình vẽ sau mơ tả trường hợp nhận thực pass-though Client gửi yêu cầu lấy đối tượng web server cho proxy server Proxy server chuyển yêu cầu cho web server, việc nhận thực qua bước sau: Webserver nhận yêu cầu lấy đối tượng đáp lại client cần phải nhận thực Web server kiểu nhận thực hỗ trợ Proxy server chuyển yêu cầu nhận thực cho client 192 Client tiếp nhận yêu cầu trả thông tin nhận thực cho proxy server Proxy server chuyển lại thơng tin cho web server Từ lúc client liên lạc trực tiếp với web server SSL Tunneling Với đường hầm SSL, client thiết lập đường hầm qua proxy server trực tiếp tới server yeu cầu với đối tượng yêu cầu HTTPS Bất client yêu cầu đối tượng HTTPS qua proxy server sử dụng đường hầm SSL Đường hầm SSL làm việc ngầm định yêu cầu tới cổng 443 563 Tiến trình tạo đường hầm SSL mơ tả sau: Khi client yêu cầu đối tượng HTTPS từ web server Internet, proxy server gửi yêu cầu kết nối https://URL_name Yêu cầu gửi tới cổng 8080 máy proxy server CONNECT URL_name:443 HTTP/1.1 Proxy server kết nối tới Web server cổng 443 Khi kết nối TCP thiết lập, proxy server trả lại kết nối thiết lập HTTP/1.0 200 Từ đây, client thơng tin trực tiếp với Web server bên ngồi SSL bridging SSL bridging đề cập đến khả proxy server việc mã hóa giải mã yêu cầu client chuyển yêu cầu tới server đích Ví dụ, trường hợp quảng bá (hoặc reverse proxy), proxy server phục vụ yêu cầu SSL client cách chấm dứt kết nối SSL với client mở lại kết nối với web server SSL bridging sử dụng proxy server kết thúc khởi tạo kết nối SSL Khi client yêu cầu đối tượng HTTP Proxy server mã hóa yêu cầu chuyển tiếp cho web server Web server trả đối tượng mã hóa cho proxy server Sau proxy server giải mã đối tượng gửi lại cho client Nói cách khác yêu cầu HTTP chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu, sau mã hóa 193 lại lần chuyển tiếp tới Web server Web server trả đối tượng mã hóa cho proxy server Proxy server giải mã đối tượng sau gửi cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu chuyển tiếp cho web server Web server trả đối tượng HTTP cho proxy server Proxy server mã hóa đối tượng chuyển cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu HTTP SSL bridging thiết lập cho yêu cầu đến Tuy nhiên với yêu cầu client phải hỗ trợ truyền thông bảo mật với proxy server Bài tập thực hành học viên Trình bày khái niệm dịch vụ Proxy Trình bày qui tắc trinh cập Proxy Server Trình bày phương thức nhận thực Proxy Server 194 TÀI LIỆU THAM KHẢO (1) Quản trị mạng Windows Server 2008, Nhà xuất Phương Đông, Năm 2009, Phương Lan Tô Thanh Hải (Tập 1, 2) (2) Làm chủ Microsoft Windows 2003 Server, Nhà xuất thống kê, Năm 2005 Phạm Hoàng Dũng (Tập 1, 2, 3) (3) Microsoft Windows 2000s - Cài Đặt & Quản Trị , Nhà xuất Mũi Cà mau, Phạm Thế Bảo (4) MCSE Training Kit, Published by Microsoft Press, 2003 (5) http://technet.microsoft.com/en-us/library/dd349801%28v=ws.10%29.aspx ... cách dùng tính máy trạm gọi Previous Versions 3.3 Bổ sung thêm ổ đĩa 3.3 .1 Máy tính khơng hỗ trợ tính “hot swap” Bạn phải tắt máy tính lắp ổ đĩa vào Sau khởi động máy tính lại Chương trình Disk... phân giải tên máy tính thành địa IP cho phép máy tính mạng tìm thấy truyền tải thông tin WINS hoạt động tốt môi trường máy khách /máy phục vụ (Client/Server), nơi máy khách WINS gởi 13 3 yêu cầu... tên máy phục vụ WINS, đến phiên máy phục vụ WINS phân giải yêu cầu hồi đáp Máy tính sử dụng NetBIOS để truyền tải yêu cầu hồi đáp Máy tính sử dụng NetBIOS cung cấp API cho phép máy tính mạng