Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 51 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
51
Dung lượng
1,37 MB
Nội dung
Trường Đại Học Kinh Doanh Công Nghệ Hà Nội LỜI CẢM ƠN Sau thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, trì & nâng cấp hệ thống mạng doanh nghiệp” phần hoàn thành Ngoài cố gắng thân em nhận giúp đỡ nhiệt tình từ thầy cô, bạn bè, anh, chị nơi em thực tập Trước hết em xin cảm ơn thầy cô giáo môn công nghệ thông tin Trường Đại Học Kinh Doanh Và Công Nghệ Hà Nội giúp đỡ em suốt trình học tập thực đề tài Xin cảm ơn ban giám đốc anh chị em làm việc công ty TNHH ĐVT tạo điều kiện cho em thực tập học hỏi kinh nghiệm để hoàn thành đề tài Em xin chân thành cảm ơn! Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Mục lục Giới thiệu Chương I : Triển khai hệ thống mạng Các khái niệm 1.1 Định nghĩa mạng máy tính 1.2 Các thành phần mạng(Network Component) 1.3 Các loại mạng máy tính 1.4 Hệ thống domain quản lí mạng LAN- Local Area Network Cơ sở lí thuyết 2.1 Dịch vụ DNS 2.2 Windows Internet Name Service 2.3 Dịch vụ DHCP 2.4 Active Directory Hiện trạng hệ thống Các công việc triển khai & kết 4.1 Các yêu cầu cấu trúc mạng 4.2 Công việc triển khai vào mạng công ty Chương II: Quản lí trì hệ thống mạng Các khái niệm 1.1 Một số khái niệm kiến trúc Administrators 1.2 Khái niệm backup restore Cơ sở lí thuyết 2.1Thực trì bảo mật Domain Controller Active Directoryministrative Workstation 2.2Thiết lập chiến lược lưu khôi phục domain controller 2.3 Quản lý tài khoản Backup Operators Hiện trạng hệ thống Công việc triển khai kết 4.1 Cấu hình backup cho domain 4.2 Quản trị hệ thống Active Directory Chương III: Nâng cấp hệ thống với ISA Firewall 2004 Các khái niệm Các khái niệm ISA 2004 Cơ sở lí thuyết 2.1 Các Network Templates 2.2 Các cấu hình Network template Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội 2.3 Cấu hình ISA Server 2004 SecureNat, FireWall Web Proxy Clients 2.4 Cấu hình sách truy cập ISA Server –ISA Server 2004 Access Policy Hiện trạng hệ thống Công việc triển khai kết 4.1 Lựa chọn hệ thống Firewall(Proxy) 4.2 Cài đặt ISA Server 2004 Windows Server 2003 4.3 Mô hình cấu hình ISA vào mạng công ty Kết Luận Phụ lục 1: Tài liệu tham khảo Phụ lục 2: Một số từ chuyên ngành Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội GIỚI THIỆU Sau thập kỷ phát triển, số người truy cập internet vượt qua số 30 triệu người (tăng 1,2 lần so với 2010 10 lần so với năm 2005), 100% doanh nghiệp, quan sử dụng máy tính (báo cáo Bộ Công thương, năm 2010 2012) có chiều hướng tăng năm Bên cạnh số lượng cá nhân hộ gia đình trang bị máy tính để phụ vụ nhu cầu cá nhân giải trí ngày tăng cao Có thể nói, số lượng dùng máy tính năm lớn, phổ biến đến cá nhân, tập thể Cũng theo thống kê Microsoft, 80% số lượng máy tính Việt Nam dùng phần mềm (hệ thống, ứng dụng) quyền Từ cho thấy, nhu cầu Lắp ráp, Cài đặt, Sửa chữa Bảo trì máy tính phong phú rộng lớn Mục tiêu nội dung thực tập - Lắp ráp, Cài đặt, Sửa chữa Bảo trì máy tính cố kiến thức Qui trình Lắp ráp, cài đặt, bảo trì nhận biết lỗi thường gặp, tích lũy kỹ sửa chữa máy tính 1.2 Giới thiệu Công ty TNHH ĐVT 1.2.1 Giới thiệu chung - Tên giao dịch : Công ty TNHH ĐVT - Trụ sở Đống Đa, Hà Nội - Điện thoại : 38 ngõ 84 Phố Trần Quang Diệu, Phường Ô Chợ Dừa, Quận : 0983497282 - Người liên hệ : Đỗ Văn Tuấn 1.2.2 Tổ chức hoạt động công ty TNHH ĐVT Giám đốc công ty TNHH ĐVT : Đỗ Văn Tuấn Công ty ĐVT thành lập năm 2006, hoạt động lĩnh vực bán máy tính thông qua mạng Internet, đồng thời lắp ráp sửa chữa máy tính Bước đầu hoạt động, công ty chủ yếu bán máy tính phụ kiện máy tính văn phòng Bộ phận lắp ráp sửa chữa máy tính với trình độ tay nghề cao tạo uy tín khách hàng góp phần thúc đẩy công ty thêm vững mạnh Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG Các khái niệm 1.1 Định nghĩa mạng máy tính Mạng máy tính (computer network) tập hợp hay nhiều máy tính kết nối với thông qua phương tiện kết nối (thiết bị kết nối – Switch, hub, dây cáp, sóng vô tuyến,…) để chia sẻ tài nguyên Việc kết nối máy tính tuân theo chuẩn mạng máy tính (network standard), công nghệ mạng giao thức (Protocol) Các máy tính mạng gọi nút mạng Việc sử dụng mạng máy tính giúp tổ chức, doanh nghiệp dễ dàng việc chia sẻ tài nguyên cho người dùng Các tài nguyên chia sẻ bao gồm file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung 1.2 Các thành phần mạng (Network Component) Mỗi mạng máy tính bao gồm máy tính, thiết bị mạng, máy in,… chúng gọi thành phần mạng (network component) bao gồm thành phần sau Máy chủ (server): Là máy tính có tài nguyên, dịch vụ, ứng dụng chia sẻ máy tính khác truy nhập tới sử dụng Máy chủ chạy hệ điều hành máy chủ (Windows Server, Linux, Unix) cài phần mềm chuyên dụng dành cho máy chủ Tuỳ thuộc vào chức nhiệm vụ mà máy chủ có tên gọi khác máy chủ liệu (data server), máy chủ thư điện tử (mail server), máy chủ ứng dụng (application server),… Máy trạm (client): Là máy tính mạng kết nối đến máy chủ để sử dụng tài nguyên mà máy chủ chia sẻ Máy trạm chạy hệ điều hành máy trạm phần mềm máy trạm Phương tiện truyền dẫn (media): Là thành phần chuyền dẫn vật lý máy tính dây cáp (cable), sóng radio,… Tài nguyên (resources): Là ứng dụng, liệu, phần cứng chuyên dụng,… cung cấp bới máy chủ mạng cho người dùng thông qua máy trạm (files, máy in,…) Card mạng (network adapter): Là thiết bị chuyên dụng giúp máy tính gửi liệu tới máy tính thông qua phương tiện truyền dẫn Các thiết bị kết nối HUB, SWITCH, ROUTER Giao thức mạng (network protocol): Là tập hợp quy luật, quy định giúp máy tính giao tiếp với (hiểu – giống ngôn ngữ mà người sử dụng) Topo mạng (network topology): Là cấu trúc vật lý mạng (bus, star, ring, …) phân loại dựa vào loại phương tiện truyền dẫn (media type), giao thức mạng (protocol), card mạng,…(Trong khuôn khổ đề tài nghiên cứu thành phần quản lí bảo mật mạng, thiết bị ngoại vi hay phần cứng máy không đề cập đến) Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội 1.3 Các loại mạng máy tính Mạng máy tính phân loại theo số cách khác nhau: phân loại theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng mạng,… Phân loại theo phạm vi Mạng nội (LAN – local area network): Là mạng máy tính máy tính kết nối trực tiếp với nhau, phạm vi địa lý nhỏ (phòng, nhà, …) Việc giới hạn phụ thuộc vào phương tiện truyền dẫn mà mạng nội sử dụng Mạng diện rộng (WAN – wide area network): Là mạng trải phạm vi địa lý rộng lớn, nối khu vực quốc gia vị trí quốc gia khác với Các phương tiện kết nối sử dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện thoại (telephone line), kết nối dành riêng (lease line) Tuy nhiên giá thànhh kết nối tương đối cao Mạng Internet: Là loại hình mạng đặc thù mạng diện rộng, ngày mạng Internet trở thành loại hình mạng phổ biến Mục đích mạng Internet đáp ứng lại kết nối người dùng đâu giới, giúp tổ chức, doanh nghiệp dễ dàng quảng bá thông tin, cung cấp dịch vụ chia sẻ dễ dàng với giá thành hợp lý Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area network), Mạng lưu trữ liệu (SAN – storage area network), mạng riêng ảo (VPN – virtual private network), mạng không giây (wireless network),… Trong phạm vi đề tài, với công ty cỡ vừa nhỏ bao gồm máy chủ quản trị sử dụng Windows Server 2003 số máy client(50-100 máy) ta xét phạm vi máy tính dạng Local Area Network (LAN) 1.4 Hệ thống domain quản lí mạng LAN Cấu trúc tổ chức mô hình mạng Windows Server 2003 domain Một domain đại diện cho đường biên quản trị Các máy tính, người dùng, đối tượng khác domain chia sẻ sở liệu bảo mật chung Sử dụng domain cho phép nhà quản trị phân chia mạng thành ranh giới bảo mật khác Thêm vào đó, nhà quản trị từ domain khác thiết lập mô hình bảo mật riêng họ; bảo mật domain riêng biệt để không ảnh hưởng đến mô hình bảo mật domain khác Chủ yếu domain cung cấp phương pháp để phân chia mạng cách logic theo tổ chức Các tổ chức đủ lớn có domain luôn phân chia để chịu trách nhiệm trì bảo mật nguồn riêng họ Một domain Windows Server 2003 đại diện cho không gian tên tương ứng với cấu trúc tên Một domain tạo, cung cấp số dịch vụ cho hệ thống mạng như: Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội DNS(Domain Name System): Dịch vụ phân giải tên miền sử dụng để phân giải tên host tuân theo chuẩn đặt tên FQDN thành địa IP tương ứng DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa động ): dịch vụ quản lý cấp địa IP cho máy trạm Nhờ dịch vụ địa IP máy công ty trở lên dễ quản lí Windows: Cấu hình hệ điều hành quản lý server có cài đặt dịch vụ hệ thống Active Directory: Quản lý điều hành hoạt động domain controller cung cấp dịch vụ Active Directory Windows Internet Name Service(WINS):cung cấp khả phân giải tên máy tính cách phân giải tên NetBIOS sang địa IP Ngoài Windows Server 2003 cung cấp nhiều tính dạng máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS Cơ sở lí thuyết Để xây đựng mạng máy tính sử dụng Microsoft Windows Server 2003 ta cần nắm rõ dịch vụ cung cấp, điều giúp cho việc cấu hình mạng trở nên dễ dàng khoa học Khi công việc sử dụng nâng cấp nhanh hiệu Một số công cụ quản trị hệ thống mạng 2.1 Dịch vụ DNS –Không gian tên nội (sử dụng hệ thống Intranet Local) không gian tên Internet thiết kế sau: Không gian tên DNS nội bộ: Local.dvt.com.vn Không gian tên DNS Internet: dvt.com.vn Dịch vụ DNS Windows Server 2003 dịch vụ DNS động (Dynamic DNS) Nó cho phép máy trạm xác thực tự động đăng ký ghi với dịch vụ DNS Tất tài khoản máy tính có ghi tương ứng đăng ký phạm vi miền DNS tích hợp dịch vụ Active Directory mà trực thuộc Điều cho phép yêu cầu nội đối tượng máy chủ DNS nội phục vụ Với hệ thống Intranet dvt, liệu DNS cho domain nhân đến DC domain toàn forest Máy chủ DC tỉnh miền Bắc (Hanoi.dvt.com.vn) miền Nam (HCM.dvt.com.vn) nắm giữ domain Active Directory miền đồng thời nắm giữ miền DNS domain Do hoạt động mạng miền độc lập không cần thiết sử dụng thêm máy chủ DNS trung tâm để kết nối mạng Hệ thống máy chủ DNS nói có vai trò quan trọng hoạt động hệ thống mạng Chính vai trò quan trọng mà ta cần phải có Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội sách quản trị cách thích hợp để đảm bảo cho dịch vụ DNS có tính sẵn sàng cao, lưu phục hồi tốt Cũng tính chất quan trọng hệ thống máy chủ DNS mà sách quản trị máy chủ này, nên hạn chế đến mức tối thiểu số người phép đăng nhập vận hành thao tác máy chủ này, cần thao tác chỉnh sửa sai tắt đột ngột máy chủ dẫn tới việc hệ thống Intranet hoạt động 2.2 Windows Internet Name Service (WINS) Bằng việc triển khai WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho client hệ thống mạng Intranet WINS thực sở liệu phân tán cho tên NetBIOS địa tương ứng chúng Các WINS client đăng ký tên chúng local WINS server WINS server trao đổi mục với WINS server khác Nó đảm bảo tính tên NetBIOS Microsoft sử dụng giao tiếp NetBIOS để thiết kế thành phần mạng có nhiều dịch vụ mạng ứng dụng phụ thuộc vào NetBIOS Hệ thống mạng cũ công ty TNHH ĐVT sử dụng hệ điều hành Windows 98, Win NT, Microsoft® Windows® 2000 cần thiết triển khai WINS Windows Server 2003 để phân giải tên NetBIOS tự động Thậm chí hệ thống Intranet công ty TNHH ĐVT cấp tất máy tính lên hệ điều hành Windows XP1 , Windows XP2 hệ thống yêu cầu phân giải tên NetBIOS cho ứng dụng chạy hệ thống 2.3 Dịch vụ DHCP: Việc quản lý cấp địa IP cho máy trạm yêu cầu khối lượng thời gian nhiều công sức dịch vụ DHCP Với mạng Microsoft Windows 2003, bạn đánh địa IP động sử dụng Giao thức cấu hình máy chủ động Dynamic Host Configuration Protocol (DHCP) để tự động cấp quản lý địa IP mạng Ngoài dịch vụ DHCP cung cấp cho máy trạm thông tin hệ thống subnet mask, Gateway Nhờ máy trạm tránh việc xung đột địa IP; tránh lỗi xảy thiết lập thủ công thông số liên quan TCP/IP đánh địa Subnet mask sai Lợi ích lớn hệ thống Intranet công ty TNHH ĐVT triển khai dịch vụ DHCP việc giảm chi phí cho việc quản trị IP đảm bảo máy trạm nhận địa IP Để quản trị dịch vụ DHCP hệ thống mạng Intranet công ty TNHH ĐVT cần áp dụng sách quản lý máy chủ DHCP máy trạm DHCP Các sách thực thông qua việc phân quyền quản trị giám sát tài khoản thuộc nhóm quản trị DHCP Theo sách quản trị chung cho dịch vụ hệ thống, cần hạn chế số lượng thành viên nhóm DHCP Administrator Bởi thành viên nhóm phân quyền để cấu hình DHCP Server, xác định lựa chọn cấu hình DHCP, tạo DHCP reservation Bất kỳ thay đổi dịch Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội vụ DHCP khiến máy trạm nhận địa IP từ máy chủ DHCP Đồng thời tạo lỗ hổng bảo mật với hệ thống Intranet Việc giám sát thành viên nhóm DHCP Administrator thành viên nhóm local administrator, nhóm Domain Admin nhóm Enterprise Admin – để xác định người cần có quyền quản lý dịch vụ DHCP Các thành viên nhóm cho phép quản lý tất DHCP Server domain Chú ý: Thành viên nhóm DHCP Administrator cấp phép cho DHCP Server Active Directory Chỉ thành viên nhóm Enterprice Admin thực nhiệm vụ Tuy nhiên máy chủ hệ thống Intranet, cần gán địa IP tĩnh để đảm bảo chúng không nhận thông tin cấu hình TCP/IP không xác từ DHCP server trái phép Ngoài ra, số máy trạm có vai trò quan trọng nên sử dụng địa IP tĩnh Việc đánh địa tĩnh cho máy chủ số máy trạm giúp cho hệ thống Intranet VINAPAY hoạt động dịch vụ DHCP có lỗi 2.4 Dịch vụ Domain controller(Active Directory ) Môi trường forest cho công ty TNHH ĐVT chứa forest đơn Tên domain gốc forest DVTPC.COM.VN Một forest đơn chứa tới hàng triệu đối tượng khác (tài khoản người sử dụng, nhóm, tài khoản máy tính,… ) thiết kế đảm bảo việc quản trị dễ dàng Trên hệ thống Intranet công ty TNHH ĐVT, nhóm người quản trị mức forest khác nhóm người quản trị tất hoạt động khác thông thường dịch vụ thư mục Active Directory Chính thế, phương pháp tốt tạo domain gốc forest sách quản trị phải tuân theo yêu cầu Domain nắm giữ hai vai trò FSMO mức forest là: Schema Master Domain Naming Master Đây hai vai trò quan trọng hoạt động chung tổng thể dịch vụ Active Directory toàn hệ thống Các tài khoản quản trị domain hạn chế nhằm đảm bảo tính bảo mật tính ổn định hệ thống Vì vậy, domain nắm giữ tài khoản mức toàn hệ thống Enterprise Admins Schema Admins chẳng hạn Các nhóm người quản trị hoạt động Active Directory gán cho nhiều domain Điều cho phép nhóm quản trị IT quản lý dịch vụ domain họ cách độc lập điều khiển thành viên nhóm Enterprise Admins Schema Admins domain gốc forest Như domain gốc nắm giữ tất tài khoản có quyền toàn forest với quyền hạn thực thay đổi liệu mức forest như: thay đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ thống công ty TNHH Đức Duy hoàn toàn kiểm soát vấn đề Ví dụ: để cài Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội đặt phần mềm Exchange Server 2003 cần phải có chấp thuận nhóm quản trị cấp cao phần mềm phải mở rộng schema forest trước cài đặt Trong domain con, nhóm quản trị domain admin chịu trách nhiệm quản trị toàn máy chủ Active Directory phạm vi domain Đồng thời người quản trị cấp trung ương ( người thuộc nhóm Enterprise Admins) có quyền quản trị giám sát hoạt động sách máy chủ Hiện trạng hệ thống mạng Cấu trúc Router/modem:192.168.2.1 có vai trò gateway hệ thống Máy chủ DCserverIP:192.168.2.2 có vai trò: DHCP server: Cấp dải địa từ :192.168.2.5192.168.2.100 cho client công ty Đóng vai trò DNS server : LangHa.Vinapay.com.vn FTP server: IP 222.252.28.10 Các máy client chưa domain, địa IP modem cung cấp Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt Các công việc triển khai & kết 4.1 Các yêu cầu cấu trúc mạng Router/modem:192.168.2.1 có vai trò gateway hệ thống Máy chủ DCserverIP: 192.168.2.2 DHCP server : Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client công ty Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho số máy cố định Modem cấp tĩnh địa 10.0.0.3 cho mạng Lan có dây công ty Cấp động dải 10.0.0.5-10.0.0.25 cho máy Laptop truy cập vào nhờ access point công ty FPT Server có địa chỉ: 222.252.28.10 Thiết lập tĩnh địa máy chủ DHCP, DNS, Printting server, máy chủ backup Tiến hành cài đặt máy chủ Thiết lập hệ thống Active Directory, đưa máy client vào domain 4.2 Công việc cần triển khai Triển khai công việc theo cấu trúc mạng Được việc cài đặt server nâng cấp thành phần server theo yêu cầu đề ra: 4.2.1 Cài đặt Windows Server 2003 Cách thức cài đặt server tương tự với cách cài đặt phiên Windows thường dùng(XP1, XP2, Windows 2000) Nhưng có số điểm cần lưu ý sau: Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Những chọn lựa 3-Leg Perimeter Firewall Template Firewall Policy Bảng III.2 Chính sách 3-Leg Perimeter Firewall Policy Mô tả Block all Ngăn chặn tất truy cập qua ISA server Lựa chọn không tạo Rules khác Dèault Rules ngăn chặn tất truy cập Block Internet Ngăn chặn tất truy cập qua ISA Access, allow access to Server 2004 , ngoại trừ truy cập đên Network services on the Network services DNS service Các Access Perimeter Network rules sau tạo: Allow DNS traffic from Internal Network andClient Network to Perimeter Network)-Cho phéptruy nhập DNS từ Internal Network VPN clients Network đến Perimeter Network Allow all protocol From VPN clients Network to Internal Network cho phép giao thức từ VPN clients Network (bên ) vào mạng nội Block Internal Ngăn chặn tất truy cập mạng qua access, allow access to Firewall ngoại trừ Network services DNS ISP Network Services Lựa chọn phù hợp nhà cung cấp dịch vụ mạng Internet services Provider(ISP) Rules sau tạo: Allow DNS from Internal Network , VPN Client Network to External Network – Cho phép DNS từ Internal Network , VPN Client Network Perimeter Network đến External Network Allow limited Cho phép truy cập web có giới hạn dùng web access, allow to HTTP, HTTPS FTP cho phép truy cập tới access to Network Network services DNS DMZ services on Perimeter Còn lại ngăn chặn tất Network khác Network Các nguyên tắc truy cập sau tạo: Allow Http, Https, Ftp from Internal Network andVPN Client Network to Perimeter Network and External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network VPN Client Network Perimeter Network External Network (internet) Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Allow DNS traffic from Internal Network and VPN Network to Perimeter Network Allow all protocols from VPN Clients Network toInternal Network – Cho phép tấtc giao thứtừ VPN Client Network (bên VPN Clientthực kết nối vào mạng nội thông qua Internet), truy cập vào bên mạng nội Allow limited Các Network services DNS ISP web access to ISP ta tạo Tất truy nhập mạng khác Network services bị xóa Các nguyên tắc truy cập sau tạo ra: Allow Http, Https, FTP from Internal Network and VPN Client Network to External Network allow all protocols from VPN Clients Network to Internal Network Allow Cho phép tất loại truy cập internet unrestricted access qua Firewall Firewall chặn truy cập từ Internet vào Network bảo vệ từ sách cho phép tất nấyu ngăn chặn bớt số truy cập không phù hợp với sách bảo mật công ty Các Rules sau tạo: Allow all protocol from Internal Network and VPN Client Network to External Network and Perimeter Network Allow all protocols from VPN Client to Internal 2.3 Cấu hình ISA Server 2004 SecureNat, FireWall Web Proxy Clients Một ISA Server 2004 client máy tính kết nối đến nguồn tài nguyên khác thông qua ISA Server 2004 firewall Nhìn chung, ISA Server 2004 client thường đặt số Internal hay perimeter network _DMZ kết nối Internet qua ISA Server 2004 Firewall Tồn loại ISA Server 2004 client: SecureNAT client Web Proxy Client Firewall Client SecureNat Client máy tính cấu hình với thông số Default gateway giúp định tuyến Internet thong qua ISA Server 2004 firewall Nếu SecureNat Client nằm mạng trực tiếp kết nối đến ISA Server 2004 firewall, Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội thong số default gateway SecureNat Client IP Active Directorydress network card ISA Server 2004 firewall gắn với Network Nếu SecureNat Client nằm Network xa ISA Server 2004 firewall, SecureNat Client cấu hình thong số default gateway IP Active Directorydress router gần Router định tuyến thong tin từ SecureNat Client đến ISA Server 2004 firewall internet Một Web Proxy Client máy có trình duyệt Internet (như Internet EZplorer ) cấu hình dung ISA Server 2004 firewall Web Proxy server web browser cấu hình sử dụng IP Active Directorydress ISA Server 2004 firewall làm web broưser – cấu hình thủ công, cấu hình tự động thông qua Web Proxy Autoconfiguration script ISA Server 2004 firewall Các Autoconfiguration script cung cấp mức độ tùy biến cao việc điều khiển làm để Web Proxy Client kết nối internet Tên User ghi nhận Web Proxy Logs máy tính cấu hình theo Web Proxy Client Firewall Client máy tính cài Firewall Client software Firewall Client software chặn tất yêu cầu thuộc dạng winsock application (thường ứng dụng TCP UDP) đẩy yêu càu đến Firewall service ISA Server 2004 firewall User name tự động đưa vào firewall service log máy tính Firewall Client thực kết nối internet thông qua ISA Server 2004 firewall Bảng III.3 Tính ISA Server 2004 Client Feature SecureNat Firewall Web Proxy Client Client Client Cần cài đặt Không yêu Cần cài đặt Không yêu cầu, cần xác lập phần mềm cầu, cần cấu thông số Firewall Client hình thông số default gateway software phù hợp trình duyệt web Hỗ trợ Tất Chỉ hỗ trợ Hệ điều hệ điều hành hệ điều hành hỗ Windows hành có hỗ trợ trợ TCP/IP Web Application Hỗ trợ Nhờ có Tất HTTP, giao thức lọc ứng dụng – ứng dụng Secure Application winsock HTTP(HTTPS) filters hỗ application Có FTP trợ ứng dụng nghĩa hầu hết chạy kết hợp ứng dụng nhiều Protocols- internet multiconnection Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội protocol Hỗ trợ xác Chỉ hỗ trợ thực người dung, cho VPN client kiểm soát user truy cập Có hỗ trợ Có hỗ trợ Như ta biết đến ISA Server 2004 client khác tính riêng loại Tiếp theo tìm hiểu thêm thủ tục để tạo chỉnh sửa cá quy tắc sách truy cập internet – outbound access policy rules thông qua Network Template 2.4 Cấu hình sách truy cập ISA Server –ISA Server 2004 Access Policy ISA Server 2004 firewall điều khiển đường truyền Networks kết nối với qua firewall Theo mặc định, ISA Server 2004 firewall ngăn chặn tất lưu thông Các phương thức sử dụng phép lưu thông là: Access Rules- Các quy tắc truy cập Publishing Rules – Các quy tắc xuất Access rules điều khiển truy cập từ Network bảo vệ nằm đến Network khác không bảo vệ nằm ISA Server 2004 quan tâm đến tất Networks không nămg External Còn tất Network xác định external Network không bảo vệ Các Network bảo vệ bao gồm: VPN client Network, Quarantined VPN Client Network – mạng VPN cách ly, Local Host Network – DMZ, mạng vành đai, chứa server phục vụ cho Internet User ISA bảo vệ internal client truy cập vào mạng Ngược với access rules điều khiển truy cập Public Rusles lại dành đề cho phép Hosts nămg mạng Externel Network truy cập vào tài nguyên mạng bảo vệ Ví dụ server web, mail, FTP server Web and server public rules cho phép External hosts truy cập vào tài nguyên Ở phần trước ta dùng Network Template để tự động tạo mối liên hệ Network access rules Quan hệ thực Access rules cho phép truy cập đến tất side protocol internet ISA Server 2004 firewall giới hạn user truy cập internet Bảng III.4.1 Một Access rules bao gồm yếu tố sau: Rules Element Mô tả Thứ tự (độ ưu Firewall Access Policy danh sác tiên)Access Rules xử lý theo thứ tự từ Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội order Quyết định Acction Protocol Nguồn From/listener Đích, To Điều Condition kiện xuống đến gặp điều kiện cụ thể quy định, áp dụng theo quy định – Chỉ có loại định đưa Allow- cho phép Deny – từ chối Protocol bao gồm tất TCP/IP protocol, TCP, UDP, ICMP, tất giao thức IP protocol number, Firewall hỗ trợ tất TCP/IP Protocols – Nguồn giao tiếp từ IP Active Directorydress, dãy IP Active Directorydress, subnet, hay nhiều subnet Đích đến giao tiếp thuộc domain, tập hợp domain, URL hay tập URL, IP hay tập cá IP, subnet hay tập subnet, tập Network – Điều kiện đưa vào user group rule áp dụng Access Rules giúp tìm phương thức điều khiển truy cập đơn giản lại hiệu quả, thực chủ yếu User nào, phép truy nhập đến website nào, sử dụng protocols cho công việc giao tiếp Ví dụ: Rules Element Order(priority) Action Protocols From To Condition Giá trị Allow HTTP & FTP Internal Network FTP.com Limited web access(Group) Để sử dụng Access rules điều khiển người dùng hay nhóm người dùng việc truy cập – outbound access cần cấu hình máy client trở thành Firewall Client Web Proxy Client Chỉ có client thuộc loại Firewall xác thực dựa User Nếu sử dụng SecureNat Client thông tin nhóm người dùng không xác thực, có nghĩa ISA Server Firewall không tìm đối tượng cần hạn chế Việc điều khiển việc truy cập thực dựa IP nguồn Như ta thấy ISA Server 2004 tạo Access rules điều khiển việc truy cập đến số website việc sử dụng giao thức để thực công việc Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Hiện trạng hệ thống Hệ thống chưa có sách bảo mật qua Firewall Các máy client tiếp xúc trực tiếp với mạng internet qua modem nên nguy bị công cao Chưa ngăn chặn việc tải file vào trang web, địa chỉ, luồng thông tin không cho phép Các luồng dũ liệu công ty chưa phân chía Các công việc triển khai & kết 4.1 Lựa chọn hệ thống Firewall(Proxy) Sử dụng cách: ISA 2004 Linux IPcop Với ISA Ưu điểm: Quản lý mạnh giao thức :http,pop3,https,smtp…… Chặn web tải file hiệu :*.bat,*.exe ngăn chặn website mong muốn Áp dụng sách Access Rule Policy From To… cho client :kiểm soát kết nối từ ngòai từ ngòai vào hiệu Nhiều tính mạnh khác Có thể tích hợp thêm phần mềm security khác : Surfcontrol : ngăn chặn trang web xấu Nhược điểm: Cấu hình cài đặt cao, cài đặt tương đối phức tạp Giá thành cao Với Ipcop Ưu điểm: Giá thành thấp Cài đặt đơn giản Yêu cầu cấu hình thấp Nhược điểm Khó tương thích với phần mềm khác Đảm bảo an toàn Do ưu, nhược điểm nên đề nghị chọn giải pháp sử dụng ISA Server 2004 4.2 Cài đặt ISA Server 2004 Windows Server 2003 Không phức tạp (phần phức tạp nằm phần cấu hình thông số).Chỉ có vài yêu cầu cần xác nhận trình này.Phần cấu hình quan trọng suốt trình cài đặt xác định xác vùng địa IP nội bộ-Internal network IP Active Directorydress range(s).Không giống ISA Server 2000, ISA Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Server 2004 không sử dụng bảng Local Active Directorydress Table (LAT) để xác định đâu Mạng đáng tin cậy (trusted Networks), đâu mạng không tin cậy (untrusted Networks) Thay vào , ISA Server 2004 firewall IP nội xác nhận bên Internal Network Internal Network nhắm xác định khu vực có Network Servers Services quan trọng :Administratorsdomain controllers, DNS, WINS, RACTIVE DIRECTORYIUS, DHCP, trạm quản lý Firewall,ect…Tất giao tiếp Internal network ISA Server 2004 firewall điều khiển sách Firewall (firewall’s System Policy) System Policy tập hợp nguyên tắc truy cập xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin cho phép vào (inbound), (outbound) qua Firewall, sau Firewall cài đặt System Policy cấu hình, cho phép Security Active Directorymin, thắt chặt nới lỏng từ Access Rules mặc định System Policy… 4.3 Mô hình cấu hình ISA vào mạng công ty Dưới trình bày sơ đồ sách Firewall áp dụng vào công ty vinapay Hình III.4 Rule Cho phép kết nối từ mạng Lan Internet Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Hình III.5 Cho phép kết nối từ Firewall internet Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Hình III.6 Ngăn chặn truy nhập vào site Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Hình III.7 Rule ngăn việc downloAdministrators1 File Hình III.8 Đỗ Việt Tiến – 7TD110469 Cho phép truy nhập FTP server Trường Đại Học Kinh Doanh Công Nghệ Hà Nội 4.3 Sao lưu dự phòng Lý cần lưu : Quá trình cấu hình nâng cấp ISA sau bị lỗi ,không xác ổn định Việc xây dựng hệ thống ISA đòi hỏi nhiều thời gian cấu hình sách user Sự cố phần cứng Sự phá hoại hacker kẻ xấu xâm nhập vào Firewall phá hoại Kế hoạch xây dựng hệ thống dự phòng Các phương án dự phòng Trường hợp Lỗi cấu hình nâng cấp sai khiển ISA không ổn định Do hacker công vào Firewall ,làm sai lệch cấu hình hệ thống Cách khắc phục Sử dụng tiện ích backup với lịch lưu sau: Time Type of Backup Object Backup Monday Daily (17:59) C drive System State Tuesday Daily (17:59) C drive System State Wednesday Daily (17:59) C drive System State Thursday Daily (17:59) C drive System State Friday Daily (17:59) C drive System State Saturday Daily (17:59) C drive System State Sunday Normal (23:59) C drive System State Backup cấu hình sách ISA cách sử dụng tiện ích ISA: Để đảm bảo nhanh chóng hồi phục cấu hình sách truy cập người dùng ISA ta backup trạng thái hệ thống : Backup : Sao lưu trạng thái hoạt động ISA 2004 file *.xml Export :xuất các cấu hình ISA,chính sách quản lý truy cập file *.xml Trường hợp 2: Hỏng ổ cứng Cắm thêm ổ cứng để chạy chế độ RAID Mirroring để đảm bảo hệ thống làm việc ổn định kô bị ngắt quãng lỗi ổ cứng Trường hợp 3: hỏng toàn ISA server Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội Ta thiết lập thêm máy chủ ISA tương tự để dự phòng Khi bị hỏng lỗi ta thay cắm sang máy để khắc phục cố Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội KẾT LUẬN Những vấn đề đạt được: Theo yêu cầu ban đầu đề tài “Triển khai, quản trị, trì, nâng cấp hệ thống mạng doanh nghiệp ” thời điểm đạt nội dung: Khảo sát đưa cấu hình mạng Lan sơ cho doanh nghiệp phục vụ cho việc triển khai mạng Đưa cách thức ADMINISTRATORSquản lí tài nguyên nó(compter, user, OU ) Phân tích đưa lịch trình backup liệu cho domain liệu cho máy client công ty Tìm hiểu cấu hình hệ thống tường lửa ISA cho doanh nghiệp Hướng phát triển đề tài Mở rộng mạng Lan với nhiều máy client server Mở rộng đưa số cấu hình cụ thể để quản lí tài nguyên mạng hiệu Nghiên cứu chiến lược backup restore sử dụng phần mềm hãng thứ để có hiệu cao Tìm hiểu mô hình tường lửa nhà cung cấp khác để mô hình mạng trở lên dễ sử dụng Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội PHỤ LỤC Tài liệu tham khảo: Microsoft Exchange Server 2003 Active Directoryministrator’s Companion (Microsoft Press, 2003) MCDST Self-Paced Training Kit (Exam 70-272): Supporting Users and Troubleshooting Desktop Applications on a Microsoft Windows XP Operating System (Microsoft Press, 2004) MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft Windows Server 2003 Administratorsand NetworkInfrastructure (Microsoft Press, 2003) Tài liệu CCNA Tài liệu mạng máy tính Một số tài liệu khác Internet Đỗ Việt Tiến – 7TD110469 Trường Đại Học Kinh Doanh Công Nghệ Hà Nội PHỤ LỤC Các từ chuyên ngành sử dụng đề tài: List Contents: danh sách trạng thái (có thể xem trạng thái user) ReAdministratorsAll Properties: quyền sửa thông tin thuộc tính admin () Write All Properties: Viết tất thuộc tính(bao gồm tạo sửa) Delete: Xóa (kể admin) ReAdministratorsPermissions: quyền thay đổi quyền account administrator Modify Permissions: Chỉnh sửa quyền Modify Owner: Tự thay đổi quyền All Validated Writes: Xác thực tất quyền All Extended Rights: Create All Child Objects: tạo đối tượng con(các thuộc tính con) Delete All Child Objects: xóa đối tượng Đỗ Việt Tiến – 7TD110469 ... chủ thành Domain Controler Thi t kế Active Directory đảm bảo t ơng t c t t với dịch vụ khác hệ thống Intranet như: email, truy cập Internet, chat, SharePoint Portal M t hệ thống Active Directory... hưởng trực tiếp t i mức bảo m t domain controller Active Directoryministrative workstation mà t chức bạn trì Các sách vi t thủ t c t n cho t t ho t động trì domain controller, bao gồm: Đỗ Vi t Tiến... chủ an toàn 2.1 Thực trì bảo m t Domain Controller Active Directoryministrative Workstation Khi t chức bạn thực cấu hình domain controller Active Directoryministrative workstation an toàn theo