Đang tải... (xem toàn văn)
Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)Quản trị và bảo trì mạng (NCKH)
1 TRƯỜNG ĐẠI HỌC SÀI GÒN -o0o ĐỀ TÀI KHOA HỌC CẤP TRƯỜNG NĂM HỌC 2012 – 2013 ĐỀ TÀI TÀI LIỆU THAM KHẢO VỀ QUẢN TRỊ VÀ BẢO TRÌ MẠNG (Mã số đề tài: 201207) CHỦ NHIỆM ĐỀ TÀI: ThS Đỗ Đình Trang Lời giới thiệu Quản trị mạng nhu cầu thiếu thời đại bùng nổ công nghệ thông tin Việc trang bị kiến thức mạng quản trị mạng cho sinh viên chuyên ngành công nghệ thông tin điều cần thiết Tài liệu tham khảo quản trị bảo trì mạng tài liệu cung cấp kiến thức, kỹ mạng, quản trị mạng bảo mật hệ thống cho sinh viên hệ đại học cao đẳng thuộc chuyên ngành công nghệ thông tin Tài liệu làm tài liệu tham khảo cho giảng viên đối tượng khác làm việc hay nghiên cứu mạng quản trị mạng Tài liệu tham khảo quản trị bảo trì mạng trình bày theo chủ đề có tính logic, từ tổng quan đến thiết bị, dịch vụ, tảng bảo mật cuối hệ thống firewall Nội dung chủ đề trình bày rõ ràng, chi tiết mặt lý thuyết cài đặt, cấu cách vận hành, quản trị hệ thống Tôi trân trọng giới thiệu với bạn đọc tài liệu tham khảo quản trị bảo trì mạng với hy vọng giúp cho việc giảng dạy học tập thuận lợi Cuối cùng, xin gởi lời cảm ơn chân thành đến đồng nghiệp khoa công nghệ thông tin trường Đại học Sài gòn có nhiều đóng góp quý báu để hoàn thành tốt nội dung tài liệu Thành phố Hồ Chí Minh, ngày 15 tháng năm 2013 Tác giả MỤC LỤC Chương 1: Tổng quan Quản trị mạng 11 1.1 Giới thiệu chung 11 1.2 Các công việc quản trị mạng 12 1.2.1 Quản lý lỗi 13 1.2.2 Quản lý cấu hình, tài nguyên mạng 14 1.2.3 Quản lý an ninh mạng 15 1.2.4 Quản lý hiệu suất 15 1.2.5 Quản lý tài khoản 16 1.3 Hệ thống quản trị mạng 16 1.3.1 Giao thức quản trị mạng SNMP mô hình quản trị mạng 17 1.3.2 Hệ quản lý mạng 20 1.3.3 Lợi ích hệ quản lý mạng 20 1.3.4 Cấu trúc hệ quản lý mạng 21 1.3.5 Một số kiểu kiến trúc hệ quản lý mạng 22 Chương 2: Quản lý thiết bị mạng 24 2.1 Các thiết bị truyền dẫn 24 2.2 Repeater Hub 28 2.2.1 Repeater 28 2.2.2 Hub 29 2.3 Bridge Switch 31 2.3.1 Bridge 31 2.3.2 Switch 32 2.3.3 So sánh Hub Switch 38 2.4 Router Gateway 39 2.4.1 Router 39 2.4.2 Gateway 42 Chương 3: Quản lý dịch vụ mạng 43 3.1 DNS 43 3.1.1 Giới thiệu 43 3.1.2 Cơ chế phân giải tên sang địa ngược lại 46 3.1.3 Thiết lập DNS server 49 3.1.4 Các bước cài đặt DNS Window 2003 Server 52 3.1.5 Quản lý DNS Server 52 3.1.6 Cấu hình DNS Server 56 3.1.7 nslookup 56 3.2 DHCP 61 3.2.1 Khái niệm 61 3.2.2 Cài đặt DHCP 63 3.2.3 Cấu hình DHCP 63 3.3 Mail server 63 3.3.1 Giới thiệu 63 3.3.2 Giao thức SMTP 65 3.3.3 Giao thức POP3 69 3.3.4 Giao thức IMAP4 72 3.3.5 MDaemon Mail Server 79 3.3.6 Quản lý Mail server 83 3.4 Web Server 83 3.4.1 Giới thiệu 83 3.4.2 Cơ chế hoạt động Web server 84 3.4.3 Tìm hiểu giao thức HTTP 87 3.4.4 Cài đặt Web server 89 3.4.5 Quản lý Web server 89 3.5 SNMP 89 3.5.1 Mô hình SNMP 90 3.5.2 SNMP message 94 3.5.3 MIB 100 Các dịch vụ ứng dụng khác 100 3.6 3.6.1 FTP 100 3.6.2 Telnet SSH 102 3.6.3 Network File System 104 Chương 4: Bảo mật hệ thống 109 Các vấn đề chung bảo mật hệ thống 109 4.1 4.1.1 Một số khái niệm 111 4.1.2 Lịch sử bảo mật hệ thống 112 4.1.3 Các lỗ hổng phương thức công mạng chủ yếu 113 4.1.4 Một số điểm yếu hệ thống 126 4.1.5 Các mức bảo vệ an toàn mạng 128 4.2 Các biện pháp bảo vệ mạng máy tính 129 4.2.1 Kiểm soát hệ thống qua log file 129 4.2.2 Thiết lập sách bảo mật hệ thống 139 Chương 5: Tìm hiểu hệ thống Firewall 145 5.1 Giới thiệu Firewall 145 5.1.1 Khái niệm Firewall 145 5.1.2 Các chức Firewall 149 5.1.3 Mô hình mạng sử dụng firewall 151 5.1.4 Phân loại Firewall 154 5.2 Một số phần mềm Firewall thông dụng 162 5.2.1 TCP- WRAPPERS 162 5.2.2 NetGate 164 5.2.3 ISA server 165 DANH MỤC HÌNH Hình 1-1: Mô hình hoạt động Manager Agent 18 Hình 2-1: Đầu bấm RJ-45 25 Hình 2-2: Chuẩn bấm dây T568A T568B 25 Hình 2-3: Cáp thẳng T568A 26 Hình 2-4: Cáp chéo 26 Hình 2-5: Công dụng cáp thẳng cáp chéo 26 Hình 2-6: Sơ đồ bấm cáp thẳng (a) cáp chéo (b) 28 Hình 2-7: Mô hình hoạt động hub 30 Hình 2-8: Sơ đồ kết nối thiết bị vào hub 30 Hình 2-9: Mô hình hoạt động switch .33 Hình 2-10: Nguyên lý hoạt động switch 34 Hình 2-11: Workgroup switch .36 Hình 2-12: Segment switch 36 Hình 2-13: Backbone Switch 37 Hình 2-14: Symetric Switch 37 Hình 2-15: Asymetric Switch 38 Hình 3-1: Tổ chức phân cấp DNS 44 Hình 3-2: Quá trình phân giải girigiri.gbrmpa.gov.au mạng Internet 47 Hình 3-3: Recursive query .48 Hình 3-4: Iteractive query 48 Hình 3-5: Reverse Lookup Zone 49 Hình 3-6: Zone Domain 50 Hình 3-7: Forward DNS queries 51 Hình 3-8: Stub zone .52 Hình 3-9: Kết NSLOOKUP truy vấn miền bên 56 Hình 3-10: Mô hình hệ thống Mail server .64 Hình 3-11: Hoạt động POP SMTP .65 Hình 3-12: Dịch vụ webmail MDaemon 82 Hình 3-13: Giao diện quản lý webmail 82 Hình 3-14: Web browser gửi yêu cầu URL đến Web server 84 Hình 3-15: Web server trả lời yêu cầu URL đến Web browser .85 Hình 3-16: Mô hình hoạt động web server 86 Hình 3-17: Mô hình hoạt động Manager Agent 93 Hình 3-18: Mô hình hoạt động SNMP 94 Hình 4-1: Các loại lỗ hổng bảo mật mức độ nguy hiểm 114 Hình 4-2: Hoạt động chương trình bẻ khóa 120 Hình 4-3: Các vị trí đặt sniffer segment mạng 125 Hình 4-4: Các mức độ bảo vệ mạng 128 Hình 4-5: Ghi log Windows 2000 136 Hình 4-6: Công cụ Event View Windows 2000 137 Hình 4-7: Chi tiết thông báo lỗi Windows 2000 .138 Hình 4-8: Cấu hình dịchvụ ghi log Windows 2000 138 Hình 5-1: Firewall phần cứng, phần mềm kết hợp hai 148 Hình 5-2: Sơ đồ chức hệ thống Firewall 150 Hình 5-3: Mô hình hệ thống mạng sử dụng firewall 151 Hình 5-4: Mô hình mạng sử dụng single firewall (three legged firewall) 153 Hình 5-5: Mô hình mạng sử dụng dual firewall 154 Hình 5-6: Cấu hình địa IP cho SecureNat Client 174 Hình 5-7: Mô hình mạng không dùng proxy server 176 Hình 5-8: Mô hình mạng có dùng proxy server 176 Hình 5-9: Cấu hình Web Proxy Client 177 Hình 5-10: Mô hình sử dụng Firewall Client 179 Hình 5-11: Các kết nối Firewall client vào ISA Firewall hoàn toàn độc lập với cấu hình cổng mặc định định tuyến 181 Hình 5-12: Mô hình hoạt động 183 10 DANH MỤC BẢNG Bảng 3-1: Danh mục top-level domain 45 Bảng 3-2: Danh mục top-level domain bổ sung 45 Bảng 3-3: Một số top-level domain theo quốc gia 46 Bảng 3-4: Các loại Record DNS 55 Bảng 3-5: Các lệnh SMTP .67 Bảng 3-6: Ví dụ địa URL khác 85 Bảng 3-7: Thông báo lỗi SNMPv1 97 Bảng 3-8: Thông báo lỗi SNMPv2 98 Bảng 3-9: Ý nghĩa SNMP trap 99 171 Cung cấp khả kết nối VPN: Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN văn phòng riêng biệt Statefull filtering and inspection, kiểm tra đầy đủ VPN connection site-to-site secureNAT for VPN client, Về khả quản lý: Dễ dàng quản lý Rất nhiều Wizard Backup Restore đơn giản Log Report chi tiết cụ thể Khai báo thêm Server vào array dễ dàng (không khó ISA 2000, 2004) Tích hợp với giải pháp quản lý Microsoft: MOM Các tính khác: Hỗ trợ nhiều CPU RAM (bản Standard hỗ trợ đến CPU, GB RAM) Tối đa node Network Load Balancing Hỗ trợ nhiều Network, Rule đa dạng Tích hợp IDS Flood Resiliency HTTP compression Diffserv 172 5.2.3.4 Cài đặt ISA Server Xem phần hướng dẫn cài đặt cấu hình Tiếp theo tiến hành cài đặt, cấu hình cho máy mạng nội (internal) để giao tiếp với ISA Server Các máy mạng nội gọi ISA client Có ba loại ISA client là: SecureNAT client, Web Proxy client, Firewal client Một máy tính cấu hình để hoạt động theo nhiều loại ISA client Ví dụ, máy tính sử dụng hệ điều hành Windows cấu hình thành loại ISA client Một máy tính Linux cấu hình thành Web Proxy client SecureNAT Chúng ta tìm hiểu loại ISA Client để việc sử dụng hiệu a SecureNAT client Cài đặt: Không cần cài đặt ứng dụng Thông số cần quan tâm Default Gateway Phải khai báo Default Gateway cho thông tin hướng mạng bên (internet) phải định tuyến đến ISA server Tuỳ theo cấu trúc mạng mà thiết lập định tuyến (route) cần thiết thiết bị định tuyến (router) nội Hệ điều hành: Bất hệ điều hành hỗ trợ TCP/IP Loại protocol: Chì dùng protocol multi-connections ISA server kích hoạt lọc ứng dụng (Application filter) tương ứng Không thể chứng thực người dùng Một số ưu điểm: Không cần cấu hình thực cấu hình hoàn chỉnh xây dựng sở hạ tầng mạng Triển khai client không dùng hệ điều hành Windows Hỗ trợ ứng dụng "non-TCP/UDP" ICMP (Client cần dùng lệnh ping tracert ) PPTP (Client cần dùng PPTP để kết nối đến 01 173 VPN server internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal) Một số hạn chế: Hạn chế thứ nhất: SecureNAT client ứng dụng thực việc gửi username password đến firewall service ISA server, ISA chứng thực user thông tin phát sinh từ SecureNAt client tất nhiên ghi nhận (log) thông tin truy cập liên quan đến user Hạn chế thứ hai: Client dùng protocol đa kết nối (multi connection) ISA loại lọc ứng dụng thích hợp Ví dụ FTP protocol đa kết nối: FTP client khởi tạo kết nối đến port TCP 20 FTP server để tạo 01 kênh điều khiển (control channel) FTP Client FTP server dùng kênh điều khiển để chọn số port mà FTP client dùng để nhận thông tin Sau đó, FTP server truyền liệu từ port TCP 21 đến port chọn FTP client Kết nối thứ hai kết nối chủ yếu có port không liên quan đến port kết nối phát sinh từ FTP client trước Tuy vậy, ISA tích hợp sẵn lọc FTP SecureNAT client có khả truy cập dùng FTP thông qua ISA server SecureNAT client triển khai trò chơi internet (internet game) ứng dụng đa truyền thông (multi media: voice, video ) hầu hết ứng dụng dùng đa kết nối Chỉ có ngoại lệ ứng dụng thiết kế để hoạt động với proxy SOCKS lọc SOCKS tích hợp ISA server có khả hỗ trợ Hạn chế thứ ba: Client dùng protocol mà ISA server nhận diện thông qua bảng mô tả ISA server Khi access rule cho phép SecureNAT client truy cập "All outbound traffic" nghĩa protocol "All outbound traffic" 174 SecureNAT client loại protocol định nghĩa ISA server mà Vì vậy, nên dùng SecureNAT client khi: Publish server internet Không thể triển khai cài đặt Firewall client cần ứng dụng khả đáp ứng Web proxy Client cần dùng protocol ICMP PPTP Vấn đề DNS SecureNAT client: SecureNAT client phân giải DNS name cách truy vấn DNS server khai báo TCP/IP properties Có thể quan sát lại hai mô hình mạng bên để rút công thức cấu hình Ở mô hình mạng đơn giản, client cấu hình truy vấn DNS ISP hệ mạng nội DNS server Ở mô hình mạng phức tạp, client cấu hình truy vấn DSN nội nhằm đảm bảo khả phân giải tên nội tên internet Cấu hình Secure Nat cho Client: Hình 5-6: Cấu hình địa IP cho SecureNat Client 175 Các máy mạng Internal việc thiết lập thông số Default Gateway DNS Server Default Gateway IP máy ISA DNS Server sử dụng DNS Google DNS nhà cung cấp dịch vụ Internet, hệ thống mạng có DNS Server nhập địa IP DNS Server hệ thống (ví dụ 192.168.1.2) b Web proxy client Cài đặt: Không cần cài đặt ứng dụng Chỉ cần khai báo tên (hoặc địa IP) ISA server port 8080 phần cấu hình proxy server trình duyệt web Hệ điều hành: Bất hệ điều hành dùng trình duyệt web Loại protocol: Chỉ dùng HTTP, HTTPS, FTP FTPS Có thể chứng thực người dùng Web proxy client máy tính có trình duyệt web cấu hình dùng ISA server làm web proxy server Tuy nhiên, không trình duyệt web mà số ứng dụng khác cấu hình dùng ISA server web proxy server, ví dụ chương trình instant messenger (chat) trình duyệt mail Khi client truy cập web, yêu cầu chuyển đến firewall service ISA Firewall service lại chuyển yêu cầu đến lọc Proxy server Yêu cầu từ Web proxy client (Your PC) chuyển trực tiếp đến port 80 - port Proxy server - nhờ gia tăng tốc độ truy cập web cách rõ rệt Vì proxy server đóng vai trò cầu nối trung gian server client (vì ví proxy server giống đường hầm tạo client, coi máy tính người sử dụng, server xem web server chat server) Khi quan sát hình thấy rõ lý ta phải sử dụng proxy Ví dụ hình thấy firewall (được coi firewall ISP-nhà cung cấp dịch vụ dựng lên chẳng hạn) chặn port 6667 (sử dụng chương trình chat IRC) tức kết nối tới IRC server thông qua port 6667 176 để chat, mà ISP cho phép truy cập dịch vụ web gởi mail thông qua port 80 25 mà Hình 5-7: Mô hình mạng không dùng proxy server Trường hợp IRC server lắng nghe port 80 truy cập vấn đề gì, vấn đề lại IRC server thường lắng nghe port mặt định từ 6666 -> 6668, dịch vụ khác tương tự chẳng hạn dịch vụ FTP (dịch vụ chuyển file) sử dụng port 21, pop3 (truy cập nhận mail) qua port 110 … muốn kết nối đến dịch vụ trường hợp ISP cho phép kết nối thông qua port 25 80 đường sử dụng proxy (xem Hình 5-8) Hình 5-8: Mô hình mạng có dùng proxy server Có thể giải thích đơn giản sau: cần kết nối đến dịch vụ chat IRC chương trình chat định kết nối tới proxy server xác định (tức phải biết xác địa IP proxy server cần sử dụng) thông qua port 80 sau yêu cầu cho proxy server tạo kết nối tới IRC server proxy server đóng vai trò máy trung gian 177 IRC server để thực công việc chat mà firewall ISP cho phép (có thể gọi trường hợp bị khóa port bị firewall chặn từ bên trong) Quản trị viên giới hạn số lượng kết nối đồng thời Web proxy client Cấu hình hữu dụng băng thông truy cập bị hạn chế quản trị viên muốn trì tỉ lệ định lượng user truy cập web thời điểm: Mở Properties network chứa Web proxy client (thường network Internal) > tab Web Proxy > Advanced > chọn Maximum nhập số kết nối đồng thời tối đa Trên hộp thoại này, thiết lập giới hạn thời gian kết nối Cấu hình Web Proxy Client Các máy mạng Internal, mở Internet Explorer Sau chọn Tool – chọn Internet option – chọn Tab Connection - chọn mục LAN Setting Trong phần Proxy Server nhập IP Card Lan máy ISA, port :8080 Hình 5-9: Cấu hình Web Proxy Client 178 c Firewall client Phần mềm tường lửa máy khách (Firewall client) phần mềm cài đặt hệ điều hành Windows nhằm cung cấp bảo mật khả truy cập nâng cao Phần mềm cung cấp tính nâng cao cho máy Windows mạng nội bộ: Cho phép thẩm định dựa nhóm người dùng người dùng riêng lẻ cho tất ứng dụng Winsock sử dụng giao thức TCP UDP Cho phép người dùng thông tin ứng dụng ghi lại file ghi tường lửa ISA Cung cấp hỗ trợ nâng cao cho ứng dụng mạng gồm giao thức phức hợp có yêu cầu đến kết nối thứ cấp Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính Cho phép đưa máy chủ yêu cầu giao thức phức hợp mà không cần hỗ trợ lọc ứng dụng Cơ sở hạ tầng định tuyến mạng suốt tường lửa máy khách Cho phép thẩm định dựa nhóm người dùng người dùng riêng biệt ứng dụng Winsock sử dụng giao thức TCP UDP Phần mềm Firewall client gửi thông tin người dùng cách suốt đến tường lửa ISA Điều cho phép tạo nguyên tắc truy cập để áp dụng cho nhóm hay người dùng riêng lẻ, hạn chế hay cho phép truy cập vào giao thức, trang, nội dung dựa vào tài khoản người dùng hội viên nhóm Kiểm soát truy cập nhóm người dùng riêng lẻ quan trọng Không phải tất người dùng yêu cầu mức truy cập người dùng nên 179 phép truy cập vào giao thức, trang nội dung mà họ yêu cầu để thực công việc họ Cung cấp hỗ trợ “Proxy” DNS cho Firewall Client Ngược lại với SecureNAT client, Firewall client không cần phải cấu hình với DNS server liên quan đến Internet host name ISA Firewall thực chức “proxy” DNS cho Firewall client Ví dụ, Firewall client gửi yêu cầu kết nối đến ftp://ftp.microsoft.com, yêu cầu gửi trực tiếp đến ISA Firewall ISA firewall xử lý tên Firewall client dựa thiết lập DNS card giao diện mạng ISA firewall ISA firewall trả lại địa IP cho máy Firewall client, máy tính Firewall client gửi yêu cầu FTP đến địa IP cho trang FTP ftp.microsoft.com Hình 5-10: Mô hình sử dụng Firewall Client 180 ISA firewall lưu kết chất vấn DNS mà thực cho Firewall client Không giống ISA Server lưu trữ thông tin chu kỳ mặc định giờ, ISA firewall lưu trữ toàn cho chu kỳ rõ TTL ghi DNS Điều làm tăng số lượng tên cho kết nối Firewall client đến sau trang Hình sau thể chuỗi tên cho Firewall client Bước 1: Firewall client gửi yêu cầu cho ftp.microsoft.com Bước 2: ISA firewall gửi chất vấn DNS đến máy chủ DNS bên Bước 3: Máy chủ DNS xử lý tên ftp.microsoft.com với địa IP trả kết cho ISA firewall Bước 4: ISA firewall trả địa IP ftp.microsoft.com cho Firewall client tạo yêu cầu Bước 5: Firewall client gửi yêu cầu đến địa IP ftp.microsoft.com kết nối hoàn tất Bước 6: Máy chủ Internet trả lại thông tin yêu cầu cho Firewall client thông qua kết nối Firewall client thực với ISA firewall Cơ sở hạ tầng định tuyến mạng suốt Firewall Client Ưu điểm cuối Firewall client sở hạ tầng định tuyến ảo suốt Firewall client Tương phản với SecureNAT client, phụ thuộc vào cổng mặc định thiết lập cổng định tuyến thông qua mạng cộng tác, máy tính Firewall client cần biết định tuyến địa IP giao diện bên ISA firewall Máy Firewall client “từ xa” yêu cầu gửi trực tiếp đến địa IP ISA firewall Các định tuyến dùng dùng để thực tất tuyến mạng cộng tác, không cần tạo thay đổi sở hạ tầng định tuyến để hỗ trợ cho kết nối Firewall client vào Internet Hình sau mô tả tính “từ xa” kết nối trực tiếp đến ISA firewall Bảng đưa tổng kết ưu điểm ứng dụng Firewall client 181 Hình 5-11: Các kết nối Firewall client vào ISA Firewall hoàn toàn độc lập với cấu hình cổng mặc định định tuyến Cài đặt cấu hình Firewall Client Xem phần hướng dẫn cài đặt cấu hình 5.2.3.5 Thiết lập luật (Rule) sách (Policy) Mặc định, sau ISA Server 2006 cài đặt hoàn tất, ISA Server 2006 thay dịch vụ “Routing and Remote Access” Windows Server để thực chức NAT Tuy nhiên, Firewall Policy mặc định ISA Server đóng tất port (TCP lẫn UDP) máy ISA Server Điều làm cho tất giao tiếp từ mạng bên mạng bên đến ISA Server bị chặn lại Firewall Policies ISA Server cho phép người quản trị đặt quy tắc (Rule) cho phép (Allow) cấm (Deny) luồng liệu (theo giao thức kết nối – Protocol) di chuyển từ nơi đến nơi khác (Source, Destination), áp dụng cho hay nhiều người dùng cụ thể (Users) 182 Các luồng liệu ngang qua ISA Server chịu kiểm duyệt Firewall Policies dựa quy tắc (Rule) mà người quản trị đặt ISA mặc định sẵn Các quy tắc tham chiếu theo thứ tự (Order) từ xuống Khi gặp rule thoả điều kiện luồng liệu, luồng liệu bị chặn cho qua mà không quan tâm đến rule đặt phía ISA Server 2004 Firewall có dạng sách bảo mật là: System policy, Access rule Publishing rule System policy: Thường ẩn (hidden), dùng cho việc tương tác firewall dịch vụ mạng khác ICMP, RDP System policy xử lý trước access rule áp dụng Sau cài đặt system policy mặc định cho phép ISA Server sử dụng dịch vụ hệ thống DHCP, RDP, Ping Access Rule: Là tập hợp quy tắc truy cập luồng liệu Internet, Mail, FTP, DNS… ngang qua ISA Server Publishing Rule: Dùng để cung cấp dịch vụ Web Server, Mail Server lớp mạng Internal hay DMZ cho phép người dùng Internet truy cập Cấu hình ISA Firewall Policy thông qua giao diện chương trình “ISA Management Console” máy ISA Server cài công cụ quản lý “ISA Management Console” máy khác kết nối đến ISA Server để thực thao tác quản trị từ xa Sau cài đặt ISA thấy ISA phân vùng hệ thống thành vùng chính: Internal (mạng nội bên trong), Local Host (máy ISA), External (mạng bên ngoài, internet) Sau thiết lập số cấu hình cho ISA Server Xem phần hướng dẫn cài đặt cấu hình 183 5.2.3.6 Cache hoạt động Cache a Định nghĩa Cache ISA Cache không gian đĩa cứng (trên máy ISA Server) dùng lưu trữ liệu ngang qua ISA server Mặc định, sau cài đặt ISA server, cache không hoạt động không gian đĩa cứng dùng làm cache chưa xác định Cache giúp tăng hiệu suất sử dụng thông tin tải từ internet Từ đó, làm giảm tải cho băng thông đường truyền internet, Đồng thời, người dùng Client cảm thấy truy cập web nhanh Do thông tin thường lấy từ cache, người dùng thường truy cập thông tin cũ Các thông tin phải đợi ISA cache làm tươi (refresh) lại vào lúc thời gian lưu trữ thông tin cache hết hạn b Hoạt động Cache Có hệ thống kết nối LAN – Internet hình Máy ISA Server cấu hình Cache: Hình 5-12: Mô hình hoạt động Client gởi yêu cầu truy cập Web tới ISA Server 184 ISA Server chuyển yêu cầu Web Server internet Thông tin hồi đáp từ Web Server chuyển ISA Sever ISA Sẽ lưu thông tin vào cache Một copy thông tin chuyển Client Khi Client gởi yêu cầu truy cập web tới ISA Server, Nếu thông tin yêu cầu có sẵn cache, ISA Server hồi đáp Client mà không cần truy xuất internet c Ưu nhược điểm Cache ISA server Cache giúp tăng hiệu suất sử dụng thông tin tải từ internet Từ đó, làm giảm tải cho băng thông đường truyền internet, Đồng thời, người dùng Client cảm thấy truy cập web nhanh Do thông tin thường lấy từ cache, người dùng thường truy cập thông tin cũ Các thông tin phải đợi ISA cache làm tươi (refresh) lại vào lúc thời gian lưu trữ thông tin cache hết hạn d Cấu hình Cache ISA Management Xem phần hướng dẫn cài đặt cấu hình 5.2.3.7 Content Download Job Giả sử, hệ thống nội có nhiều người dùng thường hay truy cập vào trang web để xem thông tin Để hỗ trợ tăng tốc truy cập, người quản trị cấu hình ISA Server tự động tải nội dung trang web lưu vào cache trước vào ngày tuần (gọi Content Download Job) Thao tác cấu hình “Content Download Job” Xem phần hướng dẫn cài đặt cấu hình 185 Tài liệu tham khảo [1] Andrew S Tanenbaum, “Computer Networks”, Prentice Hall, 2003 [2] Scott Empson, “CCNA Portable Command Guide”, Cisco Systems, Inc, 2008 [3] Michael Watkins Kevin Wallace, “CCNA Security Official Exam Certification Guide”, Cisco Systems, Inc, 2008 [4] Wendell Odom, “CCNA ICND2 Official exam certification Guide”, Cisco Systems, Inc, 2008 [5] Todd Lammle, “CCNA Cisco Certified Network Associate Study Guide”, Wiley Publishing, Inc, 2007 [6] Todd Lammle, “CCNA: Fast Pass”, San Francisco London, 2004 [7] Sidnie Feit, “TCP/IP Architecture, Protocols, and Implementation”, McGrawHill, 2000 [8] Mark G Sobell, “A Practical Guide to Fedora and Red Hat Enterprise Linux”, Prentice Hall, 2011 [9] William Stallings, “Network Security Essentials: Applications and Standards”, 4th Edition, Pearson Education, Inc., 2011 [10] Joseph Migga Kizza, “A Guide to Computer Network Security”, SpringerVerlag London Limited, 2009 ... thống mạng cần bảo trì tốt Các công ty thường có vài kỹ sư mạng để vận hành, bảo trì hệ thống Quản trị mạng công việc quản trị mạng lưới bao gồm cung cấp dịch vụ hỗ trợ, đảm bảo hệ thống mạng. .. quản trị mạng (còn gọi mô hình Manager/Agent) bao gồm hệ quản trị (manager), hệ bị quản trị (managed system), sở liệu chứa thông tin quản trị giao thức quản trị mạng Hệ quản trị tiến trình quản lý... đảm bảo mạng lưới cung cấp tiêu định Có thể khái quát công việc quản trị mạng bao gồm: Quản lý lỗi Quản lý cấu hình, tài nguyên mạng Quản lý an toàn, an ninh mạng Quản lý hiệu suất mạng