Đang tải... (xem toàn văn)
Bài 1: Tổng quan về WINDOWS SERVER Mục tiêu của bài: Trình bày được các bước chuẩn bị và cài đạt hệ thống Windows Server Cài đặt được hệ điều hành Windows Server 1. Giới thiệu Như chúng ta đã biết họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ. Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung ra thị trường. Nhưng 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition. So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc tính mới sau: Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap). Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty. Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trị nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server. NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peertopeer đến các máy bên ngoài Internet, đặt biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn. Bổ sung thêm tính năng NetBIOS over TCPIP cho dịch vụ RRAS (Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính trong mạng ở xa thông qua công cụ Network Neighborhood. Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn. Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một dịch vụ Web một cách trực quan và dễ dàng. Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ hỗ trợ 4KB.
Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Bài 1: Tổng quan WINDOWS SERVER Mục tiêu bài: - Trình bày bước chuẩn bị cài đạt hệ thống Windows Server - Cài đặt hệ điều hành Windows Server Giới thiệu Như biết họ hệ điều hành Windows 2000 Server có phiên là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server Với phiên Microsoft bổ sung tính mở rộng cho loại dịch vụ Đến họ Server 2003 đời Mircosoft dựa tính phiên để phân loại có nhiều phiên họ Server 2003 tung thị trường Nhưng phiên sử dụng rộng rãi là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition So với phiên 2000 họ hệ điều hành Server phiên 2003 có đặc tính sau: - Khả kết chùm Server để san sẻ tải (Network Load Balancing Clusters) cài đặt nóng RAM (hot swap) - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt như: hiểu sách nhóm (group policy) thiết lập WinXP, có công cụ quản trị mạng đầy đủ tính chạy WinXP - Tính Mail Server tính hợp sẵn: công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server sử dụng dịch vụ POP3 SMTP tích hợp sẵn vào Windows Server 2003 để làm hệ thống mail đơn giản phục vụ cho công ty - Cung cấp miễn phí hệ sở liệu thu gọn MSDE (Mircosoft Database Engine) cắt xén từ SQL Server 2000.Tuy MSDE công cụ quản trị giúp ích cho công ty nhỏ triển khai ứng dụng liên quan đến sở liệu mà tốn chi phí nhiều để mua SQL Server - NAT Traversal hỗ trợ IPSec cải tiến môi trường 2003 này, cho phép máy bên mạng nội thực kết nối peer-to-peer đến máy bên Internet, đặt biệt thông tin truyền máy mã hóa hoàn toàn - Bổ sung thêm tính NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access) Tính cho phép bạn duyệt máy tính mạng xa thông qua công cụ Network Neighborhood - Phiên Active Directory 1.1 đời cho phép ủy quyền gốc rừng với đồng thời việc backup liệu Active Directory dễ dàng - Hỗ trợ tốt công tác quản trị từ xa Windows 2003 cải tiến RDP (Remote Desktop Protocol) truyền đường truyền 40Kbps Web Admin đời giúp người dùng quản trị Server từ xa thông qua dịch vụ Web cách trực quan dễ dàng - Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú - Các Cluster NTFS có kích thước khác với Windows 2000 Server hỗ trợ 4KB - Cho phép tạo nhiều gốc DFS (Distributed File System) Server Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chuẩn bị để cài đặt WINDOWS SERVER Edition Hoạch định chuẩn bị đầy đủ yếu tố quan trọng định trình cài đặt có trơn tru hay không Trước cài đặt, bạn phải biết cần có để cài đặt thành công bạn có tất thông tin cần thiết để cung cấp cho trình cài đặt Để lên kế hoạch cho việc nâng cấp cài Server bạn nên tham khảo hướng dẫn từ Microsoft Windows Server 2003 Deployment Kit Các thông tin cần biết trước nâng cấp cài hệ điều hành: - Phần cứng đáp ứng yêu cầu Windows Server 2003 - Làm để biết phần cứng hệ thống có Windows Server 2003 hỗ trợ hay không - Điểm khác biệt cách cài đặt cách nâng cấp (upgrade) - Những lựa chọn cài đặt thích hợp với hệ thống bạn, chẳng hạn chiến lược chia partition đĩa, bạn sử dụng hệ thống tập tin nào… 2.1 Yêu cầu phần cứng Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin 2.2 Tương thích phần cứng Một bước quan trọng trước nâng cấp cài đặt Server bạn kiểm tra xem phần cứng máy tính có tương thích với sản phẩm hệ điều hành họ Windows Server 2003 Bạn làm việc cách chạy chương trình kiểm tra tương thích có sẵn đĩa CD từ trang Web Catalog Nếu chạy chương trình kiểm tra từ đĩa CD, dấu nhắc lệnh bạn nhập: \i386\winnt32 /checkupgradeonly 2.3 Cài đặt nâng cấp Trong số trường hợp hệ thống Server hoạt động tốt, ứng dụng liệu quan trọng lưu trữ Server này, theo yêu cầu phải nâng cấp hệ điều hành Server thành Windows Server 2003 Chúng ta cần xem xét nên nâng cấp hệ điều hành đồng thời giữ lại ứng dùng liệu hay cài đặt hệ điều hành sau cấu hình cài đặt ứng dụng lại Đây vấn đề cần xem xét lựa chọn cho hợp lý Các điểm cần xem xét nâng cấp: - Với nâng cấp (upgrade) việc cấu hình Server đơn giản, thông tin bạn giữ lại như: người dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống (rights), quyền truy cập (permissions)… - Với nâng cấp bạn không cần cài lại ứng dụng, có thay đổi lớn đĩa cứng bạn cần backup liệu trước nâng cấp - Trước nâng cấp bạn cần xem hệ điều hành có nằm danh sách hệ điều hành hỗ trợ nâng cấp thành Windows Server 2003 không ? - Trong số trường hợp đặc biệt bạn cần nâng cấp máy tính làm chức Domain Controller nâng cấp máy tính có phần mềm quan trọng bạn nên tham khảo thêm thông tin hướng dẫn Microsoft chứa thư mục \Docs đĩa CD Windows Server 2003 Enterprise Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition: - Windows NT Server 4.0 với Service Pack lớn Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin - Windows NT Server 4.0, Terminal Server Edition, với Service Pack lớn - Windows NT Server 4.0, Enterprise Edition, với Service Pack lớn - Windows 2000 Server - Windows 2000 Advanced Server - Windows Server 2003, Standard Edition 2.4.Phân chia ổ đĩa Đây việc phân chia ổ đĩa vật lý thành partition logic Khi chia partition, bạn phải quan tâm yếu tố sau: - Lượng không gian cần cấp phát: bạn phải biết không gian chiếm dụng hệ điều hành, chương trình ứng dụng, liệu có phát sinh - Partition system boot: cài đặt Windows 2003 Server lưu hai vị trí partition system partition boot Partition system nơi chứa tập tin giúp cho việc khởi động Windows 2003 Server Các tập tin không chiếm nhiều không gian đĩa Theo mặc định, partition active máy tính chọn làm partition system, vốn thường ổ đĩa C: Partition boot nơi chứa tập tin hệ điều hành Theo mặc định tập tin lưu thư mục WINDOWS Tuy nhiên bạn định thư mục khác trình cài đặt Microsoft đề nghị partition nhỏ 1,5 GB - Cấu hình đĩa đặc biệt: Windows 2003 Server hỗ trợ nhiều cấu hình đĩa khác Các lựa chọn volume simple, spanned, striped, mirrored RAID- Tiện ích phân chia partition: bạn định chia partition trước cài đặt, bạn sử dụng nhiều chương trình tiện ích khác nhau, chẳng hạn FDISK PowerQuest Partition Magic Có thể ban đầu bạn cần tạo partition để cài đặt Windows 2003 Server, sau sử dụng công cụ Disk Management để tạo thêm partition khác 2.5.Chọn hệ thống tập tin Bạn chọn sử dụng ba loại hệ thống tập tin sau: - FAT16 (file allocation table): hệ thống sử dụng phổ biến hệ điều hành DOS Windows 3.x Có nhược điểm partition bị giới hạn kích thước 2GB tính bảo mật NTFS - FAT32: đưa năm 1996 theo Windows 95 OEM Service Release (OSR2) Có nhiều ưu điểm FAT16 như: hỗ trợ partition lớn đến 2TB; có tính dung lỗi sử dụng không gian đĩa cứng hiệu giảm kích thước cluster Tuy nhiên FAT32 lại có nhược điểm không cung cấp tính bảo mật NTFS - NTFS: hệ thống tập tin sử dụng hệ điều hành Windows NT, Windows 2000, Windows 2003 Windows 2000, Windows 2003 sử dụng NTFS phiên Có đặc điểm sau: định khả an toàn cho tập tin, thư mục; nén liệu, tăng không gian lưu trữ; định hạn ngạch sử dụng đĩa cho người dùng; mã hoá tập tin, nâng cao khả bảo mật 2.6.Chọn chế độ sử dụng giấy phép Bạn chọn hai chế độ giấy phép sau đây: - Per server licensing: lựa chọn tốt trường hợp mạng có Server phục cho số lượng Client định Khi chọn chế độ giấy phép này, phải xác định số lượng giấy phép thời điểm cài đặt hệ điều hành Số lượng giấy phép tùy thuộc vào số kết nối đồng thời Client đến Server Tuy nhiên, trình sử dụng thay đổi số lượng kết nối đồng thời cho phù hợp với tình hình mạng - Per Seat licensing: lựa chọn tốt trường hợp mạng có nhiều Server Trong chế độ giấy phép Client cần giấy phép để truy xuất đến tất Server không giới hạn số lượng kết nối đồng thời đến Server 2.7 Chọn phương án kết nối mạng 2.7.1 Các giao thức kết nối mạng Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Windows 2003 mặc định cài giao thức TCP/IP, giao thức lại IPX, AppleTalk tùy chọn cài đặt sau cần thiết Riêng giao thức NetBEUI, Windows 2003 không đưa vào tùy chọn cài đặt mà cung cấp kèm theo đĩa CD-ROM cài đặt Windows 2003 lưu thư mục \VALUEADD\MSFT\NET\NETBEUI 2.7.2 Thành viên Workgroup Domain Nếu máy tính bạn nằm mạng nhỏ, phân tán máy tính không nối mạng với nhau, bạn chọn cho máy tính làm thành viên workgroup, đơn giản bạn cần cho biết tên workgroup xong Nếu hệ thống mạng bạn làm việc theo chế quản lý tập trung, mạng có vài máy Windows 2000 Server Windows 2003 Server sử dụng Active Directory bạn chọn cho máy tính tham gia domain Trong trường hợp này, bạn phải cho biết tên xác domain với tài khoản (gồm có username password) người dùng có quyền bổ sung thêm máy tính vào domain Ví dụ tài khoản người quản trị mạng (Administrator) Các thiết lập ngôn ngữ giá trị cục Windows 2000 Server hỗ trợ nhiều ngôn ngữ, bạn chọn ngôn ngữ hỗ trợ Các giá trị local gồm có hệ thống số, đơn vị tiền tệ, cách hiển thị thời gian, ngày tháng Cài đặt WINDOWS SERVER 3.1 Giai đoạn Preinstallation Sau kiểm tra chắn máy hội đủ điều kiện để cài đặt Windows 2003 Server, bạn phải chọn cách sau để bắt đầu trình cài đặt 3.1.1 Cài đặt từ hệ điều hành khác Nếu máy tính bạn có hệ điều hành bạn muốn nâng cấp lên Windows 2003 Server bạn muốn khởi động kép, bạn cho máy tính khởi động hệ điều hành có sẵn này, sau tiến hành trình cài đặt Windows 2003 Server Tuỳ theo hệ điều hành sử dụng gì, bạn sử dụng hai lệnh sau thư mục I386: - WINNT32.EXE Windows 9x Windows NT - WINNT.EXE hệ điều hành khác 3.1.2 Cài đặt trực tiếp từ đĩa CD Windows 2003 Nếu máy tính bạn hỗ trợ tính khởi động từ đĩa CD, bạn cần đặt đĩa CD vào ổ đĩa khởi động lại máy tính Lưu ý bạn phải cấu hình CMOS Setup, định thiết bị khởi động ổ đĩa CDROM Khi máy tính khởi động lên trình cài đặt tự động thi hành, sau làm theo hướng dẫn hình để cài đặt Windows 2003 3.1.3 Cài đặt Windows 2003 Server từ mạng Để cài đặt theo kiểu này, bạn phải có Server phân phối tập tin, chứa nguồn cài đặt Windows 2003 Server chia sẻ thư mục Sau tiến hành theo bước sau: - Khởi động máy tính định cài đặt - Kết nối vào máy Server truy cập vào thư mục chia sẻ chứa nguồn cài đặt - Thi hành lệnh WINNT.EXE WINNT32.EXE tuỳ theo hệ điều hành sử dụng máy - Thực theo hướng dẫn chương trình cài đặt 3.2 Giai đoạn Text-Based Setup Trong qúa trình cài đặt nên ý đến thông tin hướng dẫn trạng thái Giai đoạn Text-based setup diễn số bước sau: (1) Cấu hình BIOS máy tính để khởi động từ ổ đĩa CD-ROM (2) Đưa đĩa cài đặt Windows 2003 Server vào ổ đĩa CD-ROM khởi động lại máy Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin (3) Khi máy khởi động từ đĩa CD-ROM xuất thông báo “Press any key to continue…” yêu cầu nhấn phím để bắt đầu trình cài đặt (4) Nếu máy có ổ đĩa SCSI phải nhấn phím F6 để Driver ổ đĩa (5) Trình cài đặt tiến hành chép tập tin driver cần thiết cho trình cài đặt (6) Nhấn Enter để bắt đầu cài đặt (7) Nhấn phím F8 để chấp nhận thỏa thuận quyền tiếp tục trình cài đặt Nếu nhấn ESC, chương trình cài đặt kết (8) Chọn vùng trống ổ đĩa nhấn phím C để tạo Partition chứa hệ điều hành (9) Nhập vào kích thước Partition nhấn Enter Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin (10) Chọn Partition vừa tạo nhấn Enter để tiếp tục (11) Chọn kiểu hệ thống tập tin (FAT hay NTFS) để định dạng cho partition Nhấn Enter để tiếp tục Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin (12) Trình cài đặt chép tập tin hệ điều hành vào partition chọn (13) Khởi động lại hệ thống để bắt đầu giai đoạn Graphical Based Trong khởi động, không nhấn phím hệ thống yêu cầu “Press any key to continue…” 3.3 Giai đoạn Graphical-Based Setup (1) Bắt đầu giai đoạn Graphical, trình cài đặt cài driver cho thiết bị mà tìm thấy hệ thống (2) Tại hộp thoại Regional and Language Options, cho phép chọn tùy chọn liên quan đến ngôn ngữ, số đếm, đơn vị tiền tệ, định dạng ngày tháng năm,….Sau thay đổi tùy chọn phù hợp, nhấn Next để tiếp tục Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin (3) Tại hộp thoại Personalize Your Software, điền tên người sử dụng tên tổ chức Nhấn Next (4) Tại hộp thoại Your Product Key, điền vào 25 số CD-Key vào ô trống bên Nhấn Next (5) Tại hộp thoại Licensing Mode, chọn chế độ quyền Per Server Per Seat tùy thuộc vào tình hình thực tế hệ thống mạng (6) Tại hộp thoại Computer Name and Administrator Password, điền vào tên Server Password người quản trị (Administrator) Giáo Trình Quản trị mạng Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin (7) Tại hộp thoại Date and Time Settings, thay đổi ngày, tháng, múi (Time zone) cho thích hợp (8) Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi thông số giao thức TCP/IP Các thông số thay đổi lại sau trình cài đặt hoàn tất (9) Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server vào Workgroup hay Domain có sẵn Nếu muốn gia nhập vào Domain đánh vào tên Domain vào ô bên Giáo Trình Quản trị mạng 10 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin 2.1.4.2 Application-proxy firewall Kiểu firewall hoạt động dựa phần mềm Khi kết nối từ người dùng đến mạng sử dụng firewall kiểu kết nối bị chặn lại, sau firewall kiểm tra trường có liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thông tin đáp ứng luật đặt firewall firewall tạo cầu kết nối hai node với Ưu điểm kiểu firewall loại chức chuyển tiếp gói tin IP, ta điểu khiển cách chi tiết kết nối thông qua firewall Đồng thời đưa nhiều công cụ cho phép ghi lại trình kết nối Tất nhiên điều phải trả giá tốc độ xử lý, tất kết nối gói tin chuyển qua firewall kiểm tra kỹ lưỡng với luật firewall chấp nhận chuyển tiếp tới node đích Sự chuyển tiếp gói tin IP xảy máy chủ nhận yêu cầu từ mạng chuyển chúng vào mạng Điều tạo lỗ hổng cho kẻ phá hoại (hacker) xâm nhập từ mạng vào mạng Nhược điểm kiểu firewall hoạt động dựa ứng dụng phải tạo cho dịch vụ mạng trình ứng dụng uỷ quyền (proxy) firewall ví dụ phải tạo trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch vụ http Như ta thấy kiểu giao thức client-server dịch vụ telnet làm ví dụ cần phải thực hai bước hai máy mạng mạng kết nối với Khi sử dụng firewall kiểu máy client (máy yêu cầu dịch vụ) bị thay đổi Ví dụ dịch vụ telnet máy client thực theo hai phương thức: bạn telnet vào firewall trước sau thực việc telnet vào máy mạng khác; cách thứ hai bạn telnet thẳng tới đích tuỳ theo luật firewall có cho phép hay không mà việc telnet bạn thực Lúc firewall hoàn toàn suốt, đóng vai trò cầu nối tới đích bạn Firewall kiểu Application-proxy phân thành loại: a) Application level gateway: tính tương tự loại circuit-level gateway lại hoạt động lớp ứng dụng mô hình giao thức TCP/IP Hình 6.13: Application level gateway Giáo Trình Quản trị mạng 194 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin b) Stateful multilayer inspection firewall: loại kết hợp tính loại firewall trên: lọc gói lớp mạng kiểm tra nội dung gói lớp ứng dụng Firewall loại cho phép kết nối trực tiếp client host nên giảm lỗi xảy tính chất "không suốt" firewall kiểu Application gateway Stateful multilayer inspection firewall cung cấp tính bảo mật cao lại suốt end users Hình 6.14: Stateful multilayer inspection firewall 2.2 Một số phần mềm Firewall thông dụng 2.2.1 Packet filtering Kiểu lọc gói tin đựơc thực mà không cần tạo firewall hoàn chỉnh, có nhiều công cụ trợ giúp cho việc lọc gói tin Internet (kể phải mua hay miễn phí) Sau ta liệt kê số tiện ích 2.2.1.1 TCP_Wrappers TCP_Wrappers chương trình viết Wietse Venema Chương trình hoạt động cách thay chương trình thường trú hệ thống ghi lại tất yêu cầu kết nối, thời gian yêu cầu, địa nguồn Chương trình có khả ngăn chặn địa IP hay mạng không phép kết nối 2.2.1.2 NetGate NetGate đưa Smallwork hệ thống dựa luật lọc gói tin Nó viết để sử dụng hệ thống Sun Sparc OS 4.1.x Tương tự kiểu packet filtering khác, NetGate kiểm tra tất gói tin nhận so sánh với luật tạo 2.2.1.3 Internet Packet Filter Phần mềm hoàn toàn miễn phí, viết Darren Reed Đây chương trình tiện lợi, có khả ngăn chặn việc công địa IP giả Một số ưu điểm chương trình khả Giáo Trình Quản trị mạng 195 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin huỷ bỏ gói tin TCP không chưa hoàn thiện mà không gửi lại tin ICMP lỗi Chương trình cho phép bạn kiểm tra thử luật bạn trước sử dụng chúng 2.2.2 Application-proxy firewall 2.2.2.1 TIS FWTK TIS FWTK (Trusted information Systems Firewall Tool Kit) phần mềm đầy đủ tính firewall đặc trưng cho kiểu firewall hoạt động theo phương thức ứng dụng Những phiên phần mềm miễn phí bao gồm nhiều thành phần riêng rẽ Mỗi thành phần phục vụ cho kiểu dịch vụ mạng Các thành phần chủ yếu bao gồm: Telnet, FTP, rlogin, sendmail http Phần mềm hệ thống toàn diện, nhiên khả bảo vệ mạng sau cài đặt việc cài đặt cấu hình dễ dàng Khi cấu hình phần mềm bạn phải thực hiểu làm với luật bạn tạo mạng bạn kết nối với mạng khác chí mạng quen thuộc Điểm đặc trưng phần mềm có sẵn nhiều tiện ích giúp bạn điều khiển truy nhập toàn mạng, phần mạng hay chí riêng địa 2.2.2.2 Raptor Raptor phần mềm firewall cung cấp đầy đủ tính firewall chuyên nghiệp với hai giao diện quản lý, hệ hành Unix (RCU) hệ điều hành Windows (RMC) Raptor cấu hình để bảo vệ mạng theo bốn phương thức: Standard Proxies, Generic Service Passer, Virtual Private Network tunnels Raptor Mobile Tuy việc cấu hình cho Raptor phức tạp với việc tạo route, định nghĩa entity, user group, thiết lập authorization rule bù lại ta sử dụng nhiều tính ưu việt Raptor cung cấp đề tuỳ biến mức bảo vệ mạng 2.3 Thực hành cài đặt cấu hình firewall Check Point v4.0 for Windows 2.3.1 Yêu cầu phần cứng: - Cấu hình tối thiểu máy cài GUI Client Hệ điều hành Windows 95, Windows NT, X/Motif Dung lượng đĩa trống 20 Mbytes Bộ nhớ 16 Mbytes Card mạng Các loại card hệ điều hành hỗ trợ Thiết bị khác CD-ROM - Cấu hình tối thiểu máy cài Management Server Hệ điều hành Windows NT (Intel x86 Pentium) Dung lượng đĩa trống 20 Mbytes Bộ nhớ tối thiểu 16MB, nên dùng 24MB Card mạng Các loại card hệ điều hành hỗ trợ Thiết bị khác CD-ROM Giáo Trình Quản trị mạng 196 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin - Cấu hình tối thiểu máy cài Modul Firewall Hệ điều hành Windows NT (Intel x86 Pentium) Dung lượng đĩa trống 20 Mbytes Bộ nhớ 16MB Card mạng Tối thiểu phải có card mạng thuộc loại card hệ điều hành hỗ trợ Thiết bị khác CD-ROM 2.3.2 Các bước chuẩn bị trước cài đặt - Thắt chặt an ninh cho máy chủ cài firewall module firewall GUI Client Management Server (tắt dịch vụ không cần thiết, update patch sửa lỗi hệ điều hành ) - Kiểm tra kết nối mạng giao diện mạng, đảm bảo từ máy chủ cài Module Firewall ping IP giao diện mạng (sử dụng lệnh ifconfig , ping ) - Kiểm tra bảng Routing (sử dụng lệnh netstat -rn ) - Kiểm tra dịch vụ DNS (sử dụng lệnh nslookup) - Lập sơ đồ mạng thử nghiệm, máy chủ có giao diện mạng lập sơ đồ sau: Hình 6.15: Sơ đồ mạng thử nghiệm máy chủ có giao diện mạng 2.3.3 Tiến hành cài đặt Login quyền Administrator cài đặt hệ thống Firewall Checkpoint máy theo trình tự sau: - Cài đặt GUI Client Management Server - Cài đặt Module Firewall 2.3.3.1 Cài đặt GUI Client Management Server Đưa đĩa CD Checkpoint chạy lệnh setup thư mục Windows, chọn Account Management Client FireWall-1 User Interface cửa sổ Select Components: Giáo Trình Quản trị mạng 197 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn Next, hình sau Chọn Next chọn thư mục cài đặt cửa sổ Choose Destination Location: Chọn Next chọn thành phần cửa sổ Select Components: Chọn Next để bắt đầu trình cài đặt Sau cài xong GUI Client, hình tự động phần cài đặt Account Management Client With Encryption Installation: Giáo Trình Quản trị mạng 198 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn Next chọn thư mục cài đặt cửa sổ Choose Destination Location: Chọn Next chọn Folder cửa sổ Select Program Folder: Chọn Next để bắt đầu trình cài đặt 2.3.3.2 Cài đặt Module Firewall: Giáo Trình Quản trị mạng 199 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn FireWall-1 cửa sổ Select Components ban đầu: Chọn Next, hình sau: Chọn Next chọn thư mục cài đặt cửa sổ Choose Destination Location: Giáo Trình Quản trị mạng 200 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn Next chọn FireWall-1 FireWall Module cửa sổ Selecting Product Type: Chọn Next tùy theo phiên Checkpoint đăng ký để chọn số license phù hợp: Chọn Next để bắt đầu trình cài đặt Sau cài xong, hình cài đặt license lên sau: Chọn Add nhập license vào cửa sổ sau : Giáo Trình Quản trị mạng 201 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn hostname Management Server: Chọn chế độ IP Forwarding: Giáo Trình Quản trị mạng 202 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Đặt tham số cho SMTP Security Server: Chọn Finish để kết thúc trình cài đặt Restart lại máy Sau restart lại máy, login vào hình console CheckPoint với user password tạo để thiết lập cấu hình cho firewall: Giáo Trình Quản trị mạng 203 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin 2.3.4 Thiết lập cấu hình Sau login vào hình điều khiển CheckPoint, ta bắt đầu tiến hành trình thiết lập cấu hình cho firewall theo bước sau: - Định nghĩa cho giao tiếp (Interface) thuộc mạng (Inside network) mạng (Outside network) máy chủ cài CheckPoint - Tạo Network thuộc mạng trong: Theo mô hình thử nghiệm mạng 192.168.7.0 192.168.1.0 - Nhóm Inside network thành group để tiện quản lý - Thiết lập luật phép cấm truy nhập từ từ vào Các luật gồm thành phần sau: + Số thứ tự: biểu thị mức độ ưu tiên luật Luật có số thứ tự nhỏ mức độ ưu tiên lớn + Nguồn (SOURCE) + Đích (DESTINATION) + Giao tiếp (IF VIA) + Dịch vụ (SERVICE): dịch vụ cho phép/cấm + Hành động (ACTION): cho phép/cấm + Ngoài có tham số khác TRACK, INSTALL ON, TIME … Sau ví dụ thiết lập luật cho firewall CheckPoint: Firewall định tuyến (Routing) Giáo Trình Quản trị mạng 204 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Yêu cầu: Cấu hình RRAS mạng LAN thông dùng: - Định tuyến tĩnh - Dùng giao thức định tuyến RIPv2 - Dùng giao thức định tuyến OSPF Hướng dẫn cấu hình - Cài máy, máy server cài Routing and remote access làm router mềm; máy windows XP dùng làm client - Việc cấu hình định tuyến tĩnh cần ý • Từ LAN1(192.168.10.0/24) muốn đến LAN2 ta phải add thêm đường mạng 192.168.30.0/24 • Từ LAN2 (192.168.20.0/24) muốn đến LAN1 ta phải add thêm đường mạng 192.168.10.0/24 - Hướng dẫn cấu hình Static routing: Cấu hình Static route ROUTER1 Giáo Trình Quản trị mạng 205 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Cấu hình Static route ROUTER2 Hướng dẫn cấu hình Routing giao thức RIP OSPF - Cấu hình giao thức RIP Trên Router1 Router chọn RIP version fo Internet protcol hộp thoại New Routing Protocol Chọn New interface giao thức RIP, hộp thoại New interface chọn interface kết nối với đường mạng cần quảng bá (trên Router1 interface kết nối với Router2 Router2 interface kết nối với Router1) - Cấu hình giao thức OSPF Giáo Trình Quản trị mạng 206 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Chọn giao thức OSPF hôp thoại New Routing Protocol Router1 Router2 Và sau cấu hình New Interface giao thức RIP + Kiểm tra: Ping qua lại PC1, PC2 thấy nhau; Dùng lệnh route print xem bảng định tuyến Từ PC2 (192.168.30.0/24) ping thấy PC1 ()192.168.10.0/24 Cấu hình routing thành công 3.1 Cấu hình định tuyến Router mềm Để cấu hình định tuyến chung ta sử dụng hệ thống cài đặt hệ điều hành Windows Server 2003 hệ thống Windows có tích hợp công cụ Routing and Remote Access cho phép tổ chức việc định tuyến đường mạng với Trong phần tìm hiểu cách thức cài đặt cấu hình định tuyến tĩnh động sử dụng công cụ RAS Giáo Trình Quản trị mạng 207 Trường Trung cấp nghề Cơ Điện Đông Nam Bộ Khoa Công nghệ thông tin Cho mô hình mạng bên Yêu cầu: Cấu hình định tuyến Server1 Sever2 cho máy thuộc đường mạng 192.168.1.0/24 ping thông với đường mạng 192.168.3.0/24 3.2 Cấu hình định tuyến tĩnh Để cấu hình định tuyến chung ta sử dụng công cụ RAS Cho mô hình mạng bên Yêu cầu: Cấu hình định tuyến Server1 Sever2 cho máy thuộc đường mạng 192.168.1.0/24 ping thông với đường mạng 192.168.3.0/24 Cấu hình định tuyến tĩnh gồm bước: Bước Cấu hình dịch vụ Routing and remote access máy Server1 Bước Cấu hình dịch vụ Routing and remote access máy Server2 3.3 Cấu hình định tuyến giao thức Cho mô hình mạng bên Yêu cầu: Cấu hình định tuyến Server1 Sever2 cho máy thuộc đường mạng 192.168.1.0/24 ping thông với đường mạng 192.168.3.0/24 Chúng ta cấu hình định tuyến sử dụng giao thức V2 gồm bước Bước Cấu hình dịch vụ Routing and remote access máy Server1 Bước Cấu hình dịch vụ Routing and remote access máy Server2 Giáo Trình Quản trị mạng 208 ... Windows NT Server 4.0, Terminal Server Edition, với Service Pack lớn - Windows NT Server 4.0, Enterprise Edition, với Service Pack lớn - Windows 2000 Server - Windows 2000 Advanced Server - Windows. .. Microsoft chứa thư mục Docs đĩa CD Windows Server 2003 Enterprise Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition: - Windows NT Server 4.0 với Service Pack lớn Giáo... dẫn hình để cài đặt Windows 2003 3.1.3 Cài đặt Windows 2003 Server từ mạng Để cài đặt theo kiểu này, bạn phải có Server phân phối tập tin, chứa nguồn cài đặt Windows 2003 Server chia sẻ thư mục