ĐỀ TÀI : GIẢI PHÁP XÂY DỰNG HỆ THỐNG MẠNG MÃ NGUỒN MỞ CHO DOANH NGHIỆP

- Quản lý tập trung các tài khoản người dùng tương tự như chức năng của window server của microsoft - Đảm bảo trong giai đoạn chuyển đổi từ sử dụng phần mềm nguồn đóng sang sử dụng phần

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN

Tel (84-511) 736 949, Fax (84-511) 842 771Website: http://dut.ud.edu.vn/itf/, E-mail: cntt@edu.ud.vn

LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN

MÃ NGÀNH : 05115

ĐỀ TÀI : GIẢI PHÁP XÂY DỰNG HỆ THỐNG MẠNG

MÃ NGUỒN MỞ CHO DOANH NGHIỆP

Mã số : 09TLT-022

09TLT-072 Ngày bảo vệ : 15/06/2011 - 16/06/2011

SINH VIÊN : Phan Vũ Kim Hùng

Trang Nguyễn Anh Vũ LỚP : 09TLT

CBHD : PGS.TS Phan Huy Khánh

ĐÀ NẴNG, 06/2011

1

Chúng tôi xin chân thành cảm ơn anh Nguyễn Hồng Nhân và các anh công tác tại phòng Tích hợp dữ liệu thuộc Trung tâm tin học – Văn phòng UBND tp Đà nẵng đã giúp đỡ, tư vấn, hỗ trợ số liệu và tạo điều kiện thuận lợi cho chúng tôi làm việc tại phòng thí nghiệm tích hợp dữ liệu trong thời gian làm đề tài.

Cuối cùng, xin chân thành cảm ơn bạn bè đã giúp đỡ hỗ trợ thiết bị, chia sẻ tài liệu cho chúng tôi trong quá trình nghiên cứu thực hiện đề tài này.

Một lần nữa xin chân thành cảm ơn!

Đà Nẵng, ngày 05 tháng 06 năm 2011

LỜI CAM ĐOAN

Tôi xin cam đoan :

1 Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của thầy PSG.TS.Phan Huy Khánh

2 Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố.

3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.

Sinh viên, Phan Vũ Kim Hùng, Trang Nguyễn Anh Vũ

MỤC LỤC

TỔNG QUAN ĐỀ TÀI 2

I Bối cảnh đề tài 2

II Mục đích 2

III Hướng nghiên cứu 2

III.1 Hướng nghiên cứu 2

III.2 Dự kiến kết quả đạt được 2

CƠ SỞ LÝ THUYẾT 2

I Tường lửa(Firewall) 2

I.1 Bảo vệ mạng máy tính bằng firewall 2

I.2 Gateway 2

I.3 NAT động (Network Address Translation) 2

I.4 Đóng giả địa chỉ IP (masquerade) 2

I.5 Pfsense Firewall 2

I.6 Netfilter/Iptable 2

I.6.1 Tổng quan 2

I.6.2 Cấu trúc bảng Iptable 2

I.6.3 Các thông số, lệnh thường gặp 2

II Quản lý tập trung với LDAP 2

II.1 Giao thức Lighweight Directory Access Protocol(LDAP) 2

II.1.1 Dịch vụ thư mục(Directory Service) 2

II.1.2 LDAP là gì? 2

II.1.3 Phương thức hoạt động LDAP 2

II.2 OpenLDAP 2

III Dịch vụ chia sẻ tài nguyên mạng Samba 2

III.1 Giao thức SMB(Server Message Block) 2

III.2 Dịch vụ Samba 2

III.2.1 Tệp tin cấu hình 2

III.2.2 Một số thông số được dùng trong tệp tin 2

PHÂN TÍCH HỆ THỐNG VÀ GIẢI PHÁP 2

I Giới thiệu mạng Trung tâm tích hợp dữ liệu(TTTHDL) 2

II Mô hình và chức năng mạng 2

II.1 Mô hình 2

II.2 Phân tích chức năng 2

II.2.1 Vùng Hosting 2

II.2.2 Vùng truy cập 2

II.2.3 Vùng LAN và ứng dụng 2

II.2.4 Vùng dữ liệu 2

II.3 Đánh giá 2

III Giải pháp 2

XÂY DỰNG VÀ THỬ NGHIỆM HỆ THỐNG 2

I Yêu cầu hệ thống 2

I.1 Bảng phân chia địa chỉ IP 2

I.2 Yêu cầu phần cứng cho hệ thống 2

I.3 Yêu cầu về phần mềm và các dịch vụ 2

II Xây dựng hệ thống 2

II.1 Cài đặt pfsense : Phụ lục A 2

II.2 Cấu hình tường lửa 2

II.2.1 Pfsense firewall 2

II.2.2 Iptables 2

II.3 Cấu hình và tạo user trong OpenLDAP 2

II.3.1 Cấu hình OpenLDAP 2

II.3.2 Tạo user bằng LDAP Administrator 2

II.4 Cấu hình DHCP 2

II.5 Cấu hình Samba 2

III Kết quả đạt được 2

III.1 Kết nối VPN qua pfsense 2

III.2 Truy cập dữ liệu bằng tài khoản trên LDAP qua samba 2

III.3 LDAP cung cấp cơ sở dữ liệu tài khoản phục vụ chat nội bộ 2

KẾT LUẬN 2

TÀI LIỆU THAM KHẢO 2

PHỤ LỤC 2

DANH MỤC HÌNH ẢNH

Hình 1: Mô hình tường lửa cơ bản 2

Hình 2: Mô hình nhiệm vụ gateway 2

Hình 3: Bảng NAT động 2

Hình 4: Bảng NAT đóng giả địa chỉ IP 2

Hình 5: Quá trình lọc và xử lý gói tin trong iptables 2

Hình 6: Mô hình hết nối giữa client/server 2

Hình 7: Thao tác tìm kiếm cơ bản trong LDAP 2

Hình 8: Thông điệp Client gởi cho Server 2

Hình 9: Kết quả tìm kiếm Server trả về cho Client 2

Hình 10: Quá trình trao đổi thông tin giữa 2 máy qua giao thức SMB 2

Hình 11: Sơ đồ kết hợp giao thức SMB và các giao thức khác 2

Hình 12: Sơ đồ mạng TTTHDL 2

Hình 13: Mô hình giải pháp hệ thống mạng tại phòng thí nghiệm 2

Hình 14: Rule cấm tất cả 2

Hình 15: Mở cổng dịch vụ DNS 2

Hình 16: Tạo khoảng thời gian trong Schedules 2

Hình 17: Tạo rule có add schedule 2

Hình 18: Tất các rule được được định nghĩa 2

Hình 19: Mở file cấu hình bằng dòng lệnh 2

Hình 20: Cấp quyền cho rootdn admin và anonymous 2

Hình 21: Cấu hình suffix và rootdn 2

Hình 22: Khởi động dịch vụ ldap 2

Hình 23: Kết nối máy chủ bằng WinSCP 2

Hình 24: Tạo file ldif 2

Hình 25: Tạo organnization 2

Hình 26: Import file ldap vào database 2

Hình 27: Thông báo adding thành thông 2

Hình 28: Xem thông tin database 2

Hình 29: Giao diện LDAP Administrator 2

Hình 30: Tạo tên Ldap Admin 2

Hình 31: Cung cấp thông tin dò tim Base DN 2

Hình 32: Chứng thực thông tin user 2

Hình 33: Kết nối OpenLDAP 2

Hình 34: Tạo New Entry 2

Hình 35: Chọn phương thức cho new entry 2

Hình 36: Chọn Entry 2

Hình 37: Đặt tên cho ou 2

Hình 38: Nhập thông tin cho ou 2

Hình 39: Tạo person 2

Hình 40: Khai báo cn cho entry Person 2

Hình 41: Khái báo thông tin cho entry Person 2

Hình 42: Giao diện thông tin ou và person vừa tạo 2

Hình 43: Thông tin kiểm tra 2

Hình 44: File cấu hình DHCP 2

Hình 45: Cấu hình trỏ địa chỉ tới máy chủ LDAP 2

Hình 46: Cấu hình file nsswitch.conf 2

Hình 47: Tạo tài khoản cho LDAP 2

Hình 48: Khai báo địa chỉ ip của public của hệ thống cần VPN 2

Hình 49: Khai báo user và passwork chứng thực 2

Hình 50: Xem địa chỉ ip VPN 2

Hình 51: Thực hiện ping thành công với máy trong mạng nội bộ 2

Hình 52: Kiểm tra file log PPTP VPN 2

Hình 53: Dùng tài khoản trên LDAP để chứng thực 2

Hình 54: Kết quả đăng nhập thành công vào máy chủ Samba 2

Hình 55: Chương trình chat sử dụng tài khoản LDAP 2

TỔNG QUAN ĐỀ TÀI

I Bối cảnh đề tài

Sự phát triển không ngừng của công nghệ thông tin và internet đã và đang ảnhhưởng sâu sắc đến mọi lĩnh vực trong đời sống kinh tế, văn hóa, xã hội của con người.Công nghệ thông tin trở thành phương tiện chính để đảm bảo hiệu quả, năng suất vàtính cạnh tranh, làm giàu ý tưởng mới và phát triển ngày càng nhiều giá trị mới trongcác tổ chức, doanh nghiệp Do đó đưa ứng dụng công nghệ thông tin vào các tổ chức,doanh nghiệp là điều cốt yếu và cấp bách

Hầu hết các doanh nghiệp đã ứng dụng CNTT vào việc quản lý, điều hành và pháttriển nguồn nhân lực, quản bá thương hiệu, tiếp thị, mở rộng thị trường…bằng cácphần mềm quen thuộc có trả phí hoặc dùng các phần mềm đã được bẻ khóa, hay cácphần thiết bị phần cứng với chi phí cao

Nhưng sau cuộc khủng hoảng kinh tế đã ảnh hưởng không nhỏ đến ngân sách dànhdành riêng cho CNTT trong các tổ chức, doanh nghiệp Bên cạnh đó, nhà cung cấpcũng bắt đầu tăng lệ phí dành cho các phần mềm bản quyền, các quyết định xiết chặt

về vấn đề vi pham bản quyền phần mềm đã tạo nhiều áp lực từ chi phí cho CNTTtrong mỗi tổ chức, doanh nghiệp Do đó, mã nguồn mở với nhiều….sẽ là giải pháphiệu quả và hấp dẫn cho các doanh nghiệp khi phải giải quyết bài toán: tăng hiệu quảcông việc với mức chi phí ít hơn cho CNTT

Bài toán đặt ra lúc này là tìm giải pháp xây dựng một hệ thống mạng đảm bảođược các tính năng về bảo mật, độ ổn định trong quá trình vận hành mà vẫn đáp ứngđược các tiêu chí về chi phí, bản quyền Bên cạnh đó, hệ thống phải đảm bảo tínhtương thích với hệ thống đã có sẵn Cụ thể, hệ thống phải có những chức năng sau:

- Hệ thống tường lửa bảo mật cho thông tin, dữ liệu của doanh nghiệp.

- Quản lý tập trung các tài khoản người dùng tương tự như chức năng của

window server của microsoft

- Đảm bảo trong giai đoạn chuyển đổi từ sử dụng phần mềm nguồn đóng sang sử

dụng phần mềm nguồn mở, các máy ở phía client đang sử dụng nguồn đóngvẫn tương tác được với hệ thống nguồn mở mới xây dựng

- Cung cấp các dịch vụ, tiện ích trên hệ thống và cho người sử dụng trong doanh

nghiệp: dịch vụ phân giải tên miền(DNS), dịch vụ cấp phát ip động(DHCP),cân bằng tải đường truyền(load balancing), chia sẻ dữ liệu trong mạng, chattrong mạng nội bộ, email…

II Mục đích

Trong bối cảnh trên, bằng những kiến thức đã học và sự hướng dẫn tận tình củagiáo viên, chúng tôi thực hiện đề tài này nhằm mục đích nghiên cứu những vấn đề gặpphải khi xây dựng và vận hành hệ thống mạng cho doanh nghiệp Từ đó chúng tôi đưa

ra những giải pháp khắc phục và cuối cùng là cụ thể hóa bằng việc xây dựng một hệthống mạng hoàn toàn bằng mã nguồn mở với đầy đủ các chức năng đáp ứng nhu cầu

sử dụng của một doanh nghiệp

III Hướng nghiên cứu

III.1 Hướng nghiên cứu

Tìm hiểu mô hình hệ thống mạng của doanh nghiệp đang vận hành hiện nay.Nghiên cứu những vấn đề gặp phải của doanh nghiệp khi sử dụng phần mềm nguồnđóng

Nghiên cứu lý thuyết về tính năng của các phần mềm nguồn mở để xây dựng hệthống Cụ thể là các tính năng của tường lửa pfsense, iptables trong redhat, các dịch

vụ quản lý thư mục, tài khoản người dùng v v phục vụ quá trình sử dụng của ngườidùng trong hệ thống mạng

Đưa ra các định hướng phát triển đề tài

III.2 Dự kiến kết quả đạt được

Với những công cụ và kiến thức tìm hiểu được, chúng tôi sẽ đưa ra những giảipháp và xây dựng hệ thống mạng mã nguồn mở dành cho doanh nghiệp Hệ thống sẽđáp ứng những chức năng như sau:

- Tính năng bảo mật: xây dựng hệ thống bảo mật tường lửa 2 lớp là pfsense và

iptable

- Cung cấp và phần giải ip: dịch vụ DNS, DHCP

- Cơ sở dữ liệu người dùng OpenLdap, quản lý và phân quyền tài khoản người

dùng LdapAmin

- Truy cập từ ngoài internet vào hệ thống: VPN

- Chia sẻ tài nguyên mạng: dịch vụ Samba

- Chat server Openfire, mail server.

- Hosting và webserver, hệ quản trị cơ sở dữ liệu MySQL

Với kết quả dự kiến đạt được, đề tài được tổ chức thành các chương cụ thể nhưsau:

Chương 1: Cơ sở lý thuyết: giới thiệu tổng quan lý thuyết và công cụ xây dựng đề

tài

Chương 2: Phân tích hệ thống và giải pháp: trong chương này chúng tôi trình bày

về phân tích hiện trạng , phân tích hệ thống mạng của doanh nghiệp và đưa ra giảipháp hệ thống mạng mã nguồn mở

Chương 3: Xây dựng và thử nghiệm hệ thống: trong chương này chúng tôi trìnhbày về các bước xây dựng hệ thống và kết quả đạt được

CHƯƠNG 1

CƠ SỞ LÝ THUYẾT

I Tường lửa(Firewall)

I.1 Bảo vệ mạng máy tính bằng firewall

Khi kết nối mạng máy tính nội bộ của mình (ví dụ mạng LAN) với mạng bênngoài (ví dụ mạng Internet), mọi tổ chức đều cài đặt các công cụ phần cứng, các phầnmềm và thiết lập các chính sách an toàn thông tin, trong đó xác định những dịch vụnào được sử dụng và bị cấm sử dụng trên mạng, cách thức sử dụng dịch vụ, xác lậpcác hạn chế trong việc sử dụng những dịch vụ này Mục tiêu của việc này là để bảo vệtài nguyên của hệ thống mạng nội bộ khỏi những hiểm hoạ từ mạng bên ngoài Hệthống này gọi là Firewall

Nói một cách khác, việc bảo vệ mạng bằng Firewall có nghĩa là sử dụng các công

cụ kỹ thuật để thiết lập các quy tắc bảo vệ mạng dựa trên chính sách an toàn thông tincủa tổ chức

Hình 1: Mô hình tường lửa cơ bản

Firewall được chia làm 2 loại:

- Firewall cứng: được tích hợp sẵn trong các router

- Firewall mềm: do người quản trị cài đặt trên các server

Trong đề tài này chúng tôi tìm hiểu hai loại firewall mềm là firewall Pfsense vàIptable

I.2 Gateway

Thuật ngữ Gateway dùng để chỉ máy tính chuyên dụng nằm giữa mạng nội bộ của

tổ chức (mạng LAN) với bên ngoài (mạng Internet) Các yêu cầu của các máy tínhtrong mạng nội bộ sẽ được chuyển ra ngoài thông qua máy tính Gateway, các gói tin

từ bên ngoài cũng thông qua Gateway rồi mới được chuyển tới máy tính trong mạngnội bộ

Hình 2: Mô hình nhiệm vụ gateway

I.3 NAT động (Network Address Translation)

NAT là một trong những kĩ thuật chuyển đổi địa chỉ IP (Network AddressTranslation) Các địa chỉ IP nội bộ được chuyển sang IP NAT như sau:

router sẽ căn cứ vào bảng NAT động hiện tại để đổi địa chỉ đích 203.162.2.200 thànhđịa chỉ đích mới là 192.168.0.200 Quá trình này gọi là DNAT (Destination-NAT,NAT đích) Liên lạc giữa 192.168.0.200 và 203.162.2.200 là hoàn toàn trong suốt(transparent) qua NAT router NAT router tiến hành chuyển tiếp (forward) gói dữ liệu

từ 192.168.0.200 đến 203.162.2.200 và ngược lại

I.4 Đóng giả địa chỉ IP (masquerade)

NAT Router chuyển dãy IP nội bộ 192.168.0.x sang một IP duy nhất là203.162.2.4 bằng cách dùng các số hiệu cổng (port-number) khác nhau Chẳng hạnkhi có gói dữ liệu IP với nguồn 192.168.0.168:1204, đích 211.200.51.15:80 đếnrouter, router sẽ đổi nguồn thành 203.162.2.4:26314 và lưu dữ liệu này vào một bảnggọi là bảng masquerade động

Khi có một gói dữ liệu từ ngoài vào với nguồn là 221.200.51.15:80, đích203.162.2.4:26314 đến router, router sẽ căn cứ vào bảng masquerade động hiện tại đểđổi đích từ 203.162.2.4:26314 thành 192.168.0.164:1204 Liên lạc giữa các máy trongmạng LAN với máy khác bên ngoài hoàn toàn trong suốt qua router

Hình 4: Bảng NAT đóng giả địa chỉ IP

I.5 Pfsense Firewall

Phần mềm Pfsense là một phần mềm hoàn toàn mã nguồn mở, được xây dựng dựatrên freeBSD và giao thức Common Address Redundancy Protocol (CARP) củaFreeBSD được sử dụng như một tường lửa và định tuyến

Pfsense Firewall là một trong những chức năng chính của Pfsense Hỗ trợ lọc bởiđịa chỉ nguồi và địa chỉ đích, cổng nguồn hoặc cổng đích hoặc địa chỉ IP PfsenseFirewall cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độbridge hoặc transparent, cho phép chỉ cần cài đặt pfsense ở giữa các thiết bị mạng màkhông cần đòi hỏi việc cấu hình bổ sung Cũng giống như các phần mềm tưởng lửa

thương mại khác, pfsense firewall cung cấp tính năng WEBGUI để quản lý và cấuhình trên giao diện web một cách dễ dàng.

Các tính năng cơ bản của pfsense firewall:

- Pfsense Aliases: cho phép bạn sử dụng nhóm các port, host, hay networks thay

thế thành một cái tên để tiện sử dụng trong quá trình tạo các rule của pfsensefirewall

- Network Address Translation(NAT): cho phép kết nối nhiều máy tính từ

internet thông qua một ip public Firewall pfsense cho phép triển khai dịch vụnày đơn giản, tuy nhiên nếu trong mạng có nhiều địa chỉ IP public sẽ yêu cầucấu hình phức tạp hơn

- Firewall Rules: là nơi định nghĩa, lưu trữ các rule(qui luật) của firewall

pfsense Đây là chức năng quan trọng giúp cho người quản trị dễ dàng quản lý

hệ thống

- Firewall Schedules: giúp cho người quản trị quản lý, quy định các rule hoạt

động theo một thời gian cụ thể được định nghĩa trước

- Traffic shaper: Traffic Sharper giúp người quản trị theo dõi, quản lí băng thông

mạng dễ dàng và hiệu quả hơn Trong đó, Traffic Shaping là phương pháp tối

ưu hóa kết nối Internet Phương pháp này làm tăng tối đa tốc độ trong khi đảmbảo tối thiểu thời gian trễ Khi sử dụng những gói dữ liệu ACK được sắp xếpthứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải vềđược tiếp tục với tốc độ tối đa

I.6 Netfilter/Iptable

Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thốngLinux Iptables cung cấp các tính năng sau:

- Tích hợp tốt với kernel của Linux.

- Có khả năng phân tích package hiệu quả.

- Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header

- Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

- Cung cấp kỹ thuật NAT

- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu từ chối dịch vụ DoS

Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằmngoài nhân Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter, tiếp nhậnyêu cầu của người sử dụng và đẩy các luật của người dùng vào cho Netfiler xử lí

Netfilter tiến hành lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trongnhân, nhanh và không làm giảm tốc độ của hệ thống.

Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables bằng cách dùng các bảngtuần tự xây dựng sẵn(queues) Có 3 loại bảng này gồm:

- Bảng Mangle: chịu trách nhiệm thay đổi các bít chất lượng dịch vụ trong TCP

header như TOS (type of service), TTL(time to live),

- Bảng Filter: chịu trách nhiệm lọc gói dữ liệu Gồm 3 quy tắc nhỏ(chain) để

giúp bạn thiết lập các nguyên tắc lọc gói gồm:

+ Forward chain: lọc gói tin khi đến đến các server khác

+ Input chain: lọc gói tin khi đi vào trong server

+ Output chain: lọc gói tin khi ra khỏi server

- Bảng NAT: gồm hai loại:

+ Pre-routing chain: thay đổi địa chỉ đến của gói dữ liệu khi cần thiết

+ Post-routing chain: thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết

Mỗi bảng gồm nhiều mắc xích (chain) Chain gồm nhiều luật (rule) để thao tác vớicác gói dữ liệu Rule có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói),REJECT (loại bỏ gói) hoặc tham chiếu (reference) đến một chain khác

Hình 5: Quá trình lọc và xử lý gói tin trong iptables

a Trợ giúp: để gọi trợ giúp trong Iptables sử dụng lệnh sau: $ man iptables

hoặc $ iptables help.

Ví dụ: nếu bạn cần biết về các tùy chọn của match limit gõ lệnh:

$ iptables -m limit help

b Tùy chọn để chỉ định thông số

- Chỉ định tên table: -t <tên_table>, ví dụ -t filter, -t nat, nếu không chỉ định

table, giá trị mặc định là filter

- Chỉ đinh loại giao thức: -p <tên giao thức>, ví dụ -p tcp, -p udp hoặc -p ! udp

để chỉ định các giao thức không phải là udp

- Chỉ định card mạng vào: -i <tên_card_mạng_vào>, ví dụ: -i eth0.

- Chỉ định card mạng ra: -o <tên_card_mạng_ra>, ví dụ: -o eth0

- Chỉ định địa chỉ IP nguồn: -s <địa_chỉ_ip_nguồn>, ví dụ: -s 192.168.0.0/24

(mạng 192.168.0 với 24 bít mạng), -s 192.168.0.1-192.168.0.3 (các IP

192.168.0.1, 192.168.0.2, 192.168.0.3)

- Chỉ định địa chỉ IP đích: -d <địa_chỉ_ip_đích>, tương tự như –s

- Chỉ định cổng nguồn: sport <cổng_nguồn>, ví dụ: sport 21 (cổng 21),

sport 22:88 (các cổng 22 88), sport :80 (các cổng <=80), sport 22: (các

cổng >=22)

- Chỉ định cổng đích: dport <cổng_đích>, ví dụ tương tự như –sport

c Tùy chọn để thao tác với chain

- Tạo chain mới: iptables -N <tên_chain>

- Xóa hết các luật đã tạo trong chain: iptables -X <tên_chain>

- Đặt chính sách cho các chain “built-in” (INPUT, OUTPUT & FORWARD): iptables -P <tên_chain_built-in> <tên policy (DROP hoặc ACCEPT)>, ví

dụ: iptables -P INPUT ACCEPT để chấp nhận các packet vào chain INPUT

- Liệt kê các luật có trong chain: iptables -L <tên_chain>

- Xóa các luật có trong chain (flush chain): iptables -F <tên_chain>

- Reset bộ đếm packet về 0: iptables -Z <tên_chain>

d Tùy chọn thao tác với luật

- Thêm luật: -A (append)

- Xóa luật: -D (delete)

- Thay thế luật: -R (replace)

- Chèn thêm luật: -I (insert)

e Các lệnh thông thường gặp

- Khởi động iptables: service iptables start

- Tắt iptables: service iptables stop

- Tái khởi động iptables: service iptables restart

- Xác định trạng thái iptables: service iptables status.

II Quản lý tập trung với LDAP

II.1 Giao thức Lighweight Directory Access Protocol(LDAP)

Thư mục là một cơ sở dữ liệu đặt biệt được tối ưu cho việc đọc, liệt kê và tìm kiếmthông tin Thư mục biểu diễn thông tin dựa vào thuộc tính và hỗ trợ khả năng lọc mộtcách hiệu quả Thư mục thiết kế để đọc (read) nhiều hơn ghi (write) do đó việc cậpnhật trên thư mục chỉ đơn giản là thay đổi tất cả hay không thay đổi dữ liệu tương ứngvới việc có quyền hay không

Mỗi dịch vụ thư mục có 5 tính chất sau:

- Dịch vụ thư mục có khả năng đáp ứng cao nhất cho việc đọc thông tin

- Dịch vụ thư mục hiện thực mô hình phân bố hoá việc lưu trữ thông tin

- Dịch vụ thư mục có thể mở rộng kiểu lưu trữ thông tin

- Dịch vụ thư mục có khả năng mở rộng việc tìm kiếm

- Dịch vụ thư mục thực hiện đồng bộ dữ liệu giữa các máy chủ thư

mục(Directory server) lỏng lẻo về tính nhất quán

LDAP – Lighweight Directory Access Protocol – là một giao thức truy cập thưmục và có thể xem LDAP là một dịch vụ thư mục Có thể liệt kê những đặc điểm nổibật của giao thức này:

- Là một giao thức mạng cho phép truy nhập các thông tin trong một thư mục.

- Là mô hình thông tin cho phép xác định cấu trúc và đặc điểm của thông tin

- Là một giao thức mở rộng, mô hình thông tin mở rộng.

LDAP không mô tả về cơ chế và nơi lưu trữ dữ liệu LDAP server có thể sử dụngbất cứ cơ sở dữ liệu nào thích hợp để lưu trữ dữ liệu Điều này dẫn đến LDAP không

hỗ trợ giao dịch (transaction) và đặc tính khác của cơ sở dữ liệu và client sẽ khôngbao giờ biết về cơ chế lưu trữ thông tin của server.

LDAP có khả năng cung cấp cơ chế đồng bộ dữ liệu giữa các server LDAP khácnhau cùng cấu trúc cây thư mục và hỗ trợ cơ chế phân bố thư mục LDAP định nghĩa

4 mô hình gồm: LDAP Informmation, LDAP Naming, LDAP Functional và LDAPSecurity

Các LDAP Server thường sử dụng như: Active Directory, OpenLDAP,OpenDS Trong đề tài này chúng tôi sử dụng LDAP Server OpenLDAP để triển khaitrên hệ thống

a LDAP sử dụng giao thức client/server

Hình 6: Mô hình hết nối giữa client/server

Giao thức giao tiếp client/sever là một mô hình giao thức giữa một chương trìnhclient chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khácđang chạy một chương trình sever (phục vụ)

Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quảcho chương trình client

Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máytính đã được tối ưu hoá để thực hiện công việc đó

Một máy server LDAP cần có rất nhiều RAM(bô nhớ) dùng để lưu trữ nội dungcác thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ

vi xử lý ở tốc độ cao

b LDAP là một giao thức hướng thông điệp

Do client và sever giao tiếp thông qua các thông điệp, Client tạo một thông điệp(LDAP message) chứa yêu cầu và gởi nó đến cho server Server nhận được thông điệp

và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP

Hình 7: Thao tác tìm kiếm cơ bản trong LDAP

Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả nàyđược gởi đến client bằng nhiều thông điệp

Hình 8: Thông điệp Client gởi cho Server

Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ranhiều thông điệp yêu cầu đồng thời cùng một lúc Trong LDAP, message ID dùng đểphân biệt các yêu cầu của client và kết quả trả về của server

Hình 9: Kết quả tìm kiếm Server trả về cho Client

II.2 OpenLDAP

OpenLDAP là phần mềm mã nguồn mở được phát triển bởi nhóm phát triển dự ánOpenLDAP có tên là OpenLDAP Foundation dựa trên nền LDAP server của Đại họcMichigan OpenLDAP đáp ứng các đặc tả của giao thức LDAP phiên bản 3 (LDAPv3)

Mã nguồn của Open LDAP được cung cấp miễn phí và có thể tải về từ địa chỉ website: http://www.openldap.org OpenLDAP chạy được trên nhiều hệ điều hành khácnhau như Linux, Solarisc, Ms OS 10.2, và Windows (bản cho windows có sự cải tiến)

Với mục tiêu trình bày ở trên, OpenLDAP sử dụng để xây dựng một dịch vụ thưmục với các chức năng sau:

- Quản lý tập trung thông tin người dùng(username, password, email )

- Quản lý đăng nhập với tài khoản tập trung tại server LDAP

- Quản lý tài nguyên dùng chung trên mạng(file, máy in )

III Dịch vụ chia sẻ tài nguyên mạng Samba

III.1 Giao thức SMB(Server Message Block)

Giao thức SMB là một giao thức được sử dụng trong hệ thống mạng và các hệ điềuhành như là Windows 95 / 98 / ME, Windows NT, Windows 2000, IBM's OS/2,NetWare 6, SMB được sử dụng để điều khiển các phiên làm việc trong hệ thốngmạng về chia sẻ tập tin, máy in, trao đổi tin nhắn, Nhận các yêu cầu từ các máy tínhtrong hệ thống và trả lời lại các yêu cầu

Hình 10: Quá trình trao đổi thông tin giữa 2 máy qua giao thức SMB

SMB có thể chạy được với nhiều giao thức khác nhau, sơ đồ sau cho thấy điềunày:

Hình 11: Sơ đồ kết hợp giao thức SMB và các giao thức khác

III.2 Dịch vụ Samba

Samba là một công cụ hiệu quả cho người sử dụng mạng khi có cả hai hệ thốngWindows và Unix (linux) cùng tồn tại trên một mạng Samba là công cụ được xâydựng cho hệ thống Unix (Linux) hiểu giao thức SMB Samba trong các phiên bản mới( từ 3.0 trở lên) có thể cung cấp các dịch vụ sau:

- File server: dịch vụ chia sẻ tập tin, thư mục

- Printer server: dịch vụ in ấn trên mạng

- Primary domain controller: máy chủ miền, quản trị tập trung tài khoản và tài

Để cấu hình cho dịch vụ Samba, cần thiết lập các thông số trong tập tin smb.confđược đặt tại thư mục “/etc/samba/” Tập tin này là tập tin cấu hình chính, tạo các thiếtlập tổng thể cho máy Linux như vùng làm việc, chế độ bảo mật, chỉ ra các tập tinđược chia sẻ, quyền hạn được truy cập, giới hạn cho các địa chỉ IP được phép truycập,…

Nội dung trong tập tin bao gồm các dòng chú thích và các dòng chứa các thông sốcấu hình:

- Các dòng có ký tự “#” ở đầu là các dòng chú thích có tác dụng giới thiệu, diễn

giải ý nghĩa các thông số hoặc lời khuyên giúp cho việc cấu hình được dễ dàng

- Các dòng còn lại là các dòng chứa thông số cấu hình Được viết theo cú pháp

sau: TênThôngSố = GiáTrịCủaThôngSố

Các thông số này được chia làm hai dạng: dạng thông số có giá trị đã được kíchhoạt và dạng thông số có giá trị ứng với nó chưa được kích hoạt

Các thông số có giá trị ứng với nó chưa được kích hoạt là các thông số có đặt dấu

“;” ở đầu dòng Đối với dạng thông số này, thường thì Samba sẽ sử dụng giá trị ngầmđịnh

Trong tập tin cấu hình, các giá trị được đặt trong cặp dấu “ [ ] ” là giá trị chỉ địnhcác vùng, thành phần hoặc có thể là khai báo tên tập tin được chia sẻ:

Ví dụ: [global], [homes], [printers], [Chiase],…

Các thông số phục vụ cấu hình máy tính:

- workgroup: Là thông số xác định tên workgroup mà máy Linux tham gia vào

(nên đặt tên dưới dạng chữ hoa) Ví dụ: workgroup = TTTH

- netbios name: Tên của máy Linux để các máy khác có thể nhìn thấy trên

mạng Ví dụ: netbios name = linux_smb

- server string: là thông số mô tả về máy Linux ở trên mạng

Ví dụ: server string = May chu Linux Samba

- security: lựa chọn kiểu bảo mật trong chia sẻ dữ liệu Linux có 4 kiểu bảo mật

+ USER: Người dùng phải có tài khoản để đăng nhập vào tài nguyên được

chia sẻ trên máy Linux (tài khoản lưu trong file passwd và smbpasswd).Nếu lựa chọn mức bảo mật này (với điều kiện là thông số public = no), khingười dùng truy cập vào máy Linux với tài khoản được chứng thực trênmáy Linux thì người dùng có thể truy cập được tất cả các tài nguyên đượcphép mà không cần phải chứng thực lại

+ SHARE: Giống như mức bảo mật User, tuy nhiên người dùng muốn truy

cập vào tài nguyên nào trên máy Linux thì đều phải chứng thực lại

+ SERVER: Samba sẽ nhờ một SMB Server (hoặc Server NT) khác để chứng

thực username và password trước khi cho phép truy cập tài nguyên của máyLinux

+ DOMAIN: Nếu chọn kiểu bảo mật này sẽ cho phép người dùng sử dụng tài

khoản trên máy chủ domain để truy nhập vào máy Linux Lúc này cần cóthêm thông số password server như bên dưới

- password server: nhập vào tên máy chủ domain Hoặc có thể để giá trị * để

máy tự dò tìm máy chủ Domain

Ví dụ: security = domain

password server = Linux_domain

- encrypt passwords: Cho phép mã hóa mật khẩu hay không Với các hệ điều

hành Windows thì các mật khẩu đều được chuyển sang dạng mã hóa, vì vậy đểmật khẩu mã hóa của Windows làm việc được với Samba thì phải đặt thông số

này bằng yes Ví dụ: encrypt passwords = yes

- smb passwd file: chỉ định đường dẫn nơi lưu file chứa tài khoản Samba Ví dụ:

smb passwd file = /etc/samba/smbpasswd

Các thông số phục vụ cấu hình mạng:

- domain master: nếu đặt giá trị là Yes sẽ chỉ định máy chủ Samba trở thành

một Domain Master Browser, thông số này chỉ đặt yes trên một máy Sambaserver trong cùng một vùng làm việc trong hệ thống mạng

Ví dụ: domain master = yes

- local master: nếu đặt giá trị là Yes sẽ chỉ định máy chủ Samba là một Local

Master Browser, thông số này cũng chỉ đặt yes trên một máy Samba servertrong cùng một subnet trong hệ thống mạng

Ví dụ: local master = yes

- preferred master: nếu đặt giá trị là Yes sẽ chỉ định máy chủ Samba là một

Master Browser được ưu tiên cho vùng làm việc của chính nó, và cũng chỉ đặtyes trên một máy Samba server trong cùng một vùng làm việc trong hệ thốngmạng

Ví dụ: preferred master = yes

- os level: thông số thiết lập mức ưu tiên trong vùng

Ví dụ: os level = 33

- domain logons: nếu đặt giá trị là Yes sẽ chỉ định máy Linux trở thành Primary

Domain Controller

- max log size: nếu trên mạng có máy truy cập vào máy Linux thì Samba sẽ tạo

ra một file là tênmáytruycập.log lưu vào trong thư mục /var/log/samba Kíchthước của file này được xác định bằng thông số max log, tính bằng Kbyte Khikích thước đạt đến giá trị giới hạn thì tập tin log sẽ quay vòng trở lại như banđầu lúc chưa sinh ra các giá trị Nếu đặt giá trị là 0 thì tập tin log không cógiới hạn quay vòng

Ví dụ: max log size = 500

- max xmit: thiết lập tối đa các gói dữ liệu mà Samba sẽ thương lượng khi thực

hiện việc kết nối hay truyền dữ liệu Tính bằng packet (gói)

Ví dụ: max xmit = 65500 (nên đặt giá trị nhỏ thì tốt hơn nhưng

không nên nhỏ quá 2048)

- interfaces: thiết lập các Card mạng, bao gồm các cặp ip/netmask

Ví dụ: 192.168.1.1/255.255.255.0

- hosts allow: thông số này cho phép các địa chỉ IP nào được phép truy cập vào

máy Linux (mặc định không có thông số này thì tất cả địa chỉ IP đều đượcphép)

Ví dụ: hosts allow = 192.168.1 (tất cả ip thuộc 192.168.1 đều

truy cập được)

- deny hosts: ngược lại với thông số hosts allow.

Ví dụ: deny hosts =192.168.1.10 192.168.1.20 (các IP này

không được phép truy cập máy Linux

Các thông số thiết lập quyền hạn truy cập và thuộc tính của tệp tin chia sẻ:

- public: nếu thông số này bằng yes thì người dùng có thể dùng tài khoản được

định nghĩa ở guest account

Ví dụ: public = yes

- guest account: tài khoản guest, có hiệu lực khi public = yes.

Ví dụ: guest account = nobody

- create mask: thông số này thiết lập quyền hạn của tập tin được chép từ

Windows vào Linux

- read only: thông số này nếu được đặt là No sẽ cho phép người dùng ngoài

quyền đọc còn được quyền thực thi sao chép Nếu muốn người dùng chỉ đượcquyền đọc thì chỉ cần bổ sung dấu “;” vào đầu dòng, không đặt giá trị này làyes vì sẽ phát sinh lỗi cấu hình

Ví dụ: read only = no ‘ Cho phép đọc, thực thi sao chép’

;read only = no ‘ Chỉ cho phép đọc’

- valid users: khai báo các user được phép truy cập, nếu là nhóm thì thêm dấu

@ trước tên nhóm

Ví dụ: cho phép user01 và nhóm admin được quyền truy cập Giá trị cách nhau bởi khoảng trắng hoặc dấu “,”:

valid users = user01 @admin

- browseable: có hiển thị chia sẻ này trên mạng không, nếu là No thì sẽ không

hiện, điều này tương tự như các share ẩn bên Windows

Ví dụ: browseable = Yes

- writeable: cho phép ghi dữ liệu vào thư mục được chia sẻ

Ví dụ: writeable = Yes

TTTHDL được kết nối trao đổi thông tin với mạng CPNET theo đường truyềnthông Leased-line tốc độ cao, kết nối với mạng tin học diện rộng thành phố Đà Nẵngphục vụ nhu cầu cập nhật, khai thác, tra cứu dữ liệu của các sở ban ngành và quận,huyện trực thuộc thành phố Đà Nẵng.

II Mô hình và chức năng mạng

SHDSL 172.168.1.249

LAN TTTH 172.168.2.0/24

`

Load Balancing Router Linksys

WEB VP 172.168.4.2 172.168.4.3HSCV CŨ 172.168.4.4HSCV MỚI 172.168.4.5DHCP DATABASE

10.10.10.0/24

Win 2003 Database 10.10.10.10

Win2003 Web Server 10.10.10.5

UPS 5000VA

172.168.2.6

UPS 5000VA 10.10.10.15

DATABASE

ISA Server

PIX CISSCO

Hình 12: Sơ đồ mạng TTTHDL

Sơ đồ hình 12 thể hiện mô hình logic tổng quát hệ thống mạng tại TTTHDL Theo

sơ đồ trên, hệ thống mạng được kết nối với internet thông qua các đường: chính phủ,leased line và mạng trục Sử dụng 03 thiết bị router Cissco thực hiện các nhiệm vụnhư load balancing, phân chia các mạng LAN trong hệ thống,tường lửa Ngoài hệthống tường lửa của các router Cissco, tường lửa ISA có nhiệm vụ bảo vệ cho toàn hệ

thống mạng, và tường lửa Pix Cissco bảo vệ cho mạng 10.212.254.160/27.

Có 3 vùng LAN chính là : vùng LAN TTTH – 172.168.2.0/24, vùng LAN HĐND – 172.168.3.0/24, vùng LAN Văn phòng – 172.168.4.0/24 Ngoài ra còn 02 vùng mạng 10.10.10.0/24 và 172.168.1.0/24 dành cho các máy chủ dịch vụ.

II.2 Phân tích chức năng

Kiến trúc mô hình mạng của TTTHDL được thiết kế theo mô hình đa tier), chia thành 4 vùng: vùng hosting, vùng truy cập, vùng LAN và ứng dụng, vùng

lớp(Multi-dữ liệu

II.2.1 Vùng Hosting

Vùng mạng 10.10.10.0/24 gồm các máy chạy hệ điều hành Windown Server 2003với các ứng dụng Webserver (IIS) tích hợp sẵn trong windown server 2003 vàDatabase ( SQL Server 2005) cung cấp giao diện khai thác và cập nhật CSDL websitecác đơn vị Website đang cài đặt tại TTTHDL là Webservice phục vụ việc khai thác

và cập nhật CSDL Hệ thống thông tin tổng hợp Kinh tế xã hội (dùng riêng 01 máychủ) Việc Hosting website và ngăn chặn sự tấn công bên ngoài vào đều tùy thuộc vàotính hiệu quả và ổn định của Firewall ISA, vì vậy cấu hình tối ưu tại firewall là điềurất cần thiết

Gồm 2 đường mạng song song sử dụng cáp quang là đường chính phủ và đườngLeased Line (2Mbps) được kết nối thông qua 1 router LoadBalancing (Linksys) vào 1đường mạng của Firewall ISA Việc kết nối của hệ thống mạng nội bộ thông qua vùngtruy cập này Trên Firewall tạo các rules và monitor cho hệ thống mạng bên trong đi

ra ngoài cũng như từ bên ngoài vào bên trong

Vùng truy cập thứ 2 thông qua router SHDSL kết nối các sở ban ngành thành 1mạng trục thông suốt các đơn vị trên toàn thành phố.Hiện tại đường mạng này đã bịchặn

Sử dụng các dịch vụ phục vụ hệ thống mạng nội bộ, gồm các server cài đặt và sửdụng các dịch vụ như:

a VPN Server: Sử dụng RRAS trên nền hệ điều hành Windown Server 2003

dùng chứng thực user bằng Active Directory, cung cấp dịch vụ quay số đến TTTHDLcho các sở, ban, ngành, UBND các quận huyện Hiện tại, dịch vụ này có thể cung cấptối đa 05 kết nối đồng thời đến TTTHDL và khi đó đơn vị quay số có thể sử dụng cácdịch vụ như một đơn vị trong hệ thống mạng trục (gửi, nhận email nội bộ và Internet,truy cập các Website chuyên ngành, Website điều hành; truy cập mạng Internet,…)

b LCS Chat Server: sử dụng dịch vụ Live Communication Service và chat

Client là Windown Messenger, tích hợp thêm giao thức share file Phục vụ việc traođổi thông tin nội bộ trong cơ quan, giởi file, văn bản, và nhắc nhở công việc trong nội

bộ không thông qua internet nhằm bảo mật thông tin nội bộ

c Các máy chủ cung cấp dịch vụ gửi và nhận thư điện tử của toàn bộ cán bộ,

công chức trong hệ thống quản lý hành chính nhà nước của thành phố Dịch vụ Mail được xây dựng kết hợp với dịch vụ AD để chứng thực username và password.Hiện tại, dịch vụ E-Mail được cài đặt tại TTTHDL phục vụ cho việc trao đổi thông tincho 100% cán bộ, công chức và đặc biệt là có thể trao đổi thông tin với các trươngkhoản thư điện tử trên mạng Internet Hiện tại, TTTHDL chỉ có 01 Mail Server được

E-cài đặt Đây là dịch vụ được sử dụng phổ biến, tần suất cao do đó dự kiến sẽ dùng 02Server nhằm nâng cao tính ổn định và sẵn sàng cho dịch vụ.

d DNS Servers: Là máy chủ cung cấp dịch vụ tên miền, phân giải tên miền

thành địa chỉ IP và ngược lại Hiện tại, DNS server tại TTTHLD chịu trách nhiệmphân giải các tên miền có dạng xxxxx.danang.egov.vn và xxxxx.danang.gov.vn Cácđơn vị thuộc hệ thống mạng trục thử nghiệm hoặc các đơn vị quay số cũng đang sửdụng dịch vụ DNS tại TTTHDL Đây là dịch vụ rất quan trọng trong hệ thống thôngtin do đó sẽ cần 02 DNS Server để nâng cao tính sẵn sàng cho dịch vụ

e DHCP Server: Máy chủ cung cấp dịch vụ cung cấp các giải địa chỉ IP cho

toàn bộ mạng nội bộ trong văn phòng

f Máy chủ cài đặt phần mềm Quản lý văn bản điều hành sử dụng các user của

AD để xử lý, báo cáo các văn bản đến và đi tịa văn phòng UBND thành phố

g Web văn phòng được dựng trên nền IIS, cài đặt website quản lý nội bộ tại văn

phòng như: Lịch tuần của Lãnh đạo UBND thành phố, Văn bản quy phạm pháp luật,thông báo giấy mời, tài liệu ISO, danh bạn email, danh bạ điện thoại di động, v…v

h Pix Cisco: sử dụng thiết bị Firewall cứng của cisco nhằm bảo mật hệ thống cơ

sở người dùng và hệ thống chứng thực điện tử Nằm ở 1 lớp mạng khác chống và bảomật chống sự xâm nhập của mạng ngoài, kể cả mạng nội bộ

i Router Cisco: chia hệ thống mạng nội bộ thành 3 mạng khác nhau : mạng Lan

văn phòng (172.168.4.0/24), mạng Lan Trung tâm Tin học (172.168.2.0/24), mạngLan Hội đồng nhân dân (172.168.3.0/24)

j Trong mạng Trung tâm tin học, máy Database SQL Server được sử dụng để

thử nghiệm cho các web ASP.NET

k Mạng Lan văn phòng: với các dịch vụ như quản lý văn bản điều hành (Hồ sơ

công việc), Web nội bộ văn phòng (IIS), Dynamic Host Configuration Protocol (DHCP)

và Database trên nền hệ điều hành WinSever2003

Được bảo mật bởi hệ thống Pix Cisco với các máy chủ AD (Active Directory)chứa cơ sở dữ liệu người dùng, máy chủ lưu trữ và back up dữ liệu SAN Store backuplại các dữ liệu quan trọng và bảo mật, máy chủ chứa cơ sở dữ liệu mật, quy phạmpháp luật

II.3 Đánh giá

Với qui mô như trên, hệ thống mạng TTTHDL đã vận hành tốt trong quá trình đivào hoạt động Trong suốt quá tình hoạt động phát triển, TTTHDL đã dần thay thếnhững phần mềm nguồn đóng sang sử dụng phần mềm nguồn mở Tuy nhiên hiện tạicòn một số điểm mạng trong hệ thống vẫn đang sử dụng phần mềm nguồn đóng như

các dịch vụ VPN server, AD, mail server chạy trên nền windows server 2003, tườnglửa ISA, hay các phần cứng với chi phí cao như pixCissco.

Khi sử dụng phần mềm nguồn đóng với ưu điểm giao diện dễ sử dụng, cấu hình vàcài đặt , được hỗ trợ bởi các đơn vị cung cấp, nhiều công cụ hỗ trợ cho việc quản trị

hệ thống

Tuy nhiên, vấn đề bản quyền mỗi khi hết hạn hay nâng cấp hệ thống là điều cầnphải suy nghĩ Việc sử dụng tài nguyên máy tính do sử dụng giao diện đòi hỏi cầnphải có những máy chủ với cấu hình cao và nâng cấp thường xuyên, chi phí vì vậytăng lên đáng kể Các máy sử dụng hệ điều hành Windows thường nhiễm virus nếubất cẩn và không diệt trừ, update thường xuyên dẫn đến treo máy, hỏng dữ liệu vàngưng trệ hệ thống Sử dụng phần mềm nguồn đóng là các giải pháp cơ bản của các

cơ quan, doanh nghiệp do những ưu điểm trên và những bất cập vì không có ngườiquản trị hoặc gặp nhiều khó khăn trong quá trình quản lý vận hành Việc đưa ra giảipháp về nguồn đóng để giải bài toán khó cho doanh nghiệp là điều vô cùng cần thiết

III Giải pháp

Trong đề tài này, chúng tôi đưa ra giải pháp chuyển đổi sử dụng một số phần mềmnguồn mở thay cho phần mềm nguồn đóng tại một số vị trí trong hệ thống mạng.Ngoài ra còn sử dụng phần mềm tường lửa nguồn mở được cài đặt trên thiết bị có chiphí thấp thay thế cho các thiết bị tường lửa phần cứng chi phí cao Giải pháp này đượcthực hiện trên một phần của mô hình mạng trên, và được cài đặt thử nghiệm tại phòngthí nghiệm của TTTHDL

LDAP Server 192.168.3.5

192.168.2.15

FireWall Pfsense

Web Nội bộ 192.168.2.10 Quản lý Văn bản

Điều hành 192.168.2.5

DATABASE 192.168.2.20

10.0.0.0/24

Database 10.0.0.15 Web Proxy 10.0.0.10 Web Server 10.0.0.5 UPS 1000VA 10.0.0.20

FireWall Iptables DNS, DHCP,VPN Server

Certificate Server

Hình 13: Mô hình giải pháp hệ thống mạng tại phòng thí nghiệm