Hướng dẫn triển khai và quản lý hệ thống mạng doanh nghiệp hiệu quả

MỤC LỤC

Windows Internet Name Service (WINS) Bằng việc triển khai WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client

Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các hệ điều hành như Windows 98, Win NT, Microsoft® Windows® 2000 do đó cần thiết triển khai WINS trên Windows Server 2003 để phân giải tên NetBIOS tự động. Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống vẫn yêu cầu phân giải tên NetBIOS cho các ứng dụng đang chạy trên hệ thống.

Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các máy trạm yêu cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ

Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy trạm luôn nhận được địa chỉ IP đúng. Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm Enterprise Admin – để xác định những người cần có quyền quản lý các dịch vụ DHCP.

Dịch vụ Domain controller(Active Directory )

Ví dụ: để có thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của forest trước khi cài đặt. Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm Enterprise Admins) cũng có quyền quản trị và giám sát các hoạt động và chính sách trên các máy chủ này.

Hiện trạng hệ thống mạng

Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó.

Các công việc triển khai & kết quả

Các yêu cầu cấu trúc mạng mới

 Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting server, máy chủ backup.

Công việc cần triển khai

     Cần chú ý đến các thông số, ở mục listensing modes trong quá trình cài đặt, số lương kết nối được khai báo chính là số lượng giấy phép bản quyền mà ta có khi sử dụng server. Việc chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có cấu hình phần cứng tương đương cho phép có thể sử dụng ngay hệ điều hành đã được chuyển mà không cần cài lại.

    Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003 Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và  lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ  điều hành cho server đồng thời còn thực hiện cài đặt rấ
    Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003 Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ điều hành cho server đồng thời còn thực hiện cài đặt rấ

    QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG

    Khái niệm cơ bản

      Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác nhất định trên đó. Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up.

      Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai đoạn sau.

      Cơ sở lí thuyết

         Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh bảo mật của client. Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được sử dụng. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory.

        Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm.

        Bảng II.1  Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active  Directory
        Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active Directory

        Hiện trạng hệ thống

        • Cấu hình backup cho domain .1 Lập bảng biểu Backup Job

           Các tính năng bảo mật trong Active Directory như GPO, kết hợp với những tính năng IPSec, NAT của hệ điều hành Windows Server 2003 chúng sẽ tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy cập đến các tài nguyên với quyền được cấp phát. Lập bảng biểu backup đảm bảo viêc backup ở hiện tại, nó được thực hiện ở một thời điểm đặc biệt hoặc trong một chu kì thời gian hoặc thực hiện với các sự kiện hệ thống được lựa chọn để phù hợp với các kiểu lưu trư dữ liệu trong công ty của bạn, hoặc lấy trung bình các trạng thái của thời điểm mạng không hoạt động. Backup được đề xuất rằng nên backup qua phương tiên truyền thông nào đó, là một kho lưu trữ bên ngoài vùng dữ liệu phòng trường hợp của một tai hoạ tự nhiên, lửa, rò rỉ thông tin, … Nó cũng sẽ khuyên nên giữ một bản sao của phần mềm được yêu cầu để install và khôi phục hệ điều hành, database server, backup recovery, ….

          Để bảo vệ các thông tin nhạy cảm này khi thiết bị được tái sử dụng, bạn sẽ có một chính sách để xác định cách thực hiện trong quá trình tái sử dụng các domain controller, các Active Directoryministrative workstation, và các thiết bị sao lưu đi kèm.

          Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.
          Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.

          NÂNG CẤP HỆ THỐNG MẠNG CỦA CÔNG TY VỚI ISA SERVER 2004

          Các Network Templates (mô hình mẫu các thông số cấu hình mạng)

            Network Templates được thiết kế giúp chúng ta nhanh chóng tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng…Các Templates bao gồm. Network Templates dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có 1 network interface được trực tiếp kết nối đến Internet và 1 Network interface được kết nối với Internal network. Một External interface (kết nối Internet), 1 Internal interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành. đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau.

            Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó.

            Hình III.2 Mô hình 3-leg perimeter
            Hình III.2 Mô hình 3-leg perimeter

            Các cấu hình network template

              Allow Http, Https, Ftp from Internal Network andVPN Client Network to Perimeter Network and External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra Perimeter Network và External Network (internet). Allow all protocols from VPN Clients Network toInternal Network – Cho phép tấtc cả các giao thứtừ VPN Client Network (bên ngoài VPN Clientthực hiện kết nối vào mạng nội thông qua Internet), được truy cập vào bên trong mạng nội. Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004 firewall, thong số default gateway của SecureNat Client chính là IP Active Directorydress của network card trên ISA Server 2004 firewall gắn với Network đó.

              Router này sẽ định tuyến thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet Một Web Proxy Client là máy có trình duyệt Internet (như Internet EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web Proxy server của nó web browser có thể cấu hình sử dụng IP Active.

              Bảng III.1 Chính sách Edge Firewall
              Bảng III.1 Chính sách Edge Firewall

              Cấu hình các chính sách truy cập trên ISA Server –ISA Server 2004 Access Policy

              Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active Directorydress, một dãy IP Active Directorydress, một subnet, hay nhiều subnet Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập. Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó. Để có thể sử dụng được các Access rules điều khiển người dùng hay các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy Client.

              Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều khiển việc truy cập đến một số website và việc sử dụng giao thức nào để thực hiện công việc này.

              Lựa chọn hệ thống Firewall(Proxy) Sử dụng 1 trong 2 cách

              Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ không tìm được đối tượng cần hạn chế. Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông tin không cho phép.

              To… cho các client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào trong hiệu quả.

              Cài đặt ISA Server 2004 trên Windows Server 2003

               Có thể tích hợp thêm các phần mềm security khác : Surfcontrol : ngăn chặn trang web xấu. Internal Network nhắm xác định khu vực có các Network Servers và các Services quan trọng như :Administratorsdomain controllers, DNS, WINS, RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s System Policy). System Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào.

              Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của System Policy….

              Sao lưu dự phòng Lý do cần sao lưu

               Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống Cách khắc phục.  Export :xuất các các cấu hình của ISA,chính sách quản lý truy cập ra file *.xml.  Cắm thêm 1 ổ cứng để chạy chế độ RAID 1 Mirroring để đảm bảo hệ thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng.

               Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc phục sự cố.