Quản Trị Và Triển Khai Hệ Thống Mạng, Nâng Cấp Với ISA Server 2004

Các yêu cầu cấu trúc mạng mới

 Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting server, máy chủ backup.

Công việc cần triển khai

 Cần chú ý đến các thông số, ở mục listensing modes trong quá trình cài đặt, số lương kết nối được khai báo chính là số lượng giấy phép bản quyền mà ta có khi sử dụng server. Việc chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có cấu hình phần cứng tương đương cho phép có thể sử dụng ngay hệ điều hành đã được chuyển mà không cần cài lại.

Khái niệm cơ bản

Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác nhất định trên đó. Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up.

Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai đoạn sau.

Cơ sở lí thuyết

 Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh bảo mật của client. Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được sử dụng. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory.

Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm.

Hiện trạng hệ thống

• Cấu hình backup cho domain .1 Lập bảng biểu Backup Job

 Các tính năng bảo mật trong Active Directory như GPO, kết hợp với những tính năng IPSec, NAT của hệ điều hành Windows Server 2003 chúng sẽ tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy cập đến các tài nguyên với quyền được cấp phát. Lập bảng biểu backup đảm bảo viêc backup ở hiện tại, nó được thực hiện ở một thời điểm đặc biệt hoặc trong một chu kì thời gian hoặc thực hiện với các sự kiện hệ thống được lựa chọn để phù hợp với các kiểu lưu trư dữ liệu trong công ty của bạn, hoặc lấy trung bình các trạng thái của thời điểm mạng không hoạt động. Backup được đề xuất rằng nên backup qua phương tiên truyền thông nào đó, là một kho lưu trữ bên ngoài vùng dữ liệu phòng trường hợp của một tai hoạ tự nhiên, lửa, rò rỉ thông tin, … Nó cũng sẽ khuyên nên giữ một bản sao của phần mềm được yêu cầu để install và khôi phục hệ điều hành, database server, backup recovery, ….

Để bảo vệ các thông tin nhạy cảm này khi thiết bị được tái sử dụng, bạn sẽ có một chính sách để xác định cách thực hiện trong quá trình tái sử dụng các domain controller, các Active Directoryministrative workstation, và các thiết bị sao lưu đi kèm.

Các Network Templates (mô hình mẫu các thông số cấu hình mạng)

Network Templates được thiết kế giúp chúng ta nhanh chóng tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng…Các Templates bao gồm. Network Templates dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có 1 network interface được trực tiếp kết nối đến Internet và 1 Network interface được kết nối với Internal network. Một External interface (kết nối Internet), 1 Internal interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành. đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau.

Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó.

Các cấu hình network template

Allow DNS from Internal Network and VPN Client Network to External Network (internet)- cho phép Internal Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài(internet) Allow all protocols from VPN Clients Network to Internal Network – Cho phép tấtc cả các giao thức từ VPN Client Network (bên ngoài VPN Client thực hiện kết nối vào mạng nội thông qua. Internet), được truy cập vào bên trong mạng nội bộ. Allow Http, Https, Ftp from Internal Network andVPN Client Network to Perimeter Network and External Network (Internet)- cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Client Network ra Perimeter Network và External Network (internet). Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004 firewall, thong số default gateway của SecureNat Client chính là IP Active Directorydress của network card trên ISA Server 2004 firewall gắn với Network đó.

Router này sẽ định tuyến thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet Một Web Proxy Client là máy có trình duyệt Internet (như Internet EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web Proxy server của nó web browser có thể cấu hình sử dụng IP Active.

Cấu hình các chính sách truy cập trên ISA Server –ISA Server 2004 Access Policy

Firewall Access Policy là một danh sác các Access Rules được xử lý theo thứ tự từ trên xuống đến khi gặp 1 điều kiện cụ thể được quy định, khi đó sẽ áp dụng theo quy định ấy. Protocol Protocol bao gồm tất cả các TCP/IP protocol, TCP, UDP, ICMP, tất cả các giao thức được căn cứ trên IP protocol number, Firewall hỗ trợ tất cả TCP/IP Protocols. Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó.

Để có thể sử dụng được các Access rules điều khiển người dùng hay các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy Client.

Lựa chọn hệ thống Firewall(Proxy) Sử dụng 1 trong 2 cách

Nếu sử dụng SecureNat Client thông tin về nhóm người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ không tìm được đối tượng cần hạn chế. Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều khiển việc truy cập đến một số website và việc sử dụng giao thức nào để thực hiện công việc này. Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông tin không cho phép.

To… cho các client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào trong hiệu quả.

Cài đặt ISA Server 2004 trên Windows Server 2003

 Có thể tích hợp thêm các phần mềm security khác : Surfcontrol : ngăn chặn trang web xấu. Internal Network nhắm xác định khu vực có các Network Servers và các Services quan trọng như :Administratorsdomain controllers, DNS, WINS, RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s System Policy). System Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào.

Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của System Policy….

Sao lưu dự phòng Lý do cần sao lưu

 Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống Cách khắc phục.  Export :xuất các các cấu hình của ISA,chính sách quản lý truy cập ra file *.xml.  Cắm thêm 1 ổ cứng để chạy chế độ RAID 1 Mirroring để đảm bảo hệ thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng.

 Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc phục sự cố.