Trong những năm gần đây, LDAP đã trở thành chuẩn cho các dịch vụ thư mục thương mại, cho các ISP hay các công ty lớn. Các đặc điểm yêu cầu của LDAP Server bao gồm các chuẩn, tính khả mở, tính quản lý, bảo mật..., phiên bản mới nhất là LDAP Version 3; các LDAP Server cho các ISP có thể lựa chọn từ các nhà cung cấp như Sun/Netscape, Oracle, Microsoft, Novell,...
+ Tính mở là một khả năng của sản phẩm thư mục, nó thường có nghĩa như việc mở rộng LDAP schema. Các chuẩn LDAP cung cấp cơ chế để định nghĩa và xuất bản các schema khởi
tạo và mở rộng schema khi cần thiết. Do vậy các ISP LDAP Directory không chỉ tương thích với các chuẩn LDAP phổ biến như định vị, truy vấn thông tin... mà còn phải định nghĩa và mở rộng các schema của thư mục.
+ Tính quản lý được đề cập tới khả năng các công ty quản lý được nội dung của thư mục, hiệu năng của thư mục, khả năng giám sát, khắc phục lỗi và sửa chữa nhiều tiến trình của thư mục đang thực hiện.
+ Tính bảo mật được hiểu là việc quản lý các truy nhập vào thông tin trong thư mục.
+ Tính khả mở của thư mục là khái niệm ít phụ thuộc chuẩn nhất trong công nghệ của các enterprise directory. Các nhà sản xuất có thể thực hiện nhiều biện pháp khác nhau để có được tính khả mở trong sản phẩm của họ.
+ Tính tương tác: Thực tế có thể các ISP sẽ phải làm việc trong môi trường có nhiều dịch vụ thư mục khác nhau, do vậy khả năng tương tác với các dịch vụ thư mục khác là đặc tính căn bản của các enterprise directory.
a- Đồng bộ thư mục
Việc đồng bộ hoá thư mục theo truyền thống được dành cho các hạ tầng của dịch vụ Internet Mail. Phần lớn các hệ thống e-mail hiện nay đều cung cấp một thư mục cho phép user tìm kiếm và lựa chọn các mailbox. Tuy nhiên, do các hệ thống mail được phát triển độc lập, một người dùng của một hệ thống mail này không thể tìm kiếm trong thư mục của hệ thống mail khác.
Để các hệ thống Mail tạo thành một hệ thống thống nhất, cần thiết có cơ chế đồng bộ các thông tin như tên, địa chỉ trên các môi trường mạng hỗn hợp. Quá trình đồng bộ thư mục nhân bản các thông tin thư mục, các thư mục đều có thể có được các thông tin giống nhau.
Có 2 phương pháp phổ biến để đồng bộ các thư mục hiện hành:
+ Đồng bộ dựa trên có một user name và password trong tất cả các thư mục (point-to-point synchronization hoặc n-way synchronization).
+ Tích hợp các thư mục hiện có thành một siêu thư mục (metadirectory)(one-way và two-way synchronization).
b- Organizational units (OUs)
Đối tượng OU được dùng phổ biến nhất để tổ chức các đối tượng khác, chẳng hạn như các OU và đối tượng lá khác trong thư mục. Có một vài mô hình được dùng để tạo cấu trúc của OU: theo địa lý, theo phân cấp tổ chức, theo việc kinh doanh hay quản trị mạng.
Tuy nhiên, cần lưu ý một số điểm khi tổ chức dạng OU là nó có thể ảnh hưởng tới chi phí và các chính sách chung, cấu trúc OU có thể rất khó thay đổi khi đã được đưa vào sử dụng, do vậy cần có bước lập kế hoạch, khảo sát thật cụ thể.
Các ISP sử dụng các máy chủ LDAP hoạt động như một trung tâm xác thực và là nơi lưu trữ thông tin về khách hàng cho rất nhiều loại dịch vụ khác của ISP như Mail server, web server, news servers, ftp servers.... Do Directory server có thể là kho chứa dữ liệu chính cho một ISP và
quyết định các vận hành của ISP, vì vậy Directory server cần có cấu hình clustered server hoặc được tổ chức Replicate để có được tính sẵn sàng cao.
Các ISP có thể tổ chức Directory dạng tập trung hay phân tán. Một directory tập trung chỉ có một Directory server cung cấp truy cập tới thư mục. Một directory phân tán sẽ có nhiều hơn 1 server truy cập. Khi thư mục được tổ chức phân tán, thông tin lưu trữ trong thư mục phải được chia ra (Partitioned) hay nhân bản (replicate). Khi thông tin được tổ chức dạng partitioned, mỗi directory server lưu giữ một tập hợp thông tin duy nhất không trùng nhau, khi tổ chức replicated, toàn bộ directory được lưu trữ trên nhiều bản sao ở các server. Trong một thư mục phân tán có thể có một số thông tin được tổ chức dạng partitioned, một số tổ chức dạng replicated.
Thông tin được lưu trữ trong thư mục thường được truy xuất từ các ứng dụng. Việc phân tán các máy chủ thư mục để chia partition dữ liệu hay nhân bản sẽ liên quan đến hiệu năng và tính sẵn có của hệ thống, ví dụ, một một thư mục phân tán và được nhân bản có thể cho hiệu năng tốt hơn do các yêu cầu đọc dữ liệu sẽ đáp ứng từ các server gần nhất, một thư mục tập trung có thể có tính sẵn có kém hơn do nó có thể trở thành một điểm gây ra lỗi duy nhất, tuy nhiên, quản lý và duy trì hệ thống thư mục phân tán sẽ phức tạp hơn.
Chương VI Bức tường lửa (FIRE WALL)
Vấn đề bảo đảm an ninh của các ISP rất quan trọng và đa dạng, các ISP cần có những chính sách về an ninh chặt chẽ để bảo vệ những tài nguyên cung cấp trên mạng, cũng như thực hiện các chính sách giới hạn thông tin. Trong khuôn khổ đề tài, chúng tôi dừng lại ở việc phân tích các nội dung về tường lửa của Internet, đây là một trong những nội dung cơ bản mà mọi ISP cần quan tâm tới, các nội dung về bảo mật còn lại cũng đang được nhóm đề tài thực hiện ở một đề tài khác với nội dung chuyên sâu hơn.
Tường lửa (Firewall) được định nghĩa là một hệ thống hoặc một nhóm các hệ thống được tạo ra nhằm áp đặt những điều khoản về quyền truy cập (access control policy) giữa hai mạng máy tính. Về nguyên tắc Firewall được tạo bởi 2 cơ cấu: Một cơ cấu chuyên trách cho việc ngăn cản giao thông còn cơ cấu thứ hai sẽ cho phép giao thông; tạo ra một Firewall thiên về ngăn cản hay thiên về cho phép phụ thuộc vào nhu cầu về an ninh cụ thể. Dấu hiệu căn bản nhất của một Firewall là sự áp dụng một chính sách hoạch định quyền truy nhập. Firewall thường được đặt giữa 2 mạng, một mạng không tin cậy (untrusted network) như Internet, một mạng tin cậy (trusted network) như mạng của các công ty, tổ chức....
Firwewall có thể bảo vệ chúng ta trước những gì
Firewall được cài đặt ra để nhằm ngăn chặn những truy nhập không được phép từ bên ngoài vào mạng được bảo vệ. Điều đó trước hết giúp bảo vệ được máy tính trước những kẻ phá hoại thâm nhập vào. Rất nhiều Firewall ngăn lưu thông từ bên ngoài vào nhưng lại cho phép người sử dụng từ bên trong truy cập ra ngoài thoải mái. Một vài Firewall chỉ cho phép lưu thông thư tín điện tử, do đó bảo vệ được mạng trước mọi sự xâm nhập khác ngoài xâm nhập qua dịch vụ thư tín điện tử. Một số Firewall khác cung cấp bảo vệ một cách ít chặt chẽ hơn, và ngăn chăn các dịch vụ mà có thể gây ra vấn đề cho mạng.
Trong mạng máy tính, Firewall là “nút” giao thông duy nhất, nơi các công tác an ninh hoặc việc kiểm toán (audit) có thể được áp đặt. Không giống như trường hợp khi một máy tính bị thâm nhập bằng cách quay số qua MODEM Firewall có thể hoạt động như một vòi để nghe trộm điện thoại và truy lần được dấu vết. Firewall cung cấp những tính năng quan trọng trong việc ghi hồ sơ (logging) và audit. Firewall có thể cung cấp cho các nhà quản trị những bản tổng kết về các loại và lượng của giao thông qua nó, đã có bao nhiêu lần cố gắng truy nhập vào mạng qua nó.
Firewall không làm được gì ?
Firewall không giúp gì được khi sự xâm nhập mạng không đi qua nó. Nhiều công ty đã mua những giải pháp Firewall rất đắt tiền để ngăn chặn tấn công từ Internet nhưng lại bỏ qua những kẽ hở bảo mật khác như ở phía người dùng Dial-up, những hành động tấn công ở bên trong mạng, xuất phát ngay từ những nhân viên của công ty....
Để cho một Firewall hoạt động có hiệu quả đòi hỏi phải có một chính sách bảo mật toàn công ty. Những chính sách cho Firewall phải thật thực tế và phải phản ánh được cấp bảo mật của toàn
bộ mạng. Ví dụ một Site có những thông tin tối mật không cần phải có Firewall do nó không kết nối vào Internet....