VII. TRIỂN KHAI THỰC HIỆN
1.2. Triển khai hạ tầng Trụ sở chính
1.2.1. Triển khai Active Directory 1.2.2. Cài đặt và cấu hình DHCP
bắt đầu cài đặt
chọn card Internal Sau khi thiết lập các thông số cần thiết, ta tiếp tục cho cài đặt
Cài đặt thành công 1.2.3.1. Cài đặt ISA 3-leg
chọn card DMZ
Chọn các chính sách
Chọn Allow limited Web Access and access to ISP network services và Allow unrestricted access
1.2.3.2. Cấu hình đơn giản cho các ISA Client ra mạng
Chuột phải lên Firewall Policy, chọn New, chọn Access Rule:
Tạo rule cho phép truy cập web Nhập tên Rule, nhấn Next:
Chọn giao thức HTTP, HTTPS và FTP, nhấn Next
Chọn Sources là Internal, Local Host, Perimeter, nhấn Next Chọn Destinations là External, Perimeter, nhấn Next Chọn All Users, nhấn Next
Nhấn Finish:
Hình B8.3: Hoàn tất tạo rule web access only
1.2.4. Cấu hình ISA quản lý mạng LAN
1.2.4.1. Tạo Rules cấm nhân viên truy cập web đen
1.Tạo một Access Rule mới với tên là Cam truy cap Web den:
2.Tại Rule Action không chọn Allow nữa mà chọn Deny
3.Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP,
4.Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal
5.Tiếp đến trong Access Rule Destinations ta không chọn thuộc tính là External mà tạo một URL
Set mới đặt tên là Deny Web
6.Và tạo một danh sách các trang Web mà ta cấm các User truy cập vào đây trong ví dụ này giả sử ta định nghĩa trang www.tuoitre.com.vn là Web đen và ta muốn ngăn chặn nó.
7.Tại máy client truy cập vào trang http://www.tuoitre.com.vn lúc này không thể truy cập được nữa.
1.2.4.2. Tạo Rules cấm nhân viên chat. download xem phim trong giờ làm việc
Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs. 1.Click Right vào Sep chọn Configure HTTP.
2.Chọn tab Signatures
3.Chọn Add và đặt tên là:Cam chat yahoo messenger,chọn Request headers trong Search in.Gõ
4.Chọn tab Methods và chọn Block specified methods(allow all others).
6.Click Apply và click OK.
8.Sau đó Add .exe và .vbs vào.
9.Click Apply và click OK.
1.2.4.3. Tạo Rule giới hạn download và upload Giao diện Bandwith Splitter sau khi cài đặt:
Cũng như Traffic Quota, sau khi cài đặt xong, trên ISA sẽ xuất hiện 2 rule cho bandwith splitter trên ISA:
Giao diện rule của bandwith splitter.
Bandwith splitter cũng cho nhóm thực hiện tạo Rule để kiểm soát băng thông:
Rule kiểm soát băng thông
Nhóm thực hiện cũng thiết lập được hạn ngạch thông qua mục Quota Rules:
Rule thiết lập hạn ngạch
Mục monitoring giúp nhóm thực hiện biết được user nào, thuộc máy tính nào, đang kết nối và sử dụng traffic:
Giao diện monitoring
1.2.4.4. Tạo Rules quy định thời gian cho phép nhân viên truy cập internet
Tiếp đến ta sẽ tạo một Access Rule sao cho các User trong Group Kinh Doanh được phép truy cập Internet nhưng sẽ bị giới hạn về thời gian và chỉ được phép truy cập một số trang Web nào đó mà thôi.
2.Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add
3.Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào.
các User có thể truy cập mọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi. Nên ta chọn Add
7.Trong cửa sổ Add Network Entities chọn New -> URL Set
Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào theo cú pháp:
http://*.<domain name>/* http://<domain name>/*
Như vậy với mỗi trang Web chúng ta cần phải nhập 2 dòng theo cú pháp trên
10.Vì chúng ta muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets
chọn All User và Remove nó đi.Sau đó nhấp Add để thêm Group mới
Vì đối tượng mà ta muốn tác động là Group Kinh Doanh trên máy DC Server nên tại đây ta phải chọn Entire Directory để truy cập Users Database trên DC Server
14.Trong Select users or groups chọn Locations
15.Chọn Entire Directory -> phugiasc.vn.com
16.Tiếp tục Add Group Kinh Doanh vào
18.Màn hình sau khi hoàn tất
Như vậy với Rule Web Group KD này ta có thể hiểu như sau:Đồng ý cho các giao thức HTTP,
HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Allow Web, quyền
này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal.
19.Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cách Double click lên Rule Web
20.Nhấp New để tạo một Schedule mới và đặt tên là Set Times
22.Màn hình sau khi hoàn tất
Như vậy với tùy chọn này các User thuộc Group Kinh Doanh chỉ được truy cập các trang Web thuộc danh sách Allow Web vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ
2->thứ 6 mà thôi.
1.2.4.5. Tạo Rules nhân viên chỉ được xem được text(đọc báo) 1.Nhấp phải vào Rule chọn Properties
2.Chọn Tab Content types
3. Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là:
Documents,HTML Documents,Text
1.2.5. Antivirus cho hệ thống 1.2.5.1. Cài đặt GFI
Điền tên user theo công thức domain\tên user
1.2.5.2. Thông tin hệ thống
User ko vào được
1.2.5.4. Antivirus
Khi ta down 1 file từ mạng bên ngoài, hệ thống antivirus sẽ tự động scan
1.2.6. Cài đặt Mail Exchange 1.2.6.1. Cài đặt dịch vụ hỗ trợ
Cài đặt dịch vụ ASP, IIS,
Sau khi cài xong dịch vụ trên. ta tiến hàng Raise domain lên Window Server 2003
1.nhấn Install cài đặt, lúc này 3 bước step đầu tiên mờ đi do ta đã cài đặt đầy đủ dịch vụ hỗ trợ
3. Cấu hình cài đặt đang chạy
5. Tiếp tục cho chạy Exchange Managent Shell. Gõ dòng lệnh Set-PopSettings -LoginType
Kiểm tra lại bằng lệnh Get-PopSettings. Chắc chắn rằng dòng Login Type là PlainTextLogin là cấu hình chính xác
6. Tiếp theo, ta bật các dịch vụ hỗ trợ cho Exchange 2007. Nhấn Start > Run > services.msc Start dịch vụ POP3 và Transport
1.2.6.3. Cấu hình gữi mail nội bộ và ra internet Cấu hình tại ISA Server
1.Tạo Mail Server Publishing Rules
3. Chọn POP3 và SMTP
5. Chọn địa chỉ External cho Rule Public
7. Chọn Server to Server
Nhấn OK đến hoàn thành.
9. Tiếp tục cấu hình VPN client cho các user ngoài Internet có thể truy cập và duyệt mail thông qua giao thức VPN
Qua phần Vituarl Private NetWork chọn Configure Adress Assignment
Add địa chỉ IP sẽ gán cho các VPN client khi kết nối vào Server
11. Đây là 3 user ta đã tạo mail box. mặc định nó sẽ tự động tạo user trong Active Directory
12. Cấu hình tại user
Vào Acount, chọn như hình add user mới
13. Tại Incoming và Outgoing Mail gõ mail.phugiasc.vn là địa chỉ mail ta đã cấu hình trong DNS
Gõ pass word
Qua tab Advande chọn port cho giao thức SMTP và POP3
Chọn giao thức kết nối VPN
Thành công ta sẽ có 2 kết nối như hình
1.2.7. Cấu hình Publishing 1.2.7.1. Cấu hình Publishing cho Web
Chuột phải lên Firewall Policy, chọn New, chọn Web Site Publishing Rule
Nhập tên cho Rule Chọn Allow, nhấn Next
Nhập tên cho site name và địa chỉ IP Web server, nhấn Next
Chọn Any domain Name
Nhập tên cho Web listener, nhấn Next:
Chọn “Do not require SSL..clients”, nhấn Next Chọn External, nhấn Next
Chọn “No Authentication”, nhấn Next
Chuột phải lên Firewall Policy, chọn New, chọn Non-Web Server Protocol Publishing Rule…
Tạo rule publish FTP server Nhập IP của FTP Server
Chọn Protocol là FTP Server
Tiếp tục cài đặt đến khi hoàn thành