C. Giải phỏp Cài Window Qua Mạng
3.1. GIỚI THIỆU WINDOW SERVER 2003
- Window Server 2003 là một hệ điều hành mạng của hóng Microsoft được ưa chuộng khắp thế giới hiện nay. Bởi tớnh bảo mật cao và thõn thiện với người quản lý. ở phiờn bản 2003 này Microsoft đó tớch hợp rất nhiều tools trợ giỳp và dịch vụ mạng thụng dụng giỳp chỳng ta quản trị và phõn quyền quản lý tài nguyờn mạng dễ dàng hơn.
- Trong phần này chỳng ta sẽ tỡm hiểu sõu hơn về Window server 2003.
+ So với cỏc phiờn bản 2000 thỡ họ hệ điều hành Server phiờn bản 2003 cú những đặc tớnh mới sau:
- Khả năng kết chựm cỏc Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt núng RAM (hot swap).
- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: Hiểu được chớnh sỏch nhúm (group policy) được thiết lập trong WinXP, cú bộ cụng cụ quản trị mạng đầy đủ cỏc tớnh năng chạy trờn WinXP.
- Tớnh năng cơ bản của Mail Server được tớnh hợp sẵn: Đối với cỏc cụng ty nhỏ khụng đủ chi phớ để mua Exchange để xõy dựng Mail Server
thỡ cú thể sử dụng dịch vụ POP3 và SMTP đó tớch hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho cụng ty.
- NAT Traversal hỗ trợ IPSec đú là một cải tiến mới trờn mụi trường 2003 này, nú cho phộp cỏc mỏy bờn trong mạng nội bộ thực hiện cỏc kết nối peer-to-peer đến cỏc mỏy bờn ngoài Internet, đặt biệt là cỏc thụng tin được truyền giữa cỏc mỏy này cú thể được mó húa hoàn toàn.
- Bổ sung thờm tớnh năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). Tớnh năng này cho phộp bạn duyệt cỏc mỏy tớnh trong mạng ở xa thụng qua cụng cụ Network Neighborhood.
- Phiờn bản Active Directory 1.1 ra đời cho phộp chỳng ta ủy quyền giữa cỏc gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn.
- Hỗ trợ tốt hơn cụng tỏc quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) cú thể truyền trờn đường truyền 40Kbps. Web Admin cũng ra đời giỳp người dựng quản trị Server từ xa thụng qua một dịch vụ Web một cỏch trực quan và dễ dàng. Hỗ trợ mụitrường quản trị Server thụng qua dũng lệnh phong phỳ hơn
- Cỏc Cluster NTFS cú kớch thước bất kỳ khỏc với Windows 2000 Server chỉ hỗ trợ 4KB.
- Cho phộp tạo nhiều gốc DFS (Distributed File System) trờn cựng một Server.
3.1 GIỚI THIỆU WINDOW SERVER 2003 3.2 GIỚI THIỆU DOMAIN:
với nhau. Dich vụ Active Directory (cơ sở dữ liệu của cỏc tài nguyờn trờn mạng): Ứng dụng: Trong hệ thống mạng lớn việc duyệt, tỡm kiếm trờn mang sẽ dễ dàng hơn. Hơn nữa, để quản lý 1 hệ thống mạng lớn, bạn thường phải phõn chia thành nhiều domain và thiết lập cỏc mối quan hệ ủy quyền thớch hợp. Active Directory giải quyết được cỏc vấn đề như vậy và cung cấp 1 mức độ ứng dụng mới cho mụi trường xớ nghiệp. Lỳc này, dịch vụ thư mục trong mỗi domain cú thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ 10 trệu người dựng trong mỗ domain.
Chức năng của Active Directory
- Lưu giữ một danh sỏch tập trung cỏc tờn tài khoản người dựng, mật khẩu tương ứng và cỏc tài khoản mỏy tớnh.
- Cung cấp 1 server đúng vai trũ chứng thục (authentication server) hoặc server quản lý đăng nhập( login server, server này cũn gọi là domain controller( mỏy điều khiển vựng).
- Duy trỡ 1 bảng hướng dẫn hoặc 1 bảng chỉ mục (index) giỳp cỏc mỏy tớnh trong mạng cú thể dũ tỡm nhanh 1 tài nguyờn nào đú trờn cỏc mỏy tớnh khỏc trong vựng.
- Cho phộp chỳng ta tạo ra những tài khoản người dựng với những mức độ quyền (rights) khỏc nhau như: Toàn quyền trờn hệ thống mạng, chỉ cú quyền backup dữ liệu hay shutdown server từ xa…
- Cho phộp chỳng ta chia nhỏ miền của mỡnh ra thanh cỏc miền con (subdomain) hay cỏc đơn vị tổ chức OU( Organizational Unit). Sau đú chỳng ta cú thể ủy quyền cho cỏc quản trị viờn bộ phận quản lý từng bộ phận nhỏ.
3.3. GIỚI THIỆU DỊCH VỤ DHCP:
- Trong một hệ thống mạng, việc cấu hỡnh địa chỉ IP bằng tay cho mỏy sẽ tốn thời gian và cụng sức. Nờn chỳng em xin đưa ra giải phỏp là cài dịch vụ DHCP vào mỏy server, điều này sẽ làm cho cụng việc quản trị mạng được đơn giản húa, it tốn thời gian mà vẫn an toàn nhờ giao thức cấu hỡnh host động.
- DHCP là một tiến trỡnh client-server, trong đú cỏc DHCP client liờn lạc với DHCP server để lấy thụng tin cấu hỡnh TCP/IP.
- DHCP server cú thể cấp phỏt nhiều thụng tin cấu hỡnh IP cho cỏc DHCP client. Ta cú thể cấu hỡnh cỏc thụng tin đú trờn DHCP server, bao gụm:
+ Địa chỉ IP của 1 hoặc nhiều DNS server + Địa chỉ IP của 1 hoặc nhiều INS server + Địa chỉ IP của ngừ ra mặc định…….
3.4. DỊCH VỤ DNS ( Domain Name SyStem)3.4.1. GIỚI THIỆU: 3.4.1. GIỚI THIỆU:
- Làm nhiệm vụ phõn giải địa chỉ IP thành tờn miền dạng DNS và ngược lại. Active Directory được đặt tờn ở dạng DNS nờn hệ thống cần cú DNS server để phõn giải cho Active Directory.DNS server cần được cấu
mềm phục vụ Web, đụi khi người ta cũng gọi chớnh phần mềm đú là Web Server.
- Tất cả cỏc Web Server đều hiểu và chạy được cỏc file *.htm và *.html, tuy nhiờn mỗi Web Server lại phục vụ một số kiểu file chuyờn biệt chẳng hạn như IIS của Microsoft dành cho *.asp, *.aspx...; Apache dành cho *.php...; Sun Java System Web Server của SUN dành cho *.jsp... - Dịch vụ Web Server cho phộp chỳng ta quản bỏ trang web lờn internet phục vụ cho quản cỏo, mua bỏn ,… ( Cú hai cỏch triển khai là dựng IIS tớch hợp sẵn trong Win server 2003
hoặc sữ dụng phần mềm ngoài như là Apache, v.v…)
3.4.2.5.CÀI ĐĂT:
a.Web Server IIS (Internet Infomation Service)
- Đõy là dịch vụ tớch hợp sẵn trong hệ điều hành Window server 2003 giỳp chỳng ta xõy dựng một Web server chạy trờn nền Window.
* Cài Đặt:
b. CẤU HèNH APACHE(HỔ TRỢ CHO NGễN NGỮ PHP) TểM LẠI TÙY THEO CễNG TY SỬ DỤNG WEB Gè THè CHỌN WEB SERVER THÍCH HỢPC. TRIỄN KHAI CERTIFICATE MÃ HểA TRONG GIAO DỊCH WEB SSL (SECURE SOCKET LAYER )
quangvinh.com và tạo hot www.quangvinh.com ta thực hiện tiếp cỏc bước sau:
- Cài ASP.NET
- Cài Enterprise root CA
- Tạo trang web dabien: inetpub\wwwroot\dabien.htm - Xin Certificate cho web server:
+ Start / Programs / Internet Information Services (IIS) Manger /dabien /Properties.
Tab Directory Security /Server Certificate… / next / Send request immediately…/next /chọn port SSL là 443 /Finish.
4. MAIL Server 4.1. GIỚI THIỆU
- Dịch vụ mail server cho phộp người dựng gởi nhận thư điện tử với nhau thụng qua 1 địa chỉ mail. Trong cựng một cụng ty, từ cụng ty ra internet hoặc từ bờn ngoài internet vào cụng ty.
- Mail server chứa mailbox của người dựng, nhận mail từ mail client gửi đến và đưa vào hàng đợi để gởi đến mail host. Mail sever nhận mail từ mail host gửi đến và đưa vào mailbox của người dựng. Người dựng sử dựng NFS (Network File Sytem) để gắn kết (mont) thư mục chứa mailbox trờn mail server để đọc mil. Nếu NFS khụng được hổ trợ thỡ người dựng phải login vào Mail server để nhận thư. Trong trường hợp mail client hổ trợ POP/ IMAP và trờn mail server cũng hổ trợPOP/ IMAP thỡ người dựng cú thể đọc thư bằng POP/ IMAP.
cho phộp, và thực hiện cỏc thao tỏc như thể mỏy đú đang kết nối trực tiếp vào hệ thống mạng.
- Cũng cú hai kiểu RAS. Một kiểu tớch hợp sẵn trờn Win và một kiểu sữ dụng phần mềm.
5.1 CẤU HèNH DỊCH VỤ VPN (Virtual private network) Ở đõynhúm chỳng em sẽ đưa ra loại tớch hợp trờn Win là VPN và loại sữ dụng nhúm chỳng em sẽ đưa ra loại tớch hợp trờn Win là VPN và loại sữ dụng phần mềm là OpenVPN
• VPN Tớch Hợp Trờn Window Server 2003 A. CÀI ĐẶT VPN:
B. TẠO TÀI KHOẢN KẾT NỐI VPN • OPEN VPN
1. Sử dụng OpenVPN để truy cập cỏc mỏy chủ trong mạng. Dịch vụ OpenVPN cho phộp người dựng kết nối từ xa vào mạng thụng qua Internet để truy cập một số dịch vụ trong nội bộ mà bỡnh thường khụng thể truy cập từ bờn ngũai. Cỏc dịch vụ này cú thể là:
• Check mail bằng POP3 và gửi mail dựng SMTP với mỏy chủ mail của Trường.
• Truy cập file chia sẻ qua Windows Explorer
• Truyền file qua FTP Dựng Secure shell truy cập cỏc mỏy chủ khỏc v.v... Hiện tại vỡ lý do bảo mật chỉ cho phộp dựng VPN để truy cập dịch vụ
• DNS • SSH • SMTP • FTP • WWW • Web proxy
• Windows Remote DesktopHiện nay Ban QLM Trường đó triển khai mỏy chủ OpenVPN và sử dụng OpenCA để cấp chứng chỉ cho cỏc cỏ nhõn cú nhu cầu kết nối vào mạng Trường.Cỏc cỏ nhõn này cú thể là:
• Cỏn bộ của Trường đi học tập, nghiờn cứu ở nước ngũai cần truy cập cỏc mỏy chủ trong nội bộ mạng Trường.
• Cỏn bộ của Trường đi cụng tỏc hoặc ở nhà cần truy cập cỏc mỏy chủ trong nội bộ mạng Trường.
• Cỏc cỏ nhõn bờn ngoài đang tham gia cỏc dự ỏn của Trường hoặc cỏc đối tỏc nước ngũai khỏc cần truy cập cỏc mỏy chủ của dự ỏn.
Để dựng OpenVPN kết nối vào mạng Trường cần phải thực hiện cỏc bước sau:
1. Cài đặt OpenVPN (thực hiện 1 lần)
2. Yờu cầu cấp 1 file chứa chứng chỉ và khúa riờng tư từ Ban QLM Trường (thực hiện 1 lần)
3. Thực hiện kết nối VPN vào mạng Trường (thực hiện mỗi khi cần kết nối)
Bước 1. Cài đặt OpenVPN:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters
- Click phải chọn new tạo ra DWORD với tờn là autoshareserver • Value data = 0
• Base = Hexadecimal
5.2.2.TèM HIỂU ISA 2004, CÀI ĐẶT VÀ CẤU HèNH ISA SERVER 2004
A. GIƠI THIỆU:
- Đõy là phõn mềm share internet khỏ hiệu quả, ổn định, dễ cấu hỡnh, thiết lập tường lửa( filewall) tốt, nhiều tớnh năng cho phộp bạn cấu hỡnh sao cho tương thớch với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thụng minh, với tớnh năng lưu Cache trờn đĩa giỳp bạn truy xuất thụng tin nhanh hơn, và tớnh năng Schedule Cache (Lập lịch cho tự động download thụng tin trờn cỏc WebServer lưu vào Cache) và mỏy con chỉ cần lấy thụng tin trờn cỏc Webserver đú bằng mạng LAN).
- Đặc điểm:
- Cung cấp tớnh năng Multi networking: kĩ thuật thiết lập cỏc chớnh sỏch truy cập dựa trờn địa chỉ mạng, thiết lập filewall để lọc thụng tin dựa tr6n từng địa chỉ mạng con,…
- Cho phộp bảo vệ hệ thống mạng nội bộ bằng cỏch giới hạn truy xuất của cỏc clients bờn ngoài internet, bằng cỏch tạo ra 1 vựng mạng ngoại vi perimeter network ( được xem là vựng DMZ- demilitarized zones, hoặc creened subnet), chỉ cho phộp clients bờn ngoài truy xuất vào cỏc server trờn mạng ngoại vi, khụng cho phỏp client bờn ngoài truy xuất vào mạng nội bộ.
- Stateful inspection of all traffic: Cho phộp giỏm sỏt tất cả cỏc lưu lượng mạng.
- NAT and route network relationships: Cung cấp kĩ thuật NAT và định tuyến dữ liệu cho mạng con.
- Network templates: Cung cấp cỏc mụ hỡnh mẫu (network templates) về kiến trỳc mạng, kốm theo 1 số luật cần thiết cho (network templates) tương ứng.
- Cung cấp 1 số đặc điểm mới để thiết lập mạng riờng ảo (VPN network) và truy xuất mạng từ xa cho doanh nghiệp như giỏm sỏt, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tớnh năng tương thớch với VPN trờn hệ thống khỏc
- Cung cấp 1 số kĩ thuật bảo mật (security) và thiết lập Filewall cho hệ thống như Authentication,
- Publish Server, giới hạn traffic.
- Cung cấp 1 số kĩ thuật cache thụng minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
dung truy cập
+ Cú thể điều khiển truy xuất HTTP dựa trờn chữ kớ (signature). + Điều khiển 1 số phương thức truy xuất của HTTP.
5.2.3. CÀI ĐẶT ISA 20041.Yờu cầu phần cứng 1.Yờu cầu phần cứng
- Bộ xử lý( CPU):Intel hoặc AMD 500Mhz trở lờn.
- Hệ điều hành( OS):Windows 2003 hoặc Windows 2000 (Service pack 4). - Bộ nhớ( memory):256 (MB) hoặc 512 MB cho hệ thống khụng sử dụng Web caching, 1GB cho Web-caching ISA firewalls.
- Khụng gian đĩa( disk place): ổ đĩa cài đặt ISA thuộc loại NTFS file system, ớt nhất cũn 150 MB dành cho ISA.
- Card mạng : 2 card mạng
2. Cài đặt ISA serverC. CẤU HèNH ISA 2004 C. CẤU HèNH ISA 2004
1.Tạo Rule hạ tầng giao dịch cho cỏc giao dịch mạng nội bộ. 2.Tạo Rule hợp lý cho cỏc nhõn viờn trong việc sử dụng Internet 3.Tạo Rule Public Server cho bờn ngoài truy cập vào Server của
♣ VPN: Cú 2 kiểu
I. VPN Client to GatewayVPN Gateway To Gateway II. VPN Site To Site
4.Triển khai chế độ giỏm sỏt truy cập vào mạng hoặc ra bờn ngoài mạng (monitoring).
CHƯƠNG 4: KẾT LUẬN
I. CễNG TY PHÁT TRIỂN THấM HỘI SỞ CHI NHÁNH
- Sơ đồ mạng của cụng ty cú thể phỏt triển cho chi nhỏnh theo cụng nghệ VPN Site to Site.
LOADBALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL
- Để giải quyết được cỏc vấn đề nờu trờn, trong 1 hệ thống mạng lớn ta cần cú nhiều đường truyền ADSL để cõn bằng tải (Loadbalancing) và hỗ trợ khả năng chịu lỗi (Failover) cho cỏc kết nối Internet
- Để cấu hỡnh Loadbalancing và Failover cho nhiều đường truyền Internet ta cú rất nhiều giải phỏp như: DrayTek Vigor, Pfsense, MS ISA Server, Kerio WinRoute Firewall…Loadbalancing và Failover cho nhiều đường truyền Internet trờn Kerio WinRoute Firewall 6.5
+ Ưu điểm của Kerio Winroute Firewall 6.5: • Giỏ license khụng cao, tham khảo
http://www.kerio.com/kwf_price.html • Đơn giản cài đặt và cấu hỡnh
• Hỗ trợ đầy đủ cỏc tớnh năng bảo mật: AntiVirus, Traffic Policy, Content Filtering…
Tham khảo tại http://www.msopenlab.com
III. CễNG TY CẦN Cể MỘT HỆ THỐNG MẠNG BẢO MẬT CAO HƠN
- Đõy là mụ hỡnh xõy dựng trờn nền tản ISA Server 2004 theo cụng nghệ Back to Back.
- Ưu Điểm:
- Khả năng bảo mật cao.
- Gõy khú khăn cho Hacker từ bờn ngoài tấn cụng vào. - Nhược điểm:
- Chi phớ cao.
Sau khi hoàn thành xong đồ ỏn em đó thu được những kết quả sau:
• Tỡm hiểu được thờm về mạng mỏy tớnh.Xõy dựng mụ hỡnh mạng doanh nghiệp
• Tỡm hiểu được hoạt động,cài đặt và cấu hỡnh cho mạng doanh nghiệp thụng dụng.
• Bước đầu thực hành được cỏc bước làm trờn switch và router
• Qua đõy em hiểu được hoạt động của dịch vụ ISA 2004 và cơ chế làm việc của ISA và mail EXCHANGE
• Ngoài ra nắm được cỏc cỏch cài đặt và cấu hỡnh hoạt động của cỏc dịch vụ mạng như WEB, DNS, DHCP, ADSL SVIC
• Vỡ ngành cụng nghệ thụng tin núi chung và Mạng núi riờng ngày càng được phỏt triển mạnh và ứng dụng nhiều vào thực tế
1. Mạng mỏy tớnh và cỏc hệ thống mở, tỏc giả Nguyễn thỳc Hải nhà xuất bản giỏo dục năm 2000
2. Deploying virtual private Networks with Microsoft Windows Server 2003 – Joseph Davies & Elliot Lewis – Microsoft Press
3. Website VietCERT Co., Ltd: http://vietnamlab.com
4. Website Quản trị mạng: http://quantrimang.com
5. Vào trang web học viện: http://vietchuyen.org
6. Giỏo trỡnh dịch vụ mạng windows 2003, tỏc giả Tiều Đụng Sơn nhà xuất bản đại học quốc gia tp hồ chớ minh năm 2006