C. Giải phỏp Cài Window Qua Mạng
3.4. DỊCH VỤ DNS (Domain Name SyStem)
3.4.1. GIỚI THIỆU:
- Làm nhiệm vụ phõn giải địa chỉ IP thành tờn miền dạng DNS và ngược lại. Active Directory được đặt tờn ở dạng DNS nờn hệ thống cần cú DNS server để phõn giải cho Active Directory.DNS server cần được cấu
mềm phục vụ Web, đụi khi người ta cũng gọi chớnh phần mềm đú là Web Server.
- Tất cả cỏc Web Server đều hiểu và chạy được cỏc file *.htm và *.html, tuy nhiờn mỗi Web Server lại phục vụ một số kiểu file chuyờn biệt chẳng hạn như IIS của Microsoft dành cho *.asp, *.aspx...; Apache dành cho *.php...; Sun Java System Web Server của SUN dành cho *.jsp... - Dịch vụ Web Server cho phộp chỳng ta quản bỏ trang web lờn internet phục vụ cho quản cỏo, mua bỏn ,… ( Cú hai cỏch triển khai là dựng IIS tớch hợp sẵn trong Win server 2003
hoặc sữ dụng phần mềm ngoài như là Apache, v.v…)
3.4.2.5.CÀI ĐĂT:
a.Web Server IIS (Internet Infomation Service)
- Đõy là dịch vụ tớch hợp sẵn trong hệ điều hành Window server 2003 giỳp chỳng ta xõy dựng một Web server chạy trờn nền Window.
* Cài Đặt:
b. CẤU HèNH APACHE(HỔ TRỢ CHO NGễN NGỮ PHP) TểM LẠI TÙY THEO CễNG TY SỬ DỤNG WEB Gè THè CHỌN WEB SERVER THÍCH HỢPC. TRIỄN KHAI CERTIFICATE MÃ HểA TRONG GIAO DỊCH WEB SSL (SECURE SOCKET LAYER )
quangvinh.com và tạo hot www.quangvinh.com ta thực hiện tiếp cỏc bước sau:
- Cài ASP.NET
- Cài Enterprise root CA
- Tạo trang web dabien: inetpub\wwwroot\dabien.htm - Xin Certificate cho web server:
+ Start / Programs / Internet Information Services (IIS) Manger /dabien /Properties.
Tab Directory Security /Server Certificate… / next / Send request immediately…/next /chọn port SSL là 443 /Finish.
4. MAIL Server 4.1. GIỚI THIỆU
- Dịch vụ mail server cho phộp người dựng gởi nhận thư điện tử với nhau thụng qua 1 địa chỉ mail. Trong cựng một cụng ty, từ cụng ty ra internet hoặc từ bờn ngoài internet vào cụng ty.
- Mail server chứa mailbox của người dựng, nhận mail từ mail client gửi đến và đưa vào hàng đợi để gởi đến mail host. Mail sever nhận mail từ mail host gửi đến và đưa vào mailbox của người dựng. Người dựng sử dựng NFS (Network File Sytem) để gắn kết (mont) thư mục chứa mailbox trờn mail server để đọc mil. Nếu NFS khụng được hổ trợ thỡ người dựng phải login vào Mail server để nhận thư. Trong trường hợp mail client hổ trợ POP/ IMAP và trờn mail server cũng hổ trợPOP/ IMAP thỡ người dựng cú thể đọc thư bằng POP/ IMAP.
cho phộp, và thực hiện cỏc thao tỏc như thể mỏy đú đang kết nối trực tiếp vào hệ thống mạng.
- Cũng cú hai kiểu RAS. Một kiểu tớch hợp sẵn trờn Win và một kiểu sữ dụng phần mềm.
5.1 CẤU HèNH DỊCH VỤ VPN (Virtual private network) Ở đõynhúm chỳng em sẽ đưa ra loại tớch hợp trờn Win là VPN và loại sữ dụng nhúm chỳng em sẽ đưa ra loại tớch hợp trờn Win là VPN và loại sữ dụng phần mềm là OpenVPN
• VPN Tớch Hợp Trờn Window Server 2003 A. CÀI ĐẶT VPN:
B. TẠO TÀI KHOẢN KẾT NỐI VPN • OPEN VPN
1. Sử dụng OpenVPN để truy cập cỏc mỏy chủ trong mạng. Dịch vụ OpenVPN cho phộp người dựng kết nối từ xa vào mạng thụng qua Internet để truy cập một số dịch vụ trong nội bộ mà bỡnh thường khụng thể truy cập từ bờn ngũai. Cỏc dịch vụ này cú thể là:
• Check mail bằng POP3 và gửi mail dựng SMTP với mỏy chủ mail của Trường.
• Truy cập file chia sẻ qua Windows Explorer
• Truyền file qua FTP Dựng Secure shell truy cập cỏc mỏy chủ khỏc v.v... Hiện tại vỡ lý do bảo mật chỉ cho phộp dựng VPN để truy cập dịch vụ
• DNS • SSH • SMTP • FTP • WWW • Web proxy
• Windows Remote DesktopHiện nay Ban QLM Trường đó triển khai mỏy chủ OpenVPN và sử dụng OpenCA để cấp chứng chỉ cho cỏc cỏ nhõn cú nhu cầu kết nối vào mạng Trường.Cỏc cỏ nhõn này cú thể là:
• Cỏn bộ của Trường đi học tập, nghiờn cứu ở nước ngũai cần truy cập cỏc mỏy chủ trong nội bộ mạng Trường.
• Cỏn bộ của Trường đi cụng tỏc hoặc ở nhà cần truy cập cỏc mỏy chủ trong nội bộ mạng Trường.
• Cỏc cỏ nhõn bờn ngoài đang tham gia cỏc dự ỏn của Trường hoặc cỏc đối tỏc nước ngũai khỏc cần truy cập cỏc mỏy chủ của dự ỏn.
Để dựng OpenVPN kết nối vào mạng Trường cần phải thực hiện cỏc bước sau:
1. Cài đặt OpenVPN (thực hiện 1 lần)
2. Yờu cầu cấp 1 file chứa chứng chỉ và khúa riờng tư từ Ban QLM Trường (thực hiện 1 lần)
3. Thực hiện kết nối VPN vào mạng Trường (thực hiện mỗi khi cần kết nối)
Bước 1. Cài đặt OpenVPN:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters
- Click phải chọn new tạo ra DWORD với tờn là autoshareserver • Value data = 0
• Base = Hexadecimal
5.2.2.TèM HIỂU ISA 2004, CÀI ĐẶT VÀ CẤU HèNH ISA SERVER 2004
A. GIƠI THIỆU:
- Đõy là phõn mềm share internet khỏ hiệu quả, ổn định, dễ cấu hỡnh, thiết lập tường lửa( filewall) tốt, nhiều tớnh năng cho phộp bạn cấu hỡnh sao cho tương thớch với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thụng minh, với tớnh năng lưu Cache trờn đĩa giỳp bạn truy xuất thụng tin nhanh hơn, và tớnh năng Schedule Cache (Lập lịch cho tự động download thụng tin trờn cỏc WebServer lưu vào Cache) và mỏy con chỉ cần lấy thụng tin trờn cỏc Webserver đú bằng mạng LAN).
- Đặc điểm:
- Cung cấp tớnh năng Multi networking: kĩ thuật thiết lập cỏc chớnh sỏch truy cập dựa trờn địa chỉ mạng, thiết lập filewall để lọc thụng tin dựa tr6n từng địa chỉ mạng con,…
- Cho phộp bảo vệ hệ thống mạng nội bộ bằng cỏch giới hạn truy xuất của cỏc clients bờn ngoài internet, bằng cỏch tạo ra 1 vựng mạng ngoại vi perimeter network ( được xem là vựng DMZ- demilitarized zones, hoặc creened subnet), chỉ cho phộp clients bờn ngoài truy xuất vào cỏc server trờn mạng ngoại vi, khụng cho phỏp client bờn ngoài truy xuất vào mạng nội bộ.
- Stateful inspection of all traffic: Cho phộp giỏm sỏt tất cả cỏc lưu lượng mạng.
- NAT and route network relationships: Cung cấp kĩ thuật NAT và định tuyến dữ liệu cho mạng con.
- Network templates: Cung cấp cỏc mụ hỡnh mẫu (network templates) về kiến trỳc mạng, kốm theo 1 số luật cần thiết cho (network templates) tương ứng.
- Cung cấp 1 số đặc điểm mới để thiết lập mạng riờng ảo (VPN network) và truy xuất mạng từ xa cho doanh nghiệp như giỏm sỏt, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tớnh năng tương thớch với VPN trờn hệ thống khỏc
- Cung cấp 1 số kĩ thuật bảo mật (security) và thiết lập Filewall cho hệ thống như Authentication,
- Publish Server, giới hạn traffic.
- Cung cấp 1 số kĩ thuật cache thụng minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
dung truy cập
+ Cú thể điều khiển truy xuất HTTP dựa trờn chữ kớ (signature). + Điều khiển 1 số phương thức truy xuất của HTTP.
5.2.3. CÀI ĐẶT ISA 20041.Yờu cầu phần cứng 1.Yờu cầu phần cứng
- Bộ xử lý( CPU):Intel hoặc AMD 500Mhz trở lờn.
- Hệ điều hành( OS):Windows 2003 hoặc Windows 2000 (Service pack 4). - Bộ nhớ( memory):256 (MB) hoặc 512 MB cho hệ thống khụng sử dụng Web caching, 1GB cho Web-caching ISA firewalls.
- Khụng gian đĩa( disk place): ổ đĩa cài đặt ISA thuộc loại NTFS file system, ớt nhất cũn 150 MB dành cho ISA.
- Card mạng : 2 card mạng
2. Cài đặt ISA serverC. CẤU HèNH ISA 2004 C. CẤU HèNH ISA 2004
1.Tạo Rule hạ tầng giao dịch cho cỏc giao dịch mạng nội bộ. 2.Tạo Rule hợp lý cho cỏc nhõn viờn trong việc sử dụng Internet 3.Tạo Rule Public Server cho bờn ngoài truy cập vào Server của
♣ VPN: Cú 2 kiểu
I. VPN Client to GatewayVPN Gateway To Gateway II. VPN Site To Site
4.Triển khai chế độ giỏm sỏt truy cập vào mạng hoặc ra bờn ngoài mạng (monitoring).
CHƯƠNG 4: KẾT LUẬN
I. CễNG TY PHÁT TRIỂN THấM HỘI SỞ CHI NHÁNH
- Sơ đồ mạng của cụng ty cú thể phỏt triển cho chi nhỏnh theo cụng nghệ VPN Site to Site.
LOADBALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL
- Để giải quyết được cỏc vấn đề nờu trờn, trong 1 hệ thống mạng lớn ta cần cú nhiều đường truyền ADSL để cõn bằng tải (Loadbalancing) và hỗ trợ khả năng chịu lỗi (Failover) cho cỏc kết nối Internet
- Để cấu hỡnh Loadbalancing và Failover cho nhiều đường truyền Internet ta cú rất nhiều giải phỏp như: DrayTek Vigor, Pfsense, MS ISA Server, Kerio WinRoute Firewall…Loadbalancing và Failover cho nhiều đường truyền Internet trờn Kerio WinRoute Firewall 6.5
+ Ưu điểm của Kerio Winroute Firewall 6.5: • Giỏ license khụng cao, tham khảo
http://www.kerio.com/kwf_price.html • Đơn giản cài đặt và cấu hỡnh
• Hỗ trợ đầy đủ cỏc tớnh năng bảo mật: AntiVirus, Traffic Policy, Content Filtering…
Tham khảo tại http://www.msopenlab.com
III. CễNG TY CẦN Cể MỘT HỆ THỐNG MẠNG BẢO MẬT CAO HƠN
- Đõy là mụ hỡnh xõy dựng trờn nền tản ISA Server 2004 theo cụng nghệ Back to Back.
- Ưu Điểm:
- Khả năng bảo mật cao.
- Gõy khú khăn cho Hacker từ bờn ngoài tấn cụng vào. - Nhược điểm:
- Chi phớ cao.
Sau khi hoàn thành xong đồ ỏn em đó thu được những kết quả sau:
• Tỡm hiểu được thờm về mạng mỏy tớnh.Xõy dựng mụ hỡnh mạng doanh nghiệp
• Tỡm hiểu được hoạt động,cài đặt và cấu hỡnh cho mạng doanh nghiệp thụng dụng.
• Bước đầu thực hành được cỏc bước làm trờn switch và router
• Qua đõy em hiểu được hoạt động của dịch vụ ISA 2004 và cơ chế làm việc của ISA và mail EXCHANGE
• Ngoài ra nắm được cỏc cỏch cài đặt và cấu hỡnh hoạt động của cỏc dịch vụ mạng như WEB, DNS, DHCP, ADSL SVIC
• Vỡ ngành cụng nghệ thụng tin núi chung và Mạng núi riờng ngày càng được phỏt triển mạnh và ứng dụng nhiều vào thực tế
1. Mạng mỏy tớnh và cỏc hệ thống mở, tỏc giả Nguyễn thỳc Hải nhà xuất bản giỏo dục năm 2000
2. Deploying virtual private Networks with Microsoft Windows Server 2003 – Joseph Davies & Elliot Lewis – Microsoft Press
3. Website VietCERT Co., Ltd: http://vietnamlab.com
4. Website Quản trị mạng: http://quantrimang.com
5. Vào trang web học viện: http://vietchuyen.org
6. Giỏo trỡnh dịch vụ mạng windows 2003, tỏc giả Tiều Đụng Sơn nhà xuất bản đại học quốc gia tp hồ chớ minh năm 2006