- TÌM HIỂU ISA 2006 , CÀI ĐẶT VÀ CẤU HÌNH ISA SERVER 2006 A. GIỚI THIỆU:
-Đây là phân mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa( filewall) tốt, nhiều tính năng cho phép cấu hình sao cho tương thích với mạng LAN . Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache)
và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). + Đặc điểm:
-Cung cấp tính năng Multi networking: kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập filewall để lọc thông tin dựa trên từng địa chỉ mạng con,…
-Unique per-network policies: đặc điểm Multi-networking được cung cấp trong ISA Server
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
-Cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các clients bên ngoài internet, bằng cách tạo ra 1 vùng mạng ngoại vi perimeter network ( được xem là vùng DMZ_ demilitarized zones,hoặc creened subnet), chỉ cho phép clients bên ngoài truy xuất vào các server trên mạng ngoại vi, không cho pháp client bên ngoài truy xuất vào mạng nội bộ.
-Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng mạng. -NAT and route network relationships: cung cấp kĩ thuật NAT và định tuyến dữ liệu cho mạng con.
-Network templates: cung cấp các mô hình mẫu (network templates) về kiến trúc mạng, kèm theo 1 số luật cần thiết cho (network templates) tương ứng. - Cung cấp 1 số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy xuất mạng từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access
policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên hệ thống khác
-Cung cấp 1 số kĩ thuật bảo mật (security) và thiết lập Filewall cho hệ thống như Authentication,
-Publish Server, giới hạn traffic.
-Cung cấp 1 số kĩ thuật cache thong minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web. -Cung cấp 1 số tính năng hiệu quả như: giám sát lưu lượng , reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kĩ thuật gởi thong báo qua email…
-Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. 1 số đặc điểm nỗi bậc của ALF:
+Cho phép thiết lập HTTP inbound và outbound HTTP.
+Chặn được tất cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,bat,…
+Có thể giới hạn HTTP download.
+Có thể giới hạn truy xuất Web cho tất cả các clients dựa trên nội dung truy cập +Có thể điều khiển truy xuất HTTP dựa trên chữ kí (signature).
+Điều khiển 1 số phương thức truy xuất của HTTP.
B. CÀI ĐẶT ISA 2006 1.Yêu cầu phần cứng
- Bộ xử lý( CPU):Intel hoặc AMD 500Mhz trở lên.
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
- Hệ điều hành( OS):Windows 2003 hoặc Windows 2000 (Service pack 4). - Bộ nhớ( memory):256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching,
1GB cho Web-caching ISA firewalls.
- Không gian đĩa( disk place): ổ đĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành cho ISA.
- Card mạng : 2 card mạng
2. Cài đặt ISA server
- Địa chỉ IP máy ISA
LAN WAN IP : 192.168.10.254 IP : 192.168.1.2 Sub :255.255.255.0 Sub :255.255.255.0 DG: trống DG: 192.168.1.1 DNS : 192.168.10.1 DNS : 192.168.1.1 BẢNG 3.2 C. CẤU HÌNH ISA 2006
1.Tạo Rule phân giải tên miền DNS nội bộ. 2.Tạo Rule Truy Cập Web .
3.Tạo Rule Public Server cho bên ngoài truy cập vào Server của trường.
4. Tạo Rule trong giờ làm việc không được download và truy xuất tới các File cài đặt.
5. Tạo Rule trong giờ làm việc chỉ được đọc tin tức , không được xem phim ,nghe nhạc.
6 . Cấm một số trang web và chuyển hướng về trang http://vnexpress.net
7 . Tạo Rule Gửi Nhận Mail .
3.1.5 Máy Ảo 3 : Client 1
IP : 192.168.10.2
Sub : 255.255.255.0
DG : 192.168.10.254
DNS: 192.168.10.1
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
BẢNG 3.3
- Cài Windows XP Professional service pack 2 . - Join vào domain pci.edu.vn .
- Vai trò là 1 client trong mạng internal của ISA .
3.1.6 Máy ảo 4 : Giả Lập Router
Giả Lập Router + Card LAN IP : 192.168.1.1 Sub : 255.255.255.0 DG : trống DNS : trống + Card WAN IP : 203.162.1.1 Sub : 255.255.255.0 DG : trống DNS : trống BẢNG 3.4
- Cài đặt dịch vụ Windows Server 2003 và DNS Server. - Tạo Primary Zones NAT.com.vn
- Tạo Reverse Look Zones - Tạo host www.NAT.com.vn - Nat Web Server ra internet .
- Tạo kế nối VPN cho nhân viên có thể làm việc từ xa .
3.1.7 Máy Ảo 5 : Client 2
IP : 203.162.1.2
Sub : 255.255.255.0
DG : 203.162.1.1
DNS : 203.162.1.1 BẢNG 3.5
- Cài Windows XP Professional service pack 2 . - Vai trò là 1 client ngoài internet.
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG Chương 4 HƯỚNG PHÁT TRIỂN
4.1 PHÁT TRIỂN THÊM CƠ SỞ MỚI
- Nhà trường mới xây dựng thêm một cơ sở mới ,theo đó phải thêm các trang thiết bị mới phục vụ cho việc trao đổi mạng trên cơ sở mới này.
4.1.1 Trang thiết bị trên thực tế
HÌNH ẢNH TÊN THIẾT BỊ SỐ
LƯỢNG
Switch TP-LINK 24 port 3
Switch 8 port 2 Máy Tính 16 Modem ADSL 1 Access Point 1 Wall Plate 28 RJ45 110 Cat-5e Cable 1000 m Cat-6 Cable 160 m BẢNG 4.1
- Link đi các tầng 1,4,6 ta cần dùng Cat-6 -Dây đi các phòng dùng Cat-5e
-Tính số dây cần đi:
+ Link xuống tầng 1 : 40 m
+ Link lên tầng 4 : 30 m X 2 = 60 m
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG + Link lên tầng 6 : 60 m + Tầng 1 :40 m + Tầng 2: 160 m + Tầng 3 : 210 m + Tầng 4 : 220 m + Tầng 5 : 210 m + Tầng 6 : 160 m
4.1.2 Sơ đồ cấu trúc các phòng ban
T6 Khoa Điện-Tự Động Hóa A 601 A 602 A 603 A 604 A 605 T5 A 501 A 502 A 503 Kĩ Thuật Điện A 504 Phòng Thí Nghiệm Tự Động Hóa A 505 T4 Trưởng Khoa Kinh Tế A 401 Phòng GV Kinh Tế A 402 A 403 A 404 A 405 T3 A 301 A 302 Thực Hành Kế Toán 1 A 303 Thực Hành Kế Toán 2 A 304 A 305 T2 Ban Quản Lý Dự Án A 201 A 202 A 203 A 204 A 205
T1 A 101 A 102 Trưng Bày Giới
Thiệu Khối Nghiệp Vụ
SƠ ĐỒ 4.1
4.1.3 Sơ đồ logic các phòng ban
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
SƠ ĐỒ 4.2
4.2 BẢO MẬT
4.2.1 Mã hóa dữ liệu
+ Khái niệm mã hóa dữ liệu đề cập đến những phép tính toán học và chương trình thuật toán chuyển văn bản gốc thành dạng văn bản mã hóa, đây là một dạng thức khiến cho những người không được ủy quyền không thể đọc được. Người nhận tin nhắn mã hóa sẽ sử dụng một khóa tạo nên cơ chế thuật toán để giải mã dữ liệu, chuyển nó trở về phiên bản văn bản ban đầu.
+ Trước khi có Internet, phương pháp mã hóa dữ liệu rất ít khi được sử dụng rộng rãi vì nó được coi là công cụ bảo đảm an ninh trong lĩnh vực ngoại giao và quân sự nhiều hơn. Tuy nhiên từ khi dịch vụ ngân hàng, mua sắm trực tuyến và các dịch vụ khác trở nên phổ biến thì ngay cả những người chỉ có nhu cầu sử dụng Internet cơ bản tại nhà cũng biết đến mã hóa dữ liệu.
+ Hiện nay ngành công nghiệp tài chính ngày càng sử dụng giải pháp này nhiều hơn để bảo vệ cho việc giao dịch chuyển tiền, những người hoạt động thương mại điện tử sử dụng để bảo vệ cho thông tin thẻ tín dụng khi thực hiện hoạt động thương mại và
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
các công ty sử dụng để bảo đảm tính an toàn cho thông tin liên lạc cá nhân nhạy cảm và lưu trữ dữ liệu (cơ sở dữ liệu).
+ Các trình duyệt web ngày nay tự động mã hóa văn bản khi thực hiện kết nối với máy chủ cần bảo mật. Việc này được dùng để ngăn không cho kẻ xấu xâm nhập vào liên lạc cá nhân. Ngay cả khi họ có khả năng lấy được tin nhắn, giải pháp mã hóa cũng chỉ cho họ xem văn bản ở dạng hỗn độn không thể nhận biết được hoặc được gọi là dạng ngữ pháp không thể đọc. Khi đến với người nhận, dữ liệu sẽ được giải mật mã để cho phép người nhận để xem văn bản gốc của tin nhắn.
+ Khi internet được mở dưới dạng tự nhiên mà mọi người đều có thể xem được và việc lướt web không được bảo đảm an toàn, thì sự áp dụng giải pháp mã hóa dữ liệu trong môi trường liên lạc chung như gửi email và tin nhắn nhanh có thể sẽ trở nên phổ biến hơn. Nếu không có cơ chế bảo mật, thông tin truyền qua internet có thể dễ dàng bị bất cứ ai lấy được và xâm phạm. Dữ liệu quan trọng này có thể được thỏa hiệp theo nhiều cách, đặc biệt là khi được lưu trữ trong các máy chủ bị thay đổi người sử dụng theo thời gian. Xét về mặt tội phạm trộm cắp, kẻ trộm thông tin nhận dạng cá nhân đang ngày càng gia tăng, vì vậy giải pháp mã hóa dữ liệu rất đáng theo đuổi.
+ Mã hóa dữ liệu hay được gọi là mã hóa tập tin là một quá trình mà các dữ liệu dạng văn bản gốc được chuyển thành văn bản mật mã để làm nó không thể đọc được. + Được biết đến phổ biến hơn với tên gọi "mã hóa", quá trình này có thể được thực hiện theo nhiều cách khác nhau, và với mức độ đảm bảo an toàn khác nhau.
+ Một số giải pháp mã hóa dữ liệu tối ưu có thể được sử dụng qua nhiều thế kỷ, trong khi các phương pháp giải mã khác có thể bị phá vỡ bởi những người có kỹ năng về lĩnh vực này trong vòng vài phút hoặc thậm chí vài giây.
+ Trong thời đại công nghệ số, hàng ngày mọi người phải phụ thuộc nhiều vào mã hóa dữ liệu. Rất có thể là bạn cũng đã từng nhận hoặc gửi những dữ liệu mã hóa vì mục đích nào đó, thậm chí dù bạn không trực tiếp thực hiện việc mã hóa hoặc giải mã dữ liệu.
+ Trong quá trình này, một đoạn văn bản gốc thông thường chỉ có thể được đọc bởi những người có khóa để chuyển đổi nó.
+ Giải pháp mã hóa dữ liệu được kiểm soát hoặc giới hạn ở nhiều nước. Nhiều nước đã ban hành hoặc đang xét duyệt những bộ luật dùng để duy trì tính cưỡng chế thực thi pháp luật và khả năng bảo đảm an ninh quốc gia thông qua các quy định của công nghệ này.
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
Chương 5 CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ
5.1 ĐỀ PHÒNG XÂM NHẬP VÀ VỮNG CHẮC HÓA HỆ THỐNG MẠNG
- Bỏ chế độ share ẩn mạc định của các ổ đĩa trên máy server Nếu có điều kiện thì nên cách ly vật lý cho các Server
(Tốt nhất là có phòng cách ly cho Server hoặc có tủ cho Server) - Disable service không cần thiết
(Cải thiện tốc độ mạng và an toàn về vấn đề bảo mật) - Update các Hotfix,Service Pack
(Đảm bảo cho hệ thống mạng an toàn thoát khỏi các cuộc tấn công của các hacker)
- Rename admin account , đặt pass có độ phức tạp cao - Không ngồi tại máy server truy cập Internet
(Có thể sử dụng Dịch vụ Remote Access để kiểm soát Server hoặc có chế độ update cho server hợp lý)
- Dùng tài khoản thường để lock màn hình server khi không làm việc - Cài đặt WSUS Server (Windows server update service server)
- Triển khai Audit policy cho hệ thống
(Nhằm giám sát lưu lượng mạng và đề phòng xâm nhập)
- Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệ thống nhằm vững chắc hệ thống mạng
- Dùng Certificate mã hóa dữ liệu trên đường truyền ( hệ thống Domain ) - Triển khai Certificate cho Web mã hóa SSl ( Secure socket layer): ( Nhằm đảm bảo an toàn trong giao dịch Web )
- Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu cho người dùng mạng.
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG
5.2 MỘT SỐ GIẢI PHÁP THÔNG DỤNG CẦN CÓ CHO HỆ THỐNG MẠNGBạn không thể biết trước được khi nào hệ thống mạng gặp sự cố . Vì sự cố có Bạn không thể biết trước được khi nào hệ thống mạng gặp sự cố . Vì sự cố có thể đến tự nhiên , cố ý hoặc vô tình của người sử dụng , virus , hư hỏng phần cứng , mất điện .v.v… Một khi sự cố xãy ra thì sẽ rất là mất thời gian nếu chúng ta không có sự chuẩn bị từ trước . Vì vậy , bạn cần phải có những giải pháp hợp lý để có thể khắc phục sự cố một cách nhanh chóng , đem lại sự tin cậy cho hệ thống mạng . Chính vì vậy nhóm chúng em xin đưa ra một số giải pháp phù hợp với tình hình của công ty để đảm bảo an toàn cho hệ thống mạng cho công ty như sau :
A.GIẢI PHÁP PHẦN CỨNG
- Do tình hình thường xuyên xãy ra mất điện có thể làm hư hỏng server nên chúng ta cần phải có thiết bị lưu trữ tạm thời như USP .
B.GIẢI PHÁP BACKUP DỮ LIỆU
- Chúng ta đã biết dữ liệu của một công ty là rất quan trọng . Không thể nào nói dữ liệu sẽ mất hết khi có sự cố xãy ra . Chính vì vậy người quản trị mạng phải có nhiệm vụ dự phòng một cách an toàn , tránh mất mát dữ liệu cho công doanh nghiệp ,nhà trường.
- Có rất nhều biện pháp khắc phục sự cố cho hệ thống mạng như : NTBACKUP(Được tích hợp trong Win) , Veritas , Arcserve, Novanet, Retrospect, ...
∙ Trong phần này nhóm cúng em xin đề cập tới NTBACKUP do nó đã được tích hợp sẵn trên Win .
C. Tạo danh sách dự phòng cho các tài khoản , nhằm cải thiện việc tạo tài khoản bằng tay rất mất nhiều thời gian :
- Trường hợp hệ thống bị hư hoàn toàn phải làm lại từ đầu . Tài khoản doanh nghiệp ,nhà trường.có rất nhiều nếu như chúng ta tạo lại bằng tay rất mất thời gian . Vì thế ta phải có sự chuẩn bị từ đầu , trong phần này nhóm em xin đưa ra một Script có thể tự động add user từ một danh sách đã chuẩn bị từ trước .
D.Giải pháp sử dụng cấu hình ổ cứng theo các chuẩn như Micro , Raid – 5
- Nếu doanh nghiệp ,nhà trường có điều kiện về tài chính giải pháp về Micro , Raid – 5 là không thể không đề cập tới . Đây là kiểu ổ cứng kết hợp Backup và tăng tốc xử lý cho server . Điều này giúp cho công việc nhanh và an toàn hơn .
E.Giải pháp Cài Window Qua Mạng
- Nếu hệ thống mạng bị phá hủy hoàn toàn thì việc cài Win cho các client là một công việc khó khăn , tốn rất nhiều thời gian .
GVHD : NGUYỄN NGỌC QUỲNH SVTH : NGUYỄN VĂN CẢNH
NGHIỆP ,NHÀ TRƯỜNG KẾT LUẬN
Kết quả đạt được của đề tài “CÀI ĐẶT,CẤU HÌNH,TRIỂN KHAI CÁC DỊCH VỤ MẠNG CHO DOANH NGHIỆP ,NHÀ TRƯỜNG”
- Nắm vững được phần tổng quan về xây dựng và triển khai hệ thống,bảo mật mạng hệ thống bất kì.
- Hiểu được các khái niệm cơ bản về File,web,Firewall Server.
- Thực hiện được các yêu cầu cài đặt và cấu hình cơ bản cho một hệ thống Server – Client – Mail và ISA Server Firewall 2006.
- Thiết lập được các rule ISA Server 2006 để đáp ứng cho các yêu cầu về quản lí và bảo mật cho doanh nghiệp vừa và nhỏ.