Báo cáo Xây dựng và triển khai việc bảo mật cho doanh nghiệp

ISA Server. 3.Nhấp phải vào Firewall Policy chọn New -> Access Rule. 4.Đặt tên cho Rule này ví dụ là Allow Internet,click next 5.Trong Rule Action chọn Allow,click Next 6.Trong Protocol bạn chọn All outbound traffic và nhấp Next. 7.Tại Access Rule Sources nhấp Add. 8.Chọn Internal và Local Host trong thư mục Networks. 9.Màn hình sau khi hoàn tất,click Next 10.Tại Access Rule Destinations Add External vào,click Next 11.Nhấp Next. 12.Click Finish. 13.Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để thực thi Rule này. 14.Bây giờ tại máy Server bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của ISA. Sau đây chúng em xin giới thiệu 3 cách để ra Internet với những ưu,nhược điểm khác nhau.Để đơn giản em xin chọn cách Proxy trong xuốt quá trình làm.Nhưng thực tế thì chúng ta nên chọn cách Firewall Client thì tốt hơn. 2.10.10.2 Cài Đặt Máy Client theo cách Secure NAT Một SecureNAT Client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2006 firewall gắn với Network đó . Nếu SecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2006 firewall à ra Internet Ưu điểm: Kiểm soát được tất cả mọi Port ra vào hệ thống Nhược điểm: Không kiểm soát được User, trang web... 1.Tại máy client khai báo các ip đầy đủ các thông tin sau, click Ok. IP:172.16.0.8 SM:255.255.0.0 GW:172.16.0.1 DNS:172.16.0.2 2.Sau khi khai báo xong ta vào internet truy cập nhật thử vào trang http:// www.google.com.vn và các trang web khác. 2.10.10.3 Cài Đặt Máy Client theo cách Web Proxy client Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2006 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2006 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có thể kết nối Internet. Tên của User –User names được hi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client. Ưu điểm:Kiểm soát được mọi User, trang web... Nhược điểm:Chỉ kiểm soát được các Port 443,80,21 1.Tại máy client khai báo ip như sau (không có GW và DNS). IP:172.16.0.3 SM:255.255.0.0 GW:Trống DNS:Trống 2.Vào internet vào menu tools chọn Internet Options,chọn thẻ Connections,ấn Lan setting. 3.Check vào Use a proxy server for your Lan,nhập vào ip của card INT ISA port 8080,Ok,Ok. 4.Truy cập thử vào trang http:// www.google.com.vn 2.10.10.4 Cài Đặt Máy Client theo cách Firewall Client: Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2006 firewall. Ưu điểm: Kiểm soát được tất cả mọi Port ra vào hệ thống.Kiểm soát được mọi User, trang web... Nhược điểm: Chỉ hỗ trợ các hệ điều hành Windows 1.Tại máy client khai báo như hình sau: IP:172.16.0.5 SM:255.255.0.0 GW:Trống DNS:Trống 2.Vào ổ đĩa chứa source ISA server 2006 chọn mục Client,double click vào file setup.exe hay file MS_FWC.MSI để cài firewall client. 3.Click Next trong Wellcome to the Install Wizard for Microsoft Firewall Client. 4.Chọn I accept the terms in the license agreement trong License Agreement,chọn Next. 5.Chọn Next trong Destination Folder. 6.Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy ISA Server,chọn Next 7.Chọn Install trong Ready to Install the Program. 8.Quá trình cài đặt diễn ra. 9.Click Finish. Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client. 10.Tại máy Firewall Clien mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections. 11.Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại Proxy 12.Truy cập vào trang để kiểm tra. Tại thời điểm này, ISA Server 2006 Firewall đã sẵn sàng cho các Admin cấu hình các truy cập ra ngoài (outbound) hoặc vào trong (inbound) qua Firewall.Tuy nhiên,trước khi khởi hành tạo các chính sách truy cập- Access Policies,các Security Admin nên back-up lại cấu hình mặc định của ISA Server 2006 Firewall. Điều này cho phép bạn phục hồi ISA Server 2006 Firewall về trạng thái ban đầu sau cài đặt.Điều này là cần thiết cho các cuộc kiểm tra và khắc phục các sự cố trong tương lai. 2.10.10.5 Tiến hành Back-up cấu hình mặc định ngay sau cài đặt ISA 2006 1.Click phải vào firewall policy chọn Export →Next 2.Có thể đặt password cho file backup ví dụ là:12345678→Next 3.Chọn ổ đĩa cần lưu file backup,click OK rồi click Next 4.Click Finish. 2.10.10.5 Tiến hành Restore Ví dụ:Chọn access rule Allow Internet chọn delete 1.Click phải vào firewall policy chọn Import→Next 2.Click browse…Chọn file cần restore→Next 3.Tiếp tục ấn Next. 4.Nhập password của file backup.Click Next 5.Click Finish,rồi nhấn Apply ở cửa sổ ISA Server Management. 2.10.10.6 Cấu hình Access Rules để tạo Group KD và Sếp Ở đây chúng ta sẽ xóa rule Allow Internet và sẽ dùng Proxy để các máy ra mạng.Như vậy ta đã hoàn tất các bước cài đặt ISA Server và cấu hình cho tất cả các máy từ Internal Network có thể truy cập ISA Server (Local Host) bằng Firewall Client. Và như chúng đã biết sau khi cài đặt xong ISA Server lập tức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network không thể truy cập được ra ngoài (mạng Internet) và ngược lại. Hay nói một cách khác ISA Server đã khóa tất cả mọi Port ra vào hệ thống.Như vậy chúng ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet.Tuy nhiên chúng ta không mở một cách tùy tiện các Port này mà chỉ mở khi nào thực sự cần thiết mà thôi. Tại máy Server bật Active Directory Users and Computers lên và tạo 2 Group là Kinhdoanh và Sep và add user1 vào Group Kinhdoanh,add user2 và Administrator vào Group Sep. 2.10.10.7 Tạo rule Internal Network truy cập Local Host Đầu tiên để các máy trong Internal Network có thể truy cập được Local Host và ngược lại ta phải tạo một Access Rule 1.Ta đặt tên cho Rule này là Internal VS Local Host,click Next 2. Tại Rule Action chọn Allow,click Next 3. Chọn tiếp All outbound traffic. 4. Trong Access Rule Sources chọn thuộc tính là Internal 5.Tương tự trong Access Rule Destinations chọn thuộc tính là Internal và Local Host 6.Trong User Sets chọn All User 7.Sau đó chọn Finish. 8. Màn hình sau khi hoàn tất. Màn hình Rule Internal VS Local Host sau khi được tạo xong như vậy với Rule này chúng ta có thể hiểu như sau: Đồng ý cho tất cả các giao thức (mọi Port) từ Internal sang Local Host và ngược lại, quyền này được gán lên mọi User có trong mạng Internal. 2.10.10.8 Tạo rule DNS Tiếp theo để các máy trong Internal Network truy cập ra Internet được bằng domain name của một trang Web nào đó ví dụ như google.com.vn chẳng hạn thì đòi hỏi phải có một DNS Server nào đó phân giải giúp ta tên miền này,mà trong này chính là DNS Server của nhà cung cấp dịch vụ ISP mà ta đang sử dụng. Như vậy sẽ tạo tiếp một Access Rule có thuộc tính sao cho các máy trong Internal Network có quyền truy vấn đến các DNS Server bên ngoài. Cho phân giải tên miền DNS: 1.Vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management. 2.Màn hình chính của chương trình ISA Server. 3.Nhấp phải vào Firewall Policy chọn New -> Access Rule. 4. Đặt tên cho Rule này là DNS Query. 5.Tại cửa sổ Protocol ta không chọn All outbound traffic nữa mà chỉ mở duy nhất một Port 53 để truy vấn DNS mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add. 6.Nhấp chọn DNS trong Folder Common Protocols. 7.Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal 8.Tương tự trong Access Rule Destinations chọn duy nhất 1 thuộc tính là External 9.Trong User Sets chọn All User,chọn Next. 10.Sau đó chọn Finish. 11. Màn hình sau khi hoàn tất Như vậy với Rule DNS Query này chúng ta có thể hiểu như sau: Đồng ý cho giao thức DNS (duy nhất Port 53) theo một chiều từ Internal sang External, quyền này được gán lên mọi User có trong mạng Internal.Như vậy khi các máy trong Internal Network truy cập một trang web nào đó đầu tiên nó sẽ hỏi DNS Server của hệ thống chúng ta (tức là Server) và tất nhiên DNS Server chúng ta không thể hiểu được Domain name này và ngay lập tức DNS Server này sẽ hỏi tiếp các DNS Server bên ngoài nhờ ISA đã mở Port 53.Tuy nhiên thực chất cho đến lúc này các máy trong Internal Network vẫn chưa truy cập được các trang Web mình mong muốn vì thực tế ISA Server chỉ mở duy nhất một Port 53 mà thôi trong khi đó để truy cập Web chúng ta cần mở tiếp các Port 80 (http), Port 443 (https), Port 21 (ftp)... 2.10.10.9 Tạo rule cho Group Kinh Doanh bị giới hạn trang web và thời gian truy cập Tiếp đến ta sẽ tạo một Access Rule sao cho các User trong Group Kinh Doanh được phép truy cập Internet nhưng sẽ bị giới hạn về thời gian và chỉ được phép truy cập một số trang Web nào đó mà thôi. 1.Ta đặt tên cho Rule này là Web Group KD 2.Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add 3.Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào. 5.Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal 6.Tuy nhiên trong Access Rule Destinations ta không chọn thuộc tính là External nữa vì như thế các User có thể truy cập mọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi. Nên ta chọn Add 7.Trong cửa sổ Add Network Entities chọn New -> URL Set 8.Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Allow Web Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào theo cú pháp: http://*./* http:///* Như vậy với mỗi trang Web chúng ta cần phải nhập 2 dòng theo cú pháp trên. Trong này ví dụ tôi cho phép User có quyền truy cập 2 trang nhatnghe.com và google.com.vn mà thôi. 9.Trở lại cửa sổ Add Network Entities chọn URL Set -> Allow Web 10.Vì chúng ta muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets chọn All User và Remove nó đi.Sau đó nhấp Add để thêm Group mới 11. Trong cửa sổ Add Users chọn New 12. Đặt tên cho Users Set này là Group KD 13.Trong cửa sổ Users nhấp Add -> Windows users and groups Vì đối tượng mà ta muốn tác động là Group Kinh Doanh trên máy DC Server nên tại đây ta phải chọn Entire Directory để truy cập Users Database trên DC Server 14.Trong Select users or groups chọn Locations 15.Chọn Entire Directory -> viet.com 16.Tiếp tục Add Group Kinh Doanh vào 17.Trở lại màn hình Add Users chọn Group KD 18.Màn hình sau khi hoàn tất Như vậy với Rule Web Group KD này ta có thể hiểu như sau:Đồng ý cho các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Allow Web, quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal. 19.Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cách Double click lên Rule Web Group KD và chọn Tab Schedule 20.Nhấp New để tạo một Schedule mới và đặt tên là Set Times 21.Tiếp tục chọn Active như hình bên dưới (8h->12h & 14h->18h của các ngày thứ 2->thứ 6) 22.Màn hình sau khi hoàn tất Như vậy với tùy chọn này các User thuộc Group Kinh Doanh chỉ được truy cập các trang Web thuộc danh sách Allow Web vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ 2->thứ 6 mà thôi. Bây giờ tại máy Client tôi đăng nhập với user1 và tiến hành test thử xem thế nào.Đầu tiên chúng ta vào trang Web www.tuoitre.com.vn sẽ nhận thấy thông báo từ ISA là "ISA Server đã từ chối yêu cầu này", vì user1 thuộc Group Kinh Doanh và truy cập trang Web không nằm trong danh sách Allow Web. Tuy nhiên nếu chúng ta truy cập các trang nhatnghe.com & google.com.vn thì rất tốt vì các trang này thuộc danh sách Allow Web Đến thời điểm này ta chỉ cho phép các User thuộc Group Kinh Doanh truy cập Web mà thôi còn với các User khác thì vẫn chưa được phép. Như vậy chúng ta sẽ tạo một Rule mới sao cho các Users thuộc Group Sep sẽ truy cập được mọi trang Web và mọi giao thức. 2.10.10.10 Tạo rule cho group Sep được toàn quyền truy cập 1.Ta đặt tên cho Rule này là Sep 2.Và có thuộc tính như sau: Rule Action: Allow Protocol: All outbound traffic Access Rule Sources: Internal Access Rule Destinations: External User Sets: Group Sep (Thao tác tương tự như tạo Web Group KD) 3.Màn hình sau khi hoàn tất. Như vậy với Rule Sep này ta có thể hiểu như sau:Đồng ý cho mọi giao thức (tất cả các Port) theo một chiều từ Internal sang danh sách External, quyền này được gán lên mọi User có trong Group Sep của mạng Internal. Tại máy Client Logon với Administrator hay user2 sẽ thấy truy cập được mọi trang Web. 2.10.10.11 Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express hoặc có thể dùng Microsoft Office Outlook 2007,nhưng cho để đơn giản ta dùng Outlook Express: 1.Vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management. 2.Tạo Access Rule với tên là Gởi nhận mail(SMTP/POP3). 3.Tại Rule Action chọn Allow 4.Tại cửa sổ Protocol ta giữ nguyên chế độ Selected protocols chọn Add. 5.Lần lượt Add 2 giao thức POP3S,SMTPS. 6.Tiếp tục chọn Next. 7.Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal 8.Trong Access Rule Destinations ta chọn thuộc tính là External. 9.Trong User Sets chọn All User,chọn Next. 10.Sau đó chọn Finish. 11.Màn hình sau khi hoàn tất. 12.Log on User2 trên máy Client, vào Start\Programs,chọn OutlookExpress 13.Trong khung Display Name, bạn gõ tên vào. Ví dụ:User2 . Nhấn Next 14. Trong khung email address,điền địa chỉ yahoo của bạn (Ví dụ: lehuonggiang39@yahoo.com.vn) Nhấn Next 15.Trong hộp thoại E-mail Server Names, trong khung My incoming mail server,bạn chọn là POP3 - Incoming mail: pop.mail.yahoo.com.vn - Outgoing mail: smtp.mail.yahoo.com.vn nhấn Next 16.Trong hộp thoại Internet Mail Logon, nhập account và password vào (không điền @yahoo.com.vn) 17.Tiếp theo, vào Tools, chọn Accounts 18.Qua tab Mail, nhấn Properties 19.Trong hộp thoại Properties, qua tab Advanced. - Trong khung Outgoing mail (SMTP): bạn gõ vào 465 - Trong khung Incoming mail (POP3), bạn gõ vào 995 và đánh dấu check vào ô chọn This server requires a secure connection - Trong khung Delivery, đánh dấu check vào Leave a copy of messages on server 20.Qua tab Server chon My server requires authentication.Chọn Apply, OK 21.Sau đó, nhấn vào biểu tượng Send/Receive, bạn sẽ nhận được mail từ yahoo tải về. Vậy là từ nãy đến giờ ta chỉ tìm hiểu về các thức tạo các Rule nhưng với Action là Allow mà thôi bây giờ ta sẽ tạo các Rule nhưng với Action là Deny 2.10.10.12 Tạo rule cấm Sếp truy cập Web đen: 1.Tạo một Access Rule mới với tên là Cam Sep truy cap Web den: 2.Tại Rule Action không chọn Allow nữa mà chọn Deny 3.Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi. 4.Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal 5.Tiếp đến trong Access Rule Destinations ta không chọn thuộc tính là External mà tạo một URL Set mới đặt tên là Deny Web 6.Và tạo một danh sách các trang Web mà ta cấm các User truy cập vào đây trong ví dụ này giả sử ta định nghĩa trang www.tuoitre.com.vn là Web đen và ta muốn ngăn chặn nó. 7.Trong User Sets chọn Group Sep 8.Màn hình sau khi hoàn tất 9.Tại máy client truy cập vào trang lúc này không thể truy cập được nữa. Như vậy với Rule Cam KD truy cap Web den này ta có thể hiểu như sau:Ngăn cấm các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Deny Web, quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal. Màn hình Web Browser sẽ hiện lên trang Web thông báo từ ISA Server cho biết nội dung mà chúng ta không thể truy cập Web được.Tuy nhiên trang này chỉ có các chuyên viên IT thì mới hiểu là gì, trên thực tế với người dùng bình thường họ không biết là chúng ta đã ngăn cấm việc truy cập này.Như vậy để cho đơn giản hơn khi người dùng truy cập những trang Web cấm ta nên Redirect đến một trang Web khác mà nội dung sẽ thông báo chi tiết hơn cho người dùng hiểu rõ vấn đề. 2.2.10.13 Tạo bảng thông báo cấm truy cập Giả sử tại máy ISA tôi đã cài IIS và tạo một trang iisstart.htm có nội dung:”Ban khong duoc phep truy cap trang nay”.Moi chi tiet xin lien he Administrator 1.Trở lại màn hình ISA Server nhấp phải vào Rule Cam KD truy cap Web den và chọn Properties 2.Chọn tiếp Tab Action -> Deny 3.Nhấp chọn Redirect HTTP requests to this Web page và nhập địa chỉ máy ISA Server vào: 4.Trở lại máy Client Logon với user1 và truy cập lại trang www.tuoitre.com.vn sẽ thấy Web Browser không hiển thị trang báo lỗi mặc định của ISA Server nữa mà đã tự chuyển về trang Web mà ta tạo lúc nãy. 2.10.10.14 Tạo Modify Rule cho Group chỉ xem được văn bản text khi truy cập Web Tiếp theo ta sẽ Modify Rule Sep sao cho các User trong Group Sep được phép truy cập mọi trang Web nhưng không được xem ảnh, video, file... mà chỉ được xem văn bản Text thuần túy mà thôi. 1.Nhấp phải vào Rule Sep chọn Properties 2.Chọn Tab Content types 3. Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là: Documents,HTML Documents,Text 4.Màn hình sau khi hoàn tất 5.Trở lại Client Logon với Administrator hay user2 vào một trang Web tùy ý sẽ thấy hình ảnh, video... không được hiển thị mà chỉ có thuần túy Text mà thôi. 2.10.10.15 Tạo rule cấm user chat trong giờ làm việc (cấu hình HTTP Filter) Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs.Ví dụ:group Sep. 1.Click Right vào Sep chọn Configure HTTP. 2.Chọn tab Signatures 3.Chọn Add và đặt tên là:Cam chat yahoo messenger,chọn Request headers trong Search in.Gõ Host: trong HTTP header.Gõ msg.yahoo.com trong Signature.Sau đó click OK. 4.Chọn tab Methods và chọn Block specified methods(allow all others). 5.Click Add và gõ POST vào Method.Click OK. 6.Click Apply và click OK. 7.Chọn tab Extensions và chọn Block specified extensions (allow all others). 8.Sau đó Add .exe và .vbs vào. 9.Click Apply và click OK. Màn hình sau khi hoàn tất 10.Log on Administrator trên máy Client, thử Sign in vào Yahoo Messenger, bạn sẽ không thể đăng nhập Yahoo được. 11.Bạn thử download 1 file.exe bất kỳ từ trang web nào đó. (VD: 12.Kiểm tra sẽ thấy download thất bại 2.10.10.16 Tiến hành khảo sát một số tính năng khác của ISA Server 2006 Tại Firewall Policy nhấp vào Icon Show/Hide Firewall Policy sẽ thấy tất cả các Rule của ISA Server. Như vậy ngoài các Rule ta tạo thêm mặc định ISA Server đã tạo sẵn một số Rule cho riêng mình. Trên thực tế ta không nên tác động đến các Rule mặc định này. Theo mặc định, ISA Server 2006 không cho phép các truy cập ra ngoài Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Network được bảo vệ (protected Network), và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Như vậy sau khi triển khai ISA Server 2006 Firewall, theo mặc định thì “Nội bất xuất, ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, cho phép thực hiện các tác vụ Quản trị Network cần thiết. Lưu ý: Khái niệm Network được bảo vệ (protected Network), là bất cứ Network nào được định nghĩa bởi ISA Server 2006 Firewall không thuộc phạm vi của các Network bên ngoài (External Network), như Internet. Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (default Firewall System Policy): 1.Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server Management. 2.Trong Microsoft Internet Security and Acceleration Server 2006 management console,mở rộng server node và click vào Firewall Policy node.Right click trên Firewall Policy node,trỏ đến View và click Show System Policy Rules. 3.Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thông báo rằng ISA Server 2006 Access Policy giới thiệu một danh sách các Policy được sắp xếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều mà Access Policy trên ISA Server 2006 đã không quan tâm đến trình tự xử lý này.Theo mặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truy cập đến và từ ISA Server 2006 Firewall. Cũng lưu ý rằng, các nguyên tắc tại System Policy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sách sau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trên và được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấy rằng, các nguyên tắc được xác định rõ bởi: Số thứ tự (Order number). Tên (Name Rule). Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or Deny). Dùng giao thức nào (Protocols). Từ Network hoặc Computer nguồn- From (source Network or host). Đến Network hay Computer đích- To (destination Network or host). Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng). Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng của cột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lý các Rule của mình hơn. Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chính sách Disabled mặc định của System Policy Rules được thể hiện bằng những biểu tượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nào đó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truy cập VPN- thực hiện enable VPN access. Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks. 4.Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double-click trên rule. 5.Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide System Policy Rules ở Bảng chứa các nút này. Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định: Bảng 1: System Policy Rules Chú thích: 1 Policy này bị disabled cho đến khi VPN Server component được kích hoạt –activated 2 Policy này bị disabled cho đến khi một kết nối VPN dạng site to site xác lập 3 Policy này bị disabled cho đến khi chính sách thẩm định kết nối dùng HTTP/HTTPS được cấu hình1 4 Policy này bị disabled cho đến khi SecureID filter được enabled 5 Policy này phải được enabled thủ công 6 Policy này bị disabled theo mặc định 7 Policy này bị disabled theo mặc định 8 Policy này tự động được enabled khi Firewall client share được cài đặt 9 Policy này bị disabled theo mặc định 2.10.10.17 Tiến hành giả lập tấn công ISA Server 2006 (Cấu hình Intrusion Detection) Cấu hình Intrusion Detection: Giả sử mạng chúng ta đã dựng thành công ISA Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này. Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết sự nguy hiểm đang rình rập này.Ở đây chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công từ bên ngoài vào hệ thống mạng chúng ta. 1.Bật chương trình ISA Server lên chọn Configuration chọn tiếp mục General 2.Tiếp tục nhấp chọn liên kết Enable Intrusion Detection and DNS Attack Detection Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan. Do trong bài này chúng ta chỉ sử dụng tính năng Port scan để làm thí dụ. Như vậy từ một máy bên ngoài chúng ta cố gắng dò tìm các Port đã mở trên ISA Server, nếu ISA Server phát hiện ra thao tác này của chúng ta là xem như thành công. 3.Chọn Port scan 4.Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng 5. Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết 6.Bây giờ tại máy Client em cài đặt một chương trình có tính năng Scan các Port đã mở trên ISA Server đó là SuperScan 4.0.Ở đây là:192.168.1.2 7. Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi 8.Trở lại Tab Scan tiến hành Scan Port của máy ISA 9.Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào mạng chúng ta Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt, và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà người ta sẽ cấu hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho Administrator khi phát hiện có các xâm nhập bất hợp pháp vào hệ thống mạng 1.Chọn Tab Alerts chọn tiếp link Configure Alert Definitions trong tab Tasks 2. Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit 3.Chọn tiếp Tab Actions trong Alert Actions và nhập thông tin tài khoản Email của Administrator vào đây.SMTP:172.16.0.2.From:ISA.To:administrator@viet.com 4.Chúng ta quay lại máy Client tiến hành Scan Port lại máy ISA. Lúc này ISA Server phát hiện ra việc Scan Port bất hợp pháp này và ngay lập tức nó gởi một Email cảnh báo cho Administrator để đưa phương án phòng thủ và bạo vệ tốt hơn. 2.10.10.18 Report trong ISA Server 2006 Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6 1.Chọn Monitoring->Tab Reports->Click Generate a New Report 2.Gõ chữ Bao cao vào ô Report name. 3.Chọn tất cả các lựa chọn trong Report Content 4.Chọn thời gian bắt đầu và thời gian kết thúc. 5.Chọn Next trong Report Publishing 6.Chọn Next trong Send E-mail Notification 7.Sau đó chọn Finish 8.Màn hình sau khi hoàn tất 9.Sau đó Click Right vào báo cáo chọn View để xem. 2.10.10.19 Publish Web Server trong ISA 2006 Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đề có thể truy cập: 1.Cài đặt Internet Information Service (IIS) và thiết kế Web Site. Mở thư mục C:\Inetpub\wwwroot.Tạo một File Text Document có tên default.htm.Soạn thảo nội dung tùy ý cho File này. 2.Bật chức năng Remote Desktop trên máy Web Server:Click phải My Computer -> Properties.Đánh dấu mục chọn Enable Remote Desktop in this computer -> OK -> OK. 3.Mở Internet Explorer -> Nhập IP máy Web Server 172.16.0.2 -> Kiểm tra truy cập thành công vào trang Web. 4.Vào Start -> Proprams -> Accessories -> Comunication -> Remote Desktop Connection -> Nhập 172.16.0.2 -> Kiểm tra Remote thành công vào máy Web Server Tạo Publishing Rule để Publish Web Server: 1.Giao diện ISA Management: Firewall Policy -> Toolbox->Network Objects ->Click phải Web Listeners -> New Web Listener 2.Đặt tên Web Listener là Web80->Next 3.Chọn Do not require SSL secured connetions with clients -> Next 4.Đánh dấu mục chọn External -> Next 5.Chọn No Authentication ->Next 6.Chọn Next 7.Click Finish 8.Click phải Firewall Policy -> New -> Web Site Publishing Rule 9.Đặt tên Rule: Publish Web -> Next 10.Chọn Allow ->Next 11.Chọn Publish a single Web site or load balancer->Next 12.Chọn Use non-secured connections to connect the published Web server or server farm -> Next 13. Internal site name: đánh FQDN của máy Web Server (www.viet.com) Đánh dấu chọn Use a computer name or IP address to connect to the published server Computer name or IP address: đánh IP Web server (172.16.0.2)-> Next 14.Chọn Next 15.Accept request for: chọn Any domain name -> Next. 16.Web Listener: Chọn Web80 -> Next 17.Chọn No delegation, and client cannot authenticate directly->Next 18.Chọn Next 19.Chọn Finish ->Apply ->OK 20.Màn hình sau khi hoàn tất. 2.10.10.20 Tạo Publishing Rule để Publish RDP(Remote Desktop Protocol) 1.Click phải Firewall Policy ->New -> Non-Web Server Protocol Publishing Rule 2. Đặt tên Rule: Publish RDP ->Next 3. Nhập IP Web Server (172.16.0.2) -> Next 4.Seleted Protocol: Chọn RDP (Terminal Services) Server -> Next 5. Đánh dấu chọn External -> Next 6.Chọn Finish -> Apply -> OK 7. Màn hình sau khi hoàn tất 2.10.10.21 Cấu hình NAT Inbound trên Router ADSL (Thực hiện trên ISA) 1.Mở Internet Explorer và Nhập IP Router là 192.168.1.1.Đăng nhập vào giao diện cấu hình Router ADSL DSL-2540T (Username: admin, password: admin) và OK 2. Chọn tab Advanced và Nhấn nút Lan Clients - IP Address: Nhập IP máy ISA là 192.168.1.2 - Host Name: Nhập tên tùy ý - Nhấn nút Add 3. Nhấn nút Virtual Server.Chọn Servers -> Web Server->Add 4.Chọn Apps -> Win2k Terminal -> Add.Nhấn nút Apply 5.Ghi nhận IP Public mặt ngoài Router (vd: 115.75.69.116) Kiểm tra truy cập bằng IP Address trên máy Client: Mở Internet Explorer -> Nhập IP Public (115.75.69.116) ->Kiểm tra truy cập thành công vào trang Web. Mở Remote Desktop Connection -> Nhập IP Public (115.75.69.116) -> Kiểm tra Remote thành công vào máy Web Server 2.10.10.22 VPN Clients to Gateway Như chúng ta đã biết các máy Client từ bên ngoài muốn truy cập vào mạng chúng ta phải có được IP Public của mạng chúng ta trong môi trường mạng chúng ta có ISA Server, IP Public này còn gọi là IP mặt ngoài. Trong môi trường mạng chúng ta đã có ISA Server các Clients muốn truy cập vào bên trong Internal Network phải nhờ một NAT Server dẫn đường đến ISA Server, sau khi được xác nhận tính hợp lệ từ ISA Server thì các yêu cầu này mới được tiếp tục vào Internal Network. Tuy nhiên để cho đơn giản trong chúng em sẽ cấu hình NAT lên ngay Router ADSL. Router ADSL DSL-2540T có IP là 192.168.1.1 Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User và gán quyền Allow Remote Access cho User này. 1.Tại máy DC Server bật Active Directory Users and Computers lên tạo một User/Pass là Gateway1/123 2.Double click vào User Gateway1 chọn Tab Dial-in. Check tùy chọn Allow Access trong Remote Access Permission 3. Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients 4.Click vào Configure Address Assignment Method 5. Tại Tab Address Assignment ta nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 10.0.0.1->10.0.0.200. Nếu hệ thống mạng của chúng ta đã có DHCP rồi thì ta chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới,để chắc ta nhập IP như trên. 6. Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên ta tiếp tục chọn Enable VNP Client Access trong bước trên để bật tính năng này. 7. Check vào tùy chọn Enable VPN client access. Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients. 8. Tiếp tục ta chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy cập vào bên trong Internal Network 9. Ta đặt tên cho Rule này là VPN Client to Gateway1 10.Rule Action:Allow Protocol: All outbound traffic Trong Access Rule Sources ta chọn một giao thức duy nhất đó là VPN Clients 11.Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal 12.Màn hình sau khi hoàn tất Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định. Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule. 13. Mở Internet Explorer và Nhập IP Router là 192.168.1.1.Đăng nhập vào giao diện cấu hình Router ADSL DSL-2540T 14. Nhấn nút Virtual Server.Chọn VPN->PPTP->Add. Trước tiên để biết được Public IP Address của mạng chúng ta bạn vào Tab Status chọn Menu Device Info Trong phần WAN bạn chú ý mục IP Address đây chính là Public IP Address của bạn mà dịch vụ ISP cấp cho Router chúng ta. Như vậy trong ví dụ này IP mặt ngoài của mạng chúng ta là 115.75.69.116 Như vậy chúng ta đã cấu hình thành công NAT cứng trên Router ADSL. Tiếp theo ta cấu hình VPN tại máy Clients 15.Bạn vào Network Connections của máy Client chọn Create a new Connection 16. Chọn tiếp Connect to the network at my workplace 17. Chọn tiếp Virtual Private Network connection 18.Gõ một tên tùy ý.Ví dụ:VIET 19. Nhập IP mặt ngoài của mạng cần kết nối VPN trong bài chính là 115.75.69.116 20.Chọn Finish 21. Trong cửa sổ Network Connections của Client xuất hiện thêm icon VPN to Gateway1 với giao thức PPTP 22. Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect 23. Màn hình thông báo kết nối thành công 24. Tại máy Client ping thử IP của máy DC Server (PC02) sẽ thấy kết quả rất tốt 25. Truy cập vào các Shared Folder cũng rất tốt 2.10.10.23 Cấu hình Accesspoint 1.Vào modem DSL-2540T thiết lập DHCP tại thẻ DHCP: Chọn DHCP Server. Chọn Start IP Address: 192.168.1.4 Chọn End IP Address: 192.168.1.254 2.Cấu hình DHCP của AP: truy cập web cấu hình AP ( 3.Vào tab Wireless chỉnh theo hình vẽ: Rồi Save Setting 4.Vào tab Setup chỉnh lại IP Address:192.168.1.3,chỉnh DHCP Server là Disable để modem có thể cấp DHCP cho AP.Rồi chọn Save Setting Sau đó cho modem kết nối với cổng Lan của AP. 5.Kết quả tại máy Client sẽ thấy được Wireless của Viet.com. 6.Vào mạng được. KẾT LUẬN Kết quả đạt được của đề tài “Xây dựng và triển khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” Nắm vững được phần tổng quan về xây dựng và triển khai bảo mật mạng hệ thống bất kì. Hiểu được các khái niệm cơ bản về Firewall và Proxy Server. Thực hiện được các yêu cầu cài đặt và cấu hình cơ bản cho một hệ thống Server – Client – Mail và ISA Server Firewall 2006. Thiết lập được các rule ISA Server 2006 để đáp ứng cho các yêu cầu về quản lí và bảo mật cho doanh nghiệp vừa và nhỏ. Vấn đề còn tồn đọng của Đề tài Hệ thống DHCP, DNS Server chưa ổn định. Hệ thống ISA chưa thiết lập tính năng Caching để tiết kiệm băng thông. Một số rule chưa hoạt động hiệu quả như: cấm yahoo chat đối với nhân viên, chính sách gửi thư cảnh báo từ máy ISA đến máy Server. Phạm vi đề tài tập trung giải quyết cho mô hình doanh nghiệp vừa và nhỏ nên chưa phát triễn lên mô hình quản lý bảo mật cho doanh nghiệp lớn có nhiều chi nhánh và có khoảnh cách lớn về vị trí địa lý. Đây cũng chính là hướng mà Đề tài đang nhắm đến. Những đề xuất mới Triển khai hệ thống mở rộng và kết nối WAN bằng ISA Server 2006 cho các chi nhánh của doanh nghiệp. Chia Site logic cho Domain Network. HƯỚNG PHÁT TRIỂN Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” tập trung vào thiết lập rule cơ bản cho việc bảo mật và quản trị mạng doanh nghiệp… ví dụ như hạn chế giờ nhân viên truy cập web, cấm chat trong giờ làm việc … và thực hiện cài đặt và cấu hình Mail để phục vụ cho việc liên lạc nội bộ, báo cáo, tiến hành các thủ tục giao dịch với khách hàng … do đó, ta cũng đã thực hiện cài đặt và cấu hình Mail Exchange Server 2007 kết hơp Microsoft Outlook 2007 và tiến hành gửi mail thử nghiệm. Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” chỉ dừng ở mức độ quản lí bảo mật cho một doanh nghiệp vừa và nhỏ bất kì. Nhưng trên thực tế, các doanh nghiệp phát triễn dưới hình thức mở rộng các chi nhánh ở nhiều vị trí địa lý khác nhau. Chính vì lẽ đó mà cần có một hệ thống quản lí các hệ mạng khác nhau, mỗi hệ mạng do một IT Manager quản lý nhưng giữa các hệ mạng này sẽ có sự liên lạc trao đổi công việc với nhau để tiến hành các giao dịch chung. Hướng phát triễn của đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” sẽ được nâng lên thành “Hệ thống mở rộng và kết nối WAN”, phần này áp dụng cho các chi nhánh của các doanh nghiệp có thể trao đổi công việc với nhau trong điều kiện có khoảng cách về vị trí địa lý …. Ví dụ cho hình trên đó là Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu: -          Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn. -          Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng. -          Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet. -          Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ. Đề tài “Xây dựng và triễn khai việc bảo mật mạng cho doanh nghiệp với ISA 2006” trong thời gian sắp tới sẽ tập trung nghiên cứu theo hướng này với qui mô lớn hơn và thực tế hơn để đáp ứng được nhu cầu để ra của các doanh nghiệp nhiều chi nhánh như hiện nay. DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu Tiếng Việt [1] Angela_Belnett , Hội thảo bảo mật ISA co cau bao mat HVAOnline [2] Quantrimang , Cấu hình ISA Server 2006 HTTP Filter [3] Quangbawebsite, Bảo mật FTP bằng Firewall của ISA 2006 (P.1) [4] Quantrimang, Bảo mật FTP bằng Firewall ISA 2006 (P.2) [5] Nguyễn Trần Đại Hùng, Cấu hình ISA Firewall hoạt động như DHCP Server [6] Quantrimang , Tìm hiểu về ISA Firewall Client (Phần 1) [7] VnMedia, Năm 2010, bảo mật là ưu tiên hàng đầu của doanh nghiệp [8] Sưu tầm, Bảo mật mạng và những điều cần biết [9] Việt Báo (Theo_Thanh_Nien), Bảo mật mạng máy tính ở nước ta – Hacker cũng phải bức xúc [10] T.Thu - Quản Trị Mạng, Bạn cần biết những gì về IIS 7 [11] MEGABUY FORUM, ITEXPERT, ISA 2006 có điểm gì ưu việt? [12] Sưu tầm, Tầm quan trọng của việc bảo mật mạng. [13] V.L (sưu tầm), Tăng cường bảo mật bằng hệ thống phòng thủ đa lớp. [14] Sưu tầm, Tổng quan các chức năng của ISA server 2004. [15] Hồng Ngọc, E-Commerce Times, Tổng quan về Windows Server 2003. [16] Sưu tầm, Tổng quan về sản phẩm Windows Server 2008. [17] Sưu tầm, Thông số cấu hình ADSL (FPT, VNN, Viettel). [18] Vũ Quang Tạo, Hướng dẫn cài đặt và cấu hình DHCP. [19] Bác sĩ iCARE - stevenkenz, Tổng hợp cài đặt Modem ADSL Wireless (Wifi). [20] Nguyễn Đắc Hoàng, Nhất Nghệ Support Team, Top 10 Lab Quản trị mạng. Tài liệu Tiếng Anh [21] Exam 70-290 MCSA/MCSE Managing and Maintaining a Microsoft Windows Server 2003 Environment by Dan Holme and Orin Thomas. [22] Exam 70- 350, Implementing Microsoft Internet Sercurity and Acceleration Server 2004 by Setan Reimer and Orin Thomas. Tài liệu websides tham khảo [23] [24] [25] [26] [27] [28] nao/20206698/226/ [29] [30] PHỤ LỤC 1. Tổng quan về Microsoft Exchange Server 2007 Microsoft Exchange Server 2007 là một phần mềm của Microsoft chạy trên các dòng máy chủ cho phép gửi và nhận thư điện tử cũng như các dạng khác của truyền thông thông qua mạng máy tính. Được thiết kế chủ yếu để giao tiếp với Microsoft Outlook nhưng Microsoft Exchange Server 2007 cũng có thể giao tiếp tốt với Outlook Express hay các ứng dụng thư điện tử khác. Microsoft Exchange Server 2007 được thiết kế cho các doanh nghiệp lớn, vừa và nhỏ với ưu điểm là dễ quản trị, hỗ trợ nhiều tính năng bảo mật và có độ tin cậy cao.Hệ thống Mail Exchange Server 2007 được xây dựng trên môi trường window 64-bit. Điều này đòi hỏi phải đồng bộ giữa phần cứng và phần mềm đều chạy trên 64-bit. Được phát triển từ Microsoft Exchange Server 2003 và có rất nhiều tính năng mới để phát triển hệ thống mail một cách an toàn và hiệu quả, vì thế sự đòi hỏi về phần cứng cũng như phần mềm rất cao. Hệ thống Mail Exchange Server 2007 được tích hợp thêm nhiều tính năng bảo đảm an toàn cho hệ thống như chống spam, virus hiệu quả cũng như tích hợp thêm các tính năng như người quản trị có thể dùng Script sử dụng Exchange Management Shell. Sử dụng Microsoft Exchange Server 2007 giúp ta có thể truy cập E-mail, voice mail, calendar…Cũng như các sự truy cập đa dạng khác từ các thiết bị di động tích hợp hệ thống Mail ở khắp mọi nơi. Không giống như một số phiên bản Exchange Server trước, Microsoft Exchange server 2007 dễ triển khai. Tất cả được thay đổi trong Exchange Server 2007, những Role-based Setup Wizard mới, cho phép bạn có thể triển khai các Role Server riêng biệt. Dựa vào các Server Role-based mới,người quản trị có thể chọn Server Role mà muốn cài đặt tuỳ theo nhu cầu. 2. Tìm hiểu các Server Roles trong Microsoft Exchange Server 2007 2.1 Khái niệm về Server Role Server Roles là một khái niệm mới trong Exchange Server 2007 và chưa từng được giới thiệu ở những phiên bản Exchange trước đó. Bạn cần phải hiểu rõ những Server Roles này của Microsoft Exchange để có thể triển khai hệ thống Exchange Server 2007 một cách đúng đắn. Một Server Role thiết lập các tính năng và các thành phần một cách hợp lý vào trong các nhóm. Một Server Role thi hành một chức năng cụ thể trong môi trường thông điệp. Mỗi Server role có thể có một chức năng độc lập trên một Server Exchange và liên lạc với những máy Exchange Server khác để thực hiện những vai trò khác tạo ra một hệ thống Mail hoàn chỉnh. 2.2 Những Server Roles có trong Microsoft Exchange Server 2007 Trong khi mỗi Server Role có thể chạy trên một Server tách rời, sự thi hành này chỉ thích hợp cho một sự triển khai lớn. Tất cả những Server Roles ngoại trừ Edge Transport Server Role chi có thể cài đặt trên một Server độc lập. Bạn có thể cài đặt nhiều Server Roles lên một máy Exchange Server độc lập trong một môi trường mạng nhỏ hoặc vừa. Microsoft Exchange Server 2007 gồm những Server Roles sau: 2.2.1 Mailbox Server Role Mailbox Server Role làm nhiệm vụ lưu trữ những Mailboxes và những Public Folders. Mailbox Server là nơi lưu trữ của tất cả các dữ liệu của thông điệp, vì thế chúng ta cần cung cấp dung lượng lớn về nơi lưu trữ hơn bất cứ Server Role nào khác trong hệ thống Exchange Server 2007. Ngoài vai trò lưu trữ dữ liệu thông điệp e-mail, những Mailbox Servers cũng cung cấp những dịch vụ có tính lập danh mục, lập lịch cho những người dùng Microsoft Office Outlook. 2.2.2. Client Access Server Role Client Access Server role cung cấp một gateway ở giữa các người dùng máy tính trạm và các mailbox của họ. Một máy tính trạm chạy Outlook hoặc Exchange ActiveSync hoặc đã kết nối bằng một trình duyệt Web như Outlook Web Access (OWA) kết nối tới Client Access Server, Client Access Server sẽ kết nối tới Mailbox Server phù hợp. Client Access Server role được thiết kế để tối ưu hóa sự hoạt động của Mailbox Server bằng cách giảm tải cho các tiến trình cần thiết. 2.2.3 Hub Transport Server Role Tầm quan trọng của Hub Transport Server role là cung cấp cơ chế định tuyến truyền các thông điệp bên trong tổ chức của bạn. Tất cả email của miền nội bộ thì được chuyển hướng thông qua một Hub Transport Server role, Server này sẽ áp dụng việc định tuyến các thông điệp và các chính sách lọc, phân phối các thông điệp tới một máy Mailbox Server role để chứa trong các Mailbox của người nhận. Mục đích của Hub Transport Server role là định tuyến lưu lượng mail giữa các site của Active Directory. Nếu tổ chức của bạn có nhiều site Active Directory, những thông điệp bạn gửi tới một số người nhận thuộc một site ở xa thì sẽ được định tuyến tới site này thông qua những Hub Transport Server role của công ty bạn. Hub Transport Server role có thể xây dựng chung với Client Access Server, Unified Messaging Server và Mailbox Server role. 2.2.4 Edge Transport Server Role Edge Transport Server giúp định tuyến những thông điệp mail giữa mạng Internet và hệ thống Exchange của công ty bạn. Edge Transport Server được đặt trong một vùng mạng dành riêng và không phải là thành viên của môi trường Active Directory. Một vùng mạng dành riêng là nơi được tách riêng với hệ thống mạng LAN và WAN. Edge Transport Server cũng thường được sử dụng như một điểm phong tỏa cho những e-mail ra vào hệ thống, bảo đảm như e-mail này phải được kiểm tra virus hay những mail quảng cáo được xem là spam trước khi những e-mail này rời khỏi vùng mạng dành riêng này. Điểm lưu ý chính đối với các Edge Transport Server là chúng chỉ có thể được cài đặt một mình, không được có một Server nào khác hiện diện. Ngoài ra, chúng phải được đặt trong một vùng mạng tách biệt. Nếu tổ chức của bạn không có vùng mạng biệt lập, bạn phải cài đặt Hub Transport Server role để thay thế. 2.2.5 Unified Messaging Server Role Unified Messaging Server role cho phép người dùng truy xuất đến các mailbox của họ thông qua các thiết bị như điện thoại di động…Bạn sẽ phải triển khai một Unified Messaging Server trong mỗi site, nơi bạn muốn cung cấp những dịch vụ trên. 2.2.6 Clustered Mailbox Server Role Clustered Mailbox Server cung cấp tính sẵn sàng cao thông qua việc sử dụng công nghệ Clustering của Windows Server 2003 và Windows Server 2008. Để chắc chắn những mailbox của bạn luôn ở trạng thái sẵn sàng, bạn nên sử dụng Server role này.Bạn chỉ có thể cài đặt Clustered Mailbox Server role trên các máy tính chạy hệ điều hành Windows Server 2003 Enterprise edition hoặc Windows Server 2008 Enterprise edition, phiên bản Standard edition không được hỗ trợ xây dựng Clustering.Clustered Mailbox Server role không chia sẻ phần cứng với các Server Role khác. Nếu bạn chọn một trong 2 tùy chọn của Clustered Mailbox trong suốt quá trình cài đặt, bạn sẽ không thể nào cài đặt thêm những Server Role khác. Có 2 kiểu của một Clustered Mailbox role: · Active Clustered Mailbox role: Cung cấp tính sẵn sàng cao. Chúng ta sẽ cài đặt role này trên Active node của hệ thống Cluster. · Passive Clustered Mailbox role: Cung cấp tính sẵn sàng cao. Chúng ta sẽ cài đặt role này trên Passive node của hệ thống Cluster. 2.2.7 Unified Messaging Server Role: Unified Messaging là một chức năng mới trong hệ thống Microsoft Exchange Server 2007. Hỗ trợ e-mail, voice-mail, máy fax, lịch, danh sách các việc cần làm từ bất kỳ thiết bị nào (gồm cả điện thoại).Unified Messaging được xây dựng trong cả hai lĩnh vực: Outlook Voice Access và các khả năng hỗ trợ truy cập không dây. 2.2.8 Outlook Voice Access Có lẽ thành phần quan trọng nhất đối với người dùng là Outlook Voice Access, một chương trình bổ sung tuyệt vời trong Exchange Server 2007. Chương trình này chủ yếu kết nối dữ liệu từ hộp mailbox Exchange của người dùng với các khả năng lời nói nhúng trong sản phẩm dịch vụ. (Các khả năng lời nói dựa vào phiên bản ‘chì’ của Microsoft Speech Server). Người dùng có thể quay số cổng Exchange, nhập mã số uỷ nhiệm và kết nối với bộ lịch hay thư điện tử trong hộp Inbox. Outlook Voice Access sẽ đọc e-mail, thư trong máy fax, chi tiết lịch, thông tin liên hệ, giống như qua điện thoại. Chương trình này không phải là giải pháp một chiều. Outlook Voice Access còn trả lời các câu lệnh bằng lời, giống như một người thư ký tự động tận tuỵ. Chẳng hạn chuyến bay của bạn bị trễ hai tiếng, bạn có thể nói với Outlook Voice Access qua điện thoại, nó sẽ thông báo với khách hàng đang đợi bạn sắp xếp lại cuộc gặp trễ sau hai tiếng.Bạn cũng có thể gọi vào và xoá chương trình làm việc trong một khoảng thời gian nhất định hoặc toàn bộ một ngày. Exchange sẽ cho phép người tham gia buổi gặp gỡ biết sự vắng mặt của bạn bằng kiểu giải thích qua âm thanh. Bạn vẫn có thể thực hiện các chức năng quản lý mailbox thông thường như trả lời và xoá thư qua điện thoại từ bất cứ địa điểm nào. 2.2.9 Tương thích và các khả năng không dây Người dùng thiết bị Windows Mobile cơ sở sẽ hứng thú với quyền truy cập tăng và tốc độ thực thi tốt hơn. Tính năng trong Windows Mobile được đồng bộ hoá với hộp mailbox của Exchange Server 2007, platform ActiveSync được nâng cấp. Microsoft đăng ký bản quyền ActiveSync trước các hãng điện thoại di động khác. Mục đích của công ty là tạo ra khả năng đồng bộ Exchange với các platform thiết bị, không chỉ của Windows Mobile. 3. Những yêu cầu phần cứng và phần mềm trước khi triển khai Microsoft Exchange Server 2007 3.1 Yêu cầu phần cứng a. Processor: · Vi xử lý Xeon hoặc Pentium 4 64-bit. · Vi xử lý AMD Opteron hoặc Athalon 64-bit. b. Memory: · Tối thiểu: 1 GB Ram · Khuyến cáo: 2 Gb Ram cho server và 7Mb trên từng Mailbox c. Disk space: · Khoảng 1.2 Gb trống để cài đặt Exchange server 2007. · Cần khoảng 500 Mb bộ nhớ trống cho Unified Messaging (UM) mỗi khi được cài đặt. 200 Mb trống để sử dụng cho hệ thống. d. File format: · Tất cả hệ thống, storage Exchange, storage group file, database files, Exchange files đều được đặt trong disk được format theo NTFS. 3.2 Yêu cầu phần mềm a. Các phần mềm cần thiết: · Microsoft .NET Framework Version 2.0 · Micrsoft Management Console (MMC) 3.0 · Windows PowerShell V1.0 · Hotfix for Windows x64 (KB904639) b. Yêu cầu hệ thống Active Directory: · OS phải là Microsoft windows server 2003 SP1 64-bit hoặc là Microsoft windows server 2003 R2 64-bit. · Máy đã nâng cấp thành Domain controllers. · Mở rộng Active Directory schema cho Exchange 2007 · Bật chức năng Global catalog cho server. · Upgrade Domain functional level và Forest functional level. 3.3 Cài đặt và cấu hình Xem trang 151 của Đề tài này.