LỜI NÓI ĐẦU
Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin, đặc biệt là công nghệ máy vi tính và mạng máy tính với sự bùng nổ của hàng ngàn cuộc cách mạng lớn nhỏ. Từ khi ra đời, máy vi tính ngày càng giữ vai trò quan trọng trong các lĩnh vực khoa học kỹ thuật và cuộc sống hàng ngày của con người. Từ sự ra đời của chiếc máy tính điện tử lớn ENIAC đầu tiên năm 1945. Sau đó là sự ra đời những máy vi tính của hãng IBM vào năm 1981. Cho đến nay, sau hơn 20 năm, cùng với sự thay đổi về tốc độ các bộ vi xử lý và các phần mềm ứng dụng, công nghệ thông tin đã ở một bước phát triển cao, đó là số hóa tất cả những dữ liệu thông tin, đồng thời kết nối chúng lại với nhau và luân chuyển mạnh mẽ. Hiện nay, mọi loại thông tin, số liệu, hình ảnh, âm thanh, đều được đưa về dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ, xử lý cũng như chuyển tiếp với các máy tính hay thiết bị kỹ thuật số khác.
Sự ra đời của các mạng máy tính và những dịch vụ của nó đã mang lại cho con người rất nhiều những lợi ích to lớn, góp phần thúc đẩy nền kinh tế phát triển mạnh mẽ, đơn giản hóa những thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc và kết nối giữa những vị trí, khoảng cách rất lớn một cách nhanh chóng, hiệu quả Và mạng máy tính đã trở thành yếu tố không thể thiếu đối với sự phát triển của nền kinh tế, chính trị cũng như văn hóa, tư tưởng của bất kỳ quốc gia hay châu lục nào. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh và nhiều thông tin khác nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch hay tìm kiếm thông tin trên mạng. Các cơ quan, doanh nghiệp đầu tư vào mạng máy tính để chuẩn hoá các ứng dụng chẳng hạn như: chương trình xử lý văn bản để đảm bảo rằng mọi người sử dụng cùng phiên bản của phần mềm ứng dụng dễ dàng hơn cho công việc. Nhà quản lý có thể sử dụng các chương trình tiện ích để giao tiếp truyền thông nhanh chóng và hiệu quả với rất nhiều người cũng như để tổ chức sắp xếp cho toàn công ty dễ dàng. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Con người đã không còn bị giới hạn bởi những khoảng cách về địa lý, có đầy đủ quyền năng hơn để sáng tạo những giá trị mới vô giá về vật chất và tinh thần, thỏa mãn những khát vọng lớn lao của chính họ và của toàn nhân loại.
Cũng chính vì vậy, nếu không có mạng máy tính, hoặc mạng máy tính không thể hoạt động như ý muốn thì hậu quả sẽ rất nghiêm trọng. Và vấn đề an toàn cho mạng máy tính cũng phải được đặt lên hàng đầu khi thiết kế, lắp đặt và đưa vào sử dụng một hệ thống mạng máy tính dù là đơn giản nhất.
Bên cạnh đó, thông tin giữ một vai trò hết sức quan trọng bởi vì nếu như thiếu thông tin, con người sẽ trở nên lạc hậu dẫn tới những hậu quả nghiêm trọng, nền kinh tế chậm phát triển. Vì lý do đó, việc lưu giữ, trao đổi và quản lý tốt nguồn tài nguyên thông tin để sử dụng đúng mục đích, không bị thất thoát đã là mục tiêu hướng tới của không chỉ một ngành, một quốc gia mà của toàn thế giới.
Trong quá trình thực tập và làm đề tài tốt nghiệp, được sự đồng ý và hướng dẫn, chỉ bảo tận tình của thầy giáo hướng dẫn Trương Đình Tú, anh Lê Anh Tuấn cùng với sự giúp đỡ của bạn bè và trung tâm nơi thực tập, em đã có thêm nhiều điều kiện để tìm hiểu về quy trình xây dựng và quản trị hệ thống mạng LAN, về cách thiết kế, xây dựng và quản lý mô hình mạng theo dạng Server - client. Đó cũng là đề tài mà em muốn nghiên cứu và trình bày trong đề tài tốt nghiệp này. Nội dung chính của báo cáo gồm:
Chương 1: Giới thiệu tổng quan về đề tài.
Chương 2: Triển khai xây dựng, thiết kế và quản trị hệ thống mạng LAN.
Chương 3: Kết luận.
Đề tài đề cập đến một vấn đề khá lớn và tương đối phức tạp, đòi hỏi nhiều thời gian và kiến thức về lý thuyết cũng như thực tế. Do thời gian nghiên cứu chưa được nhiều và trình độ bản thân còn hạn chế, nên báo cáo không tránh khỏi những khiếm khuyết. Em rất mong nhận được sự hướng dẫn, chỉ bảo của các thầy, cô giáo và sự đóng góp nhiệt tình của các bạn để giúp em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu đề tài nêu trên một cách tốt hơn, hoàn chỉnh hơn.
Qua đây chúng em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công Nghệ Thông Tin trường Cao Đẳng Công Nghiệp Tuy Hoà đã tận tình dạy bảo cho chúng em nhiều kiến thức bổ ích trong suốt thời gian học tập tại trường cũng như đã tạo cho chúng em thực hiện đề tài này.
Chúng em xin cám ơn thầy Trương Đình Tú, thầy đã tận tình giúp đỡ chúng em trong suốt thời gian thực hiện đề tài, cho chúng em sự bình tĩnh, tự tin khi chúng em vấp phải những khó khăn trong quá trình thực hiện đề tài. Nhờ có thầy mà đề tài chúng em làm được như ngày hôm nay.
Chúng em xin cám ơn lãnh đạo và các anh chị ở Trung Tâm Tích Hợp Dữ Liệu đã tạo điều kiện giúp đỡ chúng em trong suốt quá trình thực tập, đặc biệt là anh Lê Anh Tuấn đã tận tình hướng dẫn chúng em trong suốt thời gian thực tập tại cơ quan.
Chúng em xin chân thành cám ơn!
Tuy Hòa, ngày 07 tháng 07 năm 2010
93 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2809 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Đề tài Xây dựng và quản trị hệ thống mạng lan tại trung tâm tích hợp dữ liệu thuộc sở thông tin và truyền thông, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
- Định dạng partition chứa hệ điều hành theo hệ thống tập tin FAT hay NTFS, chọn Format the partition using the NTFS file system (Quick).
- Quá trình cài đặt sẽ sao chép các tập tin của hệ điều hành vào partition đã chọn.
- Sau khi hệ thống khởi động lại, giao diện trình cài đặt Windows Server 2003 xuất hiện.
- Thiết lập ngôn ngữ, số đếm, đơn vị tiền tệ, định dạng ngày tháng năm, chọn Next để tiếp tục cài đặt.
- Nhập tên người sử dụng và tên tổ chức, chọn Next.
- Nhập số CD key, chọn Next để tiếp tục cài đặt.
- Chọn Per Devies or Per User, chọn Next.
- Nhập tên Server và Password của người quản trị (Administrator), chọn Next để tiếp tục cài đặt.
- Thiết lập ngày, tháng, năm và múi giờ, chọn Next.
- Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi các thông số giao thức TCP/IP. Các thông số này có thể thay đổi lại sau khi quá trình cài đặt hoàn tất.
- Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server vào một Workgroup hay một Domain có sẵn. Nếu muốn gia nhập vào Domain thì đánh vào tên Domain vào ô bên dưới.
- Sau khi chép đầy đủ các tập tin, quá trình cài đặt kết thúc.
- Như vậy quá trình cài đặt Windows Server 2003 đã hoàn thành.
b. Cài đặt máy chủ thành Domain Controller:
Ø Giới thiệu chung về Domain Controller:
Domain là đơn vị chức năng nồng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:
- Đóng vai trò như một khu vực quản trị (Administrative Boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các Domain khác.
- Quản lý bảo mật các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (Domain Controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế Server - Client, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền.
Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (Domain Controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
Ø Cài đặt dịch vụ DC cho máy chủ (Domain Controller):
v Giới thiệu:
Các máy điều khiển vùng (Domain Controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn là DC. Theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là Server độc lập (Standalone Server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để cài đặt một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường. Đối với Windows Server 2003 thì có thể đổi tên máy tính khi đã cài đặt thành DC.
Trước khi cài đặt Server thành Domain Controller, khai báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉ chính là địa chỉ IP của Server cần cài đặt. Có hai cách để bạn chạy chương trình Active Directory Installation Wizard: dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start => Run, gõ lệnh DCPROMO.
v Các bước cài đặt:
- Đầu tiên, thiết lập địa chỉ IP cho máy chủ cần cài đặt dịch vụ Domain Controller là 192.168.1.1, Subnet mask là 255.255.255.0, Default Geteway là: 10.228.33.100.
- Từ Menu Start/ Run nhập vào trong hộp thoại là dcpromo rồi nhấn OK.
- Hộp thoại Active Directiry Install Wizrad xuất hiện, chọn Next chuyển đến hộp thoại tiếp theo.
- Trong hộp thoại Domain Controller Type, chọn Domain Controller for a new Domain để tạo Domain mới. Nếu muốn thêm Domain khác Domain đã có thì chọn Additional Domain Controller for an exsting Domain.
Chọn Domain Controller for a new Domain rồi nhấn Next để tiếp tục.
- Hộp thoại Create New Domain:
Domain in a new forest: Tạo một miền mới trong vùng.
Child Domain in an exsting Domain tree: Tạo một miền con trong cây đã có.
Domain tree in exsting forest: Tạo một cây trong rừng mới.
Chọn Domain in a new forest nhấn Next để chuyển sang bước tiếp theo.
- Hộp thoại New Domain Name:
Đặt tên của Domain trong trường Full DNS name for new Domain và chọn Next.
- Hộp thoại NetBIOS Domain Name:
Mặc định là trùng tên với Domain, để tiếp tục chọn Next.
- Hộp thoại Database End Log Folders:
Cho phép chỉ định vị trí lưu trữ DataBase và các tập tin Log.
Chọn vị trí cần lưu bằng cách nhấn nút Browse; Nhấn Next để tiếp tục.
- Hộp thoại Share System Volume chỉ định vị trí thư mục Sysvol, thư mục này phải nằm trên Partition có định dạng NTFS. Nếu muốn thay đổi thì nhấn nút Browse; nhấn Next để tiếp tục.
- Hộp thoại DNS Registration Diagnostics:
Chọn Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server để cấu hình DNS.
Chọn Next để tiếp tục.
- Hộp thoại Permissions:
Permissions compatible with pre-Windows 2000 Server operating systems: Nếu hệ thống là các phiên bản trước Windows 2000 Server.
Permission compatible only with Windows 2000 or Windows 2003 operating system: Nếu hệ thống là Windows 2000 Server hay Windows 2003 Server.
Trường hợp này, chọn Permission compatible only with Windows 2000 or Windows 2003 operating system, nhấn Next để tiếp tục.
- Hộp thoại Directory Services Restore Mode Administrator Password:
Xác định mật khẩu dùng trong trường hợp vào chế độ Directory Services Restore Mode, nhấn Next để tiếp tục.
- Hộp thoại Sumary:
Hộp thoại này hiển thị các thông tin đã chọn ở bước trước, nhấn Next để tiếp tục.
- Hộp thoại Active Directory Install Wizard:
Quá trình cài đặt được thực hiện.
- Hộp thoại Completing The Active Directory Installation Wizard xuất hiện khi quá trình cài đặt hoàn tất.
Nhấp Finish để kết thúc.
c. Cài đặt các dịch vụ cho hệ thống:
Ø Cấu hình dịch vụ DNS – Phân giải tên miền:
Vùng nào cũng phải có máy phục vụ DNS chính, có thể tích hợp với Active Directory hay vận hành như máy phục vụ chính thông thường. Máy phục vụ chính phải có khu vực dò xuôi và khu vực dò ngược thích hợp. Khu vực dò xuôi (forward lookup zone) giúp phân giải tên vùng thành địa chỉ IP. Khu vực dò ngược (Reserve lookup zone) rất cần thiết với việc phân giải địa chỉ IP thành tên vùng hay tên máy chủ.
+ Cài đặt bổ sung dịch vụ DNS:
Vào Start\ Settings\ Control Panel\ Add or Remove Programs\ Add/Remove Windows Components. Xuất hiện hộp thoại:
Chọn Networking Services\ Details…
Chọn Domain Name System (DNS)\ OK. Nhấn Finish để hoàn thành.
+ Tạo Forward Lookup zone cho tên miền thuctap.com:
Vào Start\ Program\ Administrator Tools\ DNS xuất hiện bảng sau.
Kích chuột phải tại Forward Loopup Zones\ New Zone ta được màn hình sau.
Nhấn Next để tiếp tục.
Bỏ chọn Store the zone in Active Directory (available only if DNS server is domain controller). Sau đó nhấn Next.
Nhập tên miền vào trường Zone name. Tiếp tục nhấn Next.
Nhấn Next\ Next\ Finish để hoàn tất.
+ Tạo Reverse Lookup zone cho tên miền Thuctap.com:
Cũng trong bảng DNS, kích chuột phải tại Reverce Loopup Zones\ New zone.
Bỏ chọn tại Store the zone in Active Directory (available only if DNS server is domain controller). Sau đó nhấn Next.
Nhập địa chỉ IP của Server tại trường Network ID. Sau đó nhấn Next\ Next\ Next\ Finish.
+ Tạo Record A và PTR phân giải cho máy DNS Server:
Trong bảng DNS, tại tên miền trong Forward Loopup Zones kích chuột phải chọn New Host. Nhập tên DNS tại trường name (uses parent domain name if blank) và địa chỉ IP server tại trường IP address. Kích chọn Create associated pointer (PTR) record. Sau đó nhấn Add host và Close để đóng lại.
+ Hiệu chỉnh Record SOA và NS của miền:
Tại tên miền trong Forward Loopup Zones của bảng DNS, ta kích đôi chuột tại Name server (NS), kích chọn Edit như hình sau:
Kích chọn dns1 như hình sau, nhấn OK.
Tiếp theo, chọn thẻ Start of Authority (SOA), tại nút Browse kích chọn dns1.Thuctap.com như hình sau. Nhấn OK để kết thúc.
Ta thực hiện tương tự đối với Reverce Loopup Zones.
+ Tạo thêm các Record A và PRT để phân giải cho các máy chứa dịch vụ khác:
Trong bảng DNS, tại tên miền trong Forward Loopup Zones kích chuột phải chọn New Host. Nhập www, ftp, mail tại trường name (uses parent domain name if blank) và địa chỉ IP server tại trường IP address. Kích chọn Create associated pointer (PTR) record. Sau đó nhấn Add host và Close để đóng lại.
Ø Tạo nhóm và tài khoản người dùng:
- Tạo nhóm người dùng:
Trong cơ quan có nhiều nhân viên và nhiều phòng ban khác nhau, để quản lý mọi nhân viên trong cơ quan cũng như các phòng ban phải thành lập các user ứng với mỗi nhân viên và mỗi nhóm ứng với mỗi phòng ban. Việc này giúp cho người quản trị hay giám đốc có thể theo dõi hoạt động hoặc cấp quyền sử dụng cho từng nhân viên khác nhau trong cơ quan.
Muốn tạo nhóm người dùng ta thực hiện các bước sau:
Vào Start\ Program\ Administrative Tools\ Active Directory users and computers. Xuất hiện hộp thoại
Kích chuột phải vào Users\ New\ Group, xuất hiện màn hình sau:
Nhập tên nhóm vào trường Group name, rồi nhấn OK.
- Tạo tài khoản người dùng:
Vào Start\ Program\ Administrative Tools\ Active Directory users and computers. Kích chuột phải vào Users\ New\ User, xuất hiện màn hình sau:
Nhập tên đầy đủ vào Full name và tên đăng nhập vào User logon name, rồi nhấn Next để tiếp tục.
Nhập mật khẩu đăng nhập. Nhấn Next\ Finish để hoàn thành công việc. Thực hiện tương tự đối với các tài khoản người dùng khác.
- Đưa tài khoản người dùng vào trong nhóm:
Tại hộp thoại Active Directory users and computers, kích chuột phải tại nhóm muốn đưa tài khoản vào, chọn Properties\ chọn thẻ Members\ Add.
- Nhập một hoặc nhiều tên tài khoản vào trường Enter the object names to select\ Check name để kiểm tra\ OK\ Apply\ OK.
Ø Ánh xạ ổ đĩa - Tạo thư mục dùng chung và thư mục dùng riêng:
Việc này giúp mọi người trong hệ thống có thể chia sẻ tài liệu của mình cho mọi người trong cơ quan để thuận tiện cho công việc mà không phải mất thời gian đi lại nhiều.
- Tạo cấu trúc cây thư mục như hình:
- Kích chuột phải tại thư mục cần thực hiện, chọn Sharing and security
- Tại thẻ Sharing chọn Share this folder\ Permissions\ Full Control\ OK.
- Tạo file Script.bat:
Start\ Run\ Notepad soạn nội dung như hình lưu thành tập tin Script.bat tại Desktop.
- Thiết lập để script tự động thực thi khi người dùng đăng nhập vào hệ thống:
Vào Start\ Program\ Administrative Tools\ Active directory users and computers. Kích chuột phải vào tên miền Domain\ Properties.
Tại thẻ Group Policy chọn Edit. Tiếp theo chọn Windows settings\ Scripts (logon/logoff)\ logon, xuất hiện hộp thoại:
Bước kế tiếp, chọn Add\ Browse, copy tập tin Script.bat ngoài desktop vào thư mục logon\ Open\ OK\ Apply\ OK.
Xóa tập tin Script.bat ngoài desktop
Start\ Run\ “gpupdate /force” để cập nhật.
Đăng nhập tài khoản người dùng để kiểm tra
Công việc đã hoàn thành.
2.3.1.2. Giới thiệu firewall:
a. Tổng quan về Firewall:
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà thông thường là internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng Router. Về mặt chức năng firewall có nhiệm vụ: Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.
Ø Các phần mềm quản lý an ninh bảo mật chạy trên hệ thống máy chủ bao gồm:
- Quản lý xác thực (Authentication): Có chức năng ngăn chặn truy cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản bao gồm một tên người dùng và mật khẩu.
- Quản lý cấp quyền (Authorization): Cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng.
- Quản lý kiểm soát (Accounting Management): Cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng các nguồn tài nguyên trên mạng theo từng thời điểm và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung…
b. Kiến trúc của Firewall:
Ø Kiến trúc Dual – homed Host:
Firewall kiến trúc kiểu Dual-homed Host được xây dựng dựa trên máy tính Dual-homed Host. Một máy tính được gọi là Dual-homed Host nếu có ít nhất hai Network Interfaces có nghĩa là máy đó có hai card mạng giao tiếp với hai mạng khác nhau. Kiến trúc Dual-homed Host rất đơn giản, Dual-homed Host ở giữa một bên kết nối với internet và bên còn lại nối với mạng nội bộ.
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép user đăng nhập trực tiếp vào Dual-homed Host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed Host là nơi giao tiếp duy nhất.
Hình 3.28: Sơ đồ kiến trúc Dual–homed Host
Ø Kiến trúc Screened Host:
Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed Host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau:
- Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố định.
- Không cho phép tất cả các kết nối từ các host bên trong (cấm những host này sử dụng dịch proxy thông qua bastion host).
- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.
- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.
- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như là nguy hiểm hơn kiến trúc Dual-homed Host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc Dual-homed Host đôi khi cũng có lỗi mà cho phép các packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước), nó hầu như không được bảo vệ để chống lại những kiểu tấn công này. Hơn nữa, kiến trúc Dual- homed Host thì dễ dàng bảo vệ Router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened Host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed Host.
So sánh với một số kiến trúc khác, chẳng hạn như kiến trúc Screened Subnet thì kiến trúc Screened Host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion Host thì không có cách nào để ngăn tách giữa Bastion Host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu Router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Sceened Subnet trở thành kiến trúc phổ biến nhất.
Hình 3.29: Sơ đồ kiến trúc Screened Host
Ø Kiến trúc Sreened Subnet:
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho Bastion Host, tách Bastion Host khỏi các host khác, phần nào tránh lây lan một khi Bastion Host bị tổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. Kiến trúc Screened Subnet dẫn xuất từ kiến trúc Screened Host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách Bastion Host ra khỏi các host thông thường khác. Kiểu Screened Subnet đơn giản bao gồm hai Screened Router: Router ngoài (External Router còn gọi là Access Router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (Bastion Host, Interior Router). Nó cho phép hầu hết những gì Outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc biệt được cài đặt ở mức cần thiết đủ để bảo vệ Bastion Host và Interior Router vì Bastion Host còn là host được cài đặt an toàn ở mức cao. Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là Choke Router) nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà Interior Router cho phép giữa Bastion Host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa Bastion Host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi Bastion Host bị tổn thương và thoả hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa Bastion Host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới kết nối SMTP giữa Bastion Host và Email Server bên trong.
Hình 3.30: Sơ đồ kiến trúc Screened Subnet Host
b. Phân loại Firewall và nguyên tắc hoạt động:
Ø Packet Filtering (Bộ lọc gói tin):
v Nguyên lý hoạt động:
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (Data Pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là:
• Địa chỉ IP nơi xuất phát ( IP Source address).
• Địa chỉ IP nơi nhận (IP Destination address).
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
• Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
• Dạng thông báo ICMP (ICMP message type).
• Giao diện Packet đến (Incomming interface of Packet).
• Giao diện Packet đi (Outcomming interface of Packet).
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall. Nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
v Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói:
- Ưu điểm:
• Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router.
• Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
- Hạn chế:
• Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
• Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Ø Cổng ứng dụng (Application–Level Gateway):
v Nguyên lý hoạt động:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion Host là:
+ Bastion Host luôn chạy các version an toàn (Secure Version) của các phần mềm hệ thống (Operating System). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo sự tích hợp Firewall.
+ Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion Host.
+ Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card.
• Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
• Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
• Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn để.
v Ưu điểm và hạn chế:
- Ưu điểm:
• Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.
• Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các Proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
• Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
• Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói.
- Hạn chế:
• Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt trên máy Client cho truy nhập vào các dịch vụ Proxy.
Ø Cổng vòng (Circuit–Level Gateway):
Hình 3.31: Kết nối qua cổng vòng (Circuit–Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào.
Hình 3.31 minh hoạ một hành động sử dụng nối Telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
2.3.1.3. Giới thiệu phần mềm ISA Server 2006:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm Microsoft, là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép cấu hình sao cho tương thích với mạng LAN của hệ thống. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa có thể truy xuất thông tin nhanh hơn, và tính năng chedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN.
2.3.1.4. Cài đặt phần mềm ISA Server 2006:
Hình 3.32: Sơ đồ cài đặt ISA 2006
Sơ đồ cài đặt ISA Server 2006:
b. Chuẩn bị phần cứng:
- Chuẩn bị một máy Server để cài ISA Server 2006.
- Trong máy Server lắp đặt 02 card mạng:
+ Card mạng thứ nhất đặt tên là Internal được sử dụng trong hệ thống mạng nội bộ, đặt địa chỉ IP như sau:
Trước khi thực hiện cài ISA Server 2006, vào trong hệ thống chỉnh sửa thông số mạng, kích vào Advanced\ WINS\ bỏ chọn Enable LMHOSTS loopup\ chọn Disable NetBIOS over TCP/IP\ OK.
+ Card mạng thứ hai đặt tên là External được sử dụng để ra ngoài Internet đặt địa chỉ IP như sau:
Chỉnh sửa thông số mạng, thực hiện các bước giống như trên.
c. Quá trình cài đặt:
Đầu tiên, đưa đĩa chứa phần mềm Microsort ISA server 2006 vào. Chạy file ISAAutorun.exe. Xuất hiện màn hình sau, kích đôi vào Install ISA Server 2006 để cài.
Nhấn Next trên hình Welcome to the Installation Wizard for Microsoft ISA Server 2006 để tiếp tục.
Nhập Cdkey vào trường Product Serial Number như hình sau rồi nhấn Next.
Trên hình License Agreement, chọn I accept the terms in the license agreement. Sau đó nhấn Next.
Kích chọn Install both ISA Server services and Configuration Storage server, rồi nhấn Next.
Muốn thay đổi đường dẫn lưu phần cài đặt ta chọn Change, sau đó nhấn Next.
Chọn Create a new ISA Server enterprise, tiếp tục nhấn Next.
Tiếp tục nhấn Next trên hình New Enterprise Warning.
Nhập vào trường User name, Password. Nhấn Next.
Trong Internal Network kích vào Add để nhập địa chỉ mạng.
Kích vào Add Adapter trong bảng Address để nhập địa chỉ bắt đầu và địa chỉ kết thúc.
Kích chọn Internal trong mạng nội bộ rồi nhấn OK.
Tiếp tục nhấn OK.
Nhấn Next để tiếp tục cài đặt.
Và đến bảng tiếp theo, Nếu cho phép kết nối Firewall Client thì chọn Allow non-encryted Firewall client connections rồi nhấn Next.
Nhấn vào nút Install để cài ISA Server 2006.
Đợi hệ thống copy dữ liệu của phần mềm. Sau đó nhấn Next.
Windows tiếp tục cài đặt phần Additional Components và System Initialization.
Nhấn Finish để hoàn thành.
Quá trình cài đặt ISA Server 2006 thành công.
Vào Start\ Program\ Microsoft ISA server\ ISA server management. Ta có giao diện như sau:
2.3.1.5. Cấu hình ISA 2006:
a. Cấu hình Access rule:
Ø Tạo phân giải tên miền DNS cho các client:
Vào Start\ Program\ Microsoft ISA server\ ISA server management ta sẽ có giao diện của ISA Server 2006. Kích chuột phải Firewall Policy\ New\ Access rule.
Đánh tên Rule cần thiết lập tại Access Rule Name. Nhấn Next.
Chọn Allow để cho phép. Nhấn Next để tiếp tục.
Chọn giao thức cho phép là Selected protocols. Chọn Add để chọn giao thức và giao thức được chọn là DNS.Nhấn Next.
Chọn Add\ Internal. Nhấn Next để thực hiện tiếp theo.
Chọn Add\ External. Nhấn Next.
Chọn All user ta cũng có thể chọn user hoặc nhóm nếu cần. Nhấn Next.
Nhấn Apply\ OK\ Refresh để kết thúc.
Ø Tạo Access rule cho các máy truy cập được Internet:
Tạo rule để kiểm tra đường truyền và cấp phép cho các máy client trong hệ thống mạng truy cập được Internet thông qua máy chủ đã cài đặt ISA.
v Thực hiện:
Trong bảng Welcome to the New Access Rule Wizard, nhập tên Access rule và nhấn Next để tiếp tục.
Đến bảng Rule Action, kích chọn Allow để cho phép các máy truy cập Internet rồi nhấn Next.
Chọn All outbound traffic sau đó nhấn Next trong bảng Protocols.
Trong bảng Access rule Sources, nhấn vào nút Add và kích chọn Internal là xuất phát từ mạng nội bộ. Nhấn Next để tiếp tục.
Nhấn vào nút Add chọn External là cổng ra Internet rồi nhấn Next.
Trong bảng User Sets, cấp quyền truy cập cho tất cả các user và nhấn Next\ Finish để kết thúc.
Để công việc vừa tạo được thực thi nhấn nút Apply\ OK trên giao diện của ISA và Refresh.
Tiếp theo, cấu hình Access rule chi tiết cho các máy truy cập vào các trang web. Thực hiện tương tự như trên để xuất hiện bảng Welcome to the New Access Rule Wizard. Nhập tên vào trường Access rule name rồi sau đó nhấn Next.
Với Action là cho phép nên ta chọn Allow . Nhấn Next ta có bảng sau:
Chọn Selected protocols tại trường This rule applies to. Nhấn nút Add và chọn các giao thức để truy cập wed như: HTTP, HTTPS, HTTPS Server. Nhấn Next để tiếp tục.
Trong bảng Access Rule Sources, nhấn nút Add để chọn Internal và nhấn Next.
Nhấn nút Add chọn External rồi sau đó nhấn Next trong bảng Access Rule Destinations.
Trong bảng này, cấp quyền truy cập cho tất cả các user sau đó nhấn Next\ Finish\ Apply\ Refresh để hoàn thành.
Ø Chỉnh System rule cho các máy trong mạng Ping thấy nhau:
Kích chuột phải vào Firewall Policy\ Edit System policy.
Xuất hiện giao diện như hình sau. Chọn ICMP (Ping)\ nhấn nút Add.
Tiến hành kích chọn vào mục Internal rồi nhấn nút Close để đóng lại.
Tại Diagnostic Services, kích chọn ICMP rồi cũng nhấn nút Add.
Chọn mục Internal\ Add\ Close\ OK.
Khi thực hiện các thao tác trên xong ta cũng nhấn Apply\ Refresh để hoàn thành.
Ø Tạo rule cấm hoặc cho phép các máy client Ping ra Internet:
Sở dĩ cần thực hiện vấn đề này là vì khi các máy client Ping ra ngoài Internet không kiểm soát được sẽ ảnh hưởng đến tốc độ và băng thông đường truyền trong hệ thống mạng hiện tại và nhiều nguy cơ mạng bên ngoài quét được địa chỉ IP. Vì vậy, phải tạo rule cấm các máy client Ping ra ngoài Internet chỉ cho phép Ping khi cần thiết.
v Thực hiện:
Trong hình sau, kích chuột phải vào Firewall Policy\ New\ Access rule.
Nhập tên Access rule trong bảng Welcome to the New Access Rule Wizard và nhấn Next.
Nếu cho phép các máy con Ping ra Internet chọn Allow, ngược lại chọn Deny và nhấn Next.
Trong bảng Protocols chọn Selected protocols, nhấn nút Add. Giao thức chọn là các mục sau: ICMP Information Request, ICMP Timestamp, PING và sau đó nhấn Next để tiếp tục.
Trong bảng Access Rule Source, nhấn nút Add để chọn nguồn là Internal và tiếp tục nhấn Next.
Và trong bảng Access Rule Destinations cũng nhấn nút Add và chọn đích là External. Có nghĩa là các máy con trong hệ thống mạng nội bộ là Internal (nguồn) Ping ra ngoài Internet là External (đích). Nhấn Next để tiếp tục.
Cấp quyền truy cập cho All Users tại User Sets và nhấn Next\ Finish để kết thúc.
Để thực thi công việc vừa thực hiện nhấn Apply\ Refresh.
Ø Cấm không cho máy truy cập vào các trang Web xấu. Khi truy cập vào các trang này thì sẽ tự động chuyển hướng sang
Không cho truy cập vào các trang web đồi trụy có nội dung xấu tránh hệ thống mạng nội bộ nhiễm vius, tránh được việc máy tính mất sự kiểm soát. Khi vào các trang này thì hệ thống sẽ tự động chuyển sang trang
v Thực hiện:
Trước hết, tạo URL Sets là địa chỉ của những trang web cấm. Trên thẻ Toolbox\ Network Objects\ kích chuột phải URL Sets\ New URL Set.
Nhập tên vào trường Name, sau đó nhấn vào nút Add để các các địa chỉ trang web cấm vào. Ở đây, chúng tôi chỉ tượng trưng một vài trang web xấu. Nhấn Apply\ OK.
Tạo Access rule để thực thi công việc vừa tạo, kích chuột phải vào Firewall Policy\ New\ Access rule. Nhập tên rule vào trường Access Rule name và nhấn Next.
Trong Rule Action, chọn Deny để cấm truy cập các trang web vừa tạo. Nhấn Next để tiếp tục.
Trong Protocols, kích chọn Selects protocols sau đó nhấn nút Add. Sau khi nhấn nút Add sẽ xuất hiện một hộp thoại, ta kích chọn các mục: HTTP, HTTPS, HTTPS Server rồi nhấn Next.
Tại bảng Access Rule Source, nhấn nút Add để chọn nguồn là Internal rồi nhấn Next.
Trong bảng này, chọn đích là truy cập ra ngoài Internet các trang web cấm. Sau đó nhấn Next.
Quyền truy cập cho All Users trong User Sets và nhấn Next\ Finish hoàn thành.
Nhấn Apply\ Refresh để thực hiện công việc.
Tiếp theo, cấu hình khi các máy client truy cập vào các trang web trên thì sẽ tự động chuyển sang trang
Kích chuột phải vào Rule vừa tạo có tên là trang web cấm chọn Properties.
Trong bảng này, tại thẻ Action\ Deny\ Redirect HTTP requets to this Web page nhập tên trang web cần chuyển hướng đến và nhấn OK.
Khi thực hiện xong nhấn Apply\ Refresh để hoàn thành.
Ø Lập thời gian biểu truy cập cho các máy trạm đi ra ngoài Internet:
Trong thời gian giải lao và ngày nghỉ mọi người có thể truy cập internet để giải trí vì vậy sẽ không cấm vào thời gian. Ngoài ra, còn đảm bảo cho tốc độ truyền Internet được nhanh hơn để sử dụng cho các công việc cần thiết khác trong giờ làm việc.
v Thực hiện:
Tạo thời gian quy định ngoài giờ hành chính. Trên Toolbox\ chọn thanh Schedules\ New. Xuất hiện hộp thoại, nhập tên vào trường Name và quy định thời gian như hình sau:
Sau khi quy định thời gian xong, nhấn OK để thực hiện công việc vừa tạo.
Tiếp theo, tạo Access rule: Kích chuột phải vào Firewall Policy\ New\ Access rule\ nhập tên vào trường Access rule name và nhấn Next.
Trong hộp thoại Rule Action chọn Allow để cho phép và nhấn Next.
Chọn Select protocols và nhấn Add trong cửa sổ Protocols. Chọn các mục sau: HTTP, HTTPS, HTTPS Server và nhấn Next để tiếp tục.
Trong cửa sổ Access rule Sources, nhấn Add và chọn mục Internal, nhấn Next.
Tại cửa sổ Access rule Destinations, nhấn Add và chọn External rồi nhấn Next.
Để quyền truy cập cho All Users và nhấn Next\ Finish để kết thúc.
Kích chuột phải vào Access rule vừa tạo, chọn Properties\ Schedule\ tại trường Schedule chọn tên Schedule là “Gio giai lao”.
Muốn công việc vừa tạo được thực thi nhấn Apply\ OK\ Refresh.
Ø Lập lịch biểu cấp quyền cho user được vào Internet không giới hạn:
Trong hệ thống mạng, các User có quyền truy cập Internet khác nhau. Tùy thuộc vào nhu cầu truy cập Internet của các tài khoản trong hệ thống mạng nội bô mà chúng ta lập lịch cho phép hoặc không cho phép được dùng Internet.
v Thực hiện:
- Tạo nhóm User để cấp quyền :
Trên thẻ Toolbox\ Users\ New\ nhập tên nhóm vào trường User set name\ nhấn Next.
Trong bảng Users, nhấn Add\ Windows User and Group.
Nhập tên User trong phân quyền của Giám đốc trong trường Enter the object names to select\ Check Names để kiểm tra tên User rồi nhấn OK.
Sau khi nhập tên User có bảng sau, nhấn Next\ Finish để kết thúc.
- Tạo Access rule cấp quyền cho Giám đốc:
Kích chuột phải vào Firewall Policy\ New\ Access Rule\ nhập tên rule rồi nhấn Next để tiếp tục.
Tiếp theo, tại cửa sổ Rule Action chọn Allow, nhấn Next.
Trong cửa sổ Protocols, tại trường This rule applies to chọn All outbound traffic rồi sau đó nhấn Next.
Tại bảng Access rule Sources, nhấn Add chọn điểm nguồn là từ Internal trong mạng nội bộ và nhấn Next.
Trong bảng Access Rule Destinations, nhấn Add và chọn External là đích từ mạng nội bộ đến Internet, nhấn Next.
Tiếp theo đến cửa sổ User sets, cấp quyền cho nhóm Giám đốc bằng cách vào Add và sau đó nhấn Next\ Finish\ Apply\ Refresh để hoàn thành.
Ø Cấm không cho các máy chat Yahoo Messenger, gởi và nhận Mail:
Cấm không cho chat YM, gởi và nhận mail nhằm tăng hiệu quả công việc, tránh lơ là công việc trong giờ hành chính.
v Thực hiện:
- Cấm không cho các máy chat Yahoo Messenger:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP.
Xuất hiện hộp thoại, tại thẻ Signatures chọn Add.
Trong bảng Signatures, tại trường name nhập tên tượng trưng vào. Kích chọn Request headers tại trường Seach in. Nhập host vào HTTP header. Còn tại trường Signatures nhập địa chỉ truy cập là msg.yahoo.com. Nhấn OK để kết thúc.
- Cấm gởi và nhận Mail thông qua giao thức POST:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP. Trong thẻ Methods, kích chọn Block specified methods (allow all others) tại trường Specify the action taken for HTTP methods. Sau đó nhấn Add để tiếp tục.
Nhập tên POST vào trường Method rồi nhấn OK.
Ø Cấm download các file: *.exe, *.flv, *.mp4, *.mp3:
Cấm download các file có đuôi mở rộng ở trên nhằm mục đích là tránh được sự tấn công ở ngoài vào như các virut giả mạo giống phần mở rộng: New Folder.exe, autorun.exe, hay.exe,… Làm tăng tốc độ và băng thông đường truyền.
v Thực hiện:
Kích chuột phải vào tên rule Truy cập web chọn Configure HTTP. Tại thẻ Extension, nhập phần mở rộng tại trường Extension: .exe rồi nhấn OK.
Tương tự, ta cũng nhập các đuôi mở rộng khác như: . flv, .mp4, .mp3. Sau đó nhấn OK\ Apply\ Refresh để hoàn thành.
b. Cấu hình Intrusion Detection nhận biết và ngăn chặn tấn công từ bên ngoài vào Internet:
Hiện nay, có nhiều dạng tấn công từ bên ngoài vào bên trong hệ thống mạng như các virut phá hoại máy tính phần mềm, hacker đánh cắp tài liệu mật, cấu hình Intrusion Detection sẽ giúp cơ quan ngăn chặn được những nguy cơ tấn công đó.
v Thực hiện:
- Enable Intrusion Detection:
Chọn General vào Enable intrusion detection and DNS attack detection.
Chọn Port scan tại thẻ common attacks.
- Thiết lập Action:
Chọn monitoring\ Configure alert definitions.
Tìm Intrusion Detection, chọn Edit.
Viết địa chỉ IP máy server, địa chỉ nhận thông báo như hình:
Nhấn OK\ Apply\ OK\ Refresh để kết thúc.
c. Theo dõi sự hoạt động của các trang Web:
Mục đích của công việc này là muốn biết trang web có hoạt động ổn định hay không mà không cần phải vào Internet để kiểm tra. Tiết kiệm được thời gian, công sức mà hiệu quả công việc vẫn cao.
v Thực hiện:
Trên Monitoring\ Connectivity Verifiers\ Create New Connectivity Verifier như trong hình sau:
Trong cửa sổ Welcome to the New Connectivity Verifier Wizard, nhập tên tại trường Connectivity Verifier name và nhấn Next.
Nhập điạ chỉ trang web cần theo dõi tại trường Monitor connectivity to this server or URL, chọn Web (Internet) tại Group type used to categorize this connectivity verifier và nhấn Next\ Finish\ Apply\ OK\ Refresh để hoàn thành.
Khi thực hiện xong, muốn kiểm tra vào Monitoring\ Connectivity Verifiers để xem như hình sau:
d. Quản lý băng thông bằng ISA Server 2006:
Các máy client trong hệ thống ra ngoài Internet không có sự kiểm soát làm ảnh hưởng đến tốc độ đường truyền của Trung tâm. Vì vậy, mục đích đặt ra là phải giới hạn băng thông (Bandwidth) hay dung lượng truy cập của máy khách, kiểm soát luồng dữ liệu ra, vào hệ thống trong hệ thống mạng nội bộ của Trung tâm, phân quyền cho từng người với từng băng thông khác nhau. Và ISA Server 2006 có thể đáp ứng được nhu cầu đó.
v Thực hiện:
- Quá trình cài đặt Bandwidth Splitter:
Chạy file setup của phần mềm hỗ trợ trong ISA 2006 là Bandwidth Splitter.
Trong bảng Welcome to the Bandwidth Splitter Setup Wizard, nhấn Next để cài đặt.
Chọn I accept the egreement và nhấn Next để đồng ý bảng quyền.
Nhấn Next để tiếp tục cài đặt.
Nhấn Install để cài đặt. Đợi hệ thống thực hiện cài đặt rồi nhấn Finish để hoàn thành.
- Cấu hình quản lý băng thông:
Sau khi cài xong, mở ISA Server 2006 ra sẽ có thêm một cột chức năng mới đó là Bandwidth Splitter.
Để giới hạn băng thông, tạo thêm một rule mới trong Shaping Rule. Kích chuột phải vào Shaping Rule\ New\ Rule…
Nhấn Next sau khi nhập tên vào trường Shaping rule name.
Trong cửa sổ Applies To, chọn quản lý theo User (nếu muốn quản lý theo User), tạo một nhóm User trước trong phần Toolbox trong ISA. Nhóm User này có thể là User của Domain, hoặc User ở ngay máy hiện tại. Ở đây để dễ dàng, quản lý theo địa chỉ IP. Vì vậy, chọn IP Address sets specified below và Add vùng mạng hay địa chỉ mạng cần quản lý vào. Ở đây quản lý mạng nội bộ Internal và bấm Next.
Trong cửa sổ Destinations, chọn Add và chọn External, nhấn Close\ Next.
Ở cửa sổ này, chọn thời gian cụ thể sẽ thiết lập để quản lý băng thông của mạng. Hiện tại ISA đã thiết lập sẵn ba chế độ là Always, Weekends và Work hours. Chọn Always và nhấn Next.
Trong cửa sổ Shaping, chọn:
- Shape total traffic (incoming + outgoing): cho phép băng thông tổng số download và upload.
- Shape incoming and outgoing traffic: quản lý tốc độ download và upload riêng biệt.
- Shape incoming traffic only: chỉ quản lý tốc độ download.
- Shape outgoing traffic only:chỉ quản lý tốc độ upload.
Nhấn Next để tiếp tục.
Tại cửa sổ Shaping Type, nếu chọn:
- Assign bandwidth individually to each applicable users/addresses: thiết lập quản lý băng thông áp dụng cho từng máy.
- Distribute bandwidth between all applicable users/addresses: tổng băng thông thiết lập ở trên sẽ được chia cho các máy trạm, nếu máy nào dùng nhiều thì máy khác sẽ truy cập Internet chậm. Ở đây, thêm một lựa chọn khác: Static bandwidth distribution là chia đều tốc độ download. Nhấn Next để tiếp tục.
Extra parameters cho phép thiết lập rule trên trong trường hợp nếu máy khách thiết lập đã vượt quá số MB download, upload hoặc không áp dụng để tính traffic.
Nhấn Next\ Finish\ Apply\ Refresh để kết thúc.
e. Tạo Report thống kê, báo cáo về các giao dịch thông qua ISA Server 2006:
Tạo báo cáo để thống kê các giao dịch mà các máy trong mạng đã thực hiện.
Để thực hiện, chọn Monitoring\ Tab Reports\ kích vào Generate a New Report như giao diện sau:
Nhập tên Report vào trường Report name và nhấn Next.
Tiếp theo, nhấn Next cho đến khi kết thúc.
Để công việc được thực hiện, nhấn Apply\ OK\ Refresh.
Muốn xem báo cáo, vào Monitoring\ Tab Report\ kích chuột phải vào tên báo cáo chọn View.
f. Tạo và mở file Backup ISA Server 2006:
ISA Server 2006 sử dụng VSS (Volum Shadow Copy Service) để tạo file backup để lưu lại những cấu hình đã được cài đặt. Nói cách khác, là một tập tin dự trữ để khi gặp trường hợp cấu hình bị lỗi muốn quay về thời điểm trước thì Restore file backup đã được tạo.
v Thực hiện:
- Tạo file backup:
Kích chuột phải vào tên máy Server\ chọn Export (back up) để tạo file.
Xuất hiện hộp thoại sau, nhấn Next để tiếp tục.
Trong bảng Export File Location, nhấn nút Browse để tìm đường dẫn lưu file và đặt tên file sau đó nhấn Next để tiếp tục. Đợi hệ thống thực hiện và nhấn OK\ Apply\ Refresh để kết thúc.
- Mở file backup:
Kích chuột phải vào tên máy Server\ chọn Import (restore) để mở file đó ra khi cần thiết.
Kích nút Browse để tìm đường dẫn lưu file và nhấn Next.
Tại bảng Import Action, chọn Overwrite (restore) rồi nhấn Next\ Next\ OK\ Apply\ Refresh để hoàn thành.
g. Cấu hình VPN Client to site cho ISA 2006:
Trong cơ quan đôi khi nhân viên phải đi công tác xa mà không thể về cơ quan. Nhiều lúc cần trao đổi thông tin với các đồng nghiệp hay lấy tài liệu gì đó ở cơ quan thì gặp phải khó khăn vì không gia nhập được mạng nội bộ. Cấu hình VPN client to site sẽ giúp nhân viên gia nhập vào mạng LAN một cách dễ dàng thông qua mạng Internet sẵn có.
v Thực hiện:
Để làm được việc này ta sẽ tạo ra những user của nhân viên và đưa họ vào nhóm VPN-Group.
Để user có thể truy cập từ bên ngoài vào thì ta cần cấp quyền cho nó bằng cách kích chuột phải vào tên user chọn Properties, chuyển qua tab Dial-in. Trong phần Remote Access Permission ta chọn Allow Access.
Nhấn OK để kết thúc.
Trước khi bật được VPN server ở ISA khai báo mảng địa chỉ IP sẽ cấp cho các Client khi thực hiện kết nối vào. Vào Virtual Private Networks (VPN) chọn Define Address Asignment.
Nhấn Add và khai báo mảng IP sẽ cho kết nối VPN. Nhấn OK để kết thúc.
Chọn Configure VPN Client Access. Trong tab General phần Maximun number of VPN clients allowed chỉnh lại số kết nối được cho phép.
Chuyển qua tab Groups. Đây là phần xác định những máy được phép VPN vào server. Trong trường hợp này add vpn-group vào.
Nhấn OK để kết thúc.
Trong màn hình VPN Properties, chuyển qua tab Access Networks, chọn External.
Nhấn OK để kết thúc.
Bật VPN server ở ISA: Vào Virtual Private Networks (VPN) chọn Enable VPN Client Access.
Tạo Rule cho phép liên lạc chạy giữa 2 đường mạng Internal và VPN Client. Vào Firewall Policy Click Create Acces Rule để tạo một Access Rule mới. Khai báo các thông số cho Access Rule vừa tạo:
+ Access Rule Name: VPN Client to Site
+ Rule Action: Allow
+ Protocols: All outbound traffic
+ Access Rule Sources: VPN Client, Internal
+ Access Rule Destinations: VPN Client, Internal.
+ User Sets: All Users.
- Để gia nhập được VPN thì cấu hình ở máy client như sau:
Vào Network Connection, nhấn Create New Connection. Trong phần Network Connection Type, chọn Connect to the network at my workplace.
Nhấn Next để tiếp tục, chọn Virtual Private Network connection.
Nhấn Next để tiếp tục. Trong phần Company name, điền vào tên công ty.
Nhấn Next để tiếp tục . Trong phần VPN Server Selection , nhập vào IP của VPN Server.
Nhấn Next để tiếp tục. Sau đó điền username và password để thực hiện kết nối.
Sau khi đã kết nối thành công, vào Command Prompt kiểm tra các kết nối.
2.3.2. Cài đặt các máy trạm tương ứng:
2.3.2.1. Cài đặt hệ điều hành cho máy trạm:
Các máy trạm chạy hệ diều hành Window XP (đã được cài đặt trong đĩa chương trình).
2.3.2.2. Gia nhập các máy trạm vào hệ thống:
Tại các máy trạm, để gia nhập vào Domain ta làm như sau:
Kích chuột phải vào My computer chọn Properties, tại thẻ Computer name kích chọn Change để thay đổi, tiếp theo kích chọn Domain tại Member of nhập tên Domain rồi nhấn OK.
Tiếp theo xuất hiện hộp thoại nhập tên Usesr và Password rồi nhấn OK để gia nhập vào Domain.
Quá trình gia nhập máy trạm thành công.
Chương 3: KẾT LUẬN
3.1. Kết quả đạt được:
Sau khi thiết kế và tiến hành lắp đặt hệ thống mạng tại Trung tâm Tích Hợp Dữ Liệu hoàn tất, công việc đạt được những kết quả sau đây:
- Xây dựng được mô hình mạng LAN cho cơ quan.
- Xây dựng được hệ thống mạng quản lý Server – Client cho cơ quan, hệ thống hoạt động ổn định.
- Thực hiện được việc chia sẻ tài liệu cho các nhân viên trong cơ quan và chia sẻ các thiết bị dùng chung như máy in… mà không mất nhiều thời gian đi lại của nhân viên.
- Quản lý được người dùng khi truy cập ra Internet thông qua chương trình ISA Server 2006.
- Quản lý băng thông cho từng user ra ngoài hệ thống.
- Ngăn chặn các cuộc tấn công từ bên ngoài vào trong hệ thống mạng.
- Lập thời gian biểu truy cập cho các máy trạm đi ra ngoài Internet.
- Cấp quyền sử dụng cho từng người dùng khác nhau.
- Không cho download những file không cần thiết.
- Không cho chạy chương trình chat Yahoo Messenger, gởi và nhận Mail.
- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của cơ quan.
- Triển khai hệ thống VPN Client to Site hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các user khi không ở cơ quan.
3.2. Ưu, nhược điểm, hướng phát triển tương lai:
3.2.1. Ưu điểm:
- Tiết kiệm được thời gian và chi phí cho cơ quan.
- Thuận tiện trong công việc không đi lại mất nhiều thời gian.
- Quản lý và cấp quyền cho các user tránh tình trạng không kiểm soát được trong mạng.
- Khả năng bảo mật cao thông qua phần mềm Microsoft ISA Server 2006.
- Ngăn chặn các cuộc tấn công ngoài Internet vào trong hệ thống mạng, ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống..
- Vấn đề an ninh mạng được đảm bảo .
- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp.
- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet).
3.2.2. Nhược điểm:
- Chi phí lắp đặt cao.
- Đòi hỏi người quản trị phải có kiến thức sâu về vấn đề bảo mật, có vốn kiến thức vững về ISA.
3.2.3. Hướng phát triển tương lai:
Với khả năng phát triển của Trung tâm, trong tương lai có thể thành lập nhiều cơ sở khác nhau ở trên vùng địa lý cách xa nhau. Do đó, việc triển khai hệ thống VPN Site to Site hay Remote Access là cần thiết để hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các cở sở khác nhau.
TÀI LIỆU THAM KHẢO
Cấu trúc máy vi tính – Tác giả: Trần Quang Vinh (NXB Giáo Dục).
Mạng máy tính và các hệ thống mở – Tác giả: Nguyễn Thúc Hải (NXB Giáo Dục).
An toàn và bảo mật tin tức trên mạng – Học viện Công nghệ Bưu chính Viễn thông (NXB Bưu Điện).
Bức tường lửa Internet và An ninh mạng – NXB Bưu Điện
.
Các file đính kèm theo tài liệu này:
- xay_dung_quan_tri_he_thong_mang_lan_3527.doc