Upload
freeloadtailieu
View
103
Download
4
Embed Size (px)
Citation preview
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
1
LỜI CẢM ƠN
Sau một thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, duy trì
& nâng cấp hệ thống mạng doanh nghiệp” đã phần nào hoàn thành. Ngoài
sự cố gắng của bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô,
bạn bè, các anh, chị nơi em thực tập.
Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin
trường đại học Kinh tế Quốc dân đã giúp đỡ em trong quá trình học tập. Đặc
biệt là Giảng viên, PGS – TS Đặng Minh Ất đã tận tình giúp đỡ em trong
suốt quá trình thực hiện đề tài.
Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại công ty Vinapay
đã tạo điều kiện cho em được thực tập và học hỏi các kinh nghiệm để hoàn
thành đề tài này.
Em xin chân thành cảm ơn!
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
2
Mục lục
Giới thiệu
Chương I : Triển khai hệ thống mạng
1. Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
1.2 Các thành phần của mạng(Network Component)
1.3 Các loại mạng máy tính
1.4 Hệ thống domain quản lí mạng LAN- Local Area Network
2. Cơ sở lí thuyết
2.1 Dịch vụ DNS
2.2 Windows Internet Name Service
2.3 Dịch vụ DHCP
2.4 Active Directory
3. Hiện trạng hệ thống
4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
4.2 Công việc triển khai vào mạng công ty
Chương II: Quản lí và duy trì hệ thống mạng
1. Các khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
1.2 Khái niệm về backup và restore
2. Cơ sở lí thuyết
2.1 Thực hiện duy trì bảo mật Domain Controller và Active
Directoryministrative Workstation
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
3
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
2.3 Quản lý tài khoản Backup Operators
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Cấu hình backup cho domain
4.2 Quản trị hệ thống Active Directory
Chương III: Nâng cấp hệ thống với ISA Firewall 2004
1. Các khái niệm cơ bản
Các khái niệm cơ bản về ISA 2004
2. Cơ sở lí thuyết
2.1 Các Network Templates
2.2 Các cấu hình Network template
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy
Clients
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server
2004 Access Policy
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
4.3 Mô hình cấu hình ISA vào mạng công ty
Kết Luận
Phụ lục 1: Tài liệu tham khảo
Phụ lục 2: Một số từ chuyên ngành
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
4
GIỚI THIỆU
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức,
các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu
trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng.
Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi
mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả
nghiêm trọng.
Công ty Cổ phần Công nghệ Thanh toán Việt Nam (Vinapay) - được
chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài
hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG
Venture và Tập đoàn MK Việt Nam. Mục tiêu của Vinapay là góp phần xây
dựng tại Việt Nam một hạ tầng thanh toán an toàn cho thương mại di động.
Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ
thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản,
thẻ SIM phục vụ dịch vụ thương mại điện tử, …)
- Nghiên cứu, phát triển và thực hiện các dịch vụ công nghệ cao liên
quan đến thanh toán thương mại điện tử (e-commerce), thương mại di động
(m-commerce), thẻ trả trước, thẻ thông minh;
- Sản xuất và phát triển phần mềm ứng dụng công nghệ cao;
- Vận hành cổng điện tử, chuyển mạch để thực hiện kết nối các hệ
thống thanh toán thẻ ngân hàng, thẻ thanh toán, thẻ trả trước của các đơn vị
phát hành thẻ, cho phép người sử dụng điện thoại di động nạp tiền, trả cước
thông qua di động hoặc internet;
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
5
- Lắp đặt, bảo trì, cho thuê các hệ thống thiết bị phát hành thẻ, các loại
máy chấp nhận thanh toán như ATM, máy đọc và chấp nhận thanh toán đầu
cuối (POS).
Với công việc là thanh toán qua cổng điện tử và các giao dịch trực tuyến, yêu
cầu an toàn dữ liệu của Vinapay lại càng đòi hỏi cao. Nhưng do là một doanh
nghiệp trẻ (2-2007)Vinapay vẫn chưa có được một hệ thống mạng công ty
hoàn thiện, tính bảo mật không được đảm bảo. Cũng vì lí do đó trong thời
gian thực tập ở công ty VINAPAY em đã chọn đề tài “Triển khai, quản trị,
duy trì & nâng cấp hệ thống mạng doanh nghiệp” . Trên cơ sở thực tế mạng
của Vinapay, em đã nghiên cứu các vấn đề về mạng Lan và bảo mật mạng
Lan của doanh nghiệp.
Đề tài được thực hiện với mục đích tìm hiểu hệ thống và các công cụ được
cung cấp để qua đó có thể vận hành thành thạo các công cụ này, biết cách cấu
hình và thực hiện, qua đó tránh những lỗ hổng không đáng có. Đồng thời còn
đưa ra một số cấu hình đã được áp dụng hoặc một số đề xuất về cấu hình. Hi
vọng nó sẽ giúp ích cho những người quản trị mạng có thể áp dụng vào mạng
mình quản lí.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
6
CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG
1 Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết
nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch,
hub, dây cáp, sóng vô tuyến,…) để chia sẻ các tài nguyên. Việc kết nối giữa
các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các
công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có
thể gọi là nút mạng.
Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong
việc chia sẻ các tài nguyên cho người dùng. Các tài nguyên chia sẻ bao gồm
các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung.
1.2 Các thành phần mạng (Network Component)
Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in,…
chúng được gọi là các thành phần mạng (network component) bao gồm các
thành phần chính sau
Máy chủ (server): Là máy tính có các tài nguyên, dịch vụ, ứng dụng
chia sẻ để cho các máy tính khác truy nhập tới và sử dụng. Máy chủ chạy hệ
điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm
chuyên dụng dành cho máy chủ. Tuỳ thuộc vào chức năng và nhiệm vụ mà
máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy
chủ thư điện tử (mail server), máy chủ ứng dụng (application server),…
Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các
máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ. Máy trạm chạy hệ
điều hành máy trạm và các phần mềm máy trạm.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
7
Phương tiện truyền dẫn (media): Là các thành phần chuyền dẫn vật lý giữa
các máy tính như dây cáp (cable), sóng radio,…
Tài nguyên (resources): Là các ứng dụng, dữ liệu, các phần cứng
chuyên dụng,… được cung cấp bới các máy chủ trên mạng cho người dùng
thông qua các máy trạm (files, máy in,…)
Card mạng (network adapter): Là một thiết bị chuyên dụng giúp các
máy tính có thể gửi dữ liệu tới các máy tính thông qua phương tiện truyền
dẫn.
Các thiết bị kết nối như HUB, SWITCH, ROUTER
Giao thức mạng (network protocol): Là tập hợp các quy luật, quy định
giúp các máy tính có thể giao tiếp với nhau (hiểu được nhau – giống như
ngôn ngữ mà con người sử dụng).
Topo mạng (network topology): Là cấu trúc vật lý của mạng (bus, star,
ring,…) nó được phân loại dựa vào loại phương tiện truyền dẫn (media
type), giao thức mạng (protocol), card mạng,…(Trong khuôn khổ đề tài này
sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị
ngoại vi hay các phần cứng về máy sẽ không được đề cập đến).
1.3 Các loại mạng máy tính
Mạng máy tính có thể được phân loại theo một số cách khác nhau: phân loại
theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng
trong mạng,…
Phân loại theo phạm vi
Mạng nội bộ (LAN – local area network): Là mạng máy tính trong đó
các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ
(phòng, toà nhà,…). Việc giới hạn này phụ thuộc vào phương tiện truyền
dẫn mà mạng nội bộ sử dụng.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
8
Mạng diện rộng (WAN – wide area network): Là mạng có thể trải trên
các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị
trí ở các quốc gia khác nhau với nhau. Các phương tiện kết nối có thể sử
dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện
thoại (telephone line), các kết nối dành riêng (lease line). Tuy nhiên giá
thànhh của các kết nối này tương đối cao.
Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng,
ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục
đích của mạng Internet là đáp ứng lại các kết nối của người dùng ở bất kỳ
đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá
các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý.
Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area
network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng
ảo (VPN – virtual private network), mạng không giây (wireless network),…
Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các
máy chủ quản trị sử dụng Windows Server 2003 và một số máy client(50-
100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN).
1.4 Hệ thống domain quản lí mạng LAN
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ
liệu bảo mật chung.
Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các
ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các domain
khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong
một domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của
các domain khác. Chủ yếu domain cung cấp một phương pháp để phân chia
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
9
mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain
luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn
riêng của họ.
Một domain Windows Server 2003 cũng đại diện cho một không gian
tên tương ứng với một cấu trúc tên. Một domain khi tạo, nó sẽ cung cấp một
số dịch vụ cơ bản cho hệ thống mạng như:
DNS(Domain Name System): đây là Dịch vụ phân giải tên miền được
sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành các
địa chỉ IP tương ứng.
DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa
chỉ động ): đây là dịch vụ quản lý và cấp địa chỉ IP cho các máy trạm. Nhờ
dịch vụ này địa chỉ IP của các máy trong công ty trở lên dễ quản lí hơn.
Windows: Cấu hình hệ điều hành và quản lý server có cài đặt các dịch
vụ hệ thống
Active Directory: Quản lý và điều hành hoạt động của domain
controller cung cấp dịch vụ Active Directory
Windows Internet Name Service(WINS):cung cấp khả năng phân giải
tên máy tính bằng cách phân giải tên NetBIOS sang địa chỉ IP
Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng
máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy
chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ
đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS
2. Cơ sở lí thuyết.
Để xây đựng một mạng máy tính sử dụng Microsoft Windows Server
2003 ta cần nắm rõ về các dịch vụ của nó cung cấp, điều này sẽ giúp cho
việc cấu hình mạng trở nên dễ dàng và khoa học hơn. Khi đó các công việc
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
10
sử dụng cũng như nâng cấp sẽ nhanh và hiệu quả hơn. Một số công cụ quản
trị hệ thống mạng.
2.1 Dịch vụ DNS –Không gian tên nội bộ (sử dụng trong hệ thống
Intranet Local) và không gian tên Internet được thiết kế như sau:
Không gian tên DNS nội bộ: Local.Vinapay.com.vn
Không gian tên DNS Internet: Vinapay.com.vn
Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động
(Dynamic DNS). Nó cho phép các máy trạm xác thực tự động đăng ký bản
ghi với dịch vụ DNS. Tất cả các tài khoản máy tính sẽ có các bản ghi tương
ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory mà
nó trực thuộc. Điều này cho phép các yêu cầu nội bộ đối với các đối tượng
này được các máy chủ DNS nội bộ phục vụ.
Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được
nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest. Máy
chủ DC tại các tỉnh miền Bắc (Hanoi.Vinapay.com.vn) hoặc miền Nam
(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng
miền đồng thời cũng nắm giữ miền DNS của chính domain đó. Do các hoạt
động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy
chủ DNS trung tâm để kết nối 2 mạng.
Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt
động của hệ thống mạng. Chính bởi vai trò quan trọng này mà ta cần phải có
chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có
tính sẵn sàng cao, sao lưu phục hồi tốt.
Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính
sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu
số người được phép đăng nhập và vận hành thao tác trên các máy chủ này,
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
11
bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới
việc hệ thống Intranet không thể hoạt động được.
2.2 Windows Internet Name Service (WINS) Bằng việc triển khai
WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client
trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho
các tên NetBIOS và các địa chỉ tương ứng của chúng. Các WINS client đăng
ký tên của chúng tại một local WINS server và WINS server đó sẽ trao đổi
các mục đó với các WINS server khác. Nó đảm bảo tính duy nhất của tên
NetBIOS.
Microsoft đã sử dụng giao tiếp NetBIOS để thiết kế các thành phần mạng
của mình vì thế có nhiều dịch vụ mạng và ứng dụng phụ thuộc vào
NetBIOS.
Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các hệ điều hành
như Windows 98, Win NT, Microsoft® Windows® 2000 do đó cần thiết
triển khai WINS trên Windows Server 2003 để phân giải tên NetBIOS tự
động. Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các
máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống
vẫn yêu cầu phân giải tên NetBIOS cho các ứng dụng đang chạy trên hệ
thống.
2.3 Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các máy trạm yêu
cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ
DHCP. Với mạng Microsoft Windows 2003, bạn có thể đánh địa chỉ IP động
sử dụng Giao thức cấu hình máy chủ động Dynamic Host Configuration
Protocol (DHCP) để tự động cấp và quản lý các địa chỉ IP mạng. Ngoài ra
thì dịch vụ DHCP còn cung cấp cho các máy trạm các thông tin về hệ thống
như subnet mask, Gateway. Nhờ đó các máy trạm có thể tránh được việc
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
12
xung đột địa chỉ IP; tránh được các lỗi có thể xảy ra khi thiết lập thủ công
các thông số liên quan TCP/IP như đánh địa chỉ Subnet mask sai.
Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ
DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy
trạm luôn nhận được địa chỉ IP đúng.
Để quản trị dịch vụ DHCP trên hệ thống mạng Intranet VINAPAY cần áp
dụng các chính sách quản lý trên cả máy chủ DHCP và máy trạm DHCP.
Các chính sách này được thực hiện thông qua việc phân quyền quản trị và
giám sát các tài khoản thuộc nhóm quản trị DHCP.
Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số
lượng các thành viên của nhóm DHCP Administrator. Bởi vì các thành viên
của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các
lựa chọn cấu hình DHCP, và tạo ra các DHCP reservation. Bất kỳ sự thay
đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được
địa chỉ IP từ các máy chủ DHCP. Đồng thời nó có thể tạo ra lỗ hổng bảo mật
với hệ thống Intranet.
Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành
viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm
Enterprise Admin – để xác định những người cần có quyền quản lý các dịch
vụ DHCP. Các thành viên trong các nhóm này cho phép quản lý tất cả các
DHCP Server trong domain.
Chú ý: Thành viên của nhóm DHCP Administrator không thể cấp phép cho
một DHCP Server trong một Active Directory. Chỉ các thành viên của nhóm
Enterprice Admin có thể thực hiện nhiệm vụ này.
Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ
IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không
chính xác từ một DHCP server trái phép. Ngoài ra, một số máy trạm có vai
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
13
trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh. Việc đánh địa chỉ tĩnh
cho các máy chủ và một số máy trạm sẽ giúp cho hệ thống Intranet
VINAPAY vẫn hoạt động khi dịch vụ DHCP có lỗi.
2.4 Dịch vụ Domain controller(Active Directory )
Môi trường forest cho VINAPAY sẽ chứa một forest đơn. Tên domain gốc
của forest là VINAPAY.COM.VN.
Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản
người sử dụng, các nhóm, tài khoản máy tính,…..) và được thiết kế đảm bảo
việc quản trị dễ dàng nhất.
Trên hệ thống Intranet VINAPAY, nhóm người quản trị mức forest sẽ khác
nhóm người quản trị tất cả các hoạt động khác thông thường trên dịch vụ thư
mục Active Directory. Chính vì thế, phương pháp tốt nhất là tạo ra một
domain gốc của forest và các chính sách quản trị phải tuân theo yêu cầu này.
Domain này sẽ nắm giữ hai vai trò FSMO mức forest đó là: Schema Master
và Domain Naming Master. Đây là hai vai trò rất quan trọng trong hoạt động
chung tổng thể của dịch vụ Active Directory trên toàn hệ thống. Các tài
khoản quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng
như tính ổn định của hệ thống. Vì vậy, domain này sẽ nắm giữ các tài khoản
mức toàn hệ thống như Enterprise Admins và Schema Admins chẳng hạn.
Các nhóm người quản trị các hoạt động trên Active Directory được gán cho
một hoặc nhiều các domain con. Điều đó cho phép các nhóm quản trị IT này
có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng
không thể điều khiển được các thành viên của các nhóm Enterprise Admins
và Schema Admins trong domain gốc của forest.
Như vậy domain gốc sẽ nắm giữ tất cả các tài khoản có quyền trên toàn
forest với quyền hạn có thể thực hiện thay đổi dữ liệu mức forest như: thay
đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
14
thống VINAPAY hoàn toàn có thể kiểm soát được vấn đề này. Ví dụ: để có
thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận
của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của
forest trước khi cài đặt.
Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm
quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó.
Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm
Enterprise Admins) cũng có quyền quản trị và giám sát các hoạt động và
chính sách trên các máy chủ này.
3. Hiện trạng hệ thống mạng
Cấu trúc
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
Máy chủ DCserverIP:192.168.2.2 có vai trò:
DHCP server:
Cấp dải địa chỉ từ :192.168.2.5192.168.2.100 cho client
trong công ty
Đóng vai trò là DNS server : LangHa.Vinapay.com.vn
FTP server: IP 222.252.28.10
Các máy client chưa cùng một domain, địa chỉ IP do modem cung cấp
Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt.
4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
Máy chủ DCserverIP: 192.168.2.2
DHCP server :
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
15
Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client
trong công ty.
Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số
máy cố định.
Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong
công ty. Cấp động dải 10.0.0.5-10.0.0.25 cho các máy Laptop
truy cập vào nhờ access point của công ty.
FPT Server có địa chỉ: 222.252.28.10
Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting
server, máy chủ backup. Tiến hành cài đặt các máy chủ này.
Thiết lập hệ thống Active Directory, đưa các máy client vào
domain.
4.2 Công việc cần triển khai
Triển khai các công việc theo cấu trúc mạng mới. Được bắt đầu từ
việc cài đặt server và nâng cấp các thành phần của server theo yêu cầu được
đề ra:
4.2.1 Cài đặt Windows Server 2003
Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản
Windows thường dùng(XP1, XP2, Windows 2000). Nhưng có một số
điểm cần lưu ý sau:
Khi cài đặt cần lưu ý các CD key dành cho các phiên bản. Bởi
vì một số phần cứng máy cao cấp thuộc dòng Intel Itanium hỗ
trợ việc đánh địa chỉ 64 bit, trong khi hầu hết các dòng còn lại
chỉ hỗ trợ việc đánh địa chỉ 32 bit. (Đối với một doanh nghiệp
vừa thì thường gặp các máy chủ hỗ trợ 32 bit)
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
16
Cần chú ý đến các thông số, ở mục listensing modes trong quá
trình cài đặt, số lương kết nối được khai báo chính là số lượng
giấy phép bản quyền mà ta có khi sử dụng server.
Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003
Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và
lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ
điều hành cho server đồng thời còn thực hiện cài đặt rất nhiều máy client
khác. Để giải quyết vấn đề này có thể thực hiện theo nhiều phương án,
Windows Server 2003 cung cấp cho ta một số giải pháp sau:
File trả lời: Một file trả lời là một kịch bản (script), nó chứa tất
cả thông tin các tùy chọn trong khi cài đặt Windows.
Nhân ảnh đĩa: khi triển khai một số lượng lớn các máy giống
nhau ta có thể sử dụng phương pháp này. Một ảnh đĩa là một
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
17
bản sao của một đĩa cứng đã được cài đặt hệ điều hành. Việc
chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có
cấu hình phần cứng tương đương cho phép có thể sử dụng ngay
hệ điều hành đã được chuyển mà không cần cài lại.
Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên
máy và địa chỉ IP của các máy trong cùng một mạng LAN.
4.2.2 Cấu hình Windows Server 2003
Để khởi tạo các cấu hình máy chủ mà Windows Server 2003 cung
cấp ta có thể thực hiện theo các thao tác:
Vào Start > Manage Your Server >Add and Remove a
role > Configure Your Server Winzard
Hoặc có thể dùng câu lệnh Run > dcpromo để trực tiếp
vào cửa sổ Configure Your Server Winzard
Hình I.4.2 Cửa sổ Manage Your Server
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
18
Tạo máy chủ quản trị miền Active Directory
Từ cửa sổ Configure Your Server Winzard chọn Domain controller và
tiếp tục điền các thông số tên domain.
Nếu là máy chủ gốc của domain ta chọn Domain Controller for a New
Domain, sau đó theo tiến trình càu đặt tên domain (Vinapay.com.vn).
Tiếp theo là các yêu cầu đường dẫn và các yêu cầu cài thêm dịch
vụ(DNS).
Hình I.4.1.3 Cài đặt Active Directory
Các tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo
máy chủ đã trở thành Domain Controller.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
19
Hình I.4.4 Thăng cấp Active Directory thành công
Chú ý: các trường trong địa chỉ IP của máy càn phải được điền đầy đủ
Tạo máy chủ DNS
Khi cài Active Directory sẽ nhận được thông báo cài cùng dịch vụ
DNS, nếu ta chưa tiến hành cài khi nâng cấp Active Directory hay muốn
thêm chức năng này có thể tiến hành
Từ cửa sổ Configure Your Server Winzard chọn DNS Server và tiếp
tục điền các thông số của máy chủ DNS như các Zone, các dải IP của máy
chủ DNS…
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
20
Hình I.4.5 Cấu hình DNS khi cài domain
Máy chủ DNS được cấu hình :
Để bảo đảm an toàn dữ liệu của máy chủ DNS, ta cần phải đưa ra một
chính sách sao lưu phục hồi thích hợp và xuyên suốt. Việc sao lưu dữ liệu
quan trọng trên các máy chủ DNS có thể được thực hiện bằng cách sử dụng
tính năng sao lưu của Windows Server 2003. Có nhiều phương án sao lưu
phục hồi mà ta có thể chọn lựa như full backup, incremental backup,
differential backup hay copy backup.
Không cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi
site của chúng. Phương pháp này sẽ làm giảm thiểu một lượng lớn lưu lượng
truy vấn DNS có thể xảy ra trên đường truyền kết nối WAN. Cấu hình này
sẽ được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
21
Hình I.4.6 Cấu hình máy chủ DNS với các bản ghi Host A
Bảng I.4.1: Các trường trong bản ghi tài nguyên tiêu chuẩn
Tên trường Mô tả tác dụng
Owner Nhận diện các máy DNS mà các bản ghi tài nguyên này là sở
hữu của nó
TTL(thời
gian sống)
Là thời gian tồn tại tối đa của một máy chủ đệm hay máy
trạm có thể lưu bản ghi này. Ta có thể tùy chọn cho nó bằng
một số nguyên độ dài tối đa 32 bit (thời gian theo giây)
Class Định nghĩa các giao thức quen thuộc được sử dụng. VD: IN
là internet
Type Nhận diện các loại bản ghi tài nguyên VD bản ghi SOA, bản
ghi A…
Rdata Chứa Rdata. Là một trường có độ dài biến đổi, nó thể hiện
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
22
các thông tin sẽ mô tả bởi bản ghi tài nguyên VD: dữ liệu của
bản ghi A là 1 chuỗi 32 bit địa chỉ IP của máy chủ ở trong
owner
Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện
ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows
Server 2003. Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai
DNS trong Windows Server 2000 và Windows Server 2003:
Bảng I.4.2 Các kiểu bản ghi trong Windows Server 2003
Mô tả Phân
loại
TTL Kiểu
bản ghi
Dữ liệu
Khởi đầu
ủy quyền
IN
(internet)
60 phút SOA Tên chủ sở hữu,
FQDNcủa máy chủ tên, số
TT, khoảng thời gian làm
việc(đổi tên,làm tươi, hết
hạn, TTL min… )
Trạm IN Bằng TTL
SOA trong
vùng
A Tên chủ sở hữu(DNS
chính) và Ipv4 của
máy(32 bit )
Máy chủ
tên
IN Bằng TTL
SOA trong
vùng
NS Tên chủ sở hữu và tên
DNS của máy chủ
Trao đổi
thư
IN Bằng TTL
SOA trong
vùng
MX Tên chủ sở hữu và tên
máy chủ trao đổi thư, số
thứ tự ưu tiên
Tên quy IN Bằng TTL CNAME Tên bí danh của chủ sở
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
23
chuẩn SOA trong
vùng
hữu, tên DNS máy
Hình sau mô tả chi tiết một bản ghi của DNS với các thông số cơ bản.
:
Hình I.4.7Bản ghi Name Server của DNS
Tạo máy chủ DHCP
Từ cửa sổ Configure Your Server Winzard chọn DHCP Server
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
24
Hình I.4.8 Chọn cài DHCP
Máy chủ DHCP được cấu hình :
Địa chỉ 192.168.2.1 được dành cho router, địa chỉ 192.168.2.2 được
dành riêng cho máy chủ DNS như hình dưới.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
25
Hình I.4.9 Máy chủ DHCP với phân giải 192.168.2.0(100-150)
Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị
cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp. Window server
2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup).
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
26
PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG
Khi một tổ chức triển khai các Windows 2000 domain controller của họ
phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài
liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc
thậm chí được nâng cấp. Việc môi trường có duy trì được sự an toàn hay
không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức.
Phần I của đề án này giới thiệu về việc triển khai Administratorsan toàn
cũng như xây dựng và cấu hình các domain controller. Phần II cung cấp
những đề xuất để duy trì Administratorsan toàn với các thao tác như thực
hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo
rằng việc thay đổi trái phép không xuất hiện.
1. Khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
Các thành phần logic trong kiến trúc Administrators gồm có:
Các đối tượng
Các domain
Các tree
Các forest ((không xét trong đề án))
Các OU
1.1.1 Các đối tượng
Đối tượng thực ra là các tài nguyên được lưu trữ trên Active
Directory. Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục
Active Directory. Các đối tượng được lưu trữ trên Administratorstheo một
kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
27
với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng.
Kiến trúc này tương tự như việc tổ chức file và thư mục.
Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính. Các đặc
tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng. Khi tạo
một đối tượng mới, nó sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực
thuộc. Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các
đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức.
AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm
AdministratorsSchema. Về mặt cơ sở dữ liệu, schema là một cấu trúc bao
gồm các bảng, các trường và mối liên quan giữa chúng với nhau. Vì vậy
Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư
mục. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép
các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác
nhất định trên đó. Việc thay đổi schema cần rất cẩn trọng.
1.1.2 Các domain
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ
liệu bảo mật chung.
1.1.3 Các tree
Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là
cây. Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có
một cây. Domain đầu tiên tạo ra trong một cây được gọi là root domain.
Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có
khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain
trong một cây chia sẻ một schema chung và một không gian tên kề nhau.
1.1.4 Các OU
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
28
OU cung cấp một phương pháp để tạo ra một biên quản trị trong một
domain. Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong
một domain.
OU hoạt động giống như một container chứa các tài nguyên trong
domain. Bạn có thể áp đặt các quyền quản trị trong một OU. Một đặc thù
chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một
tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU
riêng biệt tương ứng với các phòng ban trong tổ chức đó.
Có thể lồng các OU (tạo các OU bên trong một OU). Tuy nhiên, cấu
trúc OU phức tạp trong một domain có thể là một trở ngại. Khi cấu trúc của
bạn càng đơn giản, thì thực thi và quản lý nó càng dễ dàng. Khi thực hiện
lồng OU lên quá 12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng
1.2 Khái niệm về backup và restore
Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì
hệ thống nào. Tài liệu này nhằm mô tả sơ bộ công việc backup hệ thống cài
đặt trên hệ điều hành Windows 2003 Server. Nó cho phép các System
Engineer đưa ra giải pháp và chính sách backup hệ thống một cách có hiệu
quả lớn nhât.
Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào sự quan trọng của
dữ liệu cần backup và chính sách mà bạn muốn khôi phục dữ liệu đó như thế
nào.
Daily:Backup những file thay đổi từ daily backup cuối cùng. Nếu một
file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup. Thuộc
tính lưu trữ của file là không đổi.
Incremental: Backup những file thay đổi từ normal hoặc incremental
backup. Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file
vừa sửa đổi – chỉ những files với thuộc tính này được backup. Một
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
29
file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt
lại khi dữ liệu được thay đổi lần nữa.
Full(Normal): backup những file được lựa chọn, không quan tâm đến
thiết định của thuộc tính lưu trữ như thế nào. Một file vừa được
backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay
đổi. Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file
đó cần được backup.
Differential: Backup những file mà thay đổi từ Full backup cuối cùng.
Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được
thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up.
Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá
vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai
đoạn sau.
Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc
tính lưu trữ. Thuộc tính lưu trữ không thay đổi, vì vậy những loại
backup khác có thể thực hiện trên dữ liệu tương tự.
2. Cơ sở lí thuyết.
Mặc dù bảo mật là một việc quan trọng cần được cân nhắc đối với tất
cả các thành phần của hệ thống mạng trong tổ chức, đối với các máy chủ có
mức bảo mật cao thì bảo mật là một phần đặc biệt quan trọng. Mức “ high
security” ( bảo mật cao) xuất phát từ yêu cầu bảo mật cao của các tiến trình
đang chạy trên các server. Xác định máy chủ trong tổ chức của bạn là một
high-security server khi nó:
Chạy một dịch vụ trong ngữ cảnh của một tài khoản service
Active Directoryministrator-level
Được tin tưởng để uỷ quyền (trusted for delegation)
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
30
Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi
phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra
yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh
bảo mật của client. Vì client đưa ra yêu cầu có các đặc quyền
bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc
quyền bảo mật cao. Vì thế, tất cả các máy chủ là “trusted for
delegation” bên trong rừng có thể được thiết kế là các máy chủ
bảo mật cao (high-security).
Trên cơ sở những tiêu chuẩn này, thêm các domain controller có thể là các
server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc
biệt ngày này qua ngày khác để duy trì bảo vệ. Bảo vệ tất cả các máy chủ có
mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an
toàn.
2.1 Thực hiện duy trì bảo mật Domain Controller và Active
Directoryministrative Workstation
Khi tổ chức của bạn thực hiện cấu hình domain controller và Active
Directoryministrative workstation an toàn theo những đề xuất trong phần I
của tài liệu này thì bạn bắt đầu các hoạt động. Trong một môi trường thực tế,
những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo
dưỡng các domain controller và Active Directoryministrative workstation.
Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật
của domain controller và Active Directoryministrative workstation mà tổ
chức của bạn có thể duy trì.
Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt
động duy trì domain controller, bao gồm:
Sao lưu và khôi phục cho domain controller
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
31
Thay thế phần cứng cho domain controller và Active
Directoryministrative workstation
Quét virut trên Domain controller và Active Directoryministrative
workstation
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
Những người quản trị lập kế hoạch sao lưu system state trên các
domain controller để khôi phục khi dữ liệu Administratorsbị mất và một
domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi
nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các
hoạt động khôi phục, domain controller backups phải được thực hiện an toàn
và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller
không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm:
Không thể thực hiện Incremental backup
Không phải tất cả domain controller sẽ được sao lưu
Sao lưu từ một domain controller không thể được sử dụng để khôi
phục trên một domain controller khác
Khôi phục ở cả hai dạng authoritative hoặc non-authoritative
Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc
biệt
Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn
bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy
chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ
bao gồm các thao tác chính sau:
Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao
lưu
Hạn chế phần cứng sao lưu domain controller để các chúng được bảo
mật
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
32
Kế hoạch sao lưu domain controller thông thường và huỷ các phương
tiện sao lưu khi chúng không còn sử dụng
Bảo vệ các tài khoản Backup Operators
Thao tác khôi phục định kỳ các domain controller từ phương tiện sao
lưu.
Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain
controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách
các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được
sử dụng.
2.3 Quản lý tài khoản Backup Operators
Administratorschứa một nhóm có sẵn tên là Backup Operators. Các
thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì
các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file
hệ thống trên các domain controller. Thành viên của nhóm Backup
Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân
thực hiện sao lưu và khôi phục các domain controller.
Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi
là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu
trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ
là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải
là thành viên nhóm Backup Operators trong Active Directory.
Trên một domain controller riêng, bạn có thể giảm số lượng thành
viên của nhóm Backup Operators. Khi một domain controller được sử dụng
để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu
các ứng dụng trên các domain controller cũng phải được tin cậy như người
quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm
các hệ thống file trên các domain controller.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
33
Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó
có thể được thay đổi bởi các thành viên của các nhóm administrators,
Domain Administrators, and Enterprise Administrators. Các quyền được liệt
kê trong bảng II.1
Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active
Directory
Dạng Tên
Quyền Áp
dụng
tới
Allow Administrators List Contents
ReAdministratorsAll
Properties
Write All Properties
Delete
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối
tượng
này
Allow Authenticated
Users
List Contents
ReAdministratorsAll
Properties
ReAdministratorsPermissions
Chỉ đối
tượng
này
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
34
Dạng Tên
Quyền Áp
dụng
tới
Allow Domain
Admins
List Contents
ReAdministratorsAll
Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối
tượng
này
Allow Enterprise
admins
List Contents
ReAdministratorsAll
Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối
tượng
này
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
35
Dạng Tên
Quyền Áp
dụng
tới
Allow Everyone Change Password Chỉ đối
tượng
này
Allow Pre–
Windows 2000
Compatible
Access
List Contents
ReAdministratorsAll
Properties
ReAdministratorsPermissions
Đặc
biệt
Allow SYSTEM Full Control Chỉ đối
tượng
này
Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục
3. Hiện trạng hệ thống
Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể.
Các user chưa đều có các quyền cơ bản và ngang nhau.
Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho
hệ thống Active Directory.
Hệ thống công ty mói được xây dựng do đó chưa hề có một chính
sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách
bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan
trọng.
4. Các công việc triển khai & kết quả
4.3 Quản trị hệ thống Active Directory
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
36
Cài đặt Windows Server 2003 trên máy chủ rồi cấu hình nó như một
domain. Thăng cấp máy chủ đó thành Domain Controler. Thiết kế Active
Directory đảm bảo tương tác tốt nhất với các dịch vụ khác trên hệ thống
Intranet như: email, truy cập Internet, chat, SharePoint Portal. Một hệ thống
Active Directory được đánh giá tốt khi nó thỏa mãn được các yêu cầu về
các dịch vụ đồng thời phải có một chính sách tốt về người dùng.
Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.
Hình II.4.1Giao diện điều khiển ACTIVE DIRECTORY
Lựa chọn mô hình hệ thống cho VINAPAY là một công việc rất quan
trọng. Mô hình cần phải phản ánh được cấu trúc tổ chức của VINAPAY
đồng thời thuận tiện cho công việc quản trị mà không làm ảnh hưởng đến
hiệu suất của dịch vụ thư mục. Để giải quyết vấn đề này, trong Active
Directory, Microsoft chia các domain thành các OU. Với việc lựa chọn OU
để chứa các phòng ban sẽ đảp bảo được vấn đề này.
Hình sau cho chúng ta thấy một OU
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
37
Hình I.4.2 Một OU trong ACTIVE DIRECTORY
Tính năng xác thực của Active Directory sẽ đảm bảo được các yêu cầu sau:
Cho phép các nhóm quản trị quản lý thông tin một cách độc lập
Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau
Các tính năng bảo mật trong Active Directory như GPO, kết hợp với
những tính năng IPSec, NAT của hệ điều hành Windows Server 2003
chúng sẽ tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có
thể truy cập đến các tài nguyên với quyền được cấp phát.
Để đảm bảo được yêu cầu này các Active Directory sẽ quản lí theo nhiều
tiêu chí như: quản lí máy tính(compuer), quản lí người dùng(user), nhóm
người dùng. ADMINISTRATORS áp dụng các chính sách (policy) cho các
người dùng và từng nhóm người dùng.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
38
Hình II.4.3 Một Group Policy
Cụ thể để dễ quản lí, cơ cấu của Vinapay được chia nhỏ thành 10 nhóm tài
khoản với từng chính sách riêng biệt. Khi có một người sử dụng mới ta chỉ
cần thêm người sử dụng đó vào nhóm phù hợp mà không cần tìm từng
quyền hay cấu hình từng người. Chính sách Policy mang tính kế thừa, quyên
đứng trên có thể phủ nhận quyền ở dưới, để một số quyền không bị kế thừa
ta có thể kick vào ô lựa chọn Block Policy inheritance.
Dưới đây là những tiêu chí mà mô hình domain cần phải đảm bảo:
Cho phép các nhóm quản trị quản lý thông tin một cách độc lập
Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau
Tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy
cập đến các tài nguyên với quyền được cấp phát
4.2 Cấu hình backup cho domain
4.2.1 Lập bảng biểu Backup Job
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
39
Bạn phải backup cho dữ liệu có nguy cơ cho công ty của bạn và bây
giờ bạn cần chắc rằng dữ liệu tiếp tục được backup trên một khoảng thời
gian cơ bản.
Thay vì thực hiện backup bằng tay, bạn có thể lập bảng biểu chúng để
thực hiện tự động. Lập bảng biểu backup đảm bảo viêc backup ở hiện tại, nó
được thực hiện ở một thời điểm đặc biệt hoặc trong một chu kì thời gian
hoặc thực hiện với các sự kiện hệ thống được lựa chọn để phù hợp với các
kiểu lưu trư dữ liệu trong công ty của bạn, hoặc lấy trung bình các trạng thái
của thời điểm mạng không hoạt động.
Các Phương thức Lập bảng biểu Backup, có thể lập bảng biểu theo 3
cách sau:
Khi ban tạo một backup mới trong Windows Backup.
Bằng việc sử dụng Scheduled Jobs tab trong Windows Backup để lập
bảng biểu cho môt công việc đang tồn tại
Tạo ra một gói công việc với ntbackup command, và chạy nó trong
Windows commnAdministratorsline
Các lựa chọn Lập bảng biểu Backup
Bạn có một vài lựa chọn cho phép lập bảng biểu cho việc backup:
Schedule Option Execute the Job
One Thực hiện ở một thời điểm đặc biệt trên một ngày
đặc biệt
Daily Thực hiện ở một thời điểm đặc biệt mỗi ngày
Weekly Thực hiện ở một thời điểm đặc biệt trên một ngày
đặc biệt hàng tuần
Monthly Thực hiện ở một thời điểm đặc biệt trong một tháng
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
40
At system starup Thời điểm lần tiếp theo mà PC khởi động
At logon Thời điểm lần tiếp theo mà user sở hữu backup
logon
When idle Khi hệ thống nhàn rỗi
4.2.2 Một phương pháp xây dựng backup và restore dữ liệu (được áp
dụng vào vinapay)
Khi xây dựng kế hoạch cho backup và recovery, bạn phải hỏi chính mình
bằng một số câu hỏi đê có thể quyết định được backup thế nào, khi nào và
dữ liệu là gì. Những câu hỏi đó bao gồm:
Khi nào thuận tiện nhất để thực hiện backup job?
Backup dữ liệu thực hiện ngoài giờ cao điểm hệ thống là lý tưởng, là
khi hệ thống sự dụng tài nguyên thấp.
Bạn sẽ lư trữ các backups ở vùng ngoài?
Backup được đề xuất rằng nên backup qua phương tiên truyền thông
nào đó, là một kho lưu trữ bên ngoài vùng dữ liệu phòng trường hợp của một
tai hoạ tự nhiên, lửa, rò rỉ thông tin, … Nó cũng sẽ khuyên nên giữ một bản
sao của phần mềm được yêu cầu để install và khôi phục hệ điều hành,
database server, backup recovery, …
Dữ liệu quan trong như thế nào với hê thống của bạn đang dùng?
Phân loại theo tính quan trọng của dữ liệu sẽ giúp bạn quyết định dữ
iệu cần để backup, nó sẽ backup như thế nào và khi nào được backup.
Dữ liệu có nguy cơ (như là dữ liệu tài chính, database, …) sẽ đặt giai
đoạn backup và như thế sẽ có một loạt các backup dư ra, trong khi dữ
liệu ít quan trong hơn sẽ được backup hàng ngày và được khôi phục
đơn giản.
Khôi phục dữ liệu nhanh như thế nào từ backup cần thiết?
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
41
Nghia là đưa hệ thống có nguy cơ trở lại làm việc bình thường sớm như có
thể. Thì kế hoặc Backup của bạn phụ thuộc nhiều vào thời gian mà nó lấy ra
để khôi phục một hệ thống. Và dữ liệu sẽ được phân loại theo giai đoạn và
dãy khôi phục.
Dữ liệu thay đổi theo giai đoạn như thế nào?
Dữ liệu mà thay đổi hàng ngày sẽ được backup hàng ngày. Tốc độ mà
dữ liệu của ban thay đổi sẽ phản chiếu quyết định tần xuất backup backup
của hệ thông.
Dữ liệu ở trên hệ thống của bạn bao gồm những loại thông tin gì?
Phải nắm được dữ liệu của bạn gồm những thông tin gì, từ đó bạn có
thể xác định nguy cơ, và tính bảo mật, v.v… trên đó, xác định sự quan trọng
của nó. Điều này sẽ giúp bạn xác định được dữ liệu được backup khi nào và
như thế nào.
Bạn có nhưng thứ cần thiết để backup không?
Để chắc chắn rằng bạn có phần cứng tốt và đủ các phương tiện truyền
thông cần thiết để thực hiện một backup. Chọn backup trên phương tiện
truyền thông la một nhân tố quan trọng trong việc backup và khôi phục dữ
liệu. Các backup tape là một dạng phổ biến của phương tiện truyền thông,
chúng có thể lưu trữ lượng lớn data và giá rẻ, nhưng chậm hơn so với các
lựa chọn khác.
4.2.3 Giới hạn dịch vụ sao lưu và phương tiện lưu trữ vào các vị
trí an toàn.
Cung cấp phương tiện sao lưu domain controller với cùng mức bảo
mật về mặt vật lý như chính các domain controller. Bởi vì phương tiện sao
lưu chứa tất cả các thông tin trong cơ sơ dữ liệu Active Directory, việc đánh
cắp các bản sao lưu này cũng nguy hiểm như việc đánh cắp một domain
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
42
controller hoặc một ổ đĩa từ một domain controller. Kẻ tấn công có thể khôi
phục các thông tin ở trong và truy cập vào dữ liệu Active Directory.
Để ngăn chặn các cá nhân truy cập trái phép phương tiện sao lưu:
Tháo các phương tiện từ ổ cứng sao lưu ngay khi quy trình sao lưu
hoàn thiện.
Lưu các phương tiện sao lưu trong một nơi an toàn, nơi truy cập được
theo dõi.
Lưu một bản sao lưu dự phòng ở nơi khác
Thiết lập các quy trình và thủ tục yêu cầu chữ ký của người quản trị
khi các thiết bị sao lưu dữ phòng được mang đi.
Các thiết bị sao lưu cần luôn được sẵn sang ở trạng thái tốt nhất.
4.2.4 Phương án Backup cho VINAPAY:
Để Backup hệ thống của VinaPay thì có 2 lựa chọn theo mô hình sau:
Hình II.4.6 Hai cách backup đề nghị cho mô hình công ty vinapay
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
43
II.1 Mô hình 1
Day Mô tả
Sunday 12.00 PM Full backup (normal): Backup toàn bộ dữ liệu trên
file và fodler hiên tại.
Monday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Tuesday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Wednesday 12.00PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Thursday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Friday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Saturday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
II.2 Mô hình 2
Day Mô tả
Sunday 12.00 PM Full backup (normal): Backup toàn bộ dữ liệu trên
file và fodler hiên tại.
Monday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Tuesday 12.00 PM Incremental: chỉ backup các file và folder được
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
44
thay đổi trên từ normal backup cuối cùng.
Wednesday 12.00
PM
Full backup (normal): Backup toàn bộ dữ liệu trên
file và fodler hiên tại.
Thursday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Friday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
Saturday 12.00 PM Incremental: chỉ backup các file và folder được
thay đổi trên từ normal backup cuối cùng.
4.2.5 Quản lý vòng đời của phần cứng domain controller
Một tổ chức có thể định kỳ bỏ hoặc thực hiện tái sử dụng một số lượng đáng
kể các máy chủ, máy trạm và thiết bị sao lưu. Các domain controller, các
Active Directoryministrative workstation và thiết bị sao lưu domain
controller chứa các thông tin nhạy cảm cần được bảo vệ. Để bảo vệ các
thông tin nhạy cảm này khi thiết bị được tái sử dụng, bạn sẽ có một chính
sách để xác định cách thực hiện trong quá trình tái sử dụng các domain
controller, các Active Directoryministrative workstation, và các thiết bị sao
lưu đi kèm.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
45
PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA
CÔNG TY VỚI ISA SERVER 2004.
Trong chương này chúng ta sẽ tìm hiểu biện pháp bảo mật cho hệ
thống mạng của công ty sử dụng tường lửa ISA 2004. Bằng cách tìm hiểu
về ISA cũng như tác dụng của các mô hình cơ bản của nó(được cung cấp bởi
các template có sẵn trong phần trợ giúp) ta có thể tìm ra một cách cấu hình
phù hợp mạng của mình.
1. Khái niệm cơ bản
ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập
từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ
của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế
điều khiển những được phép qua firewall và những gì bị chặn lại.
ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active
Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập
Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ.
Các Network Services và những tính năng trên ISA Server 2004 sẽ
được cài đặt và cấu hình gồm:
Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp
các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch
trên mạng).
Cài đặt và cấu hình Microsoft Internet Authentication
Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho
các truy cập từ xa thong qua các remote connections(Dial-up hoặc
VPN).
Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách
xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
46
cung cấp giải pháp truy vấn NETBIOS name của các Computer trên
mạng) .
Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ
chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự
động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho
các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi
họ phải mang Computer từ 1 Network (có một ISA SERVER) đến
Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và
làm việc được với Web Proxy Services và Firewall Service trên ISA
SERVER này.
Cài đặt Microsoft DNS server trên Perimeter network server (Network
chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm
sau Firewall, nhưng cũng tách biệt với LAN).
Cài đặt ISA Server 2004 firewall software.
Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.
Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004
Network Templates) để cấu hình Firewall.
Cầu hình các loại ISA Server 2004 clients.
Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004
firewall.
Publish Web Server trên một Perimeter network.
Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP
relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam
mails).
Publish Microsoft Exchange Server services (hệ thống Mail và làm
việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).
Cài đặt ISA Server 2004 trên Windows Server 2003
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
47
2. Cơ sở lí thuyết
2.1 Các Network Templates (mô hình mẫu các thông số cấu hình
mạng)
ISA Server 2004 firewall với sự hổ trợ thông qua các Templates, chúng ta
có thể cấu hình tự động các thông số cho Networks, Network Rules và
Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng
tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây
dựng…Các Templates bao gồm
2.1.1 Edge Firewall
Network Templates dành cho Edge Firewall, được sử dụng khi ISA
Server 2004 firewall có 1 network interface được trực tiếp kết nối đến
Internet và 1 Network interface được kết nối với Internal network.
Hình III.1 Mô hình Edge Firewall
2.1.2 3-Leg Perimeter
Network Templates dành cho 3-Leg Perimeter được sử dụng với Firewall
gắn 3 Network interface. Một External interface (kết nối Internet), 1 Internal
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
48
interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành
đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ
giữa các Networks này với nhau.
Hình III.2 Mô hình 3-leg perimeter
2.1.3 Front Firewall
Dùng Front firewall Template khi ISA Server 2004 firewall đóng vai trò 1
frontend firewall trong mô hình back-to-back firewall. Đây là mô hình kết
nối 2 Firewall có thể là Internet, giữa Front và back firewall có thể là DMZ
network, và phía sau back firewall là Internal network. Template này dành
cho Front Firewall
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
49
Hình III.3 Mô hình Front Firewall
2.1.4 Back Firewall
Được sử dụng cho 1 ISA Server 2004 firewall nắm sau 1 ISA Server 2004
firewall khác phía trước nó (hoặc 1 third-party firewall nào đó).
Single Network Active Directoryapter:
Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá
đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại
luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA
Server 2004 chỉ có duy nhất 1 Network Card ( unihomed), đóng vai trò là hệ
thống lưu giữ cache- Web caching server.
2.2 Các cấu hình network template
Trong đồ án ta chỉ xét đến cách cấu hình của 2 dạng Firewall thường gặp và
đơn giản là Edge Firewall và 3-Leg perimeter
2.2.1 Cấu hình cho Edge Firewall:
Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có 1
network interface gắn trực tiếp Internet và 1 Network interface thứ 2 kết nối
với Internal network. Network template này cho phép Active Directorymin
nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của
Firewall (Firewall policy Access control) giữa Internal network và Internet.
Bảng sau sẽ cho ta thấy các chính sách của Firewall (firewall policies) đã
sẵn sang khi sử dụng Edge Firewall Template. Mỗi chính sánh trong
Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập.Từ xác
lập tất cả các hoạt động đều được cho phép ( All Open Access Policy) giữa
Internal network và Internet cho đến xác lập ngăn chặn tất cả ( Block All
policy) hoạt động giữa Internal network và Internet.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
50
Những lựa chọn về chính sách của Firewall khi dùng Network Active
Directoryge Firewall Template:
Bảng III.1 Chính sách Edge Firewall
Firewall Policy Mô tả
Block all Ngăn chặn tất cả truy cập qua ISA server
Lựa chọn này không tạo bất kì nguyên tắc cho
phép truy cập nào ngoài ngăn chặn tất cả các truy
cập
Block Internet Access,
allow access to ISP
Network services
Ngăn chặn tất cả các truy cập qua ISA Server
2004 , ngoại trừ các truy cập đên các Network
services như DNS service. Lựa chọn này sẽ được
dùng khi các ISP cung cấp những dịch vụ này.
Dùng lựa chọn này để xác định chính sách
Firewall của bạn, ví dụ như sau:
Allow DNS from Internal Network and Client
Network to External Network (internet)-Cho phép
Internal Network và VPN clients Network cho
phép các truy cập dạng HTTP, HTTPS,FTP từ
Internal Network truy cập ra ngoài.
Allow all protocol From VPN clients Network to
Internal Network cho phép các giao thức từ VPN
clients Network (bên ngoài ) vào trong mạng nội
bộ.
Allow limited web
access to ISP Network
Cho phép truy cập web có giới hạn dùng HTTP,
HTTPS và FTP và cho phép truy cập tới ISP
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
51
Services Network services như DNS.
Còn lại ngăn chặn tất cả các Network khác.
Các nguyên tắc truy cập sau sẽ được tạo:
Allow Http, Https, Ftp from Internal Network and
VPN Client Network to External Network
(Internet)- cho phép HTTP, HTTPS, FTP từ
Internal Network và VPN Client Network ra
External Network (internet)
Allow DNS from Internal Network and VPN
Client Network to External Network (internet)-
cho phép Internal Network truy cập dịch vụ DNS
giải quyết các hostnames bên ngoài(internet)
Allow all protocols from VPN Clients Network to
Internal Network – Cho phép tấtc cả các giao thức
từ VPN Client Network (bên ngoài VPN Client
thực hiện kết nối vào mạng nội thông qua
Internet), được truy cập vào bên trong mạng nội
bộ.
Allow unrestricted
access
Cho phéptruy cập không giới hạn ra internet qua
ISA Server
Các nguyên tắc truy cập sau sẽ được tạo ra:
Allow all protocols from Internal Network and
VPN Client Network to External Network – Cho
phép dùng tất cả các giao thức từ Internal
Network và VPN Client Network tới External
Network (mạng ngoài)
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
52
Allow all protocols from VPN Client to Internal
Network to Internal Network – Cho phép tất cả
các giao thức VPN Client Network truy cập vào
Internal Network.
2.2.2 Cấu hình 3-Leg Perimeter
Cấu hình Firewall theo template dạng 3-Leg Perimeter sẽ tạo ra các mối
quan hệ giữa các Network : Internal, DMZ và Internet. Và tương ứng
Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network
segment và perimeter (DMZ) network segment. Perimeter network Segment
–DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép ngưòi dùng
Internet truy cập vào như : public DNS server hoặc 1 caching-only DNS
server.
Những chọn lựa tại 3-Leg Perimeter Firewall Template Firewall Policy
Bảng III.2 Chính sách 3-Leg Perimeter
Firewall Policy Mô tả
Block all Ngăn chặn tất cả truy cập qua ISA server
Lựa chọn này không tạo bất kì Rules nào khác
ngoài Dèault Rules ngăn chặn tất cả các truy cập
Block Internet Access,
allow access to Network
services on the
Perimeter Network
Ngăn chặn tất cả các truy cập qua ISA Server
2004 , ngoại trừ các truy cập đên các Network
services như DNS service. Các Access rules sau
sẽ được tạo:
Allow DNS traffic from Internal Network
andClient Network to Perimeter Network)-Cho
phéptruy nhập DNS từ Internal Network và VPN
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
53
clients Network đến Perimeter Network .
Allow all protocol From VPN clients Network to
Internal Network cho phép các giao thức từ VPN
clients Network (bên ngoài ) vào trong mạng nội
bộ.
Block Internal access,
allow access to ISP
Network Services
Ngăn chặn tất cả các truy cập mạng qua Firewall
ngoại trừ các Network services như DNS. Lựa
chọn này phù hợp khi nhà cung cấp dịch vụ mạng
cơ bản là Internet services Provider(ISP).
Rules sau sẽ được tạo:
Allow DNS from Internal Network , VPN Client
Network to External Network – Cho phép DNS từ
Internal Network , VPN Client Network và
Perimeter Network đến External Network
Allow limited web
access, allow to access
to Network services on
Perimeter Network
Cho phép truy cập web có giới hạn dùng HTTP,
HTTPS và FTP và cho phép truy cập tới Network
services như DNS trên DMZ.
Còn lại ngăn chặn tất cả các Network khác.
Các nguyên tắc truy cập sau sẽ được tạo:
Allow Http, Https, Ftp from Internal Network
andVPN Client Network to Perimeter Network
and External Network (Internet)- cho phép HTTP,
HTTPS, FTP từ Internal Network và VPN Client
Network ra Perimeter Network và External
Network (internet)
Allow DNS traffic from Internal Network and
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
54
VPN Network to Perimeter Network
Allow all protocols from VPN Clients Network
toInternal Network – Cho phép tấtc cả các giao
thứtừ VPN Client Network (bên ngoài VPN
Clientthực hiện kết nối vào mạng nội thông qua
Internet), được truy cập vào bên trong mạng nội
bộ.
Allow limited web
access to ISP Network
services
Các Network services như DNS là do ISP của ta
tạo ra. Tất cả các truy nhập mạng khác đều bị xóa.
Các nguyên tắc truy cập sau sẽ được tạo ra:
Allow Http, Https, FTP from Internal Network
and VPN Client Network to External Network
allow all protocols from VPN Clients Network to
Internal Network.
Allow unrestricted
access
Cho phép tất cả các loại truy cập ra internet qua
Firewall. Firewall sẽ chặn các truy cập từ Internet
vào các Network được bảo vệ từ chính sách cho
phép tất cả nấyu đó có thể ngăn chặn bớt một số
truy cập không phù hợp với chính sách bảo mật
của công ty.
Các Rules sau sẽ được tạo:
Allow all protocol from Internal Network and
VPN Client Network to External Network and
Perimeter Network
Allow all protocols from VPN Client to Internal
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy
Clients
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
55
Một ISA Server 2004 client là một máy tính kết nối đến các nguồn tài
nguyên khác thông qua một ISA Server 2004 firewall. Nhìn chung, các ISA
Server 2004 client thường được đặt trong một số Internal hay perimeter
network _DMZ và kết nối ra Internet qua ISA Server 2004 Firewall.
Tồn tại 3 loại ISA Server 2004 client:
SecureNAT client
Web Proxy Client
Firewall Client
SecureNat Client là máy tính được cấu hình với thông số chính Default
gateway giúp định tuyến ra Internet thong qua ISA Server 2004 firewall.
Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004
firewall, thong số default gateway của SecureNat Client chính là IP Active
Directorydress của network card trên ISA Server 2004 firewall gắn với
Network đó. Nếu SecureNat Client nằm trên một Network ở xa ISA Server
2004 firewall, khi đó SecureNat Client sẽ cấu hình thong số default gateway
là IP Active Directorydress của router gần nó nhất. Router này sẽ định tuyến
thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet
Một Web Proxy Client là máy có trình duyệt Internet (như Internet
EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web
Proxy server của nó web browser có thể cấu hình sử dụng IP Active
Directorydress của ISA Server 2004 firewall làm web broưser của nó – cấu
hình thủ công, hoặc cấu hình tự động thông qua các Web Proxy
Autoconfiguration script của ISA Server 2004 firewall. Các
Autoconfiguration script này cung cấp mức độ tùy biến cao trong việc điều
khiển làm thế nào để Web Proxy Client có thể kết nối ra internet. Tên của
User được ghi nhận trong các Web Proxy Logs khi máy tính được cấu hình
theo Web Proxy Client .
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
56
Firewall Client là máy tính cài Firewall Client software. Firewall Client
software chặn tất cả các yêu cầu thuộc dạng winsock application (thường là
các ứng dụng trên TCP và UDP) và đẩy các yêu càu này đến Firewall
service trên ISA Server 2004 firewall. User name tự động được đưa vào
firewall service log khi máy tính Firewall Client được thực hiện kết nối
internet thông qua ISA Server 2004 firewall.
Bảng III.3 Tính năng ISA Server 2004 Client.
Feature SecureNat Client Firewall Client Web Proxy
Client
Cần cài đặt Không yêu cầu,
cần xác lập các
thông số default
gateway
Cần cài đặt phần
mềm Firewall
Client software
Không yêu cầu,
chỉ cần cấu hình
các thông số phù
hợp tại trình
duyệt web
Hỗ trợ các hệ
điều hành
Tất cả các hệ
điều hành hỗ trợ
TCP/IP
Chỉ hỗ trợ
Windows
Hệ điều hành có
hỗ trợ Web
Application
Hỗ trợ giao thức Nhờ có bộ lọc
ứng dụng –
Application
filters có thể hỗ
trợ các ứng dụng
chạy kết hợp
nhiều Protocols-
multiconnection
protocol
Tất cả các ứng
dụng winsock
application. Có
nghĩa là hầu hết
các ứng dụng
trên internet hiện
nay
HTTP, Secure
HTTP(HTTPS)
và FTP
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
57
Hỗ trợ xác thực
người dung, kiểm
soát user truy cập
ra ngoài
Chỉ hỗ trợ cho
VPN client
Có hỗ trợ Có hỗ trợ
Như vậy ta đã biết đến các ISA Server 2004 client khác nhau và các tính
năng riêng của các loại. Tiếp theo chúng ta sẽ tìm hiểu thêm các thủ tục để
tạo hoặc chỉnh sửa cá quy tắc trên chính sách truy cập ra ngoài internet –
outbound access policy rules thông qua các Network Template.
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server
2004 Access Policy
ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks
được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004
firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng
để cho phép lưu thông này là:
Access Rules- Các quy tắc truy cập
Publishing Rules – Các quy tắc xuất bản
Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ
nằm trong đến một Network khác không được bảo vệ nằm ngoài.
ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External.
Còn tất cả các Network được xác định là external Network thì không được
bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network,
Quarantined VPN Client Network – mạng VPN cách ly, Local Host
Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet
User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài.
Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành
đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
58
các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail,
FTP server. Web and server public rules có thể cho phép External hosts truy
cập vào các tài nguyên này.
Ở những phần trước ta đã dùng các Network Template để tự động tạo
ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể
thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol
ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user
được truy cập trên internet.
Bảng III.4.1 Một Access rules bao gồm các yếu tố sau:
Rules Element Mô tả
Thứ tự (độ ưu tiên)-
order
Firewall Access Policy là một danh sác các
Access Rules được xử lý theo thứ tự từ trên
xuống đến khi gặp 1 điều kiện cụ thể được quy
định, khi đó sẽ áp dụng theo quy định ấy
Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra là Allow-
cho phép hoặc Deny – từ chối
Protocol Protocol bao gồm tất cả các TCP/IP protocol,
TCP, UDP, ICMP, tất cả các giao thức được căn
cứ trên IP protocol number, Firewall hỗ trợ tất
cả TCP/IP Protocols
Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active
Directorydress, một dãy IP Active
Directorydress, một subnet, hay nhiều subnet
Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập
hợp các domain, một URL hay một tập các
URL, một IP hay một tập cá IP, một subnet hay
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
59
tập các subnet, hoặc tập các Network
Điều kiện – Condition Điều kiện đưa ra là căn cứ vào user hoặc group
nào sẽ được rule áp dụng
Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản
nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy
nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó.
Ví dụ:
Rules Element Giá trị
Order(priority) 1
Action Allow
Protocols HTTP & FTP
From Internal Network
To FTP.com
Condition Limited web
access(Group)
Để có thể sử dụng được các Access rules điều khiển người dùng hay
các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng
ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy
Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall
xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm
người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ
không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng
có thể thực hiện dựa trên IP nguồn.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
60
Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều
khiển việc truy cập đến một số website và việc sử dụng giao thức nào để
thực hiện công việc này.
3. Hiện trạng hệ thống
Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client
tiếp xúc trực tiếp với mạng internet qua modem nên nguy cơ bị tấn công cao.
Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông
tin không cho phép.
Các luồng dũ liệu trong công ty chưa được phân chía.
4. Các công việc triển khai & kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
Sử dụng 1 trong 2 cách:
ISA 2004
Linux IPcop
Với ISA
Ưu điểm:
Quản lý mạnh về các giao thức :http,pop3,https,smtp……
Chặn web và tải file hiệu quả :*.bat,*.exe và ngăn chặn website mong
muốn
Áp dụng các chính sách Access Rule Policy From.. To… cho các
client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào
trong hiệu quả .
Nhiều tính năng mạnh khác
Có thể tích hợp thêm các phần mềm security khác :
Surfcontrol : ngăn chặn trang web xấu
Nhược điểm:
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
61
Cấu hình cài đặt cao, cài đặt tương đối phức tạp..
Giá thành cao
Với Ipcop
Ưu điểm:
Giá thành thấp
Cài đặt đơn giản
Yêu cầu cấu hình thấp
Nhược điểm
Khó tương thích với phần mềm khác.
Đảm bảo an toàn kém.
Do những ưu, nhược điểm như vậy nên đề nghị chọn giải pháp sử dụng ISA
Server 2004.
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
Không quá phức tạp (phần phức tạp nằm ở phần cấu hình các thông
số).Chỉ có một vài yêu cầu cần xác nhận tại quá trình này.Phần cấu hình
quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng
địa chỉ IP nội bộ-Internal network IP Active Directorydress range(s).Không
giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local
Active Directorydress Table (LAT) để xác định đâu là Mạng đáng tin cậy
(trusted Networks), và đâu là
mạng không được tin cậy (untrusted Networks) .Thay vào đó , ISA Server
2004 firewall các IP nội bộ được xác nhận bên dưới Internal Network.
Internal Network nhắm xác định khu vực có các Network Servers và các
Services quan trọng như :Administratorsdomain controllers, DNS, WINS,
RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả
các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều
khiển bởi các chính sách của Firewall (firewall’s System Policy). System
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
62
Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined
Access Rules), nhằm xác định loại thông tin nào được cho phép vào
(inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài
đặt. System Policy có thể cấu hình, cho phép các Security Active
Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của
System Policy…
4.3 Mô hình cấu hình ISA vào mạng công ty
Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty
vinapay.
Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
63
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
64
Hình III.5 Cho phép kết nối từ Firewall ra internet
Hình III.6 Ngăn chặn truy nhập vào site
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
65
Hình III.7 Rule ngăn việc downloAdministrators1 File
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
66
Hình III.8 Cho phép truy nhập FTP server
4.3 Sao lưu dự phòng
Lý do cần sao lưu :
Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn
định
Việc xây dựng hệ thống ISA đòi hỏi mất nhiều thời gian cấu hình các
chính sách của user.
Sự cố về phần cứng
Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại
Kế hoạch xây dựng hệ thống dự phòng
Các phương án dự phòng
Trường hợp 1
Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
67
Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống
Cách khắc phục
Sử dụng tiện ích backup với lịch sao lưu như sau:
Time Type of Backup Object Backup
Monday Daily (17:59) C drive và System State
Tuesday Daily (17:59) C drive và System State
Wednesday Daily (17:59) C drive và System State
Thursday Daily (17:59) C drive và System State
Friday Daily (17:59) C drive và System State
Saturday Daily (17:59) C drive và System State
Sunday Normal (23:59) C drive và System State
Backup cấu hình chính sách của ISA bằng cách sử dụng tiện ích của ISA:
Để đảm bảo nhanh chóng hồi phục các cấu hình trong chính sách truy cập
người dùng trong ISA ta có thể backup trạng thái hệ thống :
Backup : Sao lưu trạng thái hoạt động của ISA 2004 ra file *.xml
Export :xuất các các cấu hình của ISA,chính sách quản lý truy cập ra
file *.xml
Trường hợp 2: Hỏng ổ cứng
Cắm thêm 1 ổ cứng để chạy chế độ RAID 1 Mirroring để đảm bảo hệ
thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng
Trường hợp 3: hỏng toàn bộ ISA server
Ta thiết lập thêm 1 máy chủ ISA tương tự để dự phòng.
Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc
phục sự cố
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
68
KẾT LUẬN
1. Những vấn đề đạt được:
Theo yêu cầu ban đầu của đề tài là “Triển khai, quản trị, duy trì, nâng cấp
hệ thống mạng doanh nghiệp ” thì cho đến thời điểm hiện tại đã đạt được
những nội dung:
Khảo sát và đưa ra được cấu hình một mạng Lan sơ bộ cho doanh
nghiệp phục vụ cho việc triển khai mạng.
Đưa ra cách thức một ADMINISTRATORSquản lí các tài nguyên của
nó(compter, user, các OU..)
Phân tích và đưa ra lịch trình backup dữ liệu cho domain và dữ liệu
cho từng máy client của công ty.
Tìm hiểu và cấu hình được hệ thống tường lửa ISA cho doanh nghiệp.
2. Hướng phát triển của đề tài
Mở rộng mạng Lan với nhiều máy client và server.
Mở rộng và đưa ra một số cấu hình cụ thể để quản lí các tài nguyên
mạng hiệu quả hơn.
Nghiên cứu chiến lược backup và restore sử dụng phần mềm của hãng
thứ 3 để có các hiệu quả cao hơn.
Tìm hiểu các mô hình tường lửa và các nhà cung cấp khác để mô hình
mạng trở lên dễ sử dụng.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
69
PHỤ LỤC 1
Tài liệu tham khảo:
Microsoft Exchange Server 2003 Active Directoryministrator’s Companion
(Microsoft Press, 2003)
MCDST
Self-Paced Training Kit (Exam 70-272): Supporting Users and
Troubleshooting Desktop Applications on a Microsoft Windows XP
Operating System (Microsoft Press, 2004)
MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft
Windows Server 2003 Administratorsand NetworkInfrastructure (Microsoft
Press, 2003)
Tài liệu CCNA.
Tài liệu mạng máy tính.
Một số tài liệu khác trên Internet.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
70
PHỤ LỤC 2
Các từ chuyên ngành sử dụng trong đề tài:
List Contents: danh sách trạng thái (có thể xem trạng thái các user)
ReAdministratorsAll Properties: quyền có thể sửa các thông tin thuộc tính
admin ()
Write All Properties: Viết được tất cả các thuộc tính(bao gồm tạo và sửa)
Delete: Xóa (kể các admin)
ReAdministratorsPermissions: quyền thay đổi quyền các account
administrator
Modify Permissions: Chỉnh sửa các quyền
Modify Owner: Tự thay đổi quyền
All Validated Writes: Xác thực tất cả các quyền được.
All Extended Rights:
Create All Child Objects: tạo các đối tượng con(các thuộc tính con)
Delete All Child Objects: xóa các đối tượng con.
Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.