154934965 trien-khai-quan-tri-duy-tri-va-nang-cap-he-thong-mang-doanh-nghiep-pdf

Đề tài: "Triển khai, quản trị, duy trì và nâng cấp hệ

thống mạng doanh nghiệp"

Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp

1

LỜI CẢM ƠN

Sau một thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, duy trì

& nâng cấp hệ thống mạng doanh nghiệp” đã phần nào hoàn thành. Ngoài

sự cố gắng của bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô,

bạn bè, các anh, chị nơi em thực tập.

Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin

trường đại học Kinh tế Quốc dân đã giúp đỡ em trong quá trình học tập. Đặc

biệt là Giảng viên, PGS – TS Đặng Minh Ất đã tận tình giúp đỡ em trong

suốt quá trình thực hiện đề tài.

Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại công ty Vinapay

đã tạo điều kiện cho em được thực tập và học hỏi các kinh nghiệm để hoàn

thành đề tài này.

Em xin chân thành cảm ơn!

Generated by Foxit PDF Creator © Foxit Softwarehttp://www.foxitsoftware.com For evaluation only.


2

Mục lục

Giới thiệu

Chương I : Triển khai hệ thống mạng

1. Các khái niệm cơ bản

1.1 Định nghĩa một mạng máy tính cơ bản

1.2 Các thành phần của mạng(Network Component)

1.3 Các loại mạng máy tính

1.4 Hệ thống domain quản lí mạng LAN- Local Area Network

2. Cơ sở lí thuyết

2.1 Dịch vụ DNS

2.2 Windows Internet Name Service

2.3 Dịch vụ DHCP

2.4 Active Directory

3. Hiện trạng hệ thống

4. Các công việc triển khai & kết quả

4.1 Các yêu cầu cấu trúc mạng mới

4.2 Công việc triển khai vào mạng công ty

Chương II: Quản lí và duy trì hệ thống mạng


1.1 Một số khái niệm về kiến trúc Administrators

1.2 Khái niệm về backup và restore


2.1 Thực hiện duy trì bảo mật Domain Controller và Active

Directoryministrative Workstation



3

2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller

2.3 Quản lý tài khoản Backup Operators


4. Công việc triển khai và kết quả

4.1 Cấu hình backup cho domain

4.2 Quản trị hệ thống Active Directory

Chương III: Nâng cấp hệ thống với ISA Firewall 2004


Các khái niệm cơ bản về ISA 2004


2.1 Các Network Templates

2.2 Các cấu hình Network template

2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy

Clients

2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server

2004 Access Policy


4. Công việc triển khai và kết quả

4.1 Lựa chọn hệ thống Firewall(Proxy)

4.2 Cài đặt ISA Server 2004 trên Windows Server 2003

4.3 Mô hình cấu hình ISA vào mạng công ty

Kết Luận

Phụ lục 1: Tài liệu tham khảo

Phụ lục 2: Một số từ chuyên ngành



4

GIỚI THIỆU

Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức,

các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu

trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng.

Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi

mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả

nghiêm trọng.

Công ty Cổ phần Công nghệ Thanh toán Việt Nam (Vinapay) - được

chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài

hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG

Venture và Tập đoàn MK Việt Nam. Mục tiêu của Vinapay là góp phần xây

dựng tại Việt Nam một hạ tầng thanh toán an toàn cho thương mại di động.

Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ

thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản,

thẻ SIM phục vụ dịch vụ thương mại điện tử, …)

- Nghiên cứu, phát triển và thực hiện các dịch vụ công nghệ cao liên

quan đến thanh toán thương mại điện tử (e-commerce), thương mại di động

(m-commerce), thẻ trả trước, thẻ thông minh;

- Sản xuất và phát triển phần mềm ứng dụng công nghệ cao;

- Vận hành cổng điện tử, chuyển mạch để thực hiện kết nối các hệ

thống thanh toán thẻ ngân hàng, thẻ thanh toán, thẻ trả trước của các đơn vị

phát hành thẻ, cho phép người sử dụng điện thoại di động nạp tiền, trả cước

thông qua di động hoặc internet;



5

- Lắp đặt, bảo trì, cho thuê các hệ thống thiết bị phát hành thẻ, các loại

máy chấp nhận thanh toán như ATM, máy đọc và chấp nhận thanh toán đầu

cuối (POS).

Với công việc là thanh toán qua cổng điện tử và các giao dịch trực tuyến, yêu

cầu an toàn dữ liệu của Vinapay lại càng đòi hỏi cao. Nhưng do là một doanh

nghiệp trẻ (2-2007)Vinapay vẫn chưa có được một hệ thống mạng công ty

hoàn thiện, tính bảo mật không được đảm bảo. Cũng vì lí do đó trong thời

gian thực tập ở công ty VINAPAY em đã chọn đề tài “Triển khai, quản trị,

duy trì & nâng cấp hệ thống mạng doanh nghiệp” . Trên cơ sở thực tế mạng

của Vinapay, em đã nghiên cứu các vấn đề về mạng Lan và bảo mật mạng

Lan của doanh nghiệp.

Đề tài được thực hiện với mục đích tìm hiểu hệ thống và các công cụ được

cung cấp để qua đó có thể vận hành thành thạo các công cụ này, biết cách cấu

hình và thực hiện, qua đó tránh những lỗ hổng không đáng có. Đồng thời còn

đưa ra một số cấu hình đã được áp dụng hoặc một số đề xuất về cấu hình. Hi

vọng nó sẽ giúp ích cho những người quản trị mạng có thể áp dụng vào mạng

mình quản lí.



6

CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG

1 Các khái niệm cơ bản

1.1 Định nghĩa một mạng máy tính cơ bản

Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết

nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch,

hub, dây cáp, sóng vô tuyến,…) để chia sẻ các tài nguyên. Việc kết nối giữa

các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các

công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có

thể gọi là nút mạng.

Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong

việc chia sẻ các tài nguyên cho người dùng. Các tài nguyên chia sẻ bao gồm

các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung.

1.2 Các thành phần mạng (Network Component)

Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in,…

chúng được gọi là các thành phần mạng (network component) bao gồm các

thành phần chính sau

Máy chủ (server): Là máy tính có các tài nguyên, dịch vụ, ứng dụng

chia sẻ để cho các máy tính khác truy nhập tới và sử dụng. Máy chủ chạy hệ

điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm

chuyên dụng dành cho máy chủ. Tuỳ thuộc vào chức năng và nhiệm vụ mà

máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy

chủ thư điện tử (mail server), máy chủ ứng dụng (application server),…

Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các

máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ. Máy trạm chạy hệ

điều hành máy trạm và các phần mềm máy trạm.



7

Phương tiện truyền dẫn (media): Là các thành phần chuyền dẫn vật lý giữa

các máy tính như dây cáp (cable), sóng radio,…

Tài nguyên (resources): Là các ứng dụng, dữ liệu, các phần cứng

chuyên dụng,… được cung cấp bới các máy chủ trên mạng cho người dùng

thông qua các máy trạm (files, máy in,…)

Card mạng (network adapter): Là một thiết bị chuyên dụng giúp các

máy tính có thể gửi dữ liệu tới các máy tính thông qua phương tiện truyền

dẫn.

Các thiết bị kết nối như HUB, SWITCH, ROUTER

Giao thức mạng (network protocol): Là tập hợp các quy luật, quy định

giúp các máy tính có thể giao tiếp với nhau (hiểu được nhau – giống như

ngôn ngữ mà con người sử dụng).

Topo mạng (network topology): Là cấu trúc vật lý của mạng (bus, star,

ring,…) nó được phân loại dựa vào loại phương tiện truyền dẫn (media

type), giao thức mạng (protocol), card mạng,…(Trong khuôn khổ đề tài này

sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị

ngoại vi hay các phần cứng về máy sẽ không được đề cập đến).

1.3 Các loại mạng máy tính

Mạng máy tính có thể được phân loại theo một số cách khác nhau: phân loại

theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng

trong mạng,…

Phân loại theo phạm vi

Mạng nội bộ (LAN – local area network): Là mạng máy tính trong đó

các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ

(phòng, toà nhà,…). Việc giới hạn này phụ thuộc vào phương tiện truyền

dẫn mà mạng nội bộ sử dụng.



8

Mạng diện rộng (WAN – wide area network): Là mạng có thể trải trên

các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị

trí ở các quốc gia khác nhau với nhau. Các phương tiện kết nối có thể sử

dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện

thoại (telephone line), các kết nối dành riêng (lease line). Tuy nhiên giá

thànhh của các kết nối này tương đối cao.

Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng,

ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục

đích của mạng Internet là đáp ứng lại các kết nối của người dùng ở bất kỳ

đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá

các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý.

Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area

network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng

ảo (VPN – virtual private network), mạng không giây (wireless network),…

Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các

máy chủ quản trị sử dụng Windows Server 2003 và một số máy client(50-

100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN).

1.4 Hệ thống domain quản lí mạng LAN

Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là

domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,

người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ

liệu bảo mật chung.

Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các

ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các domain

khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong

một domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của

các domain khác. Chủ yếu domain cung cấp một phương pháp để phân chia



9

mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain

luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn

riêng của họ.

Một domain Windows Server 2003 cũng đại diện cho một không gian

tên tương ứng với một cấu trúc tên. Một domain khi tạo, nó sẽ cung cấp một

số dịch vụ cơ bản cho hệ thống mạng như:

DNS(Domain Name System): đây là Dịch vụ phân giải tên miền được

sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành các

địa chỉ IP tương ứng.

DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa

chỉ động ): đây là dịch vụ quản lý và cấp địa chỉ IP cho các máy trạm. Nhờ

dịch vụ này địa chỉ IP của các máy trong công ty trở lên dễ quản lí hơn.

Windows: Cấu hình hệ điều hành và quản lý server có cài đặt các dịch

vụ hệ thống

Active Directory: Quản lý và điều hành hoạt động của domain

controller cung cấp dịch vụ Active Directory

Windows Internet Name Service(WINS):cung cấp khả năng phân giải

tên máy tính bằng cách phân giải tên NetBIOS sang địa chỉ IP

Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng

máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy

chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ

đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS

2. Cơ sở lí thuyết.

Để xây đựng một mạng máy tính sử dụng Microsoft Windows Server

2003 ta cần nắm rõ về các dịch vụ của nó cung cấp, điều này sẽ giúp cho

việc cấu hình mạng trở nên dễ dàng và khoa học hơn. Khi đó các công việc



10

sử dụng cũng như nâng cấp sẽ nhanh và hiệu quả hơn. Một số công cụ quản

trị hệ thống mạng.

2.1 Dịch vụ DNS –Không gian tên nội bộ (sử dụng trong hệ thống

Intranet Local) và không gian tên Internet được thiết kế như sau:

Không gian tên DNS nội bộ: Local.Vinapay.com.vn

Không gian tên DNS Internet: Vinapay.com.vn

Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động

(Dynamic DNS). Nó cho phép các máy trạm xác thực tự động đăng ký bản

ghi với dịch vụ DNS. Tất cả các tài khoản máy tính sẽ có các bản ghi tương

ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory mà

nó trực thuộc. Điều này cho phép các yêu cầu nội bộ đối với các đối tượng

này được các máy chủ DNS nội bộ phục vụ.

Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được

nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest. Máy

chủ DC tại các tỉnh miền Bắc (Hanoi.Vinapay.com.vn) hoặc miền Nam

(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng

miền đồng thời cũng nắm giữ miền DNS của chính domain đó. Do các hoạt

động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy

chủ DNS trung tâm để kết nối 2 mạng.

Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt

động của hệ thống mạng. Chính bởi vai trò quan trọng này mà ta cần phải có

chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có

tính sẵn sàng cao, sao lưu phục hồi tốt.

Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính

sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu

số người được phép đăng nhập và vận hành thao tác trên các máy chủ này,



11

bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới

việc hệ thống Intranet không thể hoạt động được.

2.2 Windows Internet Name Service (WINS) Bằng việc triển khai

WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client

trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho

các tên NetBIOS và các địa chỉ tương ứng của chúng. Các WINS client đăng

ký tên của chúng tại một local WINS server và WINS server đó sẽ trao đổi

các mục đó với các WINS server khác. Nó đảm bảo tính duy nhất của tên

NetBIOS.

Microsoft đã sử dụng giao tiếp NetBIOS để thiết kế các thành phần mạng

của mình vì thế có nhiều dịch vụ mạng và ứng dụng phụ thuộc vào

NetBIOS.

Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các hệ điều hành

như Windows 98, Win NT, Microsoft® Windows® 2000 do đó cần thiết

triển khai WINS trên Windows Server 2003 để phân giải tên NetBIOS tự

động. Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các

máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống

vẫn yêu cầu phân giải tên NetBIOS cho các ứng dụng đang chạy trên hệ

thống.

2.3 Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các máy trạm yêu

cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ

DHCP. Với mạng Microsoft Windows 2003, bạn có thể đánh địa chỉ IP động

sử dụng Giao thức cấu hình máy chủ động Dynamic Host Configuration

Protocol (DHCP) để tự động cấp và quản lý các địa chỉ IP mạng. Ngoài ra

thì dịch vụ DHCP còn cung cấp cho các máy trạm các thông tin về hệ thống

như subnet mask, Gateway. Nhờ đó các máy trạm có thể tránh được việc



12

xung đột địa chỉ IP; tránh được các lỗi có thể xảy ra khi thiết lập thủ công

các thông số liên quan TCP/IP như đánh địa chỉ Subnet mask sai.

Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ

DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy

trạm luôn nhận được địa chỉ IP đúng.

Để quản trị dịch vụ DHCP trên hệ thống mạng Intranet VINAPAY cần áp

dụng các chính sách quản lý trên cả máy chủ DHCP và máy trạm DHCP.

Các chính sách này được thực hiện thông qua việc phân quyền quản trị và

giám sát các tài khoản thuộc nhóm quản trị DHCP.

Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số

lượng các thành viên của nhóm DHCP Administrator. Bởi vì các thành viên

của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các

lựa chọn cấu hình DHCP, và tạo ra các DHCP reservation. Bất kỳ sự thay

đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được

địa chỉ IP từ các máy chủ DHCP. Đồng thời nó có thể tạo ra lỗ hổng bảo mật

với hệ thống Intranet.

Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành

viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm

Enterprise Admin – để xác định những người cần có quyền quản lý các dịch

vụ DHCP. Các thành viên trong các nhóm này cho phép quản lý tất cả các

DHCP Server trong domain.

Chú ý: Thành viên của nhóm DHCP Administrator không thể cấp phép cho

một DHCP Server trong một Active Directory. Chỉ các thành viên của nhóm

Enterprice Admin có thể thực hiện nhiệm vụ này.

Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ

IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không

chính xác từ một DHCP server trái phép. Ngoài ra, một số máy trạm có vai



13

trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh. Việc đánh địa chỉ tĩnh

cho các máy chủ và một số máy trạm sẽ giúp cho hệ thống Intranet

VINAPAY vẫn hoạt động khi dịch vụ DHCP có lỗi.

2.4 Dịch vụ Domain controller(Active Directory )

Môi trường forest cho VINAPAY sẽ chứa một forest đơn. Tên domain gốc

của forest là VINAPAY.COM.VN.

Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản

người sử dụng, các nhóm, tài khoản máy tính,…..) và được thiết kế đảm bảo

việc quản trị dễ dàng nhất.

Trên hệ thống Intranet VINAPAY, nhóm người quản trị mức forest sẽ khác

nhóm người quản trị tất cả các hoạt động khác thông thường trên dịch vụ thư

mục Active Directory. Chính vì thế, phương pháp tốt nhất là tạo ra một

domain gốc của forest và các chính sách quản trị phải tuân theo yêu cầu này.

Domain này sẽ nắm giữ hai vai trò FSMO mức forest đó là: Schema Master

và Domain Naming Master. Đây là hai vai trò rất quan trọng trong hoạt động

chung tổng thể của dịch vụ Active Directory trên toàn hệ thống. Các tài

khoản quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng

như tính ổn định của hệ thống. Vì vậy, domain này sẽ nắm giữ các tài khoản

mức toàn hệ thống như Enterprise Admins và Schema Admins chẳng hạn.

Các nhóm người quản trị các hoạt động trên Active Directory được gán cho

một hoặc nhiều các domain con. Điều đó cho phép các nhóm quản trị IT này

có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng

không thể điều khiển được các thành viên của các nhóm Enterprise Admins

và Schema Admins trong domain gốc của forest.

Như vậy domain gốc sẽ nắm giữ tất cả các tài khoản có quyền trên toàn

forest với quyền hạn có thể thực hiện thay đổi dữ liệu mức forest như: thay

đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ



14

thống VINAPAY hoàn toàn có thể kiểm soát được vấn đề này. Ví dụ: để có

thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận

của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của

forest trước khi cài đặt.

Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm

quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó.

Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm

Enterprise Admins) cũng có quyền quản trị và giám sát các hoạt động và

chính sách trên các máy chủ này.

3. Hiện trạng hệ thống mạng

Cấu trúc

Router/modem:192.168.2.1 có vai trò là gateway của hệ thống

Máy chủ DCserverIP:192.168.2.2 có vai trò:

DHCP server:

Cấp dải địa chỉ từ :192.168.2.5192.168.2.100 cho client

trong công ty

Đóng vai trò là DNS server : LangHa.Vinapay.com.vn

FTP server: IP 222.252.28.10

Các máy client chưa cùng một domain, địa chỉ IP do modem cung cấp

Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt.


4.1 Các yêu cầu cấu trúc mạng mới

Router/modem:192.168.2.1 có vai trò là gateway của hệ thống

Máy chủ DCserverIP: 192.168.2.2

DHCP server :



15

Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client

trong công ty.

Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số

máy cố định.

Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong

công ty. Cấp động dải 10.0.0.5-10.0.0.25 cho các máy Laptop

truy cập vào nhờ access point của công ty.

FPT Server có địa chỉ: 222.252.28.10

Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting

server, máy chủ backup. Tiến hành cài đặt các máy chủ này.

Thiết lập hệ thống Active Directory, đưa các máy client vào

domain.

4.2 Công việc cần triển khai

Triển khai các công việc theo cấu trúc mạng mới. Được bắt đầu từ

việc cài đặt server và nâng cấp các thành phần của server theo yêu cầu được

đề ra:

4.2.1 Cài đặt Windows Server 2003

Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản

Windows thường dùng(XP1, XP2, Windows 2000). Nhưng có một số

điểm cần lưu ý sau:

Khi cài đặt cần lưu ý các CD key dành cho các phiên bản. Bởi

vì một số phần cứng máy cao cấp thuộc dòng Intel Itanium hỗ

trợ việc đánh địa chỉ 64 bit, trong khi hầu hết các dòng còn lại

chỉ hỗ trợ việc đánh địa chỉ 32 bit. (Đối với một doanh nghiệp

vừa thì thường gặp các máy chủ hỗ trợ 32 bit)



16

Cần chú ý đến các thông số, ở mục listensing modes trong quá

trình cài đặt, số lương kết nối được khai báo chính là số lượng

giấy phép bản quyền mà ta có khi sử dụng server.

Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003

Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và

lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ

điều hành cho server đồng thời còn thực hiện cài đặt rất nhiều máy client

khác. Để giải quyết vấn đề này có thể thực hiện theo nhiều phương án,

Windows Server 2003 cung cấp cho ta một số giải pháp sau:

File trả lời: Một file trả lời là một kịch bản (script), nó chứa tất

cả thông tin các tùy chọn trong khi cài đặt Windows.

Nhân ảnh đĩa: khi triển khai một số lượng lớn các máy giống

nhau ta có thể sử dụng phương pháp này. Một ảnh đĩa là một



17

bản sao của một đĩa cứng đã được cài đặt hệ điều hành. Việc

chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có

cấu hình phần cứng tương đương cho phép có thể sử dụng ngay

hệ điều hành đã được chuyển mà không cần cài lại.

Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên

máy và địa chỉ IP của các máy trong cùng một mạng LAN.

4.2.2 Cấu hình Windows Server 2003

Để khởi tạo các cấu hình máy chủ mà Windows Server 2003 cung

cấp ta có thể thực hiện theo các thao tác:

Vào Start > Manage Your Server >Add and Remove a

role > Configure Your Server Winzard

Hoặc có thể dùng câu lệnh Run > dcpromo để trực tiếp

vào cửa sổ Configure Your Server Winzard

Hình I.4.2 Cửa sổ Manage Your Server



18

Tạo máy chủ quản trị miền Active Directory

Từ cửa sổ Configure Your Server Winzard chọn Domain controller và

tiếp tục điền các thông số tên domain.

Nếu là máy chủ gốc của domain ta chọn Domain Controller for a New

Domain, sau đó theo tiến trình càu đặt tên domain (Vinapay.com.vn).

Tiếp theo là các yêu cầu đường dẫn và các yêu cầu cài thêm dịch

vụ(DNS).

Hình I.4.1.3 Cài đặt Active Directory

Các tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo

máy chủ đã trở thành Domain Controller.



19

Hình I.4.4 Thăng cấp Active Directory thành công

Chú ý: các trường trong địa chỉ IP của máy càn phải được điền đầy đủ

Tạo máy chủ DNS

Khi cài Active Directory sẽ nhận được thông báo cài cùng dịch vụ

DNS, nếu ta chưa tiến hành cài khi nâng cấp Active Directory hay muốn

thêm chức năng này có thể tiến hành

Từ cửa sổ Configure Your Server Winzard chọn DNS Server và tiếp

tục điền các thông số của máy chủ DNS như các Zone, các dải IP của máy

chủ DNS…



20

Hình I.4.5 Cấu hình DNS khi cài domain

Máy chủ DNS được cấu hình :

Để bảo đảm an toàn dữ liệu của máy chủ DNS, ta cần phải đưa ra một

chính sách sao lưu phục hồi thích hợp và xuyên suốt. Việc sao lưu dữ liệu

quan trọng trên các máy chủ DNS có thể được thực hiện bằng cách sử dụng

tính năng sao lưu của Windows Server 2003. Có nhiều phương án sao lưu

phục hồi mà ta có thể chọn lựa như full backup, incremental backup,

differential backup hay copy backup.

Không cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi

site của chúng. Phương pháp này sẽ làm giảm thiểu một lượng lớn lưu lượng

truy vấn DNS có thể xảy ra trên đường truyền kết nối WAN. Cấu hình này

sẽ được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP.



21

Hình I.4.6 Cấu hình máy chủ DNS với các bản ghi Host A

Bảng I.4.1: Các trường trong bản ghi tài nguyên tiêu chuẩn

Tên trường Mô tả tác dụng

Owner Nhận diện các máy DNS mà các bản ghi tài nguyên này là sở

hữu của nó

TTL(thời

gian sống)

Là thời gian tồn tại tối đa của một máy chủ đệm hay máy

trạm có thể lưu bản ghi này. Ta có thể tùy chọn cho nó bằng

một số nguyên độ dài tối đa 32 bit (thời gian theo giây)

Class Định nghĩa các giao thức quen thuộc được sử dụng. VD: IN

là internet

Type Nhận diện các loại bản ghi tài nguyên VD bản ghi SOA, bản

ghi A…

Rdata Chứa Rdata. Là một trường có độ dài biến đổi, nó thể hiện



22

các thông tin sẽ mô tả bởi bản ghi tài nguyên VD: dữ liệu của

bản ghi A là 1 chuỗi 32 bit địa chỉ IP của máy chủ ở trong

owner

Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện

ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows

Server 2003. Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai

DNS trong Windows Server 2000 và Windows Server 2003:

Bảng I.4.2 Các kiểu bản ghi trong Windows Server 2003

Mô tả Phân

loại

TTL Kiểu

bản ghi

Dữ liệu

Khởi đầu

ủy quyền

IN

(internet)

60 phút SOA Tên chủ sở hữu,

FQDNcủa máy chủ tên, số

TT, khoảng thời gian làm

việc(đổi tên,làm tươi, hết

hạn, TTL min… )

Trạm IN Bằng TTL

SOA trong

vùng

A Tên chủ sở hữu(DNS

chính) và Ipv4 của

máy(32 bit )

Máy chủ

tên

IN Bằng TTL

SOA trong

vùng

NS Tên chủ sở hữu và tên

DNS của máy chủ

Trao đổi

thư

IN Bằng TTL

SOA trong

vùng

MX Tên chủ sở hữu và tên

máy chủ trao đổi thư, số

thứ tự ưu tiên

Tên quy IN Bằng TTL CNAME Tên bí danh của chủ sở



23

chuẩn SOA trong

vùng

hữu, tên DNS máy

Hình sau mô tả chi tiết một bản ghi của DNS với các thông số cơ bản.

:

Hình I.4.7Bản ghi Name Server của DNS

Tạo máy chủ DHCP

Từ cửa sổ Configure Your Server Winzard chọn DHCP Server



24

Hình I.4.8 Chọn cài DHCP

Máy chủ DHCP được cấu hình :

Địa chỉ 192.168.2.1 được dành cho router, địa chỉ 192.168.2.2 được

dành riêng cho máy chủ DNS như hình dưới.



25

Hình I.4.9 Máy chủ DHCP với phân giải 192.168.2.0(100-150)

Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị

cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp. Window server

2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup).



26

PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG

Khi một tổ chức triển khai các Windows 2000 domain controller của họ

phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài

liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc

thậm chí được nâng cấp. Việc môi trường có duy trì được sự an toàn hay

không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức.

Phần I của đề án này giới thiệu về việc triển khai Administratorsan toàn

cũng như xây dựng và cấu hình các domain controller. Phần II cung cấp

những đề xuất để duy trì Administratorsan toàn với các thao tác như thực

hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo

rằng việc thay đổi trái phép không xuất hiện.

1. Khái niệm cơ bản

1.1 Một số khái niệm về kiến trúc Administrators

Các thành phần logic trong kiến trúc Administrators gồm có:

Các đối tượng

Các domain

Các tree

Các forest ((không xét trong đề án))

Các OU

1.1.1 Các đối tượng

Đối tượng thực ra là các tài nguyên được lưu trữ trên Active

Directory. Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục

Active Directory. Các đối tượng được lưu trữ trên Administratorstheo một

kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con



27

với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng.

Kiến trúc này tương tự như việc tổ chức file và thư mục.

Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính. Các đặc

tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng. Khi tạo

một đối tượng mới, nó sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực

thuộc. Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các

đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức.

AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm

AdministratorsSchema. Về mặt cơ sở dữ liệu, schema là một cấu trúc bao

gồm các bảng, các trường và mối liên quan giữa chúng với nhau. Vì vậy

Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư

mục. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép

các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác

nhất định trên đó. Việc thay đổi schema cần rất cẩn trọng.

1.1.2 Các domain

Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là

domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,

người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ

liệu bảo mật chung.

1.1.3 Các tree

Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là

cây. Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có

một cây. Domain đầu tiên tạo ra trong một cây được gọi là root domain.

Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có

khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain

trong một cây chia sẻ một schema chung và một không gian tên kề nhau.

1.1.4 Các OU



28

OU cung cấp một phương pháp để tạo ra một biên quản trị trong một

domain. Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong

một domain.

OU hoạt động giống như một container chứa các tài nguyên trong

domain. Bạn có thể áp đặt các quyền quản trị trong một OU. Một đặc thù

chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một

tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU

riêng biệt tương ứng với các phòng ban trong tổ chức đó.

Có thể lồng các OU (tạo các OU bên trong một OU). Tuy nhiên, cấu

trúc OU phức tạp trong một domain có thể là một trở ngại. Khi cấu trúc của

bạn càng đơn giản, thì thực thi và quản lý nó càng dễ dàng. Khi thực hiện

lồng OU lên quá 12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng

1.2 Khái niệm về backup và restore

Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì

hệ thống nào. Tài liệu này nhằm mô tả sơ bộ công việc backup hệ thống cài

đặt trên hệ điều hành Windows 2003 Server. Nó cho phép các System

Engineer đưa ra giải pháp và chính sách backup hệ thống một cách có hiệu

quả lớn nhât.

Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào sự quan trọng của

dữ liệu cần backup và chính sách mà bạn muốn khôi phục dữ liệu đó như thế

nào.

Daily:Backup những file thay đổi từ daily backup cuối cùng. Nếu một

file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup. Thuộc

tính lưu trữ của file là không đổi.

Incremental: Backup những file thay đổi từ normal hoặc incremental

backup. Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file

vừa sửa đổi – chỉ những files với thuộc tính này được backup. Một



29

file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt

lại khi dữ liệu được thay đổi lần nữa.

Full(Normal): backup những file được lựa chọn, không quan tâm đến

thiết định của thuộc tính lưu trữ như thế nào. Một file vừa được

backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay

đổi. Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file

đó cần được backup.

Differential: Backup những file mà thay đổi từ Full backup cuối cùng.

Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được

thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up.

Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá

vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai

đoạn sau.

Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc

tính lưu trữ. Thuộc tính lưu trữ không thay đổi, vì vậy những loại

backup khác có thể thực hiện trên dữ liệu tương tự.

2. Cơ sở lí thuyết.

Mặc dù bảo mật là một việc quan trọng cần được cân nhắc đối với tất

cả các thành phần của hệ thống mạng trong tổ chức, đối với các máy chủ có

mức bảo mật cao thì bảo mật là một phần đặc biệt quan trọng. Mức “ high

security” ( bảo mật cao) xuất phát từ yêu cầu bảo mật cao của các tiến trình

đang chạy trên các server. Xác định máy chủ trong tổ chức của bạn là một

high-security server khi nó:

Chạy một dịch vụ trong ngữ cảnh của một tài khoản service

Active Directoryministrator-level

Được tin tưởng để uỷ quyền (trusted for delegation)



30

Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi

phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra

yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh

bảo mật của client. Vì client đưa ra yêu cầu có các đặc quyền

bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc

quyền bảo mật cao. Vì thế, tất cả các máy chủ là “trusted for

delegation” bên trong rừng có thể được thiết kế là các máy chủ

bảo mật cao (high-security).

Trên cơ sở những tiêu chuẩn này, thêm các domain controller có thể là các

server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc

biệt ngày này qua ngày khác để duy trì bảo vệ. Bảo vệ tất cả các máy chủ có

mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an

toàn.

2.1 Thực hiện duy trì bảo mật Domain Controller và Active

Directoryministrative Workstation

Khi tổ chức của bạn thực hiện cấu hình domain controller và Active

Directoryministrative workstation an toàn theo những đề xuất trong phần I

của tài liệu này thì bạn bắt đầu các hoạt động. Trong một môi trường thực tế,

những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo

dưỡng các domain controller và Active Directoryministrative workstation.

Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật

của domain controller và Active Directoryministrative workstation mà tổ

chức của bạn có thể duy trì.

Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt

động duy trì domain controller, bao gồm:

Sao lưu và khôi phục cho domain controller



31

Thay thế phần cứng cho domain controller và Active

Directoryministrative workstation

Quét virut trên Domain controller và Active Directoryministrative

workstation

2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller

Những người quản trị lập kế hoạch sao lưu system state trên các

domain controller để khôi phục khi dữ liệu Administratorsbị mất và một

domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi

nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các

hoạt động khôi phục, domain controller backups phải được thực hiện an toàn

và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller

không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm:

Không thể thực hiện Incremental backup

Không phải tất cả domain controller sẽ được sao lưu

Sao lưu từ một domain controller không thể được sử dụng để khôi

phục trên một domain controller khác

Khôi phục ở cả hai dạng authoritative hoặc non-authoritative

Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc

biệt

Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn

bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy

chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ

bao gồm các thao tác chính sau:

Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao

lưu

Hạn chế phần cứng sao lưu domain controller để các chúng được bảo

mật



32

Kế hoạch sao lưu domain controller thông thường và huỷ các phương

tiện sao lưu khi chúng không còn sử dụng

Bảo vệ các tài khoản Backup Operators

Thao tác khôi phục định kỳ các domain controller từ phương tiện sao

lưu.

Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain

controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách

các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được

sử dụng.

2.3 Quản lý tài khoản Backup Operators

Administratorschứa một nhóm có sẵn tên là Backup Operators. Các

thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì

các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file

hệ thống trên các domain controller. Thành viên của nhóm Backup

Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân

thực hiện sao lưu và khôi phục các domain controller.

Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi

là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu

trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ

là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải

là thành viên nhóm Backup Operators trong Active Directory.

Trên một domain controller riêng, bạn có thể giảm số lượng thành

viên của nhóm Backup Operators. Khi một domain controller được sử dụng

để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu

các ứng dụng trên các domain controller cũng phải được tin cậy như người

quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm

các hệ thống file trên các domain controller.



33

Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó

có thể được thay đổi bởi các thành viên của các nhóm administrators,

Domain Administrators, and Enterprise Administrators. Các quyền được liệt

kê trong bảng II.1

Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active

Directory

Dạng Tên

Quyền Áp

dụng

tới

Allow Administrators List Contents

ReAdministratorsAll

Properties

Write All Properties

Delete

ReAdministratorsPermissions

Modify Permissions

Modify Owner

All Validated Writes

All Extended Rights

Create All Child Objects

Delete All Child Objects

Chỉ đối

tượng

này

Allow Authenticated

Users

List Contents

ReAdministratorsAll

Properties


Chỉ đối

tượng

này



34

Dạng Tên

Quyền Áp

dụng

tới

Allow Domain

Admins

List Contents

ReAdministratorsAll

Properties



Modify Permissions

Modify Owner


All Extended Rights



Chỉ đối

tượng

này

Allow Enterprise

admins

List Contents

ReAdministratorsAll

Properties



Modify Permissions

Modify Owner


All Extended Rights



Chỉ đối

tượng

này



35

Dạng Tên

Quyền Áp

dụng

tới

Allow Everyone Change Password Chỉ đối

tượng

này

Allow Pre–

Windows 2000

Compatible

Access

List Contents

ReAdministratorsAll

Properties


Đặc

biệt

Allow SYSTEM Full Control Chỉ đối

tượng

này

Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục


Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể.

Các user chưa đều có các quyền cơ bản và ngang nhau.

Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho

hệ thống Active Directory.

Hệ thống công ty mói được xây dựng do đó chưa hề có một chính

sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách

bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan

trọng.


4.3 Quản trị hệ thống Active Directory



36

Cài đặt Windows Server 2003 trên máy chủ rồi cấu hình nó như một

domain. Thăng cấp máy chủ đó thành Domain Controler. Thiết kế Active

Directory đảm bảo tương tác tốt nhất với các dịch vụ khác trên hệ thống

Intranet như: email, truy cập Internet, chat, SharePoint Portal. Một hệ thống

Active Directory được đánh giá tốt khi nó thỏa mãn được các yêu cầu về

các dịch vụ đồng thời phải có một chính sách tốt về người dùng.

Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.

Hình II.4.1Giao diện điều khiển ACTIVE DIRECTORY

Lựa chọn mô hình hệ thống cho VINAPAY là một công việc rất quan

trọng. Mô hình cần phải phản ánh được cấu trúc tổ chức của VINAPAY

đồng thời thuận tiện cho công việc quản trị mà không làm ảnh hưởng đến

hiệu suất của dịch vụ thư mục. Để giải quyết vấn đề này, trong Active

Directory, Microsoft chia các domain thành các OU. Với việc lựa chọn OU

để chứa các phòng ban sẽ đảp bảo được vấn đề này.

Hình sau cho chúng ta thấy một OU



37

Hình I.4.2 Một OU trong ACTIVE DIRECTORY

Tính năng xác thực của Active Directory sẽ đảm bảo được các yêu cầu sau:

Cho phép các nhóm quản trị quản lý thông tin một cách độc lập

Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau

Các tính năng bảo mật trong Active Directory như GPO, kết hợp với

những tính năng IPSec, NAT của hệ điều hành Windows Server 2003

chúng sẽ tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có

thể truy cập đến các tài nguyên với quyền được cấp phát.

Để đảm bảo được yêu cầu này các Active Directory sẽ quản lí theo nhiều

tiêu chí như: quản lí máy tính(compuer), quản lí người dùng(user), nhóm

người dùng. ADMINISTRATORS áp dụng các chính sách (policy) cho các

người dùng và từng nhóm người dùng.



38

Hình II.4.3 Một Group Policy

Cụ thể để dễ quản lí, cơ cấu của Vinapay được chia nhỏ thành 10 nhóm tài

khoản với từng chính sách riêng biệt. Khi có một người sử dụng mới ta chỉ

cần thêm người sử dụng đó vào nhóm phù hợp mà không cần tìm từng

quyền hay cấu hình từng người. Chính sách Policy mang tính kế thừa, quyên

đứng trên có thể phủ nhận quyền ở dưới, để một số quyền không bị kế thừa

ta có thể kick vào ô lựa chọn Block Policy inheritance.

Dưới đây là những tiêu chí mà mô hình domain cần phải đảm bảo:

Cho phép các nhóm quản trị quản lý thông tin một cách độc lập

Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau

Tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy

cập đến các tài nguyên với quyền được cấp phát

4.2 Cấu hình backup cho domain

4.2.1 Lập bảng biểu Backup Job



39

Bạn phải backup cho dữ liệu có nguy cơ cho công ty của bạn và bây

giờ bạn cần chắc rằng dữ liệu tiếp tục được backup trên một khoảng thời

gian cơ bản.

Thay vì thực hiện backup bằng tay, bạn có thể lập bảng biểu chúng để

thực hiện tự động. Lập bảng biểu backup đảm bảo viêc backup ở hiện tại, nó

được thực hiện ở một thời điểm đặc biệt hoặc trong một chu kì thời gian

hoặc thực hiện với các sự kiện hệ thống được lựa chọn để phù hợp với các

kiểu lưu trư dữ liệu trong công ty của bạn, hoặc lấy trung bình các trạng thái

của thời điểm mạng không hoạt động.

Các Phương thức Lập bảng biểu Backup, có thể lập bảng biểu theo 3

cách sau:

Khi ban tạo một backup mới trong Windows Backup.

Bằng việc sử dụng Scheduled Jobs tab trong Windows Backup để lập

bảng biểu cho môt công việc đang tồn tại

Tạo ra một gói công việc với ntbackup command, và chạy nó trong

Windows commnAdministratorsline

Các lựa chọn Lập bảng biểu Backup

Bạn có một vài lựa chọn cho phép lập bảng biểu cho việc backup:

Schedule Option Execute the Job

One Thực hiện ở một thời điểm đặc biệt trên một ngày

đặc biệt

Daily Thực hiện ở một thời điểm đặc biệt mỗi ngày

Weekly Thực hiện ở một thời điểm đặc biệt trên một ngày

đặc biệt hàng tuần

Monthly Thực hiện ở một thời điểm đặc biệt trong một tháng



40

At system starup Thời điểm lần tiếp theo mà PC khởi động

At logon Thời điểm lần tiếp theo mà user sở hữu backup

logon

When idle Khi hệ thống nhàn rỗi

4.2.2 Một phương pháp xây dựng backup và restore dữ liệu (được áp

dụng vào vinapay)

Khi xây dựng kế hoạch cho backup và recovery, bạn phải hỏi chính mình

bằng một số câu hỏi đê có thể quyết định được backup thế nào, khi nào và

dữ liệu là gì. Những câu hỏi đó bao gồm:

Khi nào thuận tiện nhất để thực hiện backup job?

Backup dữ liệu thực hiện ngoài giờ cao điểm hệ thống là lý tưởng, là

khi hệ thống sự dụng tài nguyên thấp.

Bạn sẽ lư trữ các backups ở vùng ngoài?

Backup được đề xuất rằng nên backup qua phương tiên truyền thông

nào đó, là một kho lưu trữ bên ngoài vùng dữ liệu phòng trường hợp của một

tai hoạ tự nhiên, lửa, rò rỉ thông tin, … Nó cũng sẽ khuyên nên giữ một bản

sao của phần mềm được yêu cầu để install và khôi phục hệ điều hành,

database server, backup recovery, …

Dữ liệu quan trong như thế nào với hê thống của bạn đang dùng?

Phân loại theo tính quan trọng của dữ liệu sẽ giúp bạn quyết định dữ

iệu cần để backup, nó sẽ backup như thế nào và khi nào được backup.

Dữ liệu có nguy cơ (như là dữ liệu tài chính, database, …) sẽ đặt giai

đoạn backup và như thế sẽ có một loạt các backup dư ra, trong khi dữ

liệu ít quan trong hơn sẽ được backup hàng ngày và được khôi phục

đơn giản.

Khôi phục dữ liệu nhanh như thế nào từ backup cần thiết?



41

Nghia là đưa hệ thống có nguy cơ trở lại làm việc bình thường sớm như có

thể. Thì kế hoặc Backup của bạn phụ thuộc nhiều vào thời gian mà nó lấy ra

để khôi phục một hệ thống. Và dữ liệu sẽ được phân loại theo giai đoạn và

dãy khôi phục.

Dữ liệu thay đổi theo giai đoạn như thế nào?

Dữ liệu mà thay đổi hàng ngày sẽ được backup hàng ngày. Tốc độ mà

dữ liệu của ban thay đổi sẽ phản chiếu quyết định tần xuất backup backup

của hệ thông.

Dữ liệu ở trên hệ thống của bạn bao gồm những loại thông tin gì?

Phải nắm được dữ liệu của bạn gồm những thông tin gì, từ đó bạn có

thể xác định nguy cơ, và tính bảo mật, v.v… trên đó, xác định sự quan trọng

của nó. Điều này sẽ giúp bạn xác định được dữ liệu được backup khi nào và

như thế nào.

Bạn có nhưng thứ cần thiết để backup không?

Để chắc chắn rằng bạn có phần cứng tốt và đủ các phương tiện truyền

thông cần thiết để thực hiện một backup. Chọn backup trên phương tiện

truyền thông la một nhân tố quan trọng trong việc backup và khôi phục dữ

liệu. Các backup tape là một dạng phổ biến của phương tiện truyền thông,

chúng có thể lưu trữ lượng lớn data và giá rẻ, nhưng chậm hơn so với các

lựa chọn khác.

4.2.3 Giới hạn dịch vụ sao lưu và phương tiện lưu trữ vào các vị

trí an toàn.

Cung cấp phương tiện sao lưu domain controller với cùng mức bảo

mật về mặt vật lý như chính các domain controller. Bởi vì phương tiện sao

lưu chứa tất cả các thông tin trong cơ sơ dữ liệu Active Directory, việc đánh

cắp các bản sao lưu này cũng nguy hiểm như việc đánh cắp một domain



42

controller hoặc một ổ đĩa từ một domain controller. Kẻ tấn công có thể khôi

phục các thông tin ở trong và truy cập vào dữ liệu Active Directory.

Để ngăn chặn các cá nhân truy cập trái phép phương tiện sao lưu:

Tháo các phương tiện từ ổ cứng sao lưu ngay khi quy trình sao lưu

hoàn thiện.

Lưu các phương tiện sao lưu trong một nơi an toàn, nơi truy cập được

theo dõi.

Lưu một bản sao lưu dự phòng ở nơi khác

Thiết lập các quy trình và thủ tục yêu cầu chữ ký của người quản trị

khi các thiết bị sao lưu dữ phòng được mang đi.

Các thiết bị sao lưu cần luôn được sẵn sang ở trạng thái tốt nhất.

4.2.4 Phương án Backup cho VINAPAY:

Để Backup hệ thống của VinaPay thì có 2 lựa chọn theo mô hình sau:

Hình II.4.6 Hai cách backup đề nghị cho mô hình công ty vinapay



43

II.1 Mô hình 1

Day Mô tả

Sunday 12.00 PM Full backup (normal): Backup toàn bộ dữ liệu trên

file và fodler hiên tại.

Monday 12.00 PM Incremental: chỉ backup các file và folder được

thay đổi trên từ normal backup cuối cùng.

Tuesday 12.00 PM Incremental: chỉ backup các file và folder được


Wednesday 12.00PM Incremental: chỉ backup các file và folder được


Thursday 12.00 PM Incremental: chỉ backup các file và folder được


Friday 12.00 PM Incremental: chỉ backup các file và folder được


Saturday 12.00 PM Incremental: chỉ backup các file và folder được


II.2 Mô hình 2

Day Mô tả

Sunday 12.00 PM Full backup (normal): Backup toàn bộ dữ liệu trên


Monday 12.00 PM Incremental: chỉ backup các file và folder được


Tuesday 12.00 PM Incremental: chỉ backup các file và folder được



44


Wednesday 12.00

PM

Full backup (normal): Backup toàn bộ dữ liệu trên


Thursday 12.00 PM Incremental: chỉ backup các file và folder được


Friday 12.00 PM Incremental: chỉ backup các file và folder được


Saturday 12.00 PM Incremental: chỉ backup các file và folder được


4.2.5 Quản lý vòng đời của phần cứng domain controller

Một tổ chức có thể định kỳ bỏ hoặc thực hiện tái sử dụng một số lượng đáng

kể các máy chủ, máy trạm và thiết bị sao lưu. Các domain controller, các

Active Directoryministrative workstation và thiết bị sao lưu domain

controller chứa các thông tin nhạy cảm cần được bảo vệ. Để bảo vệ các

thông tin nhạy cảm này khi thiết bị được tái sử dụng, bạn sẽ có một chính

sách để xác định cách thực hiện trong quá trình tái sử dụng các domain

controller, các Active Directoryministrative workstation, và các thiết bị sao

lưu đi kèm.



45

PHẦN III: NÂNG CẤP HỆ THỐNG MẠNG CỦA

CÔNG TY VỚI ISA SERVER 2004.

Trong chương này chúng ta sẽ tìm hiểu biện pháp bảo mật cho hệ

thống mạng của công ty sử dụng tường lửa ISA 2004. Bằng cách tìm hiểu

về ISA cũng như tác dụng của các mô hình cơ bản của nó(được cung cấp bởi

các template có sẵn trong phần trợ giúp) ta có thể tìm ra một cách cấu hình

phù hợp mạng của mình.

1. Khái niệm cơ bản

ISA Server 2004 được thiết kế để bảo vệ mạng,chống các xâm nhập

từ bên ngoài lần kiểm soát các truy cập từ bên trong của một mạng nội bộ

của một tổ chức.ISA Server 2004 firewall làm điều này thong qua cơ chế

điều khiển những được phép qua firewall và những gì bị chặn lại.

ISA Server 2004 firewall chứa nhiều tính năng mà các Security Active

Directorymin có thể dung cho việc đảm bảo an toàn cho việc truy cập

Internet, và cũng đảm bảo an ninh cho các tài nguyên trong mạng nội bộ.

Các Network Services và những tính năng trên ISA Server 2004 sẽ

được cài đặt và cấu hình gồm:

Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp

các chứng thư kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch

trên mạng).

Cài đặt và cấu hình Microsoft Internet Authentication

Services(RACTIVE DIRECTORYIUS) dịch vụ xác thực an toàn cho

các truy cập từ xa thong qua các remote connections(Dial-up hoặc

VPN).

Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp cách

xác lập TCP/IP cho các node trên mạng) và WINS Services (dịch vụ



46

cung cấp giải pháp truy vấn NETBIOS name của các Computer trên

mạng) .

Cấu hình các WPADMINISTRATORSentries trong DNS để hỗ trợ

chức năng autodiscovery(tự động khám phá) và autoconfiguration(tự

động cấu hình) cho Web Proxy và Firewall clients.Rất thuận lợi cho

các ISA Clientsents(Web và Firewall Clients) trong một tổ chức khi

họ phải mang Computer từ 1 Network (có một ISA SERVER) đến

Network khác (có ISA SERVER khác) mà vẫn tự động phát hiênh và

làm việc được với Web Proxy Services và Firewall Service trên ISA

SERVER này.

Cài đặt Microsoft DNS server trên Perimeter network server (Network

chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm

sau Firewall, nhưng cũng tách biệt với LAN).

Cài đặt ISA Server 2004 firewall software.

Back up và phục hồi thong tin cấu hìng của ISA Server 2004 firewall.

Dùng các mô hình mẫu của ISA Server 2004( ISA Server 2004

Network Templates) để cấu hình Firewall.

Cầu hình các loại ISA Server 2004 clients.

Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004

firewall.

Publish Web Server trên một Perimeter network.

Dùng ISA Server 2004 firewall đóng vai trò 1 Spam filtering SMTP

relay(trạm trung chuyển e-mails. Có chức năng ngăn chặn Spam

mails).

Publish Microsoft Exchange Server services (hệ thống Mail và làm

việc cộng tác của Microsoft, tương tự Lotus Notes của IBM).

Cài đặt ISA Server 2004 trên Windows Server 2003



47


2.1 Các Network Templates (mô hình mẫu các thông số cấu hình

mạng)

ISA Server 2004 firewall với sự hổ trợ thông qua các Templates, chúng ta

có thể cấu hình tự động các thông số cho Networks, Network Rules và

Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng

tạo ra được 1 cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây

dựng…Các Templates bao gồm

2.1.1 Edge Firewall

Network Templates dành cho Edge Firewall, được sử dụng khi ISA

Server 2004 firewall có 1 network interface được trực tiếp kết nối đến

Internet và 1 Network interface được kết nối với Internal network.

Hình III.1 Mô hình Edge Firewall

2.1.2 3-Leg Perimeter

Network Templates dành cho 3-Leg Perimeter được sử dụng với Firewall

gắn 3 Network interface. Một External interface (kết nối Internet), 1 Internal



48

interface (kết nối mạng nộ bộ) và 1 DMZ interface ( kết nối đến Mạng vành

đai-Perimeter Network).Template này, cấu hình các địa chỉ và mối quan hệ

giữa các Networks này với nhau.

Hình III.2 Mô hình 3-leg perimeter

2.1.3 Front Firewall

Dùng Front firewall Template khi ISA Server 2004 firewall đóng vai trò 1

frontend firewall trong mô hình back-to-back firewall. Đây là mô hình kết

nối 2 Firewall có thể là Internet, giữa Front và back firewall có thể là DMZ

network, và phía sau back firewall là Internal network. Template này dành

cho Front Firewall



49

Hình III.3 Mô hình Front Firewall

2.1.4 Back Firewall

Được sử dụng cho 1 ISA Server 2004 firewall nắm sau 1 ISA Server 2004

firewall khác phía trước nó (hoặc 1 third-party firewall nào đó).

Single Network Active Directoryapter:

Template dạng Single Network Active Directoryapter -Là 1 cấu hình khá

đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại

luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA

Server 2004 chỉ có duy nhất 1 Network Card ( unihomed), đóng vai trò là hệ

thống lưu giữ cache- Web caching server.

2.2 Các cấu hình network template

Trong đồ án ta chỉ xét đến cách cấu hình của 2 dạng Firewall thường gặp và

đơn giản là Edge Firewall và 3-Leg perimeter

2.2.1 Cấu hình cho Edge Firewall:

Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có 1

network interface gắn trực tiếp Internet và 1 Network interface thứ 2 kết nối

với Internal network. Network template này cho phép Active Directorymin

nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của

Firewall (Firewall policy Access control) giữa Internal network và Internet.

Bảng sau sẽ cho ta thấy các chính sách của Firewall (firewall policies) đã

sẵn sang khi sử dụng Edge Firewall Template. Mỗi chính sánh trong

Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập.Từ xác

lập tất cả các hoạt động đều được cho phép ( All Open Access Policy) giữa

Internal network và Internet cho đến xác lập ngăn chặn tất cả ( Block All

policy) hoạt động giữa Internal network và Internet.



50

Những lựa chọn về chính sách của Firewall khi dùng Network Active

Directoryge Firewall Template:

Bảng III.1 Chính sách Edge Firewall

Firewall Policy Mô tả

Block all Ngăn chặn tất cả truy cập qua ISA server

Lựa chọn này không tạo bất kì nguyên tắc cho

phép truy cập nào ngoài ngăn chặn tất cả các truy

cập

Block Internet Access,

allow access to ISP

Network services

Ngăn chặn tất cả các truy cập qua ISA Server

2004 , ngoại trừ các truy cập đên các Network

services như DNS service. Lựa chọn này sẽ được

dùng khi các ISP cung cấp những dịch vụ này.

Dùng lựa chọn này để xác định chính sách

Firewall của bạn, ví dụ như sau:

Allow DNS from Internal Network and Client

Network to External Network (internet)-Cho phép

Internal Network và VPN clients Network cho

phép các truy cập dạng HTTP, HTTPS,FTP từ

Internal Network truy cập ra ngoài.

Allow all protocol From VPN clients Network to

Internal Network cho phép các giao thức từ VPN

clients Network (bên ngoài ) vào trong mạng nội

bộ.

Allow limited web

access to ISP Network

Cho phép truy cập web có giới hạn dùng HTTP,

HTTPS và FTP và cho phép truy cập tới ISP



51

Services Network services như DNS.

Còn lại ngăn chặn tất cả các Network khác.

Các nguyên tắc truy cập sau sẽ được tạo:

Allow Http, Https, Ftp from Internal Network and

VPN Client Network to External Network

(Internet)- cho phép HTTP, HTTPS, FTP từ

Internal Network và VPN Client Network ra

External Network (internet)

Allow DNS from Internal Network and VPN

Client Network to External Network (internet)-

cho phép Internal Network truy cập dịch vụ DNS

giải quyết các hostnames bên ngoài(internet)

Allow all protocols from VPN Clients Network to

Internal Network – Cho phép tấtc cả các giao thức

từ VPN Client Network (bên ngoài VPN Client

thực hiện kết nối vào mạng nội thông qua

Internet), được truy cập vào bên trong mạng nội

bộ.

Allow unrestricted

access

Cho phéptruy cập không giới hạn ra internet qua

ISA Server

Các nguyên tắc truy cập sau sẽ được tạo ra:

Allow all protocols from Internal Network and

VPN Client Network to External Network – Cho

phép dùng tất cả các giao thức từ Internal

Network và VPN Client Network tới External

Network (mạng ngoài)



52

Allow all protocols from VPN Client to Internal

Network to Internal Network – Cho phép tất cả

các giao thức VPN Client Network truy cập vào

Internal Network.

2.2.2 Cấu hình 3-Leg Perimeter

Cấu hình Firewall theo template dạng 3-Leg Perimeter sẽ tạo ra các mối

quan hệ giữa các Network : Internal, DMZ và Internet. Và tương ứng

Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network

segment và perimeter (DMZ) network segment. Perimeter network Segment

–DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép ngưòi dùng

Internet truy cập vào như : public DNS server hoặc 1 caching-only DNS

server.

Những chọn lựa tại 3-Leg Perimeter Firewall Template Firewall Policy

Bảng III.2 Chính sách 3-Leg Perimeter

Firewall Policy Mô tả

Block all Ngăn chặn tất cả truy cập qua ISA server

Lựa chọn này không tạo bất kì Rules nào khác

ngoài Dèault Rules ngăn chặn tất cả các truy cập

Block Internet Access,

allow access to Network

services on the

Perimeter Network

Ngăn chặn tất cả các truy cập qua ISA Server

2004 , ngoại trừ các truy cập đên các Network

services như DNS service. Các Access rules sau

sẽ được tạo:

Allow DNS traffic from Internal Network

andClient Network to Perimeter Network)-Cho

phéptruy nhập DNS từ Internal Network và VPN



53

clients Network đến Perimeter Network .

Allow all protocol From VPN clients Network to

Internal Network cho phép các giao thức từ VPN

clients Network (bên ngoài ) vào trong mạng nội

bộ.

Block Internal access,

allow access to ISP

Network Services

Ngăn chặn tất cả các truy cập mạng qua Firewall

ngoại trừ các Network services như DNS. Lựa

chọn này phù hợp khi nhà cung cấp dịch vụ mạng

cơ bản là Internet services Provider(ISP).

Rules sau sẽ được tạo:

Allow DNS from Internal Network , VPN Client

Network to External Network – Cho phép DNS từ

Internal Network , VPN Client Network và

Perimeter Network đến External Network

Allow limited web

access, allow to access

to Network services on

Perimeter Network

Cho phép truy cập web có giới hạn dùng HTTP,

HTTPS và FTP và cho phép truy cập tới Network

services như DNS trên DMZ.

Còn lại ngăn chặn tất cả các Network khác.

Các nguyên tắc truy cập sau sẽ được tạo:

Allow Http, Https, Ftp from Internal Network

andVPN Client Network to Perimeter Network

and External Network (Internet)- cho phép HTTP,

HTTPS, FTP từ Internal Network và VPN Client

Network ra Perimeter Network và External

Network (internet)

Allow DNS traffic from Internal Network and



54

VPN Network to Perimeter Network

Allow all protocols from VPN Clients Network

toInternal Network – Cho phép tấtc cả các giao

thứtừ VPN Client Network (bên ngoài VPN

Clientthực hiện kết nối vào mạng nội thông qua

Internet), được truy cập vào bên trong mạng nội

bộ.

Allow limited web

access to ISP Network

services

Các Network services như DNS là do ISP của ta

tạo ra. Tất cả các truy nhập mạng khác đều bị xóa.

Các nguyên tắc truy cập sau sẽ được tạo ra:

Allow Http, Https, FTP from Internal Network

and VPN Client Network to External Network

allow all protocols from VPN Clients Network to

Internal Network.

Allow unrestricted

access

Cho phép tất cả các loại truy cập ra internet qua

Firewall. Firewall sẽ chặn các truy cập từ Internet

vào các Network được bảo vệ từ chính sách cho

phép tất cả nấyu đó có thể ngăn chặn bớt một số

truy cập không phù hợp với chính sách bảo mật

của công ty.

Các Rules sau sẽ được tạo:

Allow all protocol from Internal Network and

VPN Client Network to External Network and

Perimeter Network

Allow all protocols from VPN Client to Internal

2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy

Clients



55

Một ISA Server 2004 client là một máy tính kết nối đến các nguồn tài

nguyên khác thông qua một ISA Server 2004 firewall. Nhìn chung, các ISA

Server 2004 client thường được đặt trong một số Internal hay perimeter

network _DMZ và kết nối ra Internet qua ISA Server 2004 Firewall.

Tồn tại 3 loại ISA Server 2004 client:

SecureNAT client

Web Proxy Client

Firewall Client

SecureNat Client là máy tính được cấu hình với thông số chính Default

gateway giúp định tuyến ra Internet thong qua ISA Server 2004 firewall.

Nếu SecureNat Client nằm trên mạng trực tiếp kết nối đến ISA Server 2004

firewall, thong số default gateway của SecureNat Client chính là IP Active

Directorydress của network card trên ISA Server 2004 firewall gắn với

Network đó. Nếu SecureNat Client nằm trên một Network ở xa ISA Server

2004 firewall, khi đó SecureNat Client sẽ cấu hình thong số default gateway

là IP Active Directorydress của router gần nó nhất. Router này sẽ định tuyến

thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet

Một Web Proxy Client là máy có trình duyệt Internet (như Internet

EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web

Proxy server của nó web browser có thể cấu hình sử dụng IP Active

Directorydress của ISA Server 2004 firewall làm web broưser của nó – cấu

hình thủ công, hoặc cấu hình tự động thông qua các Web Proxy

Autoconfiguration script của ISA Server 2004 firewall. Các

Autoconfiguration script này cung cấp mức độ tùy biến cao trong việc điều

khiển làm thế nào để Web Proxy Client có thể kết nối ra internet. Tên của

User được ghi nhận trong các Web Proxy Logs khi máy tính được cấu hình

theo Web Proxy Client .



56

Firewall Client là máy tính cài Firewall Client software. Firewall Client

software chặn tất cả các yêu cầu thuộc dạng winsock application (thường là

các ứng dụng trên TCP và UDP) và đẩy các yêu càu này đến Firewall

service trên ISA Server 2004 firewall. User name tự động được đưa vào

firewall service log khi máy tính Firewall Client được thực hiện kết nối

internet thông qua ISA Server 2004 firewall.

Bảng III.3 Tính năng ISA Server 2004 Client.

Feature SecureNat Client Firewall Client Web Proxy

Client

Cần cài đặt Không yêu cầu,

cần xác lập các

thông số default

gateway

Cần cài đặt phần

mềm Firewall

Client software

Không yêu cầu,

chỉ cần cấu hình

các thông số phù

hợp tại trình

duyệt web

Hỗ trợ các hệ

điều hành

Tất cả các hệ

điều hành hỗ trợ

TCP/IP

Chỉ hỗ trợ

Windows

Hệ điều hành có

hỗ trợ Web

Application

Hỗ trợ giao thức Nhờ có bộ lọc

ứng dụng –

Application

filters có thể hỗ

trợ các ứng dụng

chạy kết hợp

nhiều Protocols-

multiconnection

protocol

Tất cả các ứng

dụng winsock

application. Có

nghĩa là hầu hết

các ứng dụng

trên internet hiện

nay

HTTP, Secure

HTTP(HTTPS)

và FTP



57

Hỗ trợ xác thực

người dung, kiểm

soát user truy cập

ra ngoài

Chỉ hỗ trợ cho

VPN client

Có hỗ trợ Có hỗ trợ

Như vậy ta đã biết đến các ISA Server 2004 client khác nhau và các tính

năng riêng của các loại. Tiếp theo chúng ta sẽ tìm hiểu thêm các thủ tục để

tạo hoặc chỉnh sửa cá quy tắc trên chính sách truy cập ra ngoài internet –

outbound access policy rules thông qua các Network Template.

2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server

2004 Access Policy

ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks

được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004

firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng

để cho phép lưu thông này là:

Access Rules- Các quy tắc truy cập

Publishing Rules – Các quy tắc xuất bản

Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ

nằm trong đến một Network khác không được bảo vệ nằm ngoài.

ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External.

Còn tất cả các Network được xác định là external Network thì không được

bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network,

Quarantined VPN Client Network – mạng VPN cách ly, Local Host

Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet

User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài.

Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành

đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào



58

các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail,

FTP server. Web and server public rules có thể cho phép External hosts truy

cập vào các tài nguyên này.

Ở những phần trước ta đã dùng các Network Template để tự động tạo

ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể

thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol

ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user

được truy cập trên internet.

Bảng III.4.1 Một Access rules bao gồm các yếu tố sau:

Rules Element Mô tả

Thứ tự (độ ưu tiên)-

order

Firewall Access Policy là một danh sác các

Access Rules được xử lý theo thứ tự từ trên

xuống đến khi gặp 1 điều kiện cụ thể được quy

định, khi đó sẽ áp dụng theo quy định ấy

Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra là Allow-

cho phép hoặc Deny – từ chối

Protocol Protocol bao gồm tất cả các TCP/IP protocol,

TCP, UDP, ICMP, tất cả các giao thức được căn

cứ trên IP protocol number, Firewall hỗ trợ tất

cả TCP/IP Protocols

Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active

Directorydress, một dãy IP Active

Directorydress, một subnet, hay nhiều subnet

Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập

hợp các domain, một URL hay một tập các

URL, một IP hay một tập cá IP, một subnet hay



59

tập các subnet, hoặc tập các Network

Điều kiện – Condition Điều kiện đưa ra là căn cứ vào user hoặc group

nào sẽ được rule áp dụng

Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản

nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy

nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó.

Ví dụ:

Rules Element Giá trị

Order(priority) 1

Action Allow

Protocols HTTP & FTP

From Internal Network

To FTP.com

Condition Limited web

access(Group)

Để có thể sử dụng được các Access rules điều khiển người dùng hay

các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng

ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy

Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall

xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm

người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ

không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng

có thể thực hiện dựa trên IP nguồn.



60

Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều

khiển việc truy cập đến một số website và việc sử dụng giao thức nào để

thực hiện công việc này.


Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client

tiếp xúc trực tiếp với mạng internet qua modem nên nguy cơ bị tấn công cao.

Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông

tin không cho phép.

Các luồng dũ liệu trong công ty chưa được phân chía.


4.1 Lựa chọn hệ thống Firewall(Proxy)

Sử dụng 1 trong 2 cách:

ISA 2004

Linux IPcop

Với ISA

Ưu điểm:

Quản lý mạnh về các giao thức :http,pop3,https,smtp……

Chặn web và tải file hiệu quả :*.bat,*.exe và ngăn chặn website mong

muốn

Áp dụng các chính sách Access Rule Policy From.. To… cho các

client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào

trong hiệu quả .

Nhiều tính năng mạnh khác

Có thể tích hợp thêm các phần mềm security khác :

Surfcontrol : ngăn chặn trang web xấu

Nhược điểm:



61

Cấu hình cài đặt cao, cài đặt tương đối phức tạp..

Giá thành cao

Với Ipcop

Ưu điểm:

Giá thành thấp

Cài đặt đơn giản

Yêu cầu cấu hình thấp

Nhược điểm

Khó tương thích với phần mềm khác.

Đảm bảo an toàn kém.

Do những ưu, nhược điểm như vậy nên đề nghị chọn giải pháp sử dụng ISA

Server 2004.

4.2 Cài đặt ISA Server 2004 trên Windows Server 2003

Không quá phức tạp (phần phức tạp nằm ở phần cấu hình các thông

số).Chỉ có một vài yêu cầu cần xác nhận tại quá trình này.Phần cấu hình

quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng

địa chỉ IP nội bộ-Internal network IP Active Directorydress range(s).Không

giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local

Active Directorydress Table (LAT) để xác định đâu là Mạng đáng tin cậy

(trusted Networks), và đâu là

mạng không được tin cậy (untrusted Networks) .Thay vào đó , ISA Server

2004 firewall các IP nội bộ được xác nhận bên dưới Internal Network.

Internal Network nhắm xác định khu vực có các Network Servers và các

Services quan trọng như :Administratorsdomain controllers, DNS, WINS,

RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ect…Tất cả

các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều

khiển bởi các chính sách của Firewall (firewall’s System Policy). System



62

Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined

Access Rules), nhằm xác định loại thông tin nào được cho phép vào

(inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài

đặt. System Policy có thể cấu hình, cho phép các Security Active

Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của

System Policy…

4.3 Mô hình cấu hình ISA vào mạng công ty

Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty

vinapay.

Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet.



63



64

Hình III.5 Cho phép kết nối từ Firewall ra internet

Hình III.6 Ngăn chặn truy nhập vào site



65

Hình III.7 Rule ngăn việc downloAdministrators1 File



66

Hình III.8 Cho phép truy nhập FTP server

4.3 Sao lưu dự phòng

Lý do cần sao lưu :

Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn

định

Việc xây dựng hệ thống ISA đòi hỏi mất nhiều thời gian cấu hình các

chính sách của user.

Sự cố về phần cứng

Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại

Kế hoạch xây dựng hệ thống dự phòng

Các phương án dự phòng

Trường hợp 1

Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định



67

Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống

Cách khắc phục

Sử dụng tiện ích backup với lịch sao lưu như sau:

Time Type of Backup Object Backup

Monday Daily (17:59) C drive và System State

Tuesday Daily (17:59) C drive và System State

Wednesday Daily (17:59) C drive và System State

Thursday Daily (17:59) C drive và System State

Friday Daily (17:59) C drive và System State

Saturday Daily (17:59) C drive và System State

Sunday Normal (23:59) C drive và System State

Backup cấu hình chính sách của ISA bằng cách sử dụng tiện ích của ISA:

Để đảm bảo nhanh chóng hồi phục các cấu hình trong chính sách truy cập

người dùng trong ISA ta có thể backup trạng thái hệ thống :

Backup : Sao lưu trạng thái hoạt động của ISA 2004 ra file *.xml

Export :xuất các các cấu hình của ISA,chính sách quản lý truy cập ra

file *.xml

Trường hợp 2: Hỏng ổ cứng

Cắm thêm 1 ổ cứng để chạy chế độ RAID 1 Mirroring để đảm bảo hệ

thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng

Trường hợp 3: hỏng toàn bộ ISA server

Ta thiết lập thêm 1 máy chủ ISA tương tự để dự phòng.

Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc

phục sự cố



68

KẾT LUẬN

1. Những vấn đề đạt được:

Theo yêu cầu ban đầu của đề tài là “Triển khai, quản trị, duy trì, nâng cấp

hệ thống mạng doanh nghiệp ” thì cho đến thời điểm hiện tại đã đạt được

những nội dung:

Khảo sát và đưa ra được cấu hình một mạng Lan sơ bộ cho doanh

nghiệp phục vụ cho việc triển khai mạng.

Đưa ra cách thức một ADMINISTRATORSquản lí các tài nguyên của

nó(compter, user, các OU..)

Phân tích và đưa ra lịch trình backup dữ liệu cho domain và dữ liệu

cho từng máy client của công ty.

Tìm hiểu và cấu hình được hệ thống tường lửa ISA cho doanh nghiệp.

2. Hướng phát triển của đề tài

Mở rộng mạng Lan với nhiều máy client và server.

Mở rộng và đưa ra một số cấu hình cụ thể để quản lí các tài nguyên

mạng hiệu quả hơn.

Nghiên cứu chiến lược backup và restore sử dụng phần mềm của hãng

thứ 3 để có các hiệu quả cao hơn.

Tìm hiểu các mô hình tường lửa và các nhà cung cấp khác để mô hình

mạng trở lên dễ sử dụng.



69

PHỤ LỤC 1

Tài liệu tham khảo:

Microsoft Exchange Server 2003 Active Directoryministrator’s Companion

(Microsoft Press, 2003)

MCDST

Self-Paced Training Kit (Exam 70-272): Supporting Users and

Troubleshooting Desktop Applications on a Microsoft Windows XP

Operating System (Microsoft Press, 2004)

MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft

Windows Server 2003 Administratorsand NetworkInfrastructure (Microsoft

Press, 2003)

Tài liệu CCNA.

Tài liệu mạng máy tính.

Một số tài liệu khác trên Internet.



70

PHỤ LỤC 2

Các từ chuyên ngành sử dụng trong đề tài:

List Contents: danh sách trạng thái (có thể xem trạng thái các user)

ReAdministratorsAll Properties: quyền có thể sửa các thông tin thuộc tính

admin ()

Write All Properties: Viết được tất cả các thuộc tính(bao gồm tạo và sửa)

Delete: Xóa (kể các admin)

ReAdministratorsPermissions: quyền thay đổi quyền các account

administrator

Modify Permissions: Chỉnh sửa các quyền

Modify Owner: Tự thay đổi quyền

All Validated Writes: Xác thực tất cả các quyền được.

All Extended Rights:

Create All Child Objects: tạo các đối tượng con(các thuộc tính con)

Delete All Child Objects: xóa các đối tượng con.


Data & Analytics

154934965 trien-khai-quan-tri-duy-tri-va-nang-cap-he-thong-mang-doanh-nghiep-pdf