Mô Hình Mail Tổng Thể Dành Cho Hệ Thống Bưu Điện Hà Nội

- Sơ đồ trên mang tính chất tổng quan, để quý công ty có thể nắm rõ hơn sau đây chúng tôi sẽ trình bầy chi tiết dựa trên giải pháp email Exchange của Micorosoft , các giải pháp bảo mật v

Mô Hình Mail Tổng Thể Dành Cho Hệ

Thống Bưu Điện Hà Nội

Mục Lục

1 Tổng Quan : 4

2 Giải Pháp Tổng Thể : 5

2.1 Giải pháp email bằng Exchange : 5

2.2 Hệ thống cân bằng tải cho máy chủ Email 8

2.3 Giải pháp bảo mật cho hệ thống công ty : 11

3 Kết Luận: 20

1 Tổng Quan :

Căn cứ vào thông tin quý công ty cung cấp chúng tôi đưa ra phân tích và các giải pháp sau đây:

- Bưu Điện Hà Nội là một Bưu Điện trung tâm lớn với nhiều chi nhánh ở các tỉnh thành khác nhau và với số lượng users lớn Do đó việc tập trung

database là một vấn đề quan trọng Do vậy, chúng tôi đưa ra mô hình tổng quan, sử dụng email bằng giải pháp đưa vào sản phẩm Exchange của

Microsoft mà hiện tại đã được áp dụng cho rất nhiều công ty và doanh

nghiệp lớn như FPT, ISP Inc, New Horizons HàNội v.v…… với độ ổn định

và tin cậy cao

- Mạng BĐHN được chia làm nhiều site lớn, tuy nhiên tòan bộ database sẽ được tập trung tại Hà Nội Các site được kết nối với nhau thông qua liên kết mạng WAN bằng đường lease line tốc độ cao tạo thành mạng trục

BACK BONE.Ở mỗi tỉnh thành phốcó nhiều chi nhánh nhỏ tạo thành

mạng cấp 1 , cấp 2….mạng các chi nhánh này được kết nối trực tiếp với mạng lõi (core) của site tương ứng

HA NOI

DA NANG

HCM

WAN Core

BACK BONE

CHI NHÁNH CẤP I

CHI NHÁNH CẤP 2,

- Mail Server được đặt duy nhất ở site Hà Nội và cung cấp mail cho toàn bộ

hệ thống Việc đảm bảo hoạt động ổn định và bảo mật được đặt lên hàng đầu do đó chúng tôi đưa ra các giải pháp bảo mật dựa trên các sản phẩm

FireWall (ISA) của MicroSoft nằm ở mặt bên trong của hệ thống, hệ thống phát hiện xâm nhập IDS/IPS và các phần mềm nổi tiếng nhằm phát hiện tiêu diệt các đoạn mã nguy hiểm như Virus, Spy Ware, MailWare….Để hệ thống hoạt động ổn định và có tính sẵn sàng cao chúng tôi đưa ra các giải pháp dự phòng (back up) và cluster của các server quan trọng

- Sơ đồ trên mang tính chất tổng quan, để quý công ty có thể nắm rõ hơn sau đây chúng tôi sẽ trình bầy chi tiết dựa trên giải pháp email Exchange của Micorosoft , các giải pháp bảo mật và nâng cao khả năng hoạt động (performance) của hệ thống

2 Giải Pháp Tổng Thể :

2.1 Gi ả i pháp email b ằ ng Exchange :

- Lý do khi chúng tôi sử dụng bộ sản phẩm của Microsoft là do tính ổn định, dễ triển khai, cấu hình và bảo mật Ngòai ra :

+ Exchange còn cung cấp các giao thức chính về email như IMAP, POP3, SMTP Trong đó IMAP,POP3 là 2 giao thức dùng cho nhận

mail,còn gửi mail sử dụng giao thức SMTP

+Cho phép người dùng có quyền có thể truy cập từ xa để kiểm tra

email qua giao diện Web (OWA) và thông qua cơ chế RPC over HTTP,

nghĩa là người dùng có thể sử dụng chương trình Microsoft OutLook để kiểm tra email thông qua đường truyền Internet

+ Cho phép chia sẻ lịch làm việc (Calendar) giữa các User + Cho phép chia sẻ tài nguyên dùng chung, và truy cập dựa vào quyền

hạn user như: Public Folder,hội thảo trực tuyến (Conference Rooms) và

các tài nguyên Audio/Video khác…

- Theo yêu cầu của quý công ty, khi triển khai và áp dụng mô hình trên, tòan bộ người dùng trong hệ thống sẽ có chung một tên miền về địa chỉ email và không ảnh hưởng gì đến cấu trúc của hệ thống đang có (ví dụ cụ thể là hệ thống Active Directory) Chúng ta có thể đặt tên domain của các hòm thư là duy nhất cho các user truy cập (ví dụ:

https://mail for Outlook Web Access) Để làm được như vậy thì kiến trúc các mail server phải tuân theo mô hình Front-end và Back-end Nếu không có Front-end server,mỗi user phải biết tên của server lưu mailbox để truy cập.Thông qua đặt tên một domain duy nhất sẽ làm giảm công việc quản trị và dễ dàng hơn trong việc nâng cấp sửa chữa

hê thống mail server

- Hệ thống máy chủ Front-end sẽ đảm nhiệm việc tiếp nhận các yêu cầu

từ email người dùng và chuyển tiếp chúng đến server mail Back-end tương ứng để xử lý, mà không phải là nơi chứa database chính về các mailbox của người dung

- Để đăng nhập vào server, đầu tiên các máy trạm (mail client) gửi tín hiệu yêu cầu (request) đến front-end server Tại server này diễn ra quá trình xác thực tính hợp lệ (authentication) và sử dụng cơ sở dữ liệu tập trung Active Directory để kiểm tra xem mailbox mà user muốn đăng nhập vào nằm trên back-end server nào Sau đó front-end server sẽ chuyển tín hiệu request của user tới back-end server Và cuối cùng back-end server sẽ gửi tín hiệu trả lời cho user thông qua Front-end server

- Các giao thức POP3 và IMAP được sử dụng cho việc nhận mail,

SMTP phải được cấu hình trên Front-end Server ,do đó các máy tram

có thể gửi mail SMTP chạy trên Front-end Server chỉ đóng vai trò chuyển mail (relay) chứ không phải mail được gửi xuất phát từ server này

- Từ Exchange 2003 trở đi, các user có thể truy cập mail của họ thông qua giao diện Outlook Web Access (OWA) Có hai cách đăng nhập sử dụng OWA:

+ Implicit Logon : đây là phương pháp dùng để đăng nhập mặc định cho người dùng Để đăng nhập,User sử dụng trình duyệt Internet và

đánh vào thao tác lệnh: https://<server>/exchange/

+ Explicit Logon: để đăng nhập bằng cách này, user phải đưa ra tài khỏan username của mailbox cần đăng nhập ngay tứ đầu:

https://<server>/exchange/<username>/

2.2 H ệ th ố ng cân b ằ ng t ả i cho máy ch ủ Email

- Theo như số liệu chúng tôi nhận được, công ty hiện có khoảng 6000 user và dự kiến trong tương lai, số lượng user sẽ tăng lên rất nhiều.Do

đó, để đảm bảo sự hoạt động ổn định của hệ thống mạng, máy chủ Front-End Exchange không bị quá tải khi cùng lúc đáp ứng quá nhiều yêu cầu gửi đến Chúng tôi đưa ra giải pháp Network Load Balancing (NLB) ,cụ thể là chúng ta sẽ sử dụng hai đến ba máy chủ Front-End chay song song để cân bằng tải các yêu cầu (request) gửi đến

+ NLB có thể cân bằng tải tất cả các ứng dụng ,dịch vụ chạy trên nền giao thức chuẩn TCP/IP

+ Các nodes trong hệ thống cluster cân bằng tải sử dụng một địa chỉ

IP ảo duy nhất

+ Khi các yêu cầu (request) đến từ client, các request này sẽ được phân chia đều cho các node trong cluster, do đó việc chuyển và phân chia tải đến mỗi node sẽ giảm, tức là giảm nguy cơ quá tải cho hệ thống Front-End Exchange

- Nhóm các server back-end chúng tôi sẽ xử dụng mô hình Clustering

để quản lý tòan bộ database về các mailbox của người dùng hệ thống,

nó cũng giống như một hệ thống datacenter để chống sự sụp đổ và cân bằng tải khi hệ thống tiếp nhận quá nhiều các yêu cầu giải quyết email của người dùng

+ Khi hoạt động ở chế độ cluster, hệ thống cũng cần thoả mãn các yêu cầu sau: máy chủ mail phải sử dụng Exchange 2003 EnterPrise Edition và được chạy trên các hệ điều hành như Windows Server 2003 EnterPrise Edition, hoặc Windows Server 2003 DataCenter Edition Khi đó sẽ cho phép thiết lập được nhiều Node hơn, và với số lượng từ

2 đến 4 node trong cluster mà chúng tôi đã đưa vào cho hệ thống này, hòan tòan có thể đáp ứng được nhu cầu mail của quý công ty, và sự hoạt động này luôn đảm bảo với độ ổn định và an tòan cao

+ Các ổ đĩa chia sẽ (shared disks) phải thoả mãn những yêu cầu sau đây:

Phải được cấu hình ở trạng thái là Basic Disks Được định dạng hệ thống quản lý file là NTFS Các nodes trong cluster phải có khả năng truy nhập đến các ổ đĩa chia sẻ

.Để đảm bảo có thể khôi phục lại dữ liệu,các ổ đĩa được cấu hình hoạt động ở chế độ RAID0, RAID1 hay RAID5 Và cao cấp hơn,

sử dụng trong mô hình dành cho số lượng user lớn và tăng vọt sau này, đối với hệ thống lưu trữ, chúng tôi khuyến cáo là nên sử dụng các

hệ thống lưu trữ lớn nằm ở phía ngòai, đó là các hệ thống SAN (Storage Access Network)

- Trên đây là các giải pháp mail Exchange đã được áp dụng rất hiệu

quả trong các công ty lớn ở Việt Nam cũng như trên thế giới như : FPT,VDC,Newhorizons…Tuy nhiên để triển khai được, trước tiên chúng ta phải xây dựng một hạ tầng mạng chạy ổn định sử dụng các thiết bị kết nối làm việc ở tầng thấp như Router, Switch, Firewall hay IDS/IPS của Cisco hoặc của các hãng khác, và các dịch vụ hỗ trợ cho

hệ thống email Exchange khác như DC,DNS,DHCP v.v……

+ Hạ tầng phần cứng công ty đã xây dựng sẵn và đã hoạt động ổn

định , tuy nhiên để đảm bảo dù ngồi ở bất cứ vị trí nào trong công ty, chúng ta đều có thể vào internet được Do đó, chúng ta nên xây dựng

thêm hệ thống mạng không dây (Wireless) thông qua sử dụng các thiết

bị Access Point của Cisco

+ Domain Controller (DC) là máy tinh dùng để chứa cơ sở dữ liệu

Active Directory (AD) , là thành phần quan trọng nhất cho phép chúng

ta quản lý và bảo mật tập trung tài nguyên và đối tượng hệ thống, tài khỏan người dùng (account), và các đối tượng cũng như dịch vụ khác của hệ thống Để đảm bảo tính sẵn sàng cao của hệ thống chúng ta nên xây dưng thêm một Backup DC DC và BDC thường xuyên đồng

bộ, sao chép tài nguyên của nhau , khi một trong hai DC bi lỗi thì ngay lập tức chúng ta sẽ thay thế DC lỗi bởi BDC do đó đảm bảo hệ thống vẫn hoạt động bình thường

+ Domain Name System (DNS) là dịch vụ giúp cho việc giải quyết các

truy vấn tên(name ) thành địa chỉ IP và ngược lại Khi chúng ta đã xây dựng DNS server ,để truy cập đến một máy tính hay website thì chúng

ta không phải nhớ địa chỉ IP của máy tính hay website đấy Mà ta chỉ cần nhớ tên máy hay tên website và nhờ có DNS server sẽ giúp chuyển đổi từ tên sang IP cho chúng ta, do đó ta có thể truy cập thành công Qua đó, dịch vụ này càng không thể thiếu được với mô hình quản trị tập trung AD và hệ thống mail server mà đang được áp dụng cho hệ thống của BĐHN

+DHCP là dịch vụ cung cấp địa chỉ IP tự động cho toàn bộ hệ thống

các máy trạm

2.3 Gi ả i pháp b ả o m ậ t cho h ệ th ố ng công ty :

BĐHN là một bưu điện trung tâm lớn do đó chúng tôi nghĩ vấn đề bảo mật thông tin cực kỳ quan trọng, nhất là chúng ta đang phải triển khai một mô hình email, mà đây lại là một dịch vụ khá nhạy cảm trong hệ thống Chúng tôi xin phép đề xuất một số giải pháp bảo mật mà chúng tôi đã triên khai và đã đạt hiệu quả cao

Trước tiên, chúng ta hãy thực thi bảo mật bằng cách tối ưu hoá các dịch

vụ trên hệ thống, tắt các dịch vụ không dùng hay không cần thiết, tối ưu hoá chính sách tài khoản cho các user,bắt user phải đặt user,password phải thoả

mãn độ phức tạp nhất định…để triển khai các chính sách trên một cách đồng loạt cùng lúc trên toàn hệ thống người ta sử dụng Group Policy

Thứ hai , bảo mật thông qua sử dụng tường lửa FireWall (ISA của

Microsoft hay Firewall cứng là PIX Firewall của Cisco), phần mềm phát hiện xâm nhập (dùng các sản phẩm phần cứng hay phần mềm),chương trình quét

và tiêu diệt các đoạn mã nguy hiểm (Virus,Spy Ware,Trorjan…) của các hãng nổi tiếng trên thế giới như : Symantec,Trend-micro…

Chính sách của người quản trị đặt ra cho các đối tượng trong hệ thống, thì

thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site  Domain  OUs

Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao cho phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy thao khảo dành cho BĐHN :

 Cấp độ Domain:

Cấu hình Giá trị cho cấu hình

 Minimum password length  10 characters

 Passwords must meet complexity

requirements

 Enabled

 Account lockout threshold  5 invalid logon attempts

 Account lockout duration  30 minutes

 Reset account lockout counter after  30 minutes

o Bảng 1 Group Policy Settings dành cho cấp độ Domain

 Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU):

Cấu hình Giá trị cho cấu hình

 Interactive logon: Do not display last user

name

 Enabled

 Network access: Do not allow anonymous

enumeration of SAM accounts and shares

 Enabled

 Shutdown: Allow system to be shut down

without having to log on

 Disabled

notification for install

 Automatically publish new printers in Active

Directory

 Enabled

 Password protect the screen saver  Enabled

o Bảng 2 Group Policy Settings dành cho Servers OU

 Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống:

Cấu hình Giá trị cho cấu hình

 Interactive logon: Do not display last user

name

 Enabled

 Interactive logon: Display logon message  Enabled

 Network access: Do not allow anonymous

enumeration of SAM accounts and shares

 Enabled

 World Wide Web publishing service  Disabled

 Automatic Updates  Automatically download and

install

with Service Pack 1 (SP1) and earlier.

 Enabled, with specific exceptions, for Windows XP with SP2 and later.

o Bảng 3 Group Policy Settings dành cho Computers OU

- Với mô hình này, để tăng cường khả năng bảo mật, chúng tôi đưa vào hai tường lửa chính của mô hình Máy chủ mail Front-end của chúng tôi sẽ nằm ở giữa hai tuờng lửa này Lý do khi đưa vào thêm tường lửa thứ hai để phòng ngừa trường hợp một kẻ tấn công nào đó lỡ như thỏa hiệp được với máy chủ Front-end cũng sẽ ngần ngại khi phải đi qua tiếp tường lửa thứ hai để đến được hệ thống back-end nằm đằng sau Qua khảo sát chúng tôi thấy, công ty hiện giờ đang có một PIX FireWall của Cisco đặt phía ngoài nhằm bảo vệ kết nối internet của hệ thống Đây là một trong những firewall hàng đầu với khả năng hoạt động rất ổn định và hiệu quả lọc gói tin cao

Perimeter Network

Internal Network (LAN)

LAN

Primary Infrastructure Server

Secondary Infrastructure Server

Hardware Firewall

Firewall Server

Để nâng cao tính năng bảo mật trên toàn hệ thống chúng tôi thiết nghĩ nên đặt them một firewall nữa đăt phía trong để bảo vệ cho vùng internal chứa nhiều tàinguyên quan trọng Để giảm chi phí đầu tư Firewall phía trong chúng ta chỉ cần dùng firewall mềm của một hãng rất nổi tiếng là ISA của Microsoft Hiện giờ ISA cũng được sử dụng rất nhiều ở các công ty lớn và cho hiệu quả cao

Trên cả hai firewall chúng ta chỉ cung cấp và mở các cổng tương ứng với các dịch vụ cần thiết cho người dung.Những gì không cần thiết, chúng ta phải đóng và tắt hết các cổng

Sau đây là những chính sách khuyến cáo được thiết lập tại tường lửa mặt ngòai:

Tường lửa bên trong, chúng tôi có thể đưa ra những chính sách sau đây:

Protocol/Port From To Users Authenticati

on

Permissi on

DNS

(UDP, 53)

Main and branch offices

Internet DNS server

Internal DNS server (used by internal main office systems, VPN clients, and branch office systems

Protocol/Port From To Users Authenticati

on

Permissi on

(TCP, 80) branch offices

HTTPS

(TCP, 443)

Internet Microsoft

Windows®

SharePoint Services and TSWeb based terminal services in the main office

Home and mobile users and business partners

HTTPS

(TCP, 443)

Main and branch offices

Internet Internal users in the main

office and branch offices

FTP

(TCP, 21)

Main and branch offices

SMTP

(TCP, 25)

Internal SMTP server

Internet SMTP servers

Internal and Internet SMTP servers

SMTP

(TCP, 25)

Internet SMTP servers

Internal SMTP server

Internal and Internet SMTP servers

E-mail access

using OWA

and HTTPS

(TCP, 445)

Internet Internal e-mail

server in the main office

Home and mobile users Yes Allow

VPN clients

using PPTP

(TCP, 1723)

and IP

Protocol 47

Internet Main office Home and mobile users

and business partners

VPN clients

using PPTP

(TCP, 1723)

and IP

Protocol 47

Internal network

Internet Home and mobile VPN

client users

IPSec VPN

tunnel

(UDP, 500)

and IP

Protocol 50 &

51)

Branch offices Main office Users in branch offices No Allow

NTP

(UDP, 123)

Internal domain controllers

Internet based time servers

Internal domain controllers

RDP Terminal

Services

(TCP, 3389)

Internet Internal

Terminal Server