Chúng cũng có thể sử dụngmáy tính của chúng ta để tấn công một máy tính gia đình hoặc doanh nghiệpkhác kết nối Internet và sẽ rất nguy hiểm nếu các Hacker đột nhập vào cácdoanh nghiệp ha
Trang 1TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
NGÀNH CÔNG NGHỆ THÔNG TIN
XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP
NGUYỄN THỊ TÌNH
05/2011
Trang 2TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
NGÀNH CÔNG NGHỆ THÔNG TIN
XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP
GVHD: ThS Lương Xuân Phú SVTH : Nguyễn Thị Tình Lớp : 47K - CNTT
Trang 305/2011
Trang 4MỤC LỤC Trang
CÁC THUẬT NGỮ VÀ KÝ HIỆU 1
LỜI MỞ ĐẦU 2
Chương 1: TÌM HIỂU VỀ FIREWALL 3
1.1 Khái niệm Firewall 3
1.2 Phân loại Firewall 3
1.2.1 Firewall cứng 3
1.2.2 Firewall mềm 4
1.3 Chức năng của Firewall 4
1.4 Hạn chế của Firewall 5
Chương 2: TÌM HIỂU VỀ ISA SERVER 2006 6
2.1 Các phiên bản của ISA Server 2006 6
2.1.1 ISA Server 206 Standard 6
2.1.2 ISA Server 2006 Enterprise 6
2.2 Một số tính năng của ISA Server 6
2.3 Cách thức hoạt động của ISA Server 8
2.4 So sánh ISA Server với các Firewall Server khác 8
Chương 3: KHẢO SÁT CTY TNHH THÀNH TÂM & TIẾN HÀNH BẢO MẬT VỚI ISA SERVER 2006 10
3.1 Tình hình thực tế của Công ty 10
3.2 Mô hình mạng hiện tại của Công ty 11
3.3 Yêu cầu hiện tại của Công ty 12
3.4 Lựa chọn giải pháp và thiết kế mô hình 12
3.4.1 Lựa chọn giải pháp 12
Trang 53.4.2 Thiết kế mô hình 14
3.5 Mục đích xây dựng hệ thống 14
3.6 Tiến hành bảo mật với ISA Server 2006 15
3.6.1 Các kiến thức cần nắm 15
3.6.2 Cấu hình và triển khai hệ thống mạng 16
3.6.3 Thiết lập các Access Rule để bảo mật ISA 2006 19
3.6.4 Cấu hình VPN Client to Site 28
3.6.5 Publish Services Web trên Perimeter Network 34
3.6.6 Publish POP3, SMTP & EXCHANGE Server 2003 40
3.6.7 ISA Server - Intrusion Detection 43
3.6.8 Backup và Restore ISA Server 2006 47
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 50
TÀI LIỆU THAM KHẢO 53
Trang 6CÁC THUẬT NGỮ VÀ KÝ HIỆU
VPN Virtual Private Network - Mạng riêng ảo
DMZ Demilitarized Zone - Vùng phi quân sự
AD Active Directory
DC Domain Controller - Điều khiển vùng
DNS Domain Name System - Hệ thống tên miền
DHCP Dynamic Host Configuration Protocol
OWA Outlook Web Access
MAC Media Access Control - Địa chỉ vật lý
TCP Transmission Control Protocol - Giao thức điều khiển truyền vận
IP Internet Protocol - Giao thức Liên mạng
IPSec Internet Protocol Security
OU Organizational Unit
NFS Network File System
POP Post Office Protocol
POP3 Post Office Protocol phiên bản 3
SMTP Simple Mail Transfer Protocol
IMAP Internet Message Access Protocol
Trang 7LỜI MỞ ĐẦU
Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đâyInternet phát triển với tốc độ chóng mặt và là công cụ không thể thiếu trong thờiđại công nghệ ngày nay Tầm quan trọng của nó không chỉ ảnh hưởng đếnngành công nghệ cao mà còn vươn xa tới các lĩnh vực khác Hay nói cách khácInternet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi ngườitrên thế giới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách
xa đến hàng vạn cây số Hơn nữa đây chính là một không gian mở một thế giớitri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu,… với nhaugần như ngay lập tức
Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệthống máy tính ngày càng đa dạng và rộng khắp Những kẻ tấn công với nhiềumục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả Chúng lenlỏi vào hệ thống, chúng đã tàn phá dữ liệu hoặc táo bạo hơn là đánh cắp thôngtin cơ mật của một quốc gia nào đó,…
Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và
là nỗi băn khoăn chung của toàn xã hội Các hãng bảo mật máy tính trên toàn thếgiới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảomật của mình mà tiêu biểu nhất đó chính là chương trình Internet SercurityAcceleration Server (ISA Server) của hãng Microsoft
Chính vì nhu cầu bảo mật ngày càng có vai trò quan trọng đối với hệ thốngmạng của các doanh nghiệp và tổ chức, bằng những kiến thức được học ở
trường em đã chọn đề tài “XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO
DOANH NGHIỆP” Nhưng do thời gian và kiến thức có hạn nên bài báo cáo
còn hạn chế, rất mong được sự góp ý của các thầy, cô Em xin gửi lời cảm ơn
chân thành tới thầy ThS Lương Xuân Phú đã tận tình giúp đỡ để em hoàn
thành đề tài này
Sinh viên thực hiện:
Trang 8Nguyễn Thị Tình
Chương 1: TÌM HIỂU VỀ FIREWALL
I.1 Khái niệm Firewall
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truycập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhậpkhông mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế để bảo
vệ mạng tin tưởng khỏi các mạng không tin tưởng
Thông thường Firewall được đặt giữa mạng bên trong (Internal) và Internetcủa một công ty, tổ chức, ngành hay một quốc gia,… Vai trò chính là bảo mậtthông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) vàcấm truy nhập từ bên trong (Internal) tới một số địa chỉ nhất định trên Internet
I.2 Phân loại Firewall
I.2.1 Firewall cứng
Là những firewall được tích hợp trên Router
Đặc điểm của Firewall cứng:
+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,thêm quy tắc như Firewall mềm)
Trang 9+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network
và tầng Transport)
I.2.2 Firewall mềm
Là những Firewall được cài đặt trên Server
Đặc điểm của Firewall mềm:
+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng
+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứngdụng)
I.3 Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Internal vàInternet Thiết lập cơ chế điều khiển dòng thông qua bộ lọc gói (Packet-Filtering Router) giữa mạng bên trong (Internal) và mạng Internet
Cho phép hoặc cấm những dịch vụ truy cập ra ngoài
Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong
Theo dõi luồng dữ liệu mạng giữa Internet và Internal
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy cập của người sử dụng
Một câu hỏi đặt ra là tại sao chúng ta lại phải cần đến Firewall?
Trang 10Nếu không có firewall, khi truy cập vào Internet, các Hacker sẽ dễ dàng độtnhập và ăn cắp thông tin cá nhân của chúng ta Chúng có thể cài đặt những mật
mã phá hủy các File hoặc gây ra sự cố cho máy tính Chúng cũng có thể sử dụngmáy tính của chúng ta để tấn công một máy tính gia đình hoặc doanh nghiệpkhác kết nối Internet (và sẽ rất nguy hiểm nếu các Hacker đột nhập vào cácdoanh nghiệp hay các tổ chức lớn, nhằm sao chép hay phá hủy dữ liệu thì lúcnày thiệt hại sẽ rất nghiêm trọng) Việc sử dụng Firewall để chống lại những sựtấn công từ bên ngoài, có thể giúp chúng ta thoát khỏi gói tin hiểm độc trước khi
nó đến hệ thống của chúng ta
I.4 Hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loạithông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ Firewall không thể ngăn chặn một cuộc tấn công nếucuộc tấn công này không “đi qua” nó Một cách cụ thể, Firewall không thểchống lại một cuộc tấn công từ một đường Dial-Up, hoặc sự rò rỉ thông tin do
dữ liệu bị sao chép bất hợp pháp lên đĩa mềm Firewall cũng không thể chống lạicác cuộc tấn công bằng dữ liệu (Data-Drivent Attack) Khi có một số chươngtrình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo
vệ và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính Firewall khôngthể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độlàm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mãhóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall Tuy nhiên, Firewall vẫn
là giải pháp hữu hiệu được áp dụng rộng rãi
Trang 12Chương 2: TÌM HIỂU VỀ ISA SERVER 2006
2.1 Các phiên bản của ISA Server 2006
ISA 2006 có hai phiên bản đó là ISA Server 2006 Standard và ISA Server
2006 Enterprise
2.1.1 ISA Server 206 Standard
ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thôngcho các doanh nghiệp, công ty có quy mô trung bình
Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ.Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nộidung nhằm ngăn chặn việc kết nối vào những trang web có nội dung khôngthích hợp
Triển khai các hệ thống VPN site to site, Remote Access để hỗ trợ truy cập
từ xa, trao đổi dữ liệu giữa các văn phòng chi nhánh
Xây dựng các vùng DMZ riêng biệt cho các máy Server của công ty (Web,Mail,…)
Ngoài ra còn có hệ thống đệm (Caching) giúp kết nối Web nhanh hơn
2.1.2 ISA Server 2006 Enterprise
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đápứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống Ngoàinhững tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiếtlập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp
dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải)
2.2 Một số tính năng của ISA Server
Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm share Internet của hãng phần mềm nổi tiếng Microsoft Có thể nói đây làmột phần mềm share Internet khá hiệu quả, ổn định, dễ cấu hình, Firewall tốt,nhiều tính năng cho phép chúng ta cấu hình sao cho tương thích với mạng LAN
Trang 13của mình Tốc độ nhanh nhờ chế độ Cache thông minh, với tính năng lưu Cachevào RAM (Random Access Memory), giúp ta truy xuất thông tin nhanh hơn, vàtính năng Schedule Cache (Lập lịch cho tự động download thông tin trên cácWebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver
đó bằng mạng LAN) Ngoài ra đặc điểm nổi bật của bản 2006 so với 2004 làtính năng Publishing và VPN
Về khả năng Publishing Service
+ ISA 2006 có thể tự tạo ra các Form trong khi người dùng truy cập vàotrang OWA (là một Exchange Server phục vụ Mail cho phép ngườidùng truy cập và quản trị Mailbox của họ từ xa thông qua WebBrowser) chống lại các người dùng bất hợp pháp vào trang web OWA.Block các kết nối Non-Encrypted đến Exchange Server, cho phépOutlook của người dùng kết nối an toàn đến Exchange Server
+ Rất nhiều các Wizard cho phép người quản trị Publish các Server nội
bộ ra Internet 1 cách an toàn hỗ trợ cả các sản phẩm mới nhưExchange 2003, Exchange 2007,
+ Cho phép ủy quyền quản trị cho các User/Group
+ Log và Report chi tiết cụ thể
+ Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)
Trang 142.3 Cách thức hoạt động của ISA Server
ISA Server được thiết kế để bảo vệ mạng và chống các xâm nhập từ bênngoài lẫn kiểm soát các truy cập từ bên trong mạng nội bộ của tổ chức ISAServer làm điều này thông qua cơ chế điều khiển những gì có thể được phép quaFirewall và những gì sẽ bị chặn lại Với cấu hình mặc định của mình ISA Serverngăn chặn tất cả các lưu thông vào, ra qua Firewall ISA Server là một công cụhữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức Vai tròcủa ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữamạng bên trong tổ chức và Internet Hầu hết các tổ chức cung cấp một vài mức
độ truy cập Internet cho người dùng của họ ISA Server có thể áp đặc các chínhsách bảo mật (“Security Polices”) để phân phát đến các “User” một số cách thứctruy cập Internet mà họ được phép Đồng thời, nhiều tổ chức cũng cung cấp chocác User ở xa (“Remote User”) một số cách thức truy cập đến các máy chủ trongmạng tổ chức Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nốiđến máy chủ Mail trong mạng của công ty để gửi E-Mail ra Internet ISA Serverđược sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được bảomật
2.4 So sánh ISA Server với các Firewall Server khác
Hiện nay, ngoài ISA Server còn có các Firewall Server khác như: IPTables,Checkpoint,… Các Firewall Server này thường có các tính năng chung như:
Trang 15+ Ngăn chặn được một số tấn công mạng
+ Cung cấp kỹ thuật NAT và có khả năng phân tích gói tin dựa vào địachỉ IP
+ Cung cấp những tùy chọn để ghi nhận các sự kiện hệ thống,…
Dung lượng gọn nhẹ nên đòi hỏi ít tài nguyên bộ nhớ
+ CheckPoint:
Có khả năng phân tích gói tin ở cả 7 tầng của mô hình OSI và kiểmsoát khá sâu với nội dung gói tin của tầng Application (ví dụ nhưkiểm soát gói tin HTTP)
Có nhiều tính năng hơn so với các Firewall Server khác nhưng nóđòi hỏi tài nguyên khá lớn & tương đối khó sử dụng Thông thườngCheckpoint được dùng trong các hệ thống lớn
+ ISA Server:
Là phần mềm của hãng Microsoft nên nó hỗ trợ nhiều hơn đối vớicác hệ điều hành Windows Server, chẳng hạn như việc xác thực
AD Users
Có đầy đủ tính năng của một Firewall Server, giao diện thân thiện
và có nhiều tài liệu giúp người dùng dễ sử dụng hơn
Trang 16 Với các tính năng trên, có thể nói rằng ISA Server là lựa chọn phùhợp nhất đối với hệ thống của các doanh nghiệp vừa và nhỏ
Chương 3: KHẢO SÁT CTY TNHH THÀNH TÂM & TIẾN HÀNH BẢO
MẬT VỚI ISA SERVER 2006
3.1 Tình hình thực tế của Công ty
Hiện tại Công ty TNHH Tin Học Thành Tâm (GĐ: Trần Thị Huệ) có một
hệ thống mạng gồm các máy tính cho các phòng Giám đốc, Kế toán, Nhân sự,Marketing và Kinh doanh Các máy tính này kết nối và chia sẻ dữ liệu với nhauthông qua 1 Switch nối vào Modem ADSL để sử dụng Internet
Mô hình của Công ty gồm 3 tầng:
Tầng 1:
+ Phòng kinh doanh, bán hàng: Là nơi giao dịch với khách hàng và cũng
là nơi trưng bày các trang thiết bị máy móc Phòng này hiện đang đượclắp đặt các máy tính dùng cho bộ phận kinh doanh Bộ phận này chịutrách nhiệm thực hiện các hoạt động bán hàng với khách hàng
+ Phòng kế toán: Chịu trách nhiệm ghi chép và hạch toán các nghiệp vụkinh tế, tài chính phát sinh trong quá trình sản xuất kinh doanh củaCông ty
Tầng 2: Gồm 2 phòng:
+ Phòng Marketing: Chịu trách nhiệm tiếp thị và giới thiệu sản phẩm Bộphận này có thể công tác tại các huyện, thị trên địa bàn Nghệ An theo
sự phân công, sắp xếp của cấp trên
+ Phòng kỹ thuật: Dành riêng để bảo trì sản phẩm cho khách hàng
Tầng 3: gồm 2 phòng:
+ Một phòng dành cho bộ phận nhân sự: Chịu trách nhiệm phỏng vấn,tuyển dụng và đào tạo nhân viên Đồng thời quản lý và quyết định “giagiảm” nhân lực và phân bổ công việc cho nhân viên trong Công ty + Một phòng dành riêng cho giám đốc Công ty
Trang 173.2 Mô hình mạng hiện tại của Công ty
Sơ đồ mạng tổng quát hiện tại:
Sơ đồ bố trí máy hiện tại
Trang 183.3 Yêu cầu hiện tại của Công ty
Đối với hê thống mạng bên trong:
+ Có một máy DC dùng để chia sẻ và quản lý tài nguyên
+ Có dịch vụ Web Server và mail Server
+ Có thể truy cập Internet thông qua Modem ADSL
+ Mở rộng mô hình để lắp đặt thêm các máy Client cho nhân viên cácphòng ban
+ Các nhân viên được phân quyền theo từng phòng ban và được truy cậpInternet vào khung giờ nhất định
Đối với hê thống mạng bên ngoài:
+ Ngăn chặn người ngoài Internet đăng nhập vào mạng công ty trái phép.+ Cho phép nhân viên có thể đăng nhập vào mạng của công ty khi làmviệc ở xa thông qua mạng Internet
Trang 193.4 Lựa chọn giải pháp và thiết kế mô hình
3.4.1 Lựa chọn giải pháp
Dựa vào yêu cầu hiện tại của Công ty ở trên ta có các giải pháp như sau:
Lựa chọn các hệ điều hành mạng như Linux, Window Server 2000, hay2003,… dành cho hệ thống máy chủ, vì các hệ điều hành này có thêmchức năng bảo mật và phân quyền truy cập chia sẻ tài nguyên hơnWindows XP và các hệ điều hành khác Ngoài ra chúng còn có nhiềudịch vụ tiện ích như AD, DHCP, DNS,… giúp cho việc quản lý hệthống mạng được tốt hơn Ngoài ra chúng ta cần lựa chọn các phầnmềm đảm bảo an ninh an toàn mạng như phần mềm tường lửa (ISA,Checkpoint, IPTables ), phần mềm phòng chống virus (Kaspersky,Norton, Avira,…) Trong bài báo cáo này, chúng ta chọn hệ điều hànhWindow Server 2003 và phần mềm tường lửa ISA Server 2006 để càiđặt cho máy Server
Công ty cần xây dựng 1 hệ thống mạng theo mô hình Domain để quản
lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng
Công ty chỉ có nhu cầu chia sẻ File Server, AD, dịch vụ DNS nên có thểxây dựng các dịch vụ trên chung vào máy chủ nội bộ để tiết kiệm chiphí
Triển khai VPN và kết hợp giao thức IPsec để tăng độ bảo mật
Publish các dịch vụ Mail Server và Web Server để các nhân viên có thểđăng nhập khi không ở công ty
Có chính sách Backup hợp lý đảm bảo an toàn dữ liệu ở mức cao (nếu
có điều kiện triển khai các ổ cứng theo kiểu RAID-5 hoặc MIRRO đểtăng tốc và dự phòng)
Thiết bị bảo vệ điện áp: Trong quá trình hoạt động thì vấn đề điện ápcũng là điều đáng nói đến, trong một công ty với hệ thống máy tính vàServer lớn thì vấn đề ổn định nguồn điện cho các thiết bị hoạt độngđúng công suất là điều cần phải có, để dự phòng cho các trường hợp xấu
Trang 20có thể đế như là: Mất điện đột ngột, hoặc hệ thống máy tính có sự cố,hoặc điện áp để dùng cho hệ thống máy cao và ổn định Trong trườnghợp này chúng ta có thể nâng cấp thêm một ổn áp điện, một máy phátđiện dự phòng
3.4.2 Thiết kế mô hình
3.5 Mục đích xây dựng hệ thống
+ Máy Server cung cấp các dịch vụ cơ bản như AD, DNS dùng để chia
sẻ dữ liệu dùng chung, phân chia quyền hạn và quyền truy cập cho cácnhóm người dùng Đáp ứng nhu cầu làm việc của các nhân viên trong
Trang 21công ty Mỗi nhân viên có quyền khác nhau khi sử dụng tài nguyêncũng như truy cập Internet Có dịch vụ Web Server và Mail Servernhằm đáp ứng yêu cầu về việc trao đổi thông tin trong nội bộ
+ Có hệ thống tường lửa dùng để thiết lập các điều kiện bảo mật và bảo
vệ mạng an toàn bởi các tác nhân bên ngoài
+ Có thể truy cập Internet thông qua một thiết bị Modem duy nhất từ nhàcung cấp dịch vụ
+ Nhân viên của công ty, người quản trị mạng hoặc khách hàng ở xa cóthể truy cập Internet vào mạng riêng ảo của doanh nghiệp nhờ dịch vụVPN, Publish Web Server, Publish Mail Server
3.6 Tiến hành bảo mật với ISA Server 2006
3.6.1 Các kiến thức cần nắm
Cần hiểu rõ về Windows Server 2003 và các dịch vụ mạng:
Dịch vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng):
Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mậtkhẩu tương ứng và các tài khoản máy tính
Cung cấp 1 Server đóng vai trò chứng thực hoặc Server quản lý đăngnhập, Server này còn gọi là Domain Controller (máy điều khiển vùng)
Cho phép chúng ta tạo ra những tài khoản người dùng với những mức
độ quyền (Rights) khác nhau như: toàn quyền trên hệ thống mạng , chỉ
có quyền Backup dữ liệu hay Shutdown Server từ xa,…
Cho phép chúng ta chia nhỏ miền của mình ra thanh các miền con(Sub Domain) hay các đơn vị tổ chức OU Sau đó chúng ta có thể ủyquyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ
Trang 22 Dịch vụ DNS: Là hệ thống phân giải tên miền, một hệ cơ sở dữ liệu
phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ IP
Dịch vụ VPN: là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp
ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí
Dịch vụ Mail Server:
Dịch vụ mail server cho phép người dùng gởi nhận thư điện tử vớinhau thông qua địa chỉ mail Trong cùng một công ty, từ công ty ra internethoặc từ bên ngoài internet vào công ty
Mail server chứa mailbox của người dùng, nhận mail từ mail clientgửi đến và đưa vào hàng đợi để gởi đến mail host Mail sever nhận mail từmail host gửi đến và đưa vào mailbox của người dùng Người dùng sử dùngNFS để gắn kết thư mục chứa mailbox trên mail server để đọc mail NếuNFS không được hỗ trợ thì người dùng phải login vào Mail server để nhậnthư Trong trường hợp mail client hỗ trợ POP/ IMAP và trên Mail servercũng hỗ trợ POP/ IMAP thì người dùng có thể đọc thư bằng POP/ IMAP.Hiện nay có 2 loại mail phổ biến là MADEMON và EXCHANGE.Trong bài báo cáo này chúng ta sẽ sử dụng EXCHANGE 2003
Dịch vụ Web Server:
Máy chủ Web Server nhằm tạo và quản lý trang Web nội bộ và thực
hiện Publish Web Server để thuận tiện cho các nhân viên làm việc ở xa Dịch vụ Web Server cho phép chúng ta quảng bá trang web lên internetphục vụ cho quảng cáo, mua bán ,… ( Có hai cách triển khai là dùng IIS tíchhợp sẵn trong Win server 2003 hoặc sữ dụng phần mềm ngoài như làApache, v.v…)
3.6.2 Cấu hình và triển khai hệ thống mạng
Cấu hình máy chủ File Server (AD, DNS, Web Server, Mail Server) + Cài đặt hệ điều hành Windows Server 2003
Trang 23+ Cấu hình địa chỉ IP cho máy như sau:
Default GatewayPreferred DNS Server 10.0.0.2Alternate DNS Server
+ Nâng cấp máy chủ này lên DC với Domain là tinhdhv.com và chọn
cài tự động dịch vụ DNS nhằm phân giải tên miền thành địa chỉ IP và
ngược lại Để kiểm tra ta vào run gõ lệnh nslookup
+ Trên máy DC ta tiến hành cài đặt Web Server và Mail Server(Exchange Server 2003) để có thể test Publish Web và Publish Mail rangoài External
+ Cài đặt phần mềm Firewall Client
Cấu hình cho máy Client
+ Cài hệ điều hành Windows XP
+ Cấu hình địa chỉ IP với thông số như sau:
Subnet Mask 255.0.0.0Default Gateway
Preferred DNS Server 10.0.0.2+ Cài đặt phần mềm Firewall Client
Cài đặt máy ISA Server 2006
+ Yêu cầu máy phải có 2 card mạng, một card mạng dùng để nối vớimạng trong và một card mạng để nối với Internet (Modem)
+ Card mạng Internal đặt địa chỉ như sau :
Trang 24Subnet mask 255.0.0.0Default gateway
Preferred DNS Server 10.0.0.2Alternate DNS Server
+ Card mạng External đặt địa chỉ IP như sau:
Subnet mask 255.255.255.0Default gateway 192.168.1.1Preferred DNS Server 8.8.8.8+ Tại máy ISA ta Logon vào User Administrator của Domain và chạychương trình Setup ISA Server lên chọn Intall ISA Server 2006Standard để bắt đầu cài đặt
+ Cài đặt xong kiểm tra bằng cách vào máy Client để ping vào máy ISA
và ra ngoài Internet thì không thể ping được
+ Truy cập máy ISA cũng không được
Trang 25+ Tuy nhiên với máy ISA thì ping rất tốt
+ Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vàocủa mạng chúng ta (10.0.0.0/8)
3.6.3 Thiết lập các Access Rule để bảo mật ISA 2006
Tạo Access Rule cho Internal và Local Host thông nhau
Sau khi đã cài đặt xong ISA ta tiến hành tạo Access Rule cho Internal vàmáy ISA ra Internet:
+ Vào Start → Programs → Microsoft ISA Server → ISA ServerManagement
+ Màn hình chính của chương trình ISA Server
Trang 26+ Nhấp phải vào Firewall Policy chọn New → Access Rule Đặt tên choRule này ví dụ là Allow Internet, click Next
+ Trong Rule Action chọn Allow, click Next
+ Trong Protocol chúng ta chọn All outbound traffic và nhấp Next
Trang 27+ Tại Access Rule Sources nhấp Add Chọn Internal và Local Host trongthư mục Networks Màn hình sau khi hoàn tất, click Next
+ Tại Access Rule Destinations Add External và Local Host vào, clickNext Tới User Sets Nhấp Next
Trang 28 Tạo Access Rule cấp quyền cho một nhóm các Users
+ Tạo tài khoản k1, k2 thuộc nhóm kinhte để thực hiện test
+ Tạo một Access Rule với tên là Internal vs Local Host để các máytrong Internal Network có thể truy cập được Local Host và ngược lại
+ Tạo tiếp một Access Rule sao cho các máy trong Internal Network cóquyền truy vấn đến các DNS Server bên ngoài để phân giải tên miền
Trang 29chẳng hạn như google.com.vn và đặt tên Rule này là DNS Query (têntùy ý) Cấu hình Protocols, Sources và Destinations như hình dưới
+ Tạo Access Rule sao cho các User trong Group kinhte được phép truy
cập Internet nhưng sẽ bị giới hạn về thời gian và chỉ được phép truycập một số trang Web nào đó mà thôi
Đầu tiên chúng ta tạo đối tượng trong URL Set để đưa danh sáchcác trang Web cho phép thành viên của Group truy cập Click vàoToolbox chọn Network Objects chọn New → URL Set
Trong cửa sổ New URL Set Rule Element đặt tên cho URL set này ví
dụ là Allow Web
Trang 30Tiếp tục bên dưới chúng ta Add các trang Web cho phép người dùngtruy cập vào theo cú pháp:
http://*.<domain name>/*
http://<domain name>/*
Dưới đây là ví dụ chỉ cho phép User có quyền truy cập 2 trang Web
nhatnghe.com và vietchuyen.org
Tiếp theo chúng ta phải tạo một Group mới bằng cách Click vào Toolbox
chọn Users → New Trong cửa sổ New User Set Wizard ta đặt tên là Group kt
và nhấn Next
Tại cửa sổ tiếp theo chúng ta chọn Add → Windows Users and Groups…
Ta được cửa sổ mới như sau:
Trong cửa sổ Select Users or Groups chọn Locations… Tại đây ta chọnEntire Directory → tinhdhv.com
Tiếp tục Advanced… để chọn Group kinhte vào rồi chọn OK → Next →
Chọn Finish để kết thúc
Trang 31Sau khi đã hoàn thành chúng ta bắt đầu tạo Rule Web Group kinhte và thựchiện tạo Rule được Rule như sau:
Như vậy với Rule Web Group kinhte này ta có thể hiểu như sau: Đồng ýcho các giao thức HTTP, HTTPS (các Port 80,443) theo một chiều từ Internal
và Local Host sang danh sách Allow Web, quyền này được gán lên mọi User cótrong Group Kinh Doanh của mạng Internal
Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cáchDouble click lên Rule Web Group kinhte và chọn Tab Schedule
