Đồ án Triển khai hệ thống mạng

Tài liệu Đồ án Triển khai hệ thống mạng: ĐỒ ÁN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG MẠNG Giáo viên hướng dẫn : Ths Đinh Tiên Minh Sinh viên thực hiện : Hồ Thị Thanh Thủy ĐỒ ÁN CÓ 5 PHẦN CHÍNH PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP PHẦN III : TRIỂN KHAI HỆ THỐNG MẠNG PHẦN IV : HƯỚNG PHÁT TRIỂN PHẦN V : CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ PHẦN VI: PHỤ LỤC PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ 1.TÌNH HÌNH THỰC TẾ CỦA CÔNG TY - Hiện tại Công Ty Đa Biên có 1 hê thống mạng gồm 5 máy tính, trong đó có 1 server & 4 máy client cho 3 bộ phận kế toán , kinh doanh , nhân sự . Có 1 switch nối vào route ADSL để sử dụng internet. Mô hình mạng tổng quát hiện tại của Công ty như sau : SƠ ĐỒ MẠNG TỔNG QUÁT SƠ ĐỒ BỐ TRÍ MÁY HIỆN TẠI 2.YÊU CẦU CỦA CÔNG TY + Đối với hê thống mạng bên trong : - Nhóm user ở bộ phận kế toán cho sử dụng phần mềm Kế toán - Nhóm user ở bộ phận nhân sự cho sử dụng mail và cho sử dụng internet , không được sử dụng chương trình của user của user nhóm kế toán - Nhóm u...

doc26 trang | Chia sẻ: haohao | Lượt xem: 1637 | Lượt tải: 1download
Bạn đang xem trước 20 trang mẫu tài liệu Đồ án Triển khai hệ thống mạng, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
ĐỒ ÁN TỐT NGHIỆP TRIỂN KHAI HỆ THỐNG MẠNG Giáo viên hướng dẫn : Ths Đinh Tiên Minh Sinh viên thực hiện : Hồ Thị Thanh Thủy ĐỒ ÁN CÓ 5 PHẦN CHÍNH PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP PHẦN III : TRIỂN KHAI HỆ THỐNG MẠNG PHẦN IV : HƯỚNG PHÁT TRIỂN PHẦN V : CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ PHẦN VI: PHỤ LỤC PHẦN I : KHẢO SÁT TÌNH HÌNH THỰC TẾ 1.TÌNH HÌNH THỰC TẾ CỦA CÔNG TY - Hiện tại Công Ty Đa Biên có 1 hê thống mạng gồm 5 máy tính, trong đó có 1 server & 4 máy client cho 3 bộ phận kế toán , kinh doanh , nhân sự . Có 1 switch nối vào route ADSL để sử dụng internet. Mô hình mạng tổng quát hiện tại của Công ty như sau : SƠ ĐỒ MẠNG TỔNG QUÁT SƠ ĐỒ BỐ TRÍ MÁY HIỆN TẠI 2.YÊU CẦU CỦA CÔNG TY + Đối với hê thống mạng bên trong : - Nhóm user ở bộ phận kế toán cho sử dụng phần mềm Kế toán - Nhóm user ở bộ phận nhân sự cho sử dụng mail và cho sử dụng internet , không được sử dụng chương trình của user của user nhóm kế toán - Nhóm user ở bộ phận kinh doanh cho sử dụng các phân mềm kinh doanh , không được sử dụng chương trình của user nhóm kế toán. - Các user được phân quyền phù hợp với công việc của mình. - Có file server chia sẽ dữ liệu . - Có web server public ra internet . - Cho server có khả năng giám sát . - Tạo điều kiện thuận lợi cho nhân viên có thể làm việc mà không cần trực tiếp vào công ty ( remote access). - Giám sát truy cập . + Đối với hê thống mạng bên ngoài : - Giám sát người ngoài internet đăng nhập trái phép , nếu có sẽ xuất hiện thông báo ở server . - Cho user trong công ty sử dụng chức năng remote access khi ở ngoài công ty đăng nhập thuận tiện cho công việc khi ở xa thông qua mạng Internet . PHẦN II : PHÂN TÍCH VÀ GIẢI PHÁP 1.SƠ ĐỒ A.SƠ ĐỒ MẠNG TỔNG QUÁT B.SƠ ĐỒ ĐI DÂY MẠNG - Sơ Đồ Mạng Tầng Trệt(3 PC,1 Router , 1 Switch) - Tầng 1,2 Không có PC - Sơ Đồ Mạng Tầng 3(4 PC Kế Toán) Sơ Đồ Mạng Tầng 4(3 Server) 2.GIẢI PHÁP Do nhu cầu của công ty như vậy, nên chúng em có giải pháp như sau: -Công ty cần xây dựng 1 hệ thống mạng theo mô hình domain để quản lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng . -Hiện nay, công ty chỉ có nhu cầu chia sẽ FILE Server, MAIL Server, WEB Server, DNS Server , DHCP Server . Công ty có thể xây dựng các dich vụ trên chung vào máy chủ nội bộ để tiết kiệm chi phí. -Triển khai CA Server , IPSEC để tăng độ bảo mật(Mail , Web) nếu có nhu cầu . -Cài các tools như là GFI.LANguard.Network.Security.Scanner, Network monitor v.v… Hỗ trợ việc giám sát và theo dõi nâng cao độ an toàn cho hệ thống mạng . -Triển khai vpn (cài radious server nếu cần chứng thực và quản lý trong giao tiếp VPN) và kết hợp vpn ipsec hoặc SSL (nếu có nhu cầu bảo mật cao hơn ). -Cài gói adminpak trên máy client giúp IT có thể quản lý hệ thống linh động . -Có chính sách Backup hợp lý đảm bảo an toàn dữ liệu ở mức cao ( Nếu có điều kiện triễn khai các ổ cứng theo kiểu RAID-5 hoặc MIRRO tăng tốc và dự phòng ) 3. CÁC KIẾN THỨC CƠ BẢN CẦN NẮM TRƯỚC KHI TRIỂN KHAI ( Tham khảo Chi Tiết Trong Phụ Lục ) A.CẦN HIỂU RÕ WINDOW SERVER 2003 B. HIỂU BIẾT Ý NGHĨA VÀ CẤU HÌNH CÁC DỊCH VỤ MẠNG : Dich vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng) Dịch Vụ DHCP (Dynamic Host Configuration Protocol) - Đây là dịch vụ cho phép tự động gán IP cho các máy tính trong hệ thống Dịch vụ DNS ( Domain Name SyStem) - Làm nhiệm vụ phân giải địa chỉ IP thành tên miền dạng DNS và ngược lại. Dịch vụ Remote Access - Cho phép các nhân viên đặc biệt có thể làm việc từ xa và phục vụ kết nối cho hội sở chi nhánh . Web Server - Phục vụ nhu cầu về Web cho công ty . MAIL Server - Phục vụ nhu cầu về Mail cho công ty . ISA Server - Bảo vệ , ngăn ngừa các nguy cơ cho hệ thống và điều chỉnh lưu lượng mạng . 4.CẤU HÌNH VÀ DỰ TOÁN THIẾT BỊ ( Tham Khảo Chi Tiết Trong Phụ Lục ) - Hiện Tại công ty đã có sẵn 4 PC làm client và 1 server làm File server - Do nhu cầu mỡ rộng công ty mua thêm 1 Server làm Web , Mail . Ngoài ra công ty còn mua thêm 3 PC tăng cường cho phòng kế toán và 1 PC có cấu hình ổn định để xây đựng Fire Wall . PHẦN III : TRIỂN KHAI HỆ THỐNG MẠNG 1.SƠ ĐỒ TRIỄN KHAI THỰC TẾ ( Tôi nhắc lại sơ đồ để làm rõ thêm về phần triển khai này) - Chức năng của các thiết bị : SERVER 1 : Làm DC , DHCP , File Server và Mail server nội bộ SERVER 2 : Làm Web Server SERVER 3 : Làm Fire Wall bảo vệ vùng mạng INTERNAL SWITCH 1 , 2 : Làm nhiệm vụ kết nối . Các PC : Nhansu1 , Kinhdoanh 1,2 , Ketoan1,2,3,4 Là các Client của công ty. Router ADSL VSIC : Kết nối INTERNET và NAT Web Server , Mail Server ra INTERNET . Ngoài ra còn là FireWall ngoài bảo vệ hệ thống mạng và vùng DMZ. - Với cách triển khai như trên mô hình , công ty sẽ có một hệ thống mạng với các chức năng như sau : Có Mail server phục vụ cho việc giao tiếp mail nội bộ , trong công ty ra internet và từ ngoài vào công ty.có độ tin cậy cao. Có Web Server phục vụ nhu cầu quản cáo Sản Phẩm , Mua Bán và Thương Hiệu .Với khả năng bảo mật và hạn chế Hacker cao . Có một hệ thống dữ liệu dùng chung có tính bảo mật cao,phân quyền truy cập và đáng tin cậy. Có sự phân chia quyền hạn giữa các nhân viên , đáp ứng nhu cầu làm việc giữa các nhân viên trong công ty . Có một hệ thống mạng hỗ trợ cho các nhân viên làm việc từ xa thông qua mạng internet . - BƯỚC CẤU HÌNH : (Thao khảo chi tiết trong phần phụ lục) SERVER 1 (DC,MAIL,FILE SERVER) IP : 192.168.1.1 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows Server 2003 sau đó nâng lên DC với Domain là DABIEN.ORG và cài tự động dịch vụ DNS . - Cài dịch vụ DHCP cấp ip tự động cho các máy Client - Tạo 3 group: Ketoan Kinhdoanh nhansu -Tạo 3 OU KETOAN , KINHDOANH Và NHANSU Ketoan Kinhdoanh Nhansu - Move 3 group Ketoan , Kinhdoanh , Nhansu vào 3 OU tương ứng. - Tạo tài khoản cho các nhân viên KETOAN user: ketoan1 , password: kt1 user: ketoan2 , password: kt2 user: ketoan3 , password: kt3 user: ketoan4 , password: kt4 KINHDOANH user: kinhdoanh1 , password: kd1 user: kinhdoanh2 , password: kd2 NHANSU user: nhansu1 , password:ns1 - Add các tài khoản vừa tạo vào 3 group tương ứng . - Cài các nhóm phần mềm để chia sẽ cho các Client trông ty tương ứng Các Client kế toán dùng phần mềm kế toán Các Client kinh doanh thì được dùng phần mềm kinh doanh Các Client nhân sự thì được dùng các phần mềm nhân sự - Phân quyền nhóm user ở bộ phận kế toán cho sử dụng phần mềm kế toán . - Phân quyền nhóm user ở bộ phận kinh doanh cho sử dụng phần mềm kinh doanh , không được sử dụng chương trình của user của user nhóm kế toán - Phân quyền nhóm user ở bộ phận nhân sự sử dụng các ứng dụng hổ trợ cho nhân sự , không được sử dụng chương trình của user kế toán. - Các user được phân quyền phù hợp với công việc của mình .Tạo Folder chứa dữ liệu của 3 group KETOAN, KINHDOANH , NHANSU và Phân Quyền hợp lý cho 3 group đó . Cấu hình Backup theo lịch cho dữ liệu 3 group KETOAN , KINHDOANH, NHANSU nhầm đảm bảo an toàn và khắc phục dữ liệu nhanh chóng . - Tạo Script map ổ đĩa tương ứng cho từng nhóm user . - Cài mail server MDEAMON 9.5 và tạo các tài khoản mail tương ứng với các user KETOAN user: ketoan1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan3 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan4 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] KINHDOANH user: kinhdoanh1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: kinhdoanh2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] NHANSU user: nhansu1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] -Cấu hình cây DNS Tạo Reverse Lookup Zone Tạo host MAIL.DABIEN.ORG Tạo Record MX Kiểm tra hoạt động của DNS Server SERVER 2 (WEB SERVER) IP : 20.0.0.1 Sub : 255.0.0.0 DG : 20.0.0.254 DNS : 20.0.0.1 - Cài Windows Server 2003 và cài dịch vụ Web Server - Cấu hình cho trang Web của công ty . - Do công ty xài dịch vụ ADSL không có IP Public . Nếu muốn public trang web công ty ra Internet chúng ta có thể sử dụng dịch vụ Dynamic DNS ([Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ]). Client Ketoan IP : 192.168.1.11 -> 192.168.1.15 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional . - Join vào domain DABIEN.ORG Client Kinh Doanh IP : 192.168.1.21 -> 192.168.1.23 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional - Join vào domain DABIEN.ORG Client nhansu IP : 192.168.1.31 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP professional - Join vào domain DABIEN.ORG SERVER 3 (ISA SERVER) + Card INTERNAL IP : 192.168.1.254 Sub : 255.255.255.0 DG : trống DNS : trống + Card EXTERNAL IP : 20.0.0.254 Sub : 255.0.0.0 DG : 20.0.0.255 DNS : trống - Cài Windows Server 2003 - Join vào DABIEN.ORG - Cài ISA Server 2003 - Cấu Hình Các rule sau : Tạo rule truy vấn DNS để phân giải tên miền Tạo Rule hợp lý cho các nhân viên theo yêu cầu công ty Tạo vùng DMZ và cấu hình giao dịch giữa mạng trong và DMZ theo cơ chế Rout Tạo network rule cho phép mạng trong truy cập Web Server trong vùng DMZ theo cơ chế Route Tạo rule cho phép mạng trong giao dịch Web Server trong vùng DMZ Router ADSL Vsic + Card LAN 1 IP : 20.0.0.255 Sub : 255.0.0.0 DG : trống DNS : trống + Card LAN 2 IP : 20.0.0.253 Sub : 255.0.0.0 DG : trống DNS : trống + Card WAN ( Do ISP quản lý nên có ip động ) - Cấu hình kết nối với ISP . - Cấu hình DHCP cấp IP cho ISA Server - Nat Web Server ra internet sử dụng dịch vụ Dynamic DNS . - Tạo kế nối VPN cho nhân viên có thể làm việc từ xa sử dụng dịch vụ Dynamic DNS . 2.SƠ ĐỒ DEMO ( Đây là sơ đồ rút gọn giúp chúng ta báo báo trước hội đồng ) - Do thiếu điều kiện triển khai thực tế , nên nhóm chúng ta sẽ triển khai mô hình rút gọn sử dụng phần mềm “VM-WARE WorkStation” để chạy thử với mô hình như sau : • Sơ đồ phân tích : - Chức năng của các thiết bị : Máy ảo 1 : Làm DC , DHCP , File Server và Mail server nội bộ Máy ảo 2 : Kiểm tra hoạt động cho mạng trong vùng INTERNAL Máy ảo 3 : Làm Web Server Máy ảo 4: Làm Fire Wall bảo vệ vùng mạng INTERNAL , Tạo DMZ Máy ảo 5: Giả lập router và định tuyến cho 2 vùng mạng EXTERNAL của ISA và vùng mạng bên ngoài hệ thống . Máy ảo 6 : Kiểm tra trang Web trong vùng DMZ và kiểm tra kết nối VPN tới mạng trong . - Với cách triển khai như trên mô hình DEMO sẽ có một hệ thống mạng với các chức năng như sau : Có Mail server phục vụ cho việc giao tiếp mail nội bộ Có Web Server Có một hệ thống dữ liệu dùng chung có tính bảo mật cao,phân quyền truy cập và đáng tin cậy. Có sự phân chia quyền hạn giữa các nhân viên , đáp ứng nhu cầu làm việc giữa các nhân viên trong công ty . Có một kết nối từ mạng ngoài vào vùng mạng INTERNAL . - BƯỚC CẤU HÌNH : 1. Máy ảo 1: (DC,MAIL,FILE SERVER) IP : 192.168.1.1 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows Server 2003 sau đó nâng lên DC với Domain là DABIEN.ORG và cài tự động dịch vụ DNS . - Cài dịch vụ DHCP cấp ip tự động cho các máy Client - Tạo 3 group: Ketoan Kinhdoanh nhansu -Tạo 3 OU KETOAN, KINHDOANH Và NHANSU Ketoan Kinhdoanh Nhansu - Move 3 group Ketoan, Kinhdoanh, Nhansu vào 3 OU tương ứng. - Tạo tài khoản cho các nhân viên KETOAN user: ketoan1 , password: kt1 user: ketoan2 , password: kt2 user: ketoan3 , password: kt3 user: ketoan4 , password: kt4 KINHDOANH user: kinhdoanh1 , password: kd1 user: kinhdoanh2 , password: kd2 NHANSU user: nhansu1 , password:ns1 - Add các tài khoản vừa tạo vào 3 group tương ứng . - Cài các nhóm phần mềm để chia sẽ cho các Client trông ty tương ứng Các Client kế toán dùng phần mềm kế toán Các Client kinh doanh thì được dùng phần mềm kinh doanh Các Client nhân sự thì được dùng các phần mềm nhân sự - Phân quyền nhóm user ở bộ phận kế toán cho sử dụng phần mềm kế toán . - Phân quyền nhóm user ở bộ phận kinh doanh cho sử dụng phần mềm kinh doanh , không được sử dụng chương trình của user của user nhóm kế toán - Phân quyền nhóm user ở bộ phận nhân sự sử dụng các ứng dụng hổ trợ cho nhân sự , không được sử dụng chương trình của user kế toán. - Các user được phân quyền phù hợp với công việc của mình .Tạo Folder chứa dữ liệu của 3 group KETOAN,KINHDOANH,NHANSU và Phân Quyền hợp lý cho 3 group đó . Cấu hình Backup theo lịch cho dữ liệu 3 group KETOAN,KINHDOANH, NHANSU nhầm đảm bảo an toàn và khắc phục dữ liệu nhanh chóng . - Tạo Script map ổ đĩa tương ứng cho từng nhóm user . - Cài mail server MDEAMON 9.5 và tạo các tài khoản mail tương ứng với các user KETOAN user: ketoan1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan3 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: ketoan4 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] KINHDOANH user: kinhdoanh1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] user: kinhdoanh2 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] NHANSU user: nhansu1 , Mail address : [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] -Cấu hình cây DNS Tạo Reverse Lookup Zone Tạo host MAIL.DABIEN.ORG Tạo Record MX Kiểm tra hoạt động của DNS Server 2.Máy ảo 2: IP : 192.168.1.2 Sub : 255.255.255.0 DG : 192.168.1.254 DNS : 192.168.1.1 - Cài Windows XP Professional service pack 2 . - Join vào domain dabien.org . - Vai trò là 1 client trong mạng internal của ISA . 3. Máy ảo 3 : (WEB SERVER) IP : 20.0.0.1 Sub : 255.0.0.0 DG : 20.0.0.254 DNS : 20.0.0.1 - Cài Windows Server 2003 , dịch vụ DNS Server và dịch vụ IIS - Tạo Primary Zones dabien.com.vn - Tạo Reverse Look Zones - Tạo host [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] - Cấu hình cho trang Web của công ty . 4. Máy ảo 4 : (ISA SERVER 2004) + Card INTERNAL IP : 192.168.1.254 Sub : 255.255.255.0 DG : trống DNS : trống + Card DMZ IP : 20.0.0.254 Sub : 255.0.0.0 DG : trống DNS : trống + Card EXTERNAL IP : 10.0.0.254 Sub : 255.0.0.0 DG : 10.0.0.253 DNS : trống - Cài Windows Server 2003 - Join vào DABIEN.ORG - Cài ISA Server 2003 - Cấu Hình Các rule sau : Tạo rule truy vấn DNS để phân giải tên miền Tạo Rule hợp lý cho các nhân viên theo yêu cầu công ty Tạo vùng DMZ và cấu hình giao dịch giữa mạng trong và DMZ theo cơ chế Rout Tạo network rule cho phép mạng trong truy cập Web Server trong vùng DMZ theo cơ chế Route Tạo rule cho phép mạng trong giao dịch Web Server trong vùng DMZ 5. Máy ảo 5 : Giả Lập Router + Card LAN IP : 10.0.0.253 Sub : 255.0.0.0 DG : trống DNS : trống + Card WAN IP : 203.162.1.1 Sub : 255.255.255.0 DG : trống DNS : trống - Cài đặt dịch vụ Windows Server 2003 và DNS Server. - Tạo Primary Zones ISP.com.vn - Tạo Reverse Look Zones - Tạo host [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] - Nat Web Server ra internet . - Tạo kế nối VPN cho nhân viên có thể làm việc từ xa . 6. Máy ảo 6: IP : 203.162.1.2 Sub : 255.255.255.0 DG : 203.162.1.1 DNS : 203.162.1.1 - Cài Windows XP Professional service pack 2 . - Vai trò là 1 client ngoài internet. PHẦN IV: HƯỚNG PHÁT TRIỂN 1.CÔNG TY PHÁT TRIỂN THÊM HỘI SỞ CHI NHÁNH - Sơ đồ mạng của công ty có thể phát triển cho chi nhánh theo công nghệ VPN Site to Site . 2.CÔNG TY CÓ NHU CẦU CẢI TIẾN BĂNG THÔNG CHO MẠNG - Với nhu cầu kết nối Internet hiện nay, nếu trong hệ thống mạng của chúng ta chỉ có 1 đường truyền ADSL thì tốc độ truy cập internet có thể bị chậm do đường truyền bị quá tải, hoặc tại 1 thời điểm không thể truy cập internet vì đường truyền đang bị mất tin hiệu. - Nếu như công ty đăng ký thêm một line ADSL với nhu cầu tăng băng thông cho hệ thống mạng . công ty có thể triển khai LOAD BALANCING VÀ FAILOVER cho nhiều line bằng dịch vụ KERIO WINROUTE FIREWALL - Để giải quyết được các vấn đề nêu trên, trong 1 hệ thống mạng lớn ta cần có nhiều đường truyền ADSL để cân bằng tải (Loadbalancing) và hỗ trợ khả năng chịu lỗi (Failover) cho các kết nối Internet - Để cấu hình Loadbalancing và Failover cho nhiều đường truyền Internet ta có rất nhiều giải pháp như: DrayTek Vigor, Pfsense, MS ISA Server, Kerio WinRoute Firewall… - Trong đồ án này chúng em sẽ giới thiệu với các bạn cách cấu hình Loadbalancing và Failover cho nhiều đường truyền Internet trên Kerio WinRoute Firewall 6.5 + Ưu điểm của Kerio Winroute Firewall 6.5: • Giá license không cao, tham khảo [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] • Đơn giản cài đặt và cấu hình • Hỗ trợ đầy đủ các tính năng bảo mật: AntiVirus, Traffic Policy, Content Filtering… Tham khảo tại [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] 3.CÔNG TY CẦN CÓ MỘT HỆ THỐNG MẠNG BẢO MẬT CAO HƠN - Đây là mô hình xây dựng trên nền tản ISA Server 2004 theo công nghệ Back to Back . . Ưu Điểm : - Khả năng bảo mật cao . - Gây khó khăn cho Hacker từ bên ngoài tấn công vào . . Nhược điểm : - Chi phí rất cao . - Đòi hỏi người quản trị có kiến thức sâu về ISA . PHẦN V: CÁC GIẢI PHÁP DỰ PHÒNG VÀ KHẮC PHỤC SỰ CỐ 1. ĐỀ PHÒNG XÂM NHẬP VÀ VỮNG CHẮC HÓA HỆ THỐNG MẠNG Ø Bỏ chế độ share ẩn mạc định của các ổ đĩa trên máy server Ø Nếu có điều kiện thì nên cách ly vật lý cho các Server (Tốt nhất là có phòng cách ly cho Server hoặc có tủ cho Server) Ø Disable service không cần thiết (Cải thiện tốc độ mạng và an toàn về vấn đề bảo mật) Ø Update các Hotfix,Service Pack (Đảm bảo cho hệ thống mạng an toàn thoát khỏi các cuộc tấn công của các hacker) Ø Rename admin account , đặt pass có độ phức tạp cao Ø Không ngồi tại máy server truy cập Internet (Có thể sử dụng Dịch vụ Remote Access để kiểm soát Server hoặc có chế độ update cho server hợp lý) Ø Dùng tài khoản thường để lock màn hình server khi không làm việc Ø Cài đặt WSUS Server (Windows server update service server) Ø Triển khai Audit policy cho hệ thống (Nhằm giám sát lưu lượng mạng và đề phòng xâm nhập) Ø Cài các tools như là GFI.LANguard.Network.Security.Scanne test hệ thống nhằm vững chắc hệ thống mạng Ø Dùng Certificate mã hóa dữ liệu trên đường truyền ( hệ thống Domain ) Ø Triển khai Certificate cho Web mã hóa SSl ( Secure socket layer): ( Nhằm đảm bảo an toàn trong giao dịch Web ) Ø Triển khai CA cho Mail ( Nhằm gia tăng tính xác thực cho các tài khoản mail ) Ø Phổ biến kiến thức cơ bản về bảo mật và virut cho các nhân viên nhằm cải thiện và hiệu quả hơn trong việc đảm bảo an toàn dữ liệu cho người dùng mạng . 2. MỘT SỐ GIẢI PHÁP THÔNG DỤNG CẦN CÓ CHO HỆ THỐNG MẠNG Bạn không thể biết trước được khi nào hệ thống mạng gặp sự cố . Vì sự cố có thể đến tự nhiên , cố ý hoặc vô tình của người sử dụng , virus , hư hỏng phần cứng , mất điện .v.v… Một khi sự cố xãy ra thì sẽ rất là mất thời gian nếu chúng ta không có sự chuẩn bị từ trước . Vì vậy , bạn cần phải có những giải pháp hợp lý để có thể khắc phục sự cố một cách nhanh chóng , đem lại sự tin cậy cho hệ thống mạng . Chính vì vậy nhóm chúng em xin đưa ra một số giải pháp phù hợp với tình hình của công ty để đảm bảo an toàn cho hệ thống mạng cho công ty như sau : Ø A.GIẢI PHÁP PHẦN CỨNG - Do tình hình thường xuyên xãy ra mất điện có thể làm hư hỏng server nên chúng ta cần phải có thiết bị lưu trữ tạm thời như USP . Ø B.GIẢI PHÁP BACKUP DỮ LIỆU - Chúng ta đã biết dữ liệu của một công ty là rất quan trọng . Không thể nào nói dữ liệu sẽ mất hết khi có sự cố xãy ra . Chính vì vậy người quản trị mạng phải có nhiệm vụ dự phòng một cách an toàn , tránh mất mát dữ liệu cho công ty. - Có rất nhều biện pháp khắc phục sự cố cho hệ thống mạng như : NTBACKUP(Được tích hợp trong Win) , Veritas , Arcserve, Novanet, Retrospect, ... ∙ Trong phần này nhóm cúng em xin đề cập tới NTBACKUP do nó đã được tích hợp sẵn trên Win . (Chi tiết cấu hình xem mục lục trang) Ø C. Tạo danh sách dự phòng cho các tài khoản , nhằm cải thiện việc tạo tài khoản bằng tay rất mất nhiều thời gian : - Trường hợp hệ thống bị hư hoàn toàn phải làm lại từ đầu . Tài khoản công ty có rất nhiều nếu như chúng ta tạo lại bằng tay rất mất thời gian . Vì thế ta phải có sự chuẩn bị từ đầu , trong phần này nhóm chúng em xin đưa ra một Script có thể tự động add user từ một danh sách đã chuẩn bị từ trước . Chi tiết xem mục lục trang Ø D.Giải pháp sử dụng cấu hình ổ cứng theo các chuẩn như Micro , Raid – 5 - Nếu công ty có điều kiện về tài chính giải pháp về Micro , Raid – 5 là không thể không đề cập tới . Đây là kiểu ổ cứng kết hợp Backup và tăng tốc xử lý cho server . Điều này giúp cho công việc nhanh và an toàn hơn . Ø E.Giải pháp Cài Window Qua Mạng - Nếu hệ thống mạng bị phá hủy hoàn toàn thì việc cài Win cho các client là một công việc khó khăn , tốn rất nhiều thời gian . - Do công ty có một hệ thống máy client hỗ trợ card mạng Boot Room , nên chúng ta có thể cài Window cho client theo công nghệ RIS ( Remote Intance Service ) - Xem chi tiết các bước cấu hình tại [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] PHẦN VI: PHỤ LỤC 1. KHẢO SÁT THỊ TRƯỜNG: 2. HƯỚNG DẪN SỬ DỤNG PHẦN MỀM VM-WARE WORKSTATION (Do điều kiện thiết bị hạn chế nên chúng em sử dụng phần mềm VM-WARE để triển khai mô hình mạng ảo cho đồ án tốt nghiệp) B.CÀI ĐẶT : C.HƯỚNG DẪN SỬ DỤNG 3. WINDOWS SERVER 2003 A.GIỚI THIỆU WINDOW SERVER 2003 -Window Server 2003 là một hệ điều hành mạng của hãng Microsoft được ưa chuộng khắp thế giới hiện nay. Bởi tính bảo mật cao và thân thiện với người quản lý . ở phiên bản 2003 này Microsoft đã tích hợp rất nhiều tools trợ giúp và dịch vụ mạng thông dụng giúp chúng ta quản trị và phân quyền quản lý tài nguyên mạng dễ dàng hơn. -Trong phần này chúng ta sẽ tìm hiểu sâu hơn về Window server 2003 . +So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc tính mới sau: - Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap). - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. - Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty. - NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer đến các máy bên ngoài Internet, đặt biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn. - Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính trong mạng ở xa thông qua công cụ Network Neighborhood. - Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn. - Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một dịch vụ Web một cách trực quan và dễ dàng. - Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn - Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ hỗ trợ 4KB. - Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server. B. HƯỚNG DẪN CÀI ĐẶT WINDOW SERVER 2003 ENTERPRISE 4 .DOMAIN CONTROLLER SERVER A. GIỚI THIỆU DOMAIN: -Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. -Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau. (Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ]) Ø Dich vụ Active Directory (cơ sở dữ liệu của các tài nguyên trên mạng): +Ứng dụng: trong hệ thống mang lớn việc duyệt, tìm kiếm trên mang sẽ dễ dàng hơn.Hơn nữa, để quản lý 1 hệ thống mạng lớn, bạn thường phải phân chia thành nhiều domain và thiết lập các mối quan hệ ủy quyền thích hợp.Active Directory giải quyết được các vấn đề như vậy và cung cấp 1 mức độ ứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ 10 trệu người dùng trong mỗ domain. +Chức năng của Active Directory -Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. -Cung cấp 1 server đóng vai trò chứng thục( authentication server) hoặc server quản lý đăng nhập( login server, server này còn gọi là domain controller( máy điều khiển vùng). -Duy trì 1 bảng hướng dẫn hoặc 1 bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh 1 tài nguyên nào đó trên các máy tính khác trong vùng. -Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng , chỉ có quyền backup dữ liệu hay shutdown server từ xa… -Cho phép chúng ta chia nhỏ miền của mình ra thanh các miền con (subdomain) hay các đơn vị tổ chức OU( Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. B. NÂNG DOMAIN: 5. DỊCH VỤ DHCP (Dynamic Host Configuration Protocol) A. GIỚI THIỆU DỊCH VỤ DHCP: -Trong một hệ thống mạng, việc cấu hình địa chỉ IP bằng tay cho máy sẽ tốn thời gian và công sức. Nên chúng em xin đưa ra giải pháp là cài dịch vụ DHCP vào máy server, điều này sẽ làm cho công việc quản trị mạng được đơn giản hóa, it tốn thời gian mà vẫn an toàn nhờ giao thức cấu hình host động. -DHCP là một tiến trình client-server, trong đó các DHCP client liên lạc với DHCP server để lấy thông tin cấu hình TCP/IP. -DHCP server có thể cấp phát nhiều thông tin cấu hình IP cho các DHCP client. Ta có thể cấu hình các thông tin đó trên DHCP server,bao gôm: +Địa chỉ IP của 1 hoặc nhiều DNS server +Địa chỉ IP của 1 hoặc nhiều INS server +Địa chỉ IP của ngõ ra mặc định……. B. HƯỚNG DẪN CÀI ĐẶ DỊCH VỤ DHCP: C.CẤU HÌNH : 6. DỊCH VỤ DNS ( Domain Name SyStem) A. GIỚI THIỆU: - Làm nhiệm vụ phân giải địa chỉ IP thành tên miền dạng DNS và ngược lại. Active Directory được đặt tên ở dạng DNS nên hệ thống cần có DNS server để phân giải cho Active Directory.DNS server cần được cấu hình trước khi xây dựng Active Directory.Một hệ thống sau khi có Active Directory mà DNS bị lỗi sẽ ảnh hưởng tới việc truy cập của máy Client vào Domain Controller, hệ thống hoạt động dựa trên NETBIOS Domain Name nên rất chậm. B. CÀI ĐẶT: (Trước khi cài DNS server admin cần cấu hình IP Configuration cho server, chỉnh DNS preferred về server nào đang chạy DNS server) có 2 cách : 1.CÀI TỤ ĐỘNG : Giống như lúc nâng Domain 2.CÀI TAY C.CẤU HÌNH DNS: 7. Web Server A. GIỚI THIỆU: -Web Server (máy phục vụ Web): máy tính mà trên đó cài đặt phần mềm phục vụ Web, đôi khi người ta cũng gọi chính phần mềm đó là Web Server. -Tất cả các Web Server đều hiểu và chạy được các file *.htm và *.html, tuy nhiên mỗi Web Server lại phục vụ một số kiểu file chuyên biệt chẳng hạn như IIS của Microsoft dành cho *.asp, *.aspx...; Apache dành cho *.php...; Sun Java System Web Server của SUN dành cho *.jsp... -Dịch vụ Web Server cho phép chúng ta quản bá trang web lên internet phục vụ cho quản cáo , mua bán ,… ( Có hai cách triển khai là dùng IIS tích hợp sẵn trong Win server 2003 hoặc sữ dụng phần mềm ngoài như là Apache , v.v…) B.CÀI ĐĂT: a.Web Server IIS (Internet Infomation Service) - Đây là dịch vụ tích hợp sẵn trong hệ điều hành Window server 2003 giúp chúng ta xây dựng một Web server chạy trên nền Window. *Cài Đặt : b. CẤU HÌNH APACHE(HỔ TRỢ CHO NGÔN NGỮ PHP) TÓM LẠI TÙY THEO CÔNG TY SỬ DỤNG WEB GÌ THÌ CHỌN WEB SERVER THÍCH HỢP C. TRIỄN KHAI CERTIFICATE MÃ HÓA TRONG GIAO DỊCH WEB SSL (SECURE SOCKET LAYER ) -Họat động ở tầng network. Xin Certificate cho web server để user truy cập bằnng HTTPS (HTTP secure) Sau khi máy server nâng domain dabien.org và tạo hoat [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] ta thực hiện tiếp các bước sau: -Cài ASP.NET -Cài Enterprise root CA -Tạo trang web dabien: inetpub\wwwroot\dabien.htm -Xin Certificate cho web server: + Start / Programs / Internet Information Services (IIS) Manger /dabien /Properties . Tab Directory Security /Server Certificate… / next / Send request immediately…/next /chọn port SSL là 443 /Finish. 8. MAIL Server A.GIỚI THIỆU -Dịch vụ mail server cho phép người dùng gởi nhận thư điện tử với nhau thông qua 1 địa chỉ mail.Trong cùng một công ty , từ công ty ra internet hoặc từ bên ngoài internet vào công ty . -Mail server chứa mailbox của người dùng, nhận mail từ mail client gửi đến và đưa vào hàng đợi để gởi đến mail host. Mail sever nhận mail từ mail host gửi đến và đưa vào mailbox của người dùng. Người dùng sử dùng NFS (Network File Sytem) để gắn kết (mont) thư mục chứa mailbox trên mail server để đọc mil. Nếu NFS không được hổ trợ thì người dùng phải login vào Mail server để nhận thư. Trong trường hợp mail client hổ trợ POP/ IMAP và trên mail server cũng hổ trợ POP/ IMAP thì người dùng có thể đọc thư bằng POP/ IMAP. -Hiện nay có 2 loại mail phổ biến là MADEMON và EXCHANGE. B. CÀI ĐẶT MDAEMON C.CẤU HÌNH MDAEMON D. TRIỄN KHAI CERTIFICATE CHO MAIL 1/ Cấu hình SMTPS, POPS trên Mdaemon 9.5.6 2/ Cấu hình Client 9.DỊCH VỤ REMOTE ACCESS - Giả sử bạn định xây dựng một hệ thống mạng cho phép các người dùng di động (mobile user) hoặc các văn phòng chi nhánh ở xa kết nối về. Để đáp ứng được nhu cầu trên bạn phải thiết lập một Remote Access Server (RAS). Khi máy tính Client kết nối thành công vào RAS, máy tính này có thể truy xuất đến toàn bộ hệ thống mạng phía sau RAS, nếu được cho phép, và thực hiện các thao tác như thể máy đó đang kết nối trực tiếp vào hệ thống mạng. - Cũng có hai kiểu RAS. Một kiểu tích hợp sẵn trên Win và một kiểu sữ dụng phần mềm. - Trong đồ án này chúng em xin giới thiệu công nghệ VPN( Virtual private network ) HƯỚNG DẪN CẤU HÌNH DỊCH VỤ VPN(Virtual private network) Ở đây nhóm chúng em sẽ đưa ra loại tích hợp trên Win là VPN và loại sữ dụng phần mềm là OpenVPN • VPN Tích Hợp Trên Window Server 2003 A.CÀI ĐẶT VPN : B.TẠO TÀI KHOẢN KẾT NỐI VPN • OPEN VPN 1. Sử dụng OpenVPN để truy cập các máy chủ trong mạng Dịch vụ OpenVPN cho phép người dùng kết nối từ xa vào mạng Trường qua Internet để truy cập một số dịch vụ trong nội bộ mà bình thường không thể truy cập từ bên ngòai. Các dịch vụ này có thể là: • Check mail bằng POP3 và gửi mail dùng SMTP với máy chủ mail của Trường. • Truy cập file chia sẻ qua Windows Explorer • Truyền file qua FTP • Dùng Secure shell truy cập các máy chủ khác • v.v... Hiện tại vì lý do bảo mật chỉ cho phép dùng VPN để truy cập dịch vụ mail sau: • DNS • SSH • SMTP • POP3 • FTP • WWW • Web proxy • Windows Remote Desktop Hiện nay Ban QLM Trường đã triển khai máy chủ OpenVPN và sử dụng OpenCA để cấp chứng chỉ cho các cá nhân có nhu cầu kết nối vào mạng Trường.Các cá nhân này có thể là: • Cán bộ của Trường đi học tập, nghiên cứu ở nước ngòai cần truy cập các máy chủ trong nội bộ mạng Trường. • Cán bộ của Trường đi công tác hoặc ở nhà cần truy cập các máy chủ trong nội bộ mạng Trường. • Các cá nhân bên ngoài đang tham gia các dự án của Trường hoặc các đối tác nước ngòai khác cần truy cập các máy chủ của dự án. Để dùng OpenVPN kết nối vào mạng Trường cần phải thực hiện các bước sau: 1. Cài đặt OpenVPN (thực hiện 1 lần) 2. Yêu cầu cấp 1 file chứa chứng chỉ và khóa riêng tư từ Ban QLM Trường (thực hiện 1 lần) 3. Thực hiện kết nối VPN vào mạng Trường (thực hiện mỗi khi cần kết nối) Bước 1. Cài đặt OpenVPN: • OpenVPN có thể chạy được trên nhiều HĐH như: • Windows : Windows 2000, Windows XP, Windows 2003 trở lên Linux kernel 2.2 trở lên Solaris OpenBSD 3.0+ (kèm với OpenSSL và TUN devices có sẵn) Mac OS X Darwin FreeBSD • NetBSD • Sau đây là huớng dẫn cài đặt OpenVPN trên Windows, các HĐH khác xin xem tại Web site địa chỉ [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] • Sử dụng trình duyệt Web vào địa chỉ sau: • [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] sau đó download file openvpn-2.0.7-gui-1.0.3-install.exe. Đây là file cài đặt OpenVPN và công cụ quản lý OpenVPN GUI. Công cụ quản lý OpenVPN GUI cho phép thay đổi mật khẩu bảo vệ khóa riêng tư và quản lý các kết nối OpenVPN rất dễ dàng và tiện lợi. 10.HƯỚNG DẪN DÙNG CERTIFICATE LÀM KEY MÃ HÓA DỮ LIỆU TRÊN ĐƯỜNG TRUYỀN TRÊN WEB SERVER 11. HƯỚNG DẪN TẮT SHARE ẨN MẠC ĐỊNH TRÊN CÁC Ổ ĐĨA - Vào Run gõ regedit . Trong cửa sổ regedit tìm theo đường dẫn sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters - Click phải chọn new tạo ra DWORD với tên là autoshareserver • Value data = 0 • Base = Hexadecimal 12.TÌM HIỂU ISA 2004 , CÀI ĐẶT VÀ CẤU HÌNH ISA SERVER 2004 A. GIƠI THIỆU: -Đây là phân mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa( filewall) tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache) và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). v Đặc điểm: -Cung cấp tính năng Multi networking: kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập filewall để lọc thông tin dựa tr6n từng địa chỉ mạng con,… -Unique per-network policies: đặc điểm Multi-networking được cung cấp trong ISA Server -Cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các clients bên ngoài internet, bằng cách tạo ra 1 vùng mạng ngoại vi perimeter network ( được xem là vùng DMZ_ demilitarized zones,hoặc creened subnet), chỉ cho phép clients bên ngoài truy xuất vào các server trên mạng ngoại vi, không cho pháp client bên ngoài truy xuất vào mạng nội bộ. -Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng mạng. -NAT and route network relationships: cung cấp kĩ thuật NAT và định tuyến dữ liệu cho mạng con. -Network templates: cung cấp các mô hình mẫu (network templates) về kiến trúc mạng, kèm theo 1 số luật cần thiết cho (network templates) tương ứng. - Cung cấp 1 số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy xuất mạng từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên hệ thống khác -Cung cấp 1 số kĩ thuật bảo mật (security) và thiết lập Filewall cho hệ thống như Authentication, -Publish Server, giới hạn traffic. -Cung cấp 1 số kĩ thuật cache thong minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web. -Cung cấp 1 số tính năng hiệu quả như: giám sát lưu lượng , reporting qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kĩ thuật gởi thong báo qua email… -Application Layer Filtering (ALF): là 1 trong những điểm mạnh của ISA Server 2004, không giống như packet filtering firewall truyền thống, ISA 2004 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. 1 số đặc điểm nỗi bậc của ALF: +Cho phép thiết lập HTTP inbound và outbound HTTP. +Chặn được tất cả các loại tập tin thực thi chạy trên nền Windows như .pif, .com,… +Có thể giới hạn HTTP download. +Có thể giới hạn truy xuất Web cho tất cả các clients dựa trên nội dung truy cập +Có thể điều khiển truy xuất HTTP dựa trên chữ kí (signature). +Điều khiển 1 số phương thức truy xuất của HTTP. B.CÀI ĐẶT ISA 2004 1.Yêu cầu phần cứng - Bộ xử lý( CPU):Intel hoặc AMD 500Mhz trở lên. - Hệ điều hành( OS):Windows 2003 hoặc Windows 2000 (Service pack 4). - Bộ nhớ( memory):256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls. - Không gian đĩa( disk place): ổ đĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành cho ISA. - Card mạng : 2 card mạng 2. Cài đặt ISA server C.CẤU HÌNH ISA 2004 1.Tạo Rule hạ tầng giao dịch cho các giao dịch mạng nội bộ. 2.Tạo Rule hợp lý cho các nhân viên trong việc sử dụng Internet 3.Tạo Rule Public Server cho bên ngoài truy cập vào Server của § VPN : Có 2 kiểu I. VPN Client to Gateway VPN Gateway To Gateway II. VPN Site To Site 4.Triển khai chế độ giám sát truy cập vào mạng hoặc ra bên ngoài mạng ( monitoring). 5.Cấu hình Caching cải thiện tốc độ làm việc cho mạng . (Tối ưu hóa việc nghẽn mạng trong việc download giữa các client trong công ty)

Các file đính kèm theo tài liệu này:

  • docĐề tài- TRIỂN KHAI HỆ THỐNG MẠNG.doc