Tải bản đầy đủ (.pdf) (51 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Xây dựng và bảo mật hệ thống mạng trên nền tảng ISA server 2006 Đồ án tốt nghiệp Đại học

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.81 MB, 51 trang )

Đồ án tốt nghiệp đại học

LỜI CẢM ƠN
Để hoàn thành đồ án này, tôi xin tỏ lòng biết ơn sâu sắc đến TS. Phan Lê Na, đã
tận tình hướng dẫn trong suốt quá trình làm đồ án tốt nghiệp.
Tôi cũng xin chân thành cảm ơn quý Thầy, Cô trong khoa Công nghệ thông tin,
đặc biệt là các Thầy, Cô trong bộ môn Khoa học máy tính, đã tận tình truyền đạt kiến
thức quý giá nhất. Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền
tảng cho quá trình nghiên cứu đồ án mà còn là hành trang quý báu để tôi bước vào đời
một cách vững chắc và tự tin.
Tôi cũng luôn biết ơn sự ủng hộ của gia đình, bạn bè - những người thân yêu luôn
là chỗ dựa vững chắc của tôi.
Cuối cùng, tôi xin chúc quý Thầy, Cô và gia đình dồi dào sức khỏe và thành công
trong sự nghiệp cao quý.
Nghệ An, tháng 12 năm 2012
Sinh viên thực hiện
Phạm Văn Chiến

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

1


Đồ án tốt nghiệp đại học

LỜI MỞ ĐẦU
Những năm đầu của thế kỳ XXI được coi là kỷ nguyên của Công nghệ thông tin,
thông tin có ý nghĩa đến sự thành công và phát triển của một quốc gia.
Trong giai đoạn công nghiệp hóa - hiện đại hóa, nhu cầu tìm kiếm và trao đổi
thông tin đã làm cho mạng Internet ra đời. Các cơ quan, tổ chức đều nhận thức được tính
ưu việt của xử lý thông tin qua mạng.


Công nghệ thông tin ngày nay đã phát triển vượt bậc, tin học được ứng dụng rộng
rãi trong tất cả các ngành, các lĩnh vực của đời sống, xã hội. Hệ thống mạng doanh
nghiệp ra đời là một thành tựu lớn góp phần vào năng suất làm việc cũng như quản lý và
phân chia các tổ chức khác nhau có hiệu quả. Đi kèm với những tiện ích đó là vấn nạn
Virus, lừa đảo tấn công vào hệ thống máy tính ngày càng đa dạng và rộng khắp. Những
Hacker tấn công với nhiều mục đích tư lợi vì muốn chứng tỏ bản thân mà bất chấp tất cả.
Haker len lỏi vào hệ thống mạng và tàn phá dữ liệu hoặc táo bạo hơn là đánh cắp thông
tin cơ mật của một doanh nghiệp, một tổ chức, quốc gia…
Chính vì thấy tầm quan trọng của vấn đề bảo mật nên tôi chọn đề tài “XÂY
DỰNG VÀ BẢO MẬT HỆ THỐNG MẠNG TRÊN NỀN TẢNG ISA SERVER
2006” làm đồ án tốt nghiệp của mình. Nội dung đồ án gồm 3 chương.
Chương 1: An toàn thông tin đối với mạng doanh nghiệp.
Chương 2: Dịch vụ mạng và giải pháp an toàn.
Chương 3: Tổng quan thiết kế mạng và triển khai ISA Server cho doanh
nghiệp.
Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án còn nhiều
thiếu sót và hạn chế, tôi rất mong nhận được ý kiến đóng góp của quý Thầy, Cô giáo và
các bạn để có thể hoàn thiện hơn nữa.
Nghệ An, tháng 12 năm 2012
Sinh viên thực hiện
Phạm Văn Chiến

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

2


Đồ án tốt nghiệp đại học

MỤC LỤC

CHƯƠNG 1: AN TOÀN THÔNG TIN ĐỐI VỚI MẠNG DOANH NGHIỆP ...................... 5
1.1. Giới thiệu chung ................................................................................................................ 5
1.2. Hậu quả của việc tấn công, xâm nhập ............................................................................ 6
1.3. Mục đích bảo vệ ................................................................................................................ 6
1.3.1. Bảo vệ dữ liệu ............................................................................................................. 6
1.3.2. Bảo vệ tài nguyên ....................................................................................................... 6
1.3.3. Bảo vệ danh tiếng ....................................................................................................... 6
1.4. Thiết kế chính sách bảo vệ an toàn mạng ....................................................................... 7
1.4.1. Quyền hạn tối thiểu .................................................................................................... 7
1.4.2. Đơn giản ...................................................................................................................... 7
1.4.3. Bảo vệ theo chiều sâu ................................................................................................. 7
1.4.4. Nút thắt ....................................................................................................................... 7
1.4.5. Đường nối yếu nhất .................................................................................................... 8
1.4.6. Tính đa dạng của việc bảo vệ .................................................................................... 8
CHƯƠNG 2: DỊCH VỤ MẠNG VÀ GIẢI PHÁP AN TOÀN ................................................. 9
2.1. Một số dịch vụ trong mạng doanh nghiệp ...................................................................... 9
2.1.1. Domain Name System (DNS) .................................................................................... 9
2.1.2. Mạng riêng ảo (VPN) ................................................................................................. 9
2.1.3. Mail Server ............................................................................................................... 11
2.1.4. Web Server ............................................................................................................... 11
2.2. Firewall ............................................................................................................................ 12
2.2.1. Khái niệm Firewall .................................................................................................. 12
2.2.2. Phân loại Firewall .................................................................................................... 12
2.2.3. Các chức năng cơ bản của Firewall........................................................................ 13
2.2.4. Nguyên lý hoạt động của Firewall .......................................................................... 13
2.2.5. Tiêu chuẩn của một Firewall .................................................................................. 14
2.2.6. Hạn chế của Firewall ............................................................................................... 15
2.3. Phần mềm Microsoft ISA Server................................................................................... 15
2.3.1. Giới thiệu .................................................................................................................. 15
2.3.2. Các phiên bản của ISA Server 2006 ....................................................................... 15

2.3.3. Một số tính năng của ISA Server............................................................................ 16
CHƯƠNG 3: TỔNG QUAN THIẾT KẾ MẠNG VÀ TRIỂN KHAI ISA SERVER CHO
DOANH NGHIỆP ...................................................................................................................... 18
3.1. Những yêu cầu chung của việc thiết kế mạng .............................................................. 18
3.1.1. Lựa chọn mô hình mạng.......................................................................................... 18
3.1.2. Triển khai thiết bị .................................................................................................... 19
3.2. Triển khai ISA Firewall cho hệ thống doanh nghiệp .................................................. 20
3.3. Cài đặt ISA Server 2006 và các dịch vụ ........................................................................ 22
3.3.1. Chuẩn bị.................................................................................................................... 22
3.3.2. Nâng cấp Server lên Domain Controler................................................................. 22
3.3.3. Cài đặt MS ISA Server 2006 trên máy ISA Server............................................... 24
3.3.4. Cài đặt và cấu hình Firewall Client........................................................................ 24
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

3


Đồ án tốt nghiệp đại học

3.4. Cấu hình các quy tắc....................................................................................................... 25
3.4.1. Giới thiệu .................................................................................................................. 25
3.4.2. Tạo quy tắc mở các kết nối trong nội bộ và Internet ............................................ 29
3.5. Tạo quy tắc quản lý người dùng Internet ..................................................................... 31
3.5.1. Tạo quy tắc cho phép nhóm quản trị toàn quyền truy nhập Internet ................ 31
3.5.2. Tạo quy tắc cho phép nhóm Nhân viên truy cập 1 số trang web......................... 34
3.5.3. Giới hạn thời gian sử dụng của NhanVien ............................................................ 39
3.5.4. Cấm nhân viên chat trong giờ làm việc ................................................................. 40
3.6. Triển khai VPN Client to Gateway ............................................................................... 44
3.6.1. Tạo Remote Access PPTP VPN Server .................................................................. 44
3.6.2. Cấu hình VPN Client ............................................................................................... 45

3.6.3. Tạo quy tắc cho phép kết nối VPN ......................................................................... 46
3.6.4. Tạo kết nối trên máy VNP Client ........................................................................... 47
KẾT LUẬN ................................................................................................................................. 50
TÀI LIỆU THAM KHẢO ......................................................................................................... 51

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

4


Đồ án tốt nghiệp đại học

CHƯƠNG 1: AN TOÀN THÔNG TIN ĐỐI VỚI MẠNG DOANH NGHIỆP
1.1. Giới thiệu chung
Đối với một doanh nghiệp thì thực sự có rất nhiều lợi ích có thể nhận được từ
Internet. Nhưng bên cạnh đó, nó cũng liên quan đến mối nguy hiểm rất lớn, ngày nay các
mối đe dọa tới an ninh của mạng đã trải rộng từ những cá nhân cho tới các tổ chức lớn
trên mạng. Những Hacker thâm nhập đã hiểu biết kỹ thuật có thể nhận được quyền truy
cập tới các thông tin riêng tư của các doanh nghiệp hoặc quấy rối bằng chính hệ thống
đó. Số lượng và mức độ tinh vi của các mối đe dọa ngày càng tăng cùng với sự phát triển
của mạng Internet theo thời gian.
Mặc dù việc tạo nên sự an toàn cho hệ thống là một ý tưởng tuyệt vời nhưng nó
vẫn không đủ để bảo vệ mạng khỏi sự tấn công từ bên ngoài, việc đảm bảo an toàn cho
một hệ thống là một công việc phức tạp và không có gì là đảm bảo sự thành công bởi vì
có rất nhiều hệ điều hành khác nhau, rất nhiều phiên bản sửa lỗi và các vùng quản trị
khác nhau v.v …
Dù sao, bằng cách phòng chống lại các mối đe dọa tới các điểm kết nối của mạng
và Internet, người dùng có thể nhận được ưu điểm của phần lớn các dịch vụ Internet như
Web, E-Mail, FTP… trong khi vẫn hạn chế được những rủi ro bị thâm nhập.
Rủi ro là xác suất của một Hacker xâm nhập có thể thành công trong việc truy

nhập vào mạng công ty thông qua đường kết nối mạng diện rộng. Có nhiều trường hợp
có thể xảy ra, tuy nhiên nhìn chung có các khả năng cụ thể là:
- Truy nhập đọc: Đọc hoặc sao chép dữ liệu từ mạng nội bộ.
- Truy nhập ghi: Ghi hoặc phá hủy dữ liệu từ mạng nội bộ, bao gồm việc
phát tán các loại trojan, virus,…
- Từ chối dịch vụ (Denial of Service - DOS): Lợi dụng đặc điểm hoặc lỗi
an toàn thông tin của một hệ thống dịch vụ nhằm làm ngưng trễ và ngăn cản người dùng
truy cập dịch vụ đó. Thường thì tấn công từ chối dịch vụ gây cho chương trình, hệ thống
bị đổ vỡ hoặc bị treo, tê liệt từng phần và toàn bộ hệ thống, buộc người quản trị dịch vụ
phải tạm ngừng cung cấp dịch vụ và khởi động lại hệ thống.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

5


Đồ án tốt nghiệp đại học

1.2. Hậu quả của việc tấn công, xâm nhập
Các cuộc tấn công vào hệ thống mạng máy tính của các doanh nghiệp có thể làm
cho liên lạc của công ty bị gián đoạn và nghiêm trọng hơn là mất đi tính bảo mật và tính
toàn vẹn của các nguồn dữ liệu. Tùy theo mức độ và loại thông tin bị tấn công mà hậu
quả có thể là một chút phiền toái cho đến việc bị phá hỏng toàn bộ hệ thống.
Khi tính bí mật của dữ liệu bị các cuộc tấn công phá vỡ, hậu quả xảy đến cho một
doanh nghiệp thường không trực tiếp, nhưng có thể là rất đắt. Ví dụ nếu Hacker truy
nhập vào hệ thống thư điện tử của một doanh nghiệp, các thông tin độc quyền tạo ra lợi
thế cạnh tranh có thể bị đánh cắp, cũng có nghĩa là tổ chức đó bị mất chi phí đã bỏ ra
việc nghiên cứu và phát triển để có được lợi thế đó.
Khi tính toàn vẹn của dữ liệu bị các cuộc tấn công phá vỡ, doanh nghiệp thường
phải bỏ ra rất nhiều tiền để xử lý những hậu quả do các cuộc tấn công đó, ví dụ một

Hacker hiểm độc có thể thay đổi một trang web, thay thế các thông tin xác đáng bằng nội
dung công kích phá hoại. Điều này bắt buộc doanh nghiệp phải tiêu tốn tiền không chỉ để
sửa trang Web mà còn để chống lại các mối liên hệ xấu với công chúng.
1.3. Mục đích bảo vệ
Khi xây dựng một hệ thống bảo vệ, vấn đề đầu tiên mà người quản trị cần quan
tâm là cần phải bảo vệ những gì. Trong hệ thống thông tin nói chung và trong mạng
doanh nghiệp nói riêng, đó chính là dữ liệu, tài nguyên và danh tiếng của doanh nghiệp.
1.3.1. Bảo vệ dữ liệu
Có ba đặc tính rất quan trọng đối với dữ liệu:
- Tính bảo mật: Chỉ những người có quyền mới được biết.
- Tính toàn vẹn: Không bị hư hỏng, bị sửa đổi hay mất mát.
- Tính kịp thời: Sẵn sàng bất cứ lúc nào cần.
1.3.2. Bảo vệ tài nguyên
Người dùng phải tốn nhiều thời gian và tiền bạc cho tài nguyên và có quyền quyết
định chúng phải sử dụng như thế nào.
Tài nguyên của máy tính không phải là tài nguyên thiên nhiên, nó có giới hạn và
không được lãng phí hay phá hủy nếu không được sử dụng.
1.3.3. Bảo vệ danh tiếng
Khi một Hacker tấn công xuất hiện trên Internet với định danh của cá nhân thì bất
kỳ điều gì Hacker tấn công làm cũng liên quan đến cá nhân đó. Nếu như doanh nghiệp bị
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

6


Đồ án tốt nghiệp đại học

tấn công thì vấn đề uy tín trở nên rất quan trọng. Trong trường hợp người quản trị hệ
thống chỉ biết được hệ thống của mình được dựng làm bàn đạp để tấn công vào hệ thống
khác gây tổn thất uy tín là không thể tính được và sẽ để lại hậu quả lâu dài.

1.4. Thiết kế chính sách bảo vệ an toàn mạng
Khi xây dựng các hệ thống bảo vệ cho mạng máy tính nói chung và doanh nghiệp
nói riêng, người quản trị phải tuân theo các quyền hạn sau.
1.4.1. Quyền hạn tối thiểu
Nguyên tắc nền tảng trong an toàn mạng là quyền hạn tối thiểu (Least Privilege),
về cơ bản nguyên tắc này là bất kỳ một đối tượng nào cũng có quyền hạn nhất định để
thực hiện các nhiệm vụ của mình, đây là quyền hạn để hạn chế sự phô bày mà Hacker có
thể tấn công và hạn chế sự phá hủy do các vụ tấn công gây ra.
1.4.2. Đơn giản
Việc đặt ra yêu cầu đơn giản cho hệ thống bảo vệ có hai lý do chính:
- Dễ hiểu: Khi một hệ thống được thiết kế đơn giản thì dễ dàng hiểu được
hệ thống có hoạt động như mong muốn hay không.
- Ít lỗi: Một hệ thống càng phức tạp càng chứa nhiều lỗi, ngay cả hệ thống
không có lỗi và không có các lỗ hổng bảo mật, thì hệ thống phức tạp cũng sẽ làm phức
tạp quá trình phân tích và xử lý các vấn đề trong những tình huống không định trước.
1.4.3. Bảo vệ theo chiều sâu
Một nguyên tắc khác của an toàn là bảo vệ theo chiều sâu, không nên chỉ phụ
thuộc vào một chế độ an toàn dù nó mạnh thế nào. Nên lắp đặt nhiều cơ chế an toàn để
hỗ trợ lẫn nhau. Một Firewall có rất nhiều lớp, nếu trường hợp lớp thứ nhất có vấn đề sẽ
được các lớp tiếp theo bảo vệ.
1.4.4. Nút thắt
Một nút thắt buộc Hacker tấn công phải đi qua một cổng hẹp mà người quản trị có
thể kiểm soát và điều khiển được. Firewall là một cấu trúc nằm giữa hệ thống nội bộ mà
trong đó Internet như một nút thắt. Bất kỳ cuộc tấn công nào từ Internet đều phải đi qua
cổng này, người quản trị có thể theo dõi và có những cách xử lý.
Một nút thắt sẽ trở nên vô dụng nếu có những con đường khác không đi qua nó,
không nhất thiết phải tấn công Firewall trong khi có rất nhiều đường kết nối khác không
được bảo vệ.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT


7


Đồ án tốt nghiệp đại học

1.4.5. Đường nối yếu nhất
Những Hacker tấn công thông minh luôn tìm các điểm yếu nhất trong hệ thống để
tấn công vào đó. Do đó, cần nhận thức được điểm yếu nhất để có phương thức bảo vệ.
Thông thường, cần quan trọng đến những Hacker tấn công từ mạng hơn là những Hacker
tiếp cận hệ thống, bởi vậy an toàn về mặt vật lý được coi là điểm yếu nhất trong hệ thống
của doanh nghiệp.
1.4.6. Tính đa dạng của việc bảo vệ
Sự đa dạng của các hệ thống mạng bên trong có thể tăng khả năng bảo vệ hệ
thống, nếu mạng bên trong bao gồm các hệ thống giống nhau thì một lỗi chung trong hệ
điều hành hoặc là một trình ứng dụng có thể làm cho toàn bộ mạng bị tấn công theo một
phương pháp. Tuy nhiên, sự đa dạng trong mạng cũng đồng nghĩa với sự phức tạp khi
quản lý các hệ thống khác nhau, đồng thời tăng chi phí trang bị phần cứng và phần mềm.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

8


Đồ án tốt nghiệp đại học

CHƯƠNG 2: DỊCH VỤ MẠNG VÀ GIẢI PHÁP AN TOÀN
2.1. Một số dịch vụ trong mạng doanh nghiệp
2.1.1. Domain Name System (DNS)
Hiện nay trong mạng Internet số lượng các nút (Host) lên tới hàng triệu nên

không thể nhớ hết địa chỉ IP được, mỗi host ngoài địa chỉ IP còn có một cái tên phân
biệt, DNS là 1 cơ sở dữ liệu phân tán cung cấp ánh xạ từ lên host đến địa chỉ IP. Khi đưa
ra 1 tên host, DNS server sẽ trả về địa chỉ IP hay một số thông tin của host đó. Điều này
cho phép người quản lý mạng dễ dàng trong việc chọn tên cho host của doanh nghiệp.
DNS server được dùng trong các trường hợp sau:
- Muốn có 1 tên domain riêng trên Internet để có thể tạo, tách rời các
domain con bên trong nó.
- Cần 1 dịch vụ DNS để điều khiển cục bộ nhằm tăng tính linh hoạt cho
domain cục bộ của hệ thống.
- Cần 1 bức tường lửa để bảo vệ không cho người ngoài thâm nhập vào hệ
thống mạng nội bộ của công ty.
Có thể quản lý trực tiếp bằng các trình soạn thảo text để tạo và sửa đổi các file
hoặc dùng DNS manager để tạo và quản lý các đối tượng của DNS như: Server, Zone,
các mẫu tin, các Domain, tích hợp với Win.
2.1.2. Mạng riêng ảo (VPN)
Khái niệm Virtual Private Network
Về căn bản, mỗi Virtual Private Network là một mạng riêng ảo sử dụng một mạng
chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều
người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như
đường truyền (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua
Internet từ mạng riêng các công ty với các site hay các nhân viên từ xa.
VPN là mạng ảo nội bộ, người dùng khi đi công tác xa sử dụng VPN để nối tới
các dịch vụ đang chạy hoặc những chương trình cụ thể giống như đang ngồi tại văn
phòng, đó là lý do cho cái tên ảo.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

9



Đồ án tốt nghiệp đại học

Các dạng giao thức của VPN
Có 3 dạng giao thức (Tunneling) nổi bật được sử dụng trong VPN:
- IP Security (IPSec): Được phát triển bởi IETF, IPSec là một chuẩn mở
đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn với phương thức xác nhận
người dùng qua mạng công cộng. Không giống với những kỹ thuật mã hóa khác, IPSec
thực hiện ở tầng thứ 7 trong mô hình OSI (Open System Interconnect), có thể chạy độc
lập so với các ứng dụng chạy trên mạng. Vì thế hệ thống mạng sẽ được bảo mật hơn mà
không cần dùng bất kỳ chương trình bảo mật khác.
- Point-To-Point Tuuneling Protocol (PPTP): Được phát triển bởi
Microsoft, 3COM và Ascend Communications, PPTP là một sự chọn lựa để thay thế cho
IPSec. Tuy nhiên IPSec vẫn cần được sử dụng nhiều trong một số Tunneling Protocol,
PPTP thực hiện ở tầng thứ 2 (Data Link Layer).
- Layer 2 Tunneling Protocol (L2TP): Được phát triển bởi Cissco System,
L2TP được dự tính sẽ thay thế cho IPSec, tuy nhiên IPSec vẫn chiếm ưu thế hơn so về
bảo mật trên Internet. L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP, được
dùng để đóng gói các Frame sử dụng giao thức Point-To-Point để gửi qua các loại mạng
như X.25, FR, ATM.
Ưu điểm và nhược điểm của VPN
Ưu điểm:
- Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu
trước khi truyền chúng qua mạng công cộng. Bằng cách làm như vậy, không một ai có
thể truy cập thông tin mà không được cho phép và nếu có lấy được thì cũng không đọc
được.
- Tính toàn vẹn giữ liệu (Data Integrity): người nhận có thể kiểm tra rằng
dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
- Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
- Giảm chi phí thường xuyên.

- Tạo ra tính mềm dẻo trong việc quản lý mạng của công ty.
- Đảm bảo an toàn thông tin và tính toàn vẹn dữ liệu.
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

10


Đồ án tốt nghiệp đại học

Nhược điểm:
- Phụ thuộc trong môi trường Internet.
- Thiếu sự hỗ trợ một số giao thức kế thừa.
2.1.3. Mail Server
E-mail (Electronic mail) là thư điện tử, một hình thức trao đổi thư từ nhưng thông
qua mạng Internet. Dịch vụ này được sử dụng rất phổ biến và không đòi hỏi hai máy tính
gửi và nhận phải kết nối online trên mạng.
Tại mỗi Mail Server thông thường gồm hai dịch vụ: POP3 (Post Office Protocol
3) làm nhiệm vụ giáo tiếp mail giữa Mail Client và Mail Server, SMTP (Simple E-mail
Transfer Protocol) làm nhiệm vụ giao tiếp mail giữa các máy Mail Server.
Exchange Server là phần mềm của hãng Microsoft, chạy trên các máy chủ, cho
phép gửi và nhận thư điện tử cũng như các dạng khác của truyền thông thông qua mạng
máy tính. Được thiết kế chủ yếu để giao tiếp với Microsoft Outlook nhưng Exchange
Server cũng có thể giao tiếp tốt với các phần mềm khác như Outlook Express hay các
ứng dụng thư điện tử khác.
Exchange Server được thiết kế cho cả doanh nghiệp lớn và nhỏ với ưu điểm nổi
trội là dễ quản trị, hỗ trợ nhiều tính năng và có độ tin cậy cao.
Tin nhắn được gửi từ các thiết bị Client như máy tính cá nhân (PC), máy trạm hay
các thiết bị di động như điện thoại di động, các thiết bị Client này kết nối với mạng máy
tính tập trung với Server hay các máy MainFrame là nơi lưu trữ các hộp thư. Các Server
kết nối tới mạng Internet hoặc mạng riêng (Private Network) nơi thư điện tử được gửi tới

để nhận thư điện tử của người sử dụng.
2.1.4. Web Server
Dịch vụ Wold Wide Web (viết tắt là WWW hoặc Web) là một dịch vụ cung cấp
thông tin trên hệ thống mạng. Các thông tin này được lưu trữ dưới dạng siêu văn bản
(hypertext) và thường được thiết kế bằng ngôn ngữ HTML (Hyper Text Markup
Language). Siêu văn bản là các tư liệu có thể là văn bản (Text), hình ảnh động (Video),
âm thành (Audio)…, được liên kết với nhau qua các mối liên kết (Link) và được truyền
trên mạng dựa trên giao thức HTTP (Hyper Text Transfer Protocol), qua đó người dùng
có thể xem các tư liệu liên quan một cách dễ dàng.
Mô hình hoạt động:

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

11


Đồ án tốt nghiệp đại học

Web Server: Là một ứng dụng được cài đặt trên máy chủ với chức năng là tiếp
nhận các yêu cầu dạng HTTP từ máy trạm và tùy theo yêu cầu này máy chủ sẽ cung cấp
cho máy trạm các thông tin Web dạng HTML.
Web Client: Là một ứng dụng cài trên máy trạm (máy của người dùng cuối) gọi là
Web Browser để gửi yêu cầu đến Web Server và nhận các thông tin phản hồi rồi hiện lên
màn hình giúp người dùng có thể truy xuất được các thông tin trên máy Server. Một
trong những trình duyệt Web phổ biến nhất hiện nay là Internet Explorer, Google
Chrome, FireFox.
2.2. Firewall
2.2.1. Khái niệm Firewall
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong

muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng
(Trusted Network) khỏi các mạng không tin tưởng (Untrusted Network).
Thông thường Firewall được đặt giữa mạng bên trong (Internal) và Internet của
một công ty, tổ chức, ngành hay một quốc gia,… Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Internal) tới một số địa chỉ nhất định trên Internet.
Firewall hay còn gọi là bức tường lửa được hiểu như là một hệ thống máy tính và
thiết bị mạng giúp bảo mật và giám sát các truy xuất từ bên trong ra ngoài và ngược lại
từ bên ngoài vào trong từ đó ta có thể phòng chống các truy cập bất hợp pháp.
2.2.2. Phân loại Firewall
Firewall cứng: Là những Firewall được tích hợp trên Router.
Đặc điểm của Firewall cứng:
- Không được linh hoạt như Firewall mềm (không thể thêm chức năng,
thêm quy tắc như Firewall mềm).
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network
và tầng Transport).
Firewall mềm: Là những Firewall được cài đặt trên Server.
Đặc điểm của Firewall mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm hoạt động ở tầng cao hơn Fireawall cứng (Tầng ứng dụng).
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

12


Đồ án tốt nghiệp đại học

2.2.3. Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ
(Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập.

- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài
vào trong.
- Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng.
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng.
- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Xây dựng Firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm
soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ
mạng. Thông thường một hệ thống Firewall là một cổng (Gateway) giữa mạng nội bộ
giao tiếp với mạng bên ngoài và ngược lại.
2.2.4. Nguyên lý hoạt động của Firewall
- Firewall đơn giản là một chương trình hoặc một thiết bị phần cứng, dùng
để lọc những thông tin thông qua Internet đến mạng cá nhân hoặc hệ thống máy tính.

Mô hình Firewall tổng quát
- Đối với Firewall cứng, bản thân nó cũng là một Gateway (cổng), chiếc
máy tính cá nhân khi kết nối với router thì router đó sẽ tiếp tục kết nối với modem chủ,
có thể thiết lập router thông qua trình duyệt Web của ISP và thêm các chức năng như
ngăn chặn địa chỉ IP hay bộ lọc. Vì thế bộ định tuyến (router) có khả năng bảo mật rất
cao.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

13


Đồ án tốt nghiệp đại học

Mô hình Firewall phần cứng
- Với Firewall mềm được cài đặt trong máy cá nhân, khi đó chiếc máy này

được xem như là 1 Gateway (cổng) bởi vì nó chỉ cung cấp 1 điểm truy cập duy nhất giữa
mạng của máy và Internet. Chính vì vậy mà độ an toàn của loại tường lửa này phụ thuộc
rất nhiều vào chương trình Firewall.

M« h×nh Firewall phÇn mÒm
2.2.5. Tiêu chuẩn của một Firewall
Sử dụng Firewall để giữ an ninh mạng có thể cải thiện tính bảo mật của toàn bộ
hệ thống bằng cách tạo ra một rào chắn đối với những truy cập trái phép từ bên ngoài.
Để thành công trong việc ngăn chặn những truy cập trái phép mà vẫn cung cấp
các truy cập hợp pháp, Firewall cần thỏa mãn những yêu cầu sau:
- Firewall cần có khả năng hỗ trợ cấm các dịch vụ đi qua nó ngoại trừ
chính sách thiết kế quyền đặc biệt.
- Firewall cần hỗ trợ chính sách bảo mật mạng những không phải là bắt
buộc.
- Firewall phải linh hoạt, nó có khả năng biến đổi để phù hợp với yêu cầu
chính sách an toàn của hệ thống và đáp ứng được các thay đổi của nó.
- Hệ thống Firewall nên tắt mọi chức năng không cần thiết.
- Firewall không được làm giảm đi tính dễ sử dụng của Internet.
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

14


Đồ án tốt nghiệp đại học

2.2.6. Hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó, Firewall chỉ có thể ngăn chặn sự xâm nhập
của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa
chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi

qua nó.
Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường
Dial-Up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên thiết bị lưu trữ.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (Data-Drivent Attack).
Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính, Firewall
không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm
việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu,
thoát khỏi khả năng kiểm soát của Firewall.
2.3. Phần mềm Microsoft ISA Server
2.3.1. Giới thiệu
Microsoft Internet Security and Acclearation Server (ISA Server) là phần mềm
Share Internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm
Share Internet hiệu quả, ổn định, dễ cấu hình, Firewall tốt, nhiều tính năng cho phép
quản trị cấu hình sao cho tương thích với mạng nội bộ. Tốc độ nhanh nhờ chế độ cache
thông minh, với tính năng lưu cache vào RAM (Random Access Memory), giúp truy
xuất thông tin nhanh hơn và tính năng Schedule Cache (Lập lịch cho tự động download
thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các
WebServer đó bằng mạng LAN). Ngoài ra còn rất nhiều tính năng khác nữa, đặc điểm
nổi bật của bản 2006 so với bản 2004 là tính năng Publishing và VPN.
2.3.2. Các phiên bản của ISA Server 2006
ISA Server 2006 có hai phiên bản đó là ISA Server 2006 Standard và ISA Server
2006 Enterprise.
ISA Server 2006 Standard:
ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các
doanh nghiệp, công ty có quy mô trung bình.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

15



Đồ án tốt nghiệp đại học

Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ, kiểm
soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn
chặn việc kết nối vào những trang web có nội dung không thích hợp.
Triển khai các hệ thống VPN Site-To-Site, Remote Access để hỗ trợ truy cập từ
xa, trao đổi dữ liệu giữa các văn phòng chi nhánh.
Ngoài ra còn có hệ thống đệm (Caching) giúp kết nối Web nhanh hơn.
ISA Server 2006 Enterprise:
ISA Server 2006 Enterprise được sử dụng trong các doanh nghiệp và công ty có
quy mô lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ
thống.
Ngoài những tính năng đã có trên bản Standard, bản Enterprise còn cho phép thiết
lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng
quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
2.3.3. Một số tính năng của ISA Server
Khả năng Publishing Service:
- ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào
trang OWA, qua đấy hỗ trợ chứng thực kiểu Form-Based. Chống lại các người dùng bất
hợp pháp vào trang web OWA, tính năng này được phát triển dưới dạng Add-Ins.
- Cho phép Public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ
liệu trong phiên kết nối được mã hóa trên Internet (kể cả Password).
- Block các kết nối Non-Encrypted MAPI đến Exchange Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchange Server.
- Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra
Internet một cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007.
Khả năng kết nối VPN:
- Cung cấp Wizard cho phép cấu hình tự động Site-To-Site VPN ở 2 văn

phòng riêng biệt.
- Cho phép Public luôn 1 VPN Server khác trong Internal ra ngoài Internet,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel Site-To-Site (với các sản phẩm VPN khác).
Khả năng quản lý:
- Dễ dàng quản lý.
- Rất nhiều Wizard.
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

16


Đồ án tốt nghiệp đại học

- Backup và Restore đơn giản.
- Cho phép ủy quyền quản trị cho các User /Group.
- Log và Report chi tiết cụ thể.
- Cấu hình 1 nơi, chạy ở mọi nơi.
- Khai báo thêm Server vào Array dễ dàng.
Các tính năng khác:
- Hỗ trợ nhiều CPU và RAM (bản standard hỗ trợ đến 4 CPU, 2GB RAM).
- Hỗ trợ nhiều Network.
- Route/NAT theo từng network.
- Firewall Rule đa dạng.
- IDS.
- HTTP compression.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

17



Đồ án tốt nghiệp đại học

CHƯƠNG 3: TỔNG QUAN THIẾT KẾ MẠNG VÀ TRIỂN KHAI ISA SERVER
CHO DOANH NGHIỆP
3.1. Những yêu cầu chung của việc thiết kế mạng
Yêu cầu chung của một hệ thống mạng LAN sau khi thiết kế xong phải thỏa mãn
các điều kiện sau:
- Phải đảm bảo các máy tính trong công ty trao đổi được dữ liệu với nhau.
- Chia sẻ được máy in, máy Fax.
- Tổ chức phân quyền truy cập theo từng người dùng.
- Cho phép các nhân viên đi công tác có thể truy cập vào công ty.
- Tổ chức hệ thống mail nội bộ và Internet.
- Tổ chức Web nội bộ và Internet.
- Cài đặt các chương trình ứng dụng phục vụ cho công việc của các nhân
viên.
3.1.1. Lựa chọn mô hình mạng

Ưu điểm:
- Dữ liệu được bảo mật an toàn, dễ backup và diệt virus, chi phí cho các
thiết bị thấp.
- Dùng ít cáp, dễ lắp đặt.
- Khi mở rộng mạng tương đối đơn giản, nếu khoảng cách xa thì có thể
dùng Repeater để khuếch đại tín hiệu.
- Việc quản trị dễ dàng (do mạng thiết kế theo mô hình xử lý tập trung).
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

18



Đồ án tốt nghiệp đại học

- Sử dụng Switch (không sử dụng Hub) vì Switch có khả năng mở rộng tối
ưu hơn Hub, tốc độ truyền dữ liệu nhanh.
- Dùng cáp STP không dùng UTP vì STP chống nhiễu, tốc độ truyền tín
hiệu nhanh, không bị nghe trộm.
- Tiết kiệm chi phí do sử dụng hệ thống mạng BootRom.
- Không sợ xảy ra trục trặc về hệ điều hành.
Nhược điểm:
- Cấu hình máy Server phải mạnh.
- Khó khăn trong việc cài đặt thêm phần mềm cho client.
- Máy Server phải cài nhiều dịch vụ cung cấp cho các máy client.
- Card mạng phải bắt buộc hỗ trợ BootRom theo chuẩn PXE với version
0.99 trở lên.
- Phụ thuộc nhiều vào Server.
- Mọi sự thay đổi trên ổ cứng ảo của Client đều không có giá trị.
- Ram của hệ thống sẽ bị giảm do được sử dụng làm cache.
- Khó đáp ứng được yêu cầu của nhiều ứng dụng khác nhau.
- Khi đoạn cáp hay các đầu nối bị hở ra thì sẽ có hai đầu cáp không nối
được với terminator nên tín hiệu sẽ bị dội ngược và làm toàn bộ hệ thống mạng phải
ngưng hoạt động. Những lỗi như thế sẽ rất khó phát hiện ra là hỏng ở chỗ nào nên công
tác quản trị rất khó khi mạng lớn.
3.1.2. Triển khai thiết bị
- Loại Mạng: VLAN.
- Topo: Kết nối mạng theo mạng hình sao chuyển đổi qua các switch layer 3.
- Số nút mạng: Tối thiểu 20 nút mạng tương ứng với số máy gia nhập
mạng của công ty.
- Internet: 2 đường ADSL sẽ do 2 nhà cung cấp khác nhau cung cấp(
VNPT và FPT).
- Cáp xoắn đôi UTP Cat5.

- Mô hình mạng: Server-Client.
- Hệ điều hành:
+ Server cài Winserver 2003 Enterpisre Edition.
+ Client cài Win Xp Pro.
- Firewall: Cài ISA Server 2006.
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

19


Đồ án tốt nghiệp đại học

3.2. Triển khai ISA Firewall cho hệ thống doanh nghiệp
Sơ đồ logic

- 1 máy Sever dùng làm File Sever có thể cài ISA Sever 2006 giúp quản lý
các đối tượng như domain, ou, group, user, máy in, và rất nhiều các đối tượng khác.
- 3 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng
định tuyến giữa các VLAN ảo của các phòng.
- 1 Router có chức năng cân bằng tải đồng thời làm ADSL nối đường
Internet của công ty ra bên ngoài.
Sơ đồ tổng thể

Dựa vào sơ đồ bố trí các phòng ban và số lượng các nhân viên của mỗi phòng ban
thì ta thiết kế được sơ đồ tổng thể.
Phạm Văn Chiến - Lớp 49k - Khoa CNTT

20



Đồ án tốt nghiệp đại học

Yêu cầu và bố trí:
- 2 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng
định tuyến giữa các VLAN ảo, mỗi tầng sẽ đặt 1 swich nối đến 3 phòng ban trong tầng
đó.
- 18 máy tính cho các phòng tiếp tân, kinh doanh, kế toán và kế hoạch
- 2 laptop dành cho phó giám đốc và giám đốc.
Sơ đồ phòng ban

Trên đây là mô hình phòng ban Kế Toán, Kinh Doanh, Tiếp Tân, kế Hoạch
Mỗi Phòng có 10 máy trong đó có 1 máy của trưởng phòng, 9 máy còn lại ta xếp theo 3
hàng dọc và 3 hàng ngang.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

21


Đồ án tốt nghiệp đại học

3.3. Cài đặt ISA Server 2006 và các dịch vụ
3.3.1. Chuẩn bị
Tên máy

IP

Subnet mask

Defaut getway


DNS Sever

172.16.1.1
192.168.1.1

172.16.1.1
192.168.1.1

Sever ISA

172.16.1.1
192.168.1.10

255.255.255.0
255.255.255.0

DC

172.16.1.2

255.255.255.0

Kế Toán

172.16.1.3

255.255.255.0

172.16.1.1


172.16.1.1

->172.16.1.30
Tiếp Tân

172.16.1.31
->172.16.1.50

255.255.255.0

172.16.1.1

172.16.1.1

Kế Hoạch

172.16.1.51
->172.16.1.70

255.255.255.0

172.16.1.1

172.16.1.1

Kinh Doanh

172.16.1.71
->172.16.1.90


255.255.255.0

172.16.1.1

172.16.1.1

Giám Đốc

172.16.1.91

255.255.255.0

172.16.1.1

172.16.1.1

P.Giám Đốc

172.16.1.92

255.255.255.0

172.16.1.1

172.16.1.1

- Nâng cấp máy DC lên Domain Controller với tên congtymtdt.com
- Tạo OU Quantri với 2 user giamdoc, pgiamdoc, group Quantri
- Tạo OU Nhanvien Với user Kế Toán, Tiếp Tân, Kế Hoạch, Kinh

Doanh và group Nhanvien
- Join máy ISA Server vào domain congtymtdt.com
- Join máy Giám Đốc vào domail congtymtdt.com
3.3.2. Nâng cấp Server lên Domain Controler
Domain name: congtymtdt.com
Click Start -> Chọn Run. Nhập vào dcpromo, ok hộp thoại cảnh báo Win 95, Win
NT sp3 trở về trước sẽ bị loại ra khỏi miền.

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

22


Đồ án tốt nghiệp đại học

Domain Controller for a new
domain: Tạo ra một Domain
mới, Server hiện thời sẽ trở
thành một Domain Controller
đầu tiên trong Domain mới này.

Hộp thoại Create New Domain
lựa chọn: Domain in a new
forest: tạo một domain hoàn
toàn mới.

Hiện cửa sổ New Domain
Name, nhập vào tên Domain:
congtymtdt.com


Phạm Văn Chiến - Lớp 49k - Khoa CNTT

23


Đồ án tốt nghiệp đại học

Hệ thống yêu cầu đặt Password,
tiếp theo là tổng hợp những
thông tin đã cấu hình Active
Directory và tiến hành cài đặt.
Sau khi kết thúc quá trình cài
đặt, Finish và khởi động lại hệ
thống.
3.3.3. Cài đặt MS ISA Server 2006 trên máy ISA Server
Mở Windows Explorer, vào thư mục chứa bộ cài ISA SERVER 2006 chạy file
isaautorun.exe
Hộp thoại Insatallation Wizard Completed, nhấn Finish

Khi ISA được cài vào thì đầu tiên ISA sẽ cấm mọi máy trong mạng “Ping” tới
máy đó. Firewall Policy trong ISA có 1 quy tắc có tên là “Last Default rule” và Rule này
là Rule mặc định không thể nào xoá được. Rule này đang thực thi 1 hành động là cấm
đoán, cấm đoán tất cả mọi hành động.
3.3.4. Cài đặt và cấu hình Firewall Client
Trên máy DC, logon Administrator
- Cài đặt ISA Firewall Cilent trong đĩa CD cài đặt (thư mục Client)
- Hộp thoại Welcome to the Install, nhấn Next

Phạm Văn Chiến - Lớp 49k - Khoa CNTT


24


Đồ án tốt nghiệp đại học

- Hộp thoại ISA Server Computer Selection, nhập vào địa chỉ IP của máy
ISA Server, nhấn Next.

3.4. Cấu hình các quy tắc
3.4.1. Giới thiệu
Sau khi cài đặt thành công ISA Sever 2006, việc tiếp theo là cần phải tạo ra các
Access Rule để quản lý mọi gói tin ra vào hệ thống.
Các bước thực hiện:
- Tạo quy tắc truy vấn DNS để phân giải tên miền.
- Tạo quy tắc cho phép các User thuộc nhóm Quanly truy cập Internet
không hạn chế.
- Tạo quy tắc cho phép các User thuộc nhóm Nhanvien chỉ được phép truy
cập một số trang web trong giờ hành chính.
- Tạo quy tắc cho phép các User thuộc nhóm Nhanvien được truy cập web
trong giờ giải lao, ngoại trừ ngoisao.net
- Không cho nghe nhạc trực tuyến, cấm chat Yahoo, cấm download file có
đuôi .exe

Phạm Văn Chiến - Lớp 49k - Khoa CNTT

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×