§å ¸n tèt nghiÖp ®¹i häc Trêng ®¹i häc vinh Khoa C«ng NghÖ th«ng tin TriÓn khai isa server 2004 trong hÖ thèng m¹ng doang nghiÖp ®å ¸n tèt nghiÖp ®¹i häc GV híng dÉn : ThS. Ph¹m ThÞ Thu HiÒn Sinh viªn thùc hiªn : Lª V¨n H©n Líp : 46K3-CNTT Vinh, 5/2010 GV híng dÉn ThS .Ph¹m ThÞ Thu HiÒn Sinh Viªn thùc hiÖn : Lª V¨n H©n 1 1 Đồ án tốt nghiệp đại học Lời cảm ơn Để có đợc vốn kiến thức tin học và đồ án tốt nghiệp, em chân thành cảm ơn: Quý Thầy Cô giáo trong khoa Công Nghệ Thông Tin -Đại học Vinh đã truyền đạt cho em kiến thức trong năm năm qua. Cô giáo Phạm Thị Thu Hiền đã hớng dẫn chỉ bảo tận tình chu đáo giúp em hoàn thành đồ án. Bạn bè trong lớp 46K3 CNTT đã chia sẻ kiến thức,kinh nghiệm. Và cuối cùng em chân thành cảm ơn gia đình đã luôn ủng hộ động viên giúp đỡ chia sẻ những khó khăn về vật chất, tinh thần trong quá trình học tập và làm đồ án. Mặc dù đã có nhiều cố gắng song không tránh khỏi sai sót. Kính mong nhận đợc sự đóng góp ý kiến của quý Thây Cô và các bạn để đồ án đợc hoàn thiện hơn. Xin chân thành cảm ơn ! Vinh, tháng 5 năm 2010 Sinh viên Lê Văn Hân Mục lục Đề mục Trang Lời giới thiệu .1 Chơng I : Các dịch vụ mạng của windows 2003 .3 1.1 Tìm hiểu về Active directory 3 1.1.1 Giới thiệu :.3 1.1.2 Hệ Thống ACTIVER DICRECTORY :.4 1.2 Hệ thống tên miền DNS 7 1.3 Mạng riêng ảo VPN 9 1.3.1 Giới thiệu: 9 1.3.2 Các loại VPN.10 1.3.2 Sản phẩm công nghệ dành cho VPN 11 Chơng 2 Firewall và ISA server 2004 .13 2.1 Định nghĩa Friewall 13 2.2 Phân loại FIREwall 13 2.2.1 Firewall phần mềm 13 2.2.2 Firewall phần cứng 13 2.2.3 Bộ đinh tuyến không dây.13 2.3 Chức năng của Firewall 13 2.4 Nguyên tắc hoạt động của Firewall .14 GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 2 2 Đồ án tốt nghiệp đại học 2.5 ISA server 2004 17 2.5.1 Giới thiệu về ISA server 2004.17 2.5.2 Đặc điểm của ISA server 2004 .18 2.5.3 Nguyên tắc hoạt động của ISA Server 2004 .19 Chơng 3: Triển Khai mô hình mạng và cài đặt cấu hình 21 3.1 Mô hình 21 3.2 Lên miền cho Domain Controller và join Client vào Domain 22 3.2.1 Lên miền cho domain controller.22 3.2.2 Join máy Client vào domain contoller26 3.3 Cài đặt ISA Server 2004 Join ISA vào Domain kkt.com . 27 3.3.1 Cài đặt ISA Sever 2004 27 3.3.2 Mở cổng 143 và 445 trên ISA Server .29 3.3.3 Join ISA vào domain kkt.com.34 3.4 Tạo các rule cơ bản .35 3.4.1 Cho phép tất cả các User truy cập Internet.35 3.4.2 Cấm User 1, User 2 truy cập vào 7 giờ sáng đến 10 giờ sáng từ thứ 2 đến thứ 7 hàng tuần.37 3.4.3 Cấm User 1 truy cập vào trang cntt.com.Khi truy cập vào trang http://cntt.com sẽ chuyển tới trang http://hntt.vn 38 3.4.4 Cấm User1 xem hình ảnh và video39 3.5 Publish web .39 GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 3 3 Đồ án tốt nghiệp đại học 3.6 Tạo VPN Client to Site .42 3.6.1 Tạo VPN Sever42 3.6.2 Tạo Rule FTP.45 3.6.3 Tạo Rule VPN.47 3.6.4 Tạo kết nối VPN Client 49 Kết luận .52 Tài liệu tham khảo.53 Lời giới thiệu Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là "thứ yếu" trong mọi hoạt động liên quan đến ứng dụng CNTT (công nghệ thông tin). Vai trò to lớn của việc ứng dụng CNTT đã và đang diền ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đợc xem nh là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90 của thế kỉ trớc, so với ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức độ công cụ, và đôi khi còn nhận thấy những công cụ đắt tiền này còn gây một số cản trở, không đem lại nhng hiệu quả thiết thực cho những tổ chức sử dụng nó. Và có những ngời tự hỏi "mua thiết bị này để làm gì nhĩ? Nó không sản xuất ra đợc sản phẩm, và nó cũng chẳng giúp công việc giảm giấy tờ đợc bao nhiêu, liệu chúng ta đã tổn hao một số tiền vô ích?". Không đâu xa những nớc láng giềng nh Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ, nhận thức đợc sự u việt của ứng dụng CNTT, và từ rất sớm họ đã đem CNTT áp dụng vào hoạt động, không chỉ sản xuất giao dịch, quản lý mà CNTT đợc mang đến mọi nhà, mọi ngời. Và họ cũng học thành thục những kĩ năng để giả quyết và điều khiển công việc rất sáng tạo từ "vũ khí " tân thời này. Thực thể quý giá phi vật chất này đang dần trở thành một đối tợng đợc săn lùng, đ- ợc kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 4 4 Đồ án tốt nghiệp đại học triển một cách mạnh mẽ nhanh chóng và bền vững. Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả. Thế giới bớc trong thể kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đờng cho các hoạt động, cho mọi ngời xích lại gần nhau hơn, khiến cho những cách biệt địa lý không còn tồn tại, dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất. ứng dụng công nghệ thông tin một cách có hiệu quả và bền vững là tiêu chí hàng đầu của nhiều quốc gia hiên nay, Việt Nam không phải là ngoại lệ. Xét trên bình diện của một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có đợc điều này. Tình hiệu quả là điều bắt buộc, và sự bền vững cũng là tất yếu. D- ới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng nhng cơ chế bảo vệ chặt chẽ, an toàn, nh vậy là góp phần duy trì tính bền vững cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doang nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm đợc nh uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau . Hacker, virut ,những khái niệm này giờ đây không còn xa lạ , và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin. Và chính vì vậy, tất cả những hệ thống này cần trang bị nh- ng công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đáng sợ đó. Ai tạo ra bức tờng lửa đủ mạnh này để thiêu cháy mọi ý đồ xâm nhập? Xin tha rằng trớc hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong một tổ chức, sự am hiểu tinh tờng của các Security Admi trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho cuộc chiến này. Đó là Firewall, và Microsoft ISA SERVER 2004 là ngời bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin. Đây cũng là lý do em chọn đề tài triển khai ISA sever 2004 trong hệ thống mạng doanh nghiệp . GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 5 5 Đồ án tốt nghiệp đại học Chơng I : Các dịch vụ mạng của windows 2003 1.1 tìm hiểu về Avtive Directory 1.1.1.Giới thiệu : Windows Server 2003 là hệ điều hành mạng hoàn thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và ngời dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lu trữ dữ liệu, cung cấp các dịch vụ cho ngời dùng. Nếu nh Windows Server 2003 có thể xem nh nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu nh tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lu trữ dữ liệu của Domain nh các đối tợng user, computer, group. Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực đợc xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào Domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ. Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu nh không thể thực hiện đợc trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 6 6 Đồ án tốt nghiệp đại học nh đa ra các chính sách chung cho toàn bộ hệ thống nhng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trờng rộng lớn. Nh vậy chức năng chính của Avtive Directory là : Lu trữ 1 danh sách tập trung các tên tài khoản ngời dùng, mật khẩu tơng ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực (Authentication Server) hoặc Server quản lý đăng nhập (Logon Server), Server này còn đuợc gọi là Domain Controller (máy điều khiển vùng). Duy trì một bảng hớng dẫn hoặc một bảng chỉ mục (Index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. Cho phép chúng ta tạo ra các tài khoản ngời dùng với những mức độ quyền khác nhau. Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (Sub Domain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ. 1.1.2. Hệ Thống ACTIVER DICRECTORY : Cấu trúc Logic : Domain : Một Domain là tập hợp các tài khoản ngời dùng và tài khoản máy tính đợc nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho Domain Controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn. Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory. Nó là ph- ơng tiện để quy định tập hợp những ngời dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng 3 chức năng chính nh sau: GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 7 7 Đồ án tốt nghiệp đại học Đóng vai trò nh một khu vực quản trị ( Administrative Boundary) các đối t- ợng, là tập hợp các định nghĩa quản trị cho các đối tợng chia sẻ nh: có chung 1 cơ sở dữ liệu th mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các Domain khác. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ. Cung cấp các Server dự phòng làm chức năng điều khiển vùng ( Domain Controller), đồng thời đảm bảo các thông tin trên các Server này đợc đồng bộ với nhau. Là trung tâm của mạng Windows Server 2000 và Windows Server 2003. Các máy điều khiển vùng (Domain Controller) hoặc là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller), đợc gọi là DC. Theo mặc định, tất cả Windows Server 2003 khi cài đặt đều là Server độc lập (Stand - Alone Server). Chơng trình DCPROMO chính là Active Directory Installation Wizard và đ- ợc dùng để nâng cấp 1 máy không phải là DC thành một máy DC và ngợc lại giáng cấp 1 máy DC thành 1 Server bình thờng. Organizational unit - Đơn vị tổ chức OU : GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 8 8 Đồ án tốt nghiệp đại học Nhóm con gồm những vùng thờng phản ánh cấu trúc kinh doanh hoặc cấu trúc chức năng của một công ty. Là những đơn vị tổ chức. Có thể chứa các user account, group Ví dụ, khi thiết kế một hệ thống thì chúng ta khảo sát hệ thống đó có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tơng ứng với các phòng ban. Trong OU, ta sẽ tạo ra các group ( có thể là gourp quản lý và group nhân viên, đều thuộc OU). Sau đó ta sẽ tạo ra các user thuộc các group tơng ứng.Trong OU có thể chứa : User : là các tài khoản ngời dùng. Khi cài đặt Active Directory sẽ có một số tài khoản built-in đợc tạo ra nh Administrator là ngời có toàn quyền quản trị hệ thống. Backup operator là nhóm và ngời dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào Domain thì ngời quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho ngời sử dụng. Các user sẽ dùng những tài khoản đợc cấp bởi Administrator để log-in và Domain. Và truy cập dữ liệu trên file Server hay các dịch vụ khác. Group: là một tập hợp những ngời dùng có những đặc tính chung, ví dụ nh các nhân viên của một phòng ban có quyền truy cập lên cùng một folder hoặc có quyền in cùng một máy in. Computer Account : đợc tạo ra để quản lý một máy tính cụ thể trong mạng Domain Tree - Vùng phân cấp : Một hay nhiều vùng dùng chung không gian tên liên tục. GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 9 9 Đồ án tốt nghiệp đại học Domain Forest - Tập hợp hệ vùng phân cấp : Một hay nhiều hệ vùng dùng chung thông tin th mục. Cấu trúc vật lý : Subnet ( mạng con) : đoạn mạng với dãy địa chỉ IP và mặt nạ mạng cụ thể. Site ( địa điểm): một hoặc nhiều mạng con dùng để lập cấu hình dịch vụ sao chép và truy cập th mục. Những công cụ quản lý Active Directory : Những công cụ quản lý Active Directory thờng cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console): Active Directory users and Computer: quản trị ngời dùng, nhóm, máy tính, và đơn vị tổ chức. Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp.H Active Directory Sites and Services : quản lý Site và mạng con. GV hớng dẫn ThS .Phạm Thị Thu Hiền Sinh Viên thực hiện : Lê Văn Hân 10 10