Hệ thống mạng LAN của Trường Đại học Kinh tế quốc dân là một hệ thống mạng mạnh. Với hệ thống mạng ở các tòa nhà A, B,C,D, 5,6,7,9,10, ký túc xá, thư viện khiến cho việc truy cập Internet cũng như việc chia sẻ tài nguyên, thông tin nội bộ diễn ra một cách dễ dàng, tiết kiệm được thời gian và tiền bạc.
Mạng của trường được kết nối với Internet bởi 1 đường truyền Leased – line tốc độ 256Kbps với 2 Pix 525E có tác dụng làm Firewall. Với 3 Proxy và 6 đường ADSL. Hệ thống mạng được phân chia bởi các Switch của Cisco với các Switch chính là bộ Seria Switch 6500 là 2 Switch 6509 và 2 Switch 6506 được đặt ở nhà A và nhà 7, các Switch này được kết nối L2, FO Singlemode (Layer 2, cáp quang, tốc độ truyền trên 1000m).
44 trang |
Chia sẻ: Dung Lona | Lượt xem: 999 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu, cài đặt về ISA2006 cho trường Đại học Kinh tế quốc dân, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
MỤC LỤC
DANH MỤC TỪ VIẾT TẮT
DMZ : Demilitarized Zone ( Vùng phi quân sự )
ISA : Internet Sercurity and Acceleration ( Bảo mật và tăng tốc Internet)
LAN : Local Area Network ( Mạng cục bộ)
VLAN : Vitural Local Area Network ( Mạng cục bộ ảo )
NEU : National Economics University ( Đại học Kinh tế quốc dân )
NCKH : Nghiên cứu khoa học
ADSL : Asymmetrical Digital Subscriber Line ( Kỹ thuật truyền được sử dụng trên đường dây từ modem của thuê bao tới Nhà cung cấp )
HDD : Hard Disk Drive ( Ổ cứng )
CPU : Centre Process Unit ( Bộ xử lý trung tâm )
RAM : Random Acess Memory ( Bộ nhớ ngẫu nhiên)
IP : Internet Protocol ( Giao thức mạng )
NIC : Network Interface Card ( Card mạng)
DHCP : Dynamic Host Configuration Protocol ( Giao thức cấu hình Host động )
DNS : Domain Name System ( Hệ thống phân giải tên miền)
VPN : Vitural Private Network ( Mạng riêng ảo)
PC : Personal Computer ( Máy tính cá nhân )
DANH MỤC HÌNH ẢNH
Hình 1 – Sơ đồ tổ chức của Trường Kinh tế quốc dân
Hình 2 – Sơ đồ kết nối vật lý Switch của Trường Kinh tế quốc dân
Hình 3 - Mô hình đơn giản về triển khai ISA
Hình 4 - Bắt đầu setup
Hình 5 – Cài đặt ISA
Hình 6, 7 , 8, 9, 10 – Các quá trình cài đặt ISA
Hinh 13 – Giao diện Access Policy
Hình 12 – Giao diện Monitoring
Hình 11- Giao diện ISA
LỜI NÓI ĐẦU
Trong quá trình học tập và nghiên cứu trong các trường Đại học, mỗi sinh viên đều được đào tạo, được trang bị một hệ thống kiến thức cơ bản và đầy đủ, để từ đó mỗi người tiếp cận hay tìm thấy một công việc phù hợp với bản thân trong thực tế. Tuy nhiên, từ lý thuyết đến thực hành là cả một chặng đường dài. Vì thế, đợt đi thực tập lần này đối với tôi có ý nghĩa to lớn. Trước hết, tôi có thể tiếp xúc trực tiếp với công việc thực tế trong lĩnh vực quản trị mạng, đồng thời từ đó giúp tôi củng cố lại các kiến thức đã tích luỹ trong thời gian học ở trường một cách hệ thống hơn. Một điều vô cùng quan trọng nữa là tôi có cái nhìn tổng quát hơn về hệ thống mạng nói chung cũng như hệ thống mạng trường Đại học Kinh tế quốc dân nói chung. Nó giúp tôi trang bị những kiến thức và có thể học tập, cập nhật những kiến thức mới.
Cùng với sự phát triển của Công nghệ thông tin mà việc trao đổi thông tin của con người ngày cang dễ dàng, nhanh chóng, tiết kiệm thời gian và tiền bạc. Hệ thống mạng đóng góp một phần không nhỏ vào quá trình đó. Hệ thống mạng của Trường Đại học Kinh tế quốc dân cũng vậy, nó giúp việc trao đổi, liên lạc giữa các phòng ban, các dãy nhà trong trường, giữa các cá nhân với nhau,... diễn ra một cách dễ dàng và nhanh chóng hơn.
Đề tài của tôi là: Nghiên cứu, cài đặt về ISA2006 cho trường Đại học Kinh tế quốc dân. Hiện tại sự bảo mật, chức năng tường lửa là rất quan trọng trong quản trị mạng. Trường Kinh tế quốc dân cũng không fải là trường hợp ngoại lệ bởi tính cấp thiết của nó. Việc nâng cấp các chức năng bảo mật hay tường lửa là điều vô cùng quan trọng, nó ảnh hưởng rất nhiều tới hệ thống mạng cũng như toàn thể cơ quan làm việc. Hiện tại Trường KTQD đang dùng bản ISA 2004, ISA2006 là phiên bản mới của Microsoft được nâng cấp. Tôi mong rằng với các tính năng ưu việt của nó, sẽ là một phần trong hệ thống quản trị mạng của Trường trong tương lai.
Trong thời gian thực tập, tôi đã nhận được sự giúp đỡ, chỉ bảo tận tình của các cán bộ trong Trung tâm quản trị mạng của Trường Đại học Kinh tế quốc dân. Đặc biệt là sự giúp đỡ chỉ bảo nhiệt tình của cô Nguyễn Thanh Hương. Tôi xin bày tỏ sự cảm ơn tới cô và các anh chị trong Trung tâm Quản trị mạng. Mặc dù đã cố gắng hết sức, nhưng vì kiến thức còn có hạn nên không tránh khỏ thiếu sót nên mong độc giả và mọi người chỉ bảo, giúp đỡ. Tôi xin chân thành cảm ơn!
Hà Nội Ngày 18/2/2008
Sinh viên
Nguyễn Thị Thu Hiền
I. GIỚI THIỆU CHUNG VỀ CƠ SỞ THỰC TẬP
I.1. QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIỂN ĐẠI HỌC KINH TẾ QUỐC DÂN HÀ NỘI
Tên giao dịch quốc tế: Nationla Economics University (NEU).
Hiệu trưởng: GS.TS Nguyễn Văn Thường.
Website: www.neu.edu.vn
Địa chỉ: 207 Đường Giải phóng - Quận Hai Bà Trưng - Hà Nội.
Điện thoại: 046280280 (tổng đài).
Đại học Kinh tế quốc dân được thành lập theo nghị định số 678-TTg ngày 25 tháng 1 năm 1956 với tên gọi ban đầu là Trường Kinh tế Tài chính.
Sau nhiều sự thay đổi, ngày 22 tháng 10 năm 1985, Bộ trưởng Bộ Đại học và Trung học chuyên nghiệp (nay là Bộ giáo dục và Đào tạo) ra quyết định số 1443/QĐ-KH đổi tên thành Trường Đại học Kinh tế quốc dân. Trường đã được công nhận là một trong sáu trường đại học trọng điểm của cả nước.
Trường Đại học Kinh tế quốc dân là một trong những trường hàng đầu về đào tạo, Trường có nhiệm vụ: Đào tạo cán bộ quản lý kinh tế và quản trị kinh doanh bậc đại học và sau đại học. Tư vấn về chính sách vĩ mô cho Đảng và Nhà nước. Tư vấn và trung tâm chuyển giao công nghệ quản lý kinh tế và quản trị kinh doanh.
Trải qua hơn 50 năm xây dựng và phát triển, Đại học Kinh tế quốc dân có một bề dày về lịch sử phát triển và thành tựu. Trường luôn giữ vững vị trí là:
Trung tâm đào tạo và bồi dưỡng cán bộ quản lý kinh tế và quản trị kinh doanh lớn nhất nước.
Trung tâm nghiên cứu khoa học kinh tế
Trung tâm tư vấn và chuyển giao công nghệ quản lý kinh tế và quản trị kinh doanh.
I.1. 1 Cơ cấu tổ chức
Hình 1 - Sơ đồ tổ chức Trường Đại học Kinh tế quốc dân
Trường hiện có 32.000 sinh viên, 599 giáo viên (trong đó có 27 Giáo sư và 70 Phó Giáo sư, 204 Tiến sĩ và 240 Thạc sĩ) và 22 khoa đào tạo thuộc 7 khối chuyên nghành khác nhau, đó là Kinh tế, Quản trị Kinh doanh, Ngân hàng – Tài chính, Kế toán, Hệ thống thông tin kinh tế, Luật học và Khoa học máy tính. Bên cạnh đó có các chương trình đào tạo cấp bằng Cử nhân, Thạc sĩ và Tiến sĩ, Trường còn thường xuyên tổ chức các khoá bồi dưỡng chuyên môn ngắn hạn về quản lý kinh tế và quản trị kinh doanh cho các cán bộ quản lý các doanh nghiệp và các cán bộ kinh tế trên phạm vi toàn quốc.
Trường là trung tâm nghiên cứu khoa học kinh tế phục vụ đào tạo, hoạch định chính sách kinh tế của Đảng và nhà nước, các ngành, các địa phương và chiến lược kinh doanh của các doanh nghiệp. Trường chính là cái nôi của các công trình nghiên cứu lớn về kinh tế và kinh doanh ở Việt Nam. Trường được Chính phủ trực tiếp giao rất nhiều đề tài lớn và quan trọng. Ngoài ra trường còn hợp tác nghiên cứu với rất nhiều trường và tổ chức quốc tế.
Trong suốt 50 năm qua, Trường luôn nhận được sự quan tâm toàn diện, sâu sắc của Ban chấp hành Trung ương Đảng, Quốc Hội, Nhà nước và Chính phủ, sự chỉ đạo trực tiếp, sát sao, tận tình của Bộ Giáo dục & Đào tạo, Thành uỷ và Uỷ ban nhân dân thành phố Hà nội, sự ủng hộ nhiệt tình của các Ban, Ngành Trung ương, các địa phương và các doanh nghiệp, sự giúp đỡ hợp tác tích cực có hiệu quả của nhiều tổ chức quốc tế, nhiều trường đại học lớn trong khu vực và trên thế giới. Cùng với truyền thống đoàn kết, tinh thần tự lực, tự cường, tập thể giáo viên, cán bộ CNV nhà trường đã chủ động, sáng tạo, đi đầu vượt khó, vững bước vươn lên hoàn thành xuất sắc nhiệm vụ đào tạo nguồn nhân lực có chất lượng cao, nghiên cứu khoa học xây dựng các luận cứ khoa học làm cơ sở cho việc hoạch định các chính sách phát triển kinh tế, đáp ứng kịp thời yêu cầu của sự nghiệp đổi mới của Đảng.
Trường có quan hệ trao đổi, hợp tác nghiên cứu và đào tạo với nhiều trường đại học, viện nghiên cứu nổi tiếng và nhiều tổ chức quốc tế như các nước SNG, Trung Quốc, Bungari, Anh, Pháp, Mỹ, Úc, Hà Lan,... Đặc biệt trường cong nhận được tài trợ của các nước và các tổ chức quốc tế như tổ chức OAD ( Vương quốc Anh), Ngân hàng thế giới, UNDP, Quỹ Ford (Mỹ),... để tổ chức nghêin cứu, xây dựng chương trình đào tạo và mở các khoá học đào tạo Thạc sĩ tại Trường về Quản trị kinh doanh, Kinh tế Tài chính, Kinh tế phát triển, các lớp bồi dưỡng về kinh tế thị trường,... Đồng thời, Trường còn có quan hệ với nhiều công ty nước ngoài trong việc đào tạo, nghiên cứu và cấp học bổng cho sinh viên.
Trường đã đạt được rất nhiều thành tựu to lớn và đã được trao tặng nhiều danh hiệu cao quý của Đảng và Nhà nước như: Huân chương Lao động hạng Ba (giai đoạn 1961-1972), hạng Hai (1978), hạng Nhất (1983), Huân chương Độc lập hạng Ba (1986), hạng Hai (1991) và hạng Nhất (1996), danh hiệu Anh hung Lao động năm 2000 và Huân chương Hồ Chí Minh năm 2001.
I.1.2. Chức năng đào tạo của trường:
Trong 50 năm qua, trường đã đào tạo được trên 56.300 sinh viên,trong đó có 25.000 cử nhân dài hạn tập trung, 20.000 cử nhân tại chức, 5.000 cử nhân bằng II, 3.500 cử nhân hệ chuyên tu, 320 cử nhân KV, 580 tiến sỹ, 1.800 thạc sỹ, 103 cử nhân cho bạn là Lào và Cămpuchia và mở 12 khoá đào tạo cử nhân tại Cămpuchia.
Ngoài ra, trường còn tổ chức bồi dưỡng kiến thức đại học và sau đại học cho khoảng hơn 55.000 cán bộ kinh tế, kinh doanh cho cả nước.
Trường luôn là đơn vị dẫn đầu trong khối các trường đại học về đào tạo đội ngũ cán bộ quản lý kinh tế và quản trị kinh doanh có chất lượng cao trong cả nước. Trường là cái nôi của nhiều trường đại học trong khối kinh tế, đồng thời cũng là nguồn cung cấp nhiều cán bộ giảng dạy cho các trường Đại học và Cao đẳng thuộc khối kinh tế.
Tập thể cán bộ, giáo viên, công nhân viên của Trường luôn chủ động, sáng tạo, khắc phục khó khăn đi đầu đổi mới và đổi mới thành công, toàn diện, vững chắc về cả nội dung, chương trình, giáo trình, phương pháp giảng dạy và cơ cấu ngành nghề đào tạo.
Kết quả là, hệ thống chương trình, giáo trình tiếp tục được biên soạn lại, biên soạn mới; tính từ 1996 đến nay trường đã biên soạn lại và biên soạn mới254 giáo trình, nhiều giáo trình đã được Bộ giáo và Đào tạo đánh giá cao và sử dụng làm giáo trình chuẩn cho các trường đại học thuộc khối kinh tế của cả nước nghiên cứu và học tập. Đổi mới và xây dựng được 90 chương trình đào tạo cho 5 nhóm ngành kinh tế và quản trị kinh doanh, 1 chuyên ngành Công nghệ thông tin và 01 chuyên ngành Luật kinh doanh.
Cơ cấu ngành nghề từ 17 chuyên ngành năm 1996 đến nay đã phát triển thành 34 chuyên ngành đào tạo.
Quy mô đào tạo từ 22.000 sinh viên năm 1996 đến nay quy mô đào tạo của trường là trên 30.000, riêng hệ Sau đại học tăng từ 800 học viên năm 1996 lên 1292 học viên năm 2004. Bồi dưỡng kiến thức kinh tế cho hơn 10.000 cán bộ kinh tế, kinh doanh cho các địa phương và doanh nghiệp.
Trường hiện đang liên kết đào tạo với 32 bộ, ngành và các tỉnh, thành trong cả nước.
Tỷ lệ sinh viên đạt Khá, Giỏi tăng từ 45,2% năm 1996 lên 72,5% năm 2004. Khoảng 90% số sinh viên tốt nghiệp ra trường hàng năm đã được nhận vào làm việc trong các cơ quan, tổ chức, doanh nghiệp. Sinh viên ra trường đã thể hiện được bản lĩnh chính trị, bản lĩnh khoa học vững vàng, có đạo đức, có khả năng thích ứng nhanh trong cơ chế thị trường; được các cơ quan, tổ chức, doanh nghiệp tín nhiệm và đánh giá cao.Hiện có hàng trăm người đang giữ các trọng trách lớn tại các cơ quan Đảng, Quốc hội, Chính phủ, các Bộ ngành, các đoàn thể cũng như tại các địa phương, doanh nghiệp.
I.1.3. Công tác nghiên cứu khoa học:
Hoạt động nghiên cứu khoa học là một trong những hoạt động đi đầu có tính sáng tạo cao trong nhà trường
Trường được Bộ chính trị tín nhiệm giao tham gia biên soạn các văn kiện cho Đại hội VIII, IX và nhiều Hội nghị TW, chủ trì nhiều đề tài khoa học cấp Nhà nước. Kết quả nghiên cứu của các đề tài đã là cơ sở khoa học quan trọng giúp Đảng, Chính phủ xây dựng và hoạch định các chính sách phát triển kinh tế xã hội trong thời kỳ đổi mới ở nước ta như: Chương trình KHXH03: Xây dựng và hoàn thiện quan hệ sản xuất theo định hướng XHCN, thực hiện tiến bộ và công bằng xã hội (giai đoạn 1996-2000), Thực trạng và giải pháp đảm bảo sản xuất và đời sống của các hộ nông dân không đất hoặc thiếu đất ở đồng bằng sông Cửu long; Thực trạng và giải pháp phát triển kinh tế trang trạng thời kỳ CNH, HĐH, Hội thảo khoa học chủ đề: Chính sách và các hình thức tổ chức sản xuất trong nông nghiệp nông thôn VN thập niên đầu thế kỷ XXI, liên kết nghiên cứu đề tài với Đại học Thamasat (Thái Lan) năm 1996, ĐH Vũ Hán (Trung quốc) năm 2000.... Hoạt động nghiên cứu khoa học hướng vào 4 mục tiêu cơ bản: nghiên cứu tư vấn hoạch định chủ trương đổi mới nền kinh tế của Đảng, Nhà nước; nghiên cứu phục vụ đào tạo; nghiên cứu khoa học ứng dụng giúp các ngành, các địa phương và các doanh nghiệp; tổ chức triển khai có hiệu quả công tác nghiên cứu khoa học trong sinh viên. Từ năm 1996 đến 2001, trường đã thực hiện 2 chương trình và 20 đề tài, dự án cấp Nhà nước, 127 đề tài cấp Bộ, 154 đề tài cơ sở và hàng trăm đề tài hợp đồng với các ngành, các địa phương và doanh nghiệp. 82 sinh viên đã đoạt giải thưởng về thành tích NCKH. 90% giáo viên có thâm niên công tác từ 5 năm trở lên tham gia NCKH.
I.1.4. Xây dựng đội ngũ:
Trường Đại học KTQD là nơi đào tạo và cung cấp nhiều cán bộ quản lý, giảng dạy, nghiên cứu và cho các trường Đại học và Cao đẳng thuộc khối kinh tế trong cả nước. Trường luôn coi trọng việc xây dựng đội ngũ giáo viên, cán bộ quản lý có chất lượng cao, đội ngũ những người phục vụ nhiệt tình, có trách nhiệm trên cả 3 mặt đạo đức nghề nghiệp; năng lực chuyên môn; phương pháp giảng dạy và công tác. Bên cạnh việc đào tạo lại đội ngũ cán bộ cũ trường luôn tích cực quan tâm bồi đưỡng đội ngũ kế cận, nhờ vậy trình độ năng lực chuyên môn đã khắc phục về cơ bản được những khiếm khuyết đáp ứng nhanh yêu cầu về năng lực của đội ngũ trong cơ chế mới.
Số cán bộ giảng dạy 557 trong đó số cán bộ giảng dạy có trình độ trên Đại học chiếm trên 40,9%.
Củng cố và hoàn thiện tổ chức bộ máy và thể chế lãnh đạo quản lý của trường không ngừng nâng cao hiệu lực và hiệu quả quản lý vừa đảm bảo sự lãnh đạo tập trung, thống nhất của Đảng bộ và lãnh đạo cấp trường vừa phát huy quyền chủ động sáng tạo của các tổ chức quần chúng trong mọi hoạt động nhằm hướng vào mục tiêu nâng cao chất lượng đào tạo và NCKH.
I.1.5. Cơ sở vật chất:
Đời sống của giáo viên, cán bộ CNV không ngừng được cải thiện, cơ sở vật chất nhà trường về cơ bản đã đáp ứng được yêu cầu của hoạt động giảng dạy và học tập trong nhà trường.
Sửa chữa nâng cấp cải tạo hệ thống giảng đường cũ; xây thêm một nhà 5 tầng đưa tổng số phòng học lên 125 phòng với hệ thống ánh sáng, quạt, bàn ghế đủ đáp ứng nhu cầu học tập của sinh viên. Xây thêm một nhà KTX 5 tầng với 130 phòng ở, 01 nhà làm việc 5 tầng với 01phòng Hội thảo lớn. Trang thiết bị văn phòng được bổ sung về cơ bản đủ năng lực đáp ứng công tác phục vụ giảng dạy, học tập và NCKH. Hệ thống máy tính được nối mạng cục bộ trong một số khoa, phòng, ban, nhiều máy tính được nối mạng Internet. 02 trang WEB của trường đã được đưa lên mạng thông tin quốc tế. Hệ thống thư viện nhà trường đủ phục vụ cho sinh viên và nghiên cứu sinh với 105.000 đầu sách và 245 báo và tạp chí.
I.6.1. Trung tâm quản trị mạng
Trung tâm quản trị mạng trực thuộc phòng Quản lý máy tính và quản trị mạng. Trung tâm chịu trách nhiệm quản lý hệ thống mạng của toà trường, hệ thống mạng giữa các dãy nhà trong trường và các phòng ban. Ban đầu, chỉ có 2 trung tâm là : - Trung tâm tin học và quản lý kinh tế
- Trung tâm quản trị mạng máy tính
Ngày 4/11/2006 thành lập phòng Quản lý máy tính và quản trị mạng trên cơ sở sát nhập 2 Trung tâm tin học kinh tế và Trung tâm quản trị mạng máy tính
Nhân sự của phòng
GS.TS Hoàng Ngọc Việt ( Trưởng phòng)
PGS.TS. Cao Đình Thi – Phó phòng (Giám đốc Trung tâm quản lý máy tính)
PGS.TS Lê Văn Năm ( Phó phòng – Giám đốc Trung tâm quản trị mạng).
Ngô Đức Nghị - Kỹ sư
Đoàn Quang Minh - Kỹ sư
Hà Lâm Tùng - Kỹ sư
Đỗ Văn Sang - Kỹ sư
Nguyễn Trung Kiên - Kỹ sư
Hoàng Thị Hiền - Trực tổng đài
Trần Thị Thanh Hương – Văn Thư
Trần Trung Hiếu - Kỹ sư
Nguyễn Văn Xê - Kỹ sư
Nguyễn Thị Lan Hương – Văn Thư
Trần Lê Lâm - Kỹ sư
Tất cả hệ thống mạng của trường chịu sự quản lý của trung tâm quản trị mạng, từ đây là sự kết nối mạng, sự trao đổi thông tin, tài liệu giữa các phòng ban, giữa các Viện, Trung tâm, các Khoa, trong trường với nhau. Trung tâm
Quản lý hệ thống mạng chủ của trường, các dịch vụ mail, web, dịch vụ đào tạo CSDL, phục vụ thi trắc nghiệm
Quản lý hệ thống mạng phần cứng: thiết bị mạng Cisco, Wifi, hệ thống tổng đài điện thoại nội bộ.
Quản lý hệ thống máy tính của các phòng ban.
Viết các phần mền hệ thống như: tổng đài điện thoại, chạy tra cứu, các đề tài khoa học cấp bộ, phần mềm khai thác CSDL điện tử theo WB-C, WB-B.
Quản lý hệ thống mạng chung toàn trường
Xử lý, triển khai, lắp đặt mở rộng mạng.
Phục vụ máy tính và máy chủ phục vụ cáckỳ thi trắc nghiệm cho trường.
Phục vụ đăng ký học tín chỉ.
II. HỆ THỐNG MẠNG CỦA TRƯỜNG KINH TẾ QUỐC DÂN
II.1. TỔNG QUAN
Hệ thống mạng LAN của Trường Đại học Kinh tế quốc dân là một hệ thống mạng mạnh. Với hệ thống mạng ở các tòa nhà A, B,C,D, 5,6,7,9,10, ký túc xá, thư viện khiến cho việc truy cập Internet cũng như việc chia sẻ tài nguyên, thông tin nội bộ diễn ra một cách dễ dàng, tiết kiệm được thời gian và tiền bạc.
Mạng của trường được kết nối với Internet bởi 1 đường truyền Leased – line tốc độ 256Kbps với 2 Pix 525E có tác dụng làm Firewall. Với 3 Proxy và 6 đường ADSL. Hệ thống mạng được phân chia bởi các Switch của Cisco với các Switch chính là bộ Seria Switch 6500 là 2 Switch 6509 và 2 Switch 6506 được đặt ở nhà A và nhà 7, các Switch này được kết nối L2, FO Singlemode (Layer 2, cáp quang, tốc độ truyền trên 1000m).
Switch 6506 – 1 đặt ở Building A có tác dụng như 1 firewall, còn Switch 6506 – 2 có tác dụng phát hiện các xâm nhập và cân bằng giữa Switch 6509 – 1 và Switch 6509 – 2.
Với 9 modul cho mỗi Switch 6509, các bộ chuyển mạch này đã kết nối mạng tới các tòa nhà khác như C, D, 10, 9, 5, 6 ,các nhà trong Ký túc xá, Thư viện, các Trung tâm, các Viện bởi kết nối L2, Multimode hoặc L2, Singlemode. Các Switch đặt tại các tòa nhà, các trung tâm này là Switch 3550 – 24 – SMI , Switch 2950 – 24, Switch 3550 – 12T.
STT
Vị trí đặt Switch
Loại Switch
VTP Domain
VTP Mode
Nhà A3
Switch 6509
NEU.EDU.VN
SERVER
Nhà A3
Switch 6506
A1.NEU
SERVER
Nhà 7
Switch 6509
BUILDING9.NEU
SERVER
Nhà C
Switch 3560
C.NEU
SERVER
Nhà TT Thư viện
Switch 4506
LIBRARY.NEU
SERVER
- Số lượng PC: gần 3000.
Hệ điều hành: Window XP
HDD: 40GB
RAM: 256
Server : 19 máy, Hệ điều hành: Unix
Tham số cài đặt cho VLAN Database trên Switch
STT
VLAN Name
VLAN ID
Địa chỉ IP/Subnet VLAN
Chức năng của VLAN
Default
1
None
Vlan Trunk: Kết nối L2 các Switch với nhau.
BuildingA
15
192.168.15.0
Phục vụ cho các máy trạm thuộc Buiding A– TT thông tin của Trường ĐHKT
BuildingB
2
192.168.2.0
Phục vụ cho các máy trạm thuộc Buiding B
BuildingC
3
192.168.3.0
Phục vụ cho các máy trạm thuộc Buiding C - dự án WB-B
BuildingD
4
192.168.4.0
Phục vụ cho các máy trạm thuộc Buiding D
EVNpop
5
192.168.5.0
Phục vụ cho các máy trạm thuộc toà nhà Environmental & Poplation Centre (Trung tâm dân số)
Itadmin
6
192.168.6.0
Phục vụ cho các máy trạm thuộc tào nhà IT Centre for Econominal and administrator
Library
7
192.168.7.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Library
InstituteSearch
8
192.168.8.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Institute of search economic & development (No. 9 Building):
Buiding7
9
192.168.9.0 /24
Phục vụ cho các máy trạm thuộc Building 7
BusinessAdm
10
192.168.10.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Institute od Business Administration Building (VQTKD)
Building6
11
192.168.11.0 /24
Phục vụ cho các máy trạm thuộc Buiding 6
Building5
12
192.168.12.0 /24
Phục vụ cho các máy trạm thuộc Buiding CVFG (Building5)
Building10
13
192.168.13.0 /24
Phục vụ cho các máy trạm thuộc Buiding 10
Hostel11
14
192.168.14.0 /24
Phục vụ cho các máy trạm thuộc toà nhà Hostel 11
BuildingA2
16
192.168.16.0 /24
Phục vụ cho các máy trạm thuộc TT Tư vấn kinh tế và kinh doanh
Library1
17
192.168.17.0 /24
Phục vụ các máy trạm nâng cấp TT Thư viện
Library2
18
192.168.18.0 /24
Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 43 máy tính
Library3
19
192.168.19.0 /24
Phục vụ cho các máy trạm của 03 phòng học, mỗi phòng có 33 máy tính
ITAdmin1
20
192.168.20.0 /24
Phục vụ cho các máy tính nâng cấp của TT tin học (~300 máy)
BuildingC1
21
192.168.21.0 /24
Phục vụ cho 03 phòng học nhà C, mỗi phòng có ~ 41 máy tính
BuildingC2
22
192.168.22.0 /24
Phục vụ cho 05 phòng học nhà C, mỗi phòng có ~ 43 máy tính
BuildingC3
23
192.168.23.0 /24
Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ nhât và thứ hai)
BuildingC4
24
192.168.24.0 /24
Phục vụ cho 02 phòng học nhà C, mỗi phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ ba và thứ tư)
Health Centre
25
192.168.25.0 /24
Phục vụ các máy tính thuộc Trung tâm Y tế của Trường
Hostel1234
26
192.168.26.0 /24
Phục vụ 04 phòng học cho 04 KTX sinh viên từ thư 1 đến thứ 4, mỗi phòng ~ 40 máy tính.
ServerFarm
90
192.168.0.0 /24
Các máy chủ của Trung tâm thông tin của Trường
IPPBX
70
192.168.70.0 /24
Phục vụ cho tổng đài cung cấp dịch vụ IP Phone
IPTVFarm
60
192.168.60.0 /24
Phục vụ cho các máy chủ cung cấp dịch vụ IPTV
Gateway
100
192.168.100.0 /24
Vlan cầu nối giữa trung tâm thông tin của Trường với vlan tại cac toà nhà
ProxyClient
101
192.168.101.0 /24
Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy
ProxyServer
102
192.168.102.0 /24
Vlan phục vụ mục đích loadsharing 02 máy chủ Proxy
DmzFarm
201
192.168.1.0 /24
Vlan cầu nỗi giữa 02 Firewall: FWSM và Pix 525E
BSNEU_SF
80
192.168.80.0 /24
Phục vụ các máy chủ của Viện quản trị kinh doanh
II.2. HỆ THỐNG ISA CỦA TRƯỜNG KTQD
Hiện nay trường đang dùng ISA 2004 phiên bản Enterprise, chức năng như 1 firewall. ISA cài trên 3 con máy chủ Proxy.
Phiên bản mà hiện nay trường Đại học Kinh tế quốc dân đang dùng là phiên bản ISA 2004. Cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất. So với bản 2000 thì ISA 2004 hay hơn ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác không cho lên mạng trong giờ làm việc. Trên ISA2000 không hoạt động được như 1 VPN Server. Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều.
Hệ thống NEULan đang dùng ISA Server 2004 phiên bản Enterprise. ISA Server 2004 có 2 phiên bản Standard và Enterprise phục vụ cho 2 môi trường làm việc khác nhau. Bản Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Bản Enterprise được sử dụng trong các môi trường có các mô hình mạng lớn, đáp ứng yêu cầu truy xuất của người dung bên trong và ngoài hệ thống. Chức năng chính của ISA là xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dung theo giao thức thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu cho văn phòng chi nhánh. Ngoài ra thì ISA 2004 còn cho phép triển khai các vùng phi quân sự (DMZ) ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, thì ISA2004 còn có hệ thống đệm Cache giúp kết nối Internet nhanh hơn do thông tin trang Web có thể được lưu sẵn trên RAM hay trên đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng cân bằng tải.
ISA 2004 hoạt động như một Firewall, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ, gồm mạng nội bộ của Trường, mạng vành đai ( DMZ) và mạng công cộng Internet.
Tại Trường hiện nay có 3 máy chủ Proxy, ISA 2004 cấu hình thành một máy chủ Web Proxy cho phép truy nhập an toàn tới các tài nguyên Internet. ISA vận hành như một máy chủ Proxy cho các máy Web proxy và Firewall
III. GIỚI THIỆU VỀ ĐỀ TÀI
III.1. Giới thiệu chung
ISA là gì? ISA : Internet Sercurity Acceleration.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).
ISA Server về căn bản là 1 tường lửa (Firewall) được thiết kế nhằm đảm bảo những luồng thông tin không cần thiết từ Internet sẽ bị chặn lại ở bên ngoài mạng máy tính của một tổ chức. Đồng thời, ISA Server cũng có thể sử dụng để cung cấp phương thức truy cập Internet (đối với người sử dụng bên trong mạng nội bộ); hay cung cấp cách truy nhập một cách chọn lọc vào những nguồn tài nguyên bên trong mạng nội bộ như là Web hay Email (đối với người sử dụng Internet) . ISA Server thường được triển khai ở vành đai mạng của một tổ chức, là nơi mạng nội bộ kết nối với một mạng bên ngoài.
Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006. Bản phổ biến hiện nay là bản ISA2004 .
ISA Server là thành phần quan trọng trong kế hoạch tổng thể nhằm bảo mật mạng máy tính của một tổ chức. Do được triển khai tại điểm nối giữa mạng nội bộ và mạng Internet nên ISA Server đóng vai trò rất quan trọng. Hầu hết các tổ chức đều phân cấp các mức truy cập vào Internet cho người sử dụng. ISA Server dùng để áp đặt các chính sách bảo mật tới người sử dụng khi truy cập Internet. Đồng thời, nhiều tổ chức cũng cho phép những người sử dụng từ xa dùng một số kiểu truy cập vào các máy chủ nội bộ. Ví dụ như hầu hết các tổ chức cho phép các máy chủ email trên mạng Internet. Nhiều công ty cũng đặt máy chủ của Website nội bộ, hoặc cho phép các nhân viên của họ có thể truy cập vào các tài nguyên nội bộ từ mạng Internet. ISA Server có thể dùng để đảm bảo rằng truy cập vào những tài nguyên nội bộ này được bảo mật.
III.2.Hoạt động của ISA – Tổng quan
ISA Server được thiết kế để bảo mật vành đai mạng của 1 tổ chức. Trong hầu hết các trường hợp vành đai gày nằm giữa mạng nội bộ của tổ chức (LAN) và một mạng công cộng như mạng Internet.
VD:
Hình 3 - Mô hình đơn giản về triển khai ISA
Trên đây là ví dụ đơn giản về việc triển khai một ISA Server. Mạng nội bộ hay mạng được bảo vệ thường nằm trong ranh giới của tổ chức và dưới sự điều khiển của đội ngũ nhân viên IT của tổ chức đó. Mạng nội bộ được coi là tương đối an toàn; có ý nghĩa là thường chỉ có users được ủy quyền mới có thể truy cập vật lý vào mạng nội bộ. Cũng vậy, đội ngũ nhân viên IT có quyền kiểm soát lớn về những loại thông tin được phép trong mạng nội bộ.
Nếu một tổ chức không có sự kiểm soát về những ai đang truy cập vào mạng Internet hay về việc bảo mật lưu lượng của mạng Internet thì bất cứ ai trên thế giới với một kết nối Internet có thể định vị và truy cập vào bất cứ kết nối Internet để sử dụng hầu hết các ứng dụng hay giao thức.
III.3. Cài đặt , cấu hình.
Để cài và sử dụng hệ thống ISA ta cần các máy DHCP, DNS, DC, 1 máy client để test
Để sử dụng ISA, chúng ta cần :
Một máy tính cá nhân với tốc độ xử lý trên 550MHz
Hệ điều hành Window Server 2003 Service Pack 1 (SP1) hoặc Window Server R2.
256 MB của bộ nhớ
150MB trống sẵn có của ổ cứng. Đây là ổ dành riêng khi bạn muốn sử dụng để lưu trữ.
Một Card mạng tương thích với hệ điều hành của máy tính, cho giao tiếp với mạng nội bộ.
Cộng thêm một Card mạng cho mỗi mạng để kết nối tới máy ISA Server.
Một phân vùng ổ cứng với định dạng NTFS.
Để cài Win Server 2003 chúng ta cần cài thêm một máy ảo, phần mềm cài máy ảo có thể sử dụng Virtual PC 2007 hoặc VMWare đang rất phổ biến hiện nay.
Sau khi đã thỏa mãn những điều kiện để cài đặt ISA như trên, chúng ta tiến hành Setup ISA 2006.
Có thể cài từ đĩa CD hoặc chạy Autorun.exe từ bộ cài.
III.3.1. Cài đặt ISA Server
- Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache.
- Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam và file đính kèm (cần phải cài IIS 6.0 SMTP trước khi cài Message Screener); Firewall Client Installation Share.
- Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2006.
Ở phần này, chúng ta sử dụng chế độ Typical
Trong cài đặt Microsoft ISA, click vào Install Microsoft ISA
Hình 4 - Bắt đầu setup
Nhấn Next để ISA tự động setup
Hình 5 – Cài đặt ISA
Đồng ý với các lựa chọn được bản quyền cho phép
Hình 6
Serial Product:
Hình 7
Chọn chế độ Typical
Hình 8 – Chọn chế độ
Đợi chương trình tự động chạy
Hình 9
Nhập dải địa chỉ Start IP và End IP trong mạng Local của chúng ta, add vào để tạo một dải địa chỉ IP. Những máy nằm ngoài IP này thì đương nhiên được coi là ngoài vùng phủ sóng.
Hình 10
Và ở bảng tiếp theo, chúng ta cài đặt Firewall client cho Server. Nếu ko thì bỏ qua và nhấn Next.
Tiếp tục chọn Next và chọn Install để ISA tiến hành cài đặt. Sau khi cài đặt xong, nhấn Finish để kết thúc quá trình Setup và chờ Server khởi động lại theo yêu cầu của ISA Server 2006.
Giao diện chính của ISA 2006
Hình 11- Giao diện ISA
Giao diện Monitoring của ISA
Hình 12 – Giao diện Monitoring
Giao diện của Access Policy, tại đây cài đặt các chính sách mà chúng ta đặt ra, ví dụ như:
- www.neu.edu.vn Deny (không cho truy cập vào Website www.neu.edu.vn )
Hinh 13 – Giao diện Access Policy
III.3.2. Kết nối ISA Server với Internet và cấu hình các ISA Client
ISA Server 2006 Firewall có 3 dạng chính sách bảo mật: System policy, Access rule và Publishing rule.
- System policy thường ẩn và được dùng cho việc trong tương tác giữa Firewall và các dịch vụ mạng khác như ICMP, RDPSystem policy được xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như: DHCP, RDP, Ping
- Access rule: là tập hợp các quy tắc truy cập Internet hay Email. Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của Firewall sẽ chấm dứt khi nó gặp policy chặn lại. Ví dụ:
1. Deny Web www.neu.edu.vn (Không cho phép truy cập trang web www.neu.edu.vn )
2. Allow Website www.neu.edu.vn (Cho phép truy cập trang web www.neu.edu.vn )
Chúng ta sẽ không truy cập được vào website www.neu.edu.vn vì ngay ở Access rule đầu tiên đã từ chối.
- Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập.
Khi quá trình cài đặt ISA Server 2006 hoàn tất, chúng ta kết nối ISA Server với Internet và cấu hình các ISA Server client để có thể truy cập Internet thông qua ISA Server với Firewall. Mặc định ISA Server chỉ có một access rule sau khi cài đặt là Deny All, từ chối mọi truy cập vào/ra thông qua ISA Firewall, vì vậy chúng ta cần tạo ra các quy tắc thích hợp với nhu cầu tổ chức hoặc áp dụng các quy tắc mẫu cho ISA Server. Bạn có thể cấu hình ISA Firewall Policy thông qua giao diện ISA Management Console trên chính ISA Server hoặc cài công cụ quản lý ISA Management Console trên một máy khác và kết nối ISA Server để thực hiện thao tác quản trị từ xa. Giao diện quản lý của ISA Server Management Console có 3 phần chính:
Khung bên trái để duyệt các chức năng chính như Server Nam, Monitoring, Firewall Policy, Cache
Khung ở giữa hiển thị chi tiết các thành phần chính mà chúng ta chọn như System Policy, Access Rule,...
Khung bên phải còn được gọi là Taks Pane chứa các tác vụ đặc biệt như Publishing Server, Enable VPN Server,
III.3.2.1.Tạo Access Rule trên ISA
Mở giao diện quản lý ISA Management Server bằng cách chọn Start -> All Program -> Microsoft ISA Server -> ISA Server Management. Nhấn phải vào Firewall Policy và chọn Create New Access Rule hoặc chọn từ khung tác vụ (Task Pane) của màn hình quản lý. Đặt tên cho Access Rule cần tạo cho phù hợp với hệ thống của bạn và chọn Next. Trong phần Rule Action chúng ta chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua firewall
- Xác định những giao thức mà người dùng được sử dụng như HTTP hay FTP... Trong cửa sổ Protocols, hãy chọn All outbond trafic, nếu muốn thay đổi bạn chỉ cần chọn trong danh sách như Selected Protocol để chọn một số giao thức nào đó hay All inbound trafic cho trường hợp cung cấp các kết nối từ bên ngoài vào.
- Hệ thống cần biết đối tượng sử dụng các giao thức trong access rule, ở trường hợp này các client là những người sử dụng trong hệ thống mạng nội bộ cho nên chúng ta chọn Add trên Access Rule Source và chọn Internal. Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group Domain User, Administrator..., khi Firewall không thuộc Domain thì hãy sử dụng local account của Firewall trong Local Users And Groups).
- Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này chúng ta đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và Permit Any Traffic from internal network cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet.
III.3.2.2. Cấu hình ISA Client:
Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau: SecureNAT, Firewall Client, Web Proxy Client hoặc cả 3 dạng trên.
* SecureNAT Client:
Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (trong trường hợp này là 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương pháp này là client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên Internet thông qua ISA. Tuy nhiên có một bất lợi là các SecureNAT client không gởi được những thông tin chứng thực gồm username và password cho firewall được, vì vậy nếu như bạn triển khai dịch vụ kiểm soát truy cập theo domain user đòi hỏi phải có username và password thì các SecureNAT client không ứng dụng được. Ngoài ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này.
Cấu hình SecureNAT client
* Firewall Client:
Vậy nếu chúng ta muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ người dùng phải đăng nhập domain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này. Thông thường khi cài đặt ISA Server bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA Server mở system policy cho phép truy cập tài nguyên chia sẻ và máy tính client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client.
Nếu không muốn cài đặt Firewall Client Installation Share trên từng máy client thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: chọn Setup Type loại Custom và chọn This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share.
Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh \\192.168.1.10\mspclnt\setup.
Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất (bạn có thể tham khảo phương pháp cài đặt tự động thông qua Group Policy trên website www.security365.org). Với Firewall Client, bạn có thể tận dụng được những khả năng mạnh nhất của ISA Server như chứng thực người dùng dựa trên Domain User và Group, cho phép ghi nhật ký những lần truy cập... Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành Windows.
* Web Proxy Client:
Như chúng ta biết, ngoài chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache dùng để lưu trữ các trang web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP/HTTPS, FTP, điều này có nghĩa là người dùng sẽ không thể truy cập email với Outlook hay sử dụng các ứng dụng khác. Để sử dụng Web Proxy, các máy tính client phải cấu hình trong trình duyệt web bằng cách mở Internet Explore, chọn Tools - > Internet Options, chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server.
Như vậy cách nhanh nhất cho phép các máy tính trong mạng có thể truy cập Internet qua ISA Server là cấu hình SecureNAT client dựa trên hệ thống cấp phát địa chỉ IP động hoặc cấu hình IP tĩnh và trỏ default gateway là địa chỉ mạng nội bộ của ISA Server. Ngoài ra để quá trình phân giải địa chỉ IP diễn ra suôn sẻ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.31.10 hay 203.162.4.191.
III.4. ISA Server đóng vai trò Firewall hoạt động như thế nào?
Firewall là một thiết bị nằm giữa một phân đoạn của một mạng này và qua một mạng khác và chỉ cho phép lưu lượng thông tin đã được xác thực đi qua giữa 2 phân đoạn. Firewall được cấu hình voiứ những quy tắc lọc lưu lượng thông tin, các quy tắc này xác định loại lưu lượng mạng sẽ được cho phép đi qua. Firewall có thể được bố trí và định cấu hình để bảo vệ một tổ chức khỏi mạng Internet, hay nó có thể được bố trí bên trong nhằm bảo vệ những phần mạng chỉ định.
Trong hầu hết các trường hợp thì firewall được triển khai tại vành đai mạng. Nhiệm vụ cơ bản của firewall trong cấu hình này là đảm bảo rằng không có lưu lượng thông tin nào từ những mạng mà có thể truy cập công khai như mạng Internet có thể thâm nhập vào mạng nội bộ của một tổ chức, trừ khi nó được cho phép một cách rõ rang. Ví dụ, tổ chức này có thể có một Web server nằm bên trong và Web server này cần được truy cập từ những người sử dụng Internet công cộng. Firewall có thể được cấu hình để chỉ cho phép truy cập vào Web server đó.
ISA Server 2006 cung cấp những tính năng firewall. Mặc định, khi triển khai ISA Server, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ đó, bao gồm cả những mạng nội bộ bên trong máy, mạng vành đai (còn được biết như là vùng phi quân sự - DMZ), và mạng công cộng Internet. ISA sử dụng 3 kiểu lọc để chặn hay cho phép lưu lượng mạng:
Lọc gói tin (packet filtering)
Lọc theo trạng thái ( Stateful filtering)
Lọc lớp ứng dụng ( Application filtering)
Lọc gói tin
Packet filtering hoạt động bằng cách kiểm tra thông tin phần đầu cho mỗi gói thông tin mạng đến firewall. Khi packet đến, ISA Server sẽ đọc phần đầu của gói tin và kiểm tra những thông tin như địa chỉ nguồn, địa chỉ đích và cổng nguồn, cổng đích. ISA Server so sánh những thông tin này với các luật được cấu hình trên firewall để xác định packet này có được phép hay không. Nếu địa chỉ nguồn và địa chỉ đích được cho phép, và nếu cổng nguồn và cổng đích được cho phép thì gói tin sẽ được chuyển qua firewall để đến mạng đích. Nếu cổng nguồn và cổng đích không được cho phép, gói tin sẽ bị loại bỏ và không được chuyển tiếp qua firewall.
Lọc theo trạng thái
Lọc theo trạng thái kiểm tra các gói tin mạng kỹ lưỡng hơn để quyết định có chuyển tiếp gói tin hay không. Khi ISA Server sử dụng hình thức kiểm tra stateful filtering, nó sẽ kiểm tra các thông tin phần đầu trong phần IP và TCP để quyết định tình trạng của gói tín trong ngữ cảnh của các gói tin vừa được cho qua ISA Server trước đó, hay trong ngữ cảnh của một phiên TCP. Chẳng hạn như khi một người sử dụng trong mạng nội bộ có thể gửi một yêu cầu tới một Web Server trên Internet. Web Server đó sẽ gửi một hồi đáp. Khi thông tin hồi đáp tới Firewall, firewall sẽ kiểm tra thông tin phiên làm việc TCP là một phần của gói tin. Firewall sẽ quyết định rằng packet là một phần của một phiên đang hoạt động được khởi đầu bởi một người sử dụng mạng nội bộ, do đó gói tin được chuyển tiếp đến máy tính của người sử dụng đó. Nếu một người sử dụng từ một mạng bên ngoài cố gắng kết nối với một máy tính trong mạng của tổ chức, firewall sẽ quyết định là gói tin đó không phải là một phần của một phiên đang hoạt động và gói tin đó sẽ bị loại bỏ.
Lọc lớp ứng dụng
ISA Server cũng sử dụng cách thức kiểm tra application – layer filtering để quyết định xem một packet có được phép qua hay không. Application – layer filtering kiểm tra nội dung thực tế của một packet đó có thể được chuyển tiếp qua firewall hay không. Một bộ lọc ứng dụng (application filter) mở phần còn lại của gói tin và kiểm tra dữ liệu thực tế trong đó trước khi quyết định chuyển. Ví dụ: Một người sử dụng trên mạng Internet công cộng có thể ra yêu cầu để truy cập vào một trang nằm trên một Internal Web Server thông qua việc sử dụng giao thức HTTP với cấu trúc câu lệnh GET. Khi gói tin đến firewall, bộ phận application filter sẽ kiểm tra gói tin đó và dò xem lệnh GET có được cho phép hay không. Trong nhiều trường hợp, lệnh GET được cho phép và gói tin được chuyển tiếp đến Web Server nằm bên trong.
III.5. ĐỀ NGHỊ
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ khá đắt tiền này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Nhận thức được sự ưu việt của ứng dụng CNTT, CNNT đã được áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người.
Ứng dụng công nghệ thông tin một cách có hiệu quả và bền vững, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, v.v). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó. Và chúng ta cần có 1 bức tường lữa để bảo vệ trước các sự xâm nhập không cho phép. Trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi người trong một công ty, một doanh nghiệp hay một trường học như trường Đại học Kinh tế quốc dân Hà Nội chẳng hạn. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network. ISA là một trong những sản phẩm Firewall hiện nay đang được ưa chuộng.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).
Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006.
Phiên bản mà hiện nay trường Đại học Kinh tế quốc dân đang dùng là phiên bản ISA 2004. Cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất. So với bản 2000 thì ISA 2004 hay hơn ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác không cho lên mạng trong giờ làm việc. Trên ISA2000 không hoạt động được như 1 VPN Server. Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều. ISA 2004 là một bước tiến xa so với ISA 2000 về cả kiến trúc, chức năng lẫn giao diện người dùng.
Trước đây Trường Đại học Kinh tế quốc dân Hà Nội đã dùng phiên bản ISA Server 2000, và khi có phiên bản 2004 xuất hiện thì Trường đã chuyển sang dùng do những tính năng nổi trội của ISA 2004. Hiện nay trên thị trường đã xuất hiện một phiên bản mới nhất của ISA đo là ISA Server 2006. ISA 2006 về mặt giao diện thì giống ISA 2004 tới 99%, nhưng tối ưu giao diện hơn 2004 và nó có khả năng tích hợp chức năng phát hiện và phát hiện phòng chống xâm nhập tốt hơn ISA 2004.
So với ISA 2004 thì ISA 2006 còn có những tính năng nổi trội hơn dưới đây
- Dễ dàng quản lý
- Rất nhiều Wizard
- Backup và Restore đơn giản.
- Cho phép ủy quyền quản trị cho các User/Group
- Log và Report cực tốt.
- Cấu hình 1 nơi, chạy ở mọi nơi (nhưng nơi cài ISA Enterprise)
- Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000)
- Tích hợp với giải pháp quản lý
- Có các giải pháp hardware
- Hỗ trợ nhiều CPU và RAM ( bản standard đã đến 4CPU, 2GB RAM)
- Route/NAT theo từng network
- Firewall rule đa dạng
Với những tính năng này của ISA 2006, tôi thấy nó có thể thay thế cho ISA 2004 hiện tại của Trường để có thể bảo mật, tăng tốc và cũng như quản lý tốt hơn nữa phục vụ cho hệ thống mạng của Trường.
KẾT LUẬN
Trường Đại học Kinh tế quốc dân là một trong những trường có sự hàng đầu của Việt Nam. Sự đầu tư về mặt học tập và công tác giảng dạy đang được quan tâm rất nhiều, đặc biệt là việc đưa Công nghệ thông tin vào trong giảng dạy và học tập, công tác. Nó giúp cho việc trao đổi thông tin, lưu trữ dữ liệu, một cách thuận tiện cũng như việc tiếp cận với thông tin, tin tức và các công nghệ mới một cách nhanh chóng. Góp phần rất lớn vào công cuộc này đó là hệ thống mạng. Nhưng mạng nhiều khi như con dao 2 lưỡi, nó giúp ta có các thông tin nhưng cũng lợi dụng các sơ hở của mạng thì cũng có những tiêu cực xảy ra. Việc sử dụng các Firewall là vô cùng quan trọng, một trong những sản phẩm đó là ISA. Và chúng ta nên cập nhật những cái tối ưu nhất để phục vụ cho việc quản trị mạng, đề xuất trên đây của tôi cũng không nằm ngoài mục đích đó.
Trong thời gian thực tập vừa qua được sự tận tình giúp đỡ của các anh chị trong Trung tâm cũng như Thạc sĩ Nguyễn Thanh Hương tôi đã học tập được rất nhiều kinh nghiệm học tập mà rút ra từ thực tế. Điều này sẽ là nền tàng tạo cơ sở cho công việc sau này của tôi. Tuy nhiên do thiếu kinh nghiệm nên bài khóa luận còn nhiều thiếu sót, mong được sự góp ý của mọi người
Tôi xin chân thành cảm ơn!
TÀI LIỆU THAM KHẢO
http: www.neu.edu.vn
http: www.quantrimang.com
http: www.google.com.vn
Dự án WB-C, WB-B của trường Kinh tế quốc dân.
Các file đính kèm theo tài liệu này:
- 7947.doc