Luận văn Triển khai, quản trị, duy trì và nâng cấp hệ thống mạng doanh nghiệp

Đề tài: "Triển khai, quản trị, 
duy trì và nâng cấp hệ 
thống mạng doanh nghiệp" 
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
1 
LỜI CẢM ƠN 
Sau một thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, duy trì 
& nâng cấp hệ thống mạng doanh nghiệp” đã phần nào hoàn thành. Ngoài 
sự cố gắng của bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô, 
bạn bè, các anh, chị nơi em thực tập. 
Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin 
trường đại học Kinh tế Quốc dân đã giúp đỡ em trong quá trình học tập. Đặc 
biệt là Giảng viên, PGS – TS Đặng Minh Ất đã tận tình giúp đỡ em trong 
suốt quá trình thực hiện đề tài. 
Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại công ty Vinapay 
đã tạo điều kiện cho em được thực tập và học hỏi các kinh nghiệm để hoàn 
thành đề tài này. 
 Em xin chân thành cảm ơn!
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
2 
Mục lục 
Giới thiệu 
Chương I : Triển khai hệ thống mạng 
1. Các khái niệm cơ bản 
1.1 Định nghĩa một mạng máy tính cơ bản 
1.2 Các thành phần của mạng(Network Component) 
1.3 Các loại mạng máy tính 
1.4 Hệ thống domain quản lí mạng LAN- Local Area Network 
2. Cơ sở lí thuyết 
2.1 Dịch vụ DNS 
2.2 Windows Internet Name Service 
2.3 Dịch vụ DHCP 
2.4 Active Directory 
3. Hiện trạng hệ thống 
4. Các công việc triển khai & kết quả 
4.1 Các yêu cầu cấu trúc mạng mới 
4.2 Công việc triển khai vào mạng công ty 
Chương II: Quản lí và duy trì hệ thống mạng 
1. Các khái niệm cơ bản 
1.1 Một số khái niệm về kiến trúc Administrators 
1.2 Khái niệm về backup và restore 
2. Cơ sở lí thuyết 
2.1 Thực hiện duy trì bảo mật Domain Controller và Active 
Directoryministrative Workstation 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
3 
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller 
2.3 Quản lý tài khoản Backup Operators 
3. Hiện trạng hệ thống 
4. Công việc triển khai và kết quả 
4.1 Cấu hình backup cho domain 
4.2 Quản trị hệ thống Active Directory 
Chương III: Nâng cấp hệ thống với ISA Firewall 2004 
1. Các khái niệm cơ bản 
 Các khái niệm cơ bản về ISA 2004 
2. Cơ sở lí thuyết 
2.1 Các Network Templates 
2.2 Các cấu hình Network template 
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy 
Clients 
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server 
2004 Access Policy 
3. Hiện trạng hệ thống 
4. Công việc triển khai và kết quả 
4.1 Lựa chọn hệ thống Firewall(Proxy) 
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003 
4.3 Mô hình cấu hình ISA vào mạng công ty 
Kết Luận 
Phụ lục 1: Tài liệu tham khảo 
Phụ lục 2: Một số từ chuyên ngành 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
4 
GIỚI THIỆU 
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức, 
các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu 
trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. 
Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi 
mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả 
nghiêm trọng. 
Công ty Cổ phần Công nghệ Thanh toán Việt Nam (Vinapay) - được 
chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài 
hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG 
Venture và Tập đoàn MK Việt Nam. Mục tiêu của Vinapay là góp phần xây 
dựng tại Việt Nam một hạ tầng thanh toán an toàn cho thương mại di động. 
Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ 
thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản, 
thẻ SIM phục vụ dịch vụ thương mại điện tử, ) 
- Nghiên cứu, phát triển và thực hiện các dịch vụ công nghệ cao liên 
quan đến thanh toán thương mại điện tử (e-commerce), thương mại di động 
(m-commerce), thẻ trả trước, thẻ thông minh; 
 - Sản xuất và phát triển phần mềm ứng dụng công nghệ cao; 
- Vận hành cổng điện tử, chuyển mạch để thực hiện kết nối các hệ 
thống thanh toán thẻ ngân hàng, thẻ thanh toán, thẻ trả trước của các đơn vị 
phát hành thẻ, cho phép người sử dụng điện thoại di động nạp tiền, trả cước 
thông qua di động hoặc internet; 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
5 
- Lắp đặt, bảo trì, cho thuê các hệ thống thiết bị phát hành thẻ, các loại 
máy chấp nhận thanh toán như ATM, máy đọc và chấp nhận thanh toán đầu 
cuối (POS). 
Với công việc là thanh toán qua cổng điện tử và các giao dịch trực tuyến, yêu 
cầu an toàn dữ liệu của Vinapay lại càng đòi hỏi cao. Nhưng do là một doanh 
nghiệp trẻ (2-2007)Vinapay vẫn chưa có được một hệ thống mạng công ty 
hoàn thiện, tính bảo mật không được đảm bảo. Cũng vì lí do đó trong thời 
gian thực tập ở công ty VINAPAY em đã chọn đề tài “Triển khai, quản trị, 
duy trì & nâng cấp hệ thống mạng doanh nghiệp” . Trên cơ sở thực tế mạng 
của Vinapay, em đã nghiên cứu các vấn đề về mạng Lan và bảo mật mạng 
Lan của doanh nghiệp. 
 Đề tài được thực hiện với mục đích tìm hiểu hệ thống và các công cụ được 
cung cấp để qua đó có thể vận hành thành thạo các công cụ này, biết cách cấu 
hình và thực hiện, qua đó tránh những lỗ hổng không đáng có. Đồng thời còn 
đưa ra một số cấu hình đã được áp dụng hoặc một số đề xuất về cấu hình. Hi 
vọng nó sẽ giúp ích cho những người quản trị mạng có thể áp dụng vào mạng 
mình quản lí. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
6 
CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG 
1 Các khái niệm cơ bản 
1.1 Định nghĩa một mạng máy tính cơ bản 
Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết 
nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch, 
hub, dây cáp, sóng vô tuyến,) để chia sẻ các tài nguyên. Việc kết nối giữa 
các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các 
công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có 
thể gọi là nút mạng. 
Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong 
việc chia sẻ các tài nguyên cho người dùng. Các tài nguyên chia sẻ bao gồm 
các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung. 
1.2 Các thành phần mạng (Network Component) 
Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in, 
chúng được gọi là các thành phần mạng (network component) bao gồm các 
thành phần chính sau 
Máy chủ (server): Là máy tính có các tài nguyên, dịch vụ, ứng dụng 
chia sẻ để cho các máy tính khác truy nhập tới và sử dụng. Máy chủ chạy hệ 
điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm 
chuyên dụng dành cho máy chủ. Tuỳ thuộc vào chức năng và nhiệm vụ mà 
máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy 
chủ thư điện tử (mail server), máy chủ ứng dụng (application server), 
Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các 
máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ. Máy trạm chạy hệ 
điều hành máy trạm và các phần mềm máy trạm. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
7 
Phương tiện truyền dẫn (media): Là các thành phần chuyền dẫn vật lý giữa 
các máy tính như dây cáp (cable), sóng radio, 
Tài nguyên (resources): Là các ứng dụng, dữ liệu, các phần cứng 
chuyên dụng, được cung cấp bới các máy chủ trên mạng cho người dùng 
thông qua các máy trạm (files, máy in,) 
Card mạng (network adapter): Là một thiết bị chuyên dụng giúp các 
máy tính có thể gửi dữ liệu tới các máy tính thông qua phương tiện truyền 
dẫn. 
Các thiết bị kết nối như HUB, SWITCH, ROUTER 
Giao thức mạng (network protocol): Là tập hợp các quy luật, quy định 
giúp các máy tính có thể giao tiếp với nhau (hiểu được nhau – giống như 
ngôn ngữ mà con người sử dụng). 
Topo mạng (network topology): Là cấu trúc vật lý của mạng (bus, star, 
ring,) nó được phân loại dựa vào loại phương tiện truyền dẫn (media 
type), giao thức mạng (protocol), card mạng,(Trong khuôn khổ đề tài này 
sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị 
ngoại vi hay các phần cứng về máy sẽ không được đề cập đến). 
1.3 Các loại mạng máy tính 
Mạng máy tính có thể được phân loại theo một số cách khác nhau: phân loại 
theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng 
trong mạng, 
Phân loại theo phạm vi 
Mạng nội bộ (LAN – local area network): Là mạng máy tính trong đó 
các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ 
(phòng, toà nhà,). Việc giới hạn này phụ thuộc vào phương tiện truyền 
dẫn mà mạng nội bộ sử dụng. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
8 
Mạng diện rộng (WAN – wide area network): Là mạng có thể trải trên 
các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị 
trí ở các quốc gia khác nhau với nhau. Các phương tiện kết nối có thể sử 
dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện 
thoại (telephone line), các kết nối dành riêng (lease line). Tuy nhiên giá 
thànhh của các kết nối này tương đối cao. 
Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng, 
ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục 
đích của mạng Internet là đáp ứng lại các kết nối của người dùng ở bất kỳ 
đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá 
các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý. 
Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area 
network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng 
ảo (VPN – virtual private network), mạng không giây (wireless network), 
Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các 
máy chủ quản trị sử dụng Windows Server 2003 và một số máy client(50-
100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN). 
1.4 Hệ thống domain quản lí mạng LAN 
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là 
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính, 
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ 
liệu bảo mật chung. 
Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các 
ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các domain 
khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong 
một domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của 
các domain khác. Chủ yếu domain cung cấp một phương pháp để phân chia 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
9 
mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain 
luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn 
riêng của họ. 
Một domain Windows Server 2003 cũng đại diện cho một không gian 
tên tương ứng với một cấu trúc tên. Một domain khi tạo, nó sẽ cung cấp một 
số dịch vụ cơ bản cho hệ thống mạng như: 
DNS(Domain Name System): đây là Dịch vụ phân giải tên miền được 
sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành các 
địa chỉ IP tương ứng. 
DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa 
chỉ động ): đây là dịch vụ quản lý và cấp địa chỉ IP cho các máy trạm. Nhờ 
dịch vụ này địa chỉ IP của các máy trong công ty trở lên dễ quản lí hơn. 
Windows: Cấu hình hệ điều hành và quản lý server có cài đặt các dịch 
vụ hệ thống 
Active Directory: Quản lý và điều hành hoạt động của domain 
controller cung cấp dịch vụ Active Directory 
Windows Internet Name Service(WINS):cung cấp khả năng phân giải 
tên máy tính bằng cách phân giải tên NetBIOS sang địa chỉ IP 
Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng 
máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy 
chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ 
đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS 
2. Cơ sở lí thuyết. 
Để xây đựng một mạng máy tính sử dụng Microsoft Windows Server 
2003 ta cần nắm rõ về các dịch vụ của nó cung cấp, điều này sẽ giúp cho 
việc cấu hình mạng trở nên dễ dàng và khoa học hơn. Khi đó các công việc 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
10 
sử dụng cũng như nâng cấp sẽ nhanh và hiệu quả hơn. Một số công cụ quản 
trị hệ thống mạng. 
2.1 Dịch vụ DNS –Không gian tên nội bộ (sử dụng trong hệ thống 
Intranet Local) và không gian tên Internet được thiết kế như sau: 
Không gian tên DNS nội bộ: Local.Vinapay.com.vn 
Không gian tên DNS Internet: Vinapay.com.vn 
Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động 
(Dynamic DNS). Nó cho phép các máy trạm xác thực tự động đăng ký bản 
ghi với dịch vụ DNS. Tất cả các tài khoản máy tính sẽ có các bản ghi tương 
ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory mà 
nó trực thuộc. Điều này cho phép các yêu cầu nội bộ đối với các đối tượng 
này được các máy chủ DNS nội bộ phục vụ. 
Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được 
nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest. Máy 
chủ DC tại các tỉnh miền Bắc (Hanoi.Vinapay.com.vn) hoặc miền Nam 
(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng 
miền đồng thời cũng nắm giữ miền DNS của chính domain đó. Do các hoạt 
động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy 
chủ DNS trung tâm để kết nối 2 mạng. 
Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt 
động của hệ thống mạng. Chính bởi vai trò quan trọng này mà ta cần phải có 
chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có 
tính sẵn sàng cao, sao lưu phục hồi tốt. 
Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính 
sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu 
số người được phép đăng nhập và vận hành thao tác trên các máy chủ này, 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
11 
bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới 
việc hệ thống Intranet không thể hoạt động được. 
2.2 Windows Internet Name Service (WINS) Bằng việc triển khai 
WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client 
trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho 
các tên NetBIOS và các địa chỉ tương ứng của chúng. Các WINS client đăng 
ký tên của chúng tại một local WINS server và WINS server đó sẽ trao đổi 
các mục đó với các WINS server khác. Nó  ... r gần nó nhất. Router này sẽ định tuyến 
thong tin từ SecureNat Client đến ISA Server 2004 firewall ra internet 
Một Web Proxy Client là máy có trình duyệt Internet (như Internet 
EZplorer ) được cấu hình dung ISA Server 2004 firewall như một Web 
Proxy server của nó web browser có thể cấu hình sử dụng IP Active 
Directorydress của ISA Server 2004 firewall làm web broưser của nó – cấu 
hình thủ công, hoặc cấu hình tự động thông qua các Web Proxy 
Autoconfiguration script của ISA Server 2004 firewall. Các 
Autoconfiguration script này cung cấp mức độ tùy biến cao trong việc điều 
khiển làm thế nào để Web Proxy Client có thể kết nối ra internet. Tên của 
User được ghi nhận trong các Web Proxy Logs khi máy tính được cấu hình 
theo Web Proxy Client . 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
56 
Firewall Client là máy tính cài Firewall Client software. Firewall Client 
software chặn tất cả các yêu cầu thuộc dạng winsock application (thường là 
các ứng dụng trên TCP và UDP) và đẩy các yêu càu này đến Firewall 
service trên ISA Server 2004 firewall. User name tự động được đưa vào 
firewall service log khi máy tính Firewall Client được thực hiện kết nối 
internet thông qua ISA Server 2004 firewall. 
Bảng III.3 Tính năng ISA Server 2004 Client. 
Feature SecureNat Client Firewall Client Web Proxy 
Client 
Cần cài đặt Không yêu cầu, 
cần xác lập các 
thông số default 
gateway 
Cần cài đặt phần 
mềm Firewall 
Client software 
Không yêu cầu, 
chỉ cần cấu hình 
các thông số phù 
hợp tại trình 
duyệt web 
Hỗ trợ các hệ 
điều hành 
Tất cả các hệ 
điều hành hỗ trợ 
TCP/IP 
Chỉ hỗ trợ 
Windows 
Hệ điều hành có 
hỗ trợ Web 
Application 
Hỗ trợ giao thức Nhờ có bộ lọc 
ứng dụng – 
Application 
filters có thể hỗ 
trợ các ứng dụng 
chạy kết hợp 
nhiều Protocols-
multiconnection 
protocol 
Tất cả các ứng 
dụng winsock 
application. Có 
nghĩa là hầu hết 
các ứng dụng 
trên internet hiện 
nay 
HTTP, Secure 
HTTP(HTTPS) 
và FTP 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
57 
Hỗ trợ xác thực 
người dung, kiểm 
soát user truy cập 
ra ngoài 
Chỉ hỗ trợ cho 
VPN client 
Có hỗ trợ Có hỗ trợ 
 Như vậy ta đã biết đến các ISA Server 2004 client khác nhau và các tính 
năng riêng của các loại. Tiếp theo chúng ta sẽ tìm hiểu thêm các thủ tục để 
tạo hoặc chỉnh sửa cá quy tắc trên chính sách truy cập ra ngoài internet – 
outbound access policy rules thông qua các Network Template. 
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server 
2004 Access Policy 
ISA Server 2004 firewall điều khiển các đường truyền đi giữa các Networks 
được kết nối với nhau qua firewall. Theo mặc định, ISA Server 2004 
firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng 
để cho phép lưu thông này là: 
 Access Rules- Các quy tắc truy cập 
 Publishing Rules – Các quy tắc xuất bản 
Access rules điều khiển các truy cập ra ngoài từ một Network được bảo vệ 
nằm trong đến một Network khác không được bảo vệ nằm ngoài. 
ISA Server 2004 quan tâm đến tất cả Networks không nămg ngoài External. 
Còn tất cả các Network được xác định là external Network thì không được 
bảo vệ. Các Network được bảo vệ bao gồm: VPN client Network, 
Quarantined VPN Client Network – mạng VPN cách ly, Local Host 
Network – DMZ, mạng vành đai, chứa các server phục vụ cho các Internet 
User. ISA sẽ bảo vệ internal client khi truy cập vào các mạng ngoài. 
Ngược với access rules điều khiển các truy cập ra thì Public Rusles lại dành 
đề cho phép các Hosts nămg ở mạng ngoài Externel Network truy cập vào 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
58 
các tài nguyên đang được mạng bảo vệ. Ví dụ các server như web, mail, 
FTP server. Web and server public rules có thể cho phép External hosts truy 
cập vào các tài nguyên này. 
 Ở những phần trước ta đã dùng các Network Template để tự động tạo 
ra các mối liên hệ giữa các Network và các access rules. Quan hệ đó có thể 
thực hiện khi Access rules cho phép truy cập đến tất cả các side và protocol 
ra internet trong khi đó trên ISA Server 2004 firewall là giới hạn các user 
được truy cập trên internet. 
Bảng III.4.1 Một Access rules bao gồm các yếu tố sau: 
Rules Element Mô tả 
Thứ tự (độ ưu tiên)- 
order 
Firewall Access Policy là một danh sác các 
Access Rules được xử lý theo thứ tự từ trên 
xuống đến khi gặp 1 điều kiện cụ thể được quy 
định, khi đó sẽ áp dụng theo quy định ấy 
Quyết định – Acction Chỉ có 2 loại quyết định được đưa ra là Allow- 
cho phép hoặc Deny – từ chối 
Protocol Protocol bao gồm tất cả các TCP/IP protocol, 
TCP, UDP, ICMP, tất cả các giao thức được căn 
cứ trên IP protocol number, Firewall hỗ trợ tất 
cả TCP/IP Protocols 
Nguồn – From/listener Nguồn giao tiếp có thể từ 1 IP Active 
Directorydress, một dãy IP Active 
Directorydress, một subnet, hay nhiều subnet 
Đích, To Đích đến giao tiếp có thể thuộc 1 domain, tập 
hợp các domain, một URL hay một tập các 
URL, một IP hay một tập cá IP, một subnet hay 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
59 
tập các subnet, hoặc tập các Network 
Điều kiện – Condition Điều kiện đưa ra là căn cứ vào user hoặc group 
nào sẽ được rule áp dụng 
Access Rules giúp tìm được phương thức điều khiển truy cập khá đơn giản 
nhưng lại rất hiệu quả, nó thực hiện chủ yếu trên User nào, được phép truy 
nhập đến website nào, và sử dụng protocols nào cho công việc giao tiếp đó. 
Ví dụ: 
Rules Element Giá trị 
Order(priority) 1 
Action Allow 
Protocols HTTP & FTP 
From Internal Network 
To FTP.com 
Condition Limited web 
access(Group) 
Để có thể sử dụng được các Access rules điều khiển người dùng hay 
các nhóm người dùng trong việc truy cập ra ngoài – outbound access chúng 
ta cần cấu hình các máy client trở thành Firewall Client hoặc Web Proxy 
Client. Chỉ có client thuộc một trong 2 loại đó thì mới có thể được Firewall 
xác thực dựa trên User. Nếu sử dụng SecureNat Client thông tin về nhóm 
người dùng sẽ không được xác thực, có nghĩa là ISA Server Firewall sẽ 
không tìm được đối tượng cần hạn chế. Việc điều khiển việc truy cập cũng 
có thể thực hiện dựa trên IP nguồn. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
60 
Như vậy ta thấy ISA Server 2004 có thể tạo ra các Access rules điều 
khiển việc truy cập đến một số website và việc sử dụng giao thức nào để 
thực hiện công việc này. 
3. Hiện trạng hệ thống 
Hệ thống hiện tại chưa có chính sách bảo mật qua Firewall. Các máy client 
tiếp xúc trực tiếp với mạng internet qua modem nên nguy cơ bị tấn công cao. 
Chưa ngăn chặn được việc tải file và vào các trang web, địa chỉ, luồng thông 
tin không cho phép. 
Các luồng dũ liệu trong công ty chưa được phân chía. 
4. Các công việc triển khai & kết quả 
4.1 Lựa chọn hệ thống Firewall(Proxy) 
Sử dụng 1 trong 2 cách: 
 ISA 2004 
 Linux IPcop 
Với ISA 
Ưu điểm: 
 Quản lý mạnh về các giao thức :http,pop3,https,smtp 
 Chặn web và tải file hiệu quả :*.bat,*.exe và ngăn chặn website mong 
muốn 
 Áp dụng các chính sách Access Rule Policy From.. To cho các 
client :kiểm soát được các kết nối từ trong ra ngòai và từ ngòai vào 
trong hiệu quả . 
 Nhiều tính năng mạnh khác 
 Có thể tích hợp thêm các phần mềm security khác : 
Surfcontrol : ngăn chặn trang web xấu 
Nhược điểm: 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
61 
 Cấu hình cài đặt cao, cài đặt tương đối phức tạp.. 
 Giá thành cao 
Với Ipcop 
Ưu điểm: 
 Giá thành thấp 
 Cài đặt đơn giản 
 Yêu cầu cấu hình thấp 
Nhược điểm 
 Khó tương thích với phần mềm khác. 
 Đảm bảo an toàn kém. 
Do những ưu, nhược điểm như vậy nên đề nghị chọn giải pháp sử dụng ISA 
Server 2004. 
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003 
Không quá phức tạp (phần phức tạp nằm ở phần cấu hình các thông 
số).Chỉ có một vài yêu cầu cần xác nhận tại quá trình này.Phần cấu hình 
quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng 
địa chỉ IP nội bộ-Internal network IP Active Directorydress range(s).Không 
giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local 
Active Directorydress Table (LAT) để xác định đâu là Mạng đáng tin cậy 
(trusted Networks), và đâu là 
mạng không được tin cậy (untrusted Networks) .Thay vào đó , ISA Server 
2004 firewall các IP nội bộ được xác nhận bên dưới Internal Network. 
Internal Network nhắm xác định khu vực có các Network Servers và các 
Services quan trọng như :Administratorsdomain controllers, DNS, WINS, 
RACTIVE DIRECTORYIUS, DHCP, các trạm quản lý Firewall,ectTất cả 
các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều 
khiển bởi các chính sách của Firewall (firewall’s System Policy). System 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
62 
Policy là 1 tập hợp các nguyên tắc truy cập được xác định trước (pre-defined 
Access Rules), nhằm xác định loại thông tin nào được cho phép vào 
(inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài 
đặt. System Policy có thể cấu hình, cho phép các Security Active 
Directorymin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của 
System Policy 
4.3 Mô hình cấu hình ISA vào mạng công ty 
 Dưới đây trình bày các sơ đồ chính sách Firewall được áp dụng vào công ty 
vinapay. 
Hình III.4 Rule 1 Cho phép kết nối từ mạng Lan ra Internet. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
63 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
64 
Hình III.5 Cho phép kết nối từ Firewall ra internet 
Hình III.6 Ngăn chặn truy nhập vào site 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
65 
Hình III.7 Rule ngăn việc downloAdministrators1 File 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
66 
Hình III.8 Cho phép truy nhập FTP server 
4.3 Sao lưu dự phòng 
Lý do cần sao lưu : 
 Quá trình cấu hình nâng cấp ISA về sau bị lỗi ,không chính xác và ổn 
định 
 Việc xây dựng hệ thống ISA đòi hỏi mất nhiều thời gian cấu hình các 
chính sách của user. 
 Sự cố về phần cứng 
 Sự phá hoại của hacker và kẻ xấu khi xâm nhập vào Firewall phá hoại 
Kế hoạch xây dựng hệ thống dự phòng 
Các phương án dự phòng 
Trường hợp 1 
 Lỗi do cấu hình nâng cấp sai khiển ISA không ổn định 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
67 
 Do hacker tấn công vào Firewall ,làm sai lệch cấu hình hệ thống 
Cách khắc phục 
Sử dụng tiện ích backup với lịch sao lưu như sau: 
Time Type of Backup Object Backup 
Monday Daily (17:59) C drive và System State 
Tuesday Daily (17:59) C drive và System State 
Wednesday Daily (17:59) C drive và System State 
Thursday Daily (17:59) C drive và System State 
Friday Daily (17:59) C drive và System State 
Saturday Daily (17:59) C drive và System State 
Sunday Normal (23:59) C drive và System State 
Backup cấu hình chính sách của ISA bằng cách sử dụng tiện ích của ISA: 
Để đảm bảo nhanh chóng hồi phục các cấu hình trong chính sách truy cập 
người dùng trong ISA ta có thể backup trạng thái hệ thống : 
 Backup : Sao lưu trạng thái hoạt động của ISA 2004 ra file *.xml 
 Export :xuất các các cấu hình của ISA,chính sách quản lý truy cập ra 
file *.xml 
Trường hợp 2: Hỏng ổ cứng 
 Cắm thêm 1 ổ cứng để chạy chế độ RAID 1 Mirroring để đảm bảo hệ 
thống làm việc ổn định kô bị ngắt quãng do lỗi ổ cứng 
Trường hợp 3: hỏng toàn bộ ISA server 
 Ta thiết lập thêm 1 máy chủ ISA tương tự để dự phòng. 
 Khi bị hỏng hoặc lỗi ta có thể thay thế cắm sang máy mới để khắc 
phục sự cố 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
68 
KẾT LUẬN 
1. Những vấn đề đạt được: 
Theo yêu cầu ban đầu của đề tài là “Triển khai, quản trị, duy trì, nâng cấp 
hệ thống mạng doanh nghiệp ” thì cho đến thời điểm hiện tại đã đạt được 
những nội dung: 
 Khảo sát và đưa ra được cấu hình một mạng Lan sơ bộ cho doanh 
nghiệp phục vụ cho việc triển khai mạng. 
 Đưa ra cách thức một ADMINISTRATORSquản lí các tài nguyên của 
nó(compter, user, các OU..) 
 Phân tích và đưa ra lịch trình backup dữ liệu cho domain và dữ liệu 
cho từng máy client của công ty. 
 Tìm hiểu và cấu hình được hệ thống tường lửa ISA cho doanh nghiệp. 
2. Hướng phát triển của đề tài 
 Mở rộng mạng Lan với nhiều máy client và server. 
 Mở rộng và đưa ra một số cấu hình cụ thể để quản lí các tài nguyên 
mạng hiệu quả hơn. 
 Nghiên cứu chiến lược backup và restore sử dụng phần mềm của hãng 
thứ 3 để có các hiệu quả cao hơn. 
 Tìm hiểu các mô hình tường lửa và các nhà cung cấp khác để mô hình 
mạng trở lên dễ sử dụng. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
69 
PHỤ LỤC 1 
Tài liệu tham khảo: 
Microsoft Exchange Server 2003 Active Directoryministrator’s Companion 
(Microsoft Press, 2003) 
MCDST 
Self-Paced Training Kit (Exam 70-272): Supporting Users and 
Troubleshooting Desktop Applications on a Microsoft Windows XP 
Operating System (Microsoft Press, 2004) 
MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft 
Windows Server 2003 Administratorsand NetworkInfrastructure (Microsoft 
Press, 2003) 
Tài liệu CCNA. 
Tài liệu mạng máy tính. 
Một số tài liệu khác trên Internet. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp 
70 
PHỤ LỤC 2 
Các từ chuyên ngành sử dụng trong đề tài: 
List Contents: danh sách trạng thái (có thể xem trạng thái các user) 
ReAdministratorsAll Properties: quyền có thể sửa các thông tin thuộc tính 
admin () 
Write All Properties: Viết được tất cả các thuộc tính(bao gồm tạo và sửa) 
Delete: Xóa (kể các admin) 
ReAdministratorsPermissions: quyền thay đổi quyền các account 
administrator 
Modify Permissions: Chỉnh sửa các quyền 
Modify Owner: Tự thay đổi quyền 
All Validated Writes: Xác thực tất cả các quyền được. 
All Extended Rights: 
Create All Child Objects: tạo các đối tượng con(các thuộc tính con) 
Delete All Child Objects: xóa các đối tượng con. 
Generated by Foxit PDF Creator © Foxit Software
 For evaluation only.