TOP 10 Mô Hình Lab Quản Trị Dành Cho Doanh Nghiệp

By Huynh Sy Nguyen

TOP 10 MÔ HÌNH LAB QUẢN TRỊ MẠNG DÀNH CHO DOANH NGHIỆP

1 - Thiết Lập Hệ thống Mạng cho Doanh Nghiệp vừa và nhỏ

I. Mô hình: image001

 

II. Giới Thiệu:
- Giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :
+ Chia sẻ dữ liệu chia sẻ máy in
+ Truy cập Internet với 1 đường truyền ADSL
- Mô hình dùng mạng WorkGroup. Các máy User dùng Windows XP các máy cung cấp tài nguyên (Files Printer ) dùng Windows Server 2k3 với các bước thực hiện :
+ Đặt IP cho các máy
+ Cấu hình Router ADSL
+ Cấu hình File server
+ Cấu hình Print server

Xem chi tiết...

2 - Giải pháp Mail Offline cho doanh nghiệp

I. Mô hình:image002

II. Giới thiệu:
Với bài Lab-1 phát triển thêm nhu cầu sử dụng Mail cho toàn Doanh nghiệp với yêu cầu giảm tôi đa chi phí và công sức quản lý (không co IP tĩnh Mail Server không cần Online 24/7)
=>Giải pháp đề nghị : sử dụng giải pháp Mail Offline kết hợp sử dụng dịch vụ Mail Relay để không bị xếp loại Spam Mail

III. Các bước triển khai:
Phát triển từ mô hình hệ thống Workgroup bài Lab-1 trước kết hợp sử dụng :
- Máy Windows Server 2003 dùng làm Mail Server với chương trình Mail Daemon
- Kết hợp thêm các bước thực hiện :
+ Mua domain tại website DirectNIC
+ Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit
+ Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép MAIL SERVER nội bộ truy cập lên lấy mail về.
+ Cài đặt Mdeamon làm MAILSERVER trong nội bộ
+ Cấu hình Outlook Express để User nội bộ d tài khoản mail nội bộ
+ Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về

Xem chi tiết...

3 - Giải pháp Free Mail Online cho doanh nghiệp

I. Giới thiệu:
Với yêu cầu tương tự bài Lab-2 nhưng sử dụng giải pháp MailOnline với dịch vụ Mail Hosting miễn phí của hệ thống Google . điểm lợi thế là :
- Không cần máy làm Mail Server
- Không cần Mail Administrator chuyên nghiệp
- Online 24/7
- Không bị xếp loại Spam Mail

II. CÁC BƯỚC TRIỂN KHAI:

- Hướng dẫn cách đăng ký Google Application
- Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web Mail FTP Calenda ...) và tạo các alias name tương ứng..
- Test thử bằng cách gởi mail từ trong ra và từ ngoài vào

Xem chi tiết...

4 - Hệ thống Mạng Domain Network Dùng trong Quản lý Doanh Nghiệp

I. Mô hình:image004

II. Giới thiệu:

Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD

Xem chi tiết...

5 - Hệ thống Domain Network nhiều Networks/Subnets

I. Mô hình:image005

II. Giới thiệu:
Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :
- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus
- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên
III. Các bước triển khai:
Mô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP USER SERVER. Sử dụng :
+ 01 máy Windows Server 2003 với 04 NICs dùng làm Router
+ 01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USER
Thiết lập Routing và các bộ lọc (Filter) sao cho
- Tất cà các Networks (VIP SERVER USER) đều truy cập Internet được
- Network VIP và USER không truy cập lẫn nhau được
- Network VIP và USER đều truy cập Network SERVER được

Xem chi tiết...

6 - Xây dựng và cấu hình ISA Server 2006

I. Mô hình:

image006

II. Giới thiệu:
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet các Công ty thường có yêu cầu như :
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)

III. CÁC BƯỚC TRIỂN KHAI:
Phát triển từ hệ thống Domain của bài Lab-5 bài Lab này sử dụng thêm 1 máy tính độc lập dùng Windows Server 2003 để triển khai ISA-2K6
Các bước triển khai bao gồm :
- Cấu hình thông số TCP/IP và cài đặt ISA-2K6
- Cấu hình các ISA-Clients trong mạng nội bộ
- Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP USER SERVER
- Thiết lập các Access Rules Application Filer trên ISA-2K6 để kiểm soát các giao dịch
- Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
- Thực hiện thống kê báo cáo về các giao dịch thông qua ISA-2K6

Xem chi tiết...

7 - Server Publishing thông qua ISA Server 2006

I. Mô hình:

image007

 

II. Giới thiệu:
Mô hình tương tự bài Lab 6 phát sinh thêm yêu cầu sau :
- Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập
- Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet

III. CÁC BƯỚC TRIỂN KHAI:
Bài Lab sử dụng các thành phần tương tự Lab-6 với 1 máy trong Network = SERVER dùng Windows Server 2003 để dùng làm Web Server (có thể dùng chung với máy Domain Controller)
Các bước thực hiện gồm :
- Xây dựng Web Server Website (default) với Internet Information Service (IIS)
- Cấu hình cho phép truy cập Remote Desktop trên máy Web Server
- Cấu hình Access Rule và Publishing Rule trên ISA cho Web Server
- Cấu hình NAT Inbound trên Router ADSL
- Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo

Xem chi tiết...

8 - Hệ thống mở rộng & Kết nối WAN

I. Mô hình:

image008

 

M1: DC Sài Gòn (card CROSS)
M2: ISA Sài Gòn (2 card CROSS & LAN)
R1: Router ADSL 1 nối với switch.

AP: Access point nối port WAN với switch
M3: Giả lập laptop của nhân viên / khách hàng (card LAN / wireless card )
R2: Router ADSL 2 nối card LAN của M3 / M4
M4: ISA Hà Nội (2 card CROSS & LAN)
M5: Server Hà Nội (card CROSS)

II. Giới thiệu:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
- Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
- Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.

III- Các bước triển khai:
Bài Lab phát triển từ mô hình của Lab-7 đươc xem như Site Saigon và các máy cho Site Hanoi dùng mô hình mạng Workgroup bao gồm :
- 01 máy Windows Server 2003 dùng làm ISA-2K6 (M4)
- 01 máy Windows Server 2003 dùng làm Server (M5)
Để đáp ứng các yêu cầu nêu trên các giải pháp đuọc đề nghị bao gồm
- Thiết lập kết nối VPN Client to Gateway qua ISA server.
- Thiết lập kết nối Gateway to Gateway qua ISA server giữa 2 văn phòng Sài Gòn & Hà Nội.
- Thiết lập Wireless Access Point và cấu hình ISA server.

Xem chi tiết...

9 - Chia Site logic cho Domain Network

I. Mô hình:image009

 

II. Giới thiệu:
Trong bài Lab 8 chi nhánh Hà Nội sử dụng mô hình Workgroup nhưng do số lượng nhân viên tại site Hà Nội tăng lên nên phát sinh nhu cầu
- Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
- Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
- Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi

III. Các bước triển khai:
Để đáp ứng các yêu cầu nêu trên các bước thực hiện bao gồm:
- Xây dựng thêm máy Additional Domain Controller (DC2) tại site Saigon
- Xây dựng thêm máy Additional Domain Controller (DC3) tại site Hanoi
- Cấu hình chia site logic cho Domain Network

Xem chi tiết...

10 - Xây dựng Child Domain

I. Mô hình: (như bài lab 9)

II. Giới thiệu:
Do sự phát triển mở rộng tại Site Saigon và từ đó phát sinh nhu cầu phân cấp trong quản lý Doanh nghiệp có yêu cầu tạo nên hệ thống Chi Nhánh (Child Domain) trong Site Saigon với mục đích:
- Có thể xây dựng hệ thống Account Policy dộc lập cho Chi Nhánh
- Cô lập quyền của Administrator chịu trách nhiệm quản lý Chi Nhánh
- Tối ưu hóa quy trình đồng bộ (Replication) giữa các Domain Controller trong toàn Domain

III. Các bước thực hiện:
Xây dựng từ bài Lab-9 với Domain = Nhatnghe.Local xây dựng thêm hệ thống Chi Nhánh (Child Domain) = SG.Nhatnghe.Local
Các máy cần dùng cho Child Domain gồm : 01 máy Windows Server 2003 dùng làm Domain Controller cho Child Domain SG.Nhatnghe.Local
Các bước tiến hành bao gồm :
- Tại Site Saigon tạo Forward Lookup Zone: sg.nhatnghe.local
- Tại Site Saigon nâng cấp Primary DC cho Domain sg.nhatnghe.local
- Cấu hình Global Catalog Server và Secondary DNS Server trên Domain Controller của domain sg.nhatnghe.local
- Cấu hình Account Policy cho Domain sg.nhatnghe.local
- Tạo User trên domain con kiểm tra Password Policy
- Kiểm tra quyền Domain Admins của Domain sg.nhatnghe.local

Xem chi tiết...

More...

"Network Location Cannot be Reached" when accessing shares

By Huynh Sy Nguyen

You may experience some of the following symptoms on the Windows Server 2003 computer:

1. On this server you are unable to access shares on other computers.

2. On other computers you are unable to access shares on this server. You may receive this error:

\<computername>
The network location cannot be Reached. For information about network troubleshooting see Windows Help.

3. If you run IPCONFIG it shows "Netbios over Tcpip" as disabled. However in the Network card properties GUI the "Netbios over Tcpip" option is displayed as Enabled.

4. If you run NetDIAG on this server you see messages like the following:

Redir and Browser test . . . . . . : Failed
List of transports currently bound to the Redir
[FATAL] Unable to retrieve transport list from Redir.
[ERROR_NETWORK_UNREACHABLE]

5. If it is a Domain Controller DCDiag shows many tests failings with Win32 Error code 1231. For example:

An net use or LsaPolicy operation failed with error 1231
Win32 Error 1231.

6. If it is a WINS server when you try to open the WINS console the error "Cannot find the WINS server" appears.

Cause

This may occur when registry entries for NetBT were corrupted incorrect or missing. Normally this issue occurs if the system has been compromised.

Resolution

1. Run Registry Editor (regedit.exe) and check the following registry key:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]

2. Please find if the "TransportBindName" value exists. If either of them does not exist create it. If either one is incorrect change the data. The values should be like this:

Name: TransportBindName
Type: REGSZ
Value: Device

3. Under the same registry key if you find the "SMBDeviceEnabled" value exists and is 0 it means Direct Hosting is disabled. You may change it to 1 to turn on it unless there are requirements that this should be disabled.

Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 1

More...

DHCP CLuster on windows 2003

By Huynh Sy Nguyen

Triển khai DHCP Cluster trên windows 2003

1.   Giới thiệu

Tổ chức mạng trong các doanh nghiệp lớn chúng ta đã biết độ ổn định hay tính sẵn dùng cao luôn là mục tiêu hàng đầu. Vì vậy trong thiết kế mạng luôn có tính dư thừa ví dụ: sử dụng 2 đường ADSL 2 máy DC 2 Web server ...mặc dù chi phí cho việc thiết kế dư thừa có thể làm cho chi phí dự án tăng thêm từ 70%-100%.

Chúng ta chắc cũng biết hoặc từng nghe nói đến kỹ thuật Server Clustering - dùng một nhóm các server cùng thực hiện một dịch vụ nào đó để đảm bảo dịch vụ vẫn đáp ứng khi có 1 server trong nhóm bị sự cố. Các bạn có thể tìm thấy nhiều tài liệu về Server Clustering trên diễn đàn.

Kỹ thuật server clustering có thể được triển khai cho Exchange SQL server Lotus Notes ..Trong bài viết này tôi sẽ trình bày kỹ thuật Server Clustering ứng dụng cho dịch vụ DHCP của windows 2003.

 

2.   Triển khai

2.1                       Mô hình

Gồm 4 máy windows 2003: 1 máy DC 2 máy Node1 Node2 làm DHCP Server clustering và 1 máy làm client máy này sẽ được gán IP tự động.

 

 

2.2                      Chuẩn bị

Bạn có thể triển kai bài Lab trên  Virtual Server 2005 hoặc VMware

-         Cài đặt máy DC

-         Join 2 máy node1 node2 vào domain 2 máy này sẽ làm cluster

-         Việc tạo các ổ đĩa dùng chung các bạn có thể tham khảo: http://www.nhatnghe.com/forum/showthread.php?t=17832

 

2.3 Thực hiện

 

More...

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆP - PHẦN 3: VPN CLIENT TO GATEWAY

By Huynh Sy Nguyen

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆPPHẦN 3: VPN CLIENT TO GATEWAY



I. Giới thiệu: VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và nằm khác vị trí địa lý hoặc doanh nghiệp của bạn có nhiều nhân viên phải thường xuyên đi công tác xa và họ muốn truy cập vào tài nguyên mạng nội bộ. Để đáp ứng các nhu cầu trên trong phần 3 này tôi sẽ trình bày cách cấu hình VPN Client to Gateway thông qua ISA Server 2006
  Trong bộ bài viết này bao gồm các phần:
Phần I:  Cài đặt ISA Server 2006
Phần II: Cấu hình Access Rule
Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL

Bài lab bao gồm các bước:
1. Cấu hình VPN Client to Gateway trên máy ISA Server 
2. Tạo access rule cho phép kết nối VPN 
3. Cấu hình NAT Inbout trên Router ADSL 
4. Kiểm tra kết nối VPN   II. Chuẩn bị: Mô hình bài lab như phần 1 bài lab bao gồm 3 máy:


Cấu hình TCP/IP cho máy DC và ISA Server như trong phần 1.
- ADSL Router (IP: 192.168.1.200): đã được cấu hình đảm bảo máy DC đã truy cập được Internet - Máy DC: Windows Server 2003 SP2 hoặc Windows Server  2008           + Tạo OU HCM. Trong OU HCM tạo group VPNUsers.           + Trong OU HCM tạo user Trong password P@ssword làm thành viên của group VPNUsers                          + Cho user Trong trong quyền Allow Access            - Máy ISA Server: Windows Server 2003 SP2 
       - Máy VPN Client: cài Windows Vista hoặc Windows XP (đã truy cập được Internet)   III. Thực hiện: 1. Cấu hình VPN Client to Gateway:   - Chuột phải vào Virtual Private Network chọn Properties     - Trong hộp thoại Virtual Private Network qua tab Address Assignment chọn Static address pool nhấn Add bạn nhận vào range Ip sẽ cấp cho Client         Starting address:  10.10.10.1         Ending address: 10.10.10.200

  - Nhấn Apply - Trong cửa sổ ISA Server Management tại cửa sổ thứ 3 khung Task click vào Enable VPN Client Access 

  - Nhấn chọn Apply     - Tiếp theo bạn click vào Configure VPN Client Access để qui định group được phép kết nối đến VPN     - Trong hộp thoại VPN Client Properties qua tab Group Add vào Group VPN Users

  - Nhấn Apply  
2. Tạo access rule cho phép kết nối VPN
  - Chuột phải vào Firewall Policy chọn New chọn Access Rule     - Trong khung Access Rule Name đặt tên là : Allow VPN Clients Access 

  - Trong khung Rule Action chọn Allow     - Trong khung Protocols chọn All Outbound Traffic
  - Trong khung Access Rule Sources Add Internal VPN Clients chọn Next     - Trong khung Access Rule Destinations Add Internal VPN Clients chọn Next

  -  Trong khung Users Set chọn All users     - Kiểm tra lại thông tin về Rule nhấn chọn Finish
  - Nhấn Apply
  3. Cấu hình NAT Inbout trên ADSL Router   - Đăng nhập vào trang web cấu hình Router (trong bài viết này tôi sử dụng ADSL Router D-Link)     - Qua tab Advanced khung bên trái chọn Lan Clients Add vào địa chỉ IP của máy ISA Server: 192.168.1.1     - Tiếp theo khung bên trái chọn Virtual Server khung Categories chọn VPN add vào rule PPTP     - Nhấn chọn Apply     - Sau đó bạn xem IP của ADSL Router  
4. Kiểm tra kết nối VPN
- Trên máy Client mở Network Connection - Trong cửa sổ Network Connection chọn Create a New Network Connection     - Trong hộp thoại Welcome to the New Connection Wizard nhấn chọn Next     - Trong hộp thoại Network Connection Type chọn Connect to the network at my workplace     - Trong hộp thoại Network Connection chọn Virtual Private Network connection     - Trong hộp thoại Connection Name đặt tên là MSOpenLab     - Trong hộp thoại VPN Server Selection nhập vào IP Public của máy ADSL Router     - Trong hộp thoại Completing the New Connection Wizard nhấn Finish     - Chuột phải vào connection MSOpenLab chọn Connect     - Nhập vào username password nhấn Connect     - Kiểm tra kết nối VPN thành công     - Vào cmd gõ lệnh ipconfig /all kiểm tra VPN Client đã được cấp IP     - Kiểm tra ping thử địa chỉ trong mạng nội bộ (ping ip của máy DC) kiểm tra liên lạc thành công  

More...

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆP PHẦN 2: ACCESS RULES

By Huynh Sy Nguyen

PHẦN 2: ACCESS RULES

I. Giới thiệu:
Tiếp theo phần 1 sau khi các bạn đã cài đặt thành công ISA Server 2006 các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.   Trong bộ bài viết này bao gồm các phần:
Phần I:
 Cài đặt ISA Server 2006
Phần II: Cấu hình Access Rule
Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL
  Bài lab bao gồm các bước:
1. Kiểm tra Default Rule 2. Tạo rule truy vấn DNS để phân giải tên miền 3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế 4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh 5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao ngoại trừ trang ngoisao.net 6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express 7. Không cho nghe nhạc trực tuyến cấm chat Yahoo Messenger  cấm download file có đuôi .exe 8. Cấm truy cập một số trang web nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty
II. Chuẩn bị :
Mô hình bài lab như phần 1 bài lab bao gồm 2 máy:        - Máy DC: Windows Server 2003 SP2 hoặc Windows Server  2008                      + Tạo OU HCM. Trong OU HCM tạo 2 group Manager Staff.                      + Trong OU HCM tạo 2 user Man1 Man2 làm thành viên của group Manager                      + Trong OU HCM tạo 2 user Staff1 Staff2 làm thành viên của group Staff        - Máy ISA Server: Windows Server 2003 SP2    III. Thực hiện:
1. Kiểm tra Default Rule
- Mặc định sau khi cài ISA Server 2006 chỉ có 1 access rule tên Default Rule cấm tất cả mọi traffic ra vào


- Tại máy DC log on MSOpenLabAdministrator truy cập vào trang web bất kỳ kiểm tra nhận được thông báo lỗi của ISA Server 


- Vào cmd gõ lệnh nslookup phân giải lần lượt tên 2 trang web sau: www.google.comwww.tuoitre.com.vn kiểm tra phân giải thất bại


2. Tạo rule truy vấn DNS để phân giải tên miền
- Tại máy ISA Server log on MSOpenLabAdministrator mở ISA Server Management  chuột phải Firewall Policy chọn New chọn Access Rule


- Hộp thoại Access Rule Names đặt tên rule là: DNS Query


- Hộp thoại Rule Action chọn Allow


- Hộp thoại Protocols chọn Selected Protocols và nhấn Add


- Trong hộp thoại Add Protocols bung mục Common Protocols chọn DNS nhấn Add


- Nhấn Next


- Hộp thoại Access Rule Sources Add 2 Rule : InternalLocal Host 


- Hộp thoại Access Rule Destinaton Add Rule: External nhấn Next


- Hộp thoại User Sets chọn All Users nhấn Next


- Hộp thoại Completing the New Access Rule Wizard   kiểm tra lại thông tin về Rule lần cuối sau đó nhấn Finish

 
- Nhấn chọn Apply Ok 


Lưu ý: Sau mỗi lần tạo rule phải chọn Apply để rule có hiệu lực
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
a. Tạo Element để định nghĩa nhóm Manager và Staff - Trong cửa sổ ISA Server Management tại cửa sổ thứ 3 chọn tab Toolbox bung mục Users chọn New


- Hộp thoại User set name đặt tên là Manager


- Hộp thoại Users nhấn Add chọn Windows users and groups...


- Add 2 users Man1Man2  vào hộp thoại Users


- Trong hộp thoại Completing chọn Finish  


- Nhấn Apply


-  Tương tự bạn tạo thêm nhóm là Staff



-  Hộp thoại Users Add 2 user Staff1Staff2 chọn Next


-   Hộp thoại Completing the New User Set Wizard  chọn Finish


b Tạo Access Rule: - Chuột phải Firewall Policy chọn New chọn Access Rule


- Hộp thoại Access Rule Names đặt tên rule là: Allow Manager - Full Access


- Hộp thoại Rule Action chọn Allow


- Hộp thoại Protocols chọn All outbound traffic


- Hộp thoại Access Rule Sources  add Internal chọn Next 


- Hộp thoại Access Rule Destinaton add External chọn Next


- Hộp thoại User Sets remove group All Users và add group Manager vào chọn Next


- Hộp thoại Completing the New Access Rule Wizard chọn Finish


- Nhấn chọn Apply  chọn OK 


-  Trên máy DC log on MSOpenLabMan1 truy cập trang web: http://vnexpress.net và http://www.google.com.vn kiểm tra truy cập thành công




4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh a. Tạo Schedule Element - Trong cửa sổ ISA Server Management  chọn Firewall Policy qua cửa sổ thứ 3 tại tab Toolbox bung mục Schedules chọn New


- Trong ô Name nhập tên Work Time. Bên dưới chọn từ (7h - 11h) và từ (1h - 5h) 


- Tương tự tạo thêm 1 schedule là Rest Time với thời gian là từ 11h - 1h


b. Tạo Element URL Sets
- Trong cửa sổ ISA Server Management  chọn Firewall Policy qua cửa sổ thứ 3 tại tab Toolbox bung mục Network Objects nhấn New chọn URL Set


- Trong hộp thoại New URL Set. Ô Name  nhập tên: Restrict Web add các trang web mà bạn muốn cấm (Vd:http://ngoisao.net ) chọn OK


-  Tương tự bạn tạo thêm URL Set là: Allow Web và add những trang web được phép truy cập vào


c. Tạo Access Rule:

- Chuột phải Firewall Policy chọn New chọn Access Rule


- Hộp thoại Access Rule Names đặt tên rule là: Allow Staff on Work Time


- Hộp thoại Rule Action chọn Allow


- Hộp thoại Protocols chọn Selected Protocols và nhấn Add


- Trong hộp thoại Add Protocols bung mục Common Protocols chọn HTTP và HTTPS nhấn Add


- Nhấn Next


-
Hộp thoại Access Rule Sources add  Internal 


- Hộp thoại Access Rule Destinaton nhấn Add


- Bung URL Sets chọn Allow Web


- Nhấn Next


- Hộp thoại User Sets remove group All Users add group Staff


- Hộp thoại Completing the New Access Rule Wizard nhấn Finish


- Chuột phải lên Rule Allow Staff on Work Time chọn Properties


- Qua Tab Schedule trong khung schedule  chọn là Work Time Nhấn OK


- Trên máy DC log on MSOPenLabStaff1 truy cập trang web http://vnexpress.nethttp://www.nhatnghe.com kiểm tra truy cập thành công



- Truy cập những trang web khác ví dụ: http://www.google.com kiểm tra không truy cập được


5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao ngoại trừ trang ngoisao.net
- Trong cửa sổ ISA Server Management chuột phải Firewall Policy chọn New chọn Access Rule

- Hộp thoại Access Rule Names đặt tên rule là: Allow Staff on Rest Time


- Hộp thoại Rule Action chọn Allow
- Hộp thoại Protocols chọn Selected Protocols và nhấn Add


-  Trong hộp thoại Add Protocols bung mục Common Protocols chọn HTTP và HTTPS nhấn Add


- Nhấn Next



 - Hộp thoại Access Rule Sources add Internal nhấn Next



- Hộp thoại Access Rule Destinaton add External nhấn Next


- Hộp thoại User Sets  remove group All Users  add group Staff vào chọn Next 


- Hộp thoại Completing the New Access Rule Wizard  nhấn Finish


- Chuột phải lên rule Allow Staff on Rest Time chọn Properties


- Qua Tab Schedule trong mục Schedule chọn Rest Time


- Qua tab To khung Exceptions nhấn Add


- Bung mục URL Sets chọn Restrict Web


-  Nhấn Apply chọn OK


- Trên máy DC log on user MSOPenLabStaff2 truy cập trang: http://ngoisao.net kiểm tra nhận thông báo lỗi.


- Truy cập những trang web khác (ví dụ: http://www.google.com.vn.) kiểm tra truy cập thành công

  6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express
- Trong cửa sổ ISA Server Management chuột phải Firewall Policy chọn New chọn Access Rule


- Hộp thoại Access Rule Names đặt tên rule là: Allow Manager - Full Access


- Hộp thoại Rule Action chọn Allow


- Hộp thoại Protocols chọn Selected Protocol nhấn Add


- Trong hộp thoại Add Protocols bung mục Common Protocols chọn SMTP và POP3 nhấn Add 


-  Nhấn Next


- Hộp thoại Access Rule Sources Aad Internal nhấn Next


- Hộp thoại Access Rule Destinaton add External nhấn Next


- Hộp thoại User Sets bạn chọn All Users


- Hộp thoại Completing the New Access Rule Wizard Finish


- Nhấn chọn Apply nhấn OK


- Log on Man1 trên máy DC vào StartPrograms chọn OutlookExpress
- Trong khung Display Name bạn gõ tên vào. Ví dụ: msopenlab . Nhấn Next


- Trong khung email address điền địa chỉ yahoo của bạn  (Ví dụ: msopenlab@yahoo.com.vn) Nhấn Next


- Trong hộp thoại E-mail Server Names trong khung My incoming mail server bạn chọn là POP3 + Incoming mail: pop.mail.yahoo.com.vn + Outgoing mail: smtp.mail.yahoo.com.vn nhấn Next

- Trong hộp thoại Internet Mail Logon nhập  account password vào (không điền @yahoo.com.vn)


- Tiếp theo vào Tools chọn Accounts


- Qua tab Mail nhấn Properties


- Trong hộp thoại Properties qua tab Advanced. + Trong khung Outgoing mail (SMTP): bạn gõ vào 587 + Trong khung Incoming mail (POP3) bạn gõ vào 995 và đánh dấu check vào ô chọn This server requires a secure connection + Trong khung Delivery đánh dấu check vào Leave a copy of messages on server chọn Apply OK


 - Sau đó nhấn vào biểu tượng Send/Receive bạn sẽ nhận được mail từ yahoo tải về


7. Không cho nhân viên nghe nhạc trực tuyến cấm chat Yahoo Messenger  cấm download file có đuôi .exe
a. Cấm trong giờ hành chánh
- Tại máy ISA Server trong cửa sổ ISA Server Management  chuột phải lên rule Allow Staff on Work Time chọn Configure HTTP



- Qua tab Signatures nhấn Add


- Ở khung Name nhập tên: Deny Yahoo Messenger
 
Khung Search in chọn tùy chọn: Request headers
  Khung HTTP Header nhập: Host:
 
Khung Signature nhập: msg.yahoo.com
chọn OK


- Nhấn Apply chọn OK


- Qua tab Methods trong khung Specify the action taken for HTTP methods chọn Block specified methods (allow all others)


- Nhập vào những định dạng file mà bạn muốn cấm ví dụ: .exe 


- Chuột phải vào Allow Staff on Work Time chọn Properties



- Qua tab Content Types khung This rule applies to chọn Selected content types - Trong khung Content Types bỏ dấu chọn ô Audio Video (để user không nghe nhạc trực tuyến). Nhấn Apply chọn OK


b. Cấm trong giờ giải lao: Làm tương tự bước a trên rule Allow Staff on Rest Time

c. Kiểm tra:
- Log on Administrator trên máy Client thử Sign in vào Yahoo Messenger bạn sẽ không thể đăng nhập Yahoo được


- Thử truy cập vào trang http://nhacso.net kiểm tra không được nghe nhạc trực tuyến


- Bạn thử download 1 file.exe bất kỳ từ trang web nào đó. (VD: http://bkav.com.vn


- Kiểm tra sẽ thấy download thất bại


8. Cấm truy cập một số trang web nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty
a. Tạo Access Rule cho truy cập từ Internal tới Internal với All Protocol (tương tự như các bước trên)

More...

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆP PHẦN 1: CÀI ĐẶT ISA SERVER 2006

By Huynh Sy Nguyen

TRIỂN KHAI ISA FIREWALL CHO HỆ THỐNG DOANH NGHIỆP
PHẦN 1: CÀI ĐẶT ISA SERVER 2006
I. Giới thiệu

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft  ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế chẳng hạn như:
+ Phát triển hỗ trợ OWA OMA ActiveSync và RPC/HTTP pubishing
+ Hổ trợ SharePoint Portal Server
+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener
+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
+...

Trong bộ bài viết này bao gồm các phần:
Phần I:  Cài đặt ISA Server 2006
Phần II: Cấu hình Access Rule
Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL


Ở phần 1 này các bạn sẽ bắt đầu làm quen với ISA Firewall thông qua việc cài đặt ISA Server 2006




 
Bài lab bao gồm các bước:
      1. Cài đặt ISA Server 2006
      2. Cài đặt và cấu hình Firewall Client
      3. Cấu hình Auto Discovery
      4. Tạo Access Rule để kiểm tra kết nối Internet

II. Chuẩn bị

Bài lab bao gồm 2 máy:
       - Máy DC: Windows Server 2003 đã nâng cấp lên Domain Controller
       - Máy Server:  Windows Sever 2003 đã Join domain 

Cấu hình TCP/IP cho 2 máy như trong bảng sau:















 

Card INT

Card EXT

Máy ISA Server

IP Address: 172.16.1.1
Subnet Mask: 255.255.255.0
Gateway:
Preferred DNS: 172.16.1.2

IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.200 (địa chỉ ADSL Router)
Preferred DNS:

Máy DC

IP Address: 172.16.1.2
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.1
Preferred DNS: 172.16.1.2

 

III. Thực hiện

1. Cài đặt ISA Server 2006
- Mở Windows Explorer vào thư mục chứa bộ cài đặt ISA SERVER 2006
- Chạy file isaautorun.exe (Bạn có thể chạy isauotorun.exe từ CD cài đặt ISA Server 2006)



- Chọn Install ISA Server 2006




- Hộp thoại Welcome to the Install Wizard... nhấn Next




- Chọn I accept the terms in the license agreement nhấn Next




- Hộp thoại Setup Type chọn Custom




- Chọn Install ISA Server ISA Server Management nhấn Next




- Trong hộp thoại Internal Network nhấn chọn Add




- Sau đó bạn chọn Add Adapter...




- Đánh dấu chọn Int (Interface mặt trong của máy ISA) chọn OK



- Chọn IP: 172.16.255.255 nhấn Delete




- Chọn OK







- Tiếp theo trong hộp thoại Firewalll Client Connections đánh dấu check vào Allow non-encrypted Firewall client connections




- Tiếp theo bạn cài đặt theo mặc định







- Hộp thoại Installation Wizard Completed  nhấn Finish


 
2. Cài đặt và cấu hình Firewall Client trên máy DC
- Tại máy DC logon MSOpenLabAdministrator
- Cài đặt ISA Firewall Client trong đĩa CD cài đặt (thư mục Client)
- Hộp thoại Welcome to the Install... nhấn Next



- Tiếp theo bạn cài đặt theo mặc định








- Hộp thoại ISA Server Computer Selection nhập vào địa chỉ IP của máy ISA Server nhấn Next






- Nhấn Finish kết thúc quá trình cài đặt


 
 
3. Cấu hình Auto Discovery
- Mở ISA Server Management phần Configuration chọn Network. Ở khung bên phải right click Internal chọn Properties



- Chọn tab Auto Discovery đánh dấu check vào Publish automatic discovery information for this network


 

- Nhấn Apply



 


- Tại máy DC mở DNS manager từ Administrative Tools
- Click phải vào zone MSOpenLab.Com chọn New Alias (CNAME)...



- Nhập WPAD vào ô Alias name
- Ở khung FQDN bạn Browse đến máy ISA Server




- Sau đó bạn Restart lại DNS




- Vào cmd gõ lệnh ipconfig /flushdns để xóa cache DNS



- Mở ISA Firewall Client vào tab Setting chọn Automatically detected ISA Server chọn Detect Now kiểm tra máy client đã detect đuợc tên máy ISA Server chọn OK



4. Tạo Access Rule để kiểm tra kết nối Internet
- Tại máy ISA Server mở ISA Server Management  chuột phải Firewall Policy chọn New chọn Access Rule



 
- Hộp thoại Access Rule Names đặt tên rule là: Allow to Internet
 


- Hộp thoại Rule Action bạn chọn Allow



 
- Hộp thoại Protocols chọn All outbound traffic




- Hộp thoại Access Rule Sources nhấn Add chọn 2 mục: InternalLocalhost
 


- Hộp thoại Access Rule Destinations nhấn Add chọn External




- Hộp thoại User Sets chọn All User
 


- Nhấn Finish



- Nhấn Apply


 

 
- Cả 2 máy truy cập trang: www.google.com.vn  kiểm tra truy cập thành công

More...

CÁC VẤN ĐỀ CẦN LƯU Ý KHI TRIỄN KHAI CÀI ĐẶT ISA SERVER 2006

By Huynh Sy Nguyen

Cài đặt ISA? Thật là đơn giản!!!

Trong quá trình công tác và giao tiếp với một số quản trị viên hệ thống tôi thỉnh thoảng được nghe bày tỏ quan điểm như vừa nói trên. Quả thật không hề đại ngôn khi cho rằng cài ISA thật là đơn giản.

Chính vì "thật là đơn giản" nên "có khi mưa ngoài trời là giọt nước mắt em đã tan theo vào đời làm thành nỗi ưu phiền" (lời của nhạc sĩ Trịnh Công Sơn chứ không phải của Mr. Bill Gates). Tức là sau khi cài xong rồi thì không chỉ riêng server ISA mà cả hệ thống LAN bỗng dưng trở nên chập chờn như mưa nắng Sài Gòn làm anh quản trị ưu phiền không dứt!!! Vì thế bài viết này không nhằm hướng dẫn từng bước mà chỉ nêu lên một số vấn đề cần đặc biệt quan tâm khi cài đặt với mong muốn giúp quý vị xây dưng một server ISA 2006 hoàn chỉnh ngay từ những bước đầu tiên.

1. Cấu hình máy chủ cần thiết:

- CPU Intel hoặc AMD tối thiểu 773 MHz.
- RAM tối thiểu 512MB.
- Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server).
- Đĩa cứng trống tối thiểu 150MB định dạng NTFS.
- Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bit

Băng thông internet và cấu hình đề nghị tương ứng:

Băng thông: đến 25 Mbps
CPU: 3 đến 4 GHz
RAM: 512 MB
Card mạng: 10/100 Mbps
Số kết nối VPN đồng thời tối đa: 700

Băng thông: đến 90 Mbps
CPU: Dual core 2 đến 3 GHz
RAM: 2 GB
Card mạng: 100/1000 Mbps
Số kết nối VPN đồng thời tối đa: 2000

Tham khảo thêm cấu hình tối ưu tại: http://www.microsoft.com/technet/isa/2006/perf_bp.mspx

2. Hoàn chỉnh bảng định tuyến (routing table)

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network - subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet.
Theo nguyên tắc định tuyến chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường:



Chú ý rằng trên interface 192.168.3.254 của router nội bộ phải có default gateway 192.168.3.1

Với cấu hình IP như trên bảng định tuyến của ISA sẽ có các định tuyến:
Dest. Subnet mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1
192.168.3.0 255.255.255.0 192.168.3.1 192.168.3.1





Để ISA có thể giao tiếp với hệ thống mạng nội bộ phải thêm 2 định tuyến:
Dest. Subnet mask Gateway Interface
192.168.1.0 255.255.255.0 192.168.3.254 192.168.3.1
192.168.2.0 255.255.255.0 192.168.3.254 192.168.3.1

Để tạo thêm định tuyến có thể dùng console Routing and Remote Access hoặc các lệnh NETSH và ROUTE
ví dụ:
route add 192.168.1.0 mask 255.255.255.0 192.168.3.254 metric 1
route add 192.168.2.0 mask 255.255.255.0 192.168.3.254 metric 1



3. Chú ý thông số DNS

Để có thể phục vụ cho Proxy client và Firewall client ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô - internal interface):
- Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh hoạ).
- Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary DNS server) nội bộ.
- Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy chủ DNS nội bộ.

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.
Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

4. Tinh chỉnh cấu hình external interface

Để bảo đảm nhân viên bảo vệ - ISA - toàn tâm toàn ý với công việc của mình cần có một số quy định sau đây:
- Quy định 1: Không được ... đi nhậu!!!
- Quy định 2: Không được mời ai đến phòng bảo vệ để ... nhậu!!!
- Quy định 3: Không được nghe lời ... bọn xấu dụ dỗ!!!
Để tăng cường bảo vệ chính máy ISA cần thiết lập các hạn chế trên external interface:
- Để thoả quy định 1 và quy định 2: External interface properties: bỏ các dấu kiểm "Client for Microsoft Networks" và "File and Printer Sharing for Microsoft Networks"



- Để thoả quy định 3: External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTS lookup" và chọn "Disable NetBIOS over TCP/IP"



5. Cài ISA trên một máy chủ "sạch"

Cũng với mục tiêu "đào tạo" một nhân viên bảo vệ chuyên trách & để giúp nhân viên này "vô cảm" trước "gợi ý" của những kẻ "bất chính" nên cài ISA trên một máy sạch nghĩa là chỉ có hệ điều hành như yêu cầu.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất giành cho hoạt động định tuyến và chặn lọc thông tin.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ chính ISA bị tấn công.
Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng "tê liệt " nốt. Nếu nhân viên bảo vệ đồng thời là ... giám đốc doanh nghiệp thì ... xin miễn ý kiến!!!

6. Nên cài ISA trên stand-alone server hay domain member server?

Khi cài ISA trên stand-alone server đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để "với tới" dịch vụ danh bạ động (Active Directory service) hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server (Remote Authentication Dial-In User Service).
Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn.

Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator có thể triển khai kiểm soát và chứng thực được domain user.

Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ tức cài ISA trên domain member server.
Tuy nhiên các bước cài đặt là như nhau trên cả hai môi trường

7. Những lưu ý rất quan trọng khi cài đặt:

- Kích hoạt tập tin ISAAutorun.exe từ đĩa cài đặt ISA 2006.

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes chọn Install ISA Server 2006.

- Hộp thoại Setup Type: Khác với ISA 2004 ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy chỉ chọn Custom (trên hộp thoại kế tiếp chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không chọn Next.

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Giả sử hệ mạng có cấu trúc như ở đầu bài viết cần phải khai báo 03 khoảng: 192.168.1.0 - 192.168.1.255 192.168.2.0 - 192.168.2.255 và 192.168.3.0 - 192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm.

-----------------------

Bài viết được cung cấp bởi: MCT Lê Ngọc Hiến
Giảng viên Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ

More...

UNDERSTANDING PUBLIC KEY INFRASTRUCTURE (PKI)

By Huynh Sy Nguyen

Hệ thống Mã hóa trên cơ sở Mã Công Khai


(*) Chú thích
Để bảo đảm tính dễ hiểu của bài viết các thuật ngữ sử dụng được dịch ra tiếng Việt theo ý nghĩa và giữ nguyên các thuật ngữ gốc để bạn đọc tiện tra cứu

I. Tổng Quan

Trong ngành Mật mã học PKI là sự sắp xếp kết hợp Khóa Công Khai với Các Yếu Tố Định Danh (identities) của đối tượng tạo thành một Chứng Nhận (Certificate) bới một thành phần thứ ba gọi là Nhà Cung Cấp Dịch Vụ Chứng Nhận (Certification Authority _ viết tắt là CA) thông qua các thuật toán
Cơ chế này gán cho mỗi đối tượng tham gia giao dịch một cặp mã khóa gồm Khóa Công Khai (Public key) và Khóa Cá Nhân ( Private Key) một khóa dùng để mã hóa (thường là Khóa Công Khai) và khóa còn lại dùng để giải mã (thường là Khóa Cá Nhân).
Để chứng nhận tính xác thực về giá trị Khóa Công Khai CA sẽ sừ dụng Chữ Ký Số (Digital Signature _ viết tắt là DS) của mình để chứng thực thông tin kết hợp gồm : Các Thông Tin Định Danh và Khóa Công Khai của đối tượng để tạo nên Chứng Nhận cho đối tượng đó. Quá trình này được thực hiện bởi phần mềm tại CA và các phần mềm phối hợp mà đối tượng sử dụng.
Khái niệm PKI ngày nay thường được dùng để chỉ toàn bộ các hệ thống sử dụng phương pháp mã hóa thông tin trong giao dịch dựa trên cơ sở kết hợp cặp Khóa Công Khai Khóa Cá Nhân cùng tất cả các yếu tố liên quan thành phần liên quan như các Thuật Toán Mã Hóa được sử dụng. Trong phần lớn các trường hợp để bảo đảm tính xác thực giá trị Khóa Công Khai cần được chứng thực bởi một CA và được công bố trong Chứng Nhận của đối tượng tuy nhiên một số hệ thống vẫn sử dụng cặp mã khóa này mà không hề có Chứng Nhận

II. Phương pháp Mã Hóa

1. Mã Hóa Bất Đối Xứng


Mã Hóa Khóa Công Khai (PKI Cryptography - viết tắt là PKC) - còn được xem như đồng nghĩa với Mã Khóa Bất Đối Xứng (Asynmetric Cryptography) - trong đó khóa dùng để Mã Hóa (Encrypt) khác với khóa dùng để Giải Mã (Decrypt).

Trong PKC người dùng có một cặp khóa : Khóa Công Khai (ký hiệu là P) và Khóa Cá Nhân (Private Key - ký hiệu là Q). Khóa Cá Nhân được giữ kín trong khi Khóa Công Khai lại được công bố rộng rãi đến các đối tượng tham gia giao dịch. Tuy hai khóa này có quan hệ toán học chặt chẽ với nhau nhưng việc dò tìm Khóa Cá Nhân thông qua Khóa Công Khai trên thực tế được xem như không thể thực hiện

Trong quy trình giao dịch với PKC đối tượng Gởi sẽ mã hóa thông tin với Khóa Công Khai của đối tượng Nhận và thông tin này chỉ có thể giải mã với Khóa Cá Nhân tương ứng của đối tượng nhận

Như vậy khi sử dụng PKC trong quy trình giao dịch các đối tượng gởi và nhận thông tin không cần phải thông báo hoặc trao đổi với nhau về khóa để mã hóa



Như vậy khi sử dụng PKC trong quy trình giao dịch các đối tượng gởi và nhận thông tin không cần phải thông báo hoặc trao đổi với nhau về khóa để mã hóa


2. Mã Hóa Đối Xứng

Trái ngược lại với Mã Hóa Khóa Công Khai Mã Hóa Khóa Bí Mật (Secret Key Cryptography - viết tắt là SKC) - còn được xem như đồng nghĩa với Mã Hóa Đối Xứng (Symmetric Cryptography) - lại sử dụng một khóa chung (Share Key) cần được giữ kín (Secret Key) cho quy trình mã hóa và giải mã.



Do đó khi sử dụng SKC trong quy trình giao dịch các đối tượng gởi và nhận thông tin đều phải biết khóa bí mật truớc khi thực hiện giao dịch hoặc gới khóa bí mật kèm theo nội dung thông tin để bên nhận có thể thực hiện việc giải mã

So sánh hai quy trình trên ta nhận thấy rò ràng phương thức PKC rõ ràng tiện lợi và an tòan hơn trong việc trao đổi các thông tin mật. Thông thường PKC đòi hỏi khối lượng tính toán nhiều hơn so với SKC nhưng những lợi điểm mà chúng mang lại khiến cho chúng được áp dụng trong nhiều ứng dụng

a. Các giai đoạn phát triển

Trong hầu hết lịch sử mật mã học khóa dùng trong các quá trình mã hóa và giải mã phải được giữ bí mật và cần được trao đổi bằng một phương pháp an toàn khác (không dùng mật mã) như gặp nhau trực tiếp hay thông qua một người đưa thư tin cậy. Vì vậy quá trình phân phối khóa trong thực tế gặp rất nhiều khó khăn đặc biệt là khi số lượng người sử dụng rất lớn. PKC đã giải quyết được vấn đề này vì nó cho phép người dùng gửi thông tin mật trên đường truyền không an toàn mà không cần thỏa thuận khóa từ trước
Thuật toán PKI được thiết kế đầu tiên bởi James H. Ellis Clifford Cocks và Malcolm Williamson tại GCHQ (Anh) vào đầu thập kỷ 1970. Thuật toán sau này được phát triển và biết đến dưới tên Diffie-Hellman và là một trường hợp đặc biệt của RSA. Tuy nhiên những thông tin này chỉ được tiết lộ vào năm 1997.

Năm 1976 Whitfield Diffie và Martin Hellman công bố một hệ thống mã hóa khóa bất đối xứng trong đó nêu ra phương pháp trao đổi khóa công khai. Công trình này chịu sự ảnh hưởng từ xuất bản trước đó của Ralph Merkle về phân phối khóa công khai. Trao đổi khóa Diffie-Hellman là phương pháp có thể áp dụng trên thực tế đầu tiên để phân phối khóa bí mật thông qua một kênh thông tin không an toàn. Kỹ thuật thỏa thuận khóa của Merkle có tên là hệ thống câu đố Merkle.

Thuật toán đầu tiên cũng được Rivest Shamir và Adleman tìm ra vào năm 1977 tại MIT. Công trình này được công bố vào năm 1978 và thuật toán được đặt tên là RSA. RSA sử dụng phép toán tính hàm mũ môđun (môđun được tính bằng tích số của 2 số nguyên tố lớn) để mã hóa và giải mã cũng như tạo [[chữ ký số]. An toàn của thuật toán được đảm bảo với điều kiện là không tồn tại kỹ thuật hiệu quả để phân tích một số rất lớn thành thừa số nguyên tố.

Kể từ thập kỷ 1970 đã có rất nhiều thuật toán mã hóa tạo chữ ký số thỏa thuận khóa.. được phát triển. Các thuật toán như ElGamal (mật mã) do Netscape phát triển hay DSA do NSA và NIST cũng dựa trên các bài toán lôgarit rời rạc tương tự như RSA. Vào giữa thập kỷ 1980 Neal Koblitz bắt đầu cho một dòng thuật toán mới: mật mã đường cong elliptic và cũng tạo ra nhiều thuật toán tương tự. Mặc dù cơ sở toán học của dòng thuật toán này phức tạp hơn nhưng lại giúp làm giảm khối lượng tính toán đặc biệt khi khóa có độ dài lớn.

b. Những điểm yếu

Tồn tại khả năng một người nào đó có thể tìm ra được khóa bí mật. Không giống với hệ thống mật mã sử dụng một lần (one-time pad) hoặc tương đương chưa có thuật toán mã hóa khóa bất đối xứng nào được chứng minh là an toàn trước các tấn công dựa trên bản chất toán học của thuật toán. Khả năng một mối quan hệ nào đó giữa 2 khóa hay điểm yếu của thuật toán dẫn tới cho phép giải mã không cần tới khóa hay chỉ cần khóa mã hóa vẫn chưa được loại trừ. An toàn của các thuật toán này đều dựa trên các ước lượng về khối lượng tính toán để giải các bài toán gắn với chúng. Các ước lượng này lại luôn thay đổi tùy thuộc khả năng của máy tính và các phát hiện toán học mới.

Mặc dù vậy độ an toàn của các thuật toán PKI cũng tương đối đảm bảo. Nếu thời gian để phá một mã (bằng phương pháp duyệt toàn bộ) được ước lượng là 1000 năm thì thuật toán này hoàn toàn có thể dùng để mã hóa các thông tin về thẻ tín dụng - Rõ ràng là thời gian phá mã lớn hơn nhiều lần thời gian tồn tại của thẻ (vài năm).

Nhiều điểm yếu của một số thuật toán mã hóa khóa bất đối xứng đã được tìm ra trong quá khứ. Thuật toán đóng gói ba lô là một ví dụ. Nó chỉ được xem là không an toàn khi một dạng tấn công không lường trước bị phát hiện. Gần đây một số dạng tấn công đã đơn giản hóa việc tìm khóa giải mã dựa trên việc đo đạc chính xác thời gian mà một hệ thống phần cứng thực hiện mã hóa. Vì vậy việc sử dụng mã hóa khóa bất đối xứng không thể đảm bảo an toàn tuyệt đối. Đây là một lĩnh vực đang được tích cực nghiên cứu để tìm ra những dạng tấn công mới.

Một điểm yếu tiềm tàng trong việc sử dụng khóa bất đối xứng là khả năng bị tấn công dạng kẻ tấn công đứng giữa (man in the middle attack): kẻ tấn công lợi dụng việc phân phối khóa công khai để thay đổi khóa công khai. Sau khi đã giả mạo được khóa công khai kẻ tấn công đứng ở giữa 2 bên để nhận các gói tin giải mã rồi lại mã hóa với khóa đúng và gửi đến nơi nhận để tránh bị phát hiện. Dạng tấn công kiểu này có thể phòng ngừa bằng các phương pháp trao đổi khóa an toàn nhằm đảm bảo nhận thực người gửi và toàn vẹn thông tin. Một điều cần lưu ý là khi các chính phủ quan tâm đến dạng tấn công này: họ có thể thuyết phục (hay bắt buộc) nhà cung cấp dịch vụ chứng thực xác nhận một khóa giả mạo và có thể đọc các thông tin mã hóa.

Các thuật toán mã hóa thường dùng và ứng dụng
PKC có các hướng ứng dụng chính trong thực tế là ::
  • Mã hóa : giữ bí mật nội dung thông tin (chỉ có người có khóa cá nhân mới giải mã được )
  • Tạo chữ ký số : cho phép kiểm tra tính toàn vẹn của một thông tin có thể nhận biết khi nội dung thông tin bị thay đổi.
• Trao đổi khóa : cho phép thiết lập và thông báo khóa bí mật (Secret Key) dùng để mã hóa / giải mã thông tin giữa 2 bên khi sử dụng SKC.

3. Thuật toán RSA

RSA là một thuật toán PKC. Đây là thuật toán đầu tiên phù hợp với việc tạo ra Chữ Ký Số đồng thời với việc Mã Hóa.. RSA đang được sử dụng phổ biến trong thương mại điện tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn. RSA có hai khóa: khóa công khai (hay khóa công cộng) và khóa bí mật (hay khóa cá nhân) với cách dùng tương tự như đã nêu ở Mã Hóa Bất Đối Xứng phần trên

Quy trình thực hiện RSA bao gồm các quy trình : (1) Tạo khóa (Công khai Cá nhân) (2) Chuyển Đổi Văn Bản Rõ (theo một tiêu chuẩn xác định Ví dụ : PKCS) để tránh các giá trị không an tòan (3) Mã hóa và (4) Giải mã

RSA thường được dùng trong các tứng dụng : mã hóa và giải mã thông tin tham gia vào các quy trình tạo Chữ Ký Số và quy trình Trao Đổi Khóa

4. Thuật toán HASH

Hash hay Hash function tiếng Việt gọi là Hàm băm hay thuật toán băm là một thuật ngữ bảo mật dùng để chỉ khả năng biến đổi bất cứ thông điệp (có độ dài bất kỳ) thành một chuỗi các ký tự có độ dài cố định. Chuỗi kết quả này còn được gọi là thông điệp tóm lược (message digest) hay vân tay số (digital fingerprint).

Hai tính chất quan trọng của hàm băm là:
  • Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả.
• Tính duy nhất: xác suất để có một vụ va chạm (hash collision) tức là hai thông điệp khác nhau có cùng một kết quả băm là cực kì nhỏ.
Do vậy hàm băm được dùng để chống và phát hiện xâm nhập; bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng; tạo chìa khóa từ mật khẩu và tạo chữ ký số

SHA-1 và MD5 là hai thuật toán băm thông dụng nhất và được sử dụng trong rất nhiều hệ thống bảo mật.

5. Ứng dụng Mã Hóa để bảo mật thông tin (Security)

Mục đích chính của ứng dụng mã hóa là để đề phòng nếu thông tin có bị tiết lộ hoặc đối tượng thứ ba lấy được trong quá trình vận chuyển thì sẽ không thể giải được (không có khóa để giải)

Ví dụ : Đối tượng A muốn trao đổi thông tin một cách bảo mật với đối tượng B
Bước 1 : Mỗi đối tượng cần một cặp Khóa _ đối tượng A có (Pa Qa) đối tượng A có (Pb Qb)
Bước 2 : Nhà Cung Cấp Dịch Vụ Chứng Thực(CA) sẽ chứng thực các thông tin định danh và khóa công khai (P) để tạo ra Chứng Nhận cho mỗi đối tượng
Bước 3 : Các đối tượng A và B thông báo cho nhau biết về Chứng Nhận (có chứa P) của mình
Bước 4 : Các đối tượng A và B thực hiện trao đổi thông tin



Như vậy nếu bị tiết lộ thông tin đã mã hóa (X) thì vẫn không thể giải được (không có Qb)

6. Ứng dụng tạo Chữ Ký Số để kiểm tra tính tòan vẹn thông tin (Integrity)

a. Tạo chữ ký số


Chữ Ký Số (DS) có thể được ra bởi một đối tượng xác định (có cặp khóa P Q) với thông tin cụ thể bằng cách kết hợp thuật toán Hash và mã hóa theo các bước sau :
Ví dụ : đối tượng A (có Pa Qa) tạo chữ ký số trên Data
B1 : Thực hiện Hash khối dữ liệu : Data [H] -> X
B2 : Thực hiện mã hóa dữ liệu đã bị Hash với khóa cá nhân X [E] Qa -> DSa/data
(*) DSa/data : được đọc là chữ ký số của đối tượng A trên dữ liệu là Data

b. Ứng dụng kiểm tra tính tòan vẹn dữ liệu

Mục đích chính của chữ ký số là cho phép đượng nhận thông tin có khả năng kiểm tra tính toàn vẹn (nội dung có bị thay đổi hay không) của thông tin nhận được với phương thức như sau :



c. Ứng dụng trong Trao đổi khóa (Key Exchange)

Trong ứng dụng trao đổi khóa các đối tượng muốn thực hiện giao dịch với thông tin được mã hóa theo phương thức mã hóa đối xứng do vậy cần thông báo cho nhau biết khóa chung (Share Key) một cách an tòan
PKI được dùng để che dấu giá trị của khóa chung khi trao đổi theo quy trình sau
Ví dụ : đối tượng A muốn thực hiện giao dịch với đối tượng B (có Pb Qb)
B1 : đối tượng A gởi thông báo ý định giao dịch đến đối tương B
B2 : đối tuợng B gởi Chứng Nhận (có chứa Pb) cho đối tượng A
B3 : đối tượng A tự tạo khóa chung (K) và gởi cho đối tượng B như sau :



B4 : Các đối tượng A và B đều đã biết khóa chung (K) có thể giao dịch theo phương thức mã hóa đối xứng như sau :




III. Ứng dụng PKI bảo bảo mật cho hệ thống mail

A. Chuẩn bị
1. Đăng ký các hộp thư Yahoo.com.vn và cấu hình sử dụng với Outlook Express với các thông số thiết lập POP3

Ví dụ : đăng ký 2 hộp thư :

- User1 = PKI_UserA
Email = PKI_User1@yahoo.com.vn
Password =123456

- User2 = PKI_UserB
Email = PKI_User2@yahoo.com.vn
Password =123456

- Thiết lập các thông số truy cập trong chương trình Outlook Express nhu sau :



2. Trên máy-3 cài đặt Certification Authority (CA) (máy dùng Windows Server 2003)

- Cài đặt ASP.NET
- Cài đặt Certificate Service chọn Stand Alone Root CA
đặt tên = CA-Nhatnghe



3. Từ máy-1 và máy-2 lần lượt thực hiện xin Cerrificate (Giấy Chứng Nhận) cho các email users

- Dùng web browser truy cập vào CA-Server (máy-3) với đường dẫn
Http://địa chỉ máy-3/Certsrv
- Chọn : "Request a Certificate"
- Chọn loại Certifcate là :
"E-Mail Protection Certificate"
- Nhập đẩy đủ các thông tin về email user và nhấn nút Submit
Ví dụ :
Name = PKI_UserA
E-mail= Pki_user1@yahoo.com.vn



4. Từ máy-3 logon bằng Administrator cấp Certificates cho các email user

- Mở Administrative Tools ->Certification Authority chọn mục Pending

- Click chuột phải trên các Certificates ở cửa sổ bên phải chọn All Tasks -> Issue



5. Từ máy-1 và máy-2 các user PKI_USER1 và PKI_USER2 lần lượt thực hiện truy cập lại vào CA-Server để cài Certificate
- Dùng web browser truy cập vào CA-Server (máy-3) với đường dẫn :
Http://địa chỉ máy-3/Certsrv
- Chọn dòng : "View the status of a pending certificate request"
- Double-click vào tên Certificate xuất hiện để cài đặt
(*) Lưu ý : như vậy trên máy-1 có Cerificate của email user = pki_user1@yahoo.com.vn Và trên máy-1 có Cerificate của email user = pki_user2@yahoo.com.vn

B- Sử dụng hộp thư với Certificate

1- Mỗi email user phải thông báo Certificate của mình cho các email user khác bằng chữ ký số

- User mở Outlook Express nhấn nút Create Mail nhập địa chỉ người nhận
- Sau khi soạn nội dung nhấn nút Sign (thực hiện chữ ký số) rối nhấn nút Send để gởi đi

Ví dụ : User PKI_USER2 thực hiện Chữ ký số và gởi cho PKI_USER1



2- Ứng dụng mã hóa nội dung e-mail

Ví dụ : Email user PKI_USER1 gởi bức mail đưôc mã hóa đến email user PKI_USER2 nếu một user dùng máy khác (không được cài Certficate của PKI_USER2) sẽ không thể đọc được dù biết về email account và password

- Máy-1 mở Outlook Express với Account = PKI_User1

- Nhấn nút Create Mail và nhập địa chỉ người nhận To : Pki_user2@yahoo.com.vn

- Sau khi soạn nội dung nhấn nút Sign (thực hiện chữ ký số) rối nhấn nút Send để gởi đi



- Máy-2 mở Outlook Express với Account = PKI_User2

- Nhấn nút Send/Receive sẽ nhận được và đọc được bức mail đã mã hóa nói trên



- Từ máy khác (bất kỳ) mở Outlook Express và cấu hình để truy cập hộp thư Yahoo với với Account = PKI_User2

- Nhấn nút Send/Receive sẽ nhận được nhưng không thể đọc được bức mail đã mã hóa nói trên và thấy thông báo "

"Error Decrypting Message"



----------------------------------
Thực hiện : Giảng viên Lê Quý Thịnh
Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ

More...

NFS Step by step

By Huynh Sy Nguyen

NFS được phát triển đầu tiên bởi SUN với mục đích xây dựng những hệ thống diskless.Nó cho phép những máy client truy cập dữ liệu trên những máy tính ở xa sử dụng chúng như dữ liệu nằm tại máy client việc truy cập này có thể xem như trong suốt với người dùng.

itGatevn_2008041408_LinuxNFS.jpg

Các deamon của dịch vụ nfs :
 + rpcbind: quản lý kết nối của những ứng dụng sử dụng rpc mặc định nó nghe yêu cầu kết nối ở cổng 111 và tạo ra kết nối thực sự ở những port có giá trị lớn hơn 1024. Dịch vụ này phải được chạy ở cả hai phía client và server.
+ nfs: chạy các process rpc dùng cho việc chia sẻ hệ thống file NFS deamon này chỉ cần chạy trên NFS server.
+ nfslock: cho phép NFS client lock file trên NFS server thông qua các rpc process. deamon này cũng cần phải chạy trên cả hai phía client và server.
+ netfs: thông qua dịch vụ này các rpc process chạy trên client sẽ thực hiện việc mount file system trên nfs server.
thông thường dịch vụ nfs được mặc định hỗ trợ và cài đặt (tuỳ chọn cài đặt lúc mới cài đặt hệ điều hành) trên các sản phẩm linux hay dùng như redhat centos ...
bạn có thể dùng rpm để query vào trong csdl của nó xem nfs đã được cài đặt hay chưa.
rpm -qa | grep nfs
rpm -q rpcbind
nếu không có gì hiện ra nghĩa là hệ thống của bạn chưa được cài nfs bạn có thể dễ dàng dowload các gói sau từ internet (trang chủ của distro mà bạn dùng )hoặc lấy trực tiếp từ đĩa cài đặt hoặc file iso cài đặt linux các gói rpm sau.
nfs-util
nfs-util-lib
nfs4-acl-tools.
để cài đặt nfs.
config phía server
sửa file /etc/export
Đây là file dùng để khai báo những thành phần thư mục nào được export ra để cho các máy client sử dụng và những máy client nào được phép sử dụng những thư mục đã export với quyền hạn như thế nào.
cột thứ nhất chỉ ra thư mục nào được export cột thứ hai xác định những máy client nào được sử dụng thư mục export đó với quyền hạn gì.
bạn có thể chỉ ra tên máy cụ thể hay địa chỉ ip xác định hoặc dùng kết hợp với dấu *
một số tuỳ chọn ấn định quyền sử dụng cho máy client hay dùng
ro: chỉ đọc
rw: đọc ghi
sync: việc đọc ghi phải được hoàn thành trước khi kết thúc yêu cầu đọc ghi
async: việc đọc ghi có thể hoàn thành sau khi khi kết thúc yêu cầu đọc ghi.
root_squash: không cho phép sử dụng hệ thống với quyền hạn root
no_root_squash: cho phép.
ví dụ:
#/etc/export
/data/files *(ro sync)
/home 192.168.1.0/24(rw sync)
data/test *.my-site.com(rw sync)

/data/files được sử dụng chỉ đọc bởi mọi máy
/home được sử dụng với quyền đọc viết bởi mọi máy thuộc mạng 192.168.1.0/24.
/data/test được sử dụng với quyền đọc viết bởi mọi máy thuộc domain my-site.com.
chạy các các dịch vụ phía server.
service rpcbind start
service nfs start
service nfslock start
để test xem nfs server đã chạy đúng chưa dùng lệnh
rpcinfo -p localhost
khi đó nó phải list ra các chương trình rpc đang chạy gồm mountd portmapper nfs và nlockmgr.
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100021 1 udp 1024 nlockmgr
100021 3 udp 1024 nlockmgr
100021 4 udp 1024 nlockmgr
100005 1 udp 1042 mountd
100005 1 tcp 2342 mountd
100005 2 udp 1042 mountd
100005 2 tcp 2342 mountd
100005 3 udp 1042 mountd
100005 3 tcp 2342 mountd
config phía client
chạy các dịch vụ phía client
service rpcbind start
service netfs start
service nfslock start
để test xem nfs client đã chạy đúng chưa dùng lệnh
rpcinfo -p
khi đó nó phải list ra các chương trình rpc đang chạy gồm status portmapper và nlockmgr.
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 32768 status
100024 1 tcp 32768 status
100021 1 udp 32769 nlockmgr
100021 3 udp 32769 nlockmgr
100021 4 udp 32769 nlockmgr
100021 1 tcp 32769 nlockmgr
100021 3 tcp 32769 nlockmgr
100021 4 tcp 32769 nlockmgr
391002 2 tcp 32770 sgi_fam
lưu ý các máy nfs client phải có khả năng phân giải địa chỉ ip và tên host. bạn có thể thực hiện điều này thông qua một dns server nhưng để đơn giản bạn có thể thực hiện điều này thông qua file /etc/hosts.
cấu trúc file này dạng
#/etc/hosts
địa chỉ ip hostname
192.168.1.1 may1.domain may1
192.168.1.2 may2.domain may2
Đến lúc này có thể đơn giản thực hiện mount thư mục được export trênNFS Server vào máy NFS Client :
mkdir /mnt/nfs
mount -t nfs 192.168.1.100:/data/files /mnt/nfs ( 192.168.1.100 là địa chỉ ip NFS Server)
ls /mnt/nfs
sẽ hiện ra dữ liệu đã có trong /data/files trên máy NFS Server.
và tương tự khi không muốn dùng phần thư mục của NFS Server nữa ta dùng lệnh
umount /mnt/nfs
để kết thúc kết nối.

Thông thường một hệ thống NFS trong suốt với người dùng thì các máy NFS client sẽ tự động mount vào phần thư mục export của NFS Server sau khi khởi động.Dễ dàng đặt được thông qua file /etc/fstab

format của file này dạng

<server>:<path of dir>    <local mount point>       nfs        <options>   0   0

<server>: địa chỉ của NFS Server

<path of dir>: đường dẫn trỏ đến thư mục export

<local mount point>: vị trí mount trên máy client

nfs: loại file hệ thống được mount

<options>: tuỳ chọn để mount với nững quyền gì (đọc ghi chỉ đọc ...)

ví dụ:

#/etc/fstab

#Directory                   Mount Point    Type   Options             Dump   FSCK

192.168.1.100:/data/files   /mnt/nfs      nfs  rw no_root_squash      0          0

Một số điểm cần lưu ý:

- hệ thống nfs thường làm việc tốt khi client và server cùng nằm trên một mạng

- vấn đề thường nẩy sinh khi yêu cầu kết nối giữa client và server phải đi qua filewall.

- nfs không cho bạn export những thư mục là thư mục con của những thư mục đã export ( trừ khi chúng năm ở trên những partition khác nhau).

- NFS Server mặc định không cho user có quyền root tren máy NFS Client có quyền tương tự trên NFS Server. điều này được loại bỏ bằng tuỳ chọn

no_root_squash đặt trên file /etc/exports.

- để đảm bảo không có vấn đề nẩy sinh đối với quyền truy cập bạn nên đồng bộ tài khoản người dùng và nhóm người dùng ở cả hai phía client và server

ví dụ

được thử với CentOS 5.1

nfs server (192.168.5.100)

start nfs server

/etc/init.d/nfs start

/etc/init.d/nfslock start

/etc/init.d/portmap start

/etc/exports

/home               192.168.5.0/24(r w sync)

start nfs client

/etc/init.d/netfs start

/etc/init.d/nfslock start

/etc/init.d/portmap start

dùng lệnh mount

mount -t nfs /192.168.5.100:/home /mnt

hoặc đặt trong /etc/fstab

192.168.5.100:/home /mnt nfs rw no_root_squash  0 0

Eos (theo Vnexperts)

More...