View
846
Download
17
Category
Preview:
Citation preview
A.MÔ HÌNH
B.CÁC BƯỚC TRIỂN KHAI- Bài Lab gồm:
1 Máy Windows server 2003 làm DC, Mail Server (Kerio Connect)
1 Máy Windows server 2003 làm Firewall (Kerio Winroute).
1 Máy Xp dùng làm máy của VIP.
1 Máy XP dùng làm máy của User.
- Các bước thực hiện:
Cấu hình thông số TCP/IP và cài đặt.Kerio Winroute.
Khai báo các thành phần nội bộ trên Kerio Winroute như VIP, USER.
Thiết lập các Traffic Policy, HTTP Filter… trên Kerio Winroute để kiểm soát các giao dịch.
Cài đặt và cấu hình Kerio Connect.
Tạo User từ Database của Kerio và từ AD.
Triển khai Mail Online , cho phép User sử dụng mail bằng Web & POP3.
C.TRIỂN KHAI CHI TIẾT
I. Chuẩn bị1. Nâng cấp Domain Controler trên máy Server.
Đặt IP address:IP: 172.16.0.2SM: 255.255.255.0GW: 172.16.0.1DNS: 172.16.0.2
2. Máy Kerio Winroute (gọi tắt là KW)Cần 2 Card mạng: LAN: cùng lớp với Router.
CROSS: Cùng lớp với mạng nội bộ.
Join Domain máy Kerio Winroute3. Máy XP1 (thuộc nhóm VIP, sử dụng IP từ 10 50):
Đặt IP và Join Domain.
4. Máy XP2 (thuộc nhóm User, sử dụng IP từ 51 100):
Đặt IP và Join Domain:
II. Cài đặt và cấu hình Kerio Winroute: 1. Cài đặt Kerio Winroute.Chạy File Setup của Kerio Winroute
Chọn Custom, Click Next.
Next
Đặt Username và Password quản lý, Next.
Nếu đang cài Winroute từ xa, click chọn “I am… remotely”, không thì bỏ qua, click Next.
Clich Install.
Finish.
Cài đặt xong, góc phải Taskbar xuất hiện Icon của Kerio Connect:
2. Cấu hình Interface. Double Click vào Icon Winroute, nhập Password lúc cài đặt, click Connect.
Bảng Network Rule Ward xuất hiện, click Cancel.
Liscence cho Kerio Winroute.
Cấu hình Interface: Configuration > Interface
Chọn Card Lan > Edit, chọn Internet interfaces > OK
Chọn Card CROSS > Edit > Trusted/ Local interfaces. > OK
Click Apply.
3. Cấu hình Traffic Policy:
a. Kiểm tra hoạt động của Firewall
Configuration > Traffic Policy.
Mặc định, KW sẽ khóa toàn bộ truy cập từ trong ra ngoài và từ ngoài vào trong, trừ máy cài KW. (Trường hợp cài KW từ xa thì Kerio sẽ mở tất cả).
- Dùng máy DC truy cập Internet thử, sẽ không truy cập được.
Ping IP của KW và Google không có trả lời:
b. Cho Phép DC ra Internet.Trở lại màn hình Traffice Policy, Click Add. Xuất hiện 1 Rule mới.
Click phải New Rule > Edit Rule > Name: DC > OK
Click phải vào Cột Source của Rule DC> Edit Source.
Click Add > Host > Gõ IP của DC: 172.16.0.2 > OK > OK
Click phải vào cột Translation của Rule DC > Edit Translation.
Chọn Enable Source NAT > OK
Click phải vào cột Action của Rule DC, chọn Permit. > Apply
Từ máy DC, ping google.com và truy cập internet bình thường.
c. Định Nghĩa VIP và User:Configuration > Definitions > Address Groups > Add
d. Cho phép Vip ra internet.Quay lại Traffic Policy.Click Add tạo Rule mới, Name: cho Phep Vip ra Internet.
Edit Source: Add > IP Address Group
Chọn Group VIP > OK > OK
Enable Souce NAT và chọn Permit như Rule DC. Test: Từ máy XP1 (VIP), ping google.com và truy cập Web, thành công.
Từ máy XP2 (User), ping google.com và truy cập Web vẫn không được.
Lúc này VIP đã ra được Internet, nhưng vẫn không ping được Kerio Winroute Server. Muốn Ping thì tạo Rule:Name: cho phep VIP ping FirewallSource: 172.16.0.10 – 172.16.0.50Destination: click phải, chọn Edit Destination:
Add> Firewall Host > OK.
Service: Click phải cột Service:
Chọn Add > Service > Ping > OK > OK
TEST: Từ Vip ping 172.16.0.1 thành công e. Cho phép nhóm User gửi nhận Mail từ Internet Tạo Rule mới:Name: Cho phep User su dung MailSource: Group UserDestination: AnyService: DNS, POP3, POP3S, SMTP, SMTPS
Kiểm tra User gửi nhận Mail bình thường, nhưng không vào Web được.
f. Cho Nhóm User được truy cập các trang web hỗ trợ công
việc.B1. Định nghĩa “Web ho tro cong viec”Configuration > Definitions > URL Groups > Add 2 trang:http://nhatnghe.com/* và http://vietcombank.com.vn/*
B2. Định nghĩa “Giờ làm việc”Configuration > Definitions > Time Ranges > Add
B3. Cho Phép User truy cập Web:
Configuration > Traffic Policy > Tạo Rule mới cho phép User sử dụng Web: add 2 Service HTTP, HTTPS
B4. Tạo Filter, chặn tất cả trang web, sau đó mở lại 2 trang cần làm việc.Configuration > Content Filtering > HTTP PolicyAdd: Rule cấm User truy cập tất cả các Website
Add Rule cho phép truy cập 2 Website trên:
OK > Apply. (Chú ý, Rule cho phép phải nằm trên rule cấm)g. Cho phép User truy cập Web không hạn chế trong giờ giảo
lao.B1. Định Nghĩa “Giờ Giải Lao”Configuration > Definitions > Time Ranges > Add
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
h. Cấm tất cả User truy cập website ngoisao.net, nếu truy cập
sẽ redirect về nhatnghe.comB1. Định Nghĩa URL ngoisao.net:Configuration > Definitions > URL Groups> Add 2 trang Http://ngoisao.net http://ngoisao.net/*
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
i. Cấm tất cả User sử dụng Media trực tuyến (nghe nhạc, xem
phim).B1. Định nghĩa “Media”Configuration > Definitions > URL Groups > Add Group Media gồm:*.mp3, *.mp4, *.wma, *.wmv, *.flv…
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
j. Cấm Tất cả User download file .EXE, .RAR, .ZIP
B1. Định nghĩa “Cấm Download”Configuration > Definitions > URL Groups > Add Group “Cam Download” gồm: *.exe, *.rar, *.zip
B2.
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
k. Cấm Chat Yahoo/Skype…Configuration > Content Filtering > HTTP Policy > Add
Click Select Rating, tick: Chat/IM > OK
Chọn Deny > OK > Apply
l. Lọc web theo ký tự nhạy cảm.B1. Xem & thêm những ký tự nhạy cảm.Configuration > Content Filtering > HTTP Policy> [Tab] Forbidden Works.
[Tab]URL Rules > chọn Rule Truy cap Web trong gio giai lao
[Tab] Content Rules > Check: Deny Webpages contening forbidden work in HTLM code.
III. CÀI ĐẶT VÀ CẤU HÌNH KERIO CONNECT.
1. Cài đặt Kerio Connect.Chạy file Setup trên máy Mail Server (DC). Chọn English > OK
Chọn I accept… > Next.
Chọn Custom > Next.
Đặt Password Admin > Next.
Đặt tên miền cho Mail (sử dụng tên miền đã đăng ký).
Chọn nơi lưu Directory > Next
KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.B1. Mở Outlook Express.B2. Cửa sổ Your name: gõ Admin > Next.
Email server name:
My incomming mail server is a: POP3 Incoming mail: 172.16.0.2 Outgoing mail: 172.16.0.2> Next.
Gõ admin, password > Next.
Tools > Accounts > [Tab] Mail > Properties > [Tab] Server > Check: My server requires authentication > Apply.
[Tab] Advanced > Check: Leave a copy of messages on server > OK > OK.
Admin soạn 1 email gửi cho chính mình (admin@ngunhubo.com).Click Send/Recev. Kiểm tra đã nhận được mail.
2. Cấu hình Kerio Connect.
a. Tạo User mới.- Tạo user trong Directory của Kerio: Accounts > Users > Add
Tạo User với – Username: test. - Password: 123456
- Tạo User từ Active Directory (Import từ AD của Windows Server 2003)B1. Tạo User trong AD.Start > Run > gõ: dsa.msc
* Tạo – Username: sep – Password: 123
Tương tự, tạo các User: ketoan1, ketoan2, kinhdoanh1, kinhdoanh2. B2. Import User:Cửa sổ Kerio Connect Administrator > Accounts > Users
Import > Import from a Directory Service…
Cửa sổ Import Users: - Import users from: Active Directory® - Active Directory® domain name: ngunhubo.local (tên domain nội bộ) - Import from server: dc.ngunhubo.local (tên Domain Controler) – Login as user: Administrator – Password: *******.> OK.
Chọn những User cần Import > OK
Kiểm tra đã có các User mới Import.
Chú ý: Domain nội bộ và Domain mail không cùng tên (.local và .com) nên cần sửa lại tên Domain chứng thực Kerberos:Configuration > Domains > Edit: ngunhubo.com > [Tab] Advanced > KerberosTM 5: ngunhubo.local > OK
Giới hạn dung lượng hộp Mail và mail gửi đi:Right Click User cần Giới hạn > [Tab] Quota: Giới hạn dung lượng hộp Mail 2 GB.
[Tab] Messages: Giới hạn Mail gửi đi tối đa 2MB.
b. Tạo GroupAccounts > Groups > Add > Name: VIP
[Tab] Email address > Add
[Tab] Users > Add
Chọn Admin & sep > OK > OK
Tương tự với Group User
Kiểm tra: – Dùng mail Admin gửi tới vip@ngunhubo.com vàuser@ngunhubo.com
– Truy cập http://172.16.0.2 .Login vào tất cả các User đều nhận được mail
3. Cấu hình Trên Domain ngunhubo.com và Router, và Winroute Firewall để Public Mail Server.
a. Cấu hình Trên Domain:Truy cập trang quản lý Domain.
Add Host Record như sau:Hostname: mail
Address: IP tĩnh đã thuê.Host type: A (Address)
b. Cấu hình Trên Router. (Mỗi Router có cách cấu hình Chi tiết khác nhau)B1. Tạo Static Route:Mở Trình duyệt > http://192.168.1.1 > Nhập Username và Password Router > OK.Advanced Setup > Routing > Static Route > Add: Destination Netword Address: 172.16.0.0 Subnet Mark: 255.255.255.0 Use Gateway Ip Address: 192.168.1.2 Use Interface: LAN/bro
B2 . NATAdvanced Setup > NAT > Virtual Server > Add Các Port: 110, 25, 80, 443 về IP: 172.16.0.2
Cấu hình đủ:
c. Cấu hình trên Winroute Firewall:Configuration > Traffic Policy > Add new Rule
Source: AnyDestination: 172.16.0.2Service: HTTP, HTTPS, POP3, SMTPAction: PermitTranslation: NAT> Apply
d. Kiểm Tra Hoạt Động
Từ ngoài Internet, truy cập địa chỉ: http://mail.ngunhubo.com
Cấu hình Outlook Express từ ngoài với địa chỉ POP3 và SMTP là “mail.ngunhubo.com” . Gửi nhận Mail thành công. Kiểm tra gửi ra Ngoài Gmail, Yahoo Mail.
4. ARCHIVE, BACKUP & RESTORE. a. Archive
Configuration > Archiving and Backup – Check: Enable email archiving – Path to the archive directory: Trỏ tới Phân vùng hoặc ổ cứng khác nơi cài đặt Kerio Connect. > Apply
Kiểm tra trong Mail của Admin đã có Folder Archive.
b. Backup Giả lập Sếp xóa nhầm mail (hoặc Database hư), trước đó có 1 bản Backup và tiến hành Restore lại.Vào mail Amin gửi 1 email cho sếp:
Vào mail của sếp, kiểm tra đã nhận được mail từ admin:
Tiến hành Backup:Configuration > Archiving and Backup > [tab] Backup – Check: Enable message store and configuration recovery backup
- Mặc định Kerio Connect đã tạo Schedue sẵn từ thứ 2 đến Chủ Nhật.
- Backup Directory: Trỏ đến thư mục D:\backup\Mail.Click Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm tra đã có 1 File *.Zip.
Vào Email của sếp, xóa Mail admin mới gửi. Tiến hành Recover
c. RecoverTắt Kerio Connect: Nhắp phải vào biểu tượng dưới thank Taskbar
Vào Run > CmdDi chuyển tới thư mục cài đặt Kerio Connect:
Gõ: kmsrecover D:\backup\Mail > Enter
Gõ: yes hoặc y > Enter
Đã hoàn tất.
Start lại Kerio Connect:
Login vào Email của Sếp. Kiểm tra Mail admin gứi vẫn còn.I. Chuẩn bị
1. Nâng cấp Domain Controler trên máy Server.Đặt IP address:IP: 172.16.0.2SM: 255.255.255.0
GW: 172.16.0.1DNS: 172.16.0.2
2. Máy Kerio Winroute (gọi tắt là KW)Cần 2 Card mạng: LAN: cùng lớp với Router.
CROSS: Cùng lớp với mạng nội bộ.
Join Domain máy Kerio Winroute3. Máy XP1 (thuộc nhóm VIP, sử dụng IP từ 10 50):
Đặt IP và Join Domain.
4. Máy XP2 (thuộc nhóm User, sử dụng IP từ 51 100):
Đặt IP và Join Domain:
II. Cài đặt và cấu hình Kerio Winroute:
1. Cài đặt Kerio Winroute. Chạy File Setup của Kerio Winroute
Chọn Custom, Click Next.
Next
Đặt Username và Password quản lý, Next.
Nếu đang cài Winroute từ xa, click chọn “I am… remotely”, không thì bỏ qua, click Next.
Clich Install.
Finish.
Cài đặt xong, góc phải Taskbar xuất hiện Icon của Kerio Connect:
2. Cấu hình Interface. Double Click vào Icon Winroute, nhập Password lúc cài đặt, click Connect.
Bảng Network Rule Ward xuất hiện, click Cancel.
Liscence cho Kerio Winroute.
Cấu hình Interface: Configuration > Interface
Chọn Card Lan > Edit, chọn Internet interfaces > OK
Chọn Card CROSS > Edit > Trusted/ Local interfaces. > OK
Click Apply.
3. Cấu hình Traffic Policy: a. Kiểm tra hoạt động của Firewall
Configuration > Traffic Policy.
Mặc định, KW sẽ khóa toàn bộ truy cập từ trong ra ngoài và từ ngoài vào trong, trừ máy cài KW. (Trường hợp cài KW từ xa thì Kerio sẽ mở tất cả).
- Dùng máy DC truy cập Internet thử, sẽ không truy cập được.
Ping IP của KW và Google không có trả lời:
b. Cho Phép DC ra Internet.Trở lại màn hình Traffice Policy, Click Add. Xuất hiện 1 Rule mới.
Click phải New Rule > Edit Rule > Name: DC > OK
Click phải vào Cột Source của Rule DC> Edit Source.
Click Add > Host > Gõ IP của DC: 172.16.0.2 > OK > OK
Click phải vào cột Translation của Rule DC > Edit Translation.
Chọn Enable Source NAT > OK
Click phải vào cột Action của Rule DC, chọn Permit. > Apply
Từ máy DC, ping google.com và truy cập internet bình thường.
c. Định Nghĩa VIP và User:
Configuration > Definitions > Address Groups > Add
d. Cho phép Vip ra internet.Quay lại Traffic Policy.Click Add tạo Rule mới, Name: cho Phep Vip ra Internet.
Edit Source: Add > IP Address Group
Chọn Group VIP > OK > OK
Enable Souce NAT và chọn Permit như Rule DC. Test: Từ máy XP1 (VIP), ping google.com và truy cập Web, thành công.
Từ máy XP2 (User), ping google.com và truy cập Web vẫn không được.
Lúc này VIP đã ra được Internet, nhưng vẫn không ping được Kerio Winroute Server. Muốn Ping thì tạo Rule:Name: cho phep VIP ping FirewallSource: 172.16.0.10 – 172.16.0.50Destination: click phải, chọn Edit Destination:
Add> Firewall Host > OK.
Service: Click phải cột Service:
Chọn Add > Service > Ping > OK > OK
TEST: Từ Vip ping 172.16.0.1 thành công e. Cho phép nhóm User gửi nhận Mail từ Internet Tạo Rule mới:Name: Cho phep User su dung MailSource: Group UserDestination: AnyService: DNS, POP3, POP3S, SMTP, SMTPS
Kiểm tra User gửi nhận Mail bình thường, nhưng không vào Web được.
f. Cho Nhóm User được truy cập các trang web hỗ trợ công việc.B1. Định nghĩa “Web ho tro cong viec”Configuration > Definitions > URL Groups > Add 2 trang:http://nhatnghe.com/* và http://vietcombank.com.vn/*
B2. Định nghĩa “Giờ làm việc”Configuration > Definitions > Time Ranges > Add
B3. Cho Phép User truy cập Web:Configuration > Traffic Policy > Tạo Rule mới cho phép User sử dụng Web: add 2 Service HTTP, HTTPS
B4. Tạo Filter, chặn tất cả trang web, sau đó mở lại 2 trang cần làm việc.Configuration > Content Filtering > HTTP PolicyAdd: Rule cấm User truy cập tất cả các Website
Add Rule cho phép truy cập 2 Website trên:
OK > Apply. (Chú ý, Rule cho phép phải nằm trên rule cấm)g. Cho phép User truy cập Web không hạn chế trong giờ giảo
lao.B1. Định Nghĩa “Giờ Giải Lao”Configuration > Definitions > Time Ranges > Add
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
h. Cấm tất cả User truy cập website ngoisao.net, nếu truy cập
sẽ redirect về nhatnghe.comB1. Định Nghĩa URL ngoisao.net:Configuration > Definitions > URL Groups> Add 2 trang Http://ngoisao.net http://ngoisao.net/*
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
i. Cấm tất cả User sử dụng Media trực tuyến (nghe nhạc, xem
phim).B1. Định nghĩa “Media”Configuration > Definitions > URL Groups > Add Group Media gồm:*.mp3, *.mp4, *.wma, *.wmv, *.flv…
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
j. Cấm Tất cả User download file .EXE, .RAR, .ZIP
B1. Định nghĩa “Cấm Download”Configuration > Definitions > URL Groups > Add Group “Cam Download” gồm: *.exe, *.rar, *.zip
B2.
B2. Tạo URL Rule:Configuration > Content Filtering > HTTP Policy > Add
k.Cấm Chat Yahoo/Skype…
Configuration > Content Filtering > HTTP Policy > Add
Click Select Rating, tick: Chat/IM > OK
Chọn Deny > OK > Apply
l. Lọc web theo ký tự nhạy cảm.B1. Xem & thêm những ký tự nhạy cảm.Configuration > Content Filtering > HTTP Policy> [Tab] Forbidden Works.
[Tab]URL Rules > chọn Rule Truy cap Web trong gio giai lao
[Tab] Content Rules > Check: Deny Webpages contening forbidden work in HTLM code.
III. CÀI ĐẶT VÀ CẤU HÌNH KERIO CONNECT.
1. Cài đặt Kerio Connect.Chạy file Setup trên máy Mail Server (DC). Chọn English > OK
Chọn I accept… > Next.
Chọn Custom > Next.
Đặt Password Admin > Next.
Đặt tên miền cho Mail (sử dụng tên miền đã đăng ký).
Chọn nơi lưu Directory > Next
KHAI BÁO CẤU HÌNH CHO OUTLOOK EXPRESS CHO USER ADMIN.B1. Mở Outlook Express.B2. Cửa sổ Your name: gõ Admin > Next.
Email server name: My incomming mail server is a: POP3 Incoming mail: 172.16.0.2 Outgoing mail: 172.16.0.2> Next.
Gõ admin, password > Next.
Tools > Accounts > [Tab] Mail > Properties > [Tab] Server > Check: My server requires authentication > Apply.
[Tab] Advanced > Check: Leave a copy of messages on server > OK > OK.
Admin soạn 1 email gửi cho chính mình (admin@ngunhubo.com).Click Send/Recev. Kiểm tra đã nhận được mail.
2. Cấu hình Kerio Connect.
a. Tạo User mới.- Tạo user trong Directory của Kerio: Accounts > Users > Add
Tạo User với – Username: test. - Password: 123456
- Tạo User từ Active Directory (Import từ AD của Windows Server 2003)B1. Tạo User trong AD.Start > Run > gõ: dsa.msc
* Tạo – Username: sep – Password: 123
Tương tự, tạo các User: ketoan1, ketoan2, kinhdoanh1, kinhdoanh2. B2. Import User:Cửa sổ Kerio Connect Administrator > Accounts > Users
Import > Import from a Directory Service…
Cửa sổ Import Users: - Import users from: Active Directory® - Active Directory® domain name: ngunhubo.local (tên domain nội bộ) - Import from server: dc.ngunhubo.local (tên Domain Controler) – Login as user: Administrator – Password: *******.> OK.
Chọn những User cần Import > OK
Kiểm tra đã có các User mới Import.
Chú ý: Domain nội bộ và Domain mail không cùng tên (.local và .com) nên cần sửa lại tên Domain chứng thực Kerberos:Configuration > Domains > Edit: ngunhubo.com > [Tab] Advanced > KerberosTM 5: ngunhubo.local > OK
Giới hạn dung lượng hộp Mail và mail gửi đi:Right Click User cần Giới hạn > [Tab] Quota: Giới hạn dung lượng hộp Mail 2 GB.
[Tab] Messages: Giới hạn Mail gửi đi tối đa 2MB.
b. Tạo GroupAccounts > Groups > Add > Name: VIP
[Tab] Email address > Add
[Tab] Users > Add
Chọn Admin & sep > OK > OK
Tương tự với Group User
Kiểm tra: – Dùng mail Admin gửi tới vip@ngunhubo.com vàuser@ngunhubo.com – Truy cập http://172.16.0.2 .Login vào tất cả các User đều nhận được mail.
3. Cấu hình Trên Domain ngunhubo.com và Router, và
Winroute Firewall để Public Mail Server.a. Cấu hình Trên Domain:
Truy cập trang quản lý Domain.
Add Host Record như sau:
Hostname: mailAddress: IP tĩnh đã thuê.Host type: A (Address)
b. Cấu hình Trên Router. (Mỗi Router có cách cấu hình
Chi tiết khác nhau)B1. Tạo Static Route:Mở Trình duyệt > http://192.168.1.1 > Nhập Username và Password Router > OK.Advanced Setup > Routing > Static Route > Add: Destination Netword Address: 172.16.0.0 Subnet Mark: 255.255.255.0 Use Gateway Ip Address: 192.168.1.2 Use Interface: LAN/bro
B2 . NATAdvanced Setup > NAT > Virtual Server > Add Các Port: 110, 25, 80, 443 về IP: 172.16.0.2
Cấu hình đủ:
c. Cấu hình trên Winroute Firewall:Configuration > Traffic Policy > Add new Rule
Source: AnyDestination: 172.16.0.2Service: HTTP, HTTPS, POP3, SMTPAction: PermitTranslation: NAT> Apply
d. Kiểm Tra Hoạt ĐộngTừ ngoài Internet, truy cập địa chỉ: http://mail.ngunhubo.com
Cấu hình Outlook Express từ ngoài với địa chỉ POP3 và SMTP là “mail.ngunhubo.com” . Gửi nhận Mail thành công. Kiểm tra gửi ra Ngoài Gmail, Yahoo Mail.
4. ARCHIVE, BACKUP & RESTORE. a. Archive
Configuration > Archiving and Backup – Check: Enable email archiving – Path to the archive directory: Trỏ tới Phân vùng hoặc ổ cứng khác nơi cài đặt Kerio Connect. > Apply
Kiểm tra trong Mail của Admin đã có Folder Archive.
b. Backup Giả lập Sếp xóa nhầm mail (hoặc Database hư), trước đó có 1 bản Backup và tiến hành Restore lại.Vào mail Amin gửi 1 email cho sếp:
Vào mail của sếp, kiểm tra đã nhận được mail từ admin:
Tiến hành Backup:Configuration > Archiving and Backup > [tab] Backup – Check: Enable message store and configuration recovery backup
- Mặc định Kerio Connect đã tạo Schedue sẵn từ thứ 2 đến Chủ Nhật.
- Backup Directory: Trỏ đến thư mục D:\backup\Mail.Click Start Now. Sau đó đến thư mục D:\backup\Mail, kiểm tra đã có 1 File *.Zip.
Vào Email của sếp, xóa Mail admin mới gửi. Tiến hành Recover
c. RecoverTắt Kerio Connect: Nhắp phải vào biểu tượng dưới thank Taskbar
Vào Run > CmdDi chuyển tới thư mục cài đặt Kerio Connect:
Gõ: kmsrecover D:\backup\Mail > Enter
Gõ: yes hoặc y > Enter
Đã hoàn tất.
Start lại Kerio Connect:
Login vào Email của Sếp. Kiểm tra Mail admin gứi vẫn còn.
Firewall là gì ?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin t-ởng (Trusted network) khỏi các mạng không tin tởng (Untrusted network).Thông thờng Firewall đợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.Chức năng chínhChức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.Kiểm soát nội dung thông tin thông tin lu chuyển trên mạng.Các thành phầnFirewall chuẩn bao gồm một hay nhiều các thành phần sau đây:Bộ lọc packet (packet-filtering router)Cổng ứng dụng (application-level gateway hay proxy server)Cổng mạch (circuite level gateway)Bộ lọc paket (Paket filtering router)Nguyên lýKhi nói đến việc lu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận đợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là:Địa chỉ IP nơi xuất phát ( IP Source address)Địa chỉ IP nơi nhận (IP Destination address)Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)Cổng TCP/UDP nơi nhận (TCP/UDP destination port)Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of packet)Giao diện packet đi ( outcomming interface of packet)Nếu luật lệ lọc packet đợc thoả mãn thì packet đợc chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản đợc các kết nối vào các máy chủ hoặc mạng nào đó đợc xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP…) đợc phép mới chạy đợc trên hệ thống mạng cục bộ.Ưu điểm Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những u điểm của phơng pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đợc bao gồm trong mỗi phần mềm router.Ngoài ra, bộ lọc packet là trong suốt đối với ngời sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.Hạn chếViệc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi ngời quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trờng. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát đợc nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.Cổng ứng dụng (application-level getway)Nguyên lýĐây là một loại Firewall đợc thiết kế để tăng cờng chức năng kiểm soát các loại dịch vụ, giao thức đợc cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu ngời quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tơng ứng sẽ không đợc cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể đợc định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòi quản trị mạng cho là chấp nhận đợc trong khi từ chối những đặc điểm khác.Một cổng ứng dụng thờng đợc coi nh là một pháo đài (bastion host), bởi vì nó đợc thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là:Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này đợc thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng nh là đảm bảo sự tích hợp firewall.Chỉ những dịch vụ mà ngời quản trị mạng cho là cần thiết mới đợc cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không đợc cài đặt, nó không thể bị tấn công. Thông thờng, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là đợc cài đặt trên bastion host.Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card.Mỗi proxy đợc đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.Ưu điểmCho phép ngời quản trị mạng hoàn toàn điều khiển đợc từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập đợc bởi các dịch vụ.Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc những dịch vụ nào cho
phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tơng ứng có nghĩa là các dịch vụ ấy bị khoá.Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.Hạn chếYêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bớc để nối với máy chủ chứ không phải là một bớc thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.Cổng vòng (circuit-Level Gateway)Cổng vòng là một chức năng đặc biệt có thể thực hiện đợc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.Hình dới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc nh một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ.Cổng vòng thờng đợc sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tởng những ngời dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể đợc cấu hình nh là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tờng lửa dễ dàng sử dụng cho những ngời trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tờng lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.Những hạn chế của firewall Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ.Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi.
Recommended