Giải Pháp Phòng Chống Sử Dụng Thiết Bị Di Động

Giải Pháp Phòng Chống Sử Dụng Thiết Bị Di Động

Chính sách trong công ty muốn ngăn chặn các máy tính không được sử dụng một số thiết bị như: USB Flash Drive, IPod, Wireless Interface, CD-Rom, DVD. Với các thiết bị lưu trữ di động như hiện nay đều đem lại thách thức đối với người quản trị hệ thống như: nguy cơ phát tán Virus, bảo vệ quyền sở hữu trí tuệ của mình. Tuy nhiên bài viết dưới đây sẽ trình bày những giải pháp nhằm ngăn chặn các thiết bị trên khi sử dụng trong các phiên bản hệ điều hành Windows Server 2008 và Windows 7.

I. Mô hình lab

II. Yêu cầu
+ Trên máy Domain Controller (BKNP-DC08-01) cần thực hiện được:
- Move Computer ( BKNP-WRK-01) vào phòng ban: NHANSU
- Tạo Một Group Policy Object có tên là: Chan USB và CD-ROM
- Áp Chính sách Group Policy Obiect vừa tạo vào Phòng Ban: NHANSU
+ Trên máy Client ( BKNP-WRK-01)
- Kiểm tra cắm USB

Chuẩn bị:
- Một máy Windows Server 2008 (BKNP-DC08-01): Đã nâng cấp Domain Controller
- Một máy Client chạy HĐH Windows XP/7: Đã join domain

III. Thực hiện
- Cắm USB trên máy Client kiểm tra (có nhận) và ổ CD-ROM

Đứng trên máy BKNP-DC08-01

- Vào Active Directory Users and Computers -> chọn Computers -> nhấn chuột phải vào máy BKNP-WRK-01, chọn Move...

- Chuyển tới OU NHANSU > chọn OK

- Kết quả Computer BKNP-WRK-01 đã được chuyển sang OU NHANSU

- Vào Group Prolicy Management > Chuột phải chọn Group Policy Objects > Chọn New

- Đặt tên GPO (Chặn USB và CD-ROM) -> Chọn OK

- Nhấn chuột phải vào GPO vừa tạo -> chọn Edit

- Vào Computer Configuration\Policies\Administrative Templates: Policy Definitions > chuột phải chọn Add/Remove Templates...

- Chọn Add

Download fie: ControlDevices.adm
- Tìm tới thu mục chứ file ControlDevices.adm > chọn Open

- Chọn Close

- Computer Configuration\Policies\Administrative Templates: Policy Definitions\Classic Administrative Templates(AMD)\Custom Policy Setting\Restrict Drives > chuột phải vào Disable USB chọn Edit

- tại Disable USB -> chọn Enabled

- tại Disable CD-ROM > Chọn Edit > chọn Enabled

- Trong GPO -> chuột phải vào OU NHANSU- > Chọn Link an Existing GPO

- Chọn GPO Chan USB va CD-ROM -> chọn OK

- Gõ lệnh: gpupdate /force

- Khởi động lại máy Client và đăng nhập với user andt

- Kiểm tra kết quả:

Hyena 8.0 - Công cụ quản trị hệ thống toàn diện

Nếu chỉ sử dụng các công cụ quản trị có sẵn trong Windows để quản lý một hệ thống mạng Windows với Active Directory sẽ là một thách thức. Với nhiều tên miền, hàng trăm máy chủ, máy trạm, hệ thống user… bạn khó có thể bao quát tất cả chúng. Chính vì thế, người quản trị hệ thống phải cần đến những công cụ hỗ trợ. Và Hyena là lựa chọn số một dành cho bạn.
Hyena ra đời nhằm mục đích cung cấp cho bạn một phương tiện quản trị toàn diện hệ thống mạng theo cách thức đơn giản, tập trung và duy nhất. Được sử dụng rộng rãi bởi hàng ngàn quản trị hệ thống trên toàn cầu, Hyena là một công cụ mà người quản trị không thể bỏ qua. Với giao diện và các thao tác quản lý được thiết kế theo kiểu Explorer, bao gồm cả menu ngữ cảnh tương ứng với tất cả các đối tượng, Hyena giúp bạn quản lý gần như toàn bộ các thành phần trong mạng như: user, group, share, domain, computer, service, printer, file, session, disk space, user right, job scheduling, processes, messaging…
Hyena có thể chạy trên bất kỳ hệ điều hành Windows nào dành cho máy trạm, kể cả Windows 7. Đồng thời, công cụ này có thể quản trị bất kỳ hệ điều hành Windows nào dành cho máy chủ, kể cả Windows Server 2008.
Để bắt đầu, bạn truy cập vào địa chỉ www.systemtools.com/hyena/download.htm, bấm liên kết Download tương ứng với phiên bản Hyena x86 (32-bit) hoặc Hyena x64 (64-bit). Sau khi giải nén, bạn nhắp đôi chuột lên file cài đặt và thực hiện theo các màn hình hướng dẫn để cài đặt Hyena vào hệ thống của mình. Ở đây, chúng tôi cài đặt Hyena lên máy tính đóng vai trò domain controller trên hệ điều hành Windows Server 2003.
Khi tiến trình cài đặt đã hoàn thành, bạn khởi chạy công cụ bằng cách vào menu Start > Programs > Hyena > Hyena. Ngay sau đó, màn hình chính của Hyena sẽ xuất hiện với các thành phần như: menu chức năng, thanh công cụ, khung bên trái với danh sách các nhóm đối tượng và khung bên phải hiển thị thông tin chi tiết tương ứng với mỗi đối tượng. Để bắt đầu quản trị một domain, bạn vào menu File > Add Domain. Tiếp theo, bạn điền tên domain vào mục Domain Name và bấm nút OK. Ngay sau đó, domain sẽ xuất hiện ở khung bên trái của cửa sổ Hyena.

Khi nhắp đôi chuột vào tên domain, tất cả các nhóm đối tượng tương ứng với domain đó sẽ xuất hiện. Tại đây, bạn có thể thực hiện tất cả các thao tác quản trị của mình. Chẳng hạn như, để quản lý các máy tính thuộc về domain này, bạn kích vào mục Computers. Ngay sau đó, bạn kích chuột phải lên tên một máy tính cụ thể cần quản lý. Tiếp theo, trong menu liệt kê đầy đủ các chức năng xuất hiện, bạn chọn một chức năng cần thực thi, ví dụ như Shutdown. Ngay sau đó, Hyena sẽ thực hiện yêu cầu của bạn.

Ngoài ra, Hyena cũng giúp bạn thu thập khá đầy đủ thông tin về các máy tính trong domain. Chẳng hạn, bằng chức năng Properties, bạn có thể hiển thị chi tiết về máy trạm như: số lượng card mạng với địa chỉ IP tương ứng, user nào đang đăng nhập vào, các phần mềm nào đang được cài lên máy trạm, danh sách các hotfix đã được cập nhật…

Với những nét ưu việt của mình, Hyena đã và đang trở thành một trợ thủ đắc lực cho những người quản trị nhằm tối ưu hoạt động của hệ thống mạng máy tính tại đơn vị mình.

(suu tam lam tu lieu)

Hẹn giờ tắt máy tính

Start --> Run --> gõ "cmd" --> cửa sổ DOS hiện ra --> gõ tiếp "shutdown -s -t 900"
Trong đó:
shutdown_là từ khóa.
-s có thể thay bằng "-r","-a"
-s: viết tắt của từ shutdown
-r: viết tắt của từ restart
-a: là abort (hủy hạn giờ)
-t: kí hiệu thời gian
900: tương ứng với 15 phút (thời gian tính bằng giây)
Hoặc 1 cách nữa:
Start --> Run --> gõ "shutdown -i" --> cửa sổ remote shutdown dialog hiện ra, bạn làm theo hướng dẫn.
Cách cuối cùng ngắn gon hơn rất nhiều:
Start --> Run --> gõ "shutdown -s -f -t 900" tương ứng là 15 phút sau máy tính của bạn sẽ tắt

Linux Cluster

1.Mở đầu:
Bài viết tham khảo hình ảnh, nội dung từ trang chủ của LVS www.linuxvirtualserver.org. Ngoài ra, không copy từ mọi tài liệu khác.

2.Khái niệm LVS:
LVS (Linux Virtual Server) là một server ảo được xây dựng dựa trên một cluster của các server thật. Với người sử dụng thì họ chỉ nhìn thấy một server ảo đầy quyền năng, không hề biết đến kiến trúc bên trong.

Như mô tả của hình trên, khi sử dụng Virtual Server, người sử dụng bên ngoài Internet chỉ nhìn thấy một địa chỉ IP, đó là địa chỉ IP của Load balancer. Load balancer là máy tính duy nhất liên lạc, nhận request từ các máy ngoài Internet. Sau đó, load balancer sẽ có cơ chế tự động phân chia request đến các real server bên trong. Load balancer và các real server có thể liên lạc qua một đường truyền mạng LAN tốc độ cao, hoặc cũng có thể liên lạc qua mạng WAN.
Để đảm bảo hệ thống hoạt động trong suốt với người sử dụng cần đảm bảo các vấn đề sau:

• Khi load balancer bị lỗi, phải có cơ chế back up tốt để hoạt động của hệ thống vẫn tiếp diễn.
• LVS phải có cơ chế để tự động cập nhật khi có một real server tham gia hoặc tách khỏi hệ thống.
• Khi một real server bị lỗi, hệ thống phải phát hiện được để đảm bảo hoạt động không bị gián đoạn.
• Mặt khác để hệ thống có thể hoạt động hiệu quả cần giải quyết vấn đề phân chia request hợp lí, tránh tình trạng một real server xử lí quá tải, trong khi các real server khác lại ở tình trạng “idle”.

3.Các mô hình LVS:
Để triển khai ý tưởng của LVS, người ta có 3 mô hình chính:

• Virtual server via NAT.
• Virtual server via IP Tunneling.
• Virtual server via Direct Routing.

Mỗi mô hình có một số ưu, khuyết điểm khác nhau. Tùy theo cách triển khai, tùy theo thực trạng và yêu cầu của hệ thống mà ta có thể lựa chọn một mô hình thích hợp.

4.Mô hình Virtual Server via NAT:
Với mô hình NAT, dòng chuyển dữ liệu được thực hiện như sau:

• Client gởi request cho load balancer.
• Load balancer phân chia request đến cho những real server.
• Real server gởi reponse cho load balancer.
• Load balancer chuyển reponse cho client.

Load balancer có 2 địa chỉ: một để liên lạc với client, một để liên lạc với các real server bên trong. Địa chỉ để liên lạc với real server cũng như địa chỉ của các real server có thể là địa chỉ private. Địa chỉ mà load balancer sử dụng để liên lạc với client là địa chỉ public (địa chỉ thật).

Điểm bất lợi lớn nhất của mô hình NAT là Load balancer có thể sẽ trở thành một “bottle neck” bởi vì tất cả request và reponse đều sẽ phải đi qua điểm này. Mô hình NAT chỉ có thể phục vụ khoảng 10-20 real server.
Để khắc phục nhược điểm của mô hình NAT, ta có thể sử dụng mô hình Tunnel hoặc mô hình Direct Routing tùy theo yêu cầu triển khai cụ thể.

5.Mô hình Virtual Server via Tunneling:
Với mô hình Tunneling, dòng dữ liệu lưu chuyển như sau:

• Client gởi request cho Load balancer.
• Load balancer phân chia request cho các real server.
• Các real server sau khi được phân chia sẽ tự động liên lạc với các client bằng con đường riêng, không thông qua Load balancer.

Mô hình Tunneling sẽ giảm được tình trạng “bottle neck” cho load balancer. Load balancer chỉ đảm nhận nhiệm vụ lập lịch, phân chia request đến các real server. Với mô hình này, một load balancer có thể phục vụ cho khoảng 100 real server.

Tuy nhiên để triển khai mô hình Tunneling, bắt buộc tất cả real server phải cài hệ điều hành có cơ chế “IP Tunneling”. Muốn hiểu rõ hơn vấn đề này, các bạn tìm hiểu trên trang www.linuxvirtualserver.org.

6.Mô hình Virtual Server via Direct Routing:
Giống mô hình Tunneling, mô hình Direct Routing chỉ nhận request và lập lịch xử lí. Các real server sẽ gởi reponse cho client theo một con đường riêng, không thông qua load balancer. Mô hình Direct Routing đòi hỏi load balancer và real server phải thuộc cùng một segment vật lí.

7.Cách triển khai các mô hình:

Trước hết để Linux hỗ trợ LVS, cần thực hiện những việc sau:

• Cài đặt gói các gói heartbeat.
• Thực hiện các thao tác chặn ARP. (tìm hiểu kỹ hơn vấn đề này trên trang www.linuxvirtualserver.org).
• Tùy theo mô hình chọn sử dụng (NAT, Tunneling, Direct Routing), ta sẽ chọn các cấu hình thích hợp.
• Các bạn có thể tìm hiểu cách cấu hình cụ thể của từng mô hình trên trang www.linuxvirtualserver.org.

Ở đây chỉ trình bày cách cấu hình cụ thể với mô hình LVS via Direct Routing

8.Các bước triển khai LVS via Direct Routing:
a.Mô hình:
Ở đây, giới thiệu một mô hình chuẩn gồm 4 server: Load balancer Master (Master), Load balancer (Backup), Real1, Real2. Ta test thử với dịch vụ HTTP.
Khi client ở ngoài, gởi request http vào, request sẽ được tiếp nhận bởi Master, sau đó, Master sẽ tiến hành phân chia request cho Real1, và Real2.
Master và Backup sẽ dùng tín hiệu heartbeat để trao đổi với nhau, nếu Master có sự cố, thì Backup sẽ thay thế vai trò của Master, và Master trở thành Backup. Khi Master khắc phục xong sự cố, Backup sẽ nhường lại vai trò cho Master.
Master sẽ dùng ldirectord để monitor Real1 và Real2. Nếu Real1 có sự cố, Master sẽ chỉ chia request cho Real2 và ngược lại. Khi Real1 khắc phục xong sự cố, Master lại tiếp tục chia request cho Real1.
Giả sử hostname của các máy lần lượt là: Master, Backup, Real1, Real2. (Cần dùng lệnh uname –n để xác định chính xác hostname của các máy).

• Master: eth0: 192.168.1.2, eth1: 172.16.1.2
• Backup: eth0: 192.168.1.3, eth1: 172.16.1.3
• Real1: 192.168.1.4
• Real2: 192.168.1.5
• VIP: 192.168.1.1 (IP ảo, Client gởi request đến IP này).
• Master & Backup bắt buộc phải có 2 card mạng: eth0 để lắng nghe request từ bên ngoài, và eth1 để nhận tín hiệu heartbeat với nhau.

Đầu tiên, các bạn làm quen với mô hình chuẩn, gồm đủ các thành phần: Master, Backup, Real1, Real2. Khi đã hiểu nguyên tắc hoạt động, với các bài lab sau, mình sẽ hướng dẫn các bạn cách tinh chỉnh để giảm số server, mà vẫn đảm bảo được ý nghĩ logic của mô hình.
a.Cài đặt:
Cài đặt các gói heartbeat trên Master và Backup bằng lệnh:
# yum install heartbeat*
Hoặc cụ thể hơn, có thể cài đặt tất cả các gói rpm cho Master và Backup theo trình tự sau:
# rpm –ivh heartbeat-pils-1.2.3.cvs.20050927-1.rh.el.um.1.i386.rpm
# rpm –ivh libnet-1.1.2.1-1.rh.el.um.1.i386.rpm
# rpm –ivh perl-Authen-SASL-2.08-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-Convert-ASN1-0.18-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-Net-SSLeay-1.25-1.rh.el.um.1.i386.rpm
# rpm –ivh perl-IO-Socket-SSL-0.96-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-Parse-RecDescent-1.94-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-Mail-IMAPClient-2.2.9-1.rh.el.um.1.noarch.rpm
# rpm -ivh heartbeat-stonith-1.2.3.cvs.20050927-1.rh.el.um.1.i386.rpm
# rpm –ivh perl-XML-NamespaceSupport-1.08-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-XML-SAX-0.12-1.rh.el.um.1.noarch.rpm
# rpm –ivh perl-ldap-0.3202-1.rh.el.um.1.noarch.rpm
# rpm –ivh heartbeat-1.2.3.cvs.20050927-1.rh.el.um.1.i386.rpm
# rpm –ivh heartbeat-ldirectord-1.2.3.cvs.20050927-1.rh.el.um.1.i386.rpm
# rpm –ivh ipvsadm-1.21-1.rh.el.1.um.1.i386.rpm
Cài đặt các gói sau trên Real1 và Real2:
# rpm –ivh arptables-noarp-addr-0.99.2-1.rh.el.um.1.noarch.rpm
# rpm –ivh arptables_jf-0.0.7-0.3E.i386.rpm
Ghi chú: tùy theo cách cài đặt perl kèm theo hệ điều hành ban đầu, các gói perl trên đây có thể thiếu, hoặc có thể thừa. Có thể bổ sung cho đúng với cách cài đặt hệ điều hành. RPM download tại: http://www.ultramonkey.org
b.Các bước cấu hình:
Như đã trình bày, phần cấu hình cho Master sẽ gồm các bước sau:

• Cấu hình hearbeat để Master và Backup lắng nghe nhau.
• Cấu hình ldirectord để Master monitor Real1 và Real2

c.Cấu hình heartbeat:
Phần này cấu hình cho cả Master và Backup.
Các file cần cấu hình cho dịch vụ heartbeat là: file ha.cf, haresources, authkeys. Chép các file này vào thư mục /etc/ha.d
cp /usr/share/doc/heartbeat-1.2.3.cvs.20050927/ha.cf /etc/ha.d/
cp /usr/share/doc/heartbeat-1.2.3.cvs.20050927/authkeys /etc/ha.d/
cp /usr/share/doc/heartbeat-1.2.3.cvs.20050927/haresources /etc/ha.d
Sửa các tham số sau trong file ha.cf:
udpport 694 # Port để gởi tín hiệu heartbeat
bcast eth1 # Card mạng để gởi tín hiệu heartbeat
keepalive 2
deadtime 30
initdead 120
node Real1 Real2 ( Sử dụng lệnh uname –n để xác định chính xác tên server real).
Sửa các tham số sau trong file authkeys:
auth 1
1 sha1 lvsvtdns11
Chuẩn bị các script để đặt vào file haresources: ldirectord.cf.
Thêm dòng sau vào file haresources.
Master 192.168.1.1 \
ldirectord::ldirectord.cf \
LVSSyncDaemonSwap::master \
d.Cấu hình ldirectord:
Phần này cấu hình cho cả Master và Backup.
ldirectord cần có file ldirectord.cf. File này có nội dung như sau:
checktimeout=3
checkinterval=5
autoreload=yes
logfile=”/var/log/ldirectord.log”
virtual=192.168.1.1:80
real=192.168.1.4:53 gate 5
real=192.168.1.5:53 gate 5
request=”/.testpage”
receive=”test page”
scheduler=rr
service=http
checkcount=3
protocol=tcp
e.Cầu hình cho Real1, Real2:

• Trên Real1 và Real2 cần cấu hình dịch vụ http.
• Tạo một trang web test cho dịch vụ http, đặt trong Document Root.

echo “test page” > .testpage

• Tạo IP ảo cho các Real1 và Real2:

ifconfig eth0:0 192.168.1.1 netmask 255.255.255.0

• Chặn ARP trên IP ảo của các Real1 và Real2:

/usr/sbin/arptables-noarp-addr 192.168.1.1 start
/etc/init.d/arptables_jf save
/etc/init.d/arptables_jf restart
f.Test thử cấu hình:

• Sau khi thực hiện xong các bước cấu hình trên, thực hiện test như sau:
• Trên Master, thực hiện:

# service heartbeat start

• Trên Backup, thực hiện:

# service heartbeat start

• Trên Master, xem kết quả:

# ipvsadm
Nếu hiển thị kết quả bảng phân chia request có IP của Real1, Real2 là đúng.

• Trên Backup, xem kết quả:

# ipvsadm
Vì backup, lúc này chỉ đang đứng lắng nghe, trên không có bảng phân chia request.

• Từ Client kết nối dịch vụ http, hoạt động bình thường, dùng lại lệnh ipvsadm trên Master, sẽ thấy request được phân chia cho Real1 hoặc Real2.

Giải pháp Load Balancing và Fail Over toàn diện dành cho Web Server

 
 Xây dựng một hệ thống High Available (HA) là một nhiệm vụ sống còn dành cho doanh nghiệp hiện nay. Đã có những trường hợp đáng tiếc khiến cho doanh nghiệp phải chịu những thiệt hại lớn không đáng có, thậm chí là mất đi các khách hàng quan trọng – nguồn sống trong kinh doanh.

 Trong bài “Để website luôn online với cluster Apache High Availability Linux” đăng trên một số trang web hiện nay tuy thuận tiện nhưng vẫn còn những nhược điểm đáng kể. Một trong những nhược điểm đó là hệ thống chỉ có tác dụng chịu lỗi (Fail Over) mà không thể cân bằng tải (Load Balancing). Do đó, hệ thống chỉ có thể thích hợp với những doanh nghiệp nhỏ lẻ, nhu cầu truy cập web của khách hàng không cao. Nếu sử dụng phương thức trên cho doanh nghiệp lớn thì sẽ gây hiện tượng thắt cổ chai (bottle neck) làm nghẽn lưu lượng truy cập. Mặt khác, doanh nghiệp muốn triển khai thêm nhiều dịch vụ khác thì đây không phải là một lựa chọn thật sự hiệu quả.

Một giải pháp được  đưa ra là xây dựng một hệ thống có tính sẵn sàng cao vừa có khả năng chịu lỗi vừa có khả năng cân bằng tải. Giải pháp này dựa trên nền tảng Linux Virtual Server (LVS). LVS ẩn server thật sau một IP ảo và thực hiện quá trình cân bằng tải các gói tin gửi đến sang tất cả các node dựa trên thuật toán Scheduling. Do tất cả các quá trình được thực hiện ở lớp transport bên trong nhân Linux nên phương thức này còn được gọi là Layer-4 Switching.

Mô hình cụ thể
Hệ thống này được xây dựng trên 4 Server sử dụng hệ điều hành CentOS. Mỗi Server được lắp đặt 2 card mạng riêng biệt. Thông số về các card mạng trên mỗi server được thể hiện trên hình sau:

Client truy cập vào Web Server thông qua IP ảo (192.168.2.200). 

Trong mô hình này LVS1 và LVS2 đóng vai trò là các Load Balancer (LB). Hai LVS này hoặc động theo phương thức Active/Passive. Có nghĩa là, khi LVS1 chạy thì LVS2 sẽ ở trạng thái Stand-by, cho đến khi LVS1 gặp sự cố thì LVS2 sẽ tự động kích hoạt và thay thế LVS1 cho đến khi khắc phục được sự cố. LB có nhiệm vụ dẫn đường cho các truy cập đến Web Server.

Trên LVS sẽ được cài đặt các gói chương trình heartbeat, ldirectord và ipvsadm. Trong đó chương trình heartbeat sẽ có nhiệm vụ kiểm tra tình trạng “sống còn” của hai LVS. Do đó, đảm bảo được khả năng chịu lỗi của hệ thống. Còn ldirectord (Linux Director Daemon) có nhiệm vụ giám sát và kiểm tra tín hiệu của các Web Server thông qua một URL request. Trong trường hợp dịch vụ web trên một server bị lỗi thì server đó sẽ bị loại ra khỏi danh sách real server và truy cập sẽ được dồn về Web Server còn lại đảm bảo được tính cân bằng tải lẫn khả năng chịu lỗi.

Cấu hình cụ thể
Đầu tiên, chúng ta tắt Firewall trên tất cả các Server.
/etc/init.d/iptables stop
+ LVS1/LVS2
Cài đặt các dịch vụ cần thiết (heartbeat, ldirectord, ipvsadm)
yum install heartbeat ipvsadm heartbeat-ldirectord –y
Để LB có thể dẫn đường được cho các yêu cầu đến server thì cần active kernel IPV4 packet forwarding.
#/etc/sysctl.conf
net.ipv4.ip_forward = 1
Lưu lại cấu hình cho sysctl.conf
sysctl -p
Tạo file /etc/ha.d/ha.cf
logfile /var/log/ha-log
logfacility local0
keepalive 2
deadtime 30
initdead 120
bcast eth1
ucast eth1 10.0.0.1         # Trên LVS2 là 10.0.0.2
udpport 694
auto_failback on
node lb1.kenhgiaiphap.vn
node lb2.kenhgiaiphap.vn
Tạo file /etc/ha.d/haresoures
lb1.kenhgiaiphap.vn \
    ldirectord::ldirectord.cf \
    LVSSyncDaemonSwap::master \
    Ipaddr2::192.168.2.200
Tạo file /etc/ha.d/authkeys
auth 1
1 crc
File authkeys chỉ có thể thay đổi thông qua tài khoản root
chmod 600 /etc/ha.d/authkeys
Tạo file /etc/ha.d/ldirectord.cf
checktimeout=30
checkinterval=2
autoreload=yes
logfile="/var/log/ldirectord.log"
quiescent=no
virtual=192.168.2.200:80
        real=10.0.0.3:80 gate
        real=10.0.0.4:80 gate
        service=http
        request="kenhgiaiphap.html"
        httpmethod=GET
        receive="maychumang"
        persistent=100
        scheduler=lblc
        protocol=tcp
        checktype=negotiate

Khởi động các dịch vụ cần thiết
/etc/init.d/ldirectord stop
/ect/init.d/heartbeat start
+ WebServer1/WebServer2
Sau khi cài đặt Apache Server ta tạo file kiểm tra
echo “maychumang” > /var/www/html/kenhgiaiphap.html
Echo ‘This site is 192.168.2.122’ > /var/www/html/index.html (Webserver1)
Echo ‘This site is 192.168.2.123’ > /var/www/html/index.html (Webserver2)
service httpd start
Tắt chức năng ARP reply cho IP ảo trên Web Server
# /etc/sysctl.conf

net.ipv4.conf.all.ARP_ignore = 1
net.ipv4.conf.eth0.ARP_ignore = 1
net.ipv4.conf.all.ARP_announce = 2
net.ipv4.conf.eth0.ARP_announce = 2

+ Kiểm tra kết quả
Web Server (Load Balancing và Fail Over)
Mở web browser trên máy khác cùng mạng và nhập vào địa chỉ 192.168.2.200. Refresh lại nhiều lần thấy nội dung web thay đổi là cấu hình cân bằng tải thành công.


Muốn kiểm tra khả năng chịu lỗi thì tắt dịch vụ web trên 1 server sau đó thử lại. Nếu trang web hiển thị chuyển sang server còn lại là thành công.

Load Balancer (Fail Over)
Sau khi cài đặt xong kiểm tra trên cả hai LVS. Nếu kết quả giống như trong hình là cài đặt thành công. Trong đó máy 192.168.2.125 là máy Active, chịu trách nhiệm dẫn đường đến Web Server. Máy 192.168.2.130 đang ở chế độ backup.

 
Kiểm tra Fail Over bằng cách tắt dịch vụ heartbeat trên LVS1 (192.168.2.125) nếu bạn vẫn còn có thể duyệt web là thành công.

TỔNG QUAN MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY

Vừa qua, Microsoft đã công bố sản phẩm Forefront Threat Management Gateway (Forefront TMG) Beta1, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA) , Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint.
Các đặc điểm của Forefront TMG:
- Bảo vệ hệ thống toàn diện
- Quản lý đơn giản
- Đơn giản giám sát hệ thống

Forefront TMG cung cấp đầy đủ các tính năng của một Firewall:
A. Các tính năng mới:

Tính năng	Mô tả
Tương thích với Windows Server 2008, 64-bit	TMG chỉ có thể chạy trên Windows Server 2008 64-bit
Tùy chọn Antivirus, Antimalware	- Quét những file bị lây nhiễm - Ngăn chặn những file bị nghi ngờ - Ngăn chặn những file tìm thấy đã bị hỏng - Ngăn chặn những file không thể scan - Ngăn chặn tất cả file đã được mã hóa - Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét - Ngăn chặn những file có kích thước lớn do admin qui định - Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ IP, tên domain,  các URL do admin định nghĩa - Kiểm soát nội dung:  những sự lây nhiễm từ malware, virus có thể gây ra sự chậm trễ trong việc truyền tải nội dung từ server đến client.  TMG sẽ kiểm sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại.  Nếu như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động thông báo tiến trình đang quét file đến client, chẳng hạn như ”Nội dung đang được kiểm tra”
Cấu hình quản lý truy cập web	Cho phép cấu hình quản lý việc truy cập web chỉ bằng 1 thao tác
Ngăn chặn việc truy cập đến 1 địa chỉ đã được định trước	- Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu lượng web - Bật tính năng Web Cache

B. Những tính năng cốt lõi:
I. Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ

Tính năng	Mô tả
Tường lửa sẽ tạo ra những form để bạn điền vào bằng cách chứng thực theo dạng form base	Tạo ra các form được khi truy cập vào những trang Outlook Web Access dựa trên form base. Điều này tăng cường an ninh cho việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa những user không được chứng thực liên lạc đến máy chủ Outlook Web Access.
Remote access đến Terminal Services bằng SSL	Những máy tính chạy HĐH Windows Server 2003 hỗ trợ RDP thông qua SSL cho phép kết nối SSL đến Windows Server 2003 Terminal Services.
Thi hành các kết nối RPC trong Microsoft Exchange từ Microsoft Outlook và client dùng kết nối MAPI	- Publishing Rule cho phép người sử dụng kết nối từ xa đến Exchange Server bằng cách sử dụng đầy đủ chức năng Outlook MAPI client thông qua Internet. Client sẽ được cấu hình để sử dụng an toàn rpc đó. Vì thế kết nối được mã hóa - RPC policy cho phép bạn khóa tất cả những kết nối không được mã hóa
Outlook Web Access Publishing	- Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs - Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server của bạn
Microsoft Office SharePoint Server Publishing	Giao diện wizard mới hướng dẫn publishes nhiềuWindows SharePoint Services sites

II. Virtual Private Networking (VPN)

Tính năng	Mô tả
Kết nối đến văn phòng chi nhánh bằng VPN	Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng.
Tích hợp giữa VPN với dịch vụ Microsoft Firewall	Bao gồm các chức năng đầy đủ của VPN.
Thanh lọc và kiểm tra cho VPN	VPN Client được cấu hình như một vùng mạng riêng Tạo chính sách cho các VPN client.
SecureNAT client hỗ trợ cho VPN clients kết nối đến TMG VPN server	- Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT  truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client. - Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client.
VPN Quarantine	Dùng công cụ VPN quarantine trên Windows Server 2003 cho việc thanh lọc và tích hợp vào firewall policy.
Publishing VPN servers	- Publish IP protocols và PPTP servers. - Ứng dụng bộ lọc Smart PPTP để quản lý các kết nối phức tạp - Publish Windows Server 2003 NAT-T L2TP over IPSec VPN server bằng cách sử dụng TMG 06 server publishing.
Chế độ IPSec tunnel hỗ trợ cho kết nối site-to-site VPN links	Phát triển site-to-site link dùng chế độ IPSec tunnel như giao thức VPN

III. Các tính năng quản lý

Tính năng	Mô tả
Dễ dàng sử dụng các tính năng quản lý	- Bao gồm các tính năng quản l‎ý nhằm nâng cao mức độ an ninh mạng - Giao diện người dùng quen thuộc với task panes, context-sensitive Help panes, và Getting Started Wizard.
Export và import dữ liệu đã được cấu hình	Lưu dữ liệu đã được cấu hình thành file .xml và sau đó bạn có thể import file này vào 1 server khác
Ủy quyền cho firewall administrator roles	Bạn có thể gán quyền quản l‎ý administrative roles cho user hoặc group.
TMG Microsoft Operations Manager (MOM) Management Pack	MOM Management Pack cho phép doanh nghiệp xem sự kiện giám sát và củng cố cho các bức tường lửa hoạt động.
Mở rộng SDK	Bao gồm một bộ SDK toàn diện cho việc phát triển những công cụ xây dựng trên TMG firewall, bộ nhớ đệm, và các tính năng quản lý.
Mở rộng hỗ trợ các sản phẩm khác	Cung cấp các sản phẩm, chẳng hạn như  quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng và hội nhập với TMG.

IV. Monitoring and Reporting: Giám sát và báo cáo hiệu quả hơn

Tính năng	Mô tả
Giám sát việc đăng nhập	- Xem firewall, Web Proxy, và SMTP Message Screener logs - TMG Server Management hiển thị thị trực quan các mục đăng nhập giống như đang quay lại quá trình đăng nhập của người dùng.
Xây dựng truy vấn cơ sở đăng nhập	- Truy vấn các tập tin log  bằng cách sử dụng trong truy vấn cơ sở đăng nhập. - Truy vấn cho các bản ghi thông tin chứa trong bất kỳ lĩnh vực nào được ghi trong truy vấn cơ sở đăng nhập.. - Giới hạn phạm vi điều chỉnh của các truy vấn đến một khung thời gian cụ thể. - Kết quả sẽ được hiển thị trong TMG MBE Management , có thể được sao chép vào Clipboard và dán vào một ứng dụng khác cho phân tích chi tiết hơn.
Giám sát và lọc session dựa trên firewall sessions	Xem tất cả các hoạt động kết nối đến firewall. Từ việc xem một session, bạn có thể phân loại hoặc ngắt session của 1 cá nhân hoặc 1 group.
Kết nối xác thực	Xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL từ TMG MBE bằng cách sử dụng kết nối xác thực. Bạn có thể cấu hình để sử dụng phương pháp đó để xác định loại kết nối: Ping, kết nối TCP đến một cổng cụ thể, hoặc HTTP GET.
Tùy biến báo cáo TMG	Tuỳ biến nâng cao tính năng cho thêm thông tin chi tiết trong firewall report
Report publishing	- Cấu hình TMG báo cáo một cách tự động. Bạn có thể lưu file báo cáo này vào folder được chỉ định. - Map folders hoặc file đến Web site virtual directory để người dùng có thể xem các báo cáo.
Thông báo bằng email sau khi tạo ra báo cáo	Cấu hình email , sau khi một báo cáo được hoàn thành,  TMG sẽ gửi email cho bạn

C. Yêu cầu cài đặt

Processor	Memory	Operating System	Software	Hard Disk
Tối thiểu 1GHz	Tối thiểu 1GB	Windows Server 2008 x64 edition	Microsoft SQL Server 2005 Express Edition	Tối thiểu 150MB