Mô Hình Mail Tổng Thể Dành Cho Hệ
Thống Mạng Ngân Hàng SHBank
ISP IISP Inc. Trang 1/18
1 . Tổng Quan :
Căn cứ vào thông tin quý công ty cung cấp chúng tôi đưa ra phân tích và các giải pháp
sau đây:
- SHB là một ngân hàng lớn với nhiều chi nhánh ở các tỉnh thành khác nhau
với số lượng users lớn do đó việc tập trung database là một vấn đề quan
trọng . Do vậy, chúng tôi đưa ra mô hình tổng quan, sử dụng email bằng giải
pháp đưa vào sản phẩm Exchange của Microsoft mà hiện tại đã được áp
dụng cho rất nhiều công ty và doanh nghiệp lớn như FPT, ISP Inc, New
Horizons HàNội v.v……. với độ ổn định và tin cậy cao.
- Mạng công ty được chia làm 3 site lớn tương ứng với các thành phố Hà Nội,
Đà Nẵng,Hồ Chí Minh. Các site được kết nối với nhau thong qua lien kết
mạng WAN bằng đường lease line tốc độ cao tạo thành mạng BACK BONE.
Ở mỗi tỉnh thành phố có nhiều chi nhánh nhỏ tạo thành mạng cấp 1 , cấp
2….mạng các chi nhánh này được kết nối trực tiếp với mạng lõi (core) của
site tương ứng.
- Mail Server được đặt duy nhất ở site Hà Nội và cung cấp mail cho toàn bộ hệ
thống. Việc đảm bảo hoạt động ổn định và bảo mật được đặt lên hàng đầu do
đó chúng tôi đưa ra các giải pháp bảo mật dựa trên các sản phẩm FireWall
(ISA) của Microsoft,hệ thống phát hiện xâm nhập IDS và các phần mềm nổi
tiếng nhằm phát hiện tiêu diệt các đoạn mã nguy hiểm như Virus, SpyWare,
MalWare….Để hệ thống hoạt động ổn địng và có tính sẵn sàng cao chúng tôi
ISP IISP Inc. Trang 2/18
đưa ra các giải pháp dự phòng (backup) và cluster của các server quan
trọng.
- Sơ đồ trên chỉ mang tính chất tổng quan, để quý công ty có thể nắm rõ hơn
sau đây chúng tôi sẽ trình bầy chi tiết dựa trên giải pháp email Exchange của
Micorosoft , các giải pháp bảo mật và nâng cao khả năng hoạt động
(performant) của hệ thống.

ứng để xử lý, mà không phải là nơi chứa database chính về các mailbox
của người dung .
- Để đăng nhập vào server, đầu tiên các máy trạm (mail client) gửi tín hiệu
yêu cầu (request) đến front-end server. Tại server này diễn ra quá trình
xác thực tính hợp lệ (authentication) và sử dụng cơ sở dữ liệu tập trung
Active Directory để kiểm tra xem mailbox mà user muốn đăng nhập vào
nằm trên back-end server nào. Sau đó front-end server sẽ chuyển tín
hiệu request của user tới back-end server. Và cuối cùng back-end server
sẽ gửi tín hiệu trả lời cho user thông qua Front-end server.
- Các giao thức POP3 và IMAP được sử dụng cho việc nhận mail, SMTP
phải được cấu hình trên Front-end Server ,do đó các máy tram có thể gửi
mail. SMTP chạy trên Front-end Server chỉ đóng vai trò chuyển mail
(relay) chứ không phải mail được gửi xuất phát từ server này.
- Từ Exchange 2003 trở đi, các user có thể truy cập mail của họ thông qua
giao diện Outlook Web Access (OWA). Có hai cách đăng nhập sử dụng
OWA:
ISP IISP Inc. Trang 5/18
+ Implicit Logon : đây là phương pháp dùng để đăng nhập mặc định cho
người dùng. Để đăng nhập,User sử dụng trình duyệt Internet và đánh vào
thao tác lệnh: https://<server>/exchange/
+ Explicit Logon: để đăng nhập bằng cách này, user phải đưa ra tài
khỏan username của mailbox cần đăng nhập ngay tứ đầu:
https://<server>/exchange/<username>/
ISP IISP Inc. Trang 6/18
- Theo như số liệu chúng tôi nhận được,công ty hiện có khoảng 300 user
và dự kiến đến năm 2008 số lượng user sẽ tăng gấp ba lần. Để đảm bảo
sự hoạt động ổn định của hệ thống mạng, máy chủ Front-End Exchange
không bị quá tải khi cùng lúc đáp ứng quá nhiều yêu cầu gửi đến. Chúng
tôi đưa ra giải pháp Network Load Balancing (NLB) ,cụ thể là chúng ta sẽ
sử dụng hai đến ba máy chủ Front-End chay song song để cân bằng tải

. Các nodes trong cluster phải có khả năng truy nhập đến các ổ đĩa
chia sẻ.
.Để đảm bảo có thể khôi phục lại dữ liệu,các ổ đĩa được cấu hình
hoạt động ở chế độ RAID0, RAID1 hay RAID5. Và cao cấp hơn, sử dụng
trong mô hình dành cho số lượng user lớn và tăng vọt sau này, đối với
hệ thống lưu trữ, chúng tôi khuyến cáo là nên sử dụng các hệ thống lưu
trữ lớn nằm ở phía ngòai, đó là các hệ thống SAN (Storage Access
Network)
- Trên đây là các giải pháp mail Exchange đã được áp dụng rất hiệu quả
trong các công ty lớn ở Việt Nam cũng như trên thế giới như :
FPT,VDC,Newhorizons…Tuy nhiên để triển khai được, trước tiên chúng
ta phải xây dựng một hạ tầng mạng chạy ổn định sử dụng các thiết bị kết
nối làm việc ở tầng thấp như Router, Switch, Firewall hay IDS/IPS của
Cisco hoặc của các hãng khác, và các dịch vụ hỗ trợ cho hệ thống email
Exchange khác như DC,DNS,DHCP v.v……
+ Hạ tầng phần cứng công ty đã xây dựng sẵn và đã hoạt động ổn định
, tuy nhiên để đảm bảo dù ngồi ở bất cứ vị trí nào trong công ty, chúng ta
đều có thể vào internet được. Do đó, chúng ta nên xây dựng thêm hệ
thống mạng không dây (Wireless) thông qua sử dụng các thiết bị Access
Point của Cisco.
+ Domain Controller (DC) là máy tinh dùng để chứa cơ sở dữ liệu
Active Directory (AD) , là thành phần quan trọng nhất cho phép chúng ta
quản lý và bảo mật tập trung tài nguyên và đối tượng hệ thống, tài khỏan
người dùng (account), và các đối tượng cũng như dịch vụ khác của hệ
thống. Để đảm bảo tính sẵn sàng cao của hệ thống chúng ta nên xây
ISP IISP Inc. Trang 9/18
dưng thêm một Backup DC. DC và BDC thường xuyên đồng bộ, sao
chép tài nguyên của nhau , khi một trong hai DC bi lỗi thì ngay lập tức
chúng ta sẽ thay thế DC lỗi bởi BDC do đó đảm bảo hệ thống vẫn hoạt
động bình thường.

theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao cho phù hợp với
yêu cầu và quy mô của công ty, và đây là những cấu hình Group Policy thao
khảo dành cho SHB :
• Cấp độ Domain:
Cấu hình Giá trị cho cấu hình
• Remembered passwords • 24
• Maximum password age • 42 days
• Minimum password age • 2 days
• Minimum password length • 10 characters
• Passwords must meet complexity
requirements
• Enabled
• Account lockout threshold • 5 invalid logon attempts
• Account lockout duration • 30 minutes
• Reset account lockout counter after • 30 minutes
o Bảng 1. Group Policy Settings dành cho cấp độ Domain
• Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU):
Cấu hình Giá trị cho cấu hình
• Security auditing • Enabled
• Allow local logon • Administrators
• Guest account status • Disabled
• Interactive logon: Do not display last user
name
• Enabled
ISP IISP Inc. Trang 11/18
Cấu hình Giá trị cho cấu hình
• Network access: Do not allow anonymous
enumeration of SAM accounts and shares
• Enabled
• Shutdown: Allow system to be shut down

2.2.2 Giải pháp bảo mật bằng FireWall, IDS/IPS :
- Với mô hình này, để tăng cường khả năng bảo mật, chúng tôi đưa vào
hai tường lửa chính của mô hình. Máy chủ mail Front-end của chúng tôi
sẽ nằm ở giữa hai tuờng lửa này. Lý do khi đưa vào thêm tường lửa thứ
hai để phòng ngừa trường hợp một kẻ tấn công nào đó lỡ như thỏa hiệp
ISP IISP Inc. Trang 12/18
được với máy chủ Front-end cũng sẽ ngần ngại khi phải đi qua tiếp
tường lửa thứ hai để đến được hệ thống back-end nằm đằng sau.Qua
khảo sát chúng tôi thấy,công ty hiện giờ đang có một PIX FireWall của
Cisco đặt phía ngoài nhằm bảo vệ kết nối internet của hệ thống. Đây là
một trong những firewall hàng đầu với khả năng hoạt động rất ổn định và
hiệu quả lọc gói tin cao.
Để nâng cao tính năng bảo mật trên toàn hệ thống chúng tôi thiết nghĩ
nên đặt them một firewall nữa đăt phía trong để bảo vệ cho vùng internal
chứa nhiều tàinguyên quan trọng. Để giảm chi phí đầu tư Firewall phía
trong chúng ta chỉ cần dùng firewall mềm của một hãng rất nổi tiếng là
ISA của Microsoft . Hiện giờ ISA cũng được sử dụng rất nhiều ở các công
ty lớn và cho hiệu quả cao.
ISP IISP Inc. Trang 13/18
Trên cả hai firewall chúng ta chỉ cung cấp và mở các cổng tương ứng với
các dịch vụ cần thiết cho người dung.Những gì không cần thiết, chúng ta
phải đóng và tắt hết các cổng.
Sau đây là những chính sách khuyến cáo được thiết lập tại tường lửa mặt
ngòai:
Application Ports Direction
Web Service TCP – 80 Both
Web Service (Secured) TCP – 443 Both
E-mail Service TCP – 25 Both
VPN PPTP TCP – 1723, Protocol 47 Both
VPN L2TP UDP – 1701 Both

Windows®
SharePoint
Services and
TSWeb based
terminal
services in the
main office
Home and mobile users
and business partners
Yes Allow
HTTPS
(TCP, 443)
Main and
branch offices
Internet Internal users in the main
office and branch offices
No Allow
ISP IISP Inc. Trang 14/18
Protocol/Port From To Users Authenticati
on
Permissi
on
FTP
(TCP, 21)
Main and
branch offices
Internet Employees No Allow
SMTP
(TCP, 25)
Internal SMTP

Yes Allow
VPN clients
using PPTP
(TCP, 1723)
and IP
Protocol 47
Internal
network
Internet Home and mobile VPN
client users
No Allow
IPSec VPN
tunnel
(UDP, 500)
and IP
Protocol 50 &
51)
Branch offices Main office Users in branch offices No Allow
NTP
(UDP, 123)
Internal
domain
controllers
Internet based
time servers
Internal domain
controllers
No Allow
RDP Terminal
Services

- Phần mềm Anti-virus là chương trình quan trọng và được triển khai trên
mạng ở các vị trí chính như: FireWall, GateWay, Server, Client. Một trong
các hãng rất nổi tiếng trên thế giới cung cấp giải pháp về Anti-virus ở tất
cả các vị trí trên là hãng Symantec.
ISP IISP Inc. Trang 16/18
Mô hình Anti-virus cho doanh nghiệp
Ở các vị trí khác nhau thì chương trình này cũng đóng các vai trò khác
nhau như :
+ FireWall,GateWay :có nhiệm vụ ngăn chặn sự lây nhiễm của virus từ
internet vào hệ thống mạng bên trong
. Nó sẽ thực hiện quét các lưu lượng mạng đi qua để kiểm tra,phát
hiện và tiêu diệt các đoạn mã chương trình nguy hiểm
. Quét các dịch vụ nhất định như e-mail để xác định xem có virus
hay không sau đó mới quyết định forward e-mail đó vào mail server bên
trong để cuối cùng phân phối đến các máy trạm.
+ Server: Phần mềm Anti-Virus được chạy trực tiếp trên các server
. Ngăn server không bi ảnh hưởng bởi virus
. Đảm bảo các chức năng trên server vẫn hoạt động bình thường
. Thực hiện quét các tài nguyên chia sẻ và database của exchange
server
+ Client: chạy trực tiếp trên các máy trạm để đảm bảo nó không bi ảnh
bởi virus
3 Kết Luận:
ISP IISP Inc. Trang 17/18
Thông qua việc giới thiệu và phân tích mô hình trên, chúng tôi cam đoan rằng hệ
thống email của quý công ty sẽ họat động ổn định và mang tính chất bảo mật cao. Và
khi áp dụng mô hình mail này, nó sẽ không ảnh hưởng gì đến hệ thống Active
Directory và hệ thống tên miền đang có của SHB. Rất mong nhận được thông tin và
đóng góp ý kiến của quý công ty để qua đó chúng tôi có thể hiệu chỉnh phù hợp hơn
với mô hình mà quý công ty đang có .