Mô Hình Mail Tổng Thể Dành Cho Hệ
Thống Bưu Điện Hà Nội
ISP IISP Inc. Trang 1/
Mục Lục
1.Tổng Quan : 3
2.Giải Pháp Tổng Thể : 5
2.1.Giải pháp email bằng Exchange : 5
2.2.Hệ thống cân bằng tải cho máy chủ Email 8
2.3.Giải pháp bảo mật cho hệ thống công ty : 11
3.Kết Luận: 19
ISP IISP Inc. Trang 2/
1. Tổng Quan :
Căn cứ vào thông tin quý công ty cung cấp chúng tôi đưa ra phân tích và các giải
pháp sau đây:
- Bưu Điện Hà Nội là một Bưu Điện trung tâm lớn với nhiều chi nhánh ở các
tỉnh thành khác nhau và với số lượng users lớn. Do đó việc tập trung
database là một vấn đề quan trọng . Do vậy, chúng tôi đưa ra mô hình tổng
quan, sử dụng email bằng giải pháp đưa vào sản phẩm Exchange của
Microsoft mà hiện tại đã được áp dụng cho rất nhiều công ty và doanh
nghiệp lớn như FPT, ISP Inc, New Horizons HàNội v.v……. với độ ổn định
và tin cậy cao.
- Mạng BĐHN được chia làm nhiều site lớn, tuy nhiên tòan bộ database sẽ
được tập trung tại Hà Nội. Các site được kết nối với nhau thông qua liên
kết mạng WAN bằng đường lease line tốc độ cao tạo thành mạng trục
BACK BONE. Ở mỗi tỉnh thành phố có nhiều chi nhánh nhỏ tạo thành
mạng cấp 1 , cấp 2….mạng các chi nhánh này được kết nối trực tiếp với
mạng lõi (core) của site tương ứng.
- Mail Server được đặt duy nhất ở site Hà Nội và cung cấp mail cho toàn bộ
hệ thống. Việc đảm bảo hoạt động ổn định và bảo mật được đặt lên hàng
đầu do đó chúng tôi đưa ra các giải pháp bảo mật dựa trên các sản phẩm
ISP IISP Inc. Trang 3/

FireWall (ISA) của MicroSoft nằm ở mặt bên trong của hệ thống, hệ thống
phát hiện xâm nhập IDS/IPS và các phần mềm nổi tiếng nhằm phát hiện
tiêu diệt các đoạn mã nguy hiểm như Virus, Spy Ware, MailWare….Để hệ
thống hoạt động ổn định và có tính sẵn sàng cao chúng tôi đưa ra các giải
pháp dự phòng (back up) và cluster của các server quan trọng.
- Sơ đồ trên mang tính chất tổng quan, để quý công ty có thể nắm rõ hơn
sau đây chúng tôi sẽ trình bầy chi tiết dựa trên giải pháp email Exchange
của Micorosoft , các giải pháp bảo mật và nâng cao khả năng hoạt động
(performance) của hệ thống.
ISP IISP Inc. Trang 4/
2. Giải Pháp Tổng Thể :
2.1. Gi ả i pháp email b ằ ng Exchange :
- Lý do khi chúng tôi sử dụng bộ sản phẩm của Microsoft là do tính ổn
định, dễ triển khai, cấu hình và bảo mật. Ngòai ra :
+ Exchange còn cung cấp các giao thức chính về email như IMAP,
POP3, SMTP. Trong đó IMAP,POP3 là 2 giao thức dùng cho nhận mail,còn
gửi mail sử dụng giao thức SMTP
+Cho phép người dùng có quyền có thể truy cập từ xa để kiểm tra
email qua giao diện Web (OWA) và thông qua cơ chế RPC over HTTP,
ISP IISP Inc. Trang 5/
nghĩa là người dùng có thể sử dụng chương trình Microsoft OutLook để
kiểm tra email thông qua đường truyền Internet.
+ Cho phép chia sẻ lịch làm việc (Calendar) giữa các User
+ Cho phép chia sẻ tài nguyên dùng chung, và truy cập dựa vào quyền
hạn user như: Public Folder,hội thảo trực tuyến (Conference Rooms ) và
các tài nguyên Audio/Video khác…
- Theo yêu cầu của quý công ty, khi triển khai và áp dụng mô hình trên,
tòan bộ người dùng trong hệ thống sẽ có chung một tên miền về địa
chỉ email và không ảnh hưởng gì đến cấu trúc của hệ thống đang có
(ví dụ cụ thể là hệ thống Active Directory). Chúng ta có thể đặt tên

domain của các hòm thư là duy nhất cho các user truy cập (ví dụ:
https://mail for Outlook Web Access) . Để làm được như vậy thì kiến
trúc các mail server phải tuân theo mô hình Front-end và Back-end.
Nếu không có Front-end server,mỗi user phải biết tên của server lưu
mailbox để truy cập.Thông qua đặt tên một domain duy nhất sẽ làm
giảm công việc quản trị và dễ dàng hơn trong việc nâng cấp sửa chữa
hê thống mail server .
- Hệ thống máy chủ Front-end sẽ đảm nhiệm việc tiếp nhận các yêu cầu
từ email người dùng và chuyển tiếp chúng đến server mail Back-end
tương ứng để xử lý, mà không phải là nơi chứa database chính về các
mailbox của người dung .
- Để đăng nhập vào server, đầu tiên các máy trạm (mail client) gửi tín
hiệu yêu cầu (request) đến front-end server. Tại server này diễn ra quá
trình xác thực tính hợp lệ (authentication) và sử dụng cơ sở dữ liệu tập
trung Active Directory để kiểm tra xem mailbox mà user muốn đăng
nhập vào nằm trên back-end server nào. Sau đó front-end server sẽ
chuyển tín hiệu request của user tới back-end server. Và cuối cùng
back-end server sẽ gửi tín hiệu trả lời cho user thông qua Front-end
server.
- Các giao thức POP3 và IMAP được sử dụng cho việc nhận mail,
SMTP phải được cấu hình trên Front-end Server ,do đó các máy tram
có thể gửi mail. SMTP chạy trên Front-end Server chỉ đóng vai trò
chuyển mail (relay) chứ không phải mail được gửi xuất phát từ server
này.
ISP IISP Inc. Trang 6/
- Từ Exchange 2003 trở đi, các user có thể truy cập mail của họ thông
qua giao diện Outlook Web Access (OWA). Có hai cách đăng nhập sử
dụng OWA:
+ Implicit Logon : đây là phương pháp dùng để đăng nhập mặc định
cho người dùng. Để đăng nhập,User sử dụng trình duyệt Internet và

đánh vào thao tác lệnh: https://<server>/exchange/
+ Explicit Logon: để đăng nhập bằng cách này, user phải đưa ra tài
khỏan username của mailbox cần đăng nhập ngay tứ đầu:
https://<server>/exchange/<username>/
ISP IISP Inc. Trang 7/
2.2. H ệ th ố ng cân b ằ ng t ả i cho máy ch ủ Email
- Theo như số liệu chúng tôi nhận được, công ty hiện có khoảng 6000
user và dự kiến trong tương lai, số lượng user sẽ tăng lên rất nhiều.Do
đó, để đảm bảo sự hoạt động ổn định của hệ thống mạng, máy chủ
Front-End Exchange không bị quá tải khi cùng lúc đáp ứng quá nhiều
yêu cầu gửi đến. Chúng tôi đưa ra giải pháp Network Load Balancing
(NLB) ,cụ thể là chúng ta sẽ sử dụng hai đến ba máy chủ Front-End
chay song song để cân bằng tải các yêu cầu (request) gửi đến.
+ NLB có thể cân bằng tải tất cả các ứng dụng ,dịch vụ chạy trên nền
giao thức chuẩn TCP/IP.
+ Các nodes trong hệ thống cluster cân bằng tải sử dụng một địa chỉ
IP ảo duy nhất.
ISP IISP Inc. Trang 8/

+ Khi các yêu cầu (request) đến từ client, các request này sẽ được phân
chia đều cho các node trong cluster, do đó việc chuyển và phân chia tải
đến mỗi node sẽ giảm, tức là giảm nguy cơ quá tải cho hệ thống Front-
End Exchange

- Nhóm các server back-end chúng tôi sẽ xử dụng mô hình Clustering
để quản lý tòan bộ database về các mailbox của người dùng hệ thống,
nó cũng giống như một hệ thống datacenter để chống sự sụp đổ và
ISP IISP Inc. Trang 9/
cân bằng tải khi hệ thống tiếp nhận quá nhiều các yêu cầu giải quyết
email của người dùng.

+ Khi hoạt động ở chế độ cluster, hệ thống cũng cần thoả mãn các
yêu cầu sau: máy chủ mail phải sử dụng Exchange 2003 EnterPrise
Edition và được chạy trên các hệ điều hành như Windows Server 2003
EnterPrise Edition, hoặc Windows Server 2003 DataCenter Edition.
Khi đó sẽ cho phép thiết lập được nhiều Node hơn, và với số lượng từ
2 đến 4 node trong cluster mà chúng tôi đã đưa vào cho hệ thống này,
hòan tòan có thể đáp ứng được nhu cầu mail của quý công ty, và sự
hoạt động này luôn đảm bảo với độ ổn định và an tòan cao.
+ Các ổ đĩa chia sẽ (shared disks) phải thoả mãn những yêu cầu
sau đây:
. Phải được cấu hình ở trạng thái là Basic Disks
. Được định dạng hệ thống quản lý file là NTFS
. Các nodes trong cluster phải có khả năng truy nhập đến các ổ
đĩa chia sẻ.
.Để đảm bảo có thể khôi phục lại dữ liệu,các ổ đĩa được cấu
hình hoạt động ở chế độ RAID0, RAID1 hay RAID5. Và cao cấp hơn,
sử dụng trong mô hình dành cho số lượng user lớn và tăng vọt sau
này, đối với hệ thống lưu trữ, chúng tôi khuyến cáo là nên sử dụng các
hệ thống lưu trữ lớn nằm ở phía ngòai, đó là các hệ thống SAN
(Storage Access Network)
- Trên đây là các giải pháp mail Exchange đã được áp dụng rất hiệu quả
trong các công ty lớn ở Việt Nam cũng như trên thế giới như :
FPT,VDC,Newhorizons…Tuy nhiên để triển khai được, trước tiên
chúng ta phải xây dựng một hạ tầng mạng chạy ổn định sử dụng các
thiết bị kết nối làm việc ở tầng thấp như Router, Switch, Firewall hay
IDS/IPS của Cisco hoặc của các hãng khác, và các dịch vụ hỗ trợ cho
hệ thống email Exchange khác như DC,DNS,DHCP v.v……
+ Hạ tầng phần cứng công ty đã xây dựng sẵn và đã hoạt động ổn
định , tuy nhiên để đảm bảo dù ngồi ở bất cứ vị trí nào trong công ty,
chúng ta đều có thể vào internet được. Do đó, chúng ta nên xây dựng

thêm hệ thống mạng không dây (Wireless) thông qua sử dụng các thiết
bị Access Point của Cisco.
+ Domain Controller (DC) là máy tinh dùng để chứa cơ sở dữ liệu
Active Directory (AD) , là thành phần quan trọng nhất cho phép chúng
ta quản lý và bảo mật tập trung tài nguyên và đối tượng hệ thống, tài
ISP IISP Inc. Trang 10/
khỏan người dùng (account), và các đối tượng cũng như dịch vụ khác
của hệ thống. Để đảm bảo tính sẵn sàng cao của hệ thống chúng ta
nên xây dưng thêm một Backup DC. DC và BDC thường xuyên đồng
bộ, sao chép tài nguyên của nhau , khi một trong hai DC bi lỗi thì ngay
lập tức chúng ta sẽ thay thế DC lỗi bởi BDC do đó đảm bảo hệ thống
vẫn hoạt động bình thường.
+ Domain Name System (DNS) là dịch vụ giúp cho việc giải quyết các
truy vấn tên(name ) thành địa chỉ IP và ngược lại . Khi chúng ta đã xây
dựng DNS server ,để truy cập đến một máy tính hay website thì chúng
ta không phải nhớ địa chỉ IP của máy tính hay website đấy. Mà ta chỉ
cần nhớ tên máy hay tên website và nhờ có DNS server sẽ giúp
chuyển đổi từ tên sang IP cho chúng ta, do đó ta có thể truy cập thành
công. Qua đó, dịch vụ này càng không thể thiếu được với mô hình
quản trị tập trung AD và hệ thống mail server mà đang được áp dụng
cho hệ thống của BĐHN.
+DHCP là dịch vụ cung cấp địa chỉ IP tự động cho toàn bộ hệ thống
các máy trạm.

2.3. Gi ả i pháp b ả o m ậ t cho h ệ th ố ng công ty :
BĐHN là một bưu điện trung tâm lớn. do đó chúng tôi nghĩ vấn đề bảo mật
thông tin cực kỳ quan trọng, nhất là chúng ta đang phải triển khai một mô hình
email, mà đây lại là một dịch vụ khá nhạy cảm trong hệ thống . Chúng tôi xin
phép đề xuất một số giải pháp bảo mật mà chúng tôi đã triên khai và đã đạt
hiệu quả cao.

Trước tiên, chúng ta hãy thực thi bảo mật bằng cách tối ưu hoá các dịch
vụ trên hệ thống, tắt các dịch vụ không dùng hay không cần thiết, tối ưu hoá
chính sách tài khoản cho các user,bắt user phải đặt user,password phải thoả
mãn độ phức tạp nhất định…để triển khai các chính sách trên một cách đồng
loạt cùng lúc trên toàn hệ thống người ta sử dụng Group Policy
Thứ hai , bảo mật thông qua sử dụng tường lửa FireWall (ISA của
Microsoft hay Firewall cứng là PIX Firewall của Cisco), phần mềm phát hiện
xâm nhập (dùng các sản phẩm phần cứng hay phần mềm),chương trình quét
và tiêu diệt các đoạn mã nguy hiểm (Virus,Spy Ware,Trorjan…) của các hãng
nổi tiếng trên thế giới như : Symantec,Trend-micro…
ISP IISP Inc. Trang 11/
2.4. Tối ưu hoá chính sách nhóm Group Policy :
Chính sách của người quản trị đặt ra cho các đối tượng trong hệ thống, thì
thứ tự áp của nó sẽ trôi từ trên xuống theo cấp độ Site  Domain  OUs.
Và tùy theo từng cấp độ , chúng ta có thể cấu hình các chính sách sao cho
phù hợp với yêu cầu và quy mô của công ty, và đây là những cấu hình Group
Policy thao khảo dành cho BĐHN :
• Cấp độ Domain:
Cấu hình Giá trị cho cấu hình
• Remembered passwords • 24
• Maximum password age • 42 days
• Minimum password age • 2 days
• Minimum password length • 10 characters
• Passwords must meet complexity
requirements
• Enabled
• Account lockout threshold • 5 invalid logon attempts
• Account lockout duration • 30 minutes
• Reset account lockout counter after • 30 minutes
o Bảng 1. Group Policy Settings dành cho cấp độ Domain

• Cấp độ những OU nhóm các hệ thống máy chủ (Servers OU):
Cấu hình Giá trị cho cấu hình
• Security auditing • Enabled
• Allow local logon • Administrators
ISP IISP Inc. Trang 12/
Cấu hình Giá trị cho cấu hình
• Guest account status • Disabled
• Interactive logon: Do not display last user
name
• Enabled
• Network access: Do not allow anonymous
enumeration of SAM accounts and shares
• Enabled
• Shutdown: Allow system to be shut down
without having to log on
• Disabled
• Automatic Updates • Automatic download and
notification for install
• Automatically publish new printers in Active
Directory
• Enabled
• Password protect the screen saver • Enabled
o Bảng 2. Group Policy Settings dành cho Servers OU
• Cấp độ OU dành cho việc nhóm các máy tính người dùng trong hệ thống:
Cấu hình Giá trị cho cấu hình
• Interactive logon: Do not display last user
name
• Enabled
• Interactive logon: Display logon message • Enabled
• Network access: Do not allow anonymous

enumeration of SAM accounts and shares
• Enabled
• FTP publishing service • Disabled
• Messenger service • Disabled
• World Wide Web publishing service • Disabled
• Automatic Updates • Automatically download and
install
• Windows Firewall • Disabled for Windows® XP
with Service Pack 1 (SP1) and
earlier.
• Enabled, with specific
exceptions, for Windows XP
with SP2 and later.
o Bảng 3. Group Policy Settings dành cho Computers OU
2.5. Giải pháp bảo mật bằng FireWall, IDS/IPS :
ISP IISP Inc. Trang 13/
- Với mô hình này, để tăng cường khả năng bảo mật, chúng tôi đưa vào
hai tường lửa chính của mô hình. Máy chủ mail Front-end của chúng
tôi sẽ nằm ở giữa hai tuờng lửa này. Lý do khi đưa vào thêm tường
lửa thứ hai để phòng ngừa trường hợp một kẻ tấn công nào đó lỡ như
thỏa hiệp được với máy chủ Front-end cũng sẽ ngần ngại khi phải đi
qua tiếp tường lửa thứ hai để đến được hệ thống back-end nằm đằng
sau. Qua khảo sát chúng tôi thấy, công ty hiện giờ đang có một PIX
FireWall của Cisco đặt phía ngoài nhằm bảo vệ kết nối internet của hệ
thống. Đây là một trong những firewall hàng đầu với khả năng hoạt
động rất ổn định và hiệu quả lọc gói tin cao.
Để nâng cao tính năng bảo mật trên toàn hệ thống chúng tôi thiết nghĩ
nên đặt them một firewall nữa đăt phía trong để bảo vệ cho vùng
internal chứa nhiều tàinguyên quan trọng. Để giảm chi phí đầu tư
Firewall phía trong chúng ta chỉ cần dùng firewall mềm của một hãng

rất nổi tiếng là ISA của Microsoft . Hiện giờ ISA cũng được sử dụng rất
nhiều ở các công ty lớn và cho hiệu quả cao.
ISP IISP Inc. Trang 14/
Trên cả hai firewall chúng ta chỉ cung cấp và mở các cổng tương ứng
với các dịch vụ cần thiết cho người dung.Những gì không cần thiết,
chúng ta phải đóng và tắt hết các cổng.
Sau đây là những chính sách khuyến cáo được thiết lập tại tường lửa
mặt ngòai:
Application Ports Direction
Web Service TCP – 80 Both
Web Service (Secured) TCP – 443 Both
E-mail Service TCP – 25 Both
VPN PPTP TCP – 1723, Protocol 47 Both
VPN L2TP UDP – 1701 Both
VPN IPSec 500, protocol 50 & 51 Both
NTP UDP - 123 Outgoing from internal network
DNS UDP - 53 Outgoing from internal network
FTP TCP – 20, 21 Both
RDP TCP - 3389 Both
Tường lửa bên trong, chúng tôi có thể đưa ra những chính sách sau
đây:
Protocol/Port From To Users Authenticati
on
Permissi
on
DNS
(UDP, 53)
Main and
branch offices
Internet DNS

server
Internal DNS server
(used by internal main
office systems, VPN
clients, and branch office
systems
No Allow
HTTP
(TCP, 80)
Main and
branch offices
Internet Internal users Yes Allow
HTTPS
(TCP, 443)
Internet Microsoft
Windows®
SharePoint
Services and
TSWeb based
terminal
services in the
main office
Home and mobile users
and business partners
Yes Allow
HTTPS Main and
branch offices
Internet Internal users in the main
office and branch offices
No Allow

ISP IISP Inc. Trang 15/
Protocol/Port From To Users Authenticati
on
Permissi
on
(TCP, 443)
FTP
(TCP, 21)
Main and
branch offices
Internet Employees No Allow
SMTP
(TCP, 25)
Internal SMTP
server
Internet SMTP
servers
Internal and Internet
SMTP servers
No Allow
SMTP
(TCP, 25)
Internet SMTP
servers
Internal SMTP
server
Internal and Internet
SMTP servers
No Allow
E-mail access

using OWA
and HTTPS
(TCP, 445)
Internet Internal e-mail
server in the
main office
Home and mobile users Yes Allow
VPN clients
using PPTP
(TCP, 1723)
and IP
Protocol 47
Internet Main office Home and mobile users
and business partners
Yes Allow
VPN clients
using PPTP
(TCP, 1723)
and IP
Protocol 47
Internal
network
Internet Home and mobile VPN
client users
No Allow
IPSec VPN
tunnel
(UDP, 500)
and IP
Protocol 50 &

51)
Branch offices Main office Users in branch offices No Allow
NTP
(UDP, 123)
Internal
domain
controllers
Internet based
time servers
Internal domain
controllers
No Allow
RDP Terminal
Services
(TCP, 3389)
Internet Internal
Terminal
Server
Employees Yes Allow
All other traffic Anywhere Anywhere Any Not
applicable
Deny

- IDS/IPS: là hệ thống phát hiện xâm nhập và hệ thống bảo vệ xâm
nhập . IDS/IPS có thể được xây dựng trên các sản phẩm phần cứng
như của Cisco , cũng như cũng có thể thực hiện trên các sản phẩm
phần mềm.
Gồm có ba thành phần chính:
ISP IISP Inc. Trang 16/
+ Sensor : là bộ cảm biến, dùng để thu thâp các thông tin về lưu lượng

đi qua nó sau đó chuyển lưu lượng đó đến bộ phân tích để đưa ra phân tích
xem có dấu hiệu xâm nhập hay không.
+ Analyst : nhận biết các dấu hiệu xâm nhập thông qua hệ thống các
signatures. Tại đây không thực hiện khóa (block) hay cho phép (permit) gói tin
mà nó được thực hiện thông qua thành phần khác . Sau khi phát hiên lưu
lượng có dấu hiện tấn công, thông tin lưu lượng sẽ được bộ analyst chuyển
đến firewall để khóa (block) lưu lượng này.
+ FireWall : lưu lượng có dấu hiệu tấn công sẽ được chuyến đến
firewall để xử lý .
2.6. Giải pháp bảo mật bằng An'-Virus :
- Virus là các đoạn mã chương trình độc hại, được viết ra để phá huỷ hệ
thống, dữ liệu, ảnh hưởng đến sự hoạt động bình thường của hệ
thống và thực hiện các hoạt động bất hợp pháp khác. Do đó được bảo
vệ trước các đoạn mã nguy hiểm là một phần quan trọng trong chính
sách bảo mật của công ty, và thành phần nhạy cảm nhất là hệ thống
thư điện tử.
- Phần mềm Anti-virus là chương trình quan trọng và được triển khai
trên mạng ở các vị trí chính như: FireWall, GateWay, Server, Client.
Một trong những giải pháp mà chúng tôi thường cung cấp cho khách
hàng khác cũng có hạ tầng email lớn và nhiều site, tương tự như mô
hình của BĐHN, kết quả thực tế cho thấy khi sử dụng sản phẩm
Email-Scanning của hãng Trend-Micro, hệ thống máy chủ mail chạy rất
ổn định và việc phòng chống virus trong hệ thống diễn ra rất suông sẻ
và đảm bảo.
ISP IISP Inc. Trang 17/
Mô hình Anti-virus tổng quan cho BĐHN
Ở các vị trí khác nhau thì chương trình này cũng đóng các vai trò khác
nhau như :
+ FireWall,GateWay :có nhiệm vụ ngăn chặn sự lây nhiễm của virus
từ internet vào hệ thống mạng bên trong

. Nó sẽ thực hiện quét các lưu lượng mạng đi qua để kiểm
tra,phát hiện và tiêu diệt các đoạn mã chương trình nguy hiểm
. Quét các dịch vụ nhất định như e-mail để xác định xem có virus
hay không sau đó mới quyết định forward e-mail đó vào mail server
bên trong để cuối cùng phân phối đến các máy trạm.
+ Server: Phần mềm Anti-Virus được chạy trực tiếp trên các server
. Ngăn server không bi ảnh hưởng bởi virus
. Đảm bảo các chức năng trên server vẫn hoạt động bình thường
. Thực hiện quét các tài nguyên chia sẻ và database của
Exchange server
+ Client: chạy trực tiếp trên các máy trạm để đảm bảo nó không bi
ảnh bởi virus
ISP IISP Inc. Trang 18/
3. Kết Luận:
Thông qua việc giới thiệu và phân tích mô hình trên, chúng tôi cam đoan rằng
hệ thống email của quý công ty sẽ họat động ổn định và mang tính chất bảo mật
cao. Hiện trạng về các tên miền mà BĐHN hiện có, sau này sử dụng cho hệ thống
mail sẽ không ảnh hưởng đến bất cứ điều gì để phải thay đổi lại cấu trúc. Rất
mong nhận được thông tin và đóng góp ý kiến của quý công ty để qua đó chúng
tôi có thể hiệu chỉnh phù hợp hơn với mô hình mà quý công ty đang có .
ISP IISP Inc. Trang 19/