Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com]
Upcoming SlideShare
Loading in...5
×
 

Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com]

on

  • 2,534 views

 

Statistics

Views

Total Views
2,534
Views on SlideShare
2,534
Embed Views
0

Actions

Likes
1
Downloads
146
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com] Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com] Document Transcript

  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETHướng dẫn cài đặt và cấu hình ISA Server Firewall 2004CHƯƠNG 1HƯỚNG DẪN SỬ DỤNGCHƯƠNG 2CÀI ĐẶT CERTIFICATE SERVICESCHƯƠNG 3CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT INTERNET AUTHENTICATION SERVICECHƯƠNG 4CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT DHCP VÀ WINS SERVER SERVICESTrang 1 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCHƯƠNG 5CẤU HÌNH DNS VÀ DHCP HỖ TRỢ CHO WEBPROXY VÀ FIREWALL CLIENTTÍNH NĂNG AUTODISCOVERYCHƯƠNG 6CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER VỚI CHỨC NĂNG CACHING-ONLY TRÊNPERIMETER NETWORK SEGMENTCHƯƠNG 7CÀI ĐẶT ISA SERVER 2004 TRÊN WINDOWS SERVER 2003CHƯƠNG 8BACKUP VA PHỤC HỒI CẤU HÌNH CỦA FIREWALLCHƯƠNG 9ĐƠN GIẢN HÓA CẤU HÌNH NETWORK VỚI CÁC MÔ HÌNH MẪU NETWORKTEMPLATESCHƯƠNG 10CẤU HÌNH CÁC LOẠI ISA SERVER CLIENTS: SECURENAT, FIREWALL VÀ WEBPROXY CLIENTSCHƯƠNG 11CẤU HÌNH ISA SERVER 2004 ACCESS POLICYCHƯƠNG 12PUBLISH CÁC SERVICES WEB, FTP TRÊN PERIMETER NETWORKCHƯƠNG 13CẤU HÌNH FIREWALL VỚI VAI TRÒ MỘT FILTERING SMTP RELAYCHƯƠNG 14PUBLISH EXCHANGE OUTLOOK WEB ACCESS, SMTP SERVER, VÀ POP3SERVER SITESCHƯƠNG 15CẤU HÌNH ISA SERVER 2004 VỚI VAI TRÒ MỘT VPN SERVERCHƯƠNG 16TẠO MỘT SITE-TO-SITE VPN VỚI ISA SERVER 2004 FIREWALLSGiới thiệu:Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ khôngcòn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thôngTrang 2 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETtin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôiđộng, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đãđược xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứngdụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gâymột số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụngnó. Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhĩ ?!nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảmbớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?!..”” . Không đâu xa nhữngnước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trongkhu vực và đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứngdụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉsản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Và họcũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sángtạo từ các “vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” củaBill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thôngtin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượngđược săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốcgia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”. Cần có nhữnghệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem nhữngthông tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong thế kỉ 21dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt động, chomọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý không còn tồn tại,dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất.Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu chí hàngđầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện mộtdoanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốncó được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu.Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thốngthông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phầnduy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúngta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuầntúy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ vớikhách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồisau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm,phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngạihàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet,etc..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủmạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó. Ai tạo ra bứctường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm nhập?! Xin thưa rằngtrước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong mộttổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuốicùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Đó là các Firewall,từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall cókhả năng bảo vệ toàn hệ thống Mạng của một tổ chức. Và Microsoft ISA SERVERTrang 3 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2004 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậyđể bảo vệ an toàn cho các hệ thống thông tin.Ho Viet HaOwner Network Information Security Vietnam, Inc.http://nis.com.vnsecurityconsultant@Nis.com.vnChương 1: Triển khai cơ sở hạ tầng Mạng với những dịch vụ cầnthiếtCuốn sách được trình bày theo thực tiển triển khai ISA SERVER 2004 trong mô hìnhMạng của một tổ chức. Nội dung của sách gói gọn trong các vấn đề cấu hình hệthống ISA SERVER 2004 trở thành một Firewall mạnh mà vẫn đáp ứng được các yêucầu sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịchvụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập cácdịch vụ bên trong Mạng tổ chức.Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạpnhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử tháchcho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các NetworkServices để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhấtthiết phải trở thành một chuyên gia về hạ tầng Mạng (network infrastructure ) mớicó thể sử dụng được ISA SERVER 2004 như một Network Firewall.Chương này sẽ mô tả các vấn đề sau:• Giúp bạn hiểu các tính năng có mặt trên ISA Server 2004• Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server 2004firewall• Mô tả chi tiết thực hành triển khai (ISA SERVER 2004 Lab Configuration)Hiểu các tính năng trên ISA Server 2004ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngoàilẫn kiểm soát các truy cập từ bên trong Mạng nội bộ của một tổ chức. ISA Server2004 firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phépqua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Cómột quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall,sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kìquy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bịFirewall chặn lại.Trang 4 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETISA Server 2004 firewall chứa nhiều tính năng mà các Security Admin có thể dùng đểđảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tàinguyên trong Mạng nội bộ. Cuốn sách cung cấp cho các Security Admin hiểu đượcnhững khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trênISA SERVER 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps)Firewalls không làm việc trong một môi trường “chân không”, vì đơn giản là chúng tatriển khai Firewall để bảo vệ một cái gì đó, có thể là một PC, một Server hay cả mộthệ thống Mạng với nhiều dịch vụ được triển khai như Web, Mail, Database….Chúng ta sẽ có một hướng dẫn đầy đủ về việc triển khai các dịch vụ cần thiết chohoạt động mạng của một tổ chức. cách thức cài đặt và cấu hình những dịch vụ nàynhư thế nào. Và điều tối quan trọng là Mạng và các dịch vụ phải được cấu hình đúngcách trước khi triển khai firewall. Điều này giúp chúng ta tránh được những vấn đềphiền toái nảy sinh khi triển khai ISA SERVER 2004.Các Network Services và những tính năng trên ISA SERVER 2004 sẽ được cài đặt vàcấu hình gồm:• Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp các chứng thưkĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên Mạng)• Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) dịch vụxác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-uphoặc VPN)• Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp các xác lập TCP/IPcho các node trên Mạng) và WINS Services (dịch vụ cung cấp giải pháp truy vấnNETBIOS name của các Computer trên Mạng)• Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng autodiscovery (tự độngkhám phá)) và autoconfiguration (tự động cấu hình) cho Web Proxy và Firewallclients. Rất thuận lợi cho các ISA Clients (Web và Firewall clients) trong một tổ chứckhi họ phải mang Computer từ một Network (có một ISA SERVER) đến Network khác(có ISA SERVER khác) mà vẫn tự động phát hiện và làm việc được với Web ProxyService và Firewall Service trên ISA SERVER này .• Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa cácServer cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũngtách biệt với LAN)• Cài đặt ISA Server 2004 firewall software• Back up và phục hồi thông tin cấu hình của ISA Server 2004 firewall• Dùng các mô hình mẫu của ISA Server 2004 (ISA Server 2004 Network Templates)để cấu hình Firewall• Cấu hình các loại ISA Server 2004 clients• Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall• Publish Web Server trên một Perimeter network• Dùng ISA Server 2004 firewall đóng vai trò một Spam filtering SMTP relay (trạmtrung chuyển e-mails, có chức năng ngăn chặn Spam mails)• Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác củaMicrosoft, tương tự Lotus Notes của IBM)• Cấu hình ISA Server 2004 firewall đóng vai trò một VPN server• Tạo kết nối VPN theo kiểu site to site giữa hai NetworksTrang 5 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrước khi thực hành cấu hình ISA Server 2004 firewall, phải nhận thức rõ ràng : Đâylà một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hìnhlỗi sẽ tạo điều kiện cho các cuộc xâm nhập Mạng. Với những lý do này, điều quantrọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảmbảo an toàn cho việc truy cập Internet .Với cấu hình mặc định của mình ISA SERVER 2004 ngăn chặn tất cả lưu thông vào,ra qua firewall.Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngaytừ đầu khi vận hành ISA SERVER. Và sau đó để đáp ứng các yếu cầu hợp pháp truycập các dịch vụ khác nhau của Internet (ví dụ như web, mail, chat, download, gameonline v.vv..), Security Admin sẽ cấu hình để ISA SERVER 2004 có thể đáp ứng cácyêu cầu được phép trênCác Securty Admin luôn được khuyến cáo: Hãy tạo các cuộc kiểm tra cấu hình ISASERVER 2004 trong phòng Lab, trước khi đem các cấu hình này áp dụng thực tế.Chúng ta sẽ được hướng dẫn cấu hình ISA Server 2004 firewall đúng cách, chính xácthông qua giao diện làm việc rất gần gủi của ISA SERVER 2004. Có thể có những sailầm khi thực hiện Lab, nhưng các Admin không qua lo lắng vì chắc rằng các attackerskhông thể lợi dụng những lỗ hỗng này (trừ khi Lab Network được kết nối vớiInternet..). Trên Lab điều quan trọng nhất là hiểu đúng các thông số đã cấu hình,cho phép sai phạm và các Admin rút ra kinh ghiệm từ chính những “mistakes” này.LAB hướng dẫn cấu hình ISA SERVER 2004 FirewallChúng ta sẽ dùng một Network Lab để mô tả những khả năng và những nét đặctrưng của ISA SERVER 2004. Các Admin khi thực hành nên xây dựng một Test Labtương tự như mô hình chỉ ra dưới đây (tất cả các thông số sử dụng). Nếu cácSecurity Admin không có đủ các thiết bị thật như Test Lab này, có thể dùng mô hìnhgiả lập, đến từ các Virtual Software nhưMicrosoft’s Virtual PC software (hoặc VMWare) để tạo mô hình Lab ảo.Xem thêm về Virtual PC tại Website:http://www.microsoft.com/windowsxp/virtualpc/Trong phần này, chúng ta sẽ xem xét:• Hướng dẫn cấu hình Network cho ISA Server 2004• Cài đặt Windows Server 2003 , và sau đó nâng Computer này lên (dcpromo) thànhmột Domain controller (máy chủ kiểm soát toàn hoạt động của Domain)• Cài đặt Exchange Server 2003 trên Domain controller này và cấu hình thành mộtOutlookWeb Access Site dùng phương thức xác thực cơ bản (Basic authentication)Sơ đồ Mạng triển khai ISA Server 2004Trang 6 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET Đây là mô tả của Lab network. Có 7 Computers trên lab network nàyTuy nhiên Network Lab không yêu cầu cả 7 Computers này chạy cùng một thời điểmĐiều này tạo điều kiện dễ dàng cho Lab đặc biệt là Lab ảo.Mô hình Mạng của tổ chức này có một Local network (Mạng cục bộ-LAN) và mộtRemote network (Mạng ở xa). Mỗi Mạng có một ISA SERVER 2004 chắn phía trướcđóng vai trò Firewall. Tất cả các Computers trên Local network đều là thành viên củaDomain msfirewall.org, và domain này bao gồm luôn cả ISA Server 2004 firewallcomputer. Tất cả các Computers còn lại không là thành viên của Domain này.Trên lab network, Card mạng ngoài (External interfaces) của các ISA Server 2004firewalls có kết nối cho phép truy cập Internet. Các Admin nên tạo các thông số cấuhình giống nhau để có thể Test các kết nối thực sự đến Internet từ phía Clients nằmsau ISA Server 2004 firewalls.Nếu chúng ta dùng phần mềm giả lập thì lưu ý rằng, chúng ta phải set-up đến 3Virtual networks trên Test Lab. Đó là các Vitual networks: Domain Controller nằmtrên Internal Network, TRIHOMELAN1 Computer nằm trên Perimeter networkvà REMOTECLIENT virtual network thứ ba.Lưu ý với Lab ảo: Chắc chắn một điều là trên các Virtual networks này bố trí cácComputers trên các Virtual Switches khác nhau, để ngăn chặn các thông tin trànngập theo kiểu Ethernet broadcast traffic, điều này có thể gây nên những kết quảkhông mong muốn trên Lab ảo..Trang 7 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCài đặt và cấu hình Domain Controller trên Internal NetworkMột Computer khác hơn so với ISA Server 2004 firewall computer, có quyền lực quảntrị toàn Domain nội bộ đó là Domain Controller . Microsoft xây dựng mô hình Domaindưới sự kiểm soát của Active Directory Service và Domain Controller là công cụ kiểmsoát Domain đó. (quản lý tất cả các Clients và Servers cung cấp dịch vụ trongDomain như Web, Mail, Database server và kể cả ISA servers)Trong Lab này chúng ta sẽ cấu hình một Windows Server 2003 domain controller, vàtriển khai luôn các dịch vụ như: DNS, WINS, DHCP, RADIUS, Microsoft ExchangeServer 2003 trên chính Domain controller này.Các giai đoạn tiến hành:• Cài đặt Windows Server 2003• Cài đặt và cấu hình DNS serviceTrang 8 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Nâng Computer này lên thành Domain controllerCài đặt Windows Server 2003Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller1. Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer. Cho phép boot từ CD2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt.Nhấn Enter khi mà hình Welcome to Setup xuất hiện3. Đọc những điều khoản về License trên Windows Licensing Agreement , dùng phímPAGE DOWN để xem hết sau đó nhấn F8 để đồng ý với điều khoản4. Trên Windows Server 2003, bản cài đặt Standard Edition xuất hiện màn hình tạocác phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùng cho việccài đặt Hệ Điều hành. Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉ làm một Partition.Nhấn ENTER.5. Trên Windows Server 2003, màn hình Standard Edition Setup, chọn FormatPartition dùng hệ thống File NTFS. Nhấn ENTER.6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ítphút cho tiến trình này hoàn thành7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn thành 8. Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode). ClickNext trên trang Regional and Language Options9. Trên trang Personalize Your Software, điền Tên và Tổ chức của BạnVí dụ : Name Viet Ha.Ho Organization Network Information Security Vietnam10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có vàclick Next.11. Trên trang Licensing Modes chọn đúng option được áp dụng cho versionWindows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per serverlicensing, hãy đưa vào số connections mà bạn đã có License. Click Next.12. Trên trang Computer Name và Administrator Password điền tên củaComputer trong Computer Name text box. Theo các bước trong xây dựng Test Labnày, thì Domain controller/Exchange Server trên cùng Server và có tên làEXCHANGE2003BE, tên này được điền vào Computer Name text box. Điền tiếpvào mục Administrator password và xác nhận lại password tại mục Confirmpassword (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũngkhông thể log-on vào Server cho các hoạt động tiếp theo). Click Next.13. Trên trang Date and Time Settings pagexác lập chính xác Ngày, giờ và múi giờViệt Nam (nếu các bạn ở Việt Nam). Click Next.14. Trên trang Networking Settings, chọn Custom settings option.15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entrytrong Components và click Properties.16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông sốsau: IP address: 10.0.0.2. Subnet mask: 255.255.255.0.Trang 9 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của Internal Card trên ISA server). Preferred DNS server: 10.0.0.2.17. Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box.Trong Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab,click Add. Trong TCP/IP WINS Server dialog box, điền 10.0.0.2 và click Add.18. Click OK trong Advanced TCP/IP Settings dialog box.19. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.20. Click Next trên trang Networking Components.21. Chấp nhận lựa chọn mặc định môi trường Mạng là Workgroup (chúng ta sẽ tạomôi trường Domain sau, đưa máy này trở thành một Domain controller và cũng làthành viên của Domain (là một member server, vì trên Server này còn cài thêmnhiều Server Service khác ngoài Active Directory Service).Click Next.22. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại23. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đãtạo cho tài khoản Administrator trong quá trình Setup.24. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên checkvào Don’t display this page at logon checkbox và đóng cửa sổ Window lạiCài đặt và cấu hình DNSBước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính Computernày (EXCHANGE2003BE ). Điều này là cần thiết vì Active Directory Service hoạtđộng trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS serverservice phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí các record (A, PTR,SRV records v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computernày lên thành một Domain Controller, và DNS server này sẽ phục vụ cho toànDomain.Tiến hành các bước sau để cài đặt DNS server1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trong Windows Components, xem qua danh sách Components và clickNetworking Services entry. Click Details.4. Check vào Domain Name System (DNS) checkbox và click OK.5. Click Next trong Windows Components.6. Click Finish trên Completing the Windows Components Wizard.7. Đóng Add or Remove ProgramsDNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thểphục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward vàReverse lookup zones. Tiến hành các bước sau để cấu hình DNS server:1. Click Start và sau đó click Administrative Tools. Click DNS.2. Trong bảng làm việc của DNS (DNS console), mở rộng server name(EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones. Right click trênReverse Lookup Zones và click New Zone.3. Click Next trên Welcome to the New Zone Wizard.Trang 10 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trên Zone Type , chọn Primary zone option và click Next.5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter10.0.0 vào text box. Click Next.6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamicupdates option. Click Next.8. Click Finish trên Completing the New Zone Wizard page.Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ làDomain Controller.Tiến hành các bước sau1. Right click Forward Lookup Zone và click New Zone.2. Click Next trên Welcome to the New Zone Wizard page.3. trên Zone Type page, chọn Primary zone option và click Next.4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name textbox. Trong ví dụ này tên của zone là msfirewall.org, trùng với tên của Domain sẽtạo sau này. Đưa msfirewall.org vào text box. Click Next.5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamicupdates. Click Next.7. Click Finish trên Completing the New Zone Wizard page.8. Mở rộng Forward Lookup Zones và click vào msfirewall.org zone. Rightclick trên msfirewall.org và Click New Host (A).9. Trong New Host dialog box, điền vào chính xác EXCHANGE2003BE trongName (uses parent domain name if blank) text box. Trong IP address text box,điền vào 10.0.0.2. Check vào Create associated pointer (PTR) record checkbox.Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã đượctạo xong. Click Done trong New Host text box.10. Right click trên msfirewall.org forward lookup zone và click Properties.Click Name Servers tab. Click exchange2003be entry và click Edit.11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầyđủ của Domain controller computer là exchange2003be.msfirewall.org. ClickResolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list.Click OK.12. Click Apply và sau đó click OK trên msfirewall.org Properties dialog box.13. Right click trên DNS server name EXCHANGE2003BE , chọn All Tasks. ClickRestart.14. Close DNS console.Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controllertrong Domain msfirewall.orgTiến hành các bước sau để tạo Domain và nâng server này thành Domain Controllerđầu tiên của Domain (Primary Domain Controller)Cài đặt Primary Domain Controller1. Click Start và click Run .Trang 11 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.3. Click Next trên Welcome to the Active Directory Installation Wizard page.4. Click Next trên Operating System Compatibility page.5. Trên Domain Controller Type page, chọn Domain controller for a newdomain option và click Next.6. Trên Create New Domain page, chọn Domain in a new forest option và clickNext.7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)msfirewall.org text box và click Next.8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm supportcho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi cácClient này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc địnhTrong ví dụ này là MSFIREWALL. Click Next.9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và clickNext.10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và clickNext.11. Trên DNS Registration Diagnostics page, chọn I will correct the problemlater by configuring DNS manually (Advanced). Click Next.12. Trên Permissions page, chọn Permissions compatible only with Windows2000 or Windows Server 2003 operating system option. Click Next.13. Trên Directory Services Restore Mode Administrator Password page (chếđộ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chếđộ troubleshoot này bằng cach1 Restart Computer, chọn F8), điền vào RestoreMode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫnPassword ở chế độ này với Domain Administrator Password, điều khiển hoạt độngcủa DCs hoặc Domain). Click Next.14. Trên Summary page, click Next.15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active16. Click Finish trên Completing the Active Directory Installation Wizard page,hoàn thành việc cài đặt.17. Click Restart Now trên Active Directory Installation Wizard page.18. Log-on vào Domain Controller dùng tài khoản Administrator sau khi đã Restart.Cài đặt và cấu hình Microsoft Exchange trên Domain ControllerComputer đã sẵn sàng cho việc cài đặt Microsoft Exchange. Trong phần này chúngta sẽ tiến hành những bước sau:• Cài đặt các dịch vụ IIS World Wide Web, SMTP và NNTP services• Cài đặt Microsoft Exchange Server 2003• Cấu hình Outlook Web Access WebSiteTiến hành các bước sau để cài World Wide Web, SMTP và NNTP services:1. Click Start, chọn Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows ComponentsTrang 12 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trên Windows Components page, chọn Application Server entry trongComponents page. Click Details.4. Trong Application Server dialog box, check vào ASP.NET checkbox. ChọnInternet Information Services (IIS) entry và click Details.5. Trong Internet Information Services (IIS) dialog box, check vào NNTPService checkbox. Check tiếp SMTP Service checkbox. Click OK.6. Click OK trong Application Server dialog box.7. Click Next trên Windows Components page.8. Click OK vào Insert Disk dialog box.9. Trong Files Needed dialog box, đưa đường dẫn đến Folder I386 trên CD cài đặtWindows Server 2003 trong copy file từ text box. Click OK.10. Click Finish trên Completing the Windows Components Wizard page.11. Close Add or Remove Programs .Tiến hành các bước sau cài Microsoft Exchange:1. Đưa Exchange Server 2003 CD vào CD-ROM, trên autorun page, click ExchangeDeployment Tools link nằm dưới Deployment heading.2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploythe first Exchange 2003 server link.3. Trên Deploy the First Exchange 2003 Server page, click New Exchange2003 Installation link.4. Trên New Exchange 2003 Installation page, kéo xuống cuối trang.Click RunSetup now link.5. Trên Welcome to the Microsoft Exchange Installation Wizard page, clickNext.6. Trên License Agreement page, chọn I agree option và click Next.7. Chấp nhận các xác lập mặc định trên Component Selection page và click Next.8. Chọn Create a New Exchange Organization option trên Installation Typepagevà click Next.9. Chấp nhận tên mặc định trong Organization Name text box trên OrganizationName page, và click Next.10. Trên Licensing Agreement page, chọn I agree that I have read and will bebound by the license agreement for this product và click Next.11. Trên Installation Summary page, click Next.12. Trong Microsoft Exchange Installation Wizard dialog box, click OK.13. Click Finish trên on the Completing the Microsoft Exchange Wizard page khicài đặt hoàn thành.14. Đóng tất cả cửa sổ đang open.Exchange Server đã được cài đặt và giờ đây Admin có thể tạo các mailboxes choUsers. Bước kế tiếp là cấu hình Outlook Web Access site và chỉ dùng phương thứcxác thực duy nhất là Basic Authentication. Đối với các quản trị Mail Server thì đâylà một cấu hình quan trọng (nhưng tất nhiên không bắt buộc) khi muốn cho phéptruy cập từ xa (remote access) vào OWA site. Sau đó, chúng ta sẽ yêu cầu mộtTrang 13 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETWebsite Certificate (chứng thư số Website) cho OWA site và publish OWA sitedùng quy tắc Web Publishing Rule trên ISA Server, thông qua rule này, sẽ chophép remote users truy cập vào OWA site.Tiến hành các bước sau để cấu hình OWA site dùng phương thức xác thực duy nhấtBasic authentication:1. Click Start, chọn Administrative Tools. Click Internet Information Services(IIS) Manager.2. Trong Internet Information Services (IIS) Manager console, mở rộng servername, mở rộng WebSites node Và mở Default Web Site.3. Click trên Public node và sau đó right click. Click Properties.4. Trong Public Properties dialog box, click Directory Security tab.5. Trên Directory Security tab, click Edit trong khung Authentication and accesscontrol.6. Trong Authentication Methods dialog box, đảm bảo không check vào (remove)Integrated Windows authentication checkbox. Click OK.7. Click Apply và click OK.8. Click trên Exchange node và right click. Click Properties.9. Trên Exchange Properties dialog box, click Directory Security tab.10. Trên Directory Security tab, click Edit trong Authentication and accesscontrol11. Trong Authentication Methods dialog box, đảm bảo không check vào (remove)Integrated Windows authentication checkbox. Click OK.12. Click Apply, click OK trong Exchange Properties dialog box.13. Click trên ExchWeb node,sau đó right click. Click Properties.14. Trong ExchWeb Properties dialog box, click Directory Security tab.15. Trên Directory Security tab, click Edit trong khung Authentication andaccess control16. Trong Authentication Methods dialog box, không check (remove) vào Enableanonymous access checkbox. Sau đó check vào Basic authentication (chú ýdùng phương thức xác thực này, password được gửi đi dưới dạng clear text)checkbox. Click Yes trong IIS Manager dialog box và Admin nhận được thông báorằng password được gửi đi hoàn toàn không mã hóa (clear). Trong Default domaintext box, đưa vào tên Internal network domain, chính là MSFIREWALL. Click OK.17. Click Apply trong ExchWeb Properties dialog box. Click OK trong InheritanceOverrides dialog box. Click OK trong ExchWeb Properties dialog box.18. Right click Default Web Site và click Stop. Right click lại Default Web Site vàclick Start.Kết luận:Trong sách hướng dẫn cấu hình ISA Server 2004 này chúng ta đã thảo luận nhữngmục tiêu và những phương thức, để có thể nắm bắt triển khai và cấu hình ISA saocho hiệu quả nhất. Sách hướng dẫn cũng cung cấp cho các bạn phương pháp giảiquyết vấn đề theo từng bước cụ thể. Chương một này tập trung vào việc xây dựngmột cơ sở hạ tầng Mạng (Network Infrastructure) theo mô hình Microsoft ActiveDirectory Domain trên máy chủ Winndows server 2003 Domain Controller, và triểnTrang 14 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETkhai các dịch vụ khác liên quan đến hạ tầng Mạng như WINS, DNS, và các dịch vụgia tăng như Web, Mail.. Chương kế tiếp trình bày cách thức cài đặt một MicrosoftCertificate Services trên Domain Controller Computer.Trang 15 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 2: Cài đặt Certificate Services(Dịch vụ cung cấp chứng thư kĩ thuật số cho các giao dịch Mạng)Microsoft Certificate Services có thể được cài đặt trên Domain controller của internalnetwork và cung cấp các Certificates cho các Hosts trong Internal networkdomain, cũng như các Hosts không là thành viên của Internal network domain.Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cầnhoàn thành:• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPNprotocol, tạo liên kết site-to-site VPN.• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPNprotocol, tạo điều kiện cho VPN client thực hiện kết nối từ một Remote Location(site)• Cho phép remote users có thể truy cập đến Outlook Web Access site, phươngthức bảo mật mạnh SSL-to-SSL bridged connections.• Publish secure Exchange SMTP và POP3 services lên Internet Certificates chophép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là một giao thứclớp session (layer) có khả năng mã hóa dữ liệu truyền giữa client và server.SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote access đếncác Websites. Ngoài ra, certificates còn có thể được dùng để xác nhận các đối tượngtham gia các kết nối VPN , bao gồm VPN clients và VPN servers (phương pháp nàygọi là xác thực cả hai chiều- mutual Authentication)Trong phần này chúng ta sẽ đề cập đến các tiến trình sau:• Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate Authority’sWeb Enrollment ( nhận các Certificates từ CA server thông qua hình thức đăng kítrên CA’sWeb)• Cài đặt Microsoft Certificate Services ở chế độ Enterprise CACài đặt Internet Information Services 6.0Certificate Authority’s Web enrollment site sử dụng Internet InformationServices World Wide Publishing Service. Bởi vì chúng ta đã cài IIS Web services,trong chương 1 khi tiến hành cài Exchange 2003 hỗ trợ Outlook Web Access site, nênsẽ không cần cài lại IIS service. Tuy nhiên, bạn nên xác nhận lại WWW PublishingService đã được Enabled, trước khi tiến hành cài Enterprise CA.Thi hành các bước sau để xác nhận WWW Publishing Service đang chạy trên domaincontroller:1. Click Start chọn Administrative Tools. Click Services.2. Trong Services console, click Standard tab phía dưới. Kéo xuống danh sách vàdouble-click vào World Wide Web Publishing Service .3. Trong World Wide Web Publishing Server Properties dialog box, xác nhậnStartup type là Automatic, và trang thái vận hành của service là Started.Trang 16 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Cancel và đóng Services console.Như vậy WWW Publishing Service đã vận hành, bước tiếp theo là cài đặt EnterpriseCA software.Cài đặt Certificate Services ở chế độ Enterprise CAMicrosoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domaincontroller. Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược lại vớiStandalone mode) bao gồm:• Chứng thư gốc của CA (root CA certificate) được tự động đưa vào vùng lưu trữCertificate của Trusted Root Certification Authorities (certificate store) trên tấtcả các máy thành viên của Domain (domain member). Các Computer thành viên củaDomain khi dùng các giao dịch cần Certificates để nâng cao tính an toàn, có thể dễdàng tìm các nhà cung cấp hơp pháp- CA servers, trong Trusted Root CertificationAuthorities trên Computer của mình.• Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại RUN, typemmc, chọn File, Add/Remove snap-in, Add, chọn Certificates), và dễ dàngdùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites• Tất cả các Computer trong Domain có thể được phân chia Certificates đồng loạtthông qua tính năng Active Directory autoenrollment featureTrang 17 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETLưu ý rằng không nhất thiết phải cài CA ở Enterprise mode. Bạn có thể cài CA ở chếđộ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập standalonemode hoặc làm thế nào để xin cấp certificate từ một Standalone CATiến hành các bước sau để cài đặt Enterprise CA trên Domain ControllerEXCHANGE2003BE1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo danh sách xuống và check vàoCertificate Services checkbox. Click Yes trong Microsoft Certificate Servicesdialog box, thông báo rằng informing “you may not change the name of the machineor the machine’s domain membership while it is acting as a CA”. Như vậy là rất rõràng Bạn không thể thay đổi Computer Name hoặc thay đổi tư cách thành viênDomain của Computer này, sau khi đã cài CA service.Click Yes.4. Click Next trên Windows Components page.5. Trên CA Type page, chọn Enterprise root CA option và click Next.6. Trên CA Identifying Information page, điền tên cho CA server này trongCommon name của CA text box. Nên dùng tên dạng DNS host name của domaincontroller. Tham khảo về cấu hình DNS hỗ trợ ISA serverhttp://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htmTrang 18 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrong text box này các bạn điền vào NetBIOS name của domain controller làEXCHANGE2003BE. Click Next.7. Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish tooverwrite the existing key”, ghi đè lên các khóa đã tồn tại. Còn nếu bạn đã triển khaicác CA khác trên mạng có thể không nên overwrite các khóa hiện tại. Và nếu đây làCA đầu tiên, có thể chấp nhận overwrite the existing key. Trong ví dụ này chúng tatrước đó đã chưa cài CA trên Computer vì vậy không nhìn thấy dialog box thông báonhư trên8. Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định choCertificate Database và Certificate database log text boxes. Click Next.9. Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thôngbáo phải restart Internet Information Services. Click Yes để stop service. Servicesẽ được restart automatic.10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưađường dẫn đến I386 folder trong Copy file from text box và click OK.11. Click Finish trên Completing the Windows Components Wizard page.12. Đóng Add or Remove Programs.Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer kháctrong Domain thông qua autoenrollment, Certificates mmc snap-in, hoặc quaWeb enrollment site. Trong hướng dẫn cấu hình ISA Server 2004 này, chúng ta sẽcấp phát một Web site certificate cho OWA Web site và cũng cấp phát cácTrang 19 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETComputer certificates cho ISA Server 2004 firewall computer và cho cácexternal VPN client và VPN gateway (VPN router) machine.Kết luận:Trong phần này chúng ta đã thảo luận về việc dùng một CA- Certificate Authority vàlàm thế nào để cài đặt một Enterprise CA trên Domain controller trong internalnetwork. Và tiếp theo chúng ta sẽ dùng Enterprise CA để cấp Computer Certificatescho các VPN clients và servers, cũng cấp luôn một Web site certificate cho ExchangeServer’s Outlook Web Access Web site.Trang 20 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 3: Cài đặt và cấu hình Microsoft Internet AuthenticationServiceMicrosoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS(Remote Authentication Dial In User Service) server được dùng để xác thực Users kếtnối đến ISA Server 2004 firewall machine. Bạn có thể dùng IAS để xác thực các WebProxy clients trên Internal network hay VPN clients, VPN gateways đang tiến hànhkết nối từ một External network location (ví dụ như từ một văn Phòng chi nhánh củacông ty). Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượngnày kết nối đến các Web servers đã được published thông qua Web Publishing rulestrên ISA Server 2004Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SAServer 2004 firewall computer không cần phải là thành viên của Active DirectoryDomain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đangnằm trong Active Directory database thuộc Internal network. Nhiều Firewalladministrators khuyến cáo rằng không nên để Firewall Computer là thành viên trongDomain User. Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và quađó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vàoMạng nội bộ.Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 firewall làm thành viêncủa Internal network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client đểcung cấp các xác thực hợp pháp cho ISA server khi các Firewall Clients này truy cậpđến tất cả các giao thức TCP và UDP. Chính vì lý do này, chúng ta sẽ tạo một ISAServer 2004 firewall computer làm một thành viên của Internal Domain. Tuy nhiênnếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực cácVPN và Web Proxy clients.Các công việc tiếp theo sẽ là:Cài đặt và cấu hình Microsoft Internet Authentication ServiceMicrosoft Internet Authentication Service server là một RADIUS server. Chúng ta sẽsử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năngRADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức mộtRADIUS server xác thực PN clients như thế nào)Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trêndomain controller EXCHANGE2003BE thuộc Internal network:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xuống Components list và chọnNetworking Services entry. Click Details.4. Check vào Internet Authentication Service checkbox và click OK.Trang 21 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click Finish trên Completing the Windows Components Wizard page.7. Đóng Add or Remove ProgramsTiếp theo chúng ta sẽ cấu hình Internet Authentication ServiceCấu hình Microsoft Internet Authentication ServiceBạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004firewall computer. Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc vớiISA Server 2004 firewall. Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server.Tiến hành các bước sau với Domain controller trên Internal network để cấu hình IASserver:1. Click Start, Administrative Tools. Click Internet Authentication Service.2. Trong Internet Authentication Service console, mở rộng InternetAuthentication Service (Local) node. Right click trên RADIUS Clients node vàclick New RADIUS Client.Trang 22 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trên Name and Address page của New RADIUS Client wizard, điền vàoFriendly-name của ISA Server 2004 firewall computer trong Friendly name textbox. Đơn giản là tên này được dùng để xác định RADIUS client và không được sửdụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (làEXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004firewall computer trong Client address (IP or DNS) text box.Trang 23 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain namecủa ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box. ClickResolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trongIP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điềunày lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạotrong DNS server (chưa tạo record cho ISA server). Nếu trường hợp này xảy ra, bạncó thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được càiđặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface(10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) textbox thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Clientdialog box. Mục đích của các xác lập trong phần này là biến ISA SERVER 2004Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Clientmới có thể bắt tay cộng tác.5. Click Next trên Name and Address page của New RADIUS Client wizard.6. Trên Additional Information page của wizard, dùng default Client-Vendorentry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box vàxác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server vàRADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việcvới nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tựđặc biệt..). Check vào Request must contain the Message Authenticatorattribute check box. Click Finish.Trang 24 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console8. Đóng Internet Authentication Service console.Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó làRADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVERTrang 25 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từWeb và VPN client.Kết luận:Trong chương này chúng ta đã đề cập đến Microsoft Internet AuthenticationServer, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộcInternal network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùngIAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst củaWeb/VPN Clients) truy cập vào Web/VPN server.Trang 26 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 4: Cài đặt và cấu hình Microsoft DHCP và WINS ServerServicesWindows Internet Name Service (WINS) khi dịch vụ này được triển khai trongInternal Network Domain, nó sẽ phục vụ các Computer trong Mạng giải quyết để tìmNetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông quaWINS server để giải quyết được NetBIOS name của Computer B ở một Network khác(tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbiosnames trong Mạng nội bộ của tổ chức, tránh nhầm lẫn với cách giải quyết hostnamecủa DNS server- có khả năng giải quyết tên dạng FQDN (www.nis.com.vn) củaInternet hoặc Internal network Domain. Các bạn có thể tham khảo “ XÂY DỰNG HẠTẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành củatôi để hiểu rõ hơn về vai trò của một WINS server trong Mạng nội bộ.Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽđăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũngcó thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IPaddresses. Nếu trong Mạng nội bộ không có WINS Server, thì Windows clients sẽgửi các message dạng broadcast để tìm Netbios name của Computer muốn giaotiếp. Tuy nhiên, nếu các Computer này nằm tại một Mạng khác (với Network IDkhác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặcđịnh trên các Router). Như vậy trong mạng nội bộ của một tổ chức, gồm nhiềuNetwork Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBiosname của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng.WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trựctiếp kết nối đến Internal network, và như vậy không thể dùng broadcasts để giảiquyết NetBIOS names của các Computers bên trong Mạng nội bộ. (Trừ khi bạn dùngWindows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOSbroadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyếtNetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong MyNetwork Places của Internal Network.Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động cácthông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP serversẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER2004 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal network, ISAServer 2004 firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lạicho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trênDHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN ClientsNetwork.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPNClients) Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routingrelationships) cho các VPN Clients này truy nhập Mạng nội bộ có thể được cấu hìnhgiữa VPN Clients Network và các mạng nội bộ được xác định trong phân vùng LAT(Local Address Table) do ISA Server 2004 firewall quản lý.Trang 27 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services.Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCPscope options.Cài đặt WINS ServiceWindows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS namesra IP Addresses (đơn giản vì chúng ta đang dùng Mạng TCP/IP, mạng giao tiếp theosố- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp,vì tên dễ nhớ hơn số). Trong các mô hình Mạng mới ngày nay (ví dụ Mạng MicrosoftWindows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINSservice triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiênnhiều tổ chức muốn dùng My Network Places để có thể xác định các Server trênMạng. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các NetworkComputer dựa trên dịch vụ Windows Browser. Và Windows Browser service giảiquyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Networktriển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINSserver để thu thập thông tin về các Computers phân tán khắp các Segment củaMạng. Ngoài ra, WINS service cũng được yêu cầu triển khai khi các VPN clientsmuốn có được danh sách các Computers trong mạng nội bộ. Mục đích cài WINSserver trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browserservice cho các VPN clients.Tiến hành các bước sau để cài WINS:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xuống danh sách Components và chọnNetworking Services entry. Click Details.4. Trong Network Services dialog box, check vào Windows Internet NameService (WINS) check box. Check tiếp vào Dynamic Host ConfigurationProtocol (DHCP) check box. Click OK.Trang 28 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đườngdẫn đến I386 folder trong mục Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.8. Đóng Add or Remove Programs .WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức màkhông cần bất cứ cấu hình thêm nào. ISA Server 2004 firewall, Domain controller, vàcác Internal network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kívới WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)Cấu hình DHCP ServiceDynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự động cácthông số liên quan đến IP Address cho Internal network clients và VPN clients. TrongLab này, mục đích chính của DHCP server là cấp phát các thông số IP address choMạng VPN clients. Lưu ý rằng, trong mô hình Mạng thực tế của các tổ chức, nên cấuhình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh.(tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers,hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chiphí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO..)DHCP server service đã được cài đặt theo những thủ tục đưa ra tại chương 1. Bướckế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo cácthông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp chocác DHCP Clients.Tiến hành các bước sau để cấu hình một DHCP scope:Trang 29 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Click Start, Administrative Tools. Click DHCP.2. Trên DHCP console, right click trên server name và click Authorize (xác nhậnDHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP serverkhông được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sangXanh lá cây, và DHCP đã hoạt động4. Right click trên server name, click New Scope.5. Click Next trên Welcome to the New Scope Wizard page.6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tinmô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope làscope 1 và không mô tả trong Description. Click Next.7. Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP addressvà một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính làTrang 30 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETvùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này,chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấuhình ISA Server 2004 firewall cho phép các VPN clients thực hiện đồng thời 10 VPNconnections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPNClients. ISA Server 2004 firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từDHCP server, nếu thực sự điều đó là cần thiết. Tiếp theo chúng ta sẽ đưa thông sốsubnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng taxác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thayđổi sau khi bạn đã điền giá trị vào Length.Click Next.8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhucầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sửdụng cố định trên Network cho các thiết bị như Routers, Network Printers..), trênAdd Exclusions page. Click Next.9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại LeaseDuration page. Click Next.10. Trên Configure DHCP Options page, chọn Yes, I want to configure theseoptions now option và click Next.11. Trên Router (Default Gateway) page, điền vào IP address của internalinterface (10.0.0.1) trên ISA Server 2004 firewall computer trong IP address textbox và click Add. Click Next.Trang 31 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Trên Domain Name and DNS Servers page, điền tên Domain của Internalnetwork trong Parent domain text box. Đây là Domain name được dùng bởi cácDHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Mạng mà mìnhđang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số nhưwpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động pháthiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai dịch vụ vận hànhtrên ISA SERVER 2004) chức năng này gọi là autodiscovery. Trong ví dụ này, cácbạn sẽ đưa vào tên Domain là msfirewall.org trong text box. Trong IP addresstext box, điền IP address của DNS server (10.0.0.2) trên Internal network. Chú ýdomain controller cũng là DNS server internal network như đã xác định tại các phầntrước. Click Add. Click Next.Trang 32 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET13. Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và ClickAdd14. Trên Activate Scope page, chọn Yes, I want to activate this scope nowoption và click Next.15. Click Finish trên Completing the New Scope Wizard page.16. Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node.Bạn sẽ thầy danh sách các Options vừa cấu hình.17. Đóng DHCP console.Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quanđến IP address cho DHCP clients trên Mạng nội bộ,và cả các VPN Clients thuộc VPNclients network. Tuy nhiên, ISA Server 2004 firewall sẽ chưa cung cấp các thông sốIP này cho VPN Clients khi mà Admin chưa cho phép triển khai dịch vụ VPN (VPNserver) trên Firewall.Trang 33 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKết luận:Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCPservers, cài đặt cả hai dịch vụ này lên Domain controller, và cấu hình một DHCPScope trên DHCP server. Ở phần sau chúng ta sẽ nói đến cách thức mà các dịch vụnày sẽ hỗ trợ cho các VPN clients.Trang 34 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 5: Cấu hình DNS và DHCP để hỗ trợ tính năngAutodiscovery cho Web Proxy và Firewall ClientWeb Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệtWeb browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client cóthể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đócó thể download các thông tin cấu hình tự động (autoconfiguration information)từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISAserver.Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Webbrowsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxyclient. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệpDHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server2004, dựa trên những thông tin đã nhận được (download) từ autoconfigurationinformation.Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall(detect Firewall) để kết nối ra Internet.ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server2004 firewall và download các thông tin cấu hình này về.Trong phần này chúng ta sẽ tiến hành• Cấu hình hỗ trợ DHCP WPAD• Cấu hình hỗ trợ DNS WPADSau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy vàFirewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông quaISA Server 2004 firewall.Cấu hình hỗ trợ DHCP WPADDHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxyvà Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCPclient, và các Users log-on vào các Clients này phải là thành viên của nhóm Localadministrators group hoặc Power users group (Windows 2000). Trên WindowsXP, thì chỉ cần là thành viên của nhóm Network Configuration Operators grouplà có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).Chú ý:Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ autodiscovery choInternet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in InternetExplorer with DHCP Requires Specific Permissions “ tạihttp://support.microsoft.com/default.aspx?scid=kb;en-us;312864Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năngwpad1. Mở DHCP console từ Administrative Tools menu, right click server name. ClickSet Predefined Options2. Trong Predefined Options and Values dialog box, click Add.Trang 35 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trong Option Type dialog box, đưa vào các thông tin sau: Name: wpad Data type: String Code: 252 Description: wpad entryClick OK.4. Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 firewall trongString text box.Theo định dạng như sau:http://ISAServername:AutodiscoveryPort Number/wpad.datTrang 36 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETMặc định autodiscovery port number là TCP 80. Port 80 này có thể thay đổi thôngqua cấu hình trên ISA SERVER 2004.. Chi tiết về cấu hình này sẽ thảo luận sau.Trong ví dụ hiện tại, điền vào String text box:http://isalocal.msfirewall.org:80/wpad.datĐảm bảo rằng wpad.dat không dùng những kí tự viết hoa. Về vấn đề này có thểtham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCPOption 252”http://support.microsoft.com/default.aspx?scid=kb;en-us;307502Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA SERVER 2004,do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL,đều khiến ISA SERVER 2004 phủ nhận.Click OK.5. Right click trên Scope Options node và click Configure Options.6. Trong Scope Options dialog box, kéo xuống danh sách Available Options vàđánh dấu- check vào 252 wpad check box. Click Apply và click OK.Trang 37 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. 252 wpad entry giờ đây xuất hiện dưới Scope Options.8. Đóng DHCP console.Tại thời điểm này một DHCP client được log-on với tài khoản local administrator(hoặc Power users..) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khámphá (automatically discover) ISA Server 2004 firewall và tiếp đó là tự cấu hình chochính mình. Tuy nhiên, ISA Server 2004 firewall phải được cấu hình để hỗ trợ đểpublish các thông tin của mình phục vụ cho autodiscovery information. Chúng ta sẽbàn đến vấn đề này tại các chương sauCấu hình hỗ trợ DNS WPADTrang 38 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETPhương pháp khác để phân phối thông tin autodiscovery cho Web Proxy và Firewallclients là dùng DNS. Admin có thể tạo một wpad alias entry trong DNS server vàcho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tựđộng cho chính nó. Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làmviệc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó(User log-on phải là thành viên của những Group đặc biệt trong Windows operatingsystem).Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương phápnày của Web Proxy và Firewall client để autodiscovery có thể làm việc chính xác.Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name củawpad alias trên DNS server. Ở đây Web Proxy và Firewall client chỉ cần biết rằng nócó khả năng giải quyết tên wpad. Không cần phải nằm trong một Domain cụ thể nàomới có thể giải quyết wpad name. Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ởphần sauChú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến WebProxy và Firewall clientsChúng ta sẽ không có lựa chọn dùng port number để publish autodiscoveryinformation khi sử dụng phương pháp DNS . Bạn phải publish thông tin tự độngnày trên TCP Port 80. Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy vàFirewall client tự động khám phá ISA Server 2004 firewall:• Tạo wpad entry trong DNS• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias• Cấu hình trình duyệt- Client browser sử dụng autodiscoveryTạo Wpad entry trong DNSTrước khi tạo wpad alias entry trong DNS. Alias này(cón được biết dưới tên làCNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004firewall trên DNS server. (A) Host record trên DNS, giúp giải quyết hostname (ví dụisalocal.msfirewall.org ) của ISA Server 2004 firewall đến Internal IP address củaISA firewall.Cần tạo (A) Host record trước khi chúng ta CNAME record. Nếu DNS server chophép các name records được đăng kí tự động thì hostname của ISA Server 2004firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Hostrecord. Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo(A) Host record cho ISA Server 2004 firewall.Trong ví dụ này ISA Server 2004 firewall đã đăng kí tự động với DNS, do Internalinterface trên ISA Server 2004 firewall được cấu hình để thực hiện việc này, và dĩnhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này(unsecured dynamic registrations)Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domaincontroller) của Internal network:Trang 39 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Click Start, Administrative Tools. Click DNS entry. Trong DNS managementconsole, right click trên Forward lookup zone của Domain và click New Alias(CNAME).2. Trong New Resource Record dialog box, điền vào wpad trong Alias name(uses parent domain if left blank) text box. Click Browse.3. Trong Browse dialog box, double click trên server name trong Records list.Trang 40 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trongkhung Records .5. Trong Browse dialog box, double click trên tên của Forward lookup zone trongkhung Records.Trang 41 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trong Browse dialog box, chọn tên của ISA Server 2000 firewall trong khungRecords. Click OK.7. Click OK trong Resource Record dialog box.Trang 42 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. CNAME (alias) entry sẽ xuất hiện DNS management console.9. Đóng DNS Management console.Cấu hình ISA Client để dùng Fully Qualified wpad AliasTrang 43 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETWeb Proxy và Firewall client cần giải quyết tên của wpad. Các cấu hình của WebProxy và Firewall client không thể giúp các Client này có được thông tin của wpadalias. Hệ điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề nàycho Web Proxy và Firewall client.Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn nàyđược gửi đến DNS server. Một yêu cầu dạng fully qualified bao gồm mộthostname và một domain name. Web Proxy và Firewall client chỉ có thể biếthostname, còn Hệ điều hành của Web Proxy và Firewall client phải có khả năng xácđịnh chính xác domain name của wpad host name, trước khi nó có thể gửi mộttruy vấn DNS đến DNS server.Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name vớiwpad, trước khi truy vấn được gửi đến DNS server. Hai phương pháp phổ biến đểthực hiện điều này là:• Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients• Cấu hình primary domain name trong mục Network identification trênMicrosoft Windows (2000, XP,2003..)dialog box.Trong phần cấu hình Scope 1, trên DHCP server, chúng ta đã cấu hình một primaryDNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộcInternal Network Domain.Các bước sau mô tả xác lập primary domain name gắn liền với các truy vấn DNSLưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên cácClients Computer của Internal Network. Do các Clients đã là thành viên của ActiveDirectory domain trên Internet network. Tuy nhiên, cũng nên xem qua các bước sauđể hiểu cách primary domain name được cấu hình như thế nào trên một Computerkhông phải là thành viên của Internal Domain1. Right click My Computer, click Properties.2. Trong System Properties dialog box, click Network Identification tab. ClickProperties .3. Trong Changes dialog box, click More.Trang 44 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trong Primary DNS suffix of this computer text box, điền vào domain namechứa wpad entry. Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truyvấn đến DNS server. Theo mặc định primary domain name chính là tên củadomain (MSFIREWALL.ORG )chứa Computer này. Nếu Computer không là thànhviên của Domain thì text box sẽ để trống.Chú ý: Change primary DNS suffix when domain embership changes được enabledtheo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain.Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain nametại thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clientsthuộc nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains.Trang 45 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCấu hình trình duyệt- Client Browser để sử dụng AutodiscoveryTrong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chứcnăng autodiscovery. Sau khi xác nhận chức năng này, Web browser trên cácClients sẽ làm việc trực tiếp với Web Proxy service của ISA Server 2000 firewall vớicơ chế tự động khám phá- autodiscovery1. Right click trên Internet Explorer icon, click Properties.2. Trong Internet Properties dialog box, click Connections tab. Click LANSettings3. Trong Local Area Network (LAN) Settings dialog box, check vàoAutomatically detect settings check box. Click OK.4. Click Apply, click OK trong Internet Properties dialog box.Bước kế tiếp, cần cấu hình trên ISA Server 2000 firewall để publish thông tin vềautodiscovery, hỗ trợ cho Web Proxy và Firewall clients.Kết luận:Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft InternetAuthentication Server, cách thức cài đặt và cấu hình IAS server trên một Domaincontroller thuộc Internal network. Trong các phần sau, chúng ta sẽ IAS server này,để xác thực các kết nối từ xa của Web và VPN client (incoming connections).Trang 46 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 6: Cài đặt và cấu hình DNS Server với chức năngCaching-only trên Perimeter Network SegmentDNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi cácComputers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voiceover IP..), luôn cần phải biết IP address của các Internet Server trước khi có thểconnect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP(và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giaotiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùngInternet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so vớiIP address), ví dụhttp:// www.nis.com.vn (dễ nhớ)http:// 207.46.225.60 (khó nhớ)cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyếtHostname ra IP address.Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyềnhoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là mộtcaching-only DNS server không nhất thiết phải chứa bất cứ name records của mộthay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truyvấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quảvừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản,các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạora bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của cácClients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với InternalDomain DNS server (được cài trên Domain controller- 10.0.0.2)Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triểnkhai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment(hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sauTrang 47 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETMô tả về Perimeter Network:Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một PerimeterNetwork (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiếnNam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP(Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, nhưWeb Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZnetwork, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của cácnhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 NetworkInterface Cards)Network Interface 1 (WAN): Tạo kết nối ra InternetNetwork Interface 2 (DMZ): Tạo kết nối đến DMZ networkNetwork Interface 3: (LAN)Tạo kết nối đến Internal networkNhư vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall),nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đốitác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publishresourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngayvào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủngFirewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network.Các DNS servers được sử dụng trong DMZ network có hai mục đích chính:Trang 48 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát vàủy quyền của Domain• Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếukhông giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đếncác DNS servers khác của Internal networkMột DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publishdomain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miềnInternet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyêntrả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho InternalDNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNSserver còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụcác Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients nàycần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụInternet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ networksẽ phục vụ cho những yêu cầu này.DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNSserver. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thayvào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host namesvà chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lờicác yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứInternet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này(Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khinhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS ClientsTrong phần này, chúng ta sẽ thực hiện• Cài đặt DNS server service• Cấu hình DNS server trở thành một caching-only DNS server an toàn (securecaching-only DNS server)Cài đặt DNS Server Service trên DMZ networkDNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyểncác yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP serverTiến hành các bước sau để cài một DNS server service trên DMZ network (trênserver TRIHOMELAN1)1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, keo xuống danh sách Components, chọnNetworking Services. Click Details.4. Trong Networking Services dialog box, check vào Domain Name System(DNS) check box và click OK.Trang 49 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưađường dẫn đến Folder i386 trong Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNSserver. DNS server trên DMZ network sẽ tiếp xúc trực tiếp với các Internet hosts.Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tàinguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ network, như vậyInternet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ network.Hoặc trường hợp ngược lại là DNS server trên DMZ network của chúng ta sẽ tiếp xúcDNS servers của các tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giảiquyết hostname cho các Internal network clients có nhu cầu truy cập ra ngoàiInternet.Trong ví dụ này, DNS server của DMZ network, sẽ đóng vai trò một caching-onlyDNS server và không quản lý các name records của các Publish Server trong InternalDomainTiến hành các bước sau trên DNS server thuộc DMZ network, để trở thành mộtsecure caching-only DNS server:1. Click Start, Administrative Tools. Click DNS.2. Trong DNS management console, right click trên server name, click Properties.3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện cácDNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tạiRoot Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyếtcác truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sáchTrang 50 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETcác Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giảiquyết hostname của các Computer trên Internet.4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion forthis domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽkhông dùng được các Internet DNS Servers trong danh sách của Root Hints cho việcgiải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năngForwarder. Trong trường hợp này, chúng ta không dùng Forwarder.Trang 51 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollutioncheck box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc cácInternet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể đượcADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNSClients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNSClients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến mộtHost giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịchvới Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khicòn được gọi là “co-coordinated DNS attack”Trang 52 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Monitoring tab. Check vào A simple query against this DNS server và Arecursive query to other DNS servers check boxes, để thực hiện kiểm tra DNSserver. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy SimpleQuery chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kếtquả này là vì chưa tạo Access Rule trên ISA SERVER 2004 Firewall để cho phépcaching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISAServer 2004 firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu(outbound access) đến các DNS servers trên Internet.Trang 53 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click Apply và click OK trong DNS server’s Properties dialog box.8. Đóng DNS management console.Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyếtInternet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules đểcho phép các Internal network Clients dùng DNS Server này để giải quyết cácInternet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn.Kết luận:Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZnetwork, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các phầnsau, chúng ta sẽ sử dụng Access Policies trên ISA SERVER 2004 để cho phép cácInternal network Clients dùng DNS server này và cho phép caching-only DNS serverkết nối đến Internet.Trang 54 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 7: Cài đặt ISA SERVER 2004 trên Windows Server 2003Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp(phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xácnhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặtđó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network IP addressrange(s). Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảngLocal Address Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks),và đâu là Mạng không được tin cậy (untrusted networks). Thay vào đó, ISA Server2004 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network.Internal network nhằm xác định khu vực có các Network Servers và các Servicesquan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP,các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa Internal network và ISAServer 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’sSystem Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác địnhtrước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phépvào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt.System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lõngtừ các Access Rules mặc định của System Policy..Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau:• Cài đặt ISA Server 2004 trên Windows Server 2003• Xem lại các chính sách hệ thống mặc định trên ISA SERVER 2004 Firewall (DefaultSystem Policy)Installing ISA Server 2004Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phứctạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internalnetwork (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địachỉ cuả Internal network là một phần quan trọng, bởi vì chính sách hệ thống củaFirewall (firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắctruy cập- Access RulesTiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máygắn hai Network Cards) Windows Server 2003 Computer:1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện2. Trên Microsoft Internet Security and Acceleration Server 2004 page, clickliên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. ReleaseNotes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đềkhác.Đọc xong release notes, đóng cửa sổ lại và click Read Setup and FeatureGuide link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng cóthể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISAServer 2004 link.3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server2004 page.4. Chọn I accept the terms in the license agreement trên License Agreementpage. Click Next.Trang 55 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Customer Information page, điền Tên và Tên tổ chức của bạn trong UserName và Organization text boxes. Điền tiếp Product Serial Number. Click Next.6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISAServer 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chươngtrình trên đĩa cứng. Click Next.7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặcđịnh thì, Firewall Services và ISA Server Management sẽ được cài đặt. CònMessage Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đínhkèm (file attachments) khi chúng được đưa vào Mạng hoặc từ bên trong phân phối rangoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũngkhông được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cầncài đặt IIS 6.0 SMTP service trên ISA Server 2004 firewall computer trước khi bạncài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next.Trang 56 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Trên Internal Network page, click Add. Internal network khác hơn LAT (được sửdụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì Internal network sẽchứa các Network services được tin cậy và ISA Server 2004 firewall phải giao tiếpđược với những Services nàyVí dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP, terminalservices client management workstations, và các dịch vụ khác, thì chính sách hệthống của Firewall sẽ tự động nhận biết chúng thuộc Internal network. Chúng ta sẽxem xét vấn đề này trong phần System PolicyTrang 57 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Trong Internal Network setup page, click Select Network Adapter10. Trong Select Network Adapter dialog box, remove dấu check tại Add thefollowing private ranges… checkbox. Check vào Add address ranges based onthe Windows Routing Table checkbox. Check tiếp vào Network Card nào, trực tiếpkết nối vào LAN tại Select the address ranges…Internal network adapter . LýTrang 58 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETdo không check vào add private address ranges checkbox là bởi vì, chúng tamuốn dùng những vùng địa chỉ này cho DMZ ( perimeter networks). Click OK.11. Click OK trong Setup Message dialog box xác nhận rằng Internal network đãđược định nghĩa hoạt độn dựa trên Windows routing table.12. Click OK trên Internal network address ranges dialog box.Trang 59 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET13. Click Next trên Internal Network page.14. Trên Firewall Client Connection Settings page, check vào Allownonencrypted Firewall client connections và Allow Firewall clients runningearlier versions of the Firewall client software to connect to ISA Servercheckboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùngWindows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clientslà ISA Server 2000 Firewall client. Click Next.Trang 60 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET15. Trên Services page, click Next.16. Click Install trên Ready to Install the Program page.17. Trên Installation Wizard Completed page, click Finish.18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phảirestarted.19. Log-on lại vào Computer bằng tài khỏan AdministratorXem xét System PolicyTrang 61 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTheo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet(outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Mạngđược bảo vệ (protected network), và cũng không cho phép các Computers trênInternet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Nhưvậy sau khi triển khai ISA SERVER 2004 Firewall, theo mặc định thì “Nội bất xuất,ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, chophép thực hiện các tác vụ Quản trị Mạng cần thiết.Lưu ý:Khái niệm Mạng được bảo vệ (protected network), là bất cứ Network nào được địnhnghĩa bởi ISA Server 2004 firewall không thuộc phạm vi của các Mạng bên ngoài(External network), như Internet.Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (defaultfirewall System Policy):1. Click Start, All Programs. Chọn Microsoft ISA Server và click ISA ServerManagement.2. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server node và click vào Firewall Policy node.Right click trên Firewall Policy node, trở đến View và click Show System PolicyRules.Trang 62 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thôngbáo rằng ISA Server 2004 Access Policy giới thiệu một danh sách các Policy được sắpxếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều màAccess Policy trên ISA Server 2000 đã không quan tâm đến trình từ xử lý này. Theomặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truycập đến và từ ISA Server 2004 firewall. Cũng lưu ý rằng, các nguyên tắc tại SystemPolicy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sáchsau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trênvà được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấyrằng, các nguyên tắc được xác định rõ bởi: Số thứ tự (Order number) Tên (Name Rule) Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or Deny) Dùng giao thức nào (Protocols) Từ Mạng hoặc Computer nguồn- From (source network or host) Đến Mạng hay Computer đích- To (destination network or host) Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng)Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng củacột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lýcác Rule của mình hơn.Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chínhsách Disabled mặc định của System Policy Rules được thể hiện bằng những biểutượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nàođó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truycập VPN- thực hiện enable VPN access.Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thựchiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks.Trang 63 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double-click trên rule.Trang 64 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/HideSystem Policy Rules ở Bảng chứa các nút này.Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định:Bảng 1: System Policy RulesTrang 65 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrang 66 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrang 67 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChú thích:1 Policy này bị disabled cho đến khi VPN Server component được kích hoạt-activated2 Hai Policy này bị disabled cho đến khi một kết nối VPN dạng site to site xác lập3 Policy này bị disabled cho đến khi chính sách thẩm định kết nối dùng HTTP/HTTPSđược cấu hình4 Policy này bị disabled cho đến khi SecureID filter được enabled5 Policy này phải được enabled thủ công6 Policy này bị disabled theo mặc định7 Policy này bị disabled theo mặc định8 Policy này tự động được enabled khi Firewall client share được cài đặt9 Policy này bị disabled theo mặc địnhTại thời điểm này, ISA Server 2004 firewall đã sẵn sàng cho các Admin cấu hình cáctruy cập ra ngoài (outbound) hoặc vào trong (inbound) qua Firewall. Tuy nhiên,trước khi khởi hành tạo các chính sách truy cập- Access Policies, các SecurityAdmin nên back-up lại cấu hình mặc định của ISA SERVER 2004 firewall. Điều nàycho phép bạn phục hồi ISA Server 2004 firewall về trạng thái ban đầu sau cài đặt.Điều này là cần thiết cho các các cuộc kiểm tra và khắc phục các sự cố trong tươnglai.Trang 68 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTiến hành Back-up cấu hình mặc định ngay sau cài đặt theo hướng dẫn:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole, right click trên server name. Click BackUp.2. Trong Backup Configuration dialog box, điền tên file backup bạn muốn đặttrong File name text box. Nhớ vị trí chúng ta đã lưu backup file trong Save list.Trong ví dụ này, đặt tên file backup là backup1. Click Backup.3. Trong Set Password dialog box, điền vào password và xác nhận lại password nàytrong Password và Confirm password text boxes. Thông tin trong file backupđược mã hóa vì nó chứa password phục hồi và những thông tin quan trọng đã lưugiữ, tất cả những thông tin này chúng ta không muốn một ai khác có thể truy cập.Click OK.Trang 69 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configurationwassuccessfully backed up message.Nên copy file backup này đến nơi lưu trữ an toàn khác trên Mạng nội bộ sau khibackup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ filebackup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệthống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft)Kết luận:Trong chương này chúng ta đã bàn về những thủ tục cần thiết khi cài đặt ISA Server2004 software trên Windows Server 2003 computer. Chúng ta cũng đã xem xétchính sách hệ thống của Firewall (firewall System Policy), được tạo ra trong quá trìnhcài đặt. Và cuối cùng, chúng ta đã hoàn thành việc lưu giữ lại cấu hình ngay sau khicài đặt ISA SERVER 2004 Firewall bằng cách thực hiện file backup theo từng bướchướng dẫn. Trong phần tới, chúng ta sẽ cấu hình cho phép truy cập VPN accessserver từ xa.Trang 70 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 8: Sao lưu và Phục hồi cấu hình FirewallISA Server 2004 bao gồm tính năng mới và tăng cường cho backup và phục hồi.Trong ISA Server 2000, tiện ích backup được tích hợp có thể backup cấu hình củaISA Server 2000 firewall.File backup có thể được sử dụng để phục hồi cấu hình đến củng bản cài đặt ISAServer trên cùng Computer. Tuy nhiên, nếu Hệ điều hành hay phần cứng nếu gặpphải những vấn đề nghiêm trọng tác động trên toàn hệ thông, chắc rằng chỉ có filebackup này không thể phục hồi được cấu hình của FirewallNgược lại, tiện ích backup trên ISA Server 2004 cho phép Admin backup toàn bộ cấuhình Firewall hoặc chỉ backup những phần cần thiết.Và sau đó Admin có thể phục hồi cấu hình này đến cùng phiên bản ISA Server 2004firewall trên chính Computer đã backup hoặc có thể phục hồi thông tin cấu hình đếnmột ISA Server 2004 firewall trên một Computer khác.Các hướng dẫn Backup sẽ được thi hành sau một hoặc một số thủ tục sau:• Thay đổi kích cỡ hay vị trí Cache (cache size / location)• Thay đổi chính sách Firewall (Firewall policy)• Thay đổi nền tảng các nguyên tắc ( rule base)• Thay đỗi các nguyên tắc hệ thống (system rules)• Making changes to networks, such as, changing network definition or network rules• Ủy quyền các tác vụ quản trị ISA Server / Bỏ ủy quyềnTính năng nhập/xuất (import/export) cho phép chúng ta xuất các thành phần đượcchọn lựa trong cấu hình Firewall và sử dụng những thành phần này về sau, hoặc cóthể cài đặt nó vào Computer khác. Import/export cũng có thể được dùng để xuấttoàn bộ cấu hình của Computer như một phương pháp phân phối cấu hình diện rộng.Bài thực tập bổ ích nhất về backup cấu hình nên được tiến hành ngay sau khi cài đặtISA Server 2004 firewall software. Thực hiện điều này là tác vụ cơ bản nhằm phụchồi cấu hình nguyên trạng sau cài đặt trên ISA server, kể cả khi chúng ta đã thựchiện các cấu hình khác (điều này giúp các bạn không cần cài đặt lại ISA server) .Chúng ta sẽ tiến hành những công việc sau:• Backup cấu hình Firewall• Phục hồi cấu hình Firewall từ File Backup• Xuất chính sách Firewall• Nhập chính sách FirewallBackup cấu hình FirewallISA Server 2004 tích hợp sẵn tiện ích backup giúp lưu giữ cấu hình Firewall dễ dàng .Chỉ có một ít các thao tác được yêu cầu khi thực hiện backup và phục hồi cấu hìnhTiến hành các bước sau để backup toàn bộ cấu hình Firewall:5. Mở Microsoft Internet Security and Acceleration Server 2004 managementConsole, right click trên server name. Click BackUp6. Trong Backup Configuration dialog box, điền tên file backup trong File nametext box. Trong ví dụ này filename là backup1. Click BackupTrang 71 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Trong Set Password dialog box, điền password và xác nhận lại password. Xinđược nhắc lại thông tin trong file backup đã được mã hóa (xem giải thích ở phầntrước). Click OK.Trang 72 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Click OK trong Exporting dialog box khi thông báo The configuration wassuccessfully backed up xuất hiệnNên copy file backup này để lưu trữ ở một vị trí an toàn hơn, không nên lưu trữ trênFirewall này (có thể là trên một Network server, phân vùng lưu trữ được format vớiNTFS).Phục hồi cấu hình Firewall từ Configuration from the File BackupAdmin có thể dùng File backup để phục hồi cấu hình máy. Thông tin có thể được hồiphục trên cùng phiên bản cài đặt của ISA Server 2004 firewall, trên cùng máy hoặcmột bản cài đặt hoàn toàn mới, trên một Computer khác.Tiến hành các bước sau để phục hồi cấu hình từ backup:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole, right click trên computer name, Click Restore.2. Trong Restore Configuration dialog box, tìm file backup trước đó đã tạo. Trongví dụ này, chúng ta sẽ dùng, file backup có tên là backup1.xml. Click Restore, saukhi đã chọn fileTrang 73 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Đưa vào password mà bạn đã xác nhận trước đó cho file trong Type Password toOpen File dialog box, click OK.4. Click OK trong Importing dialog box khi thấy xuất hiện thông báo Theconfiguration was successfully restored5. Click Apply để save những thay đổi và cập nhật chính sách cho Firewall.6. Chọn Save the changes and restart the service(s) trong ISA Server Warningdialog boxTrang 74 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click OK trong Apply New Configuration dialog box chỉ rõ rằng Changes tothe configuration were successfully applied.Giờ đây cấu hình đã phục hồi cho ISA SERVER 2004 đã hoạt động với đầy đủ chứcnăng và các chính sách của Firewall được áp đặt hiện giờ được lấy từ bản backup cấuhình của Filewall trước đó.Xuất chính sách Firewall (Exporting Firewall Policy)Các Admin không nhất thiết phải luôn luôn export mọi thứ liên quan đến cấu hìnhcủa Firewall. Có thể chúng ta chỉ gặp phải một số vấn đề tại Access Policies vàmuốn gửi những thông tin này đến một Security admin nào đó xem xét. Khi ấy chỉcần export các Access Policies hiện thời của Firewall, sau đó gửi Export File này đếnmột chuyên gia về ISA Server 2004, để họ có thể nhanh chóng nhập (import) cácPolicies này vào một ISA server 2004 Test Computer, và chẩn đoán vấn đềTrong ví dụ này, chúng ta sẽ export cấu hình VPN Clients ra một file. Tiến hành lầnlượt các bước sau:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server name, right click trên Virtual PrivateNetworks (VPN) node. Click vào Export VPN Clients Configuration.2. Trong Export Configuration dialog box, điền tên cho export file trong File nametext box. Đưa một số thông tin mô tả về nơi chúng ta lưu trữ file. Check vào Exportuser permission settings and Export confidential information (encryptionwill be used) check boxes nếu bạn muốn lưu thông tin riêng nằm bên trong VPNClients configuration (chẳng hạn như các password bí mật của IPSec- IPSecshared secrets). Trong ví dụ này, Chúng ta sẽ đặt file là VPN Clients Backup. ClickExport.Trang 75 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trong Set Password dialog box, điền một password và xác nhận lại passwordtrong Confirm password text box. Click OK.4. Click OK trong Exporting dialog box khi chúng ta thấy thông báo Successfullyexported the configuration.Trang 76 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETNhập chính sách Firewall (Importing Firewall Policy)File export có thể được import đến cùng Computer hoặc một Computer khác có ISAServer 2004 đã cài đặt. Trong ví dụ sau, chúng ta sẽ import các xác lập của VPNClients đã được export trong phần trước.Tiến hành các bước sau để import VPN Clients settings từ file đã export:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server name và right click vào Virtual PrivateNetworks (VPN) node. Click Import VPN Clients Configuration.2. Trong Import Configuration dialog box, chọn file VPN Clients Backup. Đánhdấu vào, Import user permission settings và Import cache drive settings vàSSL certificates checkboxes. Trong ví dụ này, cache drive settings, không quantrọng, nhưng SSL certificates là cần thiết nếu chúng ta muốn dùng cùngcertificates, đã được sử dụng cho IPSec hoặc L2TP/IPSec VPN connections. ClickImport.Trang 77 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Điền password để mở trong Type Password to Open File dialog box. Click OK.4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nhậnđược thông báo Successfully imported the configuration.5. Click Apply để áp dụng những thay đổi và cập nhật Firewall policy.6. Click OK trong Apply New Configuration dialog box khi nhận được thông báoChanges to the configuration were successfully applied. Lưu ý rằng, những thay đổitrong cấu hình VPN có thể mất vài phút để cập nhậtKết luận:Trong chương này chúng ta đã thảo luận việc backup và phục hồi cấu hình của ISAServer 2004 firewall. Chúng ta cũng đã xem xét các tính năng của export và import,cho phép thực hiện backup các thành phần lựa chọn (cần thiết), của cấu hìnhFirewallTrong chương tới, chúng ta sẽ dùng ISA Server 2004 Network Templates để đơn giảnhóa cấu hình ban đầu của các Networks, Network Rules, và các Access Policies củaFirewall.Trang 78 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 9: Đơn giản hóa cấu hình Mạng với các NetworkTemplatesISA Server 2004 firewall mang đến cho chúng ta những thuận lợi to lớn, một trongnhững số đó là các Network Templates (mô hình mẫu các thông số cấu hình Mạng).Vì sự hỗ trợ thông qua các templates này, mà chúng ta có thể cấu hình tự động cácthông số cho Networks, Network Rules và Access Rules. Network Templates đượcthiết kế giúp chúng ta nhanh chóng tạo được một cấu hình nền tảng cho những gìmà chúng ta có thể sẽ xây dựng.. Chúng ta có thể chọn một trong số các NetworkTemplates sau:• Edge FirewallNetwork Template dành cho Edge Firewall, được sử dụng khi ISA Server 2004firewall có một Network interface được trực tiếp kết nối đến Internet và một Networkinterface được kết nối với Internal network• 3-Leg PerimeterNetwork Template dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3Network Interfaces. Một External interface (kết nối Internet), một Internal interface(kết nối Mnạg nội bộ) và một DMZ interface (kết nối đến Mạng vành đai- PerimeterNetwork). Template này, cấu cấu hình các địa chỉ và mối quan hệ giữa các Networksnày với nhau.• Front FirewallDùng Front Firewall Template khi ISA Server 2004 firewall đóng vai trò mộtfrontend firewall trong mô hình back-to-back firewall. Vậy thế nào là một back-to-back firewall ? Đơn giản đó là mô hình kết nối 2 Firewall làm việc với nhau theokiểu trước (front) sau (back). Phía ngoài Front Firewall có thể là Internet, giữa Frontvà back firewall có thể là là DMZ network, và phía sau back firewall là Internalnetwork. Template này dành cho Front Firewall• Back FirewallNhư vừa trình bày ở trên có lẽ các bạn đã hiểu về vị trí của một Back firewall, vàBack Firewall Template được sử dụng cho một ISA Server 2004 firewall nằm sau mộtISA Server 2004 firewall khác phía trước nó (hoặc một third-party firewall nào đó).• Single Network AdapterTemplate dạng Single Network Adapter là một cấu hình khá đặc biệt, áp dụng dạngtemplate này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó.Trang 79 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETĐược dùng trong những trường hợp ISA SERVER 2004 chỉ có duy nhất một NetworkCard (unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server.Trong phần này, chúng ta sẽ phác thảo 2 kịch bản sau:• Kịch bản 1: Cấu hình cho Edge Firewall• Kịch bản 2: Cấu hình cho 3-Leg PerimeterCần xem xét lại chương 1 để nắm rõ cấu hình Mạng, và cấu hình cho ISA SERVER2004 trong Test Lab này. Kịch bản về cấu trúc Mạng của chúng ta trong Test labtương thích với Kịch bản 2, ngược lại có thể tham khảo kịch bản 1Kịch bản 1: Cấu hình Edge FirewallTemplate cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có một networkinterface gắn trực tiếp Internet và một Network interface thứ 2 kết nối với Internalnetwork. Network template này cho phép Admin nhanh chóng áp dụng các nguyêntắc truy cập thông qua chính sách của Firewall (firewall policy Access Rules ), chophép chúng ta nhanh chóng đưa cấu hình điều khiển truy cập (access control) giữaInternal network và Internet.Bảng 1 cho chúng ta thấy các chính sách của Firewall (firewall policies) đã sẵn sàngkhi sử dụng Edge Firewall template.Mỗi chính sách trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truycập. Từ xác lập tất cả các hoạt động đều được cho phép (All Open Access Policy) giữaInternal network và Internet cho đến xác lập ngăn chặn tất cả (Block All policy) hoạtđộng giữa Internal network và Internet.Table 1: Những lựa chọn về chính sách của Firewall khi dùng Network EdgeFirewall TemplateFirewall Policy Mô tảBlock All Ngăn chặn tất cả truy cập qua ISA(Ngăn chặn tất cả) Server Lựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài nguyên tắc ngăn chặn tất cả truy cậpBlock Internet Access, allow access to Ngăn chặn tất cả truy cập qua ISAISP network services server, ngoại trừ những truy cập đến các(Ngăn chặn truy cập ra Internet, nhưng Network services chẳng hạn DNS service.cho phép truy cập đến một số dịch vụ Lựa chọn này sẽ được dùng khi các ISPcủa ISP) cung cấp những dịch vụ này. Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau: 1. Allow DNS from Internal Network and VPN Clients Network to External NetworkTrang 80 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET (Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS của ISP để xác định hostnames bên ngoài (như Internet).Allow limited Web access Chỉ cho phép truy cập Web dùng các giao(Cho phép truy cập Web có giới hạn) thức: HTTP, HTTPS, FTP. Còn lại tất cả truy cập khác sẽ bị ngăn chặn. Những nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy cập dạng HTTP, HTTPS, FTP từ Internal network ra bên ngoài. 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (từ bên ngoài) truy cập vào bên trong Mạng nội bộ.Allow limited Web access and access to Cho phép truy cập Web có giới hạn dùngISP network services HTTP, HTTPS, và FTP, và cho phép truy(Cho phép truy cập Web có giới hạn và cập tới ISP network services như DNS.truy cập đến một số dịch vụ của ISP) Còn lại ngăn chặn tất cả các truy cập Network khác. Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Clients Network ra External Network (Internet) 2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (bên ngoài, VPN Clients thực hiện kết nối vào Mạng nội bộ thông qua Internet), được truy cập vào bên trong Mạng nội bộ.Allow unrestricted access Cho phép không hạn chế truy cập raTrang 81 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET(Cho phép truy cập không giới hạn) Internet qua ISA Server Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng tất cả giao thức từ Internal Network và VPN Clients Network tới External Network (Internet) 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả giao thức từ VPN Clients Network truy cập vào Internal Network.Tiến hành những bước sau khi dùng Edge Firewall Network Template để cấu hìnhFirewall:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server name và mở rộng tiếp Configuration node.Click vào Networks node.2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall networktemplate.Trang 82 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Next trên Welcome to the Network Template Wizard page.Trang 83 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trên Export the ISA Server Configuration page, bạn được chọn lựa để Exportcấu hình hiện tại. Hoàn toàn có thể quay lại cấu hình ISA Server 2004 firewall trướckhi dùng Edge Firewall network template , bởi vì chúng ta đã backed up cấu hình hệthống trước đó và vì thế cũng không cần phải export cấu hình tại thời điểm này. ClickNext.Trang 84 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Internal Network IP Addresses page, Xác định Internal networkaddresses.Vùng địa chỉ nội bộ Internal network address hiện đã tự động được xác định trongAddress ranges list. Và bạn có thể dùng Add, Add Adapter và Add Privatebutton để mở rộng vùng danh sách Adrress này. Trong ví dụ của chúng ta, giữnguyên vùng Internal networkaddress. Click Next.Trang 85 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trên Select a Firewall Policy page bạn có thể chọn một firewall policy và mộttập hợp các Access Rules. Trong ví dụ này chúng ta muốn cho phép các Internalnetwork clients có thể truy cập đến tất cả Protocol của tất cả các Sites trên Internet.Sau khi đã có kinh nghiệm hơn với ISA Server 2004 firewall, bạn có thể gia tăng mứcđộ security của tất cả các truy cập ra ngoài - outbound access . Tại thời điểm này chỉcần thử nghiệm cho phép truy cập Internet. Chọn Allow unrestricted access policytừ danh sách và click Next.Trang 86 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Review lại các xác lập vừa rồi và click Finish trên Completing the NetworkTemplate Wizard page.8. Click Apply lưu lại những thay đổi và cập nhật firewall policy.9. Click OK trong Apply New Configuration dialog box sau khi thấy thông báoChanges to the configuration were successfully applied.10. Click trên Firewall Policies node trong khung tráiđể xem các policies được tạobởi Edge Firewall network template. 2 Access Rules cho phép Internal network vàVPN clients truy cập đầy đủ ra Internet, và VPN clients cũng được đầy đủ quyền truycập vào Internal network.Trang 87 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKịch bản 2: Cấu hình 3-Leg PerimeterCấu hình Firewall theo template dạng 3-leg perimeter sẽ tạo ra các mối quan hệ giữacác Network: Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra cácAccess Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) networksegment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tàinguyên cho phép người dùng Internet truy cập vào như:public DNS server hoặc mộtcaching-only DNS server.Table 2: Những chọ lựa tại 3-Legged Perimeter Firewall Template FirewallPolicyFirewall Policy Mô tảBlock all Chặn tất cả truy cập qua ISA Server. Lựa chọn này sẽ không tạo bất kì Rules nào khác hơn ngoài default rule - ngăn chặn tất cả truy cậpBlock Internet access, Chặn tất cả truy cập qua ISA Server,allow access to ngoài trừ những truy cập đến cácnetwork services on network services, như DNS trên DMZ .the perimeter network Các access rules sau sẽ được tạo: 1. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network –Cho phép các truy cập dịch vụ DNS từ Internal Network và VPN Clients Network đến Perimeter NetworkBlock Internet access, Ngăn chặn tất cả các truy cập Mạng quaallow access to ISP firewall ngoại trừ các network servicesnetwork services như DNS. Lựa chọn này là phù hợp khi nhà cung cấp các dịch vụ mạng cơ bản làTrang 88 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET Internet Service Provider (ISP) của bạn. Các rules sau sẽ được tạo: 1. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) –Cho phép DNS từ Internal Network, VPN Clients Network và Perimeter Network đến External Network (Internet)Allow limited Web Chỉ cho phép cac truy cập hạn chế dùngaccess, allow access các Protcol Web như: HTTP, HTTPS, FTPto network services và cũng cho phép truy cập các networkon perimeter network services như DNS trên DMZ. Tất cả các truy cập Mạng khác đều bị blocked. Lựa chọn này phù hợp khi tất cả các dịch vụ hạ tầng Mạng nằm trên DMZ. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet) 2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network 3. Allow all protocols from VPN Clients Network to Internal NetworkAllow limited Web Cũng giống như trên nhưng chỉ khác làaccess and access to các network services như DNS doISP network services Internet Service Provider (ISP) của bạn cung cấp. Tất cả các truy cập Mạng khác đều bị blocked. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet) 2. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) 3. Allow all protocols from VPN Clients Network to Internal NetworkAllow unrestricted Cho phép tất cả các loại truy cập raaccess Internet qua firewall. Firewall sẽ chặn các truy cập từ Internet vào các NetworkTrang 89 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET được bảo vệ. Từ chính sách cho phép tất cả truy cập này, sau đó bạn có thể ngăn chặn bớt một số truy cập không phu hợp với chính sách bảo mật của tổ chức Các rules sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet) and Perimeter Network 2. Allow all protocols from VPN Clients to Internal NetworkTiến hành các bước sau để dùng 3-Leg Perimeter network template:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole , mở rộng server name. Mở tiếp Configuration node và click trên Networksnode.2. Click Networks tab trong Details pane, sau đó click Templates tab trong Taskpane. Click vào 3-Leg Perimeter network template.Trang 90 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Next trên Welcome to the Network Template Wizard page.4. Trên Export the ISA Server Configuration page, bạn có thể chọn để export cấuhình hiện tại. Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hìnhcủa template và muốn quay trở lại các xác lập ban đầu. Trong ví dụ này chúng ta đãbacked up cấu hình vì thế không cần phải export . Click Next.Trang 91 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internalnetwork. Bạn sẽ thấy ISA tự động xuất hiện chúng trong Address ranges list. Bạnkhông cần phải thêm bất kì Address nào trong Internal network. Click Next.Trang 92 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segmenttrên Perimeter Network IP Addresses page. Bạn nhận thấy Addressranges list hoàn toàn trống. Do đó..Trang 93 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click vào Add Adapter button. Trong Network adapter details dialog box, đánhdấu vào DMZ check box. Tên Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấucho chính xác vào đấy. Click OK.Trang 94 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windowsrouting table. Click Next.Trang 95 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mốiquan hệ giữa Internet, DMZ và Internal networks và cũng tạo ra các Access Rules.Trong ví dụ này chúng ta sẽ cho phép Internal network clients đầy đủ quyền truy cậpra Internet và DMZ network, và cũng cho phép các DMZ hosts được truy cập raInternet. Sau khi đã có kinh nghiệm hơn với việc config Access Policies trên ISAServer 2004 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài -outbound access giữa DMZ network segment và Internet, giữa Internal networksegment và Internet. Chọn Allow unrestricted access firewall policy và click Next.Trang 96 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Review lại các xác lập trên Completing the Network Template Wizard vàclick Finish.11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall.12. Click OK trong Apply New Configuration dialog box sau khi thấy thông báoChanges to the configuration were successfully applied.13. Click trên Firewall Policy node trên khung trái của Microsoft InternetSecurity and Acceleration Server 2004 management console để xem lại các rulesđã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các HostsTrang 97 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETthuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet vàcả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network.14. Mở rộng Configuration node bên khung trái của Microsoft Internet Securityand Acceleration Server 2004 management console. Click Networks node. Ở đâybạn sẽ thấy một danh sách của các networks, bao gồm Perimeter network được tạobởi template.15. Click Network Rules tab. Right click Perimeter Configuration Network Rulevà click Properties.Trang 98 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET16. Trong Perimeter Configuration Properties dialog box, click SourceNetworks tab. Bạn có thể thấy trong danh sách This rule applies to traffic fromthese sources gồm Internal, Quarantined VPN Clients và VPN Clientsnetworks.Trang 99 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET17. Click Destination Networks tab. Bạn thấy Perimeter network trong This ruleapplies to traffic sent to these destinations list.Trang 100 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET18. Click Network Relationship tab. Xác lập mặc định là Network AddressTranslation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn cácIP addresses của Internal network clients kết nối đến các DMZ network hosts.Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũngthuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ nàychúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đềrắc rối đó.Ghi nhớ rằng, tại thời điểm này, không có Access Rules nào cho phép truycập tới Internal network từ DMZ network.Trang 101 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET19. Click Apply và click OK.20. Click Apply để lưu những thay đổi.21. Click OK trong Apply New Configuration dialog box sau khi thấy thông báoChanges to the configuration were successfully applied.Kết luận:Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates:Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho:network addresses, Network Rules và Access Rules. Trong chương tới chúng ta sẽthả luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSAServer 2004 Fiewall.Trang 102 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 10: Cấu hình ISA Server 2004 SecureNAT, Firewall vàWeb Proxy ClientsMột ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thôngqua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường đượcđặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISAServer 2004 firewall.Có 3 loại ISA Server 2004 client:• SecureNAT client• Web Proxy client• Firewall clientMột SecureNAT client là máy tính được cấu hình với thông số chính Defaultgateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. NếuSecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall,thông số default gateway của SecureNAT client chính là IP address của network cardtrên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trênmột Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hìnhthông số default gateway là IP address của router gần nó nhất, Router này sẽ giúpđịnh tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall ra Internet.Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer)được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Webbrowser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làmWeb Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thôngqua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Cácautoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thếnào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hinhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxyclient.Một Firewall client là máy tính có cài Firewall client software. Firewall clientsoftware chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, làtất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đếnFirewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vàoFirewall service log khi máy tình Firewall client thực hiện kết nối Internet thông quaISA Server 2004 firewall.Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client.Table 1: ISA Server 2004 Client Types and FeaturesFeature SecureNAT client Firewall client Web Proxy clientCần phải cài đặt ? No, chỉ cần xác lập Yes. Cần cài đặt No, chỉ cần cấu thông số default software hình các thông số gateway phù hợp tại trìnhTrang 103 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET duyệt Web- Web browserHỗ trợ Hệ điều Bất cứ OS nào hỗ Chỉ Windows Bất kì OS nào có hỗhành nào ? trợ TCP/IP trợ các Web applicationHỗ trợ Protocol Nhờ có bộ lọc ứng Tất cả các ứng HTTP, Secure HTTP dụng -Application dụng Winsock (HTTPS), và FTP filters có thể hỗ trợ Applications. Có các ứng dụng chạy nghĩa là hầu hết kết hợp nhiều các ứng dụng trên protocols - Internet hiện nay multiconnection protocolsCó hỗ trợ xác thực Yes, nhưng chỉ Yes Yesngười dùng hay dành cho VPNkhông ? Nhằm clientskiểm soát việc Usertruy cập ra ngoàiCấu hình SecureNAT ClientCấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông sốdefault gateway giúp client định tuyến ra Internet thông qua ISA Server2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành mộtSecureNAT client:• Xác lập các thông số TCP/IP thủ công trên máy• Cung cấp thông số default gateway address tư động thông qua các xác lập DHCPscope option trên DHCP ServerTrong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình nhưmột SecureNAT client. Network servers như domain controllers, DNS servers, WINSservers và Web servers thông thường cũng được cấu hình như các SecureNAT clients.Domain controller đã được cấu hình thủ công làm SecureNAT client.Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope(một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấpphát cho DHCP clients thông số default gateway address chính là IP address củaInternal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windowssystems là sử dụng DHCP để nhận các xác lập về thông tin IP address.Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách , Internalnetwork client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúngta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạtđộng, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hìnhDHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh.Trang 104 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Tại máy CLIENT, right click My Network Places icon trên desktop và clickProperties.2. Trong Network and Dial-up Connections, right click Local Area Connectionvà click Properties.3. Trong Local Area Connection Properties dialog box, click Internet Protocol(TCP/IP) , click Properties.4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IPaddress automatically và Obtain DNS server address automatically. Click OK.5. Click OK trong Local Area Connection Properties dialog box.6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start ,Run. Trong Open box, đánh lệnh cmd.7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thểthấy được IP address được cấp phát cho Clientvà các thông số IP address khác màClient dùng như: DNS, WINS và default gatewayTrang 105 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổimáy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2.Cấu hình Web Proxy ClientCấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụngISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấuhình Web browser với vai trò một Web Proxy client. Có thể là:• Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là WebProxy server• Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfigurationscript• Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấuhình này nhé)• Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCPTrong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗtrợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phácủa Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client,và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cầnphải thủ công cấu hình trên trình uyệt web –web browsers của các Clients.Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khiFirewall client được setup trên clients..Trang 106 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETVà chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự độngtrên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệthống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop..).Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP serverssẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thểtự cấu hình. Tuy nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thểcấu hính thủ công trên các browsers cho các Clients. Cúng ta sẽ xem xét cấu hìnhbrowser trong suốt quá trình cài đặt Firewall client ở phần tới.Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser:1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,clickProperties.2. Trong Internet Properties dialog box, click Connections tab. trên Connectionstab, click LAN Settings button.3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settingsdialog box. Đánh dấu check vào Automatically detect settings check box để chophép browser dùng các xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc địnhtrên các Internet Explorer Web browsers. Đặt một checkmark vào Use automaticconfiguration script check box, và điền vào vị trí lưu trữ autoconfiguration scripttrên ISA Server 2004 firewall như sau:http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.ScriptDĩ nhiện máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISAServer 2004 firewall) ra IP address (IP address này nằm trênInternal interface củafirewall. Chú ý một điều, nếu Client có thể dùng wpad để Automatically detectsettings, thì các thông tin cấu hình tự động nằm rong autoconfiguration script sẽđược download đến trình duyệt Web Proxy client. Đặt một checkmark vào Use aproxy server for your LAN (These settings will not apply to dial-up or VPNconnections) check box, và điền vào IP address của Internal interface trên ISAServer 2004 firewall trong Address text box.Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghetrên Port text box, theo mặc định là port 8080. Click OK trong Local AreaNetwork (LAN) Settings dialog box.Trang 107 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click OK trong Internet Properties dialog box.Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cáchcấu hình khác.Cấu hình Firewall ClientPhần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet(trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trênmỗi User hoặc Group.Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential:Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tàikhoản nội bộ trên chính ISA Server 2004 firewall (tức là các accounts nằm trongSam database)nếu cả ISA Server 2004 và clients đều thuộc cùng một Windowsdomain, thì các user accounts có thể nằm trên Windows NT 4.0 SAM hoặc Windows2000/Windows Server 2003 Active Directory. Tôi nhắc lại, trong môi trường Domain2000/2003, Active directory database (trên Domain controller là nơi lưu trữ tất cả tàikhoản User của Domain đó)Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào cóchứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặtFirewall client software từ ISA Server 2004 firewall computer, trước hết hãy bậtSystem Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau nàybạn nên chuyển Source này đến một File server trên mạng để việc truy cập được antoàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewallclient trên 2 computer: domain controller và Windows 2000 client computer.Trang 108 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click InstallISA Server 2004 icon.2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004page, click Next.3. Trên License Agreement page, chọn I accept the terms in the licenseagreement, click Next.4. trên Customer Information page, điền User name, Organization và ProductSerial Number của bạn. Click Next.5. trên Setup Type page, chọn Custom.6. Trên Custom Setup page, click Firewall Services entry và click This featurewill not be available option. Click ISA Server Management entry và click Thisfeature will not be available option. Click Firewall Client Installation Share vàclick This feature, and all subfeatures, will be installed on the local harddrive. Click Next.7. Click Install trên Ready to Install the Program page.8. Click Finish trên Installation Wizard Completed page.Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domaincontroller. Tiến hành các bước sau để cài Firewall client software:1. Tại CLIENT computer trên Internal network, click Start và click Runcommand. trong Open text box, điền vào EXCHANGE2003BEmspclntsetupvà clickTrang 109 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETOK.2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.3. Click Next trên Destination Folder page.4. Trên ISA Server Computer Selection page, chọn Automatically detect theappropriate ISA Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đãtạo wpad entry trong DNS. Nếu bạn chưa tạo một wpad entry, bạn có thể chọnConnect to this ISA Server computer option và điền vào tên hay IP address củaISA Server 2004 firewall trong text box. Click Next.5. Click Install trên Ready to Install the Program page.6. Click Finish trên Install Wizard Completed page.Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hànhcác bước sau trên ISA Server 2004 firewall:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementConsole, mở server name. mở tiếp Configuration node và click trên Networksnode. Right click trên Internal Network và click Properties.2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định làđã đánh dấu vào Enable Firewall client support for this network check box.Xác định là cũng đã đánh dấu vào Automatically detect settings và Useautomatic configuration script check boxes trong khung Web browserconfiguration on the Firewall client computer. Đánh dáu tiếp vào Use a Webproxy server check box. Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDNTrang 110 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETtrong ISA Server name or IP address text box. Trong vd này FQDN của ISAServer 2004 computer là ISALOCAL.msfirewall.org. Click Apply.3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discoveryinformation check box. Để port mặc định này, không thay đổi 80. Click Apply vàOK.Trang 111 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Apply để lưu những thay đổi và cập nhật firewall policy.5. Click OK trong Apply New Configuration dialog box.Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT.1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệthống.2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằngđã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server2004 check box.Xác nhận tiếp đã chọn Automatically detect ISA ServerTrang 112 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trongDetecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. ClickClose.Trang 113 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configurationcheckbox và click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập màchúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thôngsố cấu hình tự động.Click OK trong Web Browser Settings Update dialog box.Trang 114 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server2004 dialog box.Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internetdựa tên các quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004firewall.Kết luậnTrong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhauvà những tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loạitheo một số cách. Trong chương tới của sách chúng ta sẽ phác thảo các thủ tục đểtạo hoặc chỉnh sửa các quy tắc trên chính sách truy cập ra ngoài Internet -outboundaccess policy rules thông qua các Network Template.Trang 115 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 11: Cấu hình các chính sách truy cập trên ISA Server -ISA Server 2004 Access PolicyISA Server 2004 firewall điều khiển các giao tiếp truyền đi giữa các Networks đượckết nối với nhau thông qua firewall. Theo mặc định, ISA Server 2004 firewall sẽngăn chặn tất cả các lưu thông. Các phương thức được sử dụng để cho phép lưuthông qua Firewall là:• Access Rules- Các quy tắc truy cập• Publishing Rules- Các quy tắc xuất bảnAccess Rules điều khiển các truy cập ra bên ngoài từ một Network được bảo vệnằm trong đến một Network khác không được bảo vệ -nằm ngoài.ISA Server 2004 quan tâm đến tất cả Networks không nằm ngoài- External. Cón tấtnhiên, những Network được xác định là External network thí khộng được bảo vệ. CácNetwork được bảo vệ bao gồm: VPN Clients network, Quarantined VPN Clientsnetwork- Mạng VPN Client bị cách ly, Local Host network- chính các ISA ServerFirewall, internal network- Mạng LAN, perimeter networks- DMZ, mạng vànhđai, chứa các Server phục vụ cho Internet user. Các bạn nên ghi nhớ là Internetchính là một External network cơ; và các Mạng của đối tác- partner networks vàextranets cũng được xem là External networks, ISA cần bảo vệ Internal clients khitruy cập đến tất cả Mạng này.Ngược lại với Access rules điều khiển các truy cập ra ngoài, thì Publishing Rules lạicho phép các hosts nằm ở Mạng ngoài External network truy cập các nguồn tàinguyên ở các Mạng được bảo vệ. Ví dụ: Tổ chức của bạn tự quản lý – host, cácServer như: Web, mail và FTP servers. Web and Server Publishing Rules có thểcho phép External hosts truy cập vào các tài nguyên này .ở chương 9 của sách, chúng ta đã dùng Network Template để tự động tạo ra các mốiquan hệ giữa các Network và các Access Rules. Access Rules rất dễ hiểu khi bạnmuốn cho phép truy cập đến tất cả các sites và protocols trên Internet. Trong khicấu hình cho phép ra ngoài đến tất cả nhằm kiểm tra cấu hính cơ bản trên ISAServer 2004 firewall, thì các yếu cầu bắt buộc khác khi cấu hình Firewall đó là giớihạn những gì Users được truy cập trên Internet.Một Access Rule bao gồm các yếu tố sau:Rule Element Mô tảThứ tự (ưu tiên) - Firewall Access Policy là một danh sách thứ tự của cácorder Access Rules. Rules được xử lý theo thứ tự từ trên xuống cho đến khi gặp một điều kiện cụ thể được quy định, khi đó kết nối sẽ được ap đặt theo quy định ấy.Quyết định- Action Có 2 quyết định sẽ đưa ra: Allow –cho phép hoặc Deny – từ chôiTrang 116 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETProtocols Protocols bao gồm tất cả TCP/IP protocols. TCP, UDP, ICMP, và tất cả các giao thức được căn cứ trên IP protocol number. Firewall hỗ trợ tất cả TCP/IP protocols.Nguồn -From/Listener Nguồn giao tiếp có thể từ một IP address, một dãy IP addresses, , hoặc cả một subnet, hay nhiều subnets. Đích đến của giao tiếp có thể thuộc một domain , tập hợp các domains, một URL hoặc tập hợp các URLs, một IPTới- To address, một tập hợp IP addresses, một subnet, nhiều subnets hoặc nhiều networks.Điều kiện - Condition Điều kiện đưa ra căn cứ vào user hoặc group nào sẽ được rule áp dụng.Access Rules giúp bạn tìm được phương thức điều khiển truy cập khá đơn giản nhưnghiệu quả, chủ yếu căn cứ trên User nào, được phép truy cập đến Site nào và sử dụngprotocols nào cho việc giao tiếp đó. Ví dụ sau giúp bạn hiểu rõ về Access Rule:Rule Element ValueOrder (priority) 1Action AllowProtocols HTTP và FTP (download).From/Listener Internal Network.To www.nis.com.vn và ftp.nis.com.vnCondition Limited Web Access (Group).Rõ ràng ví dụ trên đây giới hạn, chỉ cho phép những Users nằm trên Internalnetwork, thuộc group có tên Limited Web Access được sử dụng các giao thức HTTPvà FTP (download) –không được upload nhé ! và chỉ được truy cập đến 2 sites:www.nis.com.vn và ftp.nis.com.vnBước đầu tiên để có thể dùng Access rule điều khiên các user/Group trong việc họtruy cập ra ngoài- outbound accesslà chúng ta phải cấu hình các máy client củahọtrở thành Firewall và Web Proxy clients. Chỉ có những Client nào thuộc loại Firewallvà Web Proxy clients thì mới có thể được Firewall xác thực dựa trên User. Nếu Clientlà SecureNAT clients thông tin về User/Group sẽ không được xác thực, có nghĩa làISA Server firewall sẽ không hiểu đó là ai và deny truy cập. Điều khiển truy cập rangoài cũng có thể hạn chế dựa trên IP address nguồnỞ Chương 10 của sách, bạn đã cấu hình máy CLIENT trên internal network trở thànhmột SecureNAT, Firewall và Web Proxy client. Việc cấu hình này cho phép CLIENT gửithông tin xác thực của mình ( credentials) đến ISA Server 2004 . và Access Rules cóthể làm việc căn cứ trên user/group.IỞ chương này, bạn sẽ tạo vài Access Rules điều khiển việc truy cập ra ngoài thôngqua ISA Server 2004 firewall. Hai rules được tạo ra dựa trên user/group, rule còn lạidựa trên source IP address.Tiến hành các bước sau tạo ra chính sách Firewall:Trang 117 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Tạo một user account• Disable Access Rules đã được tạo bởi Network Template• Tạo một Access Rule giới hạn các Protocols và sites mà User có thể truy cập• Tạo một Access Rule có thể cung cấp cho Admin được dùng các protocols và truycập đến các sites ưu tiên hơn so với các User thường.• Tạo một Access Rule dành cho DNS server thuộc Internal network có thể truy cậpđến các DNS server trên Internet hoặc ra ngoài đến các DNS server của ISP• Dùng HTTP Policy ngăn chặn việc truy cập đến một số Web sites• Kiểm tra lại các Access Rules vừa tạoTạo một User AccountBước đầu tiên chúng ta tiến hành là tạo ra mộtUser account nhằm thử nghiệm cácRules sẽ tạo nhằm giới hạn việc truy cập Internet, được áp đặt cho account đó. Trongbài tập, User account sẽ được tạo trong Active Directory hoặc trên the local userdatabase thuộc máy firewall. Trong ví dụ này chúng ta sẽ tạo ra user account trongActive Directory.Tiến hành các bước sau để tạo ra user2:1. Tại domain controller, click Start , Administrative Tools. Click Active DirectoryUsers and Computers.2. Trong Active Directory Users and Computers console, mở rộng domain namevà click vào Users node. Right click vào Users node. Chọn New và click.3. Trên New Object – User page, điền tên User trong First name text box.Trong vd này, first name là User2. Điền vào user2 trong User logon name textbox. Click Next.Trang 118 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Điền password và xác nhận- confirm lại password trong Confirm password textbox. Remove dấu checkmark từ User must change password at next logon, clickNext.Trang 119 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Create an Exchange mailbox page.6. Click Finish trên trang cuối của New User Wizard.Disable Access Rules đã tạo bởi Network TemplateBước kế tiếp chúng ta sẽ disable các Access Rules đã được tạo bởi Network Template.Trong vd này, chúng ta sẽ disable các Access Rules đã tạo bởi 3-Leg perimetertemplate. Bạn có thể tiến hành thủ tục đơn giản để làm việc này nếu trước đó đã làmvới Front-end firewall Network Template. CHúng ta sẽ lại tiếp tục sử dụng các rulesnày sau, do đó sẽ tiến hành disable thay vì delete. Sau đó chúng ta sẽ enable lại cácAccess Rules được tạo bởi Network Template.Tiến hành các bước sau để disable các Access Rules được tạo bởi Network Template:1. Tại ISA Server 2004 firewall computer, open Microsoft Internet Security andAcceleration Server 2004 management console mở rộng server name nằm khungbên trái. Click vào Firewall Policy node.2. Trong khung Details, click vào rule đấu tiên đã được tạo bởi Network TemplateWizard. Nhấn CTRL key và click tiếp vào rule thứ 2. Bạn đã thấy cả 2 rules đã đượcbôi sáng. Right click rules và click Disable.Trang 120 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Apply lưu nh4ng thay đổi và cập nhật firewall policy.4. Click OK trong Apply New Configuration dialog box.Tạo một Access Rule giới hạn dùng các Protocols và giới hạn truy cập đếncác Sites Users có thể truy cậpAccess Rule đầu tiên sẽ giới hạn users chỉ được sử dụng HTTP và HTTPS protocols.Thêm nữa, users sẽ chỉ có thể sử dụng những giao thức này để truy cập đến cácwebsite của Microsoft. Một firewall group, Limited Access Web Users, sẽ được tạo vàuser2, thuộc Active directory, sẽ được bô trí vào Active Directory group này.Access Rule có thể được mô tả với những đặc điểm như bảng sau:Trang 121 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETRule Element ValueThứ tự ưu tiên - Thứ 3 (sau tất cả cácOrder (priority) rules đã được tạo)Name Limited Access Web UsersQuyết định- Action AllowProtocols HTTP and HTTPS.From/Listener InternalTo Microsoft (Domain Name Set) Limited Web UsersCondition (Group).Tiến hành các bươc sau để tạo ra Access Rule giới hạn User:1.Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security andAcceleration Server 2004 management console và mở rộng server name nằm ởkhung trái.. Click vào Firewall Policy node. Trong Task pane, click Tasks tab. ClickCreate New Access Rule.Trang 122 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule trongAccess Rule name text box. Trong vd này chúng ta sẽ gọi tên rule là LimitedUsers Web Access. Click Next.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn Selected protocols từ danh sách This rule appliesto. Click Add.5. Trong Add Protocols dialog box, double click trên HTTP và HTTPS protocols.Click Close.Trang 123 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Next trên Protocols page.Trang 124 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialogbox, click vào Networks folder. Double click trên Internal network, và click Close.Trang 125 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Click Next trên Access Rule Sources page.9. trên Access Rule Destinations page, click Add. On the Add Network Entitiesdialog box, click menu New và click Domain Name Set.Trang 126 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Trong New Domain Name Set Policy Element dialog box, click New. Điền vàodomain name đầu tiên: *.microsoft.com nhấn ENTER. Điền vào tiếp 3 domains*.msn.com, *.hotmail.com và *.windows.com. Trong Name text box, điềnMicrosoft và click OK.Trang 127 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET11. trong Add Network Entities dialog box, click vào Domain Name Sets foldervà sau đó double click trên Microsoft entry. Click Close.Trang 128 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Trên User Sets page, chọn All Users từ This rule applies to request fromthe following user sets list, và click Remove. Click Add.13. Trong Add Users dialog box, click menu New.14. Trên Welcome to the New User Sets Wizard page, điền tên cho User Settrong User set name text box. Trong vd này chúng ta sẽ đặt tên User Set làLimited Web Users. Click Next.15. trên Users page, click Add. Chọn Windows users and groups option.16. Trong Select Users or Groups dialog box, click Locations button.17. Trong Locations dialog box, mở rộng Entire Directory entry và click vàodomain name. trong vd này, domain name là msfirewall.org. Click OK.Trang 129 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET18. Trong Select Users or Groups dialog box, điền vào User2 trong Enter theobject names to select text box và click Check Names. Khi Active Directory tìmthấy user name, nó sẽ gạch dưới. Click OK.19. Click Next vào Users page.20. Click Finish trên Completing the New User Set Wizard page.21. Double click Limited Web Users entry trong Add Users dialog box và clickClose.22. Limited Web Users entry giờ đây xuất hiện trong This rule applies torequests from the following user sets list. Click Next.23. Click Finish trên Completing the New Access Rule Wizard page.Trang 130 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTạo một Access Rule cho phép các Administrators Được truy cập ưu tiên hơnCác administrators yêu cầu mức độ truy cập Internet so với các User khác trên Mạng.Tuy nhiên, ngay cả với các network administrators cũng nên hạn chế dùng cácprotocols dễ bị lợi dụng để attackers tấn công mạng. Một trong số các protocols nàylà Internet Relay Chat –IRC protocol, giao thức dùng để chat, thường là phương tiệndễ bị các viruses và các software nguy hiểm khác lây nhiễm vào hệ thống. Chúng tasẽ tạo ra một rule cho phép các Admin thuộc Domain Administrators group có thểdúng tất cả protocol ngoại trừ IRC protocol quá nguy hiểm.Access Rule được mô tả theo bảng dưới:Rule Element ValueThứ tự -Order Thứ 2 (sau tất cả các(priority) rule đã tạo)Name Administrator Internet AccessAction AllowProtocols Tất cả Protocols trừ IRCFrom/Listener InternalTo ExternalCondition Administrators (group)Tiến hành các bước sau để tạo Access Policy dành cho các administrators:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, right click trên Firewall Policy node trong khung trái củaconsole, chọn New và click Access Rule.2. Trên Welcome to the New Access Rule Wizard page, điền tên rule vào Accessrule name text box. Trong vd này chúng ta sẽ gọi rule là Administrator InternetAccess. Click Next.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols except selected option từdanh sách This rule applies to, sau đó click Add.Trang 131 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trong Add Protocols dialog box, click vào Instant Messaging folder. Doubleclick vào IRC protocol. Click Close.Trang 132 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Next trên Protocols page.7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialogbox, click vào Networks folder. Double click vào Internal entry và click Close.8. Trên Access Rule Sources page, click Next.9. Trên Access Rule Destinations page, click Add. Click Networks folder sau đódouble click trên External entry. Click Close.10. Trên User Sets page, click All Users và Remove. Click Add.11. trong Add Users dialog box, click menu New.12. Trên Welcome to the New User Sets Wizard page, điền một tên cho User Settrong User set name text box. Trong vd này, chúng ta sẽ đặt tên User SetAdministrators. Click Next.13. trên Users page, click Add. Chọn Windows users and groups.14. trong Select Users or Groups dialog box, click Locations button.Trang 133 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET15. Trong Locations dialog box, mở rộng Entire Directory entry và click vàodomain name. trong vd này domain name là msfirewall.org. Click OK.16. Trong Select Users or Groups dialog box, điền vào Domain Admins trongEnter the object names to select text box và click Check Names. Khi ActiveDirectory tìm ra user name, tên sẽ được gạch dưới. Click OK.17. Click Next trên Users page.18. Click Finish trên Completing the New User Set Wizard page.19. Trong Add Users dialog box, double click trên Administrators entry, và clickClose.Trang 134 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET20. Click Next trên User Sets page.21. Click Finish trên Completing the New Access Rule Wizard page.Tạo một DNS Server Access Rule cho phép Internal DNS Servers truy cập cácInternet DNS ServersTrong kịch bản này, chúng ta sử dụng các DNS server trên Internet để giải quyết cácInternet host names.DNS server trong Mạng phải có khả năng giải quyết Internet host names bằng cáchtiếp xúc với các DNS servers khác nằm trên Internet. Hầu hết các máy chạy các dịchvụ Mạng quan trọng thông thường User không phải logon, do vậy khi chúng ta tạo ramột Access Rule mà không cần căn cứ vào tài khoản logon trên server đó. Thay vàođó chúng ta sẽ tạo ra Computer Set chứa một danh sách tất cả DNS servers trênMạng.Một Computer Set là một tập hợp computer names và các addresses tương ứng củacác computer đó. Điều này tạo sự sễ dàng cho Access Rules điều khiển việc truy cậpcủa các máy thuộc group các computer đó. Chúng ta nên tạo Computer Groups chotất cả những network servers quan trọng, như vậy khi áp dụng access rules điềukhiển việc truy cập của các server này ra bên ngoài, chúng ta sẽ khong cần phải căncứ trên User account (ai đã logon vào Các computer đó)Rule Element ValueOrder (priority) Thứ 1 (sau tất cả các rule đã tạo)Name DNS ServersAction AllowProtocols DNSFrom/Listener DNS ServersTo ExternalCondition All UsersTiến hành các bước sau để tạo một Access Rule cho phép các internal network DNSserver truy cập đến các DNS servers trên Internet:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, right click vào Firewall Policy node trong khung trái củaconsole. Chọn New và click Access Rule.2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule vàoAccess rule name text box. Trong vd này chúng ta gọi tên rule là DNS Servers.Click Next.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn Selected protocols từ danh sách This rule appliesto, và click Add.5. Trong Add Protocols dialog box, click trên Infrastructure folder. Double clicktrên DNS protocol. Click Close.Trang 135 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Next trên Protocols page.7. trên Access Rule Sources page, click Add. trong Add Network Entities dialogbox, click menu New, sau đó click Computer Set.8. Trong New Computer Set Rule Element dialog box, click Add. Click Computeroption.Trang 136 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Trong New Computer Rule Element dialog box, điền tên DNS server trongName text box. Trong vd này chúng ta sẽ đặt tên DNS server đầu tiên là DNS1.Điền vào IP address của DNS server trong Computer IP Address text box. ClickOK.Trang 137 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Click OK trong New Computer Set Rule Element dialog box.11. Trong Add Network Entities dialog box, click trên Computer Sets folder.Double click vào DNS Servers entry. Click Close.Trang 138 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Click Next trên Access Rule Sources page.13. trên Access Rule Destinations page, click Add. Click Networks folder vàdouble click vào External entry. Click Close.14. Click Next trên Access Rule Destinations page.15. Trên User Sets page, chấp nhận entry mặc định là All Users, click Next.16. Click Finish trên Completing the New Access Rule Wizard page.Dùng HTTP Policy để ngăn chặn truy cập đến các Web Sites đáng ngờBạn có thể ngăn chặn việc truy cập đến các Web sites đáng ngờ dựa trên một sốthông tin trên giao tiếp HTTP, thông qua ISA Server 2004 HTTP policy có thể giúpbạn đạt được mục đích này.. Ví dụ chúng ta muốn ngăn chặn việc truy cập đến cácWeb sites chứa các ứng dụng chia sẽ file ngang hàng phổ biến như: Kaaza,Edonkey...Các chương trình chia sẽ file này có thể gây nhiều rủi ro bảo mật cho Netowrk bởi vìcác File được download qua các ứng dụng chia sẽ này có thể chứa viruses, worms vàcác tài liệu vi phạm bản quyền.Theohướng dẫn sau, chúng ta sẽ tạo HTTP policy dành cho Administrator InternetAccess và một policy khác là Limited Access Web Users cho user để ngăn chặnTrang 139 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETcác truy cập Web tới các Sites nguy hiểm trên. Dấu hiệu nhận biết, để cấu hình chínhsách block là các chuỗi ký tự như “Kaaza”. Trong khi ví dụ này chỉ dùng các cụm từmô tả “thô” về các site cần ngăn chặn, điều đó cũng cho thấy sức mạnh của ISAServer 2004 trong việc phát hiện và ngăn chặn hiệu quả, thể hiện trong HTTP policynàyTiên hành các bước sau nhằm ngăn chặn User truy cập đấn các sites của Kaaza:1. trong Microsoft Internet Security and Acceleration Server 2004management console, click trên Firewall Policy node.2. Right click trên Administrator Internet Access rule và click Configure HTTP.3. trong Configure HTTP policy for rule dialog box, click Signatures tab.4. trên Signatures tab, click trên Add button.5. trong Signature dialog box, điền tên “dấu hiệu” trên Name text box. Trong ví dụnày chúng ta sẽ đưa dấu hiệu nhận biết vào là Kaaza URL. Chọn Request URLentry trong danh sách Search in . Điền vào chuỗi kí tự kaaza trong Signature textbox. Click OK.Trang 140 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Apply và OK trong Configure HTTP policy for rule dialog box.Trang 141 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Lập lại các bước vừa tạo đối với rule: Limited Access Web Users .8. Click Apply để lưu lại những thay đổi và cập nhật cho firewall policy.9. Click OK trong Apply New Configuration dialog box.Kiểm tra lại các Access Rules vừa tạoBây giờ bạn đã có một Access Policy trên ISA Server 2004Và chúng ta có thể kiểmtra lại policy này.Tiến hành các bước sau để tets Access Policy:1. Trước tiên, xem lại Access Policies đã tạo trên ISA Server 2004 firewall. TrongMicrosoft Internet Security and Acceleration Server 2004 managementconsole, mở rộng server name và click trên Firewall Policy node. Review lại AccessRules trong khung Details.Trang 142 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Log on vào CLIENT computer là User2. Mở Web browser và đánh vàowww.nis.com.vn trên Address bar. Nhấn ENTER.3. Trang chủ của Network Information Security Vietnam xuất hiện trong trình duyệtInternet Explorer. Đánh tiếp địa chỉ www.alonet.com và nhấn ENTER.4. Bạn sẽ thấy MSN search báo rằng www.alonet.com không tìm thấy. Bạn có thểcung cấp nhiều thông tin phản hồi cho User hơn thông qua việc chuyển yêu cầu Userđến một Internet Web server khác.5. Trong Internet Explorer, điền vào www.msn.com và nhấn ENTER.6. Bạn sẽ thấy trang chủ của www.msn.com Có thể có vài hình ảnh không xuất hiệntrên trang chủ này, vì chúng nằm ngoài phạm vi các sites được cho phép mà bạn đãxác định tại Domain Set khi tạo Access Rule.7. Trong Internet Explorer Address điền vào URL sau:http://www.msn.com/kaaza. trang thông báo lỗi xuất hiện, bộ lọc HTTP Securityfilter đã ngăn chặn kết nối. Dấu hiệu nhận biết- Signature đã cấu hình trong HTTPpolicy áp dụng cho Access Rule đã nhận ra chuỗi kí tự “Kaaza” trong địa chỉ URL vàthực hiện lệnh Chặn.Trang 143 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Log off khỏi CLIENT và sau đó log on lại bằng account Administrator.9. Mở Web browser và điền vào www.microsoft.com trong Address bar của trìnhduyệt Internet Explorer , nhấn ENTER. Microsoft Web site sẽ xuất hiện.10. Điền vào tiếp www.alonet.com trong Address bar của Internet Explorer và nhấnENTER. Với tài khoản Administrator, bạn có thể truy cập site.11. Điền vào www.alonet.com/kaaza bạn sẽ tiếp tục thấy xuất hiện lỗi các xác lậptrong HTTP policy đã “filter” và block kết nối này.12. Click Start và click Run command. Trong Run dialog box, điền vào cmd trongOpen text box. Click OK.13. tại C:/> đánh lệnh sau telnet ftp.nis.com.vn 21 và nhấn ENTER. Bạn sẽ thấybanner thông báo 220 NIS FTP Service. Đánh lệnh quit và nhấn ENTER. Bạn sẽthấy thông báo 221 Thank-you for using NIS products!14. Tại command line dùng lệnh sau telnet dragons.ca.usdal.net 6667 và nhấnENTER. Bạn sẽ thấy lỗi thông báo kết nối failed. Nếu chúng ta theo dõi thường trựctrên ISA Server 2004 tại thời điểm này sẽ thấy kết nối bị từ chối bởi firewall.15. Log off khỏi CLIENT computer.Trang 144 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKết luậnTrong chương 11 này, chúng ta đã thảo luận về những phương pháp có thể dùng đểkiểm soát truy cập ra ngoài Internet qua ISA Server 2004 Access Rules. Trong cácphần hướng dẫn, các bạn đã tạo ra các Access Rules điều khiển việc truy cập đếnmột số Web sites và được sử dụng những giao thức nào. Phương thức kiểm soát cũngcăn cứ trên đối tượng là user hoặc group. Trong chương tới của sách Chúng ta sẽxem xét cách thức publish một Web và FTP server, các server này nằm trongperimeter network của tổ chức và cho phép Internet User truy cập thông tin theo cácchính sách bảo mật quy định.Trang 145 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 12: Xuất bản Web và FTP Server thuộc PerimeterNetwork ra InternetISA Server 2004 firewalls cho phép chúng ta publish các nguồn tài nguyên thuộcccác Mạng được bảo vệ, nhằm cho phép người bên ngoài -external users, có thể truycập đến các nguồn tài nguyên đó. Có 2 phương pháp cơ bản để thực hiện publish cáctài nguyên trên các Mạng được bảo vệ là:• Web Publishing Rules• Server Publishing RulesWeb Publishing Rules có thể được sử dụng để publish Web servers. External users cóthể kết nối đến Web servers đã được Publish sử dụng các giao thức như: HTTP /HTTPS (SSL) protocols. Web Publishing Rules có một số ưu điểm hơn so với ServerPublishing Rules, và bạn luôn có thể dùng một Web Publishing Rule khi tiến hànhpublish một Web site.Server Publishing Rules có thể dùng để publish bất cứ giao thức mà Server sử dụng –Server Protocol. Có thể dùng Server Publishing Rules để publish: FTP sites, mailservers, news servers, terminal servers và các giao thức Server khác. Sử dụngServer Publishing Rules khi Web Publishing Rules không thể sử dụng để publish mộtdịch vụ thuộc Mạng được bảo vệ như Perimeter networkTrong chương này của sách, chúng ta sẽ publish một Web site và một FTP site đượcđặt tại Perimeter network –DMZ. Chúng ta vẫn nên đọc phần này, ngay cả khi bạnđã quyết định dùng Edge Firewall template thay cho 3-Leg Perimeter NetworkTemplate- Nơi có khu vực Perimeter Network, mà chúng ta sẽ đề cập ngay sau đây.Những nguyên tắc chủ yếu khi tiến hành áp dụng đều giống nhau cho dù đang ápdụng Edge template hay 3-leg template. Sự khác nhau chỉ nằm tại vị trí các Serversẽ được publish.Tiến hành các bước sau để publish Web và FTP sites thuộc perimeter network:• Cấu hình Web site mẫu• cấu hình FTP site mẫu• Disable các rules đã can thiệp –custom rules và dùng các rules đã tạo sẵn bởitemplate• Tiến hành tạo Web Publishing Rule• Tiến hành tạo FTP Server Publishing Rule• Kiểm tra lại (người ngoài Internet truy cập vào các sites này)Cấu hình Web SiteBước đầu tiên là cấu hình Web site trên perimeter network . Trong môi trường thựctế, có thể Web site đã được cấu hình và chỉ chờ publish. Trong ví dụ đây, chúng tacần tạo ra một website mẫu- default Web site và xác lập vài tham số để có thể kiểmtra việc publish thành công hay không?Tiến hành các bước sau để cấu hình Web site trên IIS server thuộc perimeternetwork:Trang 146 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Click Start , Administrative Tools. Click Internet Information Services (IIS)Manager.2. Trong Internet Information Service (IIS) Manager console, mở rộng servername và Web sites node.3. Right click Default Web Site node và click Properties.4. Trong Default Web Site Properties dialog box, chọn IP address của server trongIP address list.5. Click vào Documents tab, và click Add. Trong Add Content Page dialog box,điền vào tên default.txt. Click OK.Trang 147 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Sử dụng Move Up button chuyển default.txt lên đầu danh sáchTrang 148 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click Apply; sau đó click OK trong Default Web Site Properties dialog box.8. Right click vào server name ở khung trái và trỏ vào All Tasks. Click Restart IIS.9. chọn Restart Internet Services on TRIHOMEDMZLAN1 trongStop/Start/Restart dialog box và click OK.Trang 149 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Đóng Internet Information Services (IIS) Manager console.11. Click Start và Windows Explorer.12. Tìm đến C:Inetpubwwwroot folder. Click menu File , chọn New và clickText Document.13. Double click vào New Text Document.txt ở khung phải. Điền vào dòng textsau: This is the Web site on the perimeter network segment. Click File và clickExit. Click Yes trong Notepad dialog box yêu cầu nếu bạn muốn save những thayđổi.14. Right click vào New Text Document.txt file và click Rename. Đổi lại tên filethành default.txt.Cấu hình FTP SiteBước tiếp theo sẽ cấu hình FTP site để sẵn sàng cho việc publish. Bạn sẽ gửi IPaddress của FTP site và cấu hình thông điệp chào mừng đến với FTP site. Ngoài ra,bạn cũng sẽ cho phép user upload dữ liệu lên FTP site. Trong môi trường thực tế việcupload files lên FTP server có thể bị cấm, nhằm ngăn chặn những việc đưa những tàiliệu bất hợp pháp hoặc vi phạm bản quyền lên siteTiến hành các bước sau cấu hình FTP site:1. Click Start , Administrative Tools. Click Internet Information Services (IIS)Manager.2. Mở rộng server name bên khung trái Internet Information Services (IIS)Manager console, sau đó mở rộng FTP Sites node.3. Right click vào Default FTP Site và click Properties.4. Trong Default FTP Site Properties dialog box, chọn IP address của server trongdanh sách IP address.Trang 150 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click vào Messages tab. Trong Banner text box, điền vào This is the perimeternetwork FTP site. Trong Welcome text box, điền vào Welcome to the ISAfirewall protected FTP site. Trong Exit text box, điền vào Goodbye! trongMaximum connections text box, điến vào thông báo sau Site is busy come backlater.Trang 151 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click vào Home Directory tab. Trên Home Directory tab, đánh dấu check vàoWrite text box. Lưu ý nên cẩn trọng trong môi trường thực của bạn việc ch phépquyền Write trên FTP sites. Những kẽ có y đồ có thể lợi dụng việc này để đưa lên cácdữ liệu, files bất hợp pháp, vi phạm bản quyền.Trang 152 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click Apply và OK trong Default FTP Site Properties dialog box.8. Right click vào server name trong khung bên trái và chọn All Tasks. ClickRestart IIS.9. Chọn Restart Internet Services on TRIHOMEDMZLAN1 entry trong What doyou want IIS to do? và click OK.10. Đóng Internet Information Services (IIS) Manager console.11. Click Start và Windows Explorer.12. Tìm đến folder C:Program FilesNetMeeting. Chọn tất cả File trong Foldernày và chọn copy.13. Tìm đến folder C:Inetpubftproot. Paste tất cả File bạn đã copy.Disable Các quy tắc tùy biến và enable lại các quy tắc được tạo bởi TemplateTrong chương trước của sách, chúng ta đã tạo ra các Access Rules điều khiển việctruy cập ra Internet căn cứ trên user/group. Bây giờ, chúng ta sẽ disable những rulesđó và sử dụng các Rules đã tạo sẵn trong 3-Leg Perimeter Network Template.Trang 153 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTiến hành các bước sau để disable các custom rules đã tạo ở chương trước và enablecác rules được tạo sẵn trong Template:1. Tại ISA Server 2004 firewall mở Microsoft Internet Security and AccelerationServer 2004 management console. Mở rộng server name và click vào FirewallPolicy node.2. Click DNS Servers policy. Nhấn CTRL key và click Administrator InternetAccess and Limited Access Web Users Access Rules. Right click một trong số cácrules và click Disable.3. Click Apply để lưu lại những thay đổi và cập nhật firewall policy.4. Click OK trong Apply New Configuration dialog box.5. Click rule đầu tiên đã được tạo bởi Wizard. Trong ví dụ này, rule đầu tiên là VPNClients to Internal Network. Nhấn CTRL key và click vào rule thứ hai , bây giờ cả2 rules đã được chọn. Right click vào một trong hai, click Enable.6. Với 2 Access Rules vẫn được chọn, click vào dấu mũi tên xanh hướng lên trongconsole, sau đó chuyển rule lên hàng trên cùng của danh sách.Trang 154 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.8. Click OK trong Apply New Configuration dialog box.Tạo quy tắc publish Web - Web Publishing RuleBây giờ bạn đã sẵn sàng cho việc publish Web. Web Publishing Rule sẽ cấu hình đểISA Server 2004 firewall lắng nghe các yêu cầu đến Web site của bạn. Bởi vì ISAServer 2004 firewall là một ứng dụng “thông minh”, Lớp ứng dụng trên Firewall chỉchấp nhận các yêu cầu từ external users, những người truy câp đến đúng tên Website. Các External users, hackers và Internet worms sẽ không thể kết nối đến Website khi chỉ dùng một IP address đơn giản.Tiến hành các bước sau để tạo Web Publishing Rule:1. Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security andAcceleration Server 2004 management console và mở rộng server name. Clickvào Firewall Policy node.2. Right click Firewall Policy node, chọn New và click Web Server PublishingRule.3. Trên Welcome to the New Web Publishing Rule Wizard page, điền vào tênWeb publishing rule name text box. Trong ví dụ này, chúng ta sẽ đặt tên làPerimeter Web Server. Click Next.4. Trên Select Rule Action page, chọn Allow và click Next.5. Trên Define Website to Publish page, điền vào tên Web server trênperimeter network trong Computer name or IP address text box. Đây là tên hayIP address của Server trên perimeter network , không phải IP address trên Cardngoài- external interface của ISA Server 2004 firewall. Trong ví dụ này chúng ta sẽdùng tên perimeter.msfirewall.org; tên này phải có thể giải quyết ra IP addressđược sử dụng bởi Web server trên perimeter network. Điều này có thể tiến hànhbằng cách cài đặt một DNS Server phân tách dịch vụ tim tên - split DNSinfrastructure, hoặc dùng một HOSTS file trên ISA Server 2004 firewall.Sau này, bạn sẽ tạo một HOSTS file dành cho các máy ở perimeter network.TrongFolder text box, điền vào /*. Click Next.Trang 155 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trên Public Name Details page, chọn This domain name (type below) trongAccept requests for list. Trong Public name text box, điền vào tên mà externalusers sẽ truy cập site. Trong ví dụ này chúng ta sẽ dùng tênperimeter.msfirewall.org. Khi User truy cập vào http://perimeter.msfirewall.orgTên này sẽ được DNS giải quyết thành địa chỉ ngoài -external IP address trên ISAServer 2004 firewall, nơi đang lắng nghe thực sự các yêu cầu truy cập vào Web site.Trong Path (optional) text box, điền /*. Điều này cho phép users truy cập đến tấtcả directories trên Website, dĩ nhiên rằng nếu họ có quyền làm điều đó. Click Next.Trang 156 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Trên Select Web Listener page, click New.8. Trên Welcome to the New Web Listener Wizard page, điền tên cho Weblistener trong Web listener name text box. Trong ví dụ này, tên sẽ là Listener1.Click Next.9. Trên IP Addresses page, đánh dấu check vào External check box và clickAddress.Trang 157 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Trên External Network Listener IP Selection page, chọn Specified IPaddresses on the ISA Server computer in the selected network. Trong danhsách Available IP Addresses chọn IP address trên Card ngoài- external interfacecủa ISA Server 2004 firewall và click Add. IP bây giờ sẽ xuất hiện trong Selected IPAddresses list. Click OK.Trang 158 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET11. Click Next trên IP Addresses page.Trang 159 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Trên Port Specification page, xác nhận là đã đánh dấu check vào EnableHTTP check box port mặc định HTTP port là 80. Click Next.Trang 160 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET13. Click Finish trên Completing the New Web Listener Wizard page.14. Listener1 entry giờ đã xuất hiện trong Web listener list. Click Next.Trang 161 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET15. Trên User Sets page, chấp nhận mặc định, All Users, và click Next.16. Click Finish trên Completing the New Web Publishing Rule Wizard page.17. Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.18. Click OK trong Apply New Configuration dialog box.Bước kế tiếp là tạo ra HOSTS file để firewall có thể giải quyết tênperimeter.msfirewall.org thành IP address được sử dụng bởi website trênperimeter network.Trong ví dụ này, Web site đang lắng nghe trên IP address 172.16.0.2.1. Click Start , Run. Trong Run dialog box, điền vào notepad click OK.2. Click File menu và Open. Trong Open dialog box, điền vàoc:windowssystem32driversetchosts trong File name text box và clickOpen.Trang 162 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Đưa dòng text sau vào HOSTS file:172.16.0.2 perimeter.msfirewall.org .Nhấn ENTER khi kết thúc dòng. Click File , click Exit. Trong Notepad dialog box,click Yes để lưu những thay đổiTrang 163 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTạo FTP Server Publishing RuleVới Server Publishing Rules mơi vấn đề liên quan đến publish Server còn đơn giảnhơn cả Web Publishing Rules. Một Server Publishing Rule đẩy các yêu cầu truy cậpvào Server đến các server được publish và ISA Server 2004 firewall xử lý các yêu cầunày thông qua bọ lọc lớp ứng dụng của mình - application layer filters. Thông tin duynhất cần để hỗ trợ cho Server Publishing Rule là IP address của Server sẽ đượcpublish. Chú ý rằng tất cả các server có Primary connection luôn được xác lập làinbound.Tiến hành các bước sau để tạo một FTP Server Publishing Rule:1. Tại ISA Server 2004 firewall , mở Microsoft Internet Security andAcceleration Server 2004 management console và mở rộng server name. Clicktrên Firewall Policy node.2. Right click vào Firewall Policy node, chọn New và click Server PublishingRule.3. Trên Welcome to the New Server Publishing Rule Wizard page, điền vào têncủa rule trong Server publishing rule name text box. Trong ví dụ này, chúng ta sẽđặt tên là Perimeter FTP Server và click Next.4. Trên Select Server page, điền vào IP address của FTP server trên perimeternetwork trong Server IP address text box. Trong ví dụ này, FTP server đang lắngnghe trên IP address 172.16.0.2. Click Next.Trang 164 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Select Protocol page, chọn FTP Server protocol từ danh sách Selectedprotocol. Click Next.Trang 165 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trên IP Addresses page, đánh dấu check vào External check box. ClickAddresses button.7. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses on the ISA Server computer in the selected network option. ChọnIP address trên Card ngoài - external interface của ISA Server 2004 firewall trongAvailable IP Addresses list và click Add. IP bây giờ xuất hiện trong Selected IPAddresses list. Click OK.8. Click Next trên IP Addresses page.9. Click Finish trên Completing the New Server Publishing Rule Wizard page.Bước kế tiếp xác định đúng mối liên hệ Network giữa perimeter network vàexternal network:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng Configuration node và click Networks node.2. Trong Details pane, click Network Rules tab. Right click Perimeter AccessNetwork Rule và click Properties.3. Trong Perimeter Access Properties dialog box, click Network Relationshiptab.4. Trên Network Relationship tab, chọn Network Address Translation (NAT).Click Apply and OK.5. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.Trang 166 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click OK trong Apply New Configuration dialog box.Kiểm tra lại kết quả Publish ServerGiờ đây chúng ta đã sẵn sàng cho việc kiểm tra kết nối. Internet Explorer 6.0 có thểtruy cập cả hai Web FTP sites . Sự khác nhau uy nhất khi truy cập vào các sites nàylà việc gõ lệnh trong I.E, một bên là: http:// cho truy cập Web site và ftp:// truycập FTP site. Bạn cũng sẽ được xem hướng dẫn, cấu hình FTP site như thế nào đểcho phép external users đượcvupload files.Tiến hành các bước sau để kiểm tra Web và FTP Server Publishing Rules:1. Bước đầu tiên thực hiện tại external Windows 2000 client là việc cấu hình HOSTSfile nhằm cho phép Client có thể giải quyết tên perimeter.msfirewall.org thành IPngoài- external address của ISA Server 2004 firewall.2. Click Start và Run. Trong Run dialog box, điền notepad và click OK.3. Click menu File và chọn Open. Trong Open dialog box, điền vàoc:windowssystem32driversetchosts in the File name text box, và clickOpen.4. Đưa dòng text sau vào HOSTS file:192.168.1.70 perimeter.msfirewall.orgNhấn ENTER tại cuối dòng. Click File và click Exit. Trong Notepad dialog box, clickYes để lưu lại những thay đổi5. Từ Máy client bên ngoài -external client machine, mở Internet Explorer và điềnvào http://perimeter.msfirewall.org .ENTER. Trang Web mặc định của site sẽ xuấthiện.6. Trong Internet Explorer, điền vào ftp://perimeter.msfirewall.org . ENTER. Bạn sẽthấy nội dung của FTP site. Theo mặc định, chúng ta chỉ có thể download files từ FTPsite.Trang 167 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Nếu bạn muốn upload files lên site, quay trở lại Microsoft Internet Securityand Acceleration Server 2004 management console right click vào PerimeterFTP Server publishing rule và click Configure FTP.8. Trong Configures FTP protocol policy dialog box, remove dấu check tại ReadOnly check box. Click Apply và OK.Trang 168 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Click Apply lưu lại những thay đổi và cập nhật firewall policy.10. Click OK trong Apply New Configuration dialog box.Kết luận:Trong chương này chúng ta đã thảo luận 2phương thức chính cho phép InternetUsers -external users, có thể truy cập vào các tài nguyên (FTP, Web Site) được đặttrên Mạng được bảo vệ- DMZ Network. Trước tiên, chúng ta dùng Web PublishingRule để cho phép truy cập vào các tài nguyên Web . Kế tiếp chúng ta dùng we useda Server Publishing Rule để cho phép truy cập FTP site. Trong chương tới của sách,chúng ta sẽ xem xét trình tự để thực hiện bộ lọc chuyển tiếp mail lớp Application:SMTP relay server trên ISA Server 2004 firewallTrang 169 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 13: Cấu hình ISA Server 2004 trở thành một bộ lọcchuyển tiếp email-Filtering SMTP RelayMột trong những thành phần cấu thành nên hệ thống ISA Server Firewall 2004 đó làSMTP Message Screener- tạm gọi là bộ xét duyệt ứng dụng chuyển Mail. SMTPMessage Screener có thể kiểm tra các SMTP messages tại lớp ứng dụng - applicationlayer để sau đó tiến hành chuyển tiếp- relay hay loại bỏ - reject messages dựa trêncác thông số mà bạn cấu hình. SMTP Message Screener có thể đánh giá mail gửi vào-incoming SMTP mail dựa trên các đặc điểm sau:• Tài khoản mail của người gửi -Sender mail account và Tên domain của người gửi -sender domain name• Tên của Attach file, phần mở rộng attach và kích cỡ attach file• Những từ trọng điểm/ từ khóa -Keywords nằm trong dòng Subject và bên trong nộidung messages (text/plain và cả text/html). Ví Dụ một attach file có phần đuôi filemở rộng là .pif có thể là Internet worms. Phải nói rằng có rất ít hoặc không có nhữngmail hợp pháp mà lại chứa attach file có phần đuôi là .pif , cho nên cách tốt nhất bạncó thể cấu hình bộ lọc- filter để chặn lại những email có attach file kiểu này và tiếnhành các hành động sau:• Delete message• Giữ lại message• Đẩy- Forward message đến một tài khoản email được chỉ địnhCó thể nói, SMTP Message Screener là một thành phần không thể thiếu trong sơ đồphòng vệ chặt chẽ, nhằm chống lại các email nguy hiểm.Internet worms và viruses, cũng phả kể đến spam, là những gieo rắc kinh hoàng chohệ thống Mạng. Worms và viruses có thể tấn công vào các network servers, cácservices và workstations khi đã lây nhiễm vào bên trong Mạng. Spam có thể gây tắcnghẽn băng thông của Mạng nội bộ, làm mất nhiều thời gian của nhân viên trong xửlý mail, chi phí hao tổn có thể lên đến háng ngàn, thậm chí hàng triệu $ mỗi tháng..Xây dựng hệ thống phóng vệ cho E-mail nhằm đạt hiệu quả cao trong giao dịch emailcủa Doanh nghiệp. Chúng ta có thể sử dụng ISA Server 2004 SMTP MessageScreener kết hợp với Exchange SMTP Gateway Server nhằm cung cấp một giải pháptối ưu trong kế hoạch phòng vệ cho hệ thống mail.Trong ví dụ dưới đây, chúng ta sẽ cấu hinh ISA Server với vai trò một SMTP Serverchuyển tiếp mail, từ Internal ra External- outbound, và từ External vào Internal -inbound. Inbound SMTP relay component Sẽ chấp nhận mail vào -incoming mail: cácSMTP servers bên ngoài gửi đến các e-mail với tên miền do bạn quản lý trên mailExchange Server của bạn. Outbound SMTP relay được dủng lọc mail gửi ra ngoài,xuất phát từ Exchange Server của bạn đến các domains e-mail trên Internet (e-maildomains thuộc các tổ chức khác trên Internet).Mục tiêu cơ bản là như vậy, chúng ta sẽ thực hiện các bước sau:• Phục hồi hệ thống quay lại trạng thái cấu hình ban đầu- ngay sau khi cài đặt• Cấp phát thêm một IP address thứ 2 cho Internal interface của ISA Server 2004firewall• Cài đặt và cấu hình SMTP Service• Cài đặt SMTP Message ScreenerTrang 170 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Tạo ra các SMTP Server Publishing Rules• Cấu hình nhật kí ghi nhận các hoạt động của Screener - SMTP Message Screenerlogging• Kiểm tra lại cơ chế lọc mail của SMTP FilteringPhục hồi hệ thống trở lại cấu hình ban đầuĐể có thể kiểm tra đầy đủ về cấu hình inbound & outbound SMTP relay, chúng ta cầnphải đưa Computer quay trở lại cấu hình ban đầu, với cấu hình nguyên trạng này,các Access Rules sẽ không tác động, làm ảnh hưởng đến việc phát triển các kịch bảnvới những mục đích khác nhau. Trong mội trường thực tế tại tổ chức của mình, bạnnên giữ lại các cấu hình, tức là không đụng chạm đến các Access Rules và addvao2thêm Server Publishing Rules cần thiết để tạo inbound & outbound SMTP relays.Tiến hành các bước sau để khôi phục lại cấu hình ban đầu trên ISA Server 2004firewall:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole và right click trên server name. Click Restore command.2. Trong Restore Configuration dialog box, chọn backup file bạn đã tạo lúc banđầu và click Restore.3. Trong Type Password to Open File dialog box, điền vào password bạn đã xáclập cho file trong Password text box và click OK.4. Click OK trong Importing dialog box sau khi thấ thông báo The configurationwas successfully restored.5. Click Apply lư những thay đổi và cập nhật cho firewall policy.6. Chọn Save the changes and restart the service(s) trong ISA ServerWarning dialog box, và click OK.7. Click OK trong Apply New Configuration dialog box.Phân chia địa chỉ thứ 2 -second IP address , cho Card trong- Internalinterface trên ISA Server 2004 firewallChúng ta sẽ thêm vào 2nd IP address cho Internal interface của ISA Server 2004firewallĐiều này sẽ cho phép chúng ta publish outbound SMTP relay trên một IP addresskhác so với inbound SMTP relay.Tiến hành các bước sau để add 2nd IP address cho Internal interface của ISAServer 2004 firewall:1. Tại ISA Server 2004 firewall, right click trên My Network Places nằm ởdesktop và click Properties.2. Trong Network Connections window, right click LAN interface và clickProperties.3. Trong LAN Properties dialog box, kéo xuống danh sách This connection usesthe following items , rồi double click vào Internet Protocol (TCP/IP).4. Trong Internet Protocol (TCP/IP) Properties dialog box, click Advancedbutton.5. Trong Advanced TCP/IP Settings dialog box, click IP Settings tab. Trongkhung IP addresses, click Add.Trang 171 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trong TCP/IP Address dialog box, điền vào 10.0.0.10 trong IP address textbox. Điền vào 255.255.255.0 trong Subnet mask text box. Click Add.7. IP address 10.0.0.10 giờ đã xuất hiện thứ 2 trong sanh sách IP addresses. ClickOK.8. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.9. Click OK trong LAN Properties dialog box.Cài đặt và cấu hình SMTP ServiceTiến hành cài SMTP service trên IIS 6.0 trước khi cấu hình ISA Server 2004 SMTPMessage Screener. SMTP service sẽ làm việc với SMTP Message Screener để kiểm travà ngăn chặn những e-mail không hợp pháp.Tiến hành các bước sau để cài đặt SMTP service trên IIS 6.0:1. Click Start , Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs window, click Add/Remove WindowComponents bên khung trái window.3. Trên Windows Components page, click Application Server trong danh sáchcủa các Components, click Details.4. Trong Application Server dialog box, click Internet Information Services(IIS), và click Details.5. Trong Internet Information Services (IIS) dialog box, đánh dấu vào SMTPService check box và click OK.Trang 172 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click OK trong Application Server dialog box.7. Click Next trên Windows Components page.8. Click OK trong Insert Disk dialog box.9. Điền vào đường dẫn đến folder i386 trong Copy file from text box thuộc FilesNeeded dialog box.10. Click Finish trong Completing the Windows Components Wizard page.Bước kế tiếp là cấu hình SMTP server service nhằm hỗ trợ inbound & outbound relay:1. Click Start , Administrative Tools. Click Internet Information Services (IIS)Manager.2. Trong Internet Information Services (IIS) Manager console, mở rộngcomputer name ở khung trái. Right click Default SMTP Virtual Server và clickProperties.3. Trong Default SMTP Virtual Server Properties dialog box, click Access tab.4. Trên Access tab, click Relay button trong khung Relay restrictions .5. Trong Relay Restrictions dialog box, xác nhận rằng đã chọn Only the listbelow , sau đó click Add.6. Trong Computer dialog box, chọn Single computer và điền vào IP addresscủa Exchange Server trong IP address text box. Trong ví dụ này IP Address củaExchange Server là 10.0.0.2. Click OK.Trang 173 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click OK trong Relay Restrictions dialog box.8. Click Apply và OK trong Default SMTP Virtual Server Properties dialog box.9. Mở rộng Default SMTP Virtual Server node trong khung trái và rightclick trên Domains node. Chọn New và click Domain.10. Trên Welcome to the New SMTP Domain Wizard page, chọn Remote và clickNext.11. Trên Domain Name page, điền vào domain của Internal network trongName text box. Đây chính là domain mà bạn muốn SMTP relay trên ISA Server 2004firewall chấp nhận các mail gửi vào-incoming mail từ các SMTP servers mail trênInternet. Trong ví dụ này, Internal network domain là msfirewall.org. Click Finish.12. Double click vào msfirewall.org domain trong khung phải.13. Trong msfirewall.org Properties dialog box, đánh dấu check vào Allowincoming mail to be relayed to this domain check box. Chọn Forward all mailto smart host. Điền vào IP address của Exchange Server trên Internal network bêntrong text box.Trong ví dụ này của chúng ta, IP address của Exchange Server trênInternal network là 10.0.0.2, vì vậy chúng ta sẽ điền vào [10.0.0.2]. Click Apply vàOK.Trang 174 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET14. Right click vào Default SMTP Virtual Server node và click Stop. Right clickDefault SMTP Virtual Server node và click Start.Cài đặt SMTP Message ScreenerSMTP Message Screener một thành phần lựa chọn của ISA Server 2004. Tính năngnày tích hợp với IIS 6.0 SMTP service nhằm kiểm tra và ngăn chặn SMTP mail việcngăn chặn dựa trên những thông số mà bạn đã cấu hình trong Message Screener.Tiến hành các bước sau để cài đặt SMTP Message Screener trên ISA Server 2004firewall:1. Đóng Microsoft Internet Security and Acceleration Server 2004management console.2. Xác định phầm mềm cài đặt ISA Server 2004 và double click vào isaautorun.exefile.3. Trong menu autorun, click Install ISA Server 2004 icon.4. Click Next trên Welcome to the Installation Wizard for Microsoft ISAServer 2004 page.Trang 175 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Program Maintenance page, select Modify và click Next.6. Trên Custom Setup page, click lựa chọn Message Screener và This feature,and all subfeatures, will be installed on local hard drive. Click Next.Trang 176 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Click Install trên Ready to Modify the Program page.8. Đánh dấu vào Invoke ISA Server Management when the wizard closescheck box và click Finish trên Installation Wizard Completed page.9. Đóng menu Autorun.Tạo các quy tắc SMTP Server Publishing RulesSMTP Message Screener là m việc với SMTP Server Publishing Rules. SMTP ServerPublishing Rule có thể được cấu hình với các thông số xác lập thuộc SMTP MessageScreener. Điều này cho phép bạn tạo ra các chính sách lọc, chặn e-mail khác nhaucho inbound & outbound SMTP relays.Sự khác nhau của các cấu hình SMTP MessageScreener cho phép ngăn chặn các e-mail khác nhau vào Mạng ngược lại với những gìngăn chặn khi gửi mail từ trong ra.Tiến hành các bước sau để tạo Server Publishing Rule lắng nghe trên Card ngoài-external interface của ISA Server 2004 firewall:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole , mở rộng server name ở khung trái. Click vào Firewall Policy node.2. Right click vào Firewall Policy node và chọn New. Click Server PublishingRule.3. Trên Welcome to the New Server Publishing Rule Wizard page, điền tên choRule trong Server publishing rule name text box. Trong ví dụ này chúng ta sẽ đặttên rule là Inbound SMTP Relay, Ghi nhớ rằng rule này sẽ dùng external interfaceTrang 177 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETtrên ISA Server 2004 để chấp nhận chuyển tiếp các email gửi vào -incoming mail.Click Next.4. Trên Select Server page,điền vào IP address của Internal interface trên ISAServer 2004 firewall mà bạn đang muốn publish. Điền vào 10.0.0.1, primary IPaddress trên Internal interface, của ISA Server 2004 firewall. Click Next.5. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selectedprotocol. Click Next.6. Trên IP Addresses page, đánh dấu check vào External check box và clickAddress button.7. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses on the ISA Server computer in the selected network. Click IPaddress của external interface mà bạn muốn sử dụng trong rule. Trong ví dụ này, IPaddress sẽ là 192.168.1.70. Click Add. IP address giờ đã xuất hiện trong danh sáchSelected IP Addresses .Click OK.Trang 178 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Click Next trên IP Addresses page.9. Click Finish trên Completing the New Server Publishing Rule Wizard page.Bước kế tiếp tạo Server Publishing Rule chấp nhận chuyển tiếp mail từ trong rangoài- outbound relay, từ Internal network Exchange Server:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole , mở rộng server name ở khung trái. Click trên Firewall Policy node.2. Right click Firewall Policy node, chọn New. Click Server Publishing Rule.3. Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tênCủa rule trong Server publishing rule name text box. Trong ví dụ này, chúng ta sẽđặt tên là Outbound SMTP Relay , ghi nhớ rule này được sử dụng cho externalinterface trên ISA Server 2004 để chấp nhận chuyển tiếp mail gửi vào-incomingmail. Click Next.4. Trên Select Server page, điền vào IP address trên Internal interface của ISAServer 2004 firewall mà bạn muốn publish. Điền vào 10.0.0.10, địa chỉ thứ 2- 2ndIP address trên Internal interface của ISA Server 2004 firewall. Click Next.5. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selectedprotocol. Click Next.6. Trên IP Addresses page, đánh dấu vào Internal check box , click Addressbutton.7. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses on the ISA Server computer in the selected network. Click IPaddress trên Internal interface mà bạn muốn dùng trong rule. Trong ví dụ này, IPaddress là 10.0.0.10, sau đó click Add. IP address giờ đã xuất hiện trong danh sáchSelected IP Addresses. Click OK.Trang 179 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Click Next trên IP Addresses page.9. Click Finish trên Completing the New Server Publishing Rule Wizard page.Bây giờ chúng ta đã sẵn sàng để cấu hình SMTP Message Screener. Mỗi PublishingRule có thể được cấu hình với một cấu hinh khác của SMTP Message Screener.Tiến hành các bước sau để cấu hình Outbound SMTP Relay Server Publishing Rule:1. Right click Outbound SMTP Relay rule , click Configure SMTP.Trang 180 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Click trên General tab trong Configure SMTP Protocol Policy dialog box. Đánhdấu check vào Enable support for Message Screener checkbox.3. Click trên Keywords tab. Đánh dấu check vào Enable this rule checkbox. ClickAdd. Trong Mail Keyword Rule dialog box, điền vào resume trong Keyword textbox. Chọn Message header or body. Chọn Hold message option từ danh sáchAction. Click OK.Trang 181 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Apply và click OK trong Configure SMTP Protocol Policy dialog box.Tiến hành các bước sau trên Inbound SMTP Relay Server Publishing Rule:1. Right click Inbound SMTP Relay rule và click Configure SMTP.2. Click trên General tab trong Configure SMTP Protocol Policy dialog box. Đánhdấu check vào Enable support for Message Screener check box.3. Click vào Keywords tab. Click Add button. Trong Mail Keyword Rule dialogbox, điền vào mail enhancement trong Keyword text box. Chọn Message headeror body option. Chọn Hold message option từ danh sách Action. Click OK.Trang 182 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Apply và sau đó click OK trong Configure SMTP Protocol Policy dialogbox.5. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.6. Click OK trong Apply New Configuration dialog box.Tạo Outbound SMTP Access RuleTiến hành các bước sau để tạo một outbound SMTP Access Rule cho phép ISAServer 2004 firewall đóng vai trò chuyển tiếp mail-SMTP relay, từ Internal ExchangeServer tới các SMTP servers thuộc các domain khác trên Internet:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng computer name ở khung trái và click FirewallPolicy node. Right click vào Firewall Policy node, chọn New và click AccessRule.2. Trong Welcome to the New Access Rule Wizard page, điền vào tên rule bêntrong Access Rule name text box. Trong ví dụ này tên sẽ đặt là Outbound SMTPfrom Local Host. Click Next.Trang 183 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trên Rule Action page, chọn Allow and click Next.4. Trên Protocols page, chọn Selected protocols option từ danh sách This ruleapplies to và click Add.5. Trong Add Protocols dialog box, click vào folder Common Protocols và doubleclick vào SMTP protocol. Click Close.6. Click Next trên Protocols page.7. Trên Access Rule Sources page, click Add button. Trong Add Network Entitiesdialog box, click Networks folder và double click Local Host. Click Close.8. Click Next trên Access Rule Sources page.9. trên Access Rule Destinations page, click Add. trong Add Network Entitiesdialog box, click Networks folder và double click vào External network. ClickClose.10. Trên User Sets page, chấp nhận giá trị mặc định, All Users, và click Next.11. Click Finish trên Completing the New Access Rule Wizard page.12. Click Apply để lưu lại những thay đổi và cập nhật firewall policy.13. Click OK trong Apply New Configuration dialog box.Cấu hình nhật kí ghi nhận giao dịch mail -SMTP Message Screener LoggingSMTP Message Screener logs sẽ ghi nhận tất cả việc chuyển tiếp mail từ inbound chođến outbound SMTP relays. Nhật kí lưu lại có thể giúp bạn khắc phục các sự cố khiTrang 184 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETcác e-mail messages được đẩy qua server và xác nhận rằng SMTP Message Screenerlàm đúng chức năng mà chúng ta trông đợi.Tiến hành các bước sau để cấu hình nhật kí ghi nhận trên SMTP Message Screener:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng computer name trong khung trái và click Monitoringnode.2. Click Logging tab trong Details pane. Mở rộng Task pane nếu chưa mở.Trong Task pane, click Tasks tab và Configure SMTP message ScreenerLogging.3. Trong SMTP Message Screener Logging Properties dialog box, lưu ý rằng địnhdạng logging format duy nhất cho xác lập là File format. Chọn ISA Server fileformat từ danh sách Format. Xác nhận đã đánh dấu check vào Enable logging forthis service check box. Click Options button.4. Trong Options dialog box, xác nhận rằng ISA Logs folder đã được chọn. Chú ýcác thông số mặc định tại Log file storage limits và Maintains log storageTrang 185 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETlimit by. Thay đổi giá trị Delete files older than (days) từ 7 tới 30. Xác định đãcheck vào Compress log files check box.5. Click OK trong Options dialog box.6. Click Apply và sau đó click OK trong SMTP Message Screener Propertiesdialog box.7. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.8. Click OK trong Apply New Configuration dialog box.Kiểm tra lại khả năng của SMTP FilteringBây giờ SMTP Server Publishing Rule và SMTP Message Screener đã cấu hình và ,chúng ta sẵn sàng kiểm tra tính hiệu quả của Message Screener.Tiến hành các bước sau trên external client để kiểm tra chức năng chuyển mail từngoài vào- inbound SMTP relay:Trang 186 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Trên external client computer, mở Outlook Express. Nếu xuất hiện Wizard hướngdẫn tạo e-mail account, cancel wizard để khởi tạo e-mail account tủ công.2. Trong Outlook Express, click Tools và click Accounts.3. Trong Internet Accounts dialog box, click Add. Click Mail command.4. Trong Your Name text box, điền tên bạn. Click Next.5. Trong E-mail address text box, điền vào một e-mail address. Trong ví dụ nàychúng ta sẽ dùng tài khoản: administrator@Internal.net. Click Next.6. Trên E-mail Server Names page, xác nhận rằng đã chọn POP3 trong danh sáchMy incoming mail server is a X server . Nhập vào một entry giả trong Incomingmail (POP3, IMAP or HTTP) server text box. Trong ví dụ này entry không cóthcu75 được điền vào, ví dụ như: blah.com. Trong Outgoing mail (SMTP) servertext box, điền vào IP address mà External SMTP Relay Server Publishing Rule đanglắng nghe ở đó. Trong ví dụ này External SMTP Relay Server Publishing Rule đanglắng nghe trên address 192.168.1.70, Vì vậy chúng ta sẽ đưc giá trị đó vào text boxnày. Click Next.7. Trên Internet Mail Logon page, Điền vào một tên account giả trong Accountname text box. Trong ví dụ này, điền vào tên Administrator. Trong password box,điền vào một password ngẫu nhiên nào đó. Click Next.8. Click Finish trên Congratulations page.9. Click Close trong Internet Accounts dialog box.10. Click Create Mail button trong Outlook Express button bar.11. Trong New Message dialog box, điền vào administrator@msfirewall.org.Điền tên mail enhancement trong Subject text box. Click Send trong button bar.12. Quay trở lại ISA Server 2004 firewall. Click Start và Windows Explorer.Tìm đến C:InetpubmailrootBadmail. Bạn sẽ thấy 3 files với các phần mở rộngLà: .BAD, .BDP và .BDR. Những mục này giới thiệu những thành phần của các e-mail message bị chặn. Có thể dùng Notepad để xem.13. Tìm đến C:Program FilesMicrosoft ISA ServerISALogs folder. Doubleclick ISALOG_Date_EML_xxx.iis file. Mở file với Notepad. Ỏ đó chúng ta sẽ thấycác mục trong log có liên hệ ra sao với SMTP Message Screener.14. Có thể lập lại các bước trên, trên CLIENT ở Internal network. Trong e-mailmessage, có những từ resume trong subject hoặc trong nội dung mail. Bạn thấyrằng chúng cũng bị ngan chặn và được ghi nhận vào nhật kí của SMTP messagescreener. Tất nhiên bạn có thể gửi e-mail messages không chứa những từ bị “blockedwords”, và chức năng chuyển tiếp mail- outbound SMTP relay, sẽ đẩy mailđến đúngexternal e-mail user.Kết luận:Trong chương này của sách chúng ta đã thảo luận về việc cấu hình ISA Server 2004firewall hỗ trợ cho kế hoạch phòng vệ toàn hệ thống e-mail .Chức năng ISA Server2004 SMTP Message Screener có thể giúp kiểm tra và sàng lọc những mối nguy hiểmvà những nội dung mail không phù hợp với chính sách bảo mật e-mail của tổ chức.Message Screener có thể đánh giá các SMTP messages gửi đi, trong khi vẫn cung cấpsự an toàn cho các SMTP relay servers thuộc Internal network khi những Server nàythiết lập các kết nối đến các Server khác không an toan bên ngoài “ untrustedTrang 187 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETservers”. Trong chương tới chúng ta sẽ thảo luận về việc firewall làm thế nào đểpublish một dãy các dịch vụ Exchange Server services.Trang 188 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 14: Publish Exchange Outlook Web Access, SMTPServer và POP3 Server SitesMột trong những lý do chính để triển khai ISA Server 2004 firewall là để bảo vệMicrosoft Exchange Servers. ISA Server 2004 được tích hợp một số các kĩ thuật tăngcường sự an toàn cho hoạt động của hệ thống mail Microsoft Exchange khi chúngđược publish ra Internet. Cấp độ bảo mật tăng cường cho Microsoft Exchange Serverkhi đảm bảo an toàn cho các giao dịch qua mail. Và qua đó Microsoft cũng muốn xácđịnh vị thế số 1 của ISA Server 2004 firewall được xem như Firewall duy nhất có khảnăng bảo đảm an toàn trọn vẹn cho chính sản phẩm mail của mình: MicrosoftExchange Server.Cung cấp giải pháp bảo mật khi các truy cập từ xa kết nối đến Microsoft ExchangeServer services là cả một vấn đề rất phức tạp. Rất thuận lợi là, ISA Server 2004 baogồm một số các hướng dẫn ch tiết giúp các firewall administrator dễ dàng xử lý vàđưa ra được những khả năng bảo mật mạnh mẽ cho Microsoft Exchange, Trongchương này chúng ta sẽ thảo luận về những phương phápđược sử dụng để đưa rađược khả năng bảo mật cho các truy cập từ xa đến Exchange Outlook Web Access(OWA) site, Exchange SMTP service và the Exchange POP3 service. Cho rằng bạn đãcấp một chứng thực số cho website- Web site certificate đến OWA site, đã xuấtcertificate ra một file (gồm cả private key), và đã nhập Web site certificate vào khuvực lưu trữ certificate trên ISA Server 2004 firewall. Thêm nữa, chúng ta cũng chorằng, external client kết nối đến OWA Web site thông qua ISA Server 2004 firewallcó CA certificate của CA (đã cấp phat1 cho OWA site’s Web site certificate), đượcnhập vào danh sách các nhà cung cấp Certificates đáng tin cậy- Trusted RootCertification Authorities certificate.Lưu ý:Việc cấp phát và tiến hành triển khai Certificate nàm ngoài phạm vi của Sách này.Để có thông tin chi tiết triển khai Web site và root CA certificates, tham khảo tài liệu.ISA Server 2004 Exchange Deployment Kit. Các bước sau thảo luận nhữngphương pháp cơ bản được sử dụng để cung cấp truy cập từ xa đến OWA, SMTP vàPOP3 services trên Internal network Exchange Server. . Trong môi trường thực tế,các truy cập từ xa đến SMTP service sẽ được bảo vệ bằng gao thức SSL và yêu cầdùng xác thực User. Tương tự như vậy, remote access đến POP3 service cũng sẽ yêucầu kết nối bảo mật bởi SSL. Chúng ta sẽ giới hạn các thảo luận của mình tại các kêtnối non-SSL , các bước sau chỉ nhằm mục đích mô tả.Ngoài ra, có một số các thủ tục tiến hành có tác dụng trên Exchange Server nhằm tốiưu hóa bảo mật các kết nối OWA từ xa. Chương đầu tiên của sách đã liệt kê ra cáctrình tự này. Cũng như vậy, Exchange POP3 service bị disabled theo mặc định vàphải enable lại thủ công.Chúng ta cần tiến hành các thủ tục sau để cấu hình ISA Server 2004 firewall chophép các kết nối từ xa truy cập đến Exchange Server service:• Phục hồi hệ thống về cấu hình ban đầu• Tạo quy tắc OWA Web Publishing Rule• Tạo quy tắc SMTP Server Publishing Rule• Tạo quy tắc POP3 Server Publishing Rule• Kiểm tra lại kết nốiTrang 189 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETPhục hồi hệ thống về cấu hình ban đầuĐể có thể kiểm tra đầy đủ cấu hình inbound & outbound SMTP relay trong kịch bảnnày, chúng ta sẽ quay trở lại cấu hình ban đầu, để các Access Rules khác không làmảnh hưởng đến kịch bản hiện tại. Trong môi trường thực tế bạn sẽ không cần đưa hệthống quay trở lại cấu hình ban đầu, giữ nguyên các Access Rulesvà add thêm vàocác Server Publishing Rules được yêu cầu để tạo ra inbound & outbound SMTP relays.Tiến hành các bước sau để phục hồi nguyên trạng cấu hình lúc đầucủa ISA Server2004 firewall:8. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole và right click trên server name. Click Restore command.9. Trong Restore Configuration dialog box, chọn backup file bạn đã tạo trước, clickRestore.10. Trong Type Password to Open File dialog box, điền vào password bạn đã cấpcho file trong Password text box và click OK.11. Click OK trong Importing dialog box sau khi thấy thông báo The configurationwas successfully restored.12. Click Apply để lưu những thay đổi và cập nhật firewall policy.13. Chọn Save the changes and restart the service(s) trong ISA ServerWarning dialog box, và click OK.14. Click OK trong Apply New Configuration dialog box.Tạo quy tắc OWA Web Publishing RuleBạn có thể publish Microsoft Exchange Outlook Web Access site dùng ISA Server2004 Web Publishing sau khi site đã được cấu hình để hỗ trợ cho SSL connections.Những thủ tục này bao gồm áp đặt SSL trên OWA directories và cho phép cácdirectories chỉ chấp nhận các xác thực kiểu xác thực cơ bản-basic authentication.Tiến hành các bước sau để tạo Outlook Web Access Web Publishing Rule:1. Trong Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server name và click Firewall Policy node.2. Right click Firewall Policy node, chọn New và click Mail Server PublishingRule.3. Trên Welcome to the New Mail Server Publishing Rule Wizard page, điềnvào tên của rule trong Mail Server Publishing Rule name text box. Trong vd nàychúng ta sẽ gọi nó là OWA Web Site. Click Next.4. Trên Select Access Type page, chọn Web client access (Outlook Web Access(OWA), Outlook Mobile Access, Exchange Server ActiveSync và click Next.Trang 190 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Select Services page, đánh dấu check vào trong Outlook Web Accesscheck box. Xác nhận rằng đã có dấu check trong Enable high bit characters usedby non- English character sets. Click Next.Trang 191 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trên Bridging Mode page, chọn Secure connection to clients and mailserver and click Next.Trang 192 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Trên Specify the Web Mail Server page, điền tên cho Internal OWA Web sitetrong Web mail server text box. Trong vd này, chúng ta sẽ dùng tênowa.msfirewall.org. Click Next.Trang 193 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Trên Public Name Details page, chọn This domain name (type below) trongDanh sách Accept requests for . Điền vào tên external users sẽ dùng để truy cậpđến OWA Web site trong Public name text box. Trong vd này, external users sẽdùng tên owa.msfirewall.org. Click Next.Trang 194 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Trên Select Web Listener page, click New.10. Trên Welcome to the New Web Listener Wizard page, điền vào tên cholistener trong Web listener name text box. Trong vd này chúng ta dùng tên OWASSL Listener. Click Next.11. Trên IP Addresses page, đánh dấu trong External check box. Click Addressbutton.12. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses trên ISA Server computer trong select network. Click trên externalIP address đã cấu hình trên ISA Server 2004 firewall mà bạn muốn dùng để lắngnghe các yêu cầu đi vào-cincoming requests đến OWA site (trong Available IPAddresses list). Trong vd này, chúng ta sẽ chọn 192.168.1.70 entry. Click Add. IPaddress giờ đã xuất hiện trong Selected IP Addresses list. Click OK.13. Click Next trên IP Addresses page.14. Trên Port Specification page, remove dấu check từ Enable HTTP checkbox. Đặt dấu check trong Enable SSL checkbox. Giữ nguyên SSL port number là443.15. Click Select button. Trong Select Certificate dialog box, click trên OWA Website certificate mà bạn đã nhập vào nơi lưu trữ certificate trên ISA Server 2004firewall and click OK.Trang 195 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET16. Click Next trên Port Specification page.17. Click Finish trên Completing the New Web Listener page.18. Chi tiết của Web listener giờ đã xuất hiện trên Select Web Listener page. ClickEdit.19. Trong OWA SSL Listener Properties dialog box, click Preferences tab.20. Trên Preferences tab, click Authentication button.21. Trong Authentication dialog box, remove dấu check từ Integrated check box.Click OK trong Microsoft Internet Security and Acceleration Server 2004dialog box nhận thấy cảnh báo rằng hiện không có phương thức xác thực nào đượccấu hình.22. Đặt dấu check trong OWA Forms-Based authentication checkbox. Click OK.Trang 196 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET23. Click Apply và sau đó click OK trong OWA SSL Listener Properties dialog box.24. Click Next trên Select Web Listener page.Trang 197 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET25. Trên User Sets page, chấp nhận entry mặc định là, All Users, và click Next.26. Click Finish trên Completing the New Mail Server Publishing Rule Wizardpage.27. Click Apply để lưu những thay đổi và cập nhật firewall policy.28. Click OK trong Apply New Configuration dialog box.Bước tiếp theo là tạo một HOSTS file entry trên ISA Server 2004 firewall để có thểgiải quyết tên owa.msfirewall.org ra IP address của Exchange Server trênInternal network.4. Click Start , Run. Trong Run dialog box, điền vào notepad trong Open text box,click OK.5. Click File menu ,click Open. Trong Open dialog box, điền vàoc:windowssystem32driversetchosts trong File name text box và clickOpen.Trang 198 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Add thêm dòng sau vào HOSTS file:10.0.0.2 owa.msfirewall.orgNhấn ENTER ở cuối dòng. Click File và Exit. Trong Notepad dialog box, click Yes đểxác đinh bạn muốn saveTrang 199 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTạo quy tắc SMTP Server Publishing RuleBạn có thể tạo ra một SMTP Server Publishing Rule để cung cấp cho external usersvà servers truy cập đến Microsoft Exchange SMTP service. Nhìn chung, bạn sẽ muốndùng ISA Server 2004 firewall đóng vai trò là một bộ lọc chuyển tiếp mail-SMTPfiltering relay để ngăn chặn external users và các servers trực tiếp kết nối đếnExchange Server. Server Publishing Rule được thảo luận trong các bước được dùngthích hợp nhất để cung cấp cho các external SMTP servers truy cập đến ExchangeServer để có thể send mail đến e-mail dưới quyền quản trị của bạn.Tiến hành các bước sau để tạo SMTP Server Publishing Rule:10. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole, mở rộng server name trong khung trái. Click trên Firewall Policy node.11. Right click Firewall Policy node và chọn New. Click Server Publishing Rule.12. Trên Welcome to the New Server Publishing Rule Wizard page, điền têncủa rule trong Server publishing rule name text box. Trong vd này, chúng ta sẽđặt tên rule là SMTP Server. Click Next.13. Trên Select Server page, điền vào IP address của Exchange Server trên Internalnetwork. Trong vd của chúng ta, IP address là 10.0.0.2. Điền 10.0.0.2 vào textbox. Click Next.14. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selectedprotocol. Click Next.Trang 200 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET15. Trên IP Addresses page, đánh dấu check vào External check box và clickAddress button.16. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses trên ISA Server computer in the selected network. Click IP addresstrên external interface mà bạn muốn dùng trong rule này. Trong vd này IP address là192.168.1.70. Click Add. IP address giờ đã xuất hiện trong danh sách Selected IPAddresses. Click OK.Trang 201 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET17. Click Next trên IP Addresses page.18. Click Finish trên Completing the New Server Publishing Rule Wizard page.Tạo quy tắc POP3 Server Publishing RuleTruy cập từ xa đến Exchange Server POP3 service cho phép User hiện ở bất cứ nơinào cũng có thể download mail của họ từ Exchange Server đến hộp chứa mail-Inbox, của bất kì ứng dụng e-mail client nào. Users phải cung cấp một user name vàpassword khi họ muốn kết nối đến POP3 service. Họ download e-mail ứng dụng e-mail client sau khi gửi thông tin xác thực hợp lệ về mình. Những thông tin xác thựccủa User được gửi đi mà không mã hóa-clear text. Trong môi trường thực tế, bạn nênyêu cầu một kết nối bảo mật SSL khi truy cập đến POP3 -SSL secured POP3 nhằmbảo vệ user name và password không dễ dàng bị những kẽ tấn công thâu tómTiến hành các bước sau để tạo POP3 Server Publishing Rule:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole,và mở rộng server name ở khung trái. Click trên Firewall Policy node.2. Right click Firewall Policy node và chọn New. Click Server Publishing Rule.3. Trên Welcome to the New Server Publishing Rule Wizard page, điền vào têndành cho rule trong Server publishing rule name text box. Trong vd này,chúng tasẽ đặt tên rule là POP3 Server. Click Next.4. Trên Select Server page, điền vào IP address của Exchange Server trên Internalnetwork. Trong vd này,IP address là 10.0.0.2. Điền vào 10.0.0.2 trong textbox. Click Next.5. Trên Select Protocol page, chọn POP3 Server protocol từ danh sách Selectedprotocol. Click Next.Trang 202 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trên IP Addresses page, đánh dấu check vào External check box và clickAddress button.7. Trong External Network Listener IP Selection dialog box, chọn Specified IPaddresses trên ISA Server computer in the selected network. Click IP addresstrên external interface bạn muốn dùng cho rule. Trong vd này, IP address là192.168.1.70, click Add. Giờ IP address đã xuất hiện trong Selected IPAddresses list. Click OK.8. Click Next trên IP Addresses page.9. Click Finish trên Completing the New Server Publishing Rule Wizard page.Kiểm tra kết nốiChúng ta đã sẵn sàng cho việc kiểm tra các kết nối OWA, SMTP and POP3 đếnExchange Server, nằm sau ISA Server 2004 firewall. Bước đầu tiên là tạo ra HOSTSfile entry trên client để giải quyết đúng tên của OWA site. Trong môi trường thực tế,bạn có thể tạo ra một public DNS resource record để giải quyết tên này ra IP addresscho các external network clients.Tiến hành các bước sau để kiểm tra kết nối Outlook Web Access:1. Bước đầu tiên là add vào HOSTS file entry trên external client machine. ClickStart , Run. Trong Run dialog box, điền vào notepad trong Open text box và clickOK.2. Click menu File và chọn Open. Trong Open dialog box, điền vàoc:windowssystem32driversetchosts trong File name text box và clickOpen.Trang 203 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Add dòng sau vào HOSTS file:192.168.1.70 owa.msfirewall.orgNhấn ENTER ở cuối dòng. Click File và Exit. Trong Notepad dialog box, click Yes đểxác nhận rằng bạn lưu những thay đổi4. Mở Internet Explorer trên external client machine. Điền vàohttps://owa.msfirewall.org . Nhấn ENTER.5. Trong hộp đăng nhập- Outlook Web Access Log on , điền vào user name trongDomainuser name text box, và password trong Password text box. ChọnPremium client type và Private computer Security type. Trong vd này, chúng tasẽ điền tên user name là MSFIREWALLAdministrator và Administrator’spassword. Click Log On.Trang 204 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKế tiếp, sẽ kiểm tra các chức năng của POP3 và SMTP khi dùng Outlook Express:1. Trên external client machine, mở Outlook Express. Click Tools và Accounts.2. Trong Internet Accounts dialog box, click account có sẵn và chọn Remove.Click Yes trong Internet Accounts dialog box nếu được hỏi có chắc rằng sẽ deleteaccount.3. Click Add và click Mail.4. Trên Your Name page, điền tên Administrator trong Display name text box.Click Next.5. Trên Internet E-mail Address page, điền vào administrator@msfirewall.orgtrong E-mail address text box. Click Next.6. Trên E-mail Server Names page, chọn POP3 entry trong My incoming mailserver is a x server list. Điền vào 192.168.1.70 trong Incoming mail (POP3,IMAP or HTTP) server text box. Điền vào 192.168.1.70 trong Outgoing mail(SMTP) server text box. Click Next.Trang 205 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Trên Internet Mail Logon page, điền vào Administrator trong Account nametext box và administrator’s password trong Password text box. Click Next.8. Click Finish trên Congratulations! page.9. Click Close trên Internet Accounts dialog box.10. Đóng Outlook Express và mở lại. Click Create Mail button và điền đại chỉ đến làto: administrator@msfirewall.org. Điền một subject và vài dòng text sau đó clickSend button. Để nhận mail từ POP3 server, click Send/Recv. Mail bạn gửi sẽ xuấthiện trong Inbox.11. Đóng Outlook Express.Kết luận:Trong chương này chúng ta đã thảo luận việc publish một Microsoft ExchangeOutlook Web Access (OWA) site và làm thế nào để publish Exchange POP3và SMTP services. Trong chương tới của sách chúng ta sẽ thảo luận về việc làm thếnào firewall có thể publish một dãy các Exchange Server.Trang 206 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 15: Cấu hình ISA Server 2004 Firewall đóng vai trò mộtVPN ServerISA Server 2004 firewall có thể được cấu hình trở thành môt VPN server. Khi bậtchức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients -incomingVPN client , nếu kết nối thành công, VPN client computer sẽ là thành viên cua Mạngđược bảo vệ, không khác gì so với các Client bên trong LAN. VPN servers truyềnthống cho phép VPN clients đầy đủ quyền truy cập vào Mạng khi đã được kết nối.Ngược lại với ISA Server 2004 VPN server có khả năng cho phép chúng ta điều khiểnnhững protocols nào và những servers nào mà VPN clients có thể kết nối đến dựatrên đặc quyền mà Client đã khai báo khi thiết lập kết nối-credentials đến VPNserver.Có thể dùng Microsoft Internet Security and Acceleration Server 2004management console để quản lý tất cả cấu hình liên quan đến VPN server . Firewallsẽ quản lý danh sách các IP addresses được cấp phát cho VPN clients và bố trí các IPnày trên một VPN clients network được chỉ định. Điều khiển truy cập sau đó có thểđược bố trí dựa trên chiều giao tiếp, thông qua kiểm soát của các Access Rules : Đếnhay từ VPN clients network.Theo các bước sau tiến hành enable ISA Server 2004 VPN server:• Enable VPN Server• Tạo một Access Rule cho phép VPN clients truy cập vào Internal network• Kiểm tra các kết nối VPN .Enable VPN ServerTheo mặc định, thành phần VPN server trên ISA Server bị disabled. Bước đầu tiên làenable tính năng VPN server và cấu hình các thành phần VPN server.Tiến hành các bước sau để enable và cấu hình ISA Server 2004 VPN Server:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole , mở rộng server name. Click trên Virtual Private Networks (VPN)node.2. Click trên Tasks tab trong Task Pane. Click Enable VPN Client Access.Trang 207 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Click Apply để lưu những thay đổi và cập nhật firewall policy.4. Click OK trong Apply New Configuration dialog box.5. Click Configure VPN Client Access.6. Trên General tab, thay đổi giá trị là Maximum number of VPN clients allowedTừ 5 đến 10.7. Click trên Groups tab. Trên Groups tab, click Add button.8. Trong Select Groups dialog box, click Locations button. trong Locations dialogbox, click msfirewall.org entry và click OK.9. Trong Select Group dialog box, điền Domain Users trong Enter the objectnames to select text box. Click Check Names button. group name này sẽ có gạchdưới khi nó được tìm thấy trong Active Directory. Click OK.Trang 208 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Click Protocols tab. Trên Protocols tab, đánh dấu check vào EnableL2TP/IPSec check box.Trang 209 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET11. Click User Mapping tab. Đánh dấu check vào Enable User Mapping check box.Đánh dấu check vào When username does not contain a domain, use thisdomain check box. Điền vào msfirewall.org trong Domain Name text box.Trang 210 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Click Apply trong VPN Clients Properties dialog box. Click OK MicrosoftInternet Security and Acceleration Server 2004 dialog box nhận được thông báorằng phải restart lại ISA Server firewall trước khi các xác lập có hiệu lực. Click OK.13. Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.14. Click OK trong Apply New Configuration dialog box.15. Restart ISA Server 2004 firewall.Tạo một Access Rule cho phép VPN Clients truy cập vào Internal NetworkTại thời điểm này, VPN clients có thể kết nối đến VPN server. Tuy nhiên, VPN clientsKhông thể truy cập đến bất cứ tài nguyên nào trên Internal network. Trước hết, bạnphải tạo một Access Rule cho phép các thành viên thuộc VPN clients network truycập vào Internal network. Trong vd này, chúng ta sẽ tạo một Access Rule nhằm chophép tất cả các lưu thông từ VPN clients network được vào Internal network. Trongmôi trường thực tế, bạn có thể tạo ra access rules hạn chế hơn nhằm chặt chẽ việcUsers trên VPN clients network chỉ có thể truy cập đến các tài nguyên mà họ có nhucầu.Trang 211 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTiến hành các bước sau để tạo VPN clients Access Rule:1. Trongn Microsoft Internet Security and Acceleration Server 2004management console, mở rộng server name và click Firewall Policy node. Rightclick Firewall Policy node, chọn New và click Access Rule.2. Trong Welcome to the New Access Rule Wizard page, đặt tên cho rule trongAccess Rule name text box. Trong vd này, chúng ta sẽ đặt tên cho rule là VPNClient to Internal. Click Next.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols từ danh sách This ruleapplies to. Click Next.5. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialogbox, click Networks folder và double click trên VPN Clients. Click Close.6. Click Next trên Access Rule Sources page.7. Trên Access Rule Destinations page, click Add. Trên Add Network Entitiesdialog box, click Networks folder và double click trên Internal. Click Close.8. Trên User Sets page, chấp nhận xác lập mặc định là, All Users, và click Next.9. Click Finish trên Completing the New Access Rule Wizard page.Trang 212 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Click Apply để lưu những thay đổi và cập nhật firewall policy.11. Click OK trong Apply New Configuration dialog box.Enable truy cập quay số -Dial-in Access cho Administrator AccountTrong Active Directory domains không phải ở chế độ native mode (Native mode: Ởchế độ này tất cả các Domain Controllers trong domain ấy phải là Windows Server2000/2003), Tất cả các tài khoản User đều bị disabled quyền quay số truy cập theomặc định-dial-in accessby default. Trong tình huống này, bạn phải enable dial-in access trên mỗi tài khoảncơ bản. Ngược lại, thì Active Directory domains ở chế độ native mode có dial-inaccess được tập trung điều khiển bởi Remote Access Policy trong RRAS Server.Windows NT 4.0 dial-in access luôn được điều khiển căn cứ trên từng User accountTrong ví dụ này, Active Directory ở dạng Windows Server 2003 mixed mode, và vìthế cần thay đổi thủ công các xác lập quyền quay số trên user account.Tiến hành các bước sau trên domain controller để enable Dial-in access cho riêngAdministrator account:1. Click Start và chọn Administrative Tools. Click Active Directory Users andComputers.2. Trong Active Directory Users and Computers console, click trên Users nodetrong khung trái. Double click trên Administrator account trong khung phải.3. Click trên Dial-in tab. Trong khung Remote Access Permission (Dial-in orVPN), chọn Allow access. Click Apply và click OK.Trang 213 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Đóng Active Directory Users and Computers console.Kiểm tra kết nối VPNISA Server 2004 VPN server giờ đây đã chấp nhận các kết nối VPN client.Tiến hành các bước sau để kiểm tra VPN Server:1. Trên Windows 2000 external client, right click My Network Places icon trêndesktop và click Properties.2. Double click Make New Connection icon trong Network and Dial-upConnections window.3. Click Next trên Welcome to the Network Connection Wizard page.4. Trên Network Connection Type page, chọn Connect to a private networkthrough the Internet option và click Next.5. Trên Destination Address page, điền IP address 192.168.1.70 trong Hostname or IP address text box. Click Next.6. Trên Connection Availability page, chọn For all users option và click Next.7. Không thay đổi trên Internet Connection Sharing page. và click Next.Trang 214 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. Trên Completing the Network Connection Wizard page, điền vào tên của VPNconnection trong Type the name you want to use for this connection text box.Trong vd này, chúng ta sẽ đặt tên kết nối là ISA VPN. Click Finish.9. Trong Connect ISA VPN dialog box, điền vào user nameMSFIREWALLadministrator và password của administrator user account. ClickConnect.10. VPN client sẽ thiết lập một kết nối với ISA Server 2004 VPN server. Click OKtrong Connection Complete dialog box nhận được thông báo rằng kết nối đã đượcthiết lập.11. Double click trên Connection icon trong system tray và click Details tab. Bạn cóthể thấy chế độ mã hóa 128 bits dùng giao thức MPPE- MPPE 128 encryption đượcsử dụng để bảo vệ data và thấy IP address được cấp phát cho VPN client.Trang 215 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Click Start và Run command. Trong Run dialog box, điền vàoEXCHANGE2003BE trong Open text box, và click OK. Các folder shares trêndomain controller xuất hiện.13. Right click Connection icon trong system tray và click Disconnect.Kết luận:Trong chương này, chúng ta đã thảo luận làm thế nào để enable ISA Server 2004VPN server và làm thế nào để cấu hình VPN server. Chúng ta cũng đã kiểm tra cácchức năng VPN server khi tạo một kết nối từ VPN client và truy cập vào các tàinguyên trên Internal network. Ở chương tới, Sẽ nói về việc triển khai VPN Site-to-SiteTrang 216 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương16: Tạo kết nối VPN Site-to-Site vời ISA Server 2004FirewallsMột kết nối VPN site-to-site đó là sự kết nối hai hay nhiều networks sử dụng mộtVPN link qua Internet. Cấu hình VPN site-to-site làm việc tương tự như LAN router;Các packets được gửi tới từ các remote site đến những IP addresses xác định sẽ đượcđịnh tuyến thông qua ISA Server 2004 machine. ISA Server 2004 firewall machineđóng vai trò như một VPN gateway kết nối hai networks lại với nhau qua Internet.Mỗi một liên kết site-to-site có thể dùng một trong các VPN protocols sau:• PPTP• L2TP/IPSec• IPSec tunnel modePPTP -Point-to-Point Tunneling Protocol. PPTP cung cấp mức độ bảo mật tốt dựatrên mức độ phức tạp của password được dùng để tạo PPTP connection. Bạn có thểtăng cường mức độ bảo mật được áp dụng cho liên kết PPTP thông qua sử dụng cácphương thức xác thực EAP/TLS based-authentication.L2TP/IPSec VPN protocol cung cấp mức độ bảo mật cao hơn bởi vì có sử dụng giaothức mã hóa IPSec để bảo mật kết nối. Cũng có thể dùng computer và usercertificates để cung cấp mức độ bảo mật cao hơn nữa khi thực hiện kết nối dùngL2TP/IPSec. Nếu bạn chưa sẵn sàng triễn khai hạ tầng cung cấp chứng chỉ xác thựcsố- certificate infrastructure, có thể sử dụng các khóa chia sẽ - pre-shared key đểthực hiện kết nối L2TP/IPSec VPN site-to-site.Trong ISA Server 2004 hỗ trợ IPSec ở chế độ kênh ngầm- tunnel mode cho site-to-site VPN connections. Bạn chỉ nên dùng IPSec tunnel mode khi bạn cần tạo ra mộtsite-to-site link với một VPN Server Gateway của hãng khác -third-party VPNgateways. tunnel mode của Third-party IPSec gateways có thể không hỗ trợ cấp độbảo mật cao mà L2TP/IPSec dùng, vì vậy có thể sẽ dung một VPN protocol yếu hơn.IPSec tunnel mode siteto-site links có ưu điểm cho các văn phòng chi nhánh, khivăn phòng chính vẫn sử dụng ISA Server 2004 firewall làm VPN gateways.Tiến hành các thủ tục sau để tạo site-to-site link giữa hai ISA Server 2004 firewall.ISALOCAL machine sẽ giả lập làm firewall tại văn phòng chính, và REMOTEISA sẽlàm firewall của văn phòng chi nhánh. Chúng ta sẽ dùng L2TP/IPSec VPN protocol đểtạo site-to-site link, và một pre-shared key được sử dụng để hỗ trợ IPSec encryptionprotocol.Hoàn thành các thủ tục sau để thiết lập kết nối site to site VPN:• Tạo Remote Site tại văn phòng chính• Tạo Network Rule tại Văn phòng chính• Tạo Access Rules văn phòng chính• Tạo tài khoản quay số Dial-in Account đến VPN Gateway tại văn phòng chính• Xác lập Shared Password trong RRAS Console tại văn phòng chính• Tạo Remote Network Văn phòng chi nhánh• Tạo Network Rule tại văn phòng chi nhánh• Tạo các Access Rules tại văn phòng chi nhánhTrang 217 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Tạo VPN Gateway Dial-in Account tại văn phòng chính• Xác lập Shared Password trong RRAS Console tại văn phòng chi nhánh• Kích hoạt kết nối Site-to-SiteTạo Remote Site tại Văn Phòng chínhChúng ta sẽ bắt đầu cấu hình ISA Server 2004 firewall ở văn phòng chính. Trước hếtRemote Site Network in the Microsoft Internet Security and AccelerationServer 2004 management console. Tạo Remote Site Network trên Văn phòng chính:1. Mở Microsoft Internet Security and Acceleration Server 2004 managementconsole và mở rộng server name. Click trên Virtual Private Networks (VPN)node.2. Click trên Remote Sites tab trong khung Details. Click trên Tasks tab trongkhung Task Pane. Click Add Remote Site Network.3. Trên Welcome to the New Network Wizard page, điền vào tên cho remotenetwork trong Network name text box. Trong vd này, tên của remote network làBranch. Click Next.4. Trên VPN Protocol page, chọn Layer Two Tunneling Protocol (L2TP) overIPSec, và click Next.Trang 218 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Trên Remote Site Gateway page, điền vào IP address của external interface trênremote ISA Server 2004 firewall machine. Trong vd này, , IP address là192.168.1.71, vì thế chúng ta sẽ điền giá trị này vào text box. Click Next.6. Trên Remote Authentication page, đánh dấu check vào trong Local site caninitiate connections to remote site using these credentials check box. Điềnvào tên của account mà bạn sẽ tạo trên remote ISA Server 2004 firewall computerđể cho phép truy cập VPN gateway Văn phòng chính. ở Vd này, trong User nametext box, tên của user account Main (user account phải cùng với demand-dialinterface đã tạo trên remote site). Tên Domain là tên của remote ISA Server2004 firewall computer, teong vd này, chính là REMOTEISA (Nếu remote ISA Server2004 firewall là một domain controller, bạn có thể dùng domain name thay chocomputer name). Điền vào một password cho account và xác nhận lại the password.Ghi nhớ tài khoản này, khi chúng ta tạo tài khoản sau này trên remote ISA Server2004 firewall. Click Next.Trang 219 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Đọc thông tin trên Local Authentication page, và click Next.8. Trên L2TP/IPSec Authentication page, đánh dấu check vào Allow pre-sharedkey IPSec authentication as a secondary (backup) authentication methodcheck box.Điền vào một key trong Use pre-shared key for authentication text box.Trong vdnày, key là 123. Click Next.Trang 220 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Click Add trên Network Addresses page. Trong IP Address Range Propertiesdialog box, điền vào 10.0.1.0 trong Starting address text box. Điền vào10.0.1.255 trong Ending address text box. Click OK.Trang 221 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET10. Click Next trên Network Addresses page.11. Click Finish trên Completing the New Network Wizard page.Tạo Network Rule tại Văn phòng chínhISA Server 2004 firewall phải biết sử dụng những phương pháp nào để định tuyếncác gói tin-packets đến đúng Netwok của Văn phòng chi nhánh . Có 2 lựa chọn:Route và NAT.Định tuyến dạng route các packets sẽ được dẫn đến Văn phòng chi nhánh nhưng địachỉ IP nguồn vẫn được bảo toàn, không thay đổi.NAT lại tiến hành thay thế source IP address của client khi Client thực hiệnn kết nối. Nhìn chung, định tuyến dạng route cung cấp hỗ trợ các protocol đa dạng hơn cònNATlại cung cấp mức độ bảo mật tốt hơn, vì nó không để lộ IP nguồn.Tiến hành các bước sau để tạo một Network Rule để điều khiển việc định tuyến giữacác networks của Văn phòng chính và Văn phòng chi nhánh:1. Mở rộng Configuration node bên khung trái. Click trên Networksnode.2. Click trên Network Rules tab trong Details Pane. Click trên Tasks tab trong TaskPane. Click Create a New Network Rule.3. Trên Welcome to the New Network Rule Wizard page, điền vào tên của ruletrong Network rule name text box. Trong vd này, chúng ta sẽ đặt tên là:MainBranch. Click Next.Trang 222 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trên Network Traffic Sources page, click Add.5. Trong Add Network Entities dialog box, click Networks folder. Double click trênInternal network. Click Close.6. Click Next trên Network Traffic Sources page.7. Trên Network Traffic Destinations page, click Add.8. Trong Add Network Entities dialog box, double click trên Branch network. ClickClose.9. Click Next trên Network Traffic Destinations page.10. Trên Network Relationship page, chọn Route.11. Click Finish trên Completing the New Network Rule Wizard page.Tạo các Access Rules tại Văn phòng chínhTrong ví dụ này, chúng ta muốn clients trên cả 2 Mạng thuộc Văn phòng chính vàVăn phòng chi nhánh có đầy đủ quyền truy cập đến các nguồn tài nguyên của mỗiNetwork. Chúng ta phải tạo các Access Rules để cho phép việc lưu thông từVăn phòng chính đến Văn phòng chi nhánh và ngược lại từ Văn phòng chi nhánh đếnVăn phòng chính.Tiến hành các bước sau để tạo các Access Rules nhằm cho phép lưu thông giữa 2Network văn phòng chính và Văn phòng chi nhánh:1. Click Firewall Policy node trong khung bên trái. Click Tasks tab trongTrang 223 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTask Pane. Click Create New Access Rule.2. Trên Welcome to the New Access Rule Wizard page, điền vào tên cho ruletrong Access Rule name text box. Trong ví dụ này, điền vào Main to Branch. ClickNext.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols trong This rule applies tolist. Click Next.5. Trên Access Rule Sources page, click Add.6. Trong Add Network Entities dialog box, click Networks folder và double clickInternal network. Click Close.7. Click Next trên Access Rule Sources page.8. Trên Access Rule Destinations page, click Add.9. Trong Add Network Entities dialog box, click trên Networks folder và sau đódouble click trên Branch network. Click Close.10. Click Next trên Access Rule Destinations page.11. Trên User Sets page, chấp nhận mặc định là All Users và click Next.12. Click Finish trên Completing the New Access Rule Wizard page.Quy tắc thứ 2 -2nd rule sẽ cho phép các hosts trên Mạng của Văn phòng chi nhánhtruy cập đến Mạng Văn phòng chính:1. Click Tasks tab trong Task pane. Click Create New Access Rule.Trang 224 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Trên Welcome to the New Access Rule Wizard page, điền vào tên rule trongAccess Rule name text box. Trong ví dụ này, điền vào Branch to Main. ClickNext.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols trong This rule applies tolist. Click Next.5. Trên Access Rule Sources page, click Add.6. Trong Add Network Entities dialog box, click Networks folder và double clickBranch network. Click Close.7. Click Next trên Access Rule Sources page.8. Trên Access Rule Destinations page, click Add.9. Trong Add Network Entities dialog box, click trên Networks folder và sau đódouble click trên Internal network. Click Close.10. Click Next trên Access Rule Destinations page.11. Trên User Sets page, chấp nhận giá trị mặc định All Users và click Next.12. Click Finish trên Completing the New Access Rule Wizard page.Trang 225 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETVà cuối cùng cho phép VPN clients được truy cập:1. Click trên Virtual Private Network node trong khung bên trái.2. Click VPN Clients tab trong Details Pane. Click Tasks tab trong Task Pane.Click Enable VPN Client Access.3. Click OK trong ISA Server 2004 dialog box sẽ thông báo với bạn rằng Routingand Remote Access service must be restarted.4. Click Apply để lưu những thay đổi và cập nhật firewall policy.5. Click OK trong Apply New Configuration dialog box.Tạo tài khoản quay số VPN Gateway Dial-in Account tại văn phòng chínhMột tài khoản phải được tạo tại firewall Văn phòng chính để firewall của Văn phòngchi nhánh có thể xác thực khi thực hiện kết nối site-to-site . User account phải cócùng tên như demand-dial interface trên Computer Văn phòng chính. Lát sau chúngta sẽ cấu hình ISA Server 2004 của Văn phòng chi nhánh để sử dụng tài khoản nàykhi nó quay số đến kết nối VPN site-to-site link.Trang 226 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETĐể tạo account cho remote ISA Server 2004 firewall có thể dùng để connect đến VPNgateway của Văn phòng chính:1. Right click My Computer trên desktop và click Manage.2. Trong Computer Management console, mở rộng Local Users và Groups node.Right click Users node và click New User.3. Trong New User dialog box, điền vào tên của demand-dial interface Văn phòngchính. Trong vd này của chúng ta là Branch. Điền vào Branch trong text box.Điền vào Password và xác nhận lại Password. Ghi nhớ password, vì cần dùng khibạn cấu hình VPN gateway trên remote ISA Server 2004 machine. Remove dấucheck từ User must change password at next logon check box. Đánh dấu checkvào User cannot change password và Password never expires check boxes.Click Create.4. Click Close trong New User dialog box.5. Double click Branch user trong khung bên phải.6. Trong Branch Properties dialog box, click Dial-in tab. Chọn Allow access. ClickApply và sau đó click OK.Xác lập Shared Password trong RRAS Console tại Văn phòng chínhPre-shared key bạn đã đưa vào Microsoft Internet Security và AccelerationServer 2004 management console sẽ không tự động copy vào Routing and RemoteAccess service. Bạn phải cấu hình Routing and Remote Access service để dùngpreshared key mà bạn đã cấu hình khi tạo Network của Remote Site.Để cấu hình L2TP/IPSec pre-shared key:1. Click Start, Administrative Tools. Click Routing và Remote Access.2. Trong Routing và Remote Access console, right click trên server name. ClickProperties.3. Trong server Properties dialog box, click Security tab. Trên Security tab, đánhdấu check vào Allow custom IPSec policy for L2TP connection check box. TrongPre-shared Key text box, điền vào 123. Click Apply và OK.Trang 227 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Close Routing and Remote Access console.5. Restart ISA Server 2004 firewall machine tại Văn phòng chính.Tạo Remote Site tại Văn phòng chi nhánhBây giờ thì Văn phòng chính đã sẵn sàng, chúng ta sẽ cấu hình tiếp ISA Server 2004firewall thuộc Văn phòng chi nhánh. Trước hết hãy tạo Remote Site Network tại Vănphòg chi nhánh:Tiến hành các bước sau để tạo Remote Site Network tại Văn phòng chi nhánh:1. Mở Microsoft Internet Security và Acceleration Server 2004 managementconsole và mở rộng server name. Click trên Virtual Private Networks (VPN)node.2. Click trên Remote Sites tab trong Details Pane. Click trên Tasks tab trong TaskPane. Click Add Remote Site Network.3. Trên Welcome to the New Network Wizard page, điền vào tên cho remotenetwork trong Network name text box. Trong ví dụ này,chúng ta sẽ đặt tên remotenetwork là Main. Click Next.Trang 228 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trên VPN Protocol page, chọn Layer Two Tunneling Protocol (L2TP) overIPSec và click Next.5. Trên Remote Site Gateway page, điền vào IP address trên external interface củaremote ISA Server 2004 firewall machine. Trong ví dụ này, IP address là192.168.1.70, vì thế điền vào giá trị này trong text box. Click Next.6. Trên Remote Authentication page, đánh dấu check vào Local site can initiateconnections to remote site using these credentials check box. Điền vào tên củaaccount mà bạn sẽ tạo trên remote ISA Server 2004 firewall computer nhằm chophép truy cập vào VPN gateway của Văn phòng chính. Trong ví dụ này, user accountsẽ là Branch (user account phải gặp tên của demand-dial interface đã tạo trênremote site). Tên Domain chính là tên của remote ISA Server 2004 firewallcomputer, Trong ví dụ này, là ISALOCAL (nếu remote ISA Server 2004 firewall làmột domain controller, sau đó có thể dùng domain name thay vì computer name).Điền vào một Password cho account và xác nhận lại Password. Lưu ý rằng cần nhớpassword để sau này khi bạn tạo tài khoản trên remote ISA Server 2004 firewall.Click Next.7. Đọc thông tin trên Local Authentication page, và click Next.8. Trên L2TP/IPSec Authentication page, đánh dấu check vào Allow pre-sharedkey IPSec authentication as a secondary (backup) authentication methodcheck box.Điền vào một key trong Use pre-shared key for authentication text box. Trong vídụ này,điền vào 123. Click Next.9. Click Add trên Network Addresses page. Trong IP Address Range Propertiesdialog box, điền vào 10.0.0.0 trong Starting address text box. Điền vào10.0.0.255 trong Ending address text box. Click OK.10. Click Next trên Network Addresses page.11. Click Finish trên Completing the New Network Wizard page.Tạo Network Rule tại Văn phòng chi nhánhKhi chúng tại Văn phòng chính, chúng ta phải tạo routing giữa các networks Vănphòng chi nhánh và Văn phòng chính. Chúng ta sẽ cấu hình mối quan hệ về địnhtuyến để hỗ trợ các protocol ở mức độ cao nhất.Tiến hành các bước sau để tạo Network Rule tại Văn phòng chi nhánh:1. Expvà the Configuration node trong left Pane of the console. Click trênNetworksnode.Trang 229 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Click trên Network Rules tab trong Details Pane. Click trên Tasks tab trong TaskPane. Click Create a New Network Rule.3. Trên Welcome to the New Network Rule Wizard page, điền vàoa name for therule inthe Network rule name text box. Trong ví dụ này,, điền vàoBranchMain. ClickNext.4. Trên Network Traffic Sources page, click Add.5. Trong Add Network Entities dialog box, click the Networks folder. Double clicktrênInternal network. Click Close.6. Click Next trên Network Traffic Sources page.7. Trên Network Traffic Destinations page, click Add.8. Trong Add Network Entities dialog box, double click trên Main network. ClickClose.9. Click Next trên Network Traffic Destinations page.10. Trên Network Relationship page, chọn Route.11. Click Finish trên Completing the New Network Rule Wizard page.Create Access Rules tại Văn phòng chi nhánhChúng ta cần tạo hai Access Rules, một để cho phép lưu thông từ Văn phòng chinhánh đến Văn phòng chính, và một để cho phép lưu thông từ Văn phòng chính đếnVăn phòng chi nhánh.Để tạo các Access Rules cho phép lưu thông giữa 2 VP Chính và Chi nhánh:1. Click Firewall Policy node trong khung trái. Click Tasks tab trongTask Pane. Click Create New Access Rule.2. Trên Welcome to the New Access Rule Wizard page, điền vào tên cho ruletrong Access Rule name text box. Trong ví dụ này, điền vào Branch to Main. ClickNext.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols trong This rule applies tolist. Click Next.5. Trên Access Rule Sources page, click Add.6. Trong Add Network Entities dialog box, click Networks folder và double clickInternal network. Click Close.7. Click Next trên Access Rule Sources page.8. Trên Access Rule Destinations page, click Add.Trang 230 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET9. Trong Add Network Entities dialog box, click trên Networks folder sau đódouble click trên Main network. Click Close.10. Click Next trên Access Rule Destinations page.11. Trên User Sets page, chấp nhận mặc định là, All Users và click Next.12. Click Finish trên Completing the New Access Rule Wizard page.2nd rule sẽ cho phép các hosts trên Văn phòng chính truy cập đến Network của Vănphòng chi nhánh:1. Click Tasks tab trong Task Pane. Click Create New Access Rule.2. Trên Welcome to the New Access Rule Wizard page, điền vào tên rule trongAccess Rule name text box. Trong ví dụ này, điền vào Main to Branch. ClickNext.3. Trên Rule Action page, chọn Allow và click Next.4. Trên Protocols page, chọn All outbound protocols trong This rule applies tolist.Click Next.5. Trên Access Rule Sources page, click Add.6. Trong Add Network Entities dialog box, click Networks folder và double clickMain network. Click Close.7. Click Next trên Access Rule Sources page.8. Trên Access Rule Destinations page, click Add.9. Trong Add Network Entities dialog box, click trên Networks folder và doubleclick Internal network. Click Close.10. Click Next trên Access Rule Destinations page.11. Trên User Sets page, chấp nhận mặc định All Users và click Next.12. Click Finish trên Completing the New Access Rule Wizard page.Bước cuối cùng chúng ta cần tiến hành trong Microsoft Internet Security vàAcceleration Server 2004 management console là cho phép truy cập- enableaccess đối với các VPN clients:1. Click trên Virtual Private Network node trong khung trái.2. Click VPN Clients tab trong Details Pane. Click Tasks tab trong Task Pane.Click Enable VPN Client Access .3. Click OK trong ISA Server 2004 dialog box nhận được thông báo rằng Routingand Remote Access service must be restarted.Trang 231 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Apply để lưu lại những thay đổi và cập nhật cho firewall policy.5. Click OK trong Apply New Configuration dialog box.Tạo tài khoản quay số Dial-in Account choVPN Gateway tại Văn phòng chínhChúng ta phải tạo một user account tại VPN gateway của Văn phòng chính để có thểxác thực khi khởi tạo kết nối VPN site-to-site. User account phải có cùng tên vớiDemand-dial interface đã tạo trên Văn phòng chi nhánh.Tiến hành các bước sau để tạo account mà remote ISA Server 2004 firewall sẽ dùngđể kết nối đến VPN gateway Văn phòng chính:1. Right click My Computer trên desktop và click Manage.2. Trong Computer Management console, mở rộng Local Users và Groups node.Right click Users node và click New User.3. Trong New User dialog box, điền vào tên của demand-dial interface trên Vănphòng chính. Trong ví dụ này, demand-dial interface tên là Main. Điền vào Maintrong text box.Điền vào một Password và confirm Password. Ghi nhớ password vì bạn sẽ dùng lạikhi cấu hình VPN gateway trên remote ISA Server 2004. Remove dấu check ở Usermust change password at next logon check box. Đặt dấu check trong Usercannot change password và Password never expires check boxes. ClickCreate.4. Click Close trong New User dialog box.5. Double click Main user trong khung phải.6. Trong Main Properties dialog box, click Dial-in tab. Chọn Allow access. ClickApply và OK.Trang 232 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETXác lập Shared Password trong RRAS Console tại Văn phòng chi nhánhPre-shared key mà bạn đã cấu hình trong Microsoft Internet Security vàAcceleration Server 2004 management console sẽ không tự động được copy vàoRouting and Remote Access service. Phải thủ công cấu hình Routing and RemoteAccess service dể sử dụng preshared key đã cấu hình trong Network của Remote SiteTiến hành các bước sau để cấu hình L2TP/IPSec pre-shared key:1. Click Start và chọn Administrative Tools. Click Routing và Remote Access.2. Trong Routing and Remote Access console, right click trên server name. ClickProperties.3. Trong server Properties dialog box, click Security tab. Trên Security tab, đặtdấu check vào Allow custom IPSec policy for L2TP connection check box. TrongPre-shared Key text box, điền vào 123. Click Apply và click OK.4. Close Routing and Remote Access console.5. Restart ISA Server 2004 firewall machine tại Văn phòng chi nhánh.Trang 233 Triển khai ISA Server Firewall 2004
  • DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKích hoạt liên kết Site to SiteGiờ đây cả hai ISA Server 2004 firewalls của Văn phòng chi nhánh và VP Chính đãđược cấu hình trở thành các VPN routers, và bạn có thể kiểm tra các kết nối site-to-site.Tiến hành các bước sau để kiểm tra site-to-site link:1. Tại remote client computer nằm sau remote ISA Server 2004 firewall, clickStart và Run command.2. Trong Run dialog box, điền vào cmd trong Open text box, và click OK.3. Trong command prompt window, điền vào ping –t 10.0.0.2 và press ENTER4. Bạn sẽ thấy các pings time out, và các phản hồi ping sẽ quay trở lại bởidomain controller trên network của Văn phòng chính.5. Tiến hành đúng trình tự trên tại domain controller trên network thuộc Văn phòngchính, nhưng lần này, ping 10.0.1.2.Kết luận:Trong chương này chúng ta đã đề cập đến ISA Server 2004 firewall đóng vai trò mộtVPN gateway nhằm cho phép thcu75 hiện kết nối VPN site-to-site. Chúng ta cũng đãcấu hình hai ISA Server 2004 firewalls, một tại Văn phòng chính và một tại Vănphòng chi nhánh. Chúng ta cũng đã kiểm tra kết nối VPN site-to-site dùng lệng pingtừ clients trên mỗi site.Trang 234 Triển khai ISA Server Firewall 2004