Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com]

2,550 views
2,521 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,550
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
151
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Hướng dẫn cài đặt và cấu hình isa server firewall 2004[bookbooming.com]

  1. 1. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETHướng dẫn cài đặt và cấu hình ISA Server Firewall 2004CHƯƠNG 1HƯỚNG DẪN SỬ DỤNGCHƯƠNG 2CÀI ĐẶT CERTIFICATE SERVICESCHƯƠNG 3CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT INTERNET AUTHENTICATION SERVICECHƯƠNG 4CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT DHCP VÀ WINS SERVER SERVICESTrang 1 Triển khai ISA Server Firewall 2004
  2. 2. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCHƯƠNG 5CẤU HÌNH DNS VÀ DHCP HỖ TRỢ CHO WEBPROXY VÀ FIREWALL CLIENTTÍNH NĂNG AUTODISCOVERYCHƯƠNG 6CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER VỚI CHỨC NĂNG CACHING-ONLY TRÊNPERIMETER NETWORK SEGMENTCHƯƠNG 7CÀI ĐẶT ISA SERVER 2004 TRÊN WINDOWS SERVER 2003CHƯƠNG 8BACKUP VA PHỤC HỒI CẤU HÌNH CỦA FIREWALLCHƯƠNG 9ĐƠN GIẢN HÓA CẤU HÌNH NETWORK VỚI CÁC MÔ HÌNH MẪU NETWORKTEMPLATESCHƯƠNG 10CẤU HÌNH CÁC LOẠI ISA SERVER CLIENTS: SECURENAT, FIREWALL VÀ WEBPROXY CLIENTSCHƯƠNG 11CẤU HÌNH ISA SERVER 2004 ACCESS POLICYCHƯƠNG 12PUBLISH CÁC SERVICES WEB, FTP TRÊN PERIMETER NETWORKCHƯƠNG 13CẤU HÌNH FIREWALL VỚI VAI TRÒ MỘT FILTERING SMTP RELAYCHƯƠNG 14PUBLISH EXCHANGE OUTLOOK WEB ACCESS, SMTP SERVER, VÀ POP3SERVER SITESCHƯƠNG 15CẤU HÌNH ISA SERVER 2004 VỚI VAI TRÒ MỘT VPN SERVERCHƯƠNG 16TẠO MỘT SITE-TO-SITE VPN VỚI ISA SERVER 2004 FIREWALLSGiới thiệu:Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ khôngcòn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thôngTrang 2 Triển khai ISA Server Firewall 2004
  3. 3. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETtin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôiđộng, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đãđược xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứngdụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gâymột số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụngnó. Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhĩ ?!nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảmbớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?!..”” . Không đâu xa nhữngnước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trongkhu vực và đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứngdụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉsản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Và họcũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sángtạo từ các “vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” củaBill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thôngtin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượngđược săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốcgia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”. Cần có nhữnghệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem nhữngthông tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong thế kỉ 21dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt động, chomọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý không còn tồn tại,dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất.Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu chí hàngđầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện mộtdoanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốncó được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu.Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thốngthông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phầnduy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúngta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuầntúy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ vớikhách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồisau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm,phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngạihàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet,etc..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủmạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó. Ai tạo ra bứctường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm nhập?! Xin thưa rằngtrước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong mộttổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuốicùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Đó là các Firewall,từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall cókhả năng bảo vệ toàn hệ thống Mạng của một tổ chức. Và Microsoft ISA SERVERTrang 3 Triển khai ISA Server Firewall 2004
  4. 4. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2004 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậyđể bảo vệ an toàn cho các hệ thống thông tin.Ho Viet HaOwner Network Information Security Vietnam, Inc.http://nis.com.vnsecurityconsultant@Nis.com.vnChương 1: Triển khai cơ sở hạ tầng Mạng với những dịch vụ cầnthiếtCuốn sách được trình bày theo thực tiển triển khai ISA SERVER 2004 trong mô hìnhMạng của một tổ chức. Nội dung của sách gói gọn trong các vấn đề cấu hình hệthống ISA SERVER 2004 trở thành một Firewall mạnh mà vẫn đáp ứng được các yêucầu sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịchvụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập cácdịch vụ bên trong Mạng tổ chức.Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạpnhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử tháchcho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các NetworkServices để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhấtthiết phải trở thành một chuyên gia về hạ tầng Mạng (network infrastructure ) mớicó thể sử dụng được ISA SERVER 2004 như một Network Firewall.Chương này sẽ mô tả các vấn đề sau:• Giúp bạn hiểu các tính năng có mặt trên ISA Server 2004• Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server 2004firewall• Mô tả chi tiết thực hành triển khai (ISA SERVER 2004 Lab Configuration)Hiểu các tính năng trên ISA Server 2004ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngoàilẫn kiểm soát các truy cập từ bên trong Mạng nội bộ của một tổ chức. ISA Server2004 firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phépqua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Cómột quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall,sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kìquy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bịFirewall chặn lại.Trang 4 Triển khai ISA Server Firewall 2004
  5. 5. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETISA Server 2004 firewall chứa nhiều tính năng mà các Security Admin có thể dùng đểđảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tàinguyên trong Mạng nội bộ. Cuốn sách cung cấp cho các Security Admin hiểu đượcnhững khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trênISA SERVER 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps)Firewalls không làm việc trong một môi trường “chân không”, vì đơn giản là chúng tatriển khai Firewall để bảo vệ một cái gì đó, có thể là một PC, một Server hay cả mộthệ thống Mạng với nhiều dịch vụ được triển khai như Web, Mail, Database….Chúng ta sẽ có một hướng dẫn đầy đủ về việc triển khai các dịch vụ cần thiết chohoạt động mạng của một tổ chức. cách thức cài đặt và cấu hình những dịch vụ nàynhư thế nào. Và điều tối quan trọng là Mạng và các dịch vụ phải được cấu hình đúngcách trước khi triển khai firewall. Điều này giúp chúng ta tránh được những vấn đềphiền toái nảy sinh khi triển khai ISA SERVER 2004.Các Network Services và những tính năng trên ISA SERVER 2004 sẽ được cài đặt vàcấu hình gồm:• Cài đặt và cấu hình Microsoft Certificate Services (dịch vụ cung cấp các chứng thưkĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên Mạng)• Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) dịch vụxác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-uphoặc VPN)• Cài đặt và cấu hình Microsoft DHCP Services (dịch vụ cung cấp các xác lập TCP/IPcho các node trên Mạng) và WINS Services (dịch vụ cung cấp giải pháp truy vấnNETBIOS name của các Computer trên Mạng)• Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng autodiscovery (tự độngkhám phá)) và autoconfiguration (tự động cấu hình) cho Web Proxy và Firewallclients. Rất thuận lợi cho các ISA Clients (Web và Firewall clients) trong một tổ chứckhi họ phải mang Computer từ một Network (có một ISA SERVER) đến Network khác(có ISA SERVER khác) mà vẫn tự động phát hiện và làm việc được với Web ProxyService và Firewall Service trên ISA SERVER này .• Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa cácServer cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũngtách biệt với LAN)• Cài đặt ISA Server 2004 firewall software• Back up và phục hồi thông tin cấu hình của ISA Server 2004 firewall• Dùng các mô hình mẫu của ISA Server 2004 (ISA Server 2004 Network Templates)để cấu hình Firewall• Cấu hình các loại ISA Server 2004 clients• Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall• Publish Web Server trên một Perimeter network• Dùng ISA Server 2004 firewall đóng vai trò một Spam filtering SMTP relay (trạmtrung chuyển e-mails, có chức năng ngăn chặn Spam mails)• Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác củaMicrosoft, tương tự Lotus Notes của IBM)• Cấu hình ISA Server 2004 firewall đóng vai trò một VPN server• Tạo kết nối VPN theo kiểu site to site giữa hai NetworksTrang 5 Triển khai ISA Server Firewall 2004
  6. 6. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrước khi thực hành cấu hình ISA Server 2004 firewall, phải nhận thức rõ ràng : Đâylà một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hìnhlỗi sẽ tạo điều kiện cho các cuộc xâm nhập Mạng. Với những lý do này, điều quantrọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảmbảo an toàn cho việc truy cập Internet .Với cấu hình mặc định của mình ISA SERVER 2004 ngăn chặn tất cả lưu thông vào,ra qua firewall.Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngaytừ đầu khi vận hành ISA SERVER. Và sau đó để đáp ứng các yếu cầu hợp pháp truycập các dịch vụ khác nhau của Internet (ví dụ như web, mail, chat, download, gameonline v.vv..), Security Admin sẽ cấu hình để ISA SERVER 2004 có thể đáp ứng cácyêu cầu được phép trênCác Securty Admin luôn được khuyến cáo: Hãy tạo các cuộc kiểm tra cấu hình ISASERVER 2004 trong phòng Lab, trước khi đem các cấu hình này áp dụng thực tế.Chúng ta sẽ được hướng dẫn cấu hình ISA Server 2004 firewall đúng cách, chính xácthông qua giao diện làm việc rất gần gủi của ISA SERVER 2004. Có thể có những sailầm khi thực hiện Lab, nhưng các Admin không qua lo lắng vì chắc rằng các attackerskhông thể lợi dụng những lỗ hỗng này (trừ khi Lab Network được kết nối vớiInternet..). Trên Lab điều quan trọng nhất là hiểu đúng các thông số đã cấu hình,cho phép sai phạm và các Admin rút ra kinh ghiệm từ chính những “mistakes” này.LAB hướng dẫn cấu hình ISA SERVER 2004 FirewallChúng ta sẽ dùng một Network Lab để mô tả những khả năng và những nét đặctrưng của ISA SERVER 2004. Các Admin khi thực hành nên xây dựng một Test Labtương tự như mô hình chỉ ra dưới đây (tất cả các thông số sử dụng). Nếu cácSecurity Admin không có đủ các thiết bị thật như Test Lab này, có thể dùng mô hìnhgiả lập, đến từ các Virtual Software nhưMicrosoft’s Virtual PC software (hoặc VMWare) để tạo mô hình Lab ảo.Xem thêm về Virtual PC tại Website:http://www.microsoft.com/windowsxp/virtualpc/Trong phần này, chúng ta sẽ xem xét:• Hướng dẫn cấu hình Network cho ISA Server 2004• Cài đặt Windows Server 2003 , và sau đó nâng Computer này lên (dcpromo) thànhmột Domain controller (máy chủ kiểm soát toàn hoạt động của Domain)• Cài đặt Exchange Server 2003 trên Domain controller này và cấu hình thành mộtOutlookWeb Access Site dùng phương thức xác thực cơ bản (Basic authentication)Sơ đồ Mạng triển khai ISA Server 2004Trang 6 Triển khai ISA Server Firewall 2004
  7. 7. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET Đây là mô tả của Lab network. Có 7 Computers trên lab network nàyTuy nhiên Network Lab không yêu cầu cả 7 Computers này chạy cùng một thời điểmĐiều này tạo điều kiện dễ dàng cho Lab đặc biệt là Lab ảo.Mô hình Mạng của tổ chức này có một Local network (Mạng cục bộ-LAN) và mộtRemote network (Mạng ở xa). Mỗi Mạng có một ISA SERVER 2004 chắn phía trướcđóng vai trò Firewall. Tất cả các Computers trên Local network đều là thành viên củaDomain msfirewall.org, và domain này bao gồm luôn cả ISA Server 2004 firewallcomputer. Tất cả các Computers còn lại không là thành viên của Domain này.Trên lab network, Card mạng ngoài (External interfaces) của các ISA Server 2004firewalls có kết nối cho phép truy cập Internet. Các Admin nên tạo các thông số cấuhình giống nhau để có thể Test các kết nối thực sự đến Internet từ phía Clients nằmsau ISA Server 2004 firewalls.Nếu chúng ta dùng phần mềm giả lập thì lưu ý rằng, chúng ta phải set-up đến 3Virtual networks trên Test Lab. Đó là các Vitual networks: Domain Controller nằmtrên Internal Network, TRIHOMELAN1 Computer nằm trên Perimeter networkvà REMOTECLIENT virtual network thứ ba.Lưu ý với Lab ảo: Chắc chắn một điều là trên các Virtual networks này bố trí cácComputers trên các Virtual Switches khác nhau, để ngăn chặn các thông tin trànngập theo kiểu Ethernet broadcast traffic, điều này có thể gây nên những kết quảkhông mong muốn trên Lab ảo..Trang 7 Triển khai ISA Server Firewall 2004
  8. 8. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCài đặt và cấu hình Domain Controller trên Internal NetworkMột Computer khác hơn so với ISA Server 2004 firewall computer, có quyền lực quảntrị toàn Domain nội bộ đó là Domain Controller . Microsoft xây dựng mô hình Domaindưới sự kiểm soát của Active Directory Service và Domain Controller là công cụ kiểmsoát Domain đó. (quản lý tất cả các Clients và Servers cung cấp dịch vụ trongDomain như Web, Mail, Database server và kể cả ISA servers)Trong Lab này chúng ta sẽ cấu hình một Windows Server 2003 domain controller, vàtriển khai luôn các dịch vụ như: DNS, WINS, DHCP, RADIUS, Microsoft ExchangeServer 2003 trên chính Domain controller này.Các giai đoạn tiến hành:• Cài đặt Windows Server 2003• Cài đặt và cấu hình DNS serviceTrang 8 Triển khai ISA Server Firewall 2004
  9. 9. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Nâng Computer này lên thành Domain controllerCài đặt Windows Server 2003Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller1. Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer. Cho phép boot từ CD2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt.Nhấn Enter khi mà hình Welcome to Setup xuất hiện3. Đọc những điều khoản về License trên Windows Licensing Agreement , dùng phímPAGE DOWN để xem hết sau đó nhấn F8 để đồng ý với điều khoản4. Trên Windows Server 2003, bản cài đặt Standard Edition xuất hiện màn hình tạocác phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùng cho việccài đặt Hệ Điều hành. Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉ làm một Partition.Nhấn ENTER.5. Trên Windows Server 2003, màn hình Standard Edition Setup, chọn FormatPartition dùng hệ thống File NTFS. Nhấn ENTER.6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ítphút cho tiến trình này hoàn thành7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn thành 8. Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode). ClickNext trên trang Regional and Language Options9. Trên trang Personalize Your Software, điền Tên và Tổ chức của BạnVí dụ : Name Viet Ha.Ho Organization Network Information Security Vietnam10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có vàclick Next.11. Trên trang Licensing Modes chọn đúng option được áp dụng cho versionWindows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per serverlicensing, hãy đưa vào số connections mà bạn đã có License. Click Next.12. Trên trang Computer Name và Administrator Password điền tên củaComputer trong Computer Name text box. Theo các bước trong xây dựng Test Labnày, thì Domain controller/Exchange Server trên cùng Server và có tên làEXCHANGE2003BE, tên này được điền vào Computer Name text box. Điền tiếpvào mục Administrator password và xác nhận lại password tại mục Confirmpassword (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũngkhông thể log-on vào Server cho các hoạt động tiếp theo). Click Next.13. Trên trang Date and Time Settings pagexác lập chính xác Ngày, giờ và múi giờViệt Nam (nếu các bạn ở Việt Nam). Click Next.14. Trên trang Networking Settings, chọn Custom settings option.15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entrytrong Components và click Properties.16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông sốsau: IP address: 10.0.0.2. Subnet mask: 255.255.255.0.Trang 9 Triển khai ISA Server Firewall 2004
  10. 10. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của Internal Card trên ISA server). Preferred DNS server: 10.0.0.2.17. Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box.Trong Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab,click Add. Trong TCP/IP WINS Server dialog box, điền 10.0.0.2 và click Add.18. Click OK trong Advanced TCP/IP Settings dialog box.19. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.20. Click Next trên trang Networking Components.21. Chấp nhận lựa chọn mặc định môi trường Mạng là Workgroup (chúng ta sẽ tạomôi trường Domain sau, đưa máy này trở thành một Domain controller và cũng làthành viên của Domain (là một member server, vì trên Server này còn cài thêmnhiều Server Service khác ngoài Active Directory Service).Click Next.22. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại23. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đãtạo cho tài khoản Administrator trong quá trình Setup.24. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên checkvào Don’t display this page at logon checkbox và đóng cửa sổ Window lạiCài đặt và cấu hình DNSBước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính Computernày (EXCHANGE2003BE ). Điều này là cần thiết vì Active Directory Service hoạtđộng trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS serverservice phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí các record (A, PTR,SRV records v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computernày lên thành một Domain Controller, và DNS server này sẽ phục vụ cho toànDomain.Tiến hành các bước sau để cài đặt DNS server1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trong Windows Components, xem qua danh sách Components và clickNetworking Services entry. Click Details.4. Check vào Domain Name System (DNS) checkbox và click OK.5. Click Next trong Windows Components.6. Click Finish trên Completing the Windows Components Wizard.7. Đóng Add or Remove ProgramsDNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thểphục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward vàReverse lookup zones. Tiến hành các bước sau để cấu hình DNS server:1. Click Start và sau đó click Administrative Tools. Click DNS.2. Trong bảng làm việc của DNS (DNS console), mở rộng server name(EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones. Right click trênReverse Lookup Zones và click New Zone.3. Click Next trên Welcome to the New Zone Wizard.Trang 10 Triển khai ISA Server Firewall 2004
  11. 11. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trên Zone Type , chọn Primary zone option và click Next.5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter10.0.0 vào text box. Click Next.6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamicupdates option. Click Next.8. Click Finish trên Completing the New Zone Wizard page.Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ làDomain Controller.Tiến hành các bước sau1. Right click Forward Lookup Zone và click New Zone.2. Click Next trên Welcome to the New Zone Wizard page.3. trên Zone Type page, chọn Primary zone option và click Next.4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name textbox. Trong ví dụ này tên của zone là msfirewall.org, trùng với tên của Domain sẽtạo sau này. Đưa msfirewall.org vào text box. Click Next.5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamicupdates. Click Next.7. Click Finish trên Completing the New Zone Wizard page.8. Mở rộng Forward Lookup Zones và click vào msfirewall.org zone. Rightclick trên msfirewall.org và Click New Host (A).9. Trong New Host dialog box, điền vào chính xác EXCHANGE2003BE trongName (uses parent domain name if blank) text box. Trong IP address text box,điền vào 10.0.0.2. Check vào Create associated pointer (PTR) record checkbox.Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã đượctạo xong. Click Done trong New Host text box.10. Right click trên msfirewall.org forward lookup zone và click Properties.Click Name Servers tab. Click exchange2003be entry và click Edit.11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầyđủ của Domain controller computer là exchange2003be.msfirewall.org. ClickResolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list.Click OK.12. Click Apply và sau đó click OK trên msfirewall.org Properties dialog box.13. Right click trên DNS server name EXCHANGE2003BE , chọn All Tasks. ClickRestart.14. Close DNS console.Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controllertrong Domain msfirewall.orgTiến hành các bước sau để tạo Domain và nâng server này thành Domain Controllerđầu tiên của Domain (Primary Domain Controller)Cài đặt Primary Domain Controller1. Click Start và click Run .Trang 11 Triển khai ISA Server Firewall 2004
  12. 12. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.3. Click Next trên Welcome to the Active Directory Installation Wizard page.4. Click Next trên Operating System Compatibility page.5. Trên Domain Controller Type page, chọn Domain controller for a newdomain option và click Next.6. Trên Create New Domain page, chọn Domain in a new forest option và clickNext.7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)msfirewall.org text box và click Next.8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm supportcho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi cácClient này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc địnhTrong ví dụ này là MSFIREWALL. Click Next.9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và clickNext.10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và clickNext.11. Trên DNS Registration Diagnostics page, chọn I will correct the problemlater by configuring DNS manually (Advanced). Click Next.12. Trên Permissions page, chọn Permissions compatible only with Windows2000 or Windows Server 2003 operating system option. Click Next.13. Trên Directory Services Restore Mode Administrator Password page (chếđộ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chếđộ troubleshoot này bằng cach1 Restart Computer, chọn F8), điền vào RestoreMode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫnPassword ở chế độ này với Domain Administrator Password, điều khiển hoạt độngcủa DCs hoặc Domain). Click Next.14. Trên Summary page, click Next.15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active16. Click Finish trên Completing the Active Directory Installation Wizard page,hoàn thành việc cài đặt.17. Click Restart Now trên Active Directory Installation Wizard page.18. Log-on vào Domain Controller dùng tài khoản Administrator sau khi đã Restart.Cài đặt và cấu hình Microsoft Exchange trên Domain ControllerComputer đã sẵn sàng cho việc cài đặt Microsoft Exchange. Trong phần này chúngta sẽ tiến hành những bước sau:• Cài đặt các dịch vụ IIS World Wide Web, SMTP và NNTP services• Cài đặt Microsoft Exchange Server 2003• Cấu hình Outlook Web Access WebSiteTiến hành các bước sau để cài World Wide Web, SMTP và NNTP services:1. Click Start, chọn Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows ComponentsTrang 12 Triển khai ISA Server Firewall 2004
  13. 13. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trên Windows Components page, chọn Application Server entry trongComponents page. Click Details.4. Trong Application Server dialog box, check vào ASP.NET checkbox. ChọnInternet Information Services (IIS) entry và click Details.5. Trong Internet Information Services (IIS) dialog box, check vào NNTPService checkbox. Check tiếp SMTP Service checkbox. Click OK.6. Click OK trong Application Server dialog box.7. Click Next trên Windows Components page.8. Click OK vào Insert Disk dialog box.9. Trong Files Needed dialog box, đưa đường dẫn đến Folder I386 trên CD cài đặtWindows Server 2003 trong copy file từ text box. Click OK.10. Click Finish trên Completing the Windows Components Wizard page.11. Close Add or Remove Programs .Tiến hành các bước sau cài Microsoft Exchange:1. Đưa Exchange Server 2003 CD vào CD-ROM, trên autorun page, click ExchangeDeployment Tools link nằm dưới Deployment heading.2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploythe first Exchange 2003 server link.3. Trên Deploy the First Exchange 2003 Server page, click New Exchange2003 Installation link.4. Trên New Exchange 2003 Installation page, kéo xuống cuối trang.Click RunSetup now link.5. Trên Welcome to the Microsoft Exchange Installation Wizard page, clickNext.6. Trên License Agreement page, chọn I agree option và click Next.7. Chấp nhận các xác lập mặc định trên Component Selection page và click Next.8. Chọn Create a New Exchange Organization option trên Installation Typepagevà click Next.9. Chấp nhận tên mặc định trong Organization Name text box trên OrganizationName page, và click Next.10. Trên Licensing Agreement page, chọn I agree that I have read and will bebound by the license agreement for this product và click Next.11. Trên Installation Summary page, click Next.12. Trong Microsoft Exchange Installation Wizard dialog box, click OK.13. Click Finish trên on the Completing the Microsoft Exchange Wizard page khicài đặt hoàn thành.14. Đóng tất cả cửa sổ đang open.Exchange Server đã được cài đặt và giờ đây Admin có thể tạo các mailboxes choUsers. Bước kế tiếp là cấu hình Outlook Web Access site và chỉ dùng phương thứcxác thực duy nhất là Basic Authentication. Đối với các quản trị Mail Server thì đâylà một cấu hình quan trọng (nhưng tất nhiên không bắt buộc) khi muốn cho phéptruy cập từ xa (remote access) vào OWA site. Sau đó, chúng ta sẽ yêu cầu mộtTrang 13 Triển khai ISA Server Firewall 2004
  14. 14. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETWebsite Certificate (chứng thư số Website) cho OWA site và publish OWA sitedùng quy tắc Web Publishing Rule trên ISA Server, thông qua rule này, sẽ chophép remote users truy cập vào OWA site.Tiến hành các bước sau để cấu hình OWA site dùng phương thức xác thực duy nhấtBasic authentication:1. Click Start, chọn Administrative Tools. Click Internet Information Services(IIS) Manager.2. Trong Internet Information Services (IIS) Manager console, mở rộng servername, mở rộng WebSites node Và mở Default Web Site.3. Click trên Public node và sau đó right click. Click Properties.4. Trong Public Properties dialog box, click Directory Security tab.5. Trên Directory Security tab, click Edit trong khung Authentication and accesscontrol.6. Trong Authentication Methods dialog box, đảm bảo không check vào (remove)Integrated Windows authentication checkbox. Click OK.7. Click Apply và click OK.8. Click trên Exchange node và right click. Click Properties.9. Trên Exchange Properties dialog box, click Directory Security tab.10. Trên Directory Security tab, click Edit trong Authentication and accesscontrol11. Trong Authentication Methods dialog box, đảm bảo không check vào (remove)Integrated Windows authentication checkbox. Click OK.12. Click Apply, click OK trong Exchange Properties dialog box.13. Click trên ExchWeb node,sau đó right click. Click Properties.14. Trong ExchWeb Properties dialog box, click Directory Security tab.15. Trên Directory Security tab, click Edit trong khung Authentication andaccess control16. Trong Authentication Methods dialog box, không check (remove) vào Enableanonymous access checkbox. Sau đó check vào Basic authentication (chú ýdùng phương thức xác thực này, password được gửi đi dưới dạng clear text)checkbox. Click Yes trong IIS Manager dialog box và Admin nhận được thông báorằng password được gửi đi hoàn toàn không mã hóa (clear). Trong Default domaintext box, đưa vào tên Internal network domain, chính là MSFIREWALL. Click OK.17. Click Apply trong ExchWeb Properties dialog box. Click OK trong InheritanceOverrides dialog box. Click OK trong ExchWeb Properties dialog box.18. Right click Default Web Site và click Stop. Right click lại Default Web Site vàclick Start.Kết luận:Trong sách hướng dẫn cấu hình ISA Server 2004 này chúng ta đã thảo luận nhữngmục tiêu và những phương thức, để có thể nắm bắt triển khai và cấu hình ISA saocho hiệu quả nhất. Sách hướng dẫn cũng cung cấp cho các bạn phương pháp giảiquyết vấn đề theo từng bước cụ thể. Chương một này tập trung vào việc xây dựngmột cơ sở hạ tầng Mạng (Network Infrastructure) theo mô hình Microsoft ActiveDirectory Domain trên máy chủ Winndows server 2003 Domain Controller, và triểnTrang 14 Triển khai ISA Server Firewall 2004
  15. 15. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETkhai các dịch vụ khác liên quan đến hạ tầng Mạng như WINS, DNS, và các dịch vụgia tăng như Web, Mail.. Chương kế tiếp trình bày cách thức cài đặt một MicrosoftCertificate Services trên Domain Controller Computer.Trang 15 Triển khai ISA Server Firewall 2004
  16. 16. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 2: Cài đặt Certificate Services(Dịch vụ cung cấp chứng thư kĩ thuật số cho các giao dịch Mạng)Microsoft Certificate Services có thể được cài đặt trên Domain controller của internalnetwork và cung cấp các Certificates cho các Hosts trong Internal networkdomain, cũng như các Hosts không là thành viên của Internal network domain.Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cầnhoàn thành:• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPNprotocol, tạo liên kết site-to-site VPN.• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPNprotocol, tạo điều kiện cho VPN client thực hiện kết nối từ một Remote Location(site)• Cho phép remote users có thể truy cập đến Outlook Web Access site, phươngthức bảo mật mạnh SSL-to-SSL bridged connections.• Publish secure Exchange SMTP và POP3 services lên Internet Certificates chophép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là một giao thứclớp session (layer) có khả năng mã hóa dữ liệu truyền giữa client và server.SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote access đếncác Websites. Ngoài ra, certificates còn có thể được dùng để xác nhận các đối tượngtham gia các kết nối VPN , bao gồm VPN clients và VPN servers (phương pháp nàygọi là xác thực cả hai chiều- mutual Authentication)Trong phần này chúng ta sẽ đề cập đến các tiến trình sau:• Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate Authority’sWeb Enrollment ( nhận các Certificates từ CA server thông qua hình thức đăng kítrên CA’sWeb)• Cài đặt Microsoft Certificate Services ở chế độ Enterprise CACài đặt Internet Information Services 6.0Certificate Authority’s Web enrollment site sử dụng Internet InformationServices World Wide Publishing Service. Bởi vì chúng ta đã cài IIS Web services,trong chương 1 khi tiến hành cài Exchange 2003 hỗ trợ Outlook Web Access site, nênsẽ không cần cài lại IIS service. Tuy nhiên, bạn nên xác nhận lại WWW PublishingService đã được Enabled, trước khi tiến hành cài Enterprise CA.Thi hành các bước sau để xác nhận WWW Publishing Service đang chạy trên domaincontroller:1. Click Start chọn Administrative Tools. Click Services.2. Trong Services console, click Standard tab phía dưới. Kéo xuống danh sách vàdouble-click vào World Wide Web Publishing Service .3. Trong World Wide Web Publishing Server Properties dialog box, xác nhậnStartup type là Automatic, và trang thái vận hành của service là Started.Trang 16 Triển khai ISA Server Firewall 2004
  17. 17. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Cancel và đóng Services console.Như vậy WWW Publishing Service đã vận hành, bước tiếp theo là cài đặt EnterpriseCA software.Cài đặt Certificate Services ở chế độ Enterprise CAMicrosoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domaincontroller. Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược lại vớiStandalone mode) bao gồm:• Chứng thư gốc của CA (root CA certificate) được tự động đưa vào vùng lưu trữCertificate của Trusted Root Certification Authorities (certificate store) trên tấtcả các máy thành viên của Domain (domain member). Các Computer thành viên củaDomain khi dùng các giao dịch cần Certificates để nâng cao tính an toàn, có thể dễdàng tìm các nhà cung cấp hơp pháp- CA servers, trong Trusted Root CertificationAuthorities trên Computer của mình.• Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại RUN, typemmc, chọn File, Add/Remove snap-in, Add, chọn Certificates), và dễ dàngdùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites• Tất cả các Computer trong Domain có thể được phân chia Certificates đồng loạtthông qua tính năng Active Directory autoenrollment featureTrang 17 Triển khai ISA Server Firewall 2004
  18. 18. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETLưu ý rằng không nhất thiết phải cài CA ở Enterprise mode. Bạn có thể cài CA ở chếđộ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập standalonemode hoặc làm thế nào để xin cấp certificate từ một Standalone CATiến hành các bước sau để cài đặt Enterprise CA trên Domain ControllerEXCHANGE2003BE1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo danh sách xuống và check vàoCertificate Services checkbox. Click Yes trong Microsoft Certificate Servicesdialog box, thông báo rằng informing “you may not change the name of the machineor the machine’s domain membership while it is acting as a CA”. Như vậy là rất rõràng Bạn không thể thay đổi Computer Name hoặc thay đổi tư cách thành viênDomain của Computer này, sau khi đã cài CA service.Click Yes.4. Click Next trên Windows Components page.5. Trên CA Type page, chọn Enterprise root CA option và click Next.6. Trên CA Identifying Information page, điền tên cho CA server này trongCommon name của CA text box. Nên dùng tên dạng DNS host name của domaincontroller. Tham khảo về cấu hình DNS hỗ trợ ISA serverhttp://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htmTrang 18 Triển khai ISA Server Firewall 2004
  19. 19. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrong text box này các bạn điền vào NetBIOS name của domain controller làEXCHANGE2003BE. Click Next.7. Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish tooverwrite the existing key”, ghi đè lên các khóa đã tồn tại. Còn nếu bạn đã triển khaicác CA khác trên mạng có thể không nên overwrite các khóa hiện tại. Và nếu đây làCA đầu tiên, có thể chấp nhận overwrite the existing key. Trong ví dụ này chúng tatrước đó đã chưa cài CA trên Computer vì vậy không nhìn thấy dialog box thông báonhư trên8. Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định choCertificate Database và Certificate database log text boxes. Click Next.9. Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thôngbáo phải restart Internet Information Services. Click Yes để stop service. Servicesẽ được restart automatic.10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưađường dẫn đến I386 folder trong Copy file from text box và click OK.11. Click Finish trên Completing the Windows Components Wizard page.12. Đóng Add or Remove Programs.Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer kháctrong Domain thông qua autoenrollment, Certificates mmc snap-in, hoặc quaWeb enrollment site. Trong hướng dẫn cấu hình ISA Server 2004 này, chúng ta sẽcấp phát một Web site certificate cho OWA Web site và cũng cấp phát cácTrang 19 Triển khai ISA Server Firewall 2004
  20. 20. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETComputer certificates cho ISA Server 2004 firewall computer và cho cácexternal VPN client và VPN gateway (VPN router) machine.Kết luận:Trong phần này chúng ta đã thảo luận về việc dùng một CA- Certificate Authority vàlàm thế nào để cài đặt một Enterprise CA trên Domain controller trong internalnetwork. Và tiếp theo chúng ta sẽ dùng Enterprise CA để cấp Computer Certificatescho các VPN clients và servers, cũng cấp luôn một Web site certificate cho ExchangeServer’s Outlook Web Access Web site.Trang 20 Triển khai ISA Server Firewall 2004
  21. 21. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 3: Cài đặt và cấu hình Microsoft Internet AuthenticationServiceMicrosoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS(Remote Authentication Dial In User Service) server được dùng để xác thực Users kếtnối đến ISA Server 2004 firewall machine. Bạn có thể dùng IAS để xác thực các WebProxy clients trên Internal network hay VPN clients, VPN gateways đang tiến hànhkết nối từ một External network location (ví dụ như từ một văn Phòng chi nhánh củacông ty). Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượngnày kết nối đến các Web servers đã được published thông qua Web Publishing rulestrên ISA Server 2004Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SAServer 2004 firewall computer không cần phải là thành viên của Active DirectoryDomain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đangnằm trong Active Directory database thuộc Internal network. Nhiều Firewalladministrators khuyến cáo rằng không nên để Firewall Computer là thành viên trongDomain User. Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và quađó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vàoMạng nội bộ.Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 firewall làm thành viêncủa Internal network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client đểcung cấp các xác thực hợp pháp cho ISA server khi các Firewall Clients này truy cậpđến tất cả các giao thức TCP và UDP. Chính vì lý do này, chúng ta sẽ tạo một ISAServer 2004 firewall computer làm một thành viên của Internal Domain. Tuy nhiênnếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực cácVPN và Web Proxy clients.Các công việc tiếp theo sẽ là:Cài đặt và cấu hình Microsoft Internet Authentication ServiceMicrosoft Internet Authentication Service server là một RADIUS server. Chúng ta sẽsử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năngRADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức mộtRADIUS server xác thực PN clients như thế nào)Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trêndomain controller EXCHANGE2003BE thuộc Internal network:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xuống Components list và chọnNetworking Services entry. Click Details.4. Check vào Internet Authentication Service checkbox và click OK.Trang 21 Triển khai ISA Server Firewall 2004
  22. 22. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click Finish trên Completing the Windows Components Wizard page.7. Đóng Add or Remove ProgramsTiếp theo chúng ta sẽ cấu hình Internet Authentication ServiceCấu hình Microsoft Internet Authentication ServiceBạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004firewall computer. Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc vớiISA Server 2004 firewall. Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server.Tiến hành các bước sau với Domain controller trên Internal network để cấu hình IASserver:1. Click Start, Administrative Tools. Click Internet Authentication Service.2. Trong Internet Authentication Service console, mở rộng InternetAuthentication Service (Local) node. Right click trên RADIUS Clients node vàclick New RADIUS Client.Trang 22 Triển khai ISA Server Firewall 2004
  23. 23. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trên Name and Address page của New RADIUS Client wizard, điền vàoFriendly-name của ISA Server 2004 firewall computer trong Friendly name textbox. Đơn giản là tên này được dùng để xác định RADIUS client và không được sửdụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (làEXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004firewall computer trong Client address (IP or DNS) text box.Trang 23 Triển khai ISA Server Firewall 2004
  24. 24. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain namecủa ISA Server 2004 firewall computer sẽ xuất hiện trong Client text box. ClickResolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trongIP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điềunày lưu ý với Admin rằng: hostname của ISA Server 2004 firewall chưa được tạotrong DNS server (chưa tạo record cho ISA server). Nếu trường hợp này xảy ra, bạncó thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được càiđặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface(10.0.0.1) của ISA Server 2004 firewall trong Client address (IP and DNS) textbox thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Clientdialog box. Mục đích của các xác lập trong phần này là biến ISA SERVER 2004Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Clientmới có thể bắt tay cộng tác.5. Click Next trên Name and Address page của New RADIUS Client wizard.6. Trên Additional Information page của wizard, dùng default Client-Vendorentry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box vàxác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server vàRADIUS Client- ISA SERVER 2004 firewall biết), và dùng “tín hiệu” này để làm việcvới nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tựđặc biệt..). Check vào Request must contain the Message Authenticatorattribute check box. Click Finish.Trang 24 Triển khai ISA Server Firewall 2004
  25. 25. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console8. Đóng Internet Authentication Service console.Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó làRADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA SERVERTrang 25 Triển khai ISA Server Firewall 2004
  26. 26. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từWeb và VPN client.Kết luận:Trong chương này chúng ta đã đề cập đến Microsoft Internet AuthenticationServer, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộcInternal network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùngIAS server này để xác thực các yêu cầu từ bên ngoài (incoming requestst củaWeb/VPN Clients) truy cập vào Web/VPN server.Trang 26 Triển khai ISA Server Firewall 2004
  27. 27. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 4: Cài đặt và cấu hình Microsoft DHCP và WINS ServerServicesWindows Internet Name Service (WINS) khi dịch vụ này được triển khai trongInternal Network Domain, nó sẽ phục vụ các Computer trong Mạng giải quyết để tìmNetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông quaWINS server để giải quyết được NetBIOS name của Computer B ở một Network khác(tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbiosnames trong Mạng nội bộ của tổ chức, tránh nhầm lẫn với cách giải quyết hostnamecủa DNS server- có khả năng giải quyết tên dạng FQDN (www.nis.com.vn) củaInternet hoặc Internal network Domain. Các bạn có thể tham khảo “ XÂY DỰNG HẠTẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành củatôi để hiểu rõ hơn về vai trò của một WINS server trong Mạng nội bộ.Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽđăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũngcó thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IPaddresses. Nếu trong Mạng nội bộ không có WINS Server, thì Windows clients sẽgửi các message dạng broadcast để tìm Netbios name của Computer muốn giaotiếp. Tuy nhiên, nếu các Computer này nằm tại một Mạng khác (với Network IDkhác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặcđịnh trên các Router). Như vậy trong mạng nội bộ của một tổ chức, gồm nhiềuNetwork Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBiosname của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng.WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trựctiếp kết nối đến Internal network, và như vậy không thể dùng broadcasts để giảiquyết NetBIOS names của các Computers bên trong Mạng nội bộ. (Trừ khi bạn dùngWindows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOSbroadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyếtNetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong MyNetwork Places của Internal Network.Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động cácthông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP serversẽ được cấu hình trên Internal network server và không phải trên chính ISA SERVER2004 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal network, ISAServer 2004 firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lạicho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trênDHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN ClientsNetwork.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPNClients) Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routingrelationships) cho các VPN Clients này truy nhập Mạng nội bộ có thể được cấu hìnhgiữa VPN Clients Network và các mạng nội bộ được xác định trong phân vùng LAT(Local Address Table) do ISA Server 2004 firewall quản lý.Trang 27 Triển khai ISA Server Firewall 2004
  28. 28. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETTrong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services.Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCPscope options.Cài đặt WINS ServiceWindows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS namesra IP Addresses (đơn giản vì chúng ta đang dùng Mạng TCP/IP, mạng giao tiếp theosố- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp,vì tên dễ nhớ hơn số). Trong các mô hình Mạng mới ngày nay (ví dụ Mạng MicrosoftWindows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINSservice triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiênnhiều tổ chức muốn dùng My Network Places để có thể xác định các Server trênMạng. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các NetworkComputer dựa trên dịch vụ Windows Browser. Và Windows Browser service giảiquyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Networktriển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINSserver để thu thập thông tin về các Computers phân tán khắp các Segment củaMạng. Ngoài ra, WINS service cũng được yêu cầu triển khai khi các VPN clientsmuốn có được danh sách các Computers trong mạng nội bộ. Mục đích cài WINSserver trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browserservice cho các VPN clients.Tiến hành các bước sau để cài WINS:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xuống danh sách Components và chọnNetworking Services entry. Click Details.4. Trong Network Services dialog box, check vào Windows Internet NameService (WINS) check box. Check tiếp vào Dynamic Host ConfigurationProtocol (DHCP) check box. Click OK.Trang 28 Triển khai ISA Server Firewall 2004
  29. 29. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đườngdẫn đến I386 folder trong mục Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.8. Đóng Add or Remove Programs .WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức màkhông cần bất cứ cấu hình thêm nào. ISA Server 2004 firewall, Domain controller, vàcác Internal network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kívới WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)Cấu hình DHCP ServiceDynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự động cácthông số liên quan đến IP Address cho Internal network clients và VPN clients. TrongLab này, mục đích chính của DHCP server là cấp phát các thông số IP address choMạng VPN clients. Lưu ý rằng, trong mô hình Mạng thực tế của các tổ chức, nên cấuhình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh.(tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers,hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chiphí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO..)DHCP server service đã được cài đặt theo những thủ tục đưa ra tại chương 1. Bướckế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo cácthông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp chocác DHCP Clients.Tiến hành các bước sau để cấu hình một DHCP scope:Trang 29 Triển khai ISA Server Firewall 2004
  30. 30. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Click Start, Administrative Tools. Click DHCP.2. Trên DHCP console, right click trên server name và click Authorize (xác nhậnDHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP serverkhông được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sangXanh lá cây, và DHCP đã hoạt động4. Right click trên server name, click New Scope.5. Click Next trên Welcome to the New Scope Wizard page.6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tinmô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope làscope 1 và không mô tả trong Description. Click Next.7. Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP addressvà một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính làTrang 30 Triển khai ISA Server Firewall 2004
  31. 31. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETvùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này,chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấuhình ISA Server 2004 firewall cho phép các VPN clients thực hiện đồng thời 10 VPNconnections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPNClients. ISA Server 2004 firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từDHCP server, nếu thực sự điều đó là cần thiết. Tiếp theo chúng ta sẽ đưa thông sốsubnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng taxác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thayđổi sau khi bạn đã điền giá trị vào Length.Click Next.8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhucầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sửdụng cố định trên Network cho các thiết bị như Routers, Network Printers..), trênAdd Exclusions page. Click Next.9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại LeaseDuration page. Click Next.10. Trên Configure DHCP Options page, chọn Yes, I want to configure theseoptions now option và click Next.11. Trên Router (Default Gateway) page, điền vào IP address của internalinterface (10.0.0.1) trên ISA Server 2004 firewall computer trong IP address textbox và click Add. Click Next.Trang 31 Triển khai ISA Server Firewall 2004
  32. 32. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET12. Trên Domain Name and DNS Servers page, điền tên Domain của Internalnetwork trong Parent domain text box. Đây là Domain name được dùng bởi cácDHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Mạng mà mìnhđang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số nhưwpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động pháthiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai dịch vụ vận hànhtrên ISA SERVER 2004) chức năng này gọi là autodiscovery. Trong ví dụ này, cácbạn sẽ đưa vào tên Domain là msfirewall.org trong text box. Trong IP addresstext box, điền IP address của DNS server (10.0.0.2) trên Internal network. Chú ýdomain controller cũng là DNS server internal network như đã xác định tại các phầntrước. Click Add. Click Next.Trang 32 Triển khai ISA Server Firewall 2004
  33. 33. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET13. Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và ClickAdd14. Trên Activate Scope page, chọn Yes, I want to activate this scope nowoption và click Next.15. Click Finish trên Completing the New Scope Wizard page.16. Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node.Bạn sẽ thầy danh sách các Options vừa cấu hình.17. Đóng DHCP console.Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quanđến IP address cho DHCP clients trên Mạng nội bộ,và cả các VPN Clients thuộc VPNclients network. Tuy nhiên, ISA Server 2004 firewall sẽ chưa cung cấp các thông sốIP này cho VPN Clients khi mà Admin chưa cho phép triển khai dịch vụ VPN (VPNserver) trên Firewall.Trang 33 Triển khai ISA Server Firewall 2004
  34. 34. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETKết luận:Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCPservers, cài đặt cả hai dịch vụ này lên Domain controller, và cấu hình một DHCPScope trên DHCP server. Ở phần sau chúng ta sẽ nói đến cách thức mà các dịch vụnày sẽ hỗ trợ cho các VPN clients.Trang 34 Triển khai ISA Server Firewall 2004
  35. 35. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 5: Cấu hình DNS và DHCP để hỗ trợ tính năngAutodiscovery cho Web Proxy và Firewall ClientWeb Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệtWeb browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client cóthể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đócó thể download các thông tin cấu hình tự động (autoconfiguration information)từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISAserver.Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Webbrowsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxyclient. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệpDHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server2004, dựa trên những thông tin đã nhận được (download) từ autoconfigurationinformation.Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall(detect Firewall) để kết nối ra Internet.ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server2004 firewall và download các thông tin cấu hình này về.Trong phần này chúng ta sẽ tiến hành• Cấu hình hỗ trợ DHCP WPAD• Cấu hình hỗ trợ DNS WPADSau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy vàFirewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông quaISA Server 2004 firewall.Cấu hình hỗ trợ DHCP WPADDHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxyvà Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCPclient, và các Users log-on vào các Clients này phải là thành viên của nhóm Localadministrators group hoặc Power users group (Windows 2000). Trên WindowsXP, thì chỉ cần là thành viên của nhóm Network Configuration Operators grouplà có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).Chú ý:Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ autodiscovery choInternet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in InternetExplorer with DHCP Requires Specific Permissions “ tạihttp://support.microsoft.com/default.aspx?scid=kb;en-us;312864Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năngwpad1. Mở DHCP console từ Administrative Tools menu, right click server name. ClickSet Predefined Options2. Trong Predefined Options and Values dialog box, click Add.Trang 35 Triển khai ISA Server Firewall 2004
  36. 36. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET3. Trong Option Type dialog box, đưa vào các thông tin sau: Name: wpad Data type: String Code: 252 Description: wpad entryClick OK.4. Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 firewall trongString text box.Theo định dạng như sau:http://ISAServername:AutodiscoveryPort Number/wpad.datTrang 36 Triển khai ISA Server Firewall 2004
  37. 37. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETMặc định autodiscovery port number là TCP 80. Port 80 này có thể thay đổi thôngqua cấu hình trên ISA SERVER 2004.. Chi tiết về cấu hình này sẽ thảo luận sau.Trong ví dụ hiện tại, điền vào String text box:http://isalocal.msfirewall.org:80/wpad.datĐảm bảo rằng wpad.dat không dùng những kí tự viết hoa. Về vấn đề này có thểtham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCPOption 252”http://support.microsoft.com/default.aspx?scid=kb;en-us;307502Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA SERVER 2004,do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL,đều khiến ISA SERVER 2004 phủ nhận.Click OK.5. Right click trên Scope Options node và click Configure Options.6. Trong Scope Options dialog box, kéo xuống danh sách Available Options vàđánh dấu- check vào 252 wpad check box. Click Apply và click OK.Trang 37 Triển khai ISA Server Firewall 2004
  38. 38. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET7. 252 wpad entry giờ đây xuất hiện dưới Scope Options.8. Đóng DHCP console.Tại thời điểm này một DHCP client được log-on với tài khoản local administrator(hoặc Power users..) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khámphá (automatically discover) ISA Server 2004 firewall và tiếp đó là tự cấu hình chochính mình. Tuy nhiên, ISA Server 2004 firewall phải được cấu hình để hỗ trợ đểpublish các thông tin của mình phục vụ cho autodiscovery information. Chúng ta sẽbàn đến vấn đề này tại các chương sauCấu hình hỗ trợ DNS WPADTrang 38 Triển khai ISA Server Firewall 2004
  39. 39. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETPhương pháp khác để phân phối thông tin autodiscovery cho Web Proxy và Firewallclients là dùng DNS. Admin có thể tạo một wpad alias entry trong DNS server vàcho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tựđộng cho chính nó. Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làmviệc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó(User log-on phải là thành viên của những Group đặc biệt trong Windows operatingsystem).Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương phápnày của Web Proxy và Firewall client để autodiscovery có thể làm việc chính xác.Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name củawpad alias trên DNS server. Ở đây Web Proxy và Firewall client chỉ cần biết rằng nócó khả năng giải quyết tên wpad. Không cần phải nằm trong một Domain cụ thể nàomới có thể giải quyết wpad name. Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ởphần sauChú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến WebProxy và Firewall clientsChúng ta sẽ không có lựa chọn dùng port number để publish autodiscoveryinformation khi sử dụng phương pháp DNS . Bạn phải publish thông tin tự độngnày trên TCP Port 80. Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy vàFirewall client tự động khám phá ISA Server 2004 firewall:• Tạo wpad entry trong DNS• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias• Cấu hình trình duyệt- Client browser sử dụng autodiscoveryTạo Wpad entry trong DNSTrước khi tạo wpad alias entry trong DNS. Alias này(cón được biết dưới tên làCNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004firewall trên DNS server. (A) Host record trên DNS, giúp giải quyết hostname (ví dụisalocal.msfirewall.org ) của ISA Server 2004 firewall đến Internal IP address củaISA firewall.Cần tạo (A) Host record trước khi chúng ta CNAME record. Nếu DNS server chophép các name records được đăng kí tự động thì hostname của ISA Server 2004firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Hostrecord. Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo(A) Host record cho ISA Server 2004 firewall.Trong ví dụ này ISA Server 2004 firewall đã đăng kí tự động với DNS, do Internalinterface trên ISA Server 2004 firewall được cấu hình để thực hiện việc này, và dĩnhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này(unsecured dynamic registrations)Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domaincontroller) của Internal network:Trang 39 Triển khai ISA Server Firewall 2004
  40. 40. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET1. Click Start, Administrative Tools. Click DNS entry. Trong DNS managementconsole, right click trên Forward lookup zone của Domain và click New Alias(CNAME).2. Trong New Resource Record dialog box, điền vào wpad trong Alias name(uses parent domain if left blank) text box. Click Browse.3. Trong Browse dialog box, double click trên server name trong Records list.Trang 40 Triển khai ISA Server Firewall 2004
  41. 41. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trongkhung Records .5. Trong Browse dialog box, double click trên tên của Forward lookup zone trongkhung Records.Trang 41 Triển khai ISA Server Firewall 2004
  42. 42. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Trong Browse dialog box, chọn tên của ISA Server 2000 firewall trong khungRecords. Click OK.7. Click OK trong Resource Record dialog box.Trang 42 Triển khai ISA Server Firewall 2004
  43. 43. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET8. CNAME (alias) entry sẽ xuất hiện DNS management console.9. Đóng DNS Management console.Cấu hình ISA Client để dùng Fully Qualified wpad AliasTrang 43 Triển khai ISA Server Firewall 2004
  44. 44. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETWeb Proxy và Firewall client cần giải quyết tên của wpad. Các cấu hình của WebProxy và Firewall client không thể giúp các Client này có được thông tin của wpadalias. Hệ điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề nàycho Web Proxy và Firewall client.Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn nàyđược gửi đến DNS server. Một yêu cầu dạng fully qualified bao gồm mộthostname và một domain name. Web Proxy và Firewall client chỉ có thể biếthostname, còn Hệ điều hành của Web Proxy và Firewall client phải có khả năng xácđịnh chính xác domain name của wpad host name, trước khi nó có thể gửi mộttruy vấn DNS đến DNS server.Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name vớiwpad, trước khi truy vấn được gửi đến DNS server. Hai phương pháp phổ biến đểthực hiện điều này là:• Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients• Cấu hình primary domain name trong mục Network identification trênMicrosoft Windows (2000, XP,2003..)dialog box.Trong phần cấu hình Scope 1, trên DHCP server, chúng ta đã cấu hình một primaryDNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộcInternal Network Domain.Các bước sau mô tả xác lập primary domain name gắn liền với các truy vấn DNSLưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên cácClients Computer của Internal Network. Do các Clients đã là thành viên của ActiveDirectory domain trên Internet network. Tuy nhiên, cũng nên xem qua các bước sauđể hiểu cách primary domain name được cấu hình như thế nào trên một Computerkhông phải là thành viên của Internal Domain1. Right click My Computer, click Properties.2. Trong System Properties dialog box, click Network Identification tab. ClickProperties .3. Trong Changes dialog box, click More.Trang 44 Triển khai ISA Server Firewall 2004
  45. 45. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET4. Trong Primary DNS suffix of this computer text box, điền vào domain namechứa wpad entry. Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truyvấn đến DNS server. Theo mặc định primary domain name chính là tên củadomain (MSFIREWALL.ORG )chứa Computer này. Nếu Computer không là thànhviên của Domain thì text box sẽ để trống.Chú ý: Change primary DNS suffix when domain embership changes được enabledtheo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain.Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain nametại thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clientsthuộc nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains.Trang 45 Triển khai ISA Server Firewall 2004
  46. 46. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETCấu hình trình duyệt- Client Browser để sử dụng AutodiscoveryTrong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chứcnăng autodiscovery. Sau khi xác nhận chức năng này, Web browser trên cácClients sẽ làm việc trực tiếp với Web Proxy service của ISA Server 2000 firewall vớicơ chế tự động khám phá- autodiscovery1. Right click trên Internet Explorer icon, click Properties.2. Trong Internet Properties dialog box, click Connections tab. Click LANSettings3. Trong Local Area Network (LAN) Settings dialog box, check vàoAutomatically detect settings check box. Click OK.4. Click Apply, click OK trong Internet Properties dialog box.Bước kế tiếp, cần cấu hình trên ISA Server 2000 firewall để publish thông tin vềautodiscovery, hỗ trợ cho Web Proxy và Firewall clients.Kết luận:Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft InternetAuthentication Server, cách thức cài đặt và cấu hình IAS server trên một Domaincontroller thuộc Internal network. Trong các phần sau, chúng ta sẽ IAS server này,để xác thực các kết nối từ xa của Web và VPN client (incoming connections).Trang 46 Triển khai ISA Server Firewall 2004
  47. 47. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETChương 6: Cài đặt và cấu hình DNS Server với chức năngCaching-only trên Perimeter Network SegmentDNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi cácComputers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voiceover IP..), luôn cần phải biết IP address của các Internet Server trước khi có thểconnect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP(và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giaotiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùngInternet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so vớiIP address), ví dụhttp:// www.nis.com.vn (dễ nhớ)http:// 207.46.225.60 (khó nhớ)cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyếtHostname ra IP address.Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyềnhoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là mộtcaching-only DNS server không nhất thiết phải chứa bất cứ name records của mộthay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truyvấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quảvừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản,các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạora bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của cácClients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với InternalDomain DNS server (được cài trên Domain controller- 10.0.0.2)Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triểnkhai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment(hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sauTrang 47 Triển khai ISA Server Firewall 2004
  48. 48. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETMô tả về Perimeter Network:Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một PerimeterNetwork (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiếnNam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP(Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, nhưWeb Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZnetwork, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của cácnhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 NetworkInterface Cards)Network Interface 1 (WAN): Tạo kết nối ra InternetNetwork Interface 2 (DMZ): Tạo kết nối đến DMZ networkNetwork Interface 3: (LAN)Tạo kết nối đến Internal networkNhư vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall),nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đốitác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publishresourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngayvào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủngFirewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network.Các DNS servers được sử dụng trong DMZ network có hai mục đích chính:Trang 48 Triển khai ISA Server Firewall 2004
  49. 49. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát vàủy quyền của Domain• Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếukhông giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đếncác DNS servers khác của Internal networkMột DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publishdomain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miềnInternet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyêntrả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho InternalDNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNSserver còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụcác Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients nàycần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụInternet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ networksẽ phục vụ cho những yêu cầu này.DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNSserver. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thayvào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host namesvà chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lờicác yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứInternet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này(Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khinhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS ClientsTrong phần này, chúng ta sẽ thực hiện• Cài đặt DNS server service• Cấu hình DNS server trở thành một caching-only DNS server an toàn (securecaching-only DNS server)Cài đặt DNS Server Service trên DMZ networkDNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyểncác yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP serverTiến hành các bước sau để cài một DNS server service trên DMZ network (trênserver TRIHOMELAN1)1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, keo xuống danh sách Components, chọnNetworking Services. Click Details.4. Trong Networking Services dialog box, check vào Domain Name System(DNS) check box và click OK.Trang 49 Triển khai ISA Server Firewall 2004
  50. 50. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Next trên Windows Components page.6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưađường dẫn đến Folder i386 trong Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNSserver. DNS server trên DMZ network sẽ tiếp xúc trực tiếp với các Internet hosts.Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tàinguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ network, như vậyInternet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ network.Hoặc trường hợp ngược lại là DNS server trên DMZ network của chúng ta sẽ tiếp xúcDNS servers của các tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giảiquyết hostname cho các Internal network clients có nhu cầu truy cập ra ngoàiInternet.Trong ví dụ này, DNS server của DMZ network, sẽ đóng vai trò một caching-onlyDNS server và không quản lý các name records của các Publish Server trong InternalDomainTiến hành các bước sau trên DNS server thuộc DMZ network, để trở thành mộtsecure caching-only DNS server:1. Click Start, Administrative Tools. Click DNS.2. Trong DNS management console, right click trên server name, click Properties.3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện cácDNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tạiRoot Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyếtcác truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sáchTrang 50 Triển khai ISA Server Firewall 2004
  51. 51. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NETcác Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giảiquyết hostname của các Computer trên Internet.4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion forthis domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽkhông dùng được các Internet DNS Servers trong danh sách của Root Hints cho việcgiải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năngForwarder. Trong trường hợp này, chúng ta không dùng Forwarder.Trang 51 Triển khai ISA Server Firewall 2004
  52. 52. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollutioncheck box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc cácInternet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể đượcADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNSClients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNSClients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến mộtHost giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịchvới Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khicòn được gọi là “co-coordinated DNS attack”Trang 52 Triển khai ISA Server Firewall 2004
  53. 53. DOWNLOAD TẠI DIỄN ĐÀN QUẢN TRỊ MẠNG, QUẢN TRỊ HỆ THÔNG - HTTP://WWW.ADMINVIET.NET6. Click Monitoring tab. Check vào A simple query against this DNS server và Arecursive query to other DNS servers check boxes, để thực hiện kiểm tra DNSserver. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy SimpleQuery chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kếtquả này là vì chưa tạo Access Rule trên ISA SERVER 2004 Firewall để cho phépcaching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISAServer 2004 firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu(outbound access) đến các DNS servers trên Internet.Trang 53 Triển khai ISA Server Firewall 2004

×