Part 38 isa server - installation -www.key4_vip.info
1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - Installation
Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đây Internet phát triển với tốc độ chóng mặt và là công cụ không
thể thiếu trong thời đại công nghệ ngày nay. Tầm quan trọng của nó không chỉ ảnh hưởng đến ngành công nghệ cao mà còn vươn xa
tới cách lĩnh vực khác. Hay nói cách khác Internet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi người trên thế
giới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách xa đến hàng vạn cây số.
Hơn nữa đây chính là một không gian mở một thế giới tri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu.... với nhau
gần như ngay lập tức.
Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệ thống máy tính ngày càng đang dạng và rộng khắp. Những
kẻ tấn công với nhiều mục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả chúng len lỏi vào hệ thống chúng ta tàn
phá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một quốc gia nào đó....
Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và là nỗi boăn khoăn chung của toàn xã hội. Các hãng bảo
mật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểu
nhất đó chính là chương trình Internet Sercurity Acceleration Server (ISA Server) của Microsoft.
Vậy cơ chế hoạt động của ISA như thế nào dưới đây chúng ta sẽ đi sâu vào nghiên cứu nó.
Theo Microsoft giới thiệu thì ISA Server là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi
thông tin ra vào hệ thống của chúng ta đều phải qua ISA kiểm duyệt rất kỹ lưỡng. Hay nói cách khác khi dựng ISA Server lên thế
giới của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi
Bây giờ chúng ta tiến hành cài đặt ISA lên hệ thống. Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là
gccom.net
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan IP Address 192.168.1.2
2. Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
- Mạng 192.168.1.0/24 là mạng giả lập mạng Internet
- Máy PC01 chính là máy ISA Server đã Join vào domain
- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24
ISA không yêu cầu chúng ta phải lên Domain nhưng trong bài chúng ta sẽ thao tác trong môi trường Domain để tận dụng các tính
năng mạnh mẽ của nó.
Sau khi cấu hình IP các máy hoàn tất bạn phải xác nhận rằng các máy Ping thấy nhau rất tốt.
Trước tiên để cài được ISA bạn phải đáp ứng đủ các yêu cầu sau đây:
- Ổ đĩa cài ISA phải được định dạng là NTFS
- Đã cài đặt .Net Framework 3.0 trở lên
- Vào Services tắt dịch vụ Windows Firewall đi
Cũng xin nói thêm là có rất nhiều phiên bản ISA Server cho chúng ta cài đặt. Tuy nhiên trong phần này tôi chỉ đề cập tới ISA
Server Standard mà thôi
Tại máy PC01 bạn Logon vào User Administrator của Domain và chạy chương trình Setup ISA Server lên chọn Install ISA
Server 2006
3. Trong màn hình Setup type chọn Custom
Giữ nguyên giá trị mặc định chọn Next
4. Tại màn hình Internal Network nhấp Add
Chọn tiếp Add Range...
5. Tại đây bạn nhập dãy IP mà bạn muốn ISA quản lý chúng tất nhiên để tốt nhất là chọn nguyên cả Subnet
Màn hình sau khi Add xong chọn Next
Chọn Next để tiến hành cài đặt
6. Sau khi cài đặt ISA thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được
Truy cập máy ISA cũng không được
Tuy nhiên với máy ISA thì ping rất tốt
7. Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24)
Bây giờ tôi sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy được nhau. Với ISA Server chúng ta có 3 giải pháp
để các máy trong mạng 172.16.2.0/24 truy cập được Internet:
Dạng Ưu điểm Nhược điểm
Secure NAT
Kiểm soát được tất cả mọi
Port ra vào hệ thống
Không kiểm soát được User,
trang web...
Proxy
Kiểm soát được mọi User,
trang web...
Chỉ kiểm soát được các Port
443,80,21
Firewall Client
Kiểm soát được tất cả mọi
Port ra vào hệ thống
Kiểm soát được mọi User,
trang web...
Chỉ hỗ trợ các hệ điều hành
Windows
1/ Secure NAT
Bạn vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management
8. Màn hình chính của chương trình ISA Server
Nhấp phải vào Firewall Policy chọn New -> Access Rule
9. Đặt tên cho Rule này ví dụ là Internal
Trong Rule Action chọn Allow
10. Trong Protocol bạn chọn All outbound traffic và nhấp Next
Tại Access Rule Sources nhấp Add
13. Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để thực thi Rule này
Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của ISA
Ra Command DOS ping thử máy ISA thấy rất tốt
14. Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của ISA
Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote Management
Computers
Trong màn hình Remote Management Computers Properties nhấp Add:
Computer: chỉ tác động duy nhất lên một máy nào đó
Address Range: chỉ tác động lên một dãy IP nào đó
Subnet: tác động lên nguyên cả Subnet
15. Trong ví dụ này tôi chỉ tác động lên duy nhất máy PC02 mà thôi nên tôi chọn Computer
Đặt tên cho Rule này là Remote ISA và nhập IP của PC02 vào sau đó nhấp OK
Tại máy PC02 ra Command DOS ping thử máy ISA thấy rất tốt
2/ Proxy
16. Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS 203.162.4.191
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
Preferred DNS 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings
Nhập IP của máy PC01 vào ô Address và Port là 8080
17. Trở lại IE truy cập thử Internet thấy rất tốt
3/ Firewall Client
Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một
công cụ Firewall Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt ISA Server.
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 chọn thư mục Client trong Folder cài đặt ISA Server nhấp chọn Setup.exe để cài đặt
Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy ISA Server
18. Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại
Proxy
Trở lại IE truy cập thử Internet thấy rất tốt
Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA và cấu hình cho các máy trong mạng có thể ra được Internet.
Và mọi công việc trên máy ISA coi như xong, nếu bạn có nhu cầu truy cập ISA để chỉnh sửa gì thêm trên thực tế bạn phải hạn chế
đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài ISA Server mà dùng một máy Client bất kỳ cài công cụ ISA Server
Management để quản lý ISA mà thôi.
19. Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình Setup ISA Server lên chọn Install ISA Server
2006
Trong màn hình Setup type chọn Custom
Bỏ chọn phần ISA Server đi mà chỉ chọn ISA Server Management mà thôi chọn tiếp Next để cài đặt
20. Tiếp đến chạy ISA Server Management tại máy Client lên nhấp phải vào Microsoft Internet Sercurity Acceleration Server và
chọn Connect to
Nhập IP của máy ISA Server vào
21. Đến đây ISA Server Management sẽ hiển thị các công cụ y như trên máy ISA Server cho bạn quản lý
OK mình vừa trình bày xong phần Installation ISA Server trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
