Báo Cáo Thự Tập ISA Server 2006

7,498 views

Published on

TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH MẠNG QUỐC TẾ ATHENA
Cơ sở 1: 92 Nguyễn Đình Chiểu, phường Đa Kao, Q1. Điện thoại: (08)38244041 - 090 78 79 477
Cơ sở 2: 2 Bis Đinh Tiên Hoàng, phường Đa Kao, Q1. Điện thoại: (08)22103801 - 094 320 00 88- 094 323 00 99
E-mail : training@athenavn.com . Website : http://athena.edu.vn - http://athena.com.vn

Published in: Education
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,498
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
675
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Báo Cáo Thự Tập ISA Server 2006

  1. 1. ATHENA INTERNATIONAL NETWORK ADMINISTRATION & SECURITY TRAINING Báo cáo thực tập 2013 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
  2. 2. LỜI MỞ ĐẦU ---ooOOoo---Trước tiên em xin ch}n th{nh c|m ơn trung t}m Đ{o Tạo & Quản Trị MạngAthena đ~ tạo điều kiện cho em thực tập. Sau đ}y l{ b|o c|o về đề tài của em khithực tập ở đ}y.ISA Server 2006 là hệ thống tường lửa được sử dụng trong hầu hết các hệ thốngmạng doanh nghiệp vừa và nhỏ, phiên bản ISA Server 2006 có những điểm cảitiến so với phiên bản 2004, dưới đ}y l{ b|o c|o qu| trình thực hiện của em trênnền máy ảo VMWare WorkStation.Trong qu| trình thưc hiện không thể tránh khỏi sai sót, kính mong thầy cô góp ý,em xin chân thành cảm ơn!
  3. 3. Mục lụcI. Giới thiệu.................................................................................................................. 3 A. Mục đích phải sử dụng ISA ................................................................................ 3 B. Ưu điểm và hạn chế của ISA ............................................................................. 3 1. Ưu điểm: ......................................................................................................... 3 2. Hạn chế: ......................................................................................................... 4 C. So sánh các phiên bản ISA ................................................................................ 4II. Cài đặt ISA Server 2006 .......................................................................................... 5III. Access Rule .......................................................................................................... 8 A. Access Rule( DNS Query).................................................................................. 9 B. Tình huống 2 .................................................................................................... 17 C. Tình huống 3 .................................................................................................... 25 D. Tình huống 3 .................................................................................................... 37 E. Tình huống 4 .................................................................................................... 44IV. Application & web filter ........................................................................................ 50V. Server Publishing ................................................................................................... 55 D. Publish Web server ........................................................................................ 103VI. VPN ................................................................................................................... 109VII. CACHING .......................................................................................................... 123
  4. 4. I. Giới thiệuMicrosoft Internet Security and Acceleration Server (ISA Server) là phần mềmchia sẻ Internet của hãng Microsoft.Đ}y l{ một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thịtrường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chếquản lý linh hoạt. A. Mục đích phải sử dụng ISA Nếu máy tính của một c| nh}n không được bảo vệ bởi Firewall thì khi máy tính đó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép. Vì vậy hacker, trojan, virus... có thể truy cập và lấy cắp thông tin trên máy tính đó. Ngoài ra Hacker còn có thể c{i đặt c|c đoạn m~ để tấn công file dữ liệu trên m|y tính cũng như có thể sử dụng m|y tính đó để tấn công các máy tính khác. Điều này là cực kỳ huy hiểm với các máy tính trong một tổ chức. Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạng của tổ chức đó. B. Ưu điểm và hạn chế của ISA 1. Ưu điểm: Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức, doanh nghiệp. Ngăn chặn các truy cập tr|i phép cũng như c|c cuộc tấn công lấy cắp dữ liệu, đ|nh sập mạng máy tính của hacker. Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắc chắn. Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng.
  5. 5.  Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn đảm bảo cho dữ liệu cần thiết có thể đi qua. 2. Hạn chế: Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Do đó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải x|c định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp ph|p lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data- drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đ}y. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều c|ch để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall C. So sánh các phiên bản ISAISA Server 2006 là phiên bản tiếp theo của sản phẩm Microsoft ISA Server. Cómột số tính năng mới so với phiên bản ISA 2004 như :+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP publishing.+ Hổ trợ SharePoint Portal Server.+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener.+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules.Hiện nay ISA 2006 có 2 phiên bản Standard và Enterprise.
  6. 6. - Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng vừa và nhỏ.- Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng lớn, đ|p ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài. Ngoài những tính năng đ~ có trên ISA Standard Edition, ưu điểm chính của Enterprise là hỗ trợ CPU không giới hạn, quản lý tập trung cấu hình và cân bằng tải tối đa 32 Server.Những chức năng được thực hiện:- C{i đặt ISA 2006- Access rule- Application & web filter- Server Publishing- VPN- CachingII. Cài đặt ISA Server 2006Chúng ta sẽ xây dựng và sử dụng 3 máy tính ảo theo mô hình sau :
  7. 7. Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface. Ta đặt têncho 2 interface này như sau :  LAN : kết nối tới các traffict trong Internal.  WAN : kết nối tới các traffict ở External.Cấu hình thông số Ip trên 2 interface này :Máy tên DC là máy đại diện cho các traffic từ Internal đến máy ISA. Tại máy này ta sẽnângcấp thành Domain Controller, Mail Server, Web Server . Cấu hình thông số Ip trên máynày.- Nâng cấp m|y DC lên Domain Controller v{ đặt tên domain: athena.com.vn- Join máy ISA server vào domain.
  8. 8. Sau đó chúng ta sẽ kiểm tra kết nối từ m|y DC đến máy ISA, từ ISA đến DC, từ ISAđến internet.Tiếp theo, trên máy DC ta sẽ tạo c|c đối tượng sau :Cài đặt ISA server 2006:- Trên m|y c{i đặt ISA server: Log on vào máy ISA2k6 với User Administratorvào chạy chương trình Setup ISA Server -> chọn Install ISA Server 2006- Chọn Add Adapter . . .
  9. 9. - Kế tiếp ta check vào card mạng mà ta muốn ISA Server quản lý -> chọn OK.Chú ý: Sau qu| trình c{i đặt, ISA sẽ khóa tất cả cổng ra vào của hệ thống mạng. Vì vậymáy DC và Client không thể truy cập Internet v{ ping m|y ISA server được. Tuynhiên từ máy ISA Server ping tới các máy phía trong vẫn bình thường. III. Access RuleQuy định những traffict nào sẽ được đi qua ISA Server. Đ}y l{ th{nh phần quan trọngcủa ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huốngđược nêu ra ở các mục bên dưới . Default Rule đ~ cấm mọi traffic ra vào thông qua ISA Server. Như vậy, để cácmáy trong Internal truy cập ra ngoài bằng domain name, cần phải có DNS Serverphân giải các domain name này. Ở đây ta sẽ sử dụng DNS Server của ISP . Nếu chúng ta không sử dụng DNS sever của ISP thì cúng ta có thể tạo AccessRule cho phép chúng ta phân giải tên miền bên ngoài không cần đến DNS sever củaISPChúng ta cấu hình như sau:
  10. 10. A. Access Rule( DNS Query)Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall Policy,chọn New chọn Access RuleHộp thoại Access Rule Names, đặt tên rule là: DNS Query
  11. 11. Hộp thoại Rule Action, chọn Allow
  12. 12. Hộp thoại Protocols, chọn Selected Protocols và nhấn AddTrong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấnAdd, nhấn Next
  13. 13. Hộp thoại Access Rule Sources, Add : Internal và Local Host. Thực tế thì ta khôngnên chọn Local Host
  14. 14. Hộp thoại Access Rule Destinaton, Add : External, nhấn Next
  15. 15. Hộp thoại User Sets, chọn All Users, nhấn Next
  16. 16. Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin vềRule lần cuối, sau đó nhấn Finish. Nhấn chọn Apply, Ok .
  17. 17. B. Tình huống 2 Công ty Athena cho phép các nhân viên thuộc nhóm Maketing được phéptruy cập Internet không hạn chế. Group Maketing đ~ được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉviệc định nghĩa c|c đối tượng n{y trên m|y ISA. Để quản lý được các domain user taphải joint máy ISA vào domain athena.edu.vn.Trong cửa sổ ISA Server Management, tại cửa sổ thứ 3, chọn tab Toolbox, bung mụcUsers, chọn New, hộp thoại User set name, đặt tên là Maketing rồi nhấn Next
  18. 18. Hộp thoại Users, nhấn Add, chọn Windows users and groups…Add 2 users Man1 và Man2 vào hộp thoại Users
  19. 19. Trong hộp thoại Completing, chọn Finish. Nhấn Apply .
  20. 20. Thực hiện tương tự cho c|c đối tượng còn lại.
  21. 21. Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên. Chuột phải Firewall Policy,chọn New, chọn Access RuleHộp thoại Access Rule Names, đặt tên rule là: Allow Maketing – Full AccessHộp thoại Rule Action, chọn Allow
  22. 22. Hộp thoại Protocols, chọn All outbound trafficHộp thoại Access Rule Sources, add Internal, chọn Next
  23. 23. Hộp thoại Access Rule Destinaton, add External, chọn NextHộp thoại User Sets, remove group All Users, và add group Maketing vào, chọn Next
  24. 24. Hộp thoại Completing the New Access Rule Wizard, chọn FinishNhấn chọn Apply, chọn OKKiểm tra kết quảLogon user athenaMa1
  25. 25. Mở Command Prompt gõ lệnh nslookup. Phân giải các tên miền ở External. C. Tình huống 3Để tăng tính hiệu quả trong giờ làm việc, cty Athena yêu cầu các nhân viêntrong giờ làm việc chỉ được truy cập một số trang Web như :http://athena.edu.vn, http://forum.athena.edu.vn, http://www.nhatrang-itt.vnGiờ làm việc được quy định : 8h-12h sáng và 14h – 18h chiều.Ta sẽ định nghĩa c|c trang Web được phép truy cập như sau:Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tạitab Toolbox, bung mục Network Objects, nhấn New, chọn URL Set
  26. 26. Trong hộp thoại New URL Set. Ô Name , nhập tên: Allow Web, nhập các trang webmà bạn cho phép.
  27. 27. Tương tự như vậy, ta định nghĩa luôn c|c trang Web không cho phép với tên làRestrict Web.
  28. 28. Tiếp theo, ta sẽ định nghĩa khoảng giờ làm việc của cty như sau :Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tabToolbox, bung mục Schedules, chọn NewTrong ô Name, nhập tên Work Time. Bên dưới chọn từ (8h - 12h) và từ (2h – 6h)
  29. 29. Tương tự, chúng ta tạo thêm Rest time từ 12h-2h
  30. 30. Cuối cùng, ta sẽ định nghĩa rule cho tình huống này.Chuột phải Firewall Policy, chọn New, chọn Access Rule. Hộp thoại Access RuleNames, đặt tên rule là: Users on Work Time.
  31. 31. Hộp thoại Rule Action, chọn Allow
  32. 32. Hộp thoại Protocols, chọn Selected Protocols và nhấn Add. Trong hộp thoại AddProtocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add. NhấnNext .
  33. 33. Hộp thoại Access Rule Sources, add InternalHộp thoại Access Rule Destinaton, nhấn Add. Bung URL Sets, chọn Allow Web. NhấnNext .
  34. 34. Hộp thoại User Sets, chọn All Users, nhấn NextHộp thoại Completing the New Access Rule Wizard, nhấn Finish. Chuột phải lên ruleUsers on Work Time, chọn Properties
  35. 35. Kiểm tra kết quả.Log user athenat1 kiểm tra
  36. 36. Truy cập trang http://www.vnexpress.net D. Tình huống 3 Trong giờ giải lao, các nhân viên được truy cập mọi trang Web ngoại trừtrang: http://24h.com.vn . Ta thiết lập như sau:Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọnAccess Rule. Hộp thoại Access Rule Names, đặt tên rule là: Users on Rest Time
  37. 37. Hộp thoại Rule Action, chọn Allow.
  38. 38. Hộp thoại Protocols, chọn Selected Protocols và nhấn Add. Trong hộp thoại AddProtocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add. NhấnNextHộp thoại Access Rule Sources, add Internal, nhấn Next
  39. 39. Hộp thoại Access Rule Destinaton, add External, nhấn NextHộp thoại User Sets, chọn All Users, nhấn Next
  40. 40. Hộp thoại Completing the New Access Rule Wizard, nhấn FinishChuột phải lên rule Users on Rest Time, chọn PropertiesQua Tab Schedule, trong mục Schedule, chọn Rest Time. Qua tab To, khungExceptions, nhấn Add. Bung mục URL Sets, chọn Restrict Web
  41. 41. Nhấn Apply, chọn OKTương tự qua tab Schedule chọn Rest time
  42. 42. Kiểm tra kết quả .Log on user athenaman1 kiểm tra
  43. 43. Truy cập các trang http://24h.com.vn/ và http://bongdaso.com; http://google.com E. Tình huống 4 Công ty cho phép các nhân viên được phép gởi mail trong giờ làm việc.Ta thiết lập rule như sau :Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọnAccess Rule. Hộp thoại Access Rule Names, đặt tên rule là: Allow Send Mail on Work
  44. 44. TimeHộp thoại Rule Action, chọn Allow
  45. 45. Hộp thoại Protocols, chọn Selected Protocol, nhấn Add .Trong hộp thoại Add Protocols, bung mục Mail, chọn SMTP, POP3, SMTPS, POP3S,IMAP4, IMAPS nhấn Add . Nhấn NextHộp thoại Access Rule Sources, Add Internal, nhấn Next
  46. 46. Hộp thoại Access Rule Destinaton, add External, nhấn NextHộp thoại User Sets, bạn chọn All Users
  47. 47. Hộp thoại Completing the New Access Rule Wizard, FinishNhấn chọn Apply, nhấn OKChuột phải lên rule Allow send mail on Work Time, chọn Properties. Qua TabSchedule, trong mục Schedule, chọn Work Time
  48. 48. Nhấn Apply, chọn OKUser dùng Outlook Express gởi mail để kiểm tra kết quả.
  49. 49. IV. Application & web filterApplication Filter là phần mở rộng của Microsoft cho phép các hãng thứ 3 có thểphát triển các ứng dụng tích hợp vào ISA Server. Một trong các hãng phát triển Add‐in cho ISA Server là GFI. Tham khảo GFI tại trang web : www.gfi.com. GFI hỗ trợISA Server phần HTTP Filtering khá tốt. Web Filter cho phép ISA Server quản lýđược Packet Data ở tầng Application. Web Application Filter được sử dụng nhiềunhất trên c|c Application Firewall vì liên quan đến Web Traffic.Yêu cầu của cty Athena đặt ra cho các nhân viên của phòng ban Maketing tronggiờ làm việc không được nghe nhạc trực tuyến, không được down load các filecó phần mở rộng là *.mp3, *.exe, *.avi. Ngoài ra, cũng không được chat bằngYahoo Messenger. Ta sẽ thiết lập yêu cầu này như sau :Tại máy ISA Server, trong cửa sổ ISA Server Management, chuột phải lên ruleMaketing, chọn Configure HTTP.
  50. 50. Qua tab Extensions, trong khung Specify the action taken for HTTP methods, chọnBlock specified methods (allow all others)Nhập vào những định dạng file mà bạn muốn cấm : *.mp3, *.exe, *.avi.
  51. 51. Chuột phải lên rule Maketing, chọn Properties, qua tab Content Types, khung Thisrule applies to, chọn Selected content typesTrong khung Content Types bỏ dấu chọn ô Audio v{ Video (để user không nghenhạc trực tuyến). Nhấn Apply, chọn OK .
  52. 52. Đối với Yahoo Messenger, ta sẽ chặn bằng Signatures. Chuột phải lên rule Maketing,chọn Configure HTTP Qua tab Signatures, nhấn Add. Ở khung Name, nhập tên: DenyYahoo Messenger
  53. 53. Khung Search in, chọn tùy chọn: Request headersKhung HTTP Header, nhập: Host:Khung Signature, nhập: msg.yahoo.com. chọn OKNhấn Apply, chọn OK
  54. 54. V. Server PublishingPublising Rule cho phép các Clients từ Internet có thể kết nối vào Web Server, MailServer, Application Server, … trong mạng Internal, có thể sử dụng DNS Name hoặcsử dụng địa chỉ IP Public. Hay chúng ta có thể hiểu l{ thông thường để các Clients từInternet truy cập vào mạng Internal thông qua NAT – inbound, thì bây giờ chúng tasẽ l{m điều đó qua c|c Publising Rule. Việc đầu tiên là chúng ta cần cấu hình thêmdịch vụ DNS ở máy ISA Server cho mô hình.Máy DC tạo send & receive connector, star services : POP3, tạo 2 mailbox u1 & u2.Cho u1 quyền “ logon locally “. Dịch vụ DNS đ~ được cấu hình tương ứng vớimạng 172.16.1.0/24 .
  55. 55. - Máy ISA : logon athena/administrator cài thêm dịch vụ DNS tại đ}y.Tại Forward lookup zone, tạo New Zone, chọn Primary Zone với tên athena.edu.vn
  56. 56. Cửa sổ Dynamic update chọn “ do not allow …”
  57. 57. Xóa host được tạo ra ứng với interface LocalTương tự tại mục Reverse lookup zone tạo New Zone, chọn Primary Zone
  58. 58. Chỉnh DNS trên máy ISA chỉ lắng nghe về phía card Lan. Bằng cách phải chuột lênPC ISA, chọn properties
  59. 59. Chọn only the following IP …, v{ Remove ip 192.168.2.111
  60. 60. Sau đó Restar lại dịch vụ DNSKiểm tra phân giải DNS trên máy ISATiếp theo, trên máy ISA tạo rule publish DNS
  61. 61. Chọn non-web server …, đặt tên rule l{ “ publish DNS “
  62. 62. Điền Ip trên card LanMục Select Protocol, chọn DNS server
  63. 63. Mục Network Listener Ip Address, chọn ExternalKiểm tra trên máy Internet
  64. 64. Chỉnh Preferer DNS về IP của card ngoài máy ISAVào Run gõ cmd kiểm tra bằng nslookupPublish Mail Exchange Server :
  65. 65. Trên ISA tạo rule “ Allow send mail “ cho phép Internal được phép gởi mail rangoàiExternalChọn protocol : POP3, POP3S, IMAP, IMAPS, SMTP, SMTPS .
  66. 66. Mục Access Rule Source chọn InternalMục Access Rule Source chọn External
  67. 67. Mục Users set chọn All users. Nhấn Next, kiểm ta và chọn Finish .
  68. 68. Tại ISA Management, chuột phải vào Firewall Policy chọn mail server publishingrule.
  69. 69. Tại giao diện Welcome, đặt tên publish Exchange
  70. 70. Giao diện Select Access Type, chọn Client access ….Mục Select Services, chọn standard & secure port như hình .
  71. 71. Điền IP của máy DC
  72. 72. Mục Network Listener Ip Address, chọn external
  73. 73. Nhấn Next, kiểm tra lại và nhấn Finish
  74. 74. Trên máy DC , vào All Program chọn OE , phải chuột chọn Run as …
  75. 75. Logon với tên u1, Display Name điền vào tên u1
  76. 76. Nhập vào Email Address : u1@athena.edu.vn
  77. 77. Incoming & outgoing : mail.athena.edu.vn
  78. 78. Nhập User & pass đ~ tạo trên máy DC. Rồi nhấn Next
  79. 79. Account mail của u1 vừa tạo, chọn properties
  80. 80. Tab server, check vào mục “ My Server Require …. “
  81. 81. Tab advanced, check vào 2 mục Outgoing và Incoming, mục “ Leave a … “
  82. 82. Nhấn Send & Receive kiểm traNhấn Create Mail, tạo mail gởi cho u2
  83. 83. Mail đ~ gởi thành công .Tại máy Internet mở OE tạo tài khoản u2 .
  84. 84. Tài khoản mail : u2@athena.edu.vn
  85. 85. Incoming & outgoing : mail.athena.edu.vn
  86. 86. Nhập vào Tên và Pass của user u2 đ~ tạo trên máy DC
  87. 87. Tab Server
  88. 88. Reply mail lại cho u1
  89. 89. Đ~ gởi thành côngU1 nhận được mail từ u2
  90. 90. Publish OWATại máy DC. Mở IIS và bỏ check “ require secure channel SSL “Tại máy ISA 1 tạo rule để publish OWA, chuột phải vào Firewall Policy chọnExchangeWeb Client ….
  91. 91. Chọn phiên bản là exchange 2007, check vào mục OutLook Web Access.
  92. 92. Mục Publishing Type, chọn Publish a single webMục Server Publishing Security, chọn use non secure …
  93. 93. Mục Internal Publishing Detail, điền tên internal site và ip của m|y DC như hình
  94. 94. Điền tên public name như hình. Đ}y chính l{ tên m{ Client từ bên ngoài sẽ sử dụngđể truy cập.Nhấn Next để tạo web listener với tên “ web port 80 “ ứng với port 80Mục select Web listener, chọn do not require SSL
  95. 95. Mục Web Listener Ip Address, chọn external
  96. 96. Mục Authentication, chọn no authentication
  97. 97. Mục Authentication Delegate, chọn no delegationMục User Sets chọn All user. Nhấn Next rồi chọn Finish. Apply rồi Ok.
  98. 98. Kiểm tra tại máy Internet. Mở Browser, nhập http://mail.athena.edu.vn/owa
  99. 99. Gởi mail thành côngTại máy DC truy cập bằng OWA và logon u1
  100. 100. Thấy đ~ nhận được mail của u2 D. Publish Web serverTrên máy PC2 tạo trang web index.htm với nội dung tùy ý. Mở IIS và tạo thêm website tên “Web”
  101. 101. Chuột phải vào Web và chọn Properties, tại tab Website chọn port 8080
  102. 102. Tab Home Directory trỏ về nơi chứa source web .
  103. 103. Chuột phải vào mục Web chọn Browse, để kiểm traTrên IE nhập địa chỉ : http://athena.edu.vn:8080Tương tự trên máy ISA tạo 1 rule để publish website với tên l{ “ Publish web “Điền tên site internal v{ ip m|y DC như hình .
  104. 104. Tạo Web listener ứng với port 8080Tên publish site : www.athena.edu.vn
  105. 105. Đường dẫn gõ vào : /*Ta cần phải Bridge port 8080
  106. 106. Kiểm tra trên máy Internet. Nhập địa chỉ : http://www.athena.edu.vn:8080 VI. VPNVPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạngcủa doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp củabạn có nhiều nhân viên phải thường xuyên đi công t|c xa v{ họ cos nhu cầu truy cậpvào tài nguyên mạng nội bộ.ISA Server có khả năng cấu hình thành một VPN Server cho phép Clients từ xa truycập (Client to Site) hoặc cấu hình làm một Gateway để kết nối đến một hệ thống chinhánh (Site to Site). VPN Server của chi nh|nh được khuyến cáo nên là một ISAServer , nhưng thực tế thì ISA Server có thể kết nối VPN rất tốt với các thiết bị VPNcủa các hãng khác.
  107. 107. Clients hoặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IPPrivate sử dụng trong VPN Tunnel. ISA và Clients sẽ sử dụng địa chỉ IP này chophần Routing trên VPN. Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc lấytừ dịch vụ Routing and Remote Access trên Windows 2003.ISA Server thực ra sử dụng dịch vụ Routing and Remote Access của Windows 2003làm VPN và Routing, ngòai ra ISA Server có thêm những phần Filtering vàApplication Filter . Trên ISA Server, IP Address Pool được quy định là một khỏangđịa chỉ IP. Địa chỉ IP đầu tiên được ISA Server sử dụng cho chính mình khi bật tínhnăng VPN trên ISA Server lên. Những địa chỉ IP tiếp theo sẽ cấp phát cho Clientshoặc VPN Server khi quay VPN vào ISA Server.Cấu hình VPN Client to SiteĐể cấu hình cấp phát IP cho VPN Clients, vào ISA Server Management Console. Chọnmục Virtual Private NetworkChọn mục Verify VPN Properties and Remote Access Còniguration, chọn TabAddress Assignment
  108. 108. Ở đ}y ta không sử dụng DHCP để cấp Ip cho clients. Chọn Use Static Address Pool,nhấn Add để thêm khỏang IP vào Pool. Khỏang IP bắt đầu từ 172.30.1.1 đến172.30.1.50 hỗ trợ cho 49 Clients kết nối vào ISA Server bằng VPN. Nhấn Ok vàkiểm tra khỏang IP .Tiếp theo ta chọn Tab Authentication. Check mục Microsoft Encryptedauthentication ( MS-CHAP )
  109. 109. Mở Computer Managemet, chọn mục Local Users and Groups. Mục User, chọn NewUser . Tạo User có tên là VPN1/123abc!!!
  110. 110. Chuột phải vào user VPN1 chọn Properties. Chọn Tab Dial-in. Mục Remote AccessPermission chọn Allow AccessPhải chụột vào Groups chọn New GroupGroup Name gõ VPN Clients. Nhấn Add để thêm Member vào Group này
  111. 111. Tại ISA Server Management Console, Chọn mục Virtual Private Network. Chọn mụcSpecify Window Users or Select a Radius Server
  112. 112. Giao diện VPN Clients Properties, tại Tab Groups nhấn Add . Nhập v{o nhóm đ~ tạo.Chuyển qua tab General. Check vào Enable VPN Client Access. Số lượng Clients là 40.
  113. 113. Nhấn Apply và Ok.Vào mục Network Rules trên ISA Management ConsoleChọn Tab Network Rules và chú ý Rule VPN Clients to Internal Network có mối quanhệ là kiểu Route .
  114. 114. VPN Clients và External sẽ sử dụng NAT để giao tiếp với nhau .Chú ý : ta cần phải tạo thêm 1 Access Rule tại mục Firewall Policy để cho phép VPNClient được phép truy cập vào mạng Internal .
  115. 115. Giao diện Welcome nhấn Next .Chọn mục Connect to a Network at my workplaceMục Network Connection, chọn Virtual Private Network Connection
  116. 116. Mục Company Name nhập tên : athena .Nhấn Next. Mục VPN Server Selection nhập Ip ứng card WAN của máy ISA
  117. 117. Kiểm tra lại và nhấn Finish .Phải chuột vào Connection mới tạo chọn Connect
  118. 118. Giao diện Connection, nhập Username/Password là vpn1/123abc!!!Kiểm ta kết nối.
  119. 119. VII. CACHINGCơ chế Cache giúp ISA Server tăng tốc Internet khi User truy cập. Mọi trang web đibằng HTTP hoặc file đi bằng FTP được ISA Server Cache lại (RAM hoặc HDD). Khicó một Clients thứ 2 truy cập, ISA Server sẽ sử dụng Cache sẵn có để cung cấp choClients.
  120. 120. ISA Server Cache trong RAM v{ sau đó chuyển xuống bộ nhớ. Mặc định ISA Server sửdụng 10% RAM cho việc Cache. Chúng ta có thể cấu hình lại số phần trăm RAM sửdụng này sau khi cài ISA Server. Trong lần sử dụng sau, nếu có Clients nào truy cậpv{o đúng trang web đ~ nằm trong Cache, ISA Server sẽ lấy nội dung từ trong Cachera.Mặc định ISA Server đ~ l{ một Proxy Server lắng nghe trên Port 8080 nhưngkhông Cache cố định lại nội dung của web trên ổ cứng mà Cache vào RAM. Do đó, saukhi Server khởi động lại, những Cache này sẽ mất. Để cấu hình ISA Server thànhproxy, ta có thể định lại số Port m{ Proxy Server đang sử dụng (có thể đổi thành3128 hoặc 6667…) v{ thiết lập lưu trữ Cache trên ổ cứng .Để định lại Port của Proxy Server ISA, ta vào ISA Server Management Console, chọnmục Configuration, tab Network, phải chuột vào Network Internal và chọnProperties
  121. 121. Thiết lập dung lượng lưu trữ cache trên ổ cứngVào ISA Server chọn mục Configuration, chọn mục Cache và chú ý mục Cache đang ởtrạng thái Disable .
  122. 122. Trong cửa sổ Task Pane chọn Define Cache Drive .Chọn ổ cứng G: để chứa Cache, điền dung lượng chứa vào mục Maximum cache size,rồi nhấn Set
  123. 123. Chọn OK , chú ý phần Cache đ~ trở thành Enabled. Rồi nhấn Apply và Ok .Một số lưu ý về Cahe :
  124. 124. • Nơi chứa cache phải là ổ đĩa cục bộ (local drive) .• Đĩa chứa cache phải được định dạng NTFS• Nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống.• Sau khi xác lập dung lượng cache, trên ổ đĩa D: đ~ chỉ định sẽ tồn tại thưmục urlcache chứa tập tin dir1.cdat có dung lượng bẳng dung lượng chỉ định. Đ}ychính là tập tin chứa nội dung cache. Tập tin chứa nội dung cache chỉ có thể có dunglượng tối đa l{ 64 GB. Nếu muốn có dung lượng cache lớn hơn, ta có thể chỉ địnhđồng thời nhiều ổ đĩa luận lý .• Mặc định ISA không hỗ trợ kh~ năng quan s|t v{ điều chỉnh nội dung cache. Tuynhiên, Microsoft cung cấp thêm công cụ "Cache Directory Tool for Internet Securityand Acceleration ISA Server".Thiết lập dung lượng RAMPhải chuột vào mục Cache trên ISA Server và chọn Properties.Chọn Tab Advanced, nhấn vào phần trăm RAM sử dụng, mặc định đang l{ 10%, tanhập là 60% . Mỗi đối tượng khi lưu trên RAM của ISA Server có dụng lượng khôngqu| 12,8KB. Dung lượng này càng nhỏ thì tốc độ truy cập càng nhanh vì RAM xử lýsẽ tốt hơn.
  125. 125. Thiết lập Cache ruleMặc định có Default Cache Rule cho phép Cache lại tòan bộ các nội dung đi bằngHTTP và FTP qua ISA Server. Cho dù Clients có sử dụng Proxy hay không nhưng nộidung HTTP và FTP vẫn được lưu lại trên ISA Server nhờ vào Application ProtocolWeb Proxy Filter. Chức năng của Cache Rule giúp cho ISA Server có thể Cache Web,nội dung Cache có dung lượng tối đ~ l{ bao nhiêu, khi n{o thì Cache v{ trang n{okhông cần Cache nội dung …Để tạo Cache Rule, chọn Cache trong mục ConfigurationPhải chuột vào Cache chọn Create a Caching Rule bên cửa sổ Task Pane
  126. 126. Mục Name nhập : Cache all Microsoft ContentNhấn Next, mục Cache rule Destination x|c định đối tượng nào sẽ tác dụng Rulenày. Destination có thể là một Network, hoặc có thể là một trang Web, Server IP…nhấn Add để thêm Destination
  127. 127. Tiếp theo ta tạo một Component URL Set với nội dung là trang web củaMicrosoft.com.Chọn Menu New và chọn URL SetMục Name tên hiển thị là Microsoft Web Site và nhấn Add, nhập URLhttp://microsoft.com
  128. 128. Nhấn OK và bung URL Sets vào Microsoft Web Site trong phần Component
  129. 129. Nhấn Close , kiểm tra Destination vừa thêm. Nhấn NextMục Content Retrieval quy định thời gian lấy Cache từ Internet (Cache Retrieval). Đểbảo đảm thông tin luôn luôn mới .• Only if a valid version of the object exists in cache. If no valid version exists,route the request: chỉ cung cấp nội dung lưu trữ còn hợp lệ cho client. Nếu nội dungquá hạn thì ISA sẽ truy cập web server để tải về. Cấu hình này bảo đảm cho client cóđược nội dung mới nhất (trong một thời hạn nhất định.)• If any version of the object exists in cache. If none exists, route the request: cung
  130. 130. cấp nội dung lưu trữ cho client bất kể thời hiệu. Chỉ khi không có lưu trữ thì mới tảivề. Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tínhcập nhật.• If any version of the object exists in cache. If none exists, drop the request: cungcấp nội dung lưu trữ cho client bất kể thời hiệu. Nếu không có lưu trữ thì bỏ qua yêucầu của client. Nói một cách khác, cấu hình này chỉ cung cấp nội dung lưu trữ sẵn choclient, ISA không bao giờ truy cập web server theo yêu cầu của client.Nhấn Next. Mục Cache Content quy định nội dung nào sẽ được Cache. Lựa chọn mặcđịnh là cho ISA Server lấy Cache và không cần lấy nội dung của những DynamicWeb Site (Logon Session)• Dynamic content: nội dung loại này sẽ thường xuyên thay đổi và vì thế được đ|nhdấu là không thể được cahe (not cacheable). Tuy nhiên, nếu chọn phương thức nàytrong rule thì nội dung động sẽ vẫn được lưu cho dù nó đ~ được đ|nh dấu là khôngthể cache.• Content for offline browsing: nội dung có thể truy cập khi không kết nối đến webserver. Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web,kể cả phần đ~ được đ|nh dấu là không thể cache.• Content requiring user authentication for retrieval: lưu c|c nội dung mà trang webyêu cầu chứng thực trước khi cho phép truy cập.
  131. 131. Nhấn Next. Mục Cache Advanced Configuration này mặc định sẽ cho phép ISAServer Cache lại những nội dung đi bằng SSL.Nhấn Next, mục HTTP Caching mặc định cho phép ISA Server Cache nội dung củaHTTP và thời gian TTL cho Cache là 1 ngày.
  132. 132. Nhấn Next, mục FTP Caching cho phép ISA Server Cache lại nội dung của đối tượngFTP khi download từ những trang web của Microsoft.
  133. 133. Nhấn Next, xem lại nội dung Rule đ~ cấu hình, nhấn Finish .Thiết lập Content download jobContent download job cho phép ISA Server tự động Download và cập nhật thông tintrong Cache . Content download job sẽ tự động khởi tạo một Connection đến trangweb n{o đó do admin quy định và download toàn bộ nội dung của trang web đó vềv{ lưu v{o Cache .Đến thời gian quy định, ISA Server sẽ lấy nội dung trang web. Content download jobcó thể được thực hiện duy nhất một lần hoặc lặp lại nhiều lần. Trên ISA Server chúngta sẽ cấu hình thông qua các giao diện Wizard được xây dựng rất trực quan.Lưu ý : Content download job sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏichứng thực người dùng. Để cấu hình Content download job thì ISA Server cần phảibật tính năng Proxy trên Local Host v{ Enable System Policy cho phép ISA Server sửdụng tính năng n{y . V{o mục Network, chọn Tab Network, phải chuột vào LocalHost, chọn Properties, chọn Tab Web Proxy, check dấu Enanable HTTP Proxy, Portmặc định là 8080.
  134. 134. Chuột phải vào Firewall Policy chọn Edit System Policy.Check vào mục Enable this configuration group .
  135. 135. Kích hoạt system rule thứ 29.Để tạo Content download job ta vào mục Cache trong Configuration, chọn TabContent Download Jobs
  136. 136. Phần Name gõ Download Vnexpress.netNhấn Next, chọn Download hàng ngàyNhấn Next, x|c định thời gian thực hiện task này, ngày nào bắt đầu, thời gian bắtđầu.
  137. 137. Giao diện Content Download tại mục “ download content from thí URL “ gõ v{ohttp://vnexpress.net và chú ý phải có http:// nếu không ISA Server sẽ báo lỗi. Jobnày sẽ không Download những trang web hoặc đường Link nào ngòai tranghttp://vnexpress.net v{ độ sâu của mối liên kết không quá 4 lần. Nhấn Next .Giao diện tiếp theo quy định Cache Rule cho riêng Job này. ISA Server mặc định chỉCache những Object này có Cache Header. Những đối tượng Download bằng Job nàycó thể cấu hình theo một Cache Rule cho riêng mình, hoặc sử dụng Cache Rule mặcđịnh có sẵn của Windows.
  138. 138. Kiểm tra lại quá trình cấu hình và nhấn Finish .

×