Professional Documents
Culture Documents
Công ty Các gi i pháp m ng vi t nam (Vietnam network solution company ) c thành l p theo gi y
phép kinh doanh s 0103009140 c a S K ho ch và u t Hà N i
I. L nh v c ho t ng c a Công ty bao g m:
- Nghiên c u, phát tri n và ng d ng các gi i pháp mang tính t ng th trong l nh v c tin h c và
vi n thông c bi t là các công ngh phát tri n trên n n Internet v i các ng d ng Web, các gi i
pháp IT úng d ng cho h th ng thông tin và qu n lý doanh nghi p.
- Cung c p thi t b , ph n m m cho m ng LAN, WAN ph c v các doanh nghi p, t ch c.
- Cung c p các d ch v ào t o t v n v n các gi i pháp v công ngh thông tin, vi t ph n m m theo yêu
u, thi t k website và qu ng cáo trên m ng
i ng nhân viên và c ng tác viên c a Công ty có trình chuyên môn cao, kinh nghi m trong
nh v c chuyên môn.
Ph ng châm ho t ng c a chúng tôi là luôn luôn mang n khách hàng nh ng gi i
pháp m i nh t, d ch v t t nh t v i ch t l ng cao, mang tính t ng th v i giá c h p lý.
§ Thi t k Web:
§ Web advertising:
GI I THI U:
CH NG 1: H ng d n s d ng
CH NG 11: C u hình các chính sách trên Firewall v i ISA Server 2004 Access
Policy
CH NG 12: Ti n hành Publish các Service trên Perimeter Network ra bên ngoài
nh : Web, Ftp Server
CH NG 16: T o m t Site to Site VPN trên các ISA Server 2004 Firewalls
CH NG 1:
Tri n khai t ng Network v i nh ng Service thi t y u
Cu n sách c trình bày theo th c t tri n khai ISA Server 2004 trong mô hình Network
a m t T ch c. N i dung c a sách gói g n trong các v n c u hình h th ng ISA Server
2004 tr thành m t Firewall m nh mà v n áp ng c các yêu c u s d ng các Service
xa, ph c v cho c các ISA Clients bên trong truy c p các Service bên ngoài (Internet),
n các Client bên ngoài (Internet Clients) c n truy c p các Service bên trong Network T
ch c.
• Cài t và c u hình Microsoft DHCP Services (Service cung c p các xác l p TCP/IP cho các
node trên Network) và WINS Services (Service cung c p gi i pháp truy v n NETBIOS name
a các Computer trên Network)
• C u hình các WPAD entries trong DNS h tr ch c n ng Autodiscovery (t ng khám
phá)) và Autoconfiguration (t ng c u hình) cho Web Proxy và Firewall clients. R t thu n
i cho các ISA Clients (Web và Firewall clients) trong m t T ch c khi h ph i mang
Computer t m t Network (có m t ISA Server) n Network khác (có ISA Server khác) mà
nt ng phát hi n và làm vi c c v i Web Proxy Service và Firewall Service trên ISA
Server này .
• Cài t Microsoft DNS server trên Perimeter Network server (Network ch a các Server
cung c p tr c tuy n cho các Clients bên ngoài, n m sau Firewall, nh ng c ng tách bi t v i
LAN)
• Cài t ISA Server 2004 Firewall software
• Back up và ph c h i thông tin c u hình c a ISA Server 2004 Firewall
• Dùng các mô hình m u c a ISA Server 2004 ( ISA Server 2004 Network Templates)
u hình Firewall
• C u hình các lo i ISA Server 2004 clients
• T o các chính sách truy c p (Access Policy) trên ISA Server 2004 Firewall
• Publish Web Server trên m t Perimeter Network
• Dùng ISA Server 2004 Firewall óng vai trò m t Spam filtering SMTP relay (tr m trung
chuy n e-mails, có ch c n ng ng n ch n Spam mails)
• Publish Microsoft Exchange Server services (h th ng Mail và làm vi c c ng tác c a
Microsoft, t ng t Lotus Notes c a IBM)
• C u hình ISA Server 2004 Firewall óng vai trò m t VPN server
• T o k t n i VPN theo ki u site to site gi a hai Networks
Ti n hành các b c sau trên Computer s óng vai trò Domain Controller
1. a a CD cài t vào CD-ROM, kh i d ng l i Computer. Cho phép boot t CD
2. Ch ng trình Windows setup b t u load nh ng Files ph c v cho vi c cài t. Nh n
Enter khi mà hình Welcome to Setup xu t hi n
3. c nh ng u kho n v License trên Windows Licensing Agreement, dùng phím
PAGE DOWN xem h t sau ó nh n F8 ng ý v i u kho n
4. Trên Windows Server 2003, Standard Edition Setup xu t hi n màn hình t o các
phân vùng lôgic (Partition) trên a c ng, tr c h t t o Partition dùng cho vi c cài tH
u hành. Trong Test Lab này, toàn b a c ng s ch làm m t Partition. Nh n ENTER.
5. Trên Windows Server 2003, Standard Edition Setup, ch n Format the partition
using the NTFS file system Nh n ENTER.
6. Ch ng trình Windows Setup ti n hành nh d ng (format) a c ng, s ch ít phút cho
ti n trình này hoàn thành
7. Computer s t Restart khi ti n trình copy File vào a c ng hoàn thành
8. Computer s restart l i trong giao di n h a (graphic interface mode). Click Next trên
trang Regional and Language Options
9. Trên trang Personalize Your Software, n Tên và T ch c c a B n
Ví d :
Name: Nis.com.vn
Organization: Network Information Security Vietnam
10.Trên trang Product Key n vào 25 ch s c a Product Key mà b n có và click Next.
11.Trên trang Licensing Modes ch n úng option c áp d ng cho version Windows
Server 2003 mà b n cài t. N u cài t Licence ch per server licensing, hãy
a vào s connections mà b n ã có License. Click Next.
12.Trên trang Computer Name và Administrator Password n tên c a Computer
trong Computer Name text box. Theo các b c trong xây d ng Test Lab này, thì
Domain controller/Exchange Server trên cùng Server và có tên là
EXCHANGE2003BE, tên này c n vào Computer Name text box. n ti p vào
c Administrator password và xác nh n l i password t i m c Confirm password
(ghi nh l i password administrator c n th n, n u không thì b n c ng không th log-on
vào Server cho các ho t ng ti p theo). Click Next.
13.Trên trang Date and Time Settings xác l p chính xác Ngày, gi và múi gi Vi t Nam
(n u các b n Vi t Nam). Click Next.
14.Trên trang Networking Settings, ch n Custom settings option.
15.Trên trang Network Components, ch n Internet Protocol (TCP/IP) entry trong
Components và click Properties.
16.Trong Internet Protocol (TCP/IP) Properties dialog box, xác l p các thông s sau:
IP address: 10.0.0.2.
Subnet mask: 255.255.255.0.
Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này c ng là IP address
a Internal Card trênISA Server).
Preferred DNS server: 10.0.0.2.
17.Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. Trong
Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add.
Trong TCP/IP WINS Server dialog box, n 10.0.0.2 và click Add.
18.Click OK trong Advanced TCP/IP Settings dialog box.
19.Click OK trong Internet Protocol (TCP/IP) Properties dialog box.
20.Click Next trên trang Networking Components.
c k ti p là cài t Domain Naming System (DNS) server trên chính Computer này
(EXCHANGE2003BE ). u này là c n thi t vì Active Directory Service ho t ng trên
Domain Controller, ki m soát toàn Domain yêu c u ph i có DNS server service ph c v cho
nhu c u truy v n tên -hostname, ng kí các record (A, PTR, SRV records v.v..). Chúng ta
cài DNS server và sau ó s nâng vai trò Computer này lên thành m t Domain
Controller, và DNS server này s ph c v cho toàn Domain.
Ti n hành các b c sau cài t DNS server
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trong Windows Components, xem qua danh sách Components và click Networking
Services entry. Click Details.
4. Check vào Domain Name System (DNS) checkbox và click OK.
5. Click Next trong Windows Components.
6. Click Finish trên Completing the Windows Components Wizard.
7. óng Add or Remove Programs
DNS server ã c cài t, Admin c n a vào DNS Server các thông s c th ph c v
cho ho t ng truy v n tên, c th là s t o ra hai vùng Forward và Reverse lookup
zones.
4. Trên Zone Name page, n tên c a forward lookup zone trong Zone name text box.
Trong ví d này tên c a zone là MSFirewall.org, trùng v i tên c a Domain s t o sau
này. a MSFirewall.org vào text box. Click Next.
5. Ch p nh n các xác l p m c nh trên Zone File page và click Next.
6. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic
updates. Click Next.
7. Click Finish trên Completing the New Zone Wizard page.
8. M r ng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên
MSFirewall.org và Click New Host (A).
9. Trong New Host dialog box, n vào chính xác EXCHANGE2003BE trong Name
(uses parent domain name if blank) text box. Trong IP address text box, n vào
10.0.0.2. Check vào Create associated pointer (PTR) record checkbox. Click Add
Host. Click OK trong DNS dialog box thông báo r ng (A) Record ã c t o xong. Click
Done trong New Host text box.
10. Right click trên MSFirewall.org forward lookup zone và click Properties. Click
Name Servers tab. Click exchange2003be entry và click Edit.
11.Trong Server fully qualified domain name (FQDN) text box, n vào tên y c a
Domain controller computer là exchange2003be.MSFirewall.org. Click Resolve. S
nh n th y, IP address a Server xu t hi n trong IP address list. Click OK.
12. Click Apply và sau ó click OK trên MSFirewall.org Properties dialog box.
13. Right click trên DNS server name EXCHANGE2003BE , ch n All Tasks. Click Restart.
14. Close DNS console.
Gi ây Computer này ã s n sàng nâng vai trò lên Thành m t Domain controller trong
Domain MSFirewall.org
Ti n hành các b c sau t o Domain và nâng server này thành Domain Controller u
tiên c a Domain (Primary Domain Controller)
1. a Exchange Server 2003 CD vào CD-ROM, trên autorun page, click Exchange
Deployment Tools link n m d i Deployment heading.
2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploy the
first Exchange 2003 server link.
3. Trên Deploy the First Exchange 2003 Server page, click New Exchange 2003
Installation link.
4. Trên New Exchange 2003 Installation page, kéo xu ng cu i trang.Click Run Setup
now link.
5. Trên Welcome to the Microsoft Exchange Installation Wizard page, click Next.
6. Trên License Agreement page, ch n I agree option và click Next.
7. Ch p nh n các xác l p m c nh trên Component Selection page và click Next.
8. Ch n Create a New Exchange Organization option trên Installation Type page và
click Next.
9. Ch p nh n tên m c nh trong Organization Name text box trên Organization Name
page, và click Next.
10.Trên Licensing Agreement page, ch n I agree that I have read and will be bound
by the license agreement for this product và click Next.
11.Trên Installation Summary page, click Next.
12.Trong Microsoft Exchange Installation Wizard dialog box, click OK.
13.Click Finish trên on the Completing the Microsoft Exchange Wizard page khi cài t
hoàn thành.
14. óng t t c c a s ang open.
Ti n hành các b c sau c u hình OWA site dùng ph ng th c xác th c duy nh t Basic
authentication:
1. Click Start, ch n Administrative Tools. Click Internet Information Services (IIS)
Manager.
2. Trong Internet Information Services (IIS) Manager console, m r ng server
name, m r ng WebSites node Và m Default Web Site.
3. Click trên Public node và sau ó right click. Click Properties.
4. Trong Public Properties dialog box, click Directory Security tab.
5. Trên Directory Security tab, click Edit trong khung Authentication and access
control.
6. Trong Authentication Methods dialog box, m b o không check vào (remove)
Integrated Windows authentication checkbox. Click OK.
7. Click Apply và click OK.
8. Click trên Exchange node và right click. Click Properties.
9. Trên Exchange Properties dialog box, click Directory Security tab.
10.Trên Directory Security tab, click Edit trong Authentication and access control
11.Trong Authentication Methods dialog box, m b o không check vào (remove)
Integrated Windows authentication checkbox. Click OK.
12.Click Apply, click OK trong Exchange Properties dialog box.
13.Click trên ExchWeb node,sau ó right click. Click Properties.
14.Trong ExchWeb Properties dialog box, click Directory Security tab.
15.Trên Directory Security tab, click Edit trong khung Authentication and access
control
16.Trong Authentication Methods dialog box, không check (remove) vào Enable
anonymous access checkbox. Sau ó check vào Basic authentication (chú ý dùng
ph ng th c xác th c này, password c g i i d i d ng clear text) checkbox. Click
Yes trong IIS Manager dialog box và Admin nh n c thông báo r ng password c
i i hoàn toàn không mã hóa (clear). Trong Default domain text box, a vào tên
Internal Network domain, chính là MSFIREWALL. Click OK.
17.Click Apply trong ExchWeb Properties dialog box. Click OK trong Inheritance
Overrides dialog box. Click OK trong ExchWeb Properties dialog box.
18. Right click Default Web Site và click Stop. Right click l i Default Web Site và click
Start.
t lu n:
Trong sách h ng d n c u hình ISA Server 2004 này chúng ta ã th o lu n nh ng m c tiêu
và nh ng ph ng th c, có th n m b t tri n khai và c u hình ISA sao cho hi u qu nh t.
Sách h ng d n c ng cung c p cho các b n ph ng pháp gi i quy t v n theo t ng b c
th . Ch ng m t này t p trung vào vi c xây d ng m t c s h t ng Network (Network
Infrastructure) theo mô hình Microsoft Active Directory Domain trên máy ch Winndows
server 2003 Domain Controller, và tri n khai các Service khác liên quan n h t ng
Network nh WINS, DNS, và các Service gia t ng nh Web, Mail.. Ch ng k ti p trình bày
CH NG 2:
Cài t Certificate Services
6. Trên CA Identifying Information page, n tên cho CA server này trong Common
name a CA text box. Nên dùng tên d ng DNS host name c a domain controller. Tham
kh o v c u hình DNS h tr ISA Server
http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htm
Trong text box này các b n n vào NetBIOS name c a domain controller là
EXCHANGE2003BE. Click Next.
t lu n:
Trong ph n này chúng ta ã th o lu n v vi c dùng m t CA- Certificate Authority và làm
th nào cài t m t Enterprise CA trên Domain controller trong internal Network. Và
ti p theo chúng ta s dùng Enterprise CA c p Computer Certificates cho các VPN clients
và servers, c ng c p luôn m t Web site certificate cho Exchange Server’s Outlook Web
Access Web site.
CH NG 3:
Cài t và c u hình Microsoft Internet Authentication Service
Ti n hành các b c sau cài t Microsoft Internet Authentication Server trên domain
controller EXCHANGE2003BE thu c Internal Network:
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, kéo xu ng Components list và ch n Networking
Services entry. Click Details.
4. Check vào Internet Authentication Service checkbox và click OK.
n c n c u hình IAS server úng cách có th làm vi c v i ISA Server 2004 Firewall
computer. T i th i m này, chúng ta s c u hình IAS Server làm vi c v i ISA Server
2004 Firewall. Sau ó s c u hình Firewall giao ti p v i IAS server.
Ti n hành các b c sau v i Domain controller trên Internal Network c u hình IAS server:
1. Click Start, Administrative Tools. Click Internet Authentication Service.
2. Trong Internet Authentication Service console, m r ng Internet Authentication
Service (Local) node. Right click trên RADIUS Clients node và click New RADIUS
Client.
3. Trên Name and Address page c a New RADIUS Client wizard, n vào Friendly-
name c a ISA Server 2004 Firewall computer trong Friendly name text box. n gi n là
tên này c dùng xác nh RADIUS client và không c s d ng cho nh ng m c ích
ho t ng. a y FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , ho c
IP address c a ISA Server 2004 Firewall computer trong Client address (IP or DNS) text
box.
4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name a
ISA Server 2004 Firewall computer s xu t hi n trong Client text box. Click Resolve. N u
RADIUS server có th gi i quy t Tên thì IP address s xu t hi n trong IP address frame.
u RADIUS server không th gi i quy t tên ra IP Address, u này l u ý v i Admin r ng:
hostname c a ISA Server 2004 Firewall ch a c t o trong DNS server (ch a t o record
choISA Server). N u tr ng h p này x y ra, b n có th a 2 cách gi i quy t: T o A Record
cho ISA Server trên DNS server c cài t trên Domain controller, ho c b n có th dùng
IP address trên Internal interface (10.0.0.1) c a ISA Server 2004 Firewall trong Client
address (IP and DNS) text box thu c Name or Address page ( ã c p trên). Click OK
vào Verify Client dialog box. M c ích c a các xác l p trong ph n này là bi n ISA Server
2004 Firewall tr thành m t RADIUS Client, khi ó gi RADIUS server và RADIUS Client m i
có th b t tay c ng tác.
5. Click Next trên Name and Address page c a New RADIUS Client wizard.
6. Trên Additional Information page c a wizard, dùng default Client-Vendor entry,
chu n c a RADIUS. n vào m t password trong Shared secret text box và xác nh n l i
password này. Password bí m t c chia s (ch có RADIUS server và RADIUS Client- ISA
Server 2004 Firewall bi t), và dùng “tín hi u” này làm vi c v i nhau. Shared Secret
ch a ít nh t 8 kí t (c hoa l n th ng, s và c các kí t c bi t..). Check vào Request
must contain the Message Authenticator attribute check box. Click Finish.
t lu n:
Trong ch ng này chúng ta ã c p n Microsoft Internet Authentication Server,
cách th c cài t và c u hình m t IAS server trên Domain controller thu c Internal Network
domain. Trong các ph n k ti p c a h ng d n, chúng ta s dùng IAS server này xác
th c các yêu c u t bên ngoài (incoming requestst c a Web/VPN Clients) truy c p vào
Web/VPN server.
CH NG 4:
Cài t và c u hình Microsoft DHCP và WINS Server Services
Windows Internet Name Service (WINS) khi Service này c tri n khai trong Internal
Network Domain, nó s ph c v các Computer trong Network gi i quy t tìm NetBIOS
names l n nhau, và m t Computer A trong Network này có th thông qua WINS server
gi i quy t c NetBIOS name c a Computer B m t Network khác (t t nhiên h th ng
WINS thông th ng ch c dùng gi i quy t tên Netbios names trong N i b Network
a T ch c, tránh nh m l n v i cách gi i quy t hostname c a DNS server- có kh n ng
gi i quy t tên d ng FQDN (www.nis.com.vn) c a Internet ho c Internal Network Domain.
Các b n có th tham kh o “ XÂY D NG H T NG M NG TRÊN MICROSOFT WINDOWS
SERVER 2003”, s p c phát hành c a tôi hi u rõ h n v vai trò c a m t WINS server
trong N i b Network .
Các Computer trong Internal Network s c c u hình v i vai trò WINS clients, s ng
kí tên c a mình (Netbios/Computer names) v i WINS server. WINS clients c ng có th g i
các yêu c u truy v n tên n WINS server gi i quy t Name thành IP addresses. N u
trong N i b Network không có WINS Server, thì Windows clients s g i các message d ng
broadcast tìm Netbios name c a Computer mu n giao ti p. Tuy nhiên, n u các
Computer này n m t i m t Network khác (v i Network ID khác) thí các Broadcast này s b
ng n ch n (ch c n ng ng n ch n broadcast là m c nh trên các Router). Nh v y trong
i b Network c a m t T ch c, g m nhi u Network Segments, thì vi c gi i quy t cho các
Computer t Network 1 tìm NetBios name c a các Computers Network 2,3. Dùng WINS
server là gi i pháp lý t ng.
WINS server c ng c bi t quan tr ng cho các VPN clients. VPN clients không tr c ti p k t
i n Internal Network, và nh v y không th dùng broadcasts gi i quy t NetBIOS
names c a các Computers bên trong N i b Network . (Tr khi b n dùng Windows Server
2003 và m ch c n ng NetBIOS proxy, s h tr NetBIOS broadcast, nh ng r t h n ch ).
VPN clients d a vào WINS server gi i quy t NetBIOS names và s d ng các thông tin
này tìm ki m các Computers trong My Network Places c a Internal Network.
Address cho Internal Network clients và VPN clients. Trong Lab này, m c ích chính c a
DHCP server là c p phát các thông s IP address cho Network VPN clients. L u ý r ng,
trong mô hình Network th c t c a các T ch c, nên c u hình các Computer tr thành DHCP
clients, không nên yêu c u m t IP address t nh. (t t nhiên có nh ng tr ng h p ngo i l , ví
nh dùng IP c nh cho Servers, ho c trong m t Network có s l g Computer ít, tri n
khai thêm DHCP server t o chi phí gia t ng áng k , làm t ng Total Cost Ownership-TCO..)
DHCP server service ã c cài t theo nh ng th t c a ra t i ch ng 1. B c k ti p,
chúng ta s c u hình m t DHCP scope (vùng IP addresses, kèm theo các thông s tùy ch n-
DHCP options). T t c nh ng thông s này s c cung c p cho các DHCP Clients.
3. Click nút Refresh .Các b n s nh n th y icon c a DHCP server chuy n t sang Xanh
lá cây, và DHCP ã ho t ng
6. Trên Scope Name page, t tên cho scope trong Name text box và a thông tin mô t
trong Description text box. Trong ví d này, chúng ta s t tên scope là scope 1 và
không mô t trong Description. Click Next.
7. Trên IP Address Range page, a vào m t IP address b t u Start IP address ) và
t IP Adrress Cu i cùng (End IP address ) trong text boxes. Và ây chính là vùng a ch
IP mà b n mu n s n sàng cung c p cho DHCP Clients. Trong ví d này, chúng ta s xác l p
nh sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này ch a 20
IP Address cho DHCP Clients. Sau ó chúng ta s c u hình ISA Server 2004 Firewall cho
phép các VPN clients th c hi n ng th i 10 VPN connections, và vì th có th m t t i a10
trong s 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có th yêu c u
nhi u h n 10 IP Addresses này t DHCP server, n u th c s u ó là c n thi t. Ti p theo
chúng ta s a thông s subnet mask vào text box Length ho c Subnet mask. Trong ví
ây, chúng ta xác nh n giá tr 24 trong Length text box. Giá tr Subnet mask c ng
ng thay i sau khi b n ã n giá tr vào Length.Click Next.
12. Trên Domain Name and DNS Servers page, n tên Domain c a Internal Network
trong Parent domain text box. ây là Domain name c dùng b i các DHCP clients, c n
vào ây, các Clients này s xác nh môi tr ng Network mà mình ang ho t ng, và
thu n l i cho các Admin sau này, khi c u hình các thông s nh wpad entry, có ch c n ng
ph c v cho các Web Proxy và Firewall client t ng phát hi n, và làm vi c v i Firewall
Service ho c Web Proxy Service (hai Service v n hành trên ISA Server 2004) ch c n ng
này g i là Autodiscovery. Trong ví d này, các b n s a vào tên Domain là
MSFirewall.org trong text box. Trong IP address text box, n IP address c a DNS
server (10.0.0.2) trên Internal Network. Chú ý domain controller c ng là DNS server
internal Network nh ã xác nh t i các ph n tr c. Click Add. Click Next.
13. Trên WINS Servers page, n IP address c a WINS server (10.0.0.2) và Click Add
14. Trên Activate Scope page, ch n Yes, I want to activate this scope now option
và click Next.
15. Click Finish trên Completing the New Scope Wizard page.
16. Trong DHCP console, m r ng Scope 1 node, click vào Scope Options node. B n s
th y danh sách các Options v a c u hình.
t lu n:
Trong ch ng này, chúng ta ã th o lu n vi c s d ng Microsoft WINS và DHCP servers, cài
t c hai Service này lên Domain controller, và c u hình m t DHCP Scope trên DHCP
server. ph n sau chúng ta s nói n cách th c mà các Service này s h tr cho các VPN
clients
Ch ng 5:
Web Proxy Autodiscovery Protocol (WPAD) c s d ng cho phép các trình duy t Web
browsers (nh Internet Explorer, Nestcape Navigator…) và ISA Firewall client có th t
ng khám phá ISA Server 2004 Firewall (IP address). Các Client này sau ó có th
download các thông tin c u hình t ng (Autoconfiguration information) t Firewall, sau ó
Web Proxy và Firewall client s discover ra address liên l c v i ISA Server.
Tóm l i ch c n ng WPAD gi i quy t cung c p các thông s t ng cho các Web browsers.
Xác l p m c nh trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác
p này c enabled, Web browser có th g i i m t thông p DHCPINFORM
message ho c m t truy v n DNS query tìm a ch c a ISA Server 2004, d a trên
nh ng thông tin ã nh n c (download) t Autoconfiguration information.
u này giúp cho các Web browser th t thu n l i khi có th t ng dùng Firewall (detect
Firewall) k t n i ra Internet.
ISA Server 2004 Firewall client c ng có th dùng wpad entry tìm ISA Server 2004
Firewall và download các thông tin c u hình này v .
Sau khi thông tin wpad c c u hình trên DHCP và DNS server, thì Web Proxy và Firewall
clients s không c n ph i c u hình th công có th ra Internet thông qua ISA Server
2004 Firewall.
Chú ý:
1. M DHCP console t Administrative Tools menu, right click server name. Click Set
Predefined Options
3. Trong Option Type dialog box, a vào các thông tin sau:
Name: wpad
Code: 252
Click OK.
4. Trong khung Value, n vào a ch URL n n ISA Server 2000 Firewall trong String
text box.
Theo nh d ng nh sau:
http://ISAServername:AutodiscoveryPort Number/wpad.dat
c nh Autodiscovery port number là TCP 80. Port 80 này có th thay i thông qua
u hình trên ISA Server 2004.. Chi ti t v c u hình này s th o lu n sau.
http://isalocal.MSFirewall.org:80/wpad.dat
http://support.microsoft.com/default.aspx?scid=kb;en-us;307502
Click OK.
6. Trong Scope Options dialog box, kéo xu ng danh sách Available Options và ánh
u- check vào 252 wpad check box. Click Apply và click OK.
Ph ng pháp khác phân ph i thông tin Autodiscovery cho Web Proxy và Firewall clients
là dùng DNS. Admin có th t o m t wpad alias entry trong DNS server và cho phép các
Internet Browser trên Clients s d ng thông tin này c u hình t ng cho chính nó. Tôi
mu n nh n m nh ây là chính trình duy t- Browser s làm vi c này, t ng ph n v i
Tr c khi t o wpad alias entry trong DNS. Alias này(cón c bi t d i tên là CNAME
record) ph i tr n m t (A) Host record ã c t o cho ISA Server 2004 Firewall trên
DNS server. (A) Host record trên DNS, giúp gi i quy t hostname (ví d
isalocal.MSFirewall.org ) c a ISA Server 2004 Firewall n Internal IP address a ISA
Firewall.
n t o (A) Host record tr c khi chúng ta CNAME record. N u DNS server cho phép các
name records c ng kí t ng thì hostname c a ISA Server 2004 Firewall và IP
address c a nó s c c p nh t t ng vào DNS và là m t (A) Host record. Còn n u DNS
server không cho phép automatic registration, thì c n ph i t o (A) Host record cho ISA
Server 2004 Firewall.
1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console,
right click trên Forward lookup zone c a Domain và click New Alias (CNAME).
2. Trong New Resource Record dialog box, n vào wpad trong Alias name (uses
parent
3. Trong Browse dialog box, double click trên server name trong Records list.
4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung
Records .
5. Trong Browse dialog box, double click trên tên c a Forward lookup zone trong khung
Records.
6. Trong Browse dialog box, ch n tên c a ISA Server 2000 Firewall trong khung Records.
Click OK.
Web Proxy và Firewall client c n gi i quy t tên c a wpad. Các c u hình c a Web Proxy và
Firewall client không th giúp các Client này có c thông tin c a wpad alias. H u
hành c a Web Proxy và Firewall client ph i gi i quy t c v n này cho Web Proxy và
Firewall client.
Các truy v n DNS ph i d ng tên y - fully qualified, tr c khi các truy v n này c
i n DNS server. M t yêu c u d ng fully qualified bao g m m t hostname và m t
domain name. Web Proxy và Firewall client ch có th bi t hostname, còn H u hành
a Web Proxy và Firewall client ph i có kh n ng xác nh chính xác domain name c a
wpad host name, tr c khi nó có th g i m t truy v n DNS n DNS server.
Có nhi u ph ng pháp có th giúp Admin liên k t chính xác domain name v i wpad, tr c
khi truy v n cg i n DNS server. Hai ph ng pháp ph bi n th c hi n u này là:
• Dùng DHCP khi t o DHCP scope, xác nh n primary domain name cho các Clients
Trong ph n c u hình Scope 1, trên DHCP server, chúng ta ã c u hình m t primary DNS
name và xác nh tên này (MSFIREWALL.ORG ) cho các DHCP clients thu c Internal
Network Domain.
2. Trong System Properties dialog box, click Network Identification tab. Click
Properties .
4. Trong Primary DNS suffix of this computer text box, n vào domain name ch a
wpad entry. H u hành s g n tên này vào wpad name tr c khi g i truy v n n DNS
server. Theo m c nh primary domain name chính là tên c a domain
(MSFIREWALL.ORG )ch a Computer này. N u Computer không là thành viên c a Domain
thì text box s tr ng.
Chú ý: Change primary DNS suffix when domain embership changes c enabled
theo m c nh. Trong ví d hi n t i Computer không ph i là thành viên c a Domain. Cancel
t c dialog boxes v a xu t hi n và không c u hình primary domain name i th i m
này.C ng l u ý, n u trên Internal Network có nhi u Domain, và Clients thu c nhi u
Domains, chúng ta c n t o nhi u wpad CNAME alias cho m i domains.
Trong b c này, chúng ta s c u hình cho trình duy t Internet Explorer, dùng ch c n ng
Autodiscovery. Sau khi xác nh n ch c n ng này, Web browser trên các Clients s làm vi c
tr c ti p v i Web Proxy service c a ISA Server 2000 Firewall v i c ch t ng khám phá-
Autodiscovery
2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings
3. Trong Local Area Network (LAN) Settings dialog box, check vào Automatically
detect settings check box. Click OK.
t lu n:
DNS servers h tr cho các Clients gi i quy t Name ra IP addresses. Khi các Computers
dùng các ng d ng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn c n
ph i bi t IP address c a các Internet Server tr c khi có th connect n nh ng Server
này.
http:// www.vnsc.com.vn (d nh )
Mô t v Perimeter Network:
Trong mô hình Lab c a chúng ta, nh các b n ã th y trên hình v m t Perimeter Network
(hay DMZ Network- vùng phi quân s , khái ni m này ra i t cu c chi n Nam, B c Tri u
Tiên). Trong h th ng Network c a m t T ch c, ví d nh các ISP (Internet Servies
Provider). Khi tri n khai cung c p các Service cho khách hàng, nh Web Hosting,
Mail..th ng t các Servers cung c p các Service này t i DMZ Network, phân vùng
Network này tách bi t v i Internal Network (Network làm vi c c a các nhân viên và ch a
các tài nguyên n i b ). Mô hình Network trong Lab này, ISA Server 2004 Firewall
(ISALOCAL), là m t h th ng Tree-homed Host (g n 3 Network Interface Cards)
• Gi i quy t các truy v n tên cho các DNS Clients trong Domain d i s ki m soát và y
quy n c a Domain
• C u hình DNS server tr thành m t caching-only DNS server an toàn (secure caching-only
DNS server)
DNS server này, s có hai vai trò: Là m t secure caching-only DNS server và chuy n các
yêu c u truy c p t bên ngoài (c a Internet Clients) n Web, SMTP server
Ti n hành các b c sau cài m t DNS server service trên DMZ Network (trên server
TRIHOMELAN1)
4. Trong Networking Services dialog box, check vào Domain Name System (DNS)
check box và click OK.
6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d n
n Folder i386 trong Copy files from text box và click OK.
DNS server trên DMZ Network s ti p xúc tr c ti p v i các Internet hosts. Nh ng Hosts này
có th là các Internet DNS clients có nhu c u truy c p các tài nguyên c a chúng ta (Web,
Mail, FTP server..),n m trong DMZ Network, nh v y Internet DNS clients ph i g i các yêu
u này n DNS server trên DMZ Network. Ho c tr ng h p ng c l i là DNS server trên
DMZ Network c a chúng ta s ti p xúc DNS servers c a các T ch c khác trên Internet (ví
nh ISP DNS), ph c v gi i quy t hostname cho các Internal Network clients có nhu
u truy c p ra ngoài Internet.
Trong ví d này, DNS server c a DMZ Network, s óng vai trò m t caching-only DNS
server và không qu n lý các name records c a các Publish Server trong Internal Domain
Ti n hành các b c sau trên DNS server thu c DMZ Network, tr thành m t secure
2. Trong DNS management console, right click trên server name, click Properties.
3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xu t hi n các DNS
server c p cao (root) c a h th ng Internet DNS. Danh sách Name Servers t i Root Hints
này, c caching-only DNS server c a chúng ta, s d ng gi i quy t các truy v n tên
(Internet Hostnames) t DNS Clients. N u không t n t i danh sách các Name Servers này
trong Root Hints, caching-only DNS server s không th gi i quy t hostname c a các
Computer trên Internet.
4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this
domain check box. N u check vào l a ch n này, caching-only DNS server s không dùng
c các Internet DNS Servers trong danh sách c a Root Hints cho vi c gi i quy t Internet
host names. Ch ch n nó, n u b n quy nh dùng ch c n ng Forwarder. Trong tr ng
p này, chúng ta không dùng Forwarder.
5. Click Advanced tab. Xác nh n, ã check vào Secure cache against pollution check
box. u này giúp ng n ch n các cu c t n công t Attackers ho c các Internet DNS
servers. Các name records m o nh n (ý c a attackers), có th c ADD vào DNS cache
a chúng ta, và u ó khi n cho các truy v n t Internal DNS Clients n caching-only
DNS server s c d n n nh ng Server “b y”. Ví d DNS Clients type
http://www.vnbank.com.vn (IP address A.B.C.D) s b d n n m t Host gi có IP address
là X.Y.Z.K do ý c a attackers, và nh ng thông tin giao d ch v i Host gi này, có th b
ghi l i và s d ng b t h p pháp. Ki u t n công này ôi khi còn c g i là “co-
coordinated DNS attack”
6. Click Monitoring tab. Check vào A simple query against this DNS server và A
recursive query to other DNS servers check boxes, th c hi n ki m tra DNS server.
Click Test Now. Chú ý k t qu hi n ra trong khung results cho th y Simple Query ch
Pass, trong khi Recursive Query trình bày Fail. Chúng ta nh n c k t qu này là vì
ch a t o Access Rule trên ISA Server 2004 Firewall cho phép caching-only DNS server
truy c p Internet DNS servers. Sau này khi c u hình ISA Server 2004 Firewall, s t o m t
Access Rule cho phép DNS server g i yêu c u (outbound access) n các DNS servers trên
Internet.
t lu n:
CH NG 7:
Cài t ISA Server 2004 trên Windows Server 2003 th c s không quá ph c t p (ph c t p
m s ph n c u hình các thông s ). Ch có m t vài yêu c u c n xác nh n t i quá trình
này. Ph n c u hình quan tr ng nh t trong su t quá trình cài t ó là xác nh chính xác
vùng a ch IP n i b - Internal Network IP address range(s).
Không gi ng nh ISA Server 2000, ISA Server 2004 không s d ng b ng Local Address
Table (LAT) xác nh âu là Network áng tin c y (trusted Networks), và âu là Network
không c tin c y (untrusted Networks). Thay vào ó, ISA Server 2004 Firewall các IP
addresses n i b c xác nh n bên d i Internal Network. Internal Network nh m
xác nh khu v c có các Network Servers và các Services quan tr ng nh : Active Directory
domain controllers, DNS, WINS, RADIUS, DHCP, các tr m qu n lý Firewall , etc..T t c các
giao ti p gi a Internal Network và ISA Server 2004 Firewall c u khi n b i các chính
sách c a Firewall (Firewall’s System Policy). System Policy là m t t p h p các nguyên t c
truy c p c xác nh tr c (pre-defined Access Rules), nh m xác nh lo i thông tin nào
c cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này c
cài t. System Policy có th c u hình, cho phép các Security Admin, th t ch t ho c n i
lõng t các Access Rules m c nh c a System Policy..
• Xem l i các chính sách h th ng m c nh trên ISA Server 2004 Firewall (Default System
Policy)
Ti n hành các b c sau cài t ISA Server 2004 software trên dual-homed (máy g n hai
Network Cards) Windows Server 2003 Computer:
2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên k t
Review Release Notes và xem nh ng l u ý v cài t s n ph m. Release Notes ch a
nh ng thông tin quan tr ng v các ch n l a c u hình, và m t s v n khác. c xong
release notes, óng c a s l i và click Read Setup and Feature Guide link. Không c n
ph i c toàn b h ng d n n u nh b n mu n th , c ng có th in ra c sau. óng
Setup and Feature Guide. Click Install ISA
3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004
page.
4. Ch n I accept the terms in the license agreement trên License Agreement page.
Click Next.
6. Trên Setup Type page, ch n Custom option. N u b n không mu n cài t ISA Server
2004 software trên C: drive, click Change thay i v trí cài t ch ng trình trên a
ng. Click Next.
8. Trên Internal Network page, click Add. Internal Network khác h n LAT ( c s d ng
trong ISA Server 2000). Khi cài t ISA Server 2004, thì Internal Network s ch a các
Network services c tin c y và ISA Server 2004 Firewall ph i giao ti p c v i nh ng
Services này
10. Trong Select Network Adapter dialog box, remove d u check t i Add the following
private ranges… checkbox. Check vào Add address ranges based on the Windows
Routing Table checkbox. Check ti p vào Network Card nào, tr c ti p k t n i vào LAN t i
Select the address ranges…Internal Network adapter . Lý do không check vào add
private address ranges checkbox là b i vì, chúng ta mu n dùng nh ng vùng a ch này
cho DMZ ( perimeter Networks). Click OK.
11. Click OK trong Setup Message dialog box xác nh n r ng Internal Network ã c
nh ngh a ho t n d a trên Windows routing table.
14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted
Firewall client connections và Allow Firewall clients running earlier versions of the
Firewall client software to connect to ISA Server checkboxes. Nh ng xác l p này s
cho phép chúng ta k t n i n ISA Server 2004 Firewall khi ang s d ng nh ng h u
hành i c , ho c ngay c khi dùng Windows 2000/Windows XP/Windows Server 2003
nh ng ang ch y Firewall Clients là ISA Server 2000 Firewall client. Click Next.
18. Click Yes trong Microsoft ISA Server dialog box xác nh n r ng Computer ph i
restarted.
Theo m c nh, ISA Server 2004 không cho phép các truy c p ra ngoài Internet (outbound
access), t b t c máy nào n m trong ph m vi ki m soát c a b t c Network c b o v
(protected Network), và c ng không cho phép các Computers trên Internet truy c p n
Firewall ho c b t kì Networks ã c b o v b i Firewall. Nh v y sau khi tri n khai ISA
Server 2004 Firewall, theo m c nh thì i b t xu t, ngo i b t nh . Tuy nhiên, m t
System Policy trên Firewall ã c cài t, cho phép th c hi n các tác v Qu n tr Network
n thi t.
u ý:
Ti n hành các b c sau duy t qua chính sách m c nh c a Firewall (default Firewall
System Policy):
1. Click Start, All Programs. Ch n Microsoft ISA Server và click ISA Server
Management.
3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nh n c thông báo
ng ISA Server 2004 Access Policy gi i thi u m t danh sách các Policy c s p x p theo
trình t . Các policy s c Firewall x lý t trên xu ng d i, u mà Access Policy trên
ISA Server 2000 ã không quan tâm n trình t x lý này. Theo m c nh, System Policy
gi i thi u m t danh sách m c nh nh ng nguyên t c truy c p n và t ISA Server 2004
Firewall. C ng l u ý r ng, các nguyên t c t i System Policy Rules luôn c s p x p có
th t nh ã c p, k c nh ng chính sách sau này các Security Admin t o ra, nh v y
nh ng policy m i này s ng bên trên và c x lý tr c. kéo xu ng danh sách c a
System Policy Rules. Nh n th y r ng, các nguyên t c c xác nh rõ b i:
th t (Order number)
4. B n có th thay i các xác l p trên m t System Policy Rule b ng cách double-click trên
rule.
Chú thích:
1 . Policy này b disabled cho n khi VPN Server component c kích ho t -activated
i th i m này, ISA Server 2004 Firewall ã s n sàng cho các Admin c u hình các truy
p ra ngoài (outbound) ho c vào trong (inbound) qua Firewall. Tuy nhiên, tr c khi kh i
hành t o các chính sách truy c p- Access Policies, các Security Admin nên back-up l i c u
hình m c nh c a ISA Server 2004 Firewall. u này cho phép b n ph c h i ISA Server
2004 Firewall v tr ng thái ban u sau cài t. u này là c n thi t cho các các cu c ki m
tra và kh c ph c các s c trong t ng lai.
2. Trong Backup Configuration dialog box, n tên file backup b n mu n t trong File
name text box. Nh v trí chúng ta ã l u backup file trong Save list. Trong ví d này, t
tên file backup là backup1. Click Backup.
3. Trong Set Password dialog box, n vào password và xác nh n l i password này trong
Password và Confirm password text boxes. Thông tin trong file backup c mã hóa vì
nó ch a password ph c h i và nh ng thông tin quan tr ng ã l u gi , t t c nh ng thông
tin này chúng ta không mu n m t ai khác có th truy c p. Click OK.
4. Click OK trong Exporting dialog box khi b n th y thông báo The configuration was
successfully backed up message.
Nên copy file backup này n n i l u tr an toàn khác trên N i b Network sau khi backup
hoàn thành (không nên luu gi trên chính Firewall này). Thi t b l u gi file backup nên có
phân vùng l u tr c nh d ng b ng h th ng t p tin NTFS (h th ng t p tin an toàn
nh t hi n nay trên các h u hành c a Microsoft)
t lu n:
Trong ch ng này chúng ta ã bàn v nh ng th t c c n thi t khi cài t ISA Server 2004
software trên Windows Server 2003 computer. Chúng ta c ng ã xem xét chính sách h
th ng c a Firewall (Firewall System Policy), c t o ra trong quá trình cài t. Và cu i
cùng, chúng ta ã hoàn thành vi c l u gi l i c u hình ngay sau khi cài t ISA Server 2004
Firewall b ng cách th c hi n file backup theo t ng b c h ng d n. Trong ph n t i, chúng
ta s c u hình cho phép truy c p VPN access server t xa.
CH NG 8:
Ng c l i, ti n ích backup trên ISA Server 2004 cho phép Admin backup toàn b c u hình
Firewall ho c ch backup nh ng ph n c n thi t.
Và sau ó Admin có th ph c h i c u hình này n cùng phiên b n ISA Server 2004 Firewall
trên chính Computer ã backup ho c có th ph c h i thông tin c u hình n m t ISA Server
2004 Firewall trên m t Computer khác.
• Making changes to Networks, such as, changing Network definition or Network rules
Bài th c t p b ích nh t v backup c u hình nên c ti n hành ngay sau khi cài t ISA
Server 2004 Firewall software. Th c hi n u này là tác v c b n nh m ph c h i c u hình
nguyên tr ng sau cài t trênISA Server, k c khi chúng ta ã th c hi n các c u hình khác
u này giúp các b n không c n cài t l iISA Server) .
ISA Server 2004 tích h p s n ti n ích backup giúp l u gi c u hình Firewall d dàng . Ch
có m t ít các thao tác c yêu c u khi th c hi n backup và ph c h i c u hình
6. Trong Backup Configuration dialog box, n tên file backup trong File name text box.
Trong ví d này filename là backup1. Click Backup
8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully
backed up xu t hi n
Nên copy file backup này l u tr m t v trí an toàn h n, không nên l u tr trên
Firewall này (có th là trên m t Network server, phân vùng l u tr c format v i NTFS).
4. Click OK trong Importing dialog box khi th y xu t hi n thông báo The configuration was
successfully restored
6. Ch n Save the changes and restart the service(s) trong ISA Server Warning dialog box
Các Admin không nh t thi t ph i luôn luôn export m i th liên quan n c u hình c a
Firewall. Có th chúng ta ch g p ph i m t s v n t i Access Policies và mu n g i
nh ng thông tin này n m t Security admin nào ó xem xét. Khi y ch c n export các
Access Policies hi n th i c a Firewall, sau ó g i Export File này n m t chuyên gia v ISA
Server 2004, h có th nhanh chóng nh p (import) các Policies này vào m t ISA Server
2004 Test Computer, và ch n oán v n
Trong ví d này, chúng ta s export c u hình VPN Clients ra m t file. Ti n hành l n l t các
c sau:
2. Trong Export Configuration dialog box, n tên cho export file trong File name text
box. a m t s thông tin mô t v n i chúng ta l u tr file. Check vào Export user
permission settings and Export confidential information (encryption will be used)
check boxes n u b n mu n l u thông tin riêng n m bên trong VPN Clients configuration
(ch ng h n nh các password bí m t c a IPSec- IPSec shared secrets). Trong ví d này,
Chúng ta s t file là VPN Clients Backup. Click Export.
4. Click OK trong Exporting dialog box khi chúng ta th y thông báo Successfully exported
the configuration.
2. Trong Import Configuration dialog box, ch n file VPN Clients Backup. ánh d u vào,
Import user permission settings và Import cache drive settings và SSL certificates
checkboxes. Trong ví d này, cache drive settings, không quan tr ng, nh ng SSL
certificates là c n thi t n u chúng ta mu n dùng cùng certificates, ã c s d ng cho
IPSec ho c L2TP/IPSec VPN connections. Click Import.
3. n password m trong Type Password to Open File dialog box. Click OK.
4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nh n c
thông báo Successfully imported the configuration.
6. Click OK trong Apply New Configuration dialog box khi nh n c thông báo Changes
to the configuration were successfully applied. L u ý r ng, nh ng thay i trong c u hình
VPN có th m t vài phút c p nh t
t lu n:
CH NG 9:
• Edge Firewall
Network Template dành cho Edge Firewall, c s d ng khi ISA Server 2004 firewall có
t Network interface c tr c ti p k t n i n Internet và m t Network interface c
t n i v i Internal network
• 3-Leg Perimeter
• Front Firewall
Dùng Front Firewall Template khi ISA Server 2004 firewall óng vai trò m t frontend
firewall trong mô hình back-to-back firewall. V y th nào là m t back-to-back firewall ?
n gi n ó là mô hình k t n i 2 Firewall làm vi c v i nhau theo ki u tr c (front) sau
(back). Phía ngoài Front Firewall có th là Internet, gi a Front và back firewall có th là là
DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front
Firewall
• Back Firewall
Template cho Edge Firewall s c u hình cho ISA Server 2004 firewall có m t network
interface g n tr c ti p Internet và m t Network interface th 2 k t n i v i Internal network.
Network template này cho phép Admin nhanh chóng áp d ng các nguyên t c truy c p thông
qua chính sách c a Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng
a c u hình u khi n truy c p (access control) gi a Internal network và Internet.
ng 1 cho chúng ta th y các chính sách c a Firewall (firewall policies) ã s n sàng khi s
ng Edge Firewall template.
Firewall Policy Mô t
Block All Ng n ch n t t c truy c p qua ISA Server
a ISP) nh ng d ch v này.
(Internet)
Ti n hành nh ng b c sau khi dùng Edge Firewall Network Template c u hình Firewall:
2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template.
7. Review l i các xác l p v a r i và click Finish trên Completing the Network Template
Wizard page.
9. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes
to the configuration were successfully applied.
10. Click trên Firewall Policies node trong khung trái xem các policies c t o b i
Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients
truy c p y ra Internet, và VPN clients c ng c y quy n truy c p vào Internal
network.
Firewall Policy Mô t
2. Click Networks tab trong Details pane, sau ó click Templates tab trong Task pane.
Click vào 3-Leg Perimeter network template.
7. Click vào Add Adapter button. Trong Network adapter details dialog box, ánh d u
vào DMZ check box. Tên Adapter là DMZ do b n t lúc u và hãy ánh d u cho chính xác
vào y. Click OK.
10. Review l i các xác l p trên Completing the Network Template Wizard và click
Finish.
12. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes
to the configuration were successfully applied.
13. Click trên Firewall Policy node trên khung trái c a Microsoft Internet Security and
Acceleration Server 2004 management console xem l i các rules ã c t o b i 3-
Leg Perimeter network template. 2 rules này cho phép các Hosts thu c Internal network và
VPN clients network y quy n truy c p ra Internet và c DMZ. Thêm n a, VPN Clients
network c truy c p y vào Internal network.
14. M r ng Configuration node bên khung trái c a Microsoft Internet Security and
Acceleration Server 2004 management console. Click Networks node. ây b n s
th y m t danh sachq c a các networks, bao g m Perimeter network c t o b i
template.
15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and click
Properties.
16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab.
n có th th y trong danh sách This rule applies to traffic from these sources m
Internal, Quarantined VPN Clients và VPN Clients networks.
17. Click Destination Networks tab. B n th y Perimeter network trong This rule
applies to traffic sent to these destinations list.
Tuy nhiên các m i quan h gi a NAT và các Protocols, không ph i bao gi c ng thu n l i.
t s Protocol không làm vi c c v i NAT, cho nên trong ví d này chúng ta ch n
Network Relationship là Route relationship nh m gi i quy t v n r c r i ó.Ghi nh r ng,
i th i m này, không có Access Rules nào cho phép truy c p t i Internal network t DMZ
network.
21. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes
to the configuration were successfully applied.
t lu n:
Ch ng 10:
t ISA Server 2004 client là máy tính k t n i n các ngu n tài nguyên khác thông qua
ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client th ng c t trong
t Internal hay perimeter network –DMZ và k t n i ra Internet qua ISA Server 2004
firewall.
• SecureNAT client
• Firewall client
t SecureNAT client là máy tính c c u hình v i thông s chính Default gateway giúp
nh tuy n ra Internet thông qua ISA Server 2004 firewall. N u SecureNAT client n m trên
ng tr c ti p k t n i n ISA Server 2004 firewall, thông s default gateway c a
SecureNAT client chính là IP address c a network card trên ISA Server 2004 firewall g n v i
Network ó . N u SecureNAT client n m trên m t Network xa ISA Server 2004 firewall,
khi ó SecureNAT client s c u hình thông s default gateway là IP address c a router g n
nó nh t, Router này s giúp nh tuy n thông tin t SecureNAT client n ISA Server 2004
firewall à ra Internet.
t Web Proxy client là máy tính có trình duy t internet (vd:Internet Explorer) c c u
hình dùng ISA Server 2004 firewall nh m t Web Proxy server c a nó. Web browser có th
u hình s d ng IP address c a ISA Server 2004 firewall làm Web Proxy server c a nó
–c u hình th công, ho c có th c u hình t ng thông qua các Web Proxy
autoconfiguration script c a ISA Server 2004 firewall. Các autoconfiguration script cung c p
c tùy bi n cao trong vi c u khi n làm th nào Web Proxy clients có h k t n i
Internet. Tên c a User –User names c hi nh n trong các Web Proxy logs khi máy tính
c c u hình nh m t Web Proxy client.
t Firewall client là máy tính có cài Firewall client software. Firewall client software ch n
t c các yêu c u thu c d ng Winsock application (thông th ng, là t t c các ng d ng
ch y trên TCP và UDP) và y các yêu c u này tr c ti p n Firewall service trên ISA
Server 2004 firewall. User names s t ng c a vào Firewall service log khi máy tình
Firewall client th c hi n k t n i Internet thông qua ISA Server 2004 firewall.
protocols
• Cung c p thông s default gateway address t ng thông qua các xác l p DHCP scope
option trên DHCP Server
1. T i máy CLIENT, right click My Network Places icon trên desktop và click Properties.
2. Trong Network and Dial-up Connections, right click Local Area Connection và click
Properties.
3. Trong Local Area Connection Properties dialog box, click Internet Protocol
8. óng Command Prompt. Quay tr l i TCP/IP Properties dialog box và thay i máy
CLIENT dùng l i IP t nh. IP address là 10.0.0.4; subnet mask 255.255.255.0; default
gateway 10.0.0.1, và DNS server address 10.0.0.2.
u hình Web Proxy client yêu c u trình duy t Web (vd: Internet Explorer) s d ng ISA
Server 2004 firewall nh là Web Proxy server c a mình. Có m t s cách c u hình Web
browser v i vai trò m t Web Proxy client. Có th là:
Proxy server
• C u hình th công thông qua s d ng các file script t ng- autoconfiguration script
t cách khác c u hình t ng Web browsers thành Web Proxy clients , ó là khi
Firewall client c setup trên clients.. Và ch c ch n r ng các b n nên ch n các ph ng
th c tri n khai c u hình t ng trên nh ng h th ng M ng l n, n i mà vi c c u hình th
công quá b t ti n, và h th ng m ng th ng xuyên có s vào ra c a các máy tính mobile
(labtop..).
Ti n hành th công các b c sau c u hình cho Explorer 6.0 Web browser:
1. Trên máy CLIENT, right click Internet Explorer icon n m trên desktop,click Properties.
2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab,
click LAN Settings button.
3. Có vài l a ch n c u hình Web proxy trong Local Area Network (LAN) Settings dialog
box. ánh d u check vào Automatically detect settings check box cho phép browser
dùng các xác l p wpad trong DNS và DHCP. ây là l a ch n m c nh trên các Internet
Explorer Web browsers. t m t checkmark vào Use automatic configuration script
check box, và n vào v trí l u tr autoconfiguration script trên ISA Server 2004 firewall
nh sau:
http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script
n ti p TCP port number mà danh sách các Web Proxy filter trên ISA s l ng nghe trên
Port text box, theo m c nh là port 8080. Click OK trong Local Area Network (LAN)
Settings dialog box.
1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA
Server 2004 icon.
2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page,
click Next.
3. Trên License Agreement page, ch n I accept the terms in the license agreement,
click Next.
6. Trên Custom Setup page, click Firewall Services entry và click This feature will not
be available option. Click ISA Server Management entry và click This feature will not
be available option. Click Firewall Client Installation Share và click This feature, and
all subfeatures, will be installed on the local hard drive. Click
Next.
Bây gi b n có th cài Firewall client software t Firewall client share trên domain
controller. Ti n hành các b c sau cài Firewall client software:
2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.
Console, m server name. m ti p Configuration node và click trên Networks node. Right
click trên Internal Network và click Properties.
2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác nh là ã
ánh d u vào Enable Firewall client support for this network check box.
address text box. Trong vd này FQDN c a ISA Server 2004 computer là
ISALOCAL.msfirewall.org. Click Apply.
3. Click vào Auto Discovery tab. ánh d u vào Publish automatic discovery
information check box. port m c nh này, không thay i 80. Click Apply
Bây gi chúng ta có th c u hình Firewall client. Ti n hành các b c sau trên CLIENT.
1. T i CLIENT computer, double click bi u t ng Firewall client icon trên khay h th ng.
2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nh n r ng ã
ánh d u checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check
box.
3. Click Detect Now button. Tên c a ISA Server 2004 firewall s xu t hi n trong
Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.
5. Click Apply và sua ó click OK trong Microsoft Firewall Client for ISA Server 2004
dialog box.
t lu n
Trong ch ng này c a sách, ã c p n các lo i ISA Server 2004 client khác nhau và
nh ng tính n ng riêng trên m i lo iChúng ta c ng ã ti n hành cài t m i lo i theo m t s
cách. Trong ch ng t i c a sách chúng ta s phác th o các th t c t o ho c ch nh s a
các quy t c trên chính sách truy c p ra ngoài Internet -outbound access policy rules thông
qua các Network Templates.