Isa 2004 Firewall Concept

GI I THI U CÔNG TY C PH N CÁC GI I PHÁP M NG VI T NAM
Công ty Các gi i pháp m ng vi t nam (Vietnam network solution company ) c thành l p theo gi y
phép kinh doanh s 0103009140 c a S K ho ch và u t Hà N i
I. L nh v c ho t ng c a Công ty bao g m:
- Nghiên c u, phát tri n và ng d ng các gi i pháp mang tính t ng th trong l nh v c tin h c và
vi n thông c bi t là các công ngh phát tri n trên n n Internet v i các ng d ng Web, các gi i
pháp IT úng d ng cho h th ng thông tin và qu n lý doanh nghi p.
- Cung c p thi t b , ph n m m cho m ng LAN, WAN ph c v các doanh nghi p, t ch c.
- Cung c p các d ch v ào t o t v n v n các gi i pháp v công ngh thông tin, vi t ph n m m theo yêu
u, thi t k website và qu ng cáo trên m ng
i ng nhân viên và c ng tác viên c a Công ty có trình chuyên môn cao, kinh nghi m trong
nh v c chuyên môn.
Ph ng châm ho t ng c a chúng tôi là luôn luôn mang n khách hàng nh ng gi i
pháp m i nh t, d ch v t t nh t v i ch t l ng cao, mang tính t ng th v i giá c h p lý.
1. ng ký tên mi n, cho thuê máy ch , Thi t k và l p trình Web.

Website ã và ang tr thành m t công c h u hi u trong ho t ng kinh doanh và phát tri n
a m i doanh nghi p.
hi n chúng tôi ang cung c p nh ng d ch v sau:
§ ng ký tên mi n:
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
Tên mi n trên Internet c ng gi ng nh tên doanh nghi p B n trên th tr ng.

VNSC cung c p d ch v ng ký tên mi n trên Internet, ch m t ngày sau khi nh n c
yêu c u c a B n, chúng tôi s hoàn t t các th t c b n có th có c m t tên mi n theo
úng ý mình.
§ Cho thuê máy ch :
Website có th truy c p t kh p n i trên th gi i c n c l u tr trên m t máy ch tin

y và có tính n ng h tr cho vi c c p nh t ho c thay i thông tin trên các trang Web có
n, m c cho thuê s d ng các trang cá nhân n hosting cho các trang th ng m i nt ,
ho c cho thuê c Server riêng.
Máy ch c a VNSC có t c cao, b ng thông r ng. VNSC cam k t s mang l i cho b n s
tin t ng và ti n d ng t các tính n ng h tr ng i dùng.
§ Thi t k Web:
d ng công ngh tiên ti n thi t k và l p trình Web, ti n cho vi c s d ng, gây n

ng và t c truy c p nhanh. Các ch ng trình hi n nay th ng s d ng là Flash,
Frontpage, Dreamware…, các ngôn ng l p trình nh ASP, PHP, JSP…
Vi c thi t k u do các nhân viên chuyên ngành M thu t Công nghi p có kinh nghi m và
sáng t o th c hi n.
§ Web advertising:
Ngoài vi c thi t k , l p trình Web, chúng tôi còn cung c p các d ch v t v n, l p k ho ch

qu ng cáo b ng Web ho c b ng Email, qu ng cáo Logo, h tr khách hàng bán hàng qua
ng. v…v…
2. Cung c p các gi i pháp m ng LAN, WAN:

§ Thi t k và thi công, l p t m ng LAN/WAN t n gi n n ph c t p. a ra các gi i
pháp h p lý, n nh kinh t theo chu n c a c a các hãng n i ti ng trên th gi i nh Cisco
System, Microsoft… cho các h th ng m ng trong doanh nghi p, nv.
§ Cung c p các ph n m m cho h th ng, các ph n m m ng d ng cho m ng LAN/WAN cho
phép qu n lý toàn b h th ng tin c a công ty m t cách hi u qu và ti n l i nh t.
§ Các gi i pháp v c s h t ng ph c v cho ho t ng tác nghi p nh : gi i pháp g i n
tho i qua m ng internet ( VOIP), H i ngh truy n hình qua m ng (Video Conference), Các
gi i pháp v giám sát b o v qua m ng (CameraNet)….
3. Cung c p các gi i pháp Ph n m m:

§ Cung c p và ào t o áp d ng các gi i pháp t ng th v các gi i pháp qu n lý d a trên n n
ng là công ngh thông tin nh : Qu n tr ngu n l c doanh nghi p(ERP); Qu n lý s n
xu t; Qu n lý quan h khách hàng (CRM); Qu n lý thi t b ( Equipment management),
Qu n lý h th ng ISO tr c tuy n, Qu n lý kho, và các gi i pháp khác theo yêu c u c a
khách hàng
§ v n xây d ng và h tr áp d ng các ph m m m v qu n lý doanh nghi p nh : Qu n lý
nhân s ; K toán máy….
§ Ph n m m Newsletters cho phép g i nhi u th nt .
§ Ph n m m báo n t , cho phép cung c p thông tin báo chí trên m ng hàng ngày. Ngôn
ng xây d ng b ng PHP t trên n n máy ch Linux b o m t.
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

http://www.giaiphapmang.net Email: info@giaiphapmang.net
§ Ph n m m E-commerce: Cho phép th c hi n kinh doanh trên m ng, bao g m c vi c t

hàng, tính giá cho s n ph m, tính giá v n t i (b ng Fedex, UPS ho c DHL) t i h u h t các
qu c gia trên th gi i.
§ Ph n m m ng d ng qu n lý v n phòng cho phép :
- Chia s m t s hòm th nt .
- Chia s c s d li u v v n b n, qu n lý nhân s , qu n lý h th ng thông tin doanh
nghi p, qu n lý ch ng trình làm vi c, qu n lý công v n, h p ng r t h u ích.
4. Cung c p các thi t b tin h c:

VNSC là i lý bán hàng c a các hãng máy tính n i ti ng trên th gi i nh : IBM, COMPAQ,
3COM, DELL, Disco System… ây là m t l i th cho phép công ty có kh n ng cung c p cho
khách hàng các gi i pháp t ng th v tin h c v i giá c nh tranh.
5. ào t o công ngh thông tin
V i i ng các chuyên gia v công ngh thông tin hàng u, có nhi u kinh nghi m gi ng d y
chúng tôi cung c p các d ch v ào t o công ngh thông tin t i doanh nghi p nh :
ào t o v tin h c v n phòng, các ph n m m ng d ng nh Photoshop, Corel, auto CAD,
CAM….. t c b n n nâng cao
ào t o qu n tr m ng, qu n tr h th ng, qu n tr c s d li u, thi t k website, h a….

Cài t và c u hình ISA Server Firewall 2004 (chapter 1)
GI I THI U:
Trong th c t hi n nay b o m t thông tin ang óng

t vai trò thi t y u ch không còn là “th y u” trong
i ho t ng liên quan n vi c ng d ng công ngh
thông tin. Tôi mu n nói n vai trò to l n c a vi c ng
ng CNTT ã và ang di n ra sôi ng, không ch
thu n túy là nh ng công c (Hardware, software), mà
th c s ã c xem nh là gi i pháp cho nhi u v n
. Kh i ng t nh ng n m u th p niên 90, v i
t s ít chuyên gia v CNTT, nh ng hi u bi t còn
n ch và a CNTT ng d ng trong các ho t ng
n xu t, giao d ch, qu n lý còn khá khiêm t n và ch
ng l i m c công c , và ôi khi tôi còn nh n th y
nh ng công c “ t ti n” này còn gây m t s c n tr ,
không em l i nh ng hi u qu thi t th c cho nh ng T ch c s d ng nó. Và nh ng ai “ch n
n” nh t thì l i t h i mình “mua cái thi t b làm gì nh ?! nó không s n xu t ra c
n ph m, và nó c ng ch ng giúp công vi c gi y t gi m b t là bao, li u chúng ta ã t n
hao m t s ti n vô ích?!..”” . Không âu xa nh ng n c láng gi ng khu v c nh Thailand,
Singapore, nh ng n n kinh t m nh trong khu v c và ang trên à phát tri n m nh m .
Nh n th c cs u vi t c a ng d ng CNTT, và t r t s m h ã em CNNT áp d ng vào
i ho t ng, không ch s n xu t, giao d ch, qu n lý mà CNTT c mang n m i nhà,
i ng i . Và h c ng h c thành th c nh ng k n ng gi i quy t và u khi n công vi c
t sáng t o t các “v khí” tân th i này. âu ó trong trích n “Con ng Phía tr c”
a Bill Gates có nói n giá tr to l n c a thông tin trong th k 21, m t k nguyên thông tin
ích th c. Th c th quý giá “phi v t ch t” này, ang d n tr thành m t i t ng cs n
lùng, c ki m soát g t gao, và c ng là b phóng cho t t c nh ng qu c gia mu n phát
tri n m t cách m nh m , nhanh chóng và “b n v ng”. C n có nh ng h th ng m nh m
nh t ki m soát thông tin, sáng t o thông tin và em nh ng thông tin này vào ng d ng
t cách có hi u qu . Th gi i b c trong th k 21 dùng bàn p CNTT t o l c b y và
ng là d n ng cho các ho t ng, cho m i ng i xích l i g n nhau h n, khi n cho
nh ng cách bi t a Lý không còn t n t i, d dàng hi u nhau h n và trao i v i nhau
nh ng gì có giá tr nh t, c bi t nh t.
ng d ng công ngh thông tin m t cách có hi u qu và “b n v ng”, là tiêu chí hàng u

a nhi u qu c gia hi n nay, Vi t Nam không là ngo i l . Xét trên bình di n m t doanh
nghi p khi ng d ng CNTT vào s n xu t, kinh doanh c ng luôn mong mu n có c u
này. Tính hi u qu là u b t bu c, và s “b n v ng” c ng là t t y u. D i góc nhìn c a
t chuyên gia v b o m t h th ng, khi tri n khai m t h th ng thông tin và xây d ng
c c ch b o v ch t ch , an toàn, nh v y là góp ph n duy trì tính “b n v ng” cho h
th ng thông tin c a doanh nghi p ó. Và t t c chúng ta u hi u r ng giá tr thông tin c a
doanh nghi p là tài s n vô giá. Không ch thu n túy v v t ch t, nh ng giá tr khác không
th o m c nh uy tín c a h v i khách hàng s ra sao, n u nh ng thông tin giao d ch
i khách hàng b ánh c p, r i sau ó b l i d ng v i nh ng m c ích khác nhau..Hacker,
attacker, virus, worm, phishing, nh ng khái ni m này gi ây không còn xa l , và th c s
là m i lo ng i hàng u c a t t c các h th ng thông tin (PCs, Enterprise Networks,
Internet, etc..). Và chính vì v y, t t c nh ng h th ng này c n trang b nh ng công c
nh, am hi u cách x lý i phó v i nh ng th l c en áng s ó. Ai t o ra b c t ng
a m nh này có th “thiêu cháy” m i ý xâm nh p?! Xin th a r ng tr c h t ó là
ý th c s d ng máy tính an toàn c a t t c m i nhân viên trong m t T ch c, s am hi u
tinh t ng c a các Security Admin trong T ch c ó, và cu i cùng là nh ng công c cl c

nh t ph c v cho “cu c chi n” này. ó là các Firewall, t Personal Firewall b o v cho t ng

Computer cho n các Enterprise Firewall có kh n ng b o v toàn h th ng Network c a
t T ch c. Và Microsoft ISA Server 2004 là m t Enterprise Firewall nh th ! M t s n
ph m t t và là ng i b n tin c y b o v an toàn cho các h th ng thông tin.
CH NG 1: H ng d n s d ng
CH NG 2: Cài t Certificate Services
CH NG 3: Cài t và c u hình Microsoft Internet Authentication Service
CH NG 4: Cài t và c u hình Micosoft DHCP và WINS Server Service
CH NG 5: C u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxy

và Firewall Client
CH NG 6: Cài t và c u hình DNS Server v i tính n ng Caching-only trên

Perimeter Network
CH NG 7: Cài t ISA Server 2004 trên Windows Server 2003
CH NG 8: Sao l u và ph c h i c u hình Firewall
CH NG 9: n gi n hóa c u hình Network v i các Network Templates
CH NG 10: C u hình các lo i ISA Clients: SecureNAT, Web Proxy và Firewall

Client
CH NG 11: C u hình các chính sách trên Firewall v i ISA Server 2004 Access
Policy
CH NG 12: Ti n hành Publish các Service trên Perimeter Network ra bên ngoài
nh : Web, Ftp Server
CH NG 13: C u hình Firewall óng vai trò Filtering SMTP Relay
CH NG 14: Ti n hành publish Exchange Outlook Web Access, SMTP Server và

POP3 Server Sites.
CH NG 15: C u hình VPN Server trên ISA Server 2004
CH NG 16: T o m t Site to Site VPN trên các ISA Server 2004 Firewalls

CH NG 1:
Tri n khai t ng Network v i nh ng Service thi t y u
Cu n sách c trình bày theo th c t tri n khai ISA Server 2004 trong mô hình Network
a m t T ch c. N i dung c a sách gói g n trong các v n c u hình h th ng ISA Server
2004 tr thành m t Firewall m nh mà v n áp ng c các yêu c u s d ng các Service
xa, ph c v cho c các ISA Clients bên trong truy c p các Service bên ngoài (Internet),
n các Client bên ngoài (Internet Clients) c n truy c p các Service bên trong Network T
ch c.
Firewalls luôn là m t trong các lo i thi t b Network c u hình ph c t p nh t và duy trì ho t

ng c a nó b o v Network c ng g p không ít th thách cho các Security Admin. C n
có nh ng ki n th c c b n v TCP/IP và các Network Services hi u rõ m t Firewall làm
vi c nh th nào. Tuy nhiên c ng không nh t thi t ph i tr thành m t chuyên gia v h
ng Network (Network Infrastructure ) m i có th s d ng c ISA Server 2004 nh m t
Network Firewall.
Ch ng này s mô t các v n sau:

• Giúp b n hi u các tính n ng có m t trên ISA Server 2004
• Cung c p nh ng l i khuyên c th khi dùng tài li u c u hình ISA Server 2004 Firewall
• Mô t chi ti t th c hành tri n khai ( ISA SERVER 2004 Lab Configuration)
Hi u các tính n ng trên ISA Server 2004
ISA Server 2004 c thi t k b o v Network, ch ng các xâm nh p t bên ngoài l n

ki m soát các truy c p t bên trong N i b Network c a m t T ch c. ISA Server 2004
Firewall làm u này thông qua c ch u khi n nh ng gì có th c phép qua Firewall
và nh ng gì s b ng n ch n. Chúng ta hình dung n gi n nh sau: Có m t quy t c c
áp t trên Firewall cho phép thông tin c truy n qua Firewall, sau ó nh ng thông tin
này s c “Pass” qua, và ng c l i n u không có b t kì quy t c nào cho phép nh ng
thông tin y truy n qua, nh ng thông tin này s b Firewall ch n l i.
ISA Server 2004 Firewall ch a nhi u tính n ng mà các Security Admin có th dùng m
o an toàn cho vi c truy c p Internet, và c ng b o m an ninh cho các tài nguyên trong
i b Network . Cu n sách cung c p cho các Security Admin hi u c nh ng khái ni m
ng quát và dùng nh ng tính n ng ph bi n, c thù nh t trên ISA Server 2004, thông qua
nh ng b c h ng d n c th (Steps by Steps)
Firewalls không làm vi c trong m t môi tr ng “chân không”, vì n gi n là chúng ta tri n
khai Firewall b o v m t cái gì ó, có th là m t PC, m t Server hay c m t h th ng
Network v i nhi u Service c tri n khai nh Web, Mail, Database….
Chúng ta s có m t h ng d n y v vi c tri n khai các Service c n thi t cho ho t ng
Network c a m t T ch c. cách th c cài t và c u hình nh ng Service này nh th nào. Và
u t i quan tr ng là Network và các Service ph i c c u hình úng cách tr c khi tri n
khai Firewall. u này giúp chúng ta tránh c nh ng v n phi n toái n y sinh khi tri n
khai ISA Server 2004.
Các Network Services và nh ng tính n ng trên ISA Server 2004 s c cài t và c u hình
m:
• Cài t và c u hình Microsoft Certificate Services (Service cung c p các Ch ng t k thu t
ph c v nh n d ng an toàn khi giao d ch trên Network)
• Cài t và c u hình Microsoft Internet Authentication Services (RADIUS) Service xác th c
an toàn cho các truy c p t xa thông qua các remote connections (Dial-up ho c VPN)

• Cài t và c u hình Microsoft DHCP Services (Service cung c p các xác l p TCP/IP cho các
node trên Network) và WINS Services (Service cung c p gi i pháp truy v n NETBIOS name
a các Computer trên Network)
• C u hình các WPAD entries trong DNS h tr ch c n ng Autodiscovery (t ng khám
phá)) và Autoconfiguration (t ng c u hình) cho Web Proxy và Firewall clients. R t thu n
i cho các ISA Clients (Web và Firewall clients) trong m t T ch c khi h ph i mang
Computer t m t Network (có m t ISA Server) n Network khác (có ISA Server khác) mà
nt ng phát hi n và làm vi c c v i Web Proxy Service và Firewall Service trên ISA
Server này .
• Cài t Microsoft DNS server trên Perimeter Network server (Network ch a các Server
cung c p tr c tuy n cho các Clients bên ngoài, n m sau Firewall, nh ng c ng tách bi t v i
LAN)
• Cài t ISA Server 2004 Firewall software
• Back up và ph c h i thông tin c u hình c a ISA Server 2004 Firewall
• Dùng các mô hình m u c a ISA Server 2004 ( ISA Server 2004 Network Templates)
u hình Firewall
• C u hình các lo i ISA Server 2004 clients
• T o các chính sách truy c p (Access Policy) trên ISA Server 2004 Firewall
• Publish Web Server trên m t Perimeter Network
• Dùng ISA Server 2004 Firewall óng vai trò m t Spam filtering SMTP relay (tr m trung
chuy n e-mails, có ch c n ng ng n ch n Spam mails)
• Publish Microsoft Exchange Server services (h th ng Mail và làm vi c c ng tác c a
Microsoft, t ng t Lotus Notes c a IBM)
• C u hình ISA Server 2004 Firewall óng vai trò m t VPN server
• T o k t n i VPN theo ki u site to site gi a hai Networks
Tr c khi th c hành c u hình ISA Server 2004 Firewall, ph i nh n th c rõ ràng : ây là m t

th ng ng n ch n các cu c t n công t Internet và m t Firewall v i c u hình l i s t o
u ki n cho các cu c xâm nh p Network. V i nh ng lý do này, u quan tr ng nh t các
Security Admin quan tâm ó là Làm th nào c u hình Firewall m b o an toàn cho vi c
truy c p Internet .
i c u hình m c nh c a mình ISA Server 2004 ng n ch n t t c l u thông vào, ra qua
Firewall.
Rõ ràng ây là m t c u hình ch ng, an toàn nh t mà Admin có th yên tâm ngay t u
khi v n hành ISA Server. Và sau ó áp ng các y u c u h p pháp truy c p các Service
khác nhau c a Internet (ví d nh web, mail, chat, download, game online v.vv..), Security
Admin s c u hình ISA Server 2004 có th áp ng các yêu c u c phép trên.
Các Securty Admin luôn c khuy n cáo: Hãy t o các cu c ki m tra c u hình ISA Server
2004 trong phòng Lab, tr c khi em các c u hình này áp d ng th c t . Chúng ta s c
ng d n c u hình ISA Server 2004 Firewall úng cách, chính xác thông qua giao di n làm
vi c r t g n g i c a ISA Server 2004. Có th có nh ng sai l m khi th c hi n Lab, nh ng các
Admin không qua lo l ng vì ch c r ng các attackers không th l i d ng nh ng l h ng này
(tr khi Lab Network c k t n i v i Internet..). Trên Lab u quan tr ng nh t là hi u
úng các thông s ã c u hình, cho phép sai ph m và các Admin rút ra kinh ghi m t chính
nh ng “mistakes” này.
LAB h ng d n c u hình ISA Server 2004 Firewall
Chúng ta s dùng m t Network Lab mô t nh ng kh n ng và nh ng nét c tr ng c a

ISA Server 2004. Các Admin khi th c hành nên xây d ng m t Test Lab t ng t nh mô
hình ch ra d i ây (t t c các thông s s d ng). N u các Security Admin không có các
thi t b th t nh Test Lab này, có th dùng mô hình gi l p, n t các Virtual Software nh
Microsoft’s Virtual PC software (ho c VMWare) t o mô hình Lab o.
Xem thêm v Virtual PC t i Website: http://www.microsoft.com/windowsxp/virtualpc/

Trong ph n này, chúng ta s xem xét:
• H ng d n c u hình Network cho ISA Server 2004

• Cài t Windows Server 2003 , và sau ó nâng (dcpromo) Computer này lên thành m t
Domain controller (máy ch ki m soát toàn ho t ng c a Domain)
• Cài t Exchange Server 2003 trên Domain controller này và c u hình thành m t Outlook
Web Access Site dùng ph ng th c xác th c c b n (Basic authentication)
Network tri n khai ISA Server 2004
Mô hình Network Lab – 7Computers.
Tuy nhiên Network Lab không yêu c u c 7 Computers này ch y cùng m t th i m

u này t o u ki n d dàng cho Lab c bi t là Lab o.
Mô hình Network c a T ch c này có m t Local Network (Network c c b LAN) và m t
Remote Network. M i Network có m t ISA Server 2004 ch n phía tr c óng vai trò
Firewall. T t c các Computers trên Local Network u là thành viên c a Domain
MSFirewall.org, và domain này bao g m luôn c ISA Server 2004 Firewall computer. T t
các Computers còn l i không là thành viên c a Domain này.
Trên lab Network, Network Card ngoài (External interfaces) c a các ISA Server 2004
Firewalls có k t n i cho phép truy c p Internet. Các Admin nên t o các thông s c u hình
gi ng nhau có th Test các k t n i th c s n Internet t phía Clients n m sau ISA
Server 2004 Firewalls.
u chúng ta dùng ph n m m gi l p thì l u ý r ng, chúng ta ph i set-up n 3 Virtual
Networks trên Test Lab. ó là các Vitual Networks: Domain Controller n m trên Internal

Network, TRIHOMELAN1 Computer n m trên Perimeter Network và REMOTECLIENT

virtual Network th ba.
u ý v i Lab o: Ch c ch n m t u là trên các Virtual Networks này b trí các Computers
trên các Virtual Switches khác nhau, ng n ch n các thông tin tràn ng p theo ki u
Ethernet broadcast traffic, u này có th gây nên nh ng k t qu không mong mu n trên
Lab o..
Cài t và c u hình Domain Controller trên Internal Network
t Computer khác h n so v i ISA Server 2004 Firewall computer, có quy n l c qu n tr

toàn Domain n i b ó là Domain Controller . Microsoft xây d ng mô hình Domain d i s
ki m soát c a Active Directory Service và Domain Controller là công c ki m soát Domain
ó. (qu n lý t t c các Clients và Servers cung c p Service trong Domain nh Web, Mail,
Database server và k c ISA Servers)
Trong Lab này chúng ta s c u hình m t Windows Server 2003 domain controller, và tri n
khai luôn các Service nh : DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003
trên chính Domain controller này.
Các giai n ti n hành:

• Cài t Windows Server 2003

• Cài t và c u hình DNS service
• Nâng Computer này lên thành Domain controller
Cài t Windows Server 2003
Ti n hành các b c sau trên Computer s óng vai trò Domain Controller
1. a a CD cài t vào CD-ROM, kh i d ng l i Computer. Cho phép boot t CD
2. Ch ng trình Windows setup b t u load nh ng Files ph c v cho vi c cài t. Nh n
Enter khi mà hình Welcome to Setup xu t hi n
3. c nh ng u kho n v License trên Windows Licensing Agreement, dùng phím
PAGE DOWN xem h t sau ó nh n F8 ng ý v i u kho n
4. Trên Windows Server 2003, Standard Edition Setup xu t hi n màn hình t o các
phân vùng lôgic (Partition) trên a c ng, tr c h t t o Partition dùng cho vi c cài tH
u hành. Trong Test Lab này, toàn b a c ng s ch làm m t Partition. Nh n ENTER.
5. Trên Windows Server 2003, Standard Edition Setup, ch n Format the partition
using the NTFS file system Nh n ENTER.
6. Ch ng trình Windows Setup ti n hành nh d ng (format) a c ng, s ch ít phút cho
ti n trình này hoàn thành
7. Computer s t Restart khi ti n trình copy File vào a c ng hoàn thành
8. Computer s restart l i trong giao di n h a (graphic interface mode). Click Next trên
trang Regional and Language Options
9. Trên trang Personalize Your Software, n Tên và T ch c c a B n
Ví d :
Name: Nis.com.vn
Organization: Network Information Security Vietnam
10.Trên trang Product Key n vào 25 ch s c a Product Key mà b n có và click Next.
11.Trên trang Licensing Modes ch n úng option c áp d ng cho version Windows
Server 2003 mà b n cài t. N u cài t Licence ch per server licensing, hãy
a vào s connections mà b n ã có License. Click Next.
12.Trên trang Computer Name và Administrator Password n tên c a Computer
trong Computer Name text box. Theo các b c trong xây d ng Test Lab này, thì
Domain controller/Exchange Server trên cùng Server và có tên là
EXCHANGE2003BE, tên này c n vào Computer Name text box. n ti p vào
c Administrator password và xác nh n l i password t i m c Confirm password
(ghi nh l i password administrator c n th n, n u không thì b n c ng không th log-on
vào Server cho các ho t ng ti p theo). Click Next.
13.Trên trang Date and Time Settings xác l p chính xác Ngày, gi và múi gi Vi t Nam
(n u các b n Vi t Nam). Click Next.
14.Trên trang Networking Settings, ch n Custom settings option.
15.Trên trang Network Components, ch n Internet Protocol (TCP/IP) entry trong
Components và click Properties.
16.Trong Internet Protocol (TCP/IP) Properties dialog box, xác l p các thông s sau:
IP address: 10.0.0.2.
Subnet mask: 255.255.255.0.
Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này c ng là IP address
a Internal Card trênISA Server).
Preferred DNS server: 10.0.0.2.
17.Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. Trong
Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add.
Trong TCP/IP WINS Server dialog box, n 10.0.0.2 và click Add.
18.Click OK trong Advanced TCP/IP Settings dialog box.
19.Click OK trong Internet Protocol (TCP/IP) Properties dialog box.
20.Click Next trên trang Networking Components.

21.Ch p nh n l a ch n m c nh môi tr ng Network là Workgroup (chúng ta s t o môi

tr ng Domain sau, a máy này tr thành m t Domain controller và c ng là thành viên
a Domain (là m t member server, vì trên Server này còn cài thêm nhi u Server
Service khác ngoài Active Directory Service).Click Next.
22.Ti n trình cài t c ti p t c và khi Finish, Computer s t kh i ng l i
23.Log-on l n u tiên vào Windows Server 2003 dùng password mà chúng ta ã t o cho
tài kho n Administrator trong quá trình Setup.
24.Xu t hi n u tiên trên màn hình là trang Manage Your Server, n nên check vào
Don’t display this page at logon checkbox và óng c a s Window l i
Cài t và c u hình DNS
c k ti p là cài t Domain Naming System (DNS) server trên chính Computer này
(EXCHANGE2003BE ). u này là c n thi t vì Active Directory Service ho t ng trên
Domain Controller, ki m soát toàn Domain yêu c u ph i có DNS server service ph c v cho
nhu c u truy v n tên -hostname, ng kí các record (A, PTR, SRV records v.v..). Chúng ta
cài DNS server và sau ó s nâng vai trò Computer này lên thành m t Domain
Controller, và DNS server này s ph c v cho toàn Domain.
Ti n hành các b c sau cài t DNS server
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trong Windows Components, xem qua danh sách Components và click Networking
Services entry. Click Details.
4. Check vào Domain Name System (DNS) checkbox và click OK.
5. Click Next trong Windows Components.
6. Click Finish trên Completing the Windows Components Wizard.
7. óng Add or Remove Programs
DNS server ã c cài t, Admin c n a vào DNS Server các thông s c th ph c v
cho ho t ng truy v n tên, c th là s t o ra hai vùng Forward và Reverse lookup
zones.
Ti n hành các b c sau c u hình DNS server:
1. Click Start và sau ó click Administrative Tools. Click DNS.

2. Trong b ng làm vi c c a DNS (DNS console), m r ng server name
(EXCHANGE2003BE ), sau ó click trên Reverse Lookup Zones. Right click trên
Reverse Lookup Zones và click New Zone.
3. Click Next trên Welcome to the New Zone Wizard.
4. Trên Zone Type , ch n Primary zone option và click Next.
5. Trên Reverse Lookup Zone Name page, ch n Network ID option và Enter 10.0.0 vào
text box. Click Next.
6. Ch p nh n ch n l a m c nh trên Zone File page, và click Next.
7. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic
updates option. Click Next.
8. Click Finish trên Completing the New Zone Wizard page.
ti p chúng ta t o Forward lookup zone cho Domain mà Computer này s là
Domain Controller.
Ti n hành các b c sau

1. Right click Forward Lookup Zone và click New Zone.
2. Click Next trên Welcome to the New Zone Wizard page.
3. trên Zone Type page, ch n Primary zone option và click Next.

4. Trên Zone Name page, n tên c a forward lookup zone trong Zone name text box.
Trong ví d này tên c a zone là MSFirewall.org, trùng v i tên c a Domain s t o sau
này. a MSFirewall.org vào text box. Click Next.
5. Ch p nh n các xác l p m c nh trên Zone File page và click Next.
6. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic
updates. Click Next.
7. Click Finish trên Completing the New Zone Wizard page.
8. M r ng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên
MSFirewall.org và Click New Host (A).
9. Trong New Host dialog box, n vào chính xác EXCHANGE2003BE trong Name
(uses parent domain name if blank) text box. Trong IP address text box, n vào
10.0.0.2. Check vào Create associated pointer (PTR) record checkbox. Click Add
Host. Click OK trong DNS dialog box thông báo r ng (A) Record ã c t o xong. Click
Done trong New Host text box.
10. Right click trên MSFirewall.org forward lookup zone và click Properties. Click
Name Servers tab. Click exchange2003be entry và click Edit.
11.Trong Server fully qualified domain name (FQDN) text box, n vào tên y c a
Domain controller computer là exchange2003be.MSFirewall.org. Click Resolve. S
nh n th y, IP address a Server xu t hi n trong IP address list. Click OK.
12. Click Apply và sau ó click OK trên MSFirewall.org Properties dialog box.
13. Right click trên DNS server name EXCHANGE2003BE , ch n All Tasks. Click Restart.
14. Close DNS console.
Gi ây Computer này ã s n sàng nâng vai trò lên Thành m t Domain controller trong
Domain MSFirewall.org
Ti n hành các b c sau t o Domain và nâng server này thành Domain Controller u
tiên c a Domain (Primary Domain Controller)
Cài t Primary Domain Controller
1. Click Start và click Run .

2. Trong Run dialog box, ánh l nh dcpromo trong Open text box và click OK.
3. Click Next trên Welcome to the Active Directory Installation Wizard page.
4. Click Next trên Operating System Compatibility page.
5. Trên Domain Controller Type page, ch n Domain controller for a new domain
option và click Next.
6. Trên Create New Domain page, ch n Domain in a new forest option và click Next.
7. Trên New Domain Name page, n tên y c a Domain (Full DNS name)
MSFirewall.org text box và click Next.
8. Trên NetBIOS Domain Name page (NetBIOS name c a Domain nh m support cho các
Windows OS- nh các dòng Windows NT và WINDOWS 9x i c , khi các Client này
mu n giao d ch v i Domain), ch p nh n NetBIOS name m c nh
Trong ví d này là MSFIREWALL. Click Next.
9. Ch p nh n các xác l p m c nh trên Database and Log Folders page và click Next.
10. Trên Shared System Volume page, ch p nh n v trí l u tr m c nh và click Next.
11.Trên DNS Registration Diagnostics page, ch n I will correct the problem later by
configuring DNS manually (Advanced). Click Next.
12.Trên Permissions page, ch n Permissions compatible only with Windows 2000 or
Windows Server 2003 operating system option. Click Next.
13.Trên Directory Services Restore Mode Administrator Password page (ch ph c
i cho Domain Controller khi DC này g p ph i s c , Khi DC offline, vào ch
troubleshoot này b ng cach1 Restart Computer, ch n F8), n vào Restore Mode
Password và sau ó Confirm password. (Các Admin không nên nh m l n Password

ch này v i Domain Administrator Password, u khi n ho t ng c a DCs ho c

Domain). Click Next.
14.Trên Summary page, click Next.
15.Bây gi là lúc Computer c n Restart các thông s v a cài t Active
16.Click Finish trên Completing the Active Directory Installation Wizard page, hoàn
thành vi c cài t.
17.Click Restart Now trên Active Directory Installation Wizard page.
18.Log-on vào Domain Controller dùng tài kho n Administrator sau khi ã Restart.
Cài t và c u hình Microsoft Exchange trên Domain Controller
Computer ã s n sàng cho vi c cài t Microsoft Exchange. Trong ph n này chúng ta s

ti n hành nh ng b c sau:
• Cài t các Service IIS World Wide Web, SMTP và NNTP services
• Cài t Microsoft Exchange Server 2003
• C u hình Outlook Web Access WebSite
Ti n hành các b c sau cài World Wide Web, SMTP và NNTP services:
1. Click Start, ch n Control Panel. Click Add or Remove Programs.
3. Trên Windows Components page, ch n Application Server entry trong Components
page. Click Details.
4. Trong Application Server dialog box, check vào ASP.NET checkbox. Ch n Internet
Information Services (IIS) entry và click Details.
5. Trong Internet Information Services (IIS) dialog box, check vào NNTP Service
checkbox. Check ti p SMTP Service checkbox. Click OK.
6. Click OK trong Application Server dialog box.
7. Click Next trên Windows Components page.
8. Click OK vào Insert Disk dialog box.
9. Trong Files Needed dialog box, a ng d n n Folder I386 trên CD cài t
Windows Server 2003 trong copy file t text box. Click OK.
10. Click Finish trên Completing the Windows Components Wizard page.
11. Close Add or Remove Programs .
Ti n hành các b c sau cài Microsoft Exchange:
1. a Exchange Server 2003 CD vào CD-ROM, trên autorun page, click Exchange
Deployment Tools link n m d i Deployment heading.
2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploy the
first Exchange 2003 server link.
3. Trên Deploy the First Exchange 2003 Server page, click New Exchange 2003
Installation link.
4. Trên New Exchange 2003 Installation page, kéo xu ng cu i trang.Click Run Setup
now link.
5. Trên Welcome to the Microsoft Exchange Installation Wizard page, click Next.
6. Trên License Agreement page, ch n I agree option và click Next.
7. Ch p nh n các xác l p m c nh trên Component Selection page và click Next.
8. Ch n Create a New Exchange Organization option trên Installation Type page và
click Next.
9. Ch p nh n tên m c nh trong Organization Name text box trên Organization Name
page, và click Next.
10.Trên Licensing Agreement page, ch n I agree that I have read and will be bound
by the license agreement for this product và click Next.
11.Trên Installation Summary page, click Next.
12.Trong Microsoft Exchange Installation Wizard dialog box, click OK.

13.Click Finish trên on the Completing the Microsoft Exchange Wizard page khi cài t
hoàn thành.
14. óng t t c c a s ang open.
Exchange Server ã c cài t và gi ây Admin có th t o các mailboxes cho Users.

c k ti p là c u hình Outlook Web Access site và ch dùng ph ng th c xác th c duy
nh t là Basic Authentication. i v i các qu n tr Mail Server thì ây là m t c u hình
quan tr ng (nh ng t t nhiên không b t bu c) khi mu n cho phép truy c p t xa (remote
access) vào OWA site. Sau ó, chúng ta s yêu c u m t Website Certificate (Ch ng t s
Website) cho OWA site và publish OWA site dùng quy t c Web Publishing Rule trênISA
Server, thông qua rule này, s cho phép remote users truy c p vào OWA site.
Ti n hành các b c sau c u hình OWA site dùng ph ng th c xác th c duy nh t Basic
authentication:
1. Click Start, ch n Administrative Tools. Click Internet Information Services (IIS)
Manager.
2. Trong Internet Information Services (IIS) Manager console, m r ng server
name, m r ng WebSites node Và m Default Web Site.
3. Click trên Public node và sau ó right click. Click Properties.
4. Trong Public Properties dialog box, click Directory Security tab.
5. Trên Directory Security tab, click Edit trong khung Authentication and access
control.
6. Trong Authentication Methods dialog box, m b o không check vào (remove)
Integrated Windows authentication checkbox. Click OK.
7. Click Apply và click OK.
8. Click trên Exchange node và right click. Click Properties.
9. Trên Exchange Properties dialog box, click Directory Security tab.
10.Trên Directory Security tab, click Edit trong Authentication and access control
11.Trong Authentication Methods dialog box, m b o không check vào (remove)
Integrated Windows authentication checkbox. Click OK.
12.Click Apply, click OK trong Exchange Properties dialog box.
13.Click trên ExchWeb node,sau ó right click. Click Properties.
14.Trong ExchWeb Properties dialog box, click Directory Security tab.
15.Trên Directory Security tab, click Edit trong khung Authentication and access
control
16.Trong Authentication Methods dialog box, không check (remove) vào Enable
anonymous access checkbox. Sau ó check vào Basic authentication (chú ý dùng
ph ng th c xác th c này, password c g i i d i d ng clear text) checkbox. Click
Yes trong IIS Manager dialog box và Admin nh n c thông báo r ng password c
i i hoàn toàn không mã hóa (clear). Trong Default domain text box, a vào tên
Internal Network domain, chính là MSFIREWALL. Click OK.
17.Click Apply trong ExchWeb Properties dialog box. Click OK trong Inheritance
Overrides dialog box. Click OK trong ExchWeb Properties dialog box.
18. Right click Default Web Site và click Stop. Right click l i Default Web Site và click
Start.
t lu n:
Trong sách h ng d n c u hình ISA Server 2004 này chúng ta ã th o lu n nh ng m c tiêu
và nh ng ph ng th c, có th n m b t tri n khai và c u hình ISA sao cho hi u qu nh t.
Sách h ng d n c ng cung c p cho các b n ph ng pháp gi i quy t v n theo t ng b c
th . Ch ng m t này t p trung vào vi c xây d ng m t c s h t ng Network (Network
Infrastructure) theo mô hình Microsoft Active Directory Domain trên máy ch Winndows
server 2003 Domain Controller, và tri n khai các Service khác liên quan n h t ng
Network nh WINS, DNS, và các Service gia t ng nh Web, Mail.. Ch ng k ti p trình bày

cách th c cài t m t Microsoft Certificate Services trên Domain Controller

Computer.

CH NG 2:
Cài t Certificate Services
(Certificate services cung c p Ch ng t k thu t s cho các giao d ch Network)

Microsoft Certificate Services có th c cài t trên Domain controller c a internal
Network và cung c p các Certificates cho các Hosts trong Internal Network domain,
ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ng
Certificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành:
Microsoft Certificate Services có th c cài t trên Domain controller c a internal
Network và cung c p các Certificates cho các Hosts trong Internal Network domain,
ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ng
Certificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành:
• Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol,
o liên k t site-to-site VPN.
• Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol,
o u ki n cho VPN client th c hi n k t n i t m t Remote Location (site)
• Cho phép remote users có th truy c p n Outlook Web Access site, ph ng th c
o m t m nh SSL-to- SSL bridged connections.
• Publish secure Exchange SMTP và POP3 services lên Internet Certificates cho phép
dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là m t giao th c l p
session (layer) có kh n ng mã hóa d li u truy n gi a client và server.
SSL security hi n c xem là chu n cung c p an toàn cho các remote access n các
Websites. Ngoài ra, certificates còn có th c dùng xác nh n các i t ng tham gia
các k t n i VPN , bao g m VPN clients và VPN servers (ph ng pháp này g i là xác th c c
hai chi u- mutual Authentication)
Trong ph n này chúng ta s c p n các ti n trình sau:
• Cài t Internet Information Services 6.0 h tr Certificate Authority’s Web
Enrollment ( nh n các Certificates t CA server thông qua hình th c ng kí trên
CA’sWeb)
• Cài t Microsoft Certificate Services ch Enterprise CA
Cài t Internet Information Services 6.0
Certificate Authority’s Web enrollment site s d ng Internet Information Services

World
Wide Publishing Service. B i vì chúng ta ã cài IIS Web services , trong ch ng 1 khi
ti n hành cài Exchange 2003 h tr Outlook Web Access site, nên s không c n cài l i IIS
service. Tuy nhiên, b n nên xác nh n l i WWW Publishing Service ã c Enabled,
tr c khi ti n hành cài Enterprise CA.
Thi hành các b c sau xác nh n WWW Publishing Service ang ch y trên domain
controller:
1. Click Start ch n Administrative Tools. Click Services.
2. Trong Services console, click Standard tab phía d i. Kéo xu ng danh sách và double-
click vào World Wide Web Publishing Service .
3. Trong World Wide Web Publishing Server Properties dialog box, xác nh n Startup
type là Automatic, và trang thái v n hành c a service là Started.

4. Click Cancel và óng Services console.
Nh v y WWW Publishing Service ã v n hành, b c ti p theo là cài t Enterprise CA

software.
Cài t Certificate Services ch Enterprise CA
Microsoft Certificate Services s c cài t ch này trên chính domain controller. Có

nh ng thu n l i khi cài CA ch Enterprise mode (ng c l i v i Standalone mode) bao
m:
• Ch ng t g c c a CA (root CA certificate) c t ng a vào vùng l u tr Certificate
a Trusted Root Certification Authorities (certificate store) trên t t c các máy thành
viên c a Domain (domain member). Các Computer thành viên c a Domain khi dùng các
giao d ch c n Certificates nâng cao tính an toàn, có th d dàng tìm các nhà cung c p
p pháp- CA servers, trong Trusted Root Certification Authorities trên Computer c a
mình.
• Các Clients này c ng d dàng dùng Certificates MMC snap-in (t i RUN, type mmc, ch n
File, Add/Remove snap-in, Add, ch n Certificates), và d dàng dùng snap-in này
yêu c u certificates t CA Servers ho c t CA’s Websites
• T t c các Computer trong Domain có th c phân chia Certificates ng lo t thông qua
tính n ng Active Directory autoenrollment feature
u ý r ng không nh t thi t ph i cài CA Enterprise mode. B n có th cài CA ch

Standalone mode, nh ng trong Lab này chúng ta s không c p standalone mode ho c
làm th nào xin c p certificate t m t Standalone CA
Ti n hành các b c sau cài t Enterprise CA trên Domain Controller

EXCHANGE2003BE


3. Trên Windows Components page, kéo danh sách xu ng và check vào Certificate
Services checkbox. Click Yes trong Microsoft Certificate Services dialog box, thông báo
ng informing “you may not change the name of the machine or the machine s
domain membership while it is acting as a CA”. Nh v y là r t rõ ràng B n không th
thay i Computer Name ho c thay i t cách thành viên Domain c a Computer này, sau
khi ã cài CA service.Click Yes.

5. Trên CA Type page, ch n Enterprise root CA option và click Next.
6. Trên CA Identifying Information page, n tên cho CA server này trong Common
name a CA text box. Nên dùng tên d ng DNS host name c a domain controller. Tham
kh o v c u hình DNS h tr ISA Server
http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htm
Trong text box này các b n n vào NetBIOS name c a domain controller là
EXCHANGE2003BE. Click Next.

7. N u Computer này tr c ây ã cài t m t CA, b n s c h i “you wish to

overwrite the existing key , ghi è lên các khóa ã t n t i. Còn n u b n ã tri n khai
các CA khác trên Network có th không nên overwrite các khóa hi n t i. Và n u ây là CA
u tiên, có th ch p nh n overwrite the existing key. Trong ví d này chúng ta tr c ó
ã ch a cài CA trên Computer vì v y không nhìn th y dialog box thông báo nh trên
8. Trong Certificate Database Settings page, dùng v trí l u tr m c nh cho Certificate
Database và Certificate database log text boxes. Click Next.
9. Click Yes trong Microsoft Certificate Services dialog box, b n nh n c thông báo
ph i restart Internet
Information Services. Click Yes stop service. Service s c restart automatic.
10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d n
n I386 folder trong Copy file from text box và click OK.
12. óng Add or Remove Programs.
i th i m này Enterprise CA có th c p phát certificates cho các Computer khác trong
Domain thông qua autoenrollment, Certificates mmc snap-in, ho c qua Web
enrollment site. Trong h ng d n c u hình ISA Server 2004
này, chúng ta s c p phát m t Web site certificate cho OWA Web site và c ng c p phát
các Computer certificates cho ISA Server 2004 Firewall computer và cho các external
VPN
client và VPN gateway (VPN router) machine.
t lu n:
Trong ph n này chúng ta ã th o lu n v vi c dùng m t CA- Certificate Authority và làm
th nào cài t m t Enterprise CA trên Domain controller trong internal Network. Và
ti p theo chúng ta s dùng Enterprise CA c p Computer Certificates cho các VPN clients
và servers, c ng c p luôn m t Web site certificate cho Exchange Server’s Outlook Web
Access Web site.

CH NG 3:
Cài t và c u hình Microsoft Internet Authentication Service
Microsoft Internet Authentication Server (IAS) là m t chu n thu c lo i RADIUS (Remote

Authentication Dial In User Service) server c dùng xác th c Users k t n i n ISA
Server 2004 Firewall machine. B n có th dùng IAS xác th c các Web Proxy clients trên
Internal Network hay VPN clients, VPN gateways ang ti n hành k t n i t m t External
Network location (ví d nh t m t v n Phòng chi nhánh c a công ty). Ngoài ra, có th
dùng RADIUS xác th c remote users khi nh ng i t ng này k t n i n các Web servers
ã c published thông qua Web Publishing rules trên ISA Server 2004
u m chính c a vi c dùng RADIUS xác th c Web proxy và VPN connections là SA Server
2004 Firewall computer không c n ph i là thành viên c a Active Directory Domain m i có
th xác th c c các Users, khi tài kh an c a nh ng Usrs này ang n m trong Active
Directory database thu c Internal Network. Nhi u Firewall administrators khuy n cáo
ng không nên Firewall Computer là thành viên trong Domain User. Vì u này
có th ng n ch n Attackers xâm nh p vào Firewall, và qua ó có c quy n Domain
Member t Firewall này, m r ng h ng t n công vào N i b Network .
Tuy nhiên, nh c m l n khi không a ISA Server 2004 Firewall làm thành viên c a
Internal Network domain ó là chúng ta s không th dùng ISA Firewall Client cung c p
các xác th c h p pháp cho ISA Server khi các Firewall Clients này truy c p n t t c các
giao th c TCP và UDP. Chính vì lý do này, chúng ta s t o m t ISA Server 2004 Firewall
computer làm m t thành viên c a Internal Domain. Tuy nhiên n u b n không gia nh p
Firewall vào Domain, v n có th dùng IAS xác th c các VPN và Web Proxy clients.
Các công vi c ti p theo s là:
Cài t và c u hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Service server là m t RADIUS server. Chúng ta s s
ng RADIUS server này trong các ph n sau c a h ng d n (b t ch c n ng RADIUS
authentication ph c v cho Web Publishing Rules và tìm hi u cách th c m t RADIUS server
xác th c PN clients nh th nào)
Ti n hành các b c sau cài t Microsoft Internet Authentication Server trên domain
controller EXCHANGE2003BE thu c Internal Network:
3. Trên Windows Components page, kéo xu ng Components list và ch n Networking
Services entry. Click Details.
4. Check vào Internet Authentication Service checkbox và click OK.


7. óng Add or Remove Programs
Ti p theo chúng ta s c u hình Internet Authentication Service
u hình Microsoft Internet Authentication Service
n c n c u hình IAS server úng cách có th làm vi c v i ISA Server 2004 Firewall
computer. T i th i m này, chúng ta s c u hình IAS Server làm vi c v i ISA Server
2004 Firewall. Sau ó s c u hình Firewall giao ti p v i IAS server.
Ti n hành các b c sau v i Domain controller trên Internal Network c u hình IAS server:
1. Click Start, Administrative Tools. Click Internet Authentication Service.
2. Trong Internet Authentication Service console, m r ng Internet Authentication
Service (Local) node. Right click trên RADIUS Clients node và click New RADIUS
Client.

3. Trên Name and Address page c a New RADIUS Client wizard, n vào Friendly-
name c a ISA Server 2004 Firewall computer trong Friendly name text box. n gi n là
tên này c dùng xác nh RADIUS client và không c s d ng cho nh ng m c ích
ho t ng. a y FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , ho c
IP address c a ISA Server 2004 Firewall computer trong Client address (IP or DNS) text
box.
4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name a
ISA Server 2004 Firewall computer s xu t hi n trong Client text box. Click Resolve. N u
RADIUS server có th gi i quy t Tên thì IP address s xu t hi n trong IP address frame.
u RADIUS server không th gi i quy t tên ra IP Address, u này l u ý v i Admin r ng:
hostname c a ISA Server 2004 Firewall ch a c t o trong DNS server (ch a t o record
choISA Server). N u tr ng h p này x y ra, b n có th a 2 cách gi i quy t: T o A Record
cho ISA Server trên DNS server c cài t trên Domain controller, ho c b n có th dùng

IP address trên Internal interface (10.0.0.1) c a ISA Server 2004 Firewall trong Client
address (IP and DNS) text box thu c Name or Address page ( ã c p trên). Click OK
vào Verify Client dialog box. M c ích c a các xác l p trong ph n này là bi n ISA Server
2004 Firewall tr thành m t RADIUS Client, khi ó gi RADIUS server và RADIUS Client m i
có th b t tay c ng tác.
5. Click Next trên Name and Address page c a New RADIUS Client wizard.
6. Trên Additional Information page c a wizard, dùng default Client-Vendor entry,
chu n c a RADIUS. n vào m t password trong Shared secret text box và xác nh n l i
password này. Password bí m t c chia s (ch có RADIUS server và RADIUS Client- ISA
Server 2004 Firewall bi t), và dùng “tín hi u” này làm vi c v i nhau. Shared Secret
ch a ít nh t 8 kí t (c hoa l n th ng, s và c các kí t c bi t..). Check vào Request
must contain the Message Authenticator attribute check box. Click Finish.

7. Bây gi các b n ã th y New RADIUS client entry xu t hi n trên console
8. óng Internet Authentication Service console.

Vi c c u hình ti p theo trên ISA Server 2004 Firewall công nh n i tác c a nó là
RADIUS server, c u hình s c ti n hành thông qua giao di n qu n tr ISA Server 2004
Firewall và RADIUS server này s m nhi m vai trò xác th c các yêu c u t Web và VPN
client.
t lu n:
Trong ch ng này chúng ta ã c p n Microsoft Internet Authentication Server,
cách th c cài t và c u hình m t IAS server trên Domain controller thu c Internal Network
domain. Trong các ph n k ti p c a h ng d n, chúng ta s dùng IAS server này xác
th c các yêu c u t bên ngoài (incoming requestst c a Web/VPN Clients) truy c p vào
Web/VPN server.

CH NG 4:
Cài t và c u hình Microsoft DHCP và WINS Server Services
Windows Internet Name Service (WINS) khi Service này c tri n khai trong Internal
Network Domain, nó s ph c v các Computer trong Network gi i quy t tìm NetBIOS
names l n nhau, và m t Computer A trong Network này có th thông qua WINS server
gi i quy t c NetBIOS name c a Computer B m t Network khác (t t nhiên h th ng
WINS thông th ng ch c dùng gi i quy t tên Netbios names trong N i b Network
a T ch c, tránh nh m l n v i cách gi i quy t hostname c a DNS server- có kh n ng
gi i quy t tên d ng FQDN (www.nis.com.vn) c a Internet ho c Internal Network Domain.
Các b n có th tham kh o “ XÂY D NG H T NG M NG TRÊN MICROSOFT WINDOWS
SERVER 2003”, s p c phát hành c a tôi hi u rõ h n v vai trò c a m t WINS server
trong N i b Network .
Các Computer trong Internal Network s c c u hình v i vai trò WINS clients, s ng
kí tên c a mình (Netbios/Computer names) v i WINS server. WINS clients c ng có th g i
các yêu c u truy v n tên n WINS server gi i quy t Name thành IP addresses. N u
trong N i b Network không có WINS Server, thì Windows clients s g i các message d ng
broadcast tìm Netbios name c a Computer mu n giao ti p. Tuy nhiên, n u các
Computer này n m t i m t Network khác (v i Network ID khác) thí các Broadcast này s b
ng n ch n (ch c n ng ng n ch n broadcast là m c nh trên các Router). Nh v y trong
i b Network c a m t T ch c, g m nhi u Network Segments, thì vi c gi i quy t cho các
Computer t Network 1 tìm NetBios name c a các Computers Network 2,3. Dùng WINS
server là gi i pháp lý t ng.
WINS server c ng c bi t quan tr ng cho các VPN clients. VPN clients không tr c ti p k t
i n Internal Network, và nh v y không th dùng broadcasts gi i quy t NetBIOS
names c a các Computers bên trong N i b Network . (Tr khi b n dùng Windows Server
2003 và m ch c n ng NetBIOS proxy, s h tr NetBIOS broadcast, nh ng r t h n ch ).
VPN clients d a vào WINS server gi i quy t NetBIOS names và s d ng các thông tin
này tìm ki m các Computers trong My Network Places c a Internal Network.
Dynamic Host Configuration Protocol (DHCP) c dùng cung c p t ng các thông s

liên quan n IP address (TCP/IP settings) cho DHCP clients. DHCP server s c c u hình
trên Internal Network server và không ph i trên chính ISA Server 2004 Firewall. Khi chúng
ta ã c u hình DHCP server trên Internal Network, ISA Server 2004 Firewall t ng có th
thuê IP Addresses t DHCP server và phân b l i cho các VPN Clients (các IP addresses này
c l y t m t vùng a ch c bi t trên DHCP server, ví d Admin ã t o s n m t DHCP
scope có tên là “VPN Clients Network.”, vùng này ch a các IP address và các thông s ch
cung c p cho VPN Clients)
Vi c u khi n truy c p (Access controls) và cách th c nh tuy n (routing relationships)
cho các VPN Clients này truy nh p N i b Network có th c c u hình gi a VPN Clients
Network và các N i b Network c xác nh trong phân vùng LAT (Local Address Table)
do ISA Server 2004 Firewall qu n lý.
Trong ph n này chúng ta s th c hi n vi c cài t Microsoft WINS và DHCP services. Sau ó

chúng ta s c u hình m t DHCP scope v i các thông s h p lý c a DHCP scope options.
Cài t WINS Service
Windows Internet Name Service (WINS) c s d ng gi i quy t NetBIOS names ra IP

Addresses ( n gi n vì chúng ta ang dùng Network TCP/IP, Network giao ti p theo s - IP
address, Computer name ch là y u t ph , và là thói quen xác l p giao ti p, vì tên d nh
n s ). Trong các mô hình Network m i ngày nay (ví d Network Microsoft Windows
2000/2003) s d ng gi i pháp tìm tên chính ó là DNS service, WINS service tri n khai

thêm là m t s l a ch n, và hoàn toàn không b t bu c). Tuy nhiên nhi u T ch c mu n

dùng My Network Places có th xác nh các Server trên Network. Chúng ta bi t r ng
My Network Places ho t ng tìm ki m các Network Computer d a trên Service Windows
Browser. Và Windows Browser service gi i quy t tên d a trên n n t ng Broadcast (
broadcast-based service), n u Network tri n khai WINS server Windows Browser trên các
Computer s ph thu c vào WINS server thu th p thông tin v các Computers phân tán
kh p các Segment c a Network. Ngoài ra, WINS service c ng c yêu c u tri n khai khi
các VPN clients mu n có c danh sách các Computers trong N i b Network . M c ích
cài WINS server trong h ng d n này h tr gi i quy t NetBIOS name và Windows
browser service cho các VPN clients.
Ti n hành các b c sau cài WINS:

3. Trên Windows Components page, kéo xu ng danh sách Components và ch n
Networking Services entry. Click Details.
4. Trong Network Services dialog box, check vào Windows Internet Name Service
(WINS) check box. Check ti p vào Dynamic Host Configuration Protocol (DHCP)
check box. Click OK.

6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, a ng d n
n I386 folder trong m c Copy files from text box và click OK.
8. óng Add or Remove Programs .
WINS server ã s n sàng ph c v nhu c u ng kí NetBIOS name ngay l p t c mà không
n b t c c u hình thêm nào. ISA Server 2004 Firewall, Domain controller, và các Internal
Network clients t t c s c c u hình nh WINS Client và s ng kí v i WINS server
trong m c xác l p TCP/IP c a mình (TCP/IP Properties settings)
u hình DHCP Service
Dynamic Host Configuration Protocol (DHCP) cs d ng phân chia t ng các thông

liên quan n IP

Address cho Internal Network clients và VPN clients. Trong Lab này, m c ích chính c a
DHCP server là c p phát các thông s IP address cho Network VPN clients. L u ý r ng,
trong mô hình Network th c t c a các T ch c, nên c u hình các Computer tr thành DHCP
clients, không nên yêu c u m t IP address t nh. (t t nhiên có nh ng tr ng h p ngo i l , ví
nh dùng IP c nh cho Servers, ho c trong m t Network có s l g Computer ít, tri n
khai thêm DHCP server t o chi phí gia t ng áng k , làm t ng Total Cost Ownership-TCO..)
DHCP server service ã c cài t theo nh ng th t c a ra t i ch ng 1. B c k ti p,
chúng ta s c u hình m t DHCP scope (vùng IP addresses, kèm theo các thông s tùy ch n-
DHCP options). T t c nh ng thông s này s c cung c p cho các DHCP Clients.
Ti n hành các b c sau c u hình m t DHCP scope:

1. Click Start, Administrative Tools. Click DHCP.
2. Trên DHCP console, right click trên server name và click Authorize (xác nh n DHCP
server này ho t ng h p pháp trong Domain, nh v y t t c các DHCP server không c
Authorize s b vô hi u hóa trong vi c cung c p IP addresses)
3. Click nút Refresh .Các b n s nh n th y icon c a DHCP server chuy n t sang Xanh
lá cây, và DHCP ã ho t ng
4. Right click trên server name, click New Scope.

5. Click Next trên Welcome to the New Scope Wizard page.

6. Trên Scope Name page, t tên cho scope trong Name text box và a thông tin mô t
trong Description text box. Trong ví d này, chúng ta s t tên scope là scope 1 và
không mô t trong Description. Click Next.
7. Trên IP Address Range page, a vào m t IP address b t u Start IP address ) và
t IP Adrress Cu i cùng (End IP address ) trong text boxes. Và ây chính là vùng a ch
IP mà b n mu n s n sàng cung c p cho DHCP Clients. Trong ví d này, chúng ta s xác l p
nh sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này ch a 20
IP Address cho DHCP Clients. Sau ó chúng ta s c u hình ISA Server 2004 Firewall cho
phép các VPN clients th c hi n ng th i 10 VPN connections, và vì th có th m t t i a10
trong s 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có th yêu c u
nhi u h n 10 IP Addresses này t DHCP server, n u th c s u ó là c n thi t. Ti p theo
chúng ta s a thông s subnet mask vào text box Length ho c Subnet mask. Trong ví
ây, chúng ta xác nh n giá tr 24 trong Length text box. Giá tr Subnet mask c ng
ng thay i sau khi b n ã n giá tr vào Length.Click Next.
8. Không xác nh b t kì exclusions (vùng lo i tr , nh m m c ích d tr cho nhu c u

dùng IP addresses t ng lai, ho c tránh c p phát nh ng IP ang c s d ng c nh
trên Network cho các thi t b nh Routers, Network Printers..), trên Add Exclusions page.
Click Next.
9. Ch p nh n l ng th i gian cho thuê a ch (lease duration) là 8 ngày t i Lease
Duration page. Click Next.
10. Trên Configure DHCP Options page, ch n Yes, I want to configure these
options now option và click Next.
11. Trên Router (Default Gateway) page, n vào IP address c a internal interface
(10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add.
Click Next.

12. Trên Domain Name and DNS Servers page, n tên Domain c a Internal Network
trong Parent domain text box. ây là Domain name c dùng b i các DHCP clients, c n
vào ây, các Clients này s xác nh môi tr ng Network mà mình ang ho t ng, và
thu n l i cho các Admin sau này, khi c u hình các thông s nh wpad entry, có ch c n ng
ph c v cho các Web Proxy và Firewall client t ng phát hi n, và làm vi c v i Firewall
Service ho c Web Proxy Service (hai Service v n hành trên ISA Server 2004) ch c n ng
này g i là Autodiscovery. Trong ví d này, các b n s a vào tên Domain là
MSFirewall.org trong text box. Trong IP address text box, n IP address c a DNS
server (10.0.0.2) trên Internal Network. Chú ý domain controller c ng là DNS server
internal Network nh ã xác nh t i các ph n tr c. Click Add. Click Next.

13. Trên WINS Servers page, n IP address c a WINS server (10.0.0.2) và Click Add
14. Trên Activate Scope page, ch n Yes, I want to activate this scope now option
và click Next.
15. Click Finish trên Completing the New Scope Wizard page.
16. Trong DHCP console, m r ng Scope 1 node, click vào Scope Options node. B n s
th y danh sách các Options v a c u hình.
17. óng DHCP console.

i th i m này DHCP server s n sàng ph c v phân chia các thông s liên quan n IP
address cho DHCP clients trên N i b Network ,và c các VPN Clients thu c VPN clients
Network. Tuy nhiên, ISA Server 2004 Firewall s ch a cung c p các thông s IP này cho
VPN Clients khi mà Admin ch a cho phép tri n khai Service VPN (VPN server) trên Firewall.
t lu n:
Trong ch ng này, chúng ta ã th o lu n vi c s d ng Microsoft WINS và DHCP servers, cài
t c hai Service này lên Domain controller, và c u hình m t DHCP Scope trên DHCP
server. ph n sau chúng ta s nói n cách th c mà các Service này s h tr cho các VPN
clients

Ch ng 5:
u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxy và

Firewall Client
Web Proxy Autodiscovery Protocol (WPAD) c s d ng cho phép các trình duy t Web
browsers (nh Internet Explorer, Nestcape Navigator…) và ISA Firewall client có th t
ng khám phá ISA Server 2004 Firewall (IP address). Các Client này sau ó có th
download các thông tin c u hình t ng (Autoconfiguration information) t Firewall, sau ó
Web Proxy và Firewall client s discover ra address liên l c v i ISA Server.
Tóm l i ch c n ng WPAD gi i quy t cung c p các thông s t ng cho các Web browsers.
Xác l p m c nh trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác
p này c enabled, Web browser có th g i i m t thông p DHCPINFORM
message ho c m t truy v n DNS query tìm a ch c a ISA Server 2004, d a trên
nh ng thông tin ã nh n c (download) t Autoconfiguration information.
u này giúp cho các Web browser th t thu n l i khi có th t ng dùng Firewall (detect
Firewall) k t n i ra Internet.
ISA Server 2004 Firewall client c ng có th dùng wpad entry tìm ISA Server 2004
Firewall và download các thông tin c u hình này v .
Trong ph n này chúng ta s ti n hành
• C u hình h tr DHCP WPAD
• C u hình h tr DNS WPAD
Sau khi thông tin wpad c c u hình trên DHCP và DNS server, thì Web Proxy và Firewall
clients s không c n ph i c u hình th công có th ra Internet thông qua ISA Server
2004 Firewall.
u hình h tr DHCP WPAD
DHCP scope option s 252 có th c dùng c u hình t ng cho Web Proxy và

Firewall clients. Web Proxy ho c Firewall client ph i c c u hình tr thành DHCP client, và
các Users log-on vào các Clients này ph i là thành viên c a nhóm Local administrators
group ho c Power users group (Windows 2000). Trên Windows XP, thì ch c n là thành
viên c a nhóm Network Configuration Operators group là có quy n th c hi n g i
các truy v n DHCP (DHCPINFORM messages).
Chú ý:
Chi ti t h n v nh ng h n ch c a vi c dùng DHCP ph c v Autodiscovery cho Internet

Explorer 6.0, tham kh o h ng d n “Automatic Proxy Discovery in Internet Explorer
with DHCP Requires Specific Permissions “ t i
http://support.microsoft.com/default.aspx?scid=kb;en-us;312864

Ti n hành các b c sau t i DHCP server t o DHCP option ph c v cho ch c n ng wpad
1. M DHCP console t Administrative Tools menu, right click server name. Click Set
Predefined Options
2. Trong Predefined Options and Values dialog box, click Add.
3. Trong Option Type dialog box, a vào các thông tin sau:
Name: wpad
Data type: String
Code: 252
Description: wpad entry
Click OK.
4. Trong khung Value, n vào a ch URL n n ISA Server 2000 Firewall trong String
text box.
Theo nh d ng nh sau:
http://ISAServername:AutodiscoveryPort Number/wpad.dat
c nh Autodiscovery port number là TCP 80. Port 80 này có th thay i thông qua
u hình trên ISA Server 2004.. Chi ti t v c u hình này s th o lu n sau.
Trong ví d hi n t i, n vào String text box:
http://isalocal.MSFirewall.org:80/wpad.dat
m b o r ng wpad.dat không dùng nh ng kí t vi t hoa. V v n này có th tham

kh o t i "Automatically Detect Settings Does Not Work if You Configure DHCP Option
252”
http://support.microsoft.com/default.aspx?scid=kb;en-us;307502

Th c ra problem này là do c ch nh n d ng case sensitive trên ISA Server 2004, do ó

u không ph i là wpad.dat, mà l i là Wpad.dat, ho c WPad.dat trong URL, u khi n
ISA Server 2004 ph nh n.
Click OK.
5. Right click trên Scope Options node và click Configure Options.
6. Trong Scope Options dialog box, kéo xu ng danh sách Available Options và ánh
u- check vào 252 wpad check box. Click Apply và click OK.

7. 252 wpad entry gi ây xu t hi n d i Scope Options.
8. óng DHCP console.
i th i m này m t DHCP client c log-on v i tài kho n local administrator (ho c

Power users..) s có th dùng DHCP wpad h tr cho vi c t ng khám phá
(automatically discover) ISA Server 2004 Firewall và ti p ó là t c u hình cho chính mình.
Tuy nhiên, ISA Server 2004 Firewall ph i c c u hình h tr publish các thông tin
a mình ph c v cho Autodiscovery information. Chúng ta s bàn n v n này t i
các ch ng sau
u hình h tr DNS WPAD
Ph ng pháp khác phân ph i thông tin Autodiscovery cho Web Proxy và Firewall clients
là dùng DNS. Admin có th t o m t wpad alias entry trong DNS server và cho phép các
Internet Browser trên Clients s d ng thông tin này c u hình t ng cho chính nó. Tôi
mu n nh n m nh ây là chính trình duy t- Browser s làm vi c này, t ng ph n v i

ph ng pháp dùng DHCP mà chúng ta ã g p tr c ó (User log-on ph i là thành viên c a

nh ng Group c bi t trong Windows operating system).
Ph ng th c gi i quy t Tên (Name resolution), là y u t ch ch t trong ph ng pháp này

a Web Proxy và Firewall client Autodiscovery có th làm vi c chính xác. Trong tr ng
p này H u hành Clients ph i có kh n ng tìm FQDN name c a wpad alias trên DNS
server. ây Web Proxy và Firewall client ch c n bi t r ng nó có kh n ng gi i quy t tên
wpad. Không c n ph i n m trong m t Domain c th nào m i có th gi i quy t wpad
name. Chúng ta s c p nv n này chi ti t h n ph n sau
Chú ý: Ng c l i v i ph ng pháp dùng DHCP c p thông tin t ng n Web Proxy và

Firewall clients. Chúng ta s không có l a ch n dùng port number publish
Autodiscovery information khi s d ng ph ng pháp DNS . B n ph i publish thông tin
ng này trên TCP Port 80. Ti n hành các b c sau c u hình DNS h tr Web Proxy
và Firewall client t ng khám phá ISA Server 2004 Firewall:
• T o wpad entry trong DNS
• C u hình Clients d ng tên y - fully qualified c a wpad alias
• C u hình trình duy t- Client browser s d ng Autodiscovery
o Wpad entry trong DNS
Tr c khi t o wpad alias entry trong DNS. Alias này(cón c bi t d i tên là CNAME
record) ph i tr n m t (A) Host record ã c t o cho ISA Server 2004 Firewall trên
DNS server. (A) Host record trên DNS, giúp gi i quy t hostname (ví d
isalocal.MSFirewall.org ) c a ISA Server 2004 Firewall n Internal IP address a ISA
Firewall.
n t o (A) Host record tr c khi chúng ta CNAME record. N u DNS server cho phép các
name records c ng kí t ng thì hostname c a ISA Server 2004 Firewall và IP
address c a nó s c c p nh t t ng vào DNS và là m t (A) Host record. Còn n u DNS
server không cho phép automatic registration, thì c n ph i t o (A) Host record cho ISA
Server 2004 Firewall.
Trong ví d này ISA Server 2004 Firewall ã ng kí t ng v i DNS, do Internal

interface trên ISA Server 2004 Firewall c c u hình th c hi n vi c này, và d nhiên
DNS server c ng c c u hình ch p nh n ng kí ng Host record này (unsecured
dynamic registrations)
Ti n hành các b c sau trên DNS server (xin nh c l i: c ng là domain controller) c a

Internal Network:
1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console,
right click trên Forward lookup zone c a Domain và click New Alias (CNAME).
2. Trong New Resource Record dialog box, n vào wpad trong Alias name (uses
parent
domain if left blank) text box. Click Browse.

3. Trong Browse dialog box, double click trên server name trong Records list.
4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung
Records .

5. Trong Browse dialog box, double click trên tên c a Forward lookup zone trong khung
Records.
6. Trong Browse dialog box, ch n tên c a ISA Server 2000 Firewall trong khung Records.
Click OK.

7. Click OK trong Resource Record dialog box.
8. CNAME (alias) entry s xu t hi n DNS management console.

9. óng DNS Management console.
u hình ISA Client dùng Fully Qualified wpad Alias
Web Proxy và Firewall client c n gi i quy t tên c a wpad. Các c u hình c a Web Proxy và
Firewall client không th giúp các Client này có c thông tin c a wpad alias. H u
hành c a Web Proxy và Firewall client ph i gi i quy t c v n này cho Web Proxy và
Firewall client.
Các truy v n DNS ph i d ng tên y - fully qualified, tr c khi các truy v n này c
i n DNS server. M t yêu c u d ng fully qualified bao g m m t hostname và m t
domain name. Web Proxy và Firewall client ch có th bi t hostname, còn H u hành
a Web Proxy và Firewall client ph i có kh n ng xác nh chính xác domain name c a
wpad host name, tr c khi nó có th g i m t truy v n DNS n DNS server.
Có nhi u ph ng pháp có th giúp Admin liên k t chính xác domain name v i wpad, tr c
khi truy v n cg i n DNS server. Hai ph ng pháp ph bi n th c hi n u này là:
• Dùng DHCP khi t o DHCP scope, xác nh n primary domain name cho các Clients
• C u hình primary domain name trong m c Network identification trên Microsoft

Windows (2000, XP,2003..)dialog box.
Trong ph n c u hình Scope 1, trên DHCP server, chúng ta ã c u hình m t primary DNS
name và xác nh tên này (MSFIREWALL.ORG ) cho các DHCP clients thu c Internal
Network Domain.
Các b c sau m t xác l p primary domain name g n li n v i các truy v n DNS
u ý: Trong Lab này không c n ph i th c hi n nh ng b c d i ây, trên các Clients

Computer c a Internal Network. Do các Clients ã là thành viên c a Active Directory
domain trên Internet Network. Tuy nhiên, c ng nên xem qua các b c sau hi u cách
primary domain name c c u hình nh th nào trên m t Computer không ph i là thành
viên c a Internal Domain
1. Right click My Computer, click Properties.

2. Trong System Properties dialog box, click Network Identification tab. Click
Properties .
3. Trong Changes dialog box, click More.
4. Trong Primary DNS suffix of this computer text box, n vào domain name ch a
wpad entry. H u hành s g n tên này vào wpad name tr c khi g i truy v n n DNS
server. Theo m c nh primary domain name chính là tên c a domain
(MSFIREWALL.ORG )ch a Computer này. N u Computer không là thành viên c a Domain
thì text box s tr ng.

Chú ý: Change primary DNS suffix when domain embership changes c enabled
theo m c nh. Trong ví d hi n t i Computer không ph i là thành viên c a Domain. Cancel
t c dialog boxes v a xu t hi n và không c u hình primary domain name i th i m
này.C ng l u ý, n u trên Internal Network có nhi u Domain, và Clients thu c nhi u
Domains, chúng ta c n t o nhi u wpad CNAME alias cho m i domains.
u hình trình duy t- Client Browser s d ng Autodiscovery
Trong b c này, chúng ta s c u hình cho trình duy t Internet Explorer, dùng ch c n ng
Autodiscovery. Sau khi xác nh n ch c n ng này, Web browser trên các Clients s làm vi c
tr c ti p v i Web Proxy service c a ISA Server 2000 Firewall v i c ch t ng khám phá-
Autodiscovery
1. Right click trên Internet Explorer icon, click Properties.
2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings
3. Trong Local Area Network (LAN) Settings dialog box, check vào Automatically
detect settings check box. Click OK.

4. Click Apply, click OK trong Internet Properties dialog box.
c k ti p, c n c u hình trên ISA Server 2000 Firewall publish thông tin v

Autodiscovery, h tr cho Web Proxy và Firewall clients.
t lu n:
Chúng ta ã c p các ch ng tr c v vi c s d ng Microsoft Internet Authentication

Server, cách th c cài t và c u hình IAS server trên m t Domain controller thu c Internal
Network. Trong các ph n sau, chúng ta s IAS server này, xác th c các k t n i t xa c a
Web và VPN client (incoming connections).
Ch ng 6: Cài t và c u hình DNS Server v i ch c n ng Caching-only trên

Perimeter Network Segment
DNS servers h tr cho các Clients gi i quy t Name ra IP addresses. Khi các Computers
dùng các ng d ng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn c n
ph i bi t IP address c a các Internet Server tr c khi có th connect n nh ng Server
này.
Toàn b h th ng Internet, s d ng giao th c TCP/IP (và UDP/IP), cho nên vi c xác nh IP

address là u b t bu c khi th c hi n giao ti p gi a Clients v i các Internet Server. Tuy
nhiên thói quen c a ng i dùng Internet khi truy c p n các Internet Server là dùng tên
(có l vì d nh h n so v i IP address), ví d
http:// www.vnsc.com.vn (d nh )
http:// 203.162.7.80/ (khó nh )
cho nên h th ng Internet v n dùng TCP/IP, b t bu c ph i có DNS gi i quy t Hostname

ra IP address.
M t caching-only DNS server là m t lo i DNS không c n ph i c s y quy n ho t

ng (not authoritative )c a b t c Internal Domain. u này có ngh a là m t caching-only

DNS server không nh t thi t ph i ch a b t c name records c a m t hay nhi u Domain c

nh nào. Thay vào ó cách ho t ng c a nó là: Nh n các truy v n tên t DNS clients, gi i
quy t yêu c u này cho DNS Clients, l u gi l i k t qu v a tr l i trong cache (nh m ph c
i t ng Clients ti p theo). Khá n gi n, các DNS Admin không ph i c u hình ph c t p
cho lo i DNS này, không c n ph i t o ra b t kì Forward hay Reverse lookup Zones, ph c
cho nhu c u tìm tên c a các Clients trong Internal Domain, nh chúng ta ã th c hi n
ph n tr c v i Internal Domain DNS server ( c cài trên Domain controller- 10.0.0.2)
d ng m t caching-only DNS server là u không b t bu c. Nh ng n u khi tri n khai ISA

Server 2004 Firewall, lên k ho ch t o m t perimeter Network segment (hay còn c
goi là DMZ- demilitarized zone), nên tuân theo các h ng d n sau
Mô t v Perimeter Network:
Trong mô hình Lab c a chúng ta, nh các b n ã th y trên hình v m t Perimeter Network
(hay DMZ Network- vùng phi quân s , khái ni m này ra i t cu c chi n Nam, B c Tri u
Tiên). Trong h th ng Network c a m t T ch c, ví d nh các ISP (Internet Servies
Provider). Khi tri n khai cung c p các Service cho khách hàng, nh Web Hosting,
Mail..th ng t các Servers cung c p các Service này t i DMZ Network, phân vùng
Network này tách bi t v i Internal Network (Network làm vi c c a các nhân viên và ch a
các tài nguyên n i b ). Mô hình Network trong Lab này, ISA Server 2004 Firewall
(ISALOCAL), là m t h th ng Tree-homed Host (g n 3 Network Interface Cards)
Network Interface 1 (WAN): T o k t n i ra Internet
Network Interface 2 (DMZ): T o k t n i n DMZ Network
Network Interface 3: (LAN)T o k t n i n Internal Network

Nh v y thông th ng các T ch c tri n khai DMZ Network (n m phía sau Firewall), nh m

cung c p cho các External clients (nh khách hàng, ng i dùng Internet, i tác..) truy c p
n các tài nguyên công c ng c a mình (Web, FTP publish resourses…). N u DMZ Network
t n công, attackers c ng ch a th xâm nh p ngay vào Internal Network (LAN bên trong),
vì Attacker c n ph i ti p t c ch c th ng Firewall. n ây, có l các b n c ng ã hình dung
ph n nào v DMZ Network.
Các DNS servers c s d ng trong DMZ Network có hai m c ích chính:
• Gi i quy t các truy v n tên cho các DNS Clients trong Domain d i s ki m soát và y
quy n c a Domain
• Caching-only DNS services ph c v cho các Internal Network clients, ho c n u không gi i

quy t c các yêu c u truy v n tên, nó có th chuy n (forwarder) n các DNS servers
khác c a Internal Network
M t DNS server t i DMZ Network, có th ch a nh ng thông tin ph c v cho publish

domain (Internet Domain, c ng kí thông qua nh ng nhà cung c p tên mi n Internet).
Ví d , n u ã xây d ng h t ng DNS, tách bi t nhóm DNS server chuyên tr l i các yêu c u
truy v n tên c a domain n i b (Internal Hostname) cho Internal DNS Clients, thì nên t
các DNS server này trong Internal Network. Nhóm các DNS server còn l i, ph c v cho yêu
u truy v n tên xu t phát t External Clients (ví d các Internet Clients) có th c t
trên DMZ Network Khi các Internet Clients này c n truy c p các DMZ servers (Web, FTP,
SMTP., các server này c a ra ph c v Internet thông qua ISA Server 2004 Firewall .),
các DNS server trên DMZ Network s ph c v cho nh ng yêu c u này.
DNS server trên DMZ Network c ng có th ho t ng nh m t caching-only DNS server.

Trong vai trò này, DNS server s không ch a thông tin v name record. Thay vào ó,
caching-only DNS server s gi i quy t các y u c u tìm Internet host names và ch l u gi
i (cache) các k t qu này. Sau ó có th s d ng cache, tr l i các yêu c u t ng t
cho các Internet hostname ã cache. N u ch a cache b t c Internet hostname nào,
cahing-only DNS server s chuy n các yêu c u này (Forwarder) n các Internet DNS
server (ví d các DNS c a ISA g n nh t), sau khi nh n c k t qu truy v n, s cache l i
và tr l i cho DNS Clients
Trong ph n này, chúng ta s th c hi n
• Cài t DNS server service
• C u hình DNS server tr thành m t caching-only DNS server an toàn (secure caching-only
DNS server)
Cài t DNS Server Service trên DMZ Network
DNS server này, s có hai vai trò: Là m t secure caching-only DNS server và chuy n các
yêu c u truy c p t bên ngoài (c a Internet Clients) n Web, SMTP server
Ti n hành các b c sau cài m t DNS server service trên DMZ Network (trên server
TRIHOMELAN1)

3. Trên Windows Components page, keo xu ng danh sách Components, ch n

Networking Services. Click Details.
4. Trong Networking Services dialog box, check vào Domain Name System (DNS)
check box và click OK.
6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d n
n Folder i386 trong Copy files from text box và click OK.
B c ti p theo, c u hình DNS server tr thành m t secure caching-only DNS server.
DNS server trên DMZ Network s ti p xúc tr c ti p v i các Internet hosts. Nh ng Hosts này
có th là các Internet DNS clients có nhu c u truy c p các tài nguyên c a chúng ta (Web,
Mail, FTP server..),n m trong DMZ Network, nh v y Internet DNS clients ph i g i các yêu
u này n DNS server trên DMZ Network. Ho c tr ng h p ng c l i là DNS server trên
DMZ Network c a chúng ta s ti p xúc DNS servers c a các T ch c khác trên Internet (ví
nh ISP DNS), ph c v gi i quy t hostname cho các Internal Network clients có nhu
u truy c p ra ngoài Internet.
Trong ví d này, DNS server c a DMZ Network, s óng vai trò m t caching-only DNS
server và không qu n lý các name records c a các Publish Server trong Internal Domain
Ti n hành các b c sau trên DNS server thu c DMZ Network, tr thành m t secure
caching-only DNS server:
1. Click Start, Administrative Tools. Click DNS.
2. Trong DNS management console, right click trên server name, click Properties.

3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xu t hi n các DNS
server c p cao (root) c a h th ng Internet DNS. Danh sách Name Servers t i Root Hints
này, c caching-only DNS server c a chúng ta, s d ng gi i quy t các truy v n tên
(Internet Hostnames) t DNS Clients. N u không t n t i danh sách các Name Servers này
trong Root Hints, caching-only DNS server s không th gi i quy t hostname c a các
Computer trên Internet.
4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this
domain check box. N u check vào l a ch n này, caching-only DNS server s không dùng
c các Internet DNS Servers trong danh sách c a Root Hints cho vi c gi i quy t Internet
host names. Ch ch n nó, n u b n quy nh dùng ch c n ng Forwarder. Trong tr ng
p này, chúng ta không dùng Forwarder.

5. Click Advanced tab. Xác nh n, ã check vào Secure cache against pollution check
box. u này giúp ng n ch n các cu c t n công t Attackers ho c các Internet DNS
servers. Các name records m o nh n (ý c a attackers), có th c ADD vào DNS cache
a chúng ta, và u ó khi n cho các truy v n t Internal DNS Clients n caching-only
DNS server s c d n n nh ng Server “b y”. Ví d DNS Clients type
http://www.vnbank.com.vn (IP address A.B.C.D) s b d n n m t Host gi có IP address
là X.Y.Z.K do ý c a attackers, và nh ng thông tin giao d ch v i Host gi này, có th b
ghi l i và s d ng b t h p pháp. Ki u t n công này ôi khi còn c g i là “co-
coordinated DNS attack”

6. Click Monitoring tab. Check vào A simple query against this DNS server và A
recursive query to other DNS servers check boxes, th c hi n ki m tra DNS server.
Click Test Now. Chú ý k t qu hi n ra trong khung results cho th y Simple Query ch
Pass, trong khi Recursive Query trình bày Fail. Chúng ta nh n c k t qu này là vì
ch a t o Access Rule trên ISA Server 2004 Firewall cho phép caching-only DNS server
truy c p Internet DNS servers. Sau này khi c u hình ISA Server 2004 Firewall, s t o m t
Access Rule cho phép DNS server g i yêu c u (outbound access) n các DNS servers trên
Internet.

7. Click Apply và click OK trong DNS server’s Properties dialog box.
8. óng DNS management console.
i th i m này, caching-only DNS server c a chúng ta ã có th gi i quy t

Internet host names. Nh ng sau ó, chúng ta s ph i t o thêm Access Rules cho
phép các Internal Network Clients dùng DNS Server này gi i quy t các Internet host
names. Các Admin xem xét k ý này, tránh nh m l n.
t lu n:
Trong ch ng này, ã c p n vi c s d ng m t cachingonly DNS server t i DMZ

Network, cách th c cài t và c u hình Microsoft DNS server service. Trong các ph n sau,
chúng ta s s d ng Access Policies trên ISA Server 2004 cho phép các Internal
Network Clients dùng DNS server này và cho phép caching-only DNS server k t n i n
Internet.

CH NG 7:
Cài t ISA Server 2004 Trên Windows Server 2003
Cài t ISA Server 2004 trên Windows Server 2003 th c s không quá ph c t p (ph c t p
m s ph n c u hình các thông s ). Ch có m t vài yêu c u c n xác nh n t i quá trình
này. Ph n c u hình quan tr ng nh t trong su t quá trình cài t ó là xác nh chính xác
vùng a ch IP n i b - Internal Network IP address range(s).
Không gi ng nh ISA Server 2000, ISA Server 2004 không s d ng b ng Local Address
Table (LAT) xác nh âu là Network áng tin c y (trusted Networks), và âu là Network
không c tin c y (untrusted Networks). Thay vào ó, ISA Server 2004 Firewall các IP
addresses n i b c xác nh n bên d i Internal Network. Internal Network nh m
xác nh khu v c có các Network Servers và các Services quan tr ng nh : Active Directory
domain controllers, DNS, WINS, RADIUS, DHCP, các tr m qu n lý Firewall , etc..T t c các
giao ti p gi a Internal Network và ISA Server 2004 Firewall c u khi n b i các chính
sách c a Firewall (Firewall’s System Policy). System Policy là m t t p h p các nguyên t c
truy c p c xác nh tr c (pre-defined Access Rules), nh m xác nh lo i thông tin nào
c cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này c
cài t. System Policy có th c u hình, cho phép các Security Admin, th t ch t ho c n i
lõng t các Access Rules m c nh c a System Policy..
Trong ph n này, chúng ta s c p n các v n sau:
• Cài t ISA Server 2004 trên Windows Server 2003
• Xem l i các chính sách h th ng m c nh trên ISA Server 2004 Firewall (Default System
Policy)
Installing ISA Server 2004
Cài t ISA Server 2004 trên Windows Server 2003 là v n t ng i không ph c t p.

Nh tôi ã c p ph n trên , s quan tâm chính n m các xác l p v Internal Network
(nh ng IP addresses nào s c xác nh t i ph n này). C u hình các a ch cu Internal
Network là m t ph n quan tr ng, b i vì chính sách h th ng c a Firewall (Firewall’s System
Policy ) s c n c và ây nh ngh a các nguyên t c truy c p- Access Rules
Ti n hành các b c sau cài t ISA Server 2004 software trên dual-homed (máy g n hai
Network Cards) Windows Server 2003 Computer:
1. Chèn ISA Server 2004 CD-ROM vào CD. Autorun menu s xu t hi n
2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên k t
Review Release Notes và xem nh ng l u ý v cài t s n ph m. Release Notes ch a
nh ng thông tin quan tr ng v các ch n l a c u hình, và m t s v n khác. c xong
release notes, óng c a s l i và click Read Setup and Feature Guide link. Không c n
ph i c toàn b h ng d n n u nh b n mu n th , c ng có th in ra c sau. óng
Setup and Feature Guide. Click Install ISA
Server 2004 link.

3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004
page.
4. Ch n I accept the terms in the license agreement trên License Agreement page.
Click Next.
5. Trên Customer Information page, n Tên và Tên T ch c c a b n trong User Name

và Organization text boxes. n ti p Product Serial Number. Click Next.
6. Trên Setup Type page, ch n Custom option. N u b n không mu n cài t ISA Server
2004 software trên C: drive, click Change thay i v trí cài t ch ng trình trên a
ng. Click Next.
7. Trên Custom Setup page, b n có th l a ch n nh ng thành ph n cài t. M c nh thì,

Firewall Services và ISA Server Management s c cài t. Còn Message Screener,
c s d ng giúp ng n ch n th rác (spam) và các file ính kèm (file attachments) khi
chúng c a vào Network ho c t bên trong phân ph i ra ngoài, thành ph n này theo
c nh không c cài t. Thành ph n ti p theo c ng không c cài t là Firewall
Client Installation Share. B n c ng nên l u ý, c n cài t IIS 6.0 SMTP service trên
ISA Server 2004 Firewall computer tr c khi b n cài Message Screener. Dùng xác l p m c
nh ti p t c và click Next.
8. Trên Internal Network page, click Add. Internal Network khác h n LAT ( c s d ng
trong ISA Server 2000). Khi cài t ISA Server 2004, thì Internal Network s ch a các
Network services c tin c y và ISA Server 2004 Firewall ph i giao ti p c v i nh ng
Services này
Ví d nh ng Service nh Active Directory domain controllers, DNS, DHCP, terminal services

client management workstations, và các Service khác, thì chính sách h th ng c a Firewall

t ng nh n bi t chúng thu c Internal Network. Chúng ta s xem xét v n này trong

ph n System Policy
9. Trong Internal Network setup page, click Select Network Adapter
10. Trong Select Network Adapter dialog box, remove d u check t i Add the following
private ranges… checkbox. Check vào Add address ranges based on the Windows
Routing Table checkbox. Check ti p vào Network Card nào, tr c ti p k t n i vào LAN t i
Select the address ranges…Internal Network adapter . Lý do không check vào add
private address ranges checkbox là b i vì, chúng ta mu n dùng nh ng vùng a ch này
cho DMZ ( perimeter Networks). Click OK.

11. Click OK trong Setup Message dialog box xác nh n r ng Internal Network ã c
nh ngh a ho t n d a trên Windows routing table.
12. Click OK trên Internal Network address ranges dialog box.
13. Click Next trên Internal Network page.

14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted
Firewall client connections và Allow Firewall clients running earlier versions of the
Firewall client software to connect to ISA Server checkboxes. Nh ng xác l p này s
cho phép chúng ta k t n i n ISA Server 2004 Firewall khi ang s d ng nh ng h u
hành i c , ho c ngay c khi dùng Windows 2000/Windows XP/Windows Server 2003
nh ng ang ch y Firewall Clients là ISA Server 2000 Firewall client. Click Next.
15. Trên Services page, click Next.
16. Click Install trên Ready to Install the Program page.

17. Trên Installation Wizard Completed page, click Finish.
18. Click Yes trong Microsoft ISA Server dialog box xác nh n r ng Computer ph i
restarted.
19. Log-on l i vào Computer b ng tài kh an Administrator
Xem xét System Policy
Theo m c nh, ISA Server 2004 không cho phép các truy c p ra ngoài Internet (outbound
access), t b t c máy nào n m trong ph m vi ki m soát c a b t c Network c b o v
(protected Network), và c ng không cho phép các Computers trên Internet truy c p n
Firewall ho c b t kì Networks ã c b o v b i Firewall. Nh v y sau khi tri n khai ISA
Server 2004 Firewall, theo m c nh thì i b t xu t, ngo i b t nh . Tuy nhiên, m t
System Policy trên Firewall ã c cài t, cho phép th c hi n các tác v Qu n tr Network
n thi t.
u ý:
Khái ni m Network c b o v (protected Network), là b t c Network nào c nh

ngh a b i ISA Server 2004 Firewall không thu c ph m vi c a các Network bên ngoài
(External Network), nh Internet.
Ti n hành các b c sau duy t qua chính sách m c nh c a Firewall (default Firewall
System Policy):
1. Click Start, All Programs. Ch n Microsoft ISA Server và click ISA Server
Management.
2. Trong Microsoft Internet Security and Acceleration Server 2004 management

console, m r ng server node và click vào Firewall Policy node. Right click trên Firewall
Policy node, tr n View và click Show System Policy Rules.

3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nh n c thông báo
ng ISA Server 2004 Access Policy gi i thi u m t danh sách các Policy c s p x p theo
trình t . Các policy s c Firewall x lý t trên xu ng d i, u mà Access Policy trên
ISA Server 2000 ã không quan tâm n trình t x lý này. Theo m c nh, System Policy
gi i thi u m t danh sách m c nh nh ng nguyên t c truy c p n và t ISA Server 2004
Firewall. C ng l u ý r ng, các nguyên t c t i System Policy Rules luôn c s p x p có
th t nh ã c p, k c nh ng chính sách sau này các Security Admin t o ra, nh v y
nh ng policy m i này s ng bên trên và c x lý tr c. kéo xu ng danh sách c a
System Policy Rules. Nh n th y r ng, các nguyên t c c xác nh rõ b i:
th t (Order number)
Tên (Name Rule)
Hành ng a ra i v i nguyên t c ó (Cho phép ho c ng n ch n -Allow or Deny)
Dùng giao th c nào (Protocols)
Network ho c Computer ngu n- From (source Network or host)
n Network hay Computer ích- To (destination Network or host)
u ki n- Condition ( it ng nào hay nh ng gì nguyên t c này s áp d ng)

Ngoài ra, có th s ph i kèm theo nh ng mô t v nguyên t c, t i ph n m r ng c a c t

tên nguyên t c, u này giúp các Security Admin d dàng theo dõi và qu n lý các Rule c a
mình h n.
Chúng ta nh n th y r ng, không ph i t t c các Rules u c b t- enabled. Chính sách

Disabled m c nh c a System Policy Rules c th hi n b ng nh ng bi u t ng m i tên
xu ng màu bên góc ph i. Khi c n thi t ph c v cho yêu c u nào ó, các Admin có th
enabled các Rule này.Ví d nh chúng ta mu n cho phép truy c p VPN- th c hi n enable
VPN access.
Chúng ta nh n th y có m t trong s các System Policy Rules cho phép Firewall th c hi n

các truy v n tên- DNS queries, n các DNS servers trên t t c các Networks.
4. B n có th thay i các xác l p trên m t System Policy Rule b ng cách double-click trên
rule.

5. Xem l i System Policy Rules và sau ó gi u nó b ng cách click Show/Hide System

Policy Rules B ng ch a các nút này.
ng d i ây bao g m m t danh sách y v System Policy m c nh:
ng 1: System Policy Rules



Chú thích:
1 . Policy này b disabled cho n khi VPN Server component c kích ho t -activated
2 . Policy này b disabled cho n khi m t k t n i VPN d ng site to site xác l p
3 . Policy này b disabled cho n khi chính sách th m nh k t n i dùng HTTP/HTTPS c

u hình
4 . Policy này b disabled cho n khi SecureID filter c enabled
5 . Policy này ph i c enabled th công
6 . Policy này b disabled theo m c nh
8 . Policy này t ng c enabled khi Firewall client share c cài t
i th i m này, ISA Server 2004 Firewall ã s n sàng cho các Admin c u hình các truy
p ra ngoài (outbound) ho c vào trong (inbound) qua Firewall. Tuy nhiên, tr c khi kh i
hành t o các chính sách truy c p- Access Policies, các Security Admin nên back-up l i c u
hình m c nh c a ISA Server 2004 Firewall. u này cho phép b n ph c h i ISA Server

2004 Firewall v tr ng thái ban u sau cài t. u này là c n thi t cho các các cu c ki m
tra và kh c ph c các s c trong t ng lai.
Ti n hành Back-up c u hình m c nh ngay sau cài t theo h ng d n:
1. M Microsoft Internet Security and Acceleration Server 2004 management

console, right click trên server name. Click BackUp.
2. Trong Backup Configuration dialog box, n tên file backup b n mu n t trong File
name text box. Nh v trí chúng ta ã l u backup file trong Save list. Trong ví d này, t
tên file backup là backup1. Click Backup.
3. Trong Set Password dialog box, n vào password và xác nh n l i password này trong
Password và Confirm password text boxes. Thông tin trong file backup c mã hóa vì
nó ch a password ph c h i và nh ng thông tin quan tr ng ã l u gi , t t c nh ng thông
tin này chúng ta không mu n m t ai khác có th truy c p. Click OK.

4. Click OK trong Exporting dialog box khi b n th y thông báo The configuration was
successfully backed up message.
Nên copy file backup này n n i l u tr an toàn khác trên N i b Network sau khi backup
hoàn thành (không nên luu gi trên chính Firewall này). Thi t b l u gi file backup nên có
phân vùng l u tr c nh d ng b ng h th ng t p tin NTFS (h th ng t p tin an toàn
nh t hi n nay trên các h u hành c a Microsoft)
t lu n:
Trong ch ng này chúng ta ã bàn v nh ng th t c c n thi t khi cài t ISA Server 2004
software trên Windows Server 2003 computer. Chúng ta c ng ã xem xét chính sách h
th ng c a Firewall (Firewall System Policy), c t o ra trong quá trình cài t. Và cu i
cùng, chúng ta ã hoàn thành vi c l u gi l i c u hình ngay sau khi cài t ISA Server 2004
Firewall b ng cách th c hi n file backup theo t ng b c h ng d n. Trong ph n t i, chúng
ta s c u hình cho phép truy c p VPN access server t xa.

CH NG 8:
Sao L u Và Ph c H i C u Hình Firewall
ISA Server 2004 bao g m tính n ng m i và t ng c ng cho backup và ph c h i. Trong ISA

Server 2000, ti n ích backup c tích h p có th backup c u hình c a ISA Server 2000
Firewall.
File backup có th c s d ng ph c h i c u hình n c ng b n cài t ISA Server trên

cùng Computer. Tuy nhiên, n u H u hành hay ph n c ng n u g p ph i nh ng v n
nghiêm tr ng tác ng trên toàn h thông, ch c r ng ch có file backup này không th ph c
i c c u hình c a Firewall
Ng c l i, ti n ích backup trên ISA Server 2004 cho phép Admin backup toàn b c u hình
Firewall ho c ch backup nh ng ph n c n thi t.
Và sau ó Admin có th ph c h i c u hình này n cùng phiên b n ISA Server 2004 Firewall
trên chính Computer ã backup ho c có th ph c h i thông tin c u hình n m t ISA Server
2004 Firewall trên m t Computer khác.
Các h ng d n Backup s c thi hành sau m t ho c m t s th t c sau:
• Thay i kích c hay v trí Cache (cache size / location)
• Thay i chính sách Firewall (Firewall policy)
• Thay i n n t ng các nguyên t c ( rule base)
• Thay i các nguyên t c h th ng (system rules)
• Making changes to Networks, such as, changing Network definition or Network rules
• y quy n các tác v qu n tr ISA Server / B y quy n
Tính n ng nh p/xu t (import/export) cho phép chúng ta xu t các thành ph n c ch n l a

trong c u hình Firewall và s d ng nh ng thành ph n này v sau, ho c có th cài t nó
vào Computer khác. Import/export c ng có th c dùng xu t toàn b c u hình c a
Computer nh m t ph ng pháp phân ph i c u hình di n r ng.
Bài th c t p b ích nh t v backup c u hình nên c ti n hành ngay sau khi cài t ISA
Server 2004 Firewall software. Th c hi n u này là tác v c b n nh m ph c h i c u hình
nguyên tr ng sau cài t trênISA Server, k c khi chúng ta ã th c hi n các c u hình khác
u này giúp các b n không c n cài t l iISA Server) .
Chúng ta s ti n hành nh ng công vi c sau:
• Backup c u hình Firewall
• Ph c h i c u hình Firewall t File Backup
• Xu t chính sách Firewall

• Nh p chính sách Firewall
Backup c u hình Firewall
ISA Server 2004 tích h p s n ti n ích backup giúp l u gi c u hình Firewall d dàng . Ch
có m t ít các thao tác c yêu c u khi th c hi n backup và ph c h i c u hình
Ti n hành các b c sau backup toàn b c u hình Firewall:

Console, right click trên server name. Click BackUp
6. Trong Backup Configuration dialog box, n tên file backup trong File name text box.
Trong ví d này filename là backup1. Click Backup
7. Trong Set Password dialog box, n password và xác nh n l i password. Xin c nh c

i thông tin trong file backup ã c mã hóa (xem gi i thích ph n tr c). Click OK.
8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully
backed up xu t hi n
Nên copy file backup này l u tr m t v trí an toàn h n, không nên l u tr trên
Firewall này (có th là trên m t Network server, phân vùng l u tr c format v i NTFS).
Ph c h i c u hình Firewall t Configuration from the File Backup
Admin có th dùng File backup ph c h i c u hình máy. Thông tin có th c h i ph c

trên cùng phiên b n cài t c a ISA Server 2004 Firewall, trên cùng máy ho c m t b n cài
t hoàn toàn m i, trên m t Computer khác.
Perform the following steps to restore the configuration from backup:

console, right click trên computer name, Click Restore.
2. Trong Restore Configuration dialog box, tìm file backup tr c ó ã t o. Trong ví d

này, chúng ta s dùng, file backup có tên là backup1.xml. Click Restore, sau khi ã ch n
file

3. a vào password mà b n ã xác nh n tr c ó cho file trong Type Password to Open

File dialog box, click OK.
4. Click OK trong Importing dialog box khi th y xu t hi n thông báo The configuration was
successfully restored
5. Click Apply save nh ng thay i và c p nh t chính sch1 c a Firewall.
6. Ch n Save the changes and restart the service(s) trong ISA Server Warning dialog box

7. Click OK trong Apply New Configuration dialog box ch rõ r ng Changes to the

configuration were successfully applied.
Gi ây c u hình ã ph c h i cho ISA Server 2004 ã ho t ng v i y ch c n ng và

các chính sách c a Firewall c áp t hi n gi c l y t b n backup c u hình c a
Filewall tr c ó.
Xu t chính sách Firewall (Exporting Firewall Policy)
Các Admin không nh t thi t ph i luôn luôn export m i th liên quan n c u hình c a
Firewall. Có th chúng ta ch g p ph i m t s v n t i Access Policies và mu n g i
nh ng thông tin này n m t Security admin nào ó xem xét. Khi y ch c n export các
Access Policies hi n th i c a Firewall, sau ó g i Export File này n m t chuyên gia v ISA
Server 2004, h có th nhanh chóng nh p (import) các Policies này vào m t ISA Server
2004 Test Computer, và ch n oán v n
Trong ví d này, chúng ta s export c u hình VPN Clients ra m t file. Ti n hành l n l t các
c sau:

console, m r ng server name, right click trên Virtual Private Networks (VPN) node.
Click vào Export VPN Clients Configuration.

2. Trong Export Configuration dialog box, n tên cho export file trong File name text
box. a m t s thông tin mô t v n i chúng ta l u tr file. Check vào Export user
permission settings and Export confidential information (encryption will be used)
check boxes n u b n mu n l u thông tin riêng n m bên trong VPN Clients configuration
(ch ng h n nh các password bí m t c a IPSec- IPSec shared secrets). Trong ví d này,
Chúng ta s t file là VPN Clients Backup. Click Export.
3. Trong Set Password dialog box, n m t password và xác nh n l i password trong

Confirm password text box. Click OK.

4. Click OK trong Exporting dialog box khi chúng ta th y thông báo Successfully exported
the configuration.
Nh p chính sách Firewall (Importing Firewall Policy)
File export có th c import n cùng Computer ho c m t Computer khác có ISA Server

2004 ã cài t. Trong ví d sau, chúng ta s import các xác l p c a VPN Clients ã c
export trong ph n tr c.
Ti n hành các b c sau import VPN Clients settings t file ã export:

console, m r ng server name và right click vào Virtual Private Networks (VPN) node.
Click Import VPN Clients Configuration.
2. Trong Import Configuration dialog box, ch n file VPN Clients Backup. ánh d u vào,
Import user permission settings và Import cache drive settings và SSL certificates
checkboxes. Trong ví d này, cache drive settings, không quan tr ng, nh ng SSL
certificates là c n thi t n u chúng ta mu n dùng cùng certificates, ã c s d ng cho
IPSec ho c L2TP/IPSec VPN connections. Click Import.
3. n password m trong Type Password to Open File dialog box. Click OK.

4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nh n c
thông báo Successfully imported the configuration.
5. Click Apply áp d ng nh ng thay i và c p nh t Firewall policy.
6. Click OK trong Apply New Configuration dialog box khi nh n c thông báo Changes
to the configuration were successfully applied. L u ý r ng, nh ng thay i trong c u hình
VPN có th m t vài phút c p nh t
t lu n:
Trong ch ng này chúng ta ã th o lu n vi c backup và ph c h i c u hình c a ISA Server

2004 Firewall. Chúng ta c ng ã xem xét các tính n ng c a export và import, cho phép
th c hi n backup các thành ph n l a ch n (c n thi t), c a c u hình Firewall
Trong ch ng t i, chúng ta s dùng ISA Server 2004 Network Templates n gi n hóa

u hình ban u c a các Networks, Network Rules, và các Access Policies c a Firewall.

CH NG 9:
n Gi n Hóa C u Hình M ng V i Các Network Templates
ISA Server 2004 firewall mang n cho chúng ta nh ng thu n l i to l n, m t trong nh ng

ó là các Network Templates (mô hình m u các thông s c u hình M ng). Vì s h tr
thông qua các templates này, mà chúng ta có th c u hình t ng các thông s cho
Networks, Network Rules và Access Rules. Network Templates c thi t k giúp chúng ta
nhanh chóng t o c m t c u hình n n t ng cho nh ng gì mà chúng ta có th s xây
ng.. Chúng ta có th ch n m t trong s các Network Templates sau:
• Edge Firewall
Network Template dành cho Edge Firewall, c s d ng khi ISA Server 2004 firewall có
t Network interface c tr c ti p k t n i n Internet và m t Network interface c
t n i v i Internal network
• 3-Leg Perimeter
Network Template dành cho 3-Leg Perimeter c s d ng v i Firewall g n 3 Network

Interfaces. M t External interface (k t n i Internet), m t Internal interface (k t n i Mn g
i b ) và m t DMZ interface (k t n i n M ng vành ai- Perimeter Network). Template
này, c u c u hình các a ch và m i quan h gi a các Networks này v i nhau.
• Front Firewall
Dùng Front Firewall Template khi ISA Server 2004 firewall óng vai trò m t frontend
firewall trong mô hình back-to-back firewall. V y th nào là m t back-to-back firewall ?
n gi n ó là mô hình k t n i 2 Firewall làm vi c v i nhau theo ki u tr c (front) sau
(back). Phía ngoài Front Firewall có th là Internet, gi a Front và back firewall có th là là
DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front
Firewall
• Back Firewall
Nh v a trình bày trên có l các b n ã hi u v v trí c a m t Back firewall, và Back

Firewall Template c s d ng cho m t ISA Server 2004 firewall n m sau m t ISA Server
2004 firewall khác phía tr c nó (ho c m t third-party firewall nào ó).
• Single Network Adapter

Template d ng Single Network Adapter là m t c u hình khá c bi t, áp d ng d ng

template này trên ISA Server 2004 có ngh a là lo i luôn ch c n ng Firewall c a nó. c
dùng trong nh ng tr ng h p ISA SERVER 2004 ch có duy nh t m t Network Card
(unihomed), óng vai trò là h th ng l u gi cache- Web caching server.
Trong ph n này, chúng ta s phác th o 2 k ch b n sau:
• K ch b n 1: C u hình cho Edge Firewall
• K ch b n 2: C u hình cho 3-Leg Perimeter
n xem xét l i ch ng 1 n m rõ c u hình M ng, và c u hình cho ISA SERVER 2004

trong Test Lab này. K ch b n v c u trúc M ng c a chúng ta trong Test lab t ng thích v i
ch b n 2, ng c l i có th tham kh o k ch b n 1
ch b n 1: C u hình Edge Firewall
Template cho Edge Firewall s c u hình cho ISA Server 2004 firewall có m t network
interface g n tr c ti p Internet và m t Network interface th 2 k t n i v i Internal network.
Network template này cho phép Admin nhanh chóng áp d ng các nguyên t c truy c p thông
qua chính sách c a Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng
a c u hình u khi n truy c p (access control) gi a Internal network và Internet.
ng 1 cho chúng ta th y các chính sách c a Firewall (firewall policies) ã s n sàng khi s
ng Edge Firewall template.
i chính sách trong Firewall policies ch a s n các xác l p v nh ng nguyên t c truy c p.

xác l p t t c các ho t ng u c cho phép (All Open Access Policy) gi a Internal
network và Internet cho n xác l p ng n ch n t t c (Block All policy) ho t ng gi a
Internal network và Internet.
Table 1: Nh ng l a ch n v chính sách c a Firewall khi dùng Network Edge

Firewall Template
Firewall Policy Mô t
Block All Ng n ch n t t c truy c p qua ISA Server
(Ng n ch n t t c ) a ch n này không t o b t kì nguyên t c

cho phép truy c p nào ngoài nguyên t c
ng n ch n t t c truy c p
Block Internet Access, allow access to Ng n ch n t t c truy c p qua ISA server,
ISP network services ngo i tr nh ng truy c p n các Network
services ch ng h n DNS service. L a ch n
(Ng n ch n truy c p ra Internet, nh ng này s c dùng khi các ISP cung c p
cho phép truy c p n m t s d ch v

a ISP) nh ng d ch v này.
Dùng l a ch n này xác nh chính sách

Firewall c a b n, ví d nh sau:
1. Allow DNS from Internal Network and

VPN Clients Network to External Network
(Internet)- Cho phép Internal Network và
VPN Clients Network dùng DNS c a ISP
xác nh hostnames bên ngoài (nh
Internet).
Allow limited Web access Ch cho phép truy c p Web dùng các giao
th c: HTTP, HTTPS, FTP. Còn l i t t c truy
(Cho phép truy c p Web có gi i h n) p khác s b ng n ch n.
Nh ng nguyên t c truy c p sau s c

o:
1. Allow HTTP, HTTPS, FTP from Internal

Network to External Network- Cho phép các
truy c p d ng HTTP, HTTPS, FTP t Internal
network ra bên ngoài.
2. Allow all protocols from VPN Clients

Network to Internal Network- Cho phép t t
các giao th c t VPN Clients Network (t
bên ngoài) truy c p vào bên trong M ng n i
.
Allow limited Web access and access to Cho phép truy c p Web có gi i h n dùng
ISP network services HTTP, HTTPS, và FTP, và cho phép truy c p
i ISP network services nh DNS. Còn l i
(Cho phép truy c p Web có gi i h n và ng n ch n t t c các truy c p Network
truy c p n m t s d ch v c a ISP) khác.
Các nguyên t c truy c p sau s c t o:

Network and VPN Clients Network to
External Network (Internet)- Cho phép
HTTP, HTTPS, FTP t Internal Network và
VPN Clients Network ra External Network
(Internet)
2. Allow DNS from Internal Network and

VPN Clients Network to External Network
(Internet)- Cho phép Internal Network và
VPN Clients Network truy c p d ch v DNS
gi i quy t các hostnames bên ngoài

(Internet)

các giao th c t VPN Clients Network
(bên ngoài, VPN Clients th c hi n k t n i
vào M ng n i b thông qua Internet), c
truy c p vào bên trong M ng n i b .
Allow unrestricted access Cho phép không h n ch truy c p ra
Internet qua ISA Server
(Cho phép truy c p không gi i h n)
Các nguyên t c truy c p sau s c t o:
1. Allow all protocols from Internal Network

and VPN Clients Network to External
Network (Internet)- Cho phép dùng t t c
giao th c t Internal Network và VPN
Clients Network t i External Network
(Internet)

giao th c t VPN Clients Network truy
p vào Internal Network.
Ti n hành nh ng b c sau khi dùng Edge Firewall Network Template c u hình Firewall:
console, m r ng server name và m r ng ti p Configuration node. Click vào Networks

node.
2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template.

3. Click Next trên Welcome to the Network Template Wizard page.

4. Trên Export the ISA Server Configuration page, b n c ch n l a Export c u

hình hi n t i. Hoàn toàn có th quay l i c u hình ISA Server 2004 firewall tr c khi dùng
Edge Firewall network template , b i vì chúng ta ã backed up c u hình h th ng tr c ó
và vì th c ng không c n ph i export c u hình t i th i m này. Click Next.
5. Trên Internal Network IP Addresses page, Xác nh Internal network addresses.

Vùng a ch n i b Internal network address hi n ã t ng c xác nh trong Address

ranges list. Và b n có th dùng Add, Add Adapter và Add Private button m r ng
vùng danh sách Adrress này. Trong ví d c a chúng ta, gi nguyên vùng Internal network
address. Click Next.
6. Trên Select a Firewall Policy page b n có th ch n m t firewall policy và m t t p h p

các Access Rules. Trong ví d này chúng ta mu n cho phép các Internal network clients có
th truy c p n t t c Protocol c a t t c các Sites trên Internet. Sau khi ã có kinh
nghi m h n v i ISA Server 2004 firewall, b n có th gia t ng m c security c a t t c các
truy c p ra ngoài - outbound access . T i th i m này ch c n th nghi m cho phép truy
p Internet. Ch n Allow unrestricted access policy t danh sách và click Next.

7. Review l i các xác l p v a r i và click Finish trên Completing the Network Template
Wizard page.
8. Click Apply u l i nh ng thay i và c p nh t firewall policy.
9. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes
to the configuration were successfully applied.
10. Click trên Firewall Policies node trong khung trái xem các policies c t o b i
Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients
truy c p y ra Internet, và VPN clients c ng c y quy n truy c p vào Internal
network.

ch b n 2: C u hình 3-Leg Perimeter
u hình Firewall theo template d ng 3-leg perimeter s t o ra các m i quan h gi a các

Network: Internal, DMZ và Internet. Và t ng ng Firewall c ng t o ra các Access Rules
tr cho Internal network segment và perimeter (DMZ) network segment. Perimeter
network Segment –DMZ là khu v c có th qu n lý các ngu n tài nguyên cho phép ng i
dùng Internet truy c p vào nh :public DNS server ho c m t caching-only DNS server.
Table 2: Nh ng ch l a t i 3-Legged Perimeter Firewall Template Firewall Policy
Firewall Policy Mô t
Block all Ch n t t c truy c p qua ISA Server. L a

ch n này s không t o b t kì Rules nào
khác h n ngoài default rule - ng n ch n t t
truy c p
Block Internet access, Ch n t t c truy c p qua ISA Server, ngoài

tr nh ng truy c p n các network
allow access to services, nh DNS trên DMZ .
network services on Các access rules sau s c t o:
the perimeter network 1. Allow DNS traffic from Internal Network

and VPN Clients Network to Perimeter
Network –Cho phép các truy c p d ch v
DNS t Internal Network và VPN Clients
Network n Perimeter Network
Block Internet access, Ng n ch n t t c các truy c p M ng qua

firewall ngo i tr các network services nh

allow access to ISP DNS. L a ch n này là phù h p khi nhà

cung c p các d ch v m ng c b n là
network services Internet Service Provider (ISP) c a b n.
Các rules sau s c t o:
1. Allow DNS from Internal Network, VPN

Clients Network and Perimeter Network to
External Network (Internet) –Cho phép
DNS t Internal Network, VPN Clients
Network và Perimeter Network n
External Network (Internet)
Allow limited Web Ch cho phép cac truy c p h n ch dùng

các Protcol Web nh : HTTP, HTTPS, FTP và
access, allow access ng cho phép truy c p các network
services nh DNS trên DMZ.
to network services
t c các truy c p M ng khác ub
on perimeter network blocked.
a ch n này phù h p khi t t c các d ch

h t ng M ng n m trên DMZ.
Các access rules sau s c t o:

Perimeter Network and External Network
(Internet)
2. Allow DNS traffic from Internal Network

and VPN Clients Network to Perimeter
Network

Network to Internal Network
Allow limited Web ng gi ng nh trên nh ng ch khác là các

network services nh DNS do Internet
access and access to Service Provider (ISP) c a b n cung c p.
t c các truy c p M ng khác ub
ISP network services blocked.
Các access rules sau s c t o:

Network and VPN Clients Network to the
2. Allow DNS from Internal Network, VPN

Clients Network and Perimeter Network to


Network to Internal Network
Allow unrestricted Cho phép t t c các lo i truy c p ra

Internet qua firewall. Firewall s ch n các
access truy c p t Internet vào các Network c
o v . T chính sách cho phép t t c truy
p này, sau ó b n có th ng n ch n b t
t s truy c p không phu h p v i chính
sách b o m t c a t ch c
Các rules sau s c t o:
1. Allow all protocols from Internal

External Network (Internet) and Perimeter
Network
2. Allow all protocols from VPN Clients to

Internal Network
Ti n hành các b c sau dùng 3-Leg Perimeter network template:
console , m r ng server name. M ti p Configuration node và click trên Networks node.
2. Click Networks tab trong Details pane, sau ó click Templates tab trong Task pane.
Click vào 3-Leg Perimeter network template.
3. Click Next trên Welcome to the Network Template Wizard page.
4. Trên Export the ISA Server Configuration page, b n có th ch n export c u hình

hi n t i. L a ch n này là s c n tr ng, khi b n không mu n s d ng c u hình c a template
và mu n quay tr l i các xác l p ban u. Trong ví d này chúng ta ã backed up c u hình
vì th không c n ph i export . Click Next.
5. Trên Internal Network IP Addresses page, xác nh các a ch IP c a Internal

network. B n s th y ISA t ng xu t hi n chúng trong Address ranges list. B n không
n ph i thêm b t kì Address nào trong Internal network. Click Next.
6. Ti p theo, B n s c u hình vùng a ch này thu c perimeter network segment trên

Perimeter Network IP Addresses page. B n nh n th y Address ranges list hoàn toàn
tr ng. Do ó..

7. Click vào Add Adapter button. Trong Network adapter details dialog box, ánh d u
vào DMZ check box. Tên Adapter là DMZ do b n t lúc u và hãy ánh d u cho chính xác
vào y. Click OK.
8. Wizard s t ng a các a ch vào Address ranges list d a trên Windows routing

table. Click Next.
9. Trên Select a Firewall Policy page, B n s ch n m t firewall policy t o m i quan h

gi a Internet, DMZ và Internal networks và c ng t o ra các Access Rules. Trong ví d này
chúng ta s cho phép Internal network clients y quy n truy c p ra Internet và DMZ
network, và c ng cho phép các DMZ hosts c truy c p ra Internet. Sau khi ã có kinh
nghi m h n v i vi c config Access Policies trên ISA Server 2004 firewall, b n s ki m soát
ch t ch h n các truy c p ra bên ngoài -outbound access gi a DMZ network segment và
Internet, gi a Internal network segment và Internet. Ch n Allow unrestricted access
firewall policy và click Next.
10. Review l i các xác l p trên Completing the Network Template Wizard và click
Finish.
11. Click Apply l u l i nh ng thay i và c p nh t cho Firewall.
13. Click trên Firewall Policy node trên khung trái c a Microsoft Internet Security and
Acceleration Server 2004 management console xem l i các rules ã c t o b i 3-
Leg Perimeter network template. 2 rules này cho phép các Hosts thu c Internal network và
VPN clients network y quy n truy c p ra Internet và c DMZ. Thêm n a, VPN Clients
network c truy c p y vào Internal network.
14. M r ng Configuration node bên khung trái c a Microsoft Internet Security and
Acceleration Server 2004 management console. Click Networks node. ây b n s
th y m t danh sachq c a các networks, bao g m Perimeter network c t o b i
template.
15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and click
Properties.
16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab.
n có th th y trong danh sách This rule applies to traffic from these sources m
Internal, Quarantined VPN Clients và VPN Clients networks.
17. Click Destination Networks tab. B n th y Perimeter network trong This rule
applies to traffic sent to these destinations list.
18. Click Network Relationship tab. Xác l p m c nh là Network Address Translation

(NAT). ây là m t xác l p an toàn vì b n bi t r ng NAT có th n các IP addresses c a
Internal network clients k t n i n các DMZ network hosts.
Tuy nhiên các m i quan h gi a NAT và các Protocols, không ph i bao gi c ng thu n l i.
t s Protocol không làm vi c c v i NAT, cho nên trong ví d này chúng ta ch n
Network Relationship là Route relationship nh m gi i quy t v n r c r i ó.Ghi nh r ng,

i th i m này, không có Access Rules nào cho phép truy c p t i Internal network t DMZ
network.
19. Click Apply và click OK.
20. Click Apply l u nh ng thay i.
t lu n:
Trong ch ng này chúng ta ã c p cách th c s d ng các network templates: Edge

Firewall và 3-Leg Perimeter n gi n hóa các c u hình kh i ho t cho: network
addresses, Network Rules và Access Rules. Trong ch ng t i chúng ta s th o lu n ti p v
các lo i ISA Server 2004 Clients khác nhau làm vi c th nào v i iSA Server 2004 Fiewall.

Ch ng 10:
Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients
t ISA Server 2004 client là máy tính k t n i n các ngu n tài nguyên khác thông qua
ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client th ng c t trong
t Internal hay perimeter network –DMZ và k t n i ra Internet qua ISA Server 2004
firewall.
Có 3 lo i ISA Server 2004 client:
• SecureNAT client
• Web Proxy client
• Firewall client
t SecureNAT client là máy tính c c u hình v i thông s chính Default gateway giúp
nh tuy n ra Internet thông qua ISA Server 2004 firewall. N u SecureNAT client n m trên
ng tr c ti p k t n i n ISA Server 2004 firewall, thông s default gateway c a
SecureNAT client chính là IP address c a network card trên ISA Server 2004 firewall g n v i
Network ó . N u SecureNAT client n m trên m t Network xa ISA Server 2004 firewall,
khi ó SecureNAT client s c u hình thông s default gateway là IP address c a router g n
nó nh t, Router này s giúp nh tuy n thông tin t SecureNAT client n ISA Server 2004
firewall à ra Internet.
t Web Proxy client là máy tính có trình duy t internet (vd:Internet Explorer) c c u
hình dùng ISA Server 2004 firewall nh m t Web Proxy server c a nó. Web browser có th
u hình s d ng IP address c a ISA Server 2004 firewall làm Web Proxy server c a nó
–c u hình th công, ho c có th c u hình t ng thông qua các Web Proxy
autoconfiguration script c a ISA Server 2004 firewall. Các autoconfiguration script cung c p
c tùy bi n cao trong vi c u khi n làm th nào Web Proxy clients có h k t n i
Internet. Tên c a User –User names c hi nh n trong các Web Proxy logs khi máy tính
c c u hình nh m t Web Proxy client.
t Firewall client là máy tính có cài Firewall client software. Firewall client software ch n
t c các yêu c u thu c d ng Winsock application (thông th ng, là t t c các ng d ng
ch y trên TCP và UDP) và y các yêu c u này tr c ti p n Firewall service trên ISA
Server 2004 firewall. User names s t ng c a vào Firewall service log khi máy tình
Firewall client th c hi n k t n i Internet thông qua ISA Server 2004 firewall.
ng d i ây tóm t t các tính n ng c cung c p b i m i lo i client.
Table 1: Các lo i ISA Server 2004 Client và nh ng c m

Feature SecureNAT client Firewall client Web Proxy client
n ph i cài t? Không, ch c n xác Yes. C n cài t Không, ch c n c u

p thông s default software hình các thông s
gateway phù h p t i trình
duy t Web- Web
browser
tr H u t c OS nào h Ch Windows t kì OS nào có h

hành nào ? tr TCP/IP tr các Web
application
tr Protocol Nh có b l c ng t c các ng HTTP, Secure

ng -Application ng Winsock HTTP
filters có th h tr
các ng d ng ch y Applications. Có (HTTPS), và FTP
t h p nhi u ngh a là h u h t
protocols - các ng d ng trên
multiconnection Internet hi n nay
protocols
Có h tr xác th c Yes, nh ng ch dành Yes Yes

ng i dùng hay cho VPN clients
không ? Nh m ki m
soát vi c User truy
p ra ngoài
u hình SecureNAT Client
u hình SecureNAT client là vi c r t n gi n ! Client ch vi c c u hình thông s default

gateway giúp client nh tuy n ra Internet thông qua ISA Server 2004 firewall. Có 2 cách
chính c dùng c u hình m t máy tr thành m t SecureNAT client:
• Xác l p các thông s TCP/IP th công trên máy
• Cung c p thông s default gateway address t ng thông qua các xác l p DHCP scope
option trên DHCP Server
Trong k ch b n ã t ng c p c a sách thì domain controller ã c c u hình nh m t

SecureNAT client. Network servers nh domain controllers, DNS servers, WINS servers và
Web servers thông th ng c ng c c u hình nh các SecureNAT clients.
Domain controller ã c c u hình th công làm SecureNAT client.

Trong ch ng 4 c a sách chúng ta ã cài t DHCP server và t o ra m t DHCP scope (m t

vùng IP addresses). DHCP scope ã c c u hình v i m t scope option c p phát cho DHCP
clients thông s default gateway address chính là IP address c a Internal interface trên ISA
Server 2004 firewall. C u hình m c nh c a Windows systems là s d ng DHCP nh n
các xác l p v thông tin IP address.
u b n s d ng c u hính Network c mô t trong ch ng c a sách , Internal network

client c c u hình v i IP address t nh. Trong h ng d n theo sau, chúng ta s c u hình
Internal network client dùng DHCP mô t cách th c DHCP ho t ng, sau ó chúng ta s
quay tr l i dùng IP t nh. Ti n hành các b c sau c u hình DHCP client trên máy Windows
2000 và sau ó quay l i dùng IP t nh.
1. T i máy CLIENT, right click My Network Places icon trên desktop và click Properties.
2. Trong Network and Dial-up Connections, right click Local Area Connection và click
Properties.
3. Trong Local Area Connection Properties dialog box, click Internet Protocol
(TCP/IP) , click Properties.
4. Trong Internet Protocol (TCP/IP) Properties dialog box, ch n Obtain an IP

address
automatically và Obtain DNS server address automatically. Click OK.

5. Click OK trong Local Area Connection Properties dialog box.
6. Xác nh IP address m i c c p phát, thông qua l nh ipconfig. Click Start , Run.

Trong Open box, ánh l nh cmd.
7. Trong Command Prompt window, l nh ipconfig /all , ENTER. ây b n có th th y

c IP address c c p phát cho Clientvà các thông s IP address khác mà Client dùng
nh : DNS, WINS và default gateway
8. óng Command Prompt. Quay tr l i TCP/IP Properties dialog box và thay i máy
CLIENT dùng l i IP t nh. IP address là 10.0.0.4; subnet mask 255.255.255.0; default
gateway 10.0.0.1, và DNS server address 10.0.0.2.
u hình Web Proxy Client
u hình Web Proxy client yêu c u trình duy t Web (vd: Internet Explorer) s d ng ISA
Server 2004 firewall nh là Web Proxy server c a mình. Có m t s cách c u hình Web
browser v i vai trò m t Web Proxy client. Có th là:
• C u hình th công s d ng IP address c a ISA Server 2004 firewall là Web
Proxy server
• C u hình th công thông qua s d ng các file script t ng- autoconfiguration script
• C u hình t ng thông qua cài ph n m m Firewall client (các b n nh k cách c u hình

này nhé)
• C u hình t ng s d ng thành ph n wpad c h tr v i DNS và DHCP

Trong ch ng 5 c a sách, các b n ã t o các wpad entries trong DNS và DHCP h tr

vi c t ng c u hình Web Proxy và Firewall client. Tính n ng t ng khám phá c a Wpad-
Wpad autodiscovery c xem là ph ng pháp c u hình Web Proxy client, và cho phép User
t7 ng nh n c các thông s xác l p Web Proxy mà không c n ph i th công c u hình
trên trình uy t web –web browsers c a các Clients.
t cách khác c u hình t ng Web browsers thành Web Proxy clients , ó là khi
Firewall client c setup trên clients.. Và ch c ch n r ng các b n nên ch n các ph ng
th c tri n khai c u hình t ng trên nh ng h th ng M ng l n, n i mà vi c c u hình th
công quá b t ti n, và h th ng m ng th ng xuyên có s vào ra c a các máy tính mobile
(labtop..).
u chúng ta v n ang dùng c u hình thi t l p M ng c a sách DNS và DHCP servers s

c c u hình cung c p các thông s wpad cho Web browsers chúng có th t c u
hình. Tuy nhiên, n u chúng ta không ch n c u hình t ng, thì v n có th c u hính th
công trên các browsers cho các Clients. Cúng ta s xem xét c u hình browser trong su t
quá trình cài t Firewall client ph n t i.
Ti n hành th công các b c sau c u hình cho Explorer 6.0 Web browser:
1. Trên máy CLIENT, right click Internet Explorer icon n m trên desktop,click Properties.
2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab,
click LAN Settings button.
3. Có vài l a ch n c u hình Web proxy trong Local Area Network (LAN) Settings dialog
box. ánh d u check vào Automatically detect settings check box cho phép browser
dùng các xác l p wpad trong DNS và DHCP. ây là l a ch n m c nh trên các Internet
Explorer Web browsers. t m t checkmark vào Use automatic configuration script
check box, và n vào v trí l u tr autoconfiguration script trên ISA Server 2004 firewall
nh sau:
http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script
nhiên máy client ph i có kh n ng gi i quy t tên ISALOCAL.msfirewall.org (ISA

Server 2004 firewall) ra IP address (IP address này n m trênInternal interface c a firewall.
Chú ý m t u, n u Client có th dùng wpad Automatically detect settings, thì các
thông tin c u hình t ng n m rong autoconfiguration script s c download n
trình duy t Web Proxy client. t m t checkmark vào Use a proxy server for your LAN
(These settings will not apply to dial-up or VPN connections) check box, và n vào
IP address c a Internal interface trên ISA Server 2004 firewall trong Address text box.
n ti p TCP port number mà danh sách các Web Proxy filter trên ISA s l ng nghe trên
Port text box, theo m c nh là port 8080. Click OK trong Local Area Network (LAN)
Settings dialog box.

4. Click OK trong Internet Properties dialog box.
Web browser hi n gi ã c c u hình thành m t Web Proxy client, theo c 3 cách c u

hình khác.
u hình Firewall Client
Ph n m m Firewall client cho phép b n u khi n ai c quy n truy c p Internet (trên

u h t t t c Application k t n i ra Internet – Winsock TCP/UDP) c n c trên m i User
ho c Group.
Firewall client software s t ng g i quy n truy c p c a User (User Credential:

Username+Password) n ISA Server 2004 firewall. User accounts có th là tài kho n n i
trên chính ISA Server 2004 firewall (t c là các accounts n m trong Sam database)n u c
ISA Server 2004 và clients u thu c cùng m t Windows domain, thì các user accounts có
th n m trên Windows NT 4.0 SAM ho c Windows 2000/Windows Server 2003 Active
Directory. Tôi nh c l i, trong môi tr ng Domain 2000/2003, Active directory database
(trên Domain controller là n i l u tr t t c tài kho n User c a Domain ó)
Firewall client software có th c setup t ISA Server 2004 ho c b t kì máy nào có ch a

ph m m m này trên m ng, r t n gi n. Tuy nhiên, n u b n mu n cài t Firewall client
software t ISA Server 2004 firewall computer, tr c h t hãy b t System Policy Rule nh m
cho phép truy c p n share có ch a source này. Sau này b n nên chuy n Source này n
t File server trên m ng vi c truy c p c an toàn h n, hi n gi nó ang c t
trên ISA. Theo các b c sau cài Firewall client trên 2 computer: domain controller và
Windows 2000 client computer.
1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA
Server 2004 icon.
2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page,
click Next.

3. Trên License Agreement page, ch n I accept the terms in the license agreement,
click Next.
4. trên Customer Information page, n User name, Organization và Product
Serial Number a b n. Click Next.
5. trên Setup Type page, ch n Custom.
6. Trên Custom Setup page, click Firewall Services entry và click This feature will not
be available option. Click ISA Server Management entry và click This feature will not
be available option. Click Firewall Client Installation Share và click This feature, and
all subfeatures, will be installed on the local hard drive. Click
Next.
8. Click Finish trên Installation Wizard Completed page.
Bây gi b n có th cài Firewall client software t Firewall client share trên domain
controller. Ti n hành các b c sau cài Firewall client software:
1. T i CLIENT computer trên Internal network, click Start và click Run
command. trong Open text box, n vào EXCHANGE2003BEmspclntsetup và click OK.
2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.
3. Click Next trên Destination Folder page.

4. Trên ISA Server Computer Selection page, ch n Automatically detect the

appropriate ISA Server computer option. Ch n l a này s làm vi c b i vì b n ã t o
wpad entry trong DNS. N u b n ch a t o m t wpad entry, b n có th ch n Connect to
this ISA Server computer option và n vào tên hay IP address c a ISA Server 2004
firewall trong text box. Click Next.
6. Click Finish trên Install Wizard Completed page.
c k ti p c n c u hình Firewall client h tr Internal network. Ti n hành các

c sau trên ISA Server 2004 firewall:
Console, m server name. m ti p Configuration node và click trên Networks node. Right
click trên Internal Network và click Properties.
2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác nh là ã
ánh d u vào Enable Firewall client support for this network check box.
Xác nh là c ng ã ánh d u vào Automatically detect settings và Use automatic

configuration script check boxes trong khung Web browser configuration on the
Firewall client computer. ánh dáu ti p vào Use a Web proxy server check box. S
ng tên y c a ISA Server 2004 firewall -FQDN trong ISA Server name or IP

address text box. Trong vd này FQDN c a ISA Server 2004 computer là
ISALOCAL.msfirewall.org. Click Apply.
3. Click vào Auto Discovery tab. ánh d u vào Publish automatic discovery
information check box. port m c nh này, không thay i 80. Click Apply

4. Click Apply l u nh ng thay i và c p nh t firewall policy.
5. Click OK trong Apply New Configuration dialog box.
Bây gi chúng ta có th c u hình Firewall client. Ti n hành các b c sau trên CLIENT.
1. T i CLIENT computer, double click bi u t ng Firewall client icon trên khay h th ng.
2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nh n r ng ã
ánh d u checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check
box.
Xác nh n ti p ã ch n Automatically detect ISA Server

3. Click Detect Now button. Tên c a ISA Server 2004 firewall s xu t hi n trong
Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.

4. Xác nh n r ng ã ánh d u vào Enable Web browser automatic configuration

checkbox và click Configure Now button. C ng l u ý r ng, d a tên các xác l p mà chúng
ta ã t o trên ISA Server 2004 firewall, browser ã c cung c p các thông s c u hình t
ng.
Click OK trong Web Browser Settings Update dialog box.

5. Click Apply và sua ó click OK trong Microsoft Firewall Client for ISA Server 2004
dialog box.
Gi ây Máy ã c c u hình nh m t Firewall client và có th truy c p ra Internet d a tên

các quy t c truy c p - Access Rules ã c xác l p trên ISA Server 2004 firewall.
t lu n
Trong ch ng này c a sách, ã c p n các lo i ISA Server 2004 client khác nhau và
nh ng tính n ng riêng trên m i lo iChúng ta c ng ã ti n hành cài t m i lo i theo m t s
cách. Trong ch ng t i c a sách chúng ta s phác th o các th t c t o ho c ch nh s a
các quy t c trên chính sách truy c p ra ngoài Internet -outbound access policy rules thông
qua các Network Templates.


Isa 2004 Firewall Concept

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Isa 2004 Firewall Concept

Uploaded by

Copyright:

Available Formats

GI I THI U CÔNG TY C PH N CÁC GI I PHÁP M NG VI T NAM

1. ng ký tên mi n, cho thuê máy ch , Thi t k và l p trình Web.

Tên mi n trên Internet c ng gi ng nh tên doanh nghi p B n trên th tr ng.

§ Cho thuê máy ch :

Website có th truy c p t kh p n i trên th gi i c n c l u tr trên m t máy ch tin

d ng công ngh tiên ti n thi t k và l p trình Web, ti n cho vi c s d ng, gây n

Ngoài vi c thi t k , l p trình Web, chúng tôi còn cung c p các d ch v t v n, l p k ho ch

2. Cung c p các gi i pháp m ng LAN, WAN:

3. Cung c p các gi i pháp Ph n m m:

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

§ Ph n m m E-commerce: Cho phép th c hi n kinh doanh trên m ng, bao g m c vi c t

4. Cung c p các thi t b tin h c:

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Cài t và c u hình ISA Server Firewall 2004 (chapter 1)

Trong th c t hi n nay b o m t thông tin ang óng

ng d ng công ngh thông tin m t cách có hi u qu và “b n v ng”, là tiêu chí hàng u

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

nh t ph c v cho “cu c chi n” này. ó là các Firewall, t Personal Firewall b o v cho t ng

CH NG 2: Cài t Certificate Services

CH NG 3: Cài t và c u hình Microsoft Internet Authentication Service

CH NG 4: Cài t và c u hình Micosoft DHCP và WINS Server Service

CH NG 5: C u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxy

CH NG 6: Cài t và c u hình DNS Server v i tính n ng Caching-only trên

CH NG 7: Cài t ISA Server 2004 trên Windows Server 2003

CH NG 8: Sao l u và ph c h i c u hình Firewall

CH NG 9: n gi n hóa c u hình Network v i các Network Templates

CH NG 10: C u hình các lo i ISA Clients: SecureNAT, Web Proxy và Firewall

CH NG 13: C u hình Firewall óng vai trò Filtering SMTP Relay

CH NG 14: Ti n hành publish Exchange Outlook Web Access, SMTP Server và

CH NG 15: C u hình VPN Server trên ISA Server 2004

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Firewalls luôn là m t trong các lo i thi t b Network c u hình ph c t p nh t và duy trì ho t

Ch ng này s mô t các v n sau:

Hi u các tính n ng trên ISA Server 2004

ISA Server 2004 c thi t k b o v Network, ch ng các xâm nh p t bên ngoài l n

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Tr c khi th c hành c u hình ISA Server 2004 Firewall, ph i nh n th c rõ ràng : ây là m t

LAB h ng d n c u hình ISA Server 2004 Firewall

Chúng ta s dùng m t Network Lab mô t nh ng kh n ng và nh ng nét c tr ng c a

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Trong ph n này, chúng ta s xem xét:

• H ng d n c u hình Network cho ISA Server 2004

Network tri n khai ISA Server 2004

Mô hình Network Lab – 7Computers.

Tuy nhiên Network Lab không yêu c u c 7 Computers này ch y cùng m t th i m

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Network, TRIHOMELAN1 Computer n m trên Perimeter Network và REMOTECLIENT

Cài t và c u hình Domain Controller trên Internal Network

t Computer khác h n so v i ISA Server 2004 Firewall computer, có quy n l c qu n tr

Các giai n ti n hành:

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

• Cài t Windows Server 2003

Cài t Windows Server 2003

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

21.Ch p nh n l a ch n m c nh môi tr ng Network là Workgroup (chúng ta s t o môi

Cài t và c u hình DNS

Ti n hành các b c sau c u hình DNS server:

1. Click Start và sau ó click Administrative Tools. Click DNS.

Ti n hành các b c sau

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

Cài t Primary Domain Controller

1. Click Start và click Run .

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531

ch này v i Domain Administrator Password, u khi n ho t ng c a DCs ho c