GI ÓI THI ÊU CÔNG TY CÔ PHÂN CÁC GI ÁI PHÁP MANG VI ÊT NAM

Công t y Các gi ái pháp mang vi êt nam ( Vi et nam net work solution company ) duoc t hành l âp t heo gi ây
phép kinh doanh sô 0103009140 cúa Só Kê hoach và Ðâu t u Hà Nôi
I . Lïnh v uc hoat dông cúa Công t y bao gôm:
- Nghi ên cúu, phát t ri ên và úng dung các gi ái pháp mang t ính t ông t hê t rong linh vuc ti n hoc và
vi ên t hông dåc bi êt l à các công nghê phát t ri ên trên nên I nt ernet vói các úng dung Web, các gi ái
pháp I T úng dung cho hê t hông thông ti n và quán l ý doanh nghi êp.
- Cung câp thiêt bi, phân mêm cho mang LAN, WAN phuc vu các doanh nghiêp, tô chúc.
- Cung câp các dich vu dào tao tu vân vân các giái pháp vê công nghê thông tin, viêt phân mêm theo yêu
câu, thiêt kê website và quáng cáo trên mang
Ðôi ngù nhân vi ên và công t ác vi ên cúa Công t y có t rình dô chuyên môn cao, ki nh nghi êm t rong
linh vuc chuyên môn.
Phuong ch âm h oat dông cúa chú ng t ôi l à l uôn l u ôn mang dên k hách h àng nhüng gi ái
pháp mói nhât , dich vu t ôt nhât vói ch ât l uon g cao, mang t ính t ôn g t hê vói gi á cá hop l ý.
1. Ðãn g k ý t ên mi ên, cho t hu ê máy ch ú, Thi êt k ê và l âp t r ình Web.
Websi t e dã và dang t ró t hành môt công cu hùu hi êu t rong hoat dông ki nh doanh và phát t ri ên
cúa môi doanh nghi êp.
hi ên chúng t ôi dang cung câp nhùng dich vu sau:
§ Ðãng k ý t ên mi ên:
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Tên mi ên t rên I nt ernet cùng giông nhu t ên doanh nghi êp Ban t rên t hi t ruòng.
VNSC cung câp dich vu dång ký t ên mi ên t rên I nt ernet , chí môt ngày sau khi nhân duoc
yêu câu cúa Ban, chúng t ôi sè hoàn t ât các t hú tuc dê ban có t hê có duoc môt t ên mi ên t heo
dúng ý mình.
§ Cho t hu ê máy chú:
Websi t e dê có t hê t ruy câp t ù khâp noi t rên t hê gi ói cân duoc luu t rù t rên môt máy chú ti n
cây và có t ính nång hô t ro cho vi êc câp nhât hoåc t hay dôi t hông ti n t rên các t r ang Web có
sån, múc cho t huê sú dung các t r ang cá nhân dên host ing cho các t r ang t huong mai diên t ú,
hoåc cho t huê cá Ser ver ri êng.
Máy chú cúa VNSC có t ôc dô cao, bång t hông rông. VNSC cam kêt sè mang l ai cho ban su
t in t uóng và t i ên dung t ù các t ính nång hô t ro nguòi dùng.
§ Thi êt k ê Web:
Sú dung công nghê ti ên ti ên dê t hi êt kê và l âp t rình Web, t i ên cho vi êc sú dung, gây ân
tuong và t ôc dô t ruy câp nhanh. Các chuong t rình hi ên nay t huòng sú dung l à Fl ash,
Front page, Dreamware…, các ngôn ngù l âp t rình nhu ASP, PHP, JSP…
Vi êc t hi êt kê dêu do các nhân vi ên chuyên ngành My t huât Công nghiêp có ki nh nghi êm và
sáng t ao t huc hi ên.
§ Web adver t i si ng :
Ngoài vi êc t hi êt kê, l âp t rình Web, chúng t ôi còn cung câp các dich vu t u vân, l âp kê hoach
quáng cáo bâng Web hoåc bâng Emai l, quáng cáo Logo, hô t ro khách hàng bán hàng qua
mang. v…v…
2. Cun g câp các gi ái pháp mang LAN, WAN:
§ Thiêt kê và t hi công, l âp dåt mang LAN/ WAN t ù don gi án dên phúc t ap. Ðua ra các gi ái
pháp hop l ý, ôn dinh kinh t ê t heo chuân cúa cúa các hãng nôi ti êng t rên t hê gi ói nhu Ci sco
Syst em, Mi crosoft …cho các hê t hông mang t rong doanh nghi êp, don vi.
§ Cung câp các phân mêm cho hê t hông, các phân mêm úng dung cho mang LAN/ WAN cho
phép quán l ý t oàn bô hê t hông ti n cúa công t y môt cách hi êu quá và t i ên l oi nhât .
§ Các gi ái pháp vê co só ha t âng phuc vu cho hoat dông t ác nghi êp nhu: gi ái pháp goi diên
t hoai qua mang int ernet ( VOI P) , Hôi nghi t ruyên hình qua mang ( Vi deo Conf erence) , Các
gi ái pháp vê gi ám sát báo vê qua mang ( Camer aNet ) ….
3. Cun g câp các gi ái pháp Phân mêm:
§ Cung câp và dào t ao áp dung các gi ái pháp t ông t hê vê các gi ái pháp quán l ý dua t rên nên
táng l à công nghê t hông t i n nhu: Quán t ri nguôn luc doanh nghi êp(ERP) ; Quán lý sán
xuât ; Quán l ý quan hê khách hàng ( CRM) ; Quán l ý t hi êt bi ( Equi pment management ) ,
Quán l ý hê t hông I SO t ruc t uyên, Quán l ý kho, và các gi ái pháp khác t heo yêu câu cúa
khách hàng
§ Tu vân xây dung và hô t ro áp dung các phâm mêm vê quán l ý doanh nghi êp nhu: Quán l ý
nhân su; Kê toán máy….
§ Phân mêm Newsl et t ers cho phép gúi nhi êu t hu diên t ú.
§ Phân mêm báo diên t ú, cho phép cung câp t hông t in báo chí t rên mang hàng ngày. Ngôn
ngù xây dung bâng PHP dåt t rên nên máy chú Linux báo mât .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
§ Phân mêm E- commer ce: Cho phép t huc hi ên kinh doanh t rên mang, bao gôm cá vi êc dåt
hàng, tính giá cho sán phâm, t ính giá vân t ái ( bâng Fedex, UPS hoåc DHL) t ói hâu hêt các
quôc gi a t rên t hê giói .
§ Phân mêm úng dung quán l ý vån phòng cho phép :
- Chi a sé môt sô hòm t hu diên t ú.
- Chi a sé co só dù li êu vê vån bán, quán l ý nhân su, quán l ý hê t hông t hông t i n doanh
nghiêp, quán l ý chuong t rình l àm vi êc, quán l ý công vån, hop dông rât hùu ích.
4. Cun g câp các t hi êt bi t i n hoc:
VNSC l à dai l ý bán hàng cúa các hãng máy t ính nôi ti êng t rên t hê giói nhu: I BM, COMPAQ,
3COM, DELL, Di sco Syst em…Ðây l à môt l oi t hê cho phép công t y có khá nång cung câp cho
khách hàng các gi ái pháp t ông t hê vê t i n hoc vói gi á canh t ranh.
5. Ðào t ao công nghê t hông t i n
Vói dôi ngù các chuyên gi a vê công nghê t hông tin hàng dâu, có nhi êu kinh nghiêm gi áng day
chúng t ôi cung câp các dich vu dào t ao công nghê t hông t in t ai doanh nghi êp nhu:
Ðào t ao vê t i n hoc vån phòng, các phân mêm úng dung nhu Phot oshop, Corel , aut o CAD,
CAM….. t ù co bán dên nâng cao
Ðào t ao quán t ri mang, quán t ri hê t hông, quán t ri co só dù li êu, t hi êt kê websi t e, dô hoa….
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Cài dãt và câu hình I SA Ser ver Fi r ew al l 20 04 ( chapt er 1)
GI ÓI THI ÊU:
Trong t huc t ê hiên nay báo mât t hông t i n dang dóng
môt vai t rò t hiêt yêu chú không còn là “ t hú yêu” t rong
moi hoat dông l iên quan dên viêc úng dung công nghê
t hông t in. Tôi muôn nói dên vai t rò t o lón cúa viêc úng
dung CNTT dã và dang diên ra sôi dông, không chí
t huân t úy là nhùng công cu ( Hardware, soft ware) , mà
t huc su dã duoc xem nhu là giái pháp cho nhiêu vân
dê. Khói dông t ù nhùng nåm dâu t hâp niên 90, vói
môt sô ít chuyên gi a vê CNTT, nhùng hiêu biêt còn
han chê và dua CNTT úng dung t rong các hoat dông
sán xuât , giao dich, quán lý còn khá khi êm t ôn và chí
dùng lai ó múc công cu, và dôi khi t ôi còn nhân t hây
nhùng công cu “dât t iên” này còn gây môt sô cán t ró,
không dem lai nhùng hiêu quá t hi êt t huc cho nhùng Tô chúc sú dung nó. Và nhùng ai “chôn
rôn” nhât t hì l ai t u hói mình “ mua cái t hiêt bi dê làm gì nhi ?! nó không sán xuât ra duoc
sán phâm, và nó cùng chäng gi úp công viêc giây t ò giám bót là bao, li êu chúng t a dã t ôn
hao môt sô t i ên vô ích?! .. ” ” . Không dâu xa nhùng nuóc láng gi êng khu vuc nhu Thailand,
Singapore, nhùng nên kinh t ê manh t rong khu vuc và dang t rên dà phát t riên manh mè.
Nhân t húc duoc su uu viêt cúa úng dung CNTT, và t ù rât sóm ho dã dem CNNT áp dung vào
moi hoat dông, không chí sán xuât , giao dich, quán lý mà CNTT duoc mang dên moi nhà,
moi nguòi . Và ho cùng hoc t hành t huc nhùng ki nång dê giái quyêt và diêu khiên công viêc
rât sáng t ao t ù các “ vù khí” t ân t hòi này. Ðâu dó t rong t rích doan “ Con duòng Phía t ruóc”
cúa Bill Gat es có nói dên giá t ri t o lón cúa t hông t in t rong t hê kí 21, môt kí nguyên t hông t in
dích t huc. Thuc t hê quý giá “ phi vât chât ” này, dang dân t ró t hành môt dôi t uong duoc sån
lùng, duoc kiêm soát gât gao, và cùng là bê phóng cho t ât cá nhùng quôc gia muôn phát
t ri ên môt cách manh mè, nhanh chóng và “ bên vùng” . Cân có nhùng hê t hông manh mè
nhât dê kiêm soát t hông t in, sáng t ao t hông t in và dem nhùng t hông t in này vào úng dung
môt cách có hiêu quá. Thê giói buóc t rong t hê ki 21 dùng bàn dap CNTT dê t ao luc bây và
cùng l à dê dân duòng cho các hoat dông, cho moi nguòi xích lai gân nhau hon, khiên cho
nhùng cách biêt Ðia Lý không còn t ôn t ai, dê dàng hiêu nhau hon và t rao dôi vói nhau
nhùng gì có giá t ri nhât , dåc biêt nhât .
Úng dung công nghê t hông ti n môt cách có hiêu quá và “ bên vùng” , là t iêu chí hàng dâu
cúa nhiêu quôc gia hiên nay, Viêt Nam không là ngoai lê. Xét t rên bình diên môt doanh
nghiêp khi úng dung CNTT vào sán xuât , ki nh doanh cùng l uôn mong muôn có duoc diêu
này. Tính hiêu quá là diêu bât buôc, và su “ bên vùng” cùng là t ât yêu. Duói góc nhìn cúa
môt chuyên gia vê báo mât hê t hông, khi t riên khai môt hê t hông t hông t in và xây dung
duoc co chê báo vê chåt chè, an t oàn, nhu vây là góp phân duy t rì t ính “ bên vùng” cho hê
t hông t hông t in cúa doanh nghiêp dó. Và t ât cá chúng t a dêu hiêu râng giá t ri t hông t in cúa
doanh nghiêp l à t ài sán vô giá. Không chí t huân t úy vê vât chât , nhùng giá t ri khác không
t hê do dêm duoc nhu uy t ín cúa ho vói khách hàng sè ra sao, nêu nhùng t hông t i n giao dich
vói khách hàng bi dánh câp, rôi sau dó bi loi dung vói nhùng muc dích khác nhau. . Hacker,
at t acker, virus, worm, phishing, nhùng khái niêm này giò dây không còn xa la, và t huc su
là môi lo ngai hàng dâu cúa t ât cá các hê t hông t hông t i n ( PCs, Ent erprise Net works,
I nt ernet , et c. . ) . Và chính vì vây, t ât cá nhùng hê t hông này cân t rang bi nhùng công cu dú
manh, am hiêu cách xú lý dê dôi phó vói nhùng t hê luc den dáng so dó. Ai t ao r a búc t uòng
lúa dú manh này dê có t hê “t hiêu cháy” moi ý dô xâm nhâp?! Xin t hua râng t ruóc hêt dó là
ý t húc sú dung máy t ính an t oàn cúa t ât cá moi nhân viên t rong môt Tô chúc, su am hi êu
t inh t uòng cúa các Secur it y Admin t rong Tô chúc dó, và cuôi cùng là nhùng công cu dâc l uc
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
nhât phuc vu cho “ cuôc chiên” này. Ðó là các Fi rewall, t ù Personal Firewall báo vê cho t ùng
Comput er cho dên các Ent erpri se Firewall có khá nång báo vê t oàn hê t hông Net work cúa
môt Tô chúc. Và Microsoft I SA Server 2004 l à môt Ent erprise Fi rewal l nhu t hê ! Môt sán
phâm t ôt và là nguòi ban t in cây dê báo vê an t oàn cho các hê t hông t hông t in.
CHUONG 1: Huóng dân sú dung
CHUONG 2: Cài dãt Cer t i f i cat e Ser vi ces
CHUONG 3: Cài dãt và câu hìn h Mi cr osof t I nt er net Aut hent i cat i on Ser vi ce
CHUONG 4: Cài dãt và câu hìn h Mi cosof t DHCP và WI NS Ser ver Ser vi ce
CHUONG 5: Câu hình DNS và DHCP hô t r o t ính nãng Aut od i scov er y cho Web Pr ox y
và Fi r ew al l Cl i ent
CHUONG 6: Cài dãt và câu hình DNS Ser ver vói t ính nãng Cachi ng- onl y t r ên
Per i met er Net w or k
CHUONG 7: Cài dãt I SA Ser ver 2004 t r ên Wi ndow s Ser v er 2003
CHUONG 8: Sao l uu v à phuc hôi câu hìn h Fi r ew al l
CHUONG 9: Ðon gi án hóa câu hình Net w or k v ói các Net w or k Templ at es
CHUONG 10: Câu hình các l oai I SA Cl i ent s: Secur eNAT, Web Pr ox y và Fi r ew al l
Cl i ent
CHUONG 11 : Câu hình các chính sách t r ên Fi r ew al l v ói I SA Ser ver 200 4 Access
Pol i cy
CHUONG 12: Ti ên h ành Publ i sh các Ser vi ce t r ên Per i met er Net w or k r a bên ngoài
nh u: Web, Ft p Ser ver
CHUONG 13 : Câu hìn h Fi r ew al l dón g vai t r ò Fi l t er i ng SMTP Rel ay
CHUONG 14 : Ti ên hành publ i sh Ex chan ge Ou t l ook Web Access, SMTP Ser ver và
POP3 Ser ver Si t es.
CHUONG 15: Câu hình VPN Ser ver t r ên I SA Ser ver 2004
CHUONG 16: Tao môt Si t e t o Si t e VPN t r ên các I SA Ser ver 2004 Fi r ew al l s
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 1:
Tr i ên k hai ha t âng Net w or k vói nhüng Ser vi ce t hi êt yêu
Cuôn sách duoc t rình bày t heo t huc t ê t riên khai I SA Server 2004 t rong mô hình Net wor k
cúa môt Tô chúc. Nôi dung cúa sách gói gon t rong các vân dê câu hình hê t hông I SA Server
2004 t ró t hành môt Firewall manh mà vân dáp úng duoc các yêu câu sú dung các Service
tù xa, phuc vu cho cá các I SA Client s bên t rong t ruy câp các Service bên ngoài ( I nt ernet ) ,
lân các Client bên ngoài ( I nt ernet Client s) cân t ruy câp các Service bên t rong Net work Tô
chúc.
Firewalls luôn là môt t rong các loai t hiêt bi Net work câu hình phúc t ap nhât và duy t rì hoat
dông cúa nó dê báo vê Net work cùng gåp không ít t hú t hách cho các Securi t y Admi n. Cân
có nhùng kiên t húc co bán vê TCP/ I P và các Net work Services dê hiêu rõ môt Firewall l àm
viêc nhu t hê nào. Tuy nhiên cùng không nhât t hi êt phái t ró t hành môt chuyên gia vê ha
tâng Net work ( Net work I nfrast ruct ure ) mói có t hê sú dung duoc I SA Server 2004 nhu môt
Net work Firewall.
Chuong này sè mô t á các vân dê sau:
• Giúp ban hiêu các t ính nång có måt t rên I SA Server 2004
• Cung câp nhùng lòi khuyên cu t hê khi dùng t ài liêu dê câu hình I SA Server 2004 Firewal l
• Mô t á chi t i êt t huc hành t riên khai ( I SA SERVER 2004 Lab Configurat ion)
Hi êu các t ính nãng t r ên I SA Ser ver 2004
I SA Server 2004 duoc t hiêt kê dê báo vê Net work, chông các xâm nhâp t ù bên ngoài lân
kiêm soát các t ruy câp t ù bên t rong Nôi bô Net work cúa môt Tô chúc. I SA Server 2004
Firewall làm diêu này t hông qua co chê diêu khiên nhùng gì có t hê duoc phép qua Firewall
và nhùng gì sè bi ngån chån. Chúng t a hình dung don gián nhu sau: Có môt quy t âc duoc
áp dåt t rên Firewall cho phép t hông t in duoc t ruyên qua Firewall, sau dó nhùng t hông t in
này sè duoc “ Pass” qua, và nguoc l ai nêu không có bât kì quy t âc nào cho phép nhùng
t hông t in ây t ruyên qua, nhùng t hông t in này sè bi Firewall chån lai.
I SA Server 2004 Firewall chúa nhiêu t ính nång mà các Securit y Admin có t hê dùng dê dám
báo an t oàn cho viêc t ruy câp I nt ernet , và cùng báo dám an ni nh cho các tài nguyên t rong
Nôi bô Net work . Cuôn sách cung câp cho các Securit y Admin hiêu duoc nhùng khái ni êm
tông quát và dùng nhùng t ính nång phô biên, dåc t hù nhât t rên I SA Server 2004, t hông qua
nhùng buóc huóng dân cu t hê ( St eps by St eps)
Firewalls không làm viêc t rong môt môi t ruòng “ chân không” , vì don gián là chúng t a t ri ên
khai Firewall dê báo vê môt cái gì dó, có thê là môt PC, môt Server hay cá môt hê t hông
Net work vói nhiêu Service duoc t riên khai nhu Web, Mai l, Dat abase….
Chúng t a sè có môt huóng dân dây dú vê viêc t riên khai các Service cân t hiêt cho hoat dông
Net work cúa môt Tô chúc. cách t húc cài dåt và câu hình nhùng Servi ce này nhu t hê nào. Và
diêu t ôi quan t rong l à Net work và các Service phái duoc câu hình dúng cách t ruóc khi t riên
khai Firewall. Ðiêu này giúp chúng t a t ránh duoc nhùng vân dê phiên t oái náy sinh khi t ri ên
khai I SA Server 2004.
Các Net work Servi ces và nhùng t ính nång t rên I SA Server 2004 sè duoc cài dåt và câu hình
gôm:
• Cài dåt và câu hình Microsof t Cert ifi cat e Servi ces (Service cung câp các Chúng t ù ki t huât
sô phuc vu nhân dang an t oàn khi giao dich t rên Net work)
• Cài dåt và câu hình Mi crosoft I nt ernet Aut hent icat ion Services ( RADI US) Service xác t huc
an t oàn cho các t ruy câp t ù xa t hông qua các remot e connect i ons ( Di al- up hoåc VPN)
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
• Cài dåt và câu hình Microsoft DHCP Servi ces ( Service cung câp các xác lâp TCP/ I P cho các
node t rên Net work) và WI NS Servi ces ( Servi ce cung câp giái pháp t ruy vân NETBI OS name
cúa các Comput er t rên Net work)
• Câu hình các WPAD ent ries t rong DNS dê hô t ro chúc nång Aut odiscovery ( t u dông khám
phá) ) và Aut oconfigurat ion ( t u dông câu hình) cho Web Proxy và Firewal l cl ient s. Rât t huân
loi cho các I SA Cli ent s ( Web và Firewall client s) t rong môt Tô chúc khi ho phái mang
Comput er t ù môt Net wor k ( có môt I SA Ser ver ) dên Net work khác ( có I SA Server khác) mà
vân t u dông phát hiên và làm viêc duoc vói Web Proxy Service và Firewall Service t rên I SA
Server này .
• Cài dåt Microsoft DNS server t rên Perimet er Net work server ( Net work chúa các Server
cung câp t ruc t uyên cho các Client s bên ngoài, nâm sau Fi rewall, nhung cùng t ách biêt vói
LAN)
• Cài dåt I SA Server 2004 Firewall soft ware
• Back up và phuc hôi t hông t in câu hình cúa I SA Server 2004 Firewall
• Dùng các mô hình mâu cúa I SA Server 2004 ( I SA Server 2004 Net work Templat es) dê
câu hình Firewall
• Câu hình các l oai I SA Server 2004 cl ient s
• Tao các chính sách t ruy câp ( Access Policy) t rên I SA Server 2004 Firewall
• Publish Web Server t rên môt Perimet er Net work
• Dùng I SA Server 2004 Firewall dóng vai t rò môt Spam fil t eri ng SMTP relay ( t ram t rung
chuyên e- mai ls, có chúc nång ngån chån Spam mails)
• Publ ish Microsoft Exchange Server services ( hê t hông Mail và làm viêc công t ác cúa
Mi crosoft , t uong t u Lot us Not es cúa I BM)
• Câu hình I SA Server 2004 Fi rewal l dóng vai t rò môt VPN server
• Tao kêt nôi VPN t heo ki êu sit e t o si t e giùa hai Net works
Truóc khi t huc hành câu hình I SA Server 2004 Firewall, phái nhân t húc rõ ràng : Ðây là môt
hê t hông ngån chån các cuôc tân công t ù I nt ernet và môt Fi rewall vói câu hình lôi sè t ao
diêu kiên cho các cuôc xâm nhâp Net work. Vói nhùng lý do này, diêu quan t rong nhât các
Securit y Admin quan t âm dó là Làm t hê nào dê câu hình Firewall dám báo an t oàn cho viêc
t ruy câp I nt ernet .
Vói câu hình måc dinh cúa mình I SA Server 2004 ngån chån t ât cá luu t hông vào, ra qua
Firewall.
Rõ ràng dây là môt câu hình chú dông, an t oàn nhât mà Admin có t hê yên t âm ngay t ù dâu
khi vân hành I SA Server. Và sau dó dê dáp úng các yêu câu hop pháp t ruy câp các Service
khác nhau cúa I nt ernet ( ví du nhu web, mail, chat , download, game online v. vv.. ) , Securit y
Admi n sè câu hình dê I SA Server 2004 có t hê dáp úng các yêu câu duoc phép t rên.
Các Securt y Admi n luôn duoc khuyên cáo: Hãy t ao các cuôc kiêm t ra câu hình I SA Server
2004 t rong phòng Lab, t ruóc khi dem các câu hình này áp dung t huc t ê. Chúng t a sè duoc
huóng dân câu hình I SA Server 2004 Fi rewall dúng cách, chính xác t hông qua giao diên làm
viêc rât gân gùi cúa I SA Server 2004. Có t hê có nhùng sai l âm khi t huc hi ên Lab, nhung các
Admi n không qua lo lâng vì châc râng các at t ackers không t hê l oi dung nhùng lô hông này
( t rù khi Lab Net work duoc kêt nôi vói I nt ernet . .) . Trên Lab diêu quan t rong nhât là hi êu
dúng các t hông sô dã câu hình, cho phép sai pham và các Admin r út r a kinh ghiêm t ù chính
nhùng “ mi st akes” này.
LAB huóng dân câu hình I SA Ser v er 2004 Fi r ew al l
Chúng t a sè dùng môt Net work Lab dê mô t á nhùng khá nång và nhùng nét dåc t rung cúa
I SA Server 2004. Các Admin khi t huc hành nên xây dung môt Test Lab t uong t u nhu mô
hình chí ra duói dây ( t ât cá các t hông sô sú dung) . Nêu các Securit y Admi n không có dú các
t hiêt bi t hât nhu Test Lab này, có t hê dùng mô hình giá lâp, dên t ù các Vi rt ual Soft ware nhu
Mi crosoft ’s Virt ual PC soft ware ( hoåc VMWare) dê t ao mô hình Lab áo.
Xem t hêm vê Virt ual PC t ai Websit e: ht t p: / / www.microsoft . com/ windowsxp/ virt ualpc/
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Trong phân này, chúng t a sè xem xét :
• Huóng dân câu hình Net work cho I SA Server 2004
• Cài dåt Windows Server 2003 , và sau dó nâng ( dcpromo) Comput er này l ên t hành môt
Domain cont roller ( máy chú kiêm soát t oàn hoat dông cúa Domain)
• Cài dåt Exchange Server 2003 t rên Domain cont roll er này và câu hình t hành môt Out look
Web Access Si t e dùng phuong t húc xác t huc co bán ( Basic aut hent icat ion)
So dô Net work t riên khai I SA Server 2004
Mô hình Net w or k Lab – 7Comput er s.
Tuy nhiên Net work Lab không yêu câu cá 7 Comput ers này chay cùng môt t hòi diêm
Ðiêu này t ao diêu kiên dê dàng cho Lab dåc biêt là Lab áo.
Mô hình Net work cúa Tô chúc này có môt Local Net w or k ( Net work cuc bô LAN) và môt
Remot e Net w or k . Môi Net work có môt I SA Server 2004 chân phía t ruóc dóng vai t r ò
Firewall . Tât cá các Comput ers t rên Local Net work dêu là t hành viên cúa Domai n
MSFi r ew al l .or g, và domain này bao gôm luôn cá I SA Server 2004 Firewall comput er. Tât
cá các Comput ers còn lai không là t hành viên cúa Domain này.
Trên lab Net work, Net work Card ngoài ( Ext ernal int erfaces) cúa các I SA Server 2004
Firewalls có kêt nôi cho phép t ruy câp I nt ernet . Các Admin nên t ao các t hông sô câu hình
giông nhau dê có t hê Test các kêt nôi t huc su dên I nt ernet t ù phía Cl ient s nâm sau I SA
Server 2004 Firewal ls.
Nêu chúng t a dùng phân mêm giá lâp t hì l uu ý râng, chúng t a phái set - up dên 3 Virt ual
Net works t rên Test Lab. Ðó là các Vi t ual Net works: Domai n Cont r ol l er nâm t rên I nt er nal
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Net w or k , TRI HOMELAN1 Comput er nâm t rên Per i met er Net w or k và REMOTECLI ENT
virt ual Net work t hú ba.
Luu ý vói Lab áo: Châc chân môt diêu là t rên các Vi rt ual Net works này bô t rí các Comput er s
t rên các Virt ual Swit ches khác nhau, dê ngån chån các t hông t in t ràn ngâp t heo ki êu
Et hernet broadcast t raffic, diêu này có t hê gây nên nhùng kêt quá không mong muôn t rên
Lab áo..
Cài dãt và câu hình Domai n Cont r ol l er t r ên I nt er nal Net w or k
Môt Comput er khác hon so vói I SA Server 2004 Firewall comput er, có quyên luc quán t ri
t oàn Domain nôi bô dó là Domai n Cont rol ler . Microsoft xây dung mô hình Domai n duói su
kiêm soát cúa Act i ve Direct ory Service và Domain Cont roll er là công cu ki êm soát Domain
dó. ( quán lý t ât cá các Client s và Servers cung câp Servi ce t rong Domai n nhu Web, Mail,
Dat abase server và kê cáI SA Servers)
Trong Lab này chúng t a sè câu hình môt Wi ndows Server 2003 domain cont roller, và t riên
khai l uôn các Servi ce nhu: DNS, WI NS, DHCP, RADI US, Microsoft Exchange Server 2003
t rên chính Domain cont rol ler này.
Các giai doan t iên hành:
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
• Cài dåt Windows Server 2003
• Cài dåt và câu hình DNS servi ce
• Nâng Comput er này lên t hành Domain cont roller
Cài dãt Wi ndow s Ser ver 2003
Tiên hành các buóc sau t rên Comput er sè dóng vai t rò Domain Cont rol ler
1. Ðua dia CD cài dåt vào CD- ROM, khói dông lai Comput er. Cho phép boot t ù CD
2. Chuong t rình Windows set up bât dâu load nhùng Fil es phuc vu cho viêc cài dåt . Nhân
Ent er khi mà hình Wel come t o Set u p xuât hi ên
3. Ðoc nhùng diêu khoán vê License t rên Wi n dow s Li censi ng Agr eement , dùng phím
PAGE DOWN dê xem hêt sau dó nhân F8 dê dông ý vói diêu khoán
4. Trên Wi ndow s Ser ver 2003, St andar d Edi t i on Set up xuât hi ên màn hình t ao các
phân vùng lôgi c ( Part i t ion) t rên dia cúng, t ruóc hêt t ao Part i t i on dùng cho viêc cài dåt Hê
Ðiêu hành. Trong Test Lab này, t oàn bô dia cúng sè chí l àm môt Part it i on. Nhân ENTER.
5. Trên Wi ndow s Ser ver 2003, St and ar d Edi t i on Set up, chon For mat t he par t i t i on
usi ng t he NTFS f i l e sy st em Nhân ENTER.
6. Chuong t rình Wi ndows Set up t i ên hành dinh dang ( format ) dia cúng, sè chò ít phút cho
t iên t rình này hoàn t hành
7. Computer sè t u Rest art khi t i ên t rình copy File vào dia cúng hoàn t hành
8. Comput er sè rest art lai t rong giao diên dô hoa ( graphic int erface mode) . Click Nex t t rên
t rang Regi onal and Language Opt i ons
9. Trên t rang Per sonal i ze Your Sof t w ar e, diên Tên và Tô chúc cúa Ban
Ví du :
Name: Ni s.com. vn
Or gani zat i on: Net w or k I nf or mat i on Secur i t y Vi et n am
10.Trên t rang Pr odu ct Key diên vào 25 chù sô cúa Pr oduct Key mà ban có và cli ck Nex t .
11. Trên t rang Li censi ng Modes chon dúng opt ion duoc áp dung cho versi on Windows
Server 2003 mà ban cài dåt . Nêu cài dåt Li cence ó chê dô per ser ver l i censi n g, hãy
dua vào sô connect ions mà ban dã có License. Click Nex t .
12.Trên t rang Comput er Name và Admi n i st r at or Passw or d diên t ên cúa Comput er
t rong Comput er Name t ext box. Theo các buóc t r ong xây dung Test Lab này, t hì
Domai n con t r ol l er / Ex chan ge Ser ver t rên cùng Server và có t ên là
EXCHANGE2003BE, t ên này duoc diên vào Comput er Name t ext box. Ðiên t iêp vào
muc Admi ni st r at or passw or d và xác nhân lai password t ai muc Con f i r m passw or d
( ghi nhó lai password administ rat or cân t hân, nêu không t hì ban cùng không t hê log- on
vào Server cho các hoat dông t iêp t heo) . Cl ick Nex t .
13.Trên t rang Dat e an d Ti me Set t i n gs xác lâp chính xác Ngày, giò và múi giò Vi êt Nam
( nêu các ban ó Viêt Nam) . Click Nex t .
14.Trên t rang Net w or k i n g Set t i n gs, chon Cust om set t i ngs opt ion.
15.Trên t rang Net w or k Component s, chon I nt er net Pr ot ocol ( TCP/ I P) ent ry t rong
Component s và cli ck Pr op er t i es.
16.Trong I nt er net Pr ot ocol ( TCP/ I P) Pr oper t i es dialog box, xác l âp các t hông sô sau:
I P addr ess: 10. 0.0.2.
Subnet mask : 255.255.255.0.
Def au l t gat ew ay: 10.0.0.1 ( chú ý Default Gat eway 10. 0.0.1 này cùng là I P address
cúa I nt ernal Card t rênI SA Server) .
Pr ef er r ed DNS ser ver : 10. 0. 0. 2.
17.Cli ck Adv anced t rên I nt er net Pr ot ocol ( TCP/ I P) Pr oper t i es dialog box. Trong
Advanced TCP/ I P Set t i ngs dialog box, click WI NS t ab. Trên WI NS t ab, cli ck Add.
Trong TCP/ I P WI NS Ser ver dialog box, diên 10.0.0.2 và click Add.
18.Cli ck OK t rong Advan ced TCP/ I P Set t i ngs dialog box.
19.Cli ck OK t rong I nt er net Pr ot ocol ( TCP/ I P) Pr oper t i es dialog box.
20.Cli ck Nex t t rên t rang Net w or k i ng Component s.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
21.Châp nhân lua chon måc dinh môi t ruòng Net work là Wor k gr ou p ( chúng t a sè t ao môi
t ruòng Domain sau, dua máy này t ró t hành môt Domain cont roller và cùng là t hành viên
cúa Domai n ( là môt member server, vì t rên Server này còn cài t hêm nhiêu Server
Servi ce khác ngoài Act ive Direct ory Servi ce) .Cl ick Nex t .
22.Tiên t rình cài dåt duoc t iêp t uc và khi Fi ni sh, Comput er sè t u khói dông lai
23.Log- on l ân dâu t iên vào Windows Server 2003 dùng password mà chúng t a dã t ao cho
t ài khoán Admini st rat or t rong quá t rình Setup.
24.Xuât hiên dâu t iên t rên màn hình là t rang Manage Your Ser ver , ban nên check vào
Don ’ t di spl ay t hi s page at l ogon checkbox và dóng cúa sô Window lai
Cài dãt và câu hình DNS
Buóc kê t i êp là cài dåt Domain Naming Syst em ( DNS) server t rên chính Comput er này
( EXCHANGE2 003 BE ) . Ðiêu này là cân t hi êt vì Act ive Di rect ory Service hoat dông t rên
Domai n Cont roller, kiêm soát t oàn Domain yêu câu phái có DNS server service phuc vu cho
nhu câu t ruy vân t ên - host name, dång kí các record ( A, PTR, SRV records v.v..) . Chúng t a
sè cài DNS server và sau dó sè nâng vai t rò Comput er này lên t hành môt Domain
Cont rol ler, và DNS server này sè phuc vu cho t oàn Domain.
Tiên hành các buóc sau dê cài dåt DNS server
1. Click St ar t , Cont r ol Panel . Cli ck Add or Remove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Wi ndo w s Com ponen t s
3. Trong Wi ndow s Component s, xem qua danh sách Component s và click Net w or k i ng
Ser vi ces ent ry. Click Det ai l s.
4. Check vào Domai n Name Syst em ( DNS) checkbox và click OK.
5. Click Nex t t rong Wi n dow s Component s.
6. Click Finish t rên Compl et i n g t he Wi ndow s Com ponent s Wi zar d.
7. Ðóng Add or Remove Pr ogr ams
DNS server dã duoc cài dåt , Admin cân dua vào DNS Server các t hông sô cu t hê phuc vu
cho hoat dông t ruy vân t ên, cu t hê là sè t ao ra hai vùng For w ar d và Rever se l ook up
zones.
Ti ên hành các buóc sau dê câu hình DNS ser v er :
1. Click St ar t và sau dó click Admi n i st r at i v e Tool s. Click DNS.
2. Trong báng làm viêc cúa DNS ( DNS consol e) , mó rông ser ver name
( EXCHANGE20 03 BE ) , sau dó cl ick t rên Rev er se Look up Zones. Right cli ck t rên
Reverse Lookup Zones và cli ck New Zone.
3. Click Nex t t rên Wel come t o t he New Zone Wi zar d.
4. Trên Zone Type , chon Pr i mar y zone opt i on và click Nex t .
5. Trên Rever se Look up Zone Name page, chon Net w or k I D opt ion và Ent er 10.0.0 vào
t ext box. Click Nex t .
6. Châp nhân chon l ua måc dinh t rên Zone Fi l e page, và click Nex t .
7. Trên Dynami c Updat e page, chon Al l ow bot h nonsecur e and secur e dynami c
updat es opt ion. Click Nex t .
8. Click Finish t rên Compl et i ng t he New Zon e Wi zar d page.
Kê t iêp chúng t a tao For w ar d l ook u p zon e cho Domai n mà Comput er này sè là
Domain Cont roll er.
Ti ên hành các buóc sau
1. Right cli ck For w ar d Look up Zone và click New Zone.
2. Click Nex t t rên Wel come t o t he New Zone Wi zar d page.
3. t rên Zon e Type page, chon Pr i mar y zone opt ion và cl ick Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Trên Zone Name page, diên t ên cúa forward l ookup zone t rong Zone name t ext box.
Trong ví du này t ên cúa zone là MSFi r ew al l .or g, t rùng vói t ên cúa Domain sè t ao sau
này. Ðua MSFi r ew al l .or g vào t ext box. Cl ick Nex t .
5. Châp nhân các xác lâp måc dinh t rên Zone Fi l e page và click Nex t .
6. Trên Dynami c Updat e page, chon Al l ow bot h nonsecur e and secur e dynami c
updat es. Click Nex t .
7. Click Finish t rên Compl et i ng t he New Zon e Wi zar d page.
8. Mó rông For w ar d Loo k u p Zones và click vào MSFi r ew al l .o r g zone. Right click t rên
MSFi r ew al l .or g và Click New Host ( A) .
9. Trong New Host dialog box, diên vào chính xác EXCHANGE200 3BE t r ong Name
( uses par ent domai n name i f bl ank ) t ext box. Trong I P addr ess t ext box, diên vào
10.0.0.2. Check vào Cr eat e associ at ed poi nt er ( PTR) r ecor d checkbox. Cli ck Add
Host . Click OK t rong DNS dialog box t hông báo râng ( A) Record dã duoc t ao xong. Click
Done t rong New Host t ext box.
10. Ri ght click t rên MSFi r ew al l .or g f or w ar d l ook up zone và click Pr oper t i es. Click
Name Ser ver s t ab. Click ex change2003be ent ry và cl ick Edi t .
11.Trong Ser ver f ul l y qual i f i ed domai n name ( FQDN) t ext box, diên vào t ên dây dú cúa
Domain cont roller comput er là ex change2003be.MSFi r ew al l .or g. Cl ick Resol ve. Sè
nhân t hây, I P addr ess cúa Server xuât hiên t rong I P addr ess l i st . Click OK.
12. Cli ck Appl y và sau dó click OK t rên MSFi r ew al l .or g Pr oper t i es dialog box.
13. Right click t rên DNS server name EXCHANGE20 03 BE , chon Al l Task s. Cli ck Rest ar t .
14. Close DNS console.
Gi ò dây Comput er này dã sån sàng dê nâng vai t rò lên Thành môt Domain cont roller t rong
Domain MSFi r ew al l .or g
Tiên hành các buóc sau dê t ao Domain và nâng server này t hành Domain Cont roller dâu
t iên cúa Domain ( Primary Domain Cont roller)
Cài dãt Pr i mar y Domai n Cont r ol l er
1. Click St ar t và cli ck Ru n .
2. Trong Run dialog box, dánh lênh dcpr omo t rong Open t ext box và cli ck OK.
3. Click Nex t t rên Wel come t o t he Act i ve Di r ect or y I nst al l at i on Wi zar d page.
4. Click Nex t t rên Oper at i ng Syst em Compat i bi l i t y page.
5. Trên Domai n Con t r ol l er Type page, chon Domai n cont r ol l er f or a new domai n
opt ion và click Nex t .
6. Trên Cr eat e New Domai n page, chon Domai n i n a new f or est opt ion và click Nex t .
7. Trên New Domai n Name page, diên t ên dây dú cúa Domai n (Full DNS name)
MSFi r ew al l .or g t ext box và click Nex t .
8. Trên Net BI OS Domai n Name page ( Net BI OS name cúa Domain nhâm support cho các
Wi ndows OS- nhu các dòng Wi ndows NT và WI NDOWS 9x dòi cù, khi các Client này
muôn giao dich vói Domain) , châp nhân Net BI OS name måc dinh
Trong ví du này là MSFI REWALL. Cli ck Nex t .
9. Châp nhân các xác lâp måc dinh t rên Dat abase an d Log Fol der s page và cl ick Nex t .
10. Trên Shar ed Syst em Vol ume page, châp nhân vi t rí luu t rù måc dinh và cli ck Nex t .
11.Trên DNS Regi st r at i on Di agnost i cs page, chon I w i l l cor r ect t he pr obl em l at er by
conf i gur i n g DNS manu al l y ( Adv an ced) . Click Nex t .
12.Trên Per mi ssi ons page, chon Per m i ssi ons compat i bl e on l y w i t h Wi n dow s 2000 or
Wi ndow s Ser ver 2003 oper at i ng syst em opt ion. Click Nex t .
13.Trên Di r ect or y Ser vi ces Rest or e Mode Admi n i st r at or Passw or d page ( chê dô phuc
hôi cho Domai n Cont roller khi DC này gåp phái su cô, Khi DC offline, vào chê dô
t roubleshoot này bâng cach1 Rest art Comput er, chon F8) , diên vào Rest or e Mode
Passw or d và sau dó Con f i r m passw or d. ( Các Admi n không nên nhâm lân Password ó
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
chê dô này vói Domain Administ rat or Password, diêu khiên hoat dông cúa DCs hoåc
Domain). Cli ck Nex t .
14.Trên Summar y page, cli ck Nex t .
15.Bây giò là l úc Comput er cân Rest art dê các t hông sô vùa cài dåt Act ive
16.Cli ck Fi nish t rên Compl et i ng t he Act i v e Di r ect or y I nst al l at i on Wi zar d page, hoàn
t hành viêc cài dåt .
17.Cli ck Rest ar t Now t rên Act i ve Di r ect or y I nst al l at i on Wi zar d page.
18.Log- on vào Domai n Cont roller dùng t ài khoán Admi nist rat or sau khi dã Rest art .
Cài dãt và câu hình Mi cr osof t Ex change t r ên Domai n Cont r ol l er
Comput er dã sån sàng cho viêc cài dåt Mi cr osof t Ex change. Trong phân này chúng t a sè
t iên hành nhùng buóc sau:
• Cài dåt các Servi ce I I S Worl d Wide Web, SMTP và NNTP services
• Cài dåt Mi cr osof t Ex change Ser ver 20 03
• Câu hình Out l ook Web Access WebSit e
Tiên hành các buóc sau dê cài Wor l d Wi de Web, SMTP và NNTP ser v i ces:
1. Click St ar t , chon Cont r ol Panel . Click Add or Remove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Wi ndo w s Com ponen t s
3. Trên Wi ndow s Component s page, chon Appl i cat i on Ser ver ent ry t rong Component s
page. Cl ick Det ai l s.
4. Trong Appl i cat i on Ser ver dial og box, check vào ASP.NET checkbox. Chon I nt er net
I nf or mat i on Ser v i ces ( I I S) ent ry và click Det ails.
5. Trong I nt er net I nf or mat i on Ser vi ces ( I I S) di alog box, check vào NNTP Ser v i ce
checkbox. Check t iêp SMTP Ser vi ce checkbox. Click OK.
6. Click OK t rong Appl i cat i on Ser ver dialog box.
7. Click Nex t t rên Wi ndow s Component s page.
8. Click OK vào I nser t Di sk dialog box.
9. Trong Fi l es Needed dialog box, dua duòng dân dên Folder I 386 t rên CD cài dåt
Wi ndows Server 2003 t rong copy f i l e t ù t ext box. Cl ick OK.
10. Click Finish t rên Compl et i ng t he Wi ndow s Component s Wi zar d page.
11. Close Add or Remove Pr ogr ams .
Tiên hành các buóc sau cài Mi cr osof t Ex change:
1. Ðua Exchange Server 2003 CD vào CD- ROM, t rên aut or un page, click Ex change
Depl oymen t Tool s l ink nâm duói Depl oyment headi ng.
2. Trên Wel come t o t he Ex change Ser v er Depl oyment Tool s page, cli ck Depl oy t he
f i r st Ex change 2003 ser v er l ink.
3. Trên Depl oy t he Fi r st Ex change 2003 Ser ver page, cl ick New Ex change 2003
I nst al l at i on li nk.
4. Trên New Ex ch ange 2003 I nst al l at i on page, kéo xuông cuôi t rang. Click Run Set up
now link.
5. Trên Wel come t o t he Mi cr osof t Ex ch ange I nst al l at i on Wi zar d page, click Nex t .
6. Trên Li cen se Agr eement page, chon I agr ee opt i on và cl ick Nex t .
7. Châp nhân các xác lâp måc dinh t rên Component Sel ect i on page và click Nex t .
8. Chon Cr eat e a New Ex change Or gani zat i on opt ion t rên I nst al l at i on Type page và
click Nex t .
9. Châp nhân tên måc dinh t rong Or gan i zat i on Nam e t ext box t rên Or gani zat i on Name
page, và click Nex t .
10.Trên Li censi ng Agr eement page, chon I agr ee t hat I have r ead and w i l l be bound
by t he l i cense agr eement f or t hi s pr oduct và click Nex t .
11.Trên I nst al l at i on Summar y page, cli ck Nex t .
12.Trong Mi cr osof t Ex change I nst al l at i on Wi zar d dialog box, click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
13.Cli ck Fi n i sh t rên on t he Compl et i ng t he Mi cr osof t Ex change Wi zar d page khi cài dåt
hoàn t hành.
14.Ðóng t ât cá cúa sô dang open.
Exchange Server dã duoc cài dåt và giò dây Admi n có t hê t ao các mai l box es cho User s.
Buóc kê t iêp là câu hình Out l ook Web Access sit e và chí dùng phuong t húc xác thuc duy
nhât là Basi c Aut hent i cat i on . Ðôi vói các quán t ri Mail Server t hì dây là môt câu hình
quan t rong ( nhung t ât nhiên không bât buôc) khi muôn cho phép t ruy câp t ù xa ( remot e
access) vào OWA si t e. Sau dó, chúng t a sè yêu câu môt Websi t e Cer t i f i cat e ( Chúng t ù sô
Websit e) cho OWA sit e và publ i sh OWA sit e dùng quy t âc Web Pu bl i shi ng Rul e t rênI SA
Server, t hông qua rule này, sè cho phép r emot e user s t ruy câp vào OWA sit e.
Tiên hành các buóc sau dê câu hình OWA sit e dùng phuong t húc xác t huc duy nhât Basi c
aut hent i cat i on:
1. Click St ar t , chon Admi ni st r at i ve Tool s. Click I nt er net I nf or mat i on Ser v i ces ( I I S)
Manager .
2. Trong I nt er net I n f or mat i on Ser vi ces ( I I S) Manager consol e, mó rông ser ver
name, mó rông WebSi t es node Và mó Def au l t Web Si t e.
3. Click t rên Publ i c node và sau dó right click. Cli ck Pr oper t i es.
4. Trong Publ i c Pr oper t i es dial og box, click Di r ect or y Secur i t y t ab.
5. Trên Di r ect or y Secur i t y t ab, click Edi t t rong khung Aut hent i cat i on and access
cont r ol .
6. Trong Aut hent i cat i on Met hods dialog box, dám báo không check vào ( remove)
I nt egr at ed Wi nd ow s aut hent i cat i on checkbox. Cli ck OK.
7. Click Apply và cli ck OK.
8. Click t rên Ex ch ange node và right cli ck. Click Propert ies.
9. Trên Ex change Pr oper t i es dialog box, cli ck Di r ect or y Secur i t y t ab.
10.Trên Di r ect or y Secur i t y t ab, cli ck Edi t t rong Aut hent i cat i on and access cont r ol
11.Trong Aut hent i cat i on Met hods dialog box, dám báo không check vào ( remove)
I nt egr at ed Wi nd ow s aut hent i cat i on checkbox. Cli ck OK.
12.Cli ck Appl y, click OK t rong Ex chang e Pr oper t i es dialog box.
13.Cli ck t rên Ex chWeb node,sau dó right cli ck. Cli ck Pr oper t i es.
14.Trong Ex chWeb Pr oper t i es dialog box, cl ick Di r ect or y Secur i t y t ab.
15.Trên Di r ect or y Secur i t y t ab, click Edi t t rong khung Aut hent i cat i on and access
cont r ol
16.Trong Aut hent i cat i on Met hods dialog box, không check ( remove) vào Enabl e
an ony mous access checkbox. Sau dó check vào Basi c aut hent i cat i on ( chú ý dùng
phuong t húc xác t huc này, password duoc gúi di duói dang cl ear t ext ) checkbox. Click
Yes t rong I I S Manager dial og box và Admin nhân duoc t hông báo râng password duoc
gúi di hoàn t oàn không mã hóa ( clear) . Trong Def aul t domai n t ext box, dua vào t ên
I nt er nal Net w or k domai n, chính là MSFI REWALL. Click OK.
17.Cli ck Appl y t rong Ex chWeb Pr oper t i es dial og box. Click OK t rong I nher i t ance
Ov er r i des dialog box. Click OK t rong Ex chWeb Pr oper t i es dialog box.
18. Right click Def aul t Web Si t e và click St op. Right click lai Def aul t Web Si t e và click
St ar t .
Kêt l u ân:
Trong sách huóng dân câu hình I SA Server 2004 này chúng t a dã t háo luân nhùng muc t i êu
và nhùng phuong t húc, dê có t hê nâm bât t riên khai và câu hình I SA sao cho hiêu quá nhât .
Sách huóng dân cùng cung câp cho các ban phuong pháp giái quyêt vân dê t heo t ùng buóc
cu t hê. Chuong môt này tâp t rung vào viêc xây dung môt co só ha tâng Net work ( Net wor k
I nfrast ruct ure) t heo mô hình Mi crosoft Act ive Directory Domai n t rên máy chú Winndows
server 2003 Domain Cont roller, và t ri ên khai các Service khác liên quan dên ha t âng
Net work nhu WI NS, DNS, và các Servi ce gia t ång nhu Web, Mail .. Chuong kê t iêp t rình bày
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
cách t húc cài dåt môt Mi cr osof t Cer t i f i cat e Ser vi ces t rên Domai n Con t r ol l er
Comput er .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 2:
Cài dãt Cer t i f i cat e Ser v i ces
( Cer t i f i cat e ser v i ces cung câp Chúng t ù k ï t hu ât sô cho các gi ao dich Net w or k )
Mi crosoft Cert ificat e Services có t hê duoc cài dåt t rên Domain cont roller cúa i n t er nal
Net w or k và cung câp các Cer t i f i cat es cho các Host s t rong I nt ernal Net work domain,
cùng nhu các Host s không là t hành viên cúa I nt ernal Net work domain. Chúng t a sè sú dung
Cert ificat es t rong nhiêu kich bán khác nhau, các công vi êc cân hoàn t hành:
Mi crosoft Cert ificat e Services có t hê duoc cài dåt t rên Domain cont roller cúa i n t er nal
Net w or k và cung câp các Cer t i f i cat es cho các Host s t rong I nt ernal Net work domain,
cùng nhu các Host s không là t hành viên cúa I nt ernal Net work domain. Chúng t a sè sú dung
Cert ificat es t rong nhiêu kich bán khác nhau, các công vi êc cân hoàn t hành:
• Cho phép I SA Server 2004 Firewall cung câp kênh dê hô t ro L2TP/ I PSec VPN pr ot ocol ,
tao liên kêt si t e- t o- si t e VPN.
• Cho phép I SA Server 2004 Firewall cung câp kênh dê hô t ro L2TP/ I PSec VPN pr ot ocol ,
tao diêu kiên cho VPN client t huc hiên kêt nôi t ù môt Remot e Locat i on ( sit e)
• Cho phép r emot e user s có t hê t ruy câp dên Out l oo k Web Access sit e, phuong t húc
báo mât manh SSL- t o- SSL br i dged connect i ons.
• Publ ish secure Ex change SMTP và POP3 ser vi ces lên I nt ernet Cert ifi cat es cho phép
dùng SSL/ TLS secur i t y. SSL ( Secur e Sock et s Layer ) pr ot oco l , là môt giao t húc l óp
sessi on (layer) có khá nång mã hóa dù liêu t ruyên giùa client và server.
SSL securi t y hiên duoc xem là chuân cung câp an t oàn cho các remot e access dên các
Websit es. Ngoài ra, cert ificat es còn có t hê duoc dùng dê xác nhân các dôi t uong t ham gia
các kêt nôi VPN , bao gôm VPN cl ient s và VPN servers (phuong pháp này goi là xác t huc cá
hai chi êu- mut ual Aut hent i cat ion)
Trong phân này chúng t a sè dê câp dên các t iên t rình sau:
• Cài dåt I nt er net I nf or mat i on Ser vi ces 6.0 dê hô t ro Cer t i f i cat e Aut hor i t y’ s Web
Enr ol l ment ( nhân các Cert ifi cat es t ù CA server t hông qua hình t húc dång kí t rên
CA’sWeb)
• Cài dåt Microsoft Cert ificat e Services ó chê dô Ent er pr i se CA
Cài dãt I nt er net I nf or mat i on Ser v i ces 6.0
Cer t i f i cat e Aut hor i t y ’ s Web enr ol l ment sit e sú dung I nt er net I nf or mat i on Ser vi ces
Wor l d
Wi de Pu bl i sh i ng Ser vi ce. Bói vì chúng t a dã cài I I S Web servi ces , t rong chuong 1 khi
t iên hành cài Exchange 2003 hô t ro Out look Web Access sit e, nên sè không cân cài lai I I S
service. Tuy nhi ên, ban nên xác nhân l ai WWW Publ i shi n g Ser vi ce dã duoc Enabl ed,
t ruóc khi t i ên hành cài Ent erprise CA.
Thi hành các buóc sau dê xác nhân WWW Publ ishing Servi ce dang chay t rên domai n
cont roller:
1. Click St ar t chon Admi n i st r at i ve Tool s. Cl ick Ser v i ces.
2. Trong Ser v i ces console, click St andar d t ab phía duói. Kéo xuông danh sách và double-
click vào Wor l d Wi de Web Pu bl i shi ng Service .
3. Trong Wor l d Wi de Web Publ i shi ng Ser ver Pr oper t i es dialog box, xác nhân St ar t u p
t y pe là Aut omat i c, và t rang t hái vân hành cúa servi ce là St ar t ed.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click Cancel và dóng Services console.
Nhu vây WWW Publishing Service dã vân hành, buóc t iêp t heo là cài dåt Ent er pr i se CA
soft ware.
Cài dãt Cer t i f i cat e Ser vi ces ó chê dô Ent er pr i se CA
Mi crosoft Cert ifi cat e Servi ces sè duoc cài dåt ó chê dô này t rên chính domain cont rol ler. Có
nhùng t huân loi khi cài CA ó chê dô Ent erprise mode ( nguoc lai vói St andal one mode) bao
gôm:
• Chúng t ù gôc cúa CA ( root CA cert i ficat e) duoc t u dông dua vào vùng luu t rù Cert ificat e
cúa Tr ust ed Root Cer t i f i cat i on Aut h or i t i es ( cert ificat e st ore) t rên t ât cá các máy t hành
viên cúa Domain ( domain member) . Các Comput er t hành viên cúa Domain khi dùng các
giao dich cân Cert ifi cat es dê nâng cao t ính an t oàn, có t hê dê dàng t ìm các nhà cung câp
hop pháp- CA servers, t rong Tr ust ed Root Cer t i f i cat i on Aut h or i t i es t rên Comput er cúa
mình.
• Các Client s này cùng dê dàng dùng Cer t i f i cat es MMC snap- in ( t ai RUN, t ype mm c, chon
Fi l e, Add/ Remove snap- i n, Add, chon Cer t i f i cat es) , và dê dàng dùng snap- in này dê
yêu câu cert ificat es t ù CA Server s hoåc t ù CA’s Websit es
• Tât cá các Comput er t rong Domain có t hê duoc phân chia Cert ifi cat es dông l oat t hông qua
t ính nång Act i ve Di r ect or y aut oenr ol l ment feat ure
Luu ý râng không nhât t hiêt phái cài CA ó Ent erpri se mode. Ban có t hê cài CA ó chê dô
St an dal one mode, nhung t rong Lab này chúng t a sè không dê câp st andalone mode hoåc
làm t hê nào dê xin câp cert ificat e t ù môt St andal one CA
Tiên hành các buóc sau dê cài dåt Ent erprise CA t rên Domain Cont roller
EXCHANGE200 3BE
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
1. Click St ar t , Cont r ol Panel . Click Add or Rem ove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Wi ndo w s Com ponen t s
3. Trên Wi ndow s Component s page, kéo danh sách xuông và check vào Cer t i f i cat e
Ser v i ces checkbox. Click Yes t rong Mi cr osof t Cer t i f i cat e Ser vi ces dialog box, t hông báo
râng i nformi ng “ y ou may not change t h e n ame of t he machi ne or t he machi ne's
domai n member shi p w hi l e i t i s act i ng as a CA” . Nhu vây là rât rõ ràng Ban không t hê
t hay dôi Comput er Name hoåc t hay dôi t u cách t hành viên Domain cúa Comput er này, sau
khi dã cài CA servi ce.Cli ck Yes.
4. Click Nex t t rên Wi ndow s Component s page.
5. Trên CA Type page, chon Ent er pr i se r oot CA option và cl ick Nex t .
6. Trên CA I dent i f yi ng I nf or mat i on page, diên t ên cho CA server này t rong Common
name cúa CA t ext box. Nên dùng t ên dang DNS host name cúa domain cont roller. Tham
kháo vê câu hình DNS hô t roI SA Server
ht t p: / / www.t act eam. net / i saserverorg/ isaboki t / 9dnssupport / 9dnssupport .ht m
Trong t ext box này các ban diên vào Net BI OS name cúa domain cont roller là
EXCHANGE200 3BE. Click Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Nêu Comput er này t ruóc dây dã cài dåt môt CA, ban sè duoc hói “ you w i sh t o
over w r i t e t he ex i st i ng key", ghi dè l ên các k hóa dã t ôn t ai . Còn nêu ban dã t r iên khai
các CA khác t rên Net work có t hê không nên overwrit e các khóa hiên t ai. Và nêu dây là CA
dâu t i ên, có t hê châp nhân over w r i t e t he ex i st i ng key . Tr ong ví du này chúng t a t ruóc dó
dã chua cài CA t rên Comput er vì vây không nhìn t hây dialog box t hông báo nhu t rên
8. Trong Cer t i f i cat e Dat abase Set t i ngs page, dùng vi t rí luu t rù måc dinh cho Cert ificat e
Dat abase và Cert ificat e dat abase log t ext boxes. Click Nex t .
9. Click Yes t rong Mi cr osof t Cer t i f i cat e Ser vi ces dialog box, ban nhân duoc t hông báo
phái rest art I nt er net
I nf or mat i on Ser vi ces. Click Yes dê st op service. Service sè duoc rest art aut omat ic.
10. Click OK t rong I nser t Di sk dialog box. Trong Fi l es Needed dialog box, dua duòng dân
dên I 386 folder t rong Copy f i l e f r om t ext box và click OK.
11. Click Finish t rên Compl et i ng t he Wi ndow s Component s Wi zar d page.
12. Ðóng Add or Remove Pr ogr ams.
Tai t hòi diêm này Ent erprise CA có t hê câp phát cert ifi cat es cho các Comput er khác t rong
Domai n t hông qua aut oen r ol l ment , Cer t i f i cat es mmc snap- i n, hoåc qua Web
en r ol l ment si t e. Trong huóng dân câu hình I SA Server 2004
này, chúng t a sè câp phát môt Web si t e cer t i f i cat e cho OWA Web sit e và cùng câp phát
các Comput er cer t i f i cat es cho I SA Server 200 4 Fi r ew al l comput er và cho các ex t er nal
VPN
cl i ent và VPN gat ew ay ( VPN r out er ) machine.
Kêt l u ân:
Trong phân này chúng t a dã t háo luân vê vi êc dùng môt CA- Cert ifi cat e Aut hori t y và l àm
t hê nào dê cài dåt môt Ent erpri se CA t rên Domai n cont roller t rong i nt er nal Net w or k. Và
t iêp t heo chúng t a sè dùng Enterprise CA dê câp Computer Cert i ficat es cho các VPN client s
và servers, cùng câp luôn môt Web sit e cert ificat e cho Exchange Server’ s Out look Web
Access Web sit e.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 3:
Cài dãt và câu hình Mi cr osof t I nt er net Aut hent i cat i on Ser v i ce
Mi crosoft I nt ernet Aut hent icat i on Server ( I AS) là môt chuân t huôc loai RADI US ( Remot e
Aut hent icat ion Dial I n User Service) server duoc dùng dê xác t huc Users kêt nôi dên I SA
Server 2004 Fi rewall machine. Ban có t hê dùng I AS dê xác thuc các Web Proxy cl ient s t rên
I nt ernal Net work hay VPN client s, VPN gat eways dang t iên hành kêt nôi t ù môt Ext ernal
Net work locat ion ( ví du nhu t ù môt vån Phòng chi nhánh cúa công t y) . Ngoài ra, có t hê
dùng RADI US xác t huc remot e users khi nhùng dôi t uong này kêt nôi dên các Web servers
dã duoc publi shed t hông qua Web Publishing rules t rên I SA Server 2004
Uu diêm chính cúa viêc dùng RADI US xác t huc Web proxy và VPN connect ions là SA Server
2004 Firewall comput er không cân phái là t hành vi ên cúa Act ive Di rect ory Domai n mói có
t hê xác t huc duoc các Users, khi t ài khóan cúa nhùng Usr s này dang nâm t rong Act i ve
Di rect ory dat abase t huôc I nt ernal Net work. Nhi êu Fi r ew al l admi ni st r at or s k huy ên cáo
ráng k hông nên dê Fi r ew al l Comput er l à t hành v i ên t r ong Domai n User . Vì diêu này
có t hê ngån chån At t ackers xâm nhâp vào Firewall, và qua dó có duoc quyên Domain
Member t ù Firewall này, mó rông huóng t ân công vào Nôi bô Net work .
Tuy nhiên, nhuoc diêm lón khi không dua I SA Server 2004 Firewal l làm t hành viên cúa
I nt ernal Net work domain dó là chúng t a sè không t hê dùng I SA Fi rewall Cl ient dê cung câp
các xác t huc hop pháp cho I SA Server khi các Firewall Cl ient s này t ruy câp dên t ât cá các
giao t húc TCP và UDP. Chính vì lý do này, chúng t a sè t ao môt I SA Server 2004 Firewall
comput er làm môt t hành vi ên cúa I nt ernal Domain. Tuy nhiên nêu ban không gia nhâp
Firewall vào Domain, vân có t hê dùng I AS dê xác t huc các VPN và Web Proxy client s.
Các công viêc t iêp t heo sè là:
Cài dãt và câu hình Mi cr osof t I nt er net Aut hent i cat i on Ser vi ce
Mi crosoft I nt ernet Aut hent icat i on Service server là môt RADI US server. Chúng t a sè sú
dung RADI US server này t rong các phân sau cúa huóng dân ( bât chúc nång RADI US
aut hent icat ion phuc vu cho Web Publ ishing Rules và t ìm hiêu cách t húc môt RADI US server
xác t huc PN client s nhu t hê nào)
Tiên hành các buóc sau dê cài dåt Microsoft I nt ernet Aut hent icat ion Server t rên domain
cont roller EXCHANGE2003BE t huôc I nt ernal Net work:
1. Click St ar t , Cont r ol Panel . Click Add or Rem ove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Wi ndo w s Com ponen t s
3. Trên Wi ndow s Componen t s page, kéo xuông Component s list và chon Net w or k i ng
Ser v i ces ent ry. Cl ick Det ai l s.
4. Check vào I nt er net Aut hent i cat i on Ser vi ce checkbox và cl ick OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Click Nex t t rên Wi ndow s Component s page.
6. Click Finish t rên Compl et i ng t he Wi ndow s Component s Wi zar d page.
7. Ðóng Add or Remove Pr ogr ams
Tiêp t heo chúng t a sè câu hình I nt ernet Aut hent icat ion Servi ce
Câu hình Mi cr osof t I nt er net Aut hent i cat i on Ser vi ce
Ban cân câu hình I AS server dúng cách dê có t hê làm viêc vói I SA Server 2004 Firewall
comput er. Tai t hòi diêm này, chúng t a sè câu hình I AS Server dê làm viêc vói I SA Server
2004 Firewall. Sau dó sè câu hình Firewall dê giao t iêp vói I AS server.
Tiên hành các buóc sau vói Domain cont rol ler t rên I nt ernal Net work dê câu hình I AS server:
1. Click St ar t , Admi ni st r at i ve Tool s. Click I nt er net Aut hen t i cat i on Ser vi ce.
2. Trong I nt er net Aut hent i cat i on Ser vi ce console, mó rông I nt er net Aut hen t i cat i on
Ser v i ce ( Local ) node. Right click t rên RADI US Cl i en t s node và click New RADI US
Cl i ent .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Trên Name an d Addr ess page cúa New RADI US Cl i ent w i zar d, diên vào Friendly-
name cúa I SA Server 2004 Firewall comput er t rong Fr i endl y name t ext box. Ðon gián là
t ên này duoc dùng dê xác dinh RADI US cli ent và không duoc sú dung cho nhùng muc dích
hoat dông. Ðua dây dú FQDN name ( l à EXCHANGE2003BE. MSFI REWALL. ORG) , hoåc
I P address cúa I SA Server 2004 Firewall comput er t rong Cl i ent addr ess ( I P or DNS) t ext
box.
4. Click Ver i f y. Trong Ver i f y Cl i ent dialog box, FQDN- f ul l y qual i f i ed domai n name cúa
I SA Server 2004 Firewall comput er sè xuât hiên t rong Cl i ent t ext box. Click Resol v e. Nêu
RADI US server có t hê giái quyêt Tên t hì I P address sè xuât hiên t rong I P addr ess f r ame.
Nêu RADI US server không t hê giái quyêt t ên ra I P Address, diêu này luu ý vói Admi n râng:
host name cúa I SA Server 2004 Fi rewall chua duoc t ao t rong DNS server ( chua t ao record
choI SA Server) . Nêu t ruòng hop này xáy ra, ban có t hê dua 2 cách gi ái quyêt : Tao A Record
cho I SA Server t rên DNS server duoc cài dåt t rên Domain cont roller, hoåc ban có t hê dùng
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
I P address t rên I nt ernal i nt erface ( 10.0.0.1) cúa I SA Server 2004 Firewal l t rong Cl i ent
addr ess ( I P and DNS) t ext box t huôc Name or Addr ess page ( dã dê câp ó t rên) . Click OK
vào Ver i f y Cl i ent dialog box. Muc dích cúa các xác l âp t rong phân này là biên I SA Server
2004 Firewal l t ró t hành môt RADI US Cli ent , khi dó giù RADI US server và RADI US Cl ient mói
có t hê bât t ay công t ác.
5. Click Nex t t rên Nam e and Addr ess page cúa New RADI US Cl i ent wizard.
6. Trên Addi t i onal I nf or mat i on page cúa wizard, dùng def aul t Cl i ent - Vendor ent ry,
chuân cúa RADI US. Ðiên vào môt passw or d t rong Shar ed secr et t ext box và xác nhân l ai
passw or d này. Password bí mât duoc chia sè (chí có RADI US server và RADI US Cl ient - I SA
Server 2004 Firewall biêt ) , và dùng “ t ín hiêu” này dê làm viêc vói nhau. Shar ed Secr et
chúa ít nhât 8 kí t u ( cá hoa l ân t huòng, sô và cá các kí t u dåc bi êt . . ) . Check vào Request
must con t ai n t he Message Aut hent i cat or at t r i but e check box. Click Finish.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Bây giò các ban dã t hây New RADI US cl i ent ent ry xuât hiên t rên console
8. Ðóng I nt er net Aut hent i cat i on Ser vi ce console.
Viêc câu hình t iêp t heo t rên I SA Server 2004 Firewal l dê công nhân dôi t ác cúa nó là
RADI US server, câu hình sè duoc t iên hành t hông qua giao di ên quán t ri I SA Server 2004
Firewall và RADI US server này sè dám nhiêm vai t rò xác t huc các yêu câu t ù Web và VPN
cli ent .
Kêt l u ân:
Trong chuong này chúng t a dã dê câp dên Mi cr osof t I nt er net Aut hent i cat i on Ser v er ,
cách t húc cài dåt và câu hình môt I AS server t rên Domain cont roller t huôc I nt ernal Net work
domain. Trong các phân kê t iêp cúa huóng dân, chúng t a sè dùng I AS server này dê xác
t huc các yêu câu t ù bên ngoài ( i ncoming request st cúa Web/ VPN Client s) t ruy câp vào
Web/ VPN server.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 4:
Cài dãt và câu hình Mi cr osof t DHCP và WI NS Ser v er Ser v i ces
Windows I nt ernet Name Servi ce ( WI NS) khi Service này duoc t riên khai t rong I nt ernal
Net work Domain, nó sè phuc vu các Comput er t rong Net work gi ái quyêt dê t ìm Net BI OS
names l ân nhau, và môt Comput er A t rong Net work này có t hê t hông qua WI NS server dê
giái quyêt duoc Net BI OS name cúa Comput er B ó môt Net work khác ( t ât nhiên hê t hông
WI NS thông t huòng chí duoc dùng dê giái quyêt t ên Net bios names t rong Nôi bô Net wor k
cúa Tô chúc, t ránh nhâm lân vói cách giái quyêt host name cúa DNS server- có khá nång
giái quyêt t ên dang FQDN ( www.nis. com.vn) cúa I nt ernet hoåc I nt ernal Net work Domain.
Các ban có thê t ham kháo “ XÂY DUNG HA TÂNG MANG TRÊN MI CROSOFT WI NDOWS
SERVER 2003” , sâp duoc phát hành cúa t ôi dê hi êu rõ hon vê vai t rò cúa môt WI NS server
t rong Nôi bô Net work .
Các Comput er t rong I nt ernal Net work sè duoc câu hình vói vai t rò WI NS cl i ent s, sè dång
kí t ên cúa mình ( Net bios/ Comput er names) vói WI NS server. WI NS client s cùng có t hê gúi
các yêu câu t ruy vân t ên dên WI NS ser ver dê giái quyêt Name t hành I P addr esses. Nêu
t rong Nôi bô Net work không có WI NS Ser ver, t hì Windows client s sè gúi các message dang
br oadcast dê t ìm Net bios name cúa Comput er muôn giao t iêp. Tuy nhiên, nêu các
Comput er này nâm t ai môt Net work khác ( vói Net wor k I D khác) t hí các Br oadcast này sè bi
ngån chån (chúc nång ngån chån broadcast là måc dinh t rên các Rout er) . Nhu vây t rong
Nôi bô Net wor k cúa môt Tô chúc, gôm nhiêu Net wor k Segment s, t hì viêc giái quyêt cho các
Comput er t ù Net work 1 t ìm Net Bi os name cúa các Comput ers ó Net work 2, 3. Dùng WI NS
server là giái pháp lý t uóng.
WI NS server cùng dåc bi êt quan t rong cho các VPN client s. VPN client s không t ruc t iêp kêt
nôi dên I nt ernal Net work, và nhu vây không t hê dùng broadcast s dê giái quyêt Net BI OS
names cúa các Comput ers bên t rong Nôi bô Net work . ( Trù khi ban dùng Windows Server
2003 và mó chúc nång Net BI OS proxy, sè hô t ro Net BI OS broadcast , nhung rât han chê) .
VPN cl ient s dua vào WI NS server dê gi ái quyêt Net BI OS names và sú dung các t hông t in
này dê t ìm kiêm các Comput ers t rong My Net work Pl aces cúa I nt ernal Net work.
Dynamic Host Configurat ion Prot ocol ( DHCP) duoc dùng dê cung câp t u dông các t hông sô
liên quan dên I P address ( TCP/ I P set t ings) cho DHCP client s. DHCP server sè duoc câu hình
t rên I nt ernal Net work server và không phái t rên chính I SA Server 2004 Fi rewall. Khi chúng
t a dã câu hình DHCP server t rên I nt ernal Net work, I SA Server 2004 Firewall t u dông có t hê
t huê I P Addresses t ù DHCP ser ver và phân bô l ai cho các VPN Client s ( các I P addr esses này
duoc lây t ù môt vùng dia chí dåc bi êt t rên DHCP server, ví du Admin dã t ao sån môt DHCP
scope có t ên là “ VPN Client s Net work.” , vùng này chúa các I P address và các t hông sô chí
cung câp cho VPN Client s)
Viêc diêu khiên t ruy câp ( Access cont rols) và cách t húc dinh t uyên ( rout ing relat ionshi ps)
cho các VPN Cli ent s này t ruy nhâp Nôi bô Net work có t hê duoc câu hình giùa VPN Client s
Net work và các Nôi bô Net work duoc xác dinh t rong phân vùng LAT ( Local Address Table)
do I SA Server 2004 Firewal l quán lý.
Trong phân này chúng t a sè t huc hiên viêc cài dåt Microsoft WI NS và DHCP services. Sau dó
chúng t a sè câu hình môt DHCP scope vói các t hông sô hop l ý cúa DHCP scope opt i ons.
Cài dãt WI NS Ser vi ce
Windows I nt ernet Name Service ( WI NS) duoc sú dung dê giái quyêt Net BI OS names ra I P
Addresses ( don gián vì chúng t a dang dùng Net work TCP/ I P, Net work gi ao t iêp t heo sô- I P
address, Comput er name chí là yêu t ô phu, và là t hói quen xác lâp giao t iêp, vì t ên dê nhó
hon sô) . Trong các mô hình Net work mói ngày nay ( ví du Net work Mi crosoft Windows
2000/ 2003) sú dung giái pháp t ìm t ên chính dó là DNS servi ce, WI NS service t riên khai
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
t hêm là môt su l ua chon, và hoàn t oàn không bât buôc) . Tuy nhiên nhiêu Tô chúc muôn
dùng My Net w or k Pl aces dê có t hê xác dinh các Server t rên Net work. Chúng t a biêt râng
My Net work Places hoat dông t ìm kiêm các Net work Comput er dua t rên Service Wi ndow s
Br ow ser . Và Windows Browser service gi ái quyêt t ên dua t rên nên t áng Broadcast (
broadcast - based service) , nêu Net work t riên khai WI NS server Windows Browser t rên các
Computer sè phu t huôc vào WI NS server dê t hu t hâp t hông t i n vê các Comput ers phân t án
khâp các Segment cúa Net work. Ngoài ra, WI NS servi ce cùng duoc yêu câu t riên khai khi
các VPN cli ent s muôn có duoc danh sách các Comput ers t rong Nôi bô Net work . Muc dích
cài WI NS server t rong huóng dân này dê hô t ro giái quyêt Net BI OS name và Windows
browser servi ce cho các VPN client s.
Tiên hành các buóc sau dê cài WI NS:
1. Click St ar t , Cont r ol Panel . Click Add or Rem ove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Windows Component s
3. Trên Wi ndow s Component s page, kéo xuông danh sách Component s và chon
Net w or k i n g Ser v i ces ent ry. Click Det ai l s.
4. Trong Net w or k Ser vi ces dial og box, check vào Wi n dow s I nt er net Name Ser v i ce
( WI NS) check box. Check t iêp vào Dynami c Host Conf i gu r at i on Pr ot ocol ( DHCP)
check box. Cli ck OK.
5. Click Nex t t rên Wi ndow s Componen t s page.
6. Click OK t rên I nser t Di sk dialog box. Trong Fi l es Needed dial og box, dua duòng dân
dên I 386 folder t rong muc Copy f i l es f r om t ext box và click OK.
7. Click Finish t rên Compl et i ng t he Wi ndow s Component s Wi zar d page.
8. Ðóng Add or Remove Pr ogr ams .
WI NS server dã sån sàng phuc vu nhu câu dång kí Net BI OS name ngay lâp t úc mà không
cân bât cú câu hình t hêm nào. I SA Server 2004 Firewal l, Domain cont roller, và các I nt ernal
Net work cl ient s t ât cá sè duoc câu hình nhu WI NS Client và sè dång kí vói WI NS server
t rong muc xác lâp TCP/ I P cúa mình (TCP/ I P Propert ies set t ings)
Câu hình DHCP Ser v i ce
Dynamic Host Configurat ion Prot ocol ( DHCP) duoc sú dung dê phân chi a t u dông các t hông
sô liên quan dên I P
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Address cho I nt ernal Net work cli ent s và VPN cli ent s. Trong Lab này, muc dích chính cúa
DHCP server là câp phát các t hông sô I P address cho Net work VPN cli ent s. Luu ý râng,
t rong mô hình Net work t huc t ê cúa các Tô chúc, nên câu hình các Comput er t ró t hành DHCP
cli ent s, không nên yêu câu môt I P address t inh. ( t ât nhiên có nhùng t ruòng hop ngoai lê, ví
du nhu dùng I P cô dinh cho Server s, hoåc t r ong môt Net wor k có sô l uog Comput er ít , t ri ên
khai t hêm DHCP server t ao chi phí gia t ång dáng kê, làm t ång Tot al Cost Ownership- TCO. . )
DHCP server servi ce dã duoc cài dåt t heo nhùng t hú t uc dua ra t ai chuong 1. Buóc kê t i êp,
chúng t a sè câu hình môt DHCP scope ( vùng I P addresses, kèm t heo các t hông sô t ùy chon-
DHCP opt ions) . Tât cá nhùng t hông sô này sè duoc cung câp cho các DHCP Client s.
Tiên hành các buóc sau dê câu hình môt DHCP scope:
1. Click St ar t , Admi ni st r at i ve Tool s. Click DHCP.
2. Trên DHCP console, ri ght cli ck t rên ser ver name và click Aut hor i ze ( xác nhân DHCP
server này hoat dông hop pháp t rong Domain, nhu vây t ât cá các DHCP server không duoc
Aut horize sè bi vô hiêu hóa t rong viêc cung câp I P addresses)
3. Click nút Ref r esh .Các ban sè nhân t hây icon cúa DHCP server chuyên t ù Ðó sang Xanh
lá cây, và DHCP dã hoat dông
4. Right cli ck t rên ser ver name, cl ick New Scope.
5. Click Nex t t rên Wel come t o t he New Scope Wi zar d page.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
6. Trên Scope Name page, dåt t ên cho scope t rong Name t ext box và dua t hông t in mô t á
t rong Descr i pt i on t ext box. Trong ví du này, chúng t a sè dåt t ên scope là scope 1 và
không mô t á t rong Descript ion. Click Nex t .
7. Trên I P Addr ess Range page, dua vào môt I P address bât dâu St ar t I P addr ess ) và
môt I P Adrress Cuôi cùng ( End I P addr ess ) t rong t ext boxes. Và dây chính l à vùng dia chí
I P mà ban muôn sån sàng cung câp cho DHCP Client s. Tr ong ví du này, chúng t a sè xác l âp
nhu sau: St ar t addr ess l à 10.0.0.200 và End addr ess là 10.0.0.219. Vúng này chúa 20
I P Address cho DHCP Client s. Sau dó chúng t a sè câu hình I SA Server 2004 Firewall cho
phép các VPN client s t huc hiên dông t hòi 10 VPN connect ions, và vì t hê có t hê mât t ôi da10
t rong sô 20 I P addresses này cho VPN Cli ent s. I SA Server 2004 Fi rewall có t hê yêu câu
nhiêu hon 10 I P Addresses này t ù DHCP server, nêu t huc su diêu dó là cân t hiêt . Tiêp t heo
chúng t a sè dua t hông sô subn et mask vào t ext box Lengt h hoåc Subnet mask . Trong ví
du ó dây, chúng t a xác nhân giá t ri 24 t rong Lengt h t ext box. Giá t ri Subnet mask cùng
tu dông t hay dôi sau khi ban dã diên giá t ri vào Lengt h. Cli ck Nex t .
8. Không xác dinh bât kì ex cl usi ons ( vùng l oai t rù, nhâm muc dích du t rù cho nhu câu
dùng I P addresses t uong l ai, hoåc dê t ránh câp phát nhùng I P dang duoc sú dung cô dinh
t rên Net work cho các t hi êt bi nhu Rout ers, Net work Print ers. . ) , t rên Add Ex cl usi ons page.
Click Nex t .
9. Châp nhân l uong t hòi gian cho t huê dia chí ( lease durat ion) là 8 ngày t ai Lease
Dur at i on page. Click Nex t .
10. Trên Conf i gur e DHCP Opt i ons page, chon Yes, I w ant t o conf i gu r e t hese
opt i ons now opt i on và click Nex t .
11. Trên Rout er ( Def aul t Gat ew ay ) page, diên vào I P address cúa i nt er nal i nt er f ace
( 10. 0. 0. 1) t r ên I SA Server 2004 Firewal l comput er t rong I P addr ess t ext box và click Add.
Click Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
12. Trên Domai n Name and DNS Ser ver s page, diên t ên Domain cúa I nt ernal Net work
t rong Par ent domai n t ext box. Ðây là Domain name duoc dùng bói các DHCP client s, cån
cú vào dây, các Cli ent s này sè xác dinh môi t ruòng Net work mà mình dang hoat dông, và
t huân l oi cho các Admin sau này, khi câu hình các t hông sô nhu w pad ent ry, có chúc nång
phuc vu cho các Web Proxy và Firewall client t u dông phát hiên, và làm viêc vói Firewall
Service hoåc Web Proxy Service ( hai Service vân hành t rên I SA Server 2004) chúc nång
này goi là Aut odi scover y. Trong ví du này, các ban sè dua vào t ên Domain là
MSFi r ew al l .or g t rong t ext box. Trong I P addr ess t ext box, diên I P address cúa DNS
ser v er ( 10.0.0.2) t rên I nt ernal Net work. Chú ý domai n cont roll er cùng là DNS server
int ernal Net work nhu dã xác dinh t ai các phân t ruóc. Click Add. Click Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
13. Trên WI NS Ser ver s page, diên I P address cúa WI NS server ( 10.0.0.2) và Click Add
14. Trên Act i vat e Scope page, chon Yes, I w ant t o act i vat e t hi s scope now opt ion
và click Nex t .
15. Click Finish t rên Compl et i ng t he New Scope Wi zar d page.
16. Trong DHCP console, mó rông Scope 1 node, cl ick vào Scope Opt i ons node. Ban sè
t hây danh sách các Opt ions vùa câu hình.
17. Ðóng DHCP consol e.
Tai t hòi diêm này DHCP server sån sàng phuc vu phân chi a các t hông sô liên quan dên I P
address cho DHCP cl ient s t rên Nôi bô Net work ,và cá các VPN Cl ient s t huôc VPN client s
Net work. Tuy nhiên, I SA Server 2004 Firewal l sè chua cung câp các t hông sô I P này cho
VPN Cli ent s khi mà Admin chua cho phép t riên khai Service VPN ( VPN server) t rên Firewal l.
Kêt l u ân:
Trong chuong này, chúng t a dã t háo luân viêc sú dung Mi crosoft WI NS và DHCP servers, cài
dåt cá hai Service này lên Domain cont roller, và câu hình môt DHCP Scope t rên DHCP
server. Ó phân sau chúng t a sè nói dên cách t húc mà các Servi ce này sè hô t ro cho các VPN
cli ent s
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Chuong 5:
Câu hình DNS và DHCP dê hô t r o t ính nãng Aut odi scover y cho Web Pr ox y và
Fi r ew al l Cl i ent
Web Proxy Aut odi scovery Prot ocol ( WPAD) duoc sú dung dê cho phép các t rình duyêt Web
browsers ( nhu I nt ernet Explorer, Nest cape Navigat or…) và I SA Firewall client có t hê t u
dông khám phá I SA Server 2004 Firewal l ( I P address). Các Client này sau dó có t hê
download các t hông t in câu hình t u dông ( Aut oconfigurat ion i nformat ion) t ùFirewall, sau dó
Web Proxy và Firewall client sè discover ra address liên lac vói I SA Server.
Tóm l ai chúc nång WPAD giái quyêt cung câp các t hông sô t u dông cho các Web browsers.
Xác l âp måc dinh trên I nt ernet Explorer 6.0 là aut odi scover Web pr ox y cl i ent . Khi xác
lâp này duoc en abl ed, Web browser có t hê gúi di môt t hông diêp DHCPI NFORM
message hoåc môt t ruy vân DNS quer y dê t ìm dia chí cúa I SA Server 2004, dua t rên
nhùng t hông t in dã nhân duoc ( download) t ù Aut oconf i gur at i on i nf or mat i on.
Ðiêu này gi úp cho các Web browser t hât t huân loi khi có t hê t u dông dùng Fi rewall (det ect
Firewall) dê kêt nôi ra I nt ernet .
I SA Server 2004 Firewall cl ient cùng có t hê dùng w pad ent ry dê t ìm I SA Server 2004
Firewall và downl oad các t hông t in câu hình này vê.
Trong phân này chúng t a sè t iên hành
• Câu hình hô t ro DHCP WPAD
• Câu hình hô t ro DNS WPAD
Sau khi t hông tin w pad duoc câu hình t rên DHCP và DNS server, t hì Web Proxy và Firewall
cli ent s sè không cân phái câu hình t hú công dê có t hê ra I nt ernet t hông qua I SA Server
2004 Firewall.
Câu hình hô t r o DHCP WPAD
DHCP scope opt i on sô 252 có t hê duoc dùng dê câu hình t u dông cho Web Proxy và
Firewall client s. Web Proxy hoåc Firewall client phái duoc câu hình t ró t hành DHCP client , và
các Users log- on vào các Client s này phái là t hành viên cúa nhóm Local admi ni st r at or s
gr ou p hoåc Pow er user s gr oup ( Windows 2000) . Trên Wi ndows XP, t hì chí cân là t hành
viên cúa nhóm Net w or k Conf i gur at i on Oper at or s gr oup là có quyên dê t huc hiên gúi
các t ruy vân DHCP ( DHCPI NFORM messages) .
Chú ý:
Chi t iêt hon vê nhùng han chê cúa vi êc dùng DHCP phuc vu Aut odi scover y cho I nt ernet
Expl orer 6.0, t ham kháo huóng dân “ Aut omat i c Pr ox y Di scov er y i n I nt er net Ex pl or er
w i t h DHCP Requi r es Speci f i c Per mi ssi ons “ t ai
ht t p: / / support .microsoft . com/ default .aspx?scid= kb; en- us; 312864
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Tiên hành các buóc sau t ai DHCP server dê t ao DHCP opt i on phuc vu cho chúc nång w pad
1. Mó DHCP console t ù Admi ni st r at i ve Tool s menu, right click ser ver name. Cli ck Set
Pr edef i n ed Opt i ons
2. Trong Pr edef i ned Opt i ons an d Val ues dial og box, click Add.
3. Trong Opt i on Type dialog box, dua vào các t hông t in sau:
Name: w pad
Dat a t ype: St r i ng
Code: 252
Descr i pt i on: wpad ent ry
Click OK.
4. Trong khung Val ue, diên vào dia chí URL dân dên I SA Server 2000 Fi rewall t rong St r i ng
t ext box.
Theo dinh dang nhu sau:
ht t p: / / I SASer ver name: Aut odi scover yPor t Number / w pad .dat
Måc dinh Aut od i scov er y por t number là TCP 80. Port 80 này có t hê t hay dôi t hông qua
câu hình t rên I SA Server 2004.. Chi t iêt vê câu hình này sè t háo luân sau.
Trong ví du hiên t ai, diên vào St r i ng t ext box:
ht t p: / / i sal ocal .MSFi r ew al l .or g: 80/ w pad.dat
Ðám báo r âng w pad.dat không dùng nhùng kí t u viêt hoa. Vê vân dê này có t hê t ham
kháo t ai " Aut omat i cal l y Det ect Set t i ngs Does Not Work if You Configure DHCP Opt i on
252”
ht t p: / / support .microsoft . com/ default .aspx?scid= kb; en- us; 307502
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Thuc ra probl em này là do co chê nhân dang case sensi t i ve t rên I SA Server 2004, do dó
nêu không phái là w pad.dat , mà l ai l à Wpad. dat , hoåc WPad.dat t rong URL, dêu khi ên
I SA Server 2004 phú nhân.
Click OK.
5. Right cli ck t rên Scope Opt i ons node và click Conf i gur e Opt i ons.
6. Trong Scope Opt i ons dialog box, kéo xuông danh sách Avai l ab l e Opt i ons và dánh
dâu- check vào 252 w pad check box. Click Appl y và click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. 252 w pad ent ry giò dây xuât hiên duói Scope Opt i ons.
8. Ðóng DHCP console.
Tai t hòi diêm này môt DHCP cl i ent duoc log- on vói t ài khoán l ocal ad mi ni st r at or ( hoåc
Power users. . ) sè có t hê dùng DHCP w pad dê hô t ro cho viêc t u dông khám phá
( aut omat ically discover) I SA Server 2004 Firewall và t iêp dó là t u câu hình cho chính mình.
Tuy nhiên, I SA Server 2004 Fi rewal l phái duoc câu hình dê hô t ro dê publ i sh các t hông t in
cúa mình phuc vu cho Aut odi scover y i n f or mat i on. Chúng t a sè bàn dên vân dê này t ai
các chuong sau
Câu hình hô t r o DNS WPAD
Phuong pháp khác dê phân phôi t hông t in Aut odi scov er y cho Web Proxy và Firewall client s
là dùng DNS. Admin có t hê t ao môt w pad al i as ent ry t rong DNS server và cho phép các
I nt ernet Browser t rên Cli ent s sú dung t hông t in này dê câu hình t u dông cho chính nó. Tôi
muôn nhân manh ó dây là chính t rình duyêt - Browser sè l àm viêc này, t uong phán vói
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
phuong pháp dùng DHCP mà chúng t a dã gåp t ruóc dó ( User log- on phái là t hành viên cúa
nhùng Group dåc biêt t rong Wi ndows operat ing syst em) .
Phuong t húc giái quyêt Tên ( Name resolut ion) , là yêu t ô chú chôt t rong phuong pháp này
cúa Web Proxy và Fi rewall client dê Aut odi scover y có t hê làm viêc chính xác. Trong t ruòng
hop này Hê diêu hành Client s phái có khá nång t ìm FQDN name cúa w pad al i as t rên DNS
server. Ó dây Web Proxy và Firewall client chí cân biêt râng nó có khá nång giái quyêt t ên
w pad. Không cân phái nâm t rong môt Domain cu t hê nào mói có t hê giái quyêt w pad
name. Chúng t a sè dê câp dên vân dê này chi t iêt hon ó phân sau
Chú ý: Nguoc lai vói phuong pháp dùng DHCP dê câp t hông t in t u dông dên Web Proxy và
Firewall cli ent s. Chúng t a sè không có lua chon dùng por t number dê publ i sh
Au t odi scover y i nf or mat i on khi sú dung phuong pháp DNS . Ban phái publ i sh t hông t in
tu dông này t rên TCP Port 80. Tiên hành các buóc sau dê câu hình DNS hô t ro Web Proxy
và Firewall cl ient t u dông khám phá I SA Server 2004 Firewal l:
• Tao w pad ent ry trong DNS
• Câu hình Client sú dung t ên dây dú- full y qualified cúa w pad al i as
• Câu hình t rình duyêt - Cl ient browser sú dung Aut odi scover y
Tao Wpad ent ry trong DNS
Truóc khi t ao w pad al i as ent ry t rong DNS. Alias này( cón duoc bi êt duói t ên là CNAME
r ecor d) phái t ró dên môt ( A) Host r ecor d dã duoc t ao cho I SA Server 2004 Firewal l t rên
DNS server. ( A) Host record t rên DNS, giúp giái quyêt host name ( ví du
i sal ocal .MSFi r ew al l .or g ) cúa I SA Server 2004 Fi rewall dên I nt ernal I P address cúa I SA
Firewall.
Cân t ao ( A) Host r ecor d t ruóc khi chúng t a CNAME r ecor d. Nêu DNS server cho phép các
name r ecor ds duoc dång kí t u dông t hì host name cúa I SA Server 2004 Fi rewall và I P
address cúa nó sè duoc câp nhât t u dông vào DNS và l à môt ( A) Host record. Còn nêu DNS
server không cho phép aut omat i c regist rat ion, t hì cân phái t ao ( A) Host record cho I SA
Server 2004 Firewal l.
Trong ví du này I SA Server 2004 Firewall dã dång kí t u dông vói DNS, do I nt er nal
i nt er f ace t rên I SA Server 2004 Fi rewall duoc câu hình dê t huc hi ên viêc này, và di nhi ên
DNS server cùng duoc câu hình dê châp nhân dång kí dông Host record này ( unsecur ed
dynami c r eg i st r at i ons)
Tiên hành các buóc sau t rên DNS server ( xi n nhâc l ai: cùng là domain cont rol ler) cúa
I nt ernal Net work:
1. Click St ar t , Admi ni st r at i ve Tool s. Click DNS ent ry. Trong DNS management console,
ri ght click t rên For w ar d l ook up zone cúa Domai n và cli ck New Al i as ( CNAME) .
2. Trong New Reso ur ce Recor d di alog box, diên vào w pad t rong Al i as name ( uses
par ent
domai n i f l ef t bl ank ) t ext box. Click Br ow se.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Trong Br ow se dial og box, double click t r ên ser ver name t rong Recor ds list .
4. Trong Br ow se dial og box, double click t r ên For w ar d Look up Zone ent ry t rong khung
Recor ds .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Trong Br ow se dial og box, double click t r ên t ên cúa For w ar d l ook up zon e t rong khung
Recor ds.
6. Trong Br ow se dial og box, chon t ên cúa I SA Server 2000 Fi rewal l t rong khung Recor ds.
Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Click OK t rong Resou r ce Recor d di alog box.
8. CNAME ( al i as) ent ry sè xuât hiên DNS management console.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
9. Ðóng DNS Management console.
Câu hình I SA Cl i ent dê dùng Fu l l y Qual i f i ed w pad Al i as
Web Proxy và Fi rewall client cân giái quyêt t ên cúa w pad. Các câu hình cúa Web Proxy và
Firewall client không t hê gi úp các Client này có duoc t hông t in cúa w pad al i as. Hê diêu
hành cúa Web Proxy và Firewall cl ient phái giái quyêt duoc vân dê này cho Web Proxy và
Firewall client .
Các t ruy vân DNS phái ó dang t ên dây dú- fully quali fied, t ruóc khi các t ruy vân này duoc
gúi dên DNS server. Môt yêu câu dang f ul l y qual i f i ed bao gôm môt host name và môt
domai n name. Web Proxy và Firewal l cl ient chí có t hê biêt host name, còn Hê diêu hành
cúa Web Proxy và Firewall cl ient phái có khá nång xác dinh chính xác domai n name cúa
w pad host name, t ruóc khi nó có t hê gúi môt t ruy vân DNS dên DNS server.
Có nhi êu phuong pháp có t hê giúp Admin liên kêt chính xác domai n name vói w pad, t ruóc
khi t ruy vân duoc gúi dên DNS server. Hai phuong pháp phô biên dê t huc hiên diêu này là:
• Dùng DHCP khi t ao DHCP scope, xác nhân pr i mar y domai n name cho các Client s
• Câu hình pr i mar y domai n name t rong muc Net work i dent i f i cat i on t rên Mi cr osof t
Wi ndow s ( 2000, XP,20 03..) dial og box.
Trong phân câu hình Scope 1 , t rên DHCP server, chúng t a dã câu hình môt pr i mar y DNS
name và xác dinh t ên này ( MSFI REWALL.ORG ) cho các DHCP client s t huôc I nt ernal
Net work Domain.
Các buóc sau mô t á xác lâp pr i mar y domai n name gân liên vói các t ruy vân DNS
Luu ý : Trong Lab này không cân phái t huc hiên nhùng buóc duói dây, t rên các Client s
Comput er cúa I nt ernal Net work. Do các Client s dã l à t hành viên cúa Act ive Direct ory
domain t rên I nt ernet Net work. Tuy nhiên, cùng nên xem qua các buóc sau dê hiêu cách
pr i mar y domai n name duoc câu hình nhu t hê nào t rên môt Computer không phái là t hành
viên cúa I nt ernal Domain
1. Right cli ck My Comput er , click Pr oper t i es.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
2. Trong Syst em Pr oper t i es dial og box, click Net w or k I dent i f i cat i on t ab. Click
Pr oper t i es .
3. Trong Changes dialog box, cli ck Mor e.
4. Trong Pr i mar y DNS suf f i x of t h i s comput er t ext box, diên vào domai n name chúa
w pad ent ry. Hê diêu hành sè gân tên này vào w pad name t ruóc khi gúi t ruy vân dên DNS
server. Theo måc dinh pr i mar y domai n name chính là tên cúa domain
( MSFI REWALL.ORG ) chúa Comput er này. Nêu Comput er không là t hành viên cúa Domain
t hì t ext box sè dê t rông.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Chú ý: Change pr i m ar y DNS suf f i x when dom ai n ember shi p changes duoc enabl ed
t heo måc dinh. Trong ví du hiên t ai Comput er không phái là t hành viên cúa Domain. Cancel
tât cá dialog boxes vùa xuât hiên và không câu hình pr i mar y domai n name tai t hòi diêm
này. Cùng luu ý, nêu t rên I nt ernal Net work có nhiêu Domai n, và Client s t huôc nhi êu
Domai ns, chúng t a cân t ao nhiêu w pad CNAME al i as cho môi domai ns.
Câu hình t r ìn h duy êt - Cl i ent Br ow ser dê sú dung Aut odi scover y
Trong buóc này, chúng t a sè câu hình cho t rình duyêt I nternet Explorer, dùng chúc nång
Au t odi scover y . Sau khi xác nhân chúc nång này, Web browser t rên các Client s sè làm viêc
t ruc t iêp vói Web Proxy servi ce cúa I SA Server 2000 Firewall vói co chê t u dông khám phá-
Aut odi scovery
1. Right cli ck t rên I nt er net Ex pl or er i con, cl ick Pr oper t i es.
2. Trong I nt er net Pr oper t i es di alog box, cl ick Connect i ons t ab. Click LAN Set t i ngs
3. Trong Local Ar ea Net w or k ( LAN) Set t i ngs dial og box, check vào Aut omat i cal l y
det ect set t i ngs check box. Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click Appl y , cl ick OK t rong I nt er net Pr oper t i es dialog box.
Buóc kê t iêp, cân câu hình t rên I SA Server 2000 Firewal l dê publish t hông t in vê
Au t odi scover y , hô t ro cho Web Proxy và Firewal l client s.
Kêt l u ân:
Chúng t a dã dê câp ó các chuong t ruóc vê viêc sú dung Mi crosoft I nt ernet Aut hent i cat i on
Server, cách t húc cài dåt và câu hình I AS server t rên môt Domain cont rol ler t huôc I nt ernal
Net work. Trong các phân sau, chúng t a sè I AS server này, dê xác t huc các kêt nôi t ù xa cúa
Web và VPN cl ient ( incoming connect ions) .
Chuong 6: Cài dãt và câu hình DNS Ser ver vói ch úc nãng Cachi n g- onl y t r ên
Per i met er Net w or k Segm ent
DNS servers hô t ro cho các Cl ient s giái quyêt Name ra I P addresses. Khi các Comput ers
dùng các úng dung I nt ernet ( Web, mail, FTP, Chat , Game Online, Voice over I P.. ) , luôn cân
phái biêt I P addr ess cúa các I nt ernet Server t ruóc khi có t hê connect dên nhùng Server
này.
Toàn bô hê t hông I nt ernet , sú dung giao t húc TCP/ I P ( và UDP/ I P) , cho nên viêc xác dinh I P
address là diêu bât buôc khi t huc hi ên giao t iêp giùa Client s vói các I nt ernet Server. Tuy
nhiên t hói quen cúa nguòi dùng I nt ernet khi t ruy câp dên các I nt ernet Server là dùng t ên
( có lè vì dê nhó hon so vói I P address) , ví du
ht t p: / / www.vnsc. com.vn ( dê nhó)
ht t p: / / 203.162.7.80/ ( khó nhó)
cho nên hê t hông I nt ernet vôn dùng TCP/ I P, bât buôc phái có DNS dê gi ái quyêt Host name
ra I P address.
Môt cachi n g- onl y DNS server là môt loai DNS không cân phái duoc su úy quyên hoat
dông ( not aut horit at ive ) cúa bât cú I nt ernal Domain. Ðiêu này có nghia là môt caching- only
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
DNS server không nhât t hiêt phái chúa bât cú name records cúa môt hay nhiêu Domain cô
dinh nào. Thay vào dó cách hoat dông cúa nó là: Nhân các t ruy vân t ên t ù DNS client s, gi ái
quyêt yêu câu này cho DNS Client s, luu giù lai kêt quá vùa t rá lòi t rong cache ( nhâm phuc
vu dôi t uong Client s t iêp t heo). Khá don gián, các DNS Admin không phái câu hình phúc t ap
cho loai DNS này, không cân phái t ao r a bât kì Forwar d hay Rever se lookup Zones, dê phuc
vu cho nhu câu t ìm t ên cúa các Client s t rong I nt ernal Domain, nhu chúng t a dã t huc hiên ó
phân t ruóc vói I nt ernal Domai n DNS server ( duoc cài t rên Domain cont roller- 10. 0.0.2)
Sú dung môt caching- onl y DNS server l à diêu không bât buôc. Nhung nêu khi t riên khai I SA
Server 2004 Fi rewall, l ên kê hoach t ao môt per i met er Net w or k segment ( hay còn duoc
goi là DMZ- demilit arized zone) , nên t uân t heo các huóng dân sau
Mô t á vê Perimet er Net work:
Trong mô hình Lab cúa chúng t a, nhu các ban dã t hây t rên hình vê môt Perimet er Net work
( hay DMZ Net work- vùng phi quân su, khái niêm này ra dòi t ù cuôc chi ên Nam, Bâc Tri êu
Tiên) . Trong hê t hông Net work cúa môt Tô chúc, ví du nhu các I SP ( I nt ernet Servies
Provider) . Khi t riên khai cung câp các Service cho khách hàng, nhu Web Host ing,
Mail.. t huòng dåt các Server s cung câp các Servi ce này t ai DMZ Net work, phân vùng
Net work này t ách biêt vói I nt ernal Net work ( Net work làm viêc cúa các nhân viên và chúa
các t ài nguyên nôi bô) . Mô hình Net work t rong Lab này, I SA Server 2004 Firewall
( I SALOCAL) , l à môt hê t hông Tr ee- homed Host ( gân 3 Net work I nt erface Cards)
Net work I nt erface 1 ( WAN) : Tao kêt nôi ra I nt ernet
Net work I nt erface 2 ( DMZ) : Tao kêt nôi dên DMZ Net work
Net work I nt erface 3: ( LAN) Tao kêt nôi dên I nt ernal Net work
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Nhu vây t hông t huòng các Tô chúc t riên khai DMZ Net work ( nâm phía sau Fi rewall) , nhâm
cung câp cho các Ext ernal client s ( nhu khách hàng, nguòi dùng I nt ernet , dôi t ác.. ) t ruy câp
dên các t ài nguyên công công cúa mình ( Web, FTP publi sh resourses…) . Nêu DMZ Net work
bi t ân công, at t ackers cùng chua t hê xâm nhâp ngay vào I nt ernal Net work ( LAN bên t rong) ,
vì At t acker cân phái t iêp t uc choc t húng Firewall. Ðên dây, có l è các ban cùng dã hình dung
phân nào vê DMZ Net work.
Các DNS servers duoc sú dung t rong DMZ Net work có hai muc dích chính:
• Giái quyêt các t ruy vân t ên cho các DNS Client s t rong Domain duói su kiêm soát và úy
quyên cúa Domain
• Cachi ng- onl y DNS services phuc vu cho các I nt ernal Net work client s, hoåc nêu không giái
quyêt duoc các yêu câu t ruy vân t ên, nó có t hê chuyên ( forwarder) dên các DNS servers
khác cúa I nt ernal Net work
Môt DNS server t ai DMZ Net work, có t hê chúa nhùng t hông t in phuc vu cho pu bl i sh
domai n ( I nt ernet Domain, duoc dång kí t hông qua nhùng nhà cung câp t ên miên I nt ernet ) .
Ví du, nêu dã xây dung ha t âng DNS, t ách biêt nhóm DNS server chuyên t rá lòi các yêu câu
t ruy vân t ên cúa domai n nôi bô ( I nt ernal Host name) cho I nt ernal DNS Cl ient s, t hì nên dåt
các DNS server này t rong I nt ernal Net work. Nhóm các DNS server còn lai, phuc vu cho yêu
câu t ruy vân tên xuât phát t ù Ext ernal Client s ( ví du các I nt ernet Cl ient s) có t hê duoc dåt
t rên DMZ Net work Khi các I nt ernet Cli ent s này cân t ruy câp các DMZ server s ( Web, FTP,
SMTP. , các server này duoc dua r a phuc vu I nt ernet t hông qua I SA Ser ver 2004 Firewall . ),
các DNS server t rên DMZ Net work sè phuc vu cho nhùng yêu câu này.
DNS server t rên DMZ Net work cùng có t hê hoat dông nhu môt caching- only DNS server.
Trong vai t rò này, DNS server sè không chúa t hông t in vê name r ecor d. Thay vào dó,
cachi ng- onl y DNS server sè giái quyêt các yêu câu t ìm I nt er net host names và chí luu giù
lai ( cache) các kêt quá này. Sau dó có t hê sú dung cache, dê t rá lòi các yêu câu t uong t u
cho các I nt ernet host name dã cache. Nêu chua cache bât cú I nt ernet host name nào,
cahing- only DNS server sè chuyên các yêu câu này ( For w ar der ) dên các I nt ernet DNS
server ( ví du các DNS cúa I SA gân nhât ) , sau khi nhân duoc kêt quá t ruy vân, sè cache l ai
và t rá l òi cho DNS Client s
Trong phân này, chúng t a sè t huc hiên
• Cài dåt DNS server service
• Câu hình DNS server t ró t hành môt caching- only DNS server an t oàn ( secure caching- only
DNS server)
Cài dãt DNS Ser ver Ser vi ce t r ên DMZ Net w or k
DNS server này, sè có hai vai t rò: Là môt secure cachi ng- onl y DNS server và chuyên các
yêu câu t ruy câp t ù bên ngoài ( cúa I nt ernet Client s) dên Web, SMTP server
Tiên hành các buóc sau dê cài môt DNS server service t rên DMZ Net work ( t rên server
TRI HOMELAN1)
1. Click St ar t , Cont r ol Panel . Click Add or Rem ove Pr ogr ams.
2. Trong Add or Remove Pr ogr ams, cli ck Add/ Remove Wi ndo w s Com ponen t s
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Trên Wi ndow s Component s page, keo xuông danh sách Componen t s, chon
Net w or k i n g Ser v i ces. Click Det ai l s.
4. Trong Net w or k i n g Ser vi ces dialog box, check vào Domai n Name Syst em ( DNS)
check box và click OK.
5. Click Nex t t rên Wi ndow s Component s page.
6. Click OK t rong I nser t Di sk dialog box. Trong Fi l es Needed di alog box, dua duòng dân
dên Folder i 386 t rong Copy f i l es f r om t ext box và click OK.
7. Click Fi ni sh t rên Compl et i ng t he Wi ndow s Compon ent s Wi zar d page.
Buóc t i êp t heo, câu hình DNS server t r ó t hành môt secur e cachi n g- onl y DNS ser ver .
DNS server t rên DMZ Net work sè t iêp xúc t ruc t iêp vói các I nt ernet host s. Nhùng Host s này
có t hê là các I nt ernet DNS cli ent s có nhu câu t ruy câp các t ài nguyên cúa chúng t a ( Web,
Mail, FTP server..) , nâm t rong DMZ Net work, nhu vây I nt ernet DNS client s phái gúi các yêu
câu này dên DNS server t rên DMZ Net work. Hoåc t ruòng hop nguoc lai là DNS server t rên
DMZ Net work cúa chúng t a sè t iêp xúc DNS servers cúa các Tô chúc khác t rên I nt ernet ( ví
du nhu I SP DNS) , dê phuc vu giái quyêt host name cho các I nt ernal Net work cli ent s có nhu
câu t ruy câp ra ngoài I nt ernet .
Trong ví du này, DNS server cúa DMZ Net work, sè dóng vai t rò môt caching- only DNS
server và không quán lý các name records cúa các Publish Server t rong I nt ernal Domain
Tiên hành các buóc sau t rên DNS server t huôc DMZ Net work, dê t ró t hành môt secure
caching- onl y DNS server:
1. Click St ar t , Admi ni st r at i ve Tool s. Click DNS.
2. Trong DNS management console, right cli ck t rên ser ver name, cli ck Pr op er t i es.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Trong DNS ser v er ’ s Pr oper t i es dialog box, click Root Hi nt s t ab. Xuât hiên các DNS
server ó câp cao ( root ) cúa hê t hông I nt ernet DNS. Danh sách Name Servers t ai Root Hi nt s
này, duoc caching- only DNS server cúa chúng t a, sú dung dê giái quyêt các t ruy vân t ên
( I nt ernet Host names) t ù DNS Client s. Nêu không t ôn t ai danh sách các Name Servers này
t rong Root Hint s, caching- onl y DNS server sè không t hê giái quyêt host name cúa các
Comput er t rên I nt ernet .
4. Cli ck t rên For w ar der s t ab. Chú ý, không check vào Do not use r ecur si on f or t h i s
domai n check box. Nêu check vào lua chon này, caching- only DNS server sè không dùng
duoc các I nt ernet DNS Servers t rong danh sách cúa Root Hint s cho vi êc giái quyêt I nt ernet
host names. Chí chon nó, nêu ban quyê dinh dùng chúc nång For w ar der . Trong t r uòng
hop này, chúng t a không dùng Forwarder.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Click Adv anced t ab. Xác nhân, dã check vào Secur e cache agai nst pol l ut i on check
box. Ðiêu này giúp ngån chån các cuôc t ân công t ù At t ackers hoåc các I nt ernet DNS
server s. Các name r ecords mao nhân ( ý dô cúa at t ackers) , có t hê duoc ADD vào DNS cache
cúa chúng t a, và diêu dó khi ên cho các t ruy vân t ù I nt ernal DNS Client s dên caching- only
DNS server sè duoc dân dên nhùng Server “bây” . Ví du DNS Client s t ype
ht t p: / / www.vnbank.com. vn ( I P address A. B.C. D) sè bi dân dên môt Host giá có I P address
là X.Y.Z.K do ý dô cúa at t ackers, và nhùng t hông t in giao dich vói Host giá này, có t hê bi
ghi lai và sú dung bât hop pháp. Kiêu t ân công này dôi khi còn duoc goi là “ co-
coor di nat ed DNS at t ack ”
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
6. Cl ick Moni t or i n g t ab. Check vào A si mpl e quer y agai nst t hi s DNS ser ver và A
r ecur si ve quer y t o ot her DNS ser ver s check boxes, dê t huc hiên kiêm t ra DNS server.
Click Test Now . Chú ý kêt quá hiên ra t rong khung r esu l t s cho t hây Si mpl e Quer y chí
Pass, t rong khi Recur si v e Quer y t rình bày Fai l . Chúng t a nhân duoc kêt quá này l à vì
chua t ao Access Rul e t rên I SA Server 2004 Firewall dê cho phép cachi ng- only DNS server
t ruy câp I nt ernet DNS servers. Sau này khi câu hình I SA Server 2004 Firewall , sè t ao môt
Access Rule cho phép DNS server gúi yêu câu ( out bound access) dên các DNS servers t rên
I nt ernet .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Click Appl y và cli ck OK t rong DNS ser ver ’ s Pr oper t i es dialog box.
8. Ðóng DNS management console.
Tai t hòi diêm này, cachi ng- onl y DNS ser v er cúa ch úng t a dã có t hê gi ái quy êt
I nt er net host names. Nhung sau dó, chúng t a sè phái t ao t hêm Access Rul es dê cho
phép các I nt ernal Net work Cli ent s dùng DNS Server này dê giái quyêt các I nt ernet host
names. Các Admin xem xét ki ý này, dê t ránh nhâm lân.
Kêt l uân:
Tr ong chuong này, dã dê câp dên viêc sú dung môt cachingonly DNS server t ai DMZ
Net work, cách t húc cài dåt và câu hình Microsoft DNS server service. Trong các phân sau,
chúng t a sè sú dung Access Pol i ci es t rên I SA Server 2004 dê cho phép các I nt ernal
Net work Client s dùng DNS server này và cho phép caching- only DNS server kêt nôi dên
I nt ernet .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 7:
Cài Ðãt I SA Ser ver 2004 Tr ên Wi ndow s Ser ver 2003
Cài Ðåt I SA Server 2004 t rên Wi ndows Ser ver 2003 t huc su không quá phúc t ap ( phúc t ap
nâm sè ó phân câu hình các t hông sô) . Chí có môt vài yêu câu cân xác nhân t ai quá t rình
này. Phân câu hình quan t rong nhât t rong suôt quá t rình cài dåt dó là xác dinh chính xác
vùng dia chí I P nôi bô- I nt ernal Net work I P address range( s) .
Không giông nhu I SA Server 2000, I SA Server 2004 không sú dung báng Local Address
Table ( LAT) dê xác dinh dâu là Net work dáng t in cây ( t rust ed Net works) , và dâu là Net wor k
không duoc t in cây ( unt rust ed Net works) . Thay vào dó, I SA Server 2004 Fi rewall các I P
addresses nôi bô duoc xác nhân bên duói I nt er nal Net w or k . I nt er nal Net w or k nhâm
xác dinh khu vuc có các Net work Server s và các Services quan t rong nhu: Act ive Direct ory
domain cont roll ers, DNS, WI NS, RADI US, DHCP, các t ram quán lý Firewall , et c..Tât cá các
giao t iêp gi ùa I nt ernal Net work và I SA Ser ver 2004 Fi rewall duoc diêu khiên bói các chính
sách cúa Fi rewall ( Fi rewall’ s Syst em Policy). Syst em Policy là môt t âp hop các nguyên tâc
t ruy câp duoc xác dinh t ruóc ( pre- defi ned Access Rul es) , nhâm xác dinh loai t hông t in nào
duoc cho phép vào ( inbound) , ra ( out bound) qua Firewall , ngay sau khi Fi rewall này duoc
cài dåt . Syst em Pol icy có t hê câu hình, cho phép các Securit y Admin, t hât chåt hoåc nói
lõng t ù các Access Rules måc dinh cúa Syst em Policy..
Trong phân này, chúng t a sè dê câp dên các vân dê sau:
• Cài dåt I SA Server 2004 t rên Windows Server 2003
• Xem lai các chính sách hê t hông måc dinh t rên I SA Server 2004 Firewal l ( Defaul t Syst em
Policy)
I nst al l i n g I SA Ser v er 2004
Cài dåt I SA Server 2004 t rên Wi ndows Server 2003 là vân dê t uong dôi không phúc t ap.
Nhu t ôi dã dê câp ó phân t rên , su quan t âm chính nâm ó các xác lâp vê I nt ernal Net work
( nhùng I P addresses nào sè duoc xác dinh tai phân này) . Câu hình các dia chí cuá I nt ernal
Net work là môt phân quan t rong, bói vì chính sách hê t hông cúa Firewall (Firewal l’s Syst em
Poli cy ) sè cån cú và dây dê dinh nghia các nguyên t âc t ruy câp- Access Rules
Tiên hành các buóc sau dê cài dåt I SA Server 2004 soft ware t r ên dual- homed ( máy gân hai
Net work Cards) Wi ndows Server 2003 Comput er:
1. Chèn I SA Server 2004 CD- ROM vào ô CD. Aut orun menu sè xuât hiên
2. Trên Mi cr osof t I nt er net Secur i t y an d Accel er at i on Ser ver 20 04 page, click liên kêt
Revi ew Rel ease Not es và xem nhùng luu ý vê cài dåt sán phâm. Release Not es chúa
nhùng t hông t in quan t rong vê các chon l ua câu hình, và môt sô vân dê khác.Ðoc xong
release not es, dóng cúa sô lai và click Read Set up and Feat ur e Gui de li nk. Không cân
phái doc t oàn bô huóng dân nêu nhu ban muôn t hê, cùng có t hê in ra dê doc sau. Ðóng
Set u p and Feat ur e Gui de. Click I nst al l I SA
Ser v er 2004 link.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Click Nex t t rên Wel come t o t he I nst al l at i on Wi zar d f or Mi cr osof t I SA Ser ver 20 04
page.
4. Chon I accept t h e t er ms i n t he l i cense agr eement t rên Li cense Agr eement page.
Click Nex t .
5. Trên Cust omer I nf or mat i on page, diên Tên và Tên Tô chúc cúa ban t rong User Name
và Or gani zat i on t ext boxes. Ðiên t iêp Pr oduct Ser i al Number . Click Nex t .
6. Trên Set u p Type page, chon Cust om opt ion. Nêu ban không muôn cài dåt I SA Server
2004 soft ware t rên C: drive, click Chan ge dê t hay dôi vi t rí cài dåt chuong t rình t rên dia
cúng. Click Nex t .
7. Trên Cust om Set up page, ban có t hê lua chon nhùng t hành phân cài dåt . Måc dinh t hì,
Fi r ew al l Ser v i ces và I SA Server Management sè duoc cài dåt . Còn Message Scr een er ,
duoc sú dung giúp ngån chån t hu rác ( spam) và các file dính kèm ( file at t achment s) khi
chúng duoc dua vào Net work hoåc t ù bên t rong phân phôi ra ngoài, t hành phân này t heo
måc dinh không duoc cài dåt . Thành phân t iêp t heo cùng không duoc cài dåt l à Fi r ew al l
Cl i ent I nst al l at i on Shar e. Ban cùng nên luu ý, cân cài dåt I I S 6. 0 SMTP ser v i ce t rên
I SA Server 2004 Fi rewall comput er t ruóc khi ban cài Message Screener. Dùng xác l âp måc
dinh dê t iêp t uc và cl ick Nex t .
8. Trên I nt er nal Net w or k page, click Add. I nt ernal Net work khác hon LAT ( duoc sú dung
t rong I SA Server 2000) . Khi cài dåt I SA Server 2004, t hì I nt ernal Net work sè chúa các
Net w or k ser vi ces duoc t in cây và I SA Server 2004 Firewall phái gi ao t iêp duoc vói nhùng
Servi ces này
Ví du nhùng Service nhu Act ive Direct ory domain cont rollers, DNS, DHCP, t ermi nal servi ces
cli ent management workst at ions, và các Service khác, t hì chính sách hê t hông cúa Firewall
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
sè t u dông nhân biêt chúng t huôc I nt ernal Net work. Chúng t a sè xem xét vân dê này t rong
phân Syst em Policy
9. Trong I nt er nal Net w or k set up page, click Sel ect Net w or k Adapt er
10. Trong Sel ect Net w or k Adapt er dialog box, r emove dâu check t ai Add t h e f ol l ow i n g
pr i v at e r anges… checkbox. Check vào Add addr ess r anges based on t he Wi ndow s
Rout i n g Tabl e checkbox. Check t iêp vào Net work Card nào, t ruc t iêp kêt nôi vào LAN t ai
Sel ect t he addr ess r anges…I nt er nal Net w or k adapt er . Lý do không check vào add
pr i v at e addr ess r anges checkbox là bói vì, chúng t a muôn dùng nhùng vùng dia chí này
cho DMZ ( perimet er Net works) . Cli ck OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
11. Click OK t rong Set up Message dialog box xác nhân râng I nternal Net work dã duoc
dinh nghia hoat dôn dua t rên Wi ndow s r out i ng t abl e.
12. Cli ck OK t rên I nt er nal Net w or k addr ess r anges dialog box.
13. Cli ck Nex t t rên I nt er nal Net w or k page.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
14. Trên Fi r ew al l Cl i ent Connect i on Set t i ngs page, check vào Al l ow nonencr ypt ed
Fi r ew al l cl i ent connect i ons và Al l ow Fi r ew al l cl i ent s r unni ng ear l i er v er si ons of t h e
Fi r ew al l cl i ent sof t w ar e t o connect t o I SA Ser ver checkboxes. Nhùng xác lâp này sè
cho phép chúng t a kêt nôi dên I SA Server 2004 Firewall khi dang sú dung nhùng hê diêu
hành dòi cù, hoåc ngay cá khi dùng Windows 2000/ Windows XP/ Wi ndows Server 2003
nhung dang chay Firewall Client s là I SA Server 20 00 Fi r ew al l cl i ent . Click Nex t .
15. Trên Ser vi ces page, click Nex t .
16. Cli ck I n st al l t rên Ready t o I nst al l t he Pr ogr am page.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
17. Trên I nst al l at i on Wi zar d Compl et ed page, click Finish.
18. Cli ck Yes t rong Mi cr osof t I SA Ser ver dialog box xác nhân râng Comput er phái
r est ar t ed.
19. Log- on lai vào Comput er bâng t ài khóan Administ rat or
Xem x ét Syst em Pol i cy
Theo måc dinh, I SA Server 2004 không cho phép các t ruy câp ra ngoài I nt ernet (out bound
access) , t ù bât cú máy nào nâm t rong pham vi kiêm soát cúa bât cú Net work duoc báo vê
( pr ot ect ed Net w or k ) , và cùng không cho phép các Comput ers t rên I nt ernet t ruy câp dên
Firewal l hoåc bât kì Net works dã duoc báo vê bói Fi rewall. Nhu vây sau khi t riên khai I SA
Server 2004 Firewall, t heo måc dinh t hì ¨Nôi bât xuât , ngoai bât nhâp¨ . Tuy nhiên, môt
Syst em Policy t rên Firewall dã duoc cài dåt , cho phép t huc hiên các t ác vu Quán t ri Net work
cân t hiêt .
Luu ý:
Khái niêm Net work duoc báo vê ( prot ect ed Net work) , là bât cú Net work nào duoc dinh
nghia bói I SA Server 2004 Firewall không t huôc pham vi cúa các Net work bên ngoài
( Ext ernal Net work) , nhu I nt ernet .
Tiên hành các buóc sau dê duyêt qua chính sách måc dinh cúa Fi rewall ( defaul t Firewall
Syst em Policy) :
1. Click St ar t , Al l Pr ogr ams. Chon Mi cr osof t I SA Ser ver và cl ick I SA Server
Management .
2. Trong Mi cr osof t I nt er net Secu r i t y and Accel er at i on Ser ver 2004 management
console, mó rông server node và cli ck vào Fi r ew al l Pol i cy node. Right click t rên Firewall
Poli cy node, t ró dên View và click Show Syst em Pol i cy Rul es.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Click Show / Hi de Console Tree và click Open / Cl ose Task Pane. Nhân duoc t hông báo
râng I SA Server 2004 Access Policy giói t hiêu môt danh sách các Policy duoc sâp xêp t heo
t rình t u. Các poli cy sè duoc Fi rewall xú lý t ù t rên xuông duói, diêu mà Access Policy t rên
I SA Server 2000 dã không quan tâm dên t rình t ù xú lý này. Theo måc dinh, Syst em Pol icy
giói t hiêu môt danh sách måc dinh nhùng nguyên t âc t ruy câp dên và t ù I SA Server 2004
Firewall. Cùng l uu ý râng, các nguyên t âc t ai Syst em Pol i cy Rul es luôn duoc sâp xêp có
t hú t u nhu dã dê câp, kê cá nhùng chính sách sau này các Securit y Admin t ao ra, nhu vây
nhùng policy mói này sè dúng bên t rên và duoc xú lý t ruóc. kéo xuông danh sách cúa
Syst em Pol i cy Rul es. Nhân t hây râng, các nguyên t âc duoc xác dinh rõ bói:
Sô t hú t u ( Order number)
Tên ( Name Rule)
Hành dông dua ra dôi vói nguyên t âc dó ( Cho phép hoåc ngån chån - Allow or Deny)
Dùng giao t húc nào ( Prot ocol s)
Tù Net work hoåc Comput er nguôn- From ( source Net work or host )
Ðên Net work hay Comput er dích- To ( dest inat i on Net work or host )
Ðiêu kiên- Condi t i on (dôi t uong nào hay nhùng gì nguyên t âc này sè áp dung)
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Ngoài ra, có t hê sè phái kèm t heo nhùng mô t á vê nguyên t âc, t ai phân mó rông cúa côt
t ên nguyên t âc, diêu này giúp các Securi t y Admin dê dàng t heo dõi và quán lý các Rule cúa
mình hon.
Chúng t a nhân t hây râng, không phái t ât cá các Rul es dêu duoc bât - enabled. Chính sách
Di sabl ed måc dinh cúa Syst em Poli cy Rules duoc t hê hiên bâng nhùng biêu t uong mùi t ên
xuông màu Ðó bên góc phái. Khi cân t hiêt phuc vu cho yêu câu nào dó, các Admi n có t hê
enabled các Rule này.Ví du nhu chúng t a muôn cho phép t ruy câp VPN- t huc hiên enable
VPN access.
Chúng t a nhân t hây có môt t rong sô các Syst em Policy Rules cho phép Firewal l t huc hiên
các t ruy vân t ên- DNS queries, dên các DNS servers t rên t ât cá các Net works.
4. Ban có t hê t hay dôi các xác lâp t rên môt Syst em Policy Rule bâng cách double- click t rên
rule.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Xem lai Syst em Policy Rules và sau dó giâu nó bâng cách click Show / Hi de Syst em
Policy Rules ó Báng chúa các nút này.
Báng duói dây bao gôm môt danh sách dây dú vê Syst em Policy måc dinh:
Báng 1: Syst em Pol i cy Rul es
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Chú t hích:
1 . Policy này bi disabl ed cho dên khi VPN Server component duoc kích hoat - act ivat ed
2 . Policy này bi disabl ed cho dên khi môt kêt nôi VPN dang sit e t o sit e xác lâp
3 . Policy này bi disabl ed cho dên khi chính sách t hâm dinh kêt nôi dùng HTTP/ HTTPS duoc
câu hình
4 . Policy này bi disabl ed cho dên khi SecureI D filt er duoc enabled
5 . Policy này phái duoc enabled t hú công
6 . Policy này bi disabl ed t heo måc dinh
7 . Policy này bi disabl ed t heo måc dinh
8 . Policy này t u dông duoc enabled khi Firewall client share duoc cài dåt
9 . Policy này bi disabl ed t heo måc dinh
Tai t hòi diêm này, I SA Server 2004 Fi rewall dã sån sàng cho các Admin câu hình các t ruy
câp ra ngoài ( out bound) hoåc vào t rong ( inbound) qua Fi rewall. Tuy nhiên, t ruóc khi khói
hành t ao các chính sách t ruy câp- Access Pol i ci es, các Securit y Admin nên back- up lai câu
hình måc dinh cúa I SA Server 2004 Fi rewall . Ðiêu này cho phép ban phuc hôi I SA Server
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
2004 Firewall vê t rang t hái ban dâu sau cài dåt . Ðiêu này là cân t hiêt cho các các cuôc ki êm
t ra và khâc phuc các su cô t rong t uong lai.
Tiên hành Back- up câu hình måc dinh ngay sau cài dåt t heo huóng dân:
1. Mó Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 20 04 managemen t
console, right cl ick t rên server name. Click Back Up.
2. Trong Back up Conf i gur at i on dialog box, diên t ên file backup ban muôn dåt t rong Fi l e
name t ext box. Nhó vi t rí chúng t a dã luu backup file t rong Sav e list . Trong ví du này, dåt
t ên file backup là back up1. Click Back up.
3. Trong Set Passw or d dialog box, diên vào password và xác nhân lai password này t rong
Passw or d và Con f i r m passw or d t ext boxes. Thông t in t rong file backup duoc mã hóa vì
nó chúa password phuc hôi và nhùng t hông t in quan trong dã l uu giù, t ât cá nhùng t hông
t in này chúng t a không muôn môt ai khác có t hê t ruy câp. Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Cl ick OK t rong Ex por t i ng dialog box khi ban t hây t hông báo The confi gurat ion was
successfully backed up message.
Nên copy file backup này dên noi luu t rù an t oàn khác t rên Nôi bô Net work sau khi backup
hoàn t hành (không nên luu giù t rên chính Fi rewall này) . Thi êt bi l uu giù file backup nên có
phân vùng luu t rù duoc dinh dang bâng hê t hông t âp t in NTFS ( hê t hông t âp t in an t oàn
nhât hiên nay t rên các hê diêu hành cúa Mi crosoft )
Kêt l u ân:
Trong chuong này chúng t a dã bàn vê nhùng t hú t uc cân t hiêt khi cài dåt I SA Server 2004
soft ware t rên Windows Server 2003 comput er. Chúng t a cùng dã xem xét chính sách hê
t hông cúa Firewall ( Firewall Syst em Policy) , duoc t ao ra t rong quá t rình cài dåt . Và cuôi
cùng, chúng t a dã hoàn t hành viêc luu gi ù lai câu hình ngay sau khi cài dåt I SA Server 2004
Firewall bâng cách t huc hi ên fi le backup t heo t ùng buóc huóng dân. Trong phân t ói, chúng
t a sè câu hình cho phép t ruy câp VPN access server t ù xa.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 8:
Sao Luu Và Phuc Hôi Câu Hình Fi r ew al l
I SA Server 2004 bao gôm t ính nång mói và t ång cuòng cho backup và phuc hôi. Trong I SA
Server 2000, t iên ích backup duoc t ích hop có t hê backup câu hình cúa I SA Server 2000
Firewall.
File backup có t hê duoc sú dung dê phuc hôi câu hình dên cúng bán cài dåt I SA Server t rên
cùng Comput er. Tuy nhiên, nêu Hê diêu hành hay phân cúng nêu gåp phái nhùng vân dê
nghiêm t rong t ác dông t rên t oàn hê t hông, châc râng chí có file backup này không t hê phuc
hôi duoc câu hình cúa Firewall
Nguoc lai , t iên ích backup t rên I SA Server 2004 cho phép Admin backup t oàn bô câu hình
Firewall hoåc chí backup nhùng phân cân t hiêt .
Và sau dó Admin có t hê phuc hôi câu hình này dên cùng phiên bán I SA Server 2004 Fi rewall
t rên chính Comput er dã backup hoåc có t hê phuc hôi t hông t in câu hình dên môt I SA Server
2004 Firewall t rên môt Comput er khác.
Các huóng dân Backup sè duoc t hi hành sau môt hoåc môt sô t hú t uc sau:
• Thay dôi kích cõ hay vi t rí Cache ( cache size / locat ion)
• Thay dôi chính sách Firewall ( Fi rewall policy)
• Thay dôi nên t áng các nguyên t âc ( rule base)
• Thay dôi các nguyên t âc hê t hông ( syst em rul es)
• Making changes t o Net works, such as, changing Net work definit i on or Net work rules
• Úy quyên các t ác vu quán t ri I SA Server / Bó úy quyên
Tính nång nhâp/ xuât (import / export ) cho phép chúng t a xuât các t hành phân duoc chon lua
t rong câu hình Firewall và sú dung nhùng t hành phân này vê sau, hoåc có t hê cài dåt nó
vào Computer khác. I mport / export cùng có t hê duoc dùng dê xuât t oàn bô câu hình cúa
Comput er nhu môt phuong pháp phân phôi câu hình diên rông.
Bài t huc t âp bô ích nhât vê backup câu hình nên duoc t iên hành ngay sau khi cài dåt I SA
Server 2004 Firewal l soft war e. Thuc hiên diêu này là t ác vu co bán nhâm phuc hôi câu hình
nguyên t rang sau cài dåt t rênI SA Server, kê cá khi chúng t a dã t huc hiên các câu hình khác
(diêu này giúp các ban không cân cài dåt laiI SA Server) .
Chúng t a sè t iên hành nhùng công viêc sau:
• Backup câu hình Firewal l
• Phuc hôi câu hình Fi rewall t ù File Backup
• Xuât chính sách Firewall
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
• Nhâp chính sách Firewall
Back up câu hình Fi r ew al l
I SA Server 2004 t ích hop sån t iên ích backup gi úp luu giù câu hình Firewall dê dàng . Chí
có môt ít các t hao t ác duoc yêu câu khi t huc hi ên backup và phuc hôi câu hình
Tiên hành các buóc sau dê backup t oàn bô câu hình Firewall:
5. Mó Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 20 04 managemen t
Console, right click t rên server name. Click Back Up
6. Trong Back up Conf i gu r at i on dialog box, diên tên fil e backup t rong Fi l e name text box.
Trong ví du này filename là back u p1. Click Back up
7. Trong Set Passw or d dialog box, diên password và xác nhân lai password. Xin duoc nhâc
lai t hông t in t rong file backup dã duoc mã hóa ( xem giái t hích ó phân t ruóc) . Cli ck OK.
8. Click OK t rong Ex por t i n g dial og box khi t hông báo The configurat ion was successfully
backed up xuât hiên
Nên copy file backup này dê luu t rù ó môt vi t rí an t oàn hon, không nên luu t rù t rên
Firewal l này ( có t hê l à t rên môt Net work ser ver, phân vùng luu t rù duoc format vói NTFS) .
Ph uc hôi câu hình Fi r ew al l t ù Conf i gur at i on f r om t he Fi l e Back up
Admi n có t hê dùng File backup dê phuc hôi câu hình máy. Thông t in có t hê duoc hôi phuc
t rên cùng phiên bán cài dåt cúa I SA Server 2004 Firewall, t rên cùng máy hoåc môt bán cài
dåt hoàn t oàn mói, t rên môt Comput er khác.
Perform t he following st eps t o rest ore t he configurat ion from backup:
1. Mó Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 20 04 managemen t
console, right cl ick t rên comput er name, Click Rest or e.
2. Trong Rest or e Conf i gur at i on dialog box, t ìm fi le backup t ruóc dó dã t ao. Trong ví du
này, chúng t a sè dùng, file backup có t ên là back up1 .x ml . Click Rest or e, sau khi dã chon
file
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Ðua vào password mà ban dã xác nhân t ruóc dó cho file t rong Ty pe Passw or d t o Open
Fi l e dial og box, cl ick OK.
4. Click OK t rong I mp or t i n g dialog box khi t hây xuât hiên t hông báo The configurat ion was
successfull y rest ored
5. Click Apply dê save nhùng t hay dôi và câp nhât chính sch1 cúa Fi rewall .
6. Chon Save t he changes and rest art t he servi ce( s) t rong I SA Server War n i ng dialog box
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Click OK t rong Appl y New Con f i gu r at i on dial og box chí rõ râng Changes t o t he
configurat ion were successfully applied.
Gi ò dây câu hình dã phuc hôi cho I SA Server 2004 dã hoat dông vói dây dú chúc nång và
các chính sách cúa Firewal l duoc áp dåt hiên giò duoc lây t ù bán backup câu hình cúa
Filewall t ruóc dó.
Xu ât chính sách Fi r ew al l ( Export ing Firewal l Poli cy)
Các Admin không nhât t hiêt phái luôn luôn export moi t hú l iên quan dên câu hình cúa
Firewall. Có t hê chúng t a chí gåp phái môt sô vân dê t ai Access Pol i ci es và muôn gúi
nhùng t hông t in này dên môt Securit y admin nào dó xem xét . Khi ây chí cân export các
Access Policies hiên t hòi cúa Firewall, sau dó gúi Export File này dên môt chuyên gia vê I SA
Server 2004, dê ho có t hê nhanh chóng nhâp ( import ) các Policies này vào môt I SA Server
2004 Test Comput er, và chân doán vân dê
Trong ví du này, chúng t a sè export câu hình VPN Client s ra môt file. Tiên hành l ân luot các
buóc sau:
1. Trong Mi cr osof t I nt er net Secu r i t y and Accel er at i on Ser ver 2004 management
console, mó rông server name, right click t rên Vi r t u al Pr i vat e Net w or ks ( VPN) node.
Click vào Ex por t VPN Cl i ent s Conf i gur at i on.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
2. Trong Ex por t Conf i gur at i on dialog box, diên t ên cho export f ile t rong Fi l e name t ext
box. Ðua môt sô t hông t in mô t á vê noi chúng t a l uu t rù fil e. Check vào Ex por t user
per m i ssi on set t i ngs and Ex por t con f i dent i al i nf or mat i on ( encr ypt i on w i l l be used)
check boxes nêu ban muôn luu t hông t i n riêng nâm bên t rong VPN Cl i ent s conf i gu r at i on
( chäng han nhu các password bí mât cúa I PSec- I PSec shared secret s) . Trong ví du này,
Chúng t a sè dåt file là VPN Cl i ent s Back up. Cli ck Ex por t .
3. Trong Set Passw or d di alog box, diên môt password và xác nhân lai password t rong
Conf i r m passw or d t ext box. Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click OK t rong Ex por t i ng dialog box khi chúng t a t hây t hông báo Successfully export ed
t he confi gurat ion.
Nhâp chí nh sách Fi r ew al l ( I mport ing Fi rewall Poli cy)
File ex por t có t hê duoc import dên cùng Comput er hoåc môt Comput er khác có I SA Server
2004 dã cài dåt . Trong ví du sau, chúng t a sè import các xác lâp cúa VPN Client s dã duoc
export t rong phân t ruóc.
Tiên hành các buóc sau dê import VPN Client s set t i ngs t ù fi le dã export :
1. Trong Mi cr osof t I nt er net Secu r i t y and Accel er at i on Ser ver 2004 management
console, mó rông server name và ri ght click vào Vi r t u al Pr i vat e Net w or k s ( VPN) node.
Click I mpor t VPN Cl i ent s Conf i gur at i on.
2. Trong I mpor t Conf i gur at i on dialog box, chon fil e VPN Cl i en t s Back up. Ðánh dâu vào,
I mpor t user per mi ssi on set t i ngs và I mp or t cache dr i ve set t i n gs và SSL cer t i f i cat es
checkboxes. Trong ví du này, cache dri ve set t ings, không quan t rong, nhung SSL
cert if icat es l à cân t hi êt nêu chúng t a muôn dùng cùng cer t i f i cat es, dã duoc sú dung cho
I PSec hoåc L2TP/ I PSec VPN connect ions. Cli ck I mport .
3. Ðiên password dê mó t rong Type Passw or d t o Open Fi l e dialog box. Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click OK t rong I mpor t i ng Vi r t u al Pr i vat e Net w or k s ( VPN) dialog box khi nhân duoc
t hông báo Successfully import ed t he configurat ion.
5. Click Appl y dê áp dung nhùng t hay dôi và câp nhât Firewall poli cy.
6. Click OK t rong Ap pl y New Conf i gur at i on dialog box khi nhân duoc t hông báo Changes
t o t he configurat ion were successful ly applied. Luu ý râng, nhùng t hay dôi t rong câu hình
VPN có t hê mât vài phút dê câp nhât
Kêt l u ân:
Trong chuong này chúng t a dã t háo luân viêc backup và phuc hôi câu hình cúa I SA Server
2004 Firewall . Chúng t a cùng dã xem xét các t ính nång cúa export và import , cho phép
t huc hiên backup các t hành phân l ua chon ( cân t hiêt ) , cúa câu hình Firewall
Trong chuong t ói , chúng t a sè dùng I SA Server 2004 Net work Templat es dê don gián hóa
câu hình ban dâu cúa các Net works, Net wor k Rul es, và các Access Pol ici es cúa Fi rewall.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
CHUONG 9:
Ðon Gi án Hóa Câu Hình Man g Vói Các Net w or k Templ at es
I SA Server 2004 firewall mang dên cho chúng t a nhùng t huân loi t o lón, môt t rong nhùng
sô dó là các Net work Templat es ( mô hình mâu các t hông sô câu hình Mang) . Vì su hô t ro
t hông qua các t emplat es này, mà chúng t a có t hê câu hình t u dông các t hông sô cho
Net works, Net work Rules và Access Rules. Net work Templat es duoc t hiêt kê giúp chúng t a
nhanh chóng t ao duoc môt câu hình nên t áng cho nhùng gì mà chúng t a có t hê sè xây
dung.. Chúng t a có t hê chon môt t rong sô các Net work Templat es sau:
• Edge Firewall
Net work Templat e dành cho Edge Firewall, duoc sú dung khi I SA Server 2004 firewall có
môt Net work interface duoc t ruc t iêp kêt nôi dên I nternet và môt Net work int erface duoc
kêt nôi vói I nt ernal net work
• 3- Leg Perimet er
Net work Templat e dành cho 3- Leg Perimet er duoc sú dung vói Firewall gân 3 Net work
I nt erfaces. Môt Ext ernal i nt erface ( kêt nôi I nt ernet ) , môt I nternal i nt erface ( kêt nôi Mnag
nôi bô) và môt DMZ i nt erface ( kêt nôi dên Mang vành dai- Peri met er Net work) . Templ at e
này, câu câu hình các dia chí và môi quan hê gi ùa các Net works này vói nhau.
• Front Firewall
Dùng Front Firewall Templ at e khi I SA Server 2004 firewall dóng vai t rò môt f r ont end
f i r ew al l t rong mô hình back - t o- back f i r ew al l . Vây t hê nào là môt back- t o- back firewal l ?
Ðon gián dó là mô hình kêt nôi 2 Fi rewall làm viêc vói nhau t heo kiêu t ruóc ( front ) sau
( back) . Phía ngoài Front Firewal l có t hê là I nt ernet , giùa Front và back fi rewall có t hê l à là
DMZ net work, và phía sau back firewall là I nt ernal net work. Templ at e này dành cho Front
Firewall
• Back Firewall
Nhu vùa t rình bày ó t rên có l è các ban dã hi êu vê vi t rí cúa môt Back firewall, và Back
Firewall Templat e duoc sú dung cho môt I SA Server 2004 firewall nâm sau môt I SA Server
2004 firewall khác phía t ruóc nó ( hoåc môt t hird- part y firewall nào dó) .
• Single Net work Adapt er
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Templat e dang Single Net work Adapt er là môt câu hình khá dåc biêt , áp dung dang
t empl at e này t rên I SA Server 2004 có nghia là loai luôn chúc nång Fi rewall cúa nó. Ðuoc
dùng t rong nhùng t ruòng hop I SA SERVER 2004 chí có duy nhât môt Net work Card
( uni homed) , dóng vai t rò là hê t hông luu giù cache- Web caching server.
Trong phân này, chúng t a sè phác t háo 2 kich bán sau:
• Kich bán 1: Câu hình cho Edge Firewall
• Kich bán 2: Câu hình cho 3- Leg Perimet er
Cân xem xét lai chuong 1 dê nâm rõ câu hình Mang, và câu hình cho I SA SERVER 2004
t rong Test Lab này. Kich bán vê câu t rúc Mang cúa chúng t a t rong Test lab t uong t hích vói
Kich bán 2, nguoc lai có t hê t ham kháo kich bán 1
Kich bán 1: Câu hìn h Edge Fi r ew al l
Templat e cho Edge Fi rewall sè câu hình cho I SA Server 2004 firewall có môt net wor k
int erface gân t ruc t iêp I nt ernet và môt Network int erface t hú 2 kêt nôi vói I nt ernal net work.
Net work t emplate này cho phép Admin nhanh chóng áp dung các nguyên t âc t ruy câp t hông
qua chính sách cúa Firewall ( firewall policy Access Rules ) , cho phép chúng t a nhanh chóng
dua câu hình diêu khiên t ruy câp ( access cont rol) gi ùa I nt ernal net work và I nt ernet .
Báng 1 cho chúng t a t hây các chính sách cúa Firewall ( firewall policies) dã sån sàng khi sú
dung Edge Fi rewall t emplat e.
Môi chính sách t rong Fi rewall policies chúa sån các xác lâp vê nhùng nguyên t âc t ruy câp.
Tù xác lâp t ât cá các hoat dông dêu duoc cho phép ( Al l Open Access Pol icy) giùa I nt ernal
net work và I nt ernet cho dên xác lâp ngån chån t ât cá ( Block All pol icy) hoat dông giùa
I nt ernal net work và I nt ernet .
Tabl e 1: Nhüng l ua chon vê chính sách cúa Fi r ew al l k hi dùng Net w or k Edge
Fi r ew al l Templ at e
Fi r ew al l Pol i cy Mô t á
Block All
( Ngån chån t ât cá)
Ngån chån t ât cá t ruy câp qua I SA Server
Lua chon này không t ao bât kì nguyên t âc
cho phép t ruy câp nào ngoài nguyên t âc
ngån chån t ât cá t ruy câp
Block I nt ernet Access, allow access t o
I SP net work servi ces
( Ngån chån t ruy câp ra I nt ernet , nhung
cho phép t ruy câp dên môt sô dich vu
Ngån chån t ât cá t ruy câp qua I SA server,
ngoai t rù nhùng t ruy câp dên các Net work
services chäng han DNS service. Lua chon
này sè duoc dùng khi các I SP cung câp
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
cúa I SP) nhùng dich vu này.
Dùng l ua chon này dê xác dinh chính sách
Fi rewall cúa ban, ví du nhu sau:
1. Allow DNS from I nt ernal Net work and
VPN Client s Net work t o Ext ernal Net work
( I nt ernet ) - Cho phép I nt ernal Net work và
VPN Cl ient s Net work dùng DNS cúa I SP dê
xác dinh host names bên ngoài ( nhu
I nt ernet ) .
All ow limi t ed Web access
( Cho phép t ruy câp Web có gi ói han)
Chí cho phép t ruy câp Web dùng các giao
t húc: HTTP, HTTPS, FTP. Còn lai t ât cá t ruy
câp khác sè bi ngån chån.
Nhùng nguyên t âc t ruy câp sau sè duoc
tao:
1. Allow HTTP, HTTPS, FTP from I nt ernal
Net work t o Ext ernal Net work- Cho phép các
t ruy câp dang HTTP, HTTPS, FTP t ù I nt ernal
net work ra bên ngoài .
2. All ow all prot ocols from VPN Cl ient s
Net work t o I nt ernal Net work- Cho phép t ât
cá các giao t húc t ù VPN Cli ent s Net work ( t ù
bên ngoài) t ruy câp vào bên t rong Mang nôi
bô.
All ow limi t ed Web access and access t o
I SP net work servi ces
( Cho phép t ruy câp Web có gi ói han và
t ruy câp dên môt sô dich vu cúa I SP)
Cho phép t ruy câp Web có giói han dùng
HTTP, HTTPS, và FTP, và cho phép t ruy câp
tói I SP net wor k servi ces nhu DNS. Còn l ai
ngån chån t ât cá các t ruy câp Net work
khác.
Các nguyên t âc t ruy câp sau sè duoc t ao:
1. Allow HTTP, HTTPS, FTP from I nt ernal
Net work and VPN Client s Net work t o
Ext ernal Net work ( I nt ernet ) - Cho phép
HTTP, HTTPS, FTP t ù I nt ernal Net work và
VPN Client s Net work ra Ext ernal Net work
( I nt ernet )
2. Allow DNS from I nt ernal Net work and
VPN Client s Net work t o Ext ernal Net work
( I nt ernet ) - Cho phép I nt ernal Net work và
VPN Cli ent s Net work t ruy câp dich vu DNS
gi ái quyêt các host names bên ngoài
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
( I nt ernet )
3. All ow all prot ocols from VPN Cl ient s
Net work t o I nt ernal Net work- Cho phép t ât
cá các giao t húc t ù VPN Client s Net work
( bên ngoài , VPN Client s t huc hiên kêt nôi
vào Mang nôi bô t hông qua I nt ernet ) , duoc
t ruy câp vào bên t rong Mang nôi bô.
All ow unrest ri ct ed access
( Cho phép t ruy câp không gi ói han)
Cho phép không han chê t ruy câp ra
I nt ernet qua I SA Server
Các nguyên t âc t ruy câp sau sè duoc t ao:
1. Al low all prot ocols from I nt ernal Net work
and VPN Client s Net work t o Ext ernal
Net work ( I nt ernet ) - Cho phép dùng t ât cá
gi ao t húc t ù I nt ernal Net work và VPN
Client s Net work t ói Ext ernal Net work
( I nt ernet )
2. All ow all prot ocols from VPN Cl ient s
Net work t o I nt ernal Net work- Cho phép t ât
cá giao t húc t ù VPN Client s Net work truy
câp vào I nt ernal Net work.
Tiên hành nhùng buóc sau khi dùng Edge Firewall Net work Templat e dê câu hình Firewall:
1. Trong Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 2004 management
console, mó rông server name và mó rông t iêp Conf i gur at i on node. Click vào Net w or k s
node.
2. Click vào Templ at es t ab t rong Task Pane. Click vào Edge Fi r ew al l net work t empl at e.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Click Nex t t r ên Wel come t o t he Net w or k Templ at e Wi zar d page.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Trên Ex por t t he I SA Ser ver Conf i gur at i on page, ban duoc chon lua dê Export câu
hình hiên t ai . Hoàn t oàn có t hê quay lai câu hình I SA Server 2004 firewall t ruóc khi dùng
Edge Firewall net work t empl at e , bói vì chúng t a dã backed up câu hình hê t hông t ruóc dó
và vì t hê cùng không cân phái export câu hình t ai t hòi diêm này. Click Nex t .
5. Trên I nt er nal Net w or k I P Addr esses page, Xác dinh I nt ernal net work addresses.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Vùng dia chí nôi bô I nt ernal net work address hiên dã t u dông duoc xác dinh t rong Addr ess
r anges list . Và ban có t hê dùng Add, Add Adapt er và Add Pr i v at e but t on dê mó rông
vùng danh sách Adrress này. Trong ví du cúa chúng t a, giù nguyên vùng I nt ernal net wor k
address. Click Nex t .
6. Trên Sel ect a Fi r ew al l Pol i cy page ban có t hê chon môt firewall policy và môt t âp hop
các Access Rules. Trong ví du này chúng t a muôn cho phép các I nt ernal net work client s có
t hê t ruy câp dên t ât cá Prot ocol cúa t ât cá các Sit es t rên I nt ernet . Sau khi dã có ki nh
nghiêm hon vói I SA Server 2004 fi rewall, ban có t hê gia t ång múc dô securit y cúa t ât cá các
t ruy câp ra ngoài - out bound access . Tai t hòi diêm này chí cân t hú nghiêm cho phép t ruy
câp I nt ernet . Chon Al l ow unr est r i ct ed access poli cy t ù danh sách và click Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Review lai các xác lâp vùa rôi và cl ick Fi ni sh t rên Compl et i ng t he Net w or k Templ at e
Wi zar d page.
8. Click Appl y luu lai nhùng t hay dôi và câp nhât fi rewall policy.
9. Click OK t rong Appl y New Conf i gur at i on dialog box sau khi t hây t hông báo Changes
t o t he con f i gur at i on w er e successf ul l y appl i ed.
10. Cli ck t rên Fi r ew al l Pol i ci es node t rong khung t ráidê xem các policies duoc t ao bói
Edge Fi rewal l net work t emplat e. 2 Access Rules cho phép I nt ernal net work và VPN client s
t ruy câp dây dú ra I nt ernet , và VPN client s cùng duoc dây dú quyên t ruy câp vào I nt ernal
net work.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Kich bán 2: Câu hình 3- Leg Per i met er
Câu hình Firewall t heo t empl at e dang 3- leg perimet er sè t ao ra các môi quan hê gi ùa các
Net work: I nt ernal, DMZ và I nt ernet . Và t uong úng Firewall cùng t ao ra các Access Rules dê
hô t ro cho I nt ernal net work segment và perimet er ( DMZ) net work segment . Perimet er
net work Segment –DMZ là khu vuc có t hê quán lý các nguôn t ài nguyên cho phép nguòi
dùng I nt ernet t ruy câp vào nhu: publ ic DNS server hoåc môt caching- only DNS server.
Tabl e 2: Nhüng cho l ua t ai 3- Legged Per i m et er Fi r ew al l Templ at e Fi r ew al l Pol i cy
Fi r ew al l Pol i cy Mô t á
Bl ock al l Chån t ât cá t ruy câp qua I SA Server. Lua
chon này sè không t ao bât kì Rules nào
khác hon ngoài default rule - ngån chån t ât
cá t ruy câp
Bl ock I nt er net access,
al l ow access t o
net w or k ser vi ces on
t h e per i met er net w or k
Chån t ât cá t ruy câp qua I SA Server, ngoài
t rù nhùng t ruy câp dên các net work
services, nhu DNS t rên DMZ .
Các access rules sau sè duoc t ao:
1. Allow DNS t raffi c from I nt ernal Net work
and VPN Client s Net work t o Perimet er
Net work –Cho phép các t ruy câp dich vu
DNS t ù I nt ernal Net work và VPN Cl ient s
Net work dên Perimet er Net work
Bl ock I nt er net access, Ngån chån t ât cá các t ruy câp Mang qua
f irewall ngoai t rù các net work servi ces nhu
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
al l ow access t o I SP
net w or k ser vi ces
DNS. Lua chon này là phù hop khi nhà
cung câp các dich vu mang co bán là
I nt ernet Service Provider ( I SP) cúa ban.
Các rules sau sè duoc t ao:
1. Allow DNS from I nt ernal Net work, VPN
Cl ient s Net work and Perimet er Net work t o
Ext ernal Net work ( I nt ernet ) –Cho phép
DNS t ù I nt ernal Net work, VPN Client s
Net work và Peri met er Net work dên
Ext ernal Net work ( I nt ernet )
Al l ow l i mi t ed Web
access, al l ow access
t o net w or k ser vi ces
on per i met er net w or k
Chí cho phép cac t ruy câp han chê dùng
các Prot col Web nhu: HTTP, HTTPS, FTP và
cùng cho phép t ruy câp các net work
servi ces nhu DNS t rên DMZ.
Tât cá các t ruy câp Mang khác dêu bi
blocked.
Lua chon này phù hop khi t ât cá các dich
vu ha t âng Mang nâm t rên DMZ.
Các access rules sau sè duoc t ao:
1. Allow HTTP, HTTPS, FTP from I nt ernal
Net work and VPN Cl ient s Net work t o
Perimet er Net work and Ext ernal Net work
( I nt ernet )
2. Allow DNS t raffi c from I nt ernal Net work
and VPN Client s Net work t o Perimet er
Net work
3. Allow all prot ocols from VPN Client s
Net work t o I nt ernal Net work
Al l ow l i mi t ed Web
access and access t o
I SP net w or k ser v i ces
Cùng gi ông nhu t rên nhung chí khác là các
net work servi ces nhu DNS do I nt ernet
Service Provider ( I SP) cúa ban cung câp.
Tât cá các t ruy câp Mang khác dêu bi
blocked.
Các access rules sau sè duoc t ao:
1. Allow HTTP, HTTPS, FTP from I nt ernal
Net work and VPN Cl ient s Net work t o t he
Ext ernal Net work ( I nt ernet )
2. Allow DNS from I nt ernal Net work, VPN
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Cl ient s Net work and Perimet er Net work t o
Ext ernal Net work ( I nt ernet )
3. Allow all prot ocols from VPN Client s
Net work t o I nt ernal Net work
Al l ow unr est r i ct ed
access
Cho phép t ât cá các loai t ruy câp ra
I nt ernet qua firewall. Fi rewall sè chån các
t ruy câp t ù I nt ernet vào các Net wor k duoc
báo vê. Tù chính sách cho phép t ât cá t ruy
câp này, sau dó ban có t hê ngån chån bót
môt sô t ruy câp không phu hop vói chính
sách báo mât cúa t ô chúc
Các rules sau sè duoc t ao:
1. Allow all prot ocols from I nt ernal
Net work and VPN Cl ient s Net work t o
Ext ernal Net work ( I nt ernet ) and Peri met er
Net work
2. Allow all prot ocols from VPN Client s t o
I nt ernal Net work
Tiên hành các buóc sau dê dùng 3- Leg Perimet er net work t empl at e:
1. Mó Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 2004 management
console , mó rông server name. Mó t iêp Con f i g ur at i on node và click t rên Net w or k s node.
2. Cli ck Net w or k s t ab t rong Det ails pane, sau dó click Templ at es t ab t rong Task pane.
Click vào 3- Leg Per i met er net wor k t emplate.
3. Click Nex t t rên Wel come t o t he Net w or k Templ at e Wi zar d page.
4. Trên Ex por t t he I SA Ser ver Conf i gur at i on page, ban có t hê chon dê export câu hình
hiên t ai. Lua chon này là su cân t rong, khi ban không muôn sú dung câu hình cúa t empl at e
và muôn quay t ró lai các xác lâp ban dâu. Trong ví du này chúng t a dã backed up câu hình
vì t hê không cân phái export . Click Nex t .
5. Trên I nt er nal Net w or k I P Addr esses page, xác dinh các dia chí I P cúa I nt ernal
net work. Ban sè t hây I SA t u dông xuât hiên chúng t rong Addr ess r an ges list . Ban không
cân phái t hêm bât kì Address nào t rong I nt ernal net work. Click Nex t .
6. Tiêp t heo, Ban sè câu hình vùng dia chí này t huôc perimet er net work segment t rên
Per i met er Net w or k I P Addr esses page. Ban nhân t hây Addr ess r anges list hoàn t oàn
t rông. Do dó. .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
7. Click vào Add Adapt er but t on. Trong Net w or k adapt er det ai l s dialog box, dánh dâu
vào DMZ check box. Tên Adapt er là DMZ do ban dåt lúc dâu và hãy dánh dâu cho chính xác
vào dây. Click OK.
8. Wizard sè t u dông dua các dia chí vào Addr ess r anges list dua t rên Wi ndows rout ing
t able. Click Nex t .
9. Trên Sel ect a Fi r ew al l Pol i cy page, Ban sè chon môt firewall policy dê t ao môi quan hê
giùa I nt ernet , DMZ và I nt ernal net works và cùng t ao ra các Access Rules. Trong ví du này
chúng t a sè cho phép I nt ernal net work cl i ent s dây dú quyên t ruy câp ra I nt ernet và DMZ
net work, và cùng cho phép các DMZ host s duoc t ruy câp ra I nt ernet . Sau khi dã có kinh
nghiêm hon vói viêc config Access Pol icies t rên I SA Server 2004 firewal l , ban sè ki êm soát
chåt chè hon các t ruy câp ra bên ngoài - out bound access giùa DMZ net work segment và
I nt ernet , giùa I nt ernal net work segment và I nt ernet . Chon Al l ow unr est r i ct ed access
firewall policy và cli ck Nex t .
10. Review l ai các xác lâp t rên Com pl et i ng t h e Net w or k Templ at e Wi zar d và click
Fi ni sh.
11. Cli ck Appl y dê luu lai nhùng t hay dôi và câp nhât cho Firewall .
12. Click OK t rong Appl y New Conf i gu r at i on dialog box sau khi t hây t hông báo Changes
t o t he con f i gur at i on w er e successf ul l y appl i ed.
13. Cli ck t rên Fi r ew al l Pol i cy node t rên khung t rái cúa Mi cr osof t I nt er net Secur i t y and
Accel er at i on Ser ver 200 4 management consol e dê xem lai các rules dã duoc t ao bói 3-
Leg Perimet er net work t emplat e. 2 rules này cho phép các Host s t huôc I nt ernal net work và
VPN cl ient s net work dây dú quyên t ruy câp ra I nt ernet và cá DMZ. Thêm nùa, VPN Client s
net work duoc t ruy câp dây dú vào I nt ernal net work.
14. Mó rông Conf i gur at i on node bên khung t rái cúa Mi cr osof t I nt er net Secur i t y and
Accel er at i on Ser ver 2004 management console. Cli ck Net w or k s node. Ó dây ban sè
t hây môt danh sachq cúa các net works, bao gôm Per i met er net work duoc t ao bói
t empl at e.
15. Click Net w or k Rul es t ab. Right click Per i met er Conf i gur at i on Net work Rule and click
Pr oper t i es.
16. Trong Per i m et er Con f i gu r at i on Pr oper t i es dial og box, cl ick Sour ce Net w or k s t ab.
Ban có t hê t hây t rong danh sách Thi s r ul e appl i es t o t r af f i c f r om t h ese sour ces gôm
I nt er nal , Quar ant i ned VPN Cl i ent s và VPN Cl i ent s net works.
17. Cli ck Dest i nat i on Net w or k s t ab. Ban t hây Per i met er net work t rong Thi s r ul e
appl i es t o t r af f i c sent t o t hese dest i nat i ons li st .
18. Cli ck Net w or k Rel at i onshi p t ab. Xác lâp måc dinh là Net w or k Addr ess Tr ansl at i on
( NAT) . Ðây l à môt xác lâp an t oàn vì ban biêt râng NAT có t hê ân các I P addresses cúa
I nt ernal net work cli ent s kêt nôi dên các DMZ net work host s.
Tuy nhiên các môi quan hê giùa NAT và các Prot ocol s, không phái bao gi ò cùng t huân l oi.
Môt sô Prot ocol không làm vi êc duoc vói NAT, cho nên t rong ví du này chúng t a chon
Net work Relat ionship là Rout e relat ionship nhâm giái quyêt vân dê râc rôi dó. Ghi nhó râng,
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
tai t hòi diêm này, không có Access Rules nào cho phép t ruy câp t ói I nt ernal net work t ù DMZ
net work.
19. Cli ck Appl y và cl ick OK.
20. Cli ck Appl y dê luu nhùng t hay dôi.
21. Click OK t rong Appl y New Conf i gu r at i on dialog box sau khi t hây t hông báo Changes
t o t he con f i gur at i on w er e successf ul l y appl i ed.
Kêt luân:
Trong chuong này chúng t a dã dê câp cách t húc sú dung các net work templ at es: Edge
Firewall và 3- Leg Perimet er dê don gián hóa các câu hình khói hoat cho: net work
addresses, Net work Rul es và Access Rules. Trong chuong t ói chúng t a sè t háo luân t iêp vê
các loai I SA Server 2004 Cl ient s khác nhau l àm viêc t hê nào vói iSA Server 2004 Fiewall.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Chuong 10:
Conf i gur i n g I SA Ser ver 2004 Secur eNAT, Fi r ew al l và Web Pr ox y Cl i ent s
Môt I SA Server 2004 cli ent là máy t ính kêt nôi dên các nguôn tài nguyên khác t hông qua
I SA Server 2004 fi rewall . Nhìn chung, các I SA Server 2004 cli ent t huòng duoc dåt t rong
môt I nt ernal hay perimet er net work –DMZ và kêt nôi ra I nt ernet qua I SA Server 2004
firewall.
Có 3 l oai I SA Ser ver 2004 cl i ent :
• SecureNAT client
• Web Proxy client
• Firewall client
Môt Secur eNAT cl i ent là máy t ính duoc câu hình vói t hông sô chính Default gat eway giúp
dinh t uyên ra I nt ernet t hông qua I SA Server 2004 firewall. Nêu SecureNAT cli ent nâm t rên
Mang t ruc t iêp kêt nôi dên I SA Server 2004 firewall, t hông sô default gat eway cúa
SecureNAT cli ent chính là I P address cúa net work card t rên I SA Server 2004 fi rewall gân vói
Net work dó . Nâu SecureNAT cl ient nâm t rên môt Net work ó xa I SA Server 2004 fi rewall,
khi dó SecureNAT client sè câu hình t hông sô default gat eway là I P address cúa rout er gân
nó nhât , Rout er này sè gi úp dinh t uyên t hông t in t ù SecureNAT client dên I SA Server 2004
firewall à ra I nt ernet .
Môt Web Pr ox y cl i ent là máy t ính có t rình duyêt int ernet ( vd: I nt ernet Explorer) duoc câu
hình dùng I SA Server 2004 firewall nhu môt Web Proxy server cúa nó. Web browser có t hê
câu hình dê sú dung I P address cúa I SA Server 2004 firewall làm Web Proxy server cúa nó
–câu hình t hú công, hoåc có t hê câu hình t u dông t hông qua các Web Proxy
aut oconfigurat i on scri pt cúa I SA Server 2004 firewall. Các aut oconfigurat ion scri pt cung câp
múc dô t ùy biên cao t rong vi êc diêu khiên làm t hê nào dê Web Proxy cl ient s có hê kêt nôi
I nt ernet . Tên cúa User –User names duoc hi nhân t rong các Web Proxy logs khi máy t ính
duoc câu hình nhu môt Web Proxy cl ient .
Môt Fi r ew al l cl i ent là máy t ính có cài Firewall client soft war e. Firewall client soft war e chån
tât cá các yêu câu t huôc dang Winsock appli cat ion ( t hông t huòng, là t ât cá các úng dung
chay t rên TCP và UDP) và dây các yêu câu này t ruc t iêp dên Firewall service t rên I SA
Server 2004 fir ewall. User names sè t u dông duoc dua vào Firewall service log khi máy t ình
Firewall client t huc hiên kêt nôi I nt ernet t hông qua I SA Server 2004 fi rewall .
Báng duói dây t óm t ât các t ính nång duoc cung câp bói môi loai client .
Tabl e 1: Các l oai I SA Ser ver 2004 Cl i ent và nhün g dãc diêm
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Feat ur e Secu r eNAT cl i ent Fi r ew al l cl i ent Web Pr ox y cl i ent
Cân phái cài dåt ? Không, chí cân xác
lâp t hông sô default
gat eway
Yes. Cân cài dåt
soft ware
Không, chí cân câu
hình các t hông sô
phù hop t ai t rình
duyêt Web- Web
browser
Hô t ro Hê diêu
hành nào ?
Bât cú OS nào hô
t ro TCP/ I P
Chí Wi ndows Bât kì OS nào có hô
t ro các Web
applicat ion
Hô t ro Prot ocol Nhò có bô loc úng
dung - Applicat ion
filt ers có t hê hô t ro
các úng dung chay
kêt hop nhiêu
prot ocols -
mult iconnect ion
prot ocols
Tât cá các úng
dung Winsock
Appli cat ions. Có
nghia là hâu hêt
các úng dung t rên
I nt ernet hi ên nay
HTTP, Secur e
HTTP
( HTTPS) , v à FTP
Có hô t ro xác t huc
nguòi dùng hay
không ? Nhâm kiêm
soát viêc User t ruy
câp ra ngoài
Yes, nhung chí dành
cho VPN cli ent s
Yes Yes
Câu hình Secu r eNAT Cl i ent
Câu hình SecureNAT client là viêc rât don gián ! Client chí viêc câu hình t hông sô defaul t
gat eway giúp cli ent dinh tuyên ra I nt ernet t hông qua I SA Server 2004 firewall . Có 2 cách
chính duoc dùng dê câu hình môt máy t ró t hành môt SecureNAT client :
• Xác lâp các t hông sô TCP/ I P t hú công t rên máy
• Cung câp t hông sô default gat eway address t u dông t hông qua các xác lâp DHCP scope
opt ion t rên DHCP Server
Trong kich bán dã t ùng dê câp cúa sách t hì domain cont roller dã duoc câu hình nhu môt
SecureNAT client . Net work servers nhu domain cont rol lers, DNS servers, WI NS servers và
Web servers thông t huòng cùng duoc câu hình nhu các SecureNAT client s.
Domai n cont roller dã duoc câu hình t hú công làm SecureNAT client .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Trong chuong 4 cúa sách chúng t a dã cài dåt DHCP server và t ao ra môt DHCP scope ( môt
vùng I P addresses) . DHCP scope dã duoc câu hình vói môt scope opt ion câp phát cho DHCP
cli ent s t hông sô default gat eway address chính là I P address cúa I nt ernal int erface t rên I SA
Server 2004 firewal l. Câu hình måc dinh cúa Windows syst ems l à sú dung DHCP dê nhân
các xác lâp vê t hông t in I P address.
Nêu ban sú dung câu hính Net work duoc mô t á t rong chuong cúa sách , I nt ernal net work
cli ent duoc câu hình vói I P address t inh. Trong huóng dân t heo sau, chúng t a sè câu hình
I nt ernal net work cli ent dùng DHCP dê mô t á cách t húc DHCP hoat dông, sau dó chúng t a sè
quay t ró lai dùng I P t inh. Tiên hành các buóc sau câu hình DHCP client t rên máy Windows
2000 và sau dó quay lai dùng I P t inh.
1. Tai máy CLI ENT, right click My Net w or k Pl aces icon t r ên deskt op và cl ick Pr oper t i es.
2. Trong Net w or k and Di al - up Connect i ons, right cl ick Local Ar ea Connect i on và click
Pr oper t i es.
3. Trong Local Ar ea Con nect i on Pr oper t i es dialog box, click I nt er net Pr ot ocol
( TCP/ I P) , click Pr oper t i es.
4. Trong I nt er net Pr ot ocol ( TCP/ I P) Pr oper t i es di alog box, chon Obt ai n an I P
addr ess
aut omat i cal l y và Obt ai n DNS ser ver addr ess aut omat i cal l y . Click OK.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Click OK t rong Local Ar ea Connect i on Pr oper t i es dialog box.
6. Xác dinh I P address mói duoc câp phát , t hông qua lênh i pconf i g. Click St ar t , Run.
Trong Open box, dánh lênh cmd.
7. Trong Command Pr om pt window, lênh i p conf i g / al l , ENTER. Ó dây ban có t hê t hây
duoc I P address duoc câp phát cho Client và các t hông sô I P address khác mà Cl ient dùng
nhu: DNS, WI NS và def aul t gat ew ay
8. Ðóng Command Pr ompt . Quay t ró lai TCP/ I P Pr oper t i es dialog box và t hay dôi máy
CLI ENT dùng lai I P t inh. I P addr ess sè là 10. 0. 0. 4; subnet mask 255.255.255.0; default
gat eway 10.0.0.1, và DNS server address 10. 0. 0. 2.
Câu hình Web Pr ox y Cl i en t
Câu hình Web Proxy client yêu câu trình duyêt Web ( vd: I nt ernet Explorer) sú dung I SA
Server 2004 firewall nhu là Web Proxy server cúa mình. Có môt sô cách dê câu hình Web
browser vói vai t rò môt Web Proxy cli ent . Có t hê là:
• Câu hình t hú công sú dung I P address cúa I SA Server 2004 firewal l l à Web
Proxy server
• Câu hình t hú công t hông qua sú dung các file script t u dông- aut oconfigurat ion script
• Câu hình t u dông t hông qua cài phân mêm Firewall client (các ban nhó ki cách câu hình
này nhé)
• Câu hình t u dông sú dung t hành phân w pad duoc hô t ro vói DNS và DHCP
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
Trong chuong 5 cúa sách, các ban dã t ao các wpad ent ries t rong DNS và DHCP dê hô t ro
viêc t u dông câu hình Web Proxy và Firewall client . Tính nång t u dông khám phá cúa Wpad-
Wpad aut odiscovery duoc xem là phuong pháp câu hình Web Proxy cl ient, và cho phép User
t 7 dông nhân duoc các t hông sô xác lâp Web Proxy mà không cân phái t hú công câu hình
t rên t rình uyêt web –web browsers cúa các Client s.
Môt cách khác dê câu hình t u dông Web browsers t hành Web Proxy client s , dó là khi
Firewall client duoc set up t rên client s. . Và châc chân râng các ban nên chon các phuong
t húc t riên khai câu hình t u dông t rên nhùng hê t hông Mang lón, noi mà viêc câu hình t hú
công quá bât t iên, và hê t hông mang t huòng xuyên có su vào ra cúa các máy t ính mobile
( l abt op..) .
Nêu chúng t a vân dang dùng câu hình t hiêt lâp Mang cúa sách DNS và DHCP servers sè
duoc câu hình dê cung câp các thông sô w pad cho Web browsers dê chúng có t hê t u câu
hình. Tuy nhi ên, nêu chúng t a không chon câu hình t u dông, t hì vân có t hê câu hính t hú
công t rên các browsers cho các Cl ient s. Cúng t a sè xem xét câu hình browser t rong suôt
quá t rình cài dåt Firewall client ó phân t ói.
Tiên hành t hú công các buóc sau dê câu hình cho Explorer 6.0 Web browser:
1. Trên máy CLI ENT, right click I nt er net Ex pl or er i con nâm t rên deskt op, click Pr oper t i es.
2. Trong I nt er net Pr oper t i es dialog box, cl ick Connect i ons t ab. t rên Connect i ons t ab,
cli ck LAN Set t i ngs but t on.
3. Có vài lua chon câu hình Web proxy t rong Local Ar ea Net w or k ( LAN) Set t i ngs dial og
box. Ðánh dâu check vào Aut omat i cal l y det ect set t i n gs check box dê cho phép browser
dùng các xác lâp w pad t rong DNS và DHCP. Ðây là lua chon måc dinh t rên các I nt ernet
Expl orer Web browser s. Ðåt môt checkmark vào Use aut omat i c conf i gur at i on scr i pt
check box, và diên vào vi t rí luu t rù aut oconfigurat ion script t rên I SA Server 2004 fi rewall
nhu sau:
ht t p: / / I SALOCAL.msf i r ew al l .o r g: 8080/ ar r ay.dl l ?Get .Rout i ng.Scr i pt
Di nhiên máy cl ient phái có khá nång giái quyêt t ên I SALOCAL. msf i r ew al l .or g ( I SA
Server 2004 fi rewall) ra I P address ( I P address này nâm t rênI nt ernal int erface cúa fi rewall.
Chú ý môt diêu, nêu Client có t hê dùng w pad dê Aut omat i cal l y det ect set t i n gs, t hì các
t hông t in câu hình t u dông nâm rong aut oconf i gur at i on scr i pt sè duoc download dên
t rình duyêt Web Proxy cl ient . Ðåt môt checkmark vào Use a pr ox y ser v er f or y our LAN
( These set t i ngs w i l l not appl y t o di al - up or VPN connect i ons) check box, và diên vào
I P address cúa I nt er nal i nt er f ace t rên I SA Server 2004 fi rewal l t rong Addr ess t ext box.
Ðiên t iêp TCP port number mà danh sách các Web Proxy fil t er t rên I SA sè lâng nghe t rên
Por t t ext box, t heo måc dinh là port 8080. Cli ck OK t rong Local Ar ea Net w or k ( LAN)
Set t i n gs dial og box.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click OK t rong I nt er net Pr oper t i es dialog box.
Web browser hiên giò dã duoc câu hình t hành môt Web Proxy cl ient , t heo cá 3 cách câu
hình khác.
Câu hình Firewall Client
Phân mêm Fi rewall client cho phép ban diêu khiên ai duoc quyên t ruy câp I nt ernet ( t rên
hâu hêt t ât cá Appli cat ion kêt nôi ra I nt ernet – Winsock TCP/ UDP) cån cú t rên môi User
hoåc Group.
Firewall cl ient soft ware sè t u dông gúi quyên truy câp cúa User ( User Credent ial :
Username+ Password) dên I SA Server 2004 firewal l. User account s có t hê là t ài khoán nôi
bô t rên chính I SA Server 2004 fi rewall ( t úc là các account s nâm t rong Sam dat abase) nêu cá
I SA Server 2004 và cli ent s dêu t huôc cùng môt Wi ndows domain, t hì các user account s có
t hê nâm t rên Windows NT 4. 0 SAM hoåc Windows 2000/ Wi ndows Server 2003 Act i ve
Di rect ory. Tôi nhâc l ai, t rong môi t ruòng Domai n 2000/ 2003, Act i ve direct ory dat abase
( t rên Domain cont rol ler là noi luu t rù t ât cá t ài khoán User cúa Domai n dó)
Firewall client soft ware có t hê duoc set up t ù I SA Server 2004 hoåc bât kì máy nào có chúa
phâm mêm này t rên mang, rât don gián. Tuy nhiên, nêu ban muôn cài dåt Firewall cl ient
soft ware t ù I SA Server 2004 fi rewall comput er, t ruóc hêt hãy bât Syst em Policy Rule nhâm
cho phép t ruy câp dên share có chúa source này. Sau này ban nên chuyên Source này dên
môt File server t rên mang dê viêc t ruy câp duoc an t oàn hon, hi ên giò nó dang duoc dåt
t rên I SA. Theo các buóc sau dê cài Firewal l client t rên 2 comput er: domain cont roller và
Windows 2000 client comput er.
1. Chèn I SA Server 2004 CD- ROM t rên domain cont roller. Trên menu, click I nst al l I SA
Ser v er 2 004 icon.
2. Trên Wel come t o t he I nst al l at i on Wi zar d f or Mi cr osof t I SA Ser ver 2004 page,
cli ck Nex t .
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Trên Li cen se Agr eement page, chon I accept t h e t er ms i n t he l i cense agr eement ,
cli ck Nex t .
4. t rên Cust omer I nf or mat i on page, diên User name, Or gani zat i on và Pr oduct
Ser i al Number cúa ban. Click Nex t .
5. t rên Set up Ty pe page, chon Cust om.
6. Trên Cust om Set up page, cl ick Fi r ew al l Ser v i ces ent ry và click Thi s f eat ur e w i l l not
be avai l abl e opt ion. Click I SA Ser ver Management ent ry và click Thi s f eat ur e w i l l not
be avai l abl e opt ion. Click Fi r ew al l Cl i ent I nst al l at i on Shar e và click Thi s f eat ur e, and
al l subf eat ur es, w i l l be i nst al l ed on t he l ocal har d dr i ve. Click
Nex t .
7. Click I nst al l t rên Ready t o I nst al l t he Pr ogr am page.
8. Click Fi ni sh t rên I nst al l at i on Wi zar d Compl et ed page.
Bây giò ban có t hê cài Firewall client soft ware t ù Firewall client share t rên domain
cont roller. Tiên hành các buóc sau dê cài Firewall client soft ware:
1. Tai CLI ENT comput er t rên I nt ernal net work, click St ar t và click Run
command. t rong Open t ext box, diên vào EXCHANGE2003 BEmspcl nt set up và click OK.
2. Click Nex t t rên Wel come t o t he I nst al l Wi zar d f or Mi cr osof t Fi r ew al l Cl i ent .
3. Click Nex t t rên Dest i nat i on Fol der page.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Trên I SA Ser ver Comput er Sel ect i on page, chon Aut omat i cal l y det ect t h e
appr opr i at e I SA Ser ver comput er opt ion. Chon lua này sè làm viêc bói vì ban dã t ao
w pad ent ry t rong DNS. Nêu ban chua t ao môt w pad ent ry, ban có t hê chon Connect t o
t hi s I SA Ser v er comput er opt ion và diên vào t ên hay I P address cúa I SA Server 2004
firewal l t rong t ext box. Click Nex t .
5. Click I nst al l t rên Ready t o I nst al l t he Pr ogr am page.
6. Click Fi ni sh t rên I nst al l Wi zar d Compl et ed page.
Buóc k ê t i êp cân câu hình Fi r ew al l cl i en t hô t r o I nt er n al net w or k . Ti ên hành các
buóc sau t r ên I SA Ser ver 20 04 f i r ew al l :
1. Mó Mi cr osof t I nt er net Secur i t y and Accel er at i on Ser ver 2004 management
Console, mó server name. mó t iêp Conf i gur at i on node và click t rên Net w or k s node. Right
click t rên I nt er nal Net wor k và cl ick Pr oper t i es.
2. Trong I nt er nal Pr oper t i es dialog box, click vào Fi r ew al l Cl i ent t ab. Xác dinh là dã
dánh dâu vào Enabl e Fi r ew al l cl i en t suppor t f or t hi s net w or k check box.
Xác dinh là cùng dã dánh dâu vào Aut omat i cal l y det ect set t i ngs và Use aut omat i c
conf i gur at i on scr i pt check boxes t rong khung Web br ow ser con f i gur at i on on t he
Fi r ew al l cl i ent comput er . Ðánh dáu t iêp vào Use a Web pr oxy ser ver check box. Sú
dung t ên dây dú cúa I SA Server 2004 firewall - FQDN t rong I SA Ser ver name or I P
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
addr ess t ext box. Trong vd này FQDN cúa I SA Server 2004 comput er là
I SALOCAL.msf i r ew al l .or g. Click Appl y .
3. Click vào Aut o Di scover y t ab. Ðánh dâu vào Pu bl i sh aut omat i c di scover y
i nf or mat i on check box. Ðê port måc dinh này, không t hay dôi 80. Cl ick Appl y
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Click Appl y dê l uu nhùng t hay dôi và câp nhât firewall policy.
5. Click OK t rong Appl y New Conf i gur at i on dialog box.
Bây gi ò chúng t a có t hê câu hình Fi rewall client . Tiên hành các buóc sau t rên CLI ENT.
1. Tai CLI ENT comput er, double click biêu t uong Fi r ew al l cl i ent i con t rên khay hê t hông.
2. Trong Mi cr osof t Fi r ew al l Cl i ent f or I SA Ser ver 2004 dialog box, xác nhân râng dã
dánh dâu checkmark t rong Enabl e Mi cr osof t Fi r ew al l Cl i ent f or I SA Ser v er 2004 check
box.
Xác nhân t iêp dã chon Aut omat i cal l y det ect I SA Ser ver
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
3. Click Det ect Now but t on. Tên cúa I SA Server 2004 firewal l sè xuât hiên t rong
Det ect i ng I SA Ser ver di alog box khi Client t ìm I SA Server 2004 firewall . Click Cl ose.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
4. Xác nhân râng dã dánh dâu vào En abl e Web br ow ser au t omat i c con f i gu r at i on
checkbox và click Conf i gur e Now but t on. Cùng l uu ý râng, dua t ên các xác lâp mà chúng
t a dã t ao t rên I SA Server 2004 firewall, browser dã duoc cung câp các t hông sô câu hình t u
dông.
Click OK t rong Web Br ow ser Set t i ngs Updat e dialog box.
VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004
http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531
http://www.giaiphapmang.net Email: info@giaiphapmang.net
5. Click Appl y và sua dó click OK t rong Mi cr osof t Fi r ew al l Cl i ent f or I SA Ser v er 20 04
dialog box.
Gi ò dây Máy dã duoc câu hình nhu môt Firewall cli ent và có t hê t ruy câp ra I nt ernet dua t ên
các quy t âc t ruy câp - Access Rules dã duoc xác lâp t rên I SA Server 2004 firewall .
Kêt luân
Trong chuong này cúa sách, dã dê câp dên các l oai I SA Server 2004 client khác nhau và
nhùng t ính nång ri êng t r ên môi loaiChúng t a cùng dã t iên hành cài dåt môi loai t heo môt sô
cách. Trong chuong t ói cúa sách chúng t a sè phác t háo các t hú t uc dê t ao hoåc chính súa
các quy t âc t rên chính sách t ruy câp ra ngoài I nt ernet - out bound access policy rules t hông
qua các Net work Templat es.

Sign up to vote on this title
UsefulNot useful