Giao Trinh ISA

Mail Exchange & ISA 2004 Khoa Công Nghệ Thông Tin

Trường Trung Cấp Tây Bắc Trang 1

Mục Lục

Trang

CHƢƠNG I : GIỚI THIỆU ISA SERVER 2004

1. Định nghĩa Firewall ............................................................................................................... 3

2. Phân loại Firewall ............................................................................................................. 3

3. Chức năng của Firewall ........................................................................................................ 3

4. Các kiến trúc Firewall cơ bản............................................................................................... 4

4.1. Tường lửa bộ lọc gói tin ( Packet Filtering Firewall ) ..................................... 4

4.2. Cổng tầng ứng dụng (Application Gateway) ................................................... 5

4.3. Bastion Host Firewall (Pháo đài phòng ngự) ................................................ 6

5. Nguyên tắc hoạt động của Firewall ................................................................................. 6

5.1. Điều khiển truy nhập (Access Control) ........................................................... 7

5.2. Quản lý xác thực (User Authentication) ........................................................ 9

5.3. Kiểm tra và cảnh báo (Activity Logging and Alarms) ................................ 10

6. Giới thiệu ISA Server 2004 ............................................................................................ 10

7. Sơ Đồ hoạt động của ISA .......................................................................................... 11

8. Các mô hình Firewall cơ bản và phức tạp ................................................................. 12

8.1. Mô hình Firewall cơ bản thường sử dụng ................................................... 12

8.2. Mô hình Firewall sử dụng trong các doanh nghiệp lớn .............................. 12

CHƢƠNG II : CÀI ĐẶT ISA SERVER 2004

1. Giới thiệu về Active Directory ( Domain) ...................................................................... 13

2. Yêu cầu khi cài đặt Active Directory ........................................................................ 14

3. Cài đặt ISA 2004 ....................................................................................................... 29

4. Cài đặt ISA Server 2004 Service Pack1 .................................................................... 35

CHƢƠNG III : ACCESS RULE

1. Firewall Policy .......................................................................................................... 37

1.1. Khảo sát các System Policy ......................................................................... 37

1.2. Rule Access Internet .................................................................................... 38

1.3. Tạo Rule cho phép truy cập Internet từ 12 giờ đến 1 giờ ............................ 45

1.4. Tạo Rule cấm sử dụng chat Yahoo Messenger ........................................... 51

1.5. Tạo rule chuyển hướng trang Web .............................................................. 55

2. Client ra mạng ........................................................................................................... 60

2.1. Giải thích Secure Nat Client ........................................................................ 60

2.2. Giải thích Web Proxy Client ...................................................................... 61

2.3. Giải thích Firewall Client ........................................................................... 63

3. Automatic Discovery ................................................................................................ 65

3.1. Cấu hình DHCP WPAD .............................................................................. 65

3.2. Enable WPAD trên ISA Server 2004 .......................................................... 68

3.3. Cấu hình Client xin IP động ....................................................................... 69

4. Remote Management ................................................................................................ 71

CHƢƠNG IV : SERVER PUBLISHING

1. Publishing DNS ......................................................................................................... 76

2. Publishing Web Server .............................................................................................. 79

3. Publishing FTP server ............................................................................................... 85

4. Publishing Mail Server SMTP, POP3 ....................................................................... 88



5. Publishing RDP Server .............................................................................................. 92

CHƢƠNG V : APPLICATION FILTER

1. SMTP Filtering ......................................................................................................... 97

1.1. Giới thiệu ..................................................................................................... 97 1.2. Cài Đặt và cấu hình SMTP Filter ........................................................................... 97

2. HTTP Filter ................................................................................................................... 115

2.1. Giới thiệu HTTP Filter ................................................................................... 115

2.2. Cài đặt và cấu hình HTTP Filter .................................................................... 115

CHƢƠNG VI : INTRUSION DECTECTION

1. Trình bày các Tab trong Monitor ............................................................................ 118

1.1. Tab Session ..................................................................................................... 118

1.2. Tab Services ................................................................................................... 118

1.3. Tab Report ...................................................................................................... 119

1.4. Tab Connectivity ............................................................................................ 126

1.5. Tab logging ..................................................................................................... 129

2. Phát hiện các đợt tấn công gửi mail cho Admin .......................................................... 130

3. Quản lý băng thông SoftPerfect Bandwidth Manager ............................................. 136

4. Network Templates ....................................................................................................... 149

CHƢƠNG VII : CACHING

1. Giới Thiệu ..................................................................................................................... 155

1.1. Web Caching ............................................................................................. 155

1.2. Cache Rule................................................................................................. 158

2. Content Download ( Lịch Download ) ................................................................... 163

CHƢƠNG VIII : BACKUP - RESTORE

1. Ủy thác quyền ISA .................................................................................................. 167

2. Backup ..................................................................................................................... 171

3. Restore .................................................................................................................... 172

CHƢƠNG IX : TỔNG QUAN VỀ EXCHANGE SERVER 2007

I. PHẦN CỨNG ......................................................................................................... 174

II. PHẦN MỀM .......................................................................................................... 174

III. MÔ HÌNH TỔNG QUAN VỀ MICROSOFT EXCHANGE SERVER 2007 ...... 174

CHƢƠNG X : CÀI ĐẶT EXCHANGE SERVER 2007

I. Install các chương trình cần thiết hỗ trợ cho việc cài đặt Exchange 2k7 ....... 179

II. Thực hiện các bước........................................................................................ 179

III. Cài đặt Outlook 2007 ................................................................................... 184

IV. Cài đặt Exchange 2007 ................................................................................ 185 CHƢƠNG XI : CÁC TIỆN ÍCH CỦA EXCHANGE 2007

I. Tạo Send Connector để gửi ra Internet ........................................................... 188

II. Tạo receive connentor để nhận Mail. ............................................................ 191

III. Dùng MS Outlook 2007 cấu hình Mail Clientcho Administrator ............... 192



CHƢƠNG I

GIỚI THIỆU ISA SERVER 2004

1. Định nghĩa Firewall:

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng dùng

ngặn chặn và chống hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật

được tích hợp vào hệ thống mạng chống lại việc truy cập bất hợp pháp của các hacker

nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống

của một số thông tin không mong muốn. Firewall là một giải pháp dựa trên phần cứng

và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính

ra ngoài mạng Internet, có thể nói Firewall là người bảo vệ có nhiệm vụ kiểm tra “giấy

thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu

hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ.Vì vậy mà Firewall rất cần

thiết cho hệ thống mạng.

2. Phân loại Firewall:

Firewall đƣợc chia làm 2 loại gồm: Firewall cứng và Firewall mềm.

Đặc điểm của Firewall cứng:

Không được linh hoạt như Firewall mềm (không thể thêm chức năng thêm

quy tắc như Firewall mềm).

Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và

tầng Transport)

Firewall cứng không thể kiểm tra được nội dung gói tin.

V Đặc điểm của Firewall mềm:

Tính linh hoạt cao: có thể thêm bớt các quy tắc, các chức năng.

Firewall mềm hoạt động ở tầng cao hơn Firewall cứng ( tầng ứng dụng).

Firewall mềm có thể kiểm tra nội dung gói tin thông qua các từ khóa.

3. Chức năng của Firewall:

Kiểm soát nguồn thông tin giữa mạng Internet và máy tính.



Cho phép / không cho phép những dịch vụ truy cập từ hệ thống ra bên

ngoài.

Cho phép / không cho phép những dịch vụ truy cập từ ngoài vào trong hệ

thống.

Chức năng theo dõi luồng dữ liệu mạng giữa Internet và máy tình kết nối

mạng.

Kiểm soát địa chỉ truy cập của người dùng và nội dung nhận được từ

Internet.

Chống lại những đợt tấn công bất hợp pháp của Hacker.

4. Các kiến trúc Firewall cơ bản:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall có

nghĩa rằng Firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này

làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng,

hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP,

NFS,...) thành các gói dữ liệu (Data Packets) rồi gán cho các Packet này những địa chỉ

để có thể nhận dạng tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên

quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Ngày nay Firewall

được xây dựng dựa trên cơ sở bộ lọc gói (Packet Filter) và Firewall xây dựng trên

cổng ứng dụng (Application Gateway) và một số Firewall khác Bastion Host Firewall

(Pháo Đài Phòng Ngự).

4.1 Tƣờng lửa bộ lọc gói tin ( Packet Filtering Firewall ):

Loại Firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các Packet để cho

phép chúng có thể lưu thông qua lại hay không, các thông số có thể lọc được một Packet

như sau:

Địa chỉ IP nơi xuất phát (source IP address).

Địa chỉ IP nơi nhận (destination IP address).

Cổng TCP nơi xuất phát (TCP source port).

Cổng TCP nơi nhận (TCP destination port).

Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc

khóa viêc truy cập vào hệ thống nội bộ từ những địa chỉ không cho phép.

4.2 . Cổng tầng ứng dụng (Application Gateway):



Cổng tầng ứng dụng là một thiết bị bảo mật dùng để phân tích các gói dữ liệu được

chuyển vào. Khi các gói dữ liệu từ bên ngoài đến cổng, chúng được kiểm tra và xác

định xem chính sách bảo mật có cho phép chúng vào mạng hay không. Máy phục vụ

không chỉ định giá trị các địa chỉ IP mà con xem xét dữ liệu trong các gói để tìm lỗi và

sửa sai.

Một cổng tầng ứng dụng điển hình có thể cung cấp các dịch vụ ủy quyền cho các

ứng dụng và giao thức như Telnet, FTP (File Transfer Protocol), HTTP( Hypertext

Transfer Protocol), SMTP ( Simple Mail Transfer Protocol), và cổng ứng dụng này

không cho phép bất kỳ gói tin nào đi thẳng trực tiếp giữa hai mạng.

Khi trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một

dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Service. Nếu dịch vụ và địa

chỉ trạm bên ngoài không thuộc diện cấm thì Proxy Service sẽ đi tìm trạm đích bên

trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bện trong kết

nối ra ngoài cũng vậy. Với cách thức này sẽ đánh bại được một số loại tấn công gây

tràn bộ đệm của tường lửa.

Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là : đậy là loại

tường lửa được cài đặt cho từng loại dịch vụ riêng biệt trên mạng, ví dụ như Telnet,

FTP… Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua

tường lửa thì chúng ta nhất thiết phải thêm vào Proxy cho loại dịch vụ đó. Có hai

nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là : từ chối tất cả những

thứ không đại diện hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện

trên tường lửa. Nhưng cả hai cách đều gây ra những nguy cơ an minh và bất tiện cho

hệ thống mạng bên trong tường lửa.

4.3 . Bastion Host Firewall (Pháo đài phòng ngự):



Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào.

Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công

nhất. Có hai dạng máy phòng thủ.

Máy phòng thủ có hai card mạng, một nối với hệ thống mạng bên trong ( mạng nội

bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất

sớm, nó yêu cầu người sử dụng bên trong phải kết nối vơi tường lửa trước khi làm việc

với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với

mạng bên ngoài bằng những máy phòng thủ ( host) nhưng nó cũng tạo ra một sự thiếu

tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.

Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được

nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức ứng dụng. Gateway này

cung cấp điều khiển vào ra. Bộ định tuyến ( router) có nhiều chức năng trong cấu hình

này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống

nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet

còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này

là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.

5. Nguyên tắc hoạt động của Firewall:

Trong phần này chúng ta sẽ khảo sát 3 hoạt động chính của tường lửa đó là: điều

khiểm truy nhập ( Access Control), quản lý xác thức ( Authentication) và ghi nhật ký

truy nhập ( Activity Logging). Như ở trên đã giới thiệu có hai loại tường lửa với hai

cách điều khiển truy nhập khác nhau. Điều khiển truy nhập phụ thuộc vào sự nhận

dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩa quyền xác thực

của người dùng.

5.1 . Điều khiển truy nhập (Access Control):

Vị trí xảy ra quá trình xử lý gói:



Để hiểu được Firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi

của các gói tin dẫn đến Firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi

qua tùy thuộc vào dạng tường lửa cài đặt. Một gói tin có thể vượt qua tường lửa ở mức

tầng ứng dụng, ở mức nhân hệ điều hành hoặc là mức card giao tiếp mạng. Hầu hết

các tường lửa đều kiểm soát và cho phép các gói tin đi qua 3 mức này.

Để có được tốc độ xử lý cao hơn ở các Router, bộ lọc gói được thiết lập trên phần mở

rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử

lý các gói. Để lưu chứa ở đậy với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hỗ

trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác

không được phép hỗ trợ ở đây.

Những Router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường

diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá

trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực

hiện quá trình lọc và kiểm định một các chuẩn xác, tinh xảo hơn là trên các card giao

tiếp mạng có tích hợp tính lọc. Hơn nữa quá trình xử lý gói tại mức nhân hệ điều hành

nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh.

Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc

lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Quá trình xử lý ở mức tầng ứng

dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập

đến tất cả các tài nguyên hệ thống bao gồm đĩa, bộ nhớ, thư viện các chương trình và

cả những tiền trình khác. Tầng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của

giao thức mạng do đó nó không bị giới hạn bởi các tầng thấp hơn nó.

Hoạt động lọc gói (Packet Filtering) có thể diễn ra ở một trong 3 mức xử lý gói như

trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hoặc mức

nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần IP chứa trong gói tin để quyết

định xem gói đó có được phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được

chuyển đến trạm đích hoặc Router tiếp theo, gói bị chặn lại sẽ bị loại bỏ.



Luật lọc ( Filtering Rules):

Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thộng

tin đó bao gồm:

Source IP address Địa chỉ IP của trạm nguồn gởi gói tin.

Destination IP address Địa chỉ IP của trạm đích gói tin sẽ đi tới.

Upper level Protocol ( đó là TCP hoặc

UDP)

Cho giao thức khác và dịch vụ khác

TCP or UDP source port number Số hiệu cổng của trạm nguồn gởi gói ra.

TCP or UDP destination port number Số hiệu cổng của trạm đích sẽ nhận gói

tin.

Khi có được thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các

luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hoặc miền giá trị của

mỗi trường thông tin trên và quyết định sẽ đưa ra nếu tất cả các thông tin của gói được

so khớp với các thông tin các luật.

Có một điều đáng quan tâm ở đây đó là danh sách luật là hữu hạn và ta không thể

lường hết được các tình huống để đưa ra tất cả các luật được vì vậy phải có một luật mặc

định ở đây để nếu như khi xém xét hết tất cả các luật trong danh sách luật rồi mà bộ lọc

vẫn không thể đưa ra được quyết định thì luật mặc định sẽ giúp bộ lọc đưa ra quyết định.

Hoạt động của tường lửa người đại diện ứng dụng (Proxy Application):

Người sử dụng trước hết phải thiết lập kết nối đến người đại diên ứng dụng trên

tường lửa (1). Đại diện ứng dụng này sẽ tập hợp các thông tin liên qun đến mối liên

kết và các yêu cầu của người sử dụng (2). Tường lửa sẽ sử dụng thông tin này để quyết

định yêu cầu có được cho phép thực thi hay không. Nếu yêu cầu từ phía người dùng là

thỏa đáng thì người đại diện tường lửa sẽ tạo một kết nối khác từ tường lửa đến đích

dự kiến (3). Sau đó người đại diện sẽ đóng vai trò là cầu nối để truyền tải dữ liệu giữa

2 mối kết nối (4).

Kết nối trực tiếp:



Đây là giải pháp đầu tiên cho phép người sử dụng thiết lập kết nối trực tiếp đến

tường lửa thông qua địa chỉ và số hiệu cổng người đại diện sau đó người đại diện sẽ

hỏi người sử dụng để biết được địa chỉ của trạm mong muốn kết nối. Đây là một

phương pháp thô được sử dụng bởi những tường lửa sơ khai vì thế không được ưa

dùng.

Sử dụng chương trình hỗ trợ máy khách:

Giải pháp tiếp theo sử dụng trong viêc cài đặt người đại diện là phải có một chương

trình hỗ trợ đặt trên máy của người sử dụng. Người sử dụng sẽ chạy ứng dụng đặt biệt

để tạo kết nối đến tường lửa. Người sử dụng chỉ việc cung cấp tên hoặc địa chỉ trạm đích

cho ứng dụng hỗ trợ. Địa chỉ tường lửa sẽ được ứng dụng hỗ trợ này lấy ra từ file cấu

hình cục bộ sau đó sẽ thiết lập kết nối đến người đại diện trên tường lửa. Giải pháp này

tỏ ra hữu hiệu và trong suốt đối với người sử dụng tuy nhiên hạn chế của nó là mỗi

chương trình hỗ trợ máy khách chỉ thực hiện tương ứng với một dịch vụ nào đó của

mạng mà thôi.

Sử dụng người đại diện tàng hình:

Một phương pháp nữa được sử dụng hiện nay cho việc kết nối đến đại diện ứng

dụng trên tường lửa là sử dụng đại diên tàng hình ( ẩn). Với giải pháp này thì người sử

dụng không cần đến chương trình hỗ trợ máy khách hoặc kêt nối trực tiếp đến tường

lửa. Ở đây người ta sử dụng phương pháp dò đường căn bản, mọi kết nối đến các mạng

bên ngoài đều phải định hướng thông qua tường lửa. Các gói tin khi vào trong tường

lửa tự động sẽ đổi hướng đến một đại diện ứng dụng mong muốn. Ứng dụng đại diện

có được địa chỉ trạm đích một cách chính xác bằng cách lấy địa chỉ trạm đích của

phiên. Trong trường hợp này tương lửa giả mạo thành một trạm đích và chặn các phiên

lại. Khi một kết nối được thiết lập đến đại diện trên tường lửa thì trình ứng dụng máy

khách sẽ nghĩ rằng nó đang kết nối đến một trạm đích thật sự. Nếu được phân quyền

thì đại diện ứng dụng trên tường lửa sẽ dùng một hàm đại diện để tạo ra liên kết thứ hai

đến trạm đích thật.

5.2 .Quản lý xác thực (User Authentication):

Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ. Các hệ

điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và

password được đăng kí, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ

password của mình. Hậu quả của viêc này có khi là rất nghiêm trọng. Có hai giao thức

chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN.

RADIUS (Remote Authen-tication Dial-In User Service).

TACASE (Terminal Access Controller Access Control System Extended).

Thông thường chức năng Authentication được thực hiện với sự phối hợp của một

thiết bị phần cứng hoặc phần mềm. Khi một thao tác truy cập vào mạng được thực hiện

(kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của

người dùng đang xin truy cập vào mạng một chuỗi các ký tự, người dùng này sẽ nhập

vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal

Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy

cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các

Token có thể được định và thay đổi tùy người sử dụng nên việc bảo mật gần như là

tuyệt đối.



5.3 .Kiểm tra và cảnh báo (Activity Logging and Alarms):

Activity logging:

Để cung cấp thông tin về những hoạt động của mạng tới người quản trị hầu hết các

tường lửa ghi chép các thông tin vào files (log files) và lưu giữ trên đĩa. Một tường lửa

hoàn chỉnh phải ghi chép đầy đủ các thông tin về các kết nối thành công và cả không

thành công. Các thông tin này rất hữu ít cho việc phát hiện kịp thời những lỗ hổng trên

tường lửa. Một log files chuẩn phải có những thông tin sau:

Thời gian bắt đầu và kết thúc của một phiên.

Địa chỉ trạm nguồn.

Địa chỉ trạm đích.

Giao thức sử dụng (TCP hay UDP).

Cổng được mở trên trạm đích.

Kết quả của việc kết nối ( thành công hay bị từ chối).

Tên người sử dụng nếu xác thực được sử dụng.

Alarm:

Hoạt động báo động cũng rất quan trọng đối với người quản trị. Khi có một kết nối

đến mạng thì tường lửa sẽ phát tính hiệu để người quản trị biết. Đồng thời hoạt động

cảnh báo cũng đưa ra tình trạng lỗi của các gói. Khi một gói bị chặn lại không qua được

tường lửa thì hoạt động cảnh báo của tường lửa cũng gởi một cảnh báo đến trạm nguồn

thông báo về nguyên nhân loại bỏ gói đó.

6. Giới thiệu ISA Server 2004:

Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm chia

sẻ Internet của Microsoft, là bản nâng cấp từ phần mềm Microsoft ISA Server 2000. Có

thể nói đây là phần mềm chia sẻ Internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập

tường lửa tốt. Tốc độ nhanh nhờ cache thông minh, tính năng lưu cache trên đĩa giúp

truy xuất thông tin nhanh hơn, tính năng lập lịch tự download thông tin trên các

WebServer lưu vào cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng

LAN.

Đặc điểm của ISA Server 2004:

Cung cấp tính năng Muti-Networking: kỹ thuật thiết lập các chính sách truy cập dựa

trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ mạng con, đặc

điểm của Muti-Networking được cung cấp trong ISA cho phép bảo vệ hệ thống mạng

cục bộ bằng cách giới hạn truy xuất của các Client ra bên ngoài Internet, chỉ cho phép

các Client bên ngoài truy xuất các Server trên mạng ngoại vị, không cho phép Client bên

ngoài truy xuất vào mạng nội bộ.

Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo ( VPN Network) và các

truy cập từ xa, ghi nhận log, quản lý Session cho từng VPN Server, thiết lập chính sách

truy cập cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ

thống khác.



Cung cấp một số kỹ thuật bảo mật và thiết lập tường lửa cho hệ thống như

Authentication, Publish Server.

Cung cấp một số kỹ thuật Cache thông minh để tăng tốc độ truy xuất mạng, giảm

tải đường truyển, Web Proxy để chia sẻ cung cấp Web.

Cung cấp một số tính năng quản lý như : giám sát lưu lượng, Reporting qua Web,

export và import cấu hình từ XML,…

Application Layer - Filtering (ALF): là một trong những đặc đểm mạnh của ISA

Server2004, không giống như Paket Filtering Firewall truyền thông, ISA 2004 có thể

thao tác sâu hơn như có thể lọc gói tin trong tầng ứng dụng.

7. Sơ Đồ hoạt động của ISA:

8. Các mô hình Firewall cơ bản và phức tạp:

8.1 . Mô hình Firewall cơ bản thƣờng sử dụng:



8.2 . Mô hình Firewall sử dụng trong các doanh nghiệp lớn:

Nó có thể chống để các đợt tấn công và xâm nhập bức hợp pháp cả bên trong lẫn

bên ngoài Internet.



CHƢƠNG II

CÀI ĐẶT ISA SERVER 2004

1. Giới thiệu về Active Directory ( Domain):

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta dùng

Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài

nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ. Nếu

như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì

Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ

thống đều chịu sự chi phối và điều khiển của Active Directory.

Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền,

và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ

chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng

nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ

thống với những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc

quản lý và nâng cao hiệu quả hoat động, những công việc mà hầu như không thể thực

hiện được trên một hệ thống mạng ngang hàng, phân tán thì giơ đây chúng ta có thể tiến

hành dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho

toàn bộ hệ thống đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong

mội trường rộng lớn.

Những thành phần chính của hệ thống Active Directory.

User: là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản

built-in được tạo ra như Administrator là người có toàn quyền quản trị hệ thống,

Backup Operation là nhóm và người dùng có khả năng Backup và Restore dữ liệu của

hệ thống mà không cần những quyền hạn hợp lệ đối với những dữ liệu này. Tuy nhiên

để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đặng nhập (log-in)

vào Domain thì người quản trị cần phải tạo ra những tài khoản hợp lệ, và cấp phát cho

người sử dụng. Các User sẽ dùng tài khoản được cấp phát bởi Administrator để log-in

vào Domain. Và truy cập dữ liệu trên File Server hay các dịch vụ khác.

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các

nhân viên của một phòng ban Sale có quyền truy cập lên folder Sales trên File Server

hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với Laser Printer,

chúng ta nên tạo Group Printing và gán quyền in trên Laser Printer sau đó add tất cả

các nhân viên của công ty vào Group Printing này thay vì gán quyền in cho từng user

riêng lẽ sẽ không hiệu quả.

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta

khảo sát hệ thống có bao nhiêu đơn vị tổ chức như có bao nhiêu phòng ban, bộ phận.

Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như

phòng ban Sales sẽ có một OU Sales và trong OU này chứa Group Sales, Group Sales

sẽ bao gồm tất cả những thành viên của phòng ban Sale, và những User này cũng được

đặt trong OU Sales cùng với Group Sales. Như vậy chúng ta cần phải phân biệt rõ

Group Sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để

quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban

Sales trong môi trường thật được cài đặt tự động MS OfficeXP hay update



những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU.

Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các User này

bằng OU, chính vì vậy chúng ta cần phải tạo ra các Group và gán quyền thông qua

những Group này.Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt.

2. Yêu cầu khi cài đặt Active Directory:

Sau đây là một danh sách những thứ bạn cần phải có :

1 Partition dùng NTFS.

1 Username và Password.

1 phiên bản hệ điều hành Server ( 2000 hoặc 2003 Server).

1 Card mạng.

Cấu hình đúng TCP/IP (địa chỉ IP, Subnet Mask và Default Gateway, IP DNS).

Một User và Password là Admin, chỉ có Administrator của Local mới cài được

Domain và tạo New Forest. Nếu ta muốn tạo ra một domain con của domain đã tồn tại

(child domain) hoặc 1 tree khác trong forest đã tồn tại, bạn phải có quyền tối thiểu là

Enterprise. Windows 2000 Server hoặc Windows 2003 Server, ta không thể cài AD

trên máy tính dùng hệ điều hành Professional.

Cấu hình địa chỉ IP. Cần có 1 IP tĩnh để cài Active Directory, nếu không có IP tĩnh cho

Server, lúc đó DNS không đăng kí được và chức năng Active Directory sẽ bị mất. Máy

làm Active Directory nên chỉ địa chỉ DNS đến chính nó .

Để cấu hình địa chỉ IP thực hiên các bước sau:

Click phải vào My Network Places, và chọn Properties.

Click chọn Card mạng và chọn Propertise.

Trên hộp thoại Local Area Connection Properties.

Click chọn Internet Protocol (TCP/IP), và click nút Properties.



Bạn phải chắc rằng máy này phải có ip tĩnh và không trùng ip của các máy khác.

Click vào Start chọn nút Run gõ : Dcpromo, click Ok để tiếp tục.



Hộp thoại Welcome to the Active Directory Installation Wizard, chọn Next.

Chúng ta nhấn Next để tiếp tục quá trình cài đặt Active Directory.

Trên hộp thoại Domain Controller Type, lựa chọn giữa hai Options:

Domain Controller for a New domain: Tạo ra Domain Controller đầu tiên trong

Domain.

Additional domain controller for an existing domain:dùng để cài đặt thêm một

máy chủ Domain Controller vào cho một Domain, với thiết lập hai hay nhiều

Domain Controller cho một Domain, đáp ứng khi máy chủ bị sự cố xảy ra thì hệ

thống vẫn hoạt động bình thường.

Ở đậy chọn Domain Controller for a New domain, nhấn Next.



Trên hộp thoại Domain Controller Type: giữa mặc định, nhấn Next.

Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặt

Domain Controller.

Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trên

Forest sẽ phải lựa chọn thiết lập này ví dụ ở đây tôi cài cho domain đầu tiên là:

ngoctriet.com phải lựa chọn Options này.

Child domain in an existing domain tree: Nếu khi tôi đã có domain

ngoctriet.com mà tôi lại muốn cài đặt các domain con bên trong của nó như:

music.ngoctriet.com, hay forum.ngoctriet.com thì tôi phải lựa chọn Options

này.

Domain tree in an existing forest: Nếu tôi muốn tạo một domain khác với tên

vnn.vn cùng trong forest ngoctriet.com tôi sẽ phải lựa chọn Options này

Trên hộp thoại Create New Domain chọn Domain in a new forest, nhấn Next.



Trên trang New Domain Name :trong khung Full DNS name for new domain nhập vào

tên máy chủ Domain Controller huynhngoc.Com, nhấn Next.

Trên trang NetBIOS Domain Name: đây chính là tên của Domain xuất hiện khi Client

đăng nhập vào hệ thống, chọn Next.

Trên trang Database and Log Folders: lựa chọn nơi chứa thư mục NTDS cho quá trình

Replicatios của hệ thống Domain Controller, nhấn Next .



Trên trang Shared System Volume: thiết lập nơi lưu trữ thư mục SYSVOL đây là thư

mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ liệu

để Replication cho toàn bộ Domain Controller trong Domain.

Hộp thoại Active Directory Installation Wizard, giữ cấu hình mặc định.



Trên trang Permissions: lựa chọn Mode cho Domain, chọn Next.

Trên trang Directory Service Restore Mode Administrator Password: hệ thống yêu cầu

thiết lập Password trong Restore Mode, nhấn Next.



Hệ thống sẽ hiển thị toàn bộ thông tin như sau:

NetBIOS name ở đây là HUYNHNGOC

Folder chứa dữ liệu của Active Directory là NTDS ở đâu.

Tương tự vậy các folder SYSVOL.

Nhấn Next để bắt đầu quá trình nâng cấp lên Active Directory.



Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại là ta

đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2003.

Cài đặt và cấu hình DNS:

Sau khi khởi động lại máy vào start chọn programs chọn administrative tiếp

tục chọn DNS.



Trong cửa sổ của DNS chọn DOMAIN :tanngoc click chọn forward

lookup zones/ reverse lookup zones chọn new zone…

Trong cửa sổ New Zone Wizard chọn next



Trong cửa sổ Zone Type chọn primary zone chọn next

Trong giao diện active directory zone replication scope chọn to all domain

controllers in the active directory domain huynhngoc.com chọn next



Trong giao diện reverse lookup zone name điền địa chỉ ID :172.16.16 của

máy DC sau đó nhấn next

Trong giao diện dynamic update chọn allow both nonsecure and secure

dynamic updates chọn next

Tiếp tục chọn nút finish



Trong forward lookup zones click chuột phải huynhngoc.com chọn new

host

Trong cửa sổ newhost đặt tên host :server va nhập địa chỉ IP address :

172.16.16.2 và check vào mục create associated pointer tiếp tục nhấn add

host



Tiếp tục tương tự nhự zậy tạo them host: www

Tiếp tục tạo thêm host :ftp rồi nhấn done

Trong mục reverse lookup zones chọn New Pointer(PTR)



Nhập host IP number : 2 rồi nhập host name la tanngoc nhấn OK.

Tiếp tục click chuột phải vào huynhngoc.com chọn reload xuất hiện bản

thông báo chọn yes

Vào start /run/ cmd/ gõ nslookup để kiểm tra



3. Cài đặt ISA 2004:

Máy cài ISA phải có 2 card, cấu hình IP như Mô hình cơ bản.

Card trong nội bộ đặt tên là Internal.

Card đi ra ngoài Internet tên là External.

Trên trang Microsoft Internet Security and Acceleration Server 2004, click vào liên kết

Install ISA Server 2004 để bắt đầu cài đặt.

Trên hộp thoại Welcome to the Installation Wizard for Microsoft ISA Server 2004,

chọn Next.

Chọn I accept term in the license agreement, nhấn Next.



Hộp thoại Customer Information, chọn Next.

Hộp thoại Setup Type, chọn phương án Custom.



Hộp thoại Custom Setup xuất hiện:

Frewall services : những dịch vụ về Frewall.

ISA server Management giao diện quản lí ISA.

Frewall Client Installation Share : mục này dành cho client.

Message Screener : hỗ trợ cho ISA lọc lựa gói tin SMTP (muốn cài được gói

này cần cài SMTP , NNTP và IIS trước ).

Chọn Install Firewall Services, ISA Server Management và Firewall Client Installtion

Client, nhấn Next.

Trong hộp thoại Internal Network, nhấn chọn Add. Ta định nghĩa vùng Internal

Network, chọn Ok.



Trong hộp thoại internal network nhấn next

Tiếp theo trong hộp thoại Firewall Client Connection Settings. Đánh dấu check vào

mục Allow computers running earlier versions of Firewall Client software to connect.



Hộp thoại Service, lưu ý các dịch vụ SNMP Service và IIS Admin service sẽ bị Stop

trong quá trình cài đặt. Nếu dịch vụ Internal Connection Firewall (IFC) cũng như dịch

vụ IP network address Translation đã được cài đặt trên ISA Server2004 thì những dịch

vụ này sẽ khóa bởi vì chúng không được phép sử dụng chung với ISA Server 2004,

nhấn Next.

Trong hộp thoại Ready to Install the Program, chọn Install.



Hộp thoại Installation Wizard Completed, chọn Finish.

Màn hình quản lý Microsoft Internet Security and Accerleration Server 2004 xuất hiện

và hiển thị trang Welcome to Microsoft Internet Security and Acceleration Server

2004.



4. Cài đặt ISA Server 2004 Service Pack1:

Double click vào file: ISA2004-KB891024-X86-ENU.msp để cài đặt.

Hộp thoại Welcome to the Microsoft ISA Server 2004 Setup Wizard, chọn Next.

Trên hộp thoại License Agreement, chọn I accept the terms in the license agreement,

nhấn Update.



Hộp thoại Installation wizard Completed, chọn Finish.



CHƢƠNG III

ACCESS RULE

1. Firewall Policy:

1.1 .Khảo sát các System Policy:

Mặc nhiên sau khi hoàn tất việc cài đặt ISA Server 2004 thì sẽ không cho phép truy

cập hướng ra ngoài tới Internet và cũng không cho phép các máy tính trên Internet truy

cập hướng đi vào tới bất kỳ mạng nào mà tường lửa ISA bảo vệ. Trong Console quản

lý Microsoft Internet Security and Acceleration Server 2004, mở rộng tên máy tính

trong khu vực bên trái của Console và click nút Firewall Policy, click phải chuột vào

Firewall Policy, chọn View và chọn Show System Policy Rules.

Lưu ý một điều là ISA Server 2004 System Policy được liệt kê theo một thứ tự, các

Policy này sẽ áp được áp đặt theo hướng từ trên xuống.

Mỗi một System Policy Rule như vậy sẽ bao gồm các thành phần:

Order.

Name.

Action ( Allow hoặc Deny).

Protocol.

From/Listener ( source network hoặc host).

To ( destination network hoặc host).

Condition ( rule sẽ áp đặt cho ai hoặc áp đặt cho cái gì).

Ta có thể mở rộng cột Name để có một tổng quan về mục đích của rule. Xin lưu ý

là không phải tất cả các rule đều được bật. các System Policy Rule bị khóa sẽ có mũi

tên màu đỏ hướng xuống dưới. các System policy rule bị khóa này sẽ tự động được bật

lên khi bạn tạo mới một số thay đổi cấu hình nào đó trên tường lửa ISA Server 2004

(ví dụ, khi bạn cấm không cho phép truy cập VPN chẳng hạn).

Ta cũng có thể thay đổi các setting của một Policy Rule bằng cách Double click

vào chính Rule đó. Sau khi Double click, hộp thoại System Policy Editor xuất hiện.



1.2 . Rule Access Internet: Khi ISA được cài vào mặc nhiên ISA sẽ cấm mọi người Ping tới nó và không cho ra

Internet vậy muốn Ping hay ra Internet thì phải tạo một Access Rule và Allow cho nó.Ta

mở ISA lên chọn Firewall Policy, cửa sổ ở giữa nó sẽ liệt kê hiện trong Policy có một

Rule. Rule này có tên là Last Default Rule và Rule này là Rule mặc định nên ta không thể

xóa được. Rule này đang thực thi 1 hành động là cấm “ Deny”. Cấm tất cả mọi hành động

“All Traffic” . Và cấm tất cả mọi người ở vùng Network “ All Network ( and Local

Host)”. Đi đâu cũng cấm “ All Network ( and Local Host)”. Đối với người nào cũng cấm

“ All Users”. ISA Server hệ thống được sắp xếp theo thứ tự Rule từ trên xuống thỏa Rule

nào thì ứng xử theo hành đông Rule đó.

Trong console quản lý Microsoft Internet Security and Acceleration Server 2004,

chuột phải Firewall Policy, chọn New, chọn Access Rule.



Hộp thoại Access rule name, đặt tên rule là: truy cap ie.

Hộp thoại Rule Action ( Hành động ).

Action to take when rule condition are met :

Allow : ( cho phép)

Deny : ( Cấm)

Rule ở đây là ra Internet nên ta chọn Allow, nhấn Next.



Hộp thoại Protocols (Gồm những hành động nào đi ra ngoài ).

This rule applies to:

All outbound trafic : hành động này đi ra ngoài sử dụng được tất cả

các Protocol v.v.

Selected protocols : muốn Protocol nào đi ra ngoài thì chọn mục này.

All outbound traffic except selected: cho phép sử dụng tất cả Protocol nhưng muốn

không dùng 1 Protocol nào thì chọn mục này.

Trong hộp thoại Protocols, chọn Selected protocols từ danh sách This rule applies to,

chọn nút Add.



Trong hộp thoại Add Protocols, chọn folder Common Protocols, double click vào mục

DNS, HTTP, HTTPS, nhấn Close.

Hộp thoại Protocols, nhấn Next.



Hộp thoại Acces Rule Sources ( nguồn xuất phát từ đâu), nhấn Add xuất hiện bảng

Add Network Entities, chọn folder Network : Internal là bên trong.

External là bên ngoài.

Local Host là máy ISA.

Trong hộp thoại Add Network Entities muốn ra ngoài Internet nên ta chọn nơi xuất

phát từ Internal rồi Close.



Hộp thoại Access Rule Sources, nhấn Next.

Hộp thoại Access Rule Destinations (Đi Đâu), nhấn Add.

Trong hộp thoại Add Network Entities, chọn Folder Network, chọn External rồi Close.



Hộp thoại Access rule Destinations, nhấn Next.

Hộp thoại User Sets ( user nào được phép đi ra), tất cả User trong mạng Internal có thể

truy cập Internet được nên chọn All Users, chọn Next.



Hộp thoại Completing the New Access Rule Wizard, chọn Finish.

1.3 . Tạo Rule cho phép truy cập Internet từ 12 giờ đến 1 giờ:


chuột phải Firewall Policy, chọn New, chọn Access Rule.



Hộp thoại Access rule name, đặt tên rule là : pree time.

Hộp thoại Rule Action, chọn Allow, nhấn Next.



Hộp thoại Protocols, chọn phương án Selected protocols từ danh sách This rule applies

to, nhấn nút Add.

Trong hộp thoại Add Protocols, chọn folder Common Protocols, double click vào mục

DNS, HTTP, HTTPS, nhấn Close.

Hộp thoại Protocols, nhấn Next.



Hộp thoại Access Rule Source, nhấn nút Add.

Trong hộp thoại Add Network Entities chọn folder Network, double click vào Internal,

sau đó chọn Close.

Hộp thoại Access Rule Sources, nhấn Next.



Hộp thoại Access Rule Destinations, nhấn nút Add.

Trong hộp thoại Add Network Entities, chọn folder Network, double click vào

External, chọn Close.

Hộp thoại Access Rule Destinations, nhấn Next.



Hộp thoại User Sets, ta nhấn nút Add.

Trở lại trang console quản lý Microsoft Internet Security and Acceleration Server

2004, chọn Firewall Policy, ở khung bên phải chọn rule free time chuột phải chọn

Properties

Hộp thoại free time Propertise chọn tab schedule, chọn New.



Hộp thoại New Schedule.

Trong ô Name: nhập tên gio giai lao. Bên dưới chọn ( 12h – 1h), chọn Ok.

1.4 . Tạo Rule cấm sử dụng chat Yahoo Messenger:

Mặc định là khi ta cấu hình cho Users sử dụng các giao thức HTTP và HTTPS thì

sẽ không thể nào chat Yahoo Messenger được vì chat sử dụng 1 giao thức khác.Nhưng

nếu 1 người nào đó biết tận dụng Proxy trong Yahoo gõ IP của ISA vẫn chat được như

thường.

Cách sử dụng Proxy trong Yahoo . Ta mở chương trình Yahoo Messenger lên chọn

Messenger chọn Connection Preferences.



Trên hộp thoại Connection đánh dấu chọn Use proxies rồi check vào mục Enable

HTTP proxy Server Name nhập địa chỉ IP ISA Server 172.16.16.1 Server Port nhập

vào 8080. Login lại ta thấy vẫn vào chat bình thường.

Lúc này trở lại máy isaserver, chặn bằng phương pháp Signatures.



Trong console quản lý Microsoft Internet Security and Acceleration Server 2004, chọn

Firewall Policy. Ở khung bên phải, chọn lại Rule Allow Internal to Internet, chuột phải

chọn Configure HTTP.

Hộp thoại Configure HTTP policy for rule, chọn tab Signatures, nhấn Add.

Hộp thoại Signature xuất hiện :

Name : nhập Yahoo Messenger.

Description : Deny Yahoo Messenger.

Search in : click vào dấu mũi tên và chọn Request headers.

HTTP header : Host:

Signature : nhập vào msg.yahoo.com rồi Ok.



Hộp thoại Configure HTTP policy for rule có rule Yahoo Messenger, chọn Apply rồi

Ok. Sau đó cập nhật chính sách Policy.

1.5 . Tạo rule chuyển hƣớng trang Web:


chọn Firewall Policy chuột phải chọn New, chọn Access Rule.



Hộp thoại Welcome to the New Access Rule Wizard, đặt tên rule là: cam web, chọn

Next.

Hộp thoại Rule Action, chọn Deny.



Hộp thoại Protocols, chọn Selected Protocol, nhấn nút add.

Trong hộp thoại Add Protocol chọn DNS , HTTP, HTTPS , nhấn close.

Hộp thoại Access Rule Sources, chọn Internal.



Hộp thoại Access Rule Destination, nhấn nút Add.

Trong hộp thoại Add Network Entities, chọn New, chọn URL Set.



Name : cam tuoi tre

Chọn nút New thì khung URLs included in this set ( applicable for HTTP traffic

only):cho nhập vào http://*.tuoitre.com.vn

http://*.tuoitre.com.*

http://tuoitre.com.vn

Trong hộp thoại URL Sets, có rule cam tuoi tre, double click chọn rồi nhấn close.

http://*.tuoitre.com.vn/

http://*.tuoitre.com.*/

http://tuoitre.com.vn/



Hộp thoại Access Destinations, chọn Next.

Click nút Next.



Chọn Tab Action đánh dấu check vào mục Redirect HTTP requests to this Web page

khung bên dưới nhập vào URL cần redirect: http://www.google.com.vn rồi chọn OK

Apply lại.

2. Client ra mạng:

2.1 . Giải thích Secure Nat Client:

SecureNat Clinet là máy tính được cấu hình với thông số chính là Default Gateway

giúp định tuyến ra Internet thông qua ISA Server 2004. Nếu SecureNat Client nằm

trên mạng trực tiếp kết nối đến ISA Server 2004 thì thông số Default Gateway của

http://www.google.com.vn/



SecureNat Client chính là IP Address của Network card ISA Server 2004 Firewall gắn

với Network đó.

Chuột phải My Network Places chọn Propertise.

Chọn Local Area Connection, chọn Propertise.

Đặt thông sô IP theo như Card trong máy ISA trên mô hình cơ bản như sau :

2.2 . Giải thích Web Proxy Client :

Một Web Proxy Client là máy tính có trình duyệt Internet được cấu hình dùng ISA

Server 2004 Firewall như một Web Proxy của nó. Web browser có thể cấu hình để sử

dụng IP Address của ISA Server 2004 Firewall làm Web proxy của nó, cấu hình thủ

công hoặc cấu hình tự động thông qua Web Proxy Auto Configuration Script của ISA

Server Firewall. Các Auto Configuration Script cung cấp mức độ tùy biến cao trong

viêc điều khiển làm thế nào để Web Proxy Client có thể kết nối Internet.

Cấu hình Web Proxy

Máy Client mở IE lên chọn Tab Menu Tool, chọn Internet Options.



Rồi qua Tab Connection, chọn Lan Setting.

Mục Proxy server

Ta check vào mục Use a proxy server for your LAN ( These setting will not apply to

dial-up or VPN connections).

Khung Address: nhập địa chỉ IP của máy ISA 172.16.16.1, Port 8080, chọn Ok

Lúc này ta vô được Internet, không cần có Default Gateway.



2.3 . Giải thích Firewall Client:

Một Firewall client là máy tính có cài Firewall client software. Firewall client

software chặn tất cả các yêu cầu thuộc dạng Winsock Application (thông thường, là tất

cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall

Service trên ISA Server 2004 Firewall. User names sẽ tự động được đưa vào Firewall

service log khi máy tính Firewall Client thực hiện kết nối Internet thông qua ISA

Server 2004 Firewall.

Cấu hình Firewall Client

Ta mở IE lên vào Proxy bỏ hết các thông số ta sẽ không đi bằng kiểu NAT hoặc Proxy

mà đi bằng Firewall Client

Máy Client mở hộp thoại RUN lên đánh địa chỉ IP của máy ISA 172.16.16.1

Trên máy ISA có 1 thư mục tên là mspclnt, double click vào đó rồi chạy file Setup ta

bấm next 2 lần. Màn hình ISA server Computer Selection xuất hiện.



Đánh dấu chọn Connect to this ISA Server computer, nhập địa chỉ IP của ISA Server

172.16.16.1, chọn Next.

Hộp thoại Ready to Install Program, chọn Install.

Khi cài xong máy Client sẽ có biểu tượng ở khay hệ thống và lúc này ta không có

Default Gateway và Proxy nhưng vẫn truy cập được Internet.



Kết luận :

Máy Client khi mà để Default Gateway thì gọi là Secure NAT.

Máy Client không Default Gateway nhưng dùng Proxy gọi là Proxy Client.

Máy Client không dùng Default Gateway và Proxy mà cài Tool ISA Client gọi

là Firewal Client.

Nếu ta dùng SecureNat thì Client ra Internet và dùng bất kỳ Protocol nào mà ISA

Allow cho cái rule của nó.

Nếu dùng Web Proxy chỉ đi ra được Internet bằng HTTP và FTP bất chấp máy ISA

có allow mọi Protocol nhưng bù lại phương pháp đi bằng Proxy tận dụng được

CACHING bởi vì lúc đó máy ISA đi dùng .Nếu có máy Client khác mà hõi lại 1 trang

web nào mà ISA nhớ nó có nằm trong cache lúc đó máy ISA trả lời lại liền.

Firewall Client là dạng tổng hợp của 2 dạng trên và nó sẻ tự biết là khi nào nên

dùng Secure NAT và khi nào dùng Web Proxy.

3. Automatic Discovery :

Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình

duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall

client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Sau đó Web

Proxy và Firewall Client sẽ Discover ra Address liên lạc với ISA Server.

3.1 . Cấu hình DHCP WPAD:

Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức

năng wpad.

Mở DHCP console từ Administrative Tools menu, chuột phải server name, chọn

Set Predefined Options.



Hộp thoại Predefined Options and Values, nhấn nút Add.

Hộp thoại Option Type nhập các thông tin sau :

Name: WPAD

Data type: String

Code : 252

Chọn Ok tiếp tục.

Trong khung Value điền vào địa chỉ URL dẫn đến ISA Server 2004 Firewall trong

String : http://tanngoc,huynhngoc.com:80/wpad.dat

http://tanngoc,huynhngoc.com/wpad.dat



Mặc định Autodiscovery port 80, port này có thể thay đổi thông qua cấu hình trên ISA

server. Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA Server

2004, do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong

URL, điều khiến ISA Server 2004 phủ nhận.

Chuột phải Scope Option, chọn Configure Options.



Trong hộp thoại Scope Options, kéo xuống danh sách Available Options và đánh dấu

chọn 252 wpad, chọn Apply và Ok.

Tại thời điểm này một DHCP client được log-on với tài khoản local administrator

(hoặc Power users..) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám phá

(automatically discover) ISA Server 2004 Firewall và là tự cấu hình cho chính mình.

Tuy nhiên, ISA Server 2004 Firewall phải được cấu hình để hỗ trợ để publish các

thông tin của mình phục vụ cho Autodiscovery information.

3.2 . Enable WPAD trên ISA Server 2004:

Mở ISA Server Management, chọn Configuration, ở khung bên phải, chọn

Internal, chọn Properties.



Chọn tab Auto Discovery, đánh dấu check vào Pubilsh Automatic Discovery

Information 80, chọn Ok.

3.3 . Cấu hình Client xin IP động:

Ta logon quyền Local Administrator, sau đó sử dụng chức năng xin IP động bằng câu

lệnh ipconfig /release và ipconfig /renew .



Sau khi có được Ip do DHCP server cấp, ta mở Internet Explore chọn Internet

Options..

Trong hộp thoại Internet Options, chọn Tab Connections, chọn tiếp Lan Setting.



Tại hộp thoại Lan Area Network (LAN) Setting đánh dấu chon vào mục Automatically

dectect settings, chọn Ok.

4. Remote Management:

Cho phép 1 máy Client cụ thể có quyền quản lý ISA server từ xa.

Mở ISA Server Management chọn Firewall Policy cửa sổ bên trái chọn Toolbox sau

đó chọn Network Object double click vào Remote Management Computer trong folder

Computer Sets.



Hộp thoại Remote Management Computer, chọn Add, chọn Computer.

Hộp thoại New Computer Rule Element.

Name : ServerAD

Computer IP Address : nhập vào địa chỉ IP 172.16.16.2

Chọn Ok.



Trên ServerAD, chúng ta Install ISA Server 2004.

Hộp thoại Custom Setup, chọn ISA Server Management, chọn Next.



Sau khi cài đặt hoàn tất, ta reset lại máy và mở ISA Server Management, chọn tab

Action, chọn Connect to..

Xuất hiện hộp thoại Connect to nhập vào địa chỉ IP của máy ISA Server 172.16.16.1,

chọn Ok, lúc này ta có thể thực hiện các thao tác trên quản lý rule như tại máy Server

ISA.





CHƢƠNG IV

SERVER PUBLISHING

1. Publishing DNS:

Click Start rồi chọn All Programs. Chọn Microsoft ISA Server và click ISA Server

Management Console.

Màn hình quản lý Microsoft Internet Security and Accerleration Server 2004 xuất

hiện và hiển thị trang Welcome to Microsoft Internet Security and Acceleration Server

2004. Chuột phải Firewall Policy, chọn New, chọn Server Publishing Rule…

Hộp thoại Welcome to the New Server Publishing Rule Wizard, đặt tên rule là :

Publishing DNS server, chọn Next.



Hộp thoại Select Server, nhập địa chỉ IP của External DNS, chọn Next.

Hộp thoại Select Protocol, chọn DNS server, nhấn Next.



Hộp thoại IP addresses, đánh dấu chọn External, nhấn Next.

Hộp thoại Completing the New Server Publishing Rule Wizard, chọn Finish



2. Publishing Web Server:


hiện, chuột phải Firewall Policy, chọn New, chọn Web Server Publishing Rule.

Hộp thoại Wellcome to the New Web Publishing Rule Wizard, đặt tên rule là:

Publishing Web Server, chọn Next.



Hộp thoại Select Rule Action, chọn Alow, nhấn Next.

Hộp thoại Define Website to Publish, nhập địa chỉ IP WebServer 172.16.16.2 trong

khung Computer name or IP address, chọn Next.



Hộp thoại Public Name Details, chọn Any domain name, nhấn Next.

Hộp thoại Select Web Listener, nhấn nút New.



Hộp thoại Welcome to the New Web Listener Wizarrd.

Web listener name : Ta nhập Web Listener 80 rồi Next.

Hộp thoại IP addresses, đánh dấu chọn External, nhấn Next.



Hộp thoại Port Specification, đánh dấu chọn Enable HTTP port 80, nhấn Next.

Hộp thoại Completing the New Web Listenner Wizard, chọn Next.

Trở lại hộp thoại Select Web Listener, chọn Next.



Hộp thoại User Sets, chọn Next.

Hộp thoại Completing the New Web Publishing Rule Wizard, chọn Finish.



3. Publishing FTP server:


hiện, chuột phải Firewall Policy, chọn New, chọn Server Publishing Rule.

Hộp thoại Welcome to the New Server Publishing Rule Wizard, đặt tên rule là:

Publishing Ftp Server, nhấn Next.



Hộp thoại Select Server, nhập địa chỉ IP của FTP Server: 172.16.16.2

Hộp thoại Selected Protocol, chọn Protocol là FTP Serevr, nhấn Next.



Hộp thoại IP Addresses, đánh dấu chon External, nhấn Next.




4. Publishing Mail Server SMTP, POP3:


hiện, chuột phải Firewall Policy, chọn New rồi chọn Mail Server Publishing Rule.

Hộp thoại Welcome to the New Mail Server Publishing Rule Wizard, đặt tên rule là:

Publishing Mail Server, chọn Next.



Hộp thoại Select Access Type, check vào mục Client access: RPC, IMAP, POP3,

SMTP, nhấn Next.

Hộp thoại Select Services, đánh dấu chọn POP3 và SMTP, nhấn Next.



Hộp thoại Select Server, nhập IP Server Mail IP là 172.16.16.2, nhấn Next.

Hộp thoại IP Addresses, đánh dấu chọn External, nhấn Next.



Hộp thoại Completing the New Mail Server Publishing Rule Wizard, chọn Finish.

5. Publishing RDP Server:



Tại ServerAD R‟click vào My Computer chọn Propertise, chọn Tab Remote và

đánh dấu check vào mục Allow users to connet remolely to this computer rồi chọn

Select Remote Users.

Hộp thoại Remote Desktop Users bấm nút Add.

Hộp thoại Selected Users or Group, nhập vào tên user: kd1, chọn Check Names, nhấn

Ok.



Máy ISA lúc này ta tiến hành Publishing Terminal Services.


Management Console.


hiện, chuột phải Firewall Policy,chọn New, chọn Server Publishing Rules.

Hộp thoại Welcome to the New Server Publishing Rule Wizard, đặt tên rule là :

Publishing RDP, chọn Next.



Hộp thoại Select Server, nhập vào địa chỉ IP 172.16.16.2 rồi chọn Next.

Hộp thoại Select Protocol, chọn RDP(Terminal Services)Server, chọn Next.



Hộp thoại IP Addresses, đánh dấu chọn External, chọn Next.






CHƢƠNG V

APPLICATION FILTER

1. SMTP Filtering :

1.1 . Giới thiệu:

SMPT filter:

Bộ lọc SMTP Filter của ISA Firewall sẽ bảo vệ chống lại các cuộc tấn công tràn bộ

đệm, một số dòng lệnh của dịch vụ SMTP chuẩn được đi kèm với bộ lọc này. Mỗi

dòng lệnh được phép có một số độ dài định nghĩa trước, những dòng lệnh giả lập có độ

dài vượt quá giới hạn cho phép sẽ bị hủy bỏ. SMTP Filter sẽ khảo sát tất cả giao thông

SMTP di chuyển thông qua một Server Publishing Rule.

SMTP Message Screener:

SMTP Message Screener là một thành phần của ISA Server Firewall được cài chung

với dịch vụ SMTP của IIS. Message Screener thông tin với bộ lọc ứng dụng SMTP

của ISA Server firewall và mở rộng chức năng của SMTP filter. Trong khi SMTP

filter chỉ có thể khảo sát các bộ lệnh SMTP, thì Message Screener có thể khảo sát các

thành phần của dữ liệu SMTP. Điều này cho phép SMTP Message Screener khóa các

thư dựa trên nội dung, kiểu file kèm theo, địa chỉ email nguồn hoặc domain email. 1.2 . Cài Đặt và cấu hình SMTP Filter:

Muốn lọc mail trên ISA phải có dịch vụ Message Screener. Muốn cài được

Message Screener trong ISA ta phải cài IIS và SMTP.

Cài đặt và cấu hình dịch vụ SMTP Service trên máy tính ISA Firewall. Click Start,

chọn Setting rồi chọn Control Panel.



Màn hình Control Panel xuất hiện: chọn Add or Remove Programs.

Click nút Add\Remove Windows Components trong khu vực bên trái của cửa sổ Add

or Remove Programs.



Trong hộp thoại Windows Components Wizard, chọn Application Server, nhấn nút

Details.

Trong hộp thoại Application Server, đánh dấu chọn Internet Information Service (IIS),

nhấn nút Details.



Trong hộp thoại Internet Information Services (IIS), đánh dấu chọn vào mục SMTP

Service, nhấn Ok.

Trở lại hộp thoại Windows Compoments Wizard, mục Application Server đã được

chọn, nhấn Next để băt đầu quá trình cài đặt.

Hộp thoại Completing the Windows Components Wizard, chọn Finish.



Cài đặt SMTP Message Screener:

SMTP Message Screener là một thành phần tùy chọn của ISA Server 2004, thành phần

này được tích hợp với dịch vụ IIS, SMTP để khảo sát và khóa các thư mục SMTP dựa

trên các tham số bạn cấu hình trong Message Screener.

Hộp thoại Welcome to the Installation Wizard for Microsoft ISA Server 2004. chọn

Next.



Hộp thoại Program Manintenance, chọn Modify, chọn Next.

Hộp thoại Custom Setup, chọn Message Screener,chọn vào mục This feature and all

subfeatures, will be installed on hard drive, chọn Next.



Hộp thoại Service, trang này thông báo rằng dịch vụ SNMP, IIS Admin Service sẽ

được stop trong quá trình cài đặt, chọn Next.

Hộp thoại Ready to Modify the Program, chọn Install.



Hộp thoại Installation Wizard Completed, chọn Finish.

Cấu hình SMTP Service trên ISA:

Click vào Start chọn Program, rồi chọn Administrator Tools, chọn Internet Information

Services (IIS) Manager.



Hộp thoại Internet Information Service (IIS) Service xuất hiện.

Ta bấm vào dấu + của Default SMTP Virtual Server, chuột phải Domain, chọn New,

chọn Domain.

Hộp thoại Welcome to the New SMTP Domain Wizard, chọn Remote.

Trên trang Domain Name nhập tên Domain trong mang nội bộ vào trong hộp name,

đây chính là Domain mà bạn muốn SMTP relay trên ISA Server 2004 Firewall chấp

nhận các thư đi vào từ các SMTP server trên Internet. Domain trong mạng nội bộ là

ngoctriet.com, chọn Finish.



Trong mục Domain đã có huynhngoc.com, chuột phải chọn Properties.

Trong hộp thoại huynhngoc.com Properties, chọn Tab General, đánh dấu check vào

mục Allow incoming mail to be relayedto this domain, chọn phương án Forward

all mail smart to the Domain rồi nhập địa chỉ IP của Server Mail trong mạng nội bộ (

lưu ý phải có ngoặc vuông ) [172.16.16.2] chọn Apply rồi Ok.



Chọn Default SMTP Virtual Server, chuột phải chọn Properties.



Hộp thoại Default SMTP Virtual Server Properties, chọn IP là 172.16.16.1

Mở ISA Server Management, chọn rule Pulishing Mail SMTP Server, chọn properties.



Hộp thoại Publishing Mail SMTP Server Properties, chọn Tab To nhập địa chỉ IP là

172.16.16.2, chọn Apply rồi Ok.

Trong Console quản lý Microsoft Internet Sercurity and Accelerat Server 2004 mở

rộng mục Configuration, chọn Add –ins, ở cửa sổ bên phải chọn SMTP Filter, chọn

Properties.



Hộp thoại SMTP Filter Properties, chọn Tab Attachments, nhấn nút Add.

Trên trang Mail Attachment Rule, đánh dấu check vào mục Enable this rule Keyword.

Trong mục Apply action messages containing attachments with one of these

properties: có 3 phương án để chọn.

Attachment : Nếu chọn phương án này, nhập vào tên file Attachment, bao gồm

tên file và phần mở rộng. Sử dụng phương án này nếu bạn muốn khóa tất cả các

file kèm theo có phần mở rộng nào đó, mà chỉ khóa chính xác một file.

Attachment extension : một kiểu khóa thông thường hơn gọi là khóa tất cả các

file có phần mở rộng nào đó.

Attachment size limit (in bytes) : ta có thể khóa các file kèm theo dựa trên kích

thước của chúng.

Ở đây ta chọn phương án Attachment extension: nhập vào phần mở rộng là .exe và

mục Action chọn Delete message, click ok.



Trở lại hộp thoại SMTP Filter Properties, chọn Ok.

Click Apply để cập nhật lại Firewall Policy.



Lúc này ta tiến hành thử đăng nhập vào Account HV2 và gởi mail cho HV3.



Điền vào User nhận Mail trong phần to:[email protected].

Subject: Test mail SMTP Filter.

Hộp thoại Add Attachments, chọn Browes, chọn file cần Attachments, sau đó click vào

nút Attach to Message, chọn Finish.



Đăng nhập vào Account HV3 để kiểm tra mail do HV2 gởi kèm file.

Mục Inbox có được 1 mail do HV2 gởi, và kèm mail gởi cảnh báo remove file đính kèm

có đuôi là .exe do HV2 gởi.



2. HTTP Filter:

2.1 . Giới thiệu HTTP Filter:

HTTP Filter chịu trách nhiệm thực hiện các công việc sau:

Quét và chỉnh sửa các yêu cầu HTTP

Phân tích lưu lượng mạng

Quét và chỉnh sửa các đáp ứng HTTP

Loại bỏ một số đáp ứng HTTP cụ thể

Mã hóa và nén dữ liệu

HTTP Filter trong ISA Server 2004 cũng có khả năng lọc lưu lượng HTTPS nhưng

chỉ trong trường hợp với các web server đối chiếu dùng HTTPS Bridging.

2.2 . Cài đặt và cấu hình HTTP Filter:

Chuột phải rule Allow Internal to Internet, chọn Configure HTTP.

Trong hộp thoại Configure HTTP policy for rule :

Tab General : cấu hình các thiết lập chung.

Tab Methods: cấu hình cho phép /loại bỏ các phương thức HTTP.

Tab Extensions: cấu hình cho phép /loại bỏ các file thực thi.

Tab Header: cấu hình cho phép /loại bỏ HTTP header.

Tab Signatures: cấu hình cho phép /loại bỏ các ký hiệu HTTP được mã hóa UTF-8.



Chọn Tab Extensions, bấm vào dấu mũi tên trong trong phần Specify the action taken

for the extensions, chọn Block specified extensions ( allow all athers ), nhấn nút Add.



Trên hộp thoại Extension nhập vào tên File có phần mở rộng là .exe vào trong khung

Extension, chọn Ok để tiếp tục.

Trở lại hộp thoại Configure HTTP policy for rule, chọn Ok.

Click Apply cập nhật lại chính sách Firewall policy.



CHƢƠNG VI

INTRUSION DECTECTION

1. Trình bày các Tab trong Monitor:

1.1 . Tab Session:

Tab này trình bày cho ta biết đang có bao nhiêu Session diễn ra thông qua ISA và

mỗi Session thông qua dạng nào như là SecureNAT, Web Proxy, Firewall Client để

biết được các máy trong mạng nội bộ đang đi ra ngoài Internet thông qua ISA bằng

dạng nào. Và ta thấy có địa chỉ IP là 172.16.16.2 đang ra ngoài Internet bằng dạng

SecureNAT.

1.2 . Tab Services:

Tab này trình bày cho ta những dịch vụ nào của ISA đang chạy tốt và cũng thông

qua tab này ta dùng để Restart từng dịch vụ khi mà ISA có trục trặc. Ví dụ khi ta

áp1cái rule nào đó mà nó không chạy thay vì ta khởi động lại máy tính thì ta có thể

Restart lại dịch vụ là Microsoft Firewall thôi. Bằng cách chọn Microsoft Firewall rồi

click chuột phải chọn Stop khi nó stop xong ta lại tiếp tục Restart lại.



1.3 . Tab Report:

Tab này báo cáo thống kê giúp cho ta thống kê lại trong tháng đó ngày đó tuần đó máy

nào trong mạng Lan đi ra web nhiều nhất chiếm nhiều băng thông nhất và lấy dung

lượng nhiều nhất.

Ta double click vào Create and Configure Report Jobs.



Hộp thoại Report Jobs Properties , chọn nút Add.

Hộp thoại Welcome to the New Report Job Wizard, đặt tên cho rule là : Bao Cao Cuoi

Thang, chọn Next.



Hộp thoại Report Content, giữ cấu hình mặc định, chọn Next.

Hộp thoại Report Job Schedule, chọn công việc là Daily ( hằng ngày)



Hộp thoại Report Publishing, đánh dấu chọn Publish reports to a directory, chọn nút

Browes để chọn đường dẫn lưu file Report.

Ta tạo thư mục với tên là Bao Cao Cuoi Thang trong ổ đĩa C, rồi bấm Ok.



Hộp thoại Report Publishing, chọn Next.

Hộp thoại Send E-mail Notification, đánh dấu chọn mục Send e-mail notification for

completed reports.

SMTP server: nhập vào địa chỉ IP của máy chủ MailServer 172.16.16.2

From và To ta điền [email protected]

Message : nhập vào phần nội dung Bao Cao Cuoi Thang.



Hộp thoại Completing the New Report Job Wizard, chọn Finish.

Hộp thoại Report Jobs Properties, bấm vào Run Now, chọn Ok.



Lúc này ta quay trở lại màn hình quản lý ISA Server 2004, chọn Bao Cao Cuoi Thang

rồi chọn Refresh.

Ta muốn coi báo cáo thì double click vào Bao Cao Cuoi Thang.



1.4 . Tab Connectivity:

Tạo ra các kết nối phục vụ cho việc kiểm tra.Ví dụ có những trang web nào đó ở

ngoài Internet mà nhu cầu ta rất thường xuyên truy cập thay vì trang web đó bị trục

trặc gì đó ta phải ra ngoài CMD để ping kiểm tra coi thử nó có họat động không thì ta

có thể xem trong Connectivity.

Mỗi lần ta muốn kiểm tra chỉ cần kích hoạt Connectivity và ta sẽ thấy nó báo là lỗi

hay là không lỗi là ta biết

Ta chọn Monitoring rồi chọn tab Connectivity, double click chọn Create New

Connectivity Verifier.

Hộp thoại Wellcome to the New Connectivity Verifier Widard, đặt tên rule là: truong

tay bac, chọnNext.



Hộp thoại New Connectivity VerifierWidard ,nhập vào URL

http://www.truongtaybac.edu . Ta chọn Option Send an HTTP “ GET” request , chọn

Next.

Hộp thoại Compelting the Connectivity Verifier Wizard, chọn Finish.

http://www.truongtaybac.edu/



Xuất hiện hộp thoại Enable HTTP Connectivity Verification, bấm Yes rồi Apply.

Và 1 khi ai hỏi sao truy cập web không được thay vì ta ping để kiểm tra kết nối Internet

ta vô Connectivity kiểm tra thì thấy thông báo vẫn xanh và ta biết kết nối Internet vẫn

tốt đẹp và ta phải kiểm tra lại máy client kia vì sao không vô được Internet.

Khi mà ta kiểm tra Connectivity và thấy thông báo màu đỏ là ta biết được hiện không

kết nối được Internet.



1.5 . Tab logging:

Đây là tab hay nhất trong Monitor cho ta biết rỏ từng chi tiết IP nào đi đâu ra

Internet và chiếm dung lượng bao nhiêu và đi ra bằng Rule nào và bị Rule nào chặn lại

..v..v. Ta muốn coi IP nào truy cập web chiếm dung lượng bao nhiêu ta phải add thêm

bytes Received. Ta click phải chuột và chọn Add/Remove để Add thêm Bytes

Received.

Chọn bytes Received ,nhấn Add rồi Ok.



Lúc này ta sẽ thấy thêm cột Bytes Received, ta click chuột phải rồi chọn Start Query..

2. Phát hiện các đợt tấn công gửi mail cho Admin.

Mở ISA Server Management, chọn phần Configuration, chọn General, khung bên

phải double click vào mục Enable Intrusion Detection and DNS Attack Detection.



Hộp thoại Intrusion Detection, chọn Tab Common Attacks, đánh dấu chọn vào Port

scan.

Rồi chọn Tab DNS Attack, đánh dấu chọn vào DNS zone transfer, chọn Ok.



Chọn phần Monitoring, chọn Tab Alerts, bên cửa sổ bên phải trong khung Tasks, chọn

Configure Alerts Defintions.

Hộp thoại Alerts Properties, chọn Intrusion detected rồi nhấn Edit.



Trên hộp thoại Intrusion detected Properties

Ta đánh dấu check vào Send –e-mail: dùng để báo động khi ai tấn công sẽ gửi mail báo

cho Admin biết.

SMTP server : nhập vào ServerMail IP 172.16.16.2

From và To : ta điền [email protected] và bấm nút Test nó sẻ gửi 1 mail

đến cho administrator nếu ta kiểm tra thấy có mail là đúng.

Và ta đánh dấu vào Run a program: cái này dùng để khi mà ta có chương trình nào

được viết ra để bảo vệ máy tính khi ai tấn công thì chương trình này sẽ chạy và bảo vệ.

Vì ở đây ta không có chương trình nào nên ta dùng chương trình notepad.exe tạm để

coi chức năng hoạt động của nó. Rồi ta Ok thêm lần nữa và Apply.

Sau khi cấu hình xong, mở Webmail lên Login với User Admin, kiểm tra trong mục

Inbox và ta thấy có 1 Email cảnh báo do ta bấm nút Test khi cấu hình.



Lúc này tại máy Client, ta mở chương trình Scan Port lên để kiểm tra, trên trang

SuperScan4.0 nhập địa chỉ IP 192.168.1.100 trong khung StartIP và EndIP.



Chọn Tab Host and Service Discovery bỏ dấu check ô Host discovery.

Và chọn tab Scan lại rồi bấm nút Play chưong trình tự động Scanport

Chương trình Scan được 1 Port muốn biết rõ port đó là gì ta bấm vào View HTML

Results.



Lúc này ta thấy một trang web trình bày rõ từng Port mà nó Scan được.

Bây giờ ta quay lại Máy ISA thì thấy Notepad được bất lên do có người đang tấn công

Scanport.

Và mở WebMail lên đặng nhập vào User Admin thì thấy có IP 192.168.1.200 đang

tiến hành Scanport.

3. Quản lý băng thông SoftPerfect Bandwidth Manager:

Là một người quản trị hệ thống mạng thì việc quản lý, báo cáo User sử dụng

Internet, quản lý băng thông, thời gian truy cập Internet, là công việc rất quan trọng.

Để hỗ trợ người quản trị mạng phân tích được lưu lượng Internet và đưa ra phương án

kịp thời khi có sự cố xảy ra. Software SoftPerfect Bandwidth Manager là 1 Soft được

cài thêm vào hệ thống ISA Firewall, đây là chương trình mạnh cho phép người quản lý

có thể theo dõi người dùng Internet theo thời gian thực.

Các chức năng của SoftPerfect Bandwidth Manager:

Tạo Rule cho phép quản lý các user truy cập Internet không giới hạn, hoặc có

giới hạn.

Quy định lưu lượng truy cập Internet.

Tạo Rule cho phép các user sếp được truy cập web trước các user nhân viên.

Chạy file Setup.exe để tiến hành cài đặt SoftPerfect Bandwidth Manager.

Hộp thoại Welcome to the SoftPerfect Bandwidth Manager Setup Wizard, chọn Next.



Hộp thoại License Agreement, chọn I accept the agreement, nhấn Next.

Hộp thoại Select Destination Location, giữ mặc định nhấn Next.



Hộp thoại Select Components, chọn Next.



Hộp thoại Select Start Menu Folder, chọn Next.

Hộp thoại Ready to Install cho ta biết được các thông số cài đặt, nếu có trục trặc ta có

thể Back lại để kiểm tra, nếu không thì ta bấm Install để cài đặt.



Sau khi khởi động máy tính lại, mở chương trình SoftPerfect Bandwidth Manager lên.

Màn hình Login xuất hiện nhập vào IP 192.168.1.100 rồi Ok.

Thì lúc này màn hình SoftPerfect Bandwidth Manager xuất hiện. Ta bấm vào Tools rồi

chọn Timetable Manager( để lập lịch quản lý).



Hộp thoại Timetable Manager, nhấn nút New.

Hộp thoại Add Timetable, đặt tên rule là: Lich trong ô Timetable Name rồi chọn (7 giờ

đến 12giờ) và (13 giờ đến 17 giờ), chuột phải chọn Enable Selected.



Hộp thoại Add Timetable, chọn Ok.



Hộp thoại Timetable Manager, có rule lich rồi bấm close.

Hộp thoại SoftPerfect Bandwidth Manager, chọn Tools, chọn Quota Manager.



Hộp thoại Quota Manager, nhấn nút New.

Trên hộp thoại Add Quota ta nhập vào các thông số sau:

Transfer Rate Limit : chọn Bytes/sec.

Quota Name điền vào gioi han dung luong.

Initial Rate chọn là Unlimited.

Reduced Rate nhập vào số 5000

Transferred more than MB nhập vào 10 và chọn Within a day rồi bấm Ok.



Trong hộp thoại Quota Manager, có rule Gioi Han Dung Luong rồi bấm Close.

Trong hộp thoại SoftPerfect Bandwidth Manager, chọn Rules, chọn Add Rule.

Hộp thoại Add rule, chọn Tab General nhập vào các thông số sau:

Rule name : Ta điền May XP Direction : Ta chọn Both



Transfer Rate Limit : chọn Bytes/sec và nhập vào số 5000

Protocol : chọn TCP and UDP

Apply Rule on Interface:chọn Any Interface và check vào Rule Enable.

Chọn Tab Source nhập các thông số sau:

Source IP Address: nhập vào địa chỉ IP 172.16.16.1

Source Port: chọn Any.



Chọn tab Destination.

Destination Address chọn Localhost và Destination Port chọn Any.

Chọn tab Advanced.

Timetable đánh dấu chọn vào ô Use the following schedule rồi chọn lich sau đó click

Ok.



Trở lại màn hình SoftPerfect Bandwidth Manager, xuất hiện rule do ta cấu hình.

Máy Client lúc này sẽ tiến hành download 1 file có dung lượng là 21.0 MB .

Và ta thấy tốc độ chỉ ở mức là 3.32 KB và không bao giờ vượt qua tốc độ 5 KB, nhưng

chỉ download được dung lượng tới 10 MB là ngừng sẽ không cho Download.



4. Network Templates:

ISA Server 2004 Firewall mang đến cho chúng ta những thuận lợi to lớn , một trong

những số đó là các Network Temlates. Với sự hỗ trợ các Templates mà chúng ta có thể

cấu hình tự động các thông số Network, Network Rule và Access Rules. Network

Templates được thiết kế nhanh chóng tạo được cấu hình nền tảng cho những gì mà

chúng ta có thể xây dựng

Các loại Network Templates:

Edge Firewall: được sử dụng khi ISA gắn 2 card Network. Có một Network

interface kết nối đến Internet và một Network interface kết nối với Internal

Network.

3-Leg Perimeter: được sử dụng khi Firewall gắn 3 Card Network. Có Network

interface (kết nối Internet) và Internal interface ( kết nối mạng nội bộ) và DMZ

interface ( kết nối mạng vành đai – Perimeter Network ).

Front Firewall : Đóng vai trò một frontend firewall trong mô hình back-to-back

Back-to back là mô hình kết nối 2 Firewall làm việc với nhau theo kiểu trước (front)

sau (back) phía ngoài Front Firewall là Internet giữa Front và back Firewall có thể là

DMZ network và phía sau back Firewall là Internal network.

Single Network Adapter : được áp dụng khi ta muốn loại chức năng Firewall đi. Được

dùng trong những trường hợp khi ISA chỉ có 1 card Network đóng vai trò là hệ thống

lưu giữ cache – Web caching server.

Những lựa chọn cho chính sách Firewall khi dùng Network Edge Firewall Templates.

Firewall Poicy Mô Tả

Block All (ngăn chặn tất cả). Ngăn chặn tất cả truy cập qua ISA.

Block Internet Access, allow access

to ISP network services (Ngăn chặn

truy cập ra Internet nhưng cho phép

truy cập đến dịch vụ của ISP).

Ngăn chặn tất cả truy cập qua ISA ngoại

trừ những truy cập đến các Network

services như DNS services Lựa chọn này

được dùng khi các ISP cung cấp những

dịch vụ này.

Lựa chọn này sẽ xác định chính sách

Firewall như.

1. Allow DNS from Internet Network and

2. VPN Client Network to External

Network

3. (Internet) - cho phép Internal Network

và VPN Client Network dùng DNS của

ISP để xác định Host names bên ngoài.

Allow Limited Web Access ( cho

phép truy cập web có giới hạn ).

Chỉ cho phép truy cập Web dùng các giao

thức HTTP, HTTPS, FTP còn lại các truy

cập khác sẽ bị ngăn chặn Các Rule sau sẽ

được tạo:

1. Allow HTTP ,HTTPS ,FTP from

Internal Network to Exterrnal Network –

Cho phép các truy cập dạng HTTP,



HTTPS, FTP từ Internal Network ra bên

ngoài

2. Allow all protocol from VPN Client

Network to Internal Network – Cho phép

tất cả các giao thức từ VPN Client

Network ( từ bên ngoài ) truy cập vào bên

trong mạng nội bộ.

Allow Limited Web access and

access to ISP Network services ( cho

phép truy cập Web có giới hạn và

truy cập đến một số dịch vụ ISP)

Cho phép truy cập Web có giới hạn dùng

HTTP, HTTPS, FTP và cho phép truy cập

ISP Network services như DNS còn lại

ngăn chặn tất cả các truy cập Network

khác. Các Rule sau sẽ được tạo ra:

1.Allow HTTP, HTTPS, FTP from Internal

Network and VPN Client Network to

External Network (Internet) – Cho phép

truy cập HTTP, HTTPS, FTP từ Internal

Network và VPN Client Network ra

External Network (Internet).

2. Allow DNS from Internal Network and

VPN Client Network to External Network

(Internet) – Cho phép Internal Network và

VPN Client Network truy cập dịch vụ DNS

giải thích các Hostname bên ngoài (

Internet).

3. Allow all protocol from VPN Client

Network to Internal Network – cho phép


Network (từ bên ngoài ) truy cập vào bên


Allow unrestricted access ( Cho phép

truy cập không giới hạn )

Cho phép không hạn chế truy cập ra

Internet qua ISA Server.

1.Allow all Protocols from Internal

Network and VPN Client Network to

External Network (Internet) – Cho phép

dùng tất cả giao thức từ Internal Network

và VPN Client Network tới External

Network (Internet).

2.Allow all protocol from VPN Client

Network to Internal Network – cho phép


Network(từ bên ngoài ) truy cập vào bên




Cấu hình Edge Firewall:

Mở ISA Server Management, chọn phần Configuration, chọn Network, ở khung bên

phải chọn Templates trong Task Pane rồi double click vào Edge Firewall.

Hộp thoại Welcome to the Network Template Wizard, chọn Next.



Hộp thoại Export the ISA Server Configruration, chọn Next.

Hộp thoại Internal Network IP Addresses, chọn dãy IP trong mạng nội bộ (Internal

Network) từ 172.16.16.1172.16.16.200, chọn Next



Hộp thoại Select a Firewall Policy, chọn Allow unrestricted access.

Hộp thoại Completing the Network template Wizard, chọn Finish.



Trở lại trang Firewall policy, xuất hiện 2 Rule được tạo ra bởi Edge Firewall 2 Acces

Rule cho phép Internal network và VPN Client truy cập ra Internet và VPN Client cũng

được quyền truy cập vào Internal network.



CHƢƠNG VII

CACHING

1. Giới Thiệu :

Có một đặc tính rất hữu ích của ISA Server tuy nhiên mặc định bị cấm đó là Web

Caching đối với HTTP và FTP Request. Với ISA chúng ta có thể thực hiện hai cơ chế

Caching:

Forward caching: với cơ chế này nội dung các trang Web thường xuyên được

truy cập sẽ được tải về trước và lưu trữ trong phần Cache của ISA Sserver, vì

vậy khi người dùng mở lại những trang Web này sẽ được trả nội dung trên

Cache thay vì phải kết nối trực tiếp với Web Server trên Internet.

Reverse caching: ngược lại với Forward Caching, khi doanh nghiệp hay tổ

chức có những Web Server cho phép người dùng bên ngoài truy cập, Reverse

Caching tiết kiệm băng thông bằng cách lưu trữ nội dung trang Web trên các

Proxy Server để đáp ứng, giảm tải cho Web Server. Vì vậy trên một số tài liệu

Reverse Cache còn được gọi là Gateway Cache. Về mặt tổ chức thì chúng ta có

thể xây dựng hệ thống Cache trên ISA theo các mô hình khác nhau tùy thuộc

vào số lượng người dùng và kiến trúc mạng của mỗi doanh nghiệp.

Distributed Caching: các ISA Server sẽ được phân bố đều trên mạng, nâng cao

khả năng đáp ứng cho người dùng.

Hierarchical caching: khác với mô hình trên, trong trường hợp này ISA Server

sẽ được phân bố theo từng cấp, các yêu cầu sẽ được xử lý bởi những ISA Server

nội bộ trước, vì vậy thời gian đáp ứng cao hơn.

Hybrid caching: sự kết hợp cả hai mô hình trên. Vậy, khi chức năng Web Cache

được bật, những trang Web thường xuyên truy cập sẽ tự động tải về có thể được

lưu giữ trên RAM hay đĩa cứng của ISA Server (cache), và người dùng khi truy

cập vào lại trang Web này sẽ được trả về nội dung từ Cache chứ không phải tải

về từ Internet. Tuy nhiên một số trang Web tìm kiếm thì không nên lưu trữ nội

dung trên Cache vì sẽ cho ra những kết quả tìm kiếm không được cập nhật, vì

vậy khi thiết lập Web Caching các bạn nên đặt Caching Rule để không lưu giữ

những trang Web như www.google.com. Ngoài ra một số trang Web thường

xuyên được người dùng truy cập để đọc tin, tham khảo giá cả thị trường, tin tức

về bảo mật... chúng ta có thể lập lịch để dịch vụ Web Proxy Server tải về trước

ngoài giờ làm việc thông qua chức năng Content Download Job.

1.1 . Web Caching


Management Console.


hiện, chọn phần Configuation, chuột phải Cache chọn Denfine Cache Driver.



Ta chọn ổ đĩa C: nơi lưu trữ Cache.

Maximum cache size (MB) dung lượng chứa cache : nhập 500 nhấn Set rồi Ok.



Xuất hiện hộp thoai ISA Server Warning chọn Save the changes and restart the

services, nhấn Ok.

Sau khi Restart lại ISA Server, chọn lại phần Configuration, chuột phải chọn cache,

chọn properties, qua tab Active Caching, đánh dấu vào mục Enable active caching và

mục Normally, nhấn Ok. Apply lại chính sách Policy.



1.2 . Cache Rule:


hiện, chọn phần Configuration, chuột phải Cache chọn New, chọn Cache Rule …

Hộp thoại Welcome to the New Cache Rule Winzard, đặt tên rule là: No Google, chọn

Next.



Hộp thoại Cache Rule Destination, chọn trang web không cần lưu trữ Cache bằng cách

bấm vào nút Add.

Cửa sồ Add Network Entities, chọn nút New rồi click URL Set.



Hộp thoại New URL Set Rule Element

Name : ta điền No Google

Trong khung URLs included in this set ( applicable for HTTP traffic only )

Chọn New gõ http://www.tuoitre.com.vn

http://*.tuoitre.com.vn

Chọn Ok.

Hộp thoại Add Network Entities, double click tuoitre, nhấn Close.

http://www.tuoitre.com.vn/

http://*.tuoitre.com.vn/



Trong hộp thoại Cache Rule Destination, chọn Next.

Hộp thoại Content Retrieval, giữ cấu hình mặc định, chọn Next.



Trong hộp thoại Cache Content, đánh dấu chọn Never, no Content will ever be

Cached, chọn Next.

Cuối cùng nhấn Finish kết thúc quá trình thiết lập.



2. Content Download ( Lịch Download ):


Management Console.


hiện, chuột phải Cahe, chọn New rồi chọn Content download job.

Hộp thoại cảnh báo xuất hiện cho ta biết có muốn Enable chức năng Scheduled content

donwload job không ta chọn Yes để tiếp tục.

Chọn lại Content download job, lúc này Màn hình Welcome xuất hiện nhập vào tên

name: mail yahoo rồi chọn Next.



Hộp thoại Run the job, đánh dấu chọn Weekly, chọn Next.



Hộp thoại Select the days the Job will Run ( nó sẽ down vào ngày thứ mấy) ta đánh

dấu vào Sunday rồi Next.

Hộp thoại Content Donwload, trong khung Download content from this URL: nhập vào

URL cần Cache: http://www.mail.yahoo.com.



Hộp thoại Content Donwload.

Cache Content : chọn if source request headers indicate then the content will be

cached.

Time To – Live: chọn Expire content according to the cache rule.

Nhấn Next để tiếp tục.

Hộp thoại Comleting the Scheduled Content Donwload Job Wizard, chọn Finish.



CHƢƠNG VIII

BACKUP - RESTORE

1. Ủy thác quyền ISA:

Mở ISA Server Management lên chọn mục Configuration rồi click chọn General

sau đó ta click vào Administration Delegation .

Trong hộp thoại Welcome to the ISA Server Administrator Delegate Wizard, chon

Next.



Hộp thoại Delegate Control( ủy quyền cho User quản lý ), nhấn nút Add.

Hộp thoại Administration Delegation, chọn Browse.

Chọn Entire Directory rồi chọn Users nhấn Ok.



Hộp thoại Select User or Group : nhập triet, nhấn Check Name rồi chọn OK.

Trong hộp thoại Administration Delegation.

Mục Role : chọn là ISA Server Full Administrator rồi Ok



Hộp thoại Delegate Control, chọn Next.

Trong hộp thoại Completing the Administration Delegate Wizard, chọn Finish.

2. Backup:

Trong cửa sổ Mircrosoft Internet Security and Acceleration Server 2004, chuột

phải ISASERV chọn Backup.



Ta chọn ổ C để lưu backup ISA với tên là backupIsa rồi bấm vào Backup. Màn hình

Set Password hiện ra. Password và Corfilm password ta nhập vào 12345678 rồi Ok.

3. Restore:

Trong cửa sổ Mircrosoft Internet Security and Acceleration Server 2004, chuột

phải ISASERV chọn Restore.



Ta vào ổ đĩa C chọn File Backup mà ta lưu, rồi bấm Restore.

Ta điền password là 12345678 rồi Ok.

Lúc này màn hình bắt đầu chạy Restore.



Trong cửa sổ ISA Server Warning chọn Save the changes but don‟t restart the service

rồi Ok.

Hoàn tất quá trình khôi phục lại hệ thống ISA Server 2004



CHƢƠNG IX

TỔNG QUAN VỀ EXCHANGE SERVER 2007

I. PHẦN CỨNG

Server phải đáp ứng tối thiểu những yêu cầu cài đặt Exchange2003 Server:

- CPU: IntelPentium IV 3.0 Mhz

- RAM: 1 GB

- HDD: 5GB để cài Exchange, 5GB trống trên đĩa hệ thống

- CD-ROM

- SVGA hoặc màn hình có độ phân giải cao hơn

II. PHẦN MỀM

1. Định dạng ổ đĩa cài đặt HĐH Windows Server 2003

- Partition cài đặt Exchange Server 2003 phải có định dạng là : NTFS

2. Yêu cầu về hệ điều hành:

- Windows Server 2003

3. Những thành phần khác phải cài đặt trên server trước khi cài Exchange Server 2007

Để cài đặt Exchange Server 2007 trên máy tính phải cài Hệ điều hành Windows 2003

Server Service Pack 1 trở lên phải cài đặt hệ thống tên miền (Domain Name System),

các Components và dịch vụ của Windows như:

- ASP.NET

- Internet Information Services (IIS) (bỏ qua SMTP và NNTP )

- World Wide Web Publishing Service

III. MÔ HÌNH TỔNG QUAN VỀ MICROSOFT EXCHANGE SERVER 2007

MÔ HÌNH TỔNG QUAN:



1. Client Access Server Role

2. Edge Transport Server Role

3. Hub Transport Server Role

4. Mailbox Server Role

5. Unified Messaging Server Role

Để có thể triển khai một hệ thống mail Exchange server hoàn chỉnh yêu cầu bạn phải

nắm vững khái niệm và chức năng của từng Role.

1. Client Access Server Role:

Role này chấp nhận các kết nối từ hệ thống mail Exchange của bạn đến mail clients

khác(Non MAPI). Các phần mềm mail clients như Outlook Express và Eudora dùng

POP3 hoặc IMAP4 để giao tiếp với Exchange Server. Các thiết bị di động như

mobiles, PDA... dùng ActiveSync, POP3 hoặc IMAP4 để giao tiếp với hệ thống

Exchange.Như vậy, chúng ta nhận thấy, bên cạnh việc hỗ trợ MAPI và HTTP clients,

Echange Server 2007 còn hỗ trợ POP3 và IMAP4. Theo mặc định thì POP3 và IMAP4

sẽ được cài đặt khi bạn cài Client Access Server Role.

2. Edge Transport Server Role:

Edge Transport Server Role là 1 server chuyên dùng trong việc security, có chức năng

lọc Anti-Virus và Anti-Spam, nó gần giống như Hub Transport nhưng Edge Transport

không có nhiệm vụ vận chuyển mail trong nội bộ mà nó chỉ làm nhiệm vụ bảo vệ hệ

thống Email server. Tất cả mọi e-mail trước khi vào hay ra khỏi hệ thống đều phải qua

Edge Transport . Edge Trasport chỉ có thể cài trên một Stand-Alone Server và không

thể cài chung với các role khác(Mailbox,Client Access,Hub Transport...) 3. Hub Transport Server Role:



Hub Transport Server Role có nhiệm vụ chính là vận chuyển Email trong hệ thống

Exchange. Tại Hub Transport chúng ta có thể cấu hình các email policy ( sửa, thêm,

hoặc thay đổi ...) trước khi vận chuyển email đi. Những email được gửi ra ngoài

Internet đầu tiên sẽ được chuyển tiếp đến Hub Transport, sau đó sẽ qua Edge

Transport để lọc Antivirus và Spam, và cuối cùng mới chuyển tiếp ra ngoài Internet.

Như vậy, tóm lại, chúng ta có thể hiểu như sau:

- Edge Transport: Chịu trách nhiệm vận chuyển email mesage với các hệ

thống bên ngoài - đóng vai trò như gateway.(đối ngoại)

- Hub Transport: Chịu trách nhiệm vận chuyển email message trong nội bộ và

chuyển các email message gửi ra ngoài.(đối nội+ đối ngoại)

4. Mailbox Server Role:

Mailbox Server Role chứa tất cả các Mailbox database và Public Folder database. Nó

cung cấp những dịch vụ về chính sách địa chỉ email và danh sách địa chỉ dành cho

người nhận.



Hình 2 – Mối quan hệ giữa Mailbox Server Role và các Server Role khác

1. Mailbox Server truy cập vào AD để lấy thông tin của đối tượng (Mailbox user....)

2. Hệ thống lưu trữ trên Hub Transport sẽ giữ lá mail này lại.

3. Client Access Server Role gửi yêu cầu từ clients đến Mailbox Server Role, và sau

đó lấy dữ liệu từ Mailbox Server Role về.

4. Unified Messaging Server Role sẽ phân loại voice email và thông tin về cho

Outlook Voice Access.

5-6. Outlook clients ở trong mạng nội bộ có thể truy cập trực tiếp Mailbox Server để

gửi và nhận mail. Outlook Clients ở ngòai Internet có thể truy cập Mailbox server

bằng cách dùng RPC over HTTP.

5. Unified Messaging Server Role:

Unified Messaging là một chức năng mới trong hệ thống Microsoft Exchange Server

2007. Hỗ trợ e-mail, voice-mail, máy fax, lịch, danh sách các việc cần làm từ bất kỳ

thiết bị nào (gồm cả điện thoại).Unified Messaging được xây dựng trong cả hai lĩnh

vực: Outlook Voice Access và các khả năng hỗ trợ truy cập không dây. 5.1 Outlook Voice Access

Có lẽ thành phần quan trọng nhất đối với người dùng là Outlook Voice Access, một

chương trình bổ sung tuyệt vời trong Exchange Server 2007. Chương trình này chủ

yếu kết nối dữ liệu từ hộp mailbox Exchange của người dùng với các khả năng lời nói

nhúng trong sản phẩm dịch vụ. (Các khả năng lời nói dựa vào phiên bản „chì‟ của

Microsoft Speech Server). Người dùng có thể quay số cổng Exchange, nhập mã số uỷ

nhiệm và kết nối với bộ lịch hay thư điện tử trong hộp Inbox. Outlook Voice Access sẽ

đọc e-mail, thư trong máy fax, chi tiết lịch, thông tin liên hệ, giống như qua điện thoại.

Chương trình này không phải là giải pháp một chiều. Outlook Voice Access còn trả lời

các câu lệnh bằng lời, giống như một người thư ký tự động tận tuỵ. Chẳng hạn chuyến

bay của bạn bị trễ hai tiếng, bạn có thể nói với Outlook Voice Access qua điện thoại,

nó sẽ thông báo với khách hàng đang đợi bạn sắp xếp lại cuộc gặp trễ sau hai tiếng.

Bạn cũng có thể gọi vào và xoá chương trình làm việc trong một khoảng thời gian nhất

định hoặc toàn bộ một ngày. Exchange sẽ cho phép người tham gia buổi gặp gỡ biết sự

vắng mặt của bạn bằng kiểu giải thích qua âm thanh. Bạn vẫn có thể thực hiện các

chức năng quản lý mailbox thông thường như trả lời và xoá thư qua điện thoại từ bất

cứ địa điểm nào.

5.2 Tƣơng thích và các khả năng không dây

Người dùng thiết bị Windows Mobile cơ sở sẽ hứng thú với quyền truy cập tăng và tốc

độ thực thi tốt hơn. Tính năng trong Windows Mobile được đồng bộ hoá với hộp

mailbox của Exchange Server 2007, platform ActiveSync được nâng cấp. Microsoft

đăng ký bản quyền ActiveSync trước các hãng điện thoại di động khác. Mục đích của

công ty là tạo ra khả năng đồng bộ Exchange với các platform thiết bị, không chỉ của

Windows Mobile.



CHƢƠNG X

CÀI ĐẶT EXCHANGE SERVER 2007 Để bắt đầu cài đặt Exchange Server 2007 yêu cầu ta phải cài đặt DNS, Active

Directory hoàn chỉnh rồi. Ta cài đặt các dịch vụ đi kèm của Exchang 2007

I. Install các chƣơng trình cần thiết hỗ trợ cho việc cài đặt Exchange 2k7 Install net framework 2.0

Install MMC 3.0

Install MS Powershell 3.0

Install hotfix cho net frameword 2.0

Cài đặt outlook 2007

II. Thực hiện các bƣớc

8.2.1 Máy làm domain controller : cấu hình DNS lên Domain ( bỏ Password

policy) 8.2.2 Raise domain functional level

1. Vào Run, gõ vào

dsa.msc OK

2.Màn hình Active

Directory User and

Computers mở ra

click phải lên tên

Domain chon

Raise domain

functional level



Mail Exchange 2007.

3.Trong Select an

Available Domain

Functional level click

mũi tên chọn

windows server 2003

click Raise

theo

ta ch

5.Click OK



1. Instanll

Net.frame work 2.0:

Dotnetfx2.0.exe

Next

2.

e

terms of the license

agreement Install

3. Màn hình

setup của .net

framework2.0 sau khi

xong chọn Finish

4. Install MMC chạy

file MMC 3.0 nhưng

nếu win 2k3 sp2 khỏi

cài ta cho qua



5. Install Powershell

3.0 chạy file Next

6.Nhấn I Agree và

nhấn Next chương

trình sẽ Install

7.Chọn Finish



Cài hotfix cho net framework 2.0

1.Cài Hotfix cho

net Framework 2.0

chọn install

chọn Ok

2.Click

I Accept

3.Click Ok

hình kế bên



III. Cài đặt Outlook 2007

1. Trong màn hình

nhập CD key vào

2.Check vào mục I

accept the terms….,

bấm continue

3.Check vào nút

Install Now

4. Quá trình Install

đang diễn ra



5.Bấm nút Close để

hoàn tất chương trình

Outlook 2007

Chú ý: Sau khi cài xong Outlook, tiếp tục setup Mail Exchange 2007

IV. Cài đặt Exchange 2007

1.Sau khi cài đặt xong

các dịch vụ ta install

Exchange Sever 2007

:( phiên bản 120

ngày)chạy file

Setup.exe click lên

step 4 : Install

Microsoft Exchange

2.Sau khi Exchange

2k7 chạy sẽ xuất hiện

màn hình ta nhấn

Next.

Accept Next trong

màn hình error

reporting nhấn No và

click Next



4.Trong màn hình

Installation Type

chọn Type Exchange

Install (default)

Next

5.Trong màn hình

Exhange Organization

nhập vào tên mà mình

muốn đặt ví dụ :

Visclab Next

6.Trong màn hình

Client Setting chọn

Yes Next

7.Trong màn hình

Readiness Checks đợi

trong vài phút để

chương trình setup

kiểm tra lại toàn bộ hệ

thống nếu hoàn tất nó

sẽ xuất hiện ta chọn

Install



8.Nếu nó hoàn tất các

chương trình setup

các mục sẽ xuất hiện

màu xanh sau khi

Install xong nhấp

Finish

9.Sau khi xong

n

.



CHƢƠNG XI

CÁC TIỆN ÍCH CỦA EXCHANGE 2007 I. Tạo Send Connector để gửi ra Internet

1. Mở Exchange

Mangememt Console

Organizaation

Configuration

Hub Transport

Chọn tab Send

Connector

2.Click phải lên vùng

bên phải màn hình

trống Chọn

New Connector

3.Hộp thoại

New SMTP Send

Connector xuất hiện

trong dòng Name :

Gõ vào tên mình

muốn đặt Ví dụ: send

to internet

Next



4.Trong Add Address

Space click Add

5.Trong dòng domain

nhập vào ký tự * (dấu

sao). Đánh dấu chọn

vào ô Include All

Subdomain OK

6.Click chọn Next

7. Ta chọn Use

Domain Name

System (DNS) “MX”

Records to Route

Mail Automatically

Next



8.Ta Click chọn Next

9. Ta nhấp chọn

Finish

10.Trong màn hình

cửa sổ của Send

Connector sẽ xuất

hiện



II. Tạo receive connentor để nhận Mail.

1.Mở Exchange

Mangement Console

Server

Configuration

Hub Transport chọn

tab Receive

connector click phải

lên Default Sever (đã

đặt từ trước) chọn

Propertives

2.Chọn thanh tab

Authentication xuất

hiện các thanh công

cụ ta bỏ chọn ô offer

basic Authentication

only after starting

TLS

3.Qua tab

Permission Group

đánh dấu vào ô

Anonymous User

Apply OK



III. Dùng MS Outlook 2007 cấu hình Mail Clientcho Administrator

1.Vào menu

Start Setting

Control Panel

Mail

2.Màn hình xuất

hiện bảng mail

setup – outlook

chọn tab Show

Profiles....

3.Xuất hiện bảng

Mail:

Chọn mục

Always Use This

Profile

Chọn tab Add


New Profile ở

mục Profile

Name điền tên

Administrator

(user ) OK



Exchange Sever) hoặc đánh dấu chọn ô Manually Configure Sever

6.Click Microsoft Exchange Next


Add New E-mail

Account check

Name Next

Finish

Click OK (trong

Microsoft

Exchange Setting

tại dòng Microsoft

Exchange Sever

nhập vào tên user

đang cấu hình

trong trường hợp

này là

Administrator)

8.Sau đó Admin tự gửi thư cho mình được .

Documents

Giao Trinh ISA