ISA Server Firewall 2004

GI I THI U CÔNG TY C PH N CÁC GI I PHÁP M NG VI T NAMCông ty Các gi i pháp m ng vi t nam (Vietnam network solution company ) c thành l p theo gi yphép kinh doanh s 0103009140 c a S K ho ch và u t Hà N i

I. L nh v c ho t ng c a Công ty bao g m:- Nghiên c u, phát tri n và ng d ng các gi i pháp mang tính t ng th trong l nh v c tin h c và

vi n thông c bi t là các công ngh phát tri n trên n n Internet v i các ng d ng Web, các gi i

pháp IT úng d ng cho h th ng thông tin và qu n lý doanh nghi p.

- Cung c p thi t b , ph n m m cho m ng LAN, WAN ph c v các doanh nghi p, t ch c.

- Cung c p các d ch v ào t o t v n v n các gi i pháp v công ngh thông tin, vi t ph n m m theo yêu

u, thi t k website và qu ng cáo trên m ng

i ng nhân viên và c ng tác viên c a Công ty có trình chuyên môn cao, kinh nghi m trong

nh v c chuyên môn.

Ph ng châm ho t ng c a chúng tôi là luôn luôn mang n khách hàng nh ng gi i

pháp m i nh t, d ch v t t nh t v i ch t l ng cao, mang tính t ng th v i giá c h p lý.

1. ng ký tên mi n, cho thuê máy ch , Thi t k và l p trình Web.Website ã và ang tr thành m t công c h u hi u trong ho t ng kinh doanh và phát tri n

a m i doanh nghi p.

hi n chúng tôi ang cung c p nh ng d ch v sau:

§ ng ký tên mi n:

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC) ISA 2004 Server Firewall 2004

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531http://www.giaiphapmang.net Email: [email protected]

Tên mi n trên Internet c ng gi ng nh tên doanh nghi p B n trên th tr ng.

VNSC cung c p d ch v ng ký tên mi n trên Internet, ch m t ngày sau khi nh n c

yêu c u c a B n, chúng tôi s hoàn t t các th t c b n có th có c m t tên mi n theo

úng ý mình.

§ Cho thuê máy ch :

Website có th truy c p t kh p n i trên th gi i c n c l u tr trên m t máy ch tin

y và có tính n ng h tr cho vi c c p nh t ho c thay i thông tin trên các trang Web có

n, m c cho thuê s d ng các trang cá nhân n hosting cho các trang th ng m i n t ,

ho c cho thuê c Server riêng.

Máy ch c a VNSC có t c cao, b ng thông r ng. VNSC cam k t s mang l i cho b n s

tin t ng và ti n d ng t các tính n ng h tr ng i dùng.

§ Thi t k Web:

d ng công ngh tiên ti n thi t k và l p trình Web, ti n cho vi c s d ng, gây n

ng và t c truy c p nhanh. Các ch ng trình hi n nay th ng s d ng là Flash,

Frontpage, Dreamware…, các ngôn ng l p trình nh ASP, PHP, JSP…

Vi c thi t k u do các nhân viên chuyên ngành M thu t Công nghi p có kinh nghi m và

sáng t o th c hi n.

§ Web advertising:

Ngoài vi c thi t k , l p trình Web, chúng tôi còn cung c p các d ch v t v n, l p k ho ch

qu ng cáo b ng Web ho c b ng Email, qu ng cáo Logo, h tr khách hàng bán hàng qua

ng. v…v…

2. Cung c p các gi i pháp m ng LAN, WAN:§ Thi t k và thi công, l p t m ng LAN/WAN t n gi n n ph c t p. a ra các gi i

pháp h p lý, n nh kinh t theo chu n c a c a các hãng n i ti ng trên th gi i nh Cisco

System, Microsoft… cho các h th ng m ng trong doanh nghi p, n v .

§ Cung c p các ph n m m cho h th ng, các ph n m m ng d ng cho m ng LAN/WAN cho

phép qu n lý toàn b h th ng tin c a công ty m t cách hi u qu và ti n l i nh t.

§ Các gi i pháp v c s h t ng ph c v cho ho t ng tác nghi p nh : gi i pháp g i n

tho i qua m ng internet ( VOIP), H i ngh truy n hình qua m ng (Video Conference), Các

gi i pháp v giám sát b o v qua m ng (CameraNet)….

3. Cung c p các gi i pháp Ph n m m:§ Cung c p và ào t o áp d ng các gi i pháp t ng th v các gi i pháp qu n lý d a trên n n

ng là công ngh thông tin nh : Qu n tr ngu n l c doanh nghi p(ERP); Qu n lý s n

xu t; Qu n lý quan h khách hàng (CRM); Qu n lý thi t b ( Equipment management),

Qu n lý h th ng ISO tr c tuy n, Qu n lý kho, và các gi i pháp khác theo yêu c u c a

khách hàng

§ v n xây d ng và h tr áp d ng các ph m m m v qu n lý doanh nghi p nh : Qu n lý

nhân s ; K toán máy….

§ Ph n m m Newsletters cho phép g i nhi u th n t .

§ Ph n m m báo n t , cho phép cung c p thông tin báo chí trên m ng hàng ngày. Ngôn

ng xây d ng b ng PHP t trên n n máy ch Linux b o m t.

http://www.vnsc.com.vn

http://www.giaiphapmang.net

mailto:[email protected]



§ Ph n m m E-commerce: Cho phép th c hi n kinh doanh trên m ng, bao g m c vi c t

hàng, tính giá cho s n ph m, tính giá v n t i (b ng Fedex, UPS ho c DHL) t i h u h t các

qu c gia trên th gi i.

§ Ph n m m ng d ng qu n lý v n phòng cho phép :

- Chia s m t s hòm th n t .

- Chia s c s d li u v v n b n, qu n lý nhân s , qu n lý h th ng thông tin doanh

nghi p, qu n lý ch ng trình làm vi c, qu n lý công v n, h p ng r t h u ích.

4. Cung c p các thi t b tin h c:

VNSC là i lý bán hàng c a các hãng máy tính n i ti ng trên th gi i nh : IBM, COMPAQ,

3COM, DELL, Disco System… ây là m t l i th cho phép công ty có kh n ng cung c p cho

khách hàng các gi i pháp t ng th v tin h c v i giá c nh tranh.

5. ào t o công ngh thông tin

V i i ng các chuyên gia v công ngh thông tin hàng u, có nhi u kinh nghi m gi ng d y

chúng tôi cung c p các d ch v ào t o công ngh thông tin t i doanh nghi p nh :

ào t o v tin h c v n phòng, các ph n m m ng d ng nh Photoshop, Corel, auto CAD,

CAM….. t c b n n nâng cao

ào t o qu n tr m ng, qu n tr h th ng, qu n tr c s d li u, thi t k website, h a….






Cài t và c u hình ISA Server Firewall 2004 (chapter 1)

GI I THI U:

Trong th c t hi n nay b o m t thông tin ang óngt vai trò thi t y u ch không còn là “th y u” trongi ho t ng liên quan n vi c ng d ng công ngh

thông tin. Tôi mu n nói n vai trò to l n c a vi c ngng CNTT ã và ang di n ra sôi ng, không ch

thu n túy là nh ng công c (Hardware, software), màth c s ã c xem nh là gi i pháp cho nhi u v n

. Kh i ng t nh ng n m u th p niên 90, v it s ít chuyên gia v CNTT, nh ng hi u bi t cònn ch và a CNTT ng d ng trong các ho t ngn xu t, giao d ch, qu n lý còn khá khiêm t n và chng l i m c công c , và ôi khi tôi còn nh n th y

nh ng công c “ t ti n” này còn gây m t s c n tr ,không em l i nh ng hi u qu thi t th c cho nh ng T ch c s d ng nó. Và nh ng ai “ch n

n” nh t thì l i t h i mình “mua cái thi t b làm gì nh ?! nó không s n xu t ra cn ph m, và nó c ng ch ng giúp công vi c gi y t gi m b t là bao, li u chúng ta ã t n

hao m t s ti n vô ích?!..”” . Không âu xa nh ng n c láng gi ng khu v c nh Thailand,Singapore, nh ng n n kinh t m nh trong khu v c và ang trên à phát tri n m nh m .Nh n th c c s u vi t c a ng d ng CNTT, và t r t s m h ã em CNNT áp d ng vào

i ho t ng, không ch s n xu t, giao d ch, qu n lý mà CNTT c mang n m i nhà,i ng i . Và h c ng h c thành th c nh ng k n ng gi i quy t và u khi n công vi c

t sáng t o t các “v khí” tân th i này. âu ó trong trích n “Con ng Phía tr c”a Bill Gates có nói n giá tr to l n c a thông tin trong th k 21, m t k nguyên thông tin

ích th c. Th c th quý giá “phi v t ch t” này, ang d n tr thành m t i t ng c s nlùng, c ki m soát g t gao, và c ng là b phóng cho t t c nh ng qu c gia mu n pháttri n m t cách m nh m , nhanh chóng và “b n v ng”. C n có nh ng h th ng m nh mnh t ki m soát thông tin, sáng t o thông tin và em nh ng thông tin này vào ng d ng

t cách có hi u qu . Th gi i b c trong th k 21 dùng bàn p CNTT t o l c b y vàng là d n ng cho các ho t ng, cho m i ng i xích l i g n nhau h n, khi n cho

nh ng cách bi t a Lý không còn t n t i, d dàng hi u nhau h n và trao i v i nhaunh ng gì có giá tr nh t, c bi t nh t.

ng d ng công ngh thông tin m t cách có hi u qu và “b n v ng”, là tiêu chí hàng ua nhi u qu c gia hi n nay, Vi t Nam không là ngo i l . Xét trên bình di n m t doanh

nghi p khi ng d ng CNTT vào s n xu t, kinh doanh c ng luôn mong mu n có c unày. Tính hi u qu là u b t bu c, và s “b n v ng” c ng là t t y u. D i góc nhìn c a

t chuyên gia v b o m t h th ng, khi tri n khai m t h th ng thông tin và xây d ngc c ch b o v ch t ch , an toàn, nh v y là góp ph n duy trì tính “b n v ng” cho h

th ng thông tin c a doanh nghi p ó. Và t t c chúng ta u hi u r ng giá tr thông tin c adoanh nghi p là tài s n vô giá. Không ch thu n túy v v t ch t, nh ng giá tr khác khôngth o m c nh uy tín c a h v i khách hàng s ra sao, n u nh ng thông tin giao d ch

i khách hàng b ánh c p, r i sau ó b l i d ng v i nh ng m c ích khác nhau..Hacker,attacker, virus, worm, phishing, nh ng khái ni m này gi ây không còn xa l , và th c slà m i lo ng i hàng u c a t t c các h th ng thông tin (PCs, Enterprise Networks,Internet, etc..). Và chính vì v y, t t c nh ng h th ng này c n trang b nh ng công c

nh, am hi u cách x lý i phó v i nh ng th l c en áng s ó. Ai t o ra b c t nga m nh này có th “thiêu cháy” m i ý xâm nh p?! Xin th a r ng tr c h t ó là

ý th c s d ng máy tính an toàn c a t t c m i nhân viên trong m t T ch c, s am hi utinh t ng c a các Security Admin trong T ch c ó, và cu i cùng là nh ng công c c l c






nh t ph c v cho “cu c chi n” này. ó là các Firewall, t Personal Firewall b o v cho t ngComputer cho n các Enterprise Firewall có kh n ng b o v toàn h th ng Network c a

t T ch c. Và Microsoft ISA Server 2004 là m t Enterprise Firewall nh th ! M t s nph m t t và là ng i b n tin c y b o v an toàn cho các h th ng thông tin.

CH NG 1: H ng d n s d ng

CH NG 2: Cài t Certificate Services

CH NG 3: Cài t và c u hình Microsoft Internet Authentication Service

CH NG 4: Cài t và c u hình Micosoft DHCP và WINS Server Service

CH NG 5: C u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxyvà Firewall Client

CH NG 6: Cài t và c u hình DNS Server v i tính n ng Caching-only trênPerimeter Network

CH NG 7: Cài t ISA Server 2004 trên Windows Server 2003

CH NG 8: Sao l u và ph c h i c u hình Firewall

CH NG 9: n gi n hóa c u hình Network v i các Network Templates

CH NG 10: C u hình các lo i ISA Clients: SecureNAT, Web Proxy và FirewallClient

CH NG 11: C u hình các chính sách trên Firewall v i ISA Server 2004 AccessPolicy

CH NG 12: Ti n hành Publish các Service trên Perimeter Network ra bên ngoàinh : Web, Ftp Server

CH NG 13: C u hình Firewall óng vai trò Filtering SMTP Relay

CH NG 14: Ti n hành publish Exchange Outlook Web Access, SMTP Server vàPOP3 Server Sites.

CH NG 15: C u hình VPN Server trên ISA Server 2004

CH NG 16: T o m t Site to Site VPN trên các ISA Server 2004 Firewalls






CH NG 1:Tri n khai t ng Network v i nh ng Service thi t y u

Cu n sách c trình bày theo th c t tri n khai ISA Server 2004 trong mô hình Networka m t T ch c. N i dung c a sách gói g n trong các v n c u hình h th ng ISA Server

2004 tr thành m t Firewall m nh mà v n áp ng c các yêu c u s d ng các Service xa, ph c v cho c các ISA Clients bên trong truy c p các Service bên ngoài (Internet),n các Client bên ngoài (Internet Clients) c n truy c p các Service bên trong Network T

ch c.

Firewalls luôn là m t trong các lo i thi t b Network c u hình ph c t p nh t và duy trì ho tng c a nó b o v Network c ng g p không ít th thách cho các Security Admin. C n

có nh ng ki n th c c b n v TCP/IP và các Network Services hi u rõ m t Firewall làmvi c nh th nào. Tuy nhiên c ng không nh t thi t ph i tr thành m t chuyên gia v h

ng Network (Network Infrastructure ) m i có th s d ng c ISA Server 2004 nh m tNetwork Firewall.

Ch ng này s mô t các v n sau:• Giúp b n hi u các tính n ng có m t trên ISA Server 2004• Cung c p nh ng l i khuyên c th khi dùng tài li u c u hình ISA Server 2004 Firewall• Mô t chi ti t th c hành tri n khai ( ISA SERVER 2004 Lab Configuration)

Hi u các tính n ng trên ISA Server 2004

ISA Server 2004 c thi t k b o v Network, ch ng các xâm nh p t bên ngoài l nki m soát các truy c p t bên trong N i b Network c a m t T ch c. ISA Server 2004Firewall làm u này thông qua c ch u khi n nh ng gì có th c phép qua Firewallvà nh ng gì s b ng n ch n. Chúng ta hình dung n gi n nh sau: Có m t quy t c cáp t trên Firewall cho phép thông tin c truy n qua Firewall, sau ó nh ng thông tinnày s c “Pass” qua, và ng c l i n u không có b t kì quy t c nào cho phép nh ngthông tin y truy n qua, nh ng thông tin này s b Firewall ch n l i. ISA Server 2004 Firewall ch a nhi u tính n ng mà các Security Admin có th dùng m

o an toàn cho vi c truy c p Internet, và c ng b o m an ninh cho các tài nguyên trongi b Network . Cu n sách cung c p cho các Security Admin hi u c nh ng khái ni mng quát và dùng nh ng tính n ng ph bi n, c thù nh t trên ISA Server 2004, thông qua

nh ng b c h ng d n c th (Steps by Steps)Firewalls không làm vi c trong m t môi tr ng “chân không”, vì n gi n là chúng ta tri nkhai Firewall b o v m t cái gì ó, có th là m t PC, m t Server hay c m t h th ngNetwork v i nhi u Service c tri n khai nh Web, Mail, Database….Chúng ta s có m t h ng d n y v vi c tri n khai các Service c n thi t cho ho t ngNetwork c a m t T ch c. cách th c cài t và c u hình nh ng Service này nh th nào. Và

u t i quan tr ng là Network và các Service ph i c c u hình úng cách tr c khi tri nkhai Firewall. u này giúp chúng ta tránh c nh ng v n phi n toái n y sinh khi tri nkhai ISA Server 2004.Các Network Services và nh ng tính n ng trên ISA Server 2004 s c cài t và c u hình

m:• Cài t và c u hình Microsoft Certificate Services (Service cung c p các Ch ng t k thu t

ph c v nh n d ng an toàn khi giao d ch trên Network)• Cài t và c u hình Microsoft Internet Authentication Services (RADIUS) Service xác th can toàn cho các truy c p t xa thông qua các remote connections (Dial-up ho c VPN)






• Cài t và c u hình Microsoft DHCP Services (Service cung c p các xác l p TCP/IP cho cácnode trên Network) và WINS Services (Service cung c p gi i pháp truy v n NETBIOS name

a các Computer trên Network)• C u hình các WPAD entries trong DNS h tr ch c n ng Autodiscovery (t ng khámphá)) và Autoconfiguration (t ng c u hình) cho Web Proxy và Firewall clients. R t thu n

i cho các ISA Clients (Web và Firewall clients) trong m t T ch c khi h ph i mangComputer t m t Network (có m t ISA Server) n Network khác (có ISA Server khác) mà

n t ng phát hi n và làm vi c c v i Web Proxy Service và Firewall Service trên ISAServer này .• Cài t Microsoft DNS server trên Perimeter Network server (Network ch a các Servercung c p tr c tuy n cho các Clients bên ngoài, n m sau Firewall, nh ng c ng tách bi t v iLAN)• Cài t ISA Server 2004 Firewall software• Back up và ph c h i thông tin c u hình c a ISA Server 2004 Firewall• Dùng các mô hình m u c a ISA Server 2004 ( ISA Server 2004 Network Templates)

u hình Firewall• C u hình các lo i ISA Server 2004 clients• T o các chính sách truy c p (Access Policy) trên ISA Server 2004 Firewall• Publish Web Server trên m t Perimeter Network• Dùng ISA Server 2004 Firewall óng vai trò m t Spam filtering SMTP relay (tr m trungchuy n e-mails, có ch c n ng ng n ch n Spam mails)• Publish Microsoft Exchange Server services (h th ng Mail và làm vi c c ng tác c aMicrosoft, t ng t Lotus Notes c a IBM)• C u hình ISA Server 2004 Firewall óng vai trò m t VPN server• T o k t n i VPN theo ki u site to site gi a hai Networks

Tr c khi th c hành c u hình ISA Server 2004 Firewall, ph i nh n th c rõ ràng : ây là m t th ng ng n ch n các cu c t n công t Internet và m t Firewall v i c u hình l i s t ou ki n cho các cu c xâm nh p Network. V i nh ng lý do này, u quan tr ng nh t các

Security Admin quan tâm ó là Làm th nào c u hình Firewall m b o an toàn cho vi ctruy c p Internet .

i c u hình m c nh c a mình ISA Server 2004 ng n ch n t t c l u thông vào, ra quaFirewall.Rõ ràng ây là m t c u hình ch ng, an toàn nh t mà Admin có th yên tâm ngay t ukhi v n hành ISA Server. Và sau ó áp ng các y u c u h p pháp truy c p các Servicekhác nhau c a Internet (ví d nh web, mail, chat, download, game online v.vv..), SecurityAdmin s c u hình ISA Server 2004 có th áp ng các yêu c u c phép trên.Các Securty Admin luôn c khuy n cáo: Hãy t o các cu c ki m tra c u hình ISA Server2004 trong phòng Lab, tr c khi em các c u hình này áp d ng th c t . Chúng ta s c

ng d n c u hình ISA Server 2004 Firewall úng cách, chính xác thông qua giao di n làmvi c r t g n g i c a ISA Server 2004. Có th có nh ng sai l m khi th c hi n Lab, nh ng cácAdmin không qua lo l ng vì ch c r ng các attackers không th l i d ng nh ng l h ng này(tr khi Lab Network c k t n i v i Internet..). Trên Lab u quan tr ng nh t là hi uúng các thông s ã c u hình, cho phép sai ph m và các Admin rút ra kinh ghi m t chính

nh ng “mistakes” này.

LAB h ng d n c u hình ISA Server 2004 Firewall

Chúng ta s dùng m t Network Lab mô t nh ng kh n ng và nh ng nét c tr ng c aISA Server 2004. Các Admin khi th c hành nên xây d ng m t Test Lab t ng t nh môhình ch ra d i ây (t t c các thông s s d ng). N u các Security Admin không có cácthi t b th t nh Test Lab này, có th dùng mô hình gi l p, n t các Virtual Software nhMicrosoft’s Virtual PC software (ho c VMWare) t o mô hình Lab o. Xem thêm v Virtual PC t i Website: http://www.microsoft.com/windowsxp/virtualpc/




http://www.microsoft.com/windowsxp/virtualpc/



Trong ph n này, chúng ta s xem xét:

• H ng d n c u hình Network cho ISA Server 2004• Cài t Windows Server 2003 , và sau ó nâng (dcpromo) Computer này lên thành m t

Domain controller (máy ch ki m soát toàn ho t ng c a Domain)• Cài t Exchange Server 2003 trên Domain controller này và c u hình thành m t OutlookWeb Access Site dùng ph ng th c xác th c c b n (Basic authentication)

Network tri n khai ISA Server 2004

Mô hình Network Lab – 7Computers.

Tuy nhiên Network Lab không yêu c u c 7 Computers này ch y cùng m t th i mu này t o u ki n d dàng cho Lab c bi t là Lab o.

Mô hình Network c a T ch c này có m t Local Network (Network c c b LAN) và m tRemote Network. M i Network có m t ISA Server 2004 ch n phía tr c óng vai tròFirewall. T t c các Computers trên Local Network u là thành viên c a DomainMSFirewall.org, và domain này bao g m luôn c ISA Server 2004 Firewall computer. T t

các Computers còn l i không là thành viên c a Domain này.Trên lab Network, Network Card ngoài (External interfaces) c a các ISA Server 2004Firewalls có k t n i cho phép truy c p Internet. Các Admin nên t o các thông s c u hìnhgi ng nhau có th Test các k t n i th c s n Internet t phía Clients n m sau ISAServer 2004 Firewalls.

u chúng ta dùng ph n m m gi l p thì l u ý r ng, chúng ta ph i set-up n 3 VirtualNetworks trên Test Lab. ó là các Vitual Networks: Domain Controller n m trên Internal






Network, TRIHOMELAN1 Computer n m trên Perimeter Network và REMOTECLIENTvirtual Network th ba.

u ý v i Lab o: Ch c ch n m t u là trên các Virtual Networks này b trí các Computerstrên các Virtual Switches khác nhau, ng n ch n các thông tin tràn ng p theo ki uEthernet broadcast traffic, u này có th gây nên nh ng k t qu không mong mu n trênLab o..

Cài t và c u hình Domain Controller trên Internal Network

t Computer khác h n so v i ISA Server 2004 Firewall computer, có quy n l c qu n trtoàn Domain n i b ó là Domain Controller . Microsoft xây d ng mô hình Domain d i ski m soát c a Active Directory Service và Domain Controller là công c ki m soát Domainó. (qu n lý t t c các Clients và Servers cung c p Service trong Domain nh Web, Mail,

Database server và k c ISA Servers)Trong Lab này chúng ta s c u hình m t Windows Server 2003 domain controller, và tri nkhai luôn các Service nh : DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003trên chính Domain controller này.

Các giai n ti n hành:






• Cài t Windows Server 2003• Cài t và c u hình DNS service• Nâng Computer này lên thành Domain controller

Cài t Windows Server 2003

Ti n hành các b c sau trên Computer s óng vai trò Domain Controller1. a a CD cài t vào CD-ROM, kh i d ng l i Computer. Cho phép boot t CD2. Ch ng trình Windows setup b t u load nh ng Files ph c v cho vi c cài t. Nh n

Enter khi mà hình Welcome to Setup xu t hi n3. c nh ng u kho n v License trên Windows Licensing Agreement, dùng phím

PAGE DOWN xem h t sau ó nh n F8 ng ý v i u kho n4. Trên Windows Server 2003, Standard Edition Setup xu t hi n màn hình t o các

phân vùng lôgic (Partition) trên a c ng, tr c h t t o Partition dùng cho vi c cài t Hu hành. Trong Test Lab này, toàn b a c ng s ch làm m t Partition. Nh n ENTER.

5. Trên Windows Server 2003, Standard Edition Setup, ch n Format the partitionusing the NTFS file system Nh n ENTER.

6. Ch ng trình Windows Setup ti n hành nh d ng (format) a c ng, s ch ít phút choti n trình này hoàn thành

7. Computer s t Restart khi ti n trình copy File vào a c ng hoàn thành8. Computer s restart l i trong giao di n h a (graphic interface mode). Click Next trên

trang Regional and Language Options9. Trên trang Personalize Your Software, n Tên và T ch c c a B n

Ví d :Name: Nis.com.vnOrganization: Network Information Security Vietnam

10.Trên trang Product Key n vào 25 ch s c a Product Key mà b n có và click Next.11.Trên trang Licensing Modes ch n úng option c áp d ng cho version Windows

Server 2003 mà b n cài t. N u cài t Licence ch per server licensing, hãya vào s connections mà b n ã có License. Click Next.

12.Trên trang Computer Name và Administrator Password n tên c a Computertrong Computer Name text box. Theo các b c trong xây d ng Test Lab này, thìDomain controller/Exchange Server trên cùng Server và có tên làEXCHANGE2003BE, tên này c n vào Computer Name text box. n ti p vào

c Administrator password và xác nh n l i password t i m c Confirm password(ghi nh l i password administrator c n th n, n u không thì b n c ng không th log-onvào Server cho các ho t ng ti p theo). Click Next.

13.Trên trang Date and Time Settings xác l p chính xác Ngày, gi và múi gi Vi t Nam(n u các b n Vi t Nam). Click Next.

14.Trên trang Networking Settings, ch n Custom settings option.15.Trên trang Network Components, ch n Internet Protocol (TCP/IP) entry trong

Components và click Properties.16.Trong Internet Protocol (TCP/IP) Properties dialog box, xác l p các thông s sau:

IP address: 10.0.0.2.Subnet mask: 255.255.255.0.Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này c ng là IP address

a Internal Card trênISA Server).Preferred DNS server: 10.0.0.2.

17.Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. TrongAdvanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add.Trong TCP/IP WINS Server dialog box, n 10.0.0.2 và click Add.

18.Click OK trong Advanced TCP/IP Settings dialog box.19.Click OK trong Internet Protocol (TCP/IP) Properties dialog box.20.Click Next trên trang Networking Components.






21.Ch p nh n l a ch n m c nh môi tr ng Network là Workgroup (chúng ta s t o môitr ng Domain sau, a máy này tr thành m t Domain controller và c ng là thành viên

a Domain (là m t member server, vì trên Server này còn cài thêm nhi u ServerService khác ngoài Active Directory Service).Click Next.

22.Ti n trình cài t c ti p t c và khi Finish, Computer s t kh i ng l i23.Log-on l n u tiên vào Windows Server 2003 dùng password mà chúng ta ã t o cho

tài kho n Administrator trong quá trình Setup.24.Xu t hi n u tiên trên màn hình là trang Manage Your Server, n nên check vào

Don’t display this page at logon checkbox và óng c a s Window l i

Cài t và c u hình DNS

c k ti p là cài t Domain Naming System (DNS) server trên chính Computer này(EXCHANGE2003BE ). u này là c n thi t vì Active Directory Service ho t ng trênDomain Controller, ki m soát toàn Domain yêu c u ph i có DNS server service ph c v chonhu c u truy v n tên -hostname, ng kí các record (A, PTR, SRV records v.v..). Chúng ta

cài DNS server và sau ó s nâng vai trò Computer này lên thành m t DomainController, và DNS server này s ph c v cho toàn Domain.Ti n hành các b c sau cài t DNS server1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trong Windows Components, xem qua danh sách Components và click Networking

Services entry. Click Details.4. Check vào Domain Name System (DNS) checkbox và click OK.5. Click Next trong Windows Components.6. Click Finish trên Completing the Windows Components Wizard.7. óng Add or Remove Programs

DNS server ã c cài t, Admin c n a vào DNS Server các thông s c th ph c vcho ho t ng truy v n tên, c th là s t o ra hai vùng Forward và Reverse lookupzones.

Ti n hành các b c sau c u hình DNS server:

1. Click Start và sau ó click Administrative Tools. Click DNS.2. Trong b ng làm vi c c a DNS (DNS console), m r ng server name

(EXCHANGE2003BE ), sau ó click trên Reverse Lookup Zones. Right click trênReverse Lookup Zones và click New Zone.

3. Click Next trên Welcome to the New Zone Wizard.4. Trên Zone Type , ch n Primary zone option và click Next.5. Trên Reverse Lookup Zone Name page, ch n Network ID option và Enter 10.0.0 vào

text box. Click Next.6. Ch p nh n ch n l a m c nh trên Zone File page, và click Next.7. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic

updates option. Click Next.8. Click Finish trên Completing the New Zone Wizard page.

ti p chúng ta t o Forward lookup zone cho Domain mà Computer này s làDomain Controller.

Ti n hành các b c sau1. Right click Forward Lookup Zone và click New Zone.2. Click Next trên Welcome to the New Zone Wizard page.3. trên Zone Type page, ch n Primary zone option và click Next.






4. Trên Zone Name page, n tên c a forward lookup zone trong Zone name text box.Trong ví d này tên c a zone là MSFirewall.org, trùng v i tên c a Domain s t o saunày. a MSFirewall.org vào text box. Click Next.

5. Ch p nh n các xác l p m c nh trên Zone File page và click Next.6. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic

updates. Click Next.7. Click Finish trên Completing the New Zone Wizard page.8. M r ng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên

MSFirewall.org và Click New Host (A).9. Trong New Host dialog box, n vào chính xác EXCHANGE2003BE trong Name

(uses parent domain name if blank) text box. Trong IP address text box, n vào10.0.0.2. Check vào Create associated pointer (PTR) record checkbox. Click AddHost. Click OK trong DNS dialog box thông báo r ng (A) Record ã c t o xong. ClickDone trong New Host text box.

10. Right click trên MSFirewall.org forward lookup zone và click Properties. ClickName Servers tab. Click exchange2003be entry và click Edit.

11.Trong Server fully qualified domain name (FQDN) text box, n vào tên y c aDomain controller computer là exchange2003be.MSFirewall.org. Click Resolve. Snh n th y, IP address a Server xu t hi n trong IP address list. Click OK.

12. Click Apply và sau ó click OK trên MSFirewall.org Properties dialog box.13. Right click trên DNS server name EXCHANGE2003BE , ch n All Tasks. Click Restart.14. Close DNS console.

Gi ây Computer này ã s n sàng nâng vai trò lên Thành m t Domain controller trongDomain MSFirewall.orgTi n hành các b c sau t o Domain và nâng server này thành Domain Controller utiên c a Domain (Primary Domain Controller)

Cài t Primary Domain Controller

1. Click Start và click Run .2. Trong Run dialog box, ánh l nh dcpromo trong Open text box và click OK.3. Click Next trên Welcome to the Active Directory Installation Wizard page.4. Click Next trên Operating System Compatibility page.5. Trên Domain Controller Type page, ch n Domain controller for a new domain

option và click Next.6. Trên Create New Domain page, ch n Domain in a new forest option và click Next.7. Trên New Domain Name page, n tên y c a Domain (Full DNS name)

MSFirewall.org text box và click Next.8. Trên NetBIOS Domain Name page (NetBIOS name c a Domain nh m support cho các

Windows OS- nh các dòng Windows NT và WINDOWS 9x i c , khi các Client nàymu n giao d ch v i Domain), ch p nh n NetBIOS name m c nh

Trong ví d này là MSFIREWALL. Click Next.9. Ch p nh n các xác l p m c nh trên Database and Log Folders page và click Next.10. Trên Shared System Volume page, ch p nh n v trí l u tr m c nh và click Next.11.Trên DNS Registration Diagnostics page, ch n I will correct the problem later by

configuring DNS manually (Advanced). Click Next.12.Trên Permissions page, ch n Permissions compatible only with Windows 2000 or

Windows Server 2003 operating system option. Click Next.13.Trên Directory Services Restore Mode Administrator Password page (ch ph c

i cho Domain Controller khi DC này g p ph i s c , Khi DC offline, vào chtroubleshoot này b ng cach1 Restart Computer, ch n F8), n vào Restore ModePassword và sau ó Confirm password. (Các Admin không nên nh m l n Password






ch này v i Domain Administrator Password, u khi n ho t ng c a DCs ho cDomain). Click Next.

14.Trên Summary page, click Next.15.Bây gi là lúc Computer c n Restart các thông s v a cài t Active16.Click Finish trên Completing the Active Directory Installation Wizard page, hoàn

thành vi c cài t.17.Click Restart Now trên Active Directory Installation Wizard page.18.Log-on vào Domain Controller dùng tài kho n Administrator sau khi ã Restart.

Cài t và c u hình Microsoft Exchange trên Domain Controller

Computer ã s n sàng cho vi c cài t Microsoft Exchange. Trong ph n này chúng ta sti n hành nh ng b c sau:• Cài t các Service IIS World Wide Web, SMTP và NNTP services• Cài t Microsoft Exchange Server 2003• C u hình Outlook Web Access WebSiteTi n hành các b c sau cài World Wide Web, SMTP và NNTP services:1. Click Start, ch n Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, ch n Application Server entry trong Components

page. Click Details.4. Trong Application Server dialog box, check vào ASP.NET checkbox. Ch n Internet

Information Services (IIS) entry và click Details.5. Trong Internet Information Services (IIS) dialog box, check vào NNTP Service

checkbox. Check ti p SMTP Service checkbox. Click OK.6. Click OK trong Application Server dialog box.7. Click Next trên Windows Components page.8. Click OK vào Insert Disk dialog box.9. Trong Files Needed dialog box, a ng d n n Folder I386 trên CD cài t

Windows Server 2003 trong copy file t text box. Click OK.10. Click Finish trên Completing the Windows Components Wizard page.11. Close Add or Remove Programs .

Ti n hành các b c sau cài Microsoft Exchange:

1. a Exchange Server 2003 CD vào CD-ROM, trên autorun page, click ExchangeDeployment Tools link n m d i Deployment heading.

2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploy thefirst Exchange 2003 server link.

3. Trên Deploy the First Exchange 2003 Server page, click New Exchange 2003Installation link.

4. Trên New Exchange 2003 Installation page, kéo xu ng cu i trang.Click Run Setupnow link.

5. Trên Welcome to the Microsoft Exchange Installation Wizard page, click Next.6. Trên License Agreement page, ch n I agree option và click Next.7. Ch p nh n các xác l p m c nh trên Component Selection page và click Next.8. Ch n Create a New Exchange Organization option trên Installation Type page và

click Next.9. Ch p nh n tên m c nh trong Organization Name text box trên Organization Name

page, và click Next.10.Trên Licensing Agreement page, ch n I agree that I have read and will be bound

by the license agreement for this product và click Next.11.Trên Installation Summary page, click Next.12.Trong Microsoft Exchange Installation Wizard dialog box, click OK.






13.Click Finish trên on the Completing the Microsoft Exchange Wizard page khi cài thoàn thành.

14. óng t t c c a s ang open.

Exchange Server ã c cài t và gi ây Admin có th t o các mailboxes cho Users.c k ti p là c u hình Outlook Web Access site và ch dùng ph ng th c xác th c duy

nh t là Basic Authentication. i v i các qu n tr Mail Server thì ây là m t c u hìnhquan tr ng (nh ng t t nhiên không b t bu c) khi mu n cho phép truy c p t xa (remoteaccess) vào OWA site. Sau ó, chúng ta s yêu c u m t Website Certificate (Ch ng t sWebsite) cho OWA site và publish OWA site dùng quy t c Web Publishing Rule trênISAServer, thông qua rule này, s cho phép remote users truy c p vào OWA site.

Ti n hành các b c sau c u hình OWA site dùng ph ng th c xác th c duy nh t Basicauthentication:1. Click Start, ch n Administrative Tools. Click Internet Information Services (IIS)

Manager.2. Trong Internet Information Services (IIS) Manager console, m r ng server

name, m r ng WebSites node Và m Default Web Site.3. Click trên Public node và sau ó right click. Click Properties.4. Trong Public Properties dialog box, click Directory Security tab.5. Trên Directory Security tab, click Edit trong khung Authentication and access

control.6. Trong Authentication Methods dialog box, m b o không check vào (remove)

Integrated Windows authentication checkbox. Click OK.7. Click Apply và click OK.8. Click trên Exchange node và right click. Click Properties.9. Trên Exchange Properties dialog box, click Directory Security tab.10.Trên Directory Security tab, click Edit trong Authentication and access control11.Trong Authentication Methods dialog box, m b o không check vào (remove)

Integrated Windows authentication checkbox. Click OK.12.Click Apply, click OK trong Exchange Properties dialog box.13.Click trên ExchWeb node,sau ó right click. Click Properties.14.Trong ExchWeb Properties dialog box, click Directory Security tab.15.Trên Directory Security tab, click Edit trong khung Authentication and access

control16.Trong Authentication Methods dialog box, không check (remove) vào Enable

anonymous access checkbox. Sau ó check vào Basic authentication (chú ý dùngph ng th c xác th c này, password c g i i d i d ng clear text) checkbox. ClickYes trong IIS Manager dialog box và Admin nh n c thông báo r ng password c

i i hoàn toàn không mã hóa (clear). Trong Default domain text box, a vào tênInternal Network domain, chính là MSFIREWALL. Click OK.

17.Click Apply trong ExchWeb Properties dialog box. Click OK trong InheritanceOverrides dialog box. Click OK trong ExchWeb Properties dialog box.

18. Right click Default Web Site và click Stop. Right click l i Default Web Site và clickStart.

t lu n:Trong sách h ng d n c u hình ISA Server 2004 này chúng ta ã th o lu n nh ng m c tiêuvà nh ng ph ng th c, có th n m b t tri n khai và c u hình ISA sao cho hi u qu nh t.Sách h ng d n c ng cung c p cho các b n ph ng pháp gi i quy t v n theo t ng b c

th . Ch ng m t này t p trung vào vi c xây d ng m t c s h t ng Network (NetworkInfrastructure) theo mô hình Microsoft Active Directory Domain trên máy ch Winndowsserver 2003 Domain Controller, và tri n khai các Service khác liên quan n h t ngNetwork nh WINS, DNS, và các Service gia t ng nh Web, Mail.. Ch ng k ti p trình bày






cách th c cài t m t Microsoft Certificate Services trên Domain ControllerComputer.






CH NG 2:Cài t Certificate Services

(Certificate services cung c p Ch ng t k thu t s cho các giao d ch Network)Microsoft Certificate Services có th c cài t trên Domain controller c a internalNetwork và cung c p các Certificates cho các Hosts trong Internal Network domain,

ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ngCertificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành:Microsoft Certificate Services có th c cài t trên Domain controller c a internalNetwork và cung c p các Certificates cho các Hosts trong Internal Network domain,

ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ngCertificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành:• Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol,

o liên k t site-to-site VPN.• Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol,

o u ki n cho VPN client th c hi n k t n i t m t Remote Location (site)• Cho phép remote users có th truy c p n Outlook Web Access site, ph ng th c

o m t m nh SSL-to- SSL bridged connections.• Publish secure Exchange SMTP và POP3 services lên Internet Certificates cho phépdùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là m t giao th c l psession (layer) có kh n ng mã hóa d li u truy n gi a client và server.SSL security hi n c xem là chu n cung c p an toàn cho các remote access n cácWebsites. Ngoài ra, certificates còn có th c dùng xác nh n các i t ng tham giacác k t n i VPN , bao g m VPN clients và VPN servers (ph ng pháp này g i là xác th c chai chi u- mutual Authentication)Trong ph n này chúng ta s c p n các ti n trình sau:• Cài t Internet Information Services 6.0 h tr Certificate Authority’s WebEnrollment ( nh n các Certificates t CA server thông qua hình th c ng kí trênCA’sWeb)• Cài t Microsoft Certificate Services ch Enterprise CA

Cài t Internet Information Services 6.0

Certificate Authority’s Web enrollment site s d ng Internet Information ServicesWorldWide Publishing Service. B i vì chúng ta ã cài IIS Web services , trong ch ng 1 khiti n hành cài Exchange 2003 h tr Outlook Web Access site, nên s không c n cài l i IISservice. Tuy nhiên, b n nên xác nh n l i WWW Publishing Service ã c Enabled,tr c khi ti n hành cài Enterprise CA.Thi hành các b c sau xác nh n WWW Publishing Service ang ch y trên domaincontroller:1. Click Start ch n Administrative Tools. Click Services.2. Trong Services console, click Standard tab phía d i. Kéo xu ng danh sách và double-

click vào World Wide Web Publishing Service .3. Trong World Wide Web Publishing Server Properties dialog box, xác nh n Startup

type là Automatic, và trang thái v n hành c a service là Started.






4. Click Cancel và óng Services console.

Nh v y WWW Publishing Service ã v n hành, b c ti p theo là cài t Enterprise CAsoftware.

Cài t Certificate Services ch Enterprise CA

Microsoft Certificate Services s c cài t ch này trên chính domain controller. Cónh ng thu n l i khi cài CA ch Enterprise mode (ng c l i v i Standalone mode) bao

m:• Ch ng t g c c a CA (root CA certificate) c t ng a vào vùng l u tr Certificate

a Trusted Root Certification Authorities (certificate store) trên t t c các máy thànhviên c a Domain (domain member). Các Computer thành viên c a Domain khi dùng cácgiao d ch c n Certificates nâng cao tính an toàn, có th d dàng tìm các nhà cung c p

p pháp- CA servers, trong Trusted Root Certification Authorities trên Computer c amình.• Các Clients này c ng d dàng dùng Certificates MMC snap-in (t i RUN, type mmc, ch nFile, Add/Remove snap-in, Add, ch n Certificates), và d dàng dùng snap-in này yêu c u certificates t CA Servers ho c t CA’s Websites• T t c các Computer trong Domain có th c phân chia Certificates ng lo t thông quatính n ng Active Directory autoenrollment feature

u ý r ng không nh t thi t ph i cài CA Enterprise mode. B n có th cài CA chStandalone mode, nh ng trong Lab này chúng ta s không c p standalone mode ho clàm th nào xin c p certificate t m t Standalone CA

Ti n hành các b c sau cài t Enterprise CA trên Domain ControllerEXCHANGE2003BE






1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo danh sách xu ng và check vào CertificateServices checkbox. Click Yes trong Microsoft Certificate Services dialog box, thông báo

ng informing “you may not change the name of the machine or the machine sdomain membership while it is acting as a CA”. Nh v y là r t rõ ràng B n không ththay i Computer Name ho c thay i t cách thành viên Domain c a Computer này, saukhi ã cài CA service.Click Yes.

4. Click Next trên Windows Components page.5. Trên CA Type page, ch n Enterprise root CA option và click Next.

6. Trên CA Identifying Information page, n tên cho CA server này trong Commonname a CA text box. Nên dùng tên d ng DNS host name c a domain controller. Thamkh o v c u hình DNS h tr ISA Serverhttp://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htmTrong text box này các b n n vào NetBIOS name c a domain controller làEXCHANGE2003BE. Click Next.




http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htm



7. N u Computer này tr c ây ã cài t m t CA, b n s c h i “you wish tooverwrite the existing key , ghi è lên các khóa ã t n t i. Còn n u b n ã tri n khaicác CA khác trên Network có th không nên overwrite các khóa hi n t i. Và n u ây là CA

u tiên, có th ch p nh n overwrite the existing key. Trong ví d này chúng ta tr c óã ch a cài CA trên Computer vì v y không nhìn th y dialog box thông báo nh trên

8. Trong Certificate Database Settings page, dùng v trí l u tr m c nh cho CertificateDatabase và Certificate database log text boxes. Click Next.9. Click Yes trong Microsoft Certificate Services dialog box, b n nh n c thông báoph i restart InternetInformation Services. Click Yes stop service. Service s c restart automatic.10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d n

n I386 folder trong Copy file from text box và click OK.11. Click Finish trên Completing the Windows Components Wizard page.12. óng Add or Remove Programs.

i th i m này Enterprise CA có th c p phát certificates cho các Computer khác trongDomain thông qua autoenrollment, Certificates mmc snap-in, ho c qua Webenrollment site. Trong h ng d n c u hình ISA Server 2004này, chúng ta s c p phát m t Web site certificate cho OWA Web site và c ng c p phátcác Computer certificates cho ISA Server 2004 Firewall computer và cho các externalVPNclient và VPN gateway (VPN router) machine.

t lu n:Trong ph n này chúng ta ã th o lu n v vi c dùng m t CA- Certificate Authority và làmth nào cài t m t Enterprise CA trên Domain controller trong internal Network. Vàti p theo chúng ta s dùng Enterprise CA c p Computer Certificates cho các VPN clientsvà servers, c ng c p luôn m t Web site certificate cho Exchange Server’s Outlook WebAccess Web site.






CH NG 3:Cài t và c u hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Server (IAS) là m t chu n thu c lo i RADIUS (RemoteAuthentication Dial In User Service) server c dùng xác th c Users k t n i n ISAServer 2004 Firewall machine. B n có th dùng IAS xác th c các Web Proxy clients trênInternal Network hay VPN clients, VPN gateways ang ti n hành k t n i t m t ExternalNetwork location (ví d nh t m t v n Phòng chi nhánh c a công ty). Ngoài ra, có thdùng RADIUS xác th c remote users khi nh ng i t ng này k t n i n các Web serversã c published thông qua Web Publishing rules trên ISA Server 2004u m chính c a vi c dùng RADIUS xác th c Web proxy và VPN connections là SA Server

2004 Firewall computer không c n ph i là thành viên c a Active Directory Domain m i cóth xác th c c các Users, khi tài kh an c a nh ng Usrs này ang n m trong ActiveDirectory database thu c Internal Network. Nhi u Firewall administrators khuy n cáo

ng không nên Firewall Computer là thành viên trong Domain User. Vì u nàycó th ng n ch n Attackers xâm nh p vào Firewall, và qua ó có c quy n DomainMember t Firewall này, m r ng h ng t n công vào N i b Network .Tuy nhiên, nh c m l n khi không a ISA Server 2004 Firewall làm thành viên c aInternal Network domain ó là chúng ta s không th dùng ISA Firewall Client cung c pcác xác th c h p pháp cho ISA Server khi các Firewall Clients này truy c p n t t c cácgiao th c TCP và UDP. Chính vì lý do này, chúng ta s t o m t ISA Server 2004 Firewallcomputer làm m t thành viên c a Internal Domain. Tuy nhiên n u b n không gia nh pFirewall vào Domain, v n có th dùng IAS xác th c các VPN và Web Proxy clients.

Các công vi c ti p theo s là:

Cài t và c u hình Microsoft Internet Authentication ServiceMicrosoft Internet Authentication Service server là m t RADIUS server. Chúng ta s s

ng RADIUS server này trong các ph n sau c a h ng d n (b t ch c n ng RADIUSauthentication ph c v cho Web Publishing Rules và tìm hi u cách th c m t RADIUS serverxác th c PN clients nh th nào)

Ti n hành các b c sau cài t Microsoft Internet Authentication Server trên domaincontroller EXCHANGE2003BE thu c Internal Network:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xu ng Components list và ch n NetworkingServices entry. Click Details.4. Check vào Internet Authentication Service checkbox và click OK.






5. Click Next trên Windows Components page.6. Click Finish trên Completing the Windows Components Wizard page.7. óng Add or Remove Programs

Ti p theo chúng ta s c u hình Internet Authentication Service

u hình Microsoft Internet Authentication Service

n c n c u hình IAS server úng cách có th làm vi c v i ISA Server 2004 Firewallcomputer. T i th i m này, chúng ta s c u hình IAS Server làm vi c v i ISA Server2004 Firewall. Sau ó s c u hình Firewall giao ti p v i IAS server.Ti n hành các b c sau v i Domain controller trên Internal Network c u hình IAS server:1. Click Start, Administrative Tools. Click Internet Authentication Service.2. Trong Internet Authentication Service console, m r ng Internet AuthenticationService (Local) node. Right click trên RADIUS Clients node và click New RADIUSClient.






3. Trên Name and Address page c a New RADIUS Client wizard, n vào Friendly-name c a ISA Server 2004 Firewall computer trong Friendly name text box. n gi n làtên này c dùng xác nh RADIUS client và không c s d ng cho nh ng m c íchho t ng. a y FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , ho cIP address c a ISA Server 2004 Firewall computer trong Client address (IP or DNS) textbox.

4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name aISA Server 2004 Firewall computer s xu t hi n trong Client text box. Click Resolve. N uRADIUS server có th gi i quy t Tên thì IP address s xu t hi n trong IP address frame.

u RADIUS server không th gi i quy t tên ra IP Address, u này l u ý v i Admin r ng:hostname c a ISA Server 2004 Firewall ch a c t o trong DNS server (ch a t o recordchoISA Server). N u tr ng h p này x y ra, b n có th a 2 cách gi i quy t: T o A Recordcho ISA Server trên DNS server c cài t trên Domain controller, ho c b n có th dùng






IP address trên Internal interface (10.0.0.1) c a ISA Server 2004 Firewall trong Clientaddress (IP and DNS) text box thu c Name or Address page ( ã c p trên). Click OKvào Verify Client dialog box. M c ích c a các xác l p trong ph n này là bi n ISA Server2004 Firewall tr thành m t RADIUS Client, khi ó gi RADIUS server và RADIUS Client m icó th b t tay c ng tác.

5. Click Next trên Name and Address page c a New RADIUS Client wizard.6. Trên Additional Information page c a wizard, dùng default Client-Vendor entry,chu n c a RADIUS. n vào m t password trong Shared secret text box và xác nh n l ipassword này. Password bí m t c chia s (ch có RADIUS server và RADIUS Client- ISAServer 2004 Firewall bi t), và dùng “tín hi u” này làm vi c v i nhau. Shared Secretch a ít nh t 8 kí t (c hoa l n th ng, s và c các kí t c bi t..). Check vào Requestmust contain the Message Authenticator attribute check box. Click Finish.






7. Bây gi các b n ã th y New RADIUS client entry xu t hi n trên console

8. óng Internet Authentication Service console.Vi c c u hình ti p theo trên ISA Server 2004 Firewall công nh n i tác c a nó làRADIUS server, c u hình s c ti n hành thông qua giao di n qu n tr ISA Server 2004Firewall và RADIUS server này s m nhi m vai trò xác th c các yêu c u t Web và VPNclient.

t lu n:Trong ch ng này chúng ta ã c p n Microsoft Internet Authentication Server,cách th c cài t và c u hình m t IAS server trên Domain controller thu c Internal Networkdomain. Trong các ph n k ti p c a h ng d n, chúng ta s dùng IAS server này xácth c các yêu c u t bên ngoài (incoming requestst c a Web/VPN Clients) truy c p vàoWeb/VPN server.






CH NG 4:Cài t và c u hình Microsoft DHCP và WINS Server Services

Windows Internet Name Service (WINS) khi Service này c tri n khai trong InternalNetwork Domain, nó s ph c v các Computer trong Network gi i quy t tìm NetBIOSnames l n nhau, và m t Computer A trong Network này có th thông qua WINS server gi i quy t c NetBIOS name c a Computer B m t Network khác (t t nhiên h th ngWINS thông th ng ch c dùng gi i quy t tên Netbios names trong N i b Network

a T ch c, tránh nh m l n v i cách gi i quy t hostname c a DNS server- có kh n nggi i quy t tên d ng FQDN (www.nis.com.vn) c a Internet ho c Internal Network Domain.Các b n có th tham kh o “ XÂY D NG H T NG M NG TRÊN MICROSOFT WINDOWSSERVER 2003”, s p c phát hành c a tôi hi u rõ h n v vai trò c a m t WINS servertrong N i b Network .Các Computer trong Internal Network s c c u hình v i vai trò WINS clients, s ngkí tên c a mình (Netbios/Computer names) v i WINS server. WINS clients c ng có th g icác yêu c u truy v n tên n WINS server gi i quy t Name thành IP addresses. N utrong N i b Network không có WINS Server, thì Windows clients s g i các message d ngbroadcast tìm Netbios name c a Computer mu n giao ti p. Tuy nhiên, n u cácComputer này n m t i m t Network khác (v i Network ID khác) thí các Broadcast này s bng n ch n (ch c n ng ng n ch n broadcast là m c nh trên các Router). Nh v y trong

i b Network c a m t T ch c, g m nhi u Network Segments, thì vi c gi i quy t cho cácComputer t Network 1 tìm NetBios name c a các Computers Network 2,3. Dùng WINSserver là gi i pháp lý t ng.WINS server c ng c bi t quan tr ng cho các VPN clients. VPN clients không tr c ti p k t

i n Internal Network, và nh v y không th dùng broadcasts gi i quy t NetBIOSnames c a các Computers bên trong N i b Network . (Tr khi b n dùng Windows Server2003 và m ch c n ng NetBIOS proxy, s h tr NetBIOS broadcast, nh ng r t h n ch ).VPN clients d a vào WINS server gi i quy t NetBIOS names và s d ng các thông tinnày tìm ki m các Computers trong My Network Places c a Internal Network.

Dynamic Host Configuration Protocol (DHCP) c dùng cung c p t ng các thông sliên quan n IP address (TCP/IP settings) cho DHCP clients. DHCP server s c c u hìnhtrên Internal Network server và không ph i trên chính ISA Server 2004 Firewall. Khi chúngta ã c u hình DHCP server trên Internal Network, ISA Server 2004 Firewall t ng có ththuê IP Addresses t DHCP server và phân b l i cho các VPN Clients (các IP addresses này

c l y t m t vùng a ch c bi t trên DHCP server, ví d Admin ã t o s n m t DHCPscope có tên là “VPN Clients Network.”, vùng này ch a các IP address và các thông s chcung c p cho VPN Clients)Vi c u khi n truy c p (Access controls) và cách th c nh tuy n (routing relationships)cho các VPN Clients này truy nh p N i b Network có th c c u hình gi a VPN ClientsNetwork và các N i b Network c xác nh trong phân vùng LAT (Local Address Table)do ISA Server 2004 Firewall qu n lý.

Trong ph n này chúng ta s th c hi n vi c cài t Microsoft WINS và DHCP services. Sau óchúng ta s c u hình m t DHCP scope v i các thông s h p lý c a DHCP scope options.

Cài t WINS Service

Windows Internet Name Service (WINS) c s d ng gi i quy t NetBIOS names ra IPAddresses ( n gi n vì chúng ta ang dùng Network TCP/IP, Network giao ti p theo s - IPaddress, Computer name ch là y u t ph , và là thói quen xác l p giao ti p, vì tên d nh

n s ). Trong các mô hình Network m i ngày nay (ví d Network Microsoft Windows2000/2003) s d ng gi i pháp tìm tên chính ó là DNS service, WINS service tri n khai






thêm là m t s l a ch n, và hoàn toàn không b t bu c). Tuy nhiên nhi u T ch c mu ndùng My Network Places có th xác nh các Server trên Network. Chúng ta bi t r ngMy Network Places ho t ng tìm ki m các Network Computer d a trên Service WindowsBrowser. Và Windows Browser service gi i quy t tên d a trên n n t ng Broadcast (broadcast-based service), n u Network tri n khai WINS server Windows Browser trên cácComputer s ph thu c vào WINS server thu th p thông tin v các Computers phân tánkh p các Segment c a Network. Ngoài ra, WINS service c ng c yêu c u tri n khai khicác VPN clients mu n có c danh sách các Computers trong N i b Network . M c íchcài WINS server trong h ng d n này h tr gi i quy t NetBIOS name và Windowsbrowser service cho các VPN clients.

Ti n hành các b c sau cài WINS:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trên Windows Components page, kéo xu ng danh sách Components và ch nNetworking Services entry. Click Details.4. Trong Network Services dialog box, check vào Windows Internet Name Service(WINS) check box. Check ti p vào Dynamic Host Configuration Protocol (DHCP)check box. Click OK.

5. Click Next trên Windows Components page.6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, a ng d n

n I386 folder trong m c Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.8. óng Add or Remove Programs .WINS server ã s n sàng ph c v nhu c u ng kí NetBIOS name ngay l p t c mà không

n b t c c u hình thêm nào. ISA Server 2004 Firewall, Domain controller, và các InternalNetwork clients t t c s c c u hình nh WINS Client và s ng kí v i WINS servertrong m c xác l p TCP/IP c a mình (TCP/IP Properties settings)

u hình DHCP Service

Dynamic Host Configuration Protocol (DHCP) c s d ng phân chia t ng các thông liên quan n IP






Address cho Internal Network clients và VPN clients. Trong Lab này, m c ích chính c aDHCP server là c p phát các thông s IP address cho Network VPN clients. L u ý r ng,trong mô hình Network th c t c a các T ch c, nên c u hình các Computer tr thành DHCPclients, không nên yêu c u m t IP address t nh. (t t nhiên có nh ng tr ng h p ngo i l , ví

nh dùng IP c nh cho Servers, ho c trong m t Network có s l g Computer ít, tri nkhai thêm DHCP server t o chi phí gia t ng áng k , làm t ng Total Cost Ownership-TCO..)DHCP server service ã c cài t theo nh ng th t c a ra t i ch ng 1. B c k ti p,chúng ta s c u hình m t DHCP scope (vùng IP addresses, kèm theo các thông s tùy ch n-DHCP options). T t c nh ng thông s này s c cung c p cho các DHCP Clients.

Ti n hành các b c sau c u hình m t DHCP scope:1. Click Start, Administrative Tools. Click DHCP.2. Trên DHCP console, right click trên server name và click Authorize (xác nh n DHCPserver này ho t ng h p pháp trong Domain, nh v y t t c các DHCP server không cAuthorize s b vô hi u hóa trong vi c cung c p IP addresses)

3. Click nút Refresh .Các b n s nh n th y icon c a DHCP server chuy n t sang Xanhlá cây, và DHCP ã ho t ng

4. Right click trên server name, click New Scope.5. Click Next trên Welcome to the New Scope Wizard page.






6. Trên Scope Name page, t tên cho scope trong Name text box và a thông tin mô ttrong Description text box. Trong ví d này, chúng ta s t tên scope là scope 1 vàkhông mô t trong Description. Click Next.7. Trên IP Address Range page, a vào m t IP address b t u Start IP address ) và

t IP Adrress Cu i cùng (End IP address ) trong text boxes. Và ây chính là vùng a chIP mà b n mu n s n sàng cung c p cho DHCP Clients. Trong ví d này, chúng ta s xác l pnh sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này ch a 20IP Address cho DHCP Clients. Sau ó chúng ta s c u hình ISA Server 2004 Firewall chophép các VPN clients th c hi n ng th i 10 VPN connections, và vì th có th m t t i a10trong s 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có th yêu c unhi u h n 10 IP Addresses này t DHCP server, n u th c s u ó là c n thi t. Ti p theochúng ta s a thông s subnet mask vào text box Length ho c Subnet mask. Trong ví

ây, chúng ta xác nh n giá tr 24 trong Length text box. Giá tr Subnet mask c ngng thay i sau khi b n ã n giá tr vào Length.Click Next.

8. Không xác nh b t kì exclusions (vùng lo i tr , nh m m c ích d tr cho nhu c udùng IP addresses t ng lai, ho c tránh c p phát nh ng IP ang c s d ng c nhtrên Network cho các thi t b nh Routers, Network Printers..), trên Add Exclusions page.Click Next.9. Ch p nh n l ng th i gian cho thuê a ch (lease duration) là 8 ngày t i LeaseDuration page. Click Next.10. Trên Configure DHCP Options page, ch n Yes, I want to configure theseoptions now option và click Next.11. Trên Router (Default Gateway) page, n vào IP address c a internal interface(10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add.Click Next.






12. Trên Domain Name and DNS Servers page, n tên Domain c a Internal Networktrong Parent domain text box. ây là Domain name c dùng b i các DHCP clients, c n

vào ây, các Clients này s xác nh môi tr ng Network mà mình ang ho t ng, vàthu n l i cho các Admin sau này, khi c u hình các thông s nh wpad entry, có ch c n ngph c v cho các Web Proxy và Firewall client t ng phát hi n, và làm vi c v i FirewallService ho c Web Proxy Service (hai Service v n hành trên ISA Server 2004) ch c n ngnày g i là Autodiscovery. Trong ví d này, các b n s a vào tên Domain làMSFirewall.org trong text box. Trong IP address text box, n IP address c a DNSserver (10.0.0.2) trên Internal Network. Chú ý domain controller c ng là DNS serverinternal Network nh ã xác nh t i các ph n tr c. Click Add. Click Next.






13. Trên WINS Servers page, n IP address c a WINS server (10.0.0.2) và Click Add14. Trên Activate Scope page, ch n Yes, I want to activate this scope now optionvà click Next.15. Click Finish trên Completing the New Scope Wizard page.16. Trong DHCP console, m r ng Scope 1 node, click vào Scope Options node. B n sth y danh sách các Options v a c u hình.

17. óng DHCP console.i th i m này DHCP server s n sàng ph c v phân chia các thông s liên quan n IP

address cho DHCP clients trên N i b Network ,và c các VPN Clients thu c VPN clientsNetwork. Tuy nhiên, ISA Server 2004 Firewall s ch a cung c p các thông s IP này choVPN Clients khi mà Admin ch a cho phép tri n khai Service VPN (VPN server) trên Firewall.

t lu n:Trong ch ng này, chúng ta ã th o lu n vi c s d ng Microsoft WINS và DHCP servers, cài

t c hai Service này lên Domain controller, và c u hình m t DHCP Scope trên DHCPserver. ph n sau chúng ta s nói n cách th c mà các Service này s h tr cho các VPNclients






Ch ng 5:

u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxy vàFirewall Client

Web Proxy Autodiscovery Protocol (WPAD) c s d ng cho phép các trình duy t Webbrowsers (nh Internet Explorer, Nestcape Navigator…) và ISA Firewall client có th t

ng khám phá ISA Server 2004 Firewall (IP address). Các Client này sau ó có thdownload các thông tin c u hình t ng (Autoconfiguration information) t Firewall, sau óWeb Proxy và Firewall client s discover ra address liên l c v i ISA Server.

Tóm l i ch c n ng WPAD gi i quy t cung c p các thông s t ng cho các Web browsers.Xác l p m c nh trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác

p này c enabled, Web browser có th g i i m t thông p DHCPINFORMmessage ho c m t truy v n DNS query tìm a ch c a ISA Server 2004, d a trênnh ng thông tin ã nh n c (download) t Autoconfiguration information.

u này giúp cho các Web browser th t thu n l i khi có th t ng dùng Firewall (detectFirewall) k t n i ra Internet.

ISA Server 2004 Firewall client c ng có th dùng wpad entry tìm ISA Server 2004Firewall và download các thông tin c u hình này v .

Trong ph n này chúng ta s ti n hành

• C u hình h tr DHCP WPAD

• C u hình h tr DNS WPAD

Sau khi thông tin wpad c c u hình trên DHCP và DNS server, thì Web Proxy và Firewallclients s không c n ph i c u hình th công có th ra Internet thông qua ISA Server2004 Firewall.

u hình h tr DHCP WPAD

DHCP scope option s 252 có th c dùng c u hình t ng cho Web Proxy vàFirewall clients. Web Proxy ho c Firewall client ph i c c u hình tr thành DHCP client, vàcác Users log-on vào các Clients này ph i là thành viên c a nhóm Local administratorsgroup ho c Power users group (Windows 2000). Trên Windows XP, thì ch c n là thànhviên c a nhóm Network Configuration Operators group là có quy n th c hi n g icác truy v n DHCP (DHCPINFORM messages).

Chú ý:

Chi ti t h n v nh ng h n ch c a vi c dùng DHCP ph c v Autodiscovery cho InternetExplorer 6.0, tham kh o h ng d n “Automatic Proxy Discovery in Internet Explorerwith DHCP Requires Specific Permissions “ t ihttp://support.microsoft.com/default.aspx?scid=kb;en-us;312864




http://support.microsoft.com/default.aspx?scid=kb;en-us;312864



Ti n hành các b c sau t i DHCP server t o DHCP option ph c v cho ch c n ng wpad

1. M DHCP console t Administrative Tools menu, right click server name. Click SetPredefined Options

2. Trong Predefined Options and Values dialog box, click Add.

3. Trong Option Type dialog box, a vào các thông tin sau:

Name: wpad

Data type: String

Code: 252

Description: wpad entry

Click OK.

4. Trong khung Value, n vào a ch URL n n ISA Server 2000 Firewall trong Stringtext box.

Theo nh d ng nh sau:

http://ISAServername:AutodiscoveryPort Number/wpad.dat

c nh Autodiscovery port number là TCP 80. Port 80 này có th thay i thông quau hình trên ISA Server 2004.. Chi ti t v c u hình này s th o lu n sau.

Trong ví d hi n t i, n vào String text box:

http://isalocal.MSFirewall.org:80/wpad.dat

m b o r ng wpad.dat không dùng nh ng kí t vi t hoa. V v n này có th thamkh o t i "Automatically Detect Settings Does Not Work if You Configure DHCP Option252”





http://isalocal.MSFirewall.org:80/wpad.dat




Th c ra problem này là do c ch nh n d ng case sensitive trên ISA Server 2004, do óu không ph i là wpad.dat, mà l i là Wpad.dat, ho c WPad.dat trong URL, u khi n

ISA Server 2004 ph nh n.

Click OK.

5. Right click trên Scope Options node và click Configure Options.

6. Trong Scope Options dialog box, kéo xu ng danh sách Available Options và ánhu- check vào 252 wpad check box. Click Apply và click OK.






7. 252 wpad entry gi ây xu t hi n d i Scope Options.

8. óng DHCP console.

i th i m này m t DHCP client c log-on v i tài kho n local administrator (ho cPower users..) s có th dùng DHCP wpad h tr cho vi c t ng khám phá(automatically discover) ISA Server 2004 Firewall và ti p ó là t c u hình cho chính mình.Tuy nhiên, ISA Server 2004 Firewall ph i c c u hình h tr publish các thông tin

a mình ph c v cho Autodiscovery information. Chúng ta s bàn n v n này t icác ch ng sau

u hình h tr DNS WPAD

Ph ng pháp khác phân ph i thông tin Autodiscovery cho Web Proxy và Firewall clientslà dùng DNS. Admin có th t o m t wpad alias entry trong DNS server và cho phép cácInternet Browser trên Clients s d ng thông tin này c u hình t ng cho chính nó. Tôimu n nh n m nh ây là chính trình duy t- Browser s làm vi c này, t ng ph n v i






ph ng pháp dùng DHCP mà chúng ta ã g p tr c ó (User log-on ph i là thành viên c anh ng Group c bi t trong Windows operating system).

Ph ng th c gi i quy t Tên (Name resolution), là y u t ch ch t trong ph ng pháp nàya Web Proxy và Firewall client Autodiscovery có th làm vi c chính xác. Trong tr ngp này H u hành Clients ph i có kh n ng tìm FQDN name c a wpad alias trên DNS

server. ây Web Proxy và Firewall client ch c n bi t r ng nó có kh n ng gi i quy t tênwpad. Không c n ph i n m trong m t Domain c th nào m i có th gi i quy t wpadname. Chúng ta s c p n v n này chi ti t h n ph n sau

Chú ý: Ng c l i v i ph ng pháp dùng DHCP c p thông tin t ng n Web Proxy vàFirewall clients. Chúng ta s không có l a ch n dùng port number publishAutodiscovery information khi s d ng ph ng pháp DNS . B n ph i publish thông tin

ng này trên TCP Port 80. Ti n hành các b c sau c u hình DNS h tr Web Proxyvà Firewall client t ng khám phá ISA Server 2004 Firewall:

• T o wpad entry trong DNS

• C u hình Clients d ng tên y - fully qualified c a wpad alias

• C u hình trình duy t- Client browser s d ng Autodiscovery

o Wpad entry trong DNS

Tr c khi t o wpad alias entry trong DNS. Alias này(cón c bi t d i tên là CNAMErecord) ph i tr n m t (A) Host record ã c t o cho ISA Server 2004 Firewall trênDNS server. (A) Host record trên DNS, giúp gi i quy t hostname (ví disalocal.MSFirewall.org ) c a ISA Server 2004 Firewall n Internal IP address a ISAFirewall.

n t o (A) Host record tr c khi chúng ta CNAME record. N u DNS server cho phép cácname records c ng kí t ng thì hostname c a ISA Server 2004 Firewall và IPaddress c a nó s c c p nh t t ng vào DNS và là m t (A) Host record. Còn n u DNSserver không cho phép automatic registration, thì c n ph i t o (A) Host record cho ISAServer 2004 Firewall.

Trong ví d này ISA Server 2004 Firewall ã ng kí t ng v i DNS, do Internalinterface trên ISA Server 2004 Firewall c c u hình th c hi n vi c này, và d nhiênDNS server c ng c c u hình ch p nh n ng kí ng Host record này (unsecureddynamic registrations)

Ti n hành các b c sau trên DNS server (xin nh c l i: c ng là domain controller) c aInternal Network:

1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console,right click trên Forward lookup zone c a Domain và click New Alias (CNAME).

2. Trong New Resource Record dialog box, n vào wpad trong Alias name (usesparent

domain if left blank) text box. Click Browse.






3. Trong Browse dialog box, double click trên server name trong Records list.

4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khungRecords .






5. Trong Browse dialog box, double click trên tên c a Forward lookup zone trong khungRecords.

6. Trong Browse dialog box, ch n tên c a ISA Server 2000 Firewall trong khung Records.Click OK.






7. Click OK trong Resource Record dialog box.

8. CNAME (alias) entry s xu t hi n DNS management console.






9. óng DNS Management console.

u hình ISA Client dùng Fully Qualified wpad Alias

Web Proxy và Firewall client c n gi i quy t tên c a wpad. Các c u hình c a Web Proxy vàFirewall client không th giúp các Client này có c thông tin c a wpad alias. H uhành c a Web Proxy và Firewall client ph i gi i quy t c v n này cho Web Proxy vàFirewall client.

Các truy v n DNS ph i d ng tên y - fully qualified, tr c khi các truy v n này ci n DNS server. M t yêu c u d ng fully qualified bao g m m t hostname và m t

domain name. Web Proxy và Firewall client ch có th bi t hostname, còn H u hànha Web Proxy và Firewall client ph i có kh n ng xác nh chính xác domain name c a

wpad host name, tr c khi nó có th g i m t truy v n DNS n DNS server.

Có nhi u ph ng pháp có th giúp Admin liên k t chính xác domain name v i wpad, tr ckhi truy v n c g i n DNS server. Hai ph ng pháp ph bi n th c hi n u này là:

• Dùng DHCP khi t o DHCP scope, xác nh n primary domain name cho các Clients

• C u hình primary domain name trong m c Network identification trên MicrosoftWindows (2000, XP,2003..)dialog box.

Trong ph n c u hình Scope 1, trên DHCP server, chúng ta ã c u hình m t primary DNSname và xác nh tên này (MSFIREWALL.ORG ) cho các DHCP clients thu c InternalNetwork Domain.

Các b c sau m t xác l p primary domain name g n li n v i các truy v n DNS

u ý: Trong Lab này không c n ph i th c hi n nh ng b c d i ây, trên các ClientsComputer c a Internal Network. Do các Clients ã là thành viên c a Active Directorydomain trên Internet Network. Tuy nhiên, c ng nên xem qua các b c sau hi u cáchprimary domain name c c u hình nh th nào trên m t Computer không ph i là thànhviên c a Internal Domain

1. Right click My Computer, click Properties.






2. Trong System Properties dialog box, click Network Identification tab. ClickProperties .

3. Trong Changes dialog box, click More.

4. Trong Primary DNS suffix of this computer text box, n vào domain name ch awpad entry. H u hành s g n tên này vào wpad name tr c khi g i truy v n n DNSserver. Theo m c nh primary domain name chính là tên c a domain(MSFIREWALL.ORG )ch a Computer này. N u Computer không là thành viên c a Domainthì text box s tr ng.






Chú ý: Change primary DNS suffix when domain embership changes c enabledtheo m c nh. Trong ví d hi n t i Computer không ph i là thành viên c a Domain. Cancel

t c dialog boxes v a xu t hi n và không c u hình primary domain name i th i mnày.C ng l u ý, n u trên Internal Network có nhi u Domain, và Clients thu c nhi uDomains, chúng ta c n t o nhi u wpad CNAME alias cho m i domains.

u hình trình duy t- Client Browser s d ng Autodiscovery

Trong b c này, chúng ta s c u hình cho trình duy t Internet Explorer, dùng ch c n ngAutodiscovery. Sau khi xác nh n ch c n ng này, Web browser trên các Clients s làm vi ctr c ti p v i Web Proxy service c a ISA Server 2000 Firewall v i c ch t ng khám phá-Autodiscovery

1. Right click trên Internet Explorer icon, click Properties.

2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings

3. Trong Local Area Network (LAN) Settings dialog box, check vào Automaticallydetect settings check box. Click OK.






4. Click Apply, click OK trong Internet Properties dialog box.

c k ti p, c n c u hình trên ISA Server 2000 Firewall publish thông tin vAutodiscovery, h tr cho Web Proxy và Firewall clients.

t lu n:

Chúng ta ã c p các ch ng tr c v vi c s d ng Microsoft Internet AuthenticationServer, cách th c cài t và c u hình IAS server trên m t Domain controller thu c InternalNetwork. Trong các ph n sau, chúng ta s IAS server này, xác th c các k t n i t xa c aWeb và VPN client (incoming connections).

Ch ng 6: Cài t và c u hình DNS Server v i ch c n ng Caching-only trênPerimeter Network Segment

DNS servers h tr cho các Clients gi i quy t Name ra IP addresses. Khi các Computersdùng các ng d ng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn c nph i bi t IP address c a các Internet Server tr c khi có th connect n nh ng Servernày.

Toàn b h th ng Internet, s d ng giao th c TCP/IP (và UDP/IP), cho nên vi c xác nh IPaddress là u b t bu c khi th c hi n giao ti p gi a Clients v i các Internet Server. Tuynhiên thói quen c a ng i dùng Internet khi truy c p n các Internet Server là dùng tên(có l vì d nh h n so v i IP address), ví d

http:// www.vnsc.com.vn (d nh )

http:// 203.162.7.80/ (khó nh )

cho nên h th ng Internet v n dùng TCP/IP, b t bu c ph i có DNS gi i quy t Hostnamera IP address.

M t caching-only DNS server là m t lo i DNS không c n ph i c s y quy n ho tng (not authoritative )c a b t c Internal Domain. u này có ngh a là m t caching-only







DNS server không nh t thi t ph i ch a b t c name records c a m t hay nhi u Domain cnh nào. Thay vào ó cách ho t ng c a nó là: Nh n các truy v n tên t DNS clients, gi i

quy t yêu c u này cho DNS Clients, l u gi l i k t qu v a tr l i trong cache (nh m ph ci t ng Clients ti p theo). Khá n gi n, các DNS Admin không ph i c u hình ph c t p

cho lo i DNS này, không c n ph i t o ra b t kì Forward hay Reverse lookup Zones, ph c cho nhu c u tìm tên c a các Clients trong Internal Domain, nh chúng ta ã th c hi n

ph n tr c v i Internal Domain DNS server ( c cài trên Domain controller- 10.0.0.2)

d ng m t caching-only DNS server là u không b t bu c. Nh ng n u khi tri n khai ISAServer 2004 Firewall, lên k ho ch t o m t perimeter Network segment (hay còn cgoi là DMZ- demilitarized zone), nên tuân theo các h ng d n sau

Mô t v Perimeter Network:

Trong mô hình Lab c a chúng ta, nh các b n ã th y trên hình v m t Perimeter Network(hay DMZ Network- vùng phi quân s , khái ni m này ra i t cu c chi n Nam, B c Tri uTiên). Trong h th ng Network c a m t T ch c, ví d nh các ISP (Internet ServiesProvider). Khi tri n khai cung c p các Service cho khách hàng, nh Web Hosting,Mail..th ng t các Servers cung c p các Service này t i DMZ Network, phân vùngNetwork này tách bi t v i Internal Network (Network làm vi c c a các nhân viên và ch acác tài nguyên n i b ). Mô hình Network trong Lab này, ISA Server 2004 Firewall(ISALOCAL), là m t h th ng Tree-homed Host (g n 3 Network Interface Cards)

Network Interface 1 (WAN): T o k t n i ra Internet

Network Interface 2 (DMZ): T o k t n i n DMZ Network

Network Interface 3: (LAN)T o k t n i n Internal Network






Nh v y thông th ng các T ch c tri n khai DMZ Network (n m phía sau Firewall), nh mcung c p cho các External clients (nh khách hàng, ng i dùng Internet, i tác..) truy c p

n các tài nguyên công c ng c a mình (Web, FTP publish resourses…). N u DMZ Network t n công, attackers c ng ch a th xâm nh p ngay vào Internal Network (LAN bên trong),

vì Attacker c n ph i ti p t c ch c th ng Firewall. n ây, có l các b n c ng ã hình dungph n nào v DMZ Network.

Các DNS servers c s d ng trong DMZ Network có hai m c ích chính:

• Gi i quy t các truy v n tên cho các DNS Clients trong Domain d i s ki m soát và yquy n c a Domain

• Caching-only DNS services ph c v cho các Internal Network clients, ho c n u không gi iquy t c các yêu c u truy v n tên, nó có th chuy n (forwarder) n các DNS serverskhác c a Internal Network

M t DNS server t i DMZ Network, có th ch a nh ng thông tin ph c v cho publishdomain (Internet Domain, c ng kí thông qua nh ng nhà cung c p tên mi n Internet).Ví d , n u ã xây d ng h t ng DNS, tách bi t nhóm DNS server chuyên tr l i các yêu c utruy v n tên c a domain n i b (Internal Hostname) cho Internal DNS Clients, thì nên tcác DNS server này trong Internal Network. Nhóm các DNS server còn l i, ph c v cho yêu

u truy v n tên xu t phát t External Clients (ví d các Internet Clients) có th c ttrên DMZ Network Khi các Internet Clients này c n truy c p các DMZ servers (Web, FTP,SMTP., các server này c a ra ph c v Internet thông qua ISA Server 2004 Firewall .),các DNS server trên DMZ Network s ph c v cho nh ng yêu c u này.

DNS server trên DMZ Network c ng có th ho t ng nh m t caching-only DNS server.Trong vai trò này, DNS server s không ch a thông tin v name record. Thay vào ó,caching-only DNS server s gi i quy t các y u c u tìm Internet host names và ch l u gi

i (cache) các k t qu này. Sau ó có th s d ng cache, tr l i các yêu c u t ng tcho các Internet hostname ã cache. N u ch a cache b t c Internet hostname nào,cahing-only DNS server s chuy n các yêu c u này (Forwarder) n các Internet DNSserver (ví d các DNS c a ISA g n nh t), sau khi nh n c k t qu truy v n, s cache l ivà tr l i cho DNS Clients

Trong ph n này, chúng ta s th c hi n

• Cài t DNS server service

• C u hình DNS server tr thành m t caching-only DNS server an toàn (secure caching-onlyDNS server)

Cài t DNS Server Service trên DMZ Network

DNS server này, s có hai vai trò: Là m t secure caching-only DNS server và chuy n cácyêu c u truy c p t bên ngoài (c a Internet Clients) n Web, SMTP server

Ti n hành các b c sau cài m t DNS server service trên DMZ Network (trên serverTRIHOMELAN1)

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components






3. Trên Windows Components page, keo xu ng danh sách Components, ch nNetworking Services. Click Details.

4. Trong Networking Services dialog box, check vào Domain Name System (DNS)check box và click OK.

5. Click Next trên Windows Components page.

6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d nn Folder i386 trong Copy files from text box và click OK.

7. Click Finish trên Completing the Windows Components Wizard page.

B c ti p theo, c u hình DNS server tr thành m t secure caching-only DNS server.

DNS server trên DMZ Network s ti p xúc tr c ti p v i các Internet hosts. Nh ng Hosts nàycó th là các Internet DNS clients có nhu c u truy c p các tài nguyên c a chúng ta (Web,Mail, FTP server..),n m trong DMZ Network, nh v y Internet DNS clients ph i g i các yêu

u này n DNS server trên DMZ Network. Ho c tr ng h p ng c l i là DNS server trênDMZ Network c a chúng ta s ti p xúc DNS servers c a các T ch c khác trên Internet (ví

nh ISP DNS), ph c v gi i quy t hostname cho các Internal Network clients có nhuu truy c p ra ngoài Internet.

Trong ví d này, DNS server c a DMZ Network, s óng vai trò m t caching-only DNSserver và không qu n lý các name records c a các Publish Server trong Internal Domain

Ti n hành các b c sau trên DNS server thu c DMZ Network, tr thành m t secure

caching-only DNS server:

1. Click Start, Administrative Tools. Click DNS.

2. Trong DNS management console, right click trên server name, click Properties.






3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xu t hi n các DNSserver c p cao (root) c a h th ng Internet DNS. Danh sách Name Servers t i Root Hintsnày, c caching-only DNS server c a chúng ta, s d ng gi i quy t các truy v n tên(Internet Hostnames) t DNS Clients. N u không t n t i danh sách các Name Servers nàytrong Root Hints, caching-only DNS server s không th gi i quy t hostname c a cácComputer trên Internet.

4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for thisdomain check box. N u check vào l a ch n này, caching-only DNS server s không dùng

c các Internet DNS Servers trong danh sách c a Root Hints cho vi c gi i quy t Internethost names. Ch ch n nó, n u b n quy nh dùng ch c n ng Forwarder. Trong tr ng

p này, chúng ta không dùng Forwarder.






5. Click Advanced tab. Xác nh n, ã check vào Secure cache against pollution checkbox. u này giúp ng n ch n các cu c t n công t Attackers ho c các Internet DNSservers. Các name records m o nh n (ý c a attackers), có th c ADD vào DNS cache

a chúng ta, và u ó khi n cho các truy v n t Internal DNS Clients n caching-onlyDNS server s c d n n nh ng Server “b y”. Ví d DNS Clients typehttp://www.vnbank.com.vn (IP address A.B.C.D) s b d n n m t Host gi có IP addresslà X.Y.Z.K do ý c a attackers, và nh ng thông tin giao d ch v i Host gi này, có th bghi l i và s d ng b t h p pháp. Ki u t n công này ôi khi còn c g i là “co-coordinated DNS attack”




http://www.vnbank.com.vn



6. Click Monitoring tab. Check vào A simple query against this DNS server và Arecursive query to other DNS servers check boxes, th c hi n ki m tra DNS server.Click Test Now. Chú ý k t qu hi n ra trong khung results cho th y Simple Query chPass, trong khi Recursive Query trình bày Fail. Chúng ta nh n c k t qu này là vìch a t o Access Rule trên ISA Server 2004 Firewall cho phép caching-only DNS servertruy c p Internet DNS servers. Sau này khi c u hình ISA Server 2004 Firewall, s t o m tAccess Rule cho phép DNS server g i yêu c u (outbound access) n các DNS servers trênInternet.






7. Click Apply và click OK trong DNS server’s Properties dialog box.

8. óng DNS management console.

i th i m này, caching-only DNS server c a chúng ta ã có th gi i quy tInternet host names. Nh ng sau ó, chúng ta s ph i t o thêm Access Rules chophép các Internal Network Clients dùng DNS Server này gi i quy t các Internet hostnames. Các Admin xem xét k ý này, tránh nh m l n.

t lu n:

Trong ch ng này, ã c p n vi c s d ng m t cachingonly DNS server t i DMZNetwork, cách th c cài t và c u hình Microsoft DNS server service. Trong các ph n sau,chúng ta s s d ng Access Policies trên ISA Server 2004 cho phép các InternalNetwork Clients dùng DNS server này và cho phép caching-only DNS server k t n i nInternet.






CH NG 7:

Cài t ISA Server 2004 Trên Windows Server 2003

Cài t ISA Server 2004 trên Windows Server 2003 th c s không quá ph c t p (ph c t pm s ph n c u hình các thông s ). Ch có m t vài yêu c u c n xác nh n t i quá trình

này. Ph n c u hình quan tr ng nh t trong su t quá trình cài t ó là xác nh chính xácvùng a ch IP n i b - Internal Network IP address range(s).

Không gi ng nh ISA Server 2000, ISA Server 2004 không s d ng b ng Local AddressTable (LAT) xác nh âu là Network áng tin c y (trusted Networks), và âu là Networkkhông c tin c y (untrusted Networks). Thay vào ó, ISA Server 2004 Firewall các IPaddresses n i b c xác nh n bên d i Internal Network. Internal Network nh mxác nh khu v c có các Network Servers và các Services quan tr ng nh : Active Directorydomain controllers, DNS, WINS, RADIUS, DHCP, các tr m qu n lý Firewall , etc..T t c cácgiao ti p gi a Internal Network và ISA Server 2004 Firewall c u khi n b i các chínhsách c a Firewall (Firewall’s System Policy). System Policy là m t t p h p các nguyên t ctruy c p c xác nh tr c (pre-defined Access Rules), nh m xác nh lo i thông tin nào

c cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này ccài t. System Policy có th c u hình, cho phép các Security Admin, th t ch t ho c n ilõng t các Access Rules m c nh c a System Policy..

Trong ph n này, chúng ta s c p n các v n sau:

• Cài t ISA Server 2004 trên Windows Server 2003

• Xem l i các chính sách h th ng m c nh trên ISA Server 2004 Firewall (Default SystemPolicy)

Installing ISA Server 2004

Cài t ISA Server 2004 trên Windows Server 2003 là v n t ng i không ph c t p.Nh tôi ã c p ph n trên , s quan tâm chính n m các xác l p v Internal Network(nh ng IP addresses nào s c xác nh t i ph n này). C u hình các a ch cu InternalNetwork là m t ph n quan tr ng, b i vì chính sách h th ng c a Firewall (Firewall’s SystemPolicy ) s c n c và ây nh ngh a các nguyên t c truy c p- Access Rules

Ti n hành các b c sau cài t ISA Server 2004 software trên dual-homed (máy g n haiNetwork Cards) Windows Server 2003 Computer:

1. Chèn ISA Server 2004 CD-ROM vào CD. Autorun menu s xu t hi n

2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên k tReview Release Notes và xem nh ng l u ý v cài t s n ph m. Release Notes ch anh ng thông tin quan tr ng v các ch n l a c u hình, và m t s v n khác. c xongrelease notes, óng c a s l i và click Read Setup and Feature Guide link. Không c nph i c toàn b h ng d n n u nh b n mu n th , c ng có th in ra c sau. óngSetup and Feature Guide. Click Install ISA

Server 2004 link.






3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004page.

4. Ch n I accept the terms in the license agreement trên License Agreement page.Click Next.

5. Trên Customer Information page, n Tên và Tên T ch c c a b n trong User Namevà Organization text boxes. n ti p Product Serial Number. Click Next.

6. Trên Setup Type page, ch n Custom option. N u b n không mu n cài t ISA Server2004 software trên C: drive, click Change thay i v trí cài t ch ng trình trên a

ng. Click Next.

7. Trên Custom Setup page, b n có th l a ch n nh ng thành ph n cài t. M c nh thì,Firewall Services và ISA Server Management s c cài t. Còn Message Screener,

c s d ng giúp ng n ch n th rác (spam) và các file ính kèm (file attachments) khichúng c a vào Network ho c t bên trong phân ph i ra ngoài, thành ph n này theo

c nh không c cài t. Thành ph n ti p theo c ng không c cài t là FirewallClient Installation Share. B n c ng nên l u ý, c n cài t IIS 6.0 SMTP service trênISA Server 2004 Firewall computer tr c khi b n cài Message Screener. Dùng xác l p m c

nh ti p t c và click Next.

8. Trên Internal Network page, click Add. Internal Network khác h n LAT ( c s d ngtrong ISA Server 2000). Khi cài t ISA Server 2004, thì Internal Network s ch a cácNetwork services c tin c y và ISA Server 2004 Firewall ph i giao ti p c v i nh ngServices này

Ví d nh ng Service nh Active Directory domain controllers, DNS, DHCP, terminal servicesclient management workstations, và các Service khác, thì chính sách h th ng c a Firewall






t ng nh n bi t chúng thu c Internal Network. Chúng ta s xem xét v n này trongph n System Policy

9. Trong Internal Network setup page, click Select Network Adapter

10. Trong Select Network Adapter dialog box, remove d u check t i Add the followingprivate ranges… checkbox. Check vào Add address ranges based on the WindowsRouting Table checkbox. Check ti p vào Network Card nào, tr c ti p k t n i vào LAN t iSelect the address ranges…Internal Network adapter . Lý do không check vào addprivate address ranges checkbox là b i vì, chúng ta mu n dùng nh ng vùng a ch nàycho DMZ ( perimeter Networks). Click OK.






11. Click OK trong Setup Message dialog box xác nh n r ng Internal Network ã cnh ngh a ho t n d a trên Windows routing table.

12. Click OK trên Internal Network address ranges dialog box.

13. Click Next trên Internal Network page.






14. Trên Firewall Client Connection Settings page, check vào Allow nonencryptedFirewall client connections và Allow Firewall clients running earlier versions of theFirewall client software to connect to ISA Server checkboxes. Nh ng xác l p này scho phép chúng ta k t n i n ISA Server 2004 Firewall khi ang s d ng nh ng h uhành i c , ho c ngay c khi dùng Windows 2000/Windows XP/Windows Server 2003nh ng ang ch y Firewall Clients là ISA Server 2000 Firewall client. Click Next.

15. Trên Services page, click Next.

16. Click Install trên Ready to Install the Program page.






17. Trên Installation Wizard Completed page, click Finish.

18. Click Yes trong Microsoft ISA Server dialog box xác nh n r ng Computer ph irestarted.

19. Log-on l i vào Computer b ng tài kh an Administrator

Xem xét System Policy

Theo m c nh, ISA Server 2004 không cho phép các truy c p ra ngoài Internet (outboundaccess), t b t c máy nào n m trong ph m vi ki m soát c a b t c Network c b o v(protected Network), và c ng không cho phép các Computers trên Internet truy c p nFirewall ho c b t kì Networks ã c b o v b i Firewall. Nh v y sau khi tri n khai ISAServer 2004 Firewall, theo m c nh thì i b t xu t, ngo i b t nh . Tuy nhiên, m tSystem Policy trên Firewall ã c cài t, cho phép th c hi n các tác v Qu n tr Network

n thi t.

u ý:

Khái ni m Network c b o v (protected Network), là b t c Network nào c nhngh a b i ISA Server 2004 Firewall không thu c ph m vi c a các Network bên ngoài(External Network), nh Internet.

Ti n hành các b c sau duy t qua chính sách m c nh c a Firewall (default FirewallSystem Policy):

1. Click Start, All Programs. Ch n Microsoft ISA Server và click ISA ServerManagement.

2. Trong Microsoft Internet Security and Acceleration Server 2004 managementconsole, m r ng server node và click vào Firewall Policy node. Right click trên FirewallPolicy node, tr n View và click Show System Policy Rules.






3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nh n c thông báong ISA Server 2004 Access Policy gi i thi u m t danh sách các Policy c s p x p theo

trình t . Các policy s c Firewall x lý t trên xu ng d i, u mà Access Policy trênISA Server 2000 ã không quan tâm n trình t x lý này. Theo m c nh, System Policygi i thi u m t danh sách m c nh nh ng nguyên t c truy c p n và t ISA Server 2004Firewall. C ng l u ý r ng, các nguyên t c t i System Policy Rules luôn c s p x p cóth t nh ã c p, k c nh ng chính sách sau này các Security Admin t o ra, nh v ynh ng policy m i này s ng bên trên và c x lý tr c. kéo xu ng danh sách c aSystem Policy Rules. Nh n th y r ng, các nguyên t c c xác nh rõ b i:

th t (Order number)

Tên (Name Rule)

Hành ng a ra i v i nguyên t c ó (Cho phép ho c ng n ch n -Allow or Deny)

Dùng giao th c nào (Protocols)

Network ho c Computer ngu n- From (source Network or host)

n Network hay Computer ích- To (destination Network or host)

u ki n- Condition ( i t ng nào hay nh ng gì nguyên t c này s áp d ng)






Ngoài ra, có th s ph i kèm theo nh ng mô t v nguyên t c, t i ph n m r ng c a c ttên nguyên t c, u này giúp các Security Admin d dàng theo dõi và qu n lý các Rule c amình h n.

Chúng ta nh n th y r ng, không ph i t t c các Rules u c b t- enabled. Chính sáchDisabled m c nh c a System Policy Rules c th hi n b ng nh ng bi u t ng m i tênxu ng màu bên góc ph i. Khi c n thi t ph c v cho yêu c u nào ó, các Admin có thenabled các Rule này.Ví d nh chúng ta mu n cho phép truy c p VPN- th c hi n enableVPN access.

Chúng ta nh n th y có m t trong s các System Policy Rules cho phép Firewall th c hi ncác truy v n tên- DNS queries, n các DNS servers trên t t c các Networks.

4. B n có th thay i các xác l p trên m t System Policy Rule b ng cách double-click trênrule.






5. Xem l i System Policy Rules và sau ó gi u nó b ng cách click Show/Hide SystemPolicy Rules B ng ch a các nút này.

ng d i ây bao g m m t danh sách y v System Policy m c nh:

ng 1: System Policy Rules
















Chú thích:

1 . Policy này b disabled cho n khi VPN Server component c kích ho t -activated

2 . Policy này b disabled cho n khi m t k t n i VPN d ng site to site xác l p

3 . Policy này b disabled cho n khi chính sách th m nh k t n i dùng HTTP/HTTPS cu hình

4 . Policy này b disabled cho n khi SecureID filter c enabled

5 . Policy này ph i c enabled th công

6 . Policy này b disabled theo m c nh


8 . Policy này t ng c enabled khi Firewall client share c cài t


i th i m này, ISA Server 2004 Firewall ã s n sàng cho các Admin c u hình các truyp ra ngoài (outbound) ho c vào trong (inbound) qua Firewall. Tuy nhiên, tr c khi kh i

hành t o các chính sách truy c p- Access Policies, các Security Admin nên back-up l i c uhình m c nh c a ISA Server 2004 Firewall. u này cho phép b n ph c h i ISA Server






2004 Firewall v tr ng thái ban u sau cài t. u này là c n thi t cho các các cu c ki mtra và kh c ph c các s c trong t ng lai.

Ti n hành Back-up c u hình m c nh ngay sau cài t theo h ng d n:

1. M Microsoft Internet Security and Acceleration Server 2004 managementconsole, right click trên server name. Click BackUp.

2. Trong Backup Configuration dialog box, n tên file backup b n mu n t trong Filename text box. Nh v trí chúng ta ã l u backup file trong Save list. Trong ví d này, ttên file backup là backup1. Click Backup.

3. Trong Set Password dialog box, n vào password và xác nh n l i password này trongPassword và Confirm password text boxes. Thông tin trong file backup c mã hóa vìnó ch a password ph c h i và nh ng thông tin quan tr ng ã l u gi , t t c nh ng thôngtin này chúng ta không mu n m t ai khác có th truy c p. Click OK.






4. Click OK trong Exporting dialog box khi b n th y thông báo The configuration wassuccessfully backed up message.

Nên copy file backup này n n i l u tr an toàn khác trên N i b Network sau khi backuphoàn thành (không nên luu gi trên chính Firewall này). Thi t b l u gi file backup nên cóphân vùng l u tr c nh d ng b ng h th ng t p tin NTFS (h th ng t p tin an toànnh t hi n nay trên các h u hành c a Microsoft)

t lu n:

Trong ch ng này chúng ta ã bàn v nh ng th t c c n thi t khi cài t ISA Server 2004software trên Windows Server 2003 computer. Chúng ta c ng ã xem xét chính sách hth ng c a Firewall (Firewall System Policy), c t o ra trong quá trình cài t. Và cu icùng, chúng ta ã hoàn thành vi c l u gi l i c u hình ngay sau khi cài t ISA Server 2004Firewall b ng cách th c hi n file backup theo t ng b c h ng d n. Trong ph n t i, chúngta s c u hình cho phép truy c p VPN access server t xa.






CH NG 8:

Sao L u Và Ph c H i C u Hình Firewall

ISA Server 2004 bao g m tính n ng m i và t ng c ng cho backup và ph c h i. Trong ISAServer 2000, ti n ích backup c tích h p có th backup c u hình c a ISA Server 2000Firewall.

File backup có th c s d ng ph c h i c u hình n c ng b n cài t ISA Server trêncùng Computer. Tuy nhiên, n u H u hành hay ph n c ng n u g p ph i nh ng v n nghiêm tr ng tác ng trên toàn h thông, ch c r ng ch có file backup này không th ph c

i c c u hình c a Firewall

Ng c l i, ti n ích backup trên ISA Server 2004 cho phép Admin backup toàn b c u hìnhFirewall ho c ch backup nh ng ph n c n thi t.

Và sau ó Admin có th ph c h i c u hình này n cùng phiên b n ISA Server 2004 Firewalltrên chính Computer ã backup ho c có th ph c h i thông tin c u hình n m t ISA Server2004 Firewall trên m t Computer khác.

Các h ng d n Backup s c thi hành sau m t ho c m t s th t c sau:

• Thay i kích c hay v trí Cache (cache size / location)

• Thay i chính sách Firewall (Firewall policy)

• Thay i n n t ng các nguyên t c ( rule base)

• Thay i các nguyên t c h th ng (system rules)

• Making changes to Networks, such as, changing Network definition or Network rules

• y quy n các tác v qu n tr ISA Server / B y quy n

Tính n ng nh p/xu t (import/export) cho phép chúng ta xu t các thành ph n c ch n l atrong c u hình Firewall và s d ng nh ng thành ph n này v sau, ho c có th cài t nóvào Computer khác. Import/export c ng có th c dùng xu t toàn b c u hình c aComputer nh m t ph ng pháp phân ph i c u hình di n r ng.

Bài th c t p b ích nh t v backup c u hình nên c ti n hành ngay sau khi cài t ISAServer 2004 Firewall software. Th c hi n u này là tác v c b n nh m ph c h i c u hìnhnguyên tr ng sau cài t trênISA Server, k c khi chúng ta ã th c hi n các c u hình khác

u này giúp các b n không c n cài t l iISA Server) .

Chúng ta s ti n hành nh ng công vi c sau:

• Backup c u hình Firewall

• Ph c h i c u hình Firewall t File Backup

• Xu t chính sách Firewall






• Nh p chính sách Firewall

Backup c u hình Firewall

ISA Server 2004 tích h p s n ti n ích backup giúp l u gi c u hình Firewall d dàng . Chcó m t ít các thao tác c yêu c u khi th c hi n backup và ph c h i c u hình

Ti n hành các b c sau backup toàn b c u hình Firewall:

5. M Microsoft Internet Security and Acceleration Server 2004 managementConsole, right click trên server name. Click BackUp

6. Trong Backup Configuration dialog box, n tên file backup trong File name text box.Trong ví d này filename là backup1. Click Backup

7. Trong Set Password dialog box, n password và xác nh n l i password. Xin c nh ci thông tin trong file backup ã c mã hóa (xem gi i thích ph n tr c). Click OK.

8. Click OK trong Exporting dialog box khi thông báo The configuration was successfullybacked up xu t hi n

Nên copy file backup này l u tr m t v trí an toàn h n, không nên l u tr trênFirewall này (có th là trên m t Network server, phân vùng l u tr c format v i NTFS).

Ph c h i c u hình Firewall t Configuration from the File Backup

Admin có th dùng File backup ph c h i c u hình máy. Thông tin có th c h i ph ctrên cùng phiên b n cài t c a ISA Server 2004 Firewall, trên cùng máy ho c m t b n cài

t hoàn toàn m i, trên m t Computer khác.

Perform the following steps to restore the configuration from backup:

1. M Microsoft Internet Security and Acceleration Server 2004 managementconsole, right click trên computer name, Click Restore.

2. Trong Restore Configuration dialog box, tìm file backup tr c ó ã t o. Trong ví dnày, chúng ta s dùng, file backup có tên là backup1.xml. Click Restore, sau khi ã ch nfile






3. a vào password mà b n ã xác nh n tr c ó cho file trong Type Password to OpenFile dialog box, click OK.

4. Click OK trong Importing dialog box khi th y xu t hi n thông báo The configuration wassuccessfully restored

5. Click Apply save nh ng thay i và c p nh t chính sch1 c a Firewall.

6. Ch n Save the changes and restart the service(s) trong ISA Server Warning dialog box






7. Click OK trong Apply New Configuration dialog box ch rõ r ng Changes to theconfiguration were successfully applied.

Gi ây c u hình ã ph c h i cho ISA Server 2004 ã ho t ng v i y ch c n ng vàcác chính sách c a Firewall c áp t hi n gi c l y t b n backup c u hình c aFilewall tr c ó.

Xu t chính sách Firewall (Exporting Firewall Policy)

Các Admin không nh t thi t ph i luôn luôn export m i th liên quan n c u hình c aFirewall. Có th chúng ta ch g p ph i m t s v n t i Access Policies và mu n g inh ng thông tin này n m t Security admin nào ó xem xét. Khi y ch c n export cácAccess Policies hi n th i c a Firewall, sau ó g i Export File này n m t chuyên gia v ISAServer 2004, h có th nhanh chóng nh p (import) các Policies này vào m t ISA Server2004 Test Computer, và ch n oán v n

Trong ví d này, chúng ta s export c u hình VPN Clients ra m t file. Ti n hành l n l t cácc sau:

1. Trong Microsoft Internet Security and Acceleration Server 2004 managementconsole, m r ng server name, right click trên Virtual Private Networks (VPN) node.Click vào Export VPN Clients Configuration.






2. Trong Export Configuration dialog box, n tên cho export file trong File name textbox. a m t s thông tin mô t v n i chúng ta l u tr file. Check vào Export userpermission settings and Export confidential information (encryption will be used)check boxes n u b n mu n l u thông tin riêng n m bên trong VPN Clients configuration(ch ng h n nh các password bí m t c a IPSec- IPSec shared secrets). Trong ví d này,Chúng ta s t file là VPN Clients Backup. Click Export.

3. Trong Set Password dialog box, n m t password và xác nh n l i password trongConfirm password text box. Click OK.






4. Click OK trong Exporting dialog box khi chúng ta th y thông báo Successfully exportedthe configuration.

Nh p chính sách Firewall (Importing Firewall Policy)

File export có th c import n cùng Computer ho c m t Computer khác có ISA Server2004 ã cài t. Trong ví d sau, chúng ta s import các xác l p c a VPN Clients ã cexport trong ph n tr c.

Ti n hành các b c sau import VPN Clients settings t file ã export:

1. Trong Microsoft Internet Security and Acceleration Server 2004 managementconsole, m r ng server name và right click vào Virtual Private Networks (VPN) node.Click Import VPN Clients Configuration.

2. Trong Import Configuration dialog box, ch n file VPN Clients Backup. ánh d u vào,Import user permission settings và Import cache drive settings và SSL certificatescheckboxes. Trong ví d này, cache drive settings, không quan tr ng, nh ng SSLcertificates là c n thi t n u chúng ta mu n dùng cùng certificates, ã c s d ng choIPSec ho c L2TP/IPSec VPN connections. Click Import.

3. n password m trong Type Password to Open File dialog box. Click OK.






4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nh n cthông báo Successfully imported the configuration.

5. Click Apply áp d ng nh ng thay i và c p nh t Firewall policy.

6. Click OK trong Apply New Configuration dialog box khi nh n c thông báo Changesto the configuration were successfully applied. L u ý r ng, nh ng thay i trong c u hìnhVPN có th m t vài phút c p nh t

t lu n:

Trong ch ng này chúng ta ã th o lu n vi c backup và ph c h i c u hình c a ISA Server2004 Firewall. Chúng ta c ng ã xem xét các tính n ng c a export và import, cho phépth c hi n backup các thành ph n l a ch n (c n thi t), c a c u hình Firewall

Trong ch ng t i, chúng ta s dùng ISA Server 2004 Network Templates n gi n hóau hình ban u c a các Networks, Network Rules, và các Access Policies c a Firewall.






CH NG 9:

n Gi n Hóa C u Hình M ng V i Các Network Templates

ISA Server 2004 firewall mang n cho chúng ta nh ng thu n l i to l n, m t trong nh ngó là các Network Templates (mô hình m u các thông s c u hình M ng). Vì s h tr

thông qua các templates này, mà chúng ta có th c u hình t ng các thông s choNetworks, Network Rules và Access Rules. Network Templates c thi t k giúp chúng tanhanh chóng t o c m t c u hình n n t ng cho nh ng gì mà chúng ta có th s xây

ng.. Chúng ta có th ch n m t trong s các Network Templates sau:

• Edge Firewall

Network Template dành cho Edge Firewall, c s d ng khi ISA Server 2004 firewall cót Network interface c tr c ti p k t n i n Internet và m t Network interface c

t n i v i Internal network

• 3-Leg Perimeter

Network Template dành cho 3-Leg Perimeter c s d ng v i Firewall g n 3 NetworkInterfaces. M t External interface (k t n i Internet), m t Internal interface (k t n i Mn g

i b ) và m t DMZ interface (k t n i n M ng vành ai- Perimeter Network). Templatenày, c u c u hình các a ch và m i quan h gi a các Networks này v i nhau.

• Front Firewall

Dùng Front Firewall Template khi ISA Server 2004 firewall óng vai trò m t frontendfirewall trong mô hình back-to-back firewall. V y th nào là m t back-to-back firewall ?

n gi n ó là mô hình k t n i 2 Firewall làm vi c v i nhau theo ki u tr c (front) sau(back). Phía ngoài Front Firewall có th là Internet, gi a Front và back firewall có th là làDMZ network, và phía sau back firewall là Internal network. Template này dành cho FrontFirewall

• Back Firewall

Nh v a trình bày trên có l các b n ã hi u v v trí c a m t Back firewall, và BackFirewall Template c s d ng cho m t ISA Server 2004 firewall n m sau m t ISA Server2004 firewall khác phía tr c nó (ho c m t third-party firewall nào ó).

• Single Network Adapter






Template d ng Single Network Adapter là m t c u hình khá c bi t, áp d ng d ngtemplate này trên ISA Server 2004 có ngh a là lo i luôn ch c n ng Firewall c a nó. cdùng trong nh ng tr ng h p ISA SERVER 2004 ch có duy nh t m t Network Card(unihomed), óng vai trò là h th ng l u gi cache- Web caching server.

Trong ph n này, chúng ta s phác th o 2 k ch b n sau:

• K ch b n 1: C u hình cho Edge Firewall

• K ch b n 2: C u hình cho 3-Leg Perimeter

n xem xét l i ch ng 1 n m rõ c u hình M ng, và c u hình cho ISA SERVER 2004trong Test Lab này. K ch b n v c u trúc M ng c a chúng ta trong Test lab t ng thích v i

ch b n 2, ng c l i có th tham kh o k ch b n 1

ch b n 1: C u hình Edge Firewall

Template cho Edge Firewall s c u hình cho ISA Server 2004 firewall có m t networkinterface g n tr c ti p Internet và m t Network interface th 2 k t n i v i Internal network.Network template này cho phép Admin nhanh chóng áp d ng các nguyên t c truy c p thôngqua chính sách c a Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng

a c u hình u khi n truy c p (access control) gi a Internal network và Internet.

ng 1 cho chúng ta th y các chính sách c a Firewall (firewall policies) ã s n sàng khi sng Edge Firewall template.

i chính sách trong Firewall policies ch a s n các xác l p v nh ng nguyên t c truy c p. xác l p t t c các ho t ng u c cho phép (All Open Access Policy) gi a Internal

network và Internet cho n xác l p ng n ch n t t c (Block All policy) ho t ng gi aInternal network và Internet.

Table 1: Nh ng l a ch n v chính sách c a Firewall khi dùng Network EdgeFirewall Template

Firewall Policy Mô tBlock All

(Ng n ch n t t c )

Ng n ch n t t c truy c p qua ISA Server

a ch n này không t o b t kì nguyên t ccho phép truy c p nào ngoài nguyên t cng n ch n t t c truy c p

Block Internet Access, allow access toISP network services

(Ng n ch n truy c p ra Internet, nh ngcho phép truy c p n m t s d ch v

Ng n ch n t t c truy c p qua ISA server,ngo i tr nh ng truy c p n các Networkservices ch ng h n DNS service. L a ch nnày s c dùng khi các ISP cung c p






a ISP) nh ng d ch v này.

Dùng l a ch n này xác nh chính sáchFirewall c a b n, ví d nh sau:

1. Allow DNS from Internal Network andVPN Clients Network to External Network(Internet)- Cho phép Internal Network vàVPN Clients Network dùng DNS c a ISP xác nh hostnames bên ngoài (nhInternet).

Allow limited Web access

(Cho phép truy c p Web có gi i h n)

Ch cho phép truy c p Web dùng các giaoth c: HTTP, HTTPS, FTP. Còn l i t t c truy

p khác s b ng n ch n.

Nh ng nguyên t c truy c p sau s co:

1. Allow HTTP, HTTPS, FTP from InternalNetwork to External Network- Cho phép cáctruy c p d ng HTTP, HTTPS, FTP t Internalnetwork ra bên ngoài.

2. Allow all protocols from VPN ClientsNetwork to Internal Network- Cho phép t t

các giao th c t VPN Clients Network (tbên ngoài) truy c p vào bên trong M ng n i

.Allow limited Web access and access toISP network services

(Cho phép truy c p Web có gi i h n vàtruy c p n m t s d ch v c a ISP)

Cho phép truy c p Web có gi i h n dùngHTTP, HTTPS, và FTP, và cho phép truy c p

i ISP network services nh DNS. Còn l ing n ch n t t c các truy c p Networkkhác.

Các nguyên t c truy c p sau s c t o:

1. Allow HTTP, HTTPS, FTP from InternalNetwork and VPN Clients Network toExternal Network (Internet)- Cho phépHTTP, HTTPS, FTP t Internal Network vàVPN Clients Network ra External Network(Internet)

2. Allow DNS from Internal Network andVPN Clients Network to External Network(Internet)- Cho phép Internal Network vàVPN Clients Network truy c p d ch v DNSgi i quy t các hostnames bên ngoài






(Internet)


các giao th c t VPN Clients Network(bên ngoài, VPN Clients th c hi n k t n ivào M ng n i b thông qua Internet), ctruy c p vào bên trong M ng n i b .

Allow unrestricted access

(Cho phép truy c p không gi i h n)

Cho phép không h n ch truy c p raInternet qua ISA Server

Các nguyên t c truy c p sau s c t o:

1. Allow all protocols from Internal Networkand VPN Clients Network to ExternalNetwork (Internet)- Cho phép dùng t t cgiao th c t Internal Network và VPNClients Network t i External Network(Internet)


giao th c t VPN Clients Network truyp vào Internal Network.

Ti n hành nh ng b c sau khi dùng Edge Firewall Network Template c u hình Firewall:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management

console, m r ng server name và m r ng ti p Configuration node. Click vào Networksnode.

2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template.






3. Click Next trên Welcome to the Network Template Wizard page.






4. Trên Export the ISA Server Configuration page, b n c ch n l a Export c uhình hi n t i. Hoàn toàn có th quay l i c u hình ISA Server 2004 firewall tr c khi dùngEdge Firewall network template , b i vì chúng ta ã backed up c u hình h th ng tr c óvà vì th c ng không c n ph i export c u hình t i th i m này. Click Next.

5. Trên Internal Network IP Addresses page, Xác nh Internal network addresses.






Vùng a ch n i b Internal network address hi n ã t ng c xác nh trong Addressranges list. Và b n có th dùng Add, Add Adapter và Add Private button m r ngvùng danh sách Adrress này. Trong ví d c a chúng ta, gi nguyên vùng Internal networkaddress. Click Next.

6. Trên Select a Firewall Policy page b n có th ch n m t firewall policy và m t t p h pcác Access Rules. Trong ví d này chúng ta mu n cho phép các Internal network clients cóth truy c p n t t c Protocol c a t t c các Sites trên Internet. Sau khi ã có kinhnghi m h n v i ISA Server 2004 firewall, b n có th gia t ng m c security c a t t c cáctruy c p ra ngoài - outbound access . T i th i m này ch c n th nghi m cho phép truy

p Internet. Ch n Allow unrestricted access policy t danh sách và click Next.






7. Review l i các xác l p v a r i và click Finish trên Completing the Network TemplateWizard page.

8. Click Apply u l i nh ng thay i và c p nh t firewall policy.

9. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changesto the configuration were successfully applied.

10. Click trên Firewall Policies node trong khung trái xem các policies c t o b iEdge Firewall network template. 2 Access Rules cho phép Internal network và VPN clientstruy c p y ra Internet, và VPN clients c ng c y quy n truy c p vào Internalnetwork.






ch b n 2: C u hình 3-Leg Perimeter

u hình Firewall theo template d ng 3-leg perimeter s t o ra các m i quan h gi a cácNetwork: Internal, DMZ và Internet. Và t ng ng Firewall c ng t o ra các Access Rules

tr cho Internal network segment và perimeter (DMZ) network segment. Perimeternetwork Segment –DMZ là khu v c có th qu n lý các ngu n tài nguyên cho phép ng idùng Internet truy c p vào nh :public DNS server ho c m t caching-only DNS server.

Table 2: Nh ng ch l a t i 3-Legged Perimeter Firewall Template Firewall Policy

Firewall Policy Mô t

Block all Ch n t t c truy c p qua ISA Server. L ach n này s không t o b t kì Rules nàokhác h n ngoài default rule - ng n ch n t t

truy c p

Block Internet access,

allow access to

network services on

the perimeter network

Ch n t t c truy c p qua ISA Server, ngoàitr nh ng truy c p n các networkservices, nh DNS trên DMZ .

Các access rules sau s c t o:

1. Allow DNS traffic from Internal Networkand VPN Clients Network to PerimeterNetwork –Cho phép các truy c p d ch vDNS t Internal Network và VPN ClientsNetwork n Perimeter Network

Block Internet access, Ng n ch n t t c các truy c p M ng quafirewall ngo i tr các network services nh






allow access to ISP

network services

DNS. L a ch n này là phù h p khi nhàcung c p các d ch v m ng c b n làInternet Service Provider (ISP) c a b n.

Các rules sau s c t o:

1. Allow DNS from Internal Network, VPNClients Network and Perimeter Network toExternal Network (Internet) –Cho phépDNS t Internal Network, VPN ClientsNetwork và Perimeter Network nExternal Network (Internet)

Allow limited Web

access, allow access

to network services

on perimeter network

Ch cho phép cac truy c p h n ch dùngcác Protcol Web nh : HTTP, HTTPS, FTP và

ng cho phép truy c p các networkservices nh DNS trên DMZ.

t c các truy c p M ng khác u bblocked.

a ch n này phù h p khi t t c các d ch h t ng M ng n m trên DMZ.


1. Allow HTTP, HTTPS, FTP from InternalNetwork and VPN Clients Network toPerimeter Network and External Network(Internet)

2. Allow DNS traffic from Internal Networkand VPN Clients Network to PerimeterNetwork

3. Allow all protocols from VPN ClientsNetwork to Internal Network

Allow limited Web

access and access to

ISP network services

ng gi ng nh trên nh ng ch khác là cácnetwork services nh DNS do InternetService Provider (ISP) c a b n cung c p.

t c các truy c p M ng khác u bblocked.


1. Allow HTTP, HTTPS, FTP from InternalNetwork and VPN Clients Network to theExternal Network (Internet)

2. Allow DNS from Internal Network, VPN






Clients Network and Perimeter Network toExternal Network (Internet)

3. Allow all protocols from VPN ClientsNetwork to Internal Network

Allow unrestricted

access

Cho phép t t c các lo i truy c p raInternet qua firewall. Firewall s ch n cáctruy c p t Internet vào các Network c

o v . T chính sách cho phép t t c truyp này, sau ó b n có th ng n ch n b tt s truy c p không phu h p v i chính

sách b o m t c a t ch c

Các rules sau s c t o:

1. Allow all protocols from InternalNetwork and VPN Clients Network toExternal Network (Internet) and PerimeterNetwork

2. Allow all protocols from VPN Clients toInternal Network

Ti n hành các b c sau dùng 3-Leg Perimeter network template:

1. M Microsoft Internet Security and Acceleration Server 2004 management

console , m r ng server name. M ti p Configuration node và click trên Networks node.

2. Click Networks tab trong Details pane, sau ó click Templates tab trong Task pane.Click vào 3-Leg Perimeter network template.

3. Click Next trên Welcome to the Network Template Wizard page.

4. Trên Export the ISA Server Configuration page, b n có th ch n export c u hìnhhi n t i. L a ch n này là s c n tr ng, khi b n không mu n s d ng c u hình c a templatevà mu n quay tr l i các xác l p ban u. Trong ví d này chúng ta ã backed up c u hìnhvì th không c n ph i export . Click Next.

5. Trên Internal Network IP Addresses page, xác nh các a ch IP c a Internalnetwork. B n s th y ISA t ng xu t hi n chúng trong Address ranges list. B n không

n ph i thêm b t kì Address nào trong Internal network. Click Next.

6. Ti p theo, B n s c u hình vùng a ch này thu c perimeter network segment trênPerimeter Network IP Addresses page. B n nh n th y Address ranges list hoàn toàntr ng. Do ó..






7. Click vào Add Adapter button. Trong Network adapter details dialog box, ánh d uvào DMZ check box. Tên Adapter là DMZ do b n t lúc u và hãy ánh d u cho chính xácvào y. Click OK.

8. Wizard s t ng a các a ch vào Address ranges list d a trên Windows routingtable. Click Next.

9. Trên Select a Firewall Policy page, B n s ch n m t firewall policy t o m i quan hgi a Internet, DMZ và Internal networks và c ng t o ra các Access Rules. Trong ví d nàychúng ta s cho phép Internal network clients y quy n truy c p ra Internet và DMZnetwork, và c ng cho phép các DMZ hosts c truy c p ra Internet. Sau khi ã có kinhnghi m h n v i vi c config Access Policies trên ISA Server 2004 firewall, b n s ki m soátch t ch h n các truy c p ra bên ngoài -outbound access gi a DMZ network segment vàInternet, gi a Internal network segment và Internet. Ch n Allow unrestricted accessfirewall policy và click Next.

10. Review l i các xác l p trên Completing the Network Template Wizard và clickFinish.

11. Click Apply l u l i nh ng thay i và c p nh t cho Firewall.


13. Click trên Firewall Policy node trên khung trái c a Microsoft Internet Security andAcceleration Server 2004 management console xem l i các rules ã c t o b i 3-Leg Perimeter network template. 2 rules này cho phép các Hosts thu c Internal network vàVPN clients network y quy n truy c p ra Internet và c DMZ. Thêm n a, VPN Clientsnetwork c truy c p y vào Internal network.

14. M r ng Configuration node bên khung trái c a Microsoft Internet Security andAcceleration Server 2004 management console. Click Networks node. ây b n sth y m t danh sachq c a các networks, bao g m Perimeter network c t o b itemplate.

15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and clickProperties.

16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab.n có th th y trong danh sách This rule applies to traffic from these sources m

Internal, Quarantined VPN Clients và VPN Clients networks.

17. Click Destination Networks tab. B n th y Perimeter network trong This ruleapplies to traffic sent to these destinations list.

18. Click Network Relationship tab. Xác l p m c nh là Network Address Translation(NAT). ây là m t xác l p an toàn vì b n bi t r ng NAT có th n các IP addresses c aInternal network clients k t n i n các DMZ network hosts.

Tuy nhiên các m i quan h gi a NAT và các Protocols, không ph i bao gi c ng thu n l i.t s Protocol không làm vi c c v i NAT, cho nên trong ví d này chúng ta ch n

Network Relationship là Route relationship nh m gi i quy t v n r c r i ó.Ghi nh r ng,






i th i m này, không có Access Rules nào cho phép truy c p t i Internal network t DMZnetwork.

19. Click Apply và click OK.

20. Click Apply l u nh ng thay i.


t lu n:

Trong ch ng này chúng ta ã c p cách th c s d ng các network templates: EdgeFirewall và 3-Leg Perimeter n gi n hóa các c u hình kh i ho t cho: networkaddresses, Network Rules và Access Rules. Trong ch ng t i chúng ta s th o lu n ti p vcác lo i ISA Server 2004 Clients khác nhau làm vi c th nào v i iSA Server 2004 Fiewall.






Ch ng 10:

Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

t ISA Server 2004 client là máy tính k t n i n các ngu n tài nguyên khác thông quaISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client th ng c t trong

t Internal hay perimeter network –DMZ và k t n i ra Internet qua ISA Server 2004firewall.

Có 3 lo i ISA Server 2004 client:

• SecureNAT client

• Web Proxy client

• Firewall client

t SecureNAT client là máy tính c c u hình v i thông s chính Default gateway giúpnh tuy n ra Internet thông qua ISA Server 2004 firewall. N u SecureNAT client n m trênng tr c ti p k t n i n ISA Server 2004 firewall, thông s default gateway c a

SecureNAT client chính là IP address c a network card trên ISA Server 2004 firewall g n v iNetwork ó . N u SecureNAT client n m trên m t Network xa ISA Server 2004 firewall,khi ó SecureNAT client s c u hình thông s default gateway là IP address c a router g nnó nh t, Router này s giúp nh tuy n thông tin t SecureNAT client n ISA Server 2004firewall à ra Internet.

t Web Proxy client là máy tính có trình duy t internet (vd:Internet Explorer) c c uhình dùng ISA Server 2004 firewall nh m t Web Proxy server c a nó. Web browser có th

u hình s d ng IP address c a ISA Server 2004 firewall làm Web Proxy server c a nó–c u hình th công, ho c có th c u hình t ng thông qua các Web Proxyautoconfiguration script c a ISA Server 2004 firewall. Các autoconfiguration script cung c p

c tùy bi n cao trong vi c u khi n làm th nào Web Proxy clients có h k t n iInternet. Tên c a User –User names c hi nh n trong các Web Proxy logs khi máy tính

c c u hình nh m t Web Proxy client.

t Firewall client là máy tính có cài Firewall client software. Firewall client software ch nt c các yêu c u thu c d ng Winsock application (thông th ng, là t t c các ng d ng

ch y trên TCP và UDP) và y các yêu c u này tr c ti p n Firewall service trên ISAServer 2004 firewall. User names s t ng c a vào Firewall service log khi máy tìnhFirewall client th c hi n k t n i Internet thông qua ISA Server 2004 firewall.

ng d i ây tóm t t các tính n ng c cung c p b i m i lo i client.

Table 1: Các lo i ISA Server 2004 Client và nh ng c m






Feature SecureNAT client Firewall client Web Proxy client

n ph i cài t ? Không, ch c n xácp thông s default

gateway

Yes. C n cài tsoftware

Không, ch c n c uhình các thông sphù h p t i trìnhduy t Web- Webbrowser

tr H uhành nào ?

t c OS nào htr TCP/IP

Ch Windows t kì OS nào có htr các Webapplication

tr Protocol Nh có b l c ngng -Application

filters có th h trcác ng d ng ch y

t h p nhi uprotocols -multiconnection

protocols

t c các ngng Winsock

Applications. Cóngh a là h u h tcác ng d ng trênInternet hi n nay

HTTP, SecureHTTP

(HTTPS), và FTP

Có h tr xác th cng i dùng haykhông ? Nh m ki msoát vi c User truy

p ra ngoài

Yes, nh ng ch dànhcho VPN clients

Yes Yes

u hình SecureNAT Client

u hình SecureNAT client là vi c r t n gi n ! Client ch vi c c u hình thông s defaultgateway giúp client nh tuy n ra Internet thông qua ISA Server 2004 firewall. Có 2 cáchchính c dùng c u hình m t máy tr thành m t SecureNAT client:

• Xác l p các thông s TCP/IP th công trên máy

• Cung c p thông s default gateway address t ng thông qua các xác l p DHCP scopeoption trên DHCP Server

Trong k ch b n ã t ng c p c a sách thì domain controller ã c c u hình nh m tSecureNAT client. Network servers nh domain controllers, DNS servers, WINS servers vàWeb servers thông th ng c ng c c u hình nh các SecureNAT clients.

Domain controller ã c c u hình th công làm SecureNAT client.






Trong ch ng 4 c a sách chúng ta ã cài t DHCP server và t o ra m t DHCP scope (m tvùng IP addresses). DHCP scope ã c c u hình v i m t scope option c p phát cho DHCPclients thông s default gateway address chính là IP address c a Internal interface trên ISAServer 2004 firewall. C u hình m c nh c a Windows systems là s d ng DHCP nh ncác xác l p v thông tin IP address.

u b n s d ng c u hính Network c mô t trong ch ng c a sách , Internal networkclient c c u hình v i IP address t nh. Trong h ng d n theo sau, chúng ta s c u hìnhInternal network client dùng DHCP mô t cách th c DHCP ho t ng, sau ó chúng ta squay tr l i dùng IP t nh. Ti n hành các b c sau c u hình DHCP client trên máy Windows2000 và sau ó quay l i dùng IP t nh.

1. T i máy CLIENT, right click My Network Places icon trên desktop và click Properties.

2. Trong Network and Dial-up Connections, right click Local Area Connection và clickProperties.

3. Trong Local Area Connection Properties dialog box, click Internet Protocol

(TCP/IP) , click Properties.

4. Trong Internet Protocol (TCP/IP) Properties dialog box, ch n Obtain an IPaddress

automatically và Obtain DNS server address automatically. Click OK.






5. Click OK trong Local Area Connection Properties dialog box.

6. Xác nh IP address m i c c p phát, thông qua l nh ipconfig. Click Start , Run.Trong Open box, ánh l nh cmd.

7. Trong Command Prompt window, l nh ipconfig /all , ENTER. ây b n có th th yc IP address c c p phát cho Clientvà các thông s IP address khác mà Client dùng

nh : DNS, WINS và default gateway

8. óng Command Prompt. Quay tr l i TCP/IP Properties dialog box và thay i máyCLIENT dùng l i IP t nh. IP address là 10.0.0.4; subnet mask 255.255.255.0; defaultgateway 10.0.0.1, và DNS server address 10.0.0.2.

u hình Web Proxy Client

u hình Web Proxy client yêu c u trình duy t Web (vd: Internet Explorer) s d ng ISAServer 2004 firewall nh là Web Proxy server c a mình. Có m t s cách c u hình Webbrowser v i vai trò m t Web Proxy client. Có th là:

• C u hình th công s d ng IP address c a ISA Server 2004 firewall là Web

Proxy server

• C u hình th công thông qua s d ng các file script t ng- autoconfiguration script

• C u hình t ng thông qua cài ph n m m Firewall client (các b n nh k cách c u hìnhnày nhé)

• C u hình t ng s d ng thành ph n wpad c h tr v i DNS và DHCP






Trong ch ng 5 c a sách, các b n ã t o các wpad entries trong DNS và DHCP h trvi c t ng c u hình Web Proxy và Firewall client. Tính n ng t ng khám phá c a Wpad-Wpad autodiscovery c xem là ph ng pháp c u hình Web Proxy client, và cho phép Usert7 ng nh n c các thông s xác l p Web Proxy mà không c n ph i th công c u hìnhtrên trình uy t web –web browsers c a các Clients.

t cách khác c u hình t ng Web browsers thành Web Proxy clients , ó là khiFirewall client c setup trên clients.. Và ch c ch n r ng các b n nên ch n các ph ngth c tri n khai c u hình t ng trên nh ng h th ng M ng l n, n i mà vi c c u hình thcông quá b t ti n, và h th ng m ng th ng xuyên có s vào ra c a các máy tính mobile(labtop..).

u chúng ta v n ang dùng c u hình thi t l p M ng c a sách DNS và DHCP servers sc c u hình cung c p các thông s wpad cho Web browsers chúng có th t c u

hình. Tuy nhiên, n u chúng ta không ch n c u hình t ng, thì v n có th c u hính thcông trên các browsers cho các Clients. Cúng ta s xem xét c u hình browser trong su tquá trình cài t Firewall client ph n t i.

Ti n hành th công các b c sau c u hình cho Explorer 6.0 Web browser:

1. Trên máy CLIENT, right click Internet Explorer icon n m trên desktop,click Properties.

2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab,click LAN Settings button.

3. Có vài l a ch n c u hình Web proxy trong Local Area Network (LAN) Settings dialogbox. ánh d u check vào Automatically detect settings check box cho phép browserdùng các xác l p wpad trong DNS và DHCP. ây là l a ch n m c nh trên các InternetExplorer Web browsers. t m t checkmark vào Use automatic configuration scriptcheck box, và n vào v trí l u tr autoconfiguration script trên ISA Server 2004 firewallnh sau:

http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script

nhiên máy client ph i có kh n ng gi i quy t tên ISALOCAL.msfirewall.org (ISAServer 2004 firewall) ra IP address (IP address này n m trênInternal interface c a firewall.Chú ý m t u, n u Client có th dùng wpad Automatically detect settings, thì cácthông tin c u hình t ng n m rong autoconfiguration script s c download ntrình duy t Web Proxy client. t m t checkmark vào Use a proxy server for your LAN(These settings will not apply to dial-up or VPN connections) check box, và n vàoIP address c a Internal interface trên ISA Server 2004 firewall trong Address text box.

n ti p TCP port number mà danh sách các Web Proxy filter trên ISA s l ng nghe trênPort text box, theo m c nh là port 8080. Click OK trong Local Area Network (LAN)Settings dialog box.




http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script



4. Click OK trong Internet Properties dialog box.

Web browser hi n gi ã c c u hình thành m t Web Proxy client, theo c 3 cách c uhình khác.

u hình Firewall Client

Ph n m m Firewall client cho phép b n u khi n ai c quy n truy c p Internet (trênu h t t t c Application k t n i ra Internet – Winsock TCP/UDP) c n c trên m i User

ho c Group.

Firewall client software s t ng g i quy n truy c p c a User (User Credential:Username+Password) n ISA Server 2004 firewall. User accounts có th là tài kho n n i

trên chính ISA Server 2004 firewall (t c là các accounts n m trong Sam database)n u cISA Server 2004 và clients u thu c cùng m t Windows domain, thì các user accounts cóth n m trên Windows NT 4.0 SAM ho c Windows 2000/Windows Server 2003 ActiveDirectory. Tôi nh c l i, trong môi tr ng Domain 2000/2003, Active directory database(trên Domain controller là n i l u tr t t c tài kho n User c a Domain ó)

Firewall client software có th c setup t ISA Server 2004 ho c b t kì máy nào có ch aph m m m này trên m ng, r t n gi n. Tuy nhiên, n u b n mu n cài t Firewall clientsoftware t ISA Server 2004 firewall computer, tr c h t hãy b t System Policy Rule nh mcho phép truy c p n share có ch a source này. Sau này b n nên chuy n Source này n

t File server trên m ng vi c truy c p c an toàn h n, hi n gi nó ang c ttrên ISA. Theo các b c sau cài Firewall client trên 2 computer: domain controller vàWindows 2000 client computer.

1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISAServer 2004 icon.

2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page,click Next.






3. Trên License Agreement page, ch n I accept the terms in the license agreement,click Next.

4. trên Customer Information page, n User name, Organization và Product

Serial Number a b n. Click Next.

5. trên Setup Type page, ch n Custom.

6. Trên Custom Setup page, click Firewall Services entry và click This feature will notbe available option. Click ISA Server Management entry và click This feature will notbe available option. Click Firewall Client Installation Share và click This feature, and

all subfeatures, will be installed on the local hard drive. Click

Next.


8. Click Finish trên Installation Wizard Completed page.

Bây gi b n có th cài Firewall client software t Firewall client share trên domaincontroller. Ti n hành các b c sau cài Firewall client software:

1. T i CLIENT computer trên Internal network, click Start và click Run

command. trong Open text box, n vào EXCHANGE2003BEmspclntsetup và click OK.

2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.

3. Click Next trên Destination Folder page.






4. Trên ISA Server Computer Selection page, ch n Automatically detect theappropriate ISA Server computer option. Ch n l a này s làm vi c b i vì b n ã t owpad entry trong DNS. N u b n ch a t o m t wpad entry, b n có th ch n Connect tothis ISA Server computer option và n vào tên hay IP address c a ISA Server 2004firewall trong text box. Click Next.


6. Click Finish trên Install Wizard Completed page.

c k ti p c n c u hình Firewall client h tr Internal network. Ti n hành cácc sau trên ISA Server 2004 firewall:

1. M Microsoft Internet Security and Acceleration Server 2004 management

Console, m server name. m ti p Configuration node và click trên Networks node. Rightclick trên Internal Network và click Properties.

2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác nh là ãánh d u vào Enable Firewall client support for this network check box.

Xác nh là c ng ã ánh d u vào Automatically detect settings và Use automaticconfiguration script check boxes trong khung Web browser configuration on theFirewall client computer. ánh dáu ti p vào Use a Web proxy server check box. S

ng tên y c a ISA Server 2004 firewall -FQDN trong ISA Server name or IP






address text box. Trong vd này FQDN c a ISA Server 2004 computer làISALOCAL.msfirewall.org. Click Apply.

3. Click vào Auto Discovery tab. ánh d u vào Publish automatic discoveryinformation check box. port m c nh này, không thay i 80. Click Apply






4. Click Apply l u nh ng thay i và c p nh t firewall policy.

5. Click OK trong Apply New Configuration dialog box.

Bây gi chúng ta có th c u hình Firewall client. Ti n hành các b c sau trên CLIENT.

1. T i CLIENT computer, double click bi u t ng Firewall client icon trên khay h th ng.

2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nh n r ng ãánh d u checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check

box.

Xác nh n ti p ã ch n Automatically detect ISA Server






3. Click Detect Now button. Tên c a ISA Server 2004 firewall s xu t hi n trongDetecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.






4. Xác nh n r ng ã ánh d u vào Enable Web browser automatic configurationcheckbox và click Configure Now button. C ng l u ý r ng, d a tên các xác l p mà chúngta ã t o trên ISA Server 2004 firewall, browser ã c cung c p các thông s c u hình t

ng.

Click OK trong Web Browser Settings Update dialog box.






5. Click Apply và sua ó click OK trong Microsoft Firewall Client for ISA Server 2004dialog box.

Gi ây Máy ã c c u hình nh m t Firewall client và có th truy c p ra Internet d a têncác quy t c truy c p - Access Rules ã c xác l p trên ISA Server 2004 firewall.

t lu n

Trong ch ng này c a sách, ã c p n các lo i ISA Server 2004 client khác nhau vành ng tính n ng riêng trên m i lo iChúng ta c ng ã ti n hành cài t m i lo i theo m t scách. Trong ch ng t i c a sách chúng ta s phác th o các th t c t o ho c ch nh s acác quy t c trên chính sách truy c p ra ngoài Internet -outbound access policy rules thôngqua các Network Templates.




Documents

ISA Server Firewall 2004