Internet security-accessleration

Bui Dinh Giang - PTSC Page 1 13/04/2023

Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 1)

(Copyright 2005 Network Information Security Vietnam - Nis.com.vn )

GIỚI THIỆU:

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi

động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhĩ ?! nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảm bớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?!..”” . Không đâu xa những nước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứng dụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người.Và họ cũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các “vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” của Bill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thông tin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”. Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong thế kĩ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt động, cho mọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý không còn tồn tại, dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất. Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ. Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều

Page 1 of 107


hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó. Ai tạo ra bức tường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm nhập?! Xin thưa rằng trước hết đó là ý thức sử dụng máy tính an toàn của tất cả mọi nhân viên trong một Tổ chức, sự am hiểu tinh tường của các Security Admin trong Tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2004 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin.

CHƯƠNG 1HƯỚNG DẪN SỬ DỤNG

CHƯƠNG 2CÀI ĐẶT CERTIFICATE SERVICES

CHƯƠNG 3CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT INTERNET AUTHENTICATION SERVICE

CHƯƠNG 4CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT DHCP VÀ WINS SERVER SERVICES

CHƯƠNG 5CẤU HÌNH DNS VÀ DHCP HỖ TRỢ CHO WEBPROXY VÀ FIREWALL CLIENT TÍNH NĂNG AUTODISCOVERY

CHƯƠNG 6CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER VỚI CHỨC NĂNG CACHING-ONLY TRÊN PERIMETER NETWORK SEGMENT

CHƯƠNG 7CÀI ĐẶT ISA SERVER 2004 TRÊN WINDOWS SERVER 2003

CHƯƠNG 8BACKUP VA PHỤC HỒI CẤU HÌNH CỦA FIREWALL

CHƯƠNG 9ĐƠN GIẢN HÓA CẤU HÌNH NETWORK VỚI CÁC MÔ HÌNH MẪU NETWORK TEMPLATES

Page 2 of 107


CHƯƠNG 10CẤU HÌNH CÁC LOẠI ISA SERVER CLIENTS: SECURENAT, FIREWALL VÀ WEB PROXY CLIENTS

CHƯƠNG 11CẤU HÌNH ISA SERVER 2004 ACCESS POLICY

CHƯƠNG 12PUBLISH CÁC SERVICES WEB, FTP TRÊN PERIMETER NETWORK

CHƯƠNG 13CẤU HÌNH FIREWALL VỚI VAI TRÒ MỘT FILTERING SMTP RELAY

CHƯƠNG 14PUBLISH EXCHANGE OUTLOOK WEB ACCESS, SMTP SERVER, VÀ POP3 SERVER SITES

CHƯƠNG 15CẤU HÌNH ISA SERVER 2004 VỚI VAI TRÒ MỘT VPN SERVER

CHƯƠNG 16TẠO MỘT SITE-TO-SITE VPN VỚI ISA SERVER 2004 FIREWALLS

CHƯƠNG 1: Triển khai hạ tầng Network với những Service thiết yếu

Cuốn sách được trình bày theo thực tế triển khai ISA Server 2004 trong mô hình Network của một Tổ chức. Nội dung của sách gói gọn trong các vấn đề cấu hình hệ thống ISA Server 2004 trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các Service từ xa, phục vụ cho cả các ISA Clients bên trong truy cập các Service bên ngoài (Internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các Service bên trong Network Tổ chức.

Firewalls luôn là một trong các loại thiết bị Network cấu hình phức tạp nhất và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Network (Network Infrastructure ) mới có thể sử dụng được ISA Server 2004 như một Network Firewall.

Chương này sẽ mô tả các vấn đề sau:• Giúp bạn hiểu các tính năng có mặt trên ISA Server 2004• Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server 2004 Firewall

Page 3 of 107


• Mô tả chi tiết thực hành triển khai ( ISA SERVER 2004 Lab Configuration)

Hiểu các tính năng trên ISA Server 2004

ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Network của một Tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại. ISA Server 2004 Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Network . Cuốn sách cung cấp cho các Security Admin hiểu được những khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trên ISA Server 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps)Firewalls không làm việc trong một môi trường “chân không”, vì đơn giản là chúng ta triển khai Firewall để bảo vệ một cái gì đó, có thể là một PC, một Server hay cả một hệ thống Network với nhiều Service được triển khai như Web, Mail, Database…. Chúng ta sẽ có một hướng dẫn đầy đủ về việc triển khai các Service cần thiết cho hoạt động Network của một Tổ chức. cách thức cài đặt và cấu hình những Service này như thế nào. Và điều tối quan trọng là Network và các Service phải được cấu hình đúng cách trước khi triển khai Firewall. Điều này giúp chúng ta tránh được những vấn đề phiền toái nảy sinh khi triển khai ISA Server 2004.Các Network Services và những tính năng trên ISA Server 2004 sẽ được cài đặt và cấu hình gồm:• Cài đặt và cấu hình Microsoft Certificate Services (Service cung cấp các Chứng từ kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên Network)• Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) Service xác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN)• Cài đặt và cấu hình Microsoft DHCP Services (Service cung cấp các xác lập TCP/IP cho các node trên Network) và WINS Services (Service cung cấp giải pháp truy vấn NETBIOS name của các Computer trên Network)• Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự động khám phá)) và Autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients. Rất thuận lợi cho các ISA Clients (Web và Firewall clients) trong một Tổ chức khi họ phải mang Computer từ một Network (có một ISA Server) đến Network khác (có ISA Server khác) mà vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên ISA Server này .• Cài đặt Microsoft DNS server trên Perimeter Network server (Network chứa các Server cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN)• Cài đặt ISA Server 2004 Firewall software• Back up và phục hồi thông tin cấu hình của ISA Server 2004 Firewall

Page 4 of 107


• Dùng các mô hình mẫu của ISA Server 2004 ( ISA Server 2004 Network Templates) để cấu hình Firewall• Cấu hình các loại ISA Server 2004 clients• Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 Firewall• Publish Web Server trên một Perimeter Network• Dùng ISA Server 2004 Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức năng ngăn chặn Spam mails)• Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM)• Cấu hình ISA Server 2004 Firewall đóng vai trò một VPN server• Tạo kết nối VPN theo kiểu site to site giữa hai Networks

Trước khi thực hành cấu hình ISA Server 2004 Firewall, phải nhận thức rõ ràng : Đây là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một Firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Network. Với những lý do này, điều quan trọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn cho việc truy cập Internet . Với cấu hình mặc định của mình ISA Server 2004 ngăn chặn tất cả lưu thông vào, ra qua Firewall.Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngay từ đầu khi vận hành ISA Server. Và sau đó để đáp ứng các yếu cầu hợp pháp truy cập các Service khác nhau của Internet (ví dụ như web, mail, chat, download, game online v.vv..), Security Admin sẽ cấu hình để ISA Server 2004 có thể đáp ứng các yêu cầu được phép trên.Các Securty Admin luôn được khuyến cáo: Hãy tạo các cuộc kiểm tra cấu hình ISA Server 2004 trong phòng Lab, trước khi đem các cấu hình này áp dụng thực tế. Chúng ta sẽ được hướng dẫn cấu hình ISA Server 2004 Firewall đúng cách, chính xác thông qua giao diện làm việc rất gần gũi của ISA Server 2004. Có thể có những sai lầm khi thực hiện Lab, nhưng các Admin không qua lo lắng vì chắc rằng các attackers không thể lợi dụng những lỗ hỗng này (trừ khi Lab Network được kết nối với Internet..). Trên Lab điều quan trọng nhất là hiểu đúng các thông số đã cấu hình, cho phép sai phạm và các Admin rút ra kinh ghiệm từ chính những “mistakes” này.

LAB hướng dẫn cấu hình ISA Server 2004 Firewall

Chúng ta sẽ dùng một Network Lab để mô tả những khả năng và những nét đặc trưng của ISA Server 2004. Các Admin khi thực hành nên xây dựng một Test Lab tương tự như mô hình chỉ ra dưới đây (tất cả các thông số sử dụng). Nếu các Security Admin không có đủ các thiết bị thật như Test Lab này, có thể dùng mô hình giả lập, đến từ các Virtual Software như Microsoft’s Virtual PC software (hoặc VMWare) để tạo mô hình Lab ảo. Xem thêm về Virtual PC tại Website: http://www.microsoft.com/windowsxp/virtualpc/

Trong phần này, chúng ta sẽ xem xét:

• Hướng dẫn cấu hình Network cho ISA Server 2004

Page 5 of 107

http://www.microsoft.com/windowsxp/virtualpc/


• Cài đặt Windows Server 2003 , và sau đó nâng (dcpromo) Computer này lên thành một Domain controller (máy chủ kiểm soát toàn hoạt động của Domain) • Cài đặt Exchange Server 2003 trên Domain controller này và cấu hình thành một OutlookWeb Access Site dùng phương thức xác thực cơ bản (Basic authentication)

Sơ đồ Network triển khai ISA Server 2004

Mô hình Network Lab – 7Computers.

Tuy nhiên Network Lab không yêu cầu cả 7 Computers này chạy cùng một thời điểmĐiều này tạo điều kiện dễ dàng cho Lab đặc biệt là Lab ảo.Mô hình Network của Tổ chức này có một Local Network (Network cục bộ LAN) và một Remote Network. Mỗi Network có một ISA Server 2004 chắn phía trước đóng vai trò Firewall. Tất cả các Computers trên Local Network đều là thành viên của Domain MSFirewall.org, và domain này bao gồm luôn cả ISA Server 2004 Firewall computer. Tất cả các Computers còn lại không là thành viên của Domain này.Trên lab Network, Network Card ngoài (External interfaces) của các ISA Server 2004 Firewalls có kết nối cho phép truy cập Internet. Các Admin nên tạo các thông số cấu

Page 6 of 107


hình giống nhau để có thể Test các kết nối thực sự đến Internet từ phía Clients nằm sau ISA Server 2004 Firewalls.Nếu chúng ta dùng phần mềm giả lập thì lưu ý rằng, chúng ta phải set-up đến 3 Virtual Networks trên Test Lab. Đó là các Vitual Networks: Domain Controller nằm trên Internal Network, TRIHOMELAN1 Computer nằm trên Perimeter Network và REMOTECLIENT virtual Network thứ ba.Lưu ý với Lab ảo: Chắc chắn một điều là trên các Virtual Networks này bố trí các Computers trên các Virtual Switches khác nhau, để ngăn chặn các thông tin tràn ngập theo kiểu Ethernet broadcast traffic, điều này có thể gây nên những kết quả không mong muốn trên Lab ảo..

Page 7 of 107


Cài đặt và cấu hình Domain Controller trên Internal Network

Một Computer khác hơn so với ISA Server 2004 Firewall computer, có quyền lực quản trị toàn Domain nội bộ đó là Domain Controller . Microsoft xây dựng mô hình Domain dưới sự kiểm soát của Active Directory Service và Domain Controller là công cụ kiểm soát Domain đó. (quản lý tất cả các Clients và Servers cung cấp Service trong Domain như Web, Mail, Database server và kể cảISA Servers)Trong Lab này chúng ta sẽ cấu hình một Windows Server 2003 domain controller, và triển khai luôn các Service như: DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003 trên chính Domain controller này.

Các giai đoạn tiến hành:• Cài đặt Windows Server 2003• Cài đặt và cấu hình DNS service• Nâng Computer này lên thành Domain controller

Cài đặt Windows Server 2003

Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller1. Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer. Cho phép boot từ CD 2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt. Nhấn Enter khi mà hình Welcome to Setup xuất hiện3. Đọc những điều khoản về License trên Windows Licensing Agreement , dùng phím PAGE DOWN để xem hết sau đó nhấn F8 để đồng ý với điều khoản4. Trên Windows Server 2003, Standard Edition Setup xuất hiện màn hình tạo các phân vùng lôgic (Partition) trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Trong Test Lab này, toàn bộ đĩa cứng sẽ chỉ làm một Partition. Nhấn ENTER.5. Trên Windows Server 2003, Standard Edition Setup, chọn Format the partition using the NTFS file system Nhấn ENTER.6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn thành7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn thành 8. Computer sẽ restart lại trong giao diện đồ họa (graphic interface mode). Click Next trên trang Regional and Language Options 9. Trên trang Personalize Your Software, điền Tên và Tổ chức của BạnVí dụ :Name: Nis.com.vnOrganization: Network Information Security Vietnam10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next.11. Trên trang Licensing Modes chọn đúng option được áp dụng cho version WindowsServer 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa vào số connections mà bạn đã có License. Click Next.12. Trên trang Computer Name và Administrator Password điền tên của Computer trong Computer Name text box. Theo các bước trong xây dựng Test Lab này, thì

Page 8 of 107


Domain controller/Exchange Server trên cùng Server và có tên là EXCHANGE2003BE, tên này được điền vào Computer Name text box. Điền tiếp vào mục Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào Server cho các hoạt động tiếp theo). Click Next.13. Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam). Click Next.14. Trên trang Networking Settings, chọn Custom settings option.15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong Components và click Properties.16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau:IP address: 10.0.0.2. Subnet mask: 255.255.255.0. Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của Internal Card trênISA Server). Preferred DNS server: 10.0.0.2.17. Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. Trong Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add. Trong TCP/IP WINS Server dialog box, điền 10.0.0.2 và click Add.18. Click OK trong Advanced TCP/IP Settings dialog box.19. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.20. Click Next trên trang Networking Components.21. Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ tạo môi trường Domain sau, đưa máy này trở thành một Domain controller và cũng là thành viên của Domain (là một member server, vì trên Server này còn cài thêm nhiều Server Service khác ngoài Active Directory Service).Click Next.22. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại23. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup.24. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào Don’t display this page at logon checkbox và đóng cửa sổ Window lại

Cài đặt và cấu hình DNS

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính Computer này (EXCHANGE2003BE ). Điều này là cần thiết vì Active Directory Service hoạt động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí các record (A, PTR, SRV records v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS server này sẽ phục vụ cho toàn Domain.Tiến hành các bước sau để cài đặt DNS server 1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components3. Trong Windows Components, xem qua danh sách Components và click Networking Services entry. Click Details.4. Check vào Domain Name System (DNS) checkbox và click OK.

Page 9 of 107


5. Click Next trong Windows Components.6. Click Finish trên Completing the Windows Components Wizard.7. Đóng Add or Remove Programs DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup zones. Tiến hành các bước sau để cấu hình DNS server:1. Click Start và sau đó click Administrative Tools. Click DNS.2. Trong bảng làm việc của DNS (DNS console), mở rộng server name (EXCHANGE2003BE ), sau đó click trên Reverse Lookup Zones. Right click trên Reverse Lookup Zones và click New Zone.3. Click Next trên Welcome to the New Zone Wizard.4. Trên Zone Type , chọn Primary zone option và click Next.5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào text box. Click Next.6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option. Click Next.8. Click Finish trên Completing the New Zone Wizard page.Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là Domain Controller.Tiến hành các bước sau 1. Right click Forward Lookup Zone và click New Zone.2. Click Next trên Welcome to the New Zone Wizard page.3. trên Zone Type page, chọn Primary zone option và click Next.4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box. Trong ví dụ này tên của zone là MSFirewall.org, trùng với tên của Domain sẽ tạo sau này. Đưa MSFirewall.org vào text box. Click Next.5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates. Click Next.7. Click Finish trên Completing the New Zone Wizard page.8. Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên MSFirewall.org và Click New Host (A).9. Trong New Host dialog box, điền vào chính xác EXCHANGE2003BE trong Name (uses parent domain name if blank) text box. Trong IP address text box, điền vào 10.0.0.2. Check vào Create associated pointer (PTR) record checkbox.Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo xong. Click Done trong New Host text box.10. Right click trên MSFirewall.org forward lookup zone và click Properties. Click Name Servers tab. Click exchange2003be entry và click Edit.11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là exchange2003be.MSFirewall.org. Click Resolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.12. Click Apply và sau đó click OK trên MSFirewall.org Properties dialog box.13. Right click trên DNS server name EXCHANGE2003BE , chọn All Tasks. Click Restart.

Page 10 of 107


14. Close DNS console.

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller trong Domain MSFirewall.orgTiến hành các bước sau để tạo Domain và nâng server này thành Domain Controller đầu tiên của Domain (Primary Domain Controller)

Cài đặt Primary Domain Controller

1. Click Start và click Run .2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.3. Click Next trên Welcome to the Active Directory Installation Wizard page.4. Click Next trên Operating System Compatibility page.5. Trên Domain Controller Type page, chọn Domain controller for a new domainoption và click Next.6. Trên Create New Domain page, chọn Domain in a new forest option và click Next.7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name) MSFirewall.org text box và click Next.8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là MSFIREWALL. Click Next.9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.11. Trên DNS Registration Diagnostics page, chọn I will correct the problem laterby configuring DNS manually (Advanced). Click Next.12. Trên Permissions page, chọn Permissions compatible only with Windows2000 or Windows Server 2003 operating system option. Click Next.13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ troubleshoot này bằng cach1 Restart Computer, chọn F8), điền vào Restore Mode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click Next.14. Trên Summary page, click Next.15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành việc cài đặt.17. Click Restart Now trên Active Directory Installation Wizard page.18. Log-on vào Domain Controller dùng tài khoản Administrator sau khi đã Restart.

Cài đặt và cấu hình Microsoft Exchange trên Domain Controller

Computer đã sẵn sàng cho việc cài đặt Microsoft Exchange. Trong phần này chúng ta sẽ tiến hành những bước sau:• Cài đặt các Service IIS World Wide Web, SMTP và NNTP services

Page 11 of 107


• Cài đặt Microsoft Exchange Server 2003• Cấu hình Outlook Web Access WebSiteTiến hành các bước sau để cài World Wide Web, SMTP và NNTP services:1. Click Start, chọn Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, chọn Application Server entry trong Components page. Click Details.4. Trong Application Server dialog box, check vào ASP.NET checkbox. Chọn Internet Information Services (IIS) entry và click Details.5. Trong Internet Information Services (IIS) dialog box, check vào NNTP Service checkbox. Check tiếp SMTP Service checkbox. Click OK.6. Click OK trong Application Server dialog box.7. Click Next trên Windows Components page.8. Click OK vào Insert Disk dialog box.9. Trong Files Needed dialog box, đưa đường dẫn đến Folder I386 trên CD cài đặt Windows Server 2003 trong copy file từ text box. Click OK.10. Click Finish trên Completing the Windows Components Wizard page.11. Close Add or Remove Programs .

Tiến hành các bước sau cài Microsoft Exchange:

1. Đưa Exchange Server 2003 CD vào CD-ROM, trên autorun page, click Exchange Deployment Tools link nằm dưới Deployment heading.2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploy the first Exchange 2003 server link.3. Trên Deploy the First Exchange 2003 Server page, click New Exchange 2003 Installation link.4. Trên New Exchange 2003 Installation page, kéo xuống cuối trang.Click Run Setup now link.5. Trên Welcome to the Microsoft Exchange Installation Wizard page, click Next.6. Trên License Agreement page, chọn I agree option và click Next.7. Chấp nhận các xác lập mặc định trên Component Selection page và click Next.8. Chọn Create a New Exchange Organization option trên Installation Type page và click Next.9. Chấp nhận tên mặc định trong Organization Name text box trên Organization Name page, và click Next.10. Trên Licensing Agreement page, chọn I agree that I have read and will be bound by the license agreement for this product và click Next.11. Trên Installation Summary page, click Next.12. Trong Microsoft Exchange Installation Wizard dialog box, click OK.13. Click Finish trên on the Completing the Microsoft Exchange Wizard page khi cài đặt hoàn thành.14. Đóng tất cả cửa sổ đang open.

Exchange Server đã được cài đặt và giờ đây Admin có thể tạo các mailboxes cho Users. Bước kế tiếp là cấu hình Outlook Web Access site và chỉ dùng phương thức xác

Page 12 of 107


thực duy nhất là Basic Authentication. Đối với các quản trị Mail Server thì đây là một cấu hình quan trọng (nhưng tất nhiên không bắt buộc) khi muốn cho phép truy cập từ xa (remote access) vào OWA site. Sau đó, chúng ta sẽ yêu cầu một Website Certificate (Chứng từ số Website) cho OWA site và publish OWA site dùng quy tắc Web Publishing Rule trênISA Server, thông qua rule này, sẽ cho phép remote users truy cập vào OWA site.

Tiến hành các bước sau để cấu hình OWA site dùng phương thức xác thực duy nhất Basic authentication:1. Click Start, chọn Administrative Tools. Click Internet Information Services (IIS) Manager.2. Trong Internet Information Services (IIS) Manager console, mở rộng server name, mở rộng WebSites node Và mở Default Web Site.3. Click trên Public node và sau đó right click. Click Properties.4. Trong Public Properties dialog box, click Directory Security tab.5. Trên Directory Security tab, click Edit trong khung Authentication and access control.6. Trong Authentication Methods dialog box, đảm bảo không check vào (remove) Integrated Windows authentication checkbox. Click OK.7. Click Apply và click OK.8. Click trên Exchange node và right click. Click Properties.9. Trên Exchange Properties dialog box, click Directory Security tab.10. Trên Directory Security tab, click Edit trong Authentication and access control 11. Trong Authentication Methods dialog box, đảm bảo không check vào (remove) Integrated Windows authentication checkbox. Click OK.12. Click Apply, click OK trong Exchange Properties dialog box.13. Click trên ExchWeb node,sau đó right click. Click Properties.14. Trong ExchWeb Properties dialog box, click Directory Security tab.15. Trên Directory Security tab, click Edit trong khung Authentication and access control 16. Trong Authentication Methods dialog box, không check (remove) vào Enable anonymous access checkbox. Sau đó check vào Basic authentication (chú ý dùng phương thức xác thực này, password được gửi đi dưới dạng clear text) checkbox. Click Yes trong IIS Manager dialog box và Admin nhận được thông báo rằng password được gửi đi hoàn toàn không mã hóa (clear). Trong Default domain text box, đưa vào tên Internal Network domain, chính là MSFIREWALL. Click OK.17. Click Apply trong ExchWeb Properties dialog box. Click OK trong Inheritance Overrides dialog box. Click OK trong ExchWeb Properties dialog box.18. Right click Default Web Site và click Stop. Right click lại Default Web Site và click Start.

Kết luận:Trong sách hướng dẫn cấu hình ISA Server 2004 này chúng ta đã thảo luận những mục tiêu và những phương thức, để có thể nắm bắt triển khai và cấu hình ISA sao cho hiệu quả nhất. Sách hướng dẫn cũng cung cấp cho các bạn phương pháp giải quyết vấn đề theo từng bước cụ thể. Chương một này tập trung vào việc xây dựng một cơ

Page 13 of 107


sở hạ tầng Network (Network Infrastructure) theo mô hình Microsoft Active Directory Domain trên máy chủ Winndows server 2003 Domain Controller, và triển khai các Service khác liên quan đến hạ tầng Network như WINS, DNS, và các Service gia tăng như Web, Mail.. Chương kế tiếp trình bày cách thức cài đặt một Microsoft Certificate Services trên Domain Controller Computer.

CHƯƠNG 2: Cài đặt Certificate Services

(Certificate services cung cấp Chứng từ kĩ thuật số cho các giao dịch Network)Microsoft Certificate Services có thể được cài đặt trên Domain controller của internal Network và cung cấp các Certificates cho các Hosts trong Internal Network domain, cũng như các Hosts không là thành viên của Internal Network domain. Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cần hoàn thành:Microsoft Certificate Services có thể được cài đặt trên Domain controller của internal Network và cung cấp các Certificates cho các Hosts trong Internal Network domain, cũng như các Hosts không là thành viên của Internal Network

Page 14 of 107


domain. Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cần hoàn thành:• Cho phép ISA Server 2004 Firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPN protocol, tạo liên kết site-to-site VPN.• Cho phép ISA Server 2004 Firewall cung cấp kênh để hỗ trợ L2TP/IPSec VPN protocol, tạo điều kiện cho VPN client thực hiện kết nối từ một Remote Location (site)• Cho phép remote users có thể truy cập đến Outlook Web Access site, phương thức bảo mật mạnh SSL-to- SSL bridged connections.• Publish secure Exchange SMTP và POP3 services lên Internet Certificates cho phép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là một giao thức lớp session (layer) có khả năng mã hóa dữ liệu truyền giữa client và server.SSL security hiện được xem là chuẩn cung cấp an toàn cho các remote access đến các Websites. Ngoài ra, certificates còn có thể được dùng để xác nhận các đối tượng tham gia các kết nối VPN , bao gồm VPN clients và VPN servers (phương pháp này gọi là xác thực cả hai chiều- mutual Authentication)Trong phần này chúng ta sẽ đề cập đến các tiến trình sau:• Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate Authority’s WebEnrollment ( nhận các Certificates từ CA server thông qua hình thức đăng kí trên CA’sWeb)• Cài đặt Microsoft Certificate Services ở chế độ Enterprise CA

Cài đặt Internet Information Services 6.0

Certificate Authority’s Web enrollment site sử dụng Internet Information Services WorldWide Publishing Service. Bởi vì chúng ta đã cài IIS Web services , trong chương 1 khi tiến hành cài Exchange 2003 hỗ trợ Outlook Web Access site, nên sẽ không cần cài lại IIS service. Tuy nhiên, bạn nên xác nhận lại WWW Publishing Service đã được Enabled, trước khi tiến hành cài Enterprise CA.Thi hành các bước sau để xác nhận WWW Publishing Service đang chạy trên domain controller:1. Click Start chọn Administrative Tools. Click Services.2. Trong Services console, click Standard tab phía dưới. Kéo xuống danh sách và double-click vào World Wide Web Publishing Service . 3. Trong World Wide Web Publishing Server Properties dialog box, xác nhận Startup type là Automatic, và trang thái vận hành của service là Started.

Page 15 of 107


4. Click Cancel và đóng Services console.Như vậy WWW Publishing Service đã vận hành, bước tiếp theo là cài đặt Enterprise CA software.

Cài đặt Certificate Services ở chế độ Enterprise CA

Microsoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domain controller. Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược lại với Standalone mode) bao gồm:• Chứng từ gốc của CA (root CA certificate) được tự động đưa vào vùng lưu trữ Certificate của Trusted Root Certification Authorities (certificate store) trên tất cả các máy thành viên của Domain (domain member). Các Computer thành viên của Domain khi dùng các giao dịch cần Certificates để nâng cao tính an toàn, có thể dễ dàng tìm các nhà cung cấp hơp pháp- CA servers, trong Trusted Root Certification Authorities trên Computer của mình.• Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại RUN, type mmc, chọn File, Add/Remove snap-in, Add, chọn Certificates), và dễ dàng dùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites• Tất cả các Computer trong Domain có thể được phân chia Certificates đồng loạt thông qua tính năng Active Directory autoenrollment feature

Page 16 of 107


Lưu ý rằng không nhất thiết phải cài CA ở Enterprise mode. Bạn có thể cài CA ở chế độ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập standalone mode hoặc làm thế nào để xin cấp certificate từ một Standalone CA

Tiến hành các bước sau để cài đặt Enterprise CA trên Domain Controller EXCHANGE2003BE1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo danh sách xuống và check vào Certificate Services checkbox. Click Yes trong Microsoft Certificate Services dialog box, thông báo rằng informing “you may not change the name of the machine or the machine’s domain membership while it is acting as a CA”. Như vậy là rất rõ ràng Bạn không thể thay đổi Computer Name hoặc thay đổi tư cách thành viên Domain của Computer này, sau khi đã cài CA service.Click Yes.

4. Click Next trên Windows Components page.5. Trên CA Type page, chọn Enterprise root CA option và click Next.

6. Trên CA Identifying Information page, điền tên cho CA server này trong Common name của CA text box. Nên dùng tên dạng DNS host name của domain controller. Tham khảo về cấu hình DNS hỗ trợISA Serverhttp://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htm

Page 17 of 107


Trong text box này các bạn điền vào NetBIOS name của domain controller là EXCHANGE2003BE. ClickNext.

7. Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish to overwrite the existing key”, ghi đè lên các khóa đã tồn tại. Còn nếu bạn đã triển khai các CA khác trên Network có thể không nên overwrite các khóa hiện tại. Và nếu đây là CA đầu tiên, có thể chấp nhận overwrite the existing key. Trong ví dụ này chúng ta trước đó đã chưa cài CA trên Computer vì vậy không nhìn thấy dialog box thông báo như trên8. Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định cho Certificate Database và Certificate database log text boxes. Click Next.9. Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thông báo phải restart InternetInformation Services. Click Yes để stop service. Service sẽ được restart automatic.10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong Copy file from text box và click OK.11. Click Finish trên Completing the Windows Components Wizard page.12. Đóng Add or Remove Programs.Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer khác trong Domain thông qua autoenrollment, Certificates mmc snap-in, hoặc qua Web enrollment site. Trong hướng dẫn cấu hình ISA Server 2004

Page 18 of 107


này, chúng ta sẽ cấp phát một Web site certificate cho OWA Web site và cũng cấp phát các Computer certificates cho ISA Server 2004 Firewall computer và cho các external VPNclient và VPN gateway (VPN router) machine.

Kết luận:Trong phần này chúng ta đã thảo luận về việc dùng một CA- Certificate Authority và làm thế nào để cài đặt một Enterprise CA trên Domain

controller trong internal Network. Và tiếp theo chúng ta sẽ dùng Enterprise CA để cấp Computer Certificates cho các VPN clients và servers, cũng cấp luôn một Web site certificate cho Exchange Server’s Outlook Web Access Web site.

CHƯƠNG 3: Cài đặt và cấu hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Server (IAS) là một chuẩn thuộc loại RADIUS (Remote Authentication Dial In User Service) server được dùng để xác thực Users kết nối đến ISA Server 2004 Firewall machine. Bạn có thể dùng IAS để xác thực các Web Proxy clients trên Internal Network hay VPN clients, VPN gateways đang tiến hành kết nối từ một External Network location (ví dụ như từ một văn Phòng chi nhánh của công ty). Ngoài ra, có thể dùng RADIUS xác thực remote users khi những đối tượng này kết nối đến các Web servers đã được published thông qua Web Publishing rules trên ISA Server 2004Ưu điểm chính của việc dùng RADIUS xác thực Web proxy và VPN connections là SA Server 2004 Firewall computer không cần phải là thành viên của Active Directory Domain mới có thể xác thực được các Users, khi tài khỏan của những Usrs này đang nằm trong Active Directory database thuộc Internal Network. Nhiều Firewall administrators khuyến cáo rằng không nên để Firewall Computer là thành viên trong Domain User. Vì điều này có thể ngăn chặn Attackers xâm nhập vào Firewall, và qua đó có được quyền Domain Member từ Firewall này, mở rộng hướng tấn công vào Nội bộ Network .Tuy nhiên, nhược điểm lớn khi không đưa ISA Server 2004 Firewall làm thành viên của Internal Network domain đó là chúng ta sẽ không thể dùng ISA Firewall Client để cung cấp các xác thực hợp pháp cho ISA Server khi các Firewall Clients này truy cập đến tất cả các giao thức TCP và UDP. Chính vì lý do này, chúng ta sẽ tạo một ISA Server 2004 Firewall computer làm một thành viên của Internal Domain. Tuy nhiên nếu bạn không gia nhập Firewall vào Domain, vẫn có thể dùng IAS để xác thực các VPN và Web Proxy clients.

Các công việc tiếp theo sẽ là:

Cài đặt và cấu hình Microsoft Internet Authentication ServiceMicrosoft Internet Authentication Service server là một RADIUS server. Chúng ta sẽ sử dụng RADIUS server này trong các phần sau của hướng dẫn (bật chức năng RADIUS authentication phục vụ cho Web Publishing Rules và tìm hiểu cách thức một RADIUS server xác thực PN clients như thế nào)

Page 19 of 107


Tiến hành các bước sau để cài đặt Microsoft Internet Authentication Server trên domain controller EXCHANGE2003BE thuộc Internal Network:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo xuống Components list và chọn Networking Services entry. Click Details.4. Check vào Internet Authentication Service checkbox và click OK.

5. Click Next trên Windows Components page.6. Click Finish trên Completing the Windows Components Wizard page.7. Đóng Add or Remove Programs

Tiếp theo chúng ta sẽ cấu hình Internet Authentication Service

Cấu hình Microsoft Internet Authentication Service

Bạn cần cấu hình IAS server đúng cách để có thể làm việc với ISA Server 2004 Firewall computer. Tại thời điểm này, chúng ta sẽ cấu hình IAS Server để làm việc với ISA Server 2004 Firewall. Sau đó sẽ cấu hình Firewall để giao tiếp với IAS server.Tiến hành các bước sau với Domain controller trên Internal Network để cấu hình IAS server:1. Click Start, Administrative Tools. Click Internet Authentication Service.2. Trong Internet Authentication Service console, mở rộng Internet Authentication

Page 20 of 107


Service (Local) node. Right click trên RADIUS Clients node và click New RADIUSClient.

3. Trên Name and Address page của New RADIUS Client wizard, điền vào Friendly-name của ISA Server 2004 Firewall computer trong Friendly name text box. Đơn giản là tên này được dùng để xác định RADIUS client và không được sử dụng cho những mục đích hoạt động. Đưa đầy đủ FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , hoặc IP address của ISA Server 2004 Firewall computer trong Client address (IP or DNS) text box.

Page 21 of 107


4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name của ISA Server 2004 Firewall computer sẽ xuất hiện trong Client text box. Click Resolve. Nếu RADIUS server có thể giải quyết Tên thì IP address sẽ xuất hiện trong IP address frame. Nếu RADIUS server không thể giải quyết tên ra IP Address, điều này lưu ý với Admin rằng: hostname của ISA Server 2004 Firewall chưa được tạo trong DNS server (chưa tạo record choISA Server). Nếu trường hợp này xảy ra, bạn có thể đưa 2 cách giải quyết: Tạo A Record cho ISA Server trên DNS server được cài đặt trên Domain controller, hoặc bạn có thể dùng IP address trên Internal interface (10.0.0.1) của ISA Server 2004 Firewall trong Client address (IP and DNS) text box thuộc Name or Address page (đã đề cập ở trên). Click OK vào Verify Client dialog box. Mục đích của các xác lập trong phần này là biến ISA Server 2004 Firewall trở thành một RADIUS Client, khi đó giữ RADIUS server và RADIUS Client mới có thể bắt tay cộng tác.

Page 22 of 107


5. Click Next trên Name and Address page của New RADIUS Client wizard.6. Trên Additional Information page của wizard, dùng default Client-Vendor entry, chuẩn của RADIUS. Điền vào một password trong Shared secret text box và xác nhận lại password này. Password bí mật được chia sẽ (chỉ có RADIUS server và RADIUS Client- ISA Server 2004 Firewall biết), và dùng “tín hiệu” này để làm việc với nhau. Shared Secret chứa ít nhất 8 kí tự (cả hoa lẫn thường, số và cả các kí tự đặc biệt..). Check vào Request must contain the Message Authenticator attribute check box. Click Finish.

Page 23 of 107


7. Bây giờ các bạn đã thấy New RADIUS client entry xuất hiện trên console

8. Đóng Internet Authentication Service console.Việc cấu hình tiếp theo trên ISA Server 2004 Firewall để công nhận đối tác của nó là RADIUS server, cấu hình sẽ được tiến hành thông qua giao diện quản trị ISA Server 2004 Firewall và RADIUS server này sẽ đảm nhiệm vai trò xác thực các yêu cầu từ Web và VPN client.

Kết luận:Trong chương này chúng ta đã đề cập đến Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình một IAS server trên Domain controller thuộc Internal Network domain. Trong các phần kế tiếp của hướng dẫn, chúng ta sẽ dùng IAS server này để xác thực các yêu cầu từ bên ngoài (incoming

requestst của Web/VPN Clients) truy cập vào Web/VPN server.CHƯƠNG 4: Cài đặt và cấu hình Microsoft DHCP và WINS Server Services

Windows Internet Name Service (WINS) khi Service này được triển khai trong Internal Network Domain, nó sẽ phục vụ các Computer trong Network giải quyết để tìm NetBIOS names lẫn nhau, và một Computer A trong Network này có thể thông qua WINS server để giải quyết được NetBIOS name của Computer B ở một Network khác (tất nhiên hệ thống WINS thông thường chỉ được dùng để giải quyết tên Netbios names trong Nội bộ Network của Tổ chức, tránh nhầm lẫn với cách giải quyết hostname của DNS server- có

Page 24 of 107


khả năng giải quyết tên dạng FQDN (www.nis.com.vn) của Internet hoặc Internal Network Domain.Các bạn có thể tham khảo “ XÂY DỰNG HẠ TẦNG MẠNG TRÊN MICROSOFT WINDOWS SERVER 2003”, sắp được phát hành của tôi để hiểu rõ hơn về vai trò của một WINS server trong Nội bộ Network .Các Computer trong Internal Network sẽ được cấu hình với vai trò WINS clients, sẽ đăng kí tên của mình (Netbios/Computer names) với WINS server. WINS clients cũng có thể gửi các yêu cầu truy vấn tên đến WINS server để giải quyết Name thành IP addresses. Nếu trong Nội bộ Network không có WINS Server, thì Windows clients sẽ gửi các message dạng broadcast để tìm Netbios name của Computer muốn giao tiếp. Tuy nhiên, nếu các Computer này nằm tại một Network khác (với Network ID khác) thí các Broadcast này sẽ bị ngăn chặn (chức năng ngăn chặn broadcast là mặc định trên các Router). Như vậy trong Nội bộ Network của một Tổ chức, gồm nhiều Network Segments, thì việc giải quyết cho các Computer từ Network 1 tìm NetBios name của các Computers ở Network 2,3. Dùng WINS server là giải pháp lý tưởng.WINS server cũng đặc biệt quan trọng cho các VPN clients. VPN clients không trực tiếp kết nối đến Internal Network, và như vậy không thể dùng broadcasts để giải quyết NetBIOS names của các Computers bên trong Nội bộ Network . (Trừ khi bạn dùng Windows Server 2003 và mở chức năng NetBIOS proxy, sẽ hỗ trợ NetBIOS broadcast, nhưng rất hạn chế). VPN clients dựa vào WINS server để giải quyết NetBIOS names và sử dụng các thông tin này để tìm kiếm các Computers trong My Network Places của Internal Network.

Dynamic Host Configuration Protocol (DHCP) được dùng để cung cấp tự động các thông số liên quan đến IP address (TCP/IP settings) cho DHCP clients. DHCP server sẽ được cấu hình trên Internal Network server và không phải trên chính ISA Server 2004 Firewall. Khi chúng ta đã cấu hình DHCP server trên Internal Network, ISA Server 2004 Firewall tự động có thể thuê IP Addresses từ DHCP server và phân bố lại cho các VPN Clients (các IP addresses này được lấy từ một vùng địa chỉ đặc biệt trên DHCP server, ví dụ Admin đã tạo sẵn một DHCP scope có tên là “VPN Clients Network.”, vùng này chứa các IP address và các thông số chỉ cung cấp cho VPN Clients)Việc điều khiển truy cập (Access controls) và cách thức định tuyến (routing relationships) cho các VPN Clients này truy nhập Nội bộ Network có thể được cấu hình giữa VPN Clients Network và các Nội bộ Network được xác định trong phân vùng LAT (Local Address Table) do ISA Server 2004 Firewall quản lý.

Trong phần này chúng ta sẽ thực hiện việc cài đặt Microsoft WINS và DHCP services. Sau đó chúng ta sẽ cấu hình một DHCP scope với các thông số hợp lý của DHCP scope options.

Cài đặt WINS Service

Windows Internet Name Service (WINS) được sử dụng để giải quyết NetBIOS names ra IP Addresses (đơn giản vì chúng ta đang dùng Network TCP/IP,

Page 25 of 107

http://www.nis.com.vn/


Network giao tiếp theo số- IP address, Computer name chỉ là yếu tố phụ, và là thói quen xác lập giao tiếp, vì tên dễ nhớ hơn số). Trong các mô hình Network mới ngày nay (ví dụ Network Microsoft Windows 2000/2003) sử dụng giải pháp tìm tên chính đó là DNS service, WINS service triển khai thêm là một sự lựa chọn, và hoàn toàn không bắt buộc). Tuy nhiên nhiều Tổ chức muốn dùng My Network Places để có thể xác định các Server trên Network. Chúng ta biết rằng My Network Places hoạt động tìm kiếm các Network Computer dựa trên Service WindowsBrowser. Và Windows Browser service giải quyết tên dựa trên nền tảng Broadcast ( broadcast-based service), nếu Network triển khai WINS server Windows Browser trên các Computer sẽ phụ thuộc vào WINS server để thu thập thông tin về các Computers phân tán khắp các Segment của Network. Ngoài ra, WINS service cũng được yêu cầu triển khai khi các VPN clients muốn có được danh sách các Computers trong Nội bộ Network . Mục đích cài WINS server trong hướng dẫn này để hỗ trợ giải quyết NetBIOS name và Windows browser service cho các VPN clients.

Tiến hành các bước sau để cài WINS:1. Click Start, Control Panel. Click Add or Remove Programs.2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo xuống danh sách Components và chọn Networking Services entry. Click Details.4. Trong Network Services dialog box, check vào Windows Internet Name Service (WINS) check box. Check tiếp vào Dynamic Host Configuration Protocol (DHCP) check box. Click OK.

5. Click Next trên Windows Components page.

Page 26 of 107


6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong mục Copy files from text box và click OK.7. Click Finish trên Completing the Windows Components Wizard page.8. Đóng Add or Remove Programs .

WINS server đã sẵn sàng phục vụ nhu cầu đăng kí NetBIOS name ngay lập tức mà không cần bất cứ cấu hình thêm nào. ISA Server 2004 Firewall, Domain controller, và các Internal Network clients tất cả sẽ được cấu hình như WINS Client và sẽ đăng kí với WINS server trong mục xác lập TCP/IP của mình (TCP/IP Properties settings)

Cấu hình DHCP Service

Dynamic Host Configuration Protocol (DHCP) được sử dụng để phân chia tự động các thông số liên quan đến IPAddress cho Internal Network clients và VPN clients. Trong Lab này, mục đích chính của DHCP server là cấp phát các thông số IP address cho Network VPN clients. Lưu ý rằng, trong mô hình Network thực tế của các Tổ chức, nên cấu hình các Computer trở thành DHCP clients, không nên yêu cầu một IP address tĩnh. (tất nhiên có những trường hợp ngoại lệ, ví dụ như dùng IP cố định cho Servers, hoặc trong một Network có số lượg Computer ít, triển khai thêm DHCP server tạo chi phí gia tăng đáng kể, làm tăng Total Cost Ownership-TCO..)DHCP server service đã được cài đặt theo những thủ tục đưa ra tại chương 1. Bước kế tiếp, chúng ta sẽ cấu hình một DHCP scope (vùng IP addresses, kèm theo các thông số tùy chọn- DHCP options). Tất cả những thông số này sẽ được cung cấp cho các DHCP Clients.

Tiến hành các bước sau để cấu hình một DHCP scope:1. Click Start, Administrative Tools. Click DHCP.2. Trên DHCP console, right click trên server name và click Authorize (xác nhận DHCP server này hoạt động hợp pháp trong Domain, như vậy tất cả các DHCP server không được Authorize sẽ bị vô hiệu hóa trong việc cung cấp IP addresses)

Page 27 of 107


3. Click nút Refresh .Các bạn sẽ nhận thấy icon của DHCP server chuyển từ Đỏ sang Xanh lá cây, và DHCP đã hoạt động

4. Right click trên server name, click New Scope.5. Click Next trên Welcome to the New Scope Wizard page.6. Trên Scope Name page, đặt tên cho scope trong Name text box và đưa thông tin mô tả trong Description text box. Trong ví dụ này, chúng ta sẽ đặt tên scope là scope 1 và không mô tả trong Description. Click Next.7. Trên IP Address Range page, đưa vào một IP address bắt đầu Start IP address ) và một IP Adrress Cuối cùng (End IP address ) trong text boxes. Và đây chính là vùng địa chỉ IP mà bạn muốn sẵn sàng cung cấp cho DHCP Clients. Trong ví dụ này, chúng ta sẽ xác lập như sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này chứa 20 IP Address cho DHCP Clients. Sau đó chúng ta sẽ cấu hình ISA Server 2004 Firewall cho phép các VPN clients thực hiện đồng thời 10 VPN connections, và vì thế có thể mất tối đa10 trong số 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có thể yêu cầu nhiều hơn 10 IP Addresses này từ DHCP server, nếu thực sự điều đó là cần

Page 28 of 107


thiết. Tiếp theo chúng ta sẽ đưa thông số subnet mask vào text box Length hoặc Subnet mask. Trong ví dụ ở đây, chúng ta xác nhận giá trị 24 trong Length text box. Giá trị Subnet mask cũng tự động thay đổi sau khi bạn đã điền giá trị vào Length.Click Next.

8. Không xác định bất kì exclusions (vùng loại trừ, nhằm mục đích dự trữ cho nhu cầu dùng IP addresses tương lai, hoặc để tránh cấp phát những IP đang được sử dụng cố định trên Network cho các thiết bị như Routers, Network Printers..), trên Add Exclusions page. Click Next.9. Chấp nhận lượng thời gian cho thuê địa chỉ (lease duration) là 8 ngày tại Lease Duration page. Click Next.10. Trên Configure DHCP Options page, chọn Yes, I want to configure theseoptions now option và click Next.11. Trên Router (Default Gateway) page, điền vào IP address của internal interface (10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add. Click Next.

Page 29 of 107


12. Trên Domain Name and DNS Servers page, điền tên Domain của Internal Network trong Parent domain text box. Đây là Domain name được dùng bởi các DHCP clients, căn cứ vào đây, các Clients này sẽ xác định môi trường Network mà mình đang hoạt động, và thuận lợi cho các Admin sau này, khi cấu hình các thông số như wpad entry, có chức năng phục vụ cho các Web Proxy và Firewall client tự động phát hiện, và làm việc với Firewall Service hoặc Web Proxy Service (hai Service vận hành trên ISA Server 2004) chức năng này gọi là Autodiscovery. Trong ví dụ này, các bạn sẽ đưa vào tên Domain là MSFirewall.org trong text box. Trong IP address text box, điền IP address của DNS server (10.0.0.2) trên Internal Network. Chú ý domain controller cũng là DNS server internal Network như đã xác định tại các phần trước. Click Add. Click Next.

Page 30 of 107


13. Trên WINS Servers page, điền IP address của WINS server (10.0.0.2) và Click Add14. Trên Activate Scope page, chọn Yes, I want to activate this scope now optionvà click Next.15. Click Finish trên Completing the New Scope Wizard page.16. Trong DHCP console, mở rộng Scope 1 node, click vào Scope Options node. Bạn sẽ thầy danh sách các Options vừa cấu hình.

17. Đóng DHCP console.Tại thời điểm này DHCP server sẵn sàng phục vụ phân chia các thông số liên quan đến IP address cho DHCP clients trên Nội bộ Network ,và cả các VPN Clients thuộc VPN clients Network. Tuy nhiên, ISA Server 2004 Firewall sẽ chưa cung cấp các thông số IP này cho VPN Clients khi mà Admin chưa cho phép triển khai Service VPN (VPN server) trên Firewall.

Page 31 of 107


Kết luận: Trong chương này, chúng ta đã thảo luận việc sử dụng Microsoft WINS và DHCP servers, cài đặt cả hai Service này lên Domain controller, và cấu hình một DHCP Scope trên DHCP server. Ở phần sau chúng ta sẽ nói đến cách thức mà các Service này sẽ hỗ trợ cho các VPN clients.

Chương 5: Cấu hình DNS và DHCP để hỗ trợ tính năng Autodiscovery cho Web Proxy và Firewall Client

Web Proxy Autodiscovery Protocol (WPAD) được sử dụng để cho phép các trình duyệt Web browsers (như Internet Explorer, Nestcape Navigator…) và ISA Firewall client có thể tự động khám phá ISA Server 2004 Firewall (IP address). Các Client này sau đó có thể download các thông tin cấu hình tự động (Autoconfiguration information) từFirewall, sau đó Web Proxy và Firewall client sẽ discover ra address liên lạc với ISA Server.

Tóm lại chức năng WPAD giải quyết cung cấp các thông số tự động cho các Web browsers. Xác lập mặc định trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác lập này được enabled, Web browser có thể gửi đi một thông điệp DHCPINFORM message hoặc một truy vấn DNS query để tìm địa chỉ của ISA Server 2004, dựa trên những thông tin đã nhận được (download) từ Autoconfiguration information.

Điều này giúp cho các Web browser thật thuận lợi khi có thể tự động dùng Firewall (detect Firewall) để kết nối ra Internet.

ISA Server 2004 Firewall client cũng có thể dùng wpad entry để tìm ISA Server 2004 Firewall và download các thông tin cấu hình này về.

Trong phần này chúng ta sẽ tiến hành

• Cấu hình hỗ trợ DHCP WPAD

Page 32 of 107


• Cấu hình hỗ trợ DNS WPAD

Sau khi thông tin wpad được cấu hình trên DHCP và DNS server, thì Web Proxy và Firewall clients sẽ không cần phải cấu hình thủ công để có thể ra Internet thông qua ISA Server 2004 Firewall.

Cấu hình hỗ trợ DHCP WPAD

DHCP scope option số 252 có thể được dùng để cấu hình tự động cho Web Proxy và Firewall clients. Web Proxy hoặc Firewall client phải được cấu hình trở thành DHCP client, và các Users log-on vào các Clients này phải là thành viên của nhóm Local administrators group hoặc Power users group (Windows 2000). Trên Windows XP, thì chỉ cần là thành viên của nhóm Network Configuration Operators group là có quyền để thực hiện gửi các truy vấn DHCP (DHCPINFORM messages).

Chú ý:

Chi tiết hơn về những hạn chế của việc dùng DHCP phục vụ Autodiscovery cho Internet Explorer 6.0, tham khảo hướng dẫn “Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions “ tại http://support.microsoft.com/default.aspx?scid=kb;en-us;312864

Tiến hành các bước sau tại DHCP server để tạo DHCP option phục vụ cho chức năng wpad

1. Mở DHCP console từ Administrative Tools menu, right click server name. Click Set Predefined Options

2. Trong Predefined Options and Values dialog box, click Add.

3. Trong Option Type dialog box, đưa vào các thông tin sau:

Name: wpad

Data type: String

Code: 252

Description: wpad entry

Click OK.

Page 33 of 107

http://support.microsoft.com/default.aspx?scid=kb;en-us;312864



4. Trong khung Value, điền vào địa chỉ URL dẫn đến ISA Server 2000 Firewall trong String text box.

Theo định dạng như sau:

http://ISAServername:AutodiscoveryPort Number/wpad.dat

Mặc định Autodiscovery port number là TCP 80. Port 80 này có thể thay đổi thông qua cấu hình trên ISA Server 2004.. Chi tiết về cấu hình này sẽ thảo luận sau.

Trong ví dụ hiện tại, điền vào String text box:

http://isalocal.MSFirewall.org:80/wpad.dat

Đảm bảo rằng wpad.dat không dùng những kí tự viết hoa. Về vấn đề này có thể tham khảo tại "Automatically Detect Settings Does Not Work if You Configure DHCP Option 252”


Thực ra problem này là do cơ chế nhận dạng case sensitive trên ISA Server 2004, do đó nếu không phải là wpad.dat, mà lại là Wpad.dat, hoặc WPad.dat trong URL, đều khiến ISA Server 2004 phủ nhận.

Click OK.

Page 34 of 107



5. Right click trên Scope Options node và click Configure Options.

6. Trong Scope Options dialog box, kéo xuống danh sách Available Options và đánh dấu- check vào 252 wpad check box. Click Apply và click OK.

Page 35 of 107


7. 252 wpad entry giờ đây xuất hiện dưới Scope Options.

8. Đóng DHCP console.

Tại thời điểm này một DHCP client được log-on với tài khoản local administrator (hoặc Power users..) sẽ có thể dùng DHCP wpad để hỗ trợ cho việc tự động khám phá (automatically discover) ISA Server 2004 Firewall và tiếp đó là tự cấu hình cho chính mình. Tuy nhiên, ISA Server 2004 Firewall phải được cấu hình để hỗ trợ để publish các thông tin của mình phục vụ cho Autodiscovery information. Chúng ta sẽ bàn đến vấn đề này tại các chương sau

Cấu hình hỗ trợ DNS WPAD

Page 36 of 107


Phương pháp khác để phân phối thông tin Autodiscovery cho Web Proxy và Firewall

clients là dùng DNS. Admin có thể tạo một wpad alias entry trong DNS server và cho phép các Internet Browser trên Clients sử dụng thông tin này để cấu hình tự động cho chính nó. Tôi muốn nhấn mạnh ở đây là chính trình duyệt- Browser sẽ làm việc này, tương phản với phương pháp dùng DHCP mà chúng ta đã gặp trước đó (User log-on phải là thành viên của những Group đặc biệt trong Windows operating system).

Phương thức giải quyết Tên (Name resolution), là yếu tố chủ chốt trong phương pháp này của Web Proxy và Firewall client để

Autodiscovery có thể làm việc chính xác. Trong trường hợp này Hệ điều hành Clients phải có khả năng tìm FQDN name của wpad alias trên DNS server. Ở đây Web Proxy và Firewall client chỉ cần biết rằng nó có khả năng giải quyết tên wpad. Không cần phải nằm trong một Domain cụ thể nào mới có thể giải quyết wpad name. Chúng ta sẽ đề cập đến vấn đề này chi tiết hơn ở phần sau

Chú ý: Ngược lại với phương pháp dùng DHCP để cấp thông tin tự động đến Web Proxy và Firewall clients

Chúng ta sẽ không có lựa chọn dùng port number để publish Autodiscovery information khi sử dụng phương pháp DNS . Bạn phải publish thông tin tự động này trên TCP Port 80. Tiến hành các bước sau để cấu hình DNS hỗ trợ Web Proxy và Firewall client tự động khám phá ISA Server 2004 Firewall:

• Tạo wpad entry trong DNS

• Cấu hình Clientsử dụng tên đầy đủ- fully qualified của wpad alias

• Cấu hình trình duyệt- Client browser sử dụng Autodiscovery

Tạo Wpad entry trong DNS

Trước khi tạo wpad alias entry trong DNS. Alias này(cón được biết dưới tên là CNAME record) phải trỏ đến một (A) Host record đã được tạo cho ISA Server 2004 Firewall trên DNS server. (A) Host record trên DNS, giúp giải quyết hostname (ví dụ isalocal.MSFirewall.org ) của ISA Server 2004 Firewall đến Internal IP address của ISA Firewall.

Cần tạo (A) Host record trước khi chúng ta CNAME record. Nếu DNS server cho phép các name records được đăng kí tự động thì hostname của ISA Server 2004 Firewall và IP address của nó sẽ được cập nhật tự động vào DNS và là một (A) Host record. Còn nếu DNS server không cho phép automatic registration, thì cần phải tạo (A) Host record cho ISA Server 2004 Firewall.

Page 37 of 107


Trong ví dụ này ISA Server 2004 Firewall đã đăng kí tự động với DNS, do Internal interface trên ISA Server 2004 Firewall được cấu hình để thực hiện việc này, và dĩ nhiên DNS server cũng được cấu hình để chấp nhận đăng kí động Host record này (unsecured dynamic registrations)

Tiến hành các bước sau trên DNS server (xin nhắc lại: cũng là domain controller) của Internal Network:

1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console, right click trên Forward lookup zone của Domain và click New Alias (CNAME).

2. Trong New Resource Record dialog box, điền vào wpad trong Alias name (uses parent

domain if left blank) text box. Click Browse.

3. Trong Browse dialog box, double click trên server name trong Records list.

Page 38 of 107


4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung Records .

5. Trong Browse dialog box, double click trên tên của Forward lookup zone trong khung Records.

Page 39 of 107


6. Trong Browse dialog box, chọn tên của ISA Server 2000 Firewall trong khung Records. Click OK.

7. Click OK trong Resource Record dialog box.

Page 40 of 107


8. CNAME (alias) entry sẽ xuất hiện DNS management console.

9. Đóng DNS Management console.

Cấu hình ISA Client để dùng Fully Qualified wpad Alias

Page 41 of 107


Web Proxy và Firewall client cần giải quyết tên của wpad. Các cấu hình của Web Proxy và Firewall client không thể giúp các Client này có được thông tin của wpad alias. Hệ điều hành của Web Proxy và Firewall client phải giải quyết được vấn đề này cho Web Proxy và Firewall client.

Các truy vấn DNS phải ở dạng tên đầy đủ- fully qualified, trước khi các truy vấn này được gửi đến DNS server. Một yêu cầu dạng fully qualified bao gồm một hostname và một domain name. Web Proxy và Firewall client chỉ có thể biết hostname, còn Hệ điều hành của Web Proxy và Firewall client phải có khả năng xác định chính xác domain name của wpad host name, trước khi nó có thể gửi một truy vấn DNS đến DNS server.

Có nhiều phương pháp có thể giúp Admin liên kết chính xác domain name với wpad, trước khi truy vấn được gửi đến DNS server. Hai phương pháp phổ biến để thực hiện điều này là:

• Dùng DHCP khi tạo DHCP scope, xác nhận primary domain name cho các Clients

• Cấu hình primary domain name trong mục Network identification trên Microsoft Windows (2000, XP,2003..)dialog box.

Trong phần cấu hình Scope 1, trên DHCP server, chúng ta đã cấu hình một primary DNS name và xác định tên này (MSFIREWALL.ORG ) cho các DHCP clients thuộc Internal Network Domain.

Các bước sau mộ tả xác lập primary domain name gắn liền với các truy vấn DNS

Lưu ý: Trong Lab này không cần phải thực hiện những bước dưới đây, trên các Clients Computer của Internal Network. Do các Clients đã là thành viên của Active Directory domain trên Internet Network. Tuy nhiên, cũng nên xem qua các bước sau để hiểu cách primary domain name được cấu hình như thế nào trên một Computer không phải là thành viên của Internal Domain

1. Right click My Computer, click Properties.

2. Trong System Properties dialog box, click Network Identification tab. Click Properties .

Page 42 of 107


3. Trong Changes dialog box, click More.

4. Trong Primary DNS suffix of this computer text box, điền vào domain name chứa wpad entry. Hệ điều hành sẽ gắn tên này vào wpad name trước khi gửi truy vấn đến DNS server. Theo mặc định primary domain name chính là tên của domain (MSFIREWALL.ORG )chứa Computer này. Nếu Computer không là thành viên của Domain thì text box sẽ để trống.

Page 43 of 107


Chú ý: Change primary DNS suffix when domain embership changes được enabled theo mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain. Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại thời điểm này.Cũng lưu ý, nếu trên Internal Network có nhiều Domain, và Clients thuộc nhiều Domains, chúng ta cần tạo nhiều wpad CNAME alias cho mỗi domains.

Cấu hình trình duyệt- Client Browser để sử dụng Autodiscovery

Trong bước này, chúng ta sẽ cấu hình cho trình duyệt Internet Explorer, dùng chức năng Autodiscovery. Sau khi xác nhận chức năng này, Web browser trên các Clients sẽ làm việc trực tiếp với Web Proxy service của ISA Server 2000 Firewall với cơ chế tự động khám phá- Autodiscovery

1. Right click trên Internet Explorer icon, click Properties.

2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings

3. Trong Local Area Network (LAN) Settings dialog box, check vào Automatically detect settings check box. Click OK.

Page 44 of 107


4. Click Apply, click OK trong Internet Properties dialog box.

Bước kế tiếp, cần cấu hình trên ISA Server 2000 Firewall để publish thông tin về Autodiscovery, hỗ trợ cho Web Proxy và Firewall clients.

Kết luận:

Chúng ta đã đề cập ở các chương trước về việc sử dụng Microsoft Internet Authentication Server, cách thức cài đặt và cấu hình IAS server trên một Domain controller thuộc Internal Network. Trong các phần sau, chúng ta sẽ IAS server này, để xác thực các kết nối từ xa của Web và VPN client (incoming connections).

Copyright 2005 Network Information Security Vietnam - Nis.com.vn )

Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment

DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này.

Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP (và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng Internet khi truy cập đến các

Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với IP address), ví dụ

http:// www.nis.com.vn (dễ nhớ)

Page 45 of 107

http://www.nis.com.vn/


http:// 207.46.225.60/ (khó nhớ)

cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết Hostname ra IP address.

Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một caching-only DNS server không nhất thiết phải chứa bất cứ name records của một hay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truy vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản, các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal Domain DNS server (được cài trên Domain controller- 10.0.0.2)

Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển khai ISA Server 2004 Firewall, lên kế hoạch tạo một perimeter Network segment (hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau

Mô tả về Perimeter Network:

Page 46 of 107


Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến Nam, Bắc Triều Tiên). Trong hệ thống Network của một Tổ chức, ví dụ như các ISP (Internet Servies Provider). Khi triển khai cung cấp các Service cho khách hàng, như Web Hosting, Mail..thường đặt các Servers cung cấp các Service này tại DMZ Network, phân vùng Network này tách biệt với Internal Network (Network làm việc của các nhân viên và chứa các tài nguyên nội bộ). Mô hình Network trong Lab này, ISA Server 2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network Interface Cards)

Network Interface 1 (WAN): Tạo kết nối ra Internet

Network Interface 2 (DMZ): Tạo kết nối đến DMZ Network

Network Interface 3: (LAN)Tạo kết nối đến Internal Network

Như vậy thông thường các Tổ chức triển khai DMZ Network (nằm phía sau Firewall), nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối tác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish resourses…). Nếu DMZ Network bị tấn công, attackers cũng chưa thể xâm nhập ngay vào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ Network.

Các DNS servers được sử dụng trong DMZ Network có hai mục đích chính:

• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và ủy quyền của Domain

• Caching-only DNS services phục vụ cho các Internal Network clients, hoặc nếu không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến các DNS servers khác của Internal Network

Một DNS server tại DMZ Network, có thể chứa những thông tin phục vụ cho publish domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền Internet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên trả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho Internal DNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNS server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ các Internet Clients) có thể được đặt trên DMZ Network Khi các Internet Clients này cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ Internet thông qua ISA Server 2004 Firewall .), các DNS server trên DMZ Network sẽ phục vụ cho những yêu cầu này.

DNS server trên DMZ Network cũng có thể hoạt động như một caching-only DNS server. Trong vai trò này, DNS server sẽ không chứa thông tin về name record. Thay vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names và

Page 47 of 107


chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lời các yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứ Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này (Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi nhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS Clients

Trong phần này, chúng ta sẽ thực hiện

• Cài đặt DNS server service

• Cấu hình DNS server trở thành một caching-only DNS server an toàn (secure caching-only DNS server)

Cài đặt DNS Server Service trên DMZ Network

DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server

Tiến hành các bước sau để cài một DNS server service trên DMZ Network (trên server TRIHOMELAN1)

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components

3. Trên Windows Components page, keo xuống danh sách Components, chọn Networking Services. Click Details.

4. Trong Networking Services dialog box, check vào Domain Name System (DNS) check box và click OK.

Page 48 of 107


5. Click Next trên Windows Components page.

6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến Folder i386 trong Copy files from text box và click OK.

7. Click Finish trên Completing the Windows Components Wizard page.

Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS server.

DNS server trên DMZ Network sẽ tiếp xúc trực tiếp với các Internet hosts. Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tài nguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ Network, như vậy Internet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ Network. Hoặc trường hợp ngược lại là DNS server trên DMZ Network của chúng ta sẽ tiếp xúc DNS servers của các Tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giải quyết hostname cho các Internal Network clients có nhu cầu truy cập ra ngoài Internet.

Trong ví dụ này, DNS server của DMZ Network, sẽ đóng vai trò một caching-only DNS server và không quản lý các name records của các Publish Server trong Internal Domain

Tiến hành các bước sau trên DNS server thuộc DMZ Network, để trở thành một secure

caching-only DNS server:

1. Click Start, Administrative Tools. Click DNS.

2. Trong DNS management console, right click trên server name, click Properties.

Page 49 of 107


3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện các DNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tại Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết các truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sách các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải quyết hostname của các Computer trên Internet.

4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽ không dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc giải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năng Forwarder. Trong trường hợp này, chúng ta không dùng Forwarder.

Page 50 of 107


5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollution check box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các Internet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể được ADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNS Clients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến một Host giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch với Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khi còn được gọi là “co-coordinated DNS attack”

Page 51 of 107

http://www.vnbank.com.vn/


6. Click Monitoring tab. Check vào A simple query against this DNS server và A recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS server. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy Simple Query chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kết quả này là vì chưa tạo Access Rule trên ISA Server 2004 Firewall để cho phép caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA Server 2004 Firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu (outbound access) đến các DNS servers trên Internet.

Page 52 of 107


7. Click Apply và click OK trong DNS server’s Properties dialog box.

8. Đóng DNS management console.

Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết Internet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để cho phép các Internal Network Clients dùng DNS Server này để giải quyết các Internet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn.

Kết luận:

Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ Network, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các phần sau, chúng ta sẽ sử dụng Access Policies trên ISA Server 2004 để cho phép các Internal Network Clients dùng DNS server này và cho phép caching-only DNS server kết nối đến Internet.

CHƯƠNG 7: Cài đặt ISA Server 2004 trên Windows Server 2003

Page 53 of 107


Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal Network IP address range(s).

Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local Address Table (LAT) để xác định đâu là Network đáng tin cậy (trusted Networks), và đâu là Network không được tin cậy (untrusted Networks). Thay vào đó, ISA Server 2004 Firewall các IP addresses nội bộ được xác nhận bên dưới Internal Network. Internal Network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa Internal Network và ISA Server 2004 Firewall được điều khiển bởi các chính sách của Firewall (Firewall’s System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lõng từ các Access Rules mặc định của System Policy..

Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau:

• Cài đặt ISA Server 2004 trên Windows Server 2003

• Xem lại các chính sách hệ thống mặc định trên ISA Server 2004 Firewall (Default System Policy)

Installing ISA Server 2004

Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phức tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internal Network (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địa chỉ cuả Internal Network là một phần quan trọng, bởi vì chính sách hệ thống của Firewall (Firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắc truy cập- Access Rules

Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máy gắn hai Network Cards) Windows Server 2003 Computer:

1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện

2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. Release Notes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề khác.Đọc xong release notes, đóng cửa sổ lại và click Read Setup and Feature Guide link. Không cần

Page 54 of 107


phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA

Server 2004 link.

3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page.

4. Chọn I accept the terms in the license agreement trên License Agreement page. Click Next.

5. Trên Customer Information page, điền Tên và Tên Tổ chức của bạn trong User Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next.

6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISA Server 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chương trình trên đĩa cứng. Click Next.

7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặc định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đính kèm (file attachments) khi chúng được đưa vào Network hoặc từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng không được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cần cài đặt IIS 6.0 SMTP service trên ISA Server 2004 Firewall computer trước khi bạn cài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next.

Page 55 of 107


8. Trên Internal Network page, click Add. Internal Network khác hơn LAT (được sử dụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì Internal Network sẽ chứa các Network services được tin cậy và ISA Server 2004 Firewall phải giao tiếp được với những Services này

Ví dụ những Service như Active Directory domain controllers, DNS, DHCP, terminal services client management workstations, và các Service khác, thì chính sách hệ thống của Firewall sẽ tự động nhận biết chúng thuộc Internal Network. Chúng ta sẽ xem xét vấn đề này trong phần System Policy

Page 56 of 107


9. Trong Internal Network setup page, click Select Network Adapter

10. Trong Select Network Adapter dialog box, remove dấu check tại Add the following private ranges… checkbox. Check vào Add address ranges based on the Windows Routing Table checkbox. Check tiếp vào Network Card nào, trực tiếp kết nối vào LAN tại Select the address ranges…Internal Network adapter . Lý do không check vào add

Page 57 of 107


private address ranges checkbox là bởi vì, chúng ta muốn dùng những vùng địa chỉ này cho DMZ ( perimeter Networks). Click OK.

11. Click OK trong Setup Message dialog box xác nhận rằng Internal Network đã được định nghĩa hoạt độn dựa trên Windows routing table.

12. Click OK trên Internal Network address ranges dialog box.

Page 58 of 107


13. Click Next trên Internal Network page.

14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted

Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004 Firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùng Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client. Click Next.

Page 59 of 107


15. Trên Services page, click Next.

16. Click Install trên Ready to Install the Program page.

17. Trên Installation Wizard Completed page, click Finish.

18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải restarted.

Page 60 of 107


19. Log-on lại vào Computer bằng tài khỏan Administrator

Xem xét System Policy

Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Network được bảo vệ (protected Network), và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Như vậy sau khi triển khai ISA Server 2004 Firewall, theo mặc định thì “Nội bất xuất, ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, cho phép thực hiện các tác vụ Quản trị Network cần thiết.

Lưu ý:

Khái niệm Network được bảo vệ (protected Network), là bất cứ Network nào được định nghĩa bởi ISA Server 2004 Firewall không thuộc phạm vi của các Network bên ngoài (External Network), như Internet.

Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (default Firewall System Policy):

1. Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server Management.

2. Trong Microsoft Internet Security and Acceleration Server 2004 management

console, mở rộng server node và click vào Firewall Policy node. Right click trên Firewall Policy node, trở đến View và click Show System Policy Rules.

Page 61 of 107


3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thông báo rằng ISA Server 2004 Access Policy giới thiệu một danh sách các Policy được sắp xếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều mà Access Policy trên ISA Server 2000 đã không quan tâm đến trình từ xử lý này. Theo mặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truy cập đến và từ ISA Server 2004 Firewall. Cũng lưu ý rằng, các nguyên tắc tại System Policy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sách sau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trên và được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấy rằng, các nguyên tắc được xác định rõ bởi:

Số thứ tự (Order number)

Tên (Name Rule)

Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or Deny)

Dùng giao thức nào (Protocols)

Page 62 of 107


Từ Network hoặc Computer nguồn- From (source Network or host)

Đến Network hay Computer đích- To (destination Network or host)

Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng)

Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng của cột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lý các Rule của mình hơn.

Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chính sách Disabled mặc định của System Policy Rules được thể hiện bằng những biểu tượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nào đó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truy cập VPN- thực hiện enable VPN access.

Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks.

4. Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double-click trên rule.

Page 63 of 107


5. Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide System Policy Rules ở Bảng chứa các nút này.

Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định:

Bảng 1: System Policy Rules

Page 64 of 107


Page 65 of 107


Page 66 of 107


Page 67 of 107


Chú thích:

1 Policy này bị disabled cho đến khi VPN Server component được kích hoạt -activated

2 Policy này bị disabled cho đến khi một kết nối VPN dạng site to site xác lập

3 Policy này bị disabled cho đến khi chính sách thẩm định kết nối dùng HTTP/HTTPS được cấu hình

4 Policy này bị disabled cho đến khi SecureID filter được enabled

5 Policy này phải được enabled thủ công

6 Policy này bị disabled theo mặc định


8 Policy này tự động được enabled khi Firewall client share được cài đặt


Page 68 of 107


Tại thời điểm này, ISA Server 2004 Firewall đã sẵn sàng cho các Admin cấu hình các truy cập ra ngoài (outbound) hoặc vào trong (inbound) qua Firewall. Tuy nhiên, trước khi khởi hành tạo các chính sách truy cập- Access Policies, các Security Admin nên back-up lại cấu hình mặc định của ISA Server 2004 Firewall. Điều này cho phép bạn phục hồi ISA Server 2004 Firewall về trạng thái ban đầu sau cài đặt. Điều này là cần thiết cho các các cuộc kiểm tra và khắc phục các sự cố trong tương lai.

Tiến hành Back-up cấu hình mặc định ngay sau cài đặt theo hướng dẫn:

1. Mở Microsoft Internet Security and Acceleration Server 2004 management console, right click trên server name. Click BackUp.

2. Trong Backup Configuration dialog box, điền tên file backup bạn muốn đặt trong File name text box. Nhớ vị trí chúng ta đã lưu backup file trong Save list. Trong ví dụ này, đặt tên file backup là backup1. Click Backup.

3. Trong Set Password dialog box, điền vào password và xác nhận lại password này trong Password và Confirm password text boxes. Thông tin trong file backup được mã

Page 69 of 107


hóa vì nó chứa password phục hồi và những thông tin quan trọng đã lưu giữ, tất cả những thông tin này chúng ta không muốn một ai khác có thể truy cập. Click OK.

4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configuration was successfully backed up message.

Nên copy file backup này đến nơi lưu trữ an toàn khác trên Nội bộ Network sau khi backup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ file backup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệ thống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft)

Kết luận:

Trong chương này chúng ta đã bàn về những thủ tục cần thiết khi cài đặt ISA Server 2004 software trên Windows Server 2003 computer. Chúng ta cũng đã xem xét chính sách hệ thống của Firewall (Firewall System Policy), được tạo ra trong quá trình cài đặt. Và cuối cùng, chúng ta đã hoàn thành việc lưu giữ lại cấu hình ngay sau khi cài đặt ISA Server 2004 Firewall bằng cách thực hiện file backup theo từng bước hướng dẫn. Trong phần tới, chúng ta sẽ cấu hình cho phép truy cập VPN access server từ xa.

Welcome to Nis.com.vn

NETWORK INFORMATION SECURITY VIETNAM



CHƯƠNG 8: Sao lưu và Phục hồi cấu hình Firewall

Page 70 of 107


ISA Server 2004 bao gồm tính năng mới và tăng cường cho backup và phục hồi. Trong ISA Server 2000, tiện ích backup được tích hợp có thể backup cấu hình của ISA Server 2000 Firewall.

File backup có thể được sử dụng để phục hồi cấu hình đến củng bản cài đặt ISA Server trên cùng Computer. Tuy nhiên, nếu Hệ điều hành hay phần cứng nếu gặp phải những vấn đề nghiêm trọng tác động trên toàn hệ thông, chắc rằng chỉ có file backup này không thể phục hồi được cấu hình của Firewall

Ngược lại, tiện ích backup trên ISA Server 2004 cho phép Admin backup toàn bộ cấu hình Firewall hoặc chỉ backup những phần cần thiết.

Và sau đó Admin có thể phục hồi cấu hình này đến cùng phiên bản ISA Server 2004 Firewall trên chính Computer đã backup hoặc có thể phục hồi thông tin cấu hình đến một ISA Server 2004 Firewall trên một Computer khác.

Các hướng dẫn Backup sẽ được thi hành sau một hoặc một số thủ tục sau:

• Thay đổi kích cỡ hay vị trí Cache (cache size / location)

• Thay đổi chính sách Firewall (Firewall policy)

• Thay đổi nền tảng các nguyên tắc ( rule base)

• Thay đỗi các nguyên tắc hệ thống (system rules)

• Making changes to Networks, such as, changing Network definition or Network rules

• Ủy quyền các tác vụ quản trị ISA Server / Bỏ ủy quyền

Tính năng nhập/xuất (import/export) cho phép chúng ta xuất các thành phần được chọn lựa trong cấu hình Firewall và sử dụng những thành phần này về sau, hoặc có thể cài đặt nó vào Computer khác. Import/export cũng có thể được dùng để xuất toàn bộ cấu hình của Computer như một phương pháp phân phối cấu hình diện rộng.

Bài thực tập bổ ích nhất về backup cấu hình nên được tiến hành ngay sau khi cài đặt ISA Server 2004 Firewall software. Thực hiện điều này là tác vụ cơ bản nhằm phục hồi cấu hình nguyên trạng sau cài đặt trênISA Server, kể cả khi chúng ta đã thực hiện các cấu hình khác (điều này giúp các bạn không cần cài đặt lạiISA Server) .

Chúng ta sẽ tiến hành những công việc sau:

• Backup cấu hình Firewall

Page 71 of 107


• Phục hồi cấu hình Firewall từ File Backup

• Xuất chính sách Firewall

• Nhập chính sách Firewall

Backup cấu hình Firewall

ISA Server 2004 tích hợp sẵn tiện ích backup giúp lưu giữ cấu hình Firewall dễ dàng . Chỉ có một ít các thao tác được yêu cầu khi thực hiện backup và phục hồi cấu hình

Tiến hành các bước sau để backup toàn bộ cấu hình Firewall:

5. Mở Microsoft Internet Security and Acceleration Server 2004 management Console, right click trên server name. Click BackUp

6. Trong Backup Configuration dialog box, điền tên file backup trong File name text box. Trong ví dụ này filename là backup1. Click Backup

7. Trong Set Password dialog box, điền password và xác nhận lại password. Xin được nhắc lại thông tin trong file backup đã được mã hóa (xem giải thích ở phần trước). Click OK.

8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully backed up xuất hiện

Nên copy file backup này để lưu trữ ở một vị trí an toàn hơn, không nên lưu trữ trên Firewall này (có thể là trên một Network server, phân vùng lưu trữ được format với NTFS).

Phục hồi cấu hình Firewall từ Configuration from the File Backup

Admin có thể dùng File backup để phục hồi cấu hình máy. Thông tin có thể được hồi phục

Page 72 of 107


trên cùng phiên bản cài đặt của ISA Server 2004 Firewall, trên cùng máy hoặc một bản cài đặt hoàn toàn mới, trên một Computer khác.

Perform the following steps to restore the configuration from backup:

1. Mở Microsoft Internet Security and Acceleration Server 2004 management console, right click trên computer name, Click Restore.

2. Trong Restore Configuration dialog box, tìm file backup trước đó đã tạo. Trong ví dụ này, chúng ta sẽ dùng, file backup có tên là backup1.xml. Click Restore, sau khi đã chọn file

3. Đưa vào password mà bạn đã xác nhận trước đó cho file trong Type Password to Open File dialog box, click OK.

Page 73 of 107


4. Click OK trong Importing dialog box khi thấy xuất hiện thông báo The configuration was successfully restored

5. Click Apply để save những thay đổi và cập nhật chính sch1 của Firewall.

6. Chọn Save the changes and restart the service(s) trong ISA Server Warning dialog box

7. Click OK trong Apply New Configuration dialog box chỉ rõ rằng Changes to the configuration were successfully applied.

Page 74 of 107


Giờ đây cấu hình đã phục hồi cho ISA Server 2004 đã hoạt động với đầy đủ chức năng và các chính sách của Firewall được áp đặt hiện giờ được lấy từ bản backup cấu hình của Filewall trước đó.

Xuất chính sách Firewall (Exporting Firewall Policy)

Các Admin không nhất thiết phải luôn luôn export mọi thứ liên quan đến cấu hình của Firewall. Có thể chúng ta chỉ gặp phải một số vấn đề tại Access Policies và muốn gửi những thông tin này đến một Security admin nào đó xem xét. Khi ấy chỉ cần export các Access Policies hiện thời của Firewall, sau đó gửi Export File này đến một chuyên gia về ISA Server 2004, để họ có thể nhanh chóng nhập (import) các Policies này vào một ISA Server 2004 Test Computer, và chẩn đoán vấn đề

Trong ví dụ này, chúng ta sẽ export cấu hình VPN Clients ra một file. Tiến hành lần lượt các bước sau:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name, right click trên Virtual Private Networks (VPN) node. Click vào Export VPN Clients Configuration.

2. Trong Export Configuration dialog box, điền tên cho export file trong File name text box. Đưa một số thông tin mô tả về nơi chúng ta lưu trữ file. Check vào Export user permission settings and Export confidential information (encryption will be used) check boxes nếu bạn muốn lưu thông tin riêng nằm bên trong VPN Clients configuration (chẳng hạn như các password bí mật của IPSec- IPSec shared secrets). Trong ví dụ này, Chúng ta sẽ đặt file là VPN Clients Backup. Click Export.

Page 75 of 107


3. Trong Set Password dialog box, điền một password và xác nhận lại password trong Confirm password text box. Click OK.

4. Click OK trong Exporting dialog box khi chúng ta thấy thông báo Successfully exported

Page 76 of 107


the configuration.

Nhập chính sách Firewall (Importing Firewall Policy)

File export có thể được import đến cùng Computer hoặc một Computer khác có ISA Server 2004 đã cài đặt. Trong ví dụ sau, chúng ta sẽ import các xác lập của VPN Clients đã được export trong phần trước.

Tiến hành các bước sau để import VPN Clients settings từ file đã export:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và right click vào Virtual Private Networks (VPN) node. Click Import VPN Clients Configuration.

2. Trong Import Configuration dialog box, chọn file VPN Clients Backup. Đánh dấu vào, Import user permission settings và Import cache drive settings và SSL certificates checkboxes. Trong ví dụ này, cache drive settings, không quan trọng, nhưng SSL certificates là cần thiết nếu chúng ta muốn dùng cùng certificates, đã được sử dụng cho IPSec hoặc L2TP/IPSec VPN connections. Click Import.

Page 77 of 107


3. Điền password để mở trong Type Password to Open File dialog box. Click OK.

4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nhận được thông báo Successfully imported the configuration.

5. Click Apply để áp dụng những thay đổi và cập nhật Firewall policy.

Page 78 of 107


6. Click OK trong Apply New Configuration dialog box khi nhận được thông báo Changes to the configuration were successfully applied. Lưu ý rằng, những thay đổi trong cấu hình VPN có thể mất vài phút để cập nhật

Kết luận:

Trong chương này chúng ta đã thảo luận việc backup và phục hồi cấu hình của ISA Server 2004 Firewall. Chúng ta cũng đã xem xét các tính năng của export và import, cho phép thực hiện backup các thành phần lựa chọn (cần thiết), của cấu hình Firewall

Trong chương tới, chúng ta sẽ dùng ISA Server 2004 Network Templates để đơn giản hóa cấu hình ban đầu của các Networks, Network Rules, và các Access Policies của Firewall.



Page 79 of 107


CHƯƠNG 9: Đơn giản hóa cấu hình Mạng với các Network Templates

ISA Server 2004 firewall mang đến cho chúng ta những thuận lợi to lớn, một trong những số đó là các Network Templates (mô hình mẫu các thông số cấu hình Mạng). Vì sự hỗ trợ thông qua các templates này, mà chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo được một cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng.. Chúng ta có thể chọn một trong số các Network Templates sau:

• Edge Firewall

Network Template dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có một Network interface được trực tiếp kết nối đến Internet và một Network interface được kết nối với Internal network

• 3-Leg Perimeter

Network Template dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network Interfaces. Một External interface (kết nối Internet), một Internal interface (kết nối Mnạg nội bộ) và một DMZ interface (kết nối đến Mạng vành đai- Perimeter Network). Template này, cấu cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau.

• Front Firewall

Dùng Front Firewall Template khi ISA Server 2004 firewall đóng vai trò một frontend firewall trong mô hình back-to-back firewall. Vậy thế nào là một back-to-back firewall ? Đơn giản đó là mô hình kết nối 2 Firewall làm việc với nhau theo kiểu trước (front) sau (back). Phía ngoài Front Firewall có thể là Internet, giữa Front và back firewall có thể là là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall

• Back Firewall

Như vừa trình bày ở trên có lẽ các bạn đã hiểu về vị trí của một Back firewall, và Back Firewall Template được sử dụng cho một ISA Server 2004 firewall nằm sau một ISA Server 2004 firewall

Page 80 of 107


khác phía trước nó (hoặc một third-party firewall nào đó).

• Single Network Adapter

Template dạng Single Network Adapter là một cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA SERVER 2004 chỉ có duy nhất một Network Card (unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server.

Trong phần này, chúng ta sẽ phác thảo 2 kịch bản sau:

• Kịch bản 1: Cấu hình cho Edge Firewall

• Kịch bản 2: Cấu hình cho 3-Leg Perimeter

Cần xem xét lại chương 1 để nắm rõ cấu hình Mạng, và cấu hình cho ISA SERVER 2004 trong Test Lab này. Kịch bản về cấu trúc Mạng của chúng ta trong Test lab tương thích với Kịch bản 2, ngược lại có thể tham khảo kịch bản 1

Kịch bản 1: Cấu hình Edge Firewall

Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có một network interface gắn trực tiếp Internet và một Network interface thứ 2 kết nối với Internal network. Network template này cho phép Admin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng đưa cấu hình điều khiển truy cập (access control) giữa Internal network và Internet.

Bảng 1 cho chúng ta thấy các chính sách của Firewall (firewall policies) đã sẵn sàng khi sử dụng Edge Firewall template.

Mỗi chính sách trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập. Từ xác lập tất cả các hoạt động đều được cho phép (All Open Access Policy) giữa Internal network và Internet cho đến xác lập ngăn chặn tất cả (Block All policy) hoạt động giữa Internal network và Internet.

Table 1: Những lựa chọn về chính sách của Firewall khi dùng Network Edge Firewall Template

Firewall Policy Mô tảBlock All

(Ngăn chặn tất cả)

Ngăn chặn tất cả truy cập qua ISA ServerLựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài nguyên tắc ngăn chặn tất cả truy cập

Block Internet Access, allow access to ISP network Ngăn chặn tất cả truy cập qua ISA server, ngoại trừ

Page 81 of 107


services(Ngăn chặn truy cập ra Internet, nhưng cho phép truy cập đến một số dịch vụ của ISP)

những truy cập đến các Network services chẳng hạn DNS service. Lựa chọn này sẽ được dùng khi các ISP cung cấp những dịch vụ này.

Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau:

1. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS của ISP để xác định hostnames bên ngoài (như Internet).

Allow limited Web access

(Cho phép truy cập Web có giới hạn)

Chỉ cho phép truy cập Web dùng các giao thức: HTTP, HTTPS, FTP. Còn lại tất cả truy cập khác sẽ bị ngăn chặn.

Những nguyên tắc truy cập sau sẽ được tạo:

1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy cập dạng HTTP, HTTPS, FTP từ Internal network ra bên ngoài.

2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (từ bên ngoài) truy cập vào bên trong Mạng nội bộ.

Allow limited Web access and access to ISP network services(Cho phép truy cập Web có giới hạn và truy cập đến một số dịch vụ của ISP)

Cho phép truy cập Web có giới hạn dùng HTTP, HTTPS, và FTP, và cho phép truy cập tới ISP network services như DNS. Còn lại ngăn chặn tất cả các truy cập Network khác.

Các nguyên tắc truy cập sau sẽ được tạo:

1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Clients Network ra External Network (Internet)

2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài (Internet)

3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (bên ngoài, VPN Clients thực

Page 82 of 107


hiện kết nối vào Mạng nội bộ thông qua Internet), được truy cập vào bên trong Mạng nội bộ.

Allow unrestricted access(Cho phép truy cập không giới hạn)

Cho phép không hạn chế truy cập ra Internet qua ISA Server

Các nguyên tắc truy cập sau sẽ được tạo:

1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng tất cả giao thức từ Internal Network và VPN Clients Network tới External Network (Internet)

2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả giao thức từ VPN Clients Network truy cập vào Internal Network.

Tiến hành những bước sau khi dùng Edge Firewall Network Template để cấu hình Firewall:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management

console, mở rộng server name và mở rộng tiếp Configuration node. Click vào Networks node.

2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template.

Page 83 of 107


3. Click Next trên Welcome to the Network Template Wizard page.

Page 84 of 107


4. Trên Export the ISA Server Configuration page, bạn được chọn lựa để Export cấu hình hiện tại. Hoàn toàn có thể quay lại cấu hình ISA Server 2004 firewall trước khi dùng Edge Firewall network template , bởi vì chúng ta đã backed up cấu hình hệ thống trước đó và vì thế cũng không cần phải export cấu hình tại thời điểm này. Click Next.

Page 85 of 107


5. Trên Internal Network IP Addresses page, Xác định Internal network addresses.

Vùng địa chỉ nội bộ Internal network address hiện đã tự động được xác định trong Address ranges list. Và bạn có thể dùng Add, Add Adapter và Add Private button để mở rộng vùng danh sách Adrress này. Trong ví dụ của chúng ta, giữ nguyên vùng Internal network address. Click Next.

Page 86 of 107


6. Trên Select a Firewall Policy page bạn có thể chọn một firewall policy và một tập hợp các Access Rules. Trong ví dụ này chúng ta muốn cho phép các Internal network clients có thể truy cập đến tất cả Protocol của tất cả các Sites trên Internet. Sau khi đã có kinh nghiệm hơn với ISA Server 2004 firewall, bạn có thể gia tăng mức độ security của tất cả các truy cập ra ngoài - outbound access . Tại thời điểm này chỉ cần thử nghiệm cho phép truy cập Internet. Chọn Allow unrestricted access policy từ danh sách và click Next.

Page 87 of 107


7. Review lại các xác lập vừa rồi và click Finish trên Completing the Network Template Wizard page.

8. Click Apply lưu lại những thay đổi và cập nhật firewall policy.

9. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied.

10. Click trên Firewall Policies node trong khung tráiđể xem các policies được tạo bởi Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients truy cập đầy đủ ra Internet, và VPN clients cũng được đầy đủ quyền truy cập vào Internal network.

Page 88 of 107


Kịch bản 2: Cấu hình 3-Leg Perimeter

Cấu hình Firewall theo template dạng 3-leg perimeter sẽ tạo ra các mối quan hệ giữa các Network: Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép người dùng Internet truy cập vào như:public DNS server hoặc một caching-only DNS server.

Table 2: Những chọ lựa tại 3-Legged Perimeter Firewall Template Firewall Policy

Firewall Policy Mô tả

Block all Chặn tất cả truy cập qua ISA Server. Lựa chọn này sẽ không tạo bất kì Rules nào khác hơn ngoài default rule - ngăn chặn tất cả truy cập

Block Internet access,

allow access to

network services on

the perimeter network

Chặn tất cả truy cập qua ISA Server, ngoài trừ những truy cập đến các network services, như DNS trên DMZ .

Các access rules sau sẽ được tạo:

1. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network –Cho phép các truy cập dịch vụ DNS từ Internal Network và VPN Clients Network đến Perimeter Network

Block Internet access,

allow access to ISP

network services

Ngăn chặn tất cả các truy cập Mạng qua firewall ngoại trừ các network services như DNS. Lựa chọn này là phù hợp khi nhà cung cấp các dịch vụ mạng cơ bản là Internet Service Provider (ISP) của bạn.

Page 89 of 107


Các rules sau sẽ được tạo:

1. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) –Cho phép DNS từ Internal Network, VPN Clients Network và Perimeter Network đến External Network (Internet)

Allow limited Web

access, allow access

to network services

on perimeter network

Chỉ cho phép cac truy cập hạn chế dùng các Protcol Web như: HTTP, HTTPS, FTP và cũng cho phép truy cập các network services như DNS trên DMZ.

Tất cả các truy cập Mạng khác đều bị blocked.

Lựa chọn này phù hợp khi tất cả các dịch vụ hạ tầng Mạng nằm trên DMZ.


1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet)

2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network

3. Allow all protocols from VPN Clients Network to Internal Network

Allow limited Web

access and access to

ISP network services

Cũng giống như trên nhưng chỉ khác là các network services như DNS do Internet Service Provider (ISP) của bạn cung cấp. Tất cả các truy cập Mạng khác đều bị blocked.


1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet)

2. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet)

3. Allow all protocols from VPN Clients Network to Internal Network

Page 90 of 107


Allow unrestricted

access

Cho phép tất cả các loại truy cập ra Internet qua firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network được bảo vệ. Từ chính sách cho phép tất cả truy cập này, sau đó bạn có thể ngăn chặn bớt một số truy cập không phu hợp với chính sách bảo mật của tổ chức

Các rules sau sẽ được tạo:

1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet) and Perimeter Network

2. Allow all protocols from VPN Clients to Internal Network

Tiến hành các bước sau để dùng 3-Leg Perimeter network template:

1. Mở Microsoft Internet Security and Acceleration Server 2004 management

console , mở rộng server name. Mở tiếp Configuration node và click trên Networks node.

2. Click Networks tab trong Details pane, sau đó click Templates tab trong Task pane. Click vào 3-Leg Perimeter network template.

3. Click Next trên Welcome to the Network Template Wizard page.

4. Trên Export the ISA Server Configuration page, bạn có thể chọn để export cấu hình hiện tại. Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hình của template và muốn quay trở lại các xác lập ban đầu. Trong ví dụ này chúng ta đã backed up cấu hình vì thế không cần phải export . Click Next.

5. Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internal network. Bạn sẽ thấy ISA tự động xuất hiện chúng trong Address ranges list. Bạn không cần phải thêm bất kì Address nào trong Internal network. Click Next.

6. Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segment trên Perimeter Network IP Addresses page. Bạn nhận thấy Address

ranges list hoàn toàn trống. Do đó..

7. Click vào Add Adapter button. Trong Network adapter details dialog box, đánh dấu vào DMZ check box. Tên Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấu cho chính xác vào đấy. Click OK.

8. Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windows routing table. Click Next.

9. Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mối quan hệ giữa Internet, DMZ và Internal networks và cũng tạo ra các Access Rules. Trong ví dụ này chúng ta sẽ cho phép Internal network clients đầy đủ quyền truy cập ra Internet và DMZ network, và cũng cho phép các DMZ hosts được truy cập ra

Page 91 of 107


Internet. Sau khi đã có kinh nghiệm hơn với việc config Access Policies trên ISA Server 2004 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài -outbound access giữa DMZ network segment và Internet, giữa Internal network segment và Internet. Chọn Allow unrestricted access firewall policy và click Next.

10. Review lại các xác lập trên Completing the Network Template Wizard và click Finish.

11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall.


13. Click trên Firewall Policy node trên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console để xem lại các rules đã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các Hosts thuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet và cả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network.

14. Mở rộng Configuration node bên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console. Click Networks node. Ở đây bạn sẽ thấy một danh sachq của các networks, bao gồm Perimeter network được tạo bởi template.

15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and click Properties.

16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab. Bạn có thể thấy trong danh sách This rule applies to traffic from these sources gồm Internal, Quarantined VPN Clients và VPN Clients networks.

17. Click Destination Networks tab. Bạn thấy Perimeter network trong This rule applies to traffic sent to these destinations list.

18. Click Network Relationship tab. Xác lập mặc định là Network Address Translation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn các IP addresses của Internal network clients kết nối đến các DMZ network hosts.

Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũng thuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ này chúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đề rắc rối đó.Ghi nhớ rằng, tại thời điểm này, không có Access Rules nào cho phép truy cập

tới Internal network từ DMZ network.

19. Click Apply và click OK.

20. Click Apply để lưu những thay đổi.


Kết luận:

Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates: Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho: network addresses, Network Rules và Access Rules.

Page 92 of 107


Trong chương tới chúng ta sẽ thảo luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSA Server 2004 Fiewall.

Chương 10: Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

Một ISA Server 2004 client là máy tính

kết nối đến các nguồn tài nguyên khác

thông qua ISA Server 2004 firewall.

Nhìn chung, các ISA Server 2004 client

thường được đặt trong một Internal hay

perimeter network –DMZ và kết nối ra

Internet qua ISA Server 2004 firewall.

Có 3 loại ISA Server 2004 client:

• SecureNAT client

• Web Proxy client

• Firewall client

Một SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định

tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực

tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là

IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT

client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình

thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến

thông tin từ SecureNAT client đến ISA Server 2004 firewall à ra Internet.

Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình

dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình

để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ

công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA

Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều

khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được

hi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client.

Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả

các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên

TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall.

User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện

kết nối Internet thông qua ISA Server 2004 firewall.

Page 93 of 107


Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client.

Table 1: Các loại ISA Server 2004 Client và những đặc điểm

Feature SecureNAT client Firewall client Web Proxy client

Cần phải cài đặt ? Không, chỉ cần xác

lập thông số default

gateway

Yes. Cần cài đặt

software

Không, chỉ cần cấu

hình các thông số phù

hợp tại trình duyệt

Web- Web browser

Hỗ trợ Hệ điều hành

nào ?

Bất cứ OS nào hỗ trợ

TCP/IP

Chỉ Windows Bất kì OS nào có hỗ

trợ các Web

application

Hỗ trợ Protocol Nhờ có bộ lọc ứng

dụng -Application

filters có thể hỗ trợ

các ứng dụng chạy

kết hợp nhiều

protocols -

multiconnection

protocols

Tất cả các ứng dụng

Winsock

Applications. Có

nghĩa là hầu hết các

ứng dụng trên Internet

hiện nay

HTTP, Secure HTTP

(HTTPS), và FTP

Có hỗ trợ xác thực

người dùng hay

không ? Nhằm kiểm

soát việc User truy

cập ra ngoài

Yes, nhưng chỉ dành

cho VPN clients

Yes Yes

Cấu hình SecureNAT Client

Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số default

gateway giúp client định tuyến ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính

được dùng để cấu hình một máy trở thành một SecureNAT client:

• Xác lập các thông số TCP/IP thủ công trên máy

• Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP scope

option trên DHCP Server

Page 94 of 107


Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như một

SecureNAT client. Network servers như domain controllers, DNS servers, WINS servers và Web

servers thông thường cũng được cấu hình như các SecureNAT clients.

Domain controller đã được cấu hình thủ công làm SecureNAT client.

Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope (một

vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp phát cho DHCP

clients thông số default gateway address chính là IP address của Internal interface trên ISA

Server 2004 firewall. Cấu hình mặc định của Windows systems là sử dụng DHCP để nhận các

xác lập về thông tin IP address.

Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách , Internal network client

được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng ta sẽ cấu hình Internal

network client dùng DHCP để mô tả cách thức DHCP hoạt động, sau đó chúng ta sẽ quay trở lại

dùng IP tĩnh. Tiến hành các bước sau cấu hình DHCP client trên máy Windows 2000 và sau đó

quay lại dùng IP tĩnh.

1. Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties.

2. Trong Network and Dial-up Connections, right click Local Area Connection và click

Properties.

3. Trong Local Area Connection Properties dialog box, click Internet Protocol

(TCP/IP) , click Properties.

4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP address

automatically và Obtain DNS server address automatically. Click OK.

Page 95 of 107


5. Click OK trong Local Area Connection Properties dialog box.

6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start ,

Run. Trong Open box, đánh lệnh cmd.

7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể thấy được IP

address được cấp phát cho Clientvà các thông số IP address khác mà Client dùng như: DNS,

WINS và default gateway

Page 96 of 107


8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi máy CLIENT

dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1,

và DNS server address 10.0.0.2.

Cấu hình Web Proxy Client

Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng ISA Server

2004 firewall như là Web Proxy server của mình. Có một số cách để cấu hình Web browser với

vai trò một Web Proxy client. Có thể là:

• Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web

Proxy server

• Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration script

• Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấu hình

này nhé)

• Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP

Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ trợ việc

tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá của Wpad- Wpad

Page 97 of 107


autodiscovery được xem là phương pháp cấu hình Web Proxy client, và cho phép User t7 động

nhận được các thông số xác lập Web Proxy mà không cần phải thủ công cấu hình trên trình uyệt

web –web browsers của các Clients.

Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi Firewall

client được setup trên clients..

Và chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự động trên những hệ

thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ thống mạng thường xuyên có

sự vào ra của các máy tính mobile (labtop..).

Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers sẽ được

cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể tự cấu hình. Tuy

nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thể cấu hính thủ công trên các

browsers cho các Clients. Cúng ta sẽ xem xét cấu hình browser trong suốt quá trình cài đặt

Firewall client ở phần tới.

Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser:

1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.

2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click

LAN Settings button.

3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settings dialog box.

Đánh dấu check vào Automatically detect settings check box để cho phép browser dùng các

xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc định trên các Internet Explorer Web

browsers. Đặt một checkmark vào Use automatic configuration script check box, và điền vào

vị trí lưu trữ autoconfiguration script trên ISA Server 2004 firewall như sau:

http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script

Dĩ nhiên máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISA Server 2004

firewall) ra IP address (IP address này nằm trênInternal interface của firewall. Chú ý một điều,

nếu Client có thể dùng wpad để Automatically detect settings, thì các thông tin cấu hình tự

động nằm rong autoconfiguration script sẽ được download đến trình duyệt Web Proxy client.

Đặt một checkmark vào Use a proxy server for your LAN (These settings will not apply to

dial-up or VPN connections) check box, và điền vào IP address của Internal interface trên

ISA Server 2004 firewall trong Address text box.

Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghe trên Port

text box, theo mặc định là port 8080. Click OK trong Local Area Network (LAN) Settings dialog

box.

Page 98 of 107


4. Click OK trong Internet Properties dialog box.

Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách cấu hình

khác.

Cấu hình Firewall Client

Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet (trên hầu hết

tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên mỗi User hoặc Group.

Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential:

Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tài khoản nội bộ

trên chính ISA Server 2004 firewall (tức là các accounts nằm trong Sam database)nếu cả ISA

Server 2004 và clients đều thuộc cùng một Windows domain, thì các user accounts có thể nằm

trên Windows NT 4.0 SAM hoặc Windows 2000/Windows Server 2003 Active Directory. Tôi nhắc

lại, trong môi trường Domain 2000/2003, Active directory database (trên Domain controller là nơi

lưu trữ tất cả tài khoản User của Domain đó)

Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có chứa

phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt Firewall client software

từ ISA Server 2004 firewall computer, trước hết hãy bật System Policy Rule nhằm cho phép truy

cập đến share có chứa source này. Sau này bạn nên chuyển Source này đến một File server trên

mạng để việc truy cập được an toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước

sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer.

Page 99 of 107


1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA Server

2004 icon.

2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next.

3. Trên License Agreement page, chọn I accept the terms in the license agreement, click

Next.

4. trên Customer Information page, điền User name, Organization và Product

Serial Number của bạn. Click Next.

5. trên Setup Type page, chọn Custom.

6. Trên Custom Setup page, click Firewall Services entry và click This feature will not be

available option. Click ISA Server Management entry và click This feature will not be

available option. Click Firewall Client Installation Share và click This feature, and all

subfeatures, will be installed on the local hard drive. Click Next.


8. Click Finish trên Installation Wizard Completed page.

Page 100 of 107


Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domain controller. Tiến

hành các bước sau để cài Firewall client software:

1. Tại CLIENT computer trên Internal network, click Start và click Run

command. trong Open text box, điền vào EXCHANGE2003BEmspclntsetup và click OK.

2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.

3. Click Next trên Destination Folder page.

4. Trên ISA Server Computer Selection page, chọn Automatically detect the appropriate ISA

Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đã tạo wpad entry trong DNS.

Nếu bạn chưa tạo một wpad entry, bạn có thể chọn Connect to this ISA Server computer

option và điền vào tên hay IP address của ISA Server 2004 firewall trong text box. Click Next.


6. Click Finish trên Install Wizard Completed page.

Page 101 of 107


Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hành các bước sau

trên ISA Server 2004 firewall:

1. Mở Microsoft Internet Security and Acceleration Server 2004 management

Console, mở server name. mở tiếp Configuration node và click trên Networks node. Right click

trên Internal Network và click Properties.

2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định là đã đánh dấu

vào Enable Firewall client support for this network check box.

Xác định là cũng đã đánh dấu vào Automatically detect settings và Use automatic

configuration script check boxes trong khung Web browser configuration on the Firewall

client computer. Đánh dáu tiếp vào Use a Web proxy server check box. Sử dụng tên đầy đủ

của ISA Server 2004 firewall -FQDN trong ISA Server name or IP address text box. Trong vd

này FQDN của ISA Server 2004 computer là ISALOCAL.msfirewall.org. Click Apply.

Page 102 of 107


3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discovery information

check box. Để port mặc định này, không thay đổi 80. Click Apply

Page 103 of 107


4. Click Apply để lưu những thay đổi và cập nhật firewall policy.

5. Click OK trong Apply New Configuration dialog box.

Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT.

1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ thống.

2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng đã đánh dấu

checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box.

Xác nhận tiếp đã chọn Automatically detect ISA Server

Page 104 of 107


3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA

Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.

Page 105 of 107


4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration checkbox và

click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập mà chúng ta đã tạo trên ISA

Server 2004 firewall, browser đã được cung cấp các thông số cấu hình tự động.

Click OK trong Web Browser Settings Update dialog box.

Page 106 of 107


5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server 2004 dialog

box.

Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet dựa tên các

quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004 firewall.

Kết luận

Trong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhau và những

tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loại theo một số cách. Trong

chương tới của sách chúng ta sẽ phác thảo các thủ tục để tạo hoặc chỉnh sửa các quy tắc trên

chính sách truy cập ra ngoài Internet -outbound access policy rules thông qua các Network

Templates

Page 107 of 107

Education

Internet security-accessleration