Docstoc

ISA Server Firewall 2004

Document Sample
ISA Server Firewall 2004 Powered By Docstoc
					GI I THI U CÔNG TY C PH N CÁC GI I PHÁP M NG VI T NAM Công ty Các gi i pháp m ng vi t nam (Vietnam network solution company ) c thành l p theo gi y phép kinh doanh s 0103009140 c a S K ho ch và u t Hà N i

I. L nh v c ho t
vi n thông

ng c a Công ty bao g m:
ng d ng Web, các gi i

- Nghiên c u, phát tri n và ng d ng các gi i pháp mang tính t ng th trong l nh v c tin h c và c bi t là các công ngh phát tri n trên n n Internet v i các pháp IT úng d ng cho h th ng thông tin và qu n lý doanh nghi p. - Cung c p thi t b , ph n m m cho m ng LAN, WAN ph c v các doanh nghi p, t ch c. - Cung c p các d ch v ào t o t v n v n các gi i pháp v công ngh thông tin, vi t ph n m m theo yêu u, thi t k website và qu ng cáo trên m ng i ng nhân viên và c ng tác viên c a Công ty có trình nh v c chuyên môn. Ph ng châm ho t ng c a chúng tôi là luôn luôn mang t t nh t v i ch t l n khách hàng nh ng gi i pháp m i nh t, d ch v 1. ng cao, mang tính t ng th v i giá c h p lý. chuyên môn cao, kinh nghi m trong

ng ký tên mi n, cho thuê máy ch , Thi t k và l p trình Web. Website ã và ang tr thành m t công c h u hi u trong ho t ng kinh doanh và phát tri n a m i doanh nghi p.

hi n chúng tôi ang cung c p nh ng d ch v sau: § ng ký tên mi n:

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
Tên mi n trên Internet c ng gi ng nh VNSC cung c p d ch v úng ý mình. § Cho thuê máy ch : Website có th truy c p t kh p n i trên th gi i c n

ISA 2004 Server Firewall 2004
ng. c

tên doanh nghi p B n trên th tr t c b n có th có

ng ký tên mi n trên Internet, ch m t ngày sau khi nh n

yêu c u c a B n, chúng tôi s hoàn t t các th

c m t tên mi n theo

c l u tr

trên m t máy ch ng m i

tin

y và có tính n ng h tr cho vi c c p nh t ho c thay n, m c cho thuê s Máy ch tin t d ng các trang cá nhân ho c cho thuê c Server riêng. c a VNSC có t c

i thông tin trên các trang Web có nt ,

n hosting cho các trang th

cao, b ng thông r ng. VNSC cam k t s mang l i cho b n s i dùng.

ng và ti n d ng t Web:

các tính n ng h tr ng

§ Thi t k

d ng công ngh tiên ti n ng và t c Vi c thi t k sáng t o th c hi n. § Web advertising:

thi t k và l p trình Web, ti n cho vi c s d ng, gây n ng trình hi n nay th ng s d ng là Flash,

truy c p nhanh. Các ch

Frontpage, Dreamware…, các ngôn ng l p trình nh ASP, PHP, JSP… u do các nhân viên chuyên ngành M thu t Công nghi p có kinh nghi m và

Ngoài vi c thi t k , l p trình Web, chúng tôi còn cung c p các d ch v t v n, l p k ho ch qu ng cáo b ng Web ho c b ng Email, qu ng cáo Logo, h tr khách hàng bán hàng qua ng. v…v… 2. Cung c p các gi i pháp m ng LAN, WAN: § Thi t k và thi công, l p t m ng LAN/WAN t pháp h p lý, n § § n gi n n ph c t p. nv. a ra các gi i Cisco

nh kinh t theo chu n c a c a các hãng n i ti ng trên th gi i nh th ng, các ph n m m

System, Microsoft… cho các h th ng m ng trong doanh nghi p, Cung c p các ph n m m cho h

ng d ng cho m ng LAN/WAN cho n

phép qu n lý toàn b h th ng tin c a công ty m t cách hi u qu và ti n l i nh t. Các gi i pháp v c s h t ng ph c v cho ho t ng tác nghi p nh : gi i pháp g i tho i qua m ng internet ( VOIP), H i ngh truy n hình qua m ng (Video Conference), Các gi i pháp v giám sát b o v qua m ng (CameraNet)….

3. Cung c p các gi i pháp Ph n m m: § Cung c p và ào t o áp d ng các gi i pháp t ng th v các gi i pháp qu n lý d a trên n n ng là công ngh Qu n lý h khách hàng § § § v n xây d ng và h tr áp d ng các ph m m m v qu n lý doanh nghi p nh : Qu n lý nhân s ; K toán máy…. Ph n m m Newsletters cho phép g i nhi u th Ph n m m báo ng xây d ng b ng PHP t trên n n máy ch nt . Linux b o m t. n t , cho phép cung c p thông tin báo chí trên m ng hàng ngày. Ngôn thông tin nh : Qu n tr ngu n l c doanh nghi p(ERP); Qu n lý s n khách hàng (CRM); Qu n lý thi t b ( Equipment management), xu t; Qu n lý quan h

th ng ISO tr c tuy n, Qu n lý kho, và các gi i pháp khác theo yêu c u c a

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
§

ISA 2004 Server Firewall 2004
t

Ph n m m E-commerce: Cho phép th c hi n kinh doanh trên m ng, bao g m c vi c qu c gia trên th gi i.

hàng, tính giá cho s n ph m, tính giá v n t i (b ng Fedex, UPS ho c DHL) t i h u h t các § Ph n m m Chia s c ng d ng qu n lý v n phòng cho phép : nt . v n b n, qu n lý nhân s , qu n lý h th ng thông tin doanh ng r t h u ích. s d li u v

Chia s m t s hòm th nghi p, qu n lý ch

ng trình làm vi c, qu n lý công v n, h p

4. Cung c p các thi t b tin h c: VNSC là i lý bán hàng c a các hãng máy tính n i ti ng trên th gi i nh : IBM, COMPAQ, ây là m t l i th cho phép công ty có kh n ng cung c p cho 3COM, DELL, Disco System… 5. ào t o công ngh V i thông tin u, có nhi u kinh nghi m gi ng d y ào t o công ngh thông tin t i doanh nghi p nh : ng d ng nh Photoshop, Corel, auto CAD, h a….

khách hàng các gi i pháp t ng th v tin h c v i giá c nh tranh. i ng các chuyên gia v công ngh thông tin hàng

chúng tôi cung c p các d ch v CAM….. t c b n n nâng cao

ào t o v tin h c v n phòng, các ph n m m

ào t o qu n tr m ng, qu n tr h th ng, qu n tr c s d li u, thi t k website,

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
Cài GI I THI U:

ISA 2004 Server Firewall 2004

t và c u hình ISA Server Firewall 2004 (chapter 1)

Trong th c t hi n nay b o m t thông tin ang óng t vai trò thi t y u ch không còn là “th y u” trong i ho t ng liên quan n vi c ng d ng công ngh thông tin. Tôi mu n nói n vai trò to l n c a vi c ng ng CNTT ã và ang di n ra sôi ng, không ch thu n túy là nh ng công c (Hardware, software), mà th c s ã c xem nh là gi i pháp cho nhi u v n . Kh i ng t nh ng n m u th p niên 90, v i t s ít chuyên gia v CNTT, nh ng hi u bi t còn n ch và a CNTT ng d ng trong các ho t ng n xu t, giao d ch, qu n lý còn khá khiêm t n và ch ng l i m c công c , và ôi khi tôi còn nh n th y nh ng công c “ t ti n” này còn gây m t s c n tr , không em l i nh ng hi u qu thi t th c cho nh ng T ch c s d ng nó. Và nh ng ai “ch n n” nh t thì l i t h i mình “mua cái thi t b làm gì nh ?! nó không s n xu t ra c n ph m, và nó c ng ch ng giúp công vi c gi y t gi m b t là bao, li u chúng ta ã t n hao m t s ti n vô ích?!..”” . Không âu xa nh ng n c láng gi ng khu v c nh Thailand, Singapore, nh ng n n kinh t m nh trong khu v c và ang trên à phát tri n m nh m . Nh n th c cs u vi t c a ng d ng CNTT, và t r t s m h ã em CNNT áp d ng vào i ho t ng, không ch s n xu t, giao d ch, qu n lý mà CNTT c mang n m i nhà, i ng i . Và h c ng h c thành th c nh ng k n ng gi i quy t và u khi n công vi c t sáng t o t các “v khí” tân th i này. âu ó trong trích n “Con ng Phía tr c” a Bill Gates có nói n giá tr to l n c a thông tin trong th k 21, m t k nguyên thông tin ích th c. Th c th quý giá “phi v t ch t” này, ang d n tr thành m t i t ng cs n lùng, c ki m soát g t gao, và c ng là b phóng cho t t c nh ng qu c gia mu n phát tri n m t cách m nh m , nhanh chóng và “b n v ng”. C n có nh ng h th ng m nh m nh t ki m soát thông tin, sáng t o thông tin và em nh ng thông tin này vào ng d ng t cách có hi u qu . Th gi i b c trong th k 21 dùng bàn p CNTT t o l c b y và ng là d n ng cho các ho t ng, cho m i ng i xích l i g n nhau h n, khi n cho nh ng cách bi t a Lý không còn t n t i, d dàng hi u nhau h n và trao i v i nhau nh ng gì có giá tr nh t, c bi t nh t. ng d ng công ngh thông tin m t cách có hi u qu và “b n v ng”, là tiêu chí hàng u a nhi u qu c gia hi n nay, Vi t Nam không là ngo i l . Xét trên bình di n m t doanh nghi p khi ng d ng CNTT vào s n xu t, kinh doanh c ng luôn mong mu n có c u này. Tính hi u qu là u b t bu c, và s “b n v ng” c ng là t t y u. D i góc nhìn c a t chuyên gia v b o m t h th ng, khi tri n khai m t h th ng thông tin và xây d ng c c ch b o v ch t ch , an toàn, nh v y là góp ph n duy trì tính “b n v ng” cho h th ng thông tin c a doanh nghi p ó. Và t t c chúng ta u hi u r ng giá tr thông tin c a doanh nghi p là tài s n vô giá. Không ch thu n túy v v t ch t, nh ng giá tr khác không th o m c nh uy tín c a h v i khách hàng s ra sao, n u nh ng thông tin giao d ch i khách hàng b ánh c p, r i sau ó b l i d ng v i nh ng m c ích khác nhau..Hacker, attacker, virus, worm, phishing, nh ng khái ni m này gi ây không còn xa l , và th c s là m i lo ng i hàng u c a t t c các h th ng thông tin (PCs, Enterprise Networks, Internet, etc..). Và chính vì v y, t t c nh ng h th ng này c n trang b nh ng công c nh, am hi u cách x lý i phó v i nh ng th l c en áng s ó. Ai t o ra b c t ng a m nh này có th “thiêu cháy” m i ý xâm nh p?! Xin th a r ng tr c h t ó là ý th c s d ng máy tính an toàn c a t t c m i nhân viên trong m t T ch c, s am hi u tinh t ng c a các Security Admin trong T ch c ó, và cu i cùng là nh ng công c cl c

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

nh t ph c v cho “cu c chi n” này. ó là các Firewall, t Personal Firewall b o v cho t ng Computer cho n các Enterprise Firewall có kh n ng b o v toàn h th ng Network c a t T ch c. Và Microsoft ISA Server 2004 là m t Enterprise Firewall nh th ! M t s n ph m t t và là ng i b n tin c y b o v an toàn cho các h th ng thông tin. CH CH CH CH NG 1: H NG 2: Cài NG 3: Cài NG 4: Cài ng d n s d ng

t Certificate Services t và c u hình Microsoft Internet Authentication Service t và c u hình Micosoft DHCP và WINS Server Service tr tính n ng Autodiscovery cho Web Proxy

CH NG 5: C u hình DNS và DHCP h và Firewall Client

CH NG 6: Cài t và c u hình DNS Server v i tính n ng Caching-only trên Perimeter Network CH CH CH NG 7: Cài t ISA Server 2004 trên Windows Server 2003

NG 8: Sao l u và ph c h i c u hình Firewall NG 9: n gi n hóa c u hình Network v i các Network Templates

CH NG 10: C u hình các lo i ISA Clients: SecureNAT, Web Proxy và Firewall Client CH NG 11: C u hình các chính sách trên Firewall v i ISA Server 2004 Access Policy CH NG 12: Ti n hành Publish các Service trên Perimeter Network ra bên ngoài nh : Web, Ftp Server CH NG 13: C u hình Firewall óng vai trò Filtering SMTP Relay

CH NG 14: Ti n hành publish Exchange Outlook Web Access, SMTP Server và POP3 Server Sites. CH CH NG 15: C u hình VPN Server trên ISA Server 2004 NG 16: T o m t Site to Site VPN trên các ISA Server 2004 Firewalls

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

CH

NG 1:

Tri n khai

t ng Network v i nh ng Service thi t y u

Cu n sách c trình bày theo th c t tri n khai ISA Server 2004 trong mô hình Network a m t T ch c. N i dung c a sách gói g n trong các v n c u hình h th ng ISA Server 2004 tr thành m t Firewall m nh mà v n áp ng c các yêu c u s d ng các Service xa, ph c v cho c các ISA Clients bên trong truy c p các Service bên ngoài (Internet), n các Client bên ngoài (Internet Clients) c n truy c p các Service bên trong Network T ch c. Firewalls luôn là m t trong các lo i thi t b Network c u hình ph c t p nh t và duy trì ho t ng c a nó b o v Network c ng g p không ít th thách cho các Security Admin. C n có nh ng ki n th c c b n v TCP/IP và các Network Services hi u rõ m t Firewall làm vi c nh th nào. Tuy nhiên c ng không nh t thi t ph i tr thành m t chuyên gia v h ng Network (Network Infrastructure ) m i có th s d ng c ISA Server 2004 nh m t Network Firewall. Ch ng này s mô t các v n sau: • Giúp b n hi u các tính n ng có m t trên ISA Server 2004 • Cung c p nh ng l i khuyên c th khi dùng tài li u c u hình ISA Server 2004 Firewall • Mô t chi ti t th c hành tri n khai ( ISA SERVER 2004 Lab Configuration) Hi u các tính n ng trên ISA Server 2004 ISA Server 2004 c thi t k b o v Network, ch ng các xâm nh p t bên ngoài l n ki m soát các truy c p t bên trong N i b Network c a m t T ch c. ISA Server 2004 Firewall làm u này thông qua c ch u khi n nh ng gì có th c phép qua Firewall và nh ng gì s b ng n ch n. Chúng ta hình dung n gi n nh sau: Có m t quy t c c áp t trên Firewall cho phép thông tin c truy n qua Firewall, sau ó nh ng thông tin này s c “Pass” qua, và ng c l i n u không có b t kì quy t c nào cho phép nh ng thông tin y truy n qua, nh ng thông tin này s b Firewall ch n l i. ISA Server 2004 Firewall ch a nhi u tính n ng mà các Security Admin có th dùng m o an toàn cho vi c truy c p Internet, và c ng b o m an ninh cho các tài nguyên trong i b Network . Cu n sách cung c p cho các Security Admin hi u c nh ng khái ni m ng quát và dùng nh ng tính n ng ph bi n, c thù nh t trên ISA Server 2004, thông qua nh ng b c h ng d n c th (Steps by Steps) Firewalls không làm vi c trong m t môi tr ng “chân không”, vì n gi n là chúng ta tri n khai Firewall b o v m t cái gì ó, có th là m t PC, m t Server hay c m t h th ng Network v i nhi u Service c tri n khai nh Web, Mail, Database…. Chúng ta s có m t h ng d n y v vi c tri n khai các Service c n thi t cho ho t ng Network c a m t T ch c. cách th c cài t và c u hình nh ng Service này nh th nào. Và u t i quan tr ng là Network và các Service ph i c c u hình úng cách tr c khi tri n khai Firewall. u này giúp chúng ta tránh c nh ng v n phi n toái n y sinh khi tri n khai ISA Server 2004. Các Network Services và nh ng tính n ng trên ISA Server 2004 s c cài t và c u hình m: • Cài t và c u hình Microsoft Certificate Services (Service cung c p các Ch ng t k thu t ph c v nh n d ng an toàn khi giao d ch trên Network) • Cài t và c u hình Microsoft Internet Authentication Services (RADIUS) Service xác th c an toàn cho các truy c p t xa thông qua các remote connections (Dial-up ho c VPN)

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

• Cài t và c u hình Microsoft DHCP Services (Service cung c p các xác l p TCP/IP cho các node trên Network) và WINS Services (Service cung c p gi i pháp truy v n NETBIOS name a các Computer trên Network) • C u hình các WPAD entries trong DNS h tr ch c n ng Autodiscovery (t ng khám phá)) và Autoconfiguration (t ng c u hình) cho Web Proxy và Firewall clients. R t thu n i cho các ISA Clients (Web và Firewall clients) trong m t T ch c khi h ph i mang Computer t m t Network (có m t ISA Server) n Network khác (có ISA Server khác) mà nt ng phát hi n và làm vi c c v i Web Proxy Service và Firewall Service trên ISA Server này . • Cài t Microsoft DNS server trên Perimeter Network server (Network ch a các Server cung c p tr c tuy n cho các Clients bên ngoài, n m sau Firewall, nh ng c ng tách bi t v i LAN) • Cài t ISA Server 2004 Firewall software • Back up và ph c h i thông tin c u hình c a ISA Server 2004 Firewall • Dùng các mô hình m u c a ISA Server 2004 ( ISA Server 2004 Network Templates) u hình Firewall • C u hình các lo i ISA Server 2004 clients • T o các chính sách truy c p (Access Policy) trên ISA Server 2004 Firewall • Publish Web Server trên m t Perimeter Network • Dùng ISA Server 2004 Firewall óng vai trò m t Spam filtering SMTP relay (tr m trung chuy n e-mails, có ch c n ng ng n ch n Spam mails) • Publish Microsoft Exchange Server services (h th ng Mail và làm vi c c ng tác c a Microsoft, t ng t Lotus Notes c a IBM) • C u hình ISA Server 2004 Firewall óng vai trò m t VPN server • T o k t n i VPN theo ki u site to site gi a hai Networks c khi th c hành c u hình ISA Server 2004 Firewall, ph i nh n th c rõ ràng : ây là m t th ng ng n ch n các cu c t n công t Internet và m t Firewall v i c u hình l i s t o u ki n cho các cu c xâm nh p Network. V i nh ng lý do này, u quan tr ng nh t các Security Admin quan tâm ó là Làm th nào c u hình Firewall m b o an toàn cho vi c truy c p Internet . i c u hình m c nh c a mình ISA Server 2004 ng n ch n t t c l u thông vào, ra qua Firewall. Rõ ràng ây là m t c u hình ch ng, an toàn nh t mà Admin có th yên tâm ngay t u khi v n hành ISA Server. Và sau ó áp ng các y u c u h p pháp truy c p các Service khác nhau c a Internet (ví d nh web, mail, chat, download, game online v.vv..), Security Admin s c u hình ISA Server 2004 có th áp ng các yêu c u c phép trên. Các Securty Admin luôn c khuy n cáo: Hãy t o các cu c ki m tra c u hình ISA Server 2004 trong phòng Lab, tr c khi em các c u hình này áp d ng th c t . Chúng ta s c ng d n c u hình ISA Server 2004 Firewall úng cách, chính xác thông qua giao di n làm vi c r t g n g i c a ISA Server 2004. Có th có nh ng sai l m khi th c hi n Lab, nh ng các Admin không qua lo l ng vì ch c r ng các attackers không th l i d ng nh ng l h ng này (tr khi Lab Network c k t n i v i Internet..). Trên Lab u quan tr ng nh t là hi u úng các thông s ã c u hình, cho phép sai ph m và các Admin rút ra kinh ghi m t chính nh ng “mistakes” này. LAB h ng d n c u hình ISA Server 2004 Firewall Tr

Chúng ta s dùng m t Network Lab mô t nh ng kh n ng và nh ng nét c tr ng c a ISA Server 2004. Các Admin khi th c hành nên xây d ng m t Test Lab t ng t nh mô hình ch ra d i ây (t t c các thông s s d ng). N u các Security Admin không có các thi t b th t nh Test Lab này, có th dùng mô hình gi l p, n t các Virtual Software nh Microsoft’s Virtual PC software (ho c VMWare) t o mô hình Lab o. Xem thêm v Virtual PC t i Website: http://www.microsoft.com/windowsxp/virtualpc/

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
Trong ph n này, chúng ta s xem xét:

ISA 2004 Server Firewall 2004

• H ng d n c u hình Network cho ISA Server 2004 • Cài t Windows Server 2003 , và sau ó nâng (dcpromo) Computer này lên thành m t Domain controller (máy ch ki m soát toàn ho t ng c a Domain) • Cài t Exchange Server 2003 trên Domain controller này và c u hình thành m t Outlook Web Access Site dùng ph ng th c xác th c c b n (Basic authentication) Network tri n khai ISA Server 2004

Mô hình Network Lab – 7Computers. Tuy nhiên Network Lab không yêu c u c 7 Computers này ch y cùng m t th i m u này t o u ki n d dàng cho Lab c bi t là Lab o. Mô hình Network c a T ch c này có m t Local Network (Network c c b LAN) và m t Remote Network. M i Network có m t ISA Server 2004 ch n phía tr c óng vai trò Firewall. T t c các Computers trên Local Network u là thành viên c a Domain MSFirewall.org, và domain này bao g m luôn c ISA Server 2004 Firewall computer. T t các Computers còn l i không là thành viên c a Domain này. Trên lab Network, Network Card ngoài (External interfaces) c a các ISA Server 2004 Firewalls có k t n i cho phép truy c p Internet. Các Admin nên t o các thông s c u hình gi ng nhau có th Test các k t n i th c s n Internet t phía Clients n m sau ISA Server 2004 Firewalls. u chúng ta dùng ph n m m gi l p thì l u ý r ng, chúng ta ph i set-up n 3 Virtual Networks trên Test Lab. ó là các Vitual Networks: Domain Controller n m trên Internal

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Network, TRIHOMELAN1 Computer n m trên Perimeter Network và REMOTECLIENT virtual Network th ba. u ý v i Lab o: Ch c ch n m t u là trên các Virtual Networks này b trí các Computers trên các Virtual Switches khác nhau, ng n ch n các thông tin tràn ng p theo ki u Ethernet broadcast traffic, u này có th gây nên nh ng k t qu không mong mu n trên Lab o..

Cài

t và c u hình Domain Controller trên Internal Network

t Computer khác h n so v i ISA Server 2004 Firewall computer, có quy n l c qu n tr toàn Domain n i b ó là Domain Controller . Microsoft xây d ng mô hình Domain d i s ki m soát c a Active Directory Service và Domain Controller là công c ki m soát Domain ó. (qu n lý t t c các Clients và Servers cung c p Service trong Domain nh Web, Mail, Database server và k c ISA Servers) Trong Lab này chúng ta s c u hình m t Windows Server 2003 domain controller, và tri n khai luôn các Service nh : DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003 trên chính Domain controller này. Các giai n ti n hành:

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
• Cài t Windows Server 2003 • Cài t và c u hình DNS service • Nâng Computer này lên thành Domain controller Cài t Windows Server 2003

ISA 2004 Server Firewall 2004

Ti n hành các b c sau trên Computer s óng vai trò Domain Controller 1. a a CD cài t vào CD-ROM, kh i d ng l i Computer. Cho phép boot t CD 2. Ch ng trình Windows setup b t u load nh ng Files ph c v cho vi c cài t. Nh n Enter khi mà hình Welcome to Setup xu t hi n 3. c nh ng u kho n v License trên Windows Licensing Agreement, dùng phím PAGE DOWN xem h t sau ó nh n F8 ng ý v i u kho n 4. Trên Windows Server 2003, Standard Edition Setup xu t hi n màn hình t o các phân vùng lôgic (Partition) trên a c ng, tr c h t t o Partition dùng cho vi c cài tH u hành. Trong Test Lab này, toàn b a c ng s ch làm m t Partition. Nh n ENTER. 5. Trên Windows Server 2003, Standard Edition Setup, ch n Format the partition using the NTFS file system Nh n ENTER. 6. Ch ng trình Windows Setup ti n hành nh d ng (format) a c ng, s ch ít phút cho ti n trình này hoàn thành 7. Computer s t Restart khi ti n trình copy File vào a c ng hoàn thành 8. Computer s restart l i trong giao di n h a (graphic interface mode). Click Next trên trang Regional and Language Options 9. Trên trang Personalize Your Software, n Tên và T ch c c a B n Ví d : Name: Nis.com.vn Organization: Network Information Security Vietnam 10.Trên trang Product Key n vào 25 ch s c a Product Key mà b n có và click Next. 11.Trên trang Licensing Modes ch n úng option c áp d ng cho version Windows Server 2003 mà b n cài t. N u cài t Licence ch per server licensing, hãy a vào s connections mà b n ã có License. Click Next. 12.Trên trang Computer Name và Administrator Password n tên c a Computer trong Computer Name text box. Theo các b c trong xây d ng Test Lab này, thì Domain controller/Exchange Server trên cùng Server và có tên là EXCHANGE2003BE, tên này c n vào Computer Name text box. n ti p vào c Administrator password và xác nh n l i password t i m c Confirm password (ghi nh l i password administrator c n th n, n u không thì b n c ng không th log-on vào Server cho các ho t ng ti p theo). Click Next. 13.Trên trang Date and Time Settings xác l p chính xác Ngày, gi và múi gi Vi t Nam (n u các b n Vi t Nam). Click Next. 14.Trên trang Networking Settings, ch n Custom settings option. 15.Trên trang Network Components, ch n Internet Protocol (TCP/IP) entry trong Components và click Properties. 16.Trong Internet Protocol (TCP/IP) Properties dialog box, xác l p các thông s sau: IP address: 10.0.0.2. Subnet mask: 255.255.255.0. Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này c ng là IP address a Internal Card trênISA Server). Preferred DNS server: 10.0.0.2. 17.Click Advanced trên Internet Protocol (TCP/IP) Properties dialog box. Trong Advanced TCP/IP Settings dialog box, click WINS tab. Trên WINS tab, click Add. Trong TCP/IP WINS Server dialog box, n 10.0.0.2 và click Add. 18.Click OK trong Advanced TCP/IP Settings dialog box. 19.Click OK trong Internet Protocol (TCP/IP) Properties dialog box. 20.Click Next trên trang Networking Components.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

21.Ch p nh n l a ch n m c nh môi tr ng Network là Workgroup (chúng ta s t o môi tr ng Domain sau, a máy này tr thành m t Domain controller và c ng là thành viên a Domain (là m t member server, vì trên Server này còn cài thêm nhi u Server Service khác ngoài Active Directory Service).Click Next. 22.Ti n trình cài t c ti p t c và khi Finish, Computer s t kh i ng l i 23.Log-on l n u tiên vào Windows Server 2003 dùng password mà chúng ta ã t o cho tài kho n Administrator trong quá trình Setup. 24.Xu t hi n u tiên trên màn hình là trang Manage Your Server, n nên check vào Don’t display this page at logon checkbox và óng c a s Window l i Cài t và c u hình DNS

c k ti p là cài t Domain Naming System (DNS) server trên chính Computer này (EXCHANGE2003BE ). u này là c n thi t vì Active Directory Service ho t ng trên Domain Controller, ki m soát toàn Domain yêu c u ph i có DNS server service ph c v cho nhu c u truy v n tên -hostname, ng kí các record (A, PTR, SRV records v.v..). Chúng ta cài DNS server và sau ó s nâng vai trò Computer này lên thành m t Domain Controller, và DNS server này s ph c v cho toàn Domain. Ti n hành các b c sau cài t DNS server 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trong Windows Components, xem qua danh sách Components và click Networking Services entry. Click Details. 4. Check vào Domain Name System (DNS) checkbox và click OK. 5. Click Next trong Windows Components. 6. Click Finish trên Completing the Windows Components Wizard. 7. óng Add or Remove Programs DNS server ã c cài t, Admin c n a vào DNS Server các thông s c th ph c v cho ho t ng truy v n tên, c th là s t o ra hai vùng Forward và Reverse lookup zones. Ti n hành các b c sau c u hình DNS server:

1. Click Start và sau ó click Administrative Tools. Click DNS. 2. Trong b ng làm vi c c a DNS (DNS console), m r ng server name (EXCHANGE2003BE ), sau ó click trên Reverse Lookup Zones. Right click trên Reverse Lookup Zones và click New Zone. 3. Click Next trên Welcome to the New Zone Wizard. 4. Trên Zone Type , ch n Primary zone option và click Next. 5. Trên Reverse Lookup Zone Name page, ch n Network ID option và Enter 10.0.0 vào text box. Click Next. 6. Ch p nh n ch n l a m c nh trên Zone File page, và click Next. 7. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic updates option. Click Next. 8. Click Finish trên Completing the New Zone Wizard page. ti p chúng ta t o Forward lookup zone cho Domain mà Computer này s là Domain Controller. Ti 1. 2. 3. n hành các b c sau Right click Forward Lookup Zone và click New Zone. Click Next trên Welcome to the New Zone Wizard page. trên Zone Type page, ch n Primary zone option và click Next.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Trên Zone Name page, n tên c a forward lookup zone trong Zone name text box. Trong ví d này tên c a zone là MSFirewall.org, trùng v i tên c a Domain s t o sau này. a MSFirewall.org vào text box. Click Next. 5. Ch p nh n các xác l p m c nh trên Zone File page và click Next. 6. Trên Dynamic Update page, ch n Allow both nonsecure and secure dynamic updates. Click Next. 7. Click Finish trên Completing the New Zone Wizard page. 8. M r ng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên MSFirewall.org và Click New Host (A). 9. Trong New Host dialog box, n vào chính xác EXCHANGE2003BE trong Name (uses parent domain name if blank) text box. Trong IP address text box, n vào 10.0.0.2. Check vào Create associated pointer (PTR) record checkbox. Click Add Host. Click OK trong DNS dialog box thông báo r ng (A) Record ã c t o xong. Click Done trong New Host text box. 10. Right click trên MSFirewall.org forward lookup zone và click Properties. Click Name Servers tab. Click exchange2003be entry và click Edit. 11.Trong Server fully qualified domain name (FQDN) text box, n vào tên y c a Domain controller computer là exchange2003be.MSFirewall.org. Click Resolve. S nh n th y, IP address a Server xu t hi n trong IP address list. Click OK. 12. Click Apply và sau ó click OK trên MSFirewall.org Properties dialog box. 13. Right click trên DNS server name EXCHANGE2003BE , ch n All Tasks. Click Restart. 14. Close DNS console. Gi ây Computer này ã s n sàng nâng vai trò lên Thành m t Domain controller trong Domain MSFirewall.org Ti n hành các b c sau t o Domain và nâng server này thành Domain Controller u tiên c a Domain (Primary Domain Controller) Cài 1. 2. 3. 4. 5. t Primary Domain Controller

Click Start và click Run . Trong Run dialog box, ánh l nh dcpromo trong Open text box và click OK. Click Next trên Welcome to the Active Directory Installation Wizard page. Click Next trên Operating System Compatibility page. Trên Domain Controller Type page, ch n Domain controller for a new domain option và click Next. 6. Trên Create New Domain page, ch n Domain in a new forest option và click Next. 7. Trên New Domain Name page, n tên y c a Domain (Full DNS name) MSFirewall.org text box và click Next. 8. Trên NetBIOS Domain Name page (NetBIOS name c a Domain nh m support cho các Windows OS- nh các dòng Windows NT và WINDOWS 9x i c , khi các Client này mu n giao d ch v i Domain), ch p nh n NetBIOS name m c nh Trong ví d này là MSFIREWALL. Click Next. 9. Ch p nh n các xác l p m c nh trên Database and Log Folders page và click Next. 10. Trên Shared System Volume page, ch p nh n v trí l u tr m c nh và click Next. 11.Trên DNS Registration Diagnostics page, ch n I will correct the problem later by configuring DNS manually (Advanced). Click Next. 12.Trên Permissions page, ch n Permissions compatible only with Windows 2000 or Windows Server 2003 operating system option. Click Next. 13.Trên Directory Services Restore Mode Administrator Password page (ch ph c i cho Domain Controller khi DC này g p ph i s c , Khi DC offline, vào ch troubleshoot này b ng cach1 Restart Computer, ch n F8), n vào Restore Mode Password và sau ó Confirm password. (Các Admin không nên nh m l n Password

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

ch này v i Domain Administrator Password, u khi n ho t ng c a DCs ho c Domain). Click Next. 14.Trên Summary page, click Next. 15.Bây gi là lúc Computer c n Restart các thông s v a cài t Active 16.Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành vi c cài t. 17.Click Restart Now trên Active Directory Installation Wizard page. 18.Log-on vào Domain Controller dùng tài kho n Administrator sau khi ã Restart. Cài t và c u hình Microsoft Exchange trên Domain Controller

Computer ã s n sàng cho vi c cài t Microsoft Exchange. Trong ph n này chúng ta s ti n hành nh ng b c sau: • Cài t các Service IIS World Wide Web, SMTP và NNTP services • Cài t Microsoft Exchange Server 2003 • C u hình Outlook Web Access WebSite Ti n hành các b c sau cài World Wide Web, SMTP và NNTP services: 1. Click Start, ch n Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, ch n Application Server entry trong Components page. Click Details. 4. Trong Application Server dialog box, check vào ASP.NET checkbox. Ch n Internet Information Services (IIS) entry và click Details. 5. Trong Internet Information Services (IIS) dialog box, check vào NNTP Service checkbox. Check ti p SMTP Service checkbox. Click OK. 6. Click OK trong Application Server dialog box. 7. Click Next trên Windows Components page. 8. Click OK vào Insert Disk dialog box. 9. Trong Files Needed dialog box, a ng d n n Folder I386 trên CD cài t Windows Server 2003 trong copy file t text box. Click OK. 10. Click Finish trên Completing the Windows Components Wizard page. 11. Close Add or Remove Programs . Ti n hành các b 1. c sau cài Microsoft Exchange:

a Exchange Server 2003 CD vào CD-ROM, trên autorun page, click Exchange Deployment Tools link n m d i Deployment heading. 2. Trên Welcome to the Exchange Server Deployment Tools page, click Deploy the first Exchange 2003 server link. 3. Trên Deploy the First Exchange 2003 Server page, click New Exchange 2003 Installation link. 4. Trên New Exchange 2003 Installation page, kéo xu ng cu i trang.Click Run Setup now link. 5. Trên Welcome to the Microsoft Exchange Installation Wizard page, click Next. 6. Trên License Agreement page, ch n I agree option và click Next. 7. Ch p nh n các xác l p m c nh trên Component Selection page và click Next. 8. Ch n Create a New Exchange Organization option trên Installation Type page và click Next. 9. Ch p nh n tên m c nh trong Organization Name text box trên Organization Name page, và click Next. 10.Trên Licensing Agreement page, ch n I agree that I have read and will be bound by the license agreement for this product và click Next. 11.Trên Installation Summary page, click Next. 12.Trong Microsoft Exchange Installation Wizard dialog box, click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004
t

13.Click Finish trên on the Completing the Microsoft Exchange Wizard page khi cài hoàn thành. 14. óng t t c c a s ang open.

Exchange Server ã c cài t và gi ây Admin có th t o các mailboxes cho Users. c k ti p là c u hình Outlook Web Access site và ch dùng ph ng th c xác th c duy nh t là Basic Authentication. i v i các qu n tr Mail Server thì ây là m t c u hình quan tr ng (nh ng t t nhiên không b t bu c) khi mu n cho phép truy c p t xa (remote access) vào OWA site. Sau ó, chúng ta s yêu c u m t Website Certificate (Ch ng t s Website) cho OWA site và publish OWA site dùng quy t c Web Publishing Rule trênISA Server, thông qua rule này, s cho phép remote users truy c p vào OWA site. Ti n hành các b c sau c u hình OWA site dùng ph ng th c xác th c duy nh t Basic authentication: 1. Click Start, ch n Administrative Tools. Click Internet Information Services (IIS) Manager. 2. Trong Internet Information Services (IIS) Manager console, m r ng server name, m r ng WebSites node Và m Default Web Site. 3. Click trên Public node và sau ó right click. Click Properties. 4. Trong Public Properties dialog box, click Directory Security tab. 5. Trên Directory Security tab, click Edit trong khung Authentication and access control. 6. Trong Authentication Methods dialog box, m b o không check vào (remove) Integrated Windows authentication checkbox. Click OK. 7. Click Apply và click OK. 8. Click trên Exchange node và right click. Click Properties. 9. Trên Exchange Properties dialog box, click Directory Security tab. 10.Trên Directory Security tab, click Edit trong Authentication and access control 11.Trong Authentication Methods dialog box, m b o không check vào (remove) Integrated Windows authentication checkbox. Click OK. 12.Click Apply, click OK trong Exchange Properties dialog box. 13.Click trên ExchWeb node,sau ó right click. Click Properties. 14.Trong ExchWeb Properties dialog box, click Directory Security tab. 15.Trên Directory Security tab, click Edit trong khung Authentication and access control 16.Trong Authentication Methods dialog box, không check (remove) vào Enable anonymous access checkbox. Sau ó check vào Basic authentication (chú ý dùng ph ng th c xác th c này, password c g i i d i d ng clear text) checkbox. Click Yes trong IIS Manager dialog box và Admin nh n c thông báo r ng password c i i hoàn toàn không mã hóa (clear). Trong Default domain text box, a vào tên Internal Network domain, chính là MSFIREWALL. Click OK. 17.Click Apply trong ExchWeb Properties dialog box. Click OK trong Inheritance Overrides dialog box. Click OK trong ExchWeb Properties dialog box. 18. Right click Default Web Site và click Stop. Right click l i Default Web Site và click Start. t lu n: Trong sách h ng d n c u hình ISA Server 2004 này chúng ta ã th o lu n nh ng m c tiêu và nh ng ph ng th c, có th n m b t tri n khai và c u hình ISA sao cho hi u qu nh t. Sách h ng d n c ng cung c p cho các b n ph ng pháp gi i quy t v n theo t ng b c th . Ch ng m t này t p trung vào vi c xây d ng m t c s h t ng Network (Network Infrastructure) theo mô hình Microsoft Active Directory Domain trên máy ch Winndows server 2003 Domain Controller, và tri n khai các Service khác liên quan n h t ng Network nh WINS, DNS, và các Service gia t ng nh Web, Mail.. Ch ng k ti p trình bày

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
cách th c cài Computer.

ISA 2004 Server Firewall 2004

t m t Microsoft Certificate Services trên Domain Controller

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
CH NG 2:

ISA 2004 Server Firewall 2004

Cài

t Certificate Services

(Certificate services cung c p Ch ng t k thu t s cho các giao d ch Network) Microsoft Certificate Services có th c cài t trên Domain controller c a internal Network và cung c p các Certificates cho các Hosts trong Internal Network domain, ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ng Certificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành: Microsoft Certificate Services có th c cài t trên Domain controller c a internal Network và cung c p các Certificates cho các Hosts trong Internal Network domain, ng nh các Hosts không là thành viên c a Internal Network domain. Chúng ta s s d ng Certificates trong nhi u k ch b n khác nhau, các công vi c c n hoàn thành: • Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol, o liên k t site-to-site VPN. • Cho phép ISA Server 2004 Firewall cung c p kênh h tr L2TP/IPSec VPN protocol, o u ki n cho VPN client th c hi n k t n i t m t Remote Location (site) • Cho phép remote users có th truy c p n Outlook Web Access site, ph ng th c o m t m nh SSL-to- SSL bridged connections. • Publish secure Exchange SMTP và POP3 services lên Internet Certificates cho phép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là m t giao th c l p session (layer) có kh n ng mã hóa d li u truy n gi a client và server. SSL security hi n c xem là chu n cung c p an toàn cho các remote access n các Websites. Ngoài ra, certificates còn có th c dùng xác nh n các i t ng tham gia các k t n i VPN , bao g m VPN clients và VPN servers (ph ng pháp này g i là xác th c c hai chi u- mutual Authentication) Trong ph n này chúng ta s c p n các ti n trình sau: • Cài t Internet Information Services 6.0 h tr Certificate Authority’s Web Enrollment ( nh n các Certificates t CA server thông qua hình th c ng kí trên CA’sWeb) • Cài t Microsoft Certificate Services ch Enterprise CA Cài t Internet Information Services 6.0

Certificate Authority’s Web enrollment site s d ng Internet Information Services World Wide Publishing Service. B i vì chúng ta ã cài IIS Web services , trong ch ng 1 khi ti n hành cài Exchange 2003 h tr Outlook Web Access site, nên s không c n cài l i IIS service. Tuy nhiên, b n nên xác nh n l i WWW Publishing Service ã c Enabled, tr c khi ti n hành cài Enterprise CA. Thi hành các b c sau xác nh n WWW Publishing Service ang ch y trên domain controller: 1. Click Start ch n Administrative Tools. Click Services. 2. Trong Services console, click Standard tab phía d i. Kéo xu ng danh sách và doubleclick vào World Wide Web Publishing Service . 3. Trong World Wide Web Publishing Server Properties dialog box, xác nh n Startup type là Automatic, và trang thái v n hành c a service là Started.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click Cancel và óng Services console. Nh v y WWW Publishing Service software. Cài t Certificate Services ch ã v n hành, b c ti p theo là cài t Enterprise CA

Enterprise CA

Microsoft Certificate Services s c cài t ch này trên chính domain controller. Có nh ng thu n l i khi cài CA ch Enterprise mode (ng c l i v i Standalone mode) bao m: • Ch ng t g c c a CA (root CA certificate) c t ng a vào vùng l u tr Certificate a Trusted Root Certification Authorities (certificate store) trên t t c các máy thành viên c a Domain (domain member). Các Computer thành viên c a Domain khi dùng các giao d ch c n Certificates nâng cao tính an toàn, có th d dàng tìm các nhà cung c p p pháp- CA servers, trong Trusted Root Certification Authorities trên Computer c a mình. • Các Clients này c ng d dàng dùng Certificates MMC snap-in (t i RUN, type mmc, ch n File, Add/Remove snap-in, Add, ch n Certificates), và d dàng dùng snap-in này yêu c u certificates t CA Servers ho c t CA’s Websites • T t c các Computer trong Domain có th c phân chia Certificates ng lo t thông qua tính n ng Active Directory autoenrollment feature u ý r ng không nh t thi t ph i cài CA Enterprise mode. B n có th cài CA ch Standalone mode, nh ng trong Lab này chúng ta s không c p standalone mode ho c làm th nào xin c p certificate t m t Standalone CA Ti n hành các b EXCHANGE2003BE c sau cài t Enterprise CA trên Domain Controller

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo danh sách xu ng và check vào Certificate Services checkbox. Click Yes trong Microsoft Certificate Services dialog box, thông báo ng informing “you may not change the name of the machine or the machine s domain membership while it is acting as a CA”. Nh v y là r t rõ ràng B n không th thay i Computer Name ho c thay i t cách thành viên Domain c a Computer này, sau khi ã cài CA service.Click Yes. 4. Click Next trên Windows Components page. 5. Trên CA Type page, ch n Enterprise root CA option và click Next.

6. Trên CA Identifying Information page, n tên cho CA server này trong Common name a CA text box. Nên dùng tên d ng DNS host name c a domain controller. Tham kh o v c u hình DNS h tr ISA Server http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.htm Trong text box này các b n n vào NetBIOS name c a domain controller là EXCHANGE2003BE. Click Next.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. N u Computer này tr c ây ã cài t m t CA, b n s c h i “you wish to overwrite the existing key , ghi è lên các khóa ã t n t i. Còn n u b n ã tri n khai các CA khác trên Network có th không nên overwrite các khóa hi n t i. Và n u ây là CA u tiên, có th ch p nh n overwrite the existing key. Trong ví d này chúng ta tr c ó ã ch a cài CA trên Computer vì v y không nhìn th y dialog box thông báo nh trên 8. Trong Certificate Database Settings page, dùng v trí l u tr m c nh cho Certificate Database và Certificate database log text boxes. Click Next. 9. Click Yes trong Microsoft Certificate Services dialog box, b n nh n c thông báo ph i restart Internet Information Services. Click Yes stop service. Service s c restart automatic. 10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, a ng d n n I386 folder trong Copy file from text box và click OK. 11. Click Finish trên Completing the Windows Components Wizard page. 12. óng Add or Remove Programs. i th i m này Enterprise CA có th c p phát certificates cho các Computer khác trong Domain thông qua autoenrollment, Certificates mmc snap-in, ho c qua Web enrollment site. Trong h ng d n c u hình ISA Server 2004 này, chúng ta s c p phát m t Web site certificate cho OWA Web site và c ng c p phát các Computer certificates cho ISA Server 2004 Firewall computer và cho các external VPN client và VPN gateway (VPN router) machine. t lu n: Trong ph n này chúng ta ã th o lu n v vi c dùng m t CA- Certificate Authority và làm th nào cài t m t Enterprise CA trên Domain controller trong internal Network. Và ti p theo chúng ta s dùng Enterprise CA c p Computer Certificates cho các VPN clients và servers, c ng c p luôn m t Web site certificate cho Exchange Server’s Outlook Web Access Web site.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
CH NG 3: Cài

ISA 2004 Server Firewall 2004

t và c u hình Microsoft Internet Authentication Service

Microsoft Internet Authentication Server (IAS) là m t chu n thu c lo i RADIUS (Remote Authentication Dial In User Service) server c dùng xác th c Users k t n i n ISA Server 2004 Firewall machine. B n có th dùng IAS xác th c các Web Proxy clients trên Internal Network hay VPN clients, VPN gateways ang ti n hành k t n i t m t External Network location (ví d nh t m t v n Phòng chi nhánh c a công ty). Ngoài ra, có th dùng RADIUS xác th c remote users khi nh ng i t ng này k t n i n các Web servers ã c published thông qua Web Publishing rules trên ISA Server 2004 u m chính c a vi c dùng RADIUS xác th c Web proxy và VPN connections là SA Server 2004 Firewall computer không c n ph i là thành viên c a Active Directory Domain m i có th xác th c c các Users, khi tài kh an c a nh ng Usrs này ang n m trong Active Directory database thu c Internal Network. Nhi u Firewall administrators khuy n cáo ng không nên Firewall Computer là thành viên trong Domain User. Vì u này có th ng n ch n Attackers xâm nh p vào Firewall, và qua ó có c quy n Domain Member t Firewall này, m r ng h ng t n công vào N i b Network . Tuy nhiên, nh c m l n khi không a ISA Server 2004 Firewall làm thành viên c a Internal Network domain ó là chúng ta s không th dùng ISA Firewall Client cung c p các xác th c h p pháp cho ISA Server khi các Firewall Clients này truy c p n t t c các giao th c TCP và UDP. Chính vì lý do này, chúng ta s t o m t ISA Server 2004 Firewall computer làm m t thành viên c a Internal Domain. Tuy nhiên n u b n không gia nh p Firewall vào Domain, v n có th dùng IAS xác th c các VPN và Web Proxy clients. Các công vi c ti p theo s là: Cài t và c u hình Microsoft Internet Authentication Service Microsoft Internet Authentication Service server là m t RADIUS server. Chúng ta s s ng RADIUS server này trong các ph n sau c a h ng d n (b t ch c n ng RADIUS authentication ph c v cho Web Publishing Rules và tìm hi u cách th c m t RADIUS server xác th c PN clients nh th nào) Ti n hành các b c sau cài t Microsoft Internet Authentication Server trên domain controller EXCHANGE2003BE thu c Internal Network: 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo xu ng Components list và ch n Networking Services entry. Click Details. 4. Check vào Internet Authentication Service checkbox và click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Click Next trên Windows Components page. 6. Click Finish trên Completing the Windows Components Wizard page. 7. óng Add or Remove Programs Ti p theo chúng ta s c u hình Internet Authentication Service u hình Microsoft Internet Authentication Service n c n c u hình IAS server úng cách có th làm vi c v i ISA Server 2004 Firewall computer. T i th i m này, chúng ta s c u hình IAS Server làm vi c v i ISA Server 2004 Firewall. Sau ó s c u hình Firewall giao ti p v i IAS server. Ti n hành các b c sau v i Domain controller trên Internal Network c u hình IAS server: 1. Click Start, Administrative Tools. Click Internet Authentication Service. 2. Trong Internet Authentication Service console, m r ng Internet Authentication Service (Local) node. Right click trên RADIUS Clients node và click New RADIUS Client.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Trên Name and Address page c a New RADIUS Client wizard, n vào Friendlyname c a ISA Server 2004 Firewall computer trong Friendly name text box. n gi n là tên này c dùng xác nh RADIUS client và không c s d ng cho nh ng m c ích ho t ng. a y FQDN name (là EXCHANGE2003BE. MSFIREWALL.ORG) , ho c IP address c a ISA Server 2004 Firewall computer trong Client address (IP or DNS) text box.

4. Click Verify. Trong Verify Client dialog box, FQDN-fully qualified domain name a ISA Server 2004 Firewall computer s xu t hi n trong Client text box. Click Resolve. N u RADIUS server có th gi i quy t Tên thì IP address s xu t hi n trong IP address frame. u RADIUS server không th gi i quy t tên ra IP Address, u này l u ý v i Admin r ng: hostname c a ISA Server 2004 Firewall ch a c t o trong DNS server (ch a t o record choISA Server). N u tr ng h p này x y ra, b n có th a 2 cách gi i quy t: T o A Record cho ISA Server trên DNS server c cài t trên Domain controller, ho c b n có th dùng

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

IP address trên Internal interface (10.0.0.1) c a ISA Server 2004 Firewall trong Client address (IP and DNS) text box thu c Name or Address page ( ã c p trên). Click OK vào Verify Client dialog box. M c ích c a các xác l p trong ph n này là bi n ISA Server 2004 Firewall tr thành m t RADIUS Client, khi ó gi RADIUS server và RADIUS Client m i có th b t tay c ng tác.

5. Click Next trên Name and Address page c a New RADIUS Client wizard. 6. Trên Additional Information page c a wizard, dùng default Client-Vendor entry, chu n c a RADIUS. n vào m t password trong Shared secret text box và xác nh n l i password này. Password bí m t c chia s (ch có RADIUS server và RADIUS Client- ISA Server 2004 Firewall bi t), và dùng “tín hi u” này làm vi c v i nhau. Shared Secret ch a ít nh t 8 kí t (c hoa l n th ng, s và c các kí t c bi t..). Check vào Request must contain the Message Authenticator attribute check box. Click Finish.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Bây gi các b n ã th y New RADIUS client entry xu t hi n trên console

8. óng Internet Authentication Service console. Vi c c u hình ti p theo trên ISA Server 2004 Firewall công nh n i tác c a nó là RADIUS server, c u hình s c ti n hành thông qua giao di n qu n tr ISA Server 2004 Firewall và RADIUS server này s m nhi m vai trò xác th c các yêu c u t Web và VPN client. t lu n: Trong ch ng này chúng ta ã c p n Microsoft Internet Authentication Server, cách th c cài t và c u hình m t IAS server trên Domain controller thu c Internal Network domain. Trong các ph n k ti p c a h ng d n, chúng ta s dùng IAS server này xác th c các yêu c u t bên ngoài (incoming requestst c a Web/VPN Clients) truy c p vào Web/VPN server.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
CH NG 4: Cài

ISA 2004 Server Firewall 2004

t và c u hình Microsoft DHCP và WINS Server Services

Windows Internet Name Service (WINS) khi Service này c tri n khai trong Internal Network Domain, nó s ph c v các Computer trong Network gi i quy t tìm NetBIOS names l n nhau, và m t Computer A trong Network này có th thông qua WINS server gi i quy t c NetBIOS name c a Computer B m t Network khác (t t nhiên h th ng WINS thông th ng ch c dùng gi i quy t tên Netbios names trong N i b Network a T ch c, tránh nh m l n v i cách gi i quy t hostname c a DNS server- có kh n ng gi i quy t tên d ng FQDN (www.nis.com.vn) c a Internet ho c Internal Network Domain. Các b n có th tham kh o “ XÂY D NG H T NG M NG TRÊN MICROSOFT WINDOWS SERVER 2003”, s p c phát hành c a tôi hi u rõ h n v vai trò c a m t WINS server trong N i b Network . Các Computer trong Internal Network s c c u hình v i vai trò WINS clients, s ng kí tên c a mình (Netbios/Computer names) v i WINS server. WINS clients c ng có th g i các yêu c u truy v n tên n WINS server gi i quy t Name thành IP addresses. N u trong N i b Network không có WINS Server, thì Windows clients s g i các message d ng broadcast tìm Netbios name c a Computer mu n giao ti p. Tuy nhiên, n u các Computer này n m t i m t Network khác (v i Network ID khác) thí các Broadcast này s b ng n ch n (ch c n ng ng n ch n broadcast là m c nh trên các Router). Nh v y trong i b Network c a m t T ch c, g m nhi u Network Segments, thì vi c gi i quy t cho các Computer t Network 1 tìm NetBios name c a các Computers Network 2,3. Dùng WINS server là gi i pháp lý t ng. WINS server c ng c bi t quan tr ng cho các VPN clients. VPN clients không tr c ti p k t i n Internal Network, và nh v y không th dùng broadcasts gi i quy t NetBIOS names c a các Computers bên trong N i b Network . (Tr khi b n dùng Windows Server 2003 và m ch c n ng NetBIOS proxy, s h tr NetBIOS broadcast, nh ng r t h n ch ). VPN clients d a vào WINS server gi i quy t NetBIOS names và s d ng các thông tin này tìm ki m các Computers trong My Network Places c a Internal Network. Dynamic Host Configuration Protocol (DHCP) c dùng cung c p t ng các thông s liên quan n IP address (TCP/IP settings) cho DHCP clients. DHCP server s c c u hình trên Internal Network server và không ph i trên chính ISA Server 2004 Firewall. Khi chúng ta ã c u hình DHCP server trên Internal Network, ISA Server 2004 Firewall t ng có th thuê IP Addresses t DHCP server và phân b l i cho các VPN Clients (các IP addresses này c l y t m t vùng a ch c bi t trên DHCP server, ví d Admin ã t o s n m t DHCP scope có tên là “VPN Clients Network.”, vùng này ch a các IP address và các thông s ch cung c p cho VPN Clients) Vi c u khi n truy c p (Access controls) và cách th c nh tuy n (routing relationships) cho các VPN Clients này truy nh p N i b Network có th c c u hình gi a VPN Clients Network và các N i b Network c xác nh trong phân vùng LAT (Local Address Table) do ISA Server 2004 Firewall qu n lý. Trong ph n này chúng ta s th c hi n vi c cài t Microsoft WINS và DHCP services. Sau ó chúng ta s c u hình m t DHCP scope v i các thông s h p lý c a DHCP scope options. Cài t WINS Service

Windows Internet Name Service (WINS) c s d ng gi i quy t NetBIOS names ra IP Addresses ( n gi n vì chúng ta ang dùng Network TCP/IP, Network giao ti p theo s - IP address, Computer name ch là y u t ph , và là thói quen xác l p giao ti p, vì tên d nh n s ). Trong các mô hình Network m i ngày nay (ví d Network Microsoft Windows 2000/2003) s d ng gi i pháp tìm tên chính ó là DNS service, WINS service tri n khai

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

thêm là m t s l a ch n, và hoàn toàn không b t bu c). Tuy nhiên nhi u T ch c mu n dùng My Network Places có th xác nh các Server trên Network. Chúng ta bi t r ng My Network Places ho t ng tìm ki m các Network Computer d a trên Service Windows Browser. Và Windows Browser service gi i quy t tên d a trên n n t ng Broadcast ( broadcast-based service), n u Network tri n khai WINS server Windows Browser trên các Computer s ph thu c vào WINS server thu th p thông tin v các Computers phân tán kh p các Segment c a Network. Ngoài ra, WINS service c ng c yêu c u tri n khai khi các VPN clients mu n có c danh sách các Computers trong N i b Network . M c ích cài WINS server trong h ng d n này h tr gi i quy t NetBIOS name và Windows browser service cho các VPN clients. Ti n hành các b c sau cài WINS: 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, kéo xu ng danh sách Components và ch n Networking Services entry. Click Details. 4. Trong Network Services dialog box, check vào Windows Internet Name Service (WINS) check box. Check ti p vào Dynamic Host Configuration Protocol (DHCP) check box. Click OK.

5. Click Next trên Windows Components page. 6. Click OK trên Insert Disk dialog box. Trong Files Needed dialog box, a ng d n n I386 folder trong m c Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page. 8. óng Add or Remove Programs . WINS server ã s n sàng ph c v nhu c u ng kí NetBIOS name ngay l p t c mà không n b t c c u hình thêm nào. ISA Server 2004 Firewall, Domain controller, và các Internal Network clients t t c s c c u hình nh WINS Client và s ng kí v i WINS server trong m c xác l p TCP/IP c a mình (TCP/IP Properties settings) u hình DHCP Service Dynamic Host Configuration Protocol (DHCP) liên quan n IP cs d ng phân chia t ng các thông

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Address cho Internal Network clients và VPN clients. Trong Lab này, m c ích chính c a DHCP server là c p phát các thông s IP address cho Network VPN clients. L u ý r ng, trong mô hình Network th c t c a các T ch c, nên c u hình các Computer tr thành DHCP clients, không nên yêu c u m t IP address t nh. (t t nhiên có nh ng tr ng h p ngo i l , ví nh dùng IP c nh cho Servers, ho c trong m t Network có s l g Computer ít, tri n khai thêm DHCP server t o chi phí gia t ng áng k , làm t ng Total Cost Ownership-TCO..) DHCP server service ã c cài t theo nh ng th t c a ra t i ch ng 1. B c k ti p, chúng ta s c u hình m t DHCP scope (vùng IP addresses, kèm theo các thông s tùy ch nDHCP options). T t c nh ng thông s này s c cung c p cho các DHCP Clients. Ti n hành các b c sau c u hình m t DHCP scope: 1. Click Start, Administrative Tools. Click DHCP. 2. Trên DHCP console, right click trên server name và click Authorize (xác nh n DHCP server này ho t ng h p pháp trong Domain, nh v y t t c các DHCP server không c Authorize s b vô hi u hóa trong vi c cung c p IP addresses)

3. Click nút Refresh .Các b n s nh n th y icon c a DHCP server chuy n t lá cây, và DHCP ã ho t ng

sang Xanh

4. Right click trên server name, click New Scope. 5. Click Next trên Welcome to the New Scope Wizard page.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

6. Trên Scope Name page, t tên cho scope trong Name text box và a thông tin mô t trong Description text box. Trong ví d này, chúng ta s t tên scope là scope 1 và không mô t trong Description. Click Next. 7. Trên IP Address Range page, a vào m t IP address b t u Start IP address ) và t IP Adrress Cu i cùng (End IP address ) trong text boxes. Và ây chính là vùng a ch IP mà b n mu n s n sàng cung c p cho DHCP Clients. Trong ví d này, chúng ta s xác l p nh sau: Start address là 10.0.0.200 và End address là 10.0.0.219. Vúng này ch a 20 IP Address cho DHCP Clients. Sau ó chúng ta s c u hình ISA Server 2004 Firewall cho phép các VPN clients th c hi n ng th i 10 VPN connections, và vì th có th m t t i a10 trong s 20 IP addresses này cho VPN Clients. ISA Server 2004 Firewall có th yêu c u nhi u h n 10 IP Addresses này t DHCP server, n u th c s u ó là c n thi t. Ti p theo chúng ta s a thông s subnet mask vào text box Length ho c Subnet mask. Trong ví ây, chúng ta xác nh n giá tr 24 trong Length text box. Giá tr Subnet mask c ng ng thay i sau khi b n ã n giá tr vào Length.Click Next.

8. Không xác nh b t kì exclusions (vùng lo i tr , nh m m c ích d tr cho nhu c u dùng IP addresses t ng lai, ho c tránh c p phát nh ng IP ang c s d ng c nh trên Network cho các thi t b nh Routers, Network Printers..), trên Add Exclusions page. Click Next. 9. Ch p nh n l ng th i gian cho thuê a ch (lease duration) là 8 ngày t i Lease Duration page. Click Next. 10. Trên Configure DHCP Options page, ch n Yes, I want to configure these options now option và click Next. 11. Trên Router (Default Gateway) page, n vào IP address c a internal interface (10.0.0.1) trên ISA Server 2004 Firewall computer trong IP address text box và click Add. Click Next.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

12. Trên Domain Name and DNS Servers page, n tên Domain c a Internal Network trong Parent domain text box. ây là Domain name c dùng b i các DHCP clients, c n vào ây, các Clients này s xác nh môi tr ng Network mà mình ang ho t ng, và thu n l i cho các Admin sau này, khi c u hình các thông s nh wpad entry, có ch c n ng ph c v cho các Web Proxy và Firewall client t ng phát hi n, và làm vi c v i Firewall Service ho c Web Proxy Service (hai Service v n hành trên ISA Server 2004) ch c n ng này g i là Autodiscovery. Trong ví d này, các b n s a vào tên Domain là MSFirewall.org trong text box. Trong IP address text box, n IP address c a DNS server (10.0.0.2) trên Internal Network. Chú ý domain controller c ng là DNS server internal Network nh ã xác nh t i các ph n tr c. Click Add. Click Next.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

13. Trên WINS Servers page, n IP address c a WINS server (10.0.0.2) và Click Add 14. Trên Activate Scope page, ch n Yes, I want to activate this scope now option và click Next. 15. Click Finish trên Completing the New Scope Wizard page. 16. Trong DHCP console, m r ng Scope 1 node, click vào Scope Options node. B n s th y danh sách các Options v a c u hình.

17. óng DHCP console. i th i m này DHCP server s n sàng ph c v phân chia các thông s liên quan n IP address cho DHCP clients trên N i b Network ,và c các VPN Clients thu c VPN clients Network. Tuy nhiên, ISA Server 2004 Firewall s ch a cung c p các thông s IP này cho VPN Clients khi mà Admin ch a cho phép tri n khai Service VPN (VPN server) trên Firewall. t lu n: Trong ch ng này, chúng ta ã th o lu n vi c s d ng Microsoft WINS và DHCP servers, cài t c hai Service này lên Domain controller, và c u hình m t DHCP Scope trên DHCP server. ph n sau chúng ta s nói n cách th c mà các Service này s h tr cho các VPN clients

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Ch

ng 5: u hình DNS và DHCP h tr tính n ng Autodiscovery cho Web Proxy và Firewall Client

Web Proxy Autodiscovery Protocol (WPAD) c s d ng cho phép các trình duy t Web browsers (nh Internet Explorer, Nestcape Navigator…) và ISA Firewall client có th t ng khám phá ISA Server 2004 Firewall (IP address). Các Client này sau ó có th download các thông tin c u hình t ng (Autoconfiguration information) t Firewall, sau ó Web Proxy và Firewall client s discover ra address liên l c v i ISA Server. Tóm l i ch c n ng WPAD gi i quy t cung c p các thông s t ng cho các Web browsers. Xác l p m c nh trên Internet Explorer 6.0 là autodiscover Web proxy client. Khi xác p này c enabled, Web browser có th g i i m t thông p DHCPINFORM message ho c m t truy v n DNS query tìm a ch c a ISA Server 2004, d a trên nh ng thông tin ã nh n c (download) t Autoconfiguration information. u này giúp cho các Web browser th t thu n l i khi có th Firewall) k t n i ra Internet. t ng dùng Firewall (detect tìm ISA Server 2004

ISA Server 2004 Firewall client c ng có th dùng wpad entry Firewall và download các thông tin c u hình này v . Trong ph n này chúng ta s ti n hành • C u hình h tr DHCP WPAD • C u hình h tr DNS WPAD

Sau khi thông tin wpad c c u hình trên DHCP và DNS server, thì Web Proxy và Firewall clients s không c n ph i c u hình th công có th ra Internet thông qua ISA Server 2004 Firewall.

u hình h

tr

DHCP WPAD

DHCP scope option s 252 có th c dùng c u hình t ng cho Web Proxy và Firewall clients. Web Proxy ho c Firewall client ph i c c u hình tr thành DHCP client, và các Users log-on vào các Clients này ph i là thành viên c a nhóm Local administrators group ho c Power users group (Windows 2000). Trên Windows XP, thì ch c n là thành viên c a nhóm Network Configuration Operators group là có quy n th c hi n g i các truy v n DHCP (DHCPINFORM messages). Chú ý: Chi ti t h n v nh ng h n ch c a vi c dùng DHCP ph c v Autodiscovery cho Internet Explorer 6.0, tham kh o h ng d n “Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions “ t i http://support.microsoft.com/default.aspx?scid=kb;en-us;312864

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
Ti n hành các b c sau t i DHCP server

ISA 2004 Server Firewall 2004

t o DHCP option ph c v cho ch c n ng wpad

1. M DHCP console t Predefined Options

Administrative Tools menu, right click server name. Click Set

2. Trong Predefined Options and Values dialog box, click Add.

3. Trong Option Type dialog box, Name: wpad Data type: String Code: 252 Description: wpad entry Click OK.

a vào các thông tin sau:

4. Trong khung Value, text box. Theo nh d ng nh sau:

n vào

a ch URL

n

n ISA Server 2000 Firewall trong String

http://ISAServername:AutodiscoveryPort Number/wpad.dat c nh Autodiscovery port number là TCP 80. Port 80 này có th thay u hình trên ISA Server 2004.. Chi ti t v c u hình này s th o lu n sau. Trong ví d hi n t i, n vào String text box: i thông qua

http://isalocal.MSFirewall.org:80/wpad.dat m b o r ng wpad.dat không dùng nh ng kí t vi t hoa. V v n này có th tham kh o t i "Automatically Detect Settings Does Not Work if You Configure DHCP Option 252” http://support.microsoft.com/default.aspx?scid=kb;en-us;307502

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Th c ra problem này là do c ch nh n d ng case sensitive trên ISA Server 2004, do ó u không ph i là wpad.dat, mà l i là Wpad.dat, ho c WPad.dat trong URL, u khi n ISA Server 2004 ph nh n. Click OK.

5. Right click trên Scope Options node và click Configure Options. 6. Trong Scope Options dialog box, kéo xu ng danh sách Available Options và u- check vào 252 wpad check box. Click Apply và click OK. ánh

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. 252 wpad entry gi

ây xu t hi n d

i Scope Options.

8.

óng DHCP console.

i th i m này m t DHCP client c log-on v i tài kho n local administrator (ho c Power users..) s có th dùng DHCP wpad h tr cho vi c t ng khám phá (automatically discover) ISA Server 2004 Firewall và ti p ó là t c u hình cho chính mình. Tuy nhiên, ISA Server 2004 Firewall ph i c c u hình h tr publish các thông tin a mình ph c v cho Autodiscovery information. Chúng ta s bàn n v n này t i các ch ng sau u hình h tr DNS WPAD

Ph ng pháp khác phân ph i thông tin Autodiscovery cho Web Proxy và Firewall clients là dùng DNS. Admin có th t o m t wpad alias entry trong DNS server và cho phép các Internet Browser trên Clients s d ng thông tin này c u hình t ng cho chính nó. Tôi mu n nh n m nh ây là chính trình duy t- Browser s làm vi c này, t ng ph n v i

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

ph ng pháp dùng DHCP mà chúng ta ã g p tr c ó (User log-on ph i là thành viên c a nh ng Group c bi t trong Windows operating system). Ph ng th c gi i quy t Tên (Name resolution), là y u t ch ch t trong ph ng pháp này a Web Proxy và Firewall client Autodiscovery có th làm vi c chính xác. Trong tr ng p này H u hành Clients ph i có kh n ng tìm FQDN name c a wpad alias trên DNS server. ây Web Proxy và Firewall client ch c n bi t r ng nó có kh n ng gi i quy t tên wpad. Không c n ph i n m trong m t Domain c th nào m i có th gi i quy t wpad name. Chúng ta s c p nv n này chi ti t h n ph n sau Chú ý: Ng c l i v i ph ng pháp dùng DHCP c p thông tin t ng n Web Proxy và Firewall clients. Chúng ta s không có l a ch n dùng port number publish Autodiscovery information khi s d ng ph ng pháp DNS . B n ph i publish thông tin ng này trên TCP Port 80. Ti n hành các b c sau c u hình DNS h tr Web Proxy và Firewall client t ng khám phá ISA Server 2004 Firewall: • T o wpad entry trong DNS • C u hình Clients d ng tên y - fully qualified c a wpad alias

• C u hình trình duy t- Client browser s d ng Autodiscovery o Wpad entry trong DNS Tr c khi t o wpad alias entry trong DNS. Alias này(cón c bi t d i tên là CNAME record) ph i tr n m t (A) Host record ã c t o cho ISA Server 2004 Firewall trên DNS server. (A) Host record trên DNS, giúp gi i quy t hostname (ví d isalocal.MSFirewall.org ) c a ISA Server 2004 Firewall n Internal IP address a ISA Firewall. n t o (A) Host record tr c khi chúng ta CNAME record. N u DNS server cho phép các name records c ng kí t ng thì hostname c a ISA Server 2004 Firewall và IP address c a nó s c c p nh t t ng vào DNS và là m t (A) Host record. Còn n u DNS server không cho phép automatic registration, thì c n ph i t o (A) Host record cho ISA Server 2004 Firewall. Trong ví d này ISA Server 2004 Firewall ã ng kí t ng v i DNS, do Internal interface trên ISA Server 2004 Firewall c c u hình th c hi n vi c này, và d nhiên DNS server c ng c c u hình ch p nh n ng kí ng Host record này (unsecured dynamic registrations) Ti n hành các b c sau trên DNS server (xin nh c l i: c ng là domain controller) c a Internal Network: 1. Click Start, Administrative Tools. Click DNS entry. Trong DNS management console, right click trên Forward lookup zone c a Domain và click New Alias (CNAME). 2. Trong New Resource Record dialog box, parent domain if left blank) text box. Click Browse. n vào wpad trong Alias name (uses

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Trong Browse dialog box, double click trên server name trong Records list.

4. Trong Browse dialog box, double click trên Forward Lookup Zone entry trong khung Records .

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Trong Browse dialog box, double click trên tên c a Forward lookup zone trong khung Records.

6. Trong Browse dialog box, ch n tên c a ISA Server 2000 Firewall trong khung Records. Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Click OK trong Resource Record dialog box.

8. CNAME (alias) entry s xu t hi n DNS management console.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

9.

óng DNS Management console. u hình ISA Client dùng Fully Qualified wpad Alias

Web Proxy và Firewall client c n gi i quy t tên c a wpad. Các c u hình c a Web Proxy và Firewall client không th giúp các Client này có c thông tin c a wpad alias. H u hành c a Web Proxy và Firewall client ph i gi i quy t c v n này cho Web Proxy và Firewall client. Các truy v n DNS ph i d ng tên y - fully qualified, tr c khi các truy v n này c i n DNS server. M t yêu c u d ng fully qualified bao g m m t hostname và m t domain name. Web Proxy và Firewall client ch có th bi t hostname, còn H u hành a Web Proxy và Firewall client ph i có kh n ng xác nh chính xác domain name c a wpad host name, tr c khi nó có th g i m t truy v n DNS n DNS server. Có nhi u ph khi truy v n ng pháp có th giúp Admin liên k t chính xác domain name v i wpad, tr c cg i n DNS server. Hai ph ng pháp ph bi n th c hi n u này là:

• Dùng DHCP khi t o DHCP scope, xác nh n primary domain name cho các Clients • C u hình primary domain name trong m c Network identification trên Microsoft Windows (2000, XP,2003..)dialog box. Trong ph n c u hình Scope 1, trên DHCP server, chúng ta ã c u hình m t primary DNS name và xác nh tên này (MSFIREWALL.ORG ) cho các DHCP clients thu c Internal Network Domain. Các b c sau m t xác l p primary domain name g n li n v i các truy v n DNS

u ý: Trong Lab này không c n ph i th c hi n nh ng b c d i ây, trên các Clients Computer c a Internal Network. Do các Clients ã là thành viên c a Active Directory domain trên Internet Network. Tuy nhiên, c ng nên xem qua các b c sau hi u cách primary domain name c c u hình nh th nào trên m t Computer không ph i là thành viên c a Internal Domain 1. Right click My Computer, click Properties.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

2. Trong System Properties dialog box, click Network Identification tab. Click Properties .

3. Trong Changes dialog box, click More.

4. Trong Primary DNS suffix of this computer text box, n vào domain name ch a wpad entry. H u hành s g n tên này vào wpad name tr c khi g i truy v n n DNS server. Theo m c nh primary domain name chính là tên c a domain (MSFIREWALL.ORG )ch a Computer này. N u Computer không là thành viên c a Domain thì text box s tr ng.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Chú ý: Change primary DNS suffix when domain embership changes c enabled theo m c nh. Trong ví d hi n t i Computer không ph i là thành viên c a Domain. Cancel t c dialog boxes v a xu t hi n và không c u hình primary domain name i th i m này.C ng l u ý, n u trên Internal Network có nhi u Domain, và Clients thu c nhi u Domains, chúng ta c n t o nhi u wpad CNAME alias cho m i domains.

u hình trình duy t- Client Browser

s

d ng Autodiscovery

Trong b c này, chúng ta s c u hình cho trình duy t Internet Explorer, dùng ch c n ng Autodiscovery. Sau khi xác nh n ch c n ng này, Web browser trên các Clients s làm vi c tr c ti p v i Web Proxy service c a ISA Server 2000 Firewall v i c ch t ng khám pháAutodiscovery 1. Right click trên Internet Explorer icon, click Properties. 2. Trong Internet Properties dialog box, click Connections tab. Click LAN Settings 3. Trong Local Area Network (LAN) Settings dialog box, check vào Automatically detect settings check box. Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click Apply, click OK trong Internet Properties dialog box. c k ti p, c n c u hình trên ISA Server 2000 Firewall Autodiscovery, h tr cho Web Proxy và Firewall clients. t lu n: Chúng ta ã c p các ch ng tr c v vi c s d ng Microsoft Internet Authentication Server, cách th c cài t và c u hình IAS server trên m t Domain controller thu c Internal Network. Trong các ph n sau, chúng ta s IAS server này, xác th c các k t n i t xa c a Web và VPN client (incoming connections). Ch ng 6: Cài t và c u hình DNS Server v i ch c n ng Caching-only trên Perimeter Network Segment DNS servers h tr cho các Clients gi i quy t Name ra IP addresses. Khi các Computers dùng các ng d ng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn c n ph i bi t IP address c a các Internet Server tr c khi có th connect n nh ng Server này. Toàn b h th ng Internet, s d ng giao th c TCP/IP (và UDP/IP), cho nên vi c xác nh IP address là u b t bu c khi th c hi n giao ti p gi a Clients v i các Internet Server. Tuy nhiên thói quen c a ng i dùng Internet khi truy c p n các Internet Server là dùng tên (có l vì d nh h n so v i IP address), ví d http:// www.vnsc.com.vn (d nh ) http:// 203.162.7.80/ (khó nh ) gi i quy t Hostname publish thông tin v

cho nên h th ng Internet v n dùng TCP/IP, b t bu c ph i có DNS ra IP address.

M t caching-only DNS server là m t lo i DNS không c n ph i c s y quy n ho t ng (not authoritative )c a b t c Internal Domain. u này có ngh a là m t caching-only

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

DNS server không nh t thi t ph i ch a b t c name records c a m t hay nhi u Domain c nh nào. Thay vào ó cách ho t ng c a nó là: Nh n các truy v n tên t DNS clients, gi i quy t yêu c u này cho DNS Clients, l u gi l i k t qu v a tr l i trong cache (nh m ph c i t ng Clients ti p theo). Khá n gi n, các DNS Admin không ph i c u hình ph c t p cho lo i DNS này, không c n ph i t o ra b t kì Forward hay Reverse lookup Zones, ph c cho nhu c u tìm tên c a các Clients trong Internal Domain, nh chúng ta ã th c hi n ph n tr c v i Internal Domain DNS server ( c cài trên Domain controller- 10.0.0.2) d ng m t caching-only DNS server là u không b t bu c. Nh ng n u khi tri n khai ISA Server 2004 Firewall, lên k ho ch t o m t perimeter Network segment (hay còn c goi là DMZ- demilitarized zone), nên tuân theo các h ng d n sau

Mô t v Perimeter Network: Trong mô hình Lab c a chúng ta, nh các b n ã th y trên hình v m t Perimeter Network (hay DMZ Network- vùng phi quân s , khái ni m này ra i t cu c chi n Nam, B c Tri u Tiên). Trong h th ng Network c a m t T ch c, ví d nh các ISP (Internet Servies Provider). Khi tri n khai cung c p các Service cho khách hàng, nh Web Hosting, Mail..th ng t các Servers cung c p các Service này t i DMZ Network, phân vùng Network này tách bi t v i Internal Network (Network làm vi c c a các nhân viên và ch a các tài nguyên n i b ). Mô hình Network trong Lab này, ISA Server 2004 Firewall (ISALOCAL), là m t h th ng Tree-homed Host (g n 3 Network Interface Cards) Network Interface 1 (WAN): T o k t n i ra Internet Network Interface 2 (DMZ): T o k t n i Network Interface 3: (LAN)T o k t n i n DMZ Network n Internal Network

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Nh v y thông th ng các T ch c tri n khai DMZ Network (n m phía sau Firewall), nh m cung c p cho các External clients (nh khách hàng, ng i dùng Internet, i tác..) truy c p n các tài nguyên công c ng c a mình (Web, FTP publish resourses…). N u DMZ Network t n công, attackers c ng ch a th xâm nh p ngay vào Internal Network (LAN bên trong), vì Attacker c n ph i ti p t c ch c th ng Firewall. n ây, có l các b n c ng ã hình dung ph n nào v DMZ Network. Các DNS servers c s d ng trong DMZ Network có hai m c ích chính: i s ki m soát và y

• Gi i quy t các truy v n tên cho các DNS Clients trong Domain d quy n c a Domain

• Caching-only DNS services ph c v cho các Internal Network clients, ho c n u không gi i quy t c các yêu c u truy v n tên, nó có th chuy n (forwarder) n các DNS servers khác c a Internal Network M t DNS server t i DMZ Network, có th ch a nh ng thông tin ph c v cho publish domain (Internet Domain, c ng kí thông qua nh ng nhà cung c p tên mi n Internet). Ví d , n u ã xây d ng h t ng DNS, tách bi t nhóm DNS server chuyên tr l i các yêu c u truy v n tên c a domain n i b (Internal Hostname) cho Internal DNS Clients, thì nên t các DNS server này trong Internal Network. Nhóm các DNS server còn l i, ph c v cho yêu u truy v n tên xu t phát t External Clients (ví d các Internet Clients) có th c t trên DMZ Network Khi các Internet Clients này c n truy c p các DMZ servers (Web, FTP, SMTP., các server này c a ra ph c v Internet thông qua ISA Server 2004 Firewall .), các DNS server trên DMZ Network s ph c v cho nh ng yêu c u này. DNS server trên DMZ Network c ng có th ho t ng nh m t caching-only DNS server. Trong vai trò này, DNS server s không ch a thông tin v name record. Thay vào ó, caching-only DNS server s gi i quy t các y u c u tìm Internet host names và ch l u gi i (cache) các k t qu này. Sau ó có th s d ng cache, tr l i các yêu c u t ng t cho các Internet hostname ã cache. N u ch a cache b t c Internet hostname nào, cahing-only DNS server s chuy n các yêu c u này (Forwarder) n các Internet DNS server (ví d các DNS c a ISA g n nh t), sau khi nh n c k t qu truy v n, s cache l i và tr l i cho DNS Clients Trong ph n này, chúng ta s th c hi n • Cài t DNS server service

• C u hình DNS server tr thành m t caching-only DNS server an toàn (secure caching-only DNS server) Cài t DNS Server Service trên DMZ Network

DNS server này, s có hai vai trò: Là m t secure caching-only DNS server và chuy n các yêu c u truy c p t bên ngoài (c a Internet Clients) n Web, SMTP server Ti n hành các b TRIHOMELAN1) c sau cài m t DNS server service trên DMZ Network (trên server

1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Trên Windows Components page, keo xu ng danh sách Components, ch n Networking Services. Click Details. 4. Trong Networking Services dialog box, check vào Domain Name System (DNS) check box và click OK.

5. Click Next trên Windows Components page. 6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, n Folder i386 trong Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page. B c ti p theo, c u hình DNS server tr thành m t secure caching-only DNS server. a ng d n

DNS server trên DMZ Network s ti p xúc tr c ti p v i các Internet hosts. Nh ng Hosts này có th là các Internet DNS clients có nhu c u truy c p các tài nguyên c a chúng ta (Web, Mail, FTP server..),n m trong DMZ Network, nh v y Internet DNS clients ph i g i các yêu u này n DNS server trên DMZ Network. Ho c tr ng h p ng c l i là DNS server trên DMZ Network c a chúng ta s ti p xúc DNS servers c a các T ch c khác trên Internet (ví nh ISP DNS), ph c v gi i quy t hostname cho các Internal Network clients có nhu u truy c p ra ngoài Internet. Trong ví d này, DNS server c a DMZ Network, s óng vai trò m t caching-only DNS server và không qu n lý các name records c a các Publish Server trong Internal Domain Ti n hành các b c sau trên DNS server thu c DMZ Network, tr thành m t secure

caching-only DNS server: 1. Click Start, Administrative Tools. Click DNS. 2. Trong DNS management console, right click trên server name, click Properties.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xu t hi n các DNS server c p cao (root) c a h th ng Internet DNS. Danh sách Name Servers t i Root Hints này, c caching-only DNS server c a chúng ta, s d ng gi i quy t các truy v n tên (Internet Hostnames) t DNS Clients. N u không t n t i danh sách các Name Servers này trong Root Hints, caching-only DNS server s không th gi i quy t hostname c a các Computer trên Internet.

4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this domain check box. N u check vào l a ch n này, caching-only DNS server s không dùng c các Internet DNS Servers trong danh sách c a Root Hints cho vi c gi i quy t Internet host names. Ch ch n nó, n u b n quy nh dùng ch c n ng Forwarder. Trong tr ng p này, chúng ta không dùng Forwarder.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Click Advanced tab. Xác nh n, ã check vào Secure cache against pollution check box. u này giúp ng n ch n các cu c t n công t Attackers ho c các Internet DNS servers. Các name records m o nh n (ý c a attackers), có th c ADD vào DNS cache a chúng ta, và u ó khi n cho các truy v n t Internal DNS Clients n caching-only DNS server s c d n n nh ng Server “b y”. Ví d DNS Clients type http://www.vnbank.com.vn (IP address A.B.C.D) s b d n n m t Host gi có IP address là X.Y.Z.K do ý c a attackers, và nh ng thông tin giao d ch v i Host gi này, có th b ghi l i và s d ng b t h p pháp. Ki u t n công này ôi khi còn c g i là “cocoordinated DNS attack”

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

6. Click Monitoring tab. Check vào A simple query against this DNS server và A recursive query to other DNS servers check boxes, th c hi n ki m tra DNS server. Click Test Now. Chú ý k t qu hi n ra trong khung results cho th y Simple Query ch Pass, trong khi Recursive Query trình bày Fail. Chúng ta nh n c k t qu này là vì ch a t o Access Rule trên ISA Server 2004 Firewall cho phép caching-only DNS server truy c p Internet DNS servers. Sau này khi c u hình ISA Server 2004 Firewall, s t o m t Access Rule cho phép DNS server g i yêu c u (outbound access) n các DNS servers trên Internet.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Click Apply và click OK trong DNS server’s Properties dialog box. 8. óng DNS management console.

i th i m này, caching-only DNS server c a chúng ta ã có th gi i quy t Internet host names. Nh ng sau ó, chúng ta s ph i t o thêm Access Rules cho phép các Internal Network Clients dùng DNS Server này gi i quy t các Internet host names. Các Admin xem xét k ý này, tránh nh m l n. t lu n: Trong ch ng này, ã c p n vi c s d ng m t cachingonly DNS server t i DMZ Network, cách th c cài t và c u hình Microsoft DNS server service. Trong các ph n sau, chúng ta s s d ng Access Policies trên ISA Server 2004 cho phép các Internal Network Clients dùng DNS server này và cho phép caching-only DNS server k t n i n Internet.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

CH

NG 7: Cài t ISA Server 2004 Trên Windows Server 2003

Cài t ISA Server 2004 trên Windows Server 2003 th c s không quá ph c t p (ph c t p m s ph n c u hình các thông s ). Ch có m t vài yêu c u c n xác nh n t i quá trình này. Ph n c u hình quan tr ng nh t trong su t quá trình cài t ó là xác nh chính xác vùng a ch IP n i b - Internal Network IP address range(s). Không gi ng nh ISA Server 2000, ISA Server 2004 không s d ng b ng Local Address Table (LAT) xác nh âu là Network áng tin c y (trusted Networks), và âu là Network không c tin c y (untrusted Networks). Thay vào ó, ISA Server 2004 Firewall các IP addresses n i b c xác nh n bên d i Internal Network. Internal Network nh m xác nh khu v c có các Network Servers và các Services quan tr ng nh : Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các tr m qu n lý Firewall , etc..T t c các giao ti p gi a Internal Network và ISA Server 2004 Firewall c u khi n b i các chính sách c a Firewall (Firewall’s System Policy). System Policy là m t t p h p các nguyên t c truy c p c xác nh tr c (pre-defined Access Rules), nh m xác nh lo i thông tin nào c cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này c cài t. System Policy có th c u hình, cho phép các Security Admin, th t ch t ho c n i lõng t các Access Rules m c nh c a System Policy.. Trong ph n này, chúng ta s • Cài c p n các v n sau:

t ISA Server 2004 trên Windows Server 2003 nh trên ISA Server 2004 Firewall (Default System

• Xem l i các chính sách h th ng m c Policy) Installing ISA Server 2004

Cài t ISA Server 2004 trên Windows Server 2003 là v n t ng i không ph c t p. Nh tôi ã c p ph n trên , s quan tâm chính n m các xác l p v Internal Network (nh ng IP addresses nào s c xác nh t i ph n này). C u hình các a ch cu Internal Network là m t ph n quan tr ng, b i vì chính sách h th ng c a Firewall (Firewall’s System Policy ) s c n c và ây nh ngh a các nguyên t c truy c p- Access Rules Ti n hành các b c sau cài t ISA Server 2004 software trên dual-homed (máy g n hai Network Cards) Windows Server 2003 Computer: 1. Chèn ISA Server 2004 CD-ROM vào CD. Autorun menu s xu t hi n

2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên k t Review Release Notes và xem nh ng l u ý v cài t s n ph m. Release Notes ch a nh ng thông tin quan tr ng v các ch n l a c u hình, và m t s v n khác. c xong release notes, óng c a s l i và click Read Setup and Feature Guide link. Không c n ph i c toàn b h ng d n n u nh b n mu n th , c ng có th in ra c sau. óng Setup and Feature Guide. Click Install ISA Server 2004 link.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. 4. Ch n I accept the terms in the license agreement trên License Agreement page. Click Next. 5. Trên Customer Information page, n Tên và Tên T ch c c a b n trong User Name và Organization text boxes. n ti p Product Serial Number. Click Next. 6. Trên Setup Type page, ch n Custom option. N u b n không mu n cài t ISA Server 2004 software trên C: drive, click Change thay i v trí cài t ch ng trình trên a ng. Click Next.

7. Trên Custom Setup page, b n có th l a ch n nh ng thành ph n cài t. M c nh thì, Firewall Services và ISA Server Management s c cài t. Còn Message Screener, c s d ng giúp ng n ch n th rác (spam) và các file ính kèm (file attachments) khi chúng c a vào Network ho c t bên trong phân ph i ra ngoài, thành ph n này theo c nh không c cài t. Thành ph n ti p theo c ng không c cài t là Firewall Client Installation Share. B n c ng nên l u ý, c n cài t IIS 6.0 SMTP service trên ISA Server 2004 Firewall computer tr c khi b n cài Message Screener. Dùng xác l p m c nh ti p t c và click Next.

8. Trên Internal Network page, click Add. Internal Network khác h n LAT ( c s d ng trong ISA Server 2000). Khi cài t ISA Server 2004, thì Internal Network s ch a các Network services c tin c y và ISA Server 2004 Firewall ph i giao ti p c v i nh ng Services này Ví d nh ng Service nh Active Directory domain controllers, DNS, DHCP, terminal services client management workstations, và các Service khác, thì chính sách h th ng c a Firewall

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004
này trong

t ng nh n bi t chúng thu c Internal Network. Chúng ta s xem xét v n ph n System Policy

9. Trong Internal Network setup page, click Select Network Adapter

10. Trong Select Network Adapter dialog box, remove d u check t i Add the following private ranges… checkbox. Check vào Add address ranges based on the Windows Routing Table checkbox. Check ti p vào Network Card nào, tr c ti p k t n i vào LAN t i Select the address ranges…Internal Network adapter . Lý do không check vào add private address ranges checkbox là b i vì, chúng ta mu n dùng nh ng vùng a ch này cho DMZ ( perimeter Networks). Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

11. Click OK trong Setup Message dialog box xác nh n r ng Internal Network nh ngh a ho t n d a trên Windows routing table. 12. Click OK trên Internal Network address ranges dialog box.

ã

c

13. Click Next trên Internal Network page.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes. Nh ng xác l p này s cho phép chúng ta k t n i n ISA Server 2004 Firewall khi ang s d ng nh ng h u hành i c , ho c ngay c khi dùng Windows 2000/Windows XP/Windows Server 2003 nh ng ang ch y Firewall Clients là ISA Server 2000 Firewall client. Click Next.

15. Trên Services page, click Next. 16. Click Install trên Ready to Install the Program page.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
17. Trên Installation Wizard Completed page, click Finish.

ISA 2004 Server Firewall 2004

18. Click Yes trong Microsoft ISA Server dialog box xác nh n r ng Computer ph i restarted. 19. Log-on l i vào Computer b ng tài kh an Administrator Xem xét System Policy Theo m c nh, ISA Server 2004 không cho phép các truy c p ra ngoài Internet (outbound access), t b t c máy nào n m trong ph m vi ki m soát c a b t c Network c b o v (protected Network), và c ng không cho phép các Computers trên Internet truy c p n Firewall ho c b t kì Networks ã c b o v b i Firewall. Nh v y sau khi tri n khai ISA Server 2004 Firewall, theo m c nh thì i b t xu t, ngo i b t nh . Tuy nhiên, m t System Policy trên Firewall ã c cài t, cho phép th c hi n các tác v Qu n tr Network n thi t. u ý: Khái ni m Network c b o v (protected Network), là b t c Network nào c nh ngh a b i ISA Server 2004 Firewall không thu c ph m vi c a các Network bên ngoài (External Network), nh Internet. Ti n hành các b System Policy): c sau duy t qua chính sách m c nh c a Firewall (default Firewall

1. Click Start, All Programs. Ch n Microsoft ISA Server và click ISA Server Management. 2. Trong Microsoft Internet Security and Acceleration Server 2004 management console, m r ng server node và click vào Firewall Policy node. Right click trên Firewall Policy node, tr n View và click Show System Policy Rules.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nh n c thông báo ng ISA Server 2004 Access Policy gi i thi u m t danh sách các Policy c s p x p theo trình t . Các policy s c Firewall x lý t trên xu ng d i, u mà Access Policy trên ISA Server 2000 ã không quan tâm n trình t x lý này. Theo m c nh, System Policy gi i thi u m t danh sách m c nh nh ng nguyên t c truy c p n và t ISA Server 2004 Firewall. C ng l u ý r ng, các nguyên t c t i System Policy Rules luôn c s p x p có th t nh ã c p, k c nh ng chính sách sau này các Security Admin t o ra, nh v y nh ng policy m i này s ng bên trên và c x lý tr c. kéo xu ng danh sách c a System Policy Rules. Nh n th y r ng, các nguyên t c c xác nh rõ b i: th t (Order number)

Tên (Name Rule) Hành ng a ra i v i nguyên t c ó (Cho phép ho c ng n ch n -Allow or Deny)

Dùng giao th c nào (Protocols) Network ho c Computer ngu n- From (source Network or host) n Network hay Computer ích- To (destination Network or host) u ki n- Condition ( it ng nào hay nh ng gì nguyên t c này s áp d ng)

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Ngoài ra, có th s ph i kèm theo nh ng mô t v nguyên t c, t i ph n m r ng c a c t tên nguyên t c, u này giúp các Security Admin d dàng theo dõi và qu n lý các Rule c a mình h n. Chúng ta nh n th y r ng, không ph i t t c các Rules u c b t- enabled. Chính sách c th hi n b ng nh ng bi u t ng m i tên Disabled m c nh c a System Policy Rules xu ng màu bên góc ph i. Khi c n thi t ph c v cho yêu c u nào ó, các Admin có th enabled các Rule này.Ví d nh chúng ta mu n cho phép truy c p VPN- th c hi n enable VPN access. Chúng ta nh n th y có m t trong s các System Policy Rules cho phép Firewall th c hi n các truy v n tên- DNS queries, n các DNS servers trên t t c các Networks.

4. B n có th thay rule.

i các xác l p trên m t System Policy Rule b ng cách double-click trên

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Xem l i System Policy Rules và sau Policy Rules B ng ch a các nút này.

ó gi u nó b ng cách click Show/Hide System

ng d

i ây bao g m m t danh sách

y

v System Policy m c

nh:

ng 1: System Policy Rules

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Chú thích: 1 . Policy này b disabled cho 2 . Policy này b disabled cho 3 . Policy này b disabled cho u hình 4 . Policy này b disabled cho 5 . Policy này ph i n khi VPN Server component c kích ho t -activated

n khi m t k t n i VPN d ng site to site xác l p n khi chính sách th m nh k t n i dùng HTTP/HTTPS c

n khi SecureID filter

c enabled

c enabled th công nh nh c cài t

6 . Policy này b disabled theo m c 7 . Policy này b disabled theo m c 8 . Policy này t ng

c enabled khi Firewall client share nh

9 . Policy này b disabled theo m c

i th i m này, ISA Server 2004 Firewall ã s n sàng cho các Admin c u hình các truy p ra ngoài (outbound) ho c vào trong (inbound) qua Firewall. Tuy nhiên, tr c khi kh i hành t o các chính sách truy c p- Access Policies, các Security Admin nên back-up l i c u hình m c nh c a ISA Server 2004 Firewall. u này cho phép b n ph c h i ISA Server

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
2004 Firewall v tr ng thái ban u sau cài tra và kh c ph c các s c trong t ng lai. Ti n hành Back-up c u hình m c t.

ISA 2004 Server Firewall 2004

u này là c n thi t cho các các cu c ki m

nh ngay sau cài

t theo h

ng d n:

1. M Microsoft Internet Security and Acceleration Server 2004 management console, right click trên server name. Click BackUp. 2. Trong Backup Configuration dialog box, n tên file backup b n mu n t trong File name text box. Nh v trí chúng ta ã l u backup file trong Save list. Trong ví d này, t tên file backup là backup1. Click Backup.

3. Trong Set Password dialog box, n vào password và xác nh n l i password này trong Password và Confirm password text boxes. Thông tin trong file backup c mã hóa vì nó ch a password ph c h i và nh ng thông tin quan tr ng ã l u gi , t t c nh ng thông tin này chúng ta không mu n m t ai khác có th truy c p. Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click OK trong Exporting dialog box khi b n th y thông báo The configuration was successfully backed up message. Nên copy file backup này n n i l u tr an toàn khác trên N i b Network sau khi backup hoàn thành (không nên luu gi trên chính Firewall này). Thi t b l u gi file backup nên có phân vùng l u tr c nh d ng b ng h th ng t p tin NTFS (h th ng t p tin an toàn nh t hi n nay trên các h u hành c a Microsoft) t lu n: Trong ch ng này chúng ta ã bàn v nh ng th t c c n thi t khi cài t ISA Server 2004 software trên Windows Server 2003 computer. Chúng ta c ng ã xem xét chính sách h th ng c a Firewall (Firewall System Policy), c t o ra trong quá trình cài t. Và cu i cùng, chúng ta ã hoàn thành vi c l u gi l i c u hình ngay sau khi cài t ISA Server 2004 Firewall b ng cách th c hi n file backup theo t ng b c h ng d n. Trong ph n t i, chúng ta s c u hình cho phép truy c p VPN access server t xa.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

CH

NG 8: Sao L u Và Ph c H i C u Hình Firewall

ISA Server 2004 bao g m tính n ng m i và t ng c ng cho backup và ph c h i. Trong ISA Server 2000, ti n ích backup c tích h p có th backup c u hình c a ISA Server 2000 Firewall. File backup có th c s d ng ph c h i c u hình n c ng b n cài t ISA Server trên cùng Computer. Tuy nhiên, n u H u hành hay ph n c ng n u g p ph i nh ng v n nghiêm tr ng tác ng trên toàn h thông, ch c r ng ch có file backup này không th ph c i c c u hình c a Firewall Ng c l i, ti n ích backup trên ISA Server 2004 cho phép Admin backup toàn b Firewall ho c ch backup nh ng ph n c n thi t. c u hình

Và sau ó Admin có th ph c h i c u hình này n cùng phiên b n ISA Server 2004 Firewall trên chính Computer ã backup ho c có th ph c h i thông tin c u hình n m t ISA Server 2004 Firewall trên m t Computer khác. Các h • Thay • Thay • Thay • Thay ng d n Backup s c thi hành sau m t ho c m t s th t c sau:

i kích c hay v trí Cache (cache size / location) i chính sách Firewall (Firewall policy) i n n t ng các nguyên t c ( rule base) i các nguyên t c h th ng (system rules)

• Making changes to Networks, such as, changing Network definition or Network rules • y quy n các tác v qu n tr ISA Server / B y quy n

Tính n ng nh p/xu t (import/export) cho phép chúng ta xu t các thành ph n c ch n l a trong c u hình Firewall và s d ng nh ng thành ph n này v sau, ho c có th cài t nó vào Computer khác. Import/export c ng có th c dùng xu t toàn b c u hình c a Computer nh m t ph ng pháp phân ph i c u hình di n r ng. Bài th c t p b ích nh t v backup c u hình nên c ti n hành ngay sau khi cài t ISA Server 2004 Firewall software. Th c hi n u này là tác v c b n nh m ph c h i c u hình nguyên tr ng sau cài t trênISA Server, k c khi chúng ta ã th c hi n các c u hình khác u này giúp các b n không c n cài t l iISA Server) . Chúng ta s ti n hành nh ng công vi c sau: • Backup c u hình Firewall • Ph c h i c u hình Firewall t File Backup • Xu t chính sách Firewall

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
• Nh p chính sách Firewall Backup c u hình Firewall

ISA 2004 Server Firewall 2004

ISA Server 2004 tích h p s n ti n ích backup giúp l u gi c u hình Firewall d có m t ít các thao tác c yêu c u khi th c hi n backup và ph c h i c u hình Ti n hành các b c sau backup toàn b c u hình Firewall:

dàng . Ch

5. M Microsoft Internet Security and Acceleration Server 2004 management Console, right click trên server name. Click BackUp 6. Trong Backup Configuration dialog box, n tên file backup trong File name text box. Trong ví d này filename là backup1. Click Backup 7. Trong Set Password dialog box, n password và xác nh n l i password. Xin c nh c i thông tin trong file backup ã c mã hóa (xem gi i thích ph n tr c). Click OK.

8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully backed up xu t hi n Nên copy file backup này l u tr m t v trí an toàn h n, không nên l u tr trên Firewall này (có th là trên m t Network server, phân vùng l u tr c format v i NTFS). Ph c h i c u hình Firewall t Configuration from the File Backup

Admin có th dùng File backup ph c h i c u hình máy. Thông tin có th c h i ph c trên cùng phiên b n cài t c a ISA Server 2004 Firewall, trên cùng máy ho c m t b n cài t hoàn toàn m i, trên m t Computer khác. Perform the following steps to restore the configuration from backup: 1. M Microsoft Internet Security and Acceleration Server 2004 management console, right click trên computer name, Click Restore. 2. Trong Restore Configuration dialog box, tìm file backup tr c ó ã t o. Trong ví d này, chúng ta s dùng, file backup có tên là backup1.xml. Click Restore, sau khi ã ch n file

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. a vào password mà b n ã xác nh n tr File dialog box, click OK.

c ó cho file trong Type Password to Open

4. Click OK trong Importing dialog box khi th y xu t hi n thông báo The configuration was successfully restored 5. Click Apply save nh ng thay i và c p nh t chính sch1 c a Firewall.

6. Ch n Save the changes and restart the service(s) trong ISA Server Warning dialog box

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Click OK trong Apply New Configuration dialog box ch rõ r ng Changes to the configuration were successfully applied.

Gi ây c u hình ã ph c h i cho ISA Server 2004 các chính sách c a Firewall c áp t hi n gi Filewall tr c ó. Xu t chính sách Firewall (Exporting Firewall Policy)

ã ho t ng v i y ch c n ng và c l y t b n backup c u hình c a

Các Admin không nh t thi t ph i luôn luôn export m i th liên quan n c u hình c a Firewall. Có th chúng ta ch g p ph i m t s v n t i Access Policies và mu n g i nh ng thông tin này n m t Security admin nào ó xem xét. Khi y ch c n export các Access Policies hi n th i c a Firewall, sau ó g i Export File này n m t chuyên gia v ISA Server 2004, h có th nhanh chóng nh p (import) các Policies này vào m t ISA Server 2004 Test Computer, và ch n oán v n Trong ví d này, chúng ta s export c u hình VPN Clients ra m t file. Ti n hành l n l c sau: t các

1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, m r ng server name, right click trên Virtual Private Networks (VPN) node. Click vào Export VPN Clients Configuration.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

2. Trong Export Configuration dialog box, n tên cho export file trong File name text box. a m t s thông tin mô t v n i chúng ta l u tr file. Check vào Export user permission settings and Export confidential information (encryption will be used) check boxes n u b n mu n l u thông tin riêng n m bên trong VPN Clients configuration (ch ng h n nh các password bí m t c a IPSec- IPSec shared secrets). Trong ví d này, Chúng ta s t file là VPN Clients Backup. Click Export.

3. Trong Set Password dialog box, Confirm password text box. Click OK.

n m t password và xác nh n l i password trong

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click OK trong Exporting dialog box khi chúng ta th y thông báo Successfully exported the configuration. Nh p chính sách Firewall (Importing Firewall Policy) File export có th c import n cùng Computer ho c m t Computer khác có ISA Server 2004 ã cài t. Trong ví d sau, chúng ta s import các xác l p c a VPN Clients ã c export trong ph n tr c. Ti n hành các b c sau import VPN Clients settings t file ã export:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, m r ng server name và right click vào Virtual Private Networks (VPN) node. Click Import VPN Clients Configuration. 2. Trong Import Configuration dialog box, ch n file VPN Clients Backup. ánh d u vào, Import user permission settings và Import cache drive settings và SSL certificates checkboxes. Trong ví d này, cache drive settings, không quan tr ng, nh ng SSL certificates là c n thi t n u chúng ta mu n dùng cùng certificates, ã c s d ng cho IPSec ho c L2TP/IPSec VPN connections. Click Import.

3.

n password

m trong Type Password to Open File dialog box. Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nh n thông báo Successfully imported the configuration. 5. Click Apply áp d ng nh ng thay i và c p nh t Firewall policy.

c

6. Click OK trong Apply New Configuration dialog box khi nh n c thông báo Changes to the configuration were successfully applied. L u ý r ng, nh ng thay i trong c u hình VPN có th m t vài phút c p nh t t lu n: Trong ch ng này chúng ta ã th o lu n vi c backup và ph c h i c u hình c a ISA Server 2004 Firewall. Chúng ta c ng ã xem xét các tính n ng c a export và import, cho phép th c hi n backup các thành ph n l a ch n (c n thi t), c a c u hình Firewall Trong ch ng t i, chúng ta s dùng ISA Server 2004 Network Templates n gi n hóa u hình ban u c a các Networks, Network Rules, và các Access Policies c a Firewall.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

CH

NG 9: n Gi n Hóa C u Hình M ng V i Các Network Templates

ISA Server 2004 firewall mang n cho chúng ta nh ng thu n l i to l n, m t trong nh ng ó là các Network Templates (mô hình m u các thông s c u hình M ng). Vì s h tr thông qua các templates này, mà chúng ta có th c u hình t ng các thông s cho Networks, Network Rules và Access Rules. Network Templates c thi t k giúp chúng ta nhanh chóng t o c m t c u hình n n t ng cho nh ng gì mà chúng ta có th s xây ng.. Chúng ta có th ch n m t trong s các Network Templates sau: • Edge Firewall Network Template dành cho Edge Firewall, t Network interface c tr c ti p k t n i t n i v i Internal network • 3-Leg Perimeter Network Template dành cho 3-Leg Perimeter c s d ng v i Firewall g n 3 Network Interfaces. M t External interface (k t n i Internet), m t Internal interface (k t n i Mn g i b ) và m t DMZ interface (k t n i n M ng vành ai- Perimeter Network). Template này, c u c u hình các a ch và m i quan h gi a các Networks này v i nhau. • Front Firewall Dùng Front Firewall Template khi ISA Server 2004 firewall óng vai trò m t frontend firewall trong mô hình back-to-back firewall. V y th nào là m t back-to-back firewall ? n gi n ó là mô hình k t n i 2 Firewall làm vi c v i nhau theo ki u tr c (front) sau (back). Phía ngoài Front Firewall có th là Internet, gi a Front và back firewall có th là là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall c s d ng khi ISA Server 2004 firewall có n Internet và m t Network interface c

• Back Firewall Nh v a trình bày trên có l các b n ã hi u v v trí c a m t Back firewall, và Back Firewall Template c s d ng cho m t ISA Server 2004 firewall n m sau m t ISA Server 2004 firewall khác phía tr c nó (ho c m t third-party firewall nào ó). • Single Network Adapter

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Template d ng Single Network Adapter là m t c u hình khá c bi t, áp d ng d ng template này trên ISA Server 2004 có ngh a là lo i luôn ch c n ng Firewall c a nó. c dùng trong nh ng tr ng h p ISA SERVER 2004 ch có duy nh t m t Network Card (unihomed), óng vai trò là h th ng l u gi cache- Web caching server. Trong ph n này, chúng ta s phác th o 2 k ch b n sau: • K ch b n 1: C u hình cho Edge Firewall • K ch b n 2: C u hình cho 3-Leg Perimeter n xem xét l i ch ng 1 n m rõ c u hình M ng, và c u hình cho ISA SERVER 2004 trong Test Lab này. K ch b n v c u trúc M ng c a chúng ta trong Test lab t ng thích v i ch b n 2, ng c l i có th tham kh o k ch b n 1

ch b n 1: C u hình Edge Firewall Template cho Edge Firewall s c u hình cho ISA Server 2004 firewall có m t network interface g n tr c ti p Internet và m t Network interface th 2 k t n i v i Internal network. Network template này cho phép Admin nhanh chóng áp d ng các nguyên t c truy c p thông qua chính sách c a Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng a c u hình u khi n truy c p (access control) gi a Internal network và Internet. ng 1 cho chúng ta th y các chính sách c a Firewall (firewall policies) ng Edge Firewall template. ã s n sàng khi s

i chính sách trong Firewall policies ch a s n các xác l p v nh ng nguyên t c truy c p. xác l p t t c các ho t ng u c cho phép (All Open Access Policy) gi a Internal network và Internet cho n xác l p ng n ch n t t c (Block All policy) ho t ng gi a Internal network và Internet.

Table 1: Nh ng l a ch n v Firewall Template Firewall Policy Block All (Ng n ch n t t c )

chính sách c a Firewall khi dùng Network Edge

Mô t Ng n ch n t t c truy c p qua ISA Server a ch n này không t o b t kì nguyên t c cho phép truy c p nào ngoài nguyên t c ng n ch n t t c truy c p Ng n ch n t t c truy c p qua ISA server, ngo i tr nh ng truy c p n các Network services ch ng h n DNS service. L a ch n này s c dùng khi các ISP cung c p

Block Internet Access, allow access to ISP network services (Ng n ch n truy c p ra Internet, nh ng cho phép truy c p n m t s d ch v

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
a ISP)

ISA 2004 Server Firewall 2004

nh ng d ch v này. Dùng l a ch n này xác nh chính sách Firewall c a b n, ví d nh sau: 1. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS c a ISP xác nh hostnames bên ngoài (nh Internet). Ch cho phép truy c p Web dùng các giao th c: HTTP, HTTPS, FTP. Còn l i t t c truy p khác s b ng n ch n.

Allow limited Web access (Cho phép truy c p Web có gi i h n)

Nh ng nguyên t c truy c p sau s o:

c

1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy c p d ng HTTP, HTTPS, FTP t Internal network ra bên ngoài. 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép t t các giao th c t VPN Clients Network (t bên ngoài) truy c p vào bên trong M ng n i . Cho phép truy c p Web có gi i h n dùng HTTP, HTTPS, và FTP, và cho phép truy c p i ISP network services nh DNS. Còn l i ng n ch n t t c các truy c p Network khác. Các nguyên t c truy c p sau s c t o:

Allow limited Web access and access to ISP network services (Cho phép truy c p Web có gi i h n và truy c p n m t s d ch v c a ISP)

1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP t Internal Network và VPN Clients Network ra External Network (Internet) 2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network truy c p d ch v DNS gi i quy t các hostnames bên ngoài

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
(Internet)

ISA 2004 Server Firewall 2004

Allow unrestricted access (Cho phép truy c p không gi i h n)

3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép t t các giao th c t VPN Clients Network (bên ngoài, VPN Clients th c hi n k t n i vào M ng n i b thông qua Internet), c truy c p vào bên trong M ng n i b . Cho phép không h n ch truy c p ra Internet qua ISA Server Các nguyên t c truy c p sau s c t o:

1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng t t c giao th c t Internal Network và VPN Clients Network t i External Network (Internet) 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép t t giao th c t VPN Clients Network truy p vào Internal Network.

Ti n hành nh ng b

c sau khi dùng Edge Firewall Network Template

c u hình Firewall:

1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, m r ng server name và m r ng ti p Configuration node. Click vào Networks node. 2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Click Next trên Welcome to the Network Template Wizard page.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Trên Export the ISA Server Configuration page, b n c ch n l a Export c u hình hi n t i. Hoàn toàn có th quay l i c u hình ISA Server 2004 firewall tr c khi dùng Edge Firewall network template , b i vì chúng ta ã backed up c u hình h th ng tr c ó và vì th c ng không c n ph i export c u hình t i th i m này. Click Next.

5. Trên Internal Network IP Addresses page, Xác

nh Internal network addresses.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Vùng a ch n i b Internal network address hi n ã t ng c xác nh trong Address ranges list. Và b n có th dùng Add, Add Adapter và Add Private button m r ng vùng danh sách Adrress này. Trong ví d c a chúng ta, gi nguyên vùng Internal network address. Click Next.

6. Trên Select a Firewall Policy page b n có th ch n m t firewall policy và m t t p h p các Access Rules. Trong ví d này chúng ta mu n cho phép các Internal network clients có th truy c p n t t c Protocol c a t t c các Sites trên Internet. Sau khi ã có kinh nghi m h n v i ISA Server 2004 firewall, b n có th gia t ng m c security c a t t c các truy c p ra ngoài - outbound access . T i th i m này ch c n th nghi m cho phép truy p Internet. Ch n Allow unrestricted access policy t danh sách và click Next.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Review l i các xác l p v a r i và click Finish trên Completing the Network Template Wizard page. 8. Click Apply u l i nh ng thay i và c p nh t firewall policy.

9. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes to the configuration were successfully applied.

10. Click trên Firewall Policies node trong khung trái xem các policies c t o b i Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients truy c p y ra Internet, và VPN clients c ng c y quy n truy c p vào Internal network.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

ch b n 2: C u hình 3-Leg Perimeter u hình Firewall theo template d ng 3-leg perimeter s t o ra các m i quan h gi a các Network: Internal, DMZ và Internet. Và t ng ng Firewall c ng t o ra các Access Rules tr cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu v c có th qu n lý các ngu n tài nguyên cho phép ng i dùng Internet truy c p vào nh :public DNS server ho c m t caching-only DNS server. Table 2: Nh ng ch l a t i 3-Legged Perimeter Firewall Template Firewall Policy

Firewall Policy

Mô t

Block all

Ch n t t c truy c p qua ISA Server. L a ch n này s không t o b t kì Rules nào khác h n ngoài default rule - ng n ch n t t truy c p Ch n t t c truy c p qua ISA Server, ngoài tr nh ng truy c p n các network services, nh DNS trên DMZ . Các access rules sau s c t o:

Block Internet access, allow access to network services on the perimeter network

1. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network –Cho phép các truy c p d ch v DNS t Internal Network và VPN Clients Network n Perimeter Network Ng n ch n t t c các truy c p M ng qua firewall ngo i tr các network services nh

Block Internet access,

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
allow access to ISP network services

ISA 2004 Server Firewall 2004

DNS. L a ch n này là phù h p khi nhà cung c p các d ch v m ng c b n là Internet Service Provider (ISP) c a b n. Các rules sau s c t o:

1. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) –Cho phép DNS t Internal Network, VPN Clients Network và Perimeter Network n External Network (Internet)

Allow limited Web access, allow access to network services on perimeter network

Ch cho phép cac truy c p h n ch dùng các Protcol Web nh : HTTP, HTTPS, FTP và ng cho phép truy c p các network services nh DNS trên DMZ. t c các truy c p M ng khác blocked. ub

a ch n này phù h p khi t t c các d ch h t ng M ng n m trên DMZ. Các access rules sau s c t o:

1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet) 2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network 3. Allow all protocols from VPN Clients Network to Internal Network

Allow limited Web access and access to ISP network services

ng gi ng nh trên nh ng ch khác là các network services nh DNS do Internet Service Provider (ISP) c a b n cung c p. t c các truy c p M ng khác ub blocked. Các access rules sau s c t o:

1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet) 2. Allow DNS from Internal Network, VPN

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Clients Network and Perimeter Network to External Network (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network Allow unrestricted access Cho phép t t c các lo i truy c p ra Internet qua firewall. Firewall s ch n các truy c p t Internet vào các Network c o v . T chính sách cho phép t t c truy p này, sau ó b n có th ng n ch n b t t s truy c p không phu h p v i chính sách b o m t c a t ch c Các rules sau s c t o:

1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet) and Perimeter Network 2. Allow all protocols from VPN Clients to Internal Network

Ti n hành các b

c sau

dùng 3-Leg Perimeter network template:

1. M Microsoft Internet Security and Acceleration Server 2004 management console , m r ng server name. M ti p Configuration node và click trên Networks node. 2. Click Networks tab trong Details pane, sau Click vào 3-Leg Perimeter network template. ó click Templates tab trong Task pane.

3. Click Next trên Welcome to the Network Template Wizard page. 4. Trên Export the ISA Server Configuration page, b n có th ch n export c u hình hi n t i. L a ch n này là s c n tr ng, khi b n không mu n s d ng c u hình c a template và mu n quay tr l i các xác l p ban u. Trong ví d này chúng ta ã backed up c u hình vì th không c n ph i export . Click Next. 5. Trên Internal Network IP Addresses page, xác nh các a ch IP c a Internal network. B n s th y ISA t ng xu t hi n chúng trong Address ranges list. B n không n ph i thêm b t kì Address nào trong Internal network. Click Next. 6. Ti p theo, B n s c u hình vùng a ch này thu c perimeter network segment trên Perimeter Network IP Addresses page. B n nh n th y Address ranges list hoàn toàn tr ng. Do ó..

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

7. Click vào Add Adapter button. Trong Network adapter details dialog box, ánh d u vào DMZ check box. Tên Adapter là DMZ do b n t lúc u và hãy ánh d u cho chính xác vào y. Click OK. 8. Wizard s t ng table. Click Next. a các a ch vào Address ranges list d a trên Windows routing

9. Trên Select a Firewall Policy page, B n s ch n m t firewall policy t o m i quan h gi a Internet, DMZ và Internal networks và c ng t o ra các Access Rules. Trong ví d này chúng ta s cho phép Internal network clients y quy n truy c p ra Internet và DMZ network, và c ng cho phép các DMZ hosts c truy c p ra Internet. Sau khi ã có kinh nghi m h n v i vi c config Access Policies trên ISA Server 2004 firewall, b n s ki m soát ch t ch h n các truy c p ra bên ngoài -outbound access gi a DMZ network segment và Internet, gi a Internal network segment và Internet. Ch n Allow unrestricted access firewall policy và click Next. 10. Review l i các xác l p trên Completing the Network Template Wizard và click Finish. 11. Click Apply l u l i nh ng thay i và c p nh t cho Firewall.

12. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes to the configuration were successfully applied. 13. Click trên Firewall Policy node trên khung trái c a Microsoft Internet Security and Acceleration Server 2004 management console xem l i các rules ã c t o b i 3Leg Perimeter network template. 2 rules này cho phép các Hosts thu c Internal network và VPN clients network y quy n truy c p ra Internet và c DMZ. Thêm n a, VPN Clients network c truy c p y vào Internal network. 14. M r ng Configuration node bên khung trái c a Microsoft Internet Security and Acceleration Server 2004 management console. Click Networks node. ây b n s th y m t danh sachq c a các networks, bao g m Perimeter network c t o b i template. 15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and click Properties. 16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab. n có th th y trong danh sách This rule applies to traffic from these sources m Internal, Quarantined VPN Clients và VPN Clients networks. 17. Click Destination Networks tab. B n th y Perimeter network trong This rule applies to traffic sent to these destinations list. 18. Click Network Relationship tab. Xác l p m c nh là Network Address Translation (NAT). ây là m t xác l p an toàn vì b n bi t r ng NAT có th n các IP addresses c a Internal network clients k t n i n các DMZ network hosts. Tuy nhiên các m i quan h gi a NAT và các Protocols, không ph i bao gi c ng thu n l i. t s Protocol không làm vi c c v i NAT, cho nên trong ví d này chúng ta ch n Network Relationship là Route relationship nh m gi i quy t v n r c r i ó.Ghi nh r ng,

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004
DMZ

i th i m này, không có Access Rules nào cho phép truy c p t i Internal network t network. 19. Click Apply và click OK. 20. Click Apply l u nh ng thay i.

21. Click OK trong Apply New Configuration dialog box sau khi th y thông báo Changes to the configuration were successfully applied. t lu n: Trong ch ng này chúng ta ã c p cách th c s Firewall và 3-Leg Perimeter n gi n hóa các addresses, Network Rules và Access Rules. Trong ch các lo i ISA Server 2004 Clients khác nhau làm vi c th d ng các network templates: Edge c u hình kh i ho t cho: network ng t i chúng ta s th o lu n ti p v nào v i iSA Server 2004 Fiewall.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Ch

ng 10: Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

t ISA Server 2004 client là máy tính k t n i n các ngu n tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client th ng c t trong t Internal hay perimeter network –DMZ và k t n i ra Internet qua ISA Server 2004 firewall.

Có 3 lo i ISA Server 2004 client: • SecureNAT client • Web Proxy client • Firewall client t SecureNAT client là máy tính c c u hình v i thông s chính Default gateway giúp nh tuy n ra Internet thông qua ISA Server 2004 firewall. N u SecureNAT client n m trên ng tr c ti p k t n i n ISA Server 2004 firewall, thông s default gateway c a SecureNAT client chính là IP address c a network card trên ISA Server 2004 firewall g n v i Network ó . N u SecureNAT client n m trên m t Network xa ISA Server 2004 firewall, khi ó SecureNAT client s c u hình thông s default gateway là IP address c a router g n nó nh t, Router này s giúp nh tuy n thông tin t SecureNAT client n ISA Server 2004 firewall à ra Internet. t Web Proxy client là máy tính có trình duy t internet (vd:Internet Explorer) c c u hình dùng ISA Server 2004 firewall nh m t Web Proxy server c a nó. Web browser có th u hình s d ng IP address c a ISA Server 2004 firewall làm Web Proxy server c a nó –c u hình th công, ho c có th c u hình t ng thông qua các Web Proxy autoconfiguration script c a ISA Server 2004 firewall. Các autoconfiguration script cung c p c tùy bi n cao trong vi c u khi n làm th nào Web Proxy clients có h k t n i Internet. Tên c a User –User names c hi nh n trong các Web Proxy logs khi máy tính c c u hình nh m t Web Proxy client. t Firewall client là máy tính có cài Firewall client software. Firewall client software ch n t c các yêu c u thu c d ng Winsock application (thông th ng, là t t c các ng d ng ch y trên TCP và UDP) và y các yêu c u này tr c ti p n Firewall service trên ISA Server 2004 firewall. User names s t ng c a vào Firewall service log khi máy tình Firewall client th c hi n k t n i Internet thông qua ISA Server 2004 firewall. ng d i ây tóm t t các tính n ng c cung c p b i m i lo i client. c m

Table 1: Các lo i ISA Server 2004 Client và nh ng

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
Feature SecureNAT client Firewall client

ISA 2004 Server Firewall 2004
Web Proxy client

n ph i cài

t?

Không, ch c n xác p thông s default gateway

Yes. C n cài software

t

Không, ch c n c u hình các thông s phù h p t i trình duy t Web- Web browser

tr H hành nào ?

u

t c OS nào h tr TCP/IP

Ch Windows

t kì OS nào có h tr các Web application

tr Protocol

Nh có b l c ng ng -Application filters có th h tr các ng d ng ch y t h p nhi u protocols multiconnection protocols

t c các ng ng Winsock Applications. Có ngh a là h u h t các ng d ng trên Internet hi n nay

HTTP, Secure HTTP (HTTPS), và FTP

Có h tr xác th c ng i dùng hay không ? Nh m ki m soát vi c User truy p ra ngoài

Yes, nh ng ch dành cho VPN clients

Yes

Yes

u hình SecureNAT Client u hình SecureNAT client là vi c r t n gi n ! Client ch vi c c u hình thông s default gateway giúp client nh tuy n ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính c dùng c u hình m t máy tr thành m t SecureNAT client: • Xác l p các thông s TCP/IP th công trên máy • Cung c p thông s default gateway address t option trên DHCP Server ng thông qua các xác l p DHCP scope

Trong k ch b n ã t ng c p c a sách thì domain controller ã c c u hình nh m t SecureNAT client. Network servers nh domain controllers, DNS servers, WINS servers và Web servers thông th ng c ng c c u hình nh các SecureNAT clients. Domain controller ã c c u hình th công làm SecureNAT client.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Trong ch ng 4 c a sách chúng ta ã cài t DHCP server và t o ra m t DHCP scope (m t vùng IP addresses). DHCP scope ã c c u hình v i m t scope option c p phát cho DHCP clients thông s default gateway address chính là IP address c a Internal interface trên ISA Server 2004 firewall. C u hình m c nh c a Windows systems là s d ng DHCP nh n các xác l p v thông tin IP address. u b n s d ng c u hính Network c mô t trong ch ng c a sách , Internal network client c c u hình v i IP address t nh. Trong h ng d n theo sau, chúng ta s c u hình Internal network client dùng DHCP mô t cách th c DHCP ho t ng, sau ó chúng ta s quay tr l i dùng IP t nh. Ti n hành các b c sau c u hình DHCP client trên máy Windows 2000 và sau ó quay l i dùng IP t nh. 1. T i máy CLIENT, right click My Network Places icon trên desktop và click Properties. 2. Trong Network and Dial-up Connections, right click Local Area Connection và click Properties. 3. Trong Local Area Connection Properties dialog box, click Internet Protocol (TCP/IP) , click Properties. 4. Trong Internet Protocol (TCP/IP) Properties dialog box, ch n Obtain an IP address automatically và Obtain DNS server address automatically. Click OK.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Click OK trong Local Area Connection Properties dialog box. 6. Xác nh IP address m i c c p phát, thông qua l nh ipconfig. Click Start , Run. Trong Open box, ánh l nh cmd. 7. Trong Command Prompt window, l nh ipconfig /all , ENTER. ây b n có th th y c IP address c c p phát cho Clientvà các thông s IP address khác mà Client dùng nh : DNS, WINS và default gateway

8. óng Command Prompt. Quay tr l i TCP/IP Properties dialog box và thay i máy CLIENT dùng l i IP t nh. IP address là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2.

u hình Web Proxy Client u hình Web Proxy client yêu c u trình duy t Web (vd: Internet Explorer) s d ng ISA Server 2004 firewall nh là Web Proxy server c a mình. Có m t s cách c u hình Web browser v i vai trò m t Web Proxy client. Có th là: • C u hình th công s d ng IP address c a ISA Server 2004 firewall là Web Proxy server • C u hình th công thông qua s d ng các file script t • C u hình t này nhé) • C u hình t ng- autoconfiguration script

ng thông qua cài ph n m m Firewall client (các b n nh k cách c u hình

ng s d ng thành ph n wpad

c h tr v i DNS và DHCP

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

Trong ch ng 5 c a sách, các b n ã t o các wpad entries trong DNS và DHCP h tr vi c t ng c u hình Web Proxy và Firewall client. Tính n ng t ng khám phá c a WpadWpad autodiscovery c xem là ph ng pháp c u hình Web Proxy client, và cho phép User t7 ng nh n c các thông s xác l p Web Proxy mà không c n ph i th công c u hình trên trình uy t web –web browsers c a các Clients. t cách khác c u hình t ng Web browsers thành Web Proxy clients , ó là khi Firewall client c setup trên clients.. Và ch c ch n r ng các b n nên ch n các ph ng th c tri n khai c u hình t ng trên nh ng h th ng M ng l n, n i mà vi c c u hình th công quá b t ti n, và h th ng m ng th ng xuyên có s vào ra c a các máy tính mobile (labtop..). u chúng ta v n ang dùng c u hình thi t l p M ng c a sách DNS và DHCP c c u hình cung c p các thông s wpad cho Web browsers chúng có hình. Tuy nhiên, n u chúng ta không ch n c u hình t ng, thì v n có th c công trên các browsers cho các Clients. Cúng ta s xem xét c u hình browser quá trình cài t Firewall client ph n t i. Ti n hành th công các b c sau c u hình cho Explorer 6.0 Web browser: servers s th t c u u hính th trong su t

1. Trên máy CLIENT, right click Internet Explorer icon n m trên desktop,click Properties. 2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button. 3. Có vài l a ch n c u hình Web proxy trong Local Area Network (LAN) Settings dialog box. ánh d u check vào Automatically detect settings check box cho phép browser dùng các xác l p wpad trong DNS và DHCP. ây là l a ch n m c nh trên các Internet Explorer Web browsers. t m t checkmark vào Use automatic configuration script check box, và n vào v trí l u tr autoconfiguration script trên ISA Server 2004 firewall nh sau: http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script nhiên máy client ph i có kh n ng gi i quy t tên ISALOCAL.msfirewall.org (ISA Server 2004 firewall) ra IP address (IP address này n m trênInternal interface c a firewall. Chú ý m t u, n u Client có th dùng wpad Automatically detect settings, thì các thông tin c u hình t ng n m rong autoconfiguration script s c download n trình duy t Web Proxy client. t m t checkmark vào Use a proxy server for your LAN (These settings will not apply to dial-up or VPN connections) check box, và n vào IP address c a Internal interface trên ISA Server 2004 firewall trong Address text box. n ti p TCP port number mà danh sách các Web Proxy filter trên ISA s l ng nghe trên Port text box, theo m c nh là port 8080. Click OK trong Local Area Network (LAN) Settings dialog box.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click OK trong Internet Properties dialog box. Web browser hi n gi hình khác. u hình Firewall Client Ph n m m Firewall client cho phép b n u khi n ai c quy n truy c p Internet (trên u h t t t c Application k t n i ra Internet – Winsock TCP/UDP) c n c trên m i User ho c Group. Firewall client software s t ng g i quy n truy c p c a User (User Credential: Username+Password) n ISA Server 2004 firewall. User accounts có th là tài kho n n i trên chính ISA Server 2004 firewall (t c là các accounts n m trong Sam database)n u c ISA Server 2004 và clients u thu c cùng m t Windows domain, thì các user accounts có th n m trên Windows NT 4.0 SAM ho c Windows 2000/Windows Server 2003 Active Directory. Tôi nh c l i, trong môi tr ng Domain 2000/2003, Active directory database (trên Domain controller là n i l u tr t t c tài kho n User c a Domain ó) Firewall client software có th c setup t ISA Server 2004 ho c b t kì máy nào có ch a ph m m m này trên m ng, r t n gi n. Tuy nhiên, n u b n mu n cài t Firewall client software t ISA Server 2004 firewall computer, tr c h t hãy b t System Policy Rule nh m cho phép truy c p n share có ch a source này. Sau này b n nên chuy n Source này n t File server trên m ng vi c truy c p c an toàn h n, hi n gi nó ang c t trên ISA. Theo các b c sau cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer. 1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA Server 2004 icon. 2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next. ã c c u hình thành m t Web Proxy client, theo c 3 cách c u

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Trên License Agreement page, ch n I accept the terms in the license agreement, click Next. 4. trên Customer Information page, Serial Number a b n. Click Next. n User name, Organization và Product

5. trên Setup Type page, ch n Custom. 6. Trên Custom Setup page, click Firewall Services entry và click This feature will not be available option. Click ISA Server Management entry và click This feature will not be available option. Click Firewall Client Installation Share và click This feature, and all subfeatures, will be installed on the local hard drive. Click

Next. 7. Click Install trên Ready to Install the Program page. 8. Click Finish trên Installation Wizard Completed page. Bây gi b n có th cài Firewall client software t Firewall client share trên domain controller. Ti n hành các b c sau cài Firewall client software: 1. T i CLIENT computer trên Internal network, click Start và click Run command. trong Open text box, n vào EXCHANGE2003BEmspclntsetup và click OK.

2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client. 3. Click Next trên Destination Folder page.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Trên ISA Server Computer Selection page, ch n Automatically detect the appropriate ISA Server computer option. Ch n l a này s làm vi c b i vì b n ã t o wpad entry trong DNS. N u b n ch a t o m t wpad entry, b n có th ch n Connect to this ISA Server computer option và n vào tên hay IP address c a ISA Server 2004 firewall trong text box. Click Next.

5. Click Install trên Ready to Install the Program page. 6. Click Finish trên Install Wizard Completed page. c k ti p c n c u hình Firewall client h c sau trên ISA Server 2004 firewall: tr Internal network. Ti n hành các

1. M Microsoft Internet Security and Acceleration Server 2004 management Console, m server name. m ti p Configuration node và click trên Networks node. Right click trên Internal Network và click Properties. 2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác ánh d u vào Enable Firewall client support for this network check box. nh là ã

Xác nh là c ng ã ánh d u vào Automatically detect settings và Use automatic configuration script check boxes trong khung Web browser configuration on the Firewall client computer. ánh dáu ti p vào Use a Web proxy server check box. S ng tên y c a ISA Server 2004 firewall -FQDN trong ISA Server name or IP

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)
address text box. Trong vd này FQDN ISALOCAL.msfirewall.org. Click Apply. c a ISA

ISA 2004 Server Firewall 2004
Server 2004 computer là

3. Click vào Auto Discovery tab. ánh d u vào Publish automatic discovery information check box. port m c nh này, không thay i 80. Click Apply

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Click Apply

l u nh ng thay

i và c p nh t firewall policy.

5. Click OK trong Apply New Configuration dialog box. Bây gi chúng ta có th c u hình Firewall client. Ti n hành các b 1. T i CLIENT computer, double click bi u t c sau trên CLIENT.

ng Firewall client icon trên khay h th ng.

2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nh n r ng ã ánh d u checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box. Xác nh n ti p ã ch n Automatically detect ISA Server

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

3. Click Detect Now button. Tên c a ISA Server 2004 firewall s xu t hi n trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

4. Xác nh n r ng ã ánh d u vào Enable Web browser automatic configuration checkbox và click Configure Now button. C ng l u ý r ng, d a tên các xác l p mà chúng ta ã t o trên ISA Server 2004 firewall, browser ã c cung c p các thông s c u hình t ng. Click OK trong Web Browser Settings Update dialog box.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net

VIETNAM NETWORK SOLUTIONS COMPANY (VNSC)

ISA 2004 Server Firewall 2004

5. Click Apply và sua dialog box.

ó click OK trong Microsoft Firewall Client for ISA Server 2004

Gi ây Máy ã c c u hình nh m t Firewall client và có th truy c p ra Internet d a tên các quy t c truy c p - Access Rules ã c xác l p trên ISA Server 2004 firewall. t lu n Trong ch ng này c a sách, ã c p n các lo i ISA Server 2004 client khác nhau và nh ng tính n ng riêng trên m i lo iChúng ta c ng ã ti n hành cài t m i lo i theo m t s cách. Trong ch ng t i c a sách chúng ta s phác th o các th t c t o ho c ch nh s a các quy t c trên chính sách truy c p ra ngoài Internet -outbound access policy rules thông qua các Network Templates.

http:// www.vnsc.com.vn add: no 5 HoaBinh Minh Khai HN, Tel: 04.6244531 http://www.giaiphapmang.net Email: info@giaiphapmang.net


				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:457
posted:6/17/2008
language:English
pages:97