Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 27 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
27
Dung lượng
0,91 MB
Nội dung
TạoVPNSite-to-sitetrênISA2006(Phần3)
Ngu
ồ
n:quantrimang.com
Trong phần 1 bạn đã được tìm hiểu về việc sử dụng Branch Office
Connectivity Wizard để tạo kết nối VPN site to site giữa ISA2006 Enterprise
Edition tại trụ sở chính và văn phòng chi nhánh. Cũng trong phần một,
chúng ta đã thảo luận về cơ sở hạ tầng mạng cốt lõi sử dụng trong loạt bài
này, sau đó đi sâu vào chi tiết của các yêu cầu tiên quyết cho mạng riêng
ảo site to site và cách gỡ lỗi một s
ố vấn đề phổ biến trong VPN site to site.
Trong phần hai, chúng ta thực hiện cấu hình DNS server (máy chủ quản lý hệ
thống tên miền) với các điểm vào DNS thích hợp cần thiết để giải pháp hoạt
động và ngưng sử dụng DDNS để cổng vào mạng riêng ảo ISA Firewall không
đăng ký giao diện VPN PPP trong DDNS. Sau đó là cài đặt CSS trên một máy
chuyên dụng và tạo hai ISA Firewall Array trên CSS: một cho trụ sở chính và một
cho chi nhánh.
Trong phần ba này chúng ta sẽ cài đặt các dịch vụ trênISA Firewall của v
ăn
phòng chính và văn phòng chi nhánh.
Cài đặt các dịch vụ ISA Firewall tại trụ sở chính
Bây giờ chúng ta đã có CSS và các mảng Firewall Array được định nghĩa bên
trong nó. Tiếp theo sẽ là cài đặt các dịch vụ trênISA Firewall tại trụ sở chính và
trỏ ISA Firewall main office cho CSS main office. Xin nhớ rằng, tất cả thông tin
cấu hình của thành viên trong các mảng ISA Firewall được lưu trữ và lấy ra từ
CSS. Bạn không thể tự cấu hình trực tiếp chúng. Tất cả cấu hình phải được th
ực
hiện trên CSS và CSS sẽ cung cấp thông tin cấu hình này cho các thành viên
mảng ISA Firewall.
Tường lửa tại trụ sở chính sẽ được cấu hình trong quá trình cài đặt để sử dụng
máy tính CSS chuyên dụng. Đó cũng chính là nhà cung cấp CSS và cũng sẽ
được cấu hình để liên kết với mảng Main trong cùng thời gian. System Policy sẽ
được cấu hình tự động cho phép ISA Firewall liên lạc với cả CSS và Domain
Controller. Chúng ta sẽ xem xét đến chính sách hệ thống này sau khi cài đặt các
dịch vụ trênISA Firewall chủ
.
Thực hiện các bước sau:
1. Đưa đĩa cài ISA2006 vào ổ đọc, chờ một vài phút menu autorun (tự động
chạy sau khi nhận đĩa) sẽ xuất hiện. Nếu menu này không xuất hiện, kích
đúp vào file ISAAutorun.exe có trong các thư mục của đĩa.
2. Trên menu autorun ISA, kích vào liên kết Install ISA Server 2006.
3. Trên trang Welcome to the Installation Wizard for Microsoft ISA Server
2006, kích Next.
4. Trên trang License Agreement, chọn I accept the terms in the license
agreement và kích Next.
5. Nhập thông tin khách hàng và mã số sản phẩm trên trang Customer
Information và kích Next.
6. Trên trang Setup Scenarios, chọn Install ISA Server Services và kích
Next.
Hình 1
7. Chấp nhận các thiết lập mặc định trên trang Component Selection và
kích Next.
8. Trên trang Locate Configuration Server, nhập FQDN cho máy CSS, ở ví
dụ này là css2006.msfirewall.org. Chúng ta sẽ nhập thông tin này trong
hộp Configuration Storage server (type the FQDN). Ở khung
Connection Credentials, chọn Connect using the credentials of the
logged on user nếu bạn đăng nhập hệ thống với vai trò của người quản
trị miền. Nếu không, chọn Connect using this account và nhập thông tin
nhân dạng để thẩm định cho phù hợp. Ở ví dụ này chúng ta sẽ sử dụng
vai trò quản trị. Vì thế lựa chọn ở đây là Connect using the credentials
of the logged on user, kích Next.
Hình 2
9. Trên trang Array Membership, chọn Join an existing array và kích Next.
Hình 3
10. Trên trang Join Existing Array, ấn nút Browser. Hộp thoại Arrays
to Join xuất hiện, cung cấp danh sách các mảng có thể dùng. Chọn Main
và bấm OK.
Hình 4
11. Kích Next trên trang Join Existing Array.
Hình 5
12. Trên trang Configuration Storage Server Authentication Options,
chọn cách thức ISA Firewall thẩm định CSS. Có hai tuỳ chọn cho bạn:
Windows authentication (thẩm định trong Windows) và Authentication
over SSL encrypted channel (thẩm định qua kênh mã hoá SSL).
Thường thì tuỳ chọn thứ nhất hay hơn, vì nó đòi hỏi ISA Firewall và CSS
phải nằm trong cùng một domain, là cấu hình an toàn nhất. Nếu bạn bị đe
doạ bởi “những kẻ xâm phạm mạng” hay “đội bảo mật” không hiểu thấu
đáo về ISA Firewall, hay không biết tạ
i sao hệ điều hành lại là Windows 95
cài đặt Zone Alarm, bạn có thể đã bị mắc kẹt với ISA hoặc cả ISA Firewall
không phải là thành viên của domain. Trong trường hợp đó bạn sẽ phải
dùng máy thẩm định chứng chỉ và kênh mã hoá SSL.
Nếu gặp vấn đề khi dùng kiểu thẩm định qua SSL, bạn cần cài đặt chứng
chỉ CA của máy phát hành chứng chỉ cho CSS trên thiết bị ISA Firewall.
Trong ví dụ hiện tại củ
a chúng ta, cả ISA Firewall và CSS đều là thành
viên miền. Vì thế không cần phải lo lắng về các chứng chỉ, chỉ cần chọn
Windows authentication và kích Next.
Hình 6
13. Trên trang Internal Network, định nghĩa địa chỉ IP theo mạng nội bộ
mặc định (default Internal Network). Mạng nội bộ mặc định là mạng chứa
các Domain Controller và nhiều server cơ sở hạ tầng then chốt khác như
DNS, WINS, các dịch vụ thẩm định. Kích vào nút Add.
Hình 7
14. Trên trang Addresses, kích vào nút Add Adapter.
Hình 8
15. Trong hộp thoại Select Network Adapters, đánh dấu chọn vào ô
bên cạnh NIC thể hiện giao diện nội bộ của ISA Firewall. Ở ví dụ này, tôi
đặt lại tên các NIC để dễ nhận dạng. Nhớ rằng bạn cần làm nhiều việc
hơn là chỉ kích vào tên NIC. Bạn cần đánh dấu chọn trong ô checkbox.
Kích OK.
Hình 9
16. Kích OK trong hộp thoại Select Network Adapters, rồi bấm OK tiếp
trong hộp thoại Addresses; sau đó kích Next trên trang Internal Network.
Chú ý là phạm vi địa chỉ IP ở đây là theo định nghĩa của mạng nội bộ mặc
định. Nếu bạn thấy các địa chỉ này không có trong danh sách, có nghĩa là
bạn đã không cấu hình bảng định tuyến trênISA Firewall để định hướng
sang các ID mạng khác nằm sau giao diện nội be của ISA Firewall. Khi đ
ó,
thoát chương trình cài đặt và cấu hình lại bảng định tuyến để nó chứa tất
cả ID mạng nội bộ. Khởi động lại chương trình cài đặt để tiếp tục.
[...]... Wizard để tạo kết nối site to site giữa các cổng vào mạng riêng ảo ISA2006 Firewall VPNtại văn phòng chính và văn phòng chi nhánh, chúng ta đã xem xét các thủ tục cài đặt dịch vụ ISA Firewall main office trênISA Firewall tại trụ sở chính và kết hợp ISA Firewall với mảng ISA Firewall main office Sau đó là cài đặt CSS cục bộ và các dịch vụ ISA Firewall trênISA Firewall nhánh Điều này cho phép tạoISA Firewall... hiện, kích đúp lên file ISAAutorun.exe nằm trong các thư mục của đĩa Kích vào liên kết Install ISA Server 2006 2 Kích Next trên trang Welcome to the Installation Wizard for Microsoft ISA Server 2006 3 Chọn I accept the terms in the license agreement trên trang License Agreement Kích Next 4 Nhập thông tin khách hàng và mã số sản phẩm trên trang Customer Information và kích Next 5 Trên trang Setup Scenarios,... 18 Đóng cửa sổ Internet Explorer hiển thị trang Protect ISA Server Computer và khởi động lại máy tính ISA Firewall nhánh Đến bây giờ, ISA Firewall nhánh hầu như đã sẵn sàng gắn văn phòng chi nhánh Tuy nhiên, trước khi thực hiện điều này chúng ta phải tạo file trả lời trên máy tính CSS văn main office và tạo fiel trả lời tới gốc của ổ C: trênISA Firewall nhánh Sau khi hoàn chỉnh bước này, chúng ta... Service, IIS Admin Service và World Wide Web Publishing Service Với một chương trình cài đăt ISA Firewall triển khai chính xác, không có dịch vụ nào trong số các dịch vụ trên (ngoại trừ SNMP) được cài đặt trênISA Firewall Nếu muốn có thủ tục cài cho các đối tượng SNMP MIB, bạn cần cài đặt dịch vụ SNMP trênISA Firewall trước khi khởi động chương trình Setup Kích Next để tiếp tục Hình 11 18 Kích Install... chính xác có nghĩa là bảng định tuyến trênISA Firewall nhánh chưa được cấu hình đúng Nếu có nhiều ID mạng đặt sau giao diện nội bộ của ISA Firewall nhánh, bạn phải cấu hình bảng định tuyến cho các mạng này trước khi cài đặt ISA Firewall Nếu chưa thực hiện điều này, thoát chương trình cài, thực hiện thông tin vào trên bảng định tuyến cho chính xác và khởi động lại ISA Firewall Installation Wizard Trong... quá trình cài đặt Trước khi cài phần mềm ISA Firewall, bạn cần gán cho máy địa chỉ cục bộ hợp lệ và cổng vào mặc định để có thể cài đặt tất cả các bản Windows Update Sau khi cài các bản update, bạn cần thay đổi thông tin địa chỉ IP trên các NIC của ISA Firewall sao cho khớp với số sẽ được dùng tại văn phòng chi nhánh Thực hiện theo các bước sau: 1 Đưa đĩa cài ISA2006 Firewall vào máy nhánh và chờ menu... và các thủ tục đang diễn ra Hình 13 20 Kích Finish trên trang Installation Wizard Completed khi kết thúc Hình 14 21 Vào máy CSS, mở console ISA Firewall ra Mở rộng nút Arrays, sau đó là nút mảng Main > Configuration > Servers Bạn sẽ thấy tên của ISA Firewall main office ở đó và dấu kiểm màu xanh trên biểu tượng, tức là hoạt động liên lạc giữa CSS và ISA Firewall main office đang hoạt động một cách chính... 8 Trên trang New Enterprise Warning có một số thông tin liên quan đến việc tạo các ISA Firewall Enterprise mới Thông tin này không áp dụng cho cấu hình hiện tại của chúng ta Kích Next Hình 19 9 Trên trang Internal Network, kích vào nút Add Trong hộp thoại Addresses, kích Add Adapter Hình 20 10 Trong hộp thoại Select Network Adapters, đánh dấu kiểm vào hộp checkbox đặt cạnh giao diện nội bộ của ISA. .. các dịch vụ tường lửa trên Branch Office ISA Firewall Một trong những vấn đề chính các admin ISA 2004 Firewall gặp phải khi triển khai cho văn phòng chi nhánh là sự phức tạp của nó Các admin cần một số phương thức dự phòng thiết bị ISA Firewall branch office tại trụ sở chính và cần một hộp sẵn sàng để triển khai tại chi nhánh Tính phức tạp của cấu hình ngày càng tăng vì nhiều admin ISA Firewall nhận ra... cài đặt trong ISA Firewall, ngoại trừ SNMP Nếu muốn dùng các đối tượng Firewall MIB, đầu tiên phải có SNMP trên thiết bị ISA Firewall trước khi cài phần mềm ISA Firewall Kích Next Hình 25 15 Kích Install để hoàn chính quá trình cài đặt Hình 26 16 Một thanh tiến trình xuất hiện hiển thị trạng thái hiện tại của quá trình cài và hoạt động nào đang diễn ra Hình 27 17 Kích vào nút Finish trên trang Installation . Tạo VPN Site-to-site trên ISA 2006 (Phần 3)
Ngu
ồ
n:quantrimang.com
Trong phần 1 bạn đã được.
2. Trên menu autorun ISA, kích vào liên kết Install ISA Server 2006.
3. Trên trang Welcome to the Installation Wizard for Microsoft ISA Server
2006,