Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 29 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
29
Dung lượng
0,94 MB
Nội dung
Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 382 L L A A B B 2 2 3 3 : : P P u u b b l l i i s s h h S S e e r r v v e e r r v v ớ ớ i i I I S S A A S S e e r r v v e e r r 2 2 0 0 0 0 4 4 N N ộ ộ i i d d u u n n g g Các mô hình Firewall Publish Server mang Private IP Publish Remote Desktop Publish Mail Server Publish Mail/Mail Online Server Su dung NSLOOKUP de kiem tra Mail Su dung chuc nang Publish Mail Cau hinh OutLookExpress Publish Server mang Public IP Server Publishing Sử dụng ISA Server 2004 làm Firewall, Publish (không nên dịch thành “xuất bản”) Web Site, FTP Site, Remote Desktop. Với ISA Server, Admin có thể cho phép User từ Internet (mang Public IP) tương tác với các Server đặt trong công ty. Các Server này có thể mang IP Private hoặc IP Public. Trên thực tế, để tiết kiệm và tăng tính Secure, các Server này sẽ mang IP Private và sử dụng cơ chế NAT để Publish ra ngoài Internet qua Firewall ISA Server. Trong bài LAB này chúng ta sẽ thực hiện Publish Web Server, Remote Desktop Server nằm trong vùng Perimeter cho phép User bên ngoài Internet truy cập với sự bảo vệ của ISA Server 2004. Các Server trong vùng DMZ mang Public IP và mang Private IP, tùy theo nhu cầu cấu hình của từng hệ thống. Khi sử dụng Publishing, thực ra cơ ch ế là NAT ngược từ ngoài vào trong và được sự bảo vệ của Firewall. ISA Server sử dụng chức năng NAT của Routing and Remote Access trong Windows 2003 để NAT cho các Servers. Chúng ta sử dụng NAT khi Publish các Server mang IP Private. ISA Server 2004 dành riêng một Wizard cho việc Publish Web Site vì phải hỗ trợ thêm những tính năng đặc biệt của Web Site như Bridging SSL và HTTPS… Sử dụng Publishing Rule, Web Server phải mang Private IP, như vậy mới cần đến chức năng NAT. Nếu Server mang Public IP, ta không cần sử dụng Publishing Rule, chỉ cần sử dụng chức năng Routing giữa External Interface và DMZ Interface là OK. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 383 Publish Server với Private IP trong LAN - sử dụng cơ chế NAT. Nhưng với Server nằm trong vùng DMZ mang Public IP thì việc NAT không cần thiết, chỉ cần thực hiện Routing từ External Interface vào trực tiếp Server cần Publish là OK. Lúc này ISA Server đóng vai trò là Router. Các mô hình Firewall trong ISA Server 2004 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 384 ISA Server 2004 hỗ trợ các mô hình mạng rất đa dạng, nhưng cũng như các sản phẩm Firewall khác, ISA có các mô hinh chung: Admin có thể tham khảo thêm trong Tab Templates của ISA Server. Cho dù biến tấu thế nào, mô hình với Firewall có thẻ được chia làm 3 dạng. Các Templates trong ISA cung cấp sẵn, nhưng Admin không nên sử dụng những Templates này vì chúng có một số vấn đề về Configuration. Admin tự cấu hình để có thể nắm chặt hơn quá trình thao tác. • Bastion Host Trong mô hình này, ISA Server đóng vào trò chính, bảo vệ cho toàn mạng, mô hình này đơn giản nhất trong ba mô hình. Trong ISA Server 2004, Bastion Host được gọi tên Edge Firewall (Firewall nằm ngoài ranh giới mạng) Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 385 Phần LAN đối với ISA Server là bảng LAT – nhưng trong ISA Server 2004, LAT không còn sử dụng, ISA Server 2004 coi mạng LAN là Internet Network, các mạng còn lại, kể cả Internet được coi là External (non-trusted Network) và mặc định ISA Server cấm External Network truy cập vào Internal Network. • Three-homed Trách nhiệm của ISA Server ở mô hình này rất nặng, ngoài việc bảo vệ các Client trong Interrnal Network, ISA còn phải làm nhiệm vụ Firewall cho các máy Server nằm trong vùng DMZ (De-militarized Zone – vùng phi quân sự). DMZ Server mang Public IP (IP thật, có giá trị ngoài Internet, hoặc mang Private IP). ISA Server sẽ public các Server mang IP thật này bằng cách Routing – ISA đóng vai trò một Router, Admin phải cấu hình Routing Rule cho ISA để biết hướng Forward Packet cho đúng Network, hoặc Private IP trong vùng DMZ sẽ được Public bằng NAT. • Back to Back sử dụng đến 2 ISA Server làm nhiệm vụ bảo vệ LAN và bảo vệ Server cần Publish ra Internet. ISA Server bảo vệ mạng Server (gồm các Server chạy dịch vụ phục vụ cho Internet Clients) được xem là “tiền tuyến” (Front End Server), ISA Server bảo vệ LAN được xem là “hậu ph ương” (Back End Server). Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 386 Các Server trong vùng DMZ của mô hình Back to Back sử dụng Private IP (IP chỉ có giá trị trong mạng LAN) nên Front-end ISA sẽ publish bằng cách NAT. TIPS Mô hình Back to Back thực ra là 2 mô hình Bastion host kết hợp lại. TIPS ISA Server có thể Publish Server trong vùng DMZ bằng 2 cách là NAT và Routing. NAT sử dụng với trường hợp Server mang Private IP sử dụng Publishing Rule của ISA Server, Routing sử dụng với Server mang Public IP sử dụng chức năng Routing và Access Rule của ISA Server. Cấu hình Web Server với Public IP trong vùng DMZ, thực hiện chức năng Routing của ISA Server Với Public IP Server trong vùng DMZ, ISA Server 2004 đóng vai trò Router và Firewall. Router Routing traffic giữa vùng External (Internet) với DMZ Segment, giữa DMZ Segment với Internal Network. Các công việc cần làm với ISA Server 2004 • Network Definition tạo định nghĩa khoảng IP của vùng DMZ gồm các IP bao nhiêu • Network Rule giữa vùng DMZ Segment Public IP với External Æ Routing, giữa DMZ Segment với Internal Network Æ NAT • Access Rule cho phép các loại traffic được phép đi từ External vào DMZ và từ Internal đựơc phép truy cập DMZ Segment. Minh h ọa th ành c ông Publish Remote Desktop trên ISA Server 2004 Remote Desktop sử dụng Protocol TCP Port 3389. Publish Remote Desktop qua ISA Server cho phép Admin có thể kết nối vào Server trong vùng DMZ (thường là mang Public IP) để quản lý từ xa. Publish trên ISA Server. Trong trường hợp này, Server mang IP Private, Admin sẽ dùng Wizard Publishing Rule để thực hiện. Click chọn Firewall Policy Æ Create new Server Publishing Rule Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 387 Đặt tên cho Rule – để dễ quản lý, Admin nên đặt tên gợi nhớ, dễ quản lý và nhất là khi gặp sự cố tránh được trừơng hợp rối trí. Server cần Publish mang IP 192.168.1.100 (Private IP) Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 388 Chọn Protocol RDP (Remote Desktop Protocol) với Direction là Inbound. Ở đây, khi cần Publish một Server nào đó không có sẵn trong danh sách Protocol, Admin có thể chọn New để tạo Protocol mới. Listen on IP Address – ISA Server lắng nghe trên IP bao nhiêu. Khi có Reqquest đến từ mạng External (hoặc có thể chỉ định cụ thể một Computer nào đó thông qua IP Address), Request đó sẽ được NAT đến Server 192.168.1.100 nằm trong Internal hoặc DMZ mang Private IP. OK, quá trình Publish Remote Desktop kết thúc, tóm lại, những công việc ta cần làm • Chọn Server mang IP Private trong LAN • Xác định Protocol sử dụng Publish Mail Server – Mail Online Mail Server của bạn đặt tại Local và mang Private IP, không có giá trị ngoài Internet? Đây là giải pháp có thể chấp nhận được cho các doanh nghiệp vừa và nhỏ là NAT cho Mail Server, sử dụng Mail Server là một Mail Server Online. ISA Server có riêng chức năng Publish cho Mail Server, chỉ cần kết thúc Wizard là bạn có thể sử dụng Mail Online được rồi. Nhưng chú ý, muốn các Mail Server khác trên Internet biết hệ thống của bạn có Mail Server, phải đăng ký tên Domain thật và cấu hình MX Record chỉ về IP thật của ISA Server. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 389 • Cấu hình MX Record trên Public Domain Name thuê ngoài Internet chỉ định về External Interface của ISA Server làm IP Mail Server. Từ External Interface của ISA Server sẽ NAT vào Mail Server trong LAN mang Private IP sử dụng tính năng Server Publishing của ISA Server 2004. QUESTION Tại sao trong mô hình DMZ có Server mang IP Private Admin lại phải NAT mà không thể Routing? Để cấu hình Mail Online, bạn phải nắm được cơ chế về việc gửi và nhận mail. Mail Server gửi phải trực tiếp nhìn thấy Mail Server nhận và 2 Mail Servers tương tác trực tiếp với nhau. Mail Server gửi muốn tìm Mail Server nhận phải Query vào DNS mang Domain Name (Zone Name) của Mail Server nhận để biết được IP của Mail Server nhận là bao nhiêu, căn cứ vào MX Record. Sử dụng NSLOOKUP xem Mail Server của Domain C:\Documents and Settings\Administrator>nslookup Default Server: dns1.hcm.fpt.vn Address: 210.245.31.130 > set type=MX > viettel.vn Server: dns1.hcm.fpt.vn Address: 210.245.31.130 Non-authoritative answer: viettel.vn MX preference = 10, mail exchanger = mail.viettel.vn mail.viettel.vn internet address = 203.113.131.36 > Mail Server của Domain Viettel.vn là mail.viettel.vn – 203.113.131.36 Cấu hình Publish Mail Server mang IP Private cho phép User từ Internet có thể truy cập trực tiếp làm Mail Online. Sử dụng chức năng Mail Publishing Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 390 Cửa sổ Tasks bên phải giao diện ISA Server, Click chọn Publish a Mail Server TIPS Trong ISA Server 2004 tất cả các thao tác đều làm theo Wizard, rất tiện lợi. Admin quản lý ISA chỉ cần hiểu được nguyên tắc hoạt động là có thể làm tốt các công việc trên sản phẩm này. Trước khi cấu hình, xác định Mail Server mang IP bao nhiêu – 192.168.1.4 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 391 • Rule Name – tên cần đặt cho Publishing Rule, nên đặt thế nào để dễ hiểu cho mình, và cho Admin khác nếu có người tiếp quản hệ thống. Client Type – đây là phần quyết định trong việc cấu hình Publish Mail Server. • Web Client Access - sử dụng khi Client check mail thông qua trang web của Server. Các sản phẩm Mail Server đều có riêng cho mình một giao diện Web cho phép User check mail nhưng phải tương tác vào trực tiếp Server – trang web này được host trên Mail Server). Thực tế Admin phải Publish cả dạng Web và dạng POP3, SMTP vì nhu cầu check mail bằng Web là luôn có, tiện dụng. [...]... kết nối với Server trong vùng DMZ TIPS DMZ thực chất cũng là External Network đối với ISA, nhưng từ Internet muốn vào được vùng DMZ phải qua sự kiểm soát của ISA Server, nên ISA Server bảo vệ được DMZ Với ISA Server, vùng DMZ cũng thuộc dạng Non-trusted Network Với ISA, mỗi lần gắn thêm một NIC Card (một NIC Card trong ISA Server sẽ kết nối tới một Network), Admin phải cấu hình quy định cho ISA biết... web www.arin.net Publish các Server sử dụng Public IP Với Server sử dụng Public IP trong vùng DMZ, Admin có thể sử dụng Publishing Rule có sẵn dành cho Web hoặc Mail Server để Publish nhưng chú ý sử dụng Public IP trong phần khai báo Server Mô hình ISA trong trừơng hợp này phải sử dụng Three-Homed – ISA Server mang 3 Interface: Interface Internal kết nối với mạng LAN, External kết nối với Router ra Internet... Online, trực tiếp nhận mail từ Internet Mail Servers như yahoo, Hotmail và các đối tác khác Mail Online phải 24/24 thường trực và ở trạng thái Available sẵn sàng nhận mail Mail Server đặt trong mạng LAN, được bảo vệ bới ISA Server 2004 và Published thông qua Publishing Rule Mail Server sử dụng Private IP Trong phần Publishing Mail Server, chọn Server to Server Communication Click Next tiếp tục Y O... là IP của Mail Server Mdaemon Click Next tiếp tục ISA Server yêu cầu Admin xác định Interface nào sẽ lắng nghe yêu cầu của Publishing Rule này User từ Internet và Mail Server từ Internet tương tác vào Mail Server để gửi mail, nên ISA phải lắng nghe trên External Interface Admin chọn External Kiểm tra lại cấu hình, Click Finish Cơ chế Publish Server của ISA 2004 thực ra là Access Rule với Destination... DMZ Networks Lúc này trong ISA Server mang thêm một mạng nữa là DMZ Networks Với ISA, Admin phải quy định thêm kiểu truyền giữa các mạng với nhau Mặc định, trong ISA Server kiểu truyền giữa Internal với External (Private IP sang Public IP) là NAT, còn giữa Local Host (bản thân ISA Server) với các máy khác (cả Internal và External) Trong phần cấu hình trước, ta vừa tạo thêm cho ISA một Network là DMZ Networks... truyền trên mạng • Server to Server Communication sử dụng khi nhiều Mail Server trao đổi thông tin cho nhau (quá trình gửi mail giữa các Server) Admin phải cấu hình Option này để Mail Server ngoài internet có thể gửi mail vào Mail Server trong LAN Cấu hình Publish Mail Online Server Trong mạng LAN có Server Mail, công ty sử dụng IP thật và cố định nên Giám Đốc quyết định sử dụng Mail Server làm Mail Online,... để Log lại các Session từ Internet truy cập vào Server Nếu chọn Come from ISA Server - đứng từ Server, Admin chỉ có thể thấy được Request xuất phát từ máy ISA nên không thể thực hiện Logging ngay trên Server được, vì không biết Request đó đến từ đâu Kiểm tra Mail Server bằng cách cấu hình OutLook Express trên Internet Client check mail từ Mail Daemon Server trong Local Cấu hình OutLook Express để gửi... này chỉ định các máy tính quay vào ISA Server bằng VPN • External Network - ngầm định ISA đã có sẵn loại Network này đại diện cho mạng Internet, hoàn toàn UnTrusted Network Trong mạng sử dụng Network 203.162.11.32/29 để gán cho các Server trong vùng DMZ – mang Public IP nên trên ISA Server phải cấu hình thêm một Network mang khoảng IP này, đặt tên là DMZ Network Vào ISA Management - chọn Tab Networks... Internal Network được ISA bảo vệ rất kỹ, được xem là Trusted Network hoặc Protected-Network Có một số sách gọi mạng này là Intranet • Perimeter – khu vực gồm các Server chạy các dịch vụ sẽ Publish ra Internet Permimeter cũng nằm trong hệ thống mạng của công ty, đôi khi được gọi với tên Extranet • VPN Site to Site Network – các Client quay số vào Công ty bằng VPN qua ISA Server được ISA xem như VPN Clients... DMZ với External Hai Networks này sẽ tương tác với nhau bằng kiểu Routing Cấu hình Network Rules DMZ Networks và Internal ASSIGNMENT Tương tự kểu cấu hình cho DMZ với External, Admin có thể tự làm tiếp phần này, chỉ khác là chọn Network Address Translation (NAT) thay vì chọn Route Trong phần Publish Server trong vùng DMZ với Public IP, Admin sẽ nhàn hơn vì chi cần làm 2 việc • Tạo Network tương ứng với . OutLookExpress Publish Server mang Public IP Server Publishing Sử dụng ISA Server 2004 làm Firewall, Publish (không nên dịch thành “xuất bản”) Web Site, FTP Site, Remote Desktop. Với ISA Server, . Interface của ISA Server làm IP Mail Server. Từ External Interface của ISA Server sẽ NAT vào Mail Server trong LAN mang Private IP sử dụng tính năng Server Publishing của ISA Server 2004. QUESTION. TIPS ISA Server có thể Publish Server trong vùng DMZ bằng 2 cách là NAT và Routing. NAT sử dụng với trường hợp Server mang Private IP sử dụng Publishing Rule của ISA Server, Routing sử dụng với