Trang 70 Triển khai ISA Server Firewall 2004 4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configuration wassuccessfully backed up message. Nên copy file backup này đến nơi lưu trữ an toàn khác trên Mạng nội bộ sau khi backup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ file backup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệ thống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft) Kết luận: Trong chương này chúng ta đã bàn về những thủ tục cần thiết khi cài đặt ISA Server 2004 software trên Windows Server 2003 computer. Chúng ta cũng đã xem xét chính sách hệ thống của Firewall (firewall System Policy), được tạo ra trong quá trình cài đặt. Và cuối cùng, chúng ta đã hoàn thành việc lưu giữ lại cấu hình ngay sau khi cài đặt ISA SERVER 2004 Firewall bằng cách thực hiện file backup theo từng bước hướng dẫn. Trong phần tới, chúng ta sẽ cấu hình cho phép truy cập VPN access server từ xa. Trang 71 Triển khai ISA Server Firewall 2004 Chương 8: Sao lưu và Phục hồi cấu hình Firewall ISA Server 2004 bao gồm tính năng mới và tăng cường cho backup và phục hồi. Trong ISA Server 2000, tiện ích backup được tích hợp có thể backup cấu hình của ISA Server 2000 firewall. File backup có thể được sử dụng để phục hồi cấu hình đến củng bản cài đặt ISA Server trên cùng Computer. Tuy nhiên, nếu Hệ điều hành hay phần cứng nếu gặp phải những vấn đề nghiêm trọng tác động trên toàn hệ thông, chắc rằng chỉ có file backup này không thể phục hồi được c ấu hình của Firewall Ngược lại, tiện ích backup trên ISA Server 2004 cho phép Admin backup toàn bộ cấu hình Firewall hoặc chỉ backup những phần cần thiết. Và sau đó Admin có thể phục hồi cấu hình này đến cùng phiên bản ISA Server 2004 firewall trên chính Computer đã backup hoặc có thể phục hồi thông tin cấu hình đến một ISA Server 2004 firewall trên một Computer khác. Các hướng dẫn Backup sẽ được thi hành sau một hoặc một số thủ tục sau: • Thay đổi kích cỡ hay vị trí Cache (cache size / location) • Thay đổi chính sách Firewall (Firewall policy) • Thay đổi nền tảng các nguyên t ắc ( rule base) • Thay đỗi các nguyên tắc hệ thống (system rules) • Making changes to networks, such as, changing network definition or network rules • Ủy quyền các tác vụ quản trị ISA Server / Bỏ ủy quyền Tính năng nhập/xuất (import/export) cho phép chúng ta xuất các thành phần được chọn lựa trong cấu hình Firewall và sử dụng những thành phần này về sau, hoặc có thể cài đặt nó vào Computer khác. Import/export cũng có thể được dùng để xuất toàn bộ cấu hình của Computer như một phương pháp phân phối cấu hình diện rộng. Bài thực tập bổ ích nhất về backup cấu hình nên được tiến hành ngay sau khi cài đặt ISA Server 2004 firewall software. Thực hiện điều này là tác vụ cơ bản nhằm phục hồi cấu hình nguyên trạng sau cài đặt trên ISA server, kể cả khi chúng ta đã thực hiện các cấu hình khác (điều này giúp các bạn không cần cài đặt lại ISA server) . Chúng ta sẽ tiến hành những công việc sau: • Backup cấu hình Firewall • Phục hồi cấu hình Firewall từ File Backup • Xuất chính sách Firewall • Nhập chính sách Firewall Backup cấu hình Firewall ISA Server 2004 tích hợp sẵn tiện ích backup giúp lưu giữ cấu hình Firewall dễ dàng . Chỉ có một ít các thao tác được yêu cầu khi thực hiện backup và phục hồi cấu hình Tiến hành các bước sau để backup toàn bộ cấu hình Firewall: 5. Mở Microsoft Internet Security and Acceleration Server 2004 management Console, right click trên server name. Click BackUp 6. Trong Backup Configuration dialog box, điền tên file backup trong File name text box. Trong ví dụ này filename là backup1. Click Backup Trang 72 Triển khai ISA Server Firewall 2004 7. Trong Set Password dialog box, điền password và xác nhận lại password. Xin được nhắc lại thông tin trong file backup đã được mã hóa (xem giải thích ở phần trước). Click OK. Trang 73 Triển khai ISA Server Firewall 2004 8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully backed up xuất hiện Nên copy file backup này để lưu trữ ở một vị trí an toàn hơn, không nên lưu trữ trên Firewall này (có thể là trên một Network server, phân vùng lưu trữ được format với NTFS). Phục hồi cấu hình Firewall từ Configuration from the File Backup Admin có thể dùng File backup để phục hồi cấu hình máy. Thông tin có thể được hồi phục trên cùng phiên bản cài đặt của ISA Server 2004 firewall, trên cùng máy hoặc một bản cài đặt hoàn toàn mới, trên một Computer khác. Tiến hành các bướ c sau để phục hồi cấu hình từ backup: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console, right click trên computer name, Click Restore. 2. Trong Restore Configuration dialog box, tìm file backup trước đó đã tạo. Trong ví dụ này, chúng ta sẽ dùng, file backup có tên là backup1.xml. Click Restore, sau khi đã chọn file Trang 74 Triển khai ISA Server Firewall 2004 3. Đưa vào password mà bạn đã xác nhận trước đó cho file trong Type Password to Open File dialog box, click OK. 4. Click OK trong Importing dialog box khi thấy xuất hiện thông báo The configuration was successfully restored 5. Click Apply để save những thay đổi và cập nhật chính sách cho Firewall. 6. Chọn Save the changes and restart the service(s) trong ISA Server Warning dialog box Trang 75 Triển khai ISA Server Firewall 2004 7. Click OK trong Apply New Configuration dialog box chỉ rõ rằng Changes to the configuration were successfully applied. Giờ đây cấu hình đã phục hồi cho ISA SERVER 2004 đã hoạt động với đầy đủ chức năng và các chính sách của Firewall được áp đặt hiện giờ được lấy từ bản backup cấu hình của Filewall trước đó. Xuất chính sách Firewall (Exporting Firewall Policy) Các Admin không nhất thiết phải luôn luôn export mọi thứ liên quan đến cấu hình của Firewall. Có thể chúng ta chỉ gặp phải một số vấn đề tại Access Policies và muốn gửi những thông tin này đến một Security admin nào đó xem xét. Khi ấy chỉ cần export các Access Policies hiện thời của Firewall, sau đó gửi Export File này đến một chuyên gia về ISA Server 2004, để họ có thể nhanh chóng nhập (import) các Policies này vào một ISA server 2004 Test Computer, và chẩn đoán vấn đề Trong ví dụ này, chúng ta sẽ export cấu hình VPN Clients ra một file. Tiến hành lần lượt các bước sau: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name, right click trên Virtual Private Networks (VPN) node. Click vào Export VPN Clients Configuration. 2. Trong Export Configuration dialog box, điền tên cho export file trong File name text box. Đưa một số thông tin mô tả về nơi chúng ta lưu trữ file. Check vào Export user permission settings and Export confidential information (encryption will be used) check boxes nếu bạn muốn lưu thông tin riêng nằm bên trong VPN Clients configuration (chẳng hạn như các password bí mật của IPSec- IPSec shared secrets). Trong ví dụ này, Chúng ta sẽ đặt file là VPN Clients Backup. Click Export. Trang 76 Triển khai ISA Server Firewall 2004 3. Trong Set Password dialog box, điền một password và xác nhận lại password trong Confirm password text box. Click OK. 4. Click OK trong Exporting dialog box khi chúng ta thấy thông báo Successfully exported the configuration. Trang 77 Triển khai ISA Server Firewall 2004 Nhập chính sách Firewall (Importing Firewall Policy) File export có thể được import đến cùng Computer hoặc một Computer khác có ISA Server 2004 đã cài đặt. Trong ví dụ sau, chúng ta sẽ import các xác lập của VPN Clients đã được export trong phần trước. Tiến hành các bước sau để import VPN Clients settings từ file đã export: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và right click vào Virtual Private Networks (VPN) node. Click Import VPN Clients Configuration. 2. Trong Import Configuration dialog box, chọn file VPN Clients Backup. Đánh dấu vào, Import user permission settings và Import cache drive settings và SSL certificates checkboxes. Trong ví dụ này, cache drive settings, không quan trọng, nhưng SSL certificates là cần thi ết nếu chúng ta muốn dùng cùng certificates, đã được sử dụng cho IPSec hoặc L2TP/IPSec VPN connections. Click Import. Trang 78 Triển khai ISA Server Firewall 2004 3. Điền password để mở trong Type Password to Open File dialog box. Click OK. 4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nhận được thông báo Successfully imported the configuration. 5. Click Apply để áp dụng những thay đổi và cập nhật Firewall policy. 6. Click OK trong Apply New Configuration dialog box khi nhận được thông báo Changes to the configuration were successfully applied. Lưu ý rằng, những thay đổi trong cấu hình VPN có thể mất vài phút để cập nhật Kết luận: Trong chương này chúng ta đã thảo luận việc backup và phục hồi cấu hình của ISA Server 2004 firewall. Chúng ta cũng đã xem xét các tính năng của export và import, cho phép thực hiện backup các thành phần lựa chọn (cần thiết), của cấu hình Firewall Trong chương tới, chúng ta sẽ dùng ISA Server 2004 Network Templates để đơn giản hóa cấu hình ban đầu của các Networks, Network Rules, và các Access Policies của Firewall. Trang 79 Triển khai ISA Server Firewall 2004 Chương 9: Đơn giản hóa cấu hình Mạng với các Network Templates ISA Server 2004 firewall mang đến cho chúng ta những thuận lợi to lớn, một trong những số đó là các Network Templates (mô hình mẫu các thông số cấu hình Mạng). Vì sự hỗ trợ thông qua các templates này, mà chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo được một cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng Chúng ta có thể chọn một trong số các Network Templates sau: • Edge Firewall Network Template dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có một Network interface được trực tiế p kết nối đến Internet và một Network interface được kết nối với Internal network • 3-Leg Perimeter Network Template dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network Interfaces. Một External interface (kết nối Internet), một Internal interface (kết nối Mnạg nội bộ) và một DMZ interface (kết nối đến Mạng vành đai- Perimeter Network). Template này, cấu cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau. • Front Firewall Dùng Front Firewall Template khi ISA Server 2004 firewall đóng vai trò một frontend firewall trong mô hình back-to-back firewall. Vậy thế nào là một back- to-back firewall ? Đơn giả n đó là mô hình kết nối 2 Firewall làm việc với nhau theo kiểu trước (front) sau (back). Phía ngoài Front Firewall có thể là Internet, giữa Front và back firewall có thể là là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall • Back Firewall Như vừa trình bày ở trên có lẽ các bạn đã hiểu về vị trí của một Back firewall, và Back Firewall Template được sử dụng cho một ISA Server 2004 firewall nằm sau một ISA Server 2004 firewall khác phía trước nó (hoặc một third-party firewall nào đó). • Single Network Adapter Template dạng Single Network Adapter là một cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. [...]... 83 Triển khai ISA Server Firewall 20 04 4 Trên Export the ISA Server Configuration page, bạn được chọn lựa để Export cấu hình hiện tại Hoàn toàn có thể quay lại cấu hình ISA Server 20 04 firewall trước khi dùng Edge Firewall network template , bởi vì chúng ta đã backed up cấu hình hệ thống trước đó và vì thế cũng không cần phải export cấu hình tại thời điểm này Click Next Trang 84 Triển khai ISA Server. .. những trường hợp ISA SERVER 20 04 chỉ có duy nhất một Network Card (unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server Trong phần này, chúng ta sẽ phác thảo 2 kịch bản sau: • Kịch bản 1: Cấu hình cho Edge Firewall • Kịch bản 2: Cấu hình cho 3-Leg Perimeter Cần xem xét lại chương 1 để nắm rõ cấu hình Mạng, và cấu hình cho ISA SERVER 20 04 trong Test Lab này Kịch bản về cấu trúc Mạng của... Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấu cho chính xác vào đấy Click OK Trang 94 Triển khai ISA Server Firewall 20 04 8 Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windows routing table Click Next Trang 95 Triển khai ISA Server Firewall 20 04 9 Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mối quan hệ giữa Internet, DMZ và Internal networks và cũng... cần phải thêm bất kì Address nào trong Internal network Click Next Trang 92 Triển khai ISA Server Firewall 20 04 6 Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segment trên Perimeter Network IP Addresses page Bạn nhận thấy Address ranges list hoàn toàn trống Do đó Trang 93 Triển khai ISA Server Firewall 20 04 7 Click vào Add Adapter button Trong Network adapter details dialog box,... hành những bước sau khi dùng Edge Firewall Network Template để cấu hình Firewall: 1 Trong Microsoft Internet Security and Acceleration Server 20 04 management console, mở rộng server name và mở rộng tiếp Configuration node Click vào Networks node 2 Click vào Templates tab trong Task Pane Click vào Edge Firewall network template Trang 82 Triển khai ISA Server Firewall 20 04 3 Click Next trên Welcome to the... Kịch bản 1: Cấu hình Edge Firewall Template cho Edge Firewall sẽ cấu hình cho ISA Server 20 04 firewall có một network interface gắn trực tiếp Internet và một Network interface thứ 2 kết nối với Internal network Network template này cho phép Admin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng đưa cấu hình điều... chọn để export cấu hình hiện tại Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hình của template và muốn quay trở lại các xác lập ban đầu Trong ví dụ này chúng ta đã backed up cấu hình vì thế không cần phải export Click Next Trang 91 Triển khai ISA Server Firewall 20 04 5 Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internal network Bạn sẽ thấy ISA tự động xuất... Edge Firewall network template 2 Access Rules cho phép Internal network và VPN clients truy cập đầy đủ ra Internet, và VPN clients cũng được đầy đủ quyền truy cập vào Internal network Trang 87 Triển khai ISA Server Firewall 20 04 Kịch bản 2: Cấu hình 3-Leg Perimeter Cấu hình Firewall theo template dạng 3-leg perimeter sẽ tạo ra các mối quan hệ giữa các Network: Internal, DMZ và Internet Và tương ứng Firewall. .. Security and Acceleration Server 20 04 management console , mở rộng server name Mở tiếp Configuration node và click trên Networks node 2 Click Networks tab trong Details pane, sau đó click Templates tab trong Task pane Click vào 3-Leg Perimeter network template Trang 90 Triển khai ISA Server Firewall 20 04 3 Click Next trên Welcome to the Network Template Wizard page 4 Trên Export the ISA Server Configuration... đã có kinh nghiệm hơn với việc config Access Policies trên ISA Server 20 04 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài outbound access giữa DMZ network segment và Internet, giữa Internal network segment và Internet Chọn Allow unrestricted access firewall policy và click Next Trang 96 Triển khai ISA Server Firewall 20 04 . Trang 71 Triển khai ISA Server Firewall 20 04 Chương 8: Sao lưu và Phục hồi cấu hình Firewall ISA Server 20 04 bao gồm tính năng mới và tăng cường cho backup và phục hồi. Trong ISA Server 2000,. sau: • Backup cấu hình Firewall • Phục hồi cấu hình Firewall từ File Backup • Xuất chính sách Firewall • Nhập chính sách Firewall Backup cấu hình Firewall ISA Server 20 04 tích hợp sẵn. Policies của Firewall. Trang 79 Triển khai ISA Server Firewall 20 04 Chương 9: Đơn giản hóa cấu hình Mạng với các Network Templates ISA Server 20 04 firewall mang