Trang 97 Triển khai ISA Server Firewall 2004 10. Review lại các xác lập trên Completing the Network Template Wizard và click Finish. 11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall. 12. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. 13. Click trên Firewall Policy node trên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console để xem lại các rules đã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các Hosts Trang 98 Triển khai ISA Server Firewall 2004 thuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet và cả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network. 14. Mở rộng Configuration node bên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console. Click Networks node. Ở đây bạn sẽ thấy một danh sách của các networks, bao gồm Perimeter network được tạo bởi template. 15. Click Network Rules tab. Right click Perimeter Configuration Network Rule và click Properties. Trang 99 Triển khai ISA Server Firewall 2004 16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab. Bạn có thể thấy trong danh sách This rule applies to traffic from these sources gồm Internal, Quarantined VPN Clients và VPN Clients networks. Trang 100 Triển khai ISA Server Firewall 2004 17. Click Destination Networks tab. Bạn thấy Perimeter network trong This rule applies to traffic sent to these destinations list. Trang 101 Triển khai ISA Server Firewall 2004 18. Click Network Relationship tab. Xác lập mặc định là Network Address Translation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn các IP addresses của Internal network clients kết nối đến các DMZ network hosts. Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũng thuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ này chúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đề rắc rối đó.Ghi nhớ rằng, tại thời đ iểm này, không có Access Rules nào cho phép truy cập tới Internal network từ DMZ network. Trang 102 Triển khai ISA Server Firewall 2004 19. Click Apply và click OK. 20. Click Apply để lưu những thay đổi. 21. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. Kết luận: Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates: Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho: network addresses, Network Rules và Access Rules. Trong chương tới chúng ta sẽ thả luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSA Server 2004 Fiewall. Trang 103 Triển khai ISA Server Firewall 2004 Chương 10: Cấu hình ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server 2004 firewall. Có 3 loại ISA Server 2004 client: • SecureNAT client • Web Proxy client • Firewall client Một SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gầ n nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall Æ ra Internet. Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hi nhận trong các Web Proxy logs khi máy tính đượ c cấu hình như một Web Proxy client. Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall. Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client. Table 1: ISA Server 2004 Client Types and Features Feature SecureNAT client Firewall client Web Proxy client Cần phải cài đặt ? No, chỉ cần xác lập thông số default gateway Yes. Cần cài đặt software No, chỉ cần cấu hình các thông số phù hợp tại trình Trang 104 Triển khai ISA Server Firewall 2004 duyệt Web- Web browser Hỗ trợ Hệ điều hành nào ? Bất cứ OS nào hỗ trợ TCP/IP Chỉ Windows Bất kì OS nào có hỗ trợ các Web application Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng -Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols - multiconnection protocols Tất cả các ứng dụng Winsock Applications. Có nghĩa là hầu hết các ứng dụng trên Internet hiện nay HTTP, Secure HTTP (HTTPS), và FTP Có hỗ trợ xác thực người dùng hay không ? Nhằm kiểm soát việc User truy cập ra ngoài Yes, nhưng chỉ dành cho VPN clients Yes Yes Cấu hình SecureNAT Client Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số default gateway giúp client định tuyến ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành một SecureNAT client: • Xác lập các thông số TCP/IP thủ công trên máy • Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP scope option trên DHCP Server Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như một SecureNAT client. Network servers như domain controllers, DNS servers, WINS servers và Web servers thông thường cũng được cấu hình như các SecureNAT clients. Domain controller đã được cấu hình thủ công làm SecureNAT client. Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope (một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp phát cho DHCP clients thông số default gateway address chính là IP address của Internal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windows systems là sử dụng DHCP để nhận các xác lập về thông tin IP address. Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách , Internal network client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng ta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạt động, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hình DHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh. Trang 105 Triển khai ISA Server Firewall 2004 1. Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties. 2. Trong Network and Dial-up Connections, right click Local Area Connection và click Properties. 3. Trong Local Area Connection Properties dialog box, click Internet Protocol (TCP/IP) , click Properties. 4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically và Obtain DNS server address automatically. Click OK. 5. Click OK trong Local Area Connection Properties dialog box. 6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start , Run. Trong Open box, đánh lệnh cmd. 7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể thấy được IP address được cấp phát cho Clientvà các thông số IP address khác mà Client dùng như: DNS, WINS và default gateway Trang 106 Triển khai ISA Server Firewall 2004 8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi máy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2. Cấu hình Web Proxy Client Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng ISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấu hình Web browser với vai trò một Web Proxy client. Có thể là: • Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web Proxy server • Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration script • Cấu hình tự động thông qua cài phầ n mềm Firewall client (các bạn nhớ kĩ cách cấu hình này nhé) • Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ trợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá của Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client, và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cần phải thủ công cấu hình trên trình uyệt web –web browsers của các Clients. Mộ t cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi Firewall client được setup trên clients [...]... Template Trang 1 15 Triển khai ISA Server Firewall 2004 Chương 11: Cấu hình các chính sách truy cập trên ISA Server ISA Server 2004 Access Policy ISA Server 2004 firewall điều khiển các giao tiếp truyền đi giữa các Networks được kết nối với nhau thông qua firewall Theo mặc định, ISA Server 2004 firewall sẽ ngăn chặn tất cả các lưu thông Các phương thức được sử dụng để cho phép lưu thông qua Firewall là:... dựa tên các xác lập mà chúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thông số cấu hình tự động Click OK trong Web Browser Settings Update dialog box Trang 114 Triển khai ISA Server Firewall 2004 5 Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server 2004 dialog box Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet... Server Firewall 2004 3 Click Detect Now button Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall Click Close Trang 113 Triển khai ISA Server Firewall 2004 4 Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration checkbox và click Configure Now button Cũng lưu ý rằng, dựa tên các xác lập mà chúng ta đã tạo trên ISA. .. thể cấu hình Firewall client Tiến hành các bước sau trên CLIENT 1 Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ thống 2 Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng đã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box Xác nhận tiếp đã chọn Automatically detect ISA Server Trang 112 Triển khai ISA Server. .. toàn hơn, hiện giờ nó đang được đặt trên ISA Theo các bước sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer Trang 108 Triển khai ISA Server Firewall 2004 1 Chèn ISA Server 2004 CD-ROM trên domain controller Trên menu, click Install ISA Server 2004 icon 2 Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next 3 Trên License Agreement... thức triển khai cấu hình tự động trên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ thống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop ) Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers sẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể tự cấu hình Tuy nhiên, nếu chúng ta không chọn cấu hình tự... Enable Firewall client support for this network check box Xác định là cũng đã đánh dấu vào Automatically detect settings và Use automatic configuration script check boxes trong khung Web browser configuration on the Firewall client computer Đánh dáu tiếp vào Use a Web proxy server check box Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDN Trang 110 Triển khai ISA Server Firewall 2004 trong ISA Server. .. Triển khai ISA Server Firewall 2004 4 Click OK trong Internet Properties dialog box Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách cấu hình khác Cấu hình Firewall Client Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet (trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên mỗi User hoặc Group Firewall client... text box Click Next Trang 118 Triển khai ISA Server Firewall 2004 4 Điền password và xác nhận- confirm lại password trong Confirm password text box Remove dấu checkmark từ User must change password at next logon, click Next Trang 119 Triển khai ISA Server Firewall 2004 5 Click Next trên Create an Exchange mailbox page 6 Click Finish trên trang cuối của New User Wizard Disable Access Rules đã tạo bởi... address text box Trong vd này FQDN của ISA Server 2004 computer là ISALOCAL.msfirewall.org Click Apply 3 Click vào Auto Discovery tab Đánh dấu vào Publish automatic discovery information check box Để port mặc định này, không thay đổi 80 Click Apply và OK Trang 111 Triển khai ISA Server Firewall 2004 4 Click Apply để lưu những thay đổi và cập nhật firewall policy 5 Click OK trong Apply New Configuration . với iSA Server 2004 Fiewall. Trang 103 Triển khai ISA Server Firewall 2004 Chương 10: Cấu hình ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients Một ISA Server 2004. Trang 116 Triển khai ISA Server Firewall 2004 Chương 11: Cấu hình các chính sách truy cập trên ISA Server - ISA Server 2004 Access Policy ISA Server 2004 firewall điều khiển các. 113 Triển khai ISA Server Firewall 2004 3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall.