Trang 146 Triển khai ISA Server Firewall 2004 Chương 12: Xuất bản Web và FTP Server thuộc Perimeter Network ra Internet ISA Server 2004 firewalls cho phép chúng ta publish các nguồn tài nguyên thuộcc các Mạng được bảo vệ, nhằm cho phép người bên ngoài -external users, có thể truy cập đến các nguồn tài nguyên đó. Có 2 phương pháp cơ bản để thực hiện publish các tài nguyên trên các Mạng được bảo vệ là: • Web Publishing Rules • Server Publishing Rules Web Publishing Rules có thể được sử dụng để publish Web servers. External users có thể kết nối đến Web servers đã được Publish sử dụng các giao thức như: HTTP / HTTPS (SSL) protocols. Web Publishing Rules có một số ưu điểm h ơn so với Server Publishing Rules, và bạn luôn có thể dùng một Web Publishing Rule khi tiến hành publish một Web site. Server Publishing Rules có thể dùng để publish bất cứ giao thức mà Server sử dụng – Server Protocol. Có thể dùng Server Publishing Rules để publish: FTP sites, mail servers, news servers, terminal servers và các giao thức Server khác. Sử dụng Server Publishing Rules khi Web Publishing Rules không thể sử dụng để publish một dịch vụ thuộc Mạng được bảo vệ như Perimeter network Trong chương này của sách, chúng ta sẽ publish một Web site và một FTP site được đặt tại Perimeter network –DMZ. Chúng ta vẫn nên đọc phần này, ngay cả khi bạn đã quyết định dùng Edge Firewall template thay cho 3-Leg Perimeter Network Template- Nơi có khu vực Perimeter Network, mà chúng ta sẽ đề cập ngay sau đây. Những nguyên tắc chủ yếu khi tiến hành áp dụng đều giống nhau cho dù đang áp dụng Edge template hay 3-leg template. Sự khác nhau chỉ nằm tại vị trí các Server sẽ được publish. Tiến hành các bước sau để publish Web và FTP sites thuộc perimeter network: • Cấu hình Web site mẫu • cấu hình FTP site mẫu • Disable các rules đã can thiệp –custom rules và dùng các rules đã tạo sẵn bởi template • Tiến hành tạo Web Publishing Rule • Tiến hành tạo FTP Server Publishing Rule • Kiểm tra lại (người ngoài Internet truy cập vào các sites này) Cấu hình Web Site Bước đầu tiên là cấu hình Web site trên perimeter network . Trong môi trường thực tế, có thể Web site đã được cấu hình và chỉ chờ publish. Trong ví dụ đây, chúng ta cần tạo ra một website mẫu- default Web site và xác lập vài tham số để có thể kiểm tra việc publish thành công hay không? Tiến hành các bước sau để cấu hình Web site trên IIS server thuộc perimeter network: Trang 147 Triển khai ISA Server Firewall 2004 1. Click Start , Administrative Tools. Click Internet Information Services (IIS) Manager. 2. Trong Internet Information Service (IIS) Manager console, mở rộng server name và Web sites node. 3. Right click Default Web Site node và click Properties. 4. Trong Default Web Site Properties dialog box, chọn IP address của server trong IP address list. 5. Click vào Documents tab, và click Add. Trong Add Content Page dialog box, điền vào tên default.txt. Click OK. Trang 148 Triển khai ISA Server Firewall 2004 6. Sử dụng Move Up button chuyển default.txt lên đầu danh sách Trang 149 Triển khai ISA Server Firewall 2004 7. Click Apply; sau đó click OK trong Default Web Site Properties dialog box. 8. Right click vào server name ở khung trái và trỏ vào All Tasks. Click Restart IIS. 9. chọn Restart Internet Services on TRIHOMEDMZLAN1 trong Stop/Start/Restart dialog box và click OK. Trang 150 Triển khai ISA Server Firewall 2004 10. Đóng Internet Information Services (IIS) Manager console. 11. Click Start và Windows Explorer. 12. Tìm đến C:\Inetpub\wwwroot folder. Click menu File , chọn New và click Text Document. 13. Double click vào New Text Document.txt ở khung phải. Điền vào dòng text sau: This is the Web site on the perimeter network segment. Click File và click Exit. Click Yes trong Notepad dialog box yêu cầu nếu bạn muốn save những thay đổi. 14. Right click vào New Text Document.txt file và click Rename. Đổi lại tên file thành default.txt. Cấu hình FTP Site Bước tiếp theo sẽ cấu hình FTP site để sẵn sàng cho việc publish. Bạn sẽ gửi IP address của FTP site và cấu hình thông điệp chào mừng đến với FTP site. Ngoài ra, bạn cũng sẽ cho phép user upload dữ liệu lên FTP site. Trong môi trường thực tế việc upload files lên FTP server có thể bị cấm, nhằm ngăn chặn những việc đưa những tài liệu bất hợp pháp hoặc vi phạm bản quyền lên site Tiến hành các bước sau cấu hình FTP site: 1. Click Start , Administrative Tools. Click Internet Information Services (IIS) Manager. 2. Mở rộng server name bên khung trái Internet Information Services (IIS) Manager console, sau đó mở rộng FTP Sites node. 3. Right click vào Default FTP Site và click Properties. 4. Trong Default FTP Site Properties dialog box, chọn IP address của server trong danh sách IP address. Trang 151 Triển khai ISA Server Firewall 2004 5. Click vào Messages tab. Trong Banner text box, điền vào This is the perimeter network FTP site. Trong Welcome text box, điền vào Welcome to the ISA firewall protected FTP site. Trong Exit text box, điền vào Goodbye! trong Maximum connections text box, điến vào thông báo sau Site is busy come back later. Trang 152 Triển khai ISA Server Firewall 2004 6. Click vào Home Directory tab. Trên Home Directory tab, đánh dấu check vào Write text box. Lưu ý nên cẩn trọng trong môi trường thực của bạn việc ch phép quyền Write trên FTP sites. Những kẽ có y đồ có thể lợi dụng việc này để đưa lên các dữ liệu, files bất hợp pháp, vi phạm bản quyền. Trang 153 Triển khai ISA Server Firewall 2004 7. Click Apply và OK trong Default FTP Site Properties dialog box. 8. Right click vào server name trong khung bên trái và chọn All Tasks. Click Restart IIS. 9. Chọn Restart Internet Services on TRIHOMEDMZLAN1 entry trong What do you want IIS to do? và click OK. 10. Đóng Internet Information Services (IIS) Manager console. 11. Click Start và Windows Explorer. 12. Tìm đến folder C:\Program Files\NetMeeting. Chọn tất cả File trong Folder này và chọn copy. 13. Tìm đến folder C:\Inetpub\ftproot. Paste tất cả File bạn đã copy. Disable Các quy tắc tùy biến và enable lại các quy tắc được tạo bởi Template Trong chương trước của sách, chúng ta đã tạo ra các Access Rules điều khiển việc truy cập ra Internet c ăn cứ trên user/group. Bây giờ, chúng ta sẽ disable những rules đó và sử dụng các Rules đã tạo sẵn trong 3-Leg Perimeter Network Template. Trang 154 Triển khai ISA Server Firewall 2004 Tiến hành các bước sau để disable các custom rules đã tạo ở chương trước và enable các rules được tạo sẵn trong Template: 1. Tại ISA Server 2004 firewall mở Microsoft Internet Security and Acceleration Server 2004 management console. Mở rộng server name và click vào Firewall Policy node. 2. Click DNS Servers policy. Nhấn CTRL key và click Administrator Internet Access and Limited Access Web Users Access Rules. Right click một trong số các rules và click Disable. 3. Click Apply để lưu lại những thay đổi và cập nhật firewall policy. 4. Click OK trong Apply New Configuration dialog box. 5. Click rule đầu tiên đã được tạo bởi Wizard. Trong ví dụ này, rule đầu tiên là VPN Clients to Internal Network. Nhấn CTRL key và click vào rule thứ hai , bây giờ cả 2 rules đã được chọn. Right click vào một trong hai, click Enable. 6. Với 2 Access Rules vẫn được chọn, click vào dấu mũi tên xanh hướng lên trong console, sau đó chuyển rule lên hàng trên cùng của danh sách. Trang 155 Triển khai ISA Server Firewall 2004 7. Click Apply để lưu những thay đổi và cập nhật cho firewall policy. 8. Click OK trong Apply New Configuration dialog box. Tạo quy tắc publish Web - Web Publishing Rule Bây giờ bạn đã sẵn sàng cho việc publish Web. Web Publishing Rule sẽ cấu hình để ISA Server 2004 firewall lắng nghe các yêu cầu đến Web site của bạn. Bởi vì ISA Server 2004 firewall là một ứng dụng “thông minh”, Lớp ứng dụng trên Firewall chỉ chấp nhận các yêu cầu từ external users, những người truy câp đến đúng tên Web site. Các External users, hackers và Internet worms sẽ không thể kết nối đế n Web site khi chỉ dùng một IP address đơn giản. Tiến hành các bước sau để tạo Web Publishing Rule: 1. Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security and Acceleration Server 2004 management console và mở rộng server name. Click vào Firewall Policy node. 2. Right click Firewall Policy node, chọn New và click Web Server Publishing Rule. 3. Trên Welcome to the New Web Publishing Rule Wizard page, điền vào tên Web publishing rule name text box. Trong ví dụ này, chúng ta sẽ đặt tên là Perimeter Web Server. Click Next. 4. Trên Select Rule Action page, chọn Allow và click Next. 5. Trên Define Website to Publish page, điền vào tên Web server trên perimeter network trong Computer name or IP address text box. Đây là tên hay IP address của Server trên perimeter network , không phải IP address trên Card ngoài- external interface của ISA Server 2004 firewall. Trong ví dụ này chúng ta sẽ dùng tên perimeter.msfirewall.org; tên này phả i có thể giải quyết ra IP address được sử dụng bởi Web server trên perimeter network. Điều này có thể tiến hành bằng cách cài đặt một DNS Server phân tách dịch vụ tim tên - split DNS infrastructure, hoặc dùng một HOSTS file trên ISA Server 2004 firewall. Sau này, bạn sẽ tạo một HOSTS file dành cho các máy ở perimeter network.Trong Folder text box, điền vào /*. Click Next. [...]... addresses on the ISA Server computer in the selected network Trong danh sách Available IP Addresses chọn IP address trên Card ngoài- external interface của ISA Server 2004 firewall và click Add IP bây giờ sẽ xuất hiện trong Selected IP Addresses list Click OK Trang 158 Triển khai ISA Server Firewall 2004 11 Click Next trên IP Addresses page Trang 159 Triển khai ISA Server Firewall 2004 12 Trên Port... FTP Server và click Next 4 Trên Select Server page, điền vào IP address của FTP server trên perimeter network trong Server IP address text box Trong ví dụ này, FTP server đang lắng nghe trên IP address 172 .16.0.2 Click Next Trang 164 Triển khai ISA Server Firewall 2004 5 Trên Select Protocol page, chọn FTP Server protocol từ danh sách Selected protocol Click Next Trang 165 Triển khai ISA Server Firewall. .. và click Open Trang 162 Triển khai ISA Server Firewall 2004 3 Đưa dòng text sau vào HOSTS file: 172 .16.0.2 perimeter.msfirewall.org Nhấn ENTER khi kết thúc dòng Click File , click Exit Trong Notepad dialog box, click Yes để lưu những thay đổi Trang 163 Triển khai ISA Server Firewall 2004 Tạo FTP Server Publishing Rule Với Server Publishing Rules mơi vấn đề liên quan đến publish Server còn đơn giản hơn... Trang 1 67 Triển khai ISA Server Firewall 2004 7 Nếu bạn muốn upload files lên site, quay trở lại Microsoft Internet Security and Acceleration Server 2004 management console right click vào Perimeter FTP Server publishing rule và click Configure FTP 8 Trong Configures FTP protocol policy dialog box, remove dấu check tại Read Only check box Click Apply và OK Trang 168 Triển khai ISA Server Firewall 2004. .. Click Next Trang 156 Triển khai ISA Server Firewall 2004 7 Trên Select Web Listener page, click New 8 Trên Welcome to the New Web Listener Wizard page, điền tên cho Web listener trong Web listener name text box Trong ví dụ này, tên sẽ là Listener1 Click Next 9 Trên IP Addresses page, đánh dấu check vào External check box và click Address Trang 1 57 Triển khai ISA Server Firewall 2004 10 Trên External... Click Next Trang 160 Triển khai ISA Server Firewall 2004 13 Click Finish trên Completing the New Web Listener Wizard page 14 Listener1 entry giờ đã xuất hiện trong Web listener list Click Next Trang 161 Triển khai ISA Server Firewall 2004 15 Trên User Sets page, chấp nhận mặc định, All Users, và click Next 16 Click Finish trên Completing the New Web Publishing Rule Wizard page 17 Click Apply lưu lại... sau để tạo một FTP Server Publishing Rule: 1 Tại ISA Server 2004 firewall , mở Microsoft Internet Security and Acceleration Server 2004 management console và mở rộng server name Click trên Firewall Policy node 2 Right click vào Firewall Policy node, chọn New và click Server Publishing Rule 3 Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên của rule trong Server publishing rule... sẽ được xem hướng dẫn, cấu hình FTP site như thế nào để cho phép external users đượcvupload files Tiến hành các bước sau để kiểm tra Web và FTP Server Publishing Rules: 1 Bước đầu tiên thực hiện tại external Windows 2000 client là việc cấu hình HOSTS file nhằm cho phép Client có thể giải quyết tên perimeter.msfirewall.org thành IP ngoài- external address của ISA Server 2004 firewall 2 Click Start và... giản hơn cả Web Publishing Rules Một Server Publishing Rule đẩy các yêu cầu truy cập vào Server đến các server được publish và ISA Server 2004 firewall xử lý các yêu cầu này thông qua bọ lọc lớp ứng dụng của mình - application layer filters Thông tin duy nhất cần để hỗ trợ cho Server Publishing Rule là IP address của Server sẽ được publish Chú ý rằng tất cả các server có Primary connection luôn được... Next Trang 165 Triển khai ISA Server Firewall 2004 6 Trên IP Addresses page, đánh dấu check vào External check box Click Addresses button 7 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network option Chọn IP address trên Card ngoài - external interface của ISA Server 2004 firewall trong Available IP Addresses list và . Click OK. Trang 148 Triển khai ISA Server Firewall 2004 6. Sử dụng Move Up button chuyển default.txt lên đầu danh sách Trang 149 Triển khai ISA Server Firewall 2004 7. Click Apply; sau. Trang 146 Triển khai ISA Server Firewall 2004 Chương 12: Xuất bản Web và FTP Server thuộc Perimeter Network ra Internet ISA Server 2004 firewalls cho phép chúng ta publish. Publishing Rule sẽ cấu hình để ISA Server 2004 firewall lắng nghe các yêu cầu đến Web site của bạn. Bởi vì ISA Server 2004 firewall là một ứng dụng “thông minh”, Lớp ứng dụng trên Firewall chỉ chấp