Trang 169 Triển khai ISA Server Firewall 2004 9. Click Apply lưu lại những thay đổi và cập nhật firewall policy. 10. Click OK trong Apply New Configuration dialog box. Kết luận: Trong chương này chúng ta đã thảo luận 2phương thức chính cho phép Internet Users -external users, có thể truy cập vào các tài nguyên (FTP, Web Site) được đặt trên Mạng được bảo vệ- DMZ Network. Trước tiên, chúng ta dùng Web Publishing Rule để cho phép truy cập vào các tài nguyên Web . Kế tiếp chúng ta dùng we used a Server Publishing Rule để cho phép truy cập FTP site. Trong chương tới của sách, chúng ta sẽ xem xét trình tự để thực hiện bộ lọc chuyển tiếp mail l ớp Application: SMTP relay server trên ISA Server 2004 firewall Trang 170 Triển khai ISA Server Firewall 2004 Chương 13: Cấu hình ISA Server 2004 trở thành một bộ lọc chuyển tiếp email-Filtering SMTP Relay Một trong những thành phần cấu thành nên hệ thống ISA Server Firewall 2004 đó là SMTP Message Screener- tạm gọi là bộ xét duyệt ứng dụng chuyển Mail. SMTP Message Screener có thể kiểm tra các SMTP messages tại lớp ứng dụng - application layer để sau đó tiến hành chuyển tiếp- relay hay loại bỏ - reject messages dựa trên các thông số mà bạn cấu hình. SMTP Message Screener có thể đánh giá mail gửi vào -incoming SMTP mail dựa trên các đặc điểm sau: • Tài khoản mail của người gửi -Sender mail account và Tên domain của người gửi - sender domain name • Tên của Attach file, ph ần mở rộng attach và kích cỡ attach file • Những từ trọng điểm/ từ khóa -Keywords nằm trong dòng Subject và bên trong nội dung messages (text/plain và cả text/html). Ví Dụ một attach file có phần đuôi file mở rộng là .pif có thể là Internet worms. Phải nói rằng có rất ít hoặc không có những mail hợp pháp mà lại chứa attach file có phần đuôi là .pif , cho nên cách tốt nhất bạn có thể cấu hình bộ lọc- filter để chặn lại những email có attach file kiểu này và tiến hành các hành động sau: • Delete message • Giữ lại message • Đẩy- Forward message đến một tài khoản email được chỉ định Có thể nói, SMTP Message Screener là một thành phần không thể thiếu trong sơ đồ phòng vệ chặt chẽ, nhằm chống lại các email nguy hiểm. Internet worms và viruses, cũng phả kể đến spam, là những gieo rắc kinh hoàng cho hệ thống Mạng. Worms và viruses có thể tấn công vào các network servers, các services và workstations khi đã lây nhiễm vào bên trong Mạng. Spam có thể gây tắc nghẽn băng thông của Mạng nội bộ, làm mất nhiều thời gian của nhân viên trong x ử lý mail, chi phí hao tổn có thể lên đến háng ngàn, thậm chí hàng triệu $ mỗi tháng Xây dựng hệ thống phóng vệ cho E-mail nhằm đạt hiệu quả cao trong giao dịch email của Doanh nghiệp. Chúng ta có thể sử dụng ISA Server 2004 SMTP Message Screener kết hợp với Exchange SMTP Gateway Server nhằm cung cấp một giải pháp tối ưu trong kế hoạch phòng vệ cho hệ thống mail. Trong ví dụ dưới đây, chúng ta sẽ cấu hinh ISA Server với vai trò một SMTP Server chuyển tiếp mail, từ Internal ra External- outbound, và từ External vào Internal - inbound. Inbound SMTP relay component S ẽ chấp nhận mail vào -incoming mail: các SMTP servers bên ngoài gửi đến các e-mail với tên miền do bạn quản lý trên mail Exchange Server của bạn. Outbound SMTP relay được dủng lọc mail gửi ra ngoài, xuất phát từ Exchange Server của bạn đến các domains e-mail trên Internet (e-mail domains thuộc các tổ chức khác trên Internet). Mục tiêu cơ bản là như vậy, chúng ta sẽ thực hiện các bước sau: • Phục hồi hệ thống quay lại trạng thái cấu hình ban đầu- ngay sau khi cài đặt • Cấp phát thêm một IP address thứ 2 cho Internal interface của ISA Server 2004 firewall • Cài đặt và c ấu hình SMTP Service • Cài đặt SMTP Message Screener Trang 171 Triển khai ISA Server Firewall 2004 • Tạo ra các SMTP Server Publishing Rules • Cấu hình nhật kí ghi nhận các hoạt động của Screener - SMTP Message Screener logging • Kiểm tra lại cơ chế lọc mail của SMTP Filtering Phục hồi hệ thống trở lại cấu hình ban đầu Để có thể kiểm tra đầy đủ về cấu hình inbound & outbound SMTP relay, chúng ta cần phải đưa Computer quay trở lại cấu hình ban đầu, với cấu hình nguyên trạng này, các Access Rules sẽ không tác động, làm ảnh hưởng đến việc phát triển các k ịch bản với những mục đích khác nhau. Trong mội trường thực tế tại tổ chức của mình, bạn nên giữ lại các cấu hình, tức là không đụng chạm đến các Access Rules và addvao2 thêm Server Publishing Rules cần thiết để tạo inbound & outbound SMTP relays. Tiến hành các bước sau để khôi phục lại cấu hình ban đầu trên ISA Server 2004 firewall: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console và right click trên server name. Click Restore command. 2. Trong Restore Configuration dialog box, chọn backup file bạn đã tạo lúc ban đầu và click Restore. 3. Trong Type Password to Open File dialog box, điề n vào password bạn đã xác lập cho file trong Password text box và click OK. 4. Click OK trong Importing dialog box sau khi thấ thông báo The configuration was successfully restored. 5. Click Apply lư những thay đổi và cập nhật cho firewall policy. 6. Chọn Save the changes and restart the service(s) trong ISA Server Warning dialog box, và click OK. 7. Click OK trong Apply New Configuration dialog box. Phân chia địa chỉ thứ 2 -second IP address , cho Card trong- Internal interface trên ISA Server 2004 firewall Chúng ta sẽ thêm vào 2 nd IP address cho Internal interface của ISA Server 2004 firewall Điều này sẽ cho phép chúng ta publish outbound SMTP relay trên một IP address khác so với inbound SMTP relay. Tiến hành các bước sau để add 2 nd IP address cho Internal interface của ISA Server 2004 firewall: 1. Tại ISA Server 2004 firewall, right click trên My Network Places nằm ở desktop và click Properties. 2. Trong Network Connections window, right click LAN interface và click Properties. 3. Trong LAN Properties dialog box, kéo xuống danh sách This connection uses the following items , rồi double click vào Internet Protocol (TCP/IP). 4. Trong Internet Protocol (TCP/IP) Properties dialog box, click Advanced button. 5. Trong Advanced TCP/IP Settings dialog box, click IP Settings tab. Trong khung IP addresses, click Add. Trang 172 Triển khai ISA Server Firewall 2004 6. Trong TCP/IP Address dialog box, điền vào 10.0.0.10 trong IP address text box. Điền vào 255.255.255.0 trong Subnet mask text box. Click Add. 7. IP address 10.0.0.10 giờ đã xuất hiện thứ 2 trong sanh sách IP addresses. Click OK. 8. Click OK trong Internet Protocol (TCP/IP) Properties dialog box. 9. Click OK trong LAN Properties dialog box. Cài đặt và cấu hình SMTP Service Tiến hành cài SMTP service trên IIS 6.0 trước khi cấu hình ISA Server 2004 SMTP Message Screener. SMTP service sẽ làm việc với SMTP Message Screener để kiểm tra và ngăn chặn những e-mail không hợp pháp. Tiến hành các bước sau để cài đặt SMTP service trên IIS 6.0: 1. Click Start , Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs window, click Add/Remove Window Components bên khung trái window. 3. Trên Windows Components page, click Application Server trong danh sách của các Components, click Details. 4. Trong Application Server dialog box, click Internet Information Services (IIS), và click Details. 5. Trong Internet Information Services (IIS) dialog box, đánh dấu vào SMTP Service check box và click OK. Trang 173 Triển khai ISA Server Firewall 2004 6. Click OK trong Application Server dialog box. 7. Click Next trên Windows Components page. 8. Click OK trong Insert Disk dialog box. 9. Điền vào đường dẫn đến folder i386 trong Copy file from text box thuộc Files Needed dialog box. 10. Click Finish trong Completing the Windows Components Wizard page. Bước kế tiếp là cấu hình SMTP server service nhằm hỗ trợ inbound & outbound relay: 1. Click Start , Administrative Tools. Click Internet Information Services (IIS) Manager. 2. Trong Internet Information Services (IIS) Manager console, mở rộng computer name ở khung trái. Right click Default SMTP Virtual Server và click Properties. 3. Trong Default SMTP Virtual Server Properties dialog box, click Access tab. 4. Trên Access tab, click Relay button trong khung Relay restrictions . 5. Trong Relay Restrictions dialog box, xác nhận rằng đã chọ n Only the list below , sau đó click Add. 6. Trong Computer dialog box, chọn Single computer và điền vào IP address của Exchange Server trong IP address text box. Trong ví dụ này IP Address của Exchange Server là 10.0.0.2. Click OK. Trang 174 Triển khai ISA Server Firewall 2004 7. Click OK trong Relay Restrictions dialog box. 8. Click Apply và OK trong Default SMTP Virtual Server Properties dialog box. 9. Mở rộng Default SMTP Virtual Server node trong khung trái và right click trên Domains node. Chọn New và click Domain. 10. Trên Welcome to the New SMTP Domain Wizard page, chọn Remote và click Next. 11. Trên Domain Name page, điền vào domain của Internal network trong Name text box. Đây chính là domain mà bạn muốn SMTP relay trên ISA Server 2004 firewall chấp nhận các mail gửi vào-incoming mail từ các SMTP servers mail trên Internet. Trong ví dụ này, Internal network domain là msfirewall.org. Click Finish. 12. Double click vào msfirewall.org domain trong khung phải. 13. Trong msfirewall.org Properties dialog box, đánh dấu check vào Allow incoming mail to be relayed to this domain check box. Chọn Forward all mail to smart host. Điền vào IP address của Exchange Server trên Internal network bên trong text box.Trong ví dụ này c ủa chúng ta, IP address của Exchange Server trên Internal network là 10.0.0.2, vì vậy chúng ta sẽ điền vào [10.0.0.2]. Click Apply và OK. Trang 175 Triển khai ISA Server Firewall 2004 14. Right click vào Default SMTP Virtual Server node và click Stop. Right click Default SMTP Virtual Server node và click Start. Cài đặt SMTP Message Screener SMTP Message Screener một thành phần lựa chọn của ISA Server 2004. Tính năng này tích hợp với IIS 6.0 SMTP service nhằm kiểm tra và ngăn chặn SMTP mail việc ngăn chặn dựa trên những thông số mà bạn đã cấu hình trong Message Screener. Tiến hành các bước sau để cài đặt SMTP Message Screener trên ISA Server 2004 firewall: 1. Đóng Microsoft Internet Security and Acceleration Server 2004 management console. 2. Xác định phầm mềm cài đặt ISA Server 2004 và double click vào isaautorun.exe file. 3. Trong menu autorun, click Install ISA Server 2004 icon. 4. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. Trang 176 Triển khai ISA Server Firewall 2004 5. Trên Program Maintenance page, select Modify và click Next. 6. Trên Custom Setup page, click lựa chọn Message Screener và This feature, and all subfeatures, will be installed on local hard drive. Click Next. Trang 177 Triển khai ISA Server Firewall 2004 7. Click Install trên Ready to Modify the Program page. 8. Đánh dấu vào Invoke ISA Server Management when the wizard closes check box và click Finish trên Installation Wizard Completed page. 9. Đóng menu Autorun. Tạo các quy tắc SMTP Server Publishing Rules SMTP Message Screener là m việc với SMTP Server Publishing Rules. SMTP Server Publishing Rule có thể được cấu hình với các thông số xác lập thuộc SMTP Message Screener. Điều này cho phép bạn tạo ra các chính sách lọc, chặn e-mail khác nhau cho inbound & outbound SMTP relays.Sự khác nhau của các cấu hình SMTP Message Screener cho phép ngăn chặn các e-mail khác nhau vào Mạng ngược lại với những gì ngăn chặn khi gửi mail từ trong ra. Tiến hành các bước sau để t ạo Server Publishing Rule lắng nghe trên Card ngoài- external interface của ISA Server 2004 firewall: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name ở khung trái. Click vào Firewall Policy node. 2. Right click vào Firewall Policy node và chọn New. Click Server Publishing Rule. 3. Trên Welcome to the New Server Publishing Rule Wizard page, điền tên cho Rule trong Server publishing rule name text box. Trong ví dụ này chúng ta sẽ đặt tên rule là Inbound SMTP Relay, Ghi nhớ rằng rule này sẽ dùng external interface Trang 178 Triển khai ISA Server Firewall 2004 trên ISA Server 2004 để chấp nhận chuyển tiếp các email gửi vào -incoming mail. Click Next. 4. Trên Select Server page,điền vào IP address của Internal interface trên ISA Server 2004 firewall mà bạn đang muốn publish. Điền vào 10.0.0.1, primary IP address trên Internal interface, của ISA Server 2004 firewall. Click Next. 5. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol. Click Next. 6. Trên IP Addresses page, đánh dấu check vào External check box và click Address button. 7. Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network. Click IP address của external interface mà bạn muốn sử dụng trong rule. Trong ví dụ này, IP address sẽ là 192.168.1.70. Click Add. IP address giờ đã xuất hiện trong danh sách Selected IP Addresses .Click OK. [...]... khi những Server này thiết lập các kết nối đến các Server khác không an toan bên ngoài “ untrusted Trang 187 Triển khai ISA Server Firewall 2004 servers” Trong chương tới chúng ta sẽ thảo luận về việc firewall làm thế nào để publish một dãy các dịch vụ Exchange Server services Trang 188 Triển khai ISA Server Firewall 2004 Chương 14: Publish Exchange Outlook Web Access, SMTP Server và POP3 Server Sites... Rule Wizard page Bây giờ chúng ta đã sẵn sàng để cấu hình SMTP Message Screener Mỗi Publishing Rule có thể được cấu hình với một cấu hinh khác của SMTP Message Screener Tiến hành các bước sau để cấu hình Outbound SMTP Relay Server Publishing Rule: 1 Right click Outbound SMTP Relay rule , click Configure SMTP Trang 180 Triển khai ISA Server Firewall 2004 2 Click trên General tab trong Configure SMTP... • Tạo quy tắc OWA Web Publishing Rule • Tạo quy tắc SMTP Server Publishing Rule • Tạo quy tắc POP3 Server Publishing Rule • Kiểm tra lại kết nối Trang 189 Triển khai ISA Server Firewall 2004 Phục hồi hệ thống về cấu hình ban đầu Để có thể kiểm tra đầy đủ cấu hình inbound & outbound SMTP relay trong kịch bản này, chúng ta sẽ quay trở lại cấu hình ban đầu, để các Access Rules khác không làm ảnh hưởng... để triển khai ISA Server 2004 firewall là để bảo vệ Microsoft Exchange Servers ISA Server 2004 được tích hợp một số các kĩ thuật tăng cường sự an toàn cho hoạt động của hệ thống mail Microsoft Exchange khi chúng được publish ra Internet Cấp độ bảo mật tăng cường cho Microsoft Exchange Server khi đảm bảo an toàn cho các giao dịch qua mail Và qua đó Microsoft cũng muốn xác định vị thế số 1 của ISA Server. .. không cần đưa hệ thống quay trở lại cấu hình ban đầu, giữ nguyên các Access Rulesvà add thêm vào các Server Publishing Rules được yêu cầu để tạo ra inbound & outbound SMTP relays Tiến hành các bước sau để phục hồi nguyên trạng cấu hình lúc đầucủa ISA Server 2004 firewall: 8 Mở Microsoft Internet Security and Acceleration Server 2004 management console và right click trên server name Click Restore command... Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync và click Next Trang 190 Triển khai ISA Server Firewall 2004 5 Trên Select Services page, đánh dấu check vào trong Outlook Web Access check box Xác nhận rằng đã có dấu check trong Enable high bit characters used by non- English character sets Click Next Trang 191 Triển khai ISA Server Firewall 2004 ... Action Click OK Trang 182 Triển khai ISA Server Firewall 2004 4 Click Apply và sau đó click OK trong Configure SMTP Protocol Policy dialog box 5 Click Apply để lưu những thay đổi và cập nhật cho firewall policy 6 Click OK trong Apply New Configuration dialog box Tạo Outbound SMTP Access Rule Tiến hành các bước sau để tạo một outbound SMTP Access Rule cho phép ISA Server 2004 firewall đóng vai trò chuyển... dụng trên Exchange Server nhằm tối ưu hóa bảo mật các kết nối OWA từ xa Chương đầu tiên của sách đã liệt kê ra các trình tự này Cũng như vậy, Exchange POP3 service bị disabled theo mặc định và phải enable lại thủ công Chúng ta cần tiến hành các thủ tục sau để cấu hình ISA Server 2004 firewall cho phép các kết nối từ xa truy cập đến Exchange Server service: • Phục hồi hệ thống về cấu hình ban đầu • Tạo... cho firewall policy 8 Click OK trong Apply New Configuration dialog box Kiểm tra lại khả năng của SMTP Filtering Bây giờ SMTP Server Publishing Rule và SMTP Message Screener đã cấu hình và , chúng ta sẵn sàng kiểm tra tính hiệu quả của Message Screener Tiến hành các bước sau trên external client để kiểm tra chức năng chuyển mail từ ngoài vào- inbound SMTP relay: Trang 186 Triển khai ISA Server Firewall. .. certificate trên ISA Server 2004 firewall Thêm nữa, chúng ta cũng cho rằng, external client kết nối đến OWA Web site thông qua ISA Server 2004 firewall có CA certificate của CA (đã cấp phat1 cho OWA site’s Web site certificate), được nhập vào danh sách các nhà cung cấp Certificates đáng tin cậy- Trusted Root Certification Authorities certificate Lưu ý: Việc cấp phát và tiến hành triển khai Certificate . Application: SMTP relay server trên ISA Server 2004 firewall Trang 170 Triển khai ISA Server Firewall 2004 Chương 13: Cấu hình ISA Server 2004 trở thành một bộ lọc chuyển tiếp email-Filtering. autorun, click Install ISA Server 2004 icon. 4. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. Trang 176 Triển khai ISA Server Firewall 2004 5. Trên Program. relay servers thuộc Internal network khi những Server này thiết lập các kết nối đến các Server khác không an toan bên ngoài “ untrusted Trang 188 Triển khai ISA Server Firewall 2004 servers”.