Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 485/555 Hình 5.9: Chọn Network Adapter. Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table. Chọn OK trong hộp thoại Internal network address ranges. Hình 5.10: Internal Network Address Ranges. Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt. Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next. Hình 5.11: Tùy chọn tương thích với ISA Client. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 486/555 Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. Chọn Finish để hoàn tất quá trình cài đặt. V. Cấu hình ISA Server. V.1. Một số thông tin cấu hình mặc định. - Tóm tắt một số thông tin cấu hình mặc định: - System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các traffic còn lại đều bị cấm. - Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network. - Cho phép NAT giữa Internal Network và External Network. - Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall. Đặc điểm Cấu hình mặc định (Post-installation Settings) User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của Administrators group trên máy tính nội bộ có thể cấu hình firewall policy). Network settings Các Network Rules được tạo sau khi cài đặt: Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và tất cả các mạng khác. Internet Access: Định nghĩa Network Address Translation (NAT). VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients Network và Internal Network. Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các traffic giữa các mạng. System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system policy rule chỉ cho phép truy xuất một số service cần thiết. Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác. Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web caching. Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện. Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 487/555 thông số proxy dụng Web browser. V.2. Một số chính sách mặc định của hệ thống 5. Cho phép RADIUS authentication từ ISA đến một số trusted RADIUS servers 4. Cho phép login tới một số server sử dụng giao thức NetBIOS 3. Cho phép quản lý ISA Firewall thông qua Terminal Services Protocol 2. Cho phép quản lý ISA Firewall từ xa thông qua công cụ MMC 1. Chỉ sử dụng khi ISA Firewall là thành viên của Domain Order/Comments All ow RADIUS authentication from ISA Server to trusted RADIUS servers Allow remote logging to trusted servers using NETBIOS A llow remote management from selected computers using Terminal Server Name A llow remote management from selected computers using MMC Allow access to Directory services purposes Name Allow Allow Allow Allow Allow Action RADIUS RADIUS Accounting NetBIOS Datagram NetBIOS Name Service NetBIOS Session RDP (Terminal Services) Protocols NetBIOS datagram NetBIOS Name Service NetBIOS LDAP ;LDAP (UDP) LDAP GC (global catalog) LDAPS ;LDAPS GC (Global Catalog) Protocol Local Host Local Host Remote Management Computers From/Listener Remote Management Computers Local Host from/Listener Internal Internal Local Host Local Host Internal To All Users All Users All Users Continued Condition All Users All Users Condition . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 488/555 10. Cho phép một số máy được quyền gởi ICMP request đến IS A Server 9. Chấp nhận DHCP replies từ DHCP Server tới ISA Server 8. Cho phép DHCP Request từ ISA gởi đến tất cả các mạng 7. Cho phép sử dụng DNS từ ISA tới một số DNS Server 6. Cho phép chứng thực kerberos từ ISA Server tới trusted server Order/Comments Allow ICMP (PING) requests from selected computers to ISA Server Allow DHCP replies from DHCP servers to ISA Server Allow DHCP requests from ISA Server to all networks Name Allow DNS from ISA Server to selected servers Allow Kerberos authentication from ISA Server to trusted servers Name Allow Allow Allow Allow Allow Action Ping DHCP (reply) DHCP(reques t) Protocols DNS Kerberos-Sec (TCP) Kerberos-Sec (UDP) Protocol Remote Management Computers Internal Local Host From/Listener Local Host Local Host from/Listener Local Host Local Host Anywher e To All Networks (and Local Host ) Internal To All Users All Users All Users Continued Condition All Users All Users Condition 15. Cho phép sử dụng CIFS để truy xuất share file từ ISA đến các server khác 14. Cho phép ISA thiết lập kết nối VPN (site to site) đến VPN Server khác 13. Cho phép DHCP Request từ ISA gởi đến tất cả các mạng 12. Cho phép tất cả các VPN Client bên ngoài kết nối vào ISA Server 11. Cho phép ISA Server gởi ICMP request tới một số server Order/Comments . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 489/555 CIFS (Common Internet File System) from IS A Server to trusted servers Allow VPN site-to- site traffic from ISA Server Allow VPN site- to-site traffic to ISA Server Name All VPN client traffic to ISA Server Allow ICMP requests from ISA Server to selected servers Name Allow Allow Allow Allow Allow Action Microsoft CIFS (TCP) Microsoft CIFS (UDP) NONE NONE PPTP ICMP Information Request ICMP Timestamp Protocol Local Host Local Host External IPSec Remote Gateways From/Listener External Local Host from/Listener Internal External IPSec Remote Gateways Local Host To Local Host All Networks (and Local Host Network) To All Users All Users All Users Continued Condition All Users All Users Condition 20. Cho phép quan sát thông suất của ISA Server từ xa 19. Cho phép một số máy được truy xuất Firewall Client installation share trên ISA Server 18. Cho phép HTTP/HTTPS từ ISA đến một số server khác 17. Cho phép truy xuất HTTP/HTTPS từ ISA đến một số site chỉ định 16. Cho phép login từ xa bằng SQL qua ISA server Order/Comments All ow remo t e performance monitoring of ISA Server from trusted servers A llow access from trusted computers to the Firewall Client installation share on ISA Server Allow HTTP/HTTPS requests from ISA Server to selected servers fo r connectivity verifiers A llow HTTP/HTTPS requests from ISA Server to specified sites Name Allow remote SQL logging from ISA servers Name Allow Allow Allow Allow Allow Action . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 490/555 NetBIOS Datagram NetBIOS Name Service NetBIOS Session Microsoft CIFS (TCP) Microsoft CIFS (UDP) NetBIOS Datagram NetBIOS Name Service NetBIOS Session HTTP HTTPS HTTP HTTPS Protocols Microsoft SQL (TCP) Microsoft SQL (UDP) Protocol Remote Managemen t Computers Internal Local Host HTTP HTTPS Protocols Local Host from/Listen er Local Host Local Host All Networks (and Local Host Network) System Policy Allowed Sites To Internal To All Users All Users All Users All Users Continued Condition All Users Condition 25. Cho phép giám sát từ xa thông qua giao thức Microsoft Operations 24. Cho phép chứng thực SecurID từ ISA đến một số server 23. Cho phép truy xuất HTTP/HTTPS từ ISA Server tới một số Microsoft error reportin gsite 21. Cho phép sử dụng RPC từ IS A truy xuất đến một số server khác 21. Cho phép sử dụng NetBIOS từ ISA Server đến một số Server chỉ định sẵn Order/Comments A llow remote monitoring from IS A Server to authentication from ISA Server to trusted servers Allow HTTP/HTTPS from IS A Server to specified A llow RPC from IS A Server to trusted servers A llow NetBIOS from IS A Server to trusted servers Name Name Allow Allow Allow Allow Action Microsoft Operations Manager Agent SecurID HTTP HTTPS RPC (all interfaces) NetBIOS Datagram NetBIOS Name Service NetBIOS Sessions Protocols Protocol Local Host Local Host Local Host Local Host Local Host From/Listen er from/Listen er . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 491/555 Internal Internal Microsoft Error Reporting sites Internal Internal To To All Users All Users All Users All Users All Users Continued Condition Condition 30. Cho phép một số máy khác sử dụng MMC điều khiển ISA 29. Cho phép một số máy sử dụng Content Download Jobs. 28. Cho phép traffic SMTP từ ISA Server tới một số Server 27. Cho phép sử dụng NTP (giao thức đồng bộ thời gian trên Windows NT 2k, XP) từ ISA tới một 26. Cho phép HTTP traffic từ ISA Server tới một số network hỗ trợ dịch vụ chứng thực download CRL (Certificate Revocation Order/Comments Allow Microsoft communication to selected computers ISA Server to selected computers for Content Download Jobs Allow SMTP from Allow ISA Server to trusted servers Allow NTP from ISA Server to trusted NTP servers Traffic from ISA Server to all networks (for CRL downloads) Name Name Allow Allow Allow Allow + Action Action All Outbound traffic HTTP SMTP NTP (UDP) HTTP Protocols Protocol Local Host Local Host Local Host Local Host Local Host From/Listen er from/Listen er Remote Management Computers All Networks (and Local Host) Internal Internal All Networks (and Local Host) To To All Users System and Network Service All Users All Users All Users Continued Condition Condition . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 492/555 Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy. Hình 5.12: System policy Rules. Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item. Hình 5.13: System Policy Editor. V.3. Cấu hình Web proxy cho ISA. Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 493/555 Hình 5.14: System Policy Editor. - Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả dưới tên là “system policy allow sites” bao gồm: - *.windows.com - *.windowsupdate.com - *.microsoft.com Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên ngoài thì ta phả i hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System Policy Rule có tên + Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ truy xuất theo cú pháp *.domain_name. - Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable lu ật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt sự thay đổi vào hệ thống. . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 494/555 Hình 5.15: Mô tả System Policy Sites. Chú ý: - Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server. + Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream server. Hình 5.16: Chỉ định Upstream server. + Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply. - Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client Share trên từng Client để Client đóng vai trò lài ISA Firewall Client. . . services. Chọn Finish để hoàn tất quá trình cài đặt. V. Cấu hình ISA Server. V.1. Một số thông tin cấu hình mặc định. - Tóm tắt một số thông tin cấu hình mặc định: - System Policies cung. chuột vào system policy item. Hình 5.13: System Policy Editor. V.3. Cấu hình Web proxy cho ISA. Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch. mật cho ISA firewall. Đặc điểm Cấu hình mặc định (Post-installation Settings) User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của Administrators group