HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 Chức năng chính của sản phẩm: - Bảo vệ mạng chống các cuộc tấn công từ Internet - Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát. Hướng dẫn cài đặt trên Windows 2000/2003 server: - Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển khai các dịch vụ mạng không được khuyến cáo khác. Điều này sẽ giúp setup 1 hệ thống có độ an toàn cao. Các dịch vụ không nên cài đặt chung với ISA server 2000: Domain controller, Web Server , FTP Server , Certificate Server , NNTP Server , Exchange Server , Sharepoint Server Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai th êm nhiều services khác, gây khó khăn cho việc config firewall, d ễ show ra những lỗ hổng bảo mật từ những dịch vụ này ho ặc thu hút attackers khi hệ thống trưng ra quá nhiều services Chuẩn bị Server: - Có thể cài ISA server 2000 trên Computer ch ạy Windows server 2000/ 20003 ( các OS này trước hết phải patch đ ầy đủ các lỗ hỗng thông qua service pack, hot fixes ) - C ần 2 NIC Cards (LAN card), 1 cho Internal Network, 1 ra Internet. Hoặc có thể dùng 1 NIC, 1 modem (ADSL, Dial-up, ISDN, broadband routers ) - Tất cả các máy trong LAN dùng TCP/IP protocol. - ISA server 2000 này có thể là domain member (nếu Internal Network đ ã xây dựng Internal Domain), hoặc là một Stand-alone server không thuộc bất k ì Internal Domain nào. (trong hướng dẫn này tôi dùng Stand-along Server) MÔ HÌNH TRI ỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET 5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn: Step 1: Cấu hình các Network Card Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000 Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000 Step 4: Cài đặt và cấu hình ISA SERVER 2000 software Step 5: Cấu hình vai trò các Internal Computers là DHCP Clients Tất cả các config ISA Server 2000 đều tiến hành trên Windows 2000 Advanced Server. Nếu tiến hành config trên OS Windows 2003 Server, có s ự khác biệt không đáng kể. Step 1: Cấu hình các Network Card Internal Network Card: - Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ. Trong hướng dẫn này tôi dùng IP address: 192.168.1.200 /255.255.255.0 - Không config Defaul Gateway (khuyến cáo không n ên config Defaul Gateway trên ISA SERVER 2000) - Dùng DNS Server: 192.168.1.200 (DNS server cũng chính l à ISA SERVER 2000 ) External Network Card: - Với External Network Card thường có 2 trường hợp: + Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs) + Loại dùng Dynamic IP (Dial-up, ADSL ) - Có những hình thức connect sau đối với External modem, ngư ời sử dung cần lưu ý: + DSL line kết nối vào DSL Modem ISA server 2000 (chú ý: Có những loai DSL gắn trong giống như 1 NIC Card- Ethernet Card) + Internet Cable Cable Modem Ethernet Card of ISA + T1 connection Router Etherner Card of ISA + Broadband DSL Broadband Router Etherner Card of ISA K ẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER - IP address dùng cho External Card nếu dùng Dynamic (Dial- up, ADSL ) thì hoàn toàn do ISPs cung cấp, người dùng không c ần can thiệp các thông số. Tuy nhiên trong trường hợp này tôi sẽ dùng thông số Preferred DNS server l à 192.168.1.200 (DNS server nội bộ), khác với Hình CÁC THÔNG SỐ AUTOMATIC TCP/IP XÁC LẬP TR ÊN EXTERNAL CARD TỪ ISPs Nếu dùng IP address cố định, như thuê bao lease-line, etc , có thể cấuh ình Static IP được cấp theo ví dụ sau: CẤU H ÌNH STATIC IP CHO EXTERNAL CARD TRÊN ISA SERVER 2000 Lưu ý: Đây là các IP address đư ợc ISP cung cấp cố định, cho tổ chức của bạn, hoàn toàn khác v ới các Private IP address (10.x.x.x, 172.16.x.x, 192.168.x.x), và không được đưa vào bảng cấu hình những IP address mà chúng ta t ự nghĩ ra ! Tất cả các thông số kèm theo được cung cấp cố định t ừ ISP bao gồm: IP address, Subnet Mask, Default Gateway, Preferred DNS server. Tuy nhiên trong hướng dẫn này tôi lại sử dụng Preferred DNS server lại l à 192.168.1.200 (IP address của DNS server nội bộ), khác với trên Hình là thông s ố DNS chuẩn từ ISP. Nếu phía trước ISA Server firewall là một Broadband Router th ì các thông số này được khuyến cáo tuân theo Broadband Router Manufacturer. Sau khi cấu hình các thông số cho cả Internal và External Card, người d ùng cần lưu ý tiếp đến trình tự (order) bố trí của các Cards này cho đúng. Điều n ày có ảnh hư ởng đến việc giải quyết Domain Name thông qua dich vụ DNS. Muốn tăng tốc độ giải quyết Domain Name (cũng là truy caộ các website, t ìm các Server host các dịch vụ khác nhau trên Internet hoặc Mạng nội bộ), th ì nên sắp Internal Network Card đứng tr ên cùng trong danh sách Network Interface List. Chọn My Network Places, Properties, Network and Dial- up Connections, Advanced, Advanced Settings, Adapters and Bindings đ ảm bảo LAN Card nằm trên cùng danh sách như Hình sau: Trong hướng dẫn này giả sử tôi dùng External Network Card là một Dial- up modem loại modem thông thừờng với maximum bandwidth đến ISA l à 56 Kbps (thực sự đây cũng chỉ là tốc độ kết nối mơ ước thư ờng chỉ tối đa xấp xỉ 40 Kbps). ISA server 2000 gọi một kết nối đến ISP thông qua Dial-up entry là m ột Connectiod . Ch ọn My Network Places, Chọn Properties, Chọn Make New Connection, Welcome to the Network Connection Wizard , Chọn Dial- up to the Internet, Network Connection Type , Next, Ch ọn I want to connect through a local area network (LAN), Next, Ch ọn I connect through a phone line and a modem, Setting up you Internet connection, Internet account conne ction information, Area code and Telephone number (số kết nối đến ISP, trong ví dụ n ày tôi dùng 1268 - s ố kết nối của FPT), Internet account logon information, Username: 1280, password: 1280. Đặt tên cho kết nối Connection name l à FPT Internet Connection và Finish. Có thể xác lập thêm các thông số để hỗ trợ Dial- up như: Redial if line is dropped, Redial attempts, Time between redial attempts, Idle time before hanging up value. Lưu ý: Kết nối qua Dial-up Modem có đ ộ ổn định không cao, cần phải có giải pháp ổn định kết nối, chống drop line, đặc biệt giờ cao điểm. Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000 Bước tiếp theo sẽ cài đặt DNS server tr ên ISA server Firewall. Dùng DNS server là bắt buộc khi người dùng cần truy cập các Internet Serve rs thông qua tên, nhiệm vụ DNS server sẽ giải quyết Hostname sang IP address. Cài đ ặt DNS server ở chế độ Caching-only DNS server trên chính ISA server Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập d ùng DNS server này. Theo những bước sau để tiến hành cài đặt DNS server tr ên Windows 2000 Advanced Server: Click Start chọn Settings click Control Panel. Control Panel window, double click Add/Remove Programs click Add/Remove Windows Components . Windows Components Wizard dialog box, ch ọn Networking Services Không đánh dấu v ào checkbox! , click Details, Networking Services dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click OK. Ti ếp tục Next để hoàn thành tiến trình cài đặt. CÀI ĐẶT DNS SERVER SERVICE TR ÊN CHÍNH ISA SERVER FIREWALL. Cấu hình DNS Service: DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận v à trả lời các yêu cầu truy vấn tên c ủa các Server Internet từ phía các Client Computer trong mạng nội bộ. Do được cài đặt ở chế độ Caching- only DNS server cũng là chế độ default sau cài đặt của DNS server 2000 cho n ên nó không chứa các Hostname của các Internal servers hoặc Internet serv ers. Caching-only DNS server cũng chỉ giải quyết các tên Internet hoặc dang l ưu giữ trong cache, thông thường không dùng Caching-only DNS server đ ể giải quyết tên của các Internal servers. Trong thực tế nếu Mạng của bạn đã có DNS servers hỗ trợ Internal D omain, thì có thể cấu hình Caching-only DNS server, chuyển các yêu c ầu truy cập các Internal Server tới các DNS servers này. trong hướng dẫn cấu h ình này, không liên quan đến việc Mạng đã có DNS servers hỗ trợ Domain hay chưa. Click Start, Programs, Admin istrative Tools. Click DNS trên Administrative Tools menu. Right click DNS server, View, click Advanced. Right click trên Server ch ọn Properties, trong dialog box, click Interfaces tab. Ch ọn Only the following IP addresses . Click trên bất kì IP address nào trong danh sách không là IP address trên internal interface. Chọn các non- internal interface IP address này và click Remove . Click Apply. Click Forwarders tab. Đánh dấu v ào Enable forwarders checkbox. Điền IP address của DNS server ISP mà b ạn connect trong IP address text box và click Add. Đánh dấu v ào Do not use recursion checkbox. Click Apply và click OK. N ếu các kết nối được thực hiện qua các ISP VietNam có thể điền v ào IP Address List này thông số DNS IP Address như sau: FPT: VDC: DNS1: 210.245.31.10 DNS1: 203.162.4.190 DNS2: 210.245.31.110 DNS2: 203.162.4.191 Right cl ick trên DNS server name bên khung trái và ch ọn All Tasks sau đó click Restart.khởi động lại DNS server service. Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000 - DHCP Server service được cài đặt trên ISA SERVER 2000 s ẽ cung cấp các xác lập TCP/IP cho Internal Computers. Cảnh báo: Disable tất cả các DHCP Server khác trên M ạng (nếu có thể), chỉ cho phép DHCP Server service được cài đặt trên ISA SERVER 2000 này ho ạt động, nhằm cung cấp chính xác tất cả các thông số mong muốn. Cài đặt DHCP service trên Windows 2000 Advanced Server: Click Start ch ọn Settings, click Control Panel. Trong Control Panel window, double click Add/Remove Programs . Trong Add/Remove Programs window, click Add/Remove Windows Components . Trong Windows Components Wizard dialog box, ch ọn Networking Services trong danh sách Components. Không đánh dấu vào checkbox! Ch ọn Networking Services, click Details. Trong Networking Services dialog box, đánh dấu v ào Dynamic Host Configuration Protocol (DHCP) checkbox và click OK. Click Next trong Windows Components,Click Finish. Chức năng chính của một DHCP Server ngoài cung cấp IP address, c òn cung cấp thêm các thông số (gọi là TCP/IP settings), bao g ồm: Subnet mask, Default Gateway & DNS Server Addresses. Trong hướng dẫn n ày Default Gateway & DNS Server Addresses chính là Internal IP Address (192.168.1.200) trên ISA server Firewall. DHCP server quản lý và phân phối IP addres s cho các Internal Clients thông qua các DHCP scope. Cấu hình scope chính xác là điều bắt buộc. Khi tạo một vùng IP address trong Scope, có th ể sẽ bao gồm luôn cả những IP đã được phân chia trước đó cho các Node trên Mạng (ví dụ Internal server nh ư Web, Mail, Database server đã dùng các IP này), như vậy để tránh hiện tư ợng DHCP server sẽ lại lấy những IP này cung c ấp tiếp cho Clients (gây Conflicts), thì Admin phải dùng chức năng Exclusions để tạo vùng lo ại trừ tránh xung đột về sau. Click Start chọn Programs, Administrative Tools. Click DHCP. M ở DHCP console. Right click trên server name, click New Scope. Click Next trên Welcome to the New Scope Wizard . Điền vào tên sau trong Name text box SecureNAT Client Scope. Click Next. [...]... fixes cho Windows 2000/ 2003 thì giờ là thời điểm để finish vân đề này trước khi cài đặt ISA server 2000 Các bước cài đặt: Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click Install ISA Server icon trên Microsoft ISA Server Setup page Click Continue trên Welcome to the Microsoft ISA Server installation program page Điền CD key trên CD Key page và click OK Click... tin tại WINS Servers Click Next Chọn Yes, I want to activate this scope now trên Activate Scope và sau đó click Yes Click Finish Step 4: Cài đặt và cấu hình ISA SERVER 2000 software - Windows Server 2000/ 2003 đã xác lập các thông số và cài đặt các dịch vụ cần thiết (DNS & DHCP), giờ là lúc bắt tay vào setup ISA SERVER Firewall 2000 - Nếu chưa triển khai Service Pack, hot fixes cho Windows 2000/ 2003... chính Firewall này: Download ISA Service Pack 1: http://www.microsoft.com/isaserver/downloads/sp1.mspx Download ISA Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=C8D3D98B1CD4-406A-A04A-2AA2547D09A3&displaylang=en - Download ISA Server 2000 Feature Pack 1 (chứa những hot fixes và những tính năng tăng cường cho ISA 2000) : http://www.microsoft.com/isaserver/featurepack1/default.mspx... tiên cho ISA server 2000, nếu chúng ta có kết nốI nhận Dynamic IP address qua DSL, Cable Click Start và chọn Programs Chọn Microsoft ISA Server và click ISA Management 2 Trong ISA Management console, mở Servers and Arrays node và mở server name Mở Access Policy node và click IP Packet Filters 3 Trong khung phảI của ISA Management console, chúng ta thấy DHCP Client packet filter Packet filter bị disabled... address ranges based on the Windows 2000 Routing Table checkbox Đánh dấu tiếp vào internal interface network card Click OK Xem hình Click OK trong Setup Message dialog box, Click OK trên LAT configuration page Không đánh dấu Start ISA Server Getting Started Wizard checkbox và click OK Click OK hoàn tành tiến trình cài đặt Tiếp theo cần cài đặt các Service Pack cho ISA server 2000, để cũng cố Security cho... mình Default gateway address này có thể là một Router nằm sau ISA Server 2000 firewall, nếu như SecureNAT Clients không cùng Network ID vớI Internal Interface của ISA server ( phảI config cho router này routing được đến Internal card trên ISA server) , hoặc là IP address của Internal Card trên ISA server Ở phần trước chúng ta đã cấu hình DHCP server cung cấp các thông số này Chú ý: Nếu Mô hình Mạng nhỏ... tiến hành quét Virus, bung nén và cài đặt Service packs, Feature Pack Như vậy về cơ bản đến thời điểm này chúng ta đã có một ISA server 2000 rất mạnh và an toàn Những vấn đề còn lại phụ thuộc hoàn toàn vào cách các Security Admin cấu hình ISA Server 2000 như thế nào để đảm bảo có được một hệ thống Firewall an toàn ở mức cao nhất có thể Khuyến cáo: IIS services nên được disabled trên Firewall này vì những... dấu PPTP through ISA firewall checkbox Cấu hình một Dial-up Entry (chỉ có các kết nốI Dial-up) ISA Server 2000 firewall computer dùng kết nốI a dial-up để connect tới Internet, yêu cầu xác lập một Dial-up Entry trong ISA Management console Dial-up entry phụ thuộc vào Dial-up Networking connectoid mà chúng ta đã cấu hình lúc đầu Mở ISA Management console, mở Servers and Arrays node, mở server name Mở... Internal Card trên ISA Server 2000 firewall), click Add Nếu có các Server khác cũng đã được phân chia các static IP address trong vùng phân phối hãy theo các bước trên để loại trừ Chấp nhận các giá trị Lease Duration và click Next Trên Configuring DHCP Options chọn Yes, I want to configure these options now và click Next Trên Router điền vào IP address của internal interface trên ISA Server 2000 firewall... Passthrough và Block IP Options Enable IP Routing trên ISA Server 2000 firewall computer gia tăng đáng kể performance cho các internal network computers và cũng cho phép các Internal Clients này PING, và kết nốI đến các Internet VPN servers thông qua PPTP (Point to Point Tunneling Protocol) VPN Open ISA Management console, mở Servers and Arrays node và sau đó mở server name Mở Access Policy node và right click . Card Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000 Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000 Step 4: Cài đặt và cấu hình ISA SERVER 2000 software Step 5: Cấu hình vai. Stand-along Server) MÔ HÌNH TRI ỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET 5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn: Step 1: Cấu hình các Network Card Step 2: Cài đặt. truy cập các dịch vụ ngoài Internet, có kiểm soát. Hướng dẫn cài đặt trên Windows 2000/ 2003 server: - Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển