Cai dat isa SERVER ENTERPRISE 2000

Cai dat isa SERVER ENTERPRISE 2000

HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000

Chức năng chính của sản phẩm:

- Bảo vệ mạng chống các cuộc tấn công từ Internet

- Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểmsoát

Hướng dẫn cài đặt trên Windows 2000/2003 server:

- Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển khai cácdịch vụ mạng không được khuyến cáo khác Điều này sẽ giúp setup 1 hệ thống có độ an toàn cao.Các dịch vụ không nên cài đặt chung với ISA server 2000:

Domain controller, Web Server, FTP Server, Certificate Server, NNTP Server, Exchange Server, Sharepoint Server

Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai thêm nhiều serviceskhác, gây khó khăn cho việc config firewall, dễ show ra những lỗ hổng bảo mật từ những dịch vụnày hoặc thu hút attackers khi hệ thống trưng ra quá nhiều services

- Tất cả các máy trong LAN dùng TCP/IP protocol

- ISA server 2000 này có thể là domain member (nếu Internal Network đã xây dựng InternalDomain), hoặc là một Stand-alone server không thuộc bất kì Internal Domain nào (trong hướngdẫn này tôi dùng Stand-along Server)

MÔ HÌNH TRIỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET

5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn:

Step 1: Cấu hình các Network Card

Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000

Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000

Step 4: Cài đặt và cấu hình ISA SERVER 2000 software

Step 5: Cấu hình vai trò các Internal Computers là DHCP Clients

Tất cả các config ISA Server 2000 đều tiến hành trên Windows 2000 Advanced Server Nếu

tiến hành config trên OS Windows 2003 Server, có sự khác biệt không đáng kể

Step 1: Cấu hình các Network Card

Internal Network Card:

- Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ Trong hướng dẫn

này tôi dùng IP address: 192.168.1.200 /255.255.255.0

- Không config Defaul Gateway (khuyến cáo không nên config Defaul Gateway trên ISA

SERVER 2000)

- Dùng DNS Server: 192.168.1.200 (DNS server cũng chính là ISA SERVER 2000 )

External Network Card:

- Với External Network Card thường có 2 trường hợp:

+ Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs)

+ Loại dùng Dynamic IP (Dial-up, ADSL )

- Có những hình thức connect sau đối với External modem, người sử dung cần lưu ý:

+ DSL line kết nối vào - DSL Modem -ISA server 2000 (chú ý: Có những loai DSLgắn trong giống như 1 NIC Card-Ethernet Card)

+ Internet Cable -Cable Modem -Ethernet Card of ISA

+ T1 connection -Router -Etherner Card of ISA

+ Broadband DSL -Broadband Router -Etherner Card of ISA

KẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER

- IP address dùng cho External Card nếu dùng Dynamic (Dial-up, ADSL ) thì hoàn toàn doISPs cung cấp, người dùng không cần can thiệp các thông số Tuy nhiên trong trường hợp này tôi

sẽ dùng thông số Preferred DNS server là 192.168.1.200 (DNS server nội bộ), khác với Hình

CÁC THÔNG SỐ AUTOMATIC TCP/IP XÁC LẬP TRÊN EXTERNAL CARD TỪ ISPs

Nếu dùng IP address cố định, như thuê bao lease-line, etc , có thể cấuhình Static IP đượccấp theo ví dụ sau:

CẤU HÌNH STATIC IP CHO EXTERNAL CARD TRÊN ISA SERVER 2000

Lưu ý: Đây là các IP address được ISP cung cấp cố định, cho tổ chức của bạn, hoàn toàn

khác với các Private IP address (10.x.x.x, 172.16.x.x, 192.168.x.x), và không được đưa vào bảngcấu hình những IP address mà chúng ta tự nghĩ ra!

Tất cả các thông số kèm theo được cung cấp cố định từ ISP bao gồm: IP address, SubnetMask, Default Gateway, Preferred DNS server Tuy nhiên trong hướng dẫn này tôi lại sử dụngPreferred DNS server lại là 192.168.1.200 (IP address của DNS server nội bộ), khác với trên Hình

là thông số DNS chuẩn từ ISP Nếu phía trước ISA Server firewall là một Broadband Router thìcác thông số này được khuyến cáo tuân theo Broadband Router Manufacturer

Sau khi cấu hình các thông số cho cả Internal và External Card, người dùng cần lưu ý tiếpđến trình tự (order) bố trí của các Cards này cho đúng Điều này có ảnh hưởng đến việc giải quyếtDomain Name thông qua dich vụ DNS Muốn tăng tốc độ giải quyết Domain Name (cũng là truycaộ các website, tìm các Server host các dịch vụ khác nhau trên Internet hoặc Mạng nội bộ), thì

nên sắp Internal Network Card đứng trên cùng trong danh sách Network Interface List

Chọn My Network Places, Properties, Network and Dial-up Connections, Advanced, Advanced Settings, Adapters and Bindings đảm bảo LAN Card nằm trên cùng danh sách như

Hình sau:

Trong hướng dẫn này giả sử tôi dùng External Network Card là một Dial-up modem loạimodem thông thừờng với maximum bandwidth đến ISA là 56 Kbps (thực sự đây cũng chỉ là tốc

độ kết nối mơ ước thường chỉ tối đa xấp xỉ 40 Kbps)

ISA server 2000 gọi một kết nối đến ISP thông qua Dial-up entry là một Connectiod

Chọn My Network Places, Chọn Properties, Chọn Make New Connection, Welcome to the Network Connection Wizard, Chọn Dial-up to the Internet, Network Connection Type, Next, Chọn I want to connect through a local area network (LAN), Next, Chọn I connect through a phone line and a modem, Setting up you Internet connection, Internet account connection information, Area code and Telephone number (số kết nối đến ISP, trong ví dụ này

tôi dùng 1268 - số kết nối của FPT), Internet account logon information, Username: 1280, password: 1280 Đặt tên cho kết nối Connection name là FPT Internet Connection và Finish.

Có thể xác lập thêm các thông số để hỗ trợ Dial-up như: Redial if line is dropped, Redial attempts, Time between redial attempts, Idle time before hanging up value

Lưu ý: Kết nối qua Dial-up Modem có độ ổn định không cao, cần phải có giải pháp ổn định

kết nối, chống drop line, đặc biệt giờ cao điểm

Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000

Bước tiếp theo sẽ cài đặt DNS server trên ISA server Firewall Dùng DNS server là bắt buộckhi người dùng cần truy cập các Internet Servers thông qua tên, nhiệm vụ DNS server sẽ giải quyếtHostname sang IP address Cài đặt DNS server ở chế độ Caching-only DNS server trên chính ISAserver Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập dùng DNS servernày

Theo những bước sau để tiến hành cài đặt DNS server trên Windows 2000 Advanced Server:

Click Start chọn Settings click Control Panel Control Panel window, double click Add/Remove Programs click Add/Remove Windows Components Windows Components

Wizard dialog box, chọn Networking Services Không đánh dấu vào checkbox!, click Details, Networking Services dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click

OK Tiếp tục Next để hoàn thành tiến trình cài đặt.

CÀI ĐẶT DNS SERVER SERVICE TRÊN CHÍNH ISA SERVER FIREWALL

Cấu hình DNS Service:

DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận và trả lời cácyêu cầu truy vấn tên của các Server Internet từ phía các Client Computer trong mạng nội bộ Dođược cài đặt ở chế độ Caching-only DNS server cũng là chế độ default sau cài đặt của DNS server

2000 cho nên nó không chứa các Hostname của các Internal servers hoặc Internet servers.Caching-only DNS server cũng chỉ giải quyết các tên Internet hoặc dang lưu giữ trong cache,thông thường không dùng Caching-only DNS server để giải quyết tên của các Internal servers Trong thực tế nếu Mạng của bạn đã có DNS servers hỗ trợ Internal Domain, thì có thể cấuhình Caching-only DNS server, chuyển các yêu cầu truy cập các Internal Server tới các DNSservers này trong hướng dẫn cấu hình này, không liên quan đến việc Mạng đã có DNS servers hỗtrợ Domain hay chưa

Click Start, Programs, Administrative Tools Click DNS trên Administrative Tools menu Right click DNS server, View, click Advanced Right click trên Server chọn Properties, trong dialog box, click Interfaces tab Chọn Only the following IP addresses Click trên bất kì IP

address nào trong danh sách không là IP address trên internal interface Chọn các non-internal

interface IP address này và click Remove Click Apply Click Forwarders tab Đánh dấu vào

Enable forwarders checkbox Điền IP address của DNS server ISP mà bạn connect trong IP

address text box và click Add Đánh dấu vào Do not use recursion checkbox Click Apply và click OK

Nếu các kết nối được thực hiện qua các ISP VietNam có thể điền vào IP Address List nàythông số DNS IP Address như sau:

Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000

- DHCP Server service được cài đặt trên ISA SERVER 2000 sẽ cung cấp các xác lập TCP/IPcho Internal Computers

Cảnh báo: Disable tất cả các DHCP Server khác trên Mạng (nếu có thể), chỉ cho phép

DHCP Server service được cài đặt trên ISA SERVER 2000 này hoạt động, nhằm cung cấp chínhxác tất cả các thông số mong muốn

Cài đặt DHCP service trên Windows 2000 Advanced Server:

Click Start chọn Settings, click Control Panel Trong Control Panel window, double click Add/Remove Programs Trong Add/Remove Programs window, click Add/Remove Windows Components Trong Windows Components Wizard dialog box, chọn Networking Services

trong danh sách Components Không đánh dấu vào checkbox! Chọn Networking Services, click

Details Trong Networking Services dialog box, đánh dấu vào Dynamic Host Configuration Protocol (DHCP) checkbox và click OK

Click Next trong Windows Components,Click Finish.

Chức năng chính của một DHCP Server ngoài cung cấp IP address, còn cung cấp thêm cácthông số (gọi là TCP/IP settings), bao gồm: Subnet mask, Default Gateway & DNS ServerAddresses Trong hướng dẫn này Default Gateway & DNS Server Addresses chính là Internal IPAddress (192.168.1.200) trên ISA server Firewall

DHCP server quản lý và phân phối IP address cho các Internal Clients thông qua các DHCP scope Cấu hình scope chính xác là điều bắt buộc

Khi tạo một vùng IP address trong Scope, có thể sẽ bao gồm luôn cả những IP đã được phânchia trước đó cho các Node trên Mạng (ví dụ Internal server như Web, Mail, Database server đãdùng các IP này), như vậy để tránh hiện tượng DHCP server sẽ lại lấy những IP này cung cấp tiếp

cho Clients (gây Conflicts), thì Admin phải dùng chức năng Exclusions để tạo vùng loại trừ tránh

xung đột về sau

Click Start chọn Programs, Administrative Tools Click DHCP Mở DHCP console Right click trên server name, click New Scope Click Next trên Welcome to the New Scope

Wizard Điền vào tên sau trong Name text box SecureNAT Client Scope Click Next

Trên IP Address Range điền vào Start IP address 192.168.1.1 và End IP address 192.168.1.254 trong text boxe Click Next

Trên Add Exclusions, điền Start IP address 192.168.1.200 (vì IP address này đã được dành

cho Internal Card trên ISA Server 2000 firewall), click Add Nếu có các Server khác cũng đã đượcphân chia các static IP address trong vùng phân phối hãy theo các bước trên để loại trừ

Chấp nhận các giá trị Lease Duration và click Next

Trên Configuring DHCP Options chọn Yes, I want to configure these options now và

click Next

Trên Router điền vào IP address của internal interface trên ISA Server 2000 firewall và

click Add Click Next

Trên Domain Name and DNS Servers điền IP address của internal interface trên ISA

Server 2000 firewall trong IP address text box và click Add Nếu đã xây dựng một Active

Directory domain trên internal network, hãy đưa tên internal network domain vào trong Parent domain text box Tuyệt đối không nên đưa domain name vào Parent domain text box trừ khi đã

tồn tại Active Directory domain trên internal network Click Next

Không xác lập thông tin tại WINS Servers Click Next

Chọn Yes, I want to activate this scope now trên Activate Scope và sau đó click Yes

Click Finish

Step 4: Cài đặt và cấu hình ISA SERVER 2000 software

- Windows Server 2000/2003 đã xác lập các thông số và cài đặt các dịch vụ cần thiết (DNS

& DHCP), giờ là lúc bắt tay vào setup ISA SERVER Firewall 2000

- Nếu chưa triển khai Service Pack, hot fixes cho Windows 2000/2003 thì giờ là thời điểm

để finish vân đề này trước khi cài đặt ISA server 2000

Các bước cài đặt:

Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click Install ISA Server icon trên Microsoft ISA Server Setup page Click Continue trên

Welcome to the Microsoft ISA Server installation program page Điền CD key trên CD Key page

và click OK Click OK trên registration number page Click I Agree trên License Agreement page Click Full Installation button trên Installation Type page.

Click Yes trên the dialog thông báo rằng ISA Server schema has not been installed in the Active Directory Chọn Integrated Mode Click Continue

Click OK trong dialog box thông báo rằng IIS W3SVC service must be stopped Trên cache

size page, chọn một Partition được format NTFS, và điền vào 150 trong Cache size (MB) text box.

Click Set, click OK Click Construct Table button trên LAT configuration page Trong Local

Address Table dialog box, không check vào Add the following private ranges… checkbox Đánh

dấu vào Add address ranges based on the Windows 2000 Routing Table checkbox Đánh dấu tiếp vào internal interface network card Click OK Xem hình

Click OK trong Setup Message dialog box, Click OK trên LAT configuration page Không đánh dấu Start ISA Server Getting Started Wizard checkbox và click OK Click OK hoàn tành tiến

trình cài đặt

Tiếp theo cần cài đặt các Service Pack cho ISA server 2000, để cũng cố Security cho chính

Firewall này:

- Download ISA Service Pack 1: http://www.microsoft.com/isaserver/downloads/sp1.mspx

- Download ISA Service Pack 2:

A04A-2AA2547D09A3&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=C8D3D98B-1CD4-406A Download ISA Server 2000 Feature Pack 1 (chứa những hot fixes và những tính năng tăngcường cho ISA 2000): http://www.microsoft.com/isaserver/featurepack1/default.mspx

Sau khi download tiến hành quét Virus, bung nén và cài đặt Service packs, Feature Pack Như vậy về cơ bản đến thời điểm này chúng ta đã có một ISA server 2000 rất mạnh và antoàn Những vấn đề còn lại phụ thuộc hoàn toàn vào cách các Security Admin cấu hình ISA Server

2000 như thế nào để đảm bảo có được một hệ thống Firewall an toàn ở mức cao nhất có thể

Khuyến cáo: IIS services nên được disabled trên Firewall này vì những lý do an toàn và

Performance.Để disable IIS services trên ISA Server 2000 firewall:

Click Start, chọn Programs, Administrative Tools Click Services hoặc tai Run chạy services.msc

Xác định các Services sau:

FTP Publishing Service

Network News Transport Protocol (NNTP)

Simple Mail Transport Protocol (SMTP)

World Wide Web Publishing Service

Tiến hành các bước sau trên mỗi Service :

a Right click trên service và click Properties.

b.Trong Startup type, chọn Manual.

c Sau đó Click Stop button

d Click Apply và click OK.

Cấu hình ISA Server 2000:

Mục tiêu của cấu hình này cho phép Inernal Clients có thể truy cập hầu hết tất cả các dịch vụ

có mặt trên Internet, tuy nhiên cũng sẽ kiểm soát tốI đa các truy nhập bất hợp pháp từ attackers

Mở chức năng DHCP Packet Filter

Chức năng này là cần thiết cho các External Interface Card trên ISA server 2000, khi mà các

External Card này sử dụng Dynamic IP từ ISP và các connections này thường là Cable, DSL, nhưng Filter này lạI không áp dụng cho Dial-up Connections chú ý!

Như vậy đây là động tác cấu hình đầu tiên cho ISA server 2000, nếu chúng ta có kết nốInhận Dynamic IP address qua DSL, Cable

1 Click Start và chọn Programs Chọn Microsoft ISA Server và click ISA Management

2 Trong ISA Management console, mở Servers and Arrays node và mở server name Mở Access Policy node và click IP Packet Filters

3 Trong khung phảI của ISA Management console, chúng ta thấy DHCP Client packet

filter Packet filter bị disabled theo mặc định Tiếp theo, enable packet này để có thể cho phépExternal interface trên ISA Server 2000 firewall nhận IP address từ ISP connection Double click

trên DHCP Client packet filter Trên General tab, Đánh dấu vào Enable checkbox Click Apply

và click OK

4 Mở command Prompt trên ISA server 2000, type C:\> ipconfig /renew để kiểm tra

External card đã nhận IP address từ ISP

Tạo một All Open Protocol Rule

Protocol Rule cho phép internal network computers truy cập các giao thức ứng dụng xácđịnh khi Clients kết nốI đến các Intenet Servers (ví dụ HTTP Protocol cho phép Internal Clientskết nốI đến các Web Servers, FTP Protocol kết nốI đến các FTP servers ) Hướng dẫn này sẽ tạo

ra một “All IP Traffic” Protocol Rule, cho phép các internal network computers truy cập tất cả các

giao thức ứng dụng phổ biến trên Internet, mà các Protocols này đã được xác định trong Protocol Definitions bên dướI ISA Management console

Chú ý: Cấu hình này cho phép các Internal network computers truy cập hầu hết, nhưng

không phảI tất cả các Applications hiện nay trên Internet Muốn truy cập những ứng dụng khôngđược định nghĩa trước trong Protocol Definitions, cần phảI config thêm các thông số tương ứngcủa ứng dụng đó trên Protocol Definitions

1 Open ISA Management console, mở Servers and Arrays node sau đó mở server name.

Mở Access Policy node và right click trên Protocol Rules node Chọn New và click Rule

2 Trong Welcome to the New Protocol Rule Wizard page, type All Open trong Protocol

Rule name text box và click Next

3 Chọn Allow option trên Rule Action page và click Next

4 Chọn All IP traffic trên Protocols page và click Next

5 Chấp nhận default settings, Always, trên Schedule page và click Next

6 Chọn Any request option trên Client Type page và click Next

7 Click Finish trên Completing the New Protocol Rule Wizard page.

Enable IP Routing, Enable PPTP Passthrough và Block IP Options

Enable IP Routing trên ISA Server 2000 firewall computer gia tăng đáng kể performancecho các internal network computers và cũng cho phép các Internal Clients này PING, và kết nốI

đến các Internet VPN servers thông qua PPTP (Point to Point Tunneling Protocol) VPN

Open ISA Management console, mở Servers and Arrays node và sau đó mở server name.

Mở Access Policy node và right click trên IP Packet Filters node và click Properties

1 Trên General tab trong IP Packet Filters Properties dialog box, đánh dấu vào Enable

IP routing checkbox.

2 Click trên Packet Filters tab Đánh dấu Enable filtering of IP options

3 Click PPTP tab Đánh dấu PPTP through ISA firewall checkbox

Cấu hình một Dial-up Entry (chỉ có các kết nốI Dial-up)

ISA Server 2000 firewall computer dùng kết nốI a dial-up để connect tới Internet, yêu cầu

xác lập một Dial-up Entry trong ISA Management console Dial-up entry phụ thuộc vào Dial-up

Networking connectoid mà chúng ta đã cấu hình lúc đầu

Mở ISA Management console, mở Servers and Arrays node, mở server name Mở Policy Elements node và click trên Dial-up Entries node Right click Dial-up Entries node, chọn New

và click Dial-up Entry

1 Trong New Dial-up Entry dialog box, type ISP trong Name text box

2 Click Select button Trong Select Network Dial-up Connection dialog box, chọn dial-up connectoid (FPT connection) từ ISP và click OK

3 Click Set Account button Trong Set Account dialog box, type user name ISP cung cấp cho account Type password ISP cấp trong Password text box và confirm lại password trong Confirm password text box Click OK

4 Click OK trong New Dial-up Entry dialog box

5 Right click trên Network Configuration node khung bên trái của ISA Management console và chọn Use primary connection option Trong Network Configuration Properties dialog box, đánh dấu Use dial-up entry checkbox

6 Click Apply và sau đó click OK trong Network Configuration Properties dialog box

7

STEP 5: Cấu hình cho Internal Network Computers

Các Internal network computers sẽ được xác lập như ISA Server SecureNAT clients Một

SecureNAT là một machine chỉ vớI xác lập default gateway address trong cấu hình TCP/IP của

mình Default gateway address này có thể là một Router nằm sau ISA Server 2000 firewall, nếunhư SecureNAT Clients không cùng Network ID vớI Internal Interface của ISA server ( phảIconfig cho router này routing được đến Internal card trên ISA server), hoặc là IP address củaInternal Card trên ISA server

Ở phần trước chúng ta đã cấu hình DHCP server cung cấp các thông số này

Chú ý:

Nếu Mô hình Mạng nhỏ chỉ 1 Network ID, có thể chúng ta không busy lắm khi config choSecureNAT clients, nhưng mô hình Mạng lớn có nhiều Network Ids, có Routers phía sau ISAserver firewall cần quan tâm đến các kĩ năng config Routing và phân chia Network IDs đúng

Cấu hìnhg Internal Clients làm DHCP Clients

DHCP client sẽ yêu cầu IP address và các thông số từ DHCP server

Tiến hành tạI Client Computers

Right click My Network Places icon trên desktop và click the Properties

1 Trong Network Connections window, right click trên network interface and click the Properties

2 Trong Properties dialog box, click Internet Protocol (TCP/IP) và click Properties

button

3 Trong Internet Properties (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically option.

4 Chọn Use the following DNS server addresses option Type 192.168.1.200 trong Preferred DNS server text box Click OK trong Internet Protocol (TCP/IP) Properties dialog

box

5 Click OK Thực ra 4 và 5 có thể chọn Obtain DNS server address automatically, vì

Clients Computer đã dùng DHCP server của Mạng (tất nhiên nếu Client Computers cùng Network

ID vớI DHCP server, nếu khác Network ID có thể phảI config thêm tính năng DHCP Relay agenttrên Routers )

Một sơ đồ đơn giản có thể phác thảo như sau về các Services chính đang chạy trên ISAserver

Cách thức ISA Clients làm việc với ISA server

1 Tất cả các yêu cầu từ ISA Clients đến ISA server được xem xét bởi Packet filters

2 Các yêu cầu từ SecureNAT Client (chú ý ISA server làm việc trực tiếp với 3 loại ISA Client là

SecureNaT Client, Web Proxy Client và ISA Firewall Client, tôi sẽ phân tích các loại ISA client

này trong phần tiếp theo), được gửi đến NAT protocol driver và sau đó đến Firewall service là nơi

nà các quy tắc (rule) được áp đặt (thông qua Rule Engine)

Lưu ý: SecureNAT clients không gửi các thông tin xác thực mình (authentication information) đến

ISA server

3 Những yêu cầu từ ISA Firewall client được gửi đến Firewall service trên ISA server, nếu đó là

một HTTP request (khi ISA Firewall Client truy cập Web), thì thay vì gửi đến Firewall service,

HTTP redirector trên ISA server sẽ gửi yêu cầu loại này đến Web proxy service trên ISA server.

4 Tất cả những yêu cầu về HTTP/HTTPS, FTP và Gopher luôn được gửi đến Web proxy service.

Các dịch vụ chính trên ISA server:

- ISA Control Service (MSPADMIN.EXE)

ISA control service điều khiển các chức năng trên ISA Server sau:

1 IP packet filters, khi bạn Enable và ghi Log chức năng này trên ISA server

2 Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví

dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hànhđộng kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall)

3 Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần còn lại của ISA servers array.

4 Cập nhật các File cấu hình Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng.

5 Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Servicenày

Hình mô tả về stop một service

Admin có thể dùng command line để Stop một Service nào đó:

C:\> Net stop mspadmin

chú thích: mspadmin là tên service cần Stop

Và cũng lưu ý quan trọng rằng nếu stop ISA Server Control Service, thì tất cả các ISAServer services cũng Stop theo

- Scheduled Cache Content Download Service (W3PREFCH.EXE)

1 Service này cho phép có thể download nội dung liên quan đến Web (HTTP contents) vào

bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đã được Config

trước (Download scheduled)

2 Có thể config những nội dung từ những website nào và ở thời điểm nào sẽ tiến hànhdownload về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốctruy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động,

Client vẫn có thể truy cập nội dung thông qua Cache

Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành download

nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ củaNIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2 Thời gian tiến hành download vào

lúc 12:00 PM Sáng hôm sau Clients của các bạn sẽ được phục vụ bởi Pre-cache này mà không

cần phải đưa yêu cầu lên Website online

3 Dùng service này có thể download toàn bộ Website nếu bạn muốn làm điều đó

Chú ý: Websites chứa các pop-up scripts, cookies hay các gói cài đặt phần mềm ngôn ngữ tương thích với Website - language packs installation (ví dụ website tiếng Japan, China, Thailand,

etc ), không thể download được

- HTTP redirector filter

Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc với các

tính năng của ISA caching, khi HTTP redirector được enable (điều này là mặc đinh rên ISA

server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request)

đến trực tiếp Web proxy service thay vì đến các Service khác.

- NAT protocol driver

Lưu ý: Microsoft không khuyến cáo chạy RRAS (Rouring and Remote Access Service),

trên ISA server vì có thể gây xung đột với NAT Protocol Driver

Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet Các

Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA (Internet Assigned Numbers Authority), là thuộc các vùng IP sau:

+ 10.0.0.0 - 10.255.255.255

+ 172.16.0.0 - 172.31.255.255

+ 192.168.0.0 - 192.168.255.255

(Các bạn nên tham khảo RFC 1597 để chi tiết hơn về Private IP Address Ranges)

Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽđược chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP

address của External Interface trên ISA server (vì các IP trong vùng Private IP Address Ranges của Clients không có giá trị communication trực tiếp trên Internet, và tất cả các Computer trên

Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trênInternet về sẽ phản hồi lại cho Clients trong Mạng nội bộ

- Firewall Service(FWSRV.EXE)

1 Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications) Tôi sẽ có một số định nghĩa để các bạn hiểu thêm như sau:

+ Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi

(Sender) và người nhận (Receiver) Nó đóng vai trò là một hệ thống chuyển tiếp (Relay) giữa 2 đối

tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức

năng chuyển tiếp (trung chuyển có kiểm soát) này, các hệ thống Proxy (hay Proxy servers) được

sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trongnhững công cụ được sử dụng để xây dựng Firewall

Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đãlàm điều đó, nó hành động nhân danh cho Client và cả Server Tất cả các yêu cầu từ Client raInternet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp

có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts) Và cũng tương tự sẽphản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầunày đến Client Cả hai Client và Server nghĩ rằng chúng nói chuyện trực tiếp với nhau nhưng thực

sự chỉ "talk" trực tiếp với Proxy

+ Application Level and Circuit Level Proxy

Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTPproxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File Những Proxies

trên, được gọi là application-level proxies hay "application-level gateways", bởi vì chúng được

chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được

gửi đến nó Một hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hết các

applications trên nền TCP và UDP

+ SOCKS hay Sockets

Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về network designers,

operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày cànghoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của

thập niên 90 SOCKS đã nhanh chóng trở thành một de facto standard (hardware hay software

được dùng rộng rãi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định

chuẩn), ngược lại là de jure standard Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng

SOCKS được IETF thông qua lần đầu tiên là SOCKS5 SOCKS ban đầu là hệ thống Proxy được

sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP SOCKS4 kiểm soátcác TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP,ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service).SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server,hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKSapplication Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, chonên khá dễ dàng khi làm việc với các SOCKS server Vàohttp://www.socks.permeo.com/TechnicalResources/SOCKSFAQ/SOCKSGeneralFAQ/index.asp(Permeo Technologies' SOCKS Web site ), để tìm hiểu chi tiết về SOCKS và cac Applicationstuân theo SOCKS Cũng cần xem thêm mô hình giao tiếp TCP/IP stack

2 The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nốiđến Internet, như thể được kết nối trực tiếp

3 Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau đó cácyêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản

lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache

4 Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows

2000 server nếu khi cài đặt ISA server chọn Firewall mode Lưu ý: Nếu cài ISA ở chế độ Firewall

mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching)

5 Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applicationstrên Client và Internet Hosts mạng nội bộ vẫn đảm bảo an toàn, bởi vì giao tiếp được thông quaISA

6 Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters

7 Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của

mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài

sẽ diễn ra

8 Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phốibảng IP nội bộ LAT (Local Address Table) đến firewall client Kênh này cũng thiết lập các TCPconnections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtualconnections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts

9 Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745.

10 Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuấtphát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn (từ attacker networks v.vv)

- Web Proxy Service (W3PROXY.EXE)

1 Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application

tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc

Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp

dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher

server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols

2 Web Proxy Service là một application level service phục vụ cho các CERN-compliant

applications (như đã trình bày ở trên ) và những ứng dụng này đã config để dùng Web proxy

service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số như trên Hình

sau đó click vào Advanced sẽ thấy