Đang tải... (xem toàn văn)
Cho phép login từ Allow remote SQL xa bằng SQL qua ISA logging from ISA Allow servers server,Cho phép truy xuất requests from ISA External Allow Local Host All Users HTTP/HTTPS từ ISA PPTP Server to specified đến một số site chỉ định sites Name Allow HTTP/HTTPS External requests from ISA All Users 18. Cho phép IPSec Remote Local Host Server to selected Allow NONE Continued
Tài liệu hướng dẫn giảng dạy Name Action Allow ICMP requests from ISA Allow Server to selected servers All VPN client traffic to ISA Allow Server Allow VPN siteto-site traffic to Allow ISA Server Name Allow VPN site-tosite traffic from Allow ISA Server CIFS (Common Internet File Allow System) from ISA Server to trusted servers Protocol from/Listener ICMP Information Local Host Request ICMP Timestamp To Condition All Networks (and Local All Users Host Network) Order/Comments Name Action 16 Cho phép login từ Allow remote SQL xa SQL qua ISA logging from ISA Allow servers server Allow HTTP/HTTPS 17 Cho phép truy xuất requests from ISA External Allow Local Host All Users HTTP/HTTPS từ ISA PPTP Server to specified đến số site định sites Name Allow HTTP/HTTPS External requests from ISA All Users 18 Cho phép IPSec Remote Local Host Server to selected Allow NONE Continued HTTP/HTTPS từ ISA servers Gateways for To Condition đến số server khác connectivity From/Listener verifiers Allow access from 19 Cho phép số trusted computers External máy truy xuất to the Firewall IPSec Local Host All Users Firewall Allow NONE Client Client installation Remote installation share share on ISA Gateways ISA Server Server Allow remote Microsoft CIFS 20 Cho phép quan sát performance Internal All Users thông suất ISA monitoring of ISA Allow (TCP) Microsoft Local Host CIFS (UDP) Server từ xa Server from trusted servers Trang 489/555 Học phần - Quản trị mạng Microsoft Windows Tài liệu hướng dẫn giảng dạy Protocol from/Listen er HTTP HTTPS HTTPS Protocols To Microsoft SQL (TCP) Microsoft Local Host Internal SQL (UDP) HTTP Protocols System Policy Allowed Sites To Condition Order/Comments All Users Name Action 21 Cho phép sử Allow NetBIOS Allow dụng NetBIOS từ from ISA to ISA Server đến Server số Server định trusted servers Name sẵn Protocol from/Listen er NetBIOS Datagram Local Host NetBIOS Name From/Listen Service NetBIOS er Sessions Protocols 24 Cho phép authentication Allow ISA chứng thực from to SecurID từ ISA đến Server trusted servers số server Allow 23 Cho phép truy Allow xuất HTTP/HTTPS HTTP/HTTPS ISA từ ISA Server tới from to số Microsoft Server error reporting site specified Microsoft Operations Manager Agent SecurID HTTP HTTPS Local Host Local Host Local Host RPC (all interfaces) Local Host 25 Cho phép giám Allow remote sát từ xa thông qua monitoring giao thức Microsoft from ISA Server to Operations RPC Allow All Users 21 Cho phép sử Allow ISA Continued dụng RPC từ ISA from to Condition truy xuất đến Server số server khác trusted servers All Networks HTTP HTTPS Local Host (and Local All Users Host Network) Microsoft CIFS (TCP) Microsoft CIFS (UDP) Local Host All Users NetBIOS Datagram Internal NetBIOS Name Service NetBIOS Session NetBIOS Datagram Remote NetBIOS Name Managemen Local Host All Users Service NetBIOS t Computers Session Trang 490/555 Học phần - Quản trị mạng Microsoft Windows Tài liệu hướng dẫn giảng dạy To Condition Order/Comments Name Action Protocol from/Listen er To Condition NTP (UDP) Local Host Internal Local Host Internal All Users All Users Local Host All Networks All Users From/Listen (and Local Continued er Condition Host) To 27 Cho phép sử dụng Allow NTP from ISA Allow NTP (giao thức đồng Server to trusted thời gian Windows NTP servers NT 2k, XP) từ ISA tới SMTP Internal To All Users 26 Cho phép HTTP Traffic from ISA Allow + Action HTTP Protocols Continued traffic từ ISA Server tới Server to all Condition số network hỗ trợ networks (for CRL dịch vụ chứng thực downloads) Name download CRL (Certificate Revocation 28 Cho phép traffic Allow SMTP from SMTP từ ISA Server tới Allow ISA Server to số Server trusted servers HTTP All Users Microsoft All Users Error Reporting sites Internal All Users Local Host All Networks System (and Local and Network Host) Service Internal 29 Cho phép số ISA Server to Allow máy sử dụng Content selected computers Download Jobs for Content Download Jobs All Users All Users Internal All traffic Outbound Local Host Remote Management Computers 30 Cho phép số Allow Microsoft Allow máy khác sử dụng MMC communication to điều khiển ISA selected computers Trang 491/555 Học phần - Quản trị mạng Microsoft Windows Tài liệu hướng dẫn giảng dạy Ta xem sách mặc định hệ thống ISA Firewall (system policy rule) cách chọn Filewall Policy từ hộp thoại ISA Management, sau chọn item Show system policy rule cột System policy Hình 5.12: System policy Rules Ta hiệu chỉnh system policy cách nhấp đơi chuột vào system policy item Hình 5.13: System Policy Editor V.3 Cấu hình Web proxy cho ISA Trong phần ta khảo sát nhanh bước để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội Học phần - Quản trị mạng Microsoft Windows Trang 492/555 Tài liệu hướng dẫn giảng dạy Hình 5.14: System Policy Editor - Mặc định ISA Firewall cho phép tất mạng nội truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới số site định sẳn Domain Name Sets mô tả tên “system policy allow sites” bao gồm: - *.windows.com - *.windowsupdate.com - *.microsoft.com Do ta muốn cấu hình cho mạng nội truy xuất đến Internet Web bên ngồi ta phải hiệu chỉnh lại thơng tin System Policy Allowed Sites hiệu lại System Policy Rule có tên + - Hiệu chỉnh System Policy Allowed Sites cách Chọn Firewall Policy ISA Management Console, sau chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả số site cần thiết cho phép mạng nội truy xuất theo cú pháp *.domain_name Nếu ta muốn cho mạng nội truy xuất Internet Website ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” (tham khảo Hình 5.15), sau ta chọn nút Apply Firewall Policy pannel để áp đặt thay đổi vào hệ thống Học phần - Quản trị mạng Microsoft Windows Trang 493/555 Tài liệu hướng dẫn giảng dạy Hình 5.15: Mơ tả System Policy Sites Chú ý: - Nếu ISA Firewall kết nối trực tiếp Internet ta cần cấu hình số thơng số trên, ngược lại ISA Firewall cịn phải thơng qua hệ thống ISA Firewall Proxy khác ta cần phải mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server + Để cấu hình Uptream Server cho ISA Server nội ta chọn Configuration panel từ ISA Management Console, sau chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them to specified upstream server, chọn tiếp nút Settings…Chỉ định địa upstream server Hình 5.16: Chỉ định Upstream server + - Ta cần định DNS Server cho ISA Server để ISA phân giải Internet Site có yêu cầu, ta sử dụng DNS Server nội Internet DNS Server, nhiên ta cần lưu ý phải cấu hình ISA Firewall phép DNS request DNS reply Để cho phép Client sử dụng Web Proxy ta cấu hình Proxy Server có địa địa Internal interface ISA Firewall trình duyệt Web cho Client, ta cài ISA Client Share Client để Client đóng vai trò lài ISA Firewall Client Học phần - Quản trị mạng Microsoft Windows Trang 494/555 Tài liệu hướng dẫn giảng dạy - Chỉ định địa Web Proxy textbox Address - Chỉ Web Proxy Port Textbox Port 8080 Hình 5.16: Chỉ định Client sử dụng Proxy Server V.4 Tạo Và Sử Dụng Firewall Access Policy - Access Policy ISA Firewall bao gồm tính như: Web Publishing Rules, Server Publishing Rules Access Rules + Web Publishing Rules Server Publishing Rules sử dụng phép inbound access o Access rules dùng để điều khiển outbound access - ISA Firewall kiểm tra Access Rules Access Policy theo chế top down (Lưu ý System Policy kiểm tra trước Access Policy user định nghĩa), packet phù hợp với luật ISA Firewall ISA Firewall thực thi action (permit/deny) tùy theo luật, sau ISA Firewall bỏ qua tất luật cịn lại Nếu packet khơng phù hợp với System Access Policy User-Defined Policy ISA Firewall deny packet - Một số tham số mà Access Rule kiểm tra connection request: + Protocol: Giao thức sử dụng + From: Địa nguồn + Schedule: Thời gian thực thi luật + To: Địa đích + Users: Người dùng truy xuất + Content type: Loại nội dung cho HTTP connection V.4.1 Tạo Access Rule Access Rules ISA Firewall luôn áp đặt luật theo hướng (outbound) Ngược lại, Web Publishing Rules, Server Publishing Rules áp đặt theo hướng vào (inbound) Access Rules điều khiển truy xuất từ source tới destination sử dụng outbound protocol Một số bước tạo Access Rule: Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab Task Pane, nhấp chuột vào liên kết Create New Access Rule Học phần - Quản trị mạng Microsoft Windows Trang 495/555 Tài liệu hướng dẫn giảng dạy Hiển thị hộp thoại “Welcome to the New Access Rule Wizard” Điền vào tên Access Rule name, nhấp chuột vào nút Next để tiếp tục Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow Deny Tùy chọn Deny đặt mặc định, tùy vào loại Rule ta cần mô tả mà chọn Allow Deny cho phù hợp, chọn Next để tiếp tục Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17) Ta chọn giao thức (protocol) phép/cấm outbound traffic từ source đến destination Ta chọn ba tùy chọn danh sách This rule applies to - All outbound traffic: Để cho phép tất protocols outbound Tầm ảnh hưởng tùy chọn phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật Firewall clients, tùy chọn cho phép tất Protocol (outbound), bao gồm secondary protocols định nghĩa chưa định ISA firewall Tuy nhiên SecureNAT client kết nối ISA Firewall outbound access cho phép protocol mà định nghĩa Protocols list ISA firewall, SecureNAT client truy xuất tài ngun bên ngồi protocol ta phải mơ tả protocol vào Protocol Panel cung cấp ISA firewall để hỗ trợ kết nối cho SecureNAT client - Selected protocols: Tùy chọn cho phép ta lựa chọn protocols để áp đặt vào luật (rule) Ta lựa chọn số protocol có sẵn hộp thoại tạo Protocol Definition - All outbound traffic except selected: Tùy chọn cho phép tất protocol cho luật mà không định nghĩa hộp thoại Hình 5.17: Lựa chọn protocol để mơ tả cho Rule Nếu ta chọn tùy chọn Selected Protocols ta chọn danh sách protocol cần mô tả cho luật (tham khảo hình 5.18) Học phần - Quản trị mạng Microsoft Windows Trang 496/555 Tài liệu hướng dẫn giảng dạy Hình 5.18: Lựa chọn protocol để mơ tả cho Rule Hiển thị hộp thoại Access Rule Sources, chọn địa nguồn (source location) để áp đặt vào luật cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau ta chọn địa nguồn từ hộp thoại (tham khảo hình), chọn Next để thực bước Hình 5.19: Chọn địa nguồn Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa đích (destination) cho luật cách chọn nút Add sau xuất hộp thoại Add Network Entities, hộp thoại cho phép ta chọn địa đích (Destination) mơ tả sẳn hộp thoại định nghĩa destination mới, thông thường ta chọn External network cho destination rule, sau hồn tất q trình ta chọn nút Next để tiếp tục Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule Mặc định luật áp đặt cho tất user (All Users), ta hiệu chỉnh thơng số cách chọn Edit thêm user vào rule thông qua nút Add, chọn Next để tiếp tục Chọn Finish để hoàn tất V.4.2 Thay đổi thuộc tính Access Rule Học phần - Quản trị mạng Microsoft Windows Trang 497/555 Tài liệu hướng dẫn giảng dạy Trong hộp thoại thuộc tính Access Rule chứa đầy đủ thuộc tính cần thiết để thiết lập luật, có số thuộc tính cấu hình hộp thoại mà khơng thể cấu hình q trình tạo Access Rule, thơng thường ta truy xuất hộp thoại thuộc tính luật ta muốn kiểm tra thay đổi điều kiện đặt trước Để truy xuất thuộc tính Access Rule ta nhấp đôi chuột vào tên luật Firewall Policy Panel Một số Tab thuộc tính Access Rule: - General tab: Cho phép ta thay đổi tên Access rule, Enable/Disable Access rule - Action tab: Cung cấp số tùy chọn để hiệu chỉnh luật (Tham khảo hình 5.20): - Allow: Tùy chọn cho phép kết nối phù hợp (matching) với điều kiện mô tả Access rule qua ISA firewall - Deny: Tùy chọn cấm kết nối phù hợp (matching) với điều kiện mô tả Access rule qua ISA firewall - Redirect HTTP requests to this Web page: Tùy chọn cấu hình để chuyển hướng HTTP requests (phù hợp với điều kiện Access rule) tới Web page khác - Log requests matching this rule Cho phép ghi nhận lại tất request phù hợp với Access Rule Hình 5.20: Thuộc tính Access Rule - Protocols tab: Cung cấp tùy chọn phép ta hiệu chỉnh giao thức (protocol) cho Access rule - From tab: Cung cấp tùy chọn để hiệu chỉnh địa nguồn cho Access rule - To tab: Cung cấp tùy chọn để hiệu chỉnh địa đích cho Access rule - Users tab: Cung cấp tùy chọn để hiệu chỉnh thông tin User Access rule - Schedule tab: Hiệu chỉnh thời gian áp đặt (apply) luật - Content Types tab: Cho phép hiệu chỉnh Content Type áp đặt HTTP connection V.5 Publishing Network Services V.5.1 Web Publishing and Server Publishing Học phần - Quản trị mạng Microsoft Windows Trang 498/555 Tài liệu hướng dẫn giảng dạy Publishing services kỹ thuật dùng để công bố (publishing) dịch vụ nội ngồi mạng Internet thơng qua ISA Firewall Thơng qua ISA Firewall ta publish dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,, - Web publishing: Dùng để publish Web Site dịch vụ Web Web Publishing gọi 'reverse proxy' ISA Firewall đóng vai trị Web Proxy nhận Web request từ bên sau chuyển yêu cầu vào Web Site Web Services nội xử lý (tham khảo hình 5.21), Một số đặc điểm Web Publishing: - Cung cấp chế truy xuất ủy quyền Web Site thông qua ISA firewall - Chuyển hướng theo đường dẫn truy xuất Web Site (Path redirection) - Reverse Caching of published Web Site - Cho phép publish nhiều Web Site thông qua địa IP - Có khả thay đổi (re-write) URLs cách sử dụng Link Translator ISA firewall - Thiết lập chế bảo mật hỗ trợ chứng thực truy xuất cho Web Site (SecurID authentication, RADIUS authentication, Basic Authentication) - Cung cấp chế chuyển theo Port Protocol Hình 5.21: Mơ hình Web Publishing - Server publishing: Tương tự Web Publishing, Server publishing cung cấp số chế công bố (publishing) Server thông qua ISA Firewall V.5.2 Publish Web server Để publish Web Services ta thực bước sau: kích hoạt hình “Microsoft Internet Security and Acceleration Server 2004 management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab Trên Tasks tab, chọn liên kết “Publish a Web Server”, hiển thị hộp thoại “Welcome to the New Web Publishing Rule Wizard” yêu cầu nhập tên Web publishing rule, chọn Next để tiếp tục Chọn tùy chọn Allow hộp thoại “Select Rule Action”, chọn Next Cung cấp số thông tin Web Site cần publish hộp thoại “Define Website to Publish” (tham khảo hình 5.22): - “Computer name or IP address”: định địa Web Server nội Học phần - Quản trị mạng Microsoft Windows Trang 499/555 ... V.4.2 Thay đổi thuộc tính Access Rule Học phần - Quản trị mạng Microsoft Windows Trang 497/555 Tài liệu hướng dẫn giảng dạy Trong hộp thoại thuộc tính Access Rule chứa đầy đủ thuộc tính cần thiết... số thuộc tính cấu hình hộp thoại mà khơng thể cấu hình q trình tạo Access Rule, thơng thường ta truy xuất hộp thoại thuộc tính luật ta muốn kiểm tra thay đổi điều kiện đặt trước Để truy xuất thuộc. .. them to specified upstream server, chọn tiếp nút Settings…Chỉ định địa upstream server Hình 5.16: Chỉ định Upstream server + - Ta cần định DNS Server cho ISA Server để ISA phân giải Internet Site