Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 33 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
33
Dung lượng
1,2 MB
Nội dung
TạoVPNSite-to-sitetrênISA2006(Phần2)
Ngu
ồ
n:quantrimang.com
Các vấn đề về DNS (hệ thống tên miền) đòi hỏi phải có các giải pháp như cài đặt
CSS, tạo các mảng ISA Firewall cho văn phòng trụ sở chính và văn phòng chi
nhánh.
Trong phần một của loạt bài về cách sử dụng chương trình Branch Office Connectivity
Wizard để tạo mạng riêng ảo site to site giữa văn phòng chính và văn phòng chi nhánh,
chúng ta đã xem xét với cơ sở hạ tầng mạng ví dụ và thảo luận một số
khái niệm then
chốt trong việc tạo mạng riêng ảo site to site.
Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS (Domain Name
System), tức hệ thống tên miền, một thành phần rất quan trọng trong việc tạo giải pháp,
cài đặt CSS và tạo các mảng ISA Firewall ở văn phòng chính và văn phòng chi nhánh.
Cấu hình DNS Server để loại bỏ các update động và nhập bản ghi Host (A) cho máy
tính ISA Firewall và các tên mảng.
Trước khi chúng ta bắt đầu quá trình cài đặt CSS ở văn phòng chính và các mảng ISA
Firewall, bước đầu tiên c
ần phải làm là cấu hình DNS Server trên mạng hợp nhất, để từ
chối các update động. Chúng ta cần thực hiện điều này để khi ISA Firewall ở văn phòng
nhánh kết nối tới ISA Firewall ở văn phòng chính, địa chỉ IP ảo sẽ không phải đăng ký
trong DNS thay cho địa chỉ IP thực. Điều này cũng ngăn ISA Firewall ở trụ sở chính
đăng ký địa chỉ IP ảo của mình trong hệ thống tên miền (DNS).
Đây là vấn
đề rất phổ biến trong hoạt động kết nối liên quan VPN site to site. Ví dụ, giả
sử bạn dùng Web proxy và các client Firewall trên mạng ở trụ sở chính. Các client đó
được cấu hình để sử dụng tên ISA Firewall, nhằm kết nối tới các dịch vụ tường lửa và
Web proxy của ISA Firewall. Mọi thứ đều hoạt động tốt cho đến khi có các kết nối site-
to-site. Sau khi kết nối này được thiết lập, địa chỉ IP ảo của b
ản thân thông tin đăng ký tại
văn phòng chính nằm trong DDNS. Khi Web proxy và Firewall client cố gắng kết nối tới
ISA Firewall văn phòng chính là chúng đang cố gắng kết nối với địa chỉ IP ảo của ISA
Firewall ở trụ sở chính (địa chỉ giao diện RAS) và các kết nối từ Web proxy, Firewall
client hỏng.
Trường hợp khác khiến các vấn đề về địa chỉ IP giao diện (RAS) ảo xuất hiện là khi
Firewall ISA văn phòng nhánh cố gắng kế
t nối tới CSS trụ sở chính. Khi kết nối site to
site hoàn tất, ISA Firewall nhánh sẽ đăng ký địa chỉ giao diện (RAS) ảo của nó trong
CSS. CSS cố gắng liên lạc với Firewall mảng nhánh, dùng địa chỉ này và kết nối hỏng.
Chúng ta có thể ngăn chặn vấn đề này bằng cách ngắt DDNS trên DNS server. Có thể
bạn sẽ đặt ra câu hỏi: “Chúng ta có cần giữ chế độ này lâu dài không, hay có cách khác
cấu hình giao diện demand-dial không đăng ký trong DDNS?”. Câu trả lời là: “Có thể”!
Chúng ta cần tạo các bản ghi Host (A) trong Active Directory tích hợp DNS với các tên
sau:
• isa2006se.msfirewall.org (10.0.0.1)
• isa2006branch.msfirewall.org (10.0.1.1)
• main.msfirewall.org (10.0.0.1)
• branch.msfirewall.org (10.0.1.1)
Chúng ta không cần nhập bản ghi cho CSS hay Domain Controller, vì các máy này đã
được cài đặt và đăng ký trong DNS dùng DDNS. Chúng ta cũng không cần lo lắng về
chúng, vì thông tin địa chỉ IP sẽ không bị thay đổi theo trạng thái của kết nối VPN site to
site.
Trước khi tạo các bản ghi Host (A), bạn cần tạo miền tìm kiếm ngược chiều cho ID mạng
nhánh, Trong ví dụ hiện tại của chúng ta, ID mạng nhánh này là 10.0.1.0/24. Thực hiện
các bước sau để tạo vùng tìm kiếm ngược chiều:
1. Trên Domain Controller, vào
Start > Administrative Tools > DNS.
2. Trong console DNS management, mở rộng tên server và kích vào nút Reverse
Lookup Zones.
3. Kích phải chuột lên nút Reverse Lookup Zone, sau đó bấm New Zone.
4. Trên trang Welcome to the New Zone Wizard, bấm Next.
5. Trên trang Zone Type, chọn tuỳ chọn Primary Zone và bấm Next.
Hình 1
6. Trên trang Active Directory Zone Replication Scope, chọn To all DNS servers
in the Active Directory domain msfirewall.org. Sở dĩ chọn tuỳ chọn này vì
chúng ta chỉ có một domain đơn trong tổ chức. Nếu bạn có nhiều domain, bạn có
thể tạo vùng tra tìm ngược chiều này cho tất cả DNS server trong forest (rừng
mạng). Bấm Next.
Hình 2
7. Trên trang Reverse Lookup Zone Name, chọn Network ID và nhập ID mạng cho
văn phòng chi nhánh trong hộp tex box. Ở ví dụ này, ID là 10.0.1.0/24, vì thế
chúng ta sẽ nhập 10.0.1 và ấn Next.
Hình 3
8. Trên trang Dynamic Update, chọn Allow only secure dynamic updates
(recommend for Active Directory) (chỉ cho phép sử dụng các bản update động
an toàn; nên dành cho Active Directory). Chúng ta không nên dùng tuỳ chọn cho
phép sử dụng các bản update động trong miền này, để các server nhánh có thể
đăng ký trong DDNS. Chỉ cần tránh đăng ký giao diện demand-dial trong DNS và
sau này kiểm tra lại xem chức năng này có hoạt động phù hợp không. Bấm
Next.
Hình 4
9. Bấm Finish trên trang Completing the New Zone Wizard.
10. Bạn sẽ thấy miền mới ở khung bên trái console DNS management.
Hình 5
Bây giờ bạn đã tạo các bản ghi Host (A). Sử dụng thủ tục sau để thêm các bản ghi Host
(A) vào DNS:
1. Trên Domain Controller, kích vào Start, trỏ tới Administrative Tools và ấn DNS.
2. Trong console DNS management, mở rộng tên server, mở nút Forward Lookup.
Kích lên nút Zones msfirewall.org.
3. Bấm phải chuột lên nút msfirewall.org và kích vào lệnh New Host (A).
4. Trong hộp thoại New Host, nhập tên host name của server trong hộp văn bản
Name (uses parent domain name if blank) (dùng tên domain cha nếu trống). Ở
ví dụ này chúng ta sẽ nhập tên Firewall ISA văn phòng chi nhánh, là
isa2006branch. FQDN sau đó sẽ xuất hiện trong hộp văn bản Fully qualified
domain name (FQDN) (tên mi
ền đáp ứng được đầy đủ tiêu chuẩn). Nhập địa chỉ
IP nội bộ của ISA Firewall văn phòng nhánh vào ô IP address. Ở ví dụ này, địa
chỉ sẽ nhập vào là 10.0.1.1. Kích vào Add Host.
Hình 6
5. Hộp thoại New Host còn lại mở để cho phép bạn nhập thêm thông tin vào thêm
cho Host (A). Nhập tên, thông tin địa chỉ IP cho các điểm vào được chú ý trong
danh sách ở trên.
6. Sau khi nhập xong cho mọi bản ghi, kích Cancel trong hộp thoại
New Host.
7. Danh sách của bạn sẽ có dạng như hình minh hoạ dưới.
Hình 7
8. Bây giờ chúng ta cần đưa một số thông tin vào trong cơ sở dữ liệu DNS. Có thể
thực hiện bằng cách khởi động lại DNS server. Trong DNS console, kích phải
chuột lên tên server, trỏ tới All Tasks, và bấm Restart.
Hình 8
Để kết thúc cấu hình DNS, chúng ta cần loại bỏ các bản update động (ít nhất là tạm thời).
Ở khung bên trái DNS console, bấm lên điểm vào msfirewall.org trong nút Forward
Lookup Zones. Kích phải chuột lên nút msfirewall.org và chọn Properties.
Trong hộp thoại Properties, bấm chọn tab General. Trên tab General, chọn tuỳ chọn
None từ danh sách Dynamic updates sổ xuống. Ấn OK. Không cần phải khởi động lại
dịch vụ DNS. Tố
i thiểu hoá DNS console.
Hình 9
Cài đặt CSS trên máy tính CSS chuyên dụng
Đây là bước cực kỳ quan trọng trong quá trình hoàn chỉnh cài đặt DNS: cài đặt CSS trên
máy CSS chuyên dụng. Bạn có thể cài CSS trên DC (Domain Controller), hay thậm chí là
trên bản thân mảng ISA Firewall, nhưng cấu hình tốt nhất và an toàn nhất là đặt CSS trên
một thiết bị chuyên dụng, ngăn cản thành viên mảng và thành viên Domain Controller.
Với chương trình cài đặt lý tưởng, CSS được nằm trên phân đoạn bảo mật mạng chuyên
dụng. Không có bất kỳ máy nào khác nằm ở
đó và không có lưu lượng nào được phép
chuyển tới máy CSS xuất phát từ phần đoạn khác. ISA Firewall còn được dùng để bảo vệ
CSS trước tất cả các máy khác. Tuy nhiên, để đơn giản và cho dễ hiểu, chúng ta sẽ thiết
lập giản ước một số thứ. Bạn có thể dùng các nguyên tắc cơ bản được thảo luận trong
nhiều bài báo DMZ trên Website của chính nó, nhất là cách bảo vệ các Server FE
Exchange.
Thực hiện các bước sau để
cài đặt CSS trên máy tính CSS chuyên dụng:
[...]...1 Đưa địa ISA2006 CD vào ổ đọc hoặc ổ ghi Nếu thực đơn chương trình chạy tự động không xuất hiện, kích đúp lên file ISAAutorun.exe 2 Trên menu autorun, kích vào liên kết Install ISA Server 2006 3 Bấm Next trên trang Welcome to the Installation Wizard for Microsoft ISA Server 2006 4 Chọn tuỳ chọn I accept the terms in the license agreement và ấn Next 5 Nhập thông tin tuỳ biến trên trang Customer... Next 6 Trên trang Setup Scenarios, chọn tuỳ chọn Install Configuration Storage Server và ấn Next Hình 10 7 Kích Next trên trang Component Selection Hình 11 8 Trên trang Enterprise Installation Options, chọn Create a new ISA Server enterprise Tuỳ chọn này cho phép bạn tạo doanh nghiệp mới Ngược lại, tuỳ chọn Create a replica of the enterprise configuration cho phép bạn tạo bản copy một doanh nghiệp ISA. .. chúng ta đã tạo được các mảng cho văn phòng chính và văn phòng chi nhánh Mảng là một tập hợp các ISA Firewall hoạt động như một tường lửa cục bộ đơn với cùng chính sách và cấu hình như nhau Một mảng ISA Firewall có thể có từ 1 đến 32 server Ít nhất một giao diện ở từng thành viên mảng ISA Firewall phải nằm trên cùng ID mạng, khi tất cả thành viên mảng ISA Firewall khác nằm trong cùng mảng ISA Firewall... chọn này sẽ xử lý địa chỉ IP nội bộ trênISA Firewall chi nhánh Kích Next Hình 33 4 Đồng ý điểm vào Default Policy trên trang Assign Enterprise Policy và kích Next Hình 34 5 Chấp nhận thiết lập mặc định trên trang Array Policy Rule Types và kích Next Hình 35 6 Bấm chọn Finish trên trang Completing the New Array Wizard Hình 36 7 Thanh trạng thái hiển thị quá trình tạo mảng mới Hình 37 8 Bấm OK khi thấy... giá hàng hoá khuyến mại Quay trở lại console ISA Firewall, sau khi kích vào nút Finish trên trang cuối của chương trình cài đặt, ISA Firewall console cũng sẽ mở, cùng với Web page security Thực hiện các bước sau để thêm CSS vào trạm Enterprise Remote Management: 1 Đọc trang Web Protect the ISA Server Computer và đóng lại sau khi đọc xong 2 Trong console ISA Firewall, mở rộng nút Enterprise , sau đó... Enterprise Bạn có thể đưa vào bản mô tả tóm tắt thông tin cho ISA Firewall doanh nghiệp này trong hộp Description Bấm Next Hình 14 11 Trong hộp thoại Enterprise Deployment Environment, bạn sẽ phải nói cho chương trình cài đặt Wizard Installation biết liệu các ISA Firewall và CSS có cùng domain không, hay liệu chúng có trong một nhóm làm việc không Các ISA Firewall tốt nhất trong ở lĩnh vực bảo mật và dễ cấu... đó, chúng ta tiếp tục cài đặt CSS trên một máy chuyên dụng và cấu hình các mảng cho trụ sở chính và chi nhánh trên CSS Trong bài tới chúng ta sẽ tiếp tục sử dụng Branch Office Connectivity Wizard để tạo file trả lời, sau đó sử dụng file trả lời này để tạo kết nối VPN site to site và liên kết ISA Firewall ở chi nhánh với miền và CSS ở trụ sở chính ... trong hộp thoại Apply New Configuration Bây giờ chúng ta cần tạo các mảng Có hai kiểu mảng: một cho văn phòng chính và một cho chi nhánh văn phòng Cả hai mảng đều được quản lý trong cùng ISA Firewall enterprise và có thể quản lý bằng các chính sách doanh nghiệp trung tâm hoá Thực hiện các bước sau để tạo mảng Main: 1 Ở khung bên trái console ISA Firewall, kích phải chuột lên nút Arrays Kích vào lệnh... CSS trong trường hợp CSS chính bị hỏng Ở ví dụ này, chúng ta cần tạo một doanh nghiệp mới, chứa tất cả mảng, Bấm Next Hình 12 9 Trên trang New Enterprise Warning, bạn có thể thấy thông tin về giá trị của việc sử dụng doanh nghiệp đơn để quản lý tất cả mảng Bấm Next Hình 13 10 Trên trang Create New Enterprise, nhập tên cho doanh nghiệp ISA Firewall mới trong hộp Enterprise name Ở ví dụ này chúng ta... kết thúc.Kích vào liên kết nằm ở khung giữa trên đầu, liên quan đến chương trình nâng cao kinh nghiệm người dùng Liên kết này sẽ mở ra Customer Feedback (phản hồi của khách hàng) Các bạn nên tham gia và chương trình này, vì nó sẽ giúp nhóm sản xuất ISA Firewall hiểu cách bạn sử dụng ISA Firewall và cách trả lời nhanh hơn trước các vấn đề bạn gặp phải khi dùng ISA Firewall Bạn không gặp phải vấn đề nguy . Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Ngu
ồ
n:quantrimang.com
Các vấn đề về DNS (hệ thống.
Chúng ta cần tạo các bản ghi Host (A) trong Active Directory tích hợp DNS với các tên
sau:
• isa2 006se.msfirewall.org (10.0.0.1)
• isa2 006branch.msfirewall.org