Xem mẫu
- er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
Trang 488/555
Order/Comments Name Action Protocol from/Listener To Condition Order/Comments
Allow Kerberos
Kerberos-Sec
6. Cho phép chứng 11. Cho phép ISA
thực kerberos từ ISA authentication (TCP) Local Host Server g ởi ICMP
Allow Internal All Users
Server tớ i trusted from ISA Server request tới một số
Kerberos-Sec
server server
(UDP)
to trusted servers
All
12. Cho phép tất cả
7. Cho phép sử dụng Networks
Allow DNS from ISA Server các VPN Client bên
DNS từ ISA tới một số Allow DNS Local Host (and All Users
to selected servers ngoài kết nối vào ISA
DNS Server Local
Server
Host)
8. Cho phép DHCP Allow DHCP requests from All Users 13. Cho phép DHCP
DHCP(reques Local Host Anywher
Request từ ISA gởi ISA Server to all networks Allow Continued Request từ ISA gởi
t) Protocols From/Listener e To
đến tất cả các mạng Name Condition đến tất cả các mạng
Học phần 3 - Quản trị mạng Microsoft Windows
14. Cho phép ISA thiết
9. Chấp nhận DHCP
Allow DHCP replies from Local lập kết nối VPN (site to
replies từ DHCP Allow DHCP (reply) Internal All Users
DHCP servers to ISA Server Host site) đến VPN Server
Server tới ISA Server
khác
Tài liệu hướng dẫn giảng dạy
10. Cho phép một số 15. Cho phép sử dụng
Allow ICMP (PING) Remote
máy được quyền gởi Local CIFS để truy xuất
requests from selected Allow Ping Management All Users
ICMP request đến ISA Host share file từ ISA đến
computers to ISA Server Computers
Server các server khác
.
er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
- er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
Trang 489/555
Name Action Protocol from/Listener To Condition Order/Comments Name Action
Allow ICMP ICMP All Networks
16. Cho phép login từ Allow remote SQL
requests from ISA Information (and Local
Allow Local Host All Users xa bằng SQL qua ISA logging from ISA Allow
Server to selected Request ICMP Host
server servers
servers Timestamp Network)
Allow HTTP/HTTPS
All VPN client 17. Cho phép truy xuất
requests from ISA
traffic to ISA Allow PPTP External Local Host All Users HTTP/HTTPS từ ISA Allow
Server to specified
Server đến một số site chỉ định
sites Name
Allow HTTP/HTTPS
External requests from ISA
All Users 18.
Allow VPN site- Cho phép
IPSec Remote Local Host Server to selected
to-site traffic to Allow NONE Continued HTTP/HTTPS từ ISA servers Allow
Gateways To for
ISA Server Name Condition đến một số server khác connectivity
From/Listener
verifiers
Allow access from
Học phần 3 - Quản trị mạng Microsoft Windows
19. Cho phép một số
External trusted computers
Allow VPN site-to- máy được truy xuất
IPSec to the Firewall
site traffic from Allow NONE Local Host All Users Firewall Client Allow
Remote Client installation
ISA Server installation share trên
Gateways share on ISA
Tài liệu hướng dẫn giảng dạy
ISA Server
Server
Allow remote
CIFS (Common
Microsoft CIFS 20. Cho phép quan sát performance
Internet File
Allow (TCP) Microsoft Local Host Internal All Users thông suất của ISA monitoring of ISA Allow
System) from ISA
CIFS (UDP) Server từ xa Server from trusted
Server to trusted
servers
servers
.
er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
- er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
Trang 490/555
Protocol from/Listen To Condition Order/Comments Name Action Protocol from/Listen
er er
21. Cho phép sử Allow NetBIOS Allow NetBIOS Datagram Local Host
Microsoft SQL dụng NetBIOS từ from ISA NetBIOS Name From/Listen
(TCP) Microsoft Local Host Internal All Users ISA Server đến một Server to Service NetBIOS er
SQL (UDP) số Server chỉ định trusted servers Sessions Protocols
sẵn Name
System
All Users 21. Cho phép sử Allow RPC Allow RPC (all interfaces) Local Host
HTTP
HTTP HTTPS Policy
Continued dụng RPC từ ISA from ISA
HTTPS
Protocols Allowed
Condition truy xuất đến một Server to
Protocols
Sites To
số server khác trusted servers
All
23. Cho phép truy Allow Allow HTTP HTTPS Local Host
Networks
xuất HTTP/HTTPS HTTP/HTTPS
HTTP HTTPS Local Host (and Local All Users
từ ISA Server tới from ISA
Host
một số Microsoft Server to
Network)
Microsoft CIFS error reporting site specified
Học phần 3 - Quản trị mạng Microsoft Windows
(TCP) Microsoft 24. Cho phép authentication Allow SecurID Local Host
CIFS (UDP) chứng thực from ISA
NetBIOS Datagram Internal Local Host All Users SecurID từ ISA đến Server to
NetBIOS Name một số server trusted servers
Tài liệu hướng dẫn giảng dạy
Service NetBIOS
Session
NetBIOS Datagram
25. Cho phép giám Allow remote Microsoft Local Host
Remote
NetBIOS Name
sát từ xa thông qua monitoring Operations
Managemen Local Host All Users
Service NetBIOS
giao thức Microsoft from ISA Manager Agent
t Computers
Session
Operations Server to
.
er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
- er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
Trang 491/555
To Condition Order/Comments Name Action Protocol from/Listen To Condition
er
Internal To All Users 26. Cho phép HTTP Traffic from ISA Allow + Action HTTP Protocols Local Host All Networks All Users
Continued traffic từ ISA Server tới Server to all From/Listen (and Local Continued
Condition một số network hỗ trợ networks (for CRL er Host) To Condition
dịch vụ chứng thực downloads) Name
download CRL
(Certificate Revocation
Internal All Users 27. Cho phép sử dụng Allow NTP from ISA Allow NTP (UDP) Local Host Internal All Users
NTP (giao thức đồng bộ Server to trusted
thời gian trên Windows NTP servers
NT 2k, XP) từ ISA tới một
Microsoft All Users 28. Cho phép traffic Allow SMTP from SMTP Local Host Internal All Users
Error SMTP từ ISA Server tới Allow ISA Server to
Reporting một số Server trusted servers
sites
Học phần 3 - Quản trị mạng Microsoft Windows
Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host All Networks System
máy sử dụng Content selected computers (and Local and
Download Jobs. for Content Host) Network
Download Jobs Service
Tài liệu hướng dẫn giảng dạy
Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host Remote All Users
máy khác sử dụng MMC communication to traffic Management
điều khiển ISA selected computers Computers
.
er
m
o
.c
w
!
e
c u -tr a c k
h a n g e Vi
W
O
N
y
bu
to
k
XC
.d o
lic
C
F-
w
w
PD
w
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên
cột System policy.
Hình 5.12: System policy Rules.
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.
Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.
Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ
Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.
.
Trang 492/555
Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
Hình 5.14: System Policy Editor.
Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua
-
giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả
dưới tên là “system policy allow sites” bao gồm:
*.windows.com
-
*.windowsupdate.com
-
*.microsoft.com
-
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên
ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System
Policy Rule có tên
Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA
+
Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào
item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ
truy xuất theo cú pháp *.domain_name.
Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có
-
tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity
verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt
sự thay đổi vào hệ thống.
.
Trang 493/555
Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
Hình 5.15: Mô tả System Policy Sites.
Chú ý:
Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại
-
nếu ISA Firewall còn phải thông qua một hệ thống ISA Firew all hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy
cha lấy thông tin từ Internet Web Server.
Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA
+
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi
vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream
server.
Hình 5.16: Chỉ định Upstream server.
Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
+
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta
cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.
Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
-
Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.
.
Trang 494/555
Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
Chỉ định địa chỉ của Web Proxy trong textbox Address.
-
Chỉ Web Proxy Port trong Textbox Port là 8080.
-
Hình 5.16: Chỉ định Client sử dụng Proxy Server.
V.4. Tạo Và Sử Dụng Firewall Access Policy.
Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server
-
Publishing Rules và Access Rules.
Web Publishing Rules và Server Publishing Rules được sử dụng để cho phép inbound
+
access.
Access rules dùng để điều khiển outbound access.
o
ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down (Lưu ý rằng
-
System Policy được kiểm tra trước Access Policy do user định nghĩa), nếu packet phù hợp với
một luật nào đó thì ISA Firewall thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật,
sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu packet không phù hợp với bất kỳ
System Access Policy và User-Defined Policy thì ISA Firewall deny packet này.
Một số tham số mà Access Rule sẽ kiểm tra trong connection request:
-
Protocol: Giao thức sử dụng.
+
From: Địa chỉ nguồn.
+
Schedule: Thời gian thực thi luật.
+
To: Địa chỉ đích.
+
Users: Người dùng truy xuất.
+
Content type: Loại nội dung cho HTTP connection.
+
V.4.1 Tạo một Access Rule.
Access Rules trên ISA Firewall luôn luôn áp đặt luật theo hướng ra (outbound). Ngược lại, Web
Publishing Rules, Server Publishing Rules áp đặt theo hướng vào (inbound). Access Rules điều
khiển truy xuất từ source tới destination sử dụng outbound protocol. Một số bước tạo Access
Rule:
3. Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management console,
mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong Task Pane,
nhấp chuột vào liên kết Create New Access Rule.
.
Trang 495/555
Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
4. Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rule
name, nhấp chuột vào nút Next để tiếp tục.
5. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc
định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp
tục.
6. Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17). Ta sẽ chọn giao thức (protocol) để cho
phép/cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh
sách This rule applies to.
All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn
-
này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì
tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary
protocols đã được định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với
SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã
được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất
tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol
Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client.
Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng protocols để áp đặt vào luật
-
(rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một
Protocol Definition.
All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà
-
không được định nghĩa trong hộp thoại.
Hình 5.17: Lựa chọn protocol để mô tả cho Rule.
Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật
(tham khảo hình 5.18).
.
Trang 496/555
Học phần 3 - Quản trị mạng Microsoft Windows
- h a n g e Vi h a n g e Vi
XC XC
e e
F- F-
w w
PD
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
Tài liệu hướng dẫn giảng dạy
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.c .c
.d o .d o
c u -tr a c k c u -tr a c k
Hình 5.18: Lựa chọn protocol để mô tả cho Rule.
1. Hiển thị hộp thoại Access Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào
luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa
chỉ nguồn từ hộp thoại này (tham khảo hình), chọn Next để thực hiện bước tiếp theo.
Hình 5.19: Chọn địa chỉ nguồn.
2. Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật
bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này
cho phép ta chọn địa chỉ đích (Destination) được mô tả sẳn trong hộp thoại hoặc có thể định
nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau
khi hoàn tất quá trình ta chọn nút Next để tiếp tục.
3. Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật
sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thông số này bằng cách chọn Edit hoặc
thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục
4. Chọn Finish để hoàn tất.
V.4.2 Thay đổi thuộc tính của Access Rule.
.
Trang 497/555
Học phần 3 - Quản trị mạng Microsoft Windows
nguon tai.lieu . vn