Xem mẫu
- Tài liệu hướng dẫn giảng dạy
Hình 5.9: Chọn Network Adapter.
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table.
Chọn OK trong hộp thoại Internal network address ranges.
Hình 5.10: Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt.
Chọn dấu check “Allow computers running earlier versions of Firewall Client software to
connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next.
Hình 5.11: Tùy chọn tương thích với ISA Client.
.
Trang 485/555
Học phần 3 - Quản trị mạng Microsoft Windows
- Tài liệu hướng dẫn giảng dạy
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin
Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) /
Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)
services.
Chọn Finish để hoàn tất quá trình cài đặt.
V. Cấu hình ISA Server.
V.1. Một số thông tin cấu hình mặc định.
Tóm tắt một số thông tin cấu hình mặc định:
-
System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các
-
traffic còn lại đều bị cấm.
Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network.
-
Cho phép NAT giữa Internal Network và External Network.
-
Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall.
-
Đặc điểm Cấu hình mặc định (Post-installation Settings)
User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của
Administrators group trên máy tính nội bộ có thể cấu hình firewall policy).
Network settings Các Network Rules được tạo sau khi cài đặt:
Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và
tất cả các mạng khác.
Internet Access: Định nghĩa Network Address Translation (NAT).
VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients
Network và Internal Network.
Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các
traffic giữa các mạng.
System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system
policy rule chỉ cho phép truy xuất một số service cần thiết.
Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các
request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể
nhận từ Proxy Server khác.
Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô
hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web
caching.
Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện.
Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình
.
Trang 486/555
Học phần 3 - Quản trị mạng Microsoft Windows
- Trang 487/555
Order/Comments Name Action Protocol from/Listener To Condition
LDAP ;LDAP (UDP)
LDAP GC (global
1. Chỉ sử dụng khi ISA Allow access to
catalog)
Firewall là thành viên Directory services Allow Local Host Internal All Users
của Domain purposes LDAPS ;LDAPS GC
(Global Catalog)
NetBIOS datagram
Allow remote
2. Cho phép quản lý ISA Remote
management from NetBIOS Local
Firewall từ xa thông qua Allow Management All Users
V.2. Một số chính sách mặc định của hệ thống
selected computers Host
Name Service Computers
công cụ MMC
using MMC
NetBIOS
thông số proxy dụng Web browser.
Allow remote Remote
3. Cho phép quản lý ISA
management from All Users
(Terminal Management Local
Firewall thông qua RDP
selected computers Allow Continued
Terminal Services Services) Protocols Computers Host
using Terminal Condition
Protocol From/Listener
Server Name
Học phần 3 - Quản trị mạng Microsoft Windows
NetBIOS Datagram
Allow remote
4. Cho phép login tới
logging to trusted NetBIOS Name Local Host
một số server sử dụng Allow Internal All Users
servers using Service NetBIOS
giao thức NetBIOS
NETBIOS Session
Tài liệu hướng dẫn giảng dạy
Allow RADIUS
5. Cho phép RADIUS RADIUS
authentication from
authentication từ ISA đến
ISA Server to Allow Local Host Internal All Users
RADIUS
một số trusted RADIUS
trusted RADIUS Accounting
servers
servers
.
- Trang 488/555
Order/Comments Name Action Protocol from/Listener To Condition Order/Comments
Allow Kerberos
Kerberos-Sec
6. Cho phép chứng 11. Cho phép ISA
thực kerberos từ ISA authentication (TCP) Local Host Server g ởi ICMP
Allow Internal All Users
Server tớ i trusted from ISA Server request tới một số
Kerberos-Sec
server server
(UDP)
to trusted servers
All
12. Cho phép tất cả
7. Cho phép sử dụng Networks
Allow DNS from ISA Server các VPN Client bên
DNS từ ISA tới một số Allow DNS Local Host (and All Users
to selected servers ngoài kết nối vào ISA
DNS Server Local
Server
Host)
8. Cho phép DHCP Allow DHCP requests from All Users 13. Cho phép DHCP
DHCP(reques Local Host Anywher
Request từ ISA gởi ISA Server to all networks Allow Continued Request từ ISA gởi
t) Protocols From/Listener e To
đến tất cả các mạng Name Condition đến tất cả các mạng
Học phần 3 - Quản trị mạng Microsoft Windows
14. Cho phép ISA thiết
9. Chấp nhận DHCP
Allow DHCP replies from Local lập kết nối VPN (site to
replies từ DHCP Allow DHCP (reply) Internal All Users
DHCP servers to ISA Server Host site) đến VPN Server
Server tới ISA Server
khác
Tài liệu hướng dẫn giảng dạy
10. Cho phép một số 15. Cho phép sử dụng
Allow ICMP (PING) Remote
máy được quyền gởi Local CIFS để truy xuất
requests from selected Allow Ping Management All Users
ICMP request đến ISA Host share file từ ISA đến
computers to ISA Server Computers
Server các server khác
.
- Trang 489/555
Name Action Protocol from/Listener To Condition Order/Comments Name Action
Allow ICMP ICMP All Networks
16. Cho phép login từ Allow remote SQL
requests from ISA Information (and Local
Allow Local Host All Users xa bằng SQL qua ISA logging from ISA Allow
Server to selected Request ICMP Host
server servers
servers Timestamp Network)
Allow HTTP/HTTPS
All VPN client 17. Cho phép truy xuất
requests from ISA
traffic to ISA Allow PPTP External Local Host All Users HTTP/HTTPS từ ISA Allow
Server to specified
Server đến một số site chỉ định
sites Name
Allow HTTP/HTTPS
External requests from ISA
All Users 18.
Allow VPN site- Cho phép
IPSec Remote Local Host Server to selected
to-site traffic to Allow NONE Continued HTTP/HTTPS từ ISA servers Allow
Gateways To for
ISA Server Name Condition đến một số server khác connectivity
From/Listener
verifiers
Allow access from
Học phần 3 - Quản trị mạng Microsoft Windows
19. Cho phép một số
External trusted computers
Allow VPN site-to- máy được truy xuất
IPSec to the Firewall
site traffic from Allow NONE Local Host All Users Firewall Client Allow
Remote Client installation
ISA Server installation share trên
Gateways share on ISA
Tài liệu hướng dẫn giảng dạy
ISA Server
Server
Allow remote
CIFS (Common
Microsoft CIFS 20. Cho phép quan sát performance
Internet File
Allow (TCP) Microsoft Local Host Internal All Users thông suất của ISA monitoring of ISA Allow
System) from ISA
CIFS (UDP) Server từ xa Server from trusted
Server to trusted
servers
servers
.
- Trang 490/555
Protocol from/Listen To Condition Order/Comments Name Action Protocol from/Listen
er er
21. Cho phép sử Allow NetBIOS Allow NetBIOS Datagram Local Host
Microsoft SQL dụng NetBIOS từ from ISA NetBIOS Name From/Listen
(TCP) Microsoft Local Host Internal All Users ISA Server đến một Server to Service NetBIOS er
SQL (UDP) số Server chỉ định trusted servers Sessions Protocols
sẵn Name
System
All Users 21. Cho phép sử Allow RPC Allow RPC (all interfaces) Local Host
HTTP
HTTP HTTPS Policy
Continued dụng RPC từ ISA from ISA
HTTPS
Protocols Allowed
Condition truy xuất đến một Server to
Protocols
Sites To
số server khác trusted servers
All
23. Cho phép truy Allow Allow HTTP HTTPS Local Host
Networks
xuất HTTP/HTTPS HTTP/HTTPS
HTTP HTTPS Local Host (and Local All Users
từ ISA Server tới from ISA
Host
một số Microsoft Server to
Network)
Microsoft CIFS error reporting site specified
Học phần 3 - Quản trị mạng Microsoft Windows
(TCP) Microsoft 24. Cho phép authentication Allow SecurID Local Host
CIFS (UDP) chứng thực from ISA
NetBIOS Datagram Internal Local Host All Users SecurID từ ISA đến Server to
NetBIOS Name một số server trusted servers
Tài liệu hướng dẫn giảng dạy
Service NetBIOS
Session
NetBIOS Datagram
25. Cho phép giám Allow remote Microsoft Local Host
Remote
NetBIOS Name
sát từ xa thông qua monitoring Operations
Managemen Local Host All Users
Service NetBIOS
giao thức Microsoft from ISA Manager Agent
t Computers
Session
Operations Server to
.
- Trang 491/555
To Condition Order/Comments Name Action Protocol from/Listen To Condition
er
Internal To All Users 26. Cho phép HTTP Traffic from ISA Allow + Action HTTP Protocols Local Host All Networks All Users
Continued traffic từ ISA Server tới Server to all From/Listen (and Local Continued
Condition một số network hỗ trợ networks (for CRL er Host) To Condition
dịch vụ chứng thực downloads) Name
download CRL
(Certificate Revocation
Internal All Users 27. Cho phép sử dụng Allow NTP from ISA Allow NTP (UDP) Local Host Internal All Users
NTP (giao thức đồng bộ Server to trusted
thời gian trên Windows NTP servers
NT 2k, XP) từ ISA tới một
Microsoft All Users 28. Cho phép traffic Allow SMTP from SMTP Local Host Internal All Users
Error SMTP từ ISA Server tới Allow ISA Server to
Reporting một số Server trusted servers
sites
Học phần 3 - Quản trị mạng Microsoft Windows
Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host All Networks System
máy sử dụng Content selected computers (and Local and
Download Jobs. for Content Host) Network
Download Jobs Service
Tài liệu hướng dẫn giảng dạy
Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host Remote All Users
máy khác sử dụng MMC communication to traffic Management
điều khiển ISA selected computers Computers
.
- Tài liệu hướng dẫn giảng dạy
Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên
cột System policy.
Hình 5.12: System policy Rules.
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.
Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.
Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ
Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.
.
Trang 492/555
Học phần 3 - Quản trị mạng Microsoft Windows
- Tài liệu hướng dẫn giảng dạy
Hình 5.14: System Policy Editor.
Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua
-
giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả
dưới tên là “system policy allow sites” bao gồm:
*.windows.com
-
*.windowsupdate.com
-
*.microsoft.com
-
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên
ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System
Policy Rule có tên
Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA
+
Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào
item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ
truy xuất theo cú pháp *.domain_name.
Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có
-
tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity
verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt
sự thay đổi vào hệ thống.
.
Trang 493/555
Học phần 3 - Quản trị mạng Microsoft Windows
- Tài liệu hướng dẫn giảng dạy
Hình 5.15: Mô tả System Policy Sites.
Chú ý:
Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại
-
nếu ISA Firewall còn phải thông qua một hệ thống ISA Firew all hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy
cha lấy thông tin từ Internet Web Server.
Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA
+
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi
vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream
server.
Hình 5.16: Chỉ định Upstream server.
Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
+
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta
cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.
Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
-
Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.
.
Trang 494/555
Học phần 3 - Quản trị mạng Microsoft Windows
nguon tai.lieu . vn