Trong phần ba này chúng ta sẽ cài đặt các dịch vụ trên ISA Firewall của văn phòng chính và văn phòng chi nhánh.. Cài đặt các dịch vụ ISA Firewall tại trụ sở chính Bây giờ chúng ta đã có
Trang 1Trong phần 1 bạn đã được tìm hiểu về việc sử dụng Branch Office
Connectivity Wizard để tạo kết nối VPN site to site giữa ISA 2006 Enterprise Edition tại trụ sở chính và văn phòng chi nhánh Cũng trong phần một, chúng ta đã thảo luận về cơ sở hạ tầng mạng cốt lõi sử dụng trong loạt bài này, sau đó đi sâu vào chi tiết của các yêu cầu tiên quyết cho mạng riêng
ảo site to site và cách gỡ lỗi một số vấn đề phổ biến trong VPN site to site
Trong phần hai, chúng ta thực hiện cấu hình DNS server (máy chủ quản lý hệ thống tên miền) với các điểm vào DNS thích hợp cần thiết để giải pháp hoạt động và ngưng sử dụng DDNS để cổng vào mạng riêng ảo ISA Firewall không đăng ký giao diện VPN PPP trong DDNS Sau đó là cài đặt CSS trên một máy chuyên dụng và tạo hai ISA Firewall Array trên CSS: một cho trụ sở chính và một cho chi nhánh
Trong phần ba này chúng ta sẽ cài đặt các dịch vụ trên ISA Firewall của văn phòng chính và văn phòng chi nhánh
Cài đặt các dịch vụ ISA Firewall tại trụ sở chính
Bây giờ chúng ta đã có CSS và các mảng Firewall Array được định nghĩa bên trong nó Tiếp theo sẽ là cài đặt các dịch vụ trên ISA Firewall tại trụ sở chính và trỏ ISA Firewall main office cho CSS main office Xin nhớ rằng, tất cả thông tin cấu hình của thành viên trong các mảng ISA Firewall được lưu trữ và lấy ra từ CSS Bạn không thể tự cấu hình trực tiếp chúng Tất cả cấu hình phải được thực hiện trên CSS và CSS sẽ cung cấp thông tin cấu hình này cho các thành viên mảng ISA Firewall
Tường lửa tại trụ sở chính sẽ được cấu hình trong quá trình cài đặt để sử dụng máy tính CSS chuyên dụng Đó cũng chính là nhà cung cấp CSS và cũng sẽ
được cấu hình để liên kết với mảng Main trong cùng thời gian System Policy sẽ
được cấu hình tự động cho phép ISA Firewall liên lạc với cả CSS và Domain Controller Chúng ta sẽ xem xét đến chính sách hệ thống này sau khi cài đặt các dịch vụ trên ISA Firewall chủ
Thực hiện các bước sau:
1 Đưa đĩa cài ISA 2006 vào ổ đọc, chờ một vài phút menu autorun (tự động chạy sau khi nhận đĩa) sẽ xuất hiện Nếu menu này không xuất hiện, kích
đúp vào file ISAAutorun.exe có trong các thư mục của đĩa
Trang 28 Trên trang Locate Configuration Server, nhập FQDN cho máy CSS, ở ví
dụ này là css2006.msfirewall.org Chúng ta sẽ nhập thông tin này trong hộp Configuration Storage server (type the FQDN) Ở khung
Connection Credentials, chọn Connect using the credentials of the
Trang 3nhân dạng để thẩm định cho phù hợp Ở ví dụ này chúng ta sẽ sử dụng
vai trò quản trị Vì thế lựa chọn ở đây là Connect using the credentials
of the logged on user, kích Next
Hình 2
9 Trên trang Array Membership, chọn Join an existing array và kích Next.
Trang 410 Trên trang Join Existing Array, ấn nút Browser Hộp thoại Arrays
to Join xuất hiện, cung cấp danh sách các mảng có thể dùng Chọn Main
và bấm OK
Trang 511 Kích Next trên trang Join Existing Array
Trang 612 Trên trang Configuration Storage Server Authentication Options,
chọn cách thức ISA Firewall thẩm định CSS Có hai tuỳ chọn cho bạn:
Windows authentication (thẩm định trong Windows) và Authentication over SSL encrypted channel (thẩm định qua kênh mã hoá SSL)
Thường thì tuỳ chọn thứ nhất hay hơn, vì nó đòi hỏi ISA Firewall và CSS phải nằm trong cùng một domain, là cấu hình an toàn nhất Nếu bạn bị đe doạ bởi “những kẻ xâm phạm mạng” hay “đội bảo mật” không hiểu thấu đáo về ISA Firewall, hay không biết tại sao hệ điều hành lại là Windows 95 cài đặt Zone Alarm, bạn có thể đã bị mắc kẹt với ISA hoặc cả ISA Firewall không phải là thành viên của domain Trong trường hợp đó bạn sẽ phải dùng máy thẩm định chứng chỉ và kênh mã hoá SSL
Nếu gặp vấn đề khi dùng kiểu thẩm định qua SSL, bạn cần cài đặt chứng chỉ CA của máy phát hành chứng chỉ cho CSS trên thiết bị ISA Firewall
Trong ví dụ hiện tại của chúng ta, cả ISA Firewall và CSS đều là thành viên miền Vì thế không cần phải lo lắng về các chứng chỉ, chỉ cần chọn
Windows authentication và kích Next
Trang 713 Trên trang Internal Network, định nghĩa địa chỉ IP theo mạng nội bộ
mặc định (default Internal Network) Mạng nội bộ mặc định là mạng chứa các Domain Controller và nhiều server cơ sở hạ tầng then chốt khác như
DNS, WINS, các dịch vụ thẩm định Kích vào nút Add
Trang 814 Trên trang Addresses, kích vào nút Add Adapter
Trang 915 Trong hộp thoại Select Network Adapters, đánh dấu chọn vào ô
bên cạnh NIC thể hiện giao diện nội bộ của ISA Firewall Ở ví dụ này, tôi đặt lại tên các NIC để dễ nhận dạng Nhớ rằng bạn cần làm nhiều việc hơn là chỉ kích vào tên NIC Bạn cần đánh dấu chọn trong ô checkbox
Kích OK
Trang 1016 Kích OK trong hộp thoại Select Network Adapters, rồi bấm OK tiếp trong hộp thoại Addresses; sau đó kích Next trên trang Internal Network.
Chú ý là phạm vi địa chỉ IP ở đây là theo định nghĩa của mạng nội bộ mặc định Nếu bạn thấy các địa chỉ này không có trong danh sách, có nghĩa là bạn đã không cấu hình bảng định tuyến trên ISA Firewall để định hướng sang các ID mạng khác nằm sau giao diện nội be của ISA Firewall Khi đó, thoát chương trình cài đặt và cấu hình lại bảng định tuyến để nó chứa tất
cả ID mạng nội bộ Khởi động lại chương trình cài đặt để tiếp tục
Trang 1117 Trang Services Warning thông báo cho bạn biết rằng trong quá trình cài đặt, chương trình sẽ tạm ngưng dịch vụ SNMP Service, FTP Publishing Service, NNTP Service, IIS Admin Service và World Wide Web Publishing Service Với một chương trình cài đăt ISA Firewall triển
khai chính xác, không có dịch vụ nào trong số các dịch vụ trên (ngoại trừ SNMP) được cài đặt trên ISA Firewall Nếu muốn có thủ tục cài cho các đối tượng SNMP MIB, bạn cần cài đặt dịch vụ SNMP trên ISA Firewall
trước khi khởi động chương trình Setup Kích Next để tiếp tục
Trang 1218 Kích Install
Trang 1319 Thanh tiến trình xuất hiện, cung cấp thông tin tình trạng cài đặt và các thủ tục đang diễn ra
Hình 13
20 Kích Finish trên trang Installation Wizard Completed khi kết thúc.
Trang 1421 Vào máy CSS, mở console ISA Firewall ra Mở rộng nút Arrays, sau
đó là nút mảng Main > Configuration > Servers Bạn sẽ thấy tên của ISA
Firewall main office ở đó và dấu kiểm màu xanh trên biểu tượng, tức là hoạt động liên lạc giữa CSS và ISA Firewall main office đang hoạt động một cách chính xác
Trang 15một hộp sẵn sàng để triển khai tại chi nhánh Tính phức tạp của cấu hình ngày càng tăng vì nhiều admin ISA Firewall nhận ra rằng quan hệ thành viên miền là yếu tố bảo mật then chốt cùng với yêu cầu về độ linh hoạt Biến một ISA Firewall nhánh thành đích đến cho thành viên miền VPN site to site là rất khó và đòi hỏi các admin giàu kinh nghiệm mới làm được
ISA Firewall 2006 đã giải quyết vấn đề này với Branch Office Connectivity
Wizard Chương trình cài đặt Wizard cho phép bạn cung cấp dự phòng ISA Firewall nhánh tại văn phòng chính và gắn nó vào văn phòng nhánh Người dùng chuyên nghiệp tại văn phòng nhánh có thể sẽ được cung cấp các hướng dẫn về cách cắm vào nguồn, cáp mạng và cách chạy Branch Office Connectivity
Wizard
Người dùng không cần thực hiện bất kỳ quyết định nào vì ISA Firewall dự phòng
có chứa một file trả lời, cung cấp tất cả trả lời của Branch Office Connectivity Wizard Họ chỉ cần khởi động ứng dụng và thực hiện các click qua màn hình Wizard sẽ thiết lập kết nối VPN, liên kết ISA Firewall với miền, khởi động lại và kết nối tới CSS, mảng chính xác
Trước khi gắn hộp vào văn phòng nhánh, bạn nên cài đặt CSS cục bộ và các dịch vụ ISA Firewall trên tường lửa nhánh Điều này đòi hỏi bạn phải gán các địa chỉ IP vào giao diện nội bộ và bên ngoài sẽ được dùng tại văn phòng nhánh Tất
cả các NIC cần được kết nối tới hub hoặc switch trong quá trình cài đặt Trước khi cài phần mềm ISA Firewall, bạn cần gán cho máy địa chỉ cục bộ hợp lệ và cổng vào mặc định để có thể cài đặt tất cả các bản Windows Update
Sau khi cài các bản update, bạn cần thay đổi thông tin địa chỉ IP trên các NIC của ISA Firewall sao cho khớp với số sẽ được dùng tại văn phòng chi nhánh Thực hiện theo các bước sau:
1 Đưa đĩa cài ISA 2006 Firewall vào máy nhánh và chờ menu autorun Nếu
menu autorun không xuất hiện, kích đúp lên file ISAAutorun.exe nằm trong các thư mục của đĩa Kích vào liên kết Install ISA Server 2006
Trang 177 Trên trang Enterprise Installation Options, chọn Create a new ISA Server enterprise Chúng ta cần thực hiện điều này vì máy cần được cấu
hình như một server đơn là thành viên mảng CSS cục bộ trước khi chạy Branch Office Connectivity Wizard để liên kết máy tới miền và cấu hình sử
dụng CSS tại văn phòng chính Kích Next
Trang 188 Trên trang New Enterprise Warning có một số thông tin liên quan đến
việc tạo các ISA Firewall Enterprise mới Thông tin này không áp dụng
cho cấu hình hiện tại của chúng ta Kích Next
Trang 199 Trên trang Internal Network, kích vào nút Add Trong hộp thoại Addresses, kích Add Adapter
Trang 2010 Trong hộp thoại Select Network Adapters, đánh dấu kiểm vào hộp
checkbox đặt cạnh giao diện nội bộ của ISA Firewall nhánh Các địa chỉ IP định nghĩa Internet Network (mạng nội bộ) mặc định tại văn phòng chi
nhánh sẽ xuất hiện trong khung ở hộp thoại Network adapter details này
Nếu thông tin đưa ra không chính xác có nghĩa là bảng định tuyến trên ISA Firewall nhánh chưa được cấu hình đúng Nếu có nhiều ID mạng đặt sau giao diện nội bộ của ISA Firewall nhánh, bạn phải cấu hình bảng định tuyến cho các mạng này trước khi cài đặt ISA Firewall Nếu chưa thực hiện điều này, thoát chương trình cài, thực hiện thông tin vào trên bảng định tuyến cho chính xác và khởi động lại ISA Firewall Installation Wizard
Trang 21kiểm trong hộp checkbox cạnh giao diện nội bộ và kích OK
Hình 21
11 Kích OK trong hộp thoại Addresses
Trang 2212 Các địa chỉ định nghĩa Internet Network mặc định bây giờ xuất hiện
trên trang Internet Network Kích Next
Trang 2313 Trên trang Firewall Client Connections, chấp nhận các thiết lập
mặc định không cho phép các kết nối client Firewall không mã hoá tới ISA
Firewall và kích Next
Trang 2414 Trên trang Service Warning, có một số thông tin thông báo cho bạn biết các dịch vụ SNMP Service, FTP Publishing Service, NNTP Service, IIS Admin Service và World Wide Web Publishing Service sẽ được
ngừng lại trong quá trình cài đặt Sẽ không có bất kỳ dịch vụ nào được cài đặt trong ISA Firewall, ngoại trừ SNMP Nếu muốn dùng các đối tượng Firewall MIB, đầu tiên phải có SNMP trên thiết bị ISA Firewall trước khi cài
phần mềm ISA Firewall Kích Next
Trang 2515 Kích Install để hoàn chính quá trình cài đặt
Trang 2616 Một thanh tiến trình xuất hiện hiển thị trạng thái hiện tại của quá trình cài và hoạt động nào đang diễn ra
Hình 27
17 Kích vào nút Finish trên trang Installation Wizard Completed để
kết thúc
Trang 2718 Đóng cửa sổ Internet Explorer hiển thị trang Protect ISA Server Computer và khởi động lại máy tính ISA Firewall nhánh
Đến bây giờ, ISA Firewall nhánh hầu như đã sẵn sàng gắn văn phòng chi nhánh Tuy nhiên, trước khi thực hiện điều này chúng ta phải tạo file trả lời trên máy tính CSS văn main office và tạo fiel trả lời tới gốc của ổ C: trên ISA Firewall nhánh
Sau khi hoàn chỉnh bước này, chúng ta có thể gắn hộp vào văn phòng nhánh Tóm tắt
Trong phần ba của loạt bài sử dụng Branch Office Connectivity Wizard để tạo kết nối site to site giữa các cổng vào mạng riêng ảo ISA 2006 Firewall VPN tại văn phòng chính và văn phòng chi nhánh, chúng ta đã xem xét các thủ tục cài đặt dịch vụ ISA Firewall main office trên ISA Firewall tại trụ sở chính và kết hợp ISA Firewall với mảng ISA Firewall main office Sau đó là cài đặt CSS cục bộ và các dịch vụ ISA Firewall trên ISA Firewall nhánh Điều này cho phép tạo ISA Firewall nhánh dự trữ tại văn phòng chính trước khi gắn nó với văn phòng nhánh Trong phần tiếp theo của loạt bài này, chúng ta sẽ tạo kết nối mạng riêng ảo tại văn phòng chính thông qua tạo Remote Network (mạng từ xa) Sau đó là tạo file trả lời cho người dùng Power User tại văn phòng nhánh tạo kết nối VPN tới văn phòng chính
