Các đặc tính Access policy : xác định các giao thức và nội dung mà các client trong internal network được phép truy cập VPNs :Mở rộng một mạng riêng bằng cách sử dụng các liên kết qua m
Trang 1CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006
1.1 Khái niệm chung.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc
độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN) Ngoài ra còn rất nhiều các tính năng khác nữa
Đặc điểm nổi bật của bản 2006 so với các phiên bản khác là tính năng Publishing và VPN
Về khả năng Publishing Service
− ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu formbased chống lại các người dùng bất hợp pháp vào trang web OWA tính năng này được phát triển dưới dạng Addins
− Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password)
− Block các kết nối nonencrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server
− Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn hỗ trợ cả các sản phẩm mới như Exchange 2007.Khả năng kết nối VPN
− Cung cấp Wizard cho phép cấu hình tự động sitetosite VPN ở 2 văn phòng riêng biệt tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được tích hợp hoàn toàn Quanratine,
− Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy
đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,
− Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel sitetosite (với các sản phẩm VPN khác)
Trang 2− Cho phép ủy quyền quản trị cho các User/Group
− Log và Report chi tiết cụ thể
− Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)
− Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA
2000, 2004 )
− Tích hợp với giải pháp quản lý của Microsoft: MOM
− SDK
Các tính năng khác
− Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM)
− Max 32 node Network Loadbalancing
− Hỗ trợ nhiều network
− Route/NAT theo từng network
− Firewall rule đa dạng
− IDS
− Flood Resiliency
− HTTP compression
− Diffserv
1.2 Các phiên bản ISA Server 2006
ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau
ISA Server 2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng thông
cho các công ty có quy mô trung bình Với phiên bản này chúng ta có thể xây dựng các firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi
bộ của công ty Kiểm sóat quá trình truy cập của người dùng theo giao thức, thời gian và nội dung của các site nhằm ngăn chặn quá trình kết nối vào những trang web có nội dung không hợp lệ Bên cạnh đó chúng ta còn có thể triển khai các hệ thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập từ xa của các User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh Đối với các công ty có những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2006 cho phép chúng ta triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của các internal/External User Ngòai các tính năng mang tính bảo mật thông tin trên thì ISA 2006 còn có hệ thống cache giúp cho người dùng kết nối Internet nhanh hơn do thông tin trang web có thể được lưu giữ sẳn trên RAM hay đĩa cứng, điều này làm cho băng thông của hệ thống được tiết kiệm đáng kể Chính vì lý do đó
mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật
ứng dụng và tăng tốc băng thông)
Trang 3ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,
cần những hệ thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử dụng (User) bên trong và ngòai hệ thống Ngòai những tính năng đã có trên ISA Server 2004/2006 Standard, phiên bản Enterprise còn cho phép chúng ta thiết lập các hệ thống Array (mãng) các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) phục vụ tốt hơn các yêu cầu của tổ chức
1.3 Các đặc tính
Access policy : xác định các giao thức và nội dung mà các client trong
internal network được phép truy cập
VPNs :Mở rộng một mạng riêng bằng cách sử dụng các liên kết qua mạng chia sẻ hoặc mạng công cộng nhưInternet.
Packet filtering :Điều khiển lưu lượng gói IP đến và
từ adapter bên ngoài mạng ISA
Application filters: cho phép thực hiện các giao thức cụ thể hoặc công việc
hệ thống cụ thể như: xác thực … để cung cấp thêm một lớp bảo mật chi firewall
Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server
CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006
2.1 Mô hình ISA Server 2006
Trang 4Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi
2.2 Cài Đặt ISA Server 2006
2.2.1 Chuẩn bị
Đặt IP Address :Cấu hình IP các máy như sau:
Card Lan IP Address Subnet Mask 192.168.1.2255.255.255.0
Default gateway192.168.1.1(Modem
* Nâng cấp Domain Controller trên máy Server
- Tại máy DC ( PC 01) Start→Run→DCPROMO
Trang 5- Domain Name: hui.com
* Join domain các máy ISA(PC02) vào hui.com
My Computer → Propertie s→ tab Computer Name → nhấp
Change → Member Of Domain: hui.com
2.2.2 Cài đặt ISA 2006 Standard
B1: Từ Source ISA2006 chạy file:ISAAutorun.exe giao diện xuất hiện, chọn
Intall ISA server 2006 → Next
B2: Hộp thoại “ wellcom to the Installtion Wizard for Microsoft ISA server 2006”→ Next
Trang 6B3:Chọn “I accept the terms in the license agreement option on the License Agreement “ → Next
B4: Nhập vào ô “user name” tronh hộp thoại Customer Information→ Next
Trang 7B5 : Trong hộp thoại Setup Type , chọn Typical → Next
B6: trong hộp thoại Internal Network, chọn Add, nhập vùng địa chỉ mạng
intrenal: 172.16.1.0-172.16.1.255 → Next
Trang 8B7.Trong hộp thoại Firewall Client Conection, bỏ check “Allow non-encrypted Firewall client connections → Next
B8 Trong hộp thoạiServices Warning, chọn Next → Intall trong hộp thoại
ready to Install the Program
Trang 9B9 Chọn Finish trong hộp thoại Installation Wizard Completed
Trang 10CHƯƠNG 3: ACCESS POLICY
ISA firewall’s Access Policy bao gồm Web Publishing Rules, Server Publishing Rules và Access Rules Web Publishing Rules và Server Publishing Rules được dùng để cho phép truy cập từ ngoài vào, Access Rule được dùng để điều khiển truy cập ra ngoài Nhìn chung bạn nên dùng Web Publishing Rules, Server Publishing Rules khi muốn kết nối từ một máy ngoài vào máy trong mạng ISA Access Rule dùng điều khiển truy cập giữa hai mạng bất kỳ
Khi ISA chặn yêu cầu truy cập từ ngoài vào, nó kiểm tra Network Rules và Firewall Policy xác định có được phép truy cập không Network rule được kiểm tra đầu tiên Nếu không có Network Rule nào định nghĩa như NAT hoặc ROUTE giữa hai mạng đó thì không kết nối được
Khi một yêu cầu kết nối ra ngoài được nhận bởi ISA, điều đầu tiên ISA làm là kiểm tra xem nếu có một Network Rule định tuyến giữa nguồn và điểm đến không Nếu không có Network Rule, các ISA firewall giả định rằng điểm nguồn và điểm đến là không kết nối Nếu có giữa các nguồn và sau đó ISA firewall xử lý các Access Rules trong Access Policy từ trên xuống.Nếu Rule cho phép được kết hợp với các yêu cầu kết nối ra bên ngoài, ISA firewall sẽ cho phép yêu cầu Để Rule cho phép được áp dụng để kết nối , các đặc tính của yêu cầu kết nối phải phù hợp với đặc tính được định nghĩa bởi Access Rule như: Protocol, Users, Content types, Shedules, Network Objects Nếu không thoả các đặc tính thì ISA firewall sẽ xét đến Rule kế iếp.
Nếu Access Rule phù hợp với các đặc tính trong các yêu cầu kết nối, sau đó bước tiếp theo là cho ISA firewall sẽ kiểm tra Network Rules lại một lần nữa để xác định nếu có một NAT hoặc Route mối quan hệ giữa điểm nguồn và điểm đến
3 1 ISA firewall access rule element
ISA Firewall bao gồm các yếu tố và chính sách sau:
Trang 11ISA Firewall bao gồm một số giao thức có sẵn, bạn có thể dùng để tạo Access Rules, Web Publishing Rules và Server Publishing Rules Ngoài ra bạn có thể tạo các giao thức riêng cho bạn bằng
cách sử dụng New Protocol Wizard của ISA Firewall Khi tạo một giao thức mới bạn cần xác định các
thông tin sau:
Protocol Type: TCP, UDP, ICMP, or IP-level protocol.
Direction: UDP bao gồm gửi, nhận,gửi nhận, nhận gửi TCP bao gồm Inbound và Outbound ICMP và IP-levelbao gồm nhận và gửi.
Port range: khoảng port
Protocol number: dùng cho giao thức IP-level
ICMP properties: dùng cho giao thức ICMP Là mã và loại giao thức
ICMP
Secondary connections: Đây là các port, các loại giao thức, và hướng sử
dụng cho các kết nối thêm hay các gói tin theo các kết nối ban đầu Bạn có thể tạo một hoặc nhiều kết nối thứ cấp
3 1.2 User Set
Để kiểm soát việc truy cập ra bên ngoài, bạn có thể tạo Access Rule áp dụng cho
các user hoặc nhóm user được chỉ định ISA Firewall cho phép bạn tạo các user hoặc nhóm user trong User
Set Ngoài ra, ISA firewall cũng tạo sẵn các user set như:
• All Authenticated Users: các user phải được xác thực
• All Users: tất cả các user xác thực và không xác thực
• System and Network Service
3 1.3 Content Type : cho phép các ứng dụng khác nhau vàcác tập tin được tổ chức theo loại nội dung nhất định Ví dụ, một tập tin đó được tải về thông qua trang web có thể là một tập tin âm thanh, hình ảnh, văn bản, video, hoặc bất kỳ Tập tin được nhóm lại theo kiểu nội dung có thể được kiểm soát hơn một cách dễ dàng, tạo cho người quản trị ISA một cách dễ dàng
3 1.4 Shedule: Bạn có thể gán một thời gian biểu cho một Access Rule để điều khiển việc áp dụng Rule
này Có ba thời gian biểu đã được xây dựng sẵn :
• Work Hours: cho phép truy cập từ 9:00 đến 17:00 từ thứ hai đến thứ sáu
• Weekends: cho phép truy cập thứ bảy và chủ nhật
• Always: cho ph1p truy cập mọi lúc.
3 1.5 Network Objects
3 2 Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall
Trang 121 Mở ISA server ,chọn Firewall Policy, chọn tasks tab trong Task panel, chọn create new access rule hoặc click phải chuột firewall policy →new →access rule
2 Nhập tên rule cần tạo “All open” vào ô Access rule name→ Next
Trang 133 Action chon “ Allow” → Next
4 Có 3 sự lựa chọn trong “This rule applies to”
All outbound traffic cho phép tất cả giao thứccra bên ngoài
Selected protocols: cho phép bạn chọn những giao thức áp dụng cho rule Bạn có thể chọn những giao thức sẵn có hoặc tạo giao thức mới có thể chọn môt hoặc nhiều giao thức cho một rule.
All outbound traffic except selected: cho phép mở tất cả các giao thức ra ngoài nhưng loại trừ một số giao thức chỉ định
Chọn all outbound traffic→Next
Trang 145 Trong Access rule Source, chọn Add→Networks→Internal, Local host→Add→Close→Next
6 Trong Access Rule Destination chọn
Add→ Networks→External→Add→Close→Next
Trang 157 Trong “User Sets” chọn giá trị mặc định “All Users” →Next→Finish
Chọn Apply →Ok
3 3 Thuộc tính của Access rule
Bạn có thể chỉnh sửa hay tạo một số đặc tính mới của Rule trong Rule Properties Bạn có thể tạo Rule mới mà không cần vào “New Access Rule “ chỉ bằng thao tác copy Rule có sẵn và vào Poperties chỉnh sửa lại đặc tính cho Rule mới Các tab trong Rule Properties:
không kích hoạt rule này
Trang 16• Action: ban có thể thay đổi thuộc tính của rule allow hoặc deny Ngoài ra tab này còn cung cấp vài sự lụa ch5n mà bạn không thể tạo trong new access rule như:
Redirect HTTP requests to tis web page: cxho5n lựa này chỉ dùng cho Deny rule Khi bạn có yêu cầu phù hợp với rule này thì sẽ bị chuyển hướng đến trang web mà bạn đã quy định trước
Log request matching this rule: có kết nối phù hợp với rule này thì sẽ tự động đăng nhập sau khi tạo rule
Trang 17• Protocol s: Ban có thể thay đổi giao thức truy cập của rule , điều khiển giới hạn port qua ISA
firewall
Trang 18• From: chỉnh sửa các nguồn địa điểm bạn có thể áp dụng rule này cho tát cả các nguồn địa điểm
mà bạn quy định trong this rule applied to traffic from thesr source loại trừ những nguồn địa điểm
mà bạn chỉ định trong Exception
• To: tương tự như trong “new access rule wizard Bạn còn có thể loại trừ những điểm đến trong exception.
Trang 19• Users: bạn có thể chọn những nhóm user mà rule áp dụng ngoài ra còn có thể loại trừ những nhóm users rule không áp dụng
Trang 20• Shedule: cài đặt thời gian rule áp dụng đặc tính này không có trong new access rule Có thể sử dụng những thời gian biểu sẵn có : always, weekend, work hours , còn cỏ thể tạo thời gian biểu mới.
• Content Type: tùy chọn này cũng không có trong new access rule , khả năng kiểm soát nội dung kết nối.bạn có thể chọn những lao5i nội dung áp dụng cho rule Măc định là “ all content type” bạn cũng có thể giới hạn loại nội dung bằng cách chọn “ selected content types.
Trang 213 4 Các tùy chọn trong Access rule menu
Có một vài tùy chọn khi bạn click phải chuột vào một access rule :
• Properties: Hiệu chỉnh các đặc tính rule
• Delete : xóa rule
• Copy : sao chép rule
• Paste : dán rule
• Export selected:cho phép bạn gán access rule đến một file xml và bạn có thể lấy file này gán cho một ISA firewall khác.
• Import selected: cho phép gán Access Rule từ 1 file đến vị trí chọn trong Access Policy
• Move up: di chuyển Rule lên trongdanh sách của Access Rule
• Move down: di chuyển Rule xuông trong danh sách Access Rule
• Disable : tắt rule
• Enable : kích hoạt rule
• Configure HTTP: tùy chọn này xuất hiện khi Access Rule có giao thức HTTP Các tùy chọn này cho phép bạn cấu hình HTTP Sercurity Filter để điều khiển truy cập trên các kết nối HTTP bằng cách sử dụng ISA firewall nâng cao.
• Configure FTP:tùy chọn này xuất hiện khi các Access Rule bao gồm các giao thức FTP.Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép bạn kích hoạt hoặc vô hiệu hóa FTP uploads
Trang 22• Configure RPC protocol: tùy chọn này xuất hiện khi các Access Rule bao gồm mộtgiao thức RPC Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép bạn kích hoạt hoặc vô hiệu hóa việc tuân thủ nghiêm ngặt RPC (có hiệu lực của việc kích hoạt hay vô hiệu hóa kết nối DCOM).
3 5 Tạo Rule cho phép các user thuộc nhóm “sinh viên” xem trang www.hui.edu.com trong giờ học.
3 5.1 Định nghĩa nhóm sinh viên
B1 : Tạo hai user SV1 và SV2 trong Active Directory Users and Computer, đưa hai user này vào nhóm sinhvien
B2: Trong ISA Server → Phần Toolbox → Users → New
B3: Nhập “sinhvien” vào ô User set name → Next
Trang 23B4: Add → chọn Windows User and Group
B5: chọn group “sinhvien” → Next → Finish
3.5.2 Định nghĩa URL Set chứ trang web www.hui.edu.vn
B1: ISA Server → Firewall Policy → qua phần Toolbox → Network Objects → New → URL Set
Trang 24B2: dòng name đặt tên là hui Chọn New khai hai dòng htttp://www.hui.edu.vn và http://www.hui.edu.vn/*
→OK→ về cửa sổ chính chọn Apply → OK
Trang 253.5.3 Định nghĩa giờ học
ISA Server → Firewall Policy → Toolbox → Schedule → New Name: “giohoc”, chọn Active từ 7am – 5pm → Ok
3 5.4 Tạo Rule
B1: Tạo Access Rule theo các thông số sau:
Rule name : sinhvienhoc Action: Allow
Protocols: HTTP, HTTPS Source Internal
Destination: URL Set → hui User: Sinhvien
B2: Properties Access Rule “sinhvienhoc”,
Trang 26B3 : Chọn Shedule : “giohoc” ,→Ok
Trang 273 6 Thứ tự vào tổ chức các Access Rule
Trật tự của các Access Rule là rất quan trọng để đảm bảo rằng chính sách truy cập của bạn làm việc theo cách bạn mong đợi Nên sắp xếp thứ tự của cácAccessRules như sau:
■ Đặt Web Publishing Rule và Server Publishing Rule lên đầu danh sách
■ Access Rule Deny.Những Access Rule này không yêu cầu xác thực người dùng và không yêu
cầu người dùng truy cập từ một vị trí xác định.
■ Access Rule Allow.Những Access Rule này không yêu cầu xác thực người dùng và không yêu
cầu người dùng truy cập từ một vị trí xác định vị trí
■ Access Rule Deny Những Access Rule này yêu cầu xác thực người dùng
■ Access Rule Allow Những Access Rule này yêu cầu xác thực người dùng
CHƯƠNG 4: PUBLISHING NETWORK
4 1 Khái niệm
Web Publishing và Server Publishing Rules cho phép bạn đưa máy chủ và dịch vụ trên
ISA firewall sao cho các máy từ External Network có thể truy cập vào web hoặc server Công việc trên gọi
là publish.
Trang 284.1.1 Web Publishing Rules
Web P ublishing Rules được dùng để publish trang web và các dịch vụ Khi bạn publish một
trang web, ISA firewall's Web Proxy filter luôn luôn chặn những yêu cầu và kiểm tra có thỏa Web Publishing Rule rồi chuyển đến trang web được publish bởi Web Publishing Rule đó
Web Publishing Rule có các đặc tính sau:
Ủy quyền truy cập vào trang web được bảo vệ bởi ISA Firewall: Web Publishing Rules cung cấp quyền truy cập vào những trang web nằm trong mạng trên một ISA firewall Một kết nối ủy quyền là an toàn hơn một kết nối định tuyến và NAT bởi vì toàn bộ giao tiếp sẽ được tái tạo bởi ISA firewall Những trang web đã được publish bằng cách sử dụng Web Publishing Rules,các ISA firewall's Web Proxy filter xử
lý tất cả các kết nối web được thực hiện bằng Web Publishing Rules
Kiểm soát nội dung các luồng dữ liệu và can thiệp sâu bên trong lớp ứng dụng: đặc tính này cung cấp một mức độ bảo vệ cao chống lại các cuộc tấn công khai thác lỗ hổng trong giao thức kiểm tra bao gồm các mã độc hại và các cuộc tấn công nhắm vào web server.
Chuyển hướng: web publishing rule cho phép chuyển hướng các kết nối bên ngoài đến một thư mục thay thế trên web server đó hoặc đến một web server khác
Publish nhiều trang web trên cùng một địa chỉ IP
Thẩm định lại các yêu cầu và xác thực sự ủy nhiệm đến trang web Publishing Web có thể được cấu hình để xác thực người dùng ở ISA firewal sử dụng một sự kết hợp của ba phương pháp xác thực HTTP (Basic, Digest, hoặc intergrated), X.509 Client Certificate Authentication, hoặc Forms-Based Authentication (FBA) (cũng được gọi là HTML Form Authentication)
Single Sign-On với ISA Server cho phép người dùng xác thực một lần để sử dụng nhiều ứng dụng web
ISA firewall hỗ trợ xác thực SecurID cho các web server và các dịch
vụ được publish qua Web Publishing Rules
Hỗ trợ xác thực RADIUS
Reverse Caching của Published Web Sites : Khi một người sử dụng tạo một yêu cầu cho nội dung trên trang web, mà nội dung có thể được lưu trữ trên ISA firewall Khi người sử dụng sau này có những yêu cầu cho cùng một nội dung trên Web, nội dung được phục vụ từ
bộ nhớ cache ISA firewall thay vì được lấy từ web server Caching làm giảm tải trên máy web server
Hỗ trợ chuyển tiếp địa chỉ IP của ISA firewall đến trang web
Quy định thời gian được phép truy cập đến trang web
Chuyển hướng port và giao thức ISA firewall cho phép chấp nhận yêu cầu kết nối từ một port , sau đó chuyển yêu cầu này đến một port khác trên web server
Trang 294.1.2 Server Publishing Rules
Giống như Web Publishing Rules, bạn có thể sử dụng Server Publishing
Rules để cung cấp truy cập vào máy chủ và dịch vụ trong mạng ISA Firewall Các tính năng của Server Publishing Rules:
■ Server Publishing Rules là một hình thức NAT đảo ngược Server
Publishing Rule cấu hình ISA firewall để lắng nghe trên một port được chỉ định và sau đó chuyển tiếp những yêu cầu kết nối tới server được publish trong mạng ISA firewall
■ Hầu như tất cả các IP và TCP / UDP, các giao thức có thể được publish bằng cách sử dụng Server Publishing Rules
■ Server Publishing Rules không hỗ trợ xác thực trên ISA Server
■ Kiểm soát nội dung các luồng dữ liệu và can thiệp sâu bên trong lớp ứng dụng
■ Bạn có thể hủy bỏ hoặc tùy chỉnh port lắng nghe hoặc port chuyển hướng
và cũng có thể khóa port mà client dùng để kết nối published server
■ Bạn có thể giới hạn địa chỉ IP kết nối với Publishing Server
■ Hạn chế số lần và thời gian kết nối đến Publishing Server
■ Hỗ trợ chuyển hướng port
4.2 Tạo và cấu hình non-ssl web publishing rules
1 Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy Chọn Tasks → Publish Web Sites Xuất hiện trang Welcome
to the New Web Publishing Rule Wizard, gõ tên rule vào ô Web publishing rule name: “Non-SSL Web Publishing Rules” → Next.
Trang 302 Hộp thoại Select Rule Action , chọn Allow → Next
3 Trang Publish Type , chọn Publish a single Web site or load balancer
→ Next
Trang 314 Hộp thoại Server Connection Security, chọn Use non-secured connections to connect the published Web server or server farm → Next
5 Hộp thoại Internal Publishing Details, gõ www.hui.com vào internal
site name, check vào “Use a computer name of IP Address to connect to the
Trang 32published server” , Computer name or IP address: 172.16.1.2 (IP máy DC) →
Next →gõ vào ô Path: /* → Next
Trang 336 Hộp thoại Accept request for: chọn “This domain name (type below)”,
→ Next
Public name: www.hui.com,
Path: /*
7 Hôp thoại Select Web Listener chọn “ New ” → gõ “Non-SSL Web
Publishing Rule” vào ô Web listener name → Next
Trang 348 Hộp thoại Client Connection Security: chọn Do not Require SSL secured connections with clients → Next
9 Hộp thoại Web Listener IP Addresses: chọn External → Next
Trang 3510 Hộp thoại Authentication Settings, trong ô Select how clients will provide credentials to ISA Server chọn No Authentication → Next
11 Hộp thoại Single Sign on Settings → Next → Finish
Trang 3612 Hôp thoại Select Web Listener chọn Non-SSL Web Publishing Rules
→ Next
13 Hộp thoại Authentication Delagatetion chọn No delegation, and client cannot authenticate directly → Next
Trang 3714 Trong hộp thoại User Sets :”All user” → Next → Finish
Web Publishing Rules này cho phép người dùng truy cập vào trang
www.hui.com được lưu trên Web Server địa chỉ IP 172.16.1.2 trong mạng ISA Firewall
Trang 384.3 Tạo và cấu hình SSL Web Publishing Rules
Bạn có thể publish an toàn các web server bằng cách sử dụng SSL Web Publishing Rules Publishing Secure web servercần phải có được một certificate cho các trang web được publish Điều này cho phép ISA firewall cung cấp bảo mật rất cao cho SSL web được publish thông qua Web Publishing Rules
SSL Bridging
SSL Bridging là một tính năng của ISA firewall cho phép kiểm tra các ứng dụng trên kết nối SSL đến Published Web SSL bridging ngăn chặn những kẻ xâm nhập ẩn trong mã hóa SSL tunnel Thường stateful-bức tường không thể thực hiện stateful ứng dụng lớp kiểm tra trên các kết nối SSL di chuyển qua chúng
ISA firewall hỗ trợ hai phương pháp của SSL Bridging:
■ SSL-to-SSL bridging
■ SSL-to-HTTP bridging
SSL-to-SSL bridging cung cấp một kết nối SSL an toàn từ đầu đến cuối
SSL-to-HTTP bridging đảm bảo một kết nối an toàn giữa Web client và ISA firewall, và sau đó cho phép một văn bản kết nối rõ ràng giữa ISA firewall và web server
SSL-to-SSL bridging
SSL-to-HTTP bridging kết nối giữa web client và giao diện bên ngoài của
ISA firewall được bảo vệ bởi SSL tunnel, nhưng không an toàn khi chuyển tiếp từ ISA firewall đến Web server
Nhập Web site Certificate vào máy ISA firewal
1 Copy Web site certificate đến máy ISA firewall
2 Start → Run, gõ mmc →OK.
3 File→ Add/Remove Snap-in.
4 Trong hộp thoại Add/Remove Snap-in chọn Add.
5 Chọn Certificates trong danh sách Available Standalone Snap-ins → Add.
6 Hộp thoại Certificates Snap-in chọn Computer account option →
Next.
7 Hộp thoại Select Computer chọn Local computer → Finish.
Trang 398 Chọn Close trong hộp thoại Add Standalone Snap-in
9 Chọn OK in the Add/Remove Snap-in
10 Mở rộng Certificates (Local Computer) ở bên trái giao diện.
11 Mở rộng Personal ở bên trái giao diện.
12 Phải chuột Certificates → All Tasks → Import.
13 Chọn Next trong hộp thoại Welcome to the Certificate Import Wizard
14 Hộp thoại File to Import, chọn Browse để tìm certificate đã copy đến ISA firewall → Next.
15 Gõ mật khẩu bạn đẽ gán cho Web site certificate → Next.
16 Chấp nhận thiết lập mặc định → Next.
17 Chọn Finish trong hộp thoại Completing the Certificate Import Wizard
18 Chọn OK trong hộp thoại Certificate Import Wizard
19 Web site certificate và CA certificate xuất hiện ở bên phải giao diện
20 Nhấp phải chuột CA certificate → Cut.
21 Mở rộng Trusted Root Certification Authorities bên trái giao diện.
22 Nhấp phải vào Certificates → Paste
23 Quay lại Personal\Certificates , nhấp đôi vào Web site certificate.
24 Trong hộp thoại Certificate, nhấp vào Certification Path Các CA certificate không có màu đỏ "x" trên nó Nếu có một màu đỏ "x" trên CA certificate mà chỉ ra rằng CA certificate đã không được nhập khẩu vào
thành công
25 Đóng hộp thoại Certificate
26 Đóng mmc console Không lưu giao diện điều khiển.
Bây giờ mà các trang web certificate được nhập và lưu trữ vào
Certificate Store, nó sẽ có sẵn để ràng buộc vào web listenner được sử
dụng trong SSL Web Publishing Rule.
4.4 Server Publishing Rule
Tạo Server Publishing Rules thì đơn giản so với các Web Publishing Rules
Những thứ bạn cần biết khi tạo một Server Publishing Rule là:
■ Giao thức hoặc các dịch vụ bạn muốn publish
■ Địa chỉ IP nơi ISA firewall chấp nhận các kết nối
■ Địa chỉ IP của máy chủ mạng bạn muốn publish
1 Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy Chọn Tasks → Publish Non-Web Server Protocols Xuất hiện
trang Welcome to the New Server Publishing Rule Wizard, gõ tên rule vào ô
Server Publishing Rule name: “ DNS Server” → Next.
Trang 402 Hộp thoại Select Server, gõ địa chỉ máy DNS Server vào ô Server IP address → Next.
3 Hộp thoại Select Protocol, chọn giao thức trong danh sách Selected protocol : “DNS Server” → Next
