Sử dụng Server Publishing Rules khi Web Publishing Rules không thể sử dụng để publish một dịch vụ thuộc Mạng được bảo vệ như Perimeter network Trong chương này của sách, chúng ta sẽ publ
Trang 1Chương 12: Xuất bản Web và FTP Server thuộc Perimeter
Network ra Internet
ISA Server 2004 firewalls cho phép chúng ta publish các nguồn tài nguyên thuộcc các Mạng được bảo vệ, nhằm cho phép người bên ngoài -external users, có thể truy cập đến các nguồn tài nguyên đó Có 2 phương pháp cơ bản để thực hiện publish các tài nguyên trên các Mạng được bảo vệ là:
• Web Publishing Rules
• Server Publishing Rules
Web Publishing Rules có thể được sử dụng để publish Web servers External users có thể kết nối đến Web servers đã được Publish sử dụng các giao thức như: HTTP / HTTPS (SSL) protocols Web Publishing Rules có một số ưu điểm hơn so với Server Publishing Rules, và bạn luôn có thể dùng một Web Publishing Rule khi tiến hành publish một Web site
Server Publishing Rules có thể dùng để publish bất cứ giao thức mà Server sử dụng –Server Protocol Có thể dùng Server Publishing Rules để publish: FTP sites, mail servers, news servers, terminal servers và các giao thức Server khác Sử dụng
Server Publishing Rules khi Web Publishing Rules không thể sử dụng để publish một dịch vụ thuộc Mạng được bảo vệ như Perimeter network
Trong chương này của sách, chúng ta sẽ publish một Web site và một FTP site được đặt tại Perimeter network –DMZ Chúng ta vẫn nên đọc phần này, ngay cả khi bạn
đã quyết định dùng Edge Firewall template thay cho 3-Leg Perimeter Network
Template- Nơi có khu vực Perimeter Network, mà chúng ta sẽ đề cập ngay sau đây Những nguyên tắc chủ yếu khi tiến hành áp dụng đều giống nhau cho dù đang áp dụng Edge template hay 3-leg template Sự khác nhau chỉ nằm tại vị trí các Server
sẽ được publish
Tiến hành các bước sau để publish Web và FTP sites thuộc perimeter network:
• Cấu hình Web site mẫu
• cấu hình FTP site mẫu
• Disable các rules đã can thiệp –custom rules và dùng các rules đã tạo sẵn bởi template
• Tiến hành tạo Web Publishing Rule
• Tiến hành tạo FTP Server Publishing Rule
• Kiểm tra lại (người ngoài Internet truy cập vào các sites này)
Cấu hình Web Site
Bước đầu tiên là cấu hình Web site trên perimeter network Trong môi trường thực
tế, có thể Web site đã được cấu hình và chỉ chờ publish Trong ví dụ đây, chúng ta cần tạo ra một website mẫu- default Web site và xác lập vài tham số để có thể kiểm tra việc publish thành công hay không?
Tiến hành các bước sau để cấu hình Web site trên IIS server thuộc perimeter
network:
Trang 21 Click Start , Administrative Tools Click Internet Information Services (IIS)
Manager
2 Trong Internet Information Service (IIS) Manager console, mở rộng server name và Web sites node
3 Right click Default Web Site node và click Properties
4 Trong Default Web Site Properties dialog box, chọn IP address của server trong
IP address list
5 Click vào Documents tab, và click Add Trong Add Content Page dialog box, điền vào tên default.txt Click OK
Trang 36 Sử dụng Move Up button chuyển default.txt lên đầu danh sách
Trang 47 Click Apply; sau đó click OK trong Default Web Site Properties dialog box
8 Right click vào server name ở khung trái và trỏ vào All Tasks Click Restart IIS
9 chọn Restart Internet Services on TRIHOMEDMZLAN1 trong
Stop/Start/Restart dialog box và click OK
Trang 510 Đóng Internet Information Services (IIS) Manager console
11 Click Start và Windows Explorer
12 Tìm đến C:\Inetpub\wwwroot folder Click menu File , chọn New và click
Bước tiếp theo sẽ cấu hình FTP site để sẵn sàng cho việc publish Bạn sẽ gửi IP
address của FTP site và cấu hình thông điệp chào mừng đến với FTP site Ngoài ra, bạn cũng sẽ cho phép user upload dữ liệu lên FTP site Trong môi trường thực tế việc upload files lên FTP server có thể bị cấm, nhằm ngăn chặn những việc đưa những tài liệu bất hợp pháp hoặc vi phạm bản quyền lên site
Tiến hành các bước sau cấu hình FTP site:
1 Click Start , Administrative Tools Click Internet Information Services (IIS)
Manager
2 Mở rộng server name bên khung trái Internet Information Services (IIS)
Manager console, sau đó mở rộng FTP Sites node
3 Right click vào Default FTP Site và click Properties
4 Trong Default FTP Site Properties dialog box, chọn IP address của server trong danh sách IP address
Trang 65 Click vào Messages tab Trong Banner text box, điền vào This is the perimeter
network FTP site Trong Welcome text box, điền vào Welcome to the ISA
firewall protected FTP site Trong Exit text box, điền vào Goodbye! trong
Maximum connections text box, điến vào thông báo sau Site is busy come back later
Trang 76 Click vào Home Directory tab Trên Home Directory tab, đánh dấu check vào
Write text box Lưu ý nên cẩn trọng trong môi trường thực của bạn việc ch phép
quyền Write trên FTP sites Những kẽ có y đồ có thể lợi dụng việc này để đưa lên các
dữ liệu, files bất hợp pháp, vi phạm bản quyền
Trang 87 Click Apply và OK trong Default FTP Site Properties dialog box
8 Right click vào server name trong khung bên trái và chọn All Tasks Click
Restart IIS
9 Chọn Restart Internet Services on TRIHOMEDMZLAN1 entry trong What do
you want IIS to do? và click OK
10 Đóng Internet Information Services (IIS) Manager console
11 Click Start và Windows Explorer
12 Tìm đến folder C:\Program Files\NetMeeting Chọn tất cả File trong Folder
này và chọn copy
13 Tìm đến folder C:\Inetpub\ftproot Paste tất cả File bạn đã copy
Disable Các quy tắc tùy biến và enable lại các quy tắc được tạo bởi Template
Trong chương trước của sách, chúng ta đã tạo ra các Access Rules điều khiển việc truy cập ra Internet căn cứ trên user/group Bây giờ, chúng ta sẽ disable những rules
đó và sử dụng các Rules đã tạo sẵn trong 3-Leg Perimeter Network Template
Trang 9Tiến hành các bước sau để disable các custom rules đã tạo ở chương trước và enable các rules được tạo sẵn trong Template:
1 Tại ISA Server 2004 firewall mở Microsoft Internet Security and Acceleration
Server 2004 management console Mở rộng server name và click vào Firewall Policy node
2 Click DNS Servers policy Nhấn CTRL key và click Administrator Internet
Access and Limited Access Web Users Access Rules Right click một trong số các
rules và click Disable
3 Click Apply để lưu lại những thay đổi và cập nhật firewall policy
4 Click OK trong Apply New Configuration dialog box
5 Click rule đầu tiên đã được tạo bởi Wizard Trong ví dụ này, rule đầu tiên là VPN
Clients to Internal Network Nhấn CTRL key và click vào rule thứ hai , bây giờ cả
2 rules đã được chọn Right click vào một trong hai, click Enable
6 Với 2 Access Rules vẫn được chọn, click vào dấu mũi tên xanh hướng lên trong console, sau đó chuyển rule lên hàng trên cùng của danh sách
Trang 107 Click Apply để lưu những thay đổi và cập nhật cho firewall policy
8 Click OK trong Apply New Configuration dialog box
Tạo quy tắc publish Web - Web Publishing Rule
Bây giờ bạn đã sẵn sàng cho việc publish Web Web Publishing Rule sẽ cấu hình để ISA Server 2004 firewall lắng nghe các yêu cầu đến Web site của bạn Bởi vì ISA Server 2004 firewall là một ứng dụng “thông minh”, Lớp ứng dụng trên Firewall chỉ chấp nhận các yêu cầu từ external users, những người truy câp đến đúng tên Web site Các External users, hackers và Internet worms sẽ không thể kết nối đến Web site khi chỉ dùng một IP address đơn giản
Tiến hành các bước sau để tạo Web Publishing Rule:
1 Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security and
Acceleration Server 2004 management console và mở rộng server name Click
vào Firewall Policy node
2 Right click Firewall Policy node, chọn New và click Web Server Publishing
Rule
3 Trên Welcome to the New Web Publishing Rule Wizard page, điền vào tên
Web publishing rule name text box Trong ví dụ này, chúng ta sẽ đặt tên là
Perimeter Web Server Click Next
4 Trên Select Rule Action page, chọn Allow và click Next
5 Trên Define Website to Publish page, điền vào tên Web server trên
perimeter network trong Computer name or IP address text box Đây là tên hay
IP address của Server trên perimeter network , không phải IP address trên Card ngoài- external interface của ISA Server 2004 firewall Trong ví dụ này chúng ta sẽ
dùng tên perimeter.msfirewall.org; tên này phải có thể giải quyết ra IP address
được sử dụng bởi Web server trên perimeter network Điều này có thể tiến hành bằng cách cài đặt một DNS Server phân tách dịch vụ tim tên - split DNS
infrastructure, hoặc dùng một HOSTS file trên ISA Server 2004 firewall
Sau này, bạn sẽ tạo một HOSTS file dành cho các máy ở perimeter network.Trong
Folder text box, điền vào /* Click Next
Trang 116 Trên Public Name Details page, chọn This domain name (type below) trong
Accept requests for list Trong Public name text box, điền vào tên mà external
users sẽ truy cập site Trong ví dụ này chúng ta sẽ dùng tên
perimeter.msfirewall.org Khi User truy cập vào http://perimeter.msfirewall.org
Tên này sẽ được DNS giải quyết thành địa chỉ ngoài -external IP address trên ISA Server 2004 firewall, nơi đang lắng nghe thực sự các yêu cầu truy cập vào Web site
Trong Path (optional) text box, điền /* Điều này cho phép users truy cập đến tất
cả directories trên Website, dĩ nhiên rằng nếu họ có quyền làm điều đó Click Next
Trang 127 Trên Select Web Listener page, click New
8 Trên Welcome to the New Web Listener Wizard page, điền tên cho Web listener trong Web listener name text box Trong ví dụ này, tên sẽ là Listener1 Click Next
9 Trên IP Addresses page, đánh dấu check vào External check box và click
Address
Trang 1310 Trên External Network Listener IP Selection page, chọn Specified IP
addresses on the ISA Server computer in the selected network Trong danh
sách Available IP Addresses chọn IP address trên Card ngoài- external interface của ISA Server 2004 firewall và click Add IP bây giờ sẽ xuất hiện trong Selected IP
Addresses list Click OK
Trang 1411 Click Next trên IP Addresses page
Trang 1512 Trên Port Specification page, xác nhận là đã đánh dấu check vào Enable
HTTP check box port mặc định HTTP port là 80 Click Next
Trang 1613 Click Finish trên Completing the New Web Listener Wizard page
14 Listener1 entry giờ đã xuất hiện trong Web listener list Click Next
Trang 1715 Trên User Sets page, chấp nhận mặc định, All Users, và click Next
16 Click Finish trên Completing the New Web Publishing Rule Wizard page
17 Click Apply lưu lại những thay đổi và cập nhật cho firewall policy
18 Click OK trong Apply New Configuration dialog box
Bước kế tiếp là tạo ra HOSTS file để firewall có thể giải quyết tên
perimeter.msfirewall.org thành IP address được sử dụng bởi website trên
perimeter network
Trong ví dụ này, Web site đang lắng nghe trên IP address 172.16.0.2
1 Click Start , Run Trong Run dialog box, điền vào notepad click OK
2 Click File menu và Open Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click Open
Trang 183 Đưa dòng text sau vào HOSTS file:172.16.0.2 perimeter.msfirewall.org Nhấn ENTER khi kết thúc dòng Click File , click Exit Trong Notepad dialog box, click Yes để lưu những thay đổi
Trang 19Tạo FTP Server Publishing Rule
Với Server Publishing Rules mơi vấn đề liên quan đến publish Server còn đơn giản hơn cả Web Publishing Rules Một Server Publishing Rule đẩy các yêu cầu truy cập vào Server đến các server được publish và ISA Server 2004 firewall xử lý các yêu cầu này thông qua bọ lọc lớp ứng dụng của mình - application layer filters Thông tin duy nhất cần để hỗ trợ cho Server Publishing Rule là IP address của Server sẽ được publish Chú ý rằng tất cả các server có Primary connection luôn được xác lập là
inbound
Tiến hành các bước sau để tạo một FTP Server Publishing Rule:
1 Tại ISA Server 2004 firewall , mở Microsoft Internet Security and
Acceleration Server 2004 management console và mở rộng server name Click
trên Firewall Policy node
2 Right click vào Firewall Policy node, chọn New và click Server Publishing
Rule
3 Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên của rule trong Server publishing rule name text box Trong ví dụ này, chúng ta sẽ đặt tên là Perimeter FTP Server và click Next
4 Trên Select Server page, điền vào IP address của FTP server trên perimeter network trong Server IP address text box Trong ví dụ này, FTP server đang lắng nghe trên IP address 172.16.0.2 Click Next
Trang 205 Trên Select Protocol page, chọn FTP Server protocol từ danh sách Selected
protocol Click Next
Trang 216 Trên IP Addresses page, đánh dấu check vào External check box Click
Addresses button
7 Trong External Network Listener IP Selection dialog box, chọn Specified IP
addresses on the ISA Server computer in the selected network option Chọn
IP address trên Card ngoài - external interface của ISA Server 2004 firewall trong
Available IP Addresses list và click Add IP bây giờ xuất hiện trong Selected IP Addresses list Click OK
8 Click Next trên IP Addresses page
9 Click Finish trên Completing the New Server Publishing Rule Wizard page
Bước kế tiếp xác định đúng mối liên hệ Network giữa perimeter network và
external network:
1 Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng Configuration node và click Networks node
2 Trong Details pane, click Network Rules tab Right click Perimeter Access Network Rule và click Properties
3 Trong Perimeter Access Properties dialog box, click Network Relationship
Trang 226 Click OK trong Apply New Configuration dialog box
Kiểm tra lại kết quả Publish Server
Giờ đây chúng ta đã sẵn sàng cho việc kiểm tra kết nối Internet Explorer 6.0 có thể truy cập cả hai Web FTP sites Sự khác nhau uy nhất khi truy cập vào các sites này
là việc gõ lệnh trong I.E, một bên là: http:// cho truy cập Web site và ftp:// truy
cập FTP site Bạn cũng sẽ được xem hướng dẫn, cấu hình FTP site như thế nào để cho phép external users đượcvupload files
Tiến hành các bước sau để kiểm tra Web và FTP Server Publishing Rules:
1 Bước đầu tiên thực hiện tại external Windows 2000 client là việc cấu hình HOSTS
file nhằm cho phép Client có thể giải quyết tên perimeter.msfirewall.org thành IP
ngoài- external address của ISA Server 2004 firewall
2 Click Start và Run Trong Run dialog box, điền notepad và click OK
3 Click menu File và chọn Open Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts in the File name text box, và click Open
4 Đưa dòng text sau vào HOSTS file:192.168.1.70 perimeter.msfirewall.org Nhấn ENTER tại cuối dòng Click File và click Exit Trong Notepad dialog box, click
Yes để lưu lại những thay đổi
5 Từ Máy client bên ngoài -external client machine, mở Internet Explorer và điền
vào http://perimeter.msfirewall.org ENTER Trang Web mặc định của site sẽ xuất
hiện
6 Trong Internet Explorer, điền vào ftp://perimeter.msfirewall.org ENTER Bạn sẽ
thấy nội dung của FTP site Theo mặc định, chúng ta chỉ có thể download files từ FTP site
Trang 237 Nếu bạn muốn upload files lên site, quay trở lại Microsoft Internet Security
and Acceleration Server 2004 management console right click vào Perimeter FTP Server publishing rule và click Configure FTP
8 Trong Configures FTP protocol policy dialog box, remove dấu check tại Read
Only check box Click Apply và OK