Trong chương tới của sách, chúng ta sẽ xem xét trình tự để thực hiện bộ lọc chuyển tiếp mail lớp Application: SMTP relay server trên ISA Server 2004 firewall... Chương 13: Cấu hình ISA S
Trang 19 Click Apply lưu lại những thay đổi và cập nhật firewall policy
10 Click OK trong Apply New Configuration dialog box
Kết luận:
Trong chương này chúng ta đã thảo luận 2phương thức chính cho phép Internet Users -external users, có thể truy cập vào các tài nguyên (FTP, Web Site) được đặt trên Mạng được bảo vệ- DMZ Network Trước tiên, chúng ta dùng Web Publishing Rule để cho phép truy cập vào các tài nguyên Web Kế tiếp chúng ta dùng we used
a Server Publishing Rule để cho phép truy cập FTP site Trong chương tới của sách, chúng ta sẽ xem xét trình tự để thực hiện bộ lọc chuyển tiếp mail lớp Application: SMTP relay server trên ISA Server 2004 firewall
Trang 2Chương 13: Cấu hình ISA Server 2004 trở thành một bộ lọc
chuyển tiếp email-Filtering SMTP Relay
Một trong những thành phần cấu thành nên hệ thống ISA Server Firewall 2004 đó là SMTP Message Screener- tạm gọi là bộ xét duyệt ứng dụng chuyển Mail SMTP
Message Screener có thể kiểm tra các SMTP messages tại lớp ứng dụng - application layer để sau đó tiến hành chuyển tiếp- relay hay loại bỏ - reject messages dựa trên các thông số mà bạn cấu hình SMTP Message Screener có thể đánh giá mail gửi vào -incoming SMTP mail dựa trên các đặc điểm sau:
• Tài khoản mail của người gửi -Sender mail account và Tên domain của người gửi - sender domain name
• Tên của Attach file, phần mở rộng attach và kích cỡ attach file
• Những từ trọng điểm/ từ khóa -Keywords nằm trong dòng Subject và bên trong nội dung messages (text/plain và cả text/html) Ví Dụ một attach file có phần đuôi file
mở rộng là pif có thể là Internet worms Phải nói rằng có rất ít hoặc không có những mail hợp pháp mà lại chứa attach file có phần đuôi là pif , cho nên cách tốt nhất bạn
có thể cấu hình bộ lọc- filter để chặn lại những email có attach file kiểu này và tiến hành các hành động sau:
• Delete message
• Giữ lại message
• Đẩy- Forward message đến một tài khoản email được chỉ định
Có thể nói, SMTP Message Screener là một thành phần không thể thiếu trong sơ đồ phòng vệ chặt chẽ, nhằm chống lại các email nguy hiểm
Internet worms và viruses, cũng phả kể đến spam, là những gieo rắc kinh hoàng cho
hệ thống Mạng Worms và viruses có thể tấn công vào các network servers, các services và workstations khi đã lây nhiễm vào bên trong Mạng Spam có thể gây tắc nghẽn băng thông của Mạng nội bộ, làm mất nhiều thời gian của nhân viên trong xử
lý mail, chi phí hao tổn có thể lên đến háng ngàn, thậm chí hàng triệu $ mỗi tháng Xây dựng hệ thống phóng vệ cho E-mail nhằm đạt hiệu quả cao trong giao dịch email của Doanh nghiệp Chúng ta có thể sử dụng ISA Server 2004 SMTP Message
Screener kết hợp với Exchange SMTP Gateway Server nhằm cung cấp một giải pháp tối ưu trong kế hoạch phòng vệ cho hệ thống mail
Trong ví dụ dưới đây, chúng ta sẽ cấu hinh ISA Server với vai trò một SMTP Server chuyển tiếp mail, từ Internal ra External- outbound, và từ External vào Internal -inbound Inbound SMTP relay component Sẽ chấp nhận mail vào -incoming mail: các SMTP servers bên ngoài gửi đến các e-mail với tên miền do bạn quản lý trên mail Exchange Server của bạn Outbound SMTP relay được dủng lọc mail gửi ra ngoài, xuất phát từ Exchange Server của bạn đến các domains e-mail trên Internet (e-mail domains thuộc các tổ chức khác trên Internet)
Mục tiêu cơ bản là như vậy, chúng ta sẽ thực hiện các bước sau:
Trang 3• Cấu hình nhật kí ghi nhận các hoạt động của Screener - SMTP Message Screener logging
• Kiểm tra lại cơ chế lọc mail của SMTP Filtering
Phục hồi hệ thống trở lại cấu hình ban đầu
Để có thể kiểm tra đầy đủ về cấu hình inbound & outbound SMTP relay, chúng ta cần phải đưa Computer quay trở lại cấu hình ban đầu, với cấu hình nguyên trạng này, các Access Rules sẽ không tác động, làm ảnh hưởng đến việc phát triển các kịch bản với những mục đích khác nhau Trong mội trường thực tế tại tổ chức của mình, bạn nên giữ lại các cấu hình, tức là không đụng chạm đến các Access Rules và addvao2 thêm Server Publishing Rules cần thiết để tạo inbound & outbound SMTP relays Tiến hành các bước sau để khôi phục lại cấu hình ban đầu trên ISA Server 2004 firewall:
1 Mở Microsoft Internet Security and Acceleration Server 2004 management console và right click trên server name Click Restore command
2 Trong Restore Configuration dialog box, chọn backup file bạn đã tạo lúc ban đầu và click Restore
3 Trong Type Password to Open File dialog box, điền vào password bạn đã xác lập cho file trong Password text box và click OK
4 Click OK trong Importing dialog box sau khi thấ thông báo The configuration was successfully restored
5 Click Apply lư những thay đổi và cập nhật cho firewall policy
6 Chọn Save the changes and restart the service(s) trong ISA Server
Warning dialog box, và click OK
7 Click OK trong Apply New Configuration dialog box
Phân chia địa chỉ thứ 2 -second IP address , cho Card trong- Internal
interface trên ISA Server 2004 firewall
Chúng ta sẽ thêm vào 2nd IP address cho Internal interface của ISA Server 2004 firewall
Điều này sẽ cho phép chúng ta publish outbound SMTP relay trên một IP address khác so với inbound SMTP relay
Tiến hành các bước sau để add 2nd IP address cho Internal interface của ISA
Server 2004 firewall:
1 Tại ISA Server 2004 firewall, right click trên My Network Places nằm ở
desktop và click Properties
2 Trong Network Connections window, right click LAN interface và click
Trang 46 Trong TCP/IP Address dialog box, điền vào 10.0.0.10 trong IP address text box Điền vào 255.255.255.0 trong Subnet mask text box Click Add
7 IP address 10.0.0.10 giờ đã xuất hiện thứ 2 trong sanh sách IP addresses Click
OK
8 Click OK trong Internet Protocol (TCP/IP) Properties dialog box
9 Click OK trong LAN Properties dialog box
Cài đặt và cấu hình SMTP Service
Tiến hành cài SMTP service trên IIS 6.0 trước khi cấu hình ISA Server 2004 SMTP Message Screener SMTP service sẽ làm việc với SMTP Message Screener để kiểm tra
và ngăn chặn những e-mail không hợp pháp
Tiến hành các bước sau để cài đặt SMTP service trên IIS 6.0:
1 Click Start , Control Panel Click Add or Remove Programs
2 Trong Add or Remove Programs window, click Add/Remove Window
Components bên khung trái window
3 Trên Windows Components page, click Application Server trong danh sách của các Components, click Details
4 Trong Application Server dialog box, click Internet Information Services (IIS), và click Details
5 Trong Internet Information Services (IIS) dialog box, đánh dấu vào SMTP Service check box và click OK
Trang 56 Click OK trong Application Server dialog box
7 Click Next trên Windows Components page
8 Click OK trong Insert Disk dialog box
9 Điền vào đường dẫn đến folder i386 trong Copy file from text box thuộc Files Needed dialog box
10 Click Finish trong Completing the Windows Components Wizard page
Bước kế tiếp là cấu hình SMTP server service nhằm hỗ trợ inbound & outbound relay:
1 Click Start , Administrative Tools Click Internet Information Services (IIS) Manager
2 Trong Internet Information Services (IIS) Manager console, mở rộng
computer name ở khung trái Right click Default SMTP Virtual Server và click Properties
3 Trong Default SMTP Virtual Server Properties dialog box, click Access tab
4 Trên Access tab, click Relay button trong khung Relay restrictions
5 Trong Relay Restrictions dialog box, xác nhận rằng đã chọn Only the list
below , sau đó click Add
6 Trong Computer dialog box, chọn Single computer và điền vào IP address của Exchange Server trong IP address text box Trong ví dụ này IP Address của Exchange Server là 10.0.0.2 Click OK
Trang 67 Click OK trong Relay Restrictions dialog box
8 Click Apply và OK trong Default SMTP Virtual Server Properties dialog box
9 Mở rộng Default SMTP Virtual Server node trong khung trái và right
click trên Domains node Chọn New và click Domain
10 Trên Welcome to the New SMTP Domain Wizard page, chọn Remote và click Next
11 Trên Domain Name page, điền vào domain của Internal network trong
Name text box Đây chính là domain mà bạn muốn SMTP relay trên ISA Server 2004
firewall chấp nhận các mail gửi vào-incoming mail từ các SMTP servers mail trên
Internet Trong ví dụ này, Internal network domain là msfirewall.org Click Finish
12 Double click vào msfirewall.org domain trong khung phải
13 Trong msfirewall.org Properties dialog box, đánh dấu check vào Allow
incoming mail to be relayed to this domain check box Chọn Forward all mail
to smart host Điền vào IP address của Exchange Server trên Internal network bên
trong text box.Trong ví dụ này của chúng ta, IP address của Exchange Server trên
Internal network là 10.0.0.2, vì vậy chúng ta sẽ điền vào [10.0.0.2] Click Apply và
OK
Trang 714 Right click vào Default SMTP Virtual Server node và click Stop Right click Default SMTP Virtual Server node và click Start
Cài đặt SMTP Message Screener
SMTP Message Screener một thành phần lựa chọn của ISA Server 2004 Tính năng này tích hợp với IIS 6.0 SMTP service nhằm kiểm tra và ngăn chặn SMTP mail việc ngăn chặn dựa trên những thông số mà bạn đã cấu hình trong Message Screener Tiến hành các bước sau để cài đặt SMTP Message Screener trên ISA Server 2004 firewall:
1 Đóng Microsoft Internet Security and Acceleration Server 2004
management console
2 Xác định phầm mềm cài đặt ISA Server 2004 và double click vào isaautorun.exe
file
3 Trong menu autorun, click Install ISA Server 2004 icon
4 Click Next trên Welcome to the Installation Wizard for Microsoft ISA
Server 2004 page
Trang 85 Trên Program Maintenance page, select Modify và click Next
6 Trên Custom Setup page, click lựa chọn Message Screener và This feature, and all subfeatures, will be installed on local hard drive Click Next
Trang 97 Click Install trên Ready to Modify the Program page
8 Đánh dấu vào Invoke ISA Server Management when the wizard closes check box và click Finish trên Installation Wizard Completed page
9 Đóng menu Autorun
Tạo các quy tắc SMTP Server Publishing Rules
SMTP Message Screener là m việc với SMTP Server Publishing Rules SMTP Server Publishing Rule có thể được cấu hình với các thông số xác lập thuộc SMTP Message Screener Điều này cho phép bạn tạo ra các chính sách lọc, chặn e-mail khác nhau cho inbound & outbound SMTP relays.Sự khác nhau của các cấu hình SMTP Message Screener cho phép ngăn chặn các e-mail khác nhau vào Mạng ngược lại với những gì ngăn chặn khi gửi mail từ trong ra
Tiến hành các bước sau để tạo Server Publishing Rule lắng nghe trên Card ngoài- external interface của ISA Server 2004 firewall:
1 Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name ở khung trái Click vào Firewall Policy node
2 Right click vào Firewall Policy node và chọn New Click Server Publishing Rule
3 Trên Welcome to the New Server Publishing Rule Wizard page, điền tên cho Rule trong Server publishing rule name text box Trong ví dụ này chúng ta sẽ đặt tên rule là Inbound SMTP Relay, Ghi nhớ rằng rule này sẽ dùng external interface
Trang 10trên ISA Server 2004 để chấp nhận chuyển tiếp các email gửi vào -incoming mail
Click Next
4 Trên Select Server page,điền vào IP address của Internal interface trên ISA Server 2004 firewall mà bạn đang muốn publish Điền vào 10.0.0.1, primary IP address trên Internal interface, của ISA Server 2004 firewall Click Next
5 Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol Click Next
6 Trên IP Addresses page, đánh dấu check vào External check box và click
Address button
7 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network Click IP
address của external interface mà bạn muốn sử dụng trong rule Trong ví dụ này, IP
address sẽ là 192.168.1.70 Click Add IP address giờ đã xuất hiện trong danh sách Selected IP Addresses Click OK
Trang 118 Click Next trên IP Addresses page
9 Click Finish trên Completing the New Server Publishing Rule Wizard page
Bước kế tiếp tạo Server Publishing Rule chấp nhận chuyển tiếp mail từ trong ra ngoài- outbound relay, từ Internal network Exchange Server:
1 Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name ở khung trái Click trên Firewall Policy node
2 Right click Firewall Policy node, chọn New Click Server Publishing Rule
3 Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên Của rule trong Server publishing rule name text box Trong ví dụ này, chúng ta sẽ đặt tên là Outbound SMTP Relay , ghi nhớ rule này được sử dụng cho external
interface trên ISA Server 2004 để chấp nhận chuyển tiếp mail gửi vào-incoming
mail Click Next
4 Trên Select Server page, điền vào IP address trên Internal interface của ISA Server 2004 firewall mà bạn muốn publish Điền vào 10.0.0.10, địa chỉ thứ 2- 2nd
IP address trên Internal interface của ISA Server 2004 firewall Click Next
5 Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol Click Next
6 Trên IP Addresses page, đánh dấu vào Internal check box , click Address
button
7 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses on the ISA Server computer in the selected network Click IP
address trên Internal interface mà bạn muốn dùng trong rule Trong ví dụ này, IP
address là 10.0.0.10, sau đó click Add IP address giờ đã xuất hiện trong danh sách Selected IP Addresses Click OK
Trang 128 Click Next trên IP Addresses page
9 Click Finish trên Completing the New Server Publishing Rule Wizard page
Bây giờ chúng ta đã sẵn sàng để cấu hình SMTP Message Screener Mỗi Publishing Rule có thể được cấu hình với một cấu hinh khác của SMTP Message Screener
Tiến hành các bước sau để cấu hình Outbound SMTP Relay Server Publishing Rule:
1 Right click Outbound SMTP Relay rule , click Configure SMTP
Trang 132 Click trên General tab trong Configure SMTP Protocol Policy dialog box Đánh dấu check vào Enable support for Message Screener checkbox
3 Click trên Keywords tab Đánh dấu check vào Enable this rule checkbox Click Add Trong Mail Keyword Rule dialog box, điền vào resume trong Keyword text box Chọn Message header or body Chọn Hold message option từ danh sách Action Click OK
Trang 144 Click Apply và click OK trong Configure SMTP Protocol Policy dialog box
Tiến hành các bước sau trên Inbound SMTP Relay Server Publishing Rule:
1 Right click Inbound SMTP Relay rule và click Configure SMTP
2 Click trên General tab trong Configure SMTP Protocol Policy dialog box Đánh dấu check vào Enable support for Message Screener check box
3 Click vào Keywords tab Click Add button Trong Mail Keyword Rule dialog box, điền vào mail enhancement trong Keyword text box Chọn Message header
or body option Chọn Hold message option từ danh sách Action Click OK
Trang 154 Click Apply và sau đó click OK trong Configure SMTP Protocol Policy dialog
box
5 Click Apply để lưu những thay đổi và cập nhật cho firewall policy
6 Click OK trong Apply New Configuration dialog box
Tạo Outbound SMTP Access Rule
Tiến hành các bước sau để tạo một outbound SMTP Access Rule cho phép ISA
Server 2004 firewall đóng vai trò chuyển tiếp mail-SMTP relay, từ Internal Exchange Server tới các SMTP servers thuộc các domain khác trên Internet:
1 Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng computer name ở khung trái và click Firewall
Policy node Right click vào Firewall Policy node, chọn New và click Access
Rule
2 Trong Welcome to the New Access Rule Wizard page, điền vào tên rule bên trong Access Rule name text box Trong ví dụ này tên sẽ đặt là Outbound SMTP from Local Host Click Next