Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses trên ISA Server computer trong select network.. Click trên external IP address đã cấu hình trên ISA
Trang 16 Trên Bridging Mode page, chọn Secure connection to clients and mail
server and click Next
Trang 2Trang 193 Triển khai ISA Server Firewall 2004
7 Trên Specify the Web Mail Server page, điền tên cho Internal OWA Web site trong Web mail server text box Trong vd này, chúng ta sẽ dùng tên
owa.msfirewall.org Click Next
Trang 38 Trên Public Name Details page, chọn This domain name (type below) trong Danh sách Accept requests for Điền vào tên external users sẽ dùng để truy cập đến OWA Web site trong Public name text box Trong vd này, external users sẽ dùng tên owa.msfirewall.org Click Next
Trang 4Trang 195 Triển khai ISA Server Firewall 2004
9 Trên Select Web Listener page, click New
10 Trên Welcome to the New Web Listener Wizard page, điền vào tên cho listener trong Web listener name text box Trong vd này chúng ta dùng tên OWA SSL Listener Click Next
11 Trên IP Addresses page, đánh dấu trong External check box Click Address
button
12 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses trên ISA Server computer trong select network Click trên external
IP address đã cấu hình trên ISA Server 2004 firewall mà bạn muốn dùng để lắng
nghe các yêu cầu đi vào-cincoming requests đến OWA site (trong Available IP Addresses list) Trong vd này, chúng ta sẽ chọn 192.168.1.70 entry Click Add IP address giờ đã xuất hiện trong Selected IP Addresses list Click OK
13 Click Next trên IP Addresses page
14 Trên Port Specification page, remove dấu check từ Enable HTTP check
box Đặt dấu check trong Enable SSL checkbox Giữ nguyên SSL port number là
443
15 Click Select button Trong Select Certificate dialog box, click trên OWA Web
site certificate mà bạn đã nhập vào nơi lưu trữ certificate trên ISA Server 2004
firewall and click OK
Trang 516 Click Next trên Port Specification page
17 Click Finish trên Completing the New Web Listener page
18 Chi tiết của Web listener giờ đã xuất hiện trên Select Web Listener page Click Edit
19 Trong OWA SSL Listener Properties dialog box, click Preferences tab
20 Trên Preferences tab, click Authentication button
21 Trong Authentication dialog box, remove dấu check từ Integrated check box Click OK trong Microsoft Internet Security and Acceleration Server 2004
dialog box nhận thấy cảnh báo rằng hiện không có phương thức xác thực nào được cấu hình
22 Đặt dấu check trong OWA Forms-Based authentication checkbox Click OK
Trang 6Trang 197 Triển khai ISA Server Firewall 2004
23 Click Apply và sau đó click OK trong OWA SSL Listener Properties dialog box
24 Click Next trên Select Web Listener page
Trang 725 Trên User Sets page, chấp nhận entry mặc định là, All Users, và click Next
26 Click Finish trên Completing the New Mail Server Publishing Rule Wizard
page
27 Click Apply để lưu những thay đổi và cập nhật firewall policy
28 Click OK trong Apply New Configuration dialog box
Bước tiếp theo là tạo một HOSTS file entry trên ISA Server 2004 firewall để có thể
giải quyết tên owa.msfirewall.org ra IP address của Exchange Server trên
Internal network
4 Click Start , Run Trong Run dialog box, điền vào notepad trong Open text box, click OK
5 Click File menu ,click Open Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click Open
Trang 8Trang 199 Triển khai ISA Server Firewall 2004
6 Add thêm dòng sau vào HOSTS file:
10.0.0.2 owa.msfirewall.org
Nhấn ENTER ở cuối dòng Click File và Exit Trong Notepad dialog box, click Yes để
xác đinh bạn muốn save
Trang 9Tạo quy tắc SMTP Server Publishing Rule
Bạn có thể tạo ra một SMTP Server Publishing Rule để cung cấp cho external users
và servers truy cập đến Microsoft Exchange SMTP service Nhìn chung, bạn sẽ muốn dùng ISA Server 2004 firewall đóng vai trò là một bộ lọc chuyển tiếp mail-SMTP filtering relay để ngăn chặn external users và các servers trực tiếp kết nối đến
Exchange Server Server Publishing Rule được thảo luận trong các bước được dùng thích hợp nhất để cung cấp cho các external SMTP servers truy cập đến Exchange Server để có thể send mail đến e-mail dưới quyền quản trị của bạn
Tiến hành các bước sau để tạo SMTP Server Publishing Rule:
10 Mở Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name trong khung trái Click trên Firewall Policy node
11 Right click Firewall Policy node và chọn New Click Server Publishing Rule
12 Trên Welcome to the New Server Publishing Rule Wizard page, điền tên của rule trong Server publishing rule name text box Trong vd này, chúng ta sẽ đặt tên rule là SMTP Server Click Next
13 Trên Select Server page, điền vào IP address của Exchange Server trên Internal network Trong vd của chúng ta, IP address là 10.0.0.2 Điền 10.0.0.2 vào text box Click Next
14 Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected protocol Click Next
Trang 10Trang 201 Triển khai ISA Server Firewall 2004
15 Trên IP Addresses page, đánh dấu check vào External check box và click Address button
16 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses trên ISA Server computer in the selected network Click IP address
trên external interface mà bạn muốn dùng trong rule này Trong vd này IP address là
192.168.1.70 Click Add IP address giờ đã xuất hiện trong danh sách Selected IP Addresses Click OK
Trang 1117 Click Next trên IP Addresses page
18 Click Finish trên Completing the New Server Publishing Rule Wizard page Tạo quy tắc POP3 Server Publishing Rule
Truy cập từ xa đến Exchange Server POP3 service cho phép User hiện ở bất cứ nơi nào cũng có thể download mail của họ từ Exchange Server đến hộp chứa mail-
Inbox, của bất kì ứng dụng e-mail client nào Users phải cung cấp một user name và password khi họ muốn kết nối đến POP3 service Họ download mail ứng dụng e-mail client sau khi gửi thông tin xác thực hợp lệ về mình Những thông tin xác thực của User được gửi đi mà không mã hóa-clear text Trong môi trường thực tế, bạn nên yêu cầu một kết nối bảo mật SSL khi truy cập đến POP3 -SSL secured POP3 nhằm bảo vệ user name và password không dễ dàng bị những kẽ tấn công thâu tóm
Tiến hành các bước sau để tạo POP3 Server Publishing Rule:
1 Mở Microsoft Internet Security and Acceleration Server 2004 management console,và mở rộng server name ở khung trái Click trên Firewall Policy node
2 Right click Firewall Policy node và chọn New Click Server Publishing Rule
3 Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên dành cho rule trong Server publishing rule name text box Trong vd này,chúng ta
sẽ đặt tên rule là POP3 Server Click Next
Trang 12Trang 203 Triển khai ISA Server Firewall 2004
Address button
7 Trong External Network Listener IP Selection dialog box, chọn Specified IP addresses trên ISA Server computer in the selected network Click IP address
trên external interface bạn muốn dùng cho rule Trong vd này, IP address là
192.168.1.70, click Add Giờ IP address đã xuất hiện trong Selected IP
Addresses list Click OK
8 Click Next trên IP Addresses page
9 Click Finish trên Completing the New Server Publishing Rule Wizard page
Kiểm tra kết nối
Chúng ta đã sẵn sàng cho việc kiểm tra các kết nối OWA, SMTP and POP3 đến
Exchange Server, nằm sau ISA Server 2004 firewall Bước đầu tiên là tạo ra HOSTS file entry trên client để giải quyết đúng tên của OWA site Trong môi trường thực tế, bạn có thể tạo ra một public DNS resource record để giải quyết tên này ra IP address cho các external network clients
Tiến hành các bước sau để kiểm tra kết nối Outlook Web Access:
1 Bước đầu tiên là add vào HOSTS file entry trên external client machine Click
Start , Run Trong Run dialog box, điền vào notepad trong Open text box và click
OK
2 Click menu File và chọn Open Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click Open
Trang 133 Add dòng sau vào HOSTS file:192.168.1.70 owa.msfirewall.org
Nhấn ENTER ở cuối dòng Click File và Exit Trong Notepad dialog box, click Yes để
xác nhận rằng bạn lưu những thay đổi
4 Mở Internet Explorer trên external client machine Điền vào
https://owa.msfirewall.org Nhấn ENTER
5 Trong hộp đăng nhập- Outlook Web Access Log on , điền vào user name trong
Domain\user name text box, và password trong Password text box Chọn
Premium client type và Private computer Security type Trong vd này, chúng ta
sẽ điền tên user name là MSFIREWALL\Administrator và Administrator’s
password Click Log On
Trang 14Trang 205 Triển khai ISA Server Firewall 2004
Kế tiếp, sẽ kiểm tra các chức năng của POP3 và SMTP khi dùng Outlook Express:
1 Trên external client machine, mở Outlook Express Click Tools và Accounts
2 Trong Internet Accounts dialog box, click account có sẵn và chọn Remove Click Yes trong Internet Accounts dialog box nếu được hỏi có chắc rằng sẽ delete
account
3 Click Add và click Mail
4 Trên Your Name page, điền tên Administrator trong Display name text box Click Next
5 Trên Internet E-mail Address page, điền vào administrator@msfirewall.org trong E-mail address text box Click Next
6 Trên E-mail Server Names page, chọn POP3 entry trong My incoming mail server is a x server list Điền vào 192.168.1.70 trong Incoming mail (POP3, IMAP or HTTP) server text box Điền vào 192.168.1.70 trong Outgoing mail (SMTP) server text box Click Next
Trang 157 Trên Internet Mail Logon page, điền vào Administrator trong Account name text box và administrator’s password trong Password text box Click Next
8 Click Finish trên Congratulations! page
9 Click Close trên Internet Accounts dialog box
10 Đóng Outlook Express và mở lại Click Create Mail button và điền đại chỉ đến là to: administrator@msfirewall.org Điền một subject và vài dòng text sau đó click Send button Để nhận mail từ POP3 server, click Send/Recv Mail bạn gửi sẽ xuất hiện trong Inbox
11 Đóng Outlook Express
Kết luận:
Trong chương này chúng ta đã thảo luận việc publish một Microsoft Exchange
Outlook Web Access (OWA) site và làm thế nào để publish Exchange POP3
và SMTP services Trong chương tới của sách chúng ta sẽ thảo luận về việc làm thế nào firewall có thể publish một dãy các Exchange Server
Trang 16Trang 207 Triển khai ISA Server Firewall 2004
VPN Server
ISA Server 2004 firewall có thể được cấu hình trở thành môt VPN server Khi bật chức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients -incoming VPN client , nếu kết nối thành công, VPN client computer sẽ là thành viên cua Mạng được bảo vệ, không khác gì so với các Client bên trong LAN VPN servers truyền thống cho phép VPN clients đầy đủ quyền truy cập vào Mạng khi đã được kết nối Ngược lại với ISA Server 2004 VPN server có khả năng cho phép chúng ta điều khiển những protocols nào và những servers nào mà VPN clients có thể kết nối đến dựa trên đặc quyền mà Client đã khai báo khi thiết lập kết nối-credentials đến VPN
server
Có thể dùng Microsoft Internet Security and Acceleration Server 2004
management console để quản lý tất cả cấu hình liên quan đến VPN server Firewall
sẽ quản lý danh sách các IP addresses được cấp phát cho VPN clients và bố trí các IP này trên một VPN clients network được chỉ định Điều khiển truy cập sau đó có thể được bố trí dựa trên chiều giao tiếp, thông qua kiểm soát của các Access Rules : Đến hay từ VPN clients network
Theo các bước sau tiến hành enable ISA Server 2004 VPN server:
• Enable VPN Server
• Tạo một Access Rule cho phép VPN clients truy cập vào Internal network
• Kiểm tra các kết nối VPN
Enable VPN Server
Theo mặc định, thành phần VPN server trên ISA Server bị disabled Bước đầu tiên là enable tính năng VPN server và cấu hình các thành phần VPN server
Tiến hành các bước sau để enable và cấu hình ISA Server 2004 VPN Server:
1 Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name Click trên Virtual Private Networks (VPN)
node
2 Click trên Tasks tab trong Task Pane Click Enable VPN Client Access
Trang 173 Click Apply để lưu những thay đổi và cập nhật firewall policy
4 Click OK trong Apply New Configuration dialog box
5 Click Configure VPN Client Access
6 Trên General tab, thay đổi giá trị là Maximum number of VPN clients allowed
Từ 5 đến 10
7 Click trên Groups tab Trên Groups tab, click Add button
8 Trong Select Groups dialog box, click Locations button trong Locations dialog box, click msfirewall.org entry và click OK
9 Trong Select Group dialog box, điền Domain Users trong Enter the object names to select text box Click Check Names button group name này sẽ có gạch
Trang 18Trang 209 Triển khai ISA Server Firewall 2004
10 Click Protocols tab Trên Protocols tab, đánh dấu check vào Enable
L2TP/IPSec check box
Trang 1911 Click User Mapping tab Đánh dấu check vào Enable User Mapping check box Đánh dấu check vào When username does not contain a domain, use this domain check box Điền vào msfirewall.org trong Domain Name text box
Trang 20Trang 211 Triển khai ISA Server Firewall 2004
12 Click Apply trong VPN Clients Properties dialog box Click OK Microsoft Internet Security and Acceleration Server 2004 dialog box nhận được thông báo rằng phải restart lại ISA Server firewall trước khi các xác lập có hiệu lực Click OK
13 Click Apply lưu lại những thay đổi và cập nhật cho firewall policy
14 Click OK trong Apply New Configuration dialog box
15 Restart ISA Server 2004 firewall
Tạo một Access Rule cho phép VPN Clients truy cập vào Internal Network
Tại thời điểm này, VPN clients có thể kết nối đến VPN server Tuy nhiên, VPN clients Không thể truy cập đến bất cứ tài nguyên nào trên Internal network Trước hết, bạn phải tạo một Access Rule cho phép các thành viên thuộc VPN clients network truy cập vào Internal network Trong vd này, chúng ta sẽ tạo một Access Rule nhằm cho phép tất cả các lưu thông từ VPN clients network được vào Internal network Trong môi trường thực tế, bạn có thể tạo ra access rules hạn chế hơn nhằm chặt chẽ việc Users trên VPN clients network chỉ có thể truy cập đến các tài nguyên mà họ có nhu cầu