- Tóm tắt một số thông tin cấu hình mặc định: - System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall.. Đặc điểm Cấu hình mặc định Post-installation Settings
Trang 1Hình 5.9: Chọn Network Adapter
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table Chọn OK trong hộp thoại Internal network address ranges
Hình 5.10: Internal Network Address Ranges
Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt
Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next
Hình 5.11: Tùy chọn tương thích với ISA Client
Trang 2Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin Service trong quá cài đặt ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services
Chọn Finish để hoàn tất quá trình cài đặt
V Cấu hình ISA Server
V.1 Một số thông tin cấu hình mặc định
- Tóm tắt một số thông tin cấu hình mặc định:
- System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall Tất cả các traffic còn lại đều bị cấm
- Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network
- Cho phép NAT giữa Internal Network và External Network
- Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall
Đặc điểm Cấu hình mặc định (Post-installation Settings)
User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của
Administrators group trên máy tính nội bộ có thể cấu hình firewall policy)
Network settings Các Network Rules được tạo sau khi cài đặt:
Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và
tất cả các mạng khác
Internet Access: Định nghĩa Network Address Translation (NAT)
VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients Network và Internal Network
Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các
traffic giữa các mạng
System policy ISA firewall sử dụng system policy để bảo mật hệ thống một số system
policy rule chỉ cho phép truy xuất một số service cần thiết
Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các
request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác
Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô
hiệu hóa Ta cần định nghĩa một cache drive để cho phép sử dụng Web caching
Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện
Trang 3thông số proxy dụng Web browser
V.2 Một số chính sách mặc định của hệ thống
Trang 410
e To Host Local (and Networks All
Trang 5CIFS (
Trang 6er from/Listen
Trang 7Internal Internal Micro
Download Jobs SMTP t 28 Cho phép traffic
er from/Listen
Trang 8Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy
Hình 5.12: System policy Rules
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item
Hình 5.13: System Policy Editor
V.3 Cấu hình Web proxy cho ISA
Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ
Trang 9
Hình 5.14: System Policy Editor
- Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả dưới tên là “system policy allow sites” bao gồm:
- *.windows.com
- *.windowsupdate.com
- *.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System Policy Rule có tên
+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ
truy xuất theo cú pháp *.domain_name
- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt
sự thay đổi vào hệ thống
Trang 10Hình 5.15: Mô tả System Policy Sites
Chú ý:
- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server
+ Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream server
Hình 5.16: Chỉ định Upstream server
+ Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply
- Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
