Giáo trinh Firewall ISA Server 2006

 Giao diện quản lý cấu hình như dưới đây, trong console tree bên trái click Firewall Policy, nhìn vào giữa ta thấy có một rule mặc định cấm tất cả các đường truyền.. 1.2 Các thao tác s

GIÁO TRÌNH FIREWALL – ISA SERVER 2006

(Dành cho sinh viên CNTT ngành Mạng máy tính)

MỤC LỤC

CHƯƠNG I CÀI ĐẶT ISA SERVER 2006 4

1 Giới thiệu: 4

2 Các chức năng của ISA Server 2006: 4

2.1 Khả năng bảo vệ cao cấp: 4

2.2 Dễ dàng sử dụng: 4

2.3 Các thực thi nổi bậc: 5

3 Cài đặt ISA server: 5

3.1 Yêu cầu hệ thống trên ISA server: 5

3.2 Cài đặt ISA server 2006 5

4 Chính sách của hệ thống (System policy): 8

4.1 Khái niệm 8

4.2 Xem xét System policy: 8

5 Câu hỏi và bài tập: 14

CHƯƠNG II SAO LƯU VÀ PHỤC HỒI CẤU HÌNH ISA SERVER 15

1 Sao lưu cấu hình ISA Server 2006: 15

1.1 Giới thiệu 15

1.2 Các thao tác sao lưu (back up): 15

2 Phục hồi cấu hình ISA Server 2006 từ file back up: 16

3 Xuất chính sách Firewall 19

4 Nhập chính sách firewall: 20

5 Câu hỏi và bài tập 20

CHƯƠNG III SECURENAT, WEBPROXY CLIENT, FIREWALL CLIENT 21

1 Xây dựng mô hình chuẩn bị 21

2 Cấu hình SecureNAT: 24

2.1 Giới thiệu 24

2.2 Cấu hình SecureNAT client 24

3 Cấu hình Web Proxy: 25

3.1 Giới thiệu 25

3.2 Cấu hình Web proxy: 26

3.2.1 Kiểm tra cấu hình ISA server là proxy server: 26

3.2.2 Cấu hình Web Proxy client: 27

4 Firewall client 29

4.1 Giới thiệu: 29

4.2 Cấu hình Firewall client 29

4.2.1 Kiểm tra cấu hình ISA server hỗ trợ firewall client: 29

4.2.2 Cấu hình firewall client: 30

5 Câu hỏi và bài tập: 33

CHƯƠNG IV QUẢN LÝ ĐƯỜNG TRUYỀN 34

1 Access rule 34

1.1 Khái niệm: 34

1.2 Cấu hình access rule: 34

1.2.1 Cấu hình access rule cho phép truy cập web: 35

1.2.2 Cấu hình cho phép truy xuất tài nguyên mạng ngoài có hẹn thời: 38

1.2.3 Cấu hình truy xuất một web site cụ thể: 40

1.2.4 Truy xuất các loại nội dung của tài nguyên Internet 42

1.2.5 Quản lý truy xuất tài nguyên bằng tài khoản user: 43

2 Publishing rule: 47

2.1 Khái niệm: 47

2.2 Web publishing rule: 48

2.2.1 Khái niệm: 48

2.2.2 Cấu hình web publishing rule: 49

2.3 Mail Server Publishing Rule 56

2.3.1 Khái niệm 56

2.3.2 Cấu hình Mail Server Publishing Rule (thực hiện trên ISA server) 57

2.4 Non-Web Server Protocol Publishing Rule: 60

2.4.1 Khái niệm: 60

2.4.2 Cấu hình Non-Web Server Protocol Publishing Rule: 60

2.5 Exchange Web Client Access Publishing Rule: 63

2.5.1 Khái niệm: 63

2.5.2 Cấu hình Exchange Web Client Access Publishing Rule 63

3 Câu hỏi vào bài tập: 72

CHƯƠNG V CẤU HÌNH DỊCH VỤ VPN TRÊN ISA SERVER 73

1 Khái niệm: 73

1.1 Giới thiệu 73

1.2 Tiến trình kết nối VPN: 73

1.3 Lợi ích của VPN: 73

1.4 Các thành phấn của kết nối VPN: 73

1.5 Các giao thức mã hóa kết nối VPN: 74

2 Cấu hình VPN Client-to-Site: 74

2.1 Chuẩn bị mô hình cho cấu hình dịch vụ VPN 74

2.2 Cấu hình VPN Client-to-Site dùng giao thức PPTP (máy ISA Server) 74

2.2.1 Cấu hình các thông số cần thiết: 74

2.2.2 Cấu hình một access rule cho phép kết nối VPN 77

2.2.3 Máy VPN Client thực hiện một yêu cầu kết nối: 79

2.3 Cấu hình VPN Client-to-Site dùng giao thức L2TP 80

2.3.1 Hiệu chỉnh trên ISA server: 80

2.3.2 Hiệu chỉnh trên VPN Client: 81

3 Cấu hình VPN Site-to-Site 83

3.1 Khái niệm: 83

3.2 Cấu hình VPN Site-to-Site 83

3.2.1 Chuẩn bị user cho kết nối VPN site to site: 83

3.2.2 Cấu hình VPN Client trên ISA Server 1 84

3.2.3 Tạo kết nối VPN Site to Site trên ISA Server 1: 86

3.2.4 Cấu hình VPN site-to-site trên ISA server 2 90

3.2.5 Kiểm tra cấu hình VPN Site-to-site: 91

4 Câu hỏi và bài tập: 91

TÀI LIỆU THAM KHẢO 92

 Firewall có thể được cài đặt sẵn trên các thiết bị mạng phức tạp (Router) hoặc trên máy tính thông thường Việc quản trị điều hành các Firewall này chống sự tấn công vào mạng nội bộ, quản lý đường truyền vào ra và bảo vệ chính thiết bị Firewall không phải đơn giản Có thể ta không phải là chuyên gia quản trị hạ tầng mạng, ta vẫn có thể quản trị Firewall với yêu cầu hiểu biết khá kỹ về địa chỉ IP, đặc điểm gói tin truyền trên mạng và đường đi các dịch vụ mạng

 Trong môn học này ta sẽ tìm hiểu một trong những phần mềm Firewall nổi tiếng trên thế giới, đó là ISA (Internet Security Acceleration) Server 2006 được phát triển bởi Microsoft Microsoft ISA Server là một giải pháp toàn diện bảo vệ hệ thống mạng

2 Các chức năng của ISA Server 2006:

2.1 Khả năng bảo vệ cao cấp:

 Multilayer packet inspection: kiểm tra gói tin đa mức, giúp bảo vệ IIS, Exchange Server, và các tài nguyên mạng khác khỏi sự tấn công cửa các hackers, virus, và đăng nhập không được ủy quyền

 Application layer filtering: lọc gói tin mức ứng dụng, hỗ trợ kiểm tra đường truyền ở mức ứng dụng với độ phức tập cao

 Unified firewall and VPN server: cung cấp tính năng tích hợp và quản lý firewall

và dịch vụ VPN trên cùng một máy ISA Server

 Multi networking: hỗ trợ nhiều mạng và có thể xây dựng cấu hình mạng và các rule của tường lửa, lọc đường truyền giữa các mạng

2.2 Dễ dàng sử dụng:

 Efficient management tools: các công cụ quản lý hiệu quả, dễ học và cung cấp một giao diện đơn giản để cấu hình và giám sát ISA Server

 Network templates: cung cấp các mẫu cấu hình mạng có sẵn dễ triển khai trong môi trường mạng đã tồn tại

 Product integration: ISA hỗ trợ tích hợp trong hệ thống dịch vụ thư mục (Active Directory), các sản phẩm bảo mật khác đang tồn tại trong hệ thống

2.3 Các thực thi nổi bậc:

 Optimized for performance: cung cấp hạ tầng thực thi cao để quản lý truy xuất vào và ra Internet của hệ thống mạng

 Integrated functionality: cung cấp các giải pháp tích hợp nhưng chỉ với các dịch

vụ cần thiết như bảo mật của tường lửa, VPN, Web Cache

 Scalability: hỗ trợ thứ bậc với cấu trúc nhiều mạng phức hợp và triển khai nhiều ISA Server của cùng một công ty hay nhiều nơi các nhau

 Web caching: ISA tăng khả năng thực thi mạng và giảm sử dụng băng tần cho các truy xuất Internet sử dụng Web caching, thông tin truy xuất từ Internet được lưu trữ trong ISA server

3 Cài đặt ISA server:

3.1 Yêu cầu hệ thống trên ISA server:

 Máy cài đặt hệ điều hành Windows Server 2000 SP4 hoặc bộ Windows Server

2003 family

 Tốc độ CPU Pentium II 500MHz trở lên

 Bộ nhớ RAM tối thiểu 256 MB

 Không gian ổ đĩa cứng phải trên 300MB, được định dạng NTFS

 Máy tính nên có ít nhất 2 card mạng: một card mạng nối mạng nội bộ, một card mạng nối mạng ngoài (hệ thống mạng khác của công ty hoặc Internet)

3.2 Cài đặt ISA server 2006

 Xây dựng mô hình như hình dưới đây: mạng 192.168.2.0 là mạng nội bộ, mạng

192.168.1.0 là mạng ngoài nối Internet Máy DC là Domain Controller có tên miền tùy ý (ví dụ cntt.com), máy ISA Server là thành viên của miền (join

domain) được cài đặt ISA Server 2006

 Đưa đĩa Microsoft ISA Server 2006 CD vào CD-ROM hoặc double click vào file

autorun.exe trong thư mục cài đặt Xuất hiện cửa sổ như hình dưới, click Install ISA Server 2006

 Xuất hiện Microsoft ISA Server 2006 – Installation Wizard, cửa sổ

Welcome… click Next Cửa sổ Lisence Agreement, chọn I accept the terms…

 Màn hình Setup Type, chọn Typical để cài mặc định, chọn Custom để cài các thành phần tùy chọn Ở đây ta chọn Typical

 Cửa sổ Internal Netwok chỉ định dãy địa chỉ IP của mạng nội bộ, click Add…

 Cửa sổ Addresses, click Add Adapter… để xác định card mạng để tử động xác định địa chỉ IP Nếu nhập dãy địa chỉ IP trực tiếp click Add Range…

 Cửa sổ Select Network Adapter, chọn card mạng nối mạng nội bộ Trong ví dụ bên dưới ta chọn Local Area Connection 2, khi chọn ta thấy nó tự xác định dãy địa chỉ IP bên dưới khung Network adapter detail, click OK

 Trở lại cửa sổ Addresseses, ta thấy có dãy địa chỉ IP được định nghĩa trong mạng nội bộ, click OK

 Trở lại cửa sổ Internal Network, ta cũng thấy dãy địa chỉ IP được định nghĩa mạng nội bộ Sau đó click Next 3 lần Quá trính cài dặt bắt đầu

 Sau khi cài đặt xong, click Finish để hoàn thành

4 Chính sách của hệ thống (System policy):

4.1 Khái niệm

 Khi hoàn thành cài đặt ISA Server 2006, mặc định nó được cấu hình sẵn với chính sách hệ thống (system policy)

 Chính sách hệ thống là một tập các qui luật truy xuất (access rule) kiểm soát kết

nối giữa máy ISA server và mạng nội bộ, giữa ISA server và mạng ngoài, giữa mạng nội bộ và mạng ngoài

4.2 Xem xét System policy:

 Mở giao diện quản lý ISA, chọn Start / Programs / Microsoft ISA Server / ISA

Server Management

 Giao diện quản lý cấu hình như dưới đây, trong console tree bên trái click

Firewall Policy, nhìn vào giữa ta thấy có một rule mặc định cấm tất cả các đường

truyền Vậy khi cài ISA mặc định mạng nội bộ không thể truy xuất ra bên ngoài

và bên ngoài cũng không thể kết nối vào mạng nội bộ

 Để mở xem System Policy, click phải chuột vào Firewall Policy / View / Show

System Policy Rules

 System policy như hình dưới, mỗi phần được gọi là một rule, System policy gồm

nhiều rule, các rule này xác định chức năng của mình nhờ các thông số sau đây:

- Order (thứ tự): xác định thứ tự ưu tiên của mỗi rule, rule nào có số thứ tự thấp

nhất (phía trên) có độ ưu tiên xử lý cao nhất Thuộc tính này còn được xác định

rule được bật (enable) hay tắt (disable)

- Name (tên): tên của một rule để phân biệt với các rule khác và để dễ nhận biết

chức năng của rule

- Action (hoạt động): qui định cách hoạt động, các rule trong System policy hoạt động cho phép (Allow), ngoài ra còn có hoạt động từ chối (Deny)

- Protocols (giao thức): qui định giao thức hoạt động trong rule

- From/Listener: địa chỉ nơi xuất phát gói tin

- To: địa chỉ nơi nhận gói tin

- Condition: điều kiện đi kèm (đối tượng hay nguyên tắc nào) cho một Rule, mặc định tất cả user (All Users)

Enable

Disable

 Để chỉnh sửa một rule trong System Policy, click phải chuột vào rule đó, chọn

Edit System Policy

 Trong cửa sổ System Policy:

- Configuration Groups: xác định các nhóm dịch vụ có thể lựa chọn cấu hình

- Tab General, Enable this configuration group được chọn là rule này được

bật, nếu không được chọn là rule này tắt

- Tab To, qui định dãy địa chỉ hoặc loại mạng gói tin được gửi tới

- Click OK sau khi đã cấu hình xong, sau đó click Apply

 Lưu ý: rất ít trường hợp phải thay đổi hay cấu hình lại các rule trong System

Policy vì điều này khá nguy hiểm Một số trường hợp khi cấu hình access rule bảo

vệ hệ thống mạng, nó sẽ tác động đến các rule trong hệ thống nên nếu có thay đổi

có thể gây sai lệch cấu hình

 Mặc định, khi xét gói tin được chấp nhận đi qua firewall hay không, nó xét các system policy trước khi xét đến các policy do người quản trị cấu hình

 Dưới đây là danh sách 20 rule đầu tiên trong số các rule trong System Policy:

danh sách gồm thứ tự, tên, hoạt động, nơi đến, nơi đi, và mô tả ý nghĩa của 20 rule này System có khoảng 40 rule

Local Host Internal All Users Cho phép truy

xuất dịch vụ thư mục vì mục đích chứng thực

2 (bật) Allow Remote

Management

using MMC

Allow MS Firewall Control, RPC (all interfaces), NetBIOS Datagram, NetBIOS Name Service

Remote Management Computers

Local Host

All Users Cho phép quản lý

từ xa sử dụng MMC

Remote Management Computers

Local Host

All Users Cho phép quản lý

từ xa sử dụng Terminal server

Local Host

All Users Cho phép quản lý

từ xa từ các máy tính được chọn sử dụng một ứng dụng Web

Local Host Internal All Users Cho phép ghi lại

từ xa các server được tin tưởng sử dụng NetBIOS

Local Host Internal All Users Cho phép chứng

thực RADIUS từ ISA server tời các server RADIUS đáng tin cậy

7 (bật) Allow Kerberos

authentication

Allow Kerberos-Sec (TCP), Kerberos-

Local Host Internal All Users Cho phép chứng

thực Kerberos từ

form ISA Server

to trusted servers

các server đáng tin cây

All Users Cho phép DNS từ

ISA Server tới các server được chọn

Local Host

All Users Cho phép Ping từ

các máy tính được chọn đến ISA server

Local Host All

Networks

All Users Chp phép các yêu

cầu ICMP từ ISA server đến các server được chọn

Local Host

All Users Cho phép VPN

site to site đến ISA Server

All Users Cho phép VPN

site to site từ ISA Server

Local Host Internal All Users Cho phép giao

thức Microsofft CIFS từ ISA server đến các server đáng tin cậy

Local Host Internal All Users Cho phép ghi bản

ghi từ xa sử dụng Microsoft SQL

to selected

servers

server từ firewall đến các server đáng tin cậy

All Users Cho phép các yêu

cầu http từ ISA server tới tất cả các mạng

NetBIOS Sesion

Remote Management Computers

Local Host

All Users Cho phép giám

sát thực thi từ xa ISA server từ các server đáng tin cậy

5 Câu hỏi và bài tập:

1 Nêu và thực hiện các bước cài đặt phần mềm ISA Server 2006?

2 Nêu và thực hiện thao tác mở xem các rule trong System Policy?

3 Dựa vào bảng danh sách các rule trong System Policy, nêu đặc điểm, chức năng của một số rule trong System policy?

CHƯƠNG II

SAO LƯU VÀ PHỤC HỒI CẤU HÌNH ISA SERVER

1 Sao lưu cấu hình ISA Server 2006:

 Trong quá trình cấu hình, có thể xảy ra lỗi nghiêm trọng, khi đó việc cài lại hệ điều hành để cấu hình lại là không khả thi, ta có thể back up lại cấu hình ban đầu khi mới cài đặt khi cần thì khôi phục lại, tránh phải cài đặt lại ISA 2006

1.2 Các thao tác sao lưu (back up):

 Trên màn hình quản lý ISA Server, click phải chuột vào tên máy tính (ví dụ:

server2), chọn Export (Back Up)… Thao tác này back up toàn bộ cấu hình của

ISA server 2006

 Trong Export Wizard, cửa sổ Welcome… click Next Cửa sổ Export

Preferences, chọn option Export confidential information: thông tin password user, RADIUS, và các thông tin bí mật khác được back up và mã hóa bởi Password được chỉ định bên dưới, password phải ít nhất 8 kí tự (ví dụ: ở đây

password là cntt1234) Nếu chọn Export user permission settings: các thiết lập các user hoặc nhóm ủy quyền quản trị được back up, click Next

 Cửa sổ Export File Location chỉ định vị trí lưu file, click nút Browse… để xác định đường dẫn, rồi click Next File back up có dạng xml, ta có thể lưu file này

vào ở cứng di động hoặc file chia sẻ trên mạng đề phòng trường hợp bị lỗi nặng trên toàn bộ máy server

 Click Finish, quá trình back up bắt đầu Khi xong, click OK để hoàn thành

2 Phục hồi cấu hình ISA Server 2006 từ file back up:

 Trên màn hình quản lý ISA Server, click phải chuột vào tên máy tính (ví dụ:

server2), chọn Import (Restore)… Thao tác này phục hồi toàn bộ cấu hình của

ISA server 2006 từ file back up

 Trong Import Wizard, cửa sổ Welcome… click Next Cửa sổ Select the Import

File, chỉ định file để phục hồi File này là file xml được tạo trong quá trình back

up ở trên, click Browse để xác định đường dẫn Click Next

 Cửa sổ Import Action, Import: thông tin được thêm vào cấu hình đã tồn tại,

Overwrite (restore) thông tin được ghi đè lên các cấu hình đã tồn tại Thường

chọn Overwrite (Restore), ở đây ta cũng chọn mục này click Next

 Cửa sổ Import Preferences, chọn Import server-specific information để phục

hồi toàn bộ cấu hình server bao gồm cache drives, dãy địa chỉ tĩnh VPN và chứng

thực SSL Click Next

 Cửa sổ Enter Password, nhập Password vào khung Khi back up, ta đặt password là cntt1234, nên khi phục hồi nhập password là cntt1234 Click Next

 Click Finish, xuất hiện thông báo quá trình phục hồi sẽ ghi đè lên các file đang

tồn tại và các đối tượng trong cấu hình cũ sẽ bị xóa Nếu muốn tiếp tục import

click OK

 Quá trình import bắt đầu, quá trình thực hiện xong click OK để hoàn thành

 Click Apply để cập nhật thông tin đã thay đổi trong hệ thống

3 Xuất chính sách Firewall

 Quá trình sao lưu, phục hồi trên toàn bộ hệ thống khác lớn và mất nhiều thời gian

Có một số trường hợp chỉ cấu hình trên một phần nhất định nào đó của ISA server

2006 Do đó, chương trình này được hỗ trợ sao lưu phục hồi trên một phần nào đó của chương trình đồng thời có thể gửi về cho Microsoft để phân tích lỗi cho ta

 Trong phần này ta khảo sát thao tác back up firewall policy, một phần quan trọng của ISA Server 2006

 Click phải chuột Firewall Policy, chọn Export

 Các thao tác back up giống thao tác back up toàn bộ ISA server (phần 1 chương IV) Tương tự ta có thể back up cho các phàn khác: networks, general…

4 Nhập chính sách firewall:

 Click phải chuột Firewall Policy, chọn Export

 Các thao tác phục hồi (Import) giống với thao tác phục hồi toàn bộ cấu hình ISA server (phần 2 chương IV)

 Click Apply để cập nhật các thông tin đã thay đổi vào hệ thống

5 Câu hỏi và bài tập

1 Nêu các trường hợp cần thiết để sao lưu và phục hồi ISA server?

2 Trình bày và thực hiện các bước sao lưu (back up) và phục hồi (restore) trên toàn

bộ hệ thống ISA Server 2006

3 Trình bày và thực hiện các bước sao lưu và phục hồi firewall policy trên hệ thống ISA Server 2006

CHƯƠNG III

CẤU HÌNH SECURENAT, WEBPROXY CLIENT,

FIREWALL CLIENT

1 Xây dựng mô hình chuẩn bị

 Xây dựng mô hình như hình dưới đây: mạng 192.168.2.0 là mạng nội bộ, mạng

192.168.1.0 là mạng ngoài nối Internet Máy DC là Domain Controller có tên miền tùy ý (ví dụ cntt.com), máy ISA Server là thành viên của miền (join

domain) được cài đặt ISA Server 2006

 Tạo một Access Rule đơn giản nhất: trong giao diện quản lý ISA server 2006,

click phải chuột Firewall Policy / New / Access Rule…

 Trong New Access Rule Wizard, cửa sổ Welcome…, nhập tên access rule vào khung, click Next

 Cửa sổ Rule Action, chọn Allow để cho phép truy xuất, click Next

 Cửa sổ Protocols, trong khung This Rule applies to:, chọn All outbound traffic

là tất cả các đường truyền, click Next

 Cửa sổ Access Rule Sources qui định mạng nguồn, click nút Add… chọn

Network Sets / All Networks (and Local Host) click nút Add là chọn tất cả

đường mạng, click Next

 Cửa sổ Access Rule Destinations qui định mạng đích, click nút Add… chọn

Network Sets / All Networks (and Local Host) click nút Add là chọn tất cả

đường mạng, click Next

 Cửa sổ User Sets, để mặc định tất cả các users (All Users), click Next

 Click Finish để hoàn thành cấu hình Ta thấy trong giao diện quản lý có một

access rule vừa được cấu hình

 Để cập nhật access rule này vào hệ thống click Apply, quá trình cập nhật bắt đầu

 Khi cập nhật xong, click nút OK

 Access rule này có đặc điểm gói tin của bất kỳ dịch vụ, giao thức nào từ bất kỳ mạng nào đều được đi qua ISA server đến bất kỳ mạng nào và ai cũng có thể gửi

và nhận gói tin Acces rule này không có tính bảo mật nhưng nó phục vụ cho các cấu hình bảo mật clien bên dưới

2 Cấu hình SecureNAT:

2.1 Giới thiệu

 SecureNAT client là các máy client không cài đặt Firewall Client, được cấu hình

để yêu cầu truy xuất tài nguyên trên mạng ngoài từ mạng nội bộ

 SecureNAT client sử dụng địa chỉ IP mạng nội bộ của ISA server làm địa chỉ Default Gateway, các yêu cầu cửa Secure NAT client được định hướng với kỹ thuật NAT

 Cấu hình SecureNAT khá dễ dàng mặc định được hỗ trợ trên ISA Server nhưng các yêu cầu truy xuất của các client phải tuân theo các chính sách về qui luật truy xuất (access rule)

2.2 Cấu hình SecureNAT client

 Mặc định ISA server hỗ trợ SecureNAT, ta cấu hình SecureNAT client trên máy client (ví dụ máy DC trong mô hình trên) Cấu hình địa chỉ IP cho máy client như hình dưới, Default gateway là địa chỉ IP của ISA server

 Kiểm tra bằng cách dùng lệnh Ping để kiểm tra kết nối với một máy tính ngoài Internet (ví dụ máy DNS server của FPT), ta thấy kết nối được

 Mở trình duyệt web IE vào thử một web site (ví dụ www.google.com.vn)

 Vậy là các máy client mạng nội bộ có thể truy xuất tài nguyên ngoài Internet, nhưng các máy ngoài Internet lại không thể truy xuất tài nguyên mạng nội bộ

3 Cấu hình Web Proxy:

3.1 Giới thiệu

 Proxy Server: là một server nằm giữa các client sử dụng ứng dụng web (dùng web browser) và các web server mà client kết nối tới Tất cả các yêu cầu web của client và trả lời của web server đều thông qua proxy server

 Web proxy client: là các máy client sử dụng trình duyệt web yêu cầu các ứng dụng web đến các web server và nhờ ISA server làm web proxy server Web proxy client không cần phần mềm hỗ trợ chỉ cần dùng trình duyệt web

 Web proxy làm tăng khả năng bảo mât với chứng thực user và làm tăng tốc độ truy xuất web với cache web page trên webproxy server Web proxy chỉ hỗ trợ người dùng khá hạn chế với các giao thức sau HTTP, HTTPS, FTP, FTPS

3.2 Cấu hình Web proxy:

3.2.1 Kiểm tra cấu hình ISA server là proxy server:

- Trên giao diện quản lý ISA server, trong console bên trái, chọn Configuration / Networks, click phải chuột vào mạng Internal, chọn Properties

- Trong Internal Properties, chọn tab Web Proxy, đảm bảo option Enable

Web Proxy client connections for this network được chọn, option Enable HTTP được chọn, HTTP port là 8080 Click OK Mặc định các thông số này

được chọn, ta chỉ kiểm tra lại

- Trong Internal Properties, tab Web Proxy, nút Authentication… cho phép cấu hình các phương pháp chứng thực người dùng, nút Advanced… cho phép

qui định giới hạn số người truy cập ứng dụng web bằng Web proxy

3.2.2 Cấu hình Web Proxy client:

- Đầu tiên ta cấu hình địa chỉ IP như hình dưới đây, lưu ý là ta không sử dụng

Default gateway

- Cấu hình Web browser sử dụng web proxy, ở đây ta dùng trình duyệt

Internet Explorer 6.0 Trên thanh menu chọn Tools / Internet Options…

- Cửa sổ Internet Options, chọn tab Connections, click nút LAN Settings…

- Cửa sổ Local Area Network (LAN) Settings, khung Proxy server, chọn option Use a proxy Server for your LAN (These settings will…), khung

Address nhập địa chỉ IP của ISA server (vd: 192.168.2.1), khung Port nhập

8080, chọn option Bypass proxy server for local address Click OK 2 lần

- Trên trình duyệt web, thử truy cập web, ta thấy vào web được mà không dùng địa chỉ Default gateway, dùng lệnh ping kiểm tra thử ra một server nào ngoài Internet, ta thấy không ping được

4.2 Cấu hình Firewall client

4.2.1 Kiểm tra cấu hình ISA server hỗ trợ firewall client:

- Trên giao diện quản lý ISA server 2006, trong console tree phía bên trái, chọn

Configuration / Networks, click phải chuột vào mạng Internal, chọn Properties Chọn tab Firewall Client, đảm bảo rằng các option được chọn

như hình dưới Click OK

- Đồng thời, trong tab Web Proxy phải đảm bảo các option được chọn như hình

dưới đây

4.2.2 Cấu hình firewall client:

- Trên máy client, trong thư mục cài đặt ISA server 2006, click đôi vào thư mục

client Sau đó, click đôi vào file setup.exe

- Trong Microsoft Firewall Client – Install Wizard, cửa sổ Welcome…, click

Next Cửa sổ License Agreement, chọn I accept the term in…, click Next

- Cửa sổ Destination Folder, qui định thư mục chứa chương trình firewall client, mặc định là thư mục c:\Program\Micorsoft Fitewall Client 2004, nếu muốn thay đổi, click Change… click Next

- Cửa sổ ISA Server Computer Selection, chọn Connection to this ISA

Server computer chỉ định kết nối tới ISA server và nhập hostname hay địa chỉ

IP vào khung nhập bên dưới, click Next Nếu ta chọn Automatically detect

the appropriate ISA Server computer tự tìm ISA server trên mạng để kết nối

- Sau đó click Install, quá trình cài đặt bắt đầu sau đó click Finish để hoàn

thành cài đặt

- Mở trình duyệt web IE, trên thanh menu, click Tools / Internet Options, chọn tab Connections, click nút LAN settings, trong Local Area Network (LAN)

Settings, ta quan sát các thông số (có khác so với webproxy) Click OK

- Trên trình duyệt web, thử truy cập web, ta thấy vào web được mà không dùng

địa chỉ Default gateway, dùng lệnh ping kiểm tra thử ra một server nào ngoài

Internet, ta thấy không ping được

5 Câu hỏi và bài tập:

1 Xây dựng mô hình mạng và cấu hình Access rule cơ bản phục vụ cho bài học?

2 Nêu đặc điểm SecureNAT? Cấu hình SecureNAT trên hệ thống mạng có ISA

 Mạng nội bộ là mạng được xác định khi cài đặt ISA server, mạng bên ngoài là mạng bất kỳ không được xác định khi cài đặt

 Access Rule cho phép kiểm soát đường truyền truy xuất tài nguyên Internet đồng thời nó cũng là thành phần cho các ứng dụng quản lý ISA server khác

 Các thông số cơ bản của access rule:

- Access rule name: tên của một access rule

- Action: qui định cách thức hành động của access rule

o Allow: cho phép

o Deny: cấm – từ chối

- Protocol: qui định các giao thức TCP/IP mà access rule này kiểm soát, mặc

định tất cả các dịch vụ cơ bản đã được định nghĩ và hỗ trợ, ta chỉ cần chọn dịch

vụ cần thiết khi cấu hình

- From/ Listener: qui định nguồn gửi gói tin To: qui định đích đến của gói tin

o Cả nguồn và đích thông thường qui định địa chỉ mạng: có 3 loại:

 External: mạng ngoài, là mạng bất kỳ kể cả Internet không được xác

định khi cài đặt ISA server

 Internal: là mạng nội bộ được bảo vệ, đã được qui định trong khi cài

đặt ISA server

 Local host: là máy ISA Server

o Mạng đích ngoài ra còn có một số qui định di kèm liên quan đến hẹn thời, các hình thức truy cập

- Conditions: qui định hình thức kiểm soát truy cập Internet bằng tài khoản User Mặc định là All users

1.2 Cấu hình access rule:

 Xây dựng mô hình như hình dưới đây: mạng 192.168.2.0 là mạng nội bộ được bảo

vệ, mạng 192.168.1.0 là mạng ngoài nối Internet

 Máy DC là Domain Controller có tên miền tùy ý (ví dụ cntt.com) cũng là máy đại

diện máy trạm mạng nội bộ

 Máy ISA Server là thành viên của miền (join domain) được cài đặt ISA Server

2006 để kiểm soát đường truyền

1.2.1 Cấu hình access rule cho phép truy cập web:

- Trong cửa sổ giao diện quản lý ISA server, console tree bên trái, click phải

chuột Firewall Policy, chọn New / Access Rule…

- Trong New Access Rule Wizard, cửa sổ Welcome to…, khung Access rule

name: nhập tên của access rule mình tạo (bất kỳ) nên nhập tên mang tính gợi

nhớ, click Next

- Cửa sổ Rule Action, chọn Allow cho phép truy cập web Click Next

- Cửa sổ Protocols, qui định giao thức cho phép truy cập của access rule này

Để truy cập web cần 2 giao thức DNS và HTTP Click Add… xuất hiện cửa

sổ Add Protocols, chọn 2 dịch vụ HTTP và DNS, click nút Add rồi click

Close Ta thấy có 2 dịch vụ ta chọn trong bảng Protocols, click Next

- Cửa sổ Access Rule Sources qui định nguồn phát gói tin, click nút Add… xuất hiện cửa sổ Add Network Entities, chọn Internal và Local Host click nút Add… rồi nút Close Ta thấy xuất hiện 2 loại traffic mà ta chọn ở trong khung, click Next

- Cửa sổ Access Rule Sources qui định đích gói tin đến, click nút Add… xuất hiện cửa sổ Add Network Entities, chọn External click nút Add… rồi nút

Close Ta thấy xuất hiện loại traffic mà ta chọn ở trong khung, click Next

- Cửa sổ User Sets, mặc định là All Users (tất cả các user) click Next

- Click Finish để hoàn thành cấu hình Để cập nhật access rule mới tạo vào hệ thống ISA server, ta click nút Apply trên giao diện quản lý ISA server

- Trên máy client (máy DC) truy cập thử Internet Nói chung, muốn cho các máy tính trong mạng nội bộ truy xuất tài nguyên Internet dịch vụ nào thì tạo access rule cho phép đi qua dịch vụ đó

1.2.2 Cấu hình cho phép truy xuất tài nguyên mạng ngoài có hẹn thời:

- Cấu hình chỉ cho phép truy cập web vào giờ nghỉ trưa (11h đến 13h)

1.2.2.1 Tạo mới một hẹn thời (schedule):

o Trên giao diện quản lý ISA server, khung tác vụ bên phải, chọn tab

Toolbox, chọn Schedules, click nút New

o Cửa sổ New Schedule, khung Name nhập tên hẹn thời mới (tùy ý, vd: Giờ giải lao), Description: mô tả hẹn thời của mình (tùy ý) Chọn vùng 11h đến 13h là màu xanh hoạt động (active), các vùng khác chọn màu trắng không hoạt động (Inactive) Ngoài ra ta có thể cấu hình cho các ngày trong tuần từ thứ 2 đến chủ nhật, click OK

1.2.2.2 Áp dụng hẹn thời vừa tạo vào một access rule

o Chọn access rule cần hẹn thời, click phải chuột chọn Properties

o Trong cửa sổ Properties của access rule, chọn tab Schedule, trong khung

Schedule chọn hẹn thời mình mới tạo là Gio giai lao Nếu muốn tạo một

hẹn thời khác, ta có thể click nút New Sau khi chọn xong click OK

o Click Apply trong giao diện quản lý ISA server để cập nhật vào hệ thống

1.2.3 Cấu hình truy xuất một web site cụ thể:

- Ví dụ: cấu hình chỉ cho phép các máy tính trong mạng nội bộ truy xuất vào

website vnexpress.net, và cấm tất cả các website khác

1.2.3.1 Tạo một URL Set

o Trên khung tác vụ phía bên trái của giao diện quản lý ISA server, chọn tab

Toolbox, mục Network Objects, click New / URL Set