Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 2 Tạo các mảng và cấu hình trạm quản lý doanh nghiệp Enterprise Management Station Lúc này chúng ta đã
Trang 1Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 2
Tạo các mảng và cấu hình trạm quản lý doanh nghiệp (Enterprise Management Station)
Lúc này chúng ta đã sẵn sàng cho việc tạo các mảng cho các văn phòng chính và chi nhánh Mảng ở chính là một bộ các ISA Firewall hành động như một tường lửa logic, trong đó tất cả chúng đều có cùng một chính sách và cấu hình Một mảng ISA Firewall có thể gồm có từ 1 đến
32 máy chủ Tối thiểu một interface trên mỗi thành viên mảng ISA Firewall phải nằm trên cùng network ID như tất cả các thành viên khác của mảng ISA Firewall trong cùng một mảng ISA Firewall, interface này được sử dụng cho truyền thông mảng bên trong Trong thực tế, điều này có nghĩa rằng bạn không thể mở rộng các mảng cho toàn bộ các liên kết WAN hoặc VPN site to site, vì tất cả các interface trong văn phòng từ xa sẽ nằm trên một network ID khác với network ID tại văn phòng chính
Trong ví dụ được sử dụng trong loạt bài này, chúng ta sẽ có hai mảng:
mảng văn phòng chính có tên Main và mảng cho văn phòng chi nhánh
có tên Branch Chúng ta hoàn toàn có thể tạo nhiều mảng văn phòng
chính và nhiều mảng văn phòng chi nhánh và mỗi mảng có thể có chứa đến 32 thành viên Tuy nhiên trong thực tế, các văn phòng chi nhánh thường chứa điển hình một thành viên mảng, còn văn phòng chính và các văn phòng chi nhánh lớn có thể chứa từ 2 đến 32 máy chủ thành viên
Một trong những thuận lợi lớn nhất trong việc sử dụng nhiều thành viên mảng là CARP và cơ chế cân bằng tải mạng NLB cho phép bạn đạt được mức hiệu quả thông lượng bằng tổng số thành viên mảng trên thời gian mà tốc độ liên kết có sẵn cho mỗi thành viên mảng
Trang 2Nếu bạn có một mảng văn phòng chính có chứa 5 thành viên mảng, thông lượng qua mảng sẽ là 7.5Gbps Hãy tính chi phí cho một tường lửa phần cứng có thông lượng 7.5Gbps và đem so nó với giá thành của một mảng 5 thành viên
Bạn sẽ thấy ấn tượng về việc tiết kiệm chi phí cũng như khả năng thay thế các thành phần với giá cả phải chăng
Chúng ta hãy quay trở lại với giao diện điều khiển ISA Firewall Sau
khi kích Finish ở trang cuối cùng của wizard cài đặt, giao diện ISA
Firewall sẽ mở như một trang web bảo mật Thực hiện các bước sau để
add CSS vào các trạm Enterprise Remote Management trong chính
sách doanh nghiệp:
1. Đọc trang Protect the ISA Server Computer và sau đó đóng
nó
2. Trong giao diện điều khiển ISA Firewall, mở nút Enterprise, sau
đó mở nút Enterprise Policies Kích nút Default Policy.
Hình 19
3. Kích tab Toolbox trong Task Pane Kích tiêu đề Network
Objects Kích thư mục Computer Sets, sau đó kích đúp vào entry Enterprise Remote Management.
Trang 3Hình 20
4. Trong hộp thoại Enterprise Remote Management Computers Properties, kích nút Add và kích entry Computer.
Trang 45. Trong hộp thoại New Computer Rule Element, nhập vào tên
cho máy CSS, đây là máy cũng hoạt động như một trạm quản lý
từ xa Chúng ta sẽ đặt tên cho máy tính này là CSS và nhập vào
tên của nó vào hộp Name Trong hộp Computer IP Address,
nhập vào địa chỉ IP của máy CSS Trong ví dụ của chúng ta, địa
chỉ IP là 10.0.0.3 Nhập vào phần mô tả cho máy đó trong hộp Description (optional) Kích OK trong hộp New Computer Rule Element.
Trang 5Hình 22
6. Kích OK trong hộp Enterprise Remote Management
Computers Properties.
7. Kích Apply để lưu các thay đổi và nâng cấp chính sách tường lửa Kích OK trong hộp Apply New Configuration.
Lúc này chúng ta cần tạo các mảng Sẽ có hai mảng trong kịch bản này: một mảng văn phòng chính và một mảng văn phòng chi nhánh Cả hai mảng sẽ được quản lý trong cùng ISA Firewall enterprise và đều có thể
sử dụng các chính sách doanh nghiệp tập trung Thực hiện theo các
bước dưới đây để tạo mảng Main:
1. Trong phần panel bên trái của giao diện điều khiển ISA Firewall,
kích phải vào nút Arrays Kích lệnh New Array.
Trang 62. Trong hộp Welcome to the New Array Wizard, nhập vào tên cho mảng trong hộp Array name Trong ví dụ này, chúng ta sẽ đặt tên cho mảng là Main Kích Next.
Hình24
3. Trong hộp Array DNS Name, nhập vào một FQDN để phân biệt
tên mảng Điều này hết sức hữu dụng khi bạn sử dụng NLB hoặc client side CARP để cân bằng tải Trong ví dụ này, chúng ta sẽ sử
dụng tên main.msfirewall.org để phân giải địa chỉ IP của
interface bên trong của office ISA Firewall văn phòng chính Nếu
đã kích hoạt NLB, tên này sẽ phân giải thành một VIP bên trong,
Trang 7và nếu sử dụng client side CARP, chúng ta sẽ có các bản ghi Host (A) cho tên này và sử dụng DNS round robin cho việc phân phối
các kết nối ban đầu để nhận thông tin Kích Next.
Hình 25
4. Trong trang Assign Enterprise Policy, chọn tùy chọn mặc định, Default Policy Sau đó chúng ta sẽ nghiên cứu tỉ mỉ cách sử
dụng các chính sách doanh nghiệp có thể áp dụng cho tất cả các mảng được quản lý bởi cùng một ISA Firewall enterprise Kích
Next.
Trang 85. Trong trang Array Policy Rule Types, bạn có thể điều khiển tập
trung cho một số kiểu rule được cấu hình bởi các quản trị viên
mảng Để các thiết lập mặc định “Deny” Access Rules, “Allow” Access Rules and Publishing rules (Deny and Allow) đã kích hoạt và kích Next.
Trang 9Hình 27
6. Kích Finish trong trang Completing the New Array Wizard.
Hình 28
Trang 10Hình 29
8. Kích OK sau khi The new array was successfully created xuất
hiện
Trang 11Hình 30
9. Kích Apply để lưu những thay đổi và nâng cấp chính sách tường lửa Kích OK trong hộp Apply New Configuration.
Chúng ta hãy tạo mảng văn phòng chi nhánh:
1. Kích phải vào nút Arrays và kích New Array.
Hình 31
2. Nhập Branch vào hộp Array name Kích Next.
Trang 123. Nhập branch.msfirewall.org vào hộp Array’s DNS name Tên
này sẽ phân giải thành địa chỉ IP trong trên ISA Firewall văn
phòng chi nhánh Kích Next.
Trang 13Hình 33
4. Chấp nhận entry Default Policy trong trang Assign Enterprise Policy và kích Next.
Hình 34
Trang 14Hình 35
6. Kích Finish trong trang Completing the New Array Wizard.
Trang 15Hình 36
7 Thanh trạng thái chỉ thị tiến trình đang trong quá trình tạo mảng mới
Trang 168. Kích OK khi bạn thấy The new array was successfully
created.
Trang 17Hình 38
9. Kích Apply để lưu những thay đổi và cập nhật chính sách tường lửa Kích OK trong hộp Apply New Configuration.
Một thứ cuối cùng cần thực hiện trước khi kết thúc Kích vào liên kết phía trên trong phần panel giữa có liên quan đến chương trình cải thiện
cảm nhận khách hàng Bạn sẽ được đưa đến hộp Customer Feedback.
Bạn nên tham gia vào chương trình này vì nó sẽ giúp nhóm sản phẩm của ISA Firewall hiểu được cách bạn sử dụng ISA Firewall như thế nào
và biết cách đáp trả các vấn đề mà bạn có thể gặp phải với ISA
Firewall Các thông tin nào sẽ được gửi đến Microsoft và kết quả cuối cùng sẽ làm một sản phẩm ISA Firewall ổn định hơn, an toàn hơn cho bạn và bất cứ ai sử dụng ISA Firewall
Trang 18Kết luận
Trong phần này, chúng ta đã cấu hình DNS server với Host (A) record
để hỗ trợ giải pháp Sau khi cấu hình DNS, chúng ta đẫ cài đặt CSS trên máy CSS chuyên dụng và cấu hình các mảng văn phòng chính cũng như văn phòng chi nhánh Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho bạn cách tạo một answer file và sau đó sử dụng nó cho việc tạo kết nối VPN site to site, tiếp đó là join ISA
Firewall văn phòng chi nhánh vào miền và CSS văn phòng chính
