Tài liệu Part 38 - ISA Server - Installation docx

Các hãng bảo mật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểu nhất đó chính là chương trình Internet Ser

Trang 1

Deva enkion “Chuyên trang dành cho kỹ thuật viên tin học”

CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT HARDWARE AND SOFTWARE

Part 38 - ISA Server - Installation

Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại day Internet phat triển với tốc độ chóng mặt và là công cụ không thể thiếu trong thời đại công nghệ ngày nay Tâm quan trọng của nó không chỉ ảnh hưởng đến ngành công nghệ cao mà còn vươn xa tới cách lĩnh vực khác Hay nói cách khác I nternet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi người trên thế giới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách xa đến hàng vạn cây số

Hơn nữa đây chính là một không gian mở một thế giới tri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu với nhau gần như ngay lập tức

Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệ thống máy tính ngày càng đang dạng và rộng khắp Những

kẻ tấn công với nhiêu mục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả chúng len lỏi vào hệ thống chung ta tan phá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một quốc gia nào đó

Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và là nỗi boăn khoăn chung của toàn xã hội Các hãng bảo mật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểu nhất đó chính là chương trình Internet Sercurity Acceleration Server (ISA Server) của Microsoft

Vậy cơ chế hoạt động của IS$A như thế nào dưới đây chúng ta sẽ đi sâu vào nghiên cứu nó

Theo Microsoft giới thiệu thì ISA Server là một bức tường lửa (Firew all) là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phải qua I SA kiểm duyệt rất kỹ lưỡng Hay nói cách khác khi dựng ISA Server lên thế giới của chúng ta sẽ được chia ra làm 3 phần riêng biệt:

- Internal Netw ork: Bao gồm tất cả máy tính có trong mạng chúng ta

- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy IS$A Server

- External Network: la mang Internet, nhu vay mang Internet được xem như là một phần trong mô hình IS$A mà thôi

IMáy Dac tinh IPC0 1 |Pco2 |

Trang 2

|Subnet Mask ||255.255.255.0 ||E55.255.255.0 |

Card Cross lbefault 172.16.2.1

- Mang 192.168.1.0/ 24 la mang gia lap mang I nternet

- Máy PC01 chinh la may ISA Server đã Join vao domain

- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/ 24

ISA không yêu cầu chúng ta phải lên Domain nhưng trong bài chúng ta sẽ thao tác trong môi trường Domain để tận dụng các tính năng mạnh mẽ của nó

Sau khi cấu hình IP các máy hoàn tất bạn phải xác nhận rằng các máy Ping thấy nhau rất tốt

cx C;\LWINDDWS`system32'cmd.exe

Microsoft Windows [Version 5.2.3796]

C:\Documents and Settings\Administrator>ping 172.16.2.1

Pinging 172.16.2.1 with 32 bytes of data:

Reply from 172.16.2.1: bytes=32 time=2ms TTL=128

172.16.2.1: bytes=32 time=ims TTL=128

172.16.2.1: bytes=32 time<ims TTL=128

Reply from 172.16.2.1: bytes=32 time<ims TTL=128

Ping statistics for 172.16.2.1:

Packets: Sent = 4 Received = 4, Lost = @ (@z loss)

Approximate round trip times in milli-seconds:

Minimum = @ms Maximum = 2ms Average = @ms

C:\Documents and Settings\Administrator>,_

Trước tiên để cài được ISA bạn phải đáp ứng đủ các yêu cầu sau đây:

- Ổ đĩa cài ISA phải được định dạng là NTFS

- Đã cài đặt Net Framew ork 3.0 trở lên

- Vào Services tat dich vu Windows Firewall di

Cũng xin nói thêm là có rất nhiều phiên bản ISA Server cho chúng ta cai dat Tuy nhién trong phan nay tdi chi dé cap tdi ISA Server Standard ma théi

Tại máy PC01 bạn Logon vào User Administrator cua Domain va chay chương trình Setup ISA Server lên chọn Install ISA Server 2006

Trang 3

Mi Microsoft 154 Server 2006 Setup

Read Release N Install ISA Server 2006

Read Upgrade Guide Read netslvậyn Guide

Read Quick Start Guide Exit

Trong man hinh Setup type chon Custom

ia Microsoft IS4 Server 2006 - Installation Wizard

Trang 4

Custom Setup

Chon tiép Add Range

Trang 6

{i Microsoft ISA Server 2006 - Installation Wizard 7 x!

Firewall Client Connections

Specify iF I54 Server 2006 will accept connections From Firewall clients For which

encryption is not supported

154 Server 2006 encrypts traffic exchanged with Firewall cient Byer the Firewall client

control channel For computers running Firewall Client 4.0 4

15A Server 2006 does not encrypt traffic exchang Tờ clients running earlier

versions of the Firewall Client software, or va computers running Windows 98

SE, Windows ME, or Windows NT 4.0,

oo

[- Allow non-encrypted Firewall connections

For best security practice recommend that you deploy the latest version of the

Firewall client software,

Pinging 172.16.2.1 with 32 hytes of data:

Request timed out

timed out

Packets: Sent = 4 Received = @ Lost = 4 (180% loss)

C:\Documents and Settings\Administrator>,

File Edit View Favorites Tools Help a

Back y Ey B | L Search (> Folders | fy g

Windows cannot Find 1\17 2.1' Check the spelling and try again, or try searching

s For the item by clicking the t button and then clicking Search

Trang 7

C:\Documents and Settings\Administrator.GCCOM>ping 172.16.2.2

172.16.2.2: bytes=32 time=2ms TTL=128

172.16.2.2: bytes=32 time=3ms TTL=128

172.16.2.2: bụtes=32 time=ims TTL=128

Reply from 172.16.2.2: bytes=32 time=?ms TTL=128

Packets: Sent = 4 Received = 4, Lost = @ (@% loss),

Minimum = ims, Maximum = ?ms., Average = 3ms

C:\Documents and Settings\Administrator.GCCOM>_

Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mang chung ta (172.16.2.0/ 24)

Bây giờ tôi sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy được nhau Với ISA Server chúng ta có 3 giải pháp

để các máy trong mạng 172.16.2.0/ 24 truy cập được I nternet:

[Dang | Ưu điểm | Nhược điểm

Secure NAT Kiểm soát được tất cả mọi Không kiểm soát được User,

Port ra vào hệ thống trang web

Prox Kiểm soát được mọi User, Chỉ kiểm soát được các Port

Kiểm soát được tất cả mọi

Port ra vào hệ thống Chỉ hỗ trợ các hệ điều hành

Kiểm soát được mọi User,

Trang 8

[[ Microsoft Internet Security and acc:

-I-L@ 15A | Internet Security &

*/5) Publish SharePoint Sites

š[=j Create Access Rule

Policy Editing Tasks

ef Edit Selected Rule

Trang 9

File Action View Help

is} Microsoft Internet Security and Accele Vea :

EP] Monitoring Acceleration Server 20oo

SharePoint Site Publishing Rule

Web Site Publishing Rule

Non-Web Server Protocol Publishing Rule

Welcome to the New Access Rule

CC

Access đổ»

, and the protocols that

nts from one network,

Trang 10

Rule Action

Select how client requests for content from the specified destination are dealt with

if the conditions specified in the rule are met

Trang 11

Access Rule Sources

This rule will apply to traffic originating from the sources specified in this page

Chon Internal trong thu muc Networks

Add Network Entities

Man hinh sau khi hoan tat

Trang 12

Access Rule Sources

This rule will apply to traffic originating from the sources specified in this page

Access Rule Destinations

This rule will apply to traffic sent from the rule sources to the destinations specified

Nhấp Next

Trang 13

User Sets

You can apply the rule to requests from all users Or, you can limit access to

specific user sets

This rule applies to requests from the following user sets: &

< Back | Next > ] Cancel |

Trong Filrew all Policy ta thấy xuất hiện Rule I nternal mới được tạo nhấp Apply để thực thi Rule nay

RE Microsoft Internet Security and Acceleration Server 2006

File Action View Help

c4 Internet Security and Accele pera oe

P Allow JW all outbo:

+ ] Last Default rule 8 Deny oy All Traffic

Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của ISA

¬ ¬ dnsmamt - [DNS' SERYER'Forward Lookup Zones`gccom.net]

2, File Action View Window Help

e as parent Folder) Name Server (NS) server ,qccom.net,

Trang 14

Microsoft Windows LUersion 5.2.3 2901

<G3 Gopurighc 1985-2883 Microsoft Corp

time =2ms time<ims time<ims time<ims

Packets: Sent = 4 Received = 4 Lost = Ø8 CØ⁄ loss}>,

Minimum = @ms Maximum 2ms Average = @ms

4 > a

Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dung Remote Management Computers C6 san clalSA

Tại Firew all Policy tôi xóa Rule I nternal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote Management Computers

RE Microsoft Internet Security and Acceleration Server 2006

[Done

Trong man hinh Remote Management Computers Properties nhdap Add:

Computer: chỉ tác động duy nhất lên một máy nào đó

Address Range: chỉ tác động lên một dãy IP nào đó

Subnet: tác động lên nguyên cả Subnet

Toolbox Y Tasks Y Help

Trang 15

Remote Management Computers Properties ?| x|

Trong ví dụ này tôi chỉ tác động lên duy nhất máy PC02 mà thôi nên tôi chọn Computer

Đặt tên cho Rule này là Remote ISA và nhập IP của PC02 vào sau đó nhấp OK

Microsoft Windows LUersion 5.2.3 2901

<G3 Gopurighc 1985-2883 Microsoft Corp

172.16.2.1: bytes=32 time=2ms TTL=128

172.16.2.1: bytes=32 time<ims TTL=128

Reply from 172.16.2.1: bytes=32 time<ims TTL=128

Packets: Sent = 4 Received = 4 Lost = Ø8 CØ⁄ loss}>,

Minimum = @ms Maximum 2ms, Average = @ms

2/ Proxy

Trang 16

Với cách cấu hình cho các máy truy cập được I nternet thông qua Proxy ta phai cau hinh lai | P của mạng chúng ta

Cấu hình IP các máy như sau:

IMáy Dac tinh II |Pco2 |

|Subnet Mask ||255.255.255.0 ||E55.255.255.0

Card Cross |Default

Tai may PCO2 md Internet Explorer -> Tools -> Intrenet Options chon tiép Tab Connections

Nhdap chon LAN Settings

Internet Options : 21x!

e To set up an Internet connection, click

server For 4 connection Ø

f Never dial a connection G

(ˆ Dial whenever a network co tion is not present

€ Always dial my default cofffestion

= Lacal ằrea Nei (L4N] settings

LAN Settings do not apply to dial-up connections LAN Settings |

Choose Settings above For dial-up settings

Nhập IP của máy PC01 vào ô Address và Port là 8080

Trang 17

Local ñrea Network (LAN) Settings nit 1 x]

- Automatic configuration

Automatic configuration may override manual settings Ác ensure the

use of manual settings, disable automatic cong

J” Automatically detect settings «

[T Use automatic configuration script FN

Proxy server Go

Vv Use 4 proxy server For fda (These settings will not apply to

dial-up or PM conn

Address: | 17, Port: [8080 Advanced |

Iv Bypasqptoxy server for local addresses

Trở lại IE truy cập thử Internet thấy rất tốt

3/ Firew all Client

Với Firew all Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firew all Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt I SA Server

Cấu hình IP các máy như sau:

IMáy Dac tinh IPC0 1 |Pco2 |

File Edit View Favorites Tools Help

@ Back v €3 v Fd | ¿` Search (>> Folders > x i) | [8x

Trang 18

{i Microsoft Firewall Client - Install Wizard | x|

ISA Server Computer Selection

Specify the ISA Server computer to which Firewall Client will connect

You can specify the 154 Server computer that Firewall Client onneéct to, or Firewall

Client can detect the appropriate ISA4 Server computer

ee

ce Connect to this I54 Server computer;

Type the IS4 Server host name or IP om:

|t72.16.2.1|

Example: isa.micrasoft.com,or Bevo

Automatically tng 154 Server computer

Tai may PCO2 md Internet Explorer -> Tools -> Intrenet Options chon tiép Tab Connections

Nhap chon LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại Proxy

Local Area Network (LAN) Settings en 2 x]

~ 4utomatic configuration

Automatic configuration may override manual settings Ác ensure the

usé of manual settings, disable automatic cong,

T4 1995159688455985898.0825.508986801.9695668045989890505.55 062906017

JV Use automatic configuration script “6”

Address | http: //154:8080/array, et Routil

4

Proxy server ov

K Use a proxy server for đàm (These settings will not apply to

dial-up or YPN conneétiofis)

Address: | 1 Port: [soso Advanced |

Vv Bypasqptoxy server for local addresses

Trở lại IE truy cập thử Internet thấy rất tốt

Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA và cấu hình cho các máy trong mạng có thể ra được I nter net

Và mọi công việc trên máy ISA coi như xong, nếu bạn có nhu cầu truy cập ISA để chỉnh sửa gì thêm trên thực tế bạn phải hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài IS$A Server mà dùng một máy Client bất kỳ cài công cụ ISA Server

Management dé quan ly ISA ma thdi

Tiêu đề	Part 38 - ISA Server - Installation
Tác giả	Deva Enkion
Thể loại	Bài viết

Định dạng
Số trang	21
Dung lượng	4,51 MB