Tạo VPN Site-to-site trên ISA 2006 Phần 2 Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS Domain Name System, tức hệ thống tên miền, một thành phần rất quan trọng trong v
Trang 1Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS (Domain Name System), tức hệ thống tên miền, một thành phần rất quan trọng trong việc tạo giải pháp, cài đặt CSS và tạo các mảng ISA Firewall ở văn phòng chính và văn phòng chi nhánh
Cấu hình DNS Server để loại bỏ các update động và nhập bản ghi Host (A) cho máy tính ISA Firewall và các tên mảng
Trước khi chúng ta bắt đầu quá trình cài đặt CSS ở văn phòng chính và các mảng ISA Firewall, bước đầu tiên cần phải làm là cấu hình DNS Server trên mạng hợp nhất, để từ chối các update động Chúng ta cần thực hiện điều này để khi ISA Firewall ở văn phòng nhánh kết nối tới ISA Firewall ở văn phòng chính, địa chỉ IP ảo sẽ không phải đăng ký trong DNS thay cho địa chỉ IP thực Điều này cũng ngăn ISA Firewall ở trụ sở chính đăng ký địa chỉ IP ảo của mình trong hệ thống tên miền (DNS)
Đây là vấn đề rất phổ biến trong hoạt động kết nối liên quan VPN site to site Ví dụ, giả
sử bạn dùng Web proxy và các client Firewall trên mạng ở trụ sở chính Các client đó được cấu hình để sử dụng tên ISA Firewall, nhằm kết nối tới các dịch vụ tường lửa và Web proxy của ISA Firewall Mọi thứ đều hoạt động tốt cho đến khi có các kết nối site-to-site Sau khi kết nối này được thiết lập, địa chỉ IP ảo của bản thân thông tin đăng ký tại văn phòng chính nằm trong DDNS Khi Web proxy và Firewall client cố gắng kết nối tới ISA Firewall văn phòng chính là chúng đang cố gắng kết nối với địa chỉ IP ảo của ISA Firewall ở trụ sở chính (địa chỉ giao diện RAS) và các kết nối từ Web proxy, Firewall client hỏng
Trường hợp khác khiến các vấn đề về địa chỉ IP giao diện (RAS) ảo xuất hiện là khi Firewall ISA văn phòng nhánh cố gắng kết nối tới CSS trụ sở chính Khi kết nối site to site hoàn tất, ISA Firewall nhánh sẽ đăng ký địa chỉ giao diện (RAS) ảo của nó trong CSS CSS cố gắng liên lạc với Firewall mảng nhánh, dùng địa chỉ này và kết nối hỏng Chúng ta có thể ngăn chặn vấn đề này bằng cách ngắt DDNS trên DNS server Có thể
Trang 2bạn sẽ đặt ra câu hỏi: “Chúng ta có cần giữ chế độ này lâu dài không, hay có cách khác cấu hình giao diện demand-dial không đăng ký trong DDNS?” Câu trả lời là: “Có thể”!
Chúng ta cần tạo các bản ghi Host (A) trong Active Directory tích hợp DNS với các tên sau:
Trước khi tạo các bản ghi Host (A), bạn cần tạo miền tìm kiếm ngược chiều cho ID mạng nhánh, Trong ví dụ hiện tại của chúng ta, ID mạng nhánh này là 10.0.1.0/24 Thực hiện các bước sau để tạo vùng tìm kiếm ngược chiều:
1 Trên Domain Controller, vào Start > Administrative Tools > DNS
Trang 3Hình 1
6 Trên trang Active Directory Zone Replication Scope, chọn To all DNS servers
in the Active Directory domain msfirewall.org Sở dĩ chọn tuỳ chọn này vì
chúng ta chỉ có một domain đơn trong tổ chức Nếu bạn có nhiều domain, bạn có thể tạo vùng tra tìm ngược chiều này cho tất cả DNS server trong forest (rừng
mạng) Bấm Next
Trang 4Hình 2
7 Trên trang Reverse Lookup Zone Name, chọn Network ID và nhập ID mạng cho
văn phòng chi nhánh trong hộp tex box Ở ví dụ này, ID là 10.0.1.0/24, vì thế
chúng ta sẽ nhập 10.0.1 và ấn Next
Trang 5Hình 3
8 Trên trang Dynamic Update, chọn Allow only secure dynamic updates
(recommend for Active Directory) (chỉ cho phép sử dụng các bản update động
an toàn; nên dành cho Active Directory) Chúng ta không nên dùng tuỳ chọn cho phép sử dụng các bản update động trong miền này, để các server nhánh có thể đăng ký trong DDNS Chỉ cần tránh đăng ký giao diện demand-dial trong DNS và sau này kiểm tra lại xem chức năng này có hoạt động phù hợp không Bấm
Next
Trang 71 Trên Domain Controller, kích vào Start, trỏ tới Administrative Tools và ấn DNS.
2 Trong console DNS management, mở rộng tên server, mở nút Forward Lookup Kích lên nút Zones msfirewall.org
3 Bấm phải chuột lên nút msfirewall.org và kích vào lệnh New Host (A)
4 Trong hộp thoại New Host, nhập tên host name của server trong hộp văn bản Name (uses parent domain name if blank) (dùng tên domain cha nếu trống) Ở
ví dụ này chúng ta sẽ nhập tên Firewall ISA văn phòng chi nhánh, là
isa2006branch FQDN sau đó sẽ xuất hiện trong hộp văn bản Fully qualified domain name (FQDN) (tên miền đáp ứng được đầy đủ tiêu chuẩn) Nhập địa chỉ
IP nội bộ của ISA Firewall văn phòng nhánh vào ô IP address Ở ví dụ này, địa chỉ sẽ nhập vào là 10.0.1.1 Kích vào Add Host
Hình 6
5 Hộp thoại New Host còn lại mở để cho phép bạn nhập thêm thông tin vào thêm
cho Host (A) Nhập tên, thông tin địa chỉ IP cho các điểm vào được chú ý trong danh sách ở trên
Trang 8Hình 7
8 Bây giờ chúng ta cần đưa một số thông tin vào trong cơ sở dữ liệu DNS Có thể
thực hiện bằng cách khởi động lại DNS server Trong DNS console, kích phải chuột lên tên server, trỏ tới All Tasks, và bấm Restart
Trang 9Hình 8
Để kết thúc cấu hình DNS, chúng ta cần loại bỏ các bản update động (ít nhất là tạm thời)
Ở khung bên trái DNS console, bấm lên điểm vào msfirewall.org trong nút Forward Lookup Zones Kích phải chuột lên nút msfirewall.org và chọn Properties
Trong hộp thoại Properties, bấm chọn tab General Trên tab General, chọn tuỳ chọn None từ danh sách Dynamic updates sổ xuống Ấn OK Không cần phải khởi động lại
dịch vụ DNS Tối thiểu hoá DNS console
Trang 10
Hình 9
Cài đặt CSS trên máy tính CSS chuyên dụng
Đây là bước cực kỳ quan trọng trong quá trình hoàn chỉnh cài đặt DNS: cài đặt CSS trên máy CSS chuyên dụng Bạn có thể cài CSS trên DC (Domain Controller), hay thậm chí là trên bản thân mảng ISA Firewall, nhưng cấu hình tốt nhất và an toàn nhất là đặt CSS trên một thiết bị chuyên dụng, ngăn cản thành viên mảng và thành viên Domain Controller
Với chương trình cài đặt lý tưởng, CSS được nằm trên phân đoạn bảo mật mạng chuyên dụng Không có bất kỳ máy nào khác nằm ở đó và không có lưu lượng nào được phép chuyển tới máy CSS xuất phát từ phần đoạn khác ISA Firewall còn được dùng để bảo vệ CSS trước tất cả các máy khác Tuy nhiên, để đơn giản và cho dễ hiểu, chúng ta sẽ thiết lập giản ước một số thứ Bạn có thể dùng các nguyên tắc cơ bản được thảo luận trong nhiều bài báo DMZ trên Website của chính nó, nhất là cách bảo vệ các Server FE
Exchange
Thực hiện các bước sau để cài đặt CSS trên máy tính CSS chuyên dụng:
Trang 11
1 Đưa địa ISA 2006 CD vào ổ đọc hoặc ổ ghi Nếu thực đơn chương trình chạy tự
động không xuất hiện, kích đúp lên file ISAAutorun.exe
Trang 12Hình 11
8 Trên trang Enterprise Installation Options, chọn Create a new ISA Server enterprise Tuỳ chọn này cho phép bạn tạo doanh nghiệp mới Ngược lại, tuỳ chọn Create a replica of the enterprise configuration cho phép bạn tạo bản
copy một doanh nghiệp ISA Firewall đã tồn tại, có thể được dùng như một bản sao lưu CSS trong trường hợp CSS chính bị hỏng Ở ví dụ này, chúng ta cần tạo
một doanh nghiệp mới, chứa tất cả mảng, Bấm Next
Trang 13Hình 12
9 Trên trang New Enterprise Warning, bạn có thể thấy thông tin về giá trị của việc
sử dụng doanh nghiệp đơn để quản lý tất cả mảng Bấm Next
Hình 13
Trang 14
10 Trên trang Create New Enterprise, nhập tên cho doanh nghiệp ISA
Firewall mới trong hộp Enterprise name Ở ví dụ này chúng ta sẽ dùng tên Enterprise Bạn có thể đưa vào bản mô tả tóm tắt thông tin cho ISA Firewall doanh nghiệp này trong hộp Description Bấm Next
Hình 14
11 Trong hộp thoại Enterprise Deployment Environment, bạn sẽ phải nói
cho chương trình cài đặt Wizard Installation biết liệu các ISA Firewall và CSS có cùng domain không, hay liệu chúng có trong một nhóm làm việc không Các ISA Firewall tốt nhất trong ở lĩnh vực bảo mật và dễ cấu hình thường có cùng domain Trong thực tiễn bạn thường phải đối mặt với vô số đe doạ từ các hacker chiếm quyền điều khiển an ninh mạng, không cần hiểu ISA Firewall và sẽ ép bạn triển khai cấu hình nhóm làm việc ít linh hoạt hơn, ít an toàn hơn Trong trường hợp đó bạn thường phải triển khai PKI với chứng chỉ phù hợp cho từng máy
Khi chúng ta triển khai một cấu hình an toàn, các thành viên ISA Firewall và CSS
trở thành một phần trên cùng một domain Chọn tuỳ chọn I am deploying in a single domain or in domains with trust relationships bấm Next
Trang 15Hình 15
12 Trên trang Ready to Install the Program, bấm Next
Hình 16
Trang 17Hình 18
Tạo các mảng và cấu hình Enterprise Management Station
Bây giờ chúng ta đã tạo được các mảng cho văn phòng chính và văn phòng chi nhánh Mảng là một tập hợp các ISA Firewall hoạt động như một tường lửa cục bộ đơn với cùng chính sách và cấu hình như nhau Một mảng ISA Firewall có thể có từ 1 đến 32 server Ít nhất một giao diện ở từng thành viên mảng ISA Firewall phải nằm trên cùng ID mạng, khi tất cả thành viên mảng ISA Firewall khác nằm trong cùng mảng ISA Firewall và giao diện này được dùng cho các liên lạc nội bộ mảng Có nghĩa là bạn không thể mở rộng các mạng này ra liên kết WAN hoặc VPN site to site, vì tất cả giao diện trong văn phòng từ
xa sẽ nằm trên ID mạng khác so với trụ sở chính
Trong ví dụ sử dụng ở loạt bài này, chúng ta có hai mảng: một cho trụ sở chính với tên
Main và một cho chi nhánh với tên Branch Chúng ta có thể tạo đa mảng văn phòng
chính và đa mảng chi nhánh, mỗi mảng có thể gồm 32 thành viên Thực tế, các mảng văn phòng chi nhánh chủ yếu bao gồm thành viên mảng đơn, còn trụ sở chính và chi nhánh lớn sẽ có các thành viên mảng từ 2 đến 32 server
Một trong những cải tiến nâng cao tuyệt vời nhất khi dùng thành viên đa mảng là các cơ chế tải cân bằng CARP và NLB Chúng cho phép bạn tăng cường hiệu quả thông lượng với tổng số thành viên trên từng mảng theo thời gian tốc độ liên kết
Trang 18Ví dụ, trong chương trình kiểm tra gói tình trạng, một ISA Firewall cấu hình tiêu chuẩn
có thể có lưu lượng điển hình ở mức xấp xỉ 1.5Gbps Nếu mảng ở trụ sở chính có 5 thành viên, thông lượng tác động qua mảng là 7.5Gbps Bạn thử kiểm tra giá cả tường lửa
“phần cứng” có thông lượng 7.5Gbps và so sánh nó với chi phí bỏ ra cho mảng 5 thành viên trên kho lưu trữ ổ cứng máy tính xem sao
Phần chênh lệch giá tiết kiệm được sẽ khiến cho bạn ấn tượng, cùng với khả năng có các
bộ phận, các bộ phận thay thế chỉ ở mức giá hàng hoá khuyến mại
Quay trở lại console ISA Firewall, sau khi kích vào nút Finish trên trang cuối của
chương trình cài đặt, ISA Firewall console cũng sẽ mở, cùng với Web page security
Thực hiện các bước sau để thêm CSS vào trạm Enterprise Remote Management:
1 Đọc trang Web Protect the ISA Server Computer và đóng lại sau khi đọc xong.
2 Trong console ISA Firewall, mở rộng nút Enterprise , sau đó mở rộng nút
Enterprise Policies Bấm lên Default Policy
Hình 19
3 Kích vào tab Toolbox trong Task Pane Bấm lên tiêu đề Network Objects Bấm chọn thư mục Computer Sets và kích đúp lên điểm vào Enterprise Remote Management
Trang 19Hình 20
4 Trong hộp thoại Enterprise Remote Management Computers Properties, kích vào nút Add và bấm lên điểm vào Computer
Trang 20Hình 21
5 Trong hộp thoại New Computer Rule Element, nhập tên cho máy CSS, cũng
hoạt động như một trạm quản lý doanh nghiệp từ xa Chúng ta sẽ đặt tên cho máy
tính này là CSS và nhập tên trong ô Name Trong hộp Computer IP Address, nhập địa chỉ IP cho máy CSS Ở ví dụ của chúng ta, địa chỉ này là 10.0.0.3 Ghi thông tin mô tả tóm tắt ở ô Description (optional), nhưng không bắt buộc Ấn
OK trong hộp thoại New Computer Rule Element
Trang 21các bước sau để tạo mảng Main:
1 Ở khung bên trái console ISA Firewall, kích phải chuột lên nút Arrays Kích vào lệnh New Array
Trang 223 Trong ô Array DNS Name, nhập FQDN để nhận dạng tên mảng Điều này sẽ rất
hữu ích cho bạn khi dùng NLB hoặc CARP client site để cân bằng tải Trong ví dụ
này, chúng ta sẽ cùng tên main.msfirewall.org để xử lý địa chỉ IP cho giao diện
nội bộ của ISA Firewall ở trụ sở chính Nếu sử dụng NLB, tên này sẽ xử lý một VIP nội bộ Với CARP client side, chúng ta sẽ có nhiều bản ghi đa Host (A) và dùng DNS Round Robin để phân phối cho các kết nối ban đầu nhận được thông
tin bảng mảng Kích vào Next để tiếp tục
Trang 23Hình 25
4 Trên trang Assign Enterprise Policy, chọn tuỳ chọn mặc định Default Policy
Sau đó chúng ta sẽ kiểm tra xem liệu các chính sách doanh nghiệp (enterprise policy) có được áp dụng cho toàn bộ mảng quản lý bởi cùng một ISA Firewall
enterprise không Kích Next
Trang 24Hình 26
5 Trên trang the Array Policy Rule Types, bạn có thể sử dụng một số điều khiển
tập trung hoá qua các kiểu nguyên tắc do người quản trị cấu hình “Bật” các thiết
lập mặc định “Deny” Access Rules, “Allow” Access Rules và Publishing rules (Deny and Allow) Bấm Next
Trang 25Hình 27
6 Kích vào nút Finish trên trang Completing the New Array Wizard
Hình 28
Trang 27Hình 30
9 Kích vào Apply để ghi lại các thay đổi và update chính sách tường lửa Bấm OK trong hộp thoại Apply New Configuration
Bây giờ là tạo mảng văn phòng chi nhánh:
1 Kích phải chuột lên nút Arrays và chọn New Array
Hình 31
2 Nhập Branch trong ô Array name Ấn Next
Trang 28Hình 32
3 Nhập branch.msfirewall.org trong ô Array’s DNS name Tuỳ chọn này sẽ xử lý địa chỉ IP nội bộ trên ISA Firewall chi nhánh Kích Next
Trang 30Hình 35
6 Bấm chọn Finish trên trang Completing the New Array Wizard
Hình 36
Trang 32mở ra Customer Feedback (phản hồi của khách hàng) Các bạn nên tham gia và chương
trình này, vì nó sẽ giúp nhóm sản xuất ISA Firewall hiểu cách bạn sử dụng ISA Firewall
và cách trả lời nhanh hơn trước các vấn đề bạn gặp phải khi dùng ISA Firewall Bạn không gặp phải vấn đề nguy hiểm gì về bảo mật khi gửi cho Microsoft thông tin liên quan đến sử dụng ISA Firewall Sản phẩm sẽ trở nên an toàn và linh hoạt hơn với sự đóng góp
ý kiến của người dùng
Trang 33
sử dụng Branch Office Connectivity Wizard để tạo file trả lời, sau đó sử dụng file trả lời này để tạo kết nối VPN site to site và liên kết ISA Firewall ở chi nhánh với miền và CSS
ở trụ sở chính