Đề tài Tìm Hiểu ISA Server 2006

TRƯỜNG CAO ĐẲNG NGHỀ SÀI GÒN Tìm Hiểu ISA Server 2006 Giáo viên hướng dẫn: Nguyễn Văn Tùng Sinh Viên: Vũ Cao Sơn Đông Mai Văn Mẫn Châu Huỳnh Quốc Biểu Nguyễn Phước Trung Lê Tuấn Vũ Võ Thành Bửu Tâm MỤC LỤC CHƯƠNG I: Tổng quan về ISA Server 2006 Giới Thiệu Về ISA Server 2006 3 Các phiên bản của ISA Server 2006 Tính năng của ISA Server 2006 4 So sánh ISA 2006 và 2004 6 Chương II: Cấu hình ISA Server 2006 Cài đặt ISA Server 2006 Yêu cầu cài đặt 7 Quá trình cài đặt a. Cài ISA Server 2006 trên máy chủ 1 card mạng. b. Cài ISA Server 2006 trên máy chủ nhiều card mạng 8 II. Cấu hình ISA server 2006 Tóm tắc một số thông số mặc định 15 Cấu hình Web Proxy cho ISA server 2006 Tạo và sử dụng Access Rule Tạo 1 số Access Rules Cấu hình Web Proxy cho ISA server 2006 20 Cấu hình nâng cao ISA Server 2006 21 Web Publishing and server Publishing Cấu hình VPN trên ISA server 2006 22 Giới thiệu VPN Xây dựng VPN client to Gatewa Chương I Tổng Quan Về ISA Server 2006 Giớ Thiệu Về ISA Server 2006 Mircosoft Internet Security and Acceleration Server (ISA Server) là phần mềm tường lửa và share internet của hãng phần mền nổi tiếng Microsoft. Có thể nói đây là phần mềm tường lửa và share internet khá hiệu quả, ổn định, dễ cấu hình, nhiều tính năng nổi bật. ISA Server được thiết kế chủ yếu để hoạt động như một tường lửa, nhầm đảm bảo rằng tất cả những ‘traffic’ không trông đợi từ Internet được chặn lại, từ bên ngoài mạng của tổ chức, đồng thời ISA Server có thể cho phép các người dùng bên trong mạng tổ chức truy cập một cách có chọn lọc đến cái tài nguyên từ Internet và người dùng trên Internet có thể truy cập vào tài nguyên trong mạng của tổ chức sao cho phù hợp với các chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức. Và một số chức năng khác. Các phiên bản của ISA Server 2006 ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẽ băng thông cho các công ty có quy mô nhỏ và trung bình. ISA Server 2006 có hai phiên bản là Enterprise và Standard Ø Standard Edition : + Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty + Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không phù hợp, thời gian không thích hợp (ví dụ trong giời làm việc) + Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu văn phòng và hội sở. + Đối với các công ty có những hệ thống máy chủ Public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triên khai vùng DMZ nhằm ngăn chặn sự tương tác trực tiếp giữa người dùng bên ngoài và bên trong hệ thống. + Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản Standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc kết nội internet của mạng nội bộ Chính vì thế mà sản phẩm firewall này có tên gọi tên là Internet Security và Aceleration (bảo mật và tăng tốc Internet). Ø Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và trong hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). So sách giữa phiên bản Standard Edition và Enterprise Edition Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. Bản Enterprise có hỗ trợ thêm 3 tính năng mà bản Standard không có Centralized storage of configuration data: Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi các bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server (bạn có thể cài ADAM lên máy khác lo ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẻ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ bạn muốn thay đổi cấu hình của một hay nhiều máy ISA bạn chỉ việc ngồi vào trong máy server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình. Support for cache Array Routing Protocol (CARP): Bản Enterprise cho phép ta chia sẽ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy nhiều máy ISA sẽ được cấu hình trở thành một vùng cache của tất các ISA với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó. Khi một client bât kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó trả về cho máy client. CARP giúp tối ưu hóa khả năng cache. Intergation of Network Load Balancing- NLB (tích hợp cân bằng tải trên ISA): NBL là một thành phần network có sẵn trong Windows 2000 server và Windows server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống. Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB. Tính năng của ISA Server 2006 ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN). Ngoài ra các chính sách bảo mật thông tin tương đối tốt. Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN ( đây là những tính năng mà các doanh nghiệp ở Việt Nam ta ít dùng. Về khả năng Publishing Serviece: + ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA (Outlock Web Access, Đây là Module của Microsoft Exchanger Server (một Server phục vụ Mail), nó cho phép người dùng truy cập và quản trị Mailbox của họ từ xa thông qua Web Browser), qua đấy hỗ trợ chứng thực kiểu form-based. Chống lại các người dùng bất hợp pháp vào trang Web OWA, tính năng được phát triển dưới dạng Add-in. + Cho phép public Terminal Server theo chuẩn RDP over SSl, đảm bào dữ liệu trong phiên kết được mã hóa trên Internet (kể cả password). + Block các kết nối non-encryted MAPI đến Exchanger server, cho phép Outlook của người dùng kết nối an toàn đến Exchanger Server. + Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra Internet một cách an toàn. Hỗ cả các sản phẩm mới như Exchanger 2007. Khả năng kết nối VPN: + Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt, tất nhiên ai thích cấu hình bằng tay tại từng thời điểm một cũng được. Tích hợp hoàn toàn Quanratine. + Statefull filterning and inspection , kiểm tra đầy đủ các VPN connection, site-to-site, secureNAT for VPN clients, … + cho phép public luôn một VPN server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác). Về khả năng quản lý: + Dễ dàng quản lý + Rất nhiều Wizard + Backup và Restore đơn giản + Cho phép ủy quyền quản trị cho các User/Group + Log và Report chi tiết cụ thể + Khai báo thêm Server vào array dễ dàng (không khó như ISA 2000, 2004) + Tích hợp với giải pháp quản lý cụ thể của Microsoft :MOM + SDK… Các tính năng khác: + Hỗ trợ nhiều CPU và RAM (bản Standard hỗ trợ đến 4 CPU, 2GB RAM) + Max 32 node Network LoadBalancing + Hỗ trợ nhiều network + Route/NAT theo từng network, + Firewall rule đa dạng + IDS + Flood Resiliency + HTTP compression + Diffserv So sánh ISA 2006 và 2004 ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như: Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/HTTP Publishing. Hỗ trợ SharePoint Portal Server. Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listene Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN CHƯƠNG II CẤU HÌNH ISA SERVER 2006 Cài đặt ISA Server 2006 Yêu cầu cài đặt Thành phần Yêu cầu Bộ sử lý (CPU) Intel hoặc AMD 500MHz trở lên Hệ điều hành (OS) Windowns server 2003 hoặc Windowns server 2003 r2 Bộ nhớ (RAM) 256 MB hoặc 512 MB cho hệ thống không sử dụng Web Caching, 1GB hoặc cao hơn cho hệ thống có Web-Caching hoặc ISA Firewall Không gian đĩa (Disk space) Ổ đĩa cài đặt ISA phải là NTFS file system, ít nhất còn khoảng 150MB dành cho ISA Card mạng (NIC) Phải ít nhất có một card mạng (đề nghị 2 card mạng) Quá trình cài đặt : Cài ISA trên máy chủ 1 card mạng: Khi ta cài đặt ISA trên máy Server chỉ có một card mạng ( còn gọi là Unihomed ISA Firewall). Chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng : SecureNat client Firewall Client Server Publishing Rule Remote Access VPN Site-to-Site VPN Multi-networking Application-layer inspection (trừ giao thức HTTP) Cài ISA trên máy chủ nhiều card mạng: ISA Firewall thường được triển khai trên dual-homed host (máy chủ có 2 card mạng) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA Server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN, … Các bước cài đặt ISA Firewall software Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 suorce. Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security anh Acceleration Server 2006”. Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại License Agreement, chọn Next Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục. Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chon Typical, chọn Next. Ta có 2 các định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes. Cách thứ hai ta cấu hình default Internal Nextwork bằng cách chọn nút “Select Network Adapter” sau đó ta nhấp chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội bộ. Bạn chọn nút Add ở hộp thoại Internal Network. Trong cửa sổ Address bạn chọn Add Adapter. Trong cửa sổ Select Network Adapters bạn chọn vào card mạng mà kết nối với hệ thống mạng nội bộ của bạn. Và chọn OK cho các cửa sổ tiếp theo để tiếp tục cài đặt. Trong hộp thoại Internal Network bạn kiểm tra lại những đường mạng có đúng với bản routing table trong tổ chức. Chọn Next để tiếp tục Chọn dấu check “ Allow computers running earlier versions of Firewall Client software toconnect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP và IIS Admin Service trong quá trình cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF)/Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. Chọn Install Chọn Finish để hoàn tất quá trình cài đặt. Và bạn restart lại máy. Cấu hình ISA Server 2006 Tóm tắt một số thông tin mặc định: System Policies cung cấp sẵn một số luất để cho phép truy cập vào/ra ISA Firewall. Tất cả các traffic còn lại đều bị cấm. Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network. Cho phép NAT giữa Internal Network và External Network. Chỉ cho phép Adminstrator có thể thay đổi chính sách bảo mật cho ISA firewall. Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách chọn Firewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy. Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item. Cấu hinh web proxy cho ISA: Các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ. Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẵn trong Domain Name Sets được mô tả dưới tên “system policy allow sites”. Cánh tạo Domain Name Sets. Tạo và sử dụng Access Rules Access Rules dùng để điều khiển outbound access. ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down (lưu ý rằng system Policy được kiểm tra trước Access Policy do user định nghĩa), nếu packet phù hợp với một luật nào đó thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu không phù hợp với bất kỳ System Access Policy và User-Defined Policy thì ISA Firewall deny packet này. Một số tham số mà Access Rule sẽ kiểm tra trong connection request: Protocol: Giao thức sử dụng. From : Địa chỉ nguồn. Schedule Thời gian thực thi luật To: Địa chỉ đích. Users: Người dùng truy xuất. Content type: Loại nội dung cho HTTP connection. Tạo một số Access Rule: Kích hoạt vào Start vào Programs bạn vào Microsoft ISA Server chọn ISA Server Management, mở rộng server name, nhập chuột phải vào Firewall Policy, chọn New và nhập chuột vào Access Rules Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rulename, nhấp chuột vào nút Next để tiếp tục. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc định tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp tục. Hiển thị hộp thoại “Protocols” ở đây bạn có chọn rất nhiều Protocols. Ta sẽ chọn giao thức (Protocol) để cho phép /cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh sách This rule applies to. All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng có thể của tùy chọn này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. Đối với Firewall clients, thì tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary protocols đã được định nghĩa hoặc chưa được định trong ISA Firewall. Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của Isa Firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một Protocol nào đó thì ta phải mô tả Protocol vào ProtocolPanel được cung cấp trên ISA Firewall để có thể hỗ trợ kết nối cho SecureNAT client. Selected Protocols: Tùy chọn này cho phép ta có thể lựa chọn từng Protocols để áp đặt vào luật(rule). Ta có thể lựa chọn một số protocol có sẳn trong hộp thoại hoặc có thể tạo mới mộ Protocol Definition. All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà không được định nghĩa trong hợp thoại. Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các Protocol cần mô tả cho luật. Bạn chon vào nút Add vào Add vào những protocols thích hợp. Sau đó chọn Next để tiếp tục. Hiển thị hộp thoại Access Rule Soureces, chọn địa chỉ nguồn (source location) để áp đặt vào luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta chọn địa chỉ nguồn từ hộp thoại này. Chọn Next để thực hiện bước tiếp theo. Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại hoặc có thể định nghĩa một destination mới, thông thường ta chọn External network cho destination rule. sau khi hoàn tất chọn nút Next để tiếp tục hiện thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho Access Rule. Mặc định luật sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thống số này bằng cách Edit hoặc thêm User mới vào Rule thông qua nút Add, chọn Next để tiếp tục. Chọn Finish để hoàn tất. Cấu hình Web Proxy cho ISA Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình Isa Firewall cung cấp dịch vụ Web Proxy để chia sẽ kết nối Internet cho mạng nội bộ. Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số Site được chỉ định sẵn trong Domain Name Sets được mô tả dưới tên là “System Policy Allow Sites” bao gồm: *.windows.com *.windowsupdate.com *.microsoft.com Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉnh lại System Policy Rule có tên. Hiệu chỉnh System Policy Allowed Sites bằng cách chọn Firewall Policy trong ISA Mangement Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số Site cần thiết cho phép mạng nội truy xuất theo cú pháp *.domain_name. Nếu ta muốn cho mạng nội bố truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” sau đó ta chọn nút Apply trong Firewall Policy pannel để áp dụng sự thay đổi vào hệ thống. Nếu ISA Firewall kết nối trực tiếp Internet thì ta phải cấu hình một số thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả một số tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để Proxy cha lấy thông tin từ Internet Web Server. Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặt ta cài ISA Client Share trên từng Client để Client đóng vai trò là ISA Firewall Client. Chỉ định địa chỉ của Web Proxy trong Textbox Addrress. Chỉ Web Proxy Port trong Textbox Port là 8080. Cấu hình nâng cao Server 2006 Web Publishing and Server Publishing: Publishing services là một kỹ thuật dùng để công bố (publishing) dịch vụ nội bộ ra ngoài mạng Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể Publish các dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services. Web Publishing: Dùng để publish các Web Site và dịch vụ Web. Web Publishing đôi khi được gọi là ‘reverser proxy’ trong đó ISA Firewall đóng vài trò là Web Proxy nhận các Web request từ bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào Web Site hoặc Web Services nội bộ xử lý. Một số đặc điểm của Web Publishing: Cung cấp cơ chế truy xuất ủy quyền Web Site thông qua ISA Firewall. Chuyển hướng theo đường dẫn truy xuất WebSite (Path redirection) Reverse Caching of Published Web Site Cho phép Publish nhiều Web Site thông qua một địa chỉ IP. Có khả năng thay đổi (re-write) URLs bằng cách sử dụng Link Translator của ISA Firewall. Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Site (SecurID Authentication, RADIUS Authentication, Basic Authentication) Cung cấp cơ chế chuyển theo Port và Protocol. Server Publishing: Tương tự như Web Publishing, Server Publishing cung cấp một số cơ chế công bố (Publishing) các Server thông qua ISA Firewall. ISA VPN Client To Gateway Giới thiệuVPN (Virtual Private Network): VPNlà giải pháp hữu hiệu để kết nối hệ thống mạng của doanh nghiệp có nhiều chi nhánh và nằm khác vị trí địa lý hoặc doanh nghiệp của bạn có nhiều nhân viên phải đi công tác xa và họ muốn truy cập vào tài nguyên mạng nội bộ. Và ISA Server 2006 có thể đáp ứng những nhu cầu của doanh nghiệp bạn thông chức năng VPN Client to Gateway. Xây dựng VPN Client to Gateway: Đầu tiên ta phải tạo một UserVPN trên máy server và cho UserVPN quyền Allow Access. Tiếp theo cấu hình trên máy ISA Server Định nghĩa nhóm VPN Client Bạn vào ISA Server Management, chọn Firewall Policy, nhấn vào Toolbox chọn Users và nhấp chuột vào New . Trong cửa sổ Welcom to the New User Set Wizard bạn đặt tên cho nhóm User. Sau đó chọn Next để tiếp tục Hộp thoại tiếp theo chọn Add và chọn Windows user and Group. Chọn User VPN Client và nhấn Next rồi kết thúc Finish. Bạn chuột phải vào Virual Private Network, chọn Propterties Trong hộp thoại Virual Private Network, qua tab Address Asignment, chọn Static Address pool, nhấn Add bạn nhập vào range IP sẽ cấp cho Client.Nhấn Apply Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục bật chức năng này lên. Bạn chọn Virual Private Network (VPN) chọn tab Configure VPN Client Access và Enable chức năng VPN Client. Bạn nên nhớ sau khi chọn xong phải chọn Apply. Tạo Access rule cho phép kết nối VPN với yêu cầu: + Access rule name : VPNClient + Rule Action : Allow + Protocol : All outbound Traffic + Access Rule Source : VPN Clients + Access Rule Destinations: Internal + User Sets: chọn user được cho phép dùng VPN Apply -> OK. Kiểm tra kết nối VPN Trên máy Client, mở Network Connection Trong cửa sổ Network Connection, chọn Create a New Network Connection Trong hộp thoại Welcome to the New Connection Wizard, nhấn chọn Next Trong hộp thoại Network Connection Type, chọn Connection to the NetWork at my workplace Trong hộp thoại Network Connection, chọn Virtual Private Network connection. Nhấn Next để tiếp tục cài đặt. Trong hộp thoại Connnection Name, bạn đặt tên cho VPN kết nối Trong hộp thoại VPN Server Selection, nhập vào IP Public của máy Server và chọn Next để tiếp tục cài đặt. Trong hộp thoại Completing the New Connection Wizard, nhấn Finish. Chuột phải vào Connection VPNClient, chọn Connect Nhập vào Username và Password, nhấn Connect THE END Nguồn tham khảo: