Đề tài Firewall isa server 2006

Chúng ta đã biết được nhiệm vụ cơ bản nhất của ISA Server là tạo nên một không gian thế giới mới mà trong đó nó sẽ ngăn chia thế giới chúng ta ra làm 3 phần riêng biệt:

- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta

- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server

- External Network: là các máy ngoài mạng Internet.

Trên thực tế có nhiều mô hình dựng ISA Server và Microsoft đã đưa ra cho ta 3 mô hình như sau:

 

 

doc112 trang | Chia sẻ: lethao | Lượt xem: 8623 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Đề tài Firewall isa server 2006, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
lished Web. SSL bridging ngăn chặn những kẻ xâm nhập ẩn trong mã hóa SSL tunnel. Thường stateful-bức tường không thể thực hiện stateful ứng dụng lớp kiểm tra trên các kết nối SSL di chuyển qua chúng ISA firewall hỗ trợ hai phương pháp của SSL Bridging: ■ SSL-to-SSL bridging ■ SSL-to-HTTP bridging SSL-to-SSL bridging cung cấp một kết nối SSL an toàn từ đầu đến cuối. SSL-to-HTTP bridging đảm bảo một kết nối an toàn giữa Web client và ISA firewall, và sau đó cho phép một văn bản kết nối rõ ràng giữa ISA firewall và web server. SSL-to-SSL bridging SSL-to-HTTP bridging kết nối giữa web client và giao diện bên ngoài của ISA firewall được bảo vệ bởi SSL tunnel, nhưng không an toàn khi chuyển tiếp từ ISA firewall đến Web server. Nhập Web site Certificate vào máy ISA firewal 1. Copy Web site certificate đến máy ISA firewall 2. Start → Run, gõ mmc →OK. 3. File→ Add/Remove Snap-in. 4. Trong hộp thoại Add/Remove Snap-in chọn Add. 5. Chọn Certificates trong danh sách Available Standalone Snap-ins → Add. 6. Hộp thoại Certificates Snap-in chọn Computer account option → Next. 7. Hộp thoại Select Computer chọn Local computer → Finish. 8. Chọn Close trong hộp thoại Add Standalone Snap-in 9. Chọn OK in the Add/Remove Snap-in 10. Mở rộng Certificates (Local Computer) ở bên trái giao diện. 11. Mở rộng Personal ở bên trái giao diện. 12. Phải chuột Certificates → All Tasks → Import. 13. Chọn Next trong hộp thoại Welcome to the Certificate Import Wizard 14. Hộp thoại File to Import, chọn Browse để tìm certificate đã copy đến ISA firewall → Next. 15. Gõ mật khẩu bạn đẽ gán cho Web site certificate → Next. 16. Chấp nhận thiết lập mặc định → Next. 17. Chọn Finish trong hộp thoại Completing the Certificate Import Wizard 18. Chọn OK trong hộp thoại Certificate Import Wizard 19. Web site certificate và CA certificate xuất hiện ở bên phải giao diện 20. Nhấp phải chuột CA certificate → Cut. 21. Mở rộng Trusted Root Certification Authorities bên trái giao diện. 22. Nhấp phải vào Certificates → Paste. 23. Quay lại Personal\Certificates , nhấp đôi vào Web site certificate. 24. Trong hộp thoại Certificate, nhấp vào Certification Path. Các CA certificate không có màu đỏ "x" trên nó. Nếu có một màu đỏ "x" trên CA certificate mà chỉ ra rằng CA certificate đã không được nhập khẩu vào thành công. 25. Đóng hộp thoại Certificate 26. Đóng mmc console. Không lưu giao diện điều khiển. Bây giờ mà các trang web certificate được nhập và lưu trữ vào Certificate Store, nó sẽ có sẵn để ràng buộc vào web listenner được sử dụng trong SSL Web Publishing Rule. 4.4. Server Publishing Rule Tạo Server Publishing Rules thì đơn giản so với các Web Publishing Rules. Những thứ bạn cần biết khi tạo một Server Publishing Rule là: ■ Giao thức hoặc các dịch vụ bạn muốn publish ■ Địa chỉ IP nơi ISA firewall chấp nhận các kết nối ■ Địa chỉ IP của máy chủ mạng bạn muốn publish 1. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish Non-Web Server Protocols..Xuất hiện trang Welcome to the New Server Publishing Rule Wizard, gõ tên rule vào ô Server Publishing Rule name: “ DNS Server” → Next. 2. Hộp thoại Select Server, gõ địa chỉ máy DNS Server vào ô Server IP address → Next. 3. Hộp thoại Select Protocol, chọn giao thức trong danh sách Selected protocol : “DNS Server” → Next 4. Hộp thoại Network Listener IP Addresses, chọn External → Next 5. Chọn Finish trong hộp thoại Completing the New Server Publishing Rule Wizard Hộp thoại Server Publishing Rule Properties Nhấp đúp vào Server Publishing Rule để mở hộp thoại Properties. Server Publishing Rule Properties có các tab sau: General: bạn có thể thay đổi tên của Server Publishing Rule và cung cấp một mô tả cho quy tắc này. Bạn cũng có thể kích hoạt hoặc vô hiệu hóa các quy tắc bằng cách thay đổi trạng thái của các hộp Enable Action: thiết lập các quy tắc cho hay không để đăng nhập kết nối áp dụng với quy tắc này Traffic: bạn có thể thay đổi giao thức được sử dụng cho việc publish Server Rule. Bạn có thể tạo ra một giao thức mới cho một Server Publishing Rule bằng cách nhấp vào New, và bạn có thể xem chi tiết Server Rule bằng cách nhấp Properties. Bạn cũng có thể thay đổi port cho phép Server publishing ,nhấn nút Ports. From: bạn có thể quản lý những máy được kết nối với publised sever. To: địa chỉ IP của máy Published Sever, bạn có thể cho phép Published Server thấy được địa chỉ IP của mát truy cập bằng cách chọn Requests appear to come from the ISA Server computer Networks: chọn mạng nào ISA Firewall lắng nghe và chấp nhật kết nối đến published server Schedule: bạn có thể thiết lập thời gian cho phép kết nối với Published Server 4.5. Tạo Mail Server Publishing Rules ISA Firewall cho phép bạn có thể sử dụng Mail Server Publishing Wizard để publish các dịch vụ mail sau: ■ Secure Exchange RPC ■ IMAP4 và Secure IMAP4 ■ POP3 và Secure POP3 ■ SMTP và Secure SMTP Mail Server Publishing Wizard sẽ tự tạo web thích hợp hoặc Server Publishing Rules theo yêu cầu để cho phép truy cập vào Mail Server thông qua ISA Firewall. Tạo Mail Server Publishing Rules: Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish a Mail Server. Trong hộp thoại Welcome to the New Mail Server Publishing Rule Wizard gõ tên cho rule: “Publish a Mail Server” trong ô Mail Server Publishing Rule name 2. Trong hộp thoại Select Access Type, có hai lựa chọn: Client access: RPC, IMAP, POP3, SMTP publish những giao thức này bằng sử dụng Server Publishing Rules, bạn có thể Publish một hoặc nhiều giao thức. Server-to-server communication: SMTP, NNTP bạn có thể Publish một hoặc cả hai giao thức. Chọn Client access → Next. 3. Hộp thoại Select Services chọn POP3 và SMTP → Next. 4. Hộp thoại Select Server , gõ địa chỉ mail server: ”172.16.1.2” vào ô Server IP Address → Next. 5. Hộp thoại Network Listener IP Adress, chọn External → Next. 6. Hộp thoại Completing the New Mail Server Publishing Rule Wizard → Finish 4.6. Publishing Exchange Web Client Access ISA 2006 cho phép bạn publish bốn dịch vụ sau đây: ■ Outlook Web Access ■ Outlook Mobile Access ■ Outlook Anywhere (RPC-over-HTTP), ■ ActiveSync Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Publish Exchange Web Client Access. Hộp thoại Welcome to the New Exchange Publishing Rule Wizard xuất hiện gõ tên rule “Exchange Publishing Rule” vào ô Exchange Publishing Rule name → Next 2. Hộp thoại Select Service chọn Outlook Web Access và Exchange Server 2007 → Next 3.Trong hộp thoại Publishing Type , chọn Publish a single Web site or load balancer → Next 4. Hộp thoại Server Connection Security , chọn Use SSL to connect to the published Web server or server farm → Next 5. Hộp thoại Internal Publishing Details, Internal site name : “mail.hui.com” Check vào ô Use a computer or IP address to connect to the published server, gõ vào ô Computer name or IP address: “172.16.1.2” → Next 6. Trong hộp thoại Public name Details , Accept request for : “Any domain name” → Next 7. Trong hộp thoại Select Web Listener: chọn HTTP Listener → Next 8. Hộp thọai Authentication Delegation , chọn No delegation,and client canot authenticate directly → Next 9. Hộp thoại User sets, chọn All Users → Next →Finish CHƯƠNG 5: REMOTE ACCESS VÀ SITE-TO-SITE VPNS VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền. Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn và hiệu quả. 5.1. Tạo Remote Access PPTP VPN Server 1.1. Máy DC, properties của user VPN ,chọn tab Dial-in , check vào Allow access 1.2. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy. Chọn Tasks → Define Address Assignments , xác định Pool số IP được gán : nhấp Static address pool → Add Starting address: 172.16.1.1 Ending address: 172.16.1.100 Cấu hình VPN client B1: VPN → Tasks Pane → Tasks → chọn Configure VPN client access B2: Tab General, Bật tính năng VPN client access xác định số VPN tối đa kết nối VPN đồng thời ,chọn Enable VPN Client Access, điền 100 vào Maximum number of VPN clients allowed B3: Tab Protocols, chọn Enale PPTP B4: Tab User Mapping Enable , check User Mapping và When username does not contain a domain, use this domain, gõ hui.com vào ô Domain name 1.4. Tạo Access Rule cho phép kết nối VPN : Tạo access rule theo các yêu cầu sau : Access rule name : VPN Rule Action: Allow Protocol: All outbound Traffic Access Rule Source: VPN clients Access Rule Destinations: Internal User Sets: All user Apply → Ok 5.2. Tạo Remote Access L2PT/IPSec VPN Server 5.2.1 Cấp phát một Certificate trên ISA Firewall từ Enterprise CA trong Internal network 1. Mở Microsoft Internet Security and Acceleration Server 2006→ Firewall Policy → Tasks → Create Access Rule. 2. Hộp thoại Welcome to the New Access Rule Wizard, gõ tên rule vào ô Access Rule name :”All Open from Local Host to Internal ” → Next. 3. Hộp thoại Action , chọn Allow→ Next. 4. Hộp thoại Protocols → All outbound traffic → Next. 5. Hộp thoại Access Rule Sources, nhấp Add. Hộp thoại Add Network Entities chọn Networks folder, nhấp đôi Local Host, → Close. 6. Hộp thoại Access Rule Destinations, chọn Add. Hộp thoại Add Network Entities. Chọn Networks folder , nhấp đôi Internal → Close. 7. Hộp thoại User Sets → All Users → Next. 8. Chọn Finish trong hộp thoại Completing the Access Rule Wizard 9. Nhấp phải chuôt vào Access Rule All Open from Local Host to Internal nhấp vào nút Configure RPC Protocol 10. Hôp thoại Configure RPC protocol policy, bỏ check Enforce strict RPC compliance → Apply → OK. 11. Microsoft Internet Security and Acceleration Server 2006 → Configuration , chọn Add-ins , nhấp phải chuột RPC Filter , chọn Disable. 12. Hộp thoại ISA Server Warning chọn Save the changes and restart the Services → OK. 13. Nhấp Apply để luu sự thay đổi và cập nhật firewall policy. 14. Nhấp OK trong hộp thoại Saving Configuration Changes 15. Start → Run , gõ mmc → OK. 16. Trong Console1 → File → Add/Remove Snap-in 17. Hộp thoại Add/Remove Snap-in, chọn Add. 18. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add. 19. Hộp thoại Certificates snap-in, chọn Computer account. 20. Hộp thoại Select Computer, chọn Local computer. 21. Nhấp Close trong hộp thoại Add Standalone Snap-in 22. Nhấp OK trong hộp thoại Add/Remove Snap-in 23. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local computer) và nhấp vào Personal. Nhấp phải Personal → All Tasks → Request New Certificate. 24. Nhấp Next trong hộp thoại Welcome to the Certificate Request Wizard 25. Hộp thoại Certificate Types, chọn Computer trong danh sách Certificate types → Next. 26. Hộp thoại Certificate Friendly Name and Description, gõ tên “Firewall Computer Certificate” vào Friendly name → Next. 27. Nhấp Finish trong hộp thoại Completing the Certificate Request Wizard 28. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công 29. Microsoft Internet Security and Acceleration Server 2006 → Firewall Policy, Nhấp phải vào All Open from Local Host to Internal Access Rule, chọn Disable. 30. Microsoft Internet Security and Acceleration Server 2006, mở Configuration → Add-ins, nhấp phải RPC Filter , chọn Enable. 31. Nhấp Apply để luu sự thay đổi và cập nhật firewall policy 32. Hộp thoại ISA Server Warning, ,chọn Save the changes and restart the Services → OK. 33. Nhấp OK trong hộp thoại Saving Configuration Changes 5.2.2 Yêu cầu và cài đặt Certificate cho máy VPN client 1. Thiết lập một kết nối PPTP VPN đến ISA firewall. 2. Mở Internet explore, gõ → OK. 3. Hộp thoại Enter Network Password, nhập Administrator trong User Name . Nhập password → OK. 4. Nhấp Request a Certificate trên trang Welcome 5. Trên trang Request a Certificate, Nhấp advanced certificate request. 6. Trang Advanced Certificate Request, nhấp Create and submit a request to this CA. 7. Trang Advanced Certificate Request, chọn Administrator certificate từ danh sách Certificate Template, bỏ check trong mục Mark keys as exportable. Check vào Store certificate in the local computer certificate , sử dụng Key Sizes là 2048 bits. Nhấp Submit. 8. Nhấp Yes trong hộp thoại Potential Scripting Violation 9. Hộp thoại Certificate Issued , nhấp Install this certificate. 10.Nhấp Yes trong hộp thoại Potential Scripting Violation 11. Đóng trình duyệt sau khi xem Certificate đã cài đặt. 12. Start → Run, nhập mmc → OK. 13. Trong Console1 → File → Add/Remove Snap-in 14. Hộp thoại Add/Remove Snap-in, chọn Add. 15. Hộp thoại Add Standalone Snap-in chọn Certificates trong danh sách Available Standalone Snap-ins → Add. 16. Hộp thoại Certificates snap-in, chọn Computer account. 17. Hộp thoại Select Computer, chọn Local computer. 18. Nhấp Close trong hộp thoại Add Standalone Snap-in 19. Nhấp OK trong hộp thoại Add/Remove Snap-in 20. Trong cửa sổ bên trái của giao diện, mở rộng Certificates (Local Computer) sau đó mở rộng Personal, nhấp PersonalCertificates, nhấp đôivào Administrator certificate trong khung bên phải. 21. Hộp thoại Certificate, nhấp Certification Path, chọn EXCHANGE2003BE certificate ,nhấp View Certificate. 22. Hộp thoại CA certificate’s Certificate , nhấp Details tab → Copy to File. 23. Nhấp Next trong hộp thoại Welcome to the Certifi cate Export Wizard 24. Hộp thoại Export File Format, chọn Cryptographic Message Syntax Standard – PKCS #7 Certifi cates (.P7B), → Next. 25. Hộp thoại File to Export nhập c:\cacert trong ô File name → Next. 26. Nhấp Finish trong hộp thoại Completing the Certifi cate Export Wizard 27. Nhấp OK trong hộp thoại Certificate Export Wizard 28. Nhấp OK trong hộp thoại Certificate → OK 29. Trong cửa sổ bên trái của giao diện, mở rộng Trusted Root Certification Authorities và nhấp vào Certificates. Nhấp chuột phải vào \ Trusted Root Certification Authorities\Certificates. → All Tasks → import 30. Nhấp Next trong hộp thoại Welcome to the Certificate Import Wizard 31. Hộp thoại File to Import Sử dụng nút Browse để chọn CA certificate → Next. 32. Hộp thoại Certificate Store → Next. 33. Hộp thoại Completing the Certificate Import Wizard → Finish. 34. Nhấp OK trong hộp thoại thông báo yêu cầu certificate thành công 35. Ngắt kết nối từ máy chủ VPN. Nhấp phải chuột vào biểu tượng kết nối bấm vào Disconnect. 5.2.3 Kiểm tra kết nối L2TP/IPSEC Bây giờ mà cả ISA Firewall và VPN Clients có Certificates, Đầu tiên là khởi động lại Routing and Remote Access Service để nó đăng ký Certificate mới. . Thực hiện các bước sau để kích hoạt tính năng hỗ trợ L2TP/IPSec: 1. Mở Microsoft Internet Security and Acceleration Server 2006, chọn Virtual Private Networking (VPN). Nhấp vào Configure VPN Client Access, chọn tab Protocols, check Enable L2TP/IPSec Nhấp Apply, BẠn sẽ được nhắc nhở kích hoạt System Policy “Allow all HTTP traffic from ISA server to all networks (for CRL downloads)” , nhấp Yes→ OK. Nhấp Apply Nhấp Ok trong hộp thoại Saving Confi guration Changes Khởi động lại máy ISA Firewall 5.2.4 Khởi động kết nối VPN client Từ máy VPN client, mở kết nối VPN client → Properties, trong hộp thoại VPN Properties, nhấp Networking , chuyển Type of VPN thành L2TP/IPSec VPN → Ok Bắt đầu kết nối VPN đến ISA Firewall Nhấp OK trong hộp thoại kết nối hoàn thành thông báo cho bạn rằng kết nối được thành lập. Double-click vào biểu tượng kết nối trong khay hệ thống Trong hộp thoại ISA VPN Status, chọn tab Details Bạn sẽ thấy một mục nhập cho IPSEC Encryption, chỉ ra rằng các kết nối L2TP/IPSec đã thành công. Nhấp Ok trong hộp thoại ISA VPN Status 5.3. Tạo PPTP Site to Site VPN Để tạo một PPTP Site to Site VPN cần thực hiện các bước sau : 5.3.1 Tạo Remote Network at the Main Office ISA firewall: 1. Virtual Private networks (VPN) chọn tab Tasks trong Task Pane. Trên Task Pane, kích vào Create VPN Site to Site Connection. 2.Trên trang Welcome to the Create [sic] VPN Site to Site Connection Wizard, nhập tên “PPTP Site to Site VPN” trong ô Site to site network name → Next 3.Trên trang VPN Protocol, chọn Point-to-Point Tunneling Protocol (PPTP) → Next. 4. Một hộp thoại cảnh báo sẽ xuất hiện, cho bạn biết cần phải tạo tài khoản người dùng có cùng tên với giao diện demand-dial, là tên bạn cung cấp cho Remote Site Network từ lúc bắt đầu khởi động Wizard. Chúng ta sẽ tạo tài khoản này khi kết thúc quá trình tạo kết nối mạng riêng ảo site to site Remote Site Network.chọn OK. 5.Trên trang Local Network VPN Settings, nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 172.16.0.1-172.16.0.100 .Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) → Next. 6.Chấp nhận thiết lập mặc định trên trang Conection Owner. Do đây là mảng ISA Firewall thành viên đơn nên chỉ có một máy đơn có thể là chủ sở hữu của kết nối. → Next. 7.Trên trang Remote Site Gateway, bạn cần nhập FQDN hoặc địa chỉ IP của ISA Firewall nhánh. Nhập 192.168.1.3 vào ô Remote site VPN server → Next. 8.Trên trang Remote Authentication, nhập thông tin thẩm định ISA Firewall chính có thể dùng để kết nối với ISA Firewall nhánh trong kết nối VPN site to site. Đặt dấu kiểm vào ô checkbox Allow the local site to initiate connections to the remote site, using this user account, sau đó nhập thông tin User name: “vpn”, Domain: “hui.com”, Password và Confirm Password:”123”. → Next. 9 Trên trang Network Addresses, bạn cần nhập giới hạn địa chỉ IP sử dụng trên Remote Site Network. Nhấp Add. Trong hộp thoại IP Address Range Properties, nhập giới hạn địa chỉ IP dùng trên văn phòng nhánh. Ở ví dụ này, các máy nhánh được đặt trên mạng 172.16.15.1-172.16.15.100. → OK → Next. 10.Trên trang Remote NLB, bỏ dấu chọn ở hộp checkbox The remote site is enabled for Network Load Balancing → Next. 11.Trên trang Site to Site Network Rule, chấp nhận tuỳ chọn mặc định Create a network specifying a route relationship và Network rule name: “HCM to internet Network” → Next. 12.Trên trang Site to Site Network Access Rule, bạn có thể tạo Access Rule (nguyên tắc chấp nhận) điều khiển lưu lượng chuyển qua mạng riêng ảo site to site tại ISA Firewall main office. Chọn Create an allow access rule., Access Rule name: “Allow access between HCM and Internal”. Từ danh sách sổ xuống Apply the rule to these protocols, chọn All outbound traffic. Sau này chúng ta sẽ khoá một số thứ, nhưng bây giờ, tại thời điểm bắt đầu bạn cần chắc chắc xem liệu các thiết lập VPN site to site có thành công hay không và ISA Firewall nhánh có thể liên kết với domain hay không. Sau khi kết nối VPN site to site được thiết lập, chúng ta sẽ khoá một số chức năng để truy cập tới các liên lạc intradomain (nội miền) thích hợp và để được phép truy cập server.→ Next. 13.Trên trang Completing the New VPN Site to Site Network Wizard → Finish. 17.Hộp thoại Remaining VPN Site to Site Tasks xuất hiện thông báo bạn cần tạo tài khoản người dùng trên ISA Firewall chủ để ISA Firewall nhánh có thể dùng trong thẩm định kết nối VPN site to site. Nhấp OK. 18. Nhấp vào Apply để ghi lại tất cả mọi thay đổi và update chính sách tường lửa. Nhấp OK trong hộp thoại Apply New Configuration. 5.3.2 Tạo Network Rule ở Main Office ISA firewall phải biết chuyển các gói tin từ Main Office đến Brach Office, có hai sự lựa chọn : ROUTE hoặc NAT. Nhưng NAT an toàn hơn bởi vì nó giấu địa chỉ IP của máy client trên NAEed .Network rule đã được tạo sẵn 5.3.3 Tạo Access Rule ở Main Office Tạo các Access Rule có các đặc tính sau: Access Rule 1: Name :”Branch to Main” Action: “Allow” Protocols: “All outbound traffic” From/Listener: Branch To: Intternal User set: All Users Access Rule 2: Name :”Main to branch” Action: “Allow” Protocols: “All outbound traffic” From/Listener: Internal To: Branch User set: All Users 5.3.4 Tạo VPN Gateway Dial-in Account tại Main Office Thực hiện các bước sau đây để tạo tài khoản từ xa ISA 2006 firewall , sử dụng để kết nối với Main Office VPN gateway: 1.Nhấp phải chuột My Computer → Manage 2. Giao diện Computer Management , mở rộng Local Users and Group, nhấp phải chuột Users chọn New User . tạo user có name : Branch, pasword: 123 3. Nhấp đôi vào user Branch, trong hộp thoại Branch Properties chọn tab Dial-in chọn Allow access 4. Nhấp Apply → Ok, khởi đông lại máy ISA firewall 5.3.5 Tạo Remote Network ở Branch Office ISA firewall Làm tương tự như tạo Remote Network ở the Main Office ISA firewall , nhưng chỉnh sửa một ít: Network name : “HN” Remote VPN Server name or IP address : nhập 192.168.1.1 Remote Authentication → user name :”HN”, password và comfirm password “123” Net work Address → Starting address: 172.16.1.0, Ending address: 172.16.1.255 5.3.6 Tạo Network Rule ở Branch Office: Network rule này cũng được tạo sẵn 5.3.7 Tạo Access Rule ở Branch Office Tạo các Access Rule có các đặc tính sau: Access Rule1: Name :”Main to branch” Action: “Allow” Protocols: “All outbound traffic” From/Listener: Main To: Internal User set: All Users Access Rule 2: Name :”Branch to Main” Action: “Allow” Protocols: “All outbound traffic” From/Listener: Intternal To: Main User set: All Users 5.3.8 Tạo VPN Gateway Dial-in Account tại Branch Office Thực hiện các bước sau đây để tạo tài khoản từ xa ISA 2006 firewall , sử dụng để kết nối với Branch Office VPN gateway:: 1.Nhấp phải chuột My Computer → Manage 2. Giao diện Computer Management , mở rộng Local Users and Group, nhấp phải chuột Users chọn New User . tạo user có name : Main, pasword: 123 3. Nhấp đôi vào user Main, trong hộp thoại Branch Properties chọn tab Dial-in chọn Allow access 4. Nhấp Apply → Ok, khởi động lại máy ISA firewall 5.4. Tạo môt L2TP/IPse site to site VPN Sử dụng L2TP/IPSec cho giao thức VPN thì kết nối site to site VPN sẽ an toàn hơn. Vì vậy phải sử dụng Certificate cho tất cả các ISA firewall VPN gateway. Thực hiện các bước sau để kích hoạt L2TP/IPSec site to site VPN: 5.4.1 Kích hoạt System Policy Rule trên firewallMain office để truy cập enterprise CA 1.Giao diện Microsoft Internet Security and Acceleration Server 2006 → Firewall Policy. 2. Nhấp phải chuột FirewallPolicy → View → Show System Policy Rules. 3. Trong danh sách System Policy Rule, nhấp đôi vào Allow HTTP from ISA Server to all networks (for CRL downloads). Đây là System Policy Rule #18. 4.Trong hộp thoại System Policy Editor, Chọn Enable trong tab General → Ok 5. Nhấp Apply để lưu sự thay đổi và cập nhật các Firewall Policy. 6. Nhấp OK trong hộp thoại Saving Configuration Changes. 7. Nhấp vào Show / Hide System Policy Rules để ẩn System Policy. 5.4.2 Yêu cầu và cài đặt một Certificate cho Main Office Firewall 1. Mở Internet explore, gõ → OK. 2. Hộp thoại Enter Network Password, nhập Administrator trong User Name Nhập password → OK 3. Hộp thoại Internet Explore → Add, trong hộp thoại Trusted Sites → Add → Close 4. Nhấp Request a Certificate trên trang Welcome 5. Trên trang Request a Certificate, Nhấp advanced certificate request. 6. Trang Advanced Certificate Request, nhấp Create and submit a request to this CA. 7. Trang Advanced Certificate Request, chọn Administrator certificate từ danh sách Certificate Template, bỏ check trong mục Mark keys as exportable. Check vào Store certificate in the local computer certificate sử dụng Key Sizes là 2048 bits. Nhấp Submit. 8. Nhấp Yes trong hộp thoại Potential Scripting Violation 9. Hộp thoại Certificate Issued , nhấp Install this certificate. 10.Nhấp Yes trong h

Các file đính kèm theo tài liệu này:

  • docFirewall ISA Server 2006.doc