Ebook Hướng dẫn cài đặt và cấu hình ISA Server Firewall 2004

Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet) 2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network 3. Allow all protocols from VPN Clients Network to Internal Network Allow limited Web access and access to ISP network services Cũng giống như trên nhưng chỉ khác là các network services như DNS do Internet Service Provider (ISP) của bạn cung cấp. Tất cả các truy cập Mạng khác đều bị blocked. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet) 2. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network Allow unrestricted access Cho phép tất cả các loại truy cập ra Internet qua firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network Trang 90 Triển khai ISA Server Firewall 2004 được bảo vệ. Từ chính sách cho phép tất cả truy cập này, sau đó bạn có thể ngăn chặn bớt một số truy cập không phu hợp với chính sách bảo mật của tổ chức Các rules sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet) and Perimeter Network 2. Allow all protocols from VPN Clients to Internal Network Tiến hành các bước sau để dùng 3-Leg Perimeter network template: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name. Mở tiếp Configuration node và click trên Networks node. 2. Click Networks tab trong Details pane, sau đó click Templates tab trong Task pane. Click vào 3-Leg Perimeter network template. Trang 91 Triển khai ISA Server Firewall 2004 3. Click Next trên Welcome to the Network Template Wizard page. 4. Trên Export the ISA Server Configuration page, bạn có thể chọn để export cấu hình hiện tại. Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hình của template và muốn quay trở lại các xác lập ban đầu. Trong ví dụ này chúng ta đã backed up cấu hình vì thế không cần phải export . Click Next. Trang 92 Triển khai ISA Server Firewall 2004 5. Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internal network. Bạn sẽ thấy ISA tự động xuất hiện chúng trong Address ranges list. Bạn không cần phải thêm bất kì Address nào trong Internal network. Click Next. Trang 93 Triển khai ISA Server Firewall 2004 6. Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segment trên Perimeter Network IP Addresses page. Bạn nhận thấy Address ranges list hoàn toàn trống. Do đó.. Trang 94 Triển khai ISA Server Firewall 2004 7. Click vào Add Adapter button. Trong Network adapter details dialog box, đánh dấu vào DMZ check box. Tên Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấu cho chính xác vào đấy. Click OK. Trang 95 Triển khai ISA Server Firewall 2004 8. Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windows routing table. Click Next. Trang 96 Triển khai ISA Server Firewall 2004 9. Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mối quan hệ giữa Internet, DMZ và Internal networks và cũng tạo ra các Access Rules. Trong ví dụ này chúng ta sẽ cho phép Internal network clients đầy đủ quyền truy cập ra Internet và DMZ network, và cũng cho phép các DMZ hosts được truy cập ra Internet. Sau khi đã có kinh nghiệm hơn với việc config Access Policies trên ISA Server 2004 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài - outbound access giữa DMZ network segment và Internet, giữa Internal network segment và Internet. Chọn Allow unrestricted access firewall policy và click Next. Trang 97 Triển khai ISA Server Firewall 2004 10. Review lại các xác lập trên Completing the Network Template Wizard và click Finish. 11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall. 12. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. 13. Click trên Firewall Policy node trên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console để xem lại các rules đã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các Hosts Trang 98 Triển khai ISA Server Firewall 2004 thuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet và cả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network. 14. Mở rộng Configuration node bên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console. Click Networks node. Ở đây bạn sẽ thấy một danh sách của các networks, bao gồm Perimeter network được tạo bởi template. 15. Click Network Rules tab. Right click Perimeter Configuration Network Rule và click Properties. Trang 99 Triển khai ISA Server Firewall 2004 16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab. Bạn có thể thấy trong danh sách This rule applies to traffic from these sources gồm Internal, Quarantined VPN Clients và VPN Clients networks. Trang 100 Triển khai ISA Server Firewall 2004 17. Click Destination Networks tab. Bạn thấy Perimeter network trong This rule applies to traffic sent to these destinations list. Trang 101 Triển khai ISA Server Firewall 2004 18. Click Network Relationship tab. Xác lập mặc định là Network Address Translation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn các IP addresses của Internal network clients kết nối đến các DMZ network hosts. Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũng thuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ này chúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đề rắc rối đó.Ghi nhớ rằng, tại thời điểm này, không có Access Rules nào cho phép truy cập tới Internal network từ DMZ network. Trang 102 Triển khai ISA Server Firewall 2004 19. Click Apply và click OK. 20. Click Apply để lưu những thay đổi. 21. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. Kết luận: Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates: Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho: network addresses, Network Rules và Access Rules. Trong chương tới chúng ta sẽ thả luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSA Server 2004 Fiewall. Trang 103 Triển khai ISA Server Firewall 2004 Chương 10: Cấu hình ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server 2004 firewall. Có 3 loại ISA Server 2004 client: • SecureNAT client • Web Proxy client • Firewall client Một SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall Æ ra Internet. Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client. Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall. Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client. Table 1: ISA Server 2004 Client Types and Features Feature SecureNAT client Firewall client Web Proxy client Cần phải cài đặt ? No, chỉ cần xác lập thông số default gateway Yes. Cần cài đặt software No, chỉ cần cấu hình các thông số phù hợp tại trình Trang 104 Triển khai ISA Server Firewall 2004 duyệt Web- Web browser Hỗ trợ Hệ điều hành nào ? Bất cứ OS nào hỗ trợ TCP/IP Chỉ Windows Bất kì OS nào có hỗ trợ các Web application Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng -Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols - multiconnection protocols Tất cả các ứng dụng Winsock Applications. Có nghĩa là hầu hết các ứng dụng trên Internet hiện nay HTTP, Secure HTTP (HTTPS), và FTP Có hỗ trợ xác thực người dùng hay không ? Nhằm kiểm soát việc User truy cập ra ngoài Yes, nhưng chỉ dành cho VPN clients Yes Yes Cấu hình SecureNAT Client Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số default gateway giúp client định tuyến ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành một SecureNAT client: • Xác lập các thông số TCP/IP thủ công trên máy • Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP scope option trên DHCP Server Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như một SecureNAT client. Network servers như domain controllers, DNS servers, WINS servers và Web servers thông thường cũng được cấu hình như các SecureNAT clients. Domain controller đã được cấu hình thủ công làm SecureNAT client. Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope (một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp phát cho DHCP clients thông số default gateway address chính là IP address của Internal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windows systems là sử dụng DHCP để nhận các xác lập về thông tin IP address. Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách , Internal network client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng ta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạt động, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hình DHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh. Trang 105 Triển khai ISA Server Firewall 2004 1. Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties. 2. Trong Network and Dial-up Connections, right click Local Area Connection và click Properties. 3. Trong Local Area Connection Properties dialog box, click Internet Protocol (TCP/IP) , click Properties. 4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically và Obtain DNS server address automatically. Click OK. 5. Click OK trong Local Area Connection Properties dialog box. 6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start , Run. Trong Open box, đánh lệnh cmd. 7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể thấy được IP address được cấp phát cho Clientvà các thông số IP address khác mà Client dùng như: DNS, WINS và default gateway Trang 106 Triển khai ISA Server Firewall 2004 8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi máy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2. Cấu hình Web Proxy Client Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng ISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấu hình Web browser với vai trò một Web Proxy client. Có thể là: • Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web Proxy server • Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration script • Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấu hình này nhé) • Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ trợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá của Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client, và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cần phải thủ công cấu hình trên trình uyệt web –web browsers của các Clients. Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi Firewall client được setup trên clients.. Trang 107 Triển khai ISA Server Firewall 2004 Và chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự động trên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ thống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop..). Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers sẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể tự cấu hình. Tuy nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thể cấu hính thủ công trên các browsers cho các Clients. Cúng ta sẽ xem xét cấu hình browser trong suốt quá trình cài đặt Firewall client ở phần tới. Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser: 1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties. 2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button. 3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settings dialog box. Đánh dấu check vào Automatically detect settings check box để cho phép browser dùng các xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc định trên các Internet Explorer Web browsers. Đặt một checkmark vào Use automatic configuration script check box, và điền vào vị trí lưu trữ autoconfiguration script trên ISA Server 2004 firewall như sau: Dĩ nhiện máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISA Server 2004 firewall) ra IP address (IP address này nằm trênInternal interface của firewall. Chú ý một điều, nếu Client có thể dùng wpad để Automatically detect settings, thì các thông tin cấu hình tự động nằm rong autoconfiguration script sẽ được download đến trình duyệt Web Proxy client. Đặt một checkmark vào Use a proxy server for your LAN (These settings will not apply to dial-up or VPN connections) check box, và điền vào IP address của Internal interface trên ISA Server 2004 firewall trong Address text box. Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghe trên Port text box, theo mặc định là port 8080. Click OK trong Local Area Network (LAN) Settings dialog box. Trang 108 Triển khai ISA Server Firewall 2004 4. Click OK trong Internet Properties dialog box. Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách cấu hình khác. Cấu hình Firewall Client Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet (trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên mỗi User hoặc Group. Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential: Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tài khoản nội bộ trên chính ISA Server 2004 firewall (tức là các accounts nằm trong Sam database)nếu cả ISA Server 2004 và clients đều thuộc cùng một Windows domain, thì các user accounts có thể nằm trên Windows NT 4.0 SAM hoặc Windows 2000/Windows Server 2003 Active Directory. Tôi nhắc lại, trong môi trường Domain 2000/2003, Active directory database (trên Domain controller là nơi lưu trữ tất cả tài khoản User của Domain đó) Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có chứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt Firewall client software từ ISA Server 2004 firewall computer, trước hết hãy bật System Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau này bạn nên chuyển Source này đến một File server trên mạng để việc truy cập được an toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer. Trang 109 Triển khai ISA Server Firewall 2004 1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA Server 2004 icon. 2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next. 3. Trên License Agreement page, chọn I accept the terms in the license agreement, click Next. 4. trên Customer Information page, điền User name, Organization và Product Serial Number của bạn. Click Next. 5. trên Setup Type page, chọn Custom. 6. Trên Custom Setup page, click Firewall Services entry và click This feature will not be available option. Click ISA Server Management entry và click This feature will not be available option. Click Firewall Client Installation Share và click This feature, and all subfeatures, will be installed on the local hard drive. Click Next. 7. Click Install trên Ready to Install the Program page. 8. Click Finish trên Installation Wizard Completed page. Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domain controller. Tiến hành các bước sau để cài Firewall client software: 1. Tại CLIENT computer trên Internal network, click Start và click Run command. trong Open text box, điền vào \\EXCHANGE2003BE\mspclnt\setup và click Trang 110 Triển khai ISA Server Firewall 2004 OK. 2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client. 3. Click Next trên Destination Folder page. 4. Trên ISA Server Computer Selection page, chọn Automatically detect the appropriate ISA Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đã tạo wpad entry trong DNS. Nếu bạn chưa tạo một wpad entry, bạn có thể chọn Connect to this ISA Server computer option và điền vào tên hay IP address của ISA Server 2004 firewall trong text box. Click Next. 5. Click Install trên Ready to Install the Program page. 6. Click Finish trên Install Wizard Completed page. Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hành các bước sau trên ISA Server 2004 firewall: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management Console, mở server name. mở tiếp Configuration node và click trên Networks node. Right click trên Internal Network và click Properties. 2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định là đã đánh dấu vào Enable Firewall client support for this network check box. Xác định là cũng đã đánh dấu vào Automatically detect settings và Use automatic configuration script check boxes trong khung Web browser configuration on the Firewall client computer. Đánh dáu tiếp vào Use a Web proxy server check box. Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDN Trang 111 Triển khai ISA Server Firewall 2004 trong ISA Server name or IP address text box. Trong vd này FQDN của ISA Server 2004 computer là ISALOCAL.msfirewall.org. Click Apply. 3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discovery information check box. Để port mặc định này, không thay đổi 80. Click Apply và OK. Trang 112 Triển khai ISA Server Firewall 2004 4. Click Apply để lưu những thay đổi và cập nhật firewall policy. 5. Click OK trong Apply New Configuration dialog box. Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT. 1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ thống. 2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng đã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box. Xác nhận tiếp đã chọn Automatically detect ISA Server Trang 113 Triển khai ISA Server Firewall 2004 3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close. Trang 114 Triển khai ISA Server Firewall 2004 4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration checkbox và click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập mà chúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thông số cấu hình tự động. Click OK trong Web Browser Settings Update dialog box. Trang 115 Triển khai ISA Server Firewall 2004 5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server 2004 dialog box. Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet dựa tên các quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004 firewall. Kết luận Trong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhau và những tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loại theo một số cách. Trong chương tới của sách chúng ta sẽ phác thảo các thủ tục để tạo hoặc chỉnh sửa các quy tắc trên chính sách truy cập ra ngoài Internet -outbound access policy rules thông qua các Network Template. Trang 116 Triển khai ISA Server Firewall 2004 Chương 11: Cấu hình các chính sách truy cập trên ISA Server - ISA Server 2004 Access Policy ISA Server 2004 firewall điều khiển các giao tiếp truyền đi giữa các Networks được kết nối với nhau thông qua firewall. Theo mặc định, ISA Server 2004 firewall sẽ ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng để cho phép lưu thông qua Firewall là: • Access Rules- Các quy tắc truy cập • Publishing Rules- Các quy tắc xuất bản Access Rules điều khiển các truy cập ra bên ngoài từ một Network được bảo vệ nằm trong đến một Network khác không được bảo vệ -nằm ngoài. ISA Server 2004 quan tâm đến tất cả Networks không nằm ngoài- External. Cón tất nhiên, những Network được xác định là External network thí khộng được bảo vệ. Các Network được bảo vệ bao gồm: VPN Clients network, Quarantined VPN Clients network- Mạng VPN Client bị cách ly, Local Host network- chính các ISA Server Firewall, internal network- Mạng LAN, perimeter networks- DMZ, mạng vành đai, chứa các Server phục vụ cho Internet user. Các bạn nên ghi nhớ là Internet chính là một External network cơ; và các Mạng của đối tác- partner networks và extranets cũng được xem là External networks, ISA cần bảo vệ Internal clients khi truy cập đến tất cả Mạng này. Ngược lại với Access rules điều khiển các truy cập ra ngoài, thì Publishing Rules lại cho phép các hosts nằm ở Mạng ngoài External network truy cập các nguồn tài nguyên ở các Mạng được bảo vệ. Ví dụ: Tổ chức của bạn tự quản lý – host, các Server như: Web, mail và FTP servers. Web and Server Publishing Rules có thể cho phép External hosts truy cập vào các tài nguyên này . ở chương 9 của sách, chúng ta đã dùng Network Template để tự động tạo ra các mối quan hệ giữa các Network và các Access Rules. Access Rules rất dễ hiểu khi bạn muốn cho phép truy cập đến tất cả các sites và protocols trên Internet. Trong khi cấu hình cho phép ra ngoài đến tất cả nhằm kiểm tra cấu hính cơ bản trên ISA Server 2004 firewall, thì các yếu cầu bắt buộc khác khi cấu hình Firewall đó là giới hạn những gì Users được truy cập trên Internet. Một Access Rule bao gồm