CHƯƠNG 1
HƯỚNG DẪN SỬDỤNG
CHƯƠNG 2
CÀI ĐẶT CERTIFICATE SERVICES
CHƯƠNG 3
CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT INTERNET AUTHENTICATION SERVICE
CHƯƠNG 4
CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT DHCP VÀ WINS SERVER SERVICES
CHƯƠNG 5
CẤU HÌNH DNS VÀ DHCP HỖTRỢCHO WEBPROXY VÀ FIREWALL CLIENT
TÍNH NĂNG AUTODISCOVERY
CHƯƠNG 6
CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER VỚI CHỨC NĂNG CACHING-ONLY TRÊN
PERIMETER NETWORK SEGMENT
CHƯƠNG 7
CÀI ĐẶT ISA SERVER 2004 TRÊN WINDOWS SERVER 2003
CHƯƠNG 8
BACKUP VA PHỤC HỒI CẤU HÌNH CỦA FIREWALL
CHƯƠNG 9
ĐƠN GIẢN HÓA CẤU HÌNH NETWORK VỚI CÁC MÔ HÌNH MẪU NETWORK
TEMPLATES
CHƯƠNG 10
CẤU HÌNH CÁC LOẠI ISA SERVER CLIENTS: SECURENAT, FIREWALL VÀ WEB
PROXY CLIENTS
CHƯƠNG 11
CẤU HÌNH ISA SERVER 2004 ACCESS POLICY
CHƯƠNG 12
PUBLISH CÁC SERVICES WEB, FTP TRÊN PERIMETER NETWORK
CHƯƠNG 13
CẤU HÌNH FIREWALL VỚI VAI TRÒ MỘT FILTERING SMTP RELAY
CHƯƠNG 14
PUBLISH EXCHANGE OUTLOOK WEB ACCESS, SMTP SERVER, VÀ POP3
SERVER SITES
CHƯƠNG 15
CẤU HÌNH ISA SERVER 2004 VỚI VAI TRÒ MỘT VPN SERVER
CHƯƠNG 16
TẠO MỘT SITE-TO-SITE VPN VỚI ISA SERVER 2004 FIREWALLS
234 trang |
Chia sẻ: maiphuongdc | Lượt xem: 4453 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Ebook Hướng dẫn cài đặt và cấu hình ISA Server Firewall 2004, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Các access rules sau sẽ được tạo:
1. Allow HTTP, HTTPS, FTP from Internal
Network and VPN Clients Network to
Perimeter Network and External Network
(Internet)
2. Allow DNS traffic from Internal
Network and VPN Clients Network to
Perimeter Network
3. Allow all protocols from VPN Clients
Network to Internal Network
Allow limited Web
access and access to
ISP network services
Cũng giống như trên nhưng chỉ khác là
các network services như DNS do
Internet Service Provider (ISP) của bạn
cung cấp. Tất cả các truy cập Mạng khác
đều bị blocked.
Các access rules sau sẽ được tạo:
1. Allow HTTP, HTTPS, FTP from Internal
Network and VPN Clients Network to the
External Network (Internet)
2. Allow DNS from Internal Network, VPN
Clients Network and Perimeter Network
to External Network (Internet)
3. Allow all protocols from VPN Clients
Network to Internal Network
Allow unrestricted
access
Cho phép tất cả các loại truy cập ra
Internet qua firewall. Firewall sẽ chặn các
truy cập từ Internet vào các Network
Trang 90 Triển khai ISA Server Firewall 2004
được bảo vệ. Từ chính sách cho phép tất
cả truy cập này, sau đó bạn có thể ngăn
chặn bớt một số truy cập không phu hợp
với chính sách bảo mật của tổ chức
Các rules sau sẽ được tạo:
1. Allow all protocols from Internal
Network and VPN Clients Network to
External Network (Internet) and
Perimeter Network
2. Allow all protocols from VPN Clients to
Internal Network
Tiến hành các bước sau để dùng 3-Leg Perimeter network template:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
console , mở rộng server name. Mở tiếp Configuration node và click trên Networks
node.
2. Click Networks tab trong Details pane, sau đó click Templates tab trong Task
pane. Click vào 3-Leg Perimeter network template.
Trang 91 Triển khai ISA Server Firewall 2004
3. Click Next trên Welcome to the Network Template Wizard page.
4. Trên Export the ISA Server Configuration page, bạn có thể chọn để export cấu
hình hiện tại. Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hình
của template và muốn quay trở lại các xác lập ban đầu. Trong ví dụ này chúng ta đã
backed up cấu hình vì thế không cần phải export . Click Next.
Trang 92 Triển khai ISA Server Firewall 2004
5. Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internal
network. Bạn sẽ thấy ISA tự động xuất hiện chúng trong Address ranges list. Bạn
không cần phải thêm bất kì Address nào trong Internal network. Click Next.
Trang 93 Triển khai ISA Server Firewall 2004
6. Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segment
trên Perimeter Network IP Addresses page. Bạn nhận thấy Address
ranges list hoàn toàn trống. Do đó..
Trang 94 Triển khai ISA Server Firewall 2004
7. Click vào Add Adapter button. Trong Network adapter details dialog box, đánh
dấu vào DMZ check box. Tên Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấu
cho chính xác vào đấy. Click OK.
Trang 95 Triển khai ISA Server Firewall 2004
8. Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windows
routing table. Click Next.
Trang 96 Triển khai ISA Server Firewall 2004
9. Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mối
quan hệ giữa Internet, DMZ và Internal networks và cũng tạo ra các Access Rules.
Trong ví dụ này chúng ta sẽ cho phép Internal network clients đầy đủ quyền truy cập
ra Internet và DMZ network, và cũng cho phép các DMZ hosts được truy cập ra
Internet. Sau khi đã có kinh nghiệm hơn với việc config Access Policies trên ISA
Server 2004 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài -
outbound access giữa DMZ network segment và Internet, giữa Internal network
segment và Internet. Chọn Allow unrestricted access firewall policy và click Next.
Trang 97 Triển khai ISA Server Firewall 2004
10. Review lại các xác lập trên Completing the Network Template Wizard và
click Finish.
11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall.
12. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo
Changes to the configuration were successfully applied.
13. Click trên Firewall Policy node trên khung trái của Microsoft Internet
Security and Acceleration Server 2004 management console để xem lại các rules
đã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các Hosts
Trang 98 Triển khai ISA Server Firewall 2004
thuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet và
cả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network.
14. Mở rộng Configuration node bên khung trái của Microsoft Internet Security
and Acceleration Server 2004 management console. Click Networks node. Ở đây
bạn sẽ thấy một danh sách của các networks, bao gồm Perimeter network được tạo
bởi template.
15. Click Network Rules tab. Right click Perimeter Configuration Network Rule
và click Properties.
Trang 99 Triển khai ISA Server Firewall 2004
16. Trong Perimeter Configuration Properties dialog box, click Source
Networks tab. Bạn có thể thấy trong danh sách This rule applies to traffic from
these sources gồm Internal, Quarantined VPN Clients và VPN Clients
networks.
Trang 100 Triển khai ISA Server Firewall 2004
17. Click Destination Networks tab. Bạn thấy Perimeter network trong This rule
applies to traffic sent to these destinations list.
Trang 101 Triển khai ISA Server Firewall 2004
18. Click Network Relationship tab. Xác lập mặc định là Network Address
Translation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn các
IP addresses của Internal network clients kết nối đến các DMZ network hosts.
Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũng
thuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ này
chúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đề
rắc rối đó.Ghi nhớ rằng, tại thời điểm này, không có Access Rules nào cho phép truy
cập tới Internal network từ DMZ network.
Trang 102 Triển khai ISA Server Firewall 2004
19. Click Apply và click OK.
20. Click Apply để lưu những thay đổi.
21. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo
Changes to the configuration were successfully applied.
Kết luận:
Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates:
Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho:
network addresses, Network Rules và Access Rules. Trong chương tới chúng ta sẽ
thả luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSA
Server 2004 Fiewall.
Trang 103 Triển khai ISA Server Firewall 2004
Chương 10: Cấu hình ISA Server 2004 SecureNAT, Firewall và
Web Proxy Clients
Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông
qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được
đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA
Server 2004 firewall.
Có 3 loại ISA Server 2004 client:
• SecureNAT client
• Web Proxy client
• Firewall client
Một SecureNAT client là máy tính được cấu hình với thông số chính Default
gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu
SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall,
thông số default gateway của SecureNAT client chính là IP address của network card
trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên
một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình
thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp
định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall Æ ra Internet.
Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer)
được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web
browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm
Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông
qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các
autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế
nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hi
nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy
client.
Một Firewall client là máy tính có cài Firewall client software. Firewall client
software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là
tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến
Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào
Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua
ISA Server 2004 firewall.
Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client.
Table 1: ISA Server 2004 Client Types and Features
Feature
SecureNAT client Firewall client Web Proxy client
Cần phải cài đặt ?
No, chỉ cần xác lập
thông số default
gateway
Yes. Cần cài đặt
software
No, chỉ cần cấu
hình các thông số
phù hợp tại trình
Trang 104 Triển khai ISA Server Firewall 2004
duyệt Web- Web
browser
Hỗ trợ Hệ điều
hành nào ?
Bất cứ OS nào hỗ
trợ TCP/IP
Chỉ Windows
Bất kì OS nào có hỗ
trợ các Web
application
Hỗ trợ Protocol
Nhờ có bộ lọc ứng
dụng -Application
filters có thể hỗ trợ
các ứng dụng chạy
kết hợp nhiều
protocols -
multiconnection
protocols
Tất cả các ứng
dụng Winsock
Applications. Có
nghĩa là hầu hết
các ứng dụng trên
Internet hiện nay
HTTP, Secure HTTP
(HTTPS), và FTP
Có hỗ trợ xác thực
người dùng hay
không ? Nhằm
kiểm soát việc User
truy cập ra ngoài
Yes, nhưng chỉ
dành cho VPN
clients
Yes
Yes
Cấu hình SecureNAT Client
Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số
default gateway giúp client định tuyến ra Internet thông qua ISA Server
2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành một
SecureNAT client:
• Xác lập các thông số TCP/IP thủ công trên máy
• Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP
scope option trên DHCP Server
Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như
một SecureNAT client. Network servers như domain controllers, DNS servers, WINS
servers và Web servers thông thường cũng được cấu hình như các SecureNAT clients.
Domain controller đã được cấu hình thủ công làm SecureNAT client.
Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope
(một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp
phát cho DHCP clients thông số default gateway address chính là IP address của
Internal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windows
systems là sử dụng DHCP để nhận các xác lập về thông tin IP address.
Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách , Internal
network client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng
ta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạt
động, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hình
DHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh.
Trang 105 Triển khai ISA Server Firewall 2004
1. Tại máy CLIENT, right click My Network Places icon trên desktop và click
Properties.
2. Trong Network and Dial-up Connections, right click Local Area Connection
và click Properties.
3. Trong Local Area Connection Properties dialog box, click Internet Protocol
(TCP/IP) , click Properties.
4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP
address automatically và Obtain DNS server address automatically. Click OK.
5. Click OK trong Local Area Connection Properties dialog box.
6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start ,
Run. Trong Open box, đánh lệnh cmd.
7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể
thấy được IP address được cấp phát cho Clientvà các thông số IP address khác mà
Client dùng như: DNS, WINS và default gateway
Trang 106 Triển khai ISA Server Firewall 2004
8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi
máy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask
255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2.
Cấu hình Web Proxy Client
Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng
ISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấu
hình Web browser với vai trò một Web Proxy client. Có thể là:
• Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web
Proxy server
• Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration
script
• Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấu
hình này nhé)
• Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP
Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ
trợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá
của Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client,
và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cần
phải thủ công cấu hình trên trình uyệt web –web browsers của các Clients.
Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi
Firewall client được setup trên clients..
Trang 107 Triển khai ISA Server Firewall 2004
Và chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự động
trên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ
thống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop..).
Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers
sẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể
tự cấu hình. Tuy nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thể
cấu hính thủ công trên các browsers cho các Clients. Cúng ta sẽ xem xét cấu hình
browser trong suốt quá trình cài đặt Firewall client ở phần tới.
Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser:
1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click
Properties.
2. Trong Internet Properties dialog box, click Connections tab. trên Connections
tab, click LAN Settings button.
3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settings
dialog box. Đánh dấu check vào Automatically detect settings check box để cho
phép browser dùng các xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc định
trên các Internet Explorer Web browsers. Đặt một checkmark vào Use automatic
configuration script check box, và điền vào vị trí lưu trữ autoconfiguration script
trên ISA Server 2004 firewall như sau:
Dĩ nhiện máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISA
Server 2004 firewall) ra IP address (IP address này nằm trênInternal interface của
firewall. Chú ý một điều, nếu Client có thể dùng wpad để Automatically detect
settings, thì các thông tin cấu hình tự động nằm rong autoconfiguration script sẽ
được download đến trình duyệt Web Proxy client. Đặt một checkmark vào Use a
proxy server for your LAN (These settings will not apply to dial-up or VPN
connections) check box, và điền vào IP address của Internal interface trên ISA
Server 2004 firewall trong Address text box.
Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghe
trên Port text box, theo mặc định là port 8080. Click OK trong Local Area
Network (LAN) Settings dialog box.
Trang 108 Triển khai ISA Server Firewall 2004
4. Click OK trong Internet Properties dialog box.
Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách
cấu hình khác.
Cấu hình Firewall Client
Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet
(trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên
mỗi User hoặc Group.
Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential:
Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tài
khoản nội bộ trên chính ISA Server 2004 firewall (tức là các accounts nằm trong
Sam database)nếu cả ISA Server 2004 và clients đều thuộc cùng một Windows
domain, thì các user accounts có thể nằm trên Windows NT 4.0 SAM hoặc Windows
2000/Windows Server 2003 Active Directory. Tôi nhắc lại, trong môi trường Domain
2000/2003, Active directory database (trên Domain controller là nơi lưu trữ tất cả tài
khoản User của Domain đó)
Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có
chứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt
Firewall client software từ ISA Server 2004 firewall computer, trước hết hãy bật
System Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau này
bạn nên chuyển Source này đến một File server trên mạng để việc truy cập được an
toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewall
client trên 2 computer: domain controller và Windows 2000 client computer.
Trang 109 Triển khai ISA Server Firewall 2004
1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install
ISA Server 2004 icon.
2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004
page, click Next.
3. Trên License Agreement page, chọn I accept the terms in the license
agreement, click Next.
4. trên Customer Information page, điền User name, Organization và Product
Serial Number của bạn. Click Next.
5. trên Setup Type page, chọn Custom.
6. Trên Custom Setup page, click Firewall Services entry và click This feature
will not be available option. Click ISA Server Management entry và click This
feature will not be available option. Click Firewall Client Installation Share và
click This feature, and all subfeatures, will be installed on the local hard
drive. Click Next.
7. Click Install trên Ready to Install the Program page.
8. Click Finish trên Installation Wizard Completed page.
Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domain
controller. Tiến hành các bước sau để cài Firewall client software:
1. Tại CLIENT computer trên Internal network, click Start và click Run
command. trong Open text box, điền vào \\EXCHANGE2003BE\mspclnt\setup
và click
Trang 110 Triển khai ISA Server Firewall 2004
OK.
2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.
3. Click Next trên Destination Folder page.
4. Trên ISA Server Computer Selection page, chọn Automatically detect the
appropriate ISA Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đã
tạo wpad entry trong DNS. Nếu bạn chưa tạo một wpad entry, bạn có thể chọn
Connect to this ISA Server computer option và điền vào tên hay IP address của
ISA Server 2004 firewall trong text box. Click Next.
5. Click Install trên Ready to Install the Program page.
6. Click Finish trên Install Wizard Completed page.
Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hành
các bước sau trên ISA Server 2004 firewall:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
Console, mở server name. mở tiếp Configuration node và click trên Networks
node. Right click trên Internal Network và click Properties.
2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định là
đã đánh dấu vào Enable Firewall client support for this network check box.
Xác định là cũng đã đánh dấu vào Automatically detect settings và Use
automatic configuration script check boxes trong khung Web browser
configuration on the Firewall client computer. Đánh dáu tiếp vào Use a Web
proxy server check box. Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDN
Trang 111 Triển khai ISA Server Firewall 2004
trong ISA Server name or IP address text box. Trong vd này FQDN của ISA
Server 2004 computer là ISALOCAL.msfirewall.org. Click Apply.
3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discovery
information check box. Để port mặc định này, không thay đổi 80. Click Apply và
OK.
Trang 112 Triển khai ISA Server Firewall 2004
4. Click Apply để lưu những thay đổi và cập nhật firewall policy.
5. Click OK trong Apply New Configuration dialog box.
Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT.
1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ
thống.
2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng
đã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server
2004 check box.
Xác nhận tiếp đã chọn Automatically detect ISA Server
Trang 113 Triển khai ISA Server Firewall 2004
3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong
Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click
Close.
Trang 114 Triển khai ISA Server Firewall 2004
4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration
checkbox và click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập mà
chúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thông
số cấu hình tự động.
Click OK trong Web Browser Settings Update dialog box.
Trang 115 Triển khai ISA Server Firewall 2004
5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server
2004 dialog box.
Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet
dựa tên các quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004
firewall.
Kết luận
Trong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhau
và những tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loại
theo một số cách. Trong chương tới của sách chúng ta sẽ phác thảo các thủ tục để
tạo hoặc chỉnh sửa các quy tắc trên chính sách truy cập ra ngoài Internet -outbound
access policy rules thông qua các Network Template.
Trang 116 Triển khai ISA Server Firewall 2004
Chương 11: Cấu hình các chính sách truy cập trên ISA Server -
ISA Server 2004 Access Policy
ISA Server 2004 firewall điều khiển các giao tiếp truyền đi giữa các Networks được
kết nối với nhau thông qua firewall. Theo mặc định, ISA Server 2004 firewall sẽ
ngăn chặn tất cả các lưu thông. Các phương thức được sử dụng để cho phép lưu
thông qua Firewall là:
• Access Rules- Các quy tắc truy cập
• Publishing Rules- Các quy tắc xuất bản
Access Rules điều khiển các truy cập ra bên ngoài từ một Network được bảo vệ
nằm trong đến một Network khác không được bảo vệ -nằm ngoài.
ISA Server 2004 quan tâm đến tất cả Networks không nằm ngoài- External. Cón tất
nhiên, những Network được xác định là External network thí khộng được bảo vệ. Các
Network được bảo vệ bao gồm: VPN Clients network, Quarantined VPN Clients
network- Mạng VPN Client bị cách ly, Local Host network- chính các ISA Server
Firewall, internal network- Mạng LAN, perimeter networks- DMZ, mạng vành
đai, chứa các Server phục vụ cho Internet user. Các bạn nên ghi nhớ là Internet
chính là một External network cơ; và các Mạng của đối tác- partner networks và
extranets cũng được xem là External networks, ISA cần bảo vệ Internal clients khi
truy cập đến tất cả Mạng này.
Ngược lại với Access rules điều khiển các truy cập ra ngoài, thì Publishing Rules lại
cho phép các hosts nằm ở Mạng ngoài External network truy cập các nguồn tài
nguyên ở các Mạng được bảo vệ. Ví dụ: Tổ chức của bạn tự quản lý – host, các
Server như: Web, mail và FTP servers. Web and Server Publishing Rules có thể
cho phép External hosts truy cập vào các tài nguyên này .
ở chương 9 của sách, chúng ta đã dùng Network Template để tự động tạo ra các mối
quan hệ giữa các Network và các Access Rules. Access Rules rất dễ hiểu khi bạn
muốn cho phép truy cập đến tất cả các sites và protocols trên Internet. Trong khi
cấu hình cho phép ra ngoài đến tất cả nhằm kiểm tra cấu hính cơ bản trên ISA
Server 2004 firewall, thì các yếu cầu bắt buộc khác khi cấu hình Firewall đó là giới
hạn những gì Users được truy cập trên Internet.
Một Access Rule bao gồm
Các file đính kèm theo tài liệu này:
- isa2004.pdf