Hướng dẫn cài đặt cụ thể ISA 2000 Server
- Chạy Setup.exe từ thư mục chứa bộ cài đặt ISA 2000 Server
- Tại màn hình khởi động setup, chọn Continue
- Nhập CD-Key đi kèm theo ISA 2000 Server vào, Nhấn nút OK
- Chọn Agree
- ISA sẽ cho phép lựa chọn các hình thức cài đặt, có 3 hình thức: Typical
installation, Custom installation và Full installation. Thông thường chọn
Typical installation.
- Tiếp theo ISA sẽ cho phép lựa chọn các chế độ cài đặt
Firewall mode: nếu chỉ muốn cài chế độ bảo mật cho mạng nội bộ
Cache mode: nếu chỉ cài chế độ cho phép quản lý truy nhập Internet
tập trung (qua Proxy Server)
Integrated mode: nếu muốn tích hợp cả hai chế độ Firewall và Proxy
- Nhấn nút Continue
- Setup thông báo là tạm thời ngưng các dịch vụ liên quan, nhấn nút OK
nếu được hỏi.
- Tiếp theo bạn phải lựa chọn một phân vùng (partition) trên đĩa cứng đểchứa Cache (nơi lưu giữ các Web site đã truy nhập để tăng tốc độ cho các
lần truy nhập tiếp theo). ISA yêu cầu phân vùng này phải được định dạng
dưới NTFS.
- Kích thước Cache ngầm định của ISA Server đặt ra là 100 MB. Nếu muốn
thay đổi thì bạn đưa kích thước mới vào ô Cache size (MB). Chọn Set để
chấp nhận kích thước mới này.
- Nhấn nút OK
- Tiếp theo ISA sẽ yêu cầu bạn nhập vào một dãy địa chỉ của mạng nội bộ
của bạn. Phải làm như vậy để ISA còn phân biệt được đâu là mạng nội bộ
(internal hay private), đâu là mạng công cộng (external hay public). Dãy
địa chỉ này có ý nghĩa: những trạm làm việc nào có địa chỉ thuộc dãy này
thì sẽ được coi là cục bộ, còn những truy nhập nào xuất phát từ những
trạm có địa chỉ không thuộc dãy này thì được coi là công cộng.
- Hãy nhập dãy địa chỉ mạng cục bộ của bạn bằng cách chỉ định địa chỉ
đầu tiên và địa chỉ cuối cùng của dãy. Nếu mạng của bạn có nhiều dãy địa
chỉ, hãy nhập lần lượt từng dãy một, sau đó chọn Add để dãy đó được đưa
vào hộp Internal IP ranges. Trong ví dụ này, tôi đã đưa vào 2 dãy địa chỉ:
192.168.120.1 – 192.168.120.254 và 10.0.0.1 – 10.0.0.254. Lưu ý rằng
các dãy địa chỉ này phải chứa cả địa chỉ của máy ISA 2000 Server
- Nhấn nút OK, và chờ một lát để Setup khởi động lại các dịch vụ liên
quan.
- Bỏ chọn ô Start the ISA Server Getting Started wizard
- Nhấn nút OK tiếp để kết thúc quá trình cài đặt.
31 trang |
Chia sẻ: trungkhoi17 | Lượt xem: 443 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Tài liệu Share internet với Microsoft Internet Security and Acceleration Sever (ISA Server), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
đều gán một địa chỉ IP
và Subnet mask)
IV. Cài đặt ISA Server
Bạn tìm tập tin Setup trong phần mềm ISA để cài đặt, sau khi kích hoạt tập
tin bạn chọn Continue, rồi chọn đường dẫn của chương trình để tiếp tục cài
đặt, bạn nhập cdkey của ISA. (hình 1)
hình 1
Click OK, chọn Agree để cài đặt, bạn chọn Full Installation. (hình 2)
hình 2
Sau khi kiểm tra các thông số của hệ thống nếu hệ điều hành của bạn cài
theo Workgroup thì thì ISA sẽ xuất hiện cửa sổ thông báo bạn chỉ cài theo
chuẩn Stand-alone server còn hệ điều hành của bạn cài theo Domain thì
bạn cũng chọn chế độ này, bạn chọn Yes. (hình 3)
hình 3
Cửa sổ tiếp theo xuất hiện cho phép bạn chọn một trong ba chế độ:
Firewall mode, Cache mode, Intergrated mode, bạn chọn
Intergrated mode, Click Continue. (hình 4)
hình 4
ISA sẽ stop dịch vụ IIS (Internet Information Services), nếu muốn sử
dụng dịch vụ này bạn có thể cấu hình lại sau khi ISA cài đặt hoàn tất. (hình
5)
hình 5
Cửa sổ tiếp theo sẽ cho bạn qui định dung lượng Cache của ISA. ISA không
giới hạn dung lượng của cache nên bạn có thể Set càng nhiều càng tốt, tùy
theo dung lượng ổ cứng của bạn nhiều hay ít, bạn nên chọn partition khác
với patition đã cài đặt Hệ điều hành và phần mềm ISA và phải format theo
NTFS, bạn nhập dung lượng Cache vào ô Cache Size(MB) rồi click vào nút
Set, sau đó click OK. (hình 6)
hình 6
Cửa sổ tiếp theo xuất hiện của ISA là yêu cầu tạo bảng LAT(Local Address
Table).Ðể dễ quản lý cho việc truy xuất của máy con (client), ISA dựa vào
bảng này , nếu các máy con không thuộc lớp IP của mạng LAN thì ISA không
cho phép truy cập ra ngoài. Lúc này bạn nhập số IP theo qui định của mạng
LAN của bạn. Giả sử số IP của mạng LAN của bạn đánh từ 192.168.205.1
trở đi thì trong ô From bạn phải đánh là 192.168.205.0 và ô To bạn phải
đánh là 192.168.205.255. (hình 7)
hình 7
Click Add để tạo LAT, click OK để hoàn thành quá trình cài đặt ISA.
Sau khi hoàn tất quá trình cài đặt ISA, chúng at bước snag bước config nó để có
thể sử dụng được.
Conifg ISA thì nó có nhiều cách config khác nhau, tôi xin trình bày với các bạnn cách config của
mình, có thể nó còn nhiều hạn chế các bạn có thể góp ý thêm.
Sau khi cài đặt xong, các bạn mở cửa dổ ISA mangement ra, các bạn có hình ảnh bên dưới.
Để máy chủ và máy con có thể sử dụng các dịch vụ của web các bạn làm các bước sau
Các bạn lặp lại từ hình thứ hai đến hình thứ bảy thay thế http bằng https. Xong một bước, chuẩn
bị chuyển sang bước thứ haiBây giờ các bạn thêm port 80 và 443 ở mục Ip Packet Filter
Lặp lại từ hình hai đến hình bảy với port 443 và thay thế http bằng https
Sau khi thêm hai port này nó sẽ xuất hiện như hình, kiểm tra thì các bạn có như sau
Port 443
Port 80
Ok, dậy là các bạn đã hoàn tất một quá trình. Chuyển sang bước khác nhen các bạn
Để yahoo có thể chat voice và webcam các bạn lần lượt thêm bốn port sau ở mục
Protocol Definitions : các port là 5000, 5050,5100,5001 . Hình ảnh minh hoạ dưới đây là cách
thêm một port 5000, các bport còn lại các bạn làm tương tự nhen.
Ok dậy là xong. sang bước tiếp theo
Bây giờ các bạn set cache và active nó nhen
Bước tiếp theo là lưu cache các trang web các bạn muốn lưu nhen, các bạn nên lưu
những trang thật thông dụng mà khách thường vào ấy. Ở đây mình cho lưu trang
www.mail.yahoo.com còn các trang còn lại các bạn làm tương tự nhen
Tạo Report jobs
Ok ! vậy là mình đã làm xong phần config ser ver còn phần confg cilent thì đơn giản thôi
mà
Sau khi cài đặt xong, ISA tự động tạo thư mục share có tên là mspclnt trên máy chủ. Từ máy
con bạn vào Network Neighborhood(Win9x,WinME), My Network Places(WinXP,Win2000).
Bạn phải tạo một user có quyền Log on vào máy chủ cho các máy con. Sau khi Log vào máy
chủ bạn vào thư mục mspclnt rồi tìm tập lệnh có tên là MS_FWC để cài đặt phần mềm
Microsoft Firewall Client (MFC) cho các máy con
Chú ý : Bạn không nên cài MFC lên máy chủ.
Quá trình cài đặt kết thúc trên máy con sẽ có thêm một biểu tượng trên thanh taskbar và
Control Panel. Biểu tượng có hình cầu màu xanh lá cây thì Micorsoft Firewall Client (MFC)
đang hoạt động bình thường, nếu biểu tượng có chấm đỏ ở trong vòng trắng thì MFC bị
disable và icon có chấm đỏ bên trong có một vệt trắng thì MFC có một, hai hay tất cả các
dịch vụ trên internet không thể sử dụng được. Ðể cho người sử dụng không vào và chỉnh
những thông số của MFC bạn double click vào biểu tượng rồi bỏ chọn vào mục Show firewall
Client icon on taskbar.
ISA client đang hoạt động
ISA client đang disable
ISA client đang bị lỗi
Ok dậy là xong hết, hic hic hic. may wé cuối cùng cũng xong.
V ài d òng n ói th êm v ề ISA
Hướng dẫn sử dụng Microsoft ISA 2000 Server
1. Giới thiệu về phần mềm ISA 2000 Server
ISA 2000 Server là phần mềm mới nhất của Microsoft được sử dụng thay
thế cho phần mềm Proxy Server 2.0 và được tích hợp thêm chức năng bảo
mật (Firewall)
Các chức năng chính của ISA 2000 Server:
- Truy nhập Internet tập trung (Proxy): cho phép nhiều user từ nhiều trạm
làm việc có thể đồng thời truy nhập Internet qua một mối nối kết chung từ
một máy chủ Proxy
- Tác dụng của Proxy:
+ Tăng tốc độ truy nhập Internet nhờ sử dụng cache (bộ đệm lưu trữ).
Cache sẽ lưu lại nội dung các trang Web được truy nhập vào máy chủ
Proxy, ở lần truy nhập kế tiếp, khi user muốn xem thông tin từ trang Web
đó thì sẽ lấy thẳng từ cache của Proxy Server mà không cần vào Internet
nữa, do đó việc kết nối được diễn ra nhanh hơn và vẫn thực hiện được
ngay cả trong trường hợp Proxy Server bị ngắt kết nối với Internet
(offline)
+ Quản lý được việc truy nhập Internet: cho phép chỉ những user có
quyền hợp lệ thì mới được truy nhập Internet qua Proxy, những user khác
sẽ không được phép sử dụng Proxy. Ngoài ra, còn có thể quản lý việc truy
nhập Internet theo các Web site nhất định, tức là chỉ ra những Web site
nào thì không được phép kết nối, hoặc chỉ định user chỉ được kết nối trong
khoảng thời gian nào trong ngày,do đó tận dụng được tối đa băng thông
(bandwidth) và hạn chế tắc nghẽn khi quá nhiều người truy nhập đồng
thời.
- Bảo mật mạng cục bộ: ngăn chặn những truy nhập trái phép từ bên
ngoài vào mạng công ty. Những truy nhập được Firewall xác nhận là hợp
lệ thì mới được phép.
Tác dụng của Firewall: Ngăn chặn truy nhập từ bên ngoài vào mạng công
ty hoặc từ bên trong ra mạng công cộng. Việc ngăn chặn được thực hiện
qua việc hạn chế những giao thức được sử dụng để truy nhập (HTTP, FTP,
Telnet, ICMP)
2. Hướng dẫn cài đặt cụ thể ISA 2000 Server
- Chạy Setup.exe từ thư mục chứa bộ cài đặt ISA 2000 Server
- Tại màn hình khởi động setup, chọn Continue
- Nhập CD-Key đi kèm theo ISA 2000 Server vào, Nhấn nút OK
- Chọn Agree
- ISA sẽ cho phép lựa chọn các hình thức cài đặt, có 3 hình thức: Typical
installation, Custom installation và Full installation. Thông thường chọn
Typical installation.
- Tiếp theo ISA sẽ cho phép lựa chọn các chế độ cài đặt
Firewall mode: nếu chỉ muốn cài chế độ bảo mật cho mạng nội bộ
Cache mode: nếu chỉ cài chế độ cho phép quản lý truy nhập Internet
tập trung (qua Proxy Server)
Integrated mode: nếu muốn tích hợp cả hai chế độ Firewall và Proxy
- Nhấn nút Continue
- Setup thông báo là tạm thời ngưng các dịch vụ liên quan, nhấn nút OK
nếu được hỏi.
- Tiếp theo bạn phải lựa chọn một phân vùng (partition) trên đĩa cứng để
chứa Cache (nơi lưu giữ các Web site đã truy nhập để tăng tốc độ cho các
lần truy nhập tiếp theo). ISA yêu cầu phân vùng này phải được định dạng
dưới NTFS.
- Kích thước Cache ngầm định của ISA Server đặt ra là 100 MB. Nếu muốn
thay đổi thì bạn đưa kích thước mới vào ô Cache size (MB). Chọn Set để
chấp nhận kích thước mới này.
- Nhấn nút OK
- Tiếp theo ISA sẽ yêu cầu bạn nhập vào một dãy địa chỉ của mạng nội bộ
của bạn. Phải làm như vậy để ISA còn phân biệt được đâu là mạng nội bộ
(internal hay private), đâu là mạng công cộng (external hay public). Dãy
địa chỉ này có ý nghĩa: những trạm làm việc nào có địa chỉ thuộc dãy này
thì sẽ được coi là cục bộ, còn những truy nhập nào xuất phát từ những
trạm có địa chỉ không thuộc dãy này thì được coi là công cộng.
- Hãy nhập dãy địa chỉ mạng cục bộ của bạn bằng cách chỉ định địa chỉ
đầu tiên và địa chỉ cuối cùng của dãy. Nếu mạng của bạn có nhiều dãy địa
chỉ, hãy nhập lần lượt từng dãy một, sau đó chọn Add để dãy đó được đưa
vào hộp Internal IP ranges. Trong ví dụ này, tôi đã đưa vào 2 dãy địa chỉ:
192.168.120.1 – 192.168.120.254 và 10.0.0.1 – 10.0.0.254. Lưu ý rằng
các dãy địa chỉ này phải chứa cả địa chỉ của máy ISA 2000 Server
- Nhấn nút OK, và chờ một lát để Setup khởi động lại các dịch vụ liên
quan.
- Bỏ chọn ô Start the ISA Server Getting Started wizard
- Nhấn nút OK tiếp để kết thúc quá trình cài đặt.
3. Định cấu hình và quản trị ISA 2000 Server
Sau khi cài đặt xong, Windows sẽ tự động thêm mục Microsoft ISA Server
trong Program của menu Start. Chọn ISA Management để khởi động
chương trình quản trị ISA Server.
3.1. Xác lập cổng truy nhập đối với các truy nhập từ bên trong hoặc bên
ngoài
Việc đầu tiên cần làm là xác lập các thiết định về cách truy nhập đối với
những truy nhập từ ngoài hoặc từ bên trong
- Nhấn nút phải chuột vào tên Server của bạn, chọn Properties để vào
trang Server Properties.
- Hai mục quan trọng nhất cần xem xét là Incoming Web Request và
Outgoing Web Request
Incoming Web Request: chỉ định rõ là khi có yêu cầu cần truy nhập từ
bên ngoài vào thì hướng truy nhập đó tới cổng TCP số mấy. Thông
thường, đây là cổng số 80 vì 80 là cổng ngầm định cho giao thức HTTP,
khi mọi người từ bên ngoài muốn truy nhập vào Web Server của bạn, thì
80 là cổng ngầm định cho HTTP và trình duyệt sẽ tự động hướng truy
nhập đó tới cổng 80 này. Nếu thay đổi con số này, thì những người bên
ngoài sẽ không thể truy nhập vào Web Server của bạn vì không biết phải
tới cổng TCP số bao nhiêu.
Outgoing Web Request: chỉ rõ là khi có yêu cầu truy nhập từ bên trong
mạng nội bộ ra Internet thì sẽ hướng truy nhập này tới cổng bao nhiêu
trên ISA Server. Con số này do bạn tự định ra, có thể từ 1-65535 nhưng
không được trùng vào những cổng đã được sử dụng. Bạn phải nhớ con số
này khi thiết lập Proxy cho trình duyệt Internet của các máy trạm. Trong ví
dụ này chúng tôi sử dụng cổng 8080.
3.2. Quản lý các dịch vụ của ISA Server
Sau khi đặt cổng truy nhập, việc tiếp theo là quản lý các dịch vụ mà ISA
Server cung cấp. Mở rộng tên Server của bạn, chọn Monitoring, Services
và bạn sẽ thấy ở khung bên phải tên các dịch vụ mà ISA Server 2000 cung
cấp. Bạn có thể bật/tắt các dịch vụ này bằng cách chọn tên dịch vụ rồi
chọn Stop a Service hoặc Start a Service ở bên dưới.
Microsoft yêu cầu là đối với một số phần mềm nhất định (SQL Server,
Clustering Service, ISA Server) thì muốn bật tắt dịch vụ thì phải sử dụng
các chức năng quản lý dịch vụ ngay trong chương trình đó, không được sử
dụng cách bật tắt theo lối thông thường trong mục Services của Windows.
- Các chức năng của ISA Server chỉ hoạt động khi dịch vụ tương ứng của
chúng đang ở trạng thái running như bạn thấy ở hình trên
3.3. Quản lý, cấp phép và hạn chế truy nhập
Công việc quản lý và thiết lập các chế độ cấp phép và hạn chế truy nhập
được tập trung chủ yếu tại mục Access Policy.
Trong màn hình ISA Management, mở rộng mục Access Policy và bạn sẽ
thấy các thành phần như sau:
+ Site and Content Rules
+ Protocol Rules
+ ISP Packet Filters
3.3.1. Site and Content Rules
Tạo ra các quy tắc (Rule) để áp dụng cho một nhóm đối tượng (user) nào
đó, được truy nhập tới những Web site nào (destination), xem những nội
dung gì (Content), trong khoảng thời gian nào (schedule)
Để tạo ra một quy tắc, bạn chọn mục Site and Content Rules, ở khung bên
phải, chọn Create Site and Content Rule.
Ví dụ như sau:
- Chọn Create Site and Content Rule.
- Trong hộp Welcome, chọn một tên cho quy tắc này. VD là “Deny
www.vnn.vna>€. Bạn có thể chọn bất ký tên nào cho phù hợp với nội
dung của quy tắc.
- Nhấn nút Next
- Trong hộp Rule Action, chọn Deny rồi nhấn Next
- Trong hộp Destination Sets:
Hộp Apply this rule to, chọn Specified Destination Set
Hộp Name, chọn Deny www.vnn.vn (đây là một name do tôi tự đặt ra
theo ý thích, lát nữa tôi sẽ hướng dẫn các bạn tạo ra nó. Khi bạn tạo trước
những thứ như vậy, thì trong hộp Name mới xuất hiện chúng.
- Nhấn nút Next
- Trong hộp use this Schedule, chọn Work hours
- Nhấn nút Next
- Trong hộp Client Type, chọn Specific users and groups
- Nhấn nút Next
- Trong hộp users and groups, Nhấn nút Add
- Trong hộp Select user and Groups, chọn tên user hoặc group mà bạn
muốn áp dụng quy tắc này.
VD: username=test
- Nhấn nút OK và Next cho đến khi Finish
Như vậy, bạn đã tạo ra một quy tắc kiểm soát truy nhập với nội dung như
sau:
Không cho (deny) người sử dụng test (username=test) truy nhập vào
trang web www.vnn.vn (Specified Destination Set) trong giờ làm việc
(work hours)
Bây giờ chúng tôi sẽ giải thích cụ thể từng hạng mục trong việc tạo ra một
quy tắc mới. Các bạn hãy quay lại từng bước như đã hướng dẫn ở trên để
xem các thao tác.
- Bước 1 (Welcome), hãy chọn cho quy tắc này một cái tên để gợi nhớ cho
chúng ta nội dung của quy tắc này
- Bước 2 (Rule Action), hãy chọn kiểu áp dụng quy tắc. Nếu bạn chọn
Allow, tức là khi thoả mãn điều kiện thì cho phép truy nhập, còn nếu chọn
Deny tức là khi thoả mãn điều kiện thì từ chối truy nhập
- Bước 3: (Destination sets): áp dụng quy tắc này cho những truy nhập tới
những nơi nào.
Nếu chọn All destination, tức là áp dụng quy tắc đối với tất cả các truy
nhập đi tới bất kỳ đâu
Nếu chọn All internal destination, tức là chỉ áp dụng quy tắc đối với
những truy nhập tới những máy nội bộ trong công ty, không áp dụng cho
những máy công cộng trên Internet
Nếu chọn All external destination, tức là chỉ áp dụng quy tắc đối với
những truy nhập tới những máy công cộng trên Internet, không áp dụng
cho những máy cục bộ.
Nếu chọn Specified Destination Sets, tức là bạn tự chỉ ra những máy
nào là thuộc phạm vi áp dụng của quy tắc, tức là bạn tự định nghĩa một số
máy nào đó để quản lý việc truy nhập tới. Như ví dụ trên, chúng tôi chọn
máy www.vnn.vn.
- Bước 4 (schedule): áp dụng quy tắc này trong khoảng thời gian nào
(Always: luôn luôn được áp dụng; week ends: áp dụng vào cuối tuần;
work hours: áp dụng trong giờ làm việc). Thực ra, các week ends hay
work hours là những cái do Microsoft tự làm sẵn ra, bạn có thể hoàn toàn
định nghĩa lại hoặc tạo ra cái khác theo ý mình trong các phần sau. Chẳng
hạn, bạn định nghĩa work hours (giờ làm việc) là từ mấy giờ đến mấy giờ,
week ends (cuối tuần) là thứ bảy hay chủ nhật hoặc tạo ra khoảng thời
gian nào đó theo ý bạn.
- Bước 5 (client type): áp dụng quy tắc này đối với những user hay trạm
làm việc nào.
Nếu chọn Any request, thì quy tắc này sẽ được sử dụng để kiểm soát
truy nhập từ tất các các user và trạm làm việc trong mạng nội bộ
Nếu chọn specific computer, thì quy tắc này chỉ áp dụng cho những
truy nhập xuất phát từ những trạm làm việc thuộc một dải địa chỉ ISP nào
đó
Nếu chọn Specific users and groups, thì quy tắc này chỉ áp dụng cho
những truy nhập xuất pháp từ những người sử dụng hay nhóm người sử
dụng nào đó.
3.3.2 Protocol Rule
Cũng là biện pháp kiểm soát truy nhập nhưng không dựa trên kiểm tra là
truy nhập sẽ tới đâu (không kiểm tra destination) mà sẽ kiểm tra giao thức
mà việc truy nhập sẽ sử dụng.
Các bước như sau:
- Bước 1: Tạo ra 1 quy tắc bằng cách chọn Create a Protocol Rule for
Internet Access, chọn một cái tên cho quy tắc này. Nhấn nút Next.
- Bước 2: Chọn loại protocol mà trên đó bạn muốn áp dụng quy tắc này.
Nhấn nút Next.
- Bước 3: chọn loại Schedule (always, week ends, work hours hay do bạn
tự định nghĩa). Nhấn nút Next.
- Bước 4: Chọn loại Client giống như phần trên. Nhấn nút Next.
Lưu ý:
- Đây là chọn các giao thức thường dùng cho việc truy nhập trên Internet.
Nếu bạn muốn áp dụng cho nhiều loại giao thức khác nữa thì ở bước 1
bạn phải chọn Create a Protocol Rule chứ không phải là Create a Protocol
Rule for Internet Access.
- Trong các mục của Access Policy, ở khung bên phải thường có 3 chức
năng chính hay dùng: Create (tạo ra quy tắc), Delete (xoá quy tắc đó) và
Configure (thay đổi các xác lập trong quy tắc đó)
- Trong mục General của mỗi quy tắc, có hộp chọn Enable. Phải kích chọn
hộp này thì quy tắc đó mới được áp dụng
3.4. Tạo ra các thiết lập định trước
Khi sử dụng ISA Server, chúng ta được phép định nghĩa trước một đối
tượng nào đó để khi tạo ra các Access Policy thì sẽ lấy ra dùng luôn được.
Ví dụ như bạn định nghĩa trước một số trang Web nào đó bị cấm không
vào được, định nghĩa một nhóm máy tính thuộc một dải địa chỉ nào đó sẽ
cùng được áp dụng một quy tắc, định nghĩa các dải thời gian để cho phép
hoặc từ chối truy nhập trong khoảng thời gian đó.
Có 3 hạng mục thường được sử dụng trong phần này
- Schedules
- Destination Sets
- Client Address Sets
3.4.1. Schedule
Chọn Schedule, nhấn nút vào Create a schedule ở khung bên phải để tạo
một khoảng thời gian mới.
- Nhập vào một tên để nhận biết khoảng thời gian mới này. VD: Ngay nghi
- Trong ô ghi các ngày trong tuần, rê con trỏ chuột kéo hết vùng từ
Monday đến Friday, rồi chọn Inactive. Kết quả sẽ như hình sau:
- Như vậy, bạn đã tự định nghĩa “Ngày nghỉ” là ngày thứ bảy và chủ nhật.
Tất nhiên, ta có thể định nghĩa theo một khoảng thời gian bất kỳ trong
ngày theo ý thích. Ví dụ, ta có thể định nghĩa “Gio lam viec” là từ 8 giờ
sáng đến 5 giờ chiều từ thứ hai đến thứ sáu trong tuần:
3.4.2. Destination sets
- Chọn Destination sets ở khung bên trái, rồi chọn Create a destination set
ở khung bên phải để tạo một phạm vi vùng các nơi sẽ truy nhập đến
- Nhập vào một tên để nhận biết, chẳng hạn “Web sites in USA” để định
nghĩa những trang Web nằm trên máy chủ ở Mỹ.
- Chọn Add để đưa nội dung vào vùng này.
- Ta có thể chỉ đích danh tên domain name của Web site hoặc dãy địa chỉ
của các Web site.
- Nhấn nút OK để nhập tên domain name của Web site vào danh sách.
Nếu cần thêm nhiều Web site khác, bạn cứ dùng Add để thêm các web đó.
- Như vậy bạn có danh sách các web site như trên sẽ thuộc vào một
destination set tên là “Web sites in USA”.
- Có thể chỉ định các Web site bằng địa chỉ ISP như sau: Bên cạnh nút
Add, bạn có thể sử dụng các nút Edit và Remove để sửa đổi hoặc xoá các
mục trong danh sách
3.4.3. Client address sets
- Chọn Client address sets ở khung bên trái, chọn Create a client set ở
khung bên phải
- Chọn một tên nhận dạng cho phạm vi địa chỉ, chẳng hạn “Phòng Kinh
doanh”
- Nhấn nút Add để đưa địa chỉ ISP vào dãy, chẳng hạn tôi dùng dải địa chỉ
172.16.30.1 – 172.16.30.254
- Nếu bộ phận này có địa chỉ thuộc nhiều dải khác nhau thì bạn có thể
thêm từng dải một bằng cách chọn Add, nếu muốn sửa đổi hoặc xoá các
dải này thì sử dụng Edit hoặc Remove
Như vậy ta vừa định nghĩa bộ phận Kinh doanh của Công ty sẽ có dải địa
chỉ như trên. Sau này khi cần áp dụng các quy tắc với bộ phận này ta chỉ
việc chọn tên bộ phận đó.
3.5. Định cấu hình Bộ đệm trữ dữ liệu (Cache)
Như đã nói ở phần đầu, bộ đệm trữ dữ liệu là thành phần quan trọng của
dịch vụ Proxy, nó cho phép ta dành một phần kích thước ổ đĩa làm vùng
lưu trữ cho những thông tin đã được tải xuống từ Internet khi có một trạm
làm việc truy nhập vào Internet qua Proxy Server. Thông tin lưu trữ này sẽ
được sử dụng khi có một trạm làm việc cũng yêu cầu đúng loại thông tin
như vậy và Proxy Server sẽ gửi hồi đáp dựa trên những thông tin mà nó
đã cache lại, như vậy làm việc lấy thông tin từ Internet sẽ nhanh hơn rất
nhiều. điều này cũng đặc biệt hữu ích khi Proxy Server bị ngắt kết nối với
Internet (offline).
3.5.1. Thay đổi kích thước cache
- Trong khung ISA Management bên trái, chọn Cache Configuration
- Trong khung bên phải, bạn nhìn thấy tên Server dùng làm Proxy, kích
thước Cache, tổng số phân vùng NTFS còn trống.
- Để thay đổi kích thước cache, bạn chọn vào tên server, rồi chọn
Configure cache size
- Đưa kích thước cache mới vào ô Maximum cache size, chọn Set để chấp
nhận kích thước này. Nhấn nút OK để kết thúc
- Lưu ý rằng phải đặt cache trên một phân vùng được định dạng theo
NTFS và nên đặt trên một phận vùng độc lập với vùng chứa hệ điều hành
để tối ưu việc đọc thông tin từ cache.
3.5.2. Định cấu hình cache
- Để định cấu hình cache, trong khung bên phải, bạn chọn tên server rồi
chọn Configure cache policy.
- Đây là ô hiển thị thông tin về dung lượng cache của Proxy
- Chuyển sang khung HTTP
- Đánh dấu chọn vào ô enable HTTP Caching, việc này cho phép bạn
cache các Web site được truy nhập
- Các hình thức cập nhật thông tin trong cache (có 4 ô chọn trong hộp):
- Frequently: thông tin trong cache sẽ được cập nhật thường xuyên liên
tục và khi không có ai truy nhập thông tin đó nữa, nó lập tức sẽ bị xoá
khỏi cache. Việc này sẽ tăng lưu lượng thông tin giữa proxy với Internet vì
Proxy thường xuyên phải lấy thông tin mới nhất từ Internet về.
- Less Frequently: thông tin trong cache sẽ ít được cập nhật từ Internet
hơn. Như vậy sẽ giảm được lưu lượng giữa proxy với Internet nhưng nếu
trên Internet có thông tin mới nhất thì nó sẽ không được cập nhật ngay
lập tức.
- Normally: mức bình thường, việc cập nhật sẽ ở giữa mức Frequently và
Less Frequently.
- Set Time to Live (TTL) of object in cache to: Tự quy định một khoảng
thời gian nào đó mà nội dung cache có thể tồn tại, hết khoảng thời gian
này thì proxy phải kết nối để cập nhật thông tin.
- Chuyển sang ô FTP
- Cũng có mục đích giống HTTP nhưng đối tượng được cache là các file
nằm trên các FTP server.
- Chuyển sang ô Active Caching
- Active là một hình thức cập nhật động, nó tự đánh giá, phân tích quá
trình truy nhập các Web site hoặc FTP site và tìm ra những thông tin nào
hay được truy nhập nhất và tự động cache lại những thông tin này. Cũng
có 3 mức độ Frequently, Normally và Less Frequently như đã giải thích ở
trên.
- Chuyển sang trang Advanced
- Trang này có hai ô quan trọng thường sử dụng
Do not cache object larger than: chỉ ra kích thước tối đa có thể cache
được của một đối tượng nào đó, tức là nếu đối tượng có kích thước lớn
hơn đã chỉ định trong ô này, nó sẽ không được cache.
Cache dynamic content: lưu lại cả những thông tin có liên quan đến
trang Web được truy nhập. Thông thường, trong một trang Web bao giờ
cũng có những nối kết nội bộ trong phạm vi thư mục ảo, các hyperlink,
bookmark Nếu ta đánh dấu ô này thì các thông tin đó cũng được cache
lại.
3.6. Cấu hình các thông tin liên quan đến dịch vụ mạng.
Trong ISA Management, chọn Network Configuration
3.6.1. Proxy Server được kết nối trực tiếp với Internet hay thông qua một
Proxy Server khác
Kết nối trực tiếp là Proxy đó có một interface nối với Internet, nó thay mặt
các client trong mạng để gửi và nhận thông tin từ Internet.
Kết nối gián tiếp là Proxy đó không có interface trực tiếp với Internet mà
kết nối với Internet thông qua một proxy server khác. Theo cấu hình ngầm
định lúc cài đặt, thì coi proxy này là có kết nối trực tiếp với Internet.
Để thực hiện kết nối gián tiếp với Internet qua một proxy server khác, ta
làm như sau:
- Trong khung bên trái của Network Configuration, chọn Default Rule (thực
ra bạn có thể tạo ra các rule khác nhưng vì đây là trường hợp đơn giản
nên có thể sử dụng luôn default rule của ISA)
- Nhấp đôi chuột vào Default rule
- Trong hộp Action, chọn Routing them to a specified upstream server (ô
Retrieving them directly from the specified destination được dùng trong
trường hợp kết nối trực tiếp với Internet)
- Chọn Setting
- Trong hộp Server or array, đưa tên hoặc địa chỉ ISP của Proxy server mà
bạn muốn kết nối thông qua nó.
- Trong hộp Port, đưa số hiệu cổng mà Proxy đó chờ nhận thông tin.
- Chọn kiểu Authentication là Basic.
- Đánh dấu chọn vào ô use this account và nhấn nút vào nút Set Account
(account này là account có quyền truy nhập vào Proxy server ở cấp trên
và phải được proxy server cấp trên này xác nhận)
- Nhập tên và mật khẩu hợp lệ vào, nhấn nút OK.
- Nhấn nút OK để hoàn tất config.
3.6.2. Thay đổi dải địa chỉ Local
Như đã nói ở phần đầu, khi cài ISA Server 2000, sẽ yêu cầu đưa vào một
bảng địa chỉ cục bộ (LAT), và ISA sẽ căn cứ vào dãy địa chỉ này để xác
định xem một trạm làm việc có phải là thuộc mạng nội bộ hay không và có
chịu quản lý của ISA hay không.
Bảng LAT này có thể gồm nhiều dải địa chỉ khác nhau và có thể thay đổi,
thêm bớt bằng cách sử dụng nhánh Local Address Table trong mục
Network Configuration
- Ở khung bên phải sẽ hiển thị các dải địa chỉ trong bảng.
- Để thêm vào một dải địa chỉ, chọn Local Addres
Các file đính kèm theo tài liệu này:
- tai_lieu_share_internet_voi_microsoft_internet_security_and.pdf