lesson5-tpd-isa-firewall scnp guide from security 365 vn

5/9/2018 Lesson5-TPD-IsA-Firewall SCNP Guide From Security 365 VN - slidepdf.com

http://slidepdf.com/reader/full/lesson5-tpd-isa-firewall-scnp-guide-from-security-365-vn 1/37

Configuring MS ISA SERVER 2006

FIREWALL

SECURITY365 – ANNINHMANG365.COM

Trong s nhng sn phm tư ng la trên th trư ng hin nay thì ISA Server 2004/2006 ca

Microsoft là firewall ư c nhiu ngư i yêu thích nht do kh năng bo v h thng mnh m cùng v i cơ ch qun lý linh hat.

Ref : http://www.isaserver.org/tutorials/ISA-Server-2006-Installing-ISA-2006-Enterprise-

Edition-beta-Unihomed-Workgroup-Configuration.html

Mt trong các bài vit ư c ông o bn c quan tâm trên các din àn hay nhng tp chí uy

tín v tin hc chính là bài hư ng dn cách xây dng Firewall (Tư ng La) cho doanh nghip. Các

bn có th hình dung Firewall như là mt bc tư ng thành kiên c dùng ngăn chn các t tn

công hay xâm nhp t phía bên ngòai, bo v h thng ni b thông qua các cơ ch cht ch nhưng linh hat. Mt firewall mnh không nhng có kh năng áp ng tt các yêu cu bo mt

h thng, hat ng n nh mà còn phi d dàng qun lý, thay i và h tr tt trong quá trình

truy cp Internet. Nu xét tng cng các yêu cu trên thì ISA Server 2004/2006 Firewall xng

áng chim v trí quán quân trong các dòng sn phm bo mt thông tin.

Chính vì lý do ó, chúng ta cn phi nm vng cách hat ng, cu hình và cài t ca ISA

Server 2004/2006. Trong chươ ng 5 ca giáo trình SCNP | TPD chúng tôi s hư ng dn các bn

cách thc mt mô hình Firewall thc t cho mng doanh nghip. Hãy bt tay vào quá trình thc



hành ngay lp tc, các bn có th trin khai ISA Server trên máy chính và cài Firewall Client trênmáy o Windows XP Pro nu không máy thc hành (ngay c Tom Shinder cũng s d ng h th ng máy o trong các bài hư ng d n ca mình) , vì vy các bn hãy yên tâm v s “trong

sut”ca mô hình o so v i mô hình tht, không có gì khác nhau ngai tr vic bn có th làm tt

c trong 1 khi xây dng mng o bng VMWare hay Virtual PC.

ISA Server 2004/2006 Firewall có hai phiên bn Standard và Enterprise phc v cho nhng môi

trư ng khác nhau, ISA Server 2004/2006 Standard áp ng như cu bo v và chia s băng thông

cho các công ty có quy mô trung bình. V i phiên bn này chúng ta có th xây dng các firewall

kim sóat các lung d liu vào và ra trên h thng mng nôi b ca công ty. Kim sóat quá

trình truy cp ca ngư i dùng theo giao thc, th i gian và ni dung ca các site nhm ngăn chn

quá trình k t ni vào nhng trang web có ni dung không h p l. Bên cnh ó chúng ta còn có

th trin khai các h thng VPN Site to Site hay Remote Access h tr cho vic truy cp t xa ca

các User, hoc trao i d liu gia các văn phòng chi nhánh. i v i các công ty có nhng h

thng máy ch quan trng như Mail, Web Server cn ư c bo v cht ch trong mt môi trư ng

riêng bit thì ISA 2004/2006 cho phép chúng ta trin khai các vùng DMZ (thut ng ch vùng phi

quân s) ngăn nga s tươ ng tác trc tip ca các Internal/External User. Ngòai các tính năng

mang tính bo mt thông tin trên thì ISA 2004/2006 còn có h thng cache giúp cho ngư i dùng

k t ni Internet nhanh hơ n do thông tin trang web có th ư c lưu gi sn trên RAM hay ĩ acng, iu này làm cho băng thông ca h thng ư c tit kim áng k . Chính vì lý do ó mà

sn phm tơ ng la này có tên gi là Internet Security & Aceleration (bo mt ng dng và tăng

tc băng thông).

ISA Server 2004/2006 Enterprise ư c s dng trong các mô hình mng l n, cn nhng h thng

mnh m áp ng nhiu yêu cu truy xut ca ngư i s dng (User) bên trong và ngòai h

thng. Ngòai nhng tính năng ã có trên ISA Server 2006 Standard, phiên bn Enterprise còn cho

phép chúng ta thit lp các h thng Array (mãng) các ISA Server cùng s dng mt chính sách,

iu này giúp d dàng qun lý và cung cp tính năng Load Balancing (cân bng ti) phc v tt

hơ n các yêu cu ca t chc.

áp ng nhu cu hc tp, nghiên cu cũng như ng dng h thng tư ng la ISA Server 2006

Firewall, chúng tôi s trình bày cách thc trin khai h thng ISA Server (Standar và Enterprise)

cho mt t chc thc t v i mô hình Lab như sau:



Lư u ý: Trong tr ư ng h p th c hành trên Virtual NETWORK, các bn hãy cài ISA Server

trên máy chính (máy tht) và máy o dùng làm ISA Client hãy thay i c u hình card mng ch Bridge (cho phép máy o truy c p Internet thông qua máy chính, còn t m c nh ch

host-only thì máy o t ươ ng ươ ng v i 1 máy tính ngang hàng v i máy tht trên mng, ch dùng

khi test các server ni b như DHCP, DNS hay Active Directory). Các bn ti n hành cài t và

quay li b ng Snag It các instructor d dàng ki m tra cũng như publish cho mi ngư i cùng

tham kho.

T&C Descon là mt công ty xây dng có s lư ng nhân viên trên 50 ngư i, cung cp dch v

chia s Internet, công ty s dng mt ư ng ADSL và h thng ISA Server 2004/2006 Firewall.

a ch modem ADSL là 172.16.1.1, h thng có hai l p mng chính là Internal bao gm các máy

tính ca nhân viên có dãy a ch IP riêng là 192.168.1.1 – 192.168.1.255/24 và DMZ dùng t

các máy ch quan trng như Exchange Server, Web Server s dng a ch mng 10.11.12.0/24 .

Máy ch dùng cài t ISA Server chy Windows Server 2003 SP1 có 3 NIC (network

interface) v i c ch IP như sau:

• Outside Interface : IP 172.16.1.11, Subnet Mask 255.255.255 và Default Gateway 172.16.1.1

(ADSL Modem).

• Inside Interface : IP 192.168.1.1, Subnet Mask 255.255.255.0 và DNS1 192.168.1.11 (là DNSServer và Domain Controler ca h thng) , DNS2 210.245.31.130

• DMZ Interface : IP là 10.11.12.1, Subnet Mask 255.255.255.0



Nhm bo m an tòan cho h thng và firewall, trên giao tip mng Outside hãy chn DisableNetbios Over TCP IP , b chn Register this connection's address in DNS và Enable

LMHOST lookup như hình sau:

Lư u ý : Ch c nă ng Disable NetBIOS over TCP/IP làm cho máy tính tr nên “vô hình” trên mng,

các phn m m quét l i h th ng như Retina, Nmap s không tìm th y tên ca máy tính, hn ch tr ư ng h p dò tìm password ca nh ng tài khan theo cơ ch brute force vì h th ng thư ng t o

mt s account m c nh s d ng tên Netbios này. Do ó các máy ch giao ti p v i Internet như firewall thư ng chn ch c nă ng này, tuy nhiên i v i các máy tính trên mng ni b chúng ta

khôngnên s d ng vì s ngă n ng a các máy tính khác truy c p vào tài nguyên chia s trên máy

ca mình như Printer, Folder Share..Có mt s ng d ng bo mt khi cài t s Disable

NetBIOS over TCP/IP mt cách m c nh như PC Security, s gây tr ngi cho quá trình hat

ng ca h th ng..

I - Tin Hành Cài t ISA Server 2004/2006 :

Sau khi ã thit lp y các thng tin cn thit hãy ưa ĩ a CD ISA Server 2004/2006

Standard vào máy dùng làm firewall, trên màn hình hin th hãy chn Install ISA Server2004/2006 bt u tin trình cài t.



Nhn Next trên màn hình Welcome to the Installation Wizard for Microsoft ISA Server

2004/2006 , chn I accept the terms in the license agreement trên ca s License Agreement vànhp vào các thông tin User Name / Organization, Product Serial Number trên nhng màn hình

cài t tip theo. Chúng ta có th chn mt trong 3 ch cài t sau:

• Typical : ch này ch cài t mt s dch v ti thiu, không có dch v Cache.

• Complete : tt c các dchv s ư c cài t như Firewall dùng kim sóat truy cp; Message

Screener cho phép ngăn chn spam mail và các file attachment ( cn phi cài IIS 6.0 SMTP trư ckhi cài Message Screener; Firewall Client Installation Share.

• Custom : cho phép chn nhng thành phn cn cài t ca ISA Server 2004/2006.

ây chúng ta s s dng ch cài t Custom và nhn Next, mc nh ch có hai dch v

Firewall Services và ISA Server Management hãy chn thêm Firewall Client Installation Share.



Tip theo tin trình cài t s yêu cu bn xác nh giao tip mng v i h thng mng ni b, trên

ca s Internal Network nhn Add và Select Network Adapter xác nh card mng giao tip

v i Internal Network.

ánh du vào Inside trong trang Select Network Adapter như hình sau:

Tip theo chúng ta cn cung cp dãy a ch IP cha các máy tính trên mng ni b là

(From)192.168.1.0 – (To)192.168.1.255 hay tùy theo h thng ca bn và nhn Add .



- Lưu ý dãy a ch này phi cha IP ca giao tip mng Inside.

Trên ca s Firewall Client Connection Setting hãy ánh du chn vào ô Allow nonencryptedFirewall client connections và Allow Firewall clients running earlier versions of the Firewall

client software to connect to ISA Server ri nhn Next trong các bư c tip theo hòan tt quátrình cài t.

i v i phiên bn Standard chúng ta nên cài bn vá SP1 ISA2004/2006-KB891024-X86-ENU.msp (có th download t website www.microsoft.com ) cho ISA Server 2004/2006 bo

m quá trình hat ng din ra suôn s và n nh.



Sau khi cài t xong ISA Server chúng ta cn phi k t ni Firewall v i Internet bng cách to ra

nhng policy chính như cho phép truy cp Internet, check mail i v i các Domain User, cho

phép s dung FTP...Có mt im lưu ý là sau khi cài xong bn thân ISA Server s không truy cp

Internet ư c vì default policy ngăn chn iu này, do ó các bn phi bt Local Policy cho phép

nu mun duyt Web trên chính ISA 2004/2006 Firewall.

To Access Rule Trên ISA

Tip theo là cu hình các client, là nhng máy tính khác trên mng ni b cn truy cp Internet

thông qua Firewall. Có 3 dng client chính là Web Proxy, Secure Nat và Firewall Client, mt máy

tính có th óng vai trò c 3 dng client trên.

II - Kt Ni ISA Server V i Internet Và Cu Hình Các ISA Client:

Trên ISA Server 2004/2006 Firewall có 3 dng firewall policy là system policy, access rule và

publishing rule .

• System policy thư ng n và ư c dùng cho vic tươ ng tác gia firewall và các dch v mng

khác như ICMP, RDP..system policy ư c x lý trư c khi access rule ư c áp dng. Sau khi cài

t các system policy mc nh cho phép ISA server s dng các dch v h thng như DHCP,

RDP, Ping ..



• Access Rule : là nhng tp h p các quy tc áp dng cho h thng như access rule cho phép truycp internet hay check mail bng POP3 client như Outlook Express.. . Cn c bit lưu ý n th

t các Access Rule, vì lung x lý ca firewall s chm dt khi nó bt gp policy u tiên có

nhng thit lp tươ ng ng v i giao thc truy cp. nm rõ thêm cơ ch này chúng ta xem ví d

sau:

Có 5 Access rule v i th t t trên xung dư i như sau:

1. Deny HTTP (không cho phép s dng HTTP protocol)

2. Allow HTTP (cho dùng HTTP protocol)

3. Allow FTP (cho phép s dng FTP)

4. Deny FTP (không cho phép s dng FTP)

5. Deny All (default policy)

Trong trư ng h p chúng ta cho rng i tư ng s dng là như nhau, thì khi mt user s dng giao

thc HTTP duyt Web, anh ta s b t chi truy cp vì access rule u tiên không cho phép s

dng protocol này. Còn nu user ó download tp tin thông qua FTP thì anh ta s ư c phép vì

access rule th 3 cho phép dùng FTP, và firewall s b qua các access rule còn li.

- Publishing Rule: dùng publish các dch v như Web, Mail server trên l p mng Internal hayDMZ cho phép các user trên Internet truy cp.

Khi quá trình cài t ISA Server 2004/2006 hòan tt chúng ta k t ni ISA Server v i internet và

tip theo là cu hình các ISA client có th truy cp internet thông qua ISA Server Firewall.

Mc nh ISA server ch có mt access rule sau khi cài t là Deny All, t chi mi truy cp

vào/ra thông qua ISA firewall vì vy chúng ta cn to các quy tc thích h p v i nhu cu t chc

hoc áp dng các Predefine Template cho ISA Server. Các bn có th cu hình ISA Firewall

Policy thông qua giao din ISA Management Console trên chính ISA Server hoc cài công c

qun lý ISA Management Console trên mt máy khác và k t ni n ISA Server thc hin các

thao tác qun tr t xa ca mình.Giao din qun lý ca ISA Server Management console có 3phn chính:

- Khung bên trái dùng duyt các chc năng chính như Server name, Monitoring, Firewall

Policy, Cache..

- Khung gia hin th chi tit các thành phn chính mà chúng ta chn như System Policy,Access Rule..

- Khung bên phi còn ư c gi là Tasks Pane cha các tác v c bit như Publishing Server,

Enable VPN Server…



ISA Server Management console

1.To Access Rule Trên ISA : step1_begin_install_and_create_permit_all_acess_rule.avi

M giao din qun lý ISA Management Server bng cách chn Start - > All Programs - >Microsoft ISA Server - > ISA Server Management .

Click phi vào Firewall Policy và chn Create New Access Rule hoc chn t khung tác v

(Task Pane) khung bên phi ca màn hình qun lý như hình sau:

t tên cho access rule cn to là Permit Any trafic from internal network hoc tên phù h pv i h thng ca bn và chn Next:



Trong phn Rule Action chúng ta chn Allow, vì ây là access rule cho phép client s dng các

giao thc và ng dng thông qua firewall.

Xác nh nhng giao thc mà User ư c s dng như HTTP hay FTP…trong ca s Protocols,

hãy chn All outbond trafic , nu mun thay i các bn ch cn bm vào mũi tên và xác nh

nhng chc năng tươ ng ng như Selected Protocol chn mt s giao thc nào ó hay All

inbound trafic dành cho trư ng h p cung cp các k t ni t bên ngòai vào.

H thng cn bit i tư ng s dng các giao thc trong access rule, trư ng h p này các client

là nhng ngư i s dng trong h thng mng ni b cho nên chúng ta chn Add trên Access

Rule Source và chn Internal . i v i User thì chúng ta chn All User (trong trư ng h p cn

thit các bn có th xác nh nhng Group hay User thích h p ca h thng nhưGroup Domain



User, Administrator.., khi Firewall không thuc Domain thì hãy s dng local account caFirewall trong Local Users And Groups.)

Nhn Apply hiu lc firewall policy m i to ra,lúc này chúng ta ã có 2 Acess Rule là DefaultRule (có chc năng Deny All, lưu ý default rule không th xóa ư c) và Permit Any Trafice from

internal network cho phép các user trên mng ni b ư c phép s dng tt các các giao thc trên

Internet.

2. Cu hình ISA Client:

s dng ISA Server thì các client trên mng phi cu hình mt trong ba lai sau SecureNAT,

Firewall Client, Web Proxy Client hoc c 3 dng trên:

i. SecureNAT Client :

ây là phươ ng pháp ơ n gin nht, các máy tính ch cn cu hình Default Gateway là a ch card

mng trong ca ISA Server là ư c (trong trư ng h p này là 192.168.1.10), hoc chúng ta có th

cp phát thông qua DHCP server v i option 006 dành cho Router. im thun l i ca phươ ng

pháp này là Client không cn cài t gì thêm, và có th s dng các h iu hành không thucMicrosoft như Linux, Unix mà vn s dng ư c các giao thc và ng dng trên internet thông

qua ISA. Tuy nhiên có mt bt l i là các SecureNAT client không g i ư c nhng thông tin

chng thc gm Username & Password cho Firewall ư c, vì vy nu như các bn trin khai dch

v kim sóat truy cp theo domain user òi hi phi có username&password thì các SecureNAT

Client không ng dng ư c. Ngòai ra chúng ta không th ghi nht ký quá trình truy cp i v idng client này.



Cu hình SecureNAT client trên Client1

ii. Firewall Client :

Vy nu chúng ta mun có mt cơ ch kim sóat cht ch hơ n, ví d User phi log-in domain m itruy cp ư c Internet thì phi làm như th nào? Gii pháp ưa ra là chúng ta s cài t Firewall

Client cho các máy tính này. Thông thư ng khi cài t ISA Server các bn s cài dch v Firewall

Client Installation Share, sau ó trên ISA server m system policy cho phép truy cp tài nguyên

chia s và máy tính Client ch cn k t ni n ISA Server theo a ch IP ni b v i tài khon h pl tin hành chy tp tin cài t Firewall Client .

Nu không mun cài t Firewall Client Installation Share thì chúng ta có th chn cài dch v

này trên bt k ỳ máy tính nào như file server hoc domain controller như sau:

a. ưa ISA Server 2004/2006 CD-ROM vào domain controller, chn Install ISA Server

2004/2006.

b. Trên màn hình Welcome to the Installation Wizard for Microsoft ISA Server 2004/2006

nhn N ext .

c. Tip theo chn I accept the terms in the license agreement , nhn Next .

d. Nhp vào User name , Organization và Product Serial Number trên ca s CustomerInformation . Chn Next .

e. Trong Setup Type , xác nh tùy chn Custom và enable This feature, and all subfeatures,will be installed on the local hard drive trong mc Firewall Client Installation Share như hình dư i ây và nhn Next trong các bư c tip theo hòan tt:



Sau ó trên các máy tính client tin hành cài t Firewall Client bng cách m Start - > Run và

chy lnh \\ 192.168.1.10\mspclntsetup

Trong trư ng h p h thng có nhiu máy trm, vic cài t trên tng máy gp nhiu khó khăn thì

gii pháp trin khai chươ ng trình mt cách t ng bng SMS Server 2003 hoc Assign thôngqua Group Policy là hiu qu nht (các bn có th tham kho phươ ng pháp cài t t ng thông

qua Group Policy trên website www.hoctructuyen.org do Rng ông Dươ ng thc hin.) V ifirewall client các bn có th tn dng ư c nhng kh năng mnh m nht ca ISA Server như

chng thc ngư i dùng da trên Domain User & Group, cho phép ghi nht ký nhng ln truy

cp..Tuy nhiên im bt l i chính ca trư ng h p này là các máy tính mun cài Firewall Clientphi s dng h iu hành ca Microsoft .

iii. Web Proxy Client: như chúng ta bit ngòai chc năng bo mt thì ISA Server 2004/2006

Firewall còn có chc năng Cache dùng lưu tr các trang Web thư ng ư c truy cp trên RAMhoc trên ĩ a cng nhm tit kim băng thông. Tuy nhiên, Web Proxy Client ch s dng ư ccác giao thc HTTP / HTTPs, FTP (upload/download), iu này có ngh ĩ a là User s không ly

mail v i Outlook hay s dng các ng dng khác. s dng Web Proxy, các máy tính Client

phi cu hình trong trình duyt Web bng cách m Internet Explore chn Tools - > Internet

Options chn tab Connections - > LAN Settings và nhp vào a ch ca Proxy server :



Như vy cách nhanh chóng nht cho phép các máy tính trong t chc có th truy cp Internet qua

ISA Server là cu hình SecureNAT client da trên h thng cp phát a ch IP ng hoc cuhình IP t ĩ nh và tr default gateway là a ch mng ni b ca ISA Server. Ngòai ra quá trình

phân gii a ch IP din ra suôn s thì các client cn cu hình a ch DNS server ni b và c

ISP DNS Server như 210.245.31.10 hay 203.162.4.191

Trên din àn isaserver.org có khá nhiu câu hi liên quan n nhng vn c bit trong chínhsách ca ISA Server như làm th nào chn không cho User s dng các chươ ng trình Chat

(Anh Huỳnh Hòang Tn có trình bày bài vit v vn này khá hay trên Security365.Org), hay

nhng chươ ng trình P2P …Trong phn III các bn s thy cách gii quyt nhng vn trên ISA 2004/2006 khá ơ n gin so v i h thng ISA Server 2000 trư c ây.

III. Thit Lp Các Private Policy:Mc dù h thng ã k t ni ư c internet, nhưng mt s công ty có nhng yêu cu riêng v chính

sách h thng như không cho phép chat bng AOL hay MSN Messenger, cho phép download file

thông qua FTP (upload và download) . Bên cnh ó, phc v nhu cu nghiên cu và duyt

Web giao thc HTTP ư c cho phép s dng nhưng cm không cho download nhng tp tin có

th thc thi trên h thng Windows qua HTTP ngăn nga s lây nhim virus, trojan. thc

hin iu này các bn hiu chnh li firewall policy ca mình.

A. To Access Rule Không Cho Phép S Dng Aol Và Msn Mesenger:

Click chut phi vô Firewall Policy ->chn Create new Access Rule -> t tên là deny MSN

and AIM -> chn Next.

ca s Rule Action hãy chn Deny và nhn Next .

Trong phn This rule applies to chn Selected Protocols . Nhn nút Add . Sau ó m Protocols

ca Instant Messaging v à double click AOL Instant Messenger và MSN Messenger . NhnClose .



Tip theo chúng ta chn Internal và External trong phn Network, áp dng cho All user và Apply

áp dng policy này cho h thng.

B. To Access Rule Cho Phép Client S Dng Ftp Download Và Upload

Trong trư ng h p bn mun các client s dng FTP download và c upload hãy tin hành như

sau:

To access rule m i thông qua Create a New Access Rule t tên là permit FTP v i Rule

Action là Allow , áp dng cho All User và Internal Network.



Sau khi click vào nút Apply thì User trên h thng mng ni b ã có th download thông quaFTP bng các chươ ng trình FTP Client như FileZilla, tuy nhiên h có th upload lên các FTP

server thì chúng ta cn b thit lp Read Only cho FTP access rule bng cách click phi chut vào

Access Rule permit FTP và chn Configure FTP

Trên ca s hin th Configure FTP protocol policy b chn Read Only s cho phép upload lên

Ftp server.

c. To Access Rule Cho Phép S Dng HTTP Nhưng Không Cho Phép Download Nhng File Có

Kh Năng Thc Thi Trên H Thng Windows.

To access rule m i tên là permit HTTP deny executables cho phép các user trên l p mng

Internal s dng HTTP protocol



Click phi chut vào permit HTTP deny executables và chn configure HTTP

ánh du chn vào ô B lock responses containing Windows executable content như hình sau:

IV. S Dng WPAD H Tr ISA Client T ng Dò Tìm Firewall Và Web Proxy

Khi h thng s dng DHCP cp phát a ch IP ng, chúng ta cn phi h tr các client t ng

dò tìm Web Proxy Server và Firewall thông qua CNAME WPAD record trên DNS Server hoc

cu hình option Predefine là wpad trên DHCP server (tham kho file demo www.security365.org//demo/ISA2004/2006).

Lưu ý: Vic cu hình WPAD trên DHCP ch s dng ư c nu DHCP Server là dch v ca h

iu hành Windows, còn khi các bn s dng DHCP Server ca các hãng khác thì chúng ta phi

s dng DNS làm iu này.

• Trư c tiênchúng ta cn phi bt chc năng h tr Auto Discovery trên ISA Server. Hãy m ISA Management Console, trong phn Network hãy double click vào Internal Network chn tab

AutoDiscovery và check vào mc Publish automatic discovery information , trong ô Use thisport for automatic discovery request hãy nhp vào s 80.



ii. To CNAME record trong DNS server t tên là WPAD

M ca s DNS Management Console, nhn chut phi lên Domain Zone và chn New Alias

(CNAME)

Nhp vào WPAD trong phn Alias name và tên y ví d WPAD.SECURITY365.ORG trong

ô Full qualified domain name

Nhn OK hòan tt. Hãy s dng bt k ỳ Firewall Client hay Web Proxy Client nào kim tra li.

Chn Automatically detect ISA Server trong firewall client và b chn Use proxy server thay vào

ó là Automatically detec settings trong trình duyt Web t ng dò tìm Web Proxy.



Chn Detect Now, sau khang th i gian ngn tên ISA Server trên h thng ca bn s xut hin

Như vy, chúng ta ã cài t và cu hình ISA Server h tr quá trình truy cp Internet,

download và upload tài liu thông qua FTP, h tr t ng dò tìm Firewall và Web Proxy i v iClient v i record WPAD trong DNS Server. Tuy nhiên, bn nhn thy rng mt s client vn chat

ư c bng MSN Messenger hay s dng các chươ ng trình P2P tìm kim tài liu. ó là do

nhng ng dng này có th s dng HTTP, port 80 truyn thông qua web proxy server. Các

bn có th ngăn chn iu này bng cách hiu chnh permit HTTP policy như sau:

Click chut phi permit HTTP Access Rule và chn Configure HTTP. Trong tab Signature nhp

vào các tham s như hình dư i ây và nhn OK, sau ó chôn Apply áp dng cho h thng:



V - Tit Kim Băng Thông V i Tính Năng Cache Và

Content Download Job:

Có mt c tính rt hu ích ca ISA Server tuy nhiên b disable mt cách mc nh ó chính là

web caching i v i http và ftp request. V i ISA chúng ta có th thc hin c hai cơ ch cachingó là:

• Forward Caching : v i cơ ch này ni dung các trang web thư ng xuyên ư c truy cp như

www.anninhmang365.com s ư c ti v trư c và lưu tr trong phn Cache ca Isa server, vì vy

khi ngư i dùng m li nhng trang web này s ư c tr ni dung trên Cache thay vì phi k t ni

trc tip v i web server tren Internet.

• Reverse Caching : ngư c li v i forward caching, khi doanh nghip hay t chc có nhng web

server cho phép ngư i dùng bên ngòai truy cp reserver caching tit kim băng thông bng cách

lưu tr ni dung trang web trên các proxy server (t ti các ư ng biên mng - network edge)

áp ng cho internet user, gim ti cho web server. Vi vy trên mt s tài liu reverse cache còn

ư c gi là gateway cache hay surrogate cache.

V mt t chc thì chúng ta có th xây dng h thng cache trên ISA theo các mô hình khác nhau

tùy thuc vào s lư ng user và kin trúc mng ca mi doanh nghip:

• Distributed Caching : các ISA server s ư c phân b u trên mng, nâng cao kh năng áp

ng cho ngư i dùng.

• Hierarchical caching: khác v i mô hình trên, trong trư ng h p này ISA server s ư c phân b theo tng cp, các yêu cu s ư c x lý b i nhng ISA server ni b trư c, vì vy th i gian áp

ng cao hơ n.



• Hybrid caching : là s k t h p c hai mô hình trên.

Vy, khi chc năng Web Cache ư c bt, nhng trang web thư ng xuyên truy cp s t ng ti

v có th ư c lưu gi trên RAM hay ĩ a cng ca ISA Server (cache), và nhng User khi truy

cp vào li trang web này s ư c tr v ni dung t cache ch không phi download trên

Internet. Tuy nhiên mt s trang web tìm kim thì không nên lưu tr ni dung trên cache vì s

cho ra nhng k t qu tìm kim không ư c cp nht.., vì vy khi thit lp Web Caching các bn

nên t Caching Rule không lưu gi nhng trang Web như www.google.com . Ngòai ra mt s

trang web thư ng xuyên ư c ngư i dùng truy cp c tin, tham kho giá c th trư ng, tin tc

v bo mt..chúng ta có th lp lch dch v Web Proxy Server ti v trư c ngòai gi làm vic

thông qua chc năng Content Download Job .

i. Enable Web Caching:



M ISA Management Console, chn mc Cache trong phn Configuration và click chut vào

Define Cache Drivers (enable caching):

Xác nh phn chia NTFS dành cho vic lưu tr ni dung các trang Web (cache size), ví d 20

MB, nhn Set thit lp và click OK:

Sau khi click Apply áp dng chc năng Web Cache s có mt hp thai thông báo Restart li

Firewall Services hay ch lưu li và không Restart, hãy chn Save the changes and restart theservices và click OK.



ii. To Cache Rule không lưu tr ni dung các trang Web t www.google.com :

Trên khung Task Pane chn Create a Cache Rule:

t tên là No Google Cache trong khung New Cache Rule Wizard:

Trong cache rule destination, chúng ta cn xác nh trang web không cn lưu tr bng cách chn

Add, click New và trên menu hin th hãy chn URL Set, nhp tên là Google sau ó chn New và

ưa vào a ch http://www.google.com như hình ư i ây:



Nhn OK quay tr li ca s Add New Network Entities, m mc URL Sets và chn Google:

Next tip tc, trên màn hình tip theo hãy chp nhn giá tr mc nh, sau ó nhn Next và

chn Never, no content will ever be cached . Cui cùng nhn Finish k t thúc quá trình thit

lp .

Như vy ISA Server 2004/2006 ca chúng ta ã ư c bt chc năng Web Caching tit kim

băng thông, ng th i ngăn nga vic lưu tr ni dung ca trang web tìm kim như Google hn ch các thông tin không cn thit. Lúc này chúng ta có th kim tra li policy m i ư c to ra

trên giao diên qun lý và nhn Apply áp dng.



iii. Cu hình Content Download Job:

Gi s User trên h thng thư ng truy cp vào trang web www.security365.org xem các thông

tin m i v virus/trojan hay các li bo mt, do ó chúng ta cu hình ISA server t ng download

trang web này v trư c vào ngày gi xác nh nào ó trong tun nâng cao hiu qu hat ng.

Click Content Download Job, trên khung Tasks Pane , chn Schedule a Content Download

Job . Chúng ta s thy thông báo như dư i ây

Chn Yes và sau ó t tên cho Content Download Job là SecureSolution, nhn Next tip tcxác nh ngày gi là chy tin trình này mt ngày mt ln (Daily), mt tun mt ln (Weekly)..:



Nhn Next và nhp vào a ch trang web cn ti v trong ô Download content from this URL,

trong trư ng h p này chúng ta nhp vào www.security365.org Hãy chn giá tr mc nh trong

các bư c tip theo hòan tt.

i v i các nhà qun tr h thng thì vic sao lưu, phc hi d liu là thao tác cc k ỳ quan trng.

Chính vì vy mà các tp òan hay nhng công ty l n sn sàng chi tr hàng trăm triu cho quá

trình backup & restore nh k ỳ. Trong phn tip theo, chúng ta s tin hành backup h thng

tư ng la mà mình ã công phu thit lp có th phc hi khi b hng hóc.

VI – Backup Và Restore Các Thông Tin Cu Hình Ca ISA Server 2004/2006 Firewall:

i v i các h thng l n v i nhiu phòng ban và nhân viên, trong mi b phn li yêu cu nhngchính sách truy cp riêng làm cho s lư ng policy rt nhiu và khó qun lí. Vì vy bo m h

thng luôn hat ng n nh chúng ta cn phi tin hành sao lưu (backup) các policy mt cách

y có th phc hi (restore) khi có s c xy ra. Chúng ta có th backup tòan b ISA

Server hay ch mt s các firewall policy nào ó.

Thao tác sau ây s tin hành backup tòan b ISA Server, m ISA Management Console, chn

server name (ISA) và click vào Backup the ISA Server Configuration trên khung Tasks Pane



Tip theo chúng ta t tên ca tp tin backup (nên t theo dng X-XX-XXXX là ngày-tháng-

năm tin hành backup d dàng phân bit khi tin hành phc hi), chn nơ i lưu tr và nhn nút

Backup mt hp thai yêu cu t password cho tp tin backup hin ra, hãy nhp password vào

và chn OK tin trình backup s din ra như hình sau:

Hình nh hin th tin trình backup hòan tt



th nghim, các bn có th xóa mt vài hay tòan b firewall policy trên h thng ca mình,sau ó chn Restore this ISA Server Configuration trên khung Tasks Pane, xác nh tp tin

backup chn Restore và nhp vào password ư c thit lp cho tp tin này. Sau khi tin trình phc

hi hòan tt chúng ta có th kim tra li các policy trư c ây ca h thng ã ư c phc hi y

.

Hình hin th tin trình phc hi thành công

Qua thao tác backup và restore trên chúng ta thy vic sao lưu và phc hi các firewall policy hay

tòan b h thng ư c tin hành khá ơ n gin và d dàng. Trong trư ng h p ch backup mt

firewall policy nào ó chúng ta cũng tin hành tươ ng t v i chc năng Export Firewall Policytrên khung Task Pane.

VII - Thit Lp Vùng DMZ Và Publish Server Thông Qua ISA

Mt trong nhng thut ng bo mt ư c nhiu ng ư i quan tâm ó là DMZ (Demilitarized

Zone), ây là t ch vùng “Phi Quân S” trong th gi i thc, còn trong môi trư ng máy tính thìDMZ là nơ i t nhng Server ư c publish ra ngòai internet các ngư i dùng bên ngòai

(internet user) có th truy cp n Web Server v i mc ích gia tăng tính năng an tòan cho h

thng mng. B i vì DMZ ư c tách bit hòan tòan v i h thng Internal, cho nên khi internet

user truy cp vào các máy ch này s không nh hư ng và gây nguy him i v i các máy tính và

d liu ni b. Ngòai ra, khi các Server t trong DMZ còn ngăn nga ư c s tươ ng tác trc tip

ca internal user v i chúng. Theo úng ngh ĩ a truyn thng ca DMZ, các request (yêu cu truy

cp) ca interent user n các publish server phi qua DMZ trư c ri m i n Firewall ni b,

tuy nhiên ngày nay DMZ bao luôn c tình hung internet user k t ni n Firewall/Router và sau



ó yêu cu s ư c chuyn các server trong DMZ da trên Firewall Policy như trư ng h p màchúng ta áp dng sau ây trên ISA Server xây dng 1 DMZ cha mail và web server.

i. To DMZ:

Trong phn Network hãy chn Create a New Network, t tên là DMZ và chn Next, chn

Perimeter Nework (chúng ta có th to bao nhiêu l p mng tùy ý không như trên ISA 2000 ch có

3 l p, ây là mt ci tin ca ISA Server 2004/2006):

Sau khi click Next ca s Network Address xut hin, hãy chn Add Adapter la chn card

mng cho vùng DMZ:

Nhn OK, và a ch mng cho vùng DMZ s như hình dư i (các bn có th thay i theo yêu cu

h thng ca mình), tip theo chn Next và Finish hòan tt.



Sau khi click Apply áp dng cho h thng, trong phn Network chúng ta s thy mt l p mng

là DMZ tách bit v i h thng Internal, các bn có th t các Exchange Mail Server hay Apche

Web Server v i trong l p mng này.

ii. Publish Exchange Server trong DMZ:

Ly ví d, công ty T&C Descon có mt Exchange Server có a ch là 172.16.1.10 t trongDMZ. các User bên ngòai Internet có th truy cp n mail server g i và nhn mail chúng

ta cn phi publish chúng thông qua ISA Firewall ca mình. M ISA Management Console, chn

Firewall Policy, trên khung Task Pane hãy click vào Publish a Mail Server hin th New Mail

Server Publishing Rule Wizard. t tên cho Publishing Rule này và chn Next

Trong ca s Select Server Type chúng ta chn Server-to-server Communications: SMTP,

NNTP



Chn Next, trên khung Select Services hãy check vào ô SMTP

Trên ca s tip theo chúng ta nhp vào a ch ca Mail Server torng DMZ, ây là 172.16.1.10

Cui cùng là xác nh l p mng ư c phép k t ni v i Mail Server, trong trư ng h p này User bên ngòai Internet nên chúng ta chn l p mng là External và click Next, sau ó chn Finish

hòan tt quá trình publish mail server.



Cn lưu ý là có th check mail thì phi có thêm nhng protocol khác như DNS, POP hay RPC.

Vì vy có th chúng ta cn cho phép các yêu cu v DNS t Mail Server v i Domain Controler

(có cài tíchh p DNS) trong l p mng Internal hay v i các ISP DNS.

VIII – Cu Hình Remote Access VPN Trên ISA Server 2004/2006:

Ngòai chc năng qun lý truy cp Internet, Publish Web/Mail server và Caching, chúng ta có th dùng ISA Server 2004/2006 làm VPN Server cung cp các k t ni remote access cho internet user

có th truy cp tài nguyên trên mng ni b. Ví d công ty có mt s nhân viên kinh doanh s

dng Laptop và h cn truy cp vào h thng mng LAN thông qua VPN Server check mail,

chy nhng chươ ng trình qun lý khách hàng CRM hay cp nht các báo cáo..Sau ây là các

bư c cu hình Remote Access VPN trên ISA 2004/2006.

M ISA Management Console chn mc Virtual Private Network (VPN), sau ó chn Verify

that VPN Client Access is Enable



ánh du vào Enable VPN Client access và t giá tr Maximum number of VPN clients allowed

bng 9 (s lư ng VPN client ti a có th k t ni cùng lúc) ri nhn OK và Apply chính sách m icho firewall.

các VPN client có th k t ni thành công hãy to group VPN trên domain controler DC và gán

quyn Allow access cho thuc tính Dial-in i v i nhng user thuc group VPN. Hãy log in vào

Domain Controler (DC) ca h thng và chn Start - > Administrative Tools - > Active

Directory Users and Computers . Nhn chut phi trên User container chn New - > Groupnhư hình sau:



Add nhng user thuc b phn kinh doanh (nhng ngư i cn truy cp qua VPN ) vào VPN

Group, ví d Joe Franks. Trên thanh thuc tính ca Joe Franks chn tab Dial-in và check Allow

access

Hãy tr li màn hình qun lý ISA server trên ISA1 mà chúng ta ang m và chn Specify

Windows Users trên danh sách VPN Client, nhn Add và chn group VPN User chúng ta ã to.

Vic tip theo cn làm cho phép VPN client k t ni là cu hình a ch IP cho các VPN client,

có hai cách là s dng DHCP cp phát IP ng cho các client hoc dùng mt static pool ê gán

IP cho chúng như sau:

Trên khung Tasks Pane nhn vào mc Define Address Assignment, chn Static address pool và

nhp vào dãy a ch sau:



Nhn OK, xác nhn thêm mt ln na và restart li máy tính.

Cui cùng, hãy to access rule cho phép các VPN client có th truy cp n các tài nguyên ni b

sau khi k t ni thành công n VPN server. Hãy chn Firewall Policy và chn Create New

Access Rule t tên là VPN Client full access to Internal .



Nhn Next và chn Allow, trên ca s tip theo chn All outbound trafic. Do access rule chophép VPN client truy cp tài nguyên ni b nên hãy xác nh source trafic là VPN Clients trong

phn Network. Ngư c li khung destination hãy chn Internal trong phn Network, và chn các

giá tr mc nh cho nhng bư c tip theo hòan tt.

Bây gi ISA Server ã sn sàng cho các k t nI VPN, các bn ch cn to các VPN Connection

n a ch Outside ca firewall và thc hin k t nI và truy cp vào tài nguyên h thng ni b.

Các Tp Tin Minh Ha Tin Trình Cài t Và Trin Khai ISA Server 2006

T/g : Nguyn Trn Tư ng Vinh

SCNP | TPD Lesson 5 : Topic B – Microsft ISA Server Firewall

lesson5-tpd-isa-firewall scnp guide from security 365 vn

Documents