Tải bản đầy đủ

Giáo trinh Firewall ISA Server 2006

GIÁO TRÌNH

FIREWALL – ISA SERVER 2006
(Dành cho sinh viên CNTT ngành Mạng máy tính)


Giáo trình Firewall - ISA Server 2006

MỤC LỤC
CHƯƠNG I CÀI ĐẶT ISA SERVER 2006 .............................................................................. 4
1
Giới thiệu:................................................................................................................................ 4
2
Các chức năng của ISA Server 2006: ...................................................................................... 4
2.1
Khả năng bảo vệ cao cấp: .................................................................................................... 4
2.2
Dễ dàng sử dụng: ................................................................................................................. 4
2.3
Các thực thi nổi bậc: ............................................................................................................ 5
3

Cài đặt ISA server: .................................................................................................................. 5
3.1
Yêu cầu hệ thống trên ISA server: ....................................................................................... 5
3.2
Cài đặt ISA server 2006 ....................................................................................................... 5
4
Chính sách của hệ thống (System policy): .............................................................................. 8
4.1
Khái niệm ............................................................................................................................. 8
4.2
Xem xét System policy: ....................................................................................................... 8
5
Câu hỏi và bài tập: ................................................................................................................. 14
CHƯƠNG II SAO LƯU VÀ PHỤC HỒI CẤU HÌNH ISA SERVER ................................. 15
1
Sao lưu cấu hình ISA Server 2006: ....................................................................................... 15
1.1
Giới thiệu ........................................................................................................................... 15
1.2
Các thao tác sao lưu (back up): .......................................................................................... 15
2
Phục hồi cấu hình ISA Server 2006 từ file back up: ............................................................. 16
3
Xuất chính sách Firewall ....................................................................................................... 19
4
Nhập chính sách firewall: ...................................................................................................... 20
5
Câu hỏi và bài tập .................................................................................................................. 20
CHƯƠNG III SECURENAT, WEBPROXY CLIENT, FIREWALL CLIENT ................ 21
1
Xây dựng mô hình chuẩn bị .................................................................................................. 21
2
Cấu hình SecureNAT: ........................................................................................................... 24
2.1
Giới thiệu ........................................................................................................................... 24
2.2
Cấu hình SecureNAT client ............................................................................................... 24
3
Cấu hình Web Proxy: ............................................................................................................ 25
3.1

Giới thiệu ........................................................................................................................... 25
3.2
Cấu hình Web proxy: ......................................................................................................... 26
3.2.1
Kiểm tra cấu hình ISA server là proxy server: ............................................................. 26
3.2.2
Cấu hình Web Proxy client: .......................................................................................... 27
4
Firewall client ........................................................................................................................ 29
4.1
Giới thiệu: .......................................................................................................................... 29
4.2
Cấu hình Firewall client ..................................................................................................... 29
4.2.1
Kiểm tra cấu hình ISA server hỗ trợ firewall client:..................................................... 29
4.2.2
Cấu hình firewall client: ............................................................................................... 30
5
Câu hỏi và bài tập: ................................................................................................................. 33
CHƯƠNG IV QUẢN LÝ ĐƯỜNG TRUYỀN ........................................................................ 34
1
Access rule ............................................................................................................................ 34
1.1
Khái niệm: .......................................................................................................................... 34
1.2
Cấu hình access rule: ......................................................................................................... 34
1.2.1
Cấu hình access rule cho phép truy cập web:............................................................... 35
2


Giáo trình Firewall - ISA Server 2006
1.2.2
Cấu hình cho phép truy xuất tài nguyên mạng ngoài có hẹn thời: ............................... 38
1.2.3
Cấu hình truy xuất một web site cụ thể: ........................................................................ 40
1.2.4
Truy xuất các loại nội dung của tài nguyên Internet .................................................... 42
1.2.5
Quản lý truy xuất tài nguyên bằng tài khoản user: ....................................................... 43
2
Publishing rule: ..................................................................................................................... 47
2.1
Khái niệm: .......................................................................................................................... 47
2.2
Web publishing rule: .......................................................................................................... 48
2.2.1
Khái niệm: ..................................................................................................................... 48
2.2.2
Cấu hình web publishing rule: ...................................................................................... 49
2.3
Mail Server Publishing Rule .............................................................................................. 56
2.3.1
Khái niệm ...................................................................................................................... 56
2.3.2
Cấu hình Mail Server Publishing Rule (thực hiện trên ISA server) ............................. 57
2.4
Non-Web Server Protocol Publishing Rule: ...................................................................... 60
2.4.1
Khái niệm: ..................................................................................................................... 60
2.4.2
Cấu hình Non-Web Server Protocol Publishing Rule: ................................................. 60
2.5
Exchange Web Client Access Publishing Rule: ................................................................ 63
2.5.1
Khái niệm: ..................................................................................................................... 63
2.5.2
Cấu hình Exchange Web Client Access Publishing Rule .............................................. 63
3
Câu hỏi vào bài tập: ............................................................................................................... 72
CHƯƠNG V CẤU HÌNH DỊCH VỤ VPN TRÊN ISA SERVER ......................................... 73
1
Khái niệm: ............................................................................................................................. 73
1.1
Giới thiệu ........................................................................................................................... 73
1.2
Tiến trình kết nối VPN:...................................................................................................... 73
1.3
Lợi ích của VPN: ............................................................................................................... 73
1.4
Các thành phấn của kết nối VPN: ...................................................................................... 73
1.5
Các giao thức mã hóa kết nối VPN:................................................................................... 74
2
Cấu hình VPN Client-to-Site: .............................................................................................. 74
2.1
Chuẩn bị mô hình cho cấu hình dịch vụ VPN ................................................................... 74
2.2
Cấu hình VPN Client-to-Site dùng giao thức PPTP (máy ISA Server) ............................. 74
2.2.1
Cấu hình các thông số cần thiết:................................................................................... 74
2.2.2
Cấu hình một access rule cho phép kết nối VPN .......................................................... 77
2.2.3
Máy VPN Client thực hiện một yêu cầu kết nối: ........................................................... 79
2.3
Cấu hình VPN Client-to-Site dùng giao thức L2TP .......................................................... 80
2.3.1
Hiệu chỉnh trên ISA server:........................................................................................... 80
2.3.2
Hiệu chỉnh trên VPN Client: ......................................................................................... 81
3
Cấu hình VPN Site-to-Site .................................................................................................... 83
3.1
Khái niệm: .......................................................................................................................... 83
3.2
Cấu hình VPN Site-to-Site ................................................................................................. 83
3.2.1
Chuẩn bị user cho kết nối VPN site to site: .................................................................. 83
3.2.2
Cấu hình VPN Client trên ISA Server 1 ........................................................................ 84
3.2.3
Tạo kết nối VPN Site to Site trên ISA Server 1: ............................................................ 86
3.2.4
Cấu hình VPN site-to-site trên ISA server 2 ................................................................. 90
3.2.5
Kiểm tra cấu hình VPN Site-to-site:.............................................................................. 91
4
Câu hỏi và bài tập: ................................................................................................................. 91
TÀI LIỆU THAM KHẢO ............................................................................................................. 92

3


Giáo trình Firewall - ISA Server 2006

CHƯƠNG I

CÀI ĐẶT ISA SERVER 2006
1

Giới thiệu:

 Firewall là một thiết bị hay một máy tính cài đặt phần mềm chuyên dụng có chức
năng bảo vệ các hệ thống mạng nội bộ hoặc bảo vệ sự xâm nhập từ Internet vào mạng
nội bộ. Thông thường, Firewall được dựng lên trong môi trường liên mạng phức tạp
với rất nhiều dịch vụ mạng được cung cấp, đặt biệt là các công ty cung cấp những
dịch vụ Internet nổi tiếng.
 Firewall có thể được cài đặt sẵn trên các thiết bị mạng phức tạp (Router) hoặc trên
máy tính thông thường. Việc quản trị điều hành các Firewall này chống sự tấn công
vào mạng nội bộ, quản lý đường truyền vào ra và bảo vệ chính thiết bị Firewall
không phải đơn giản. Có thể ta không phải là chuyên gia quản trị hạ tầng mạng, ta
vẫn có thể quản trị Firewall với yêu cầu hiểu biết khá kỹ về địa chỉ IP, đặc điểm gói
tin truyền trên mạng và đường đi các dịch vụ mạng.
 Trong môn học này ta sẽ tìm hiểu một trong những phần mềm Firewall nổi tiếng trên
thế giới, đó là ISA (Internet Security Acceleration) Server 2006 được phát triển bởi
Microsoft. Microsoft ISA Server là một giải pháp toàn diện bảo vệ hệ thống mạng.

2

Các chức năng của ISA Server 2006:

2.1 Khả năng bảo vệ cao cấp:
 Multilayer packet inspection: kiểm tra gói tin đa mức, giúp bảo vệ IIS, Exchange
Server, và các tài nguyên mạng khác khỏi sự tấn công cửa các hackers, virus, và
đăng nhập không được ủy quyền.
 Application layer filtering: lọc gói tin mức ứng dụng, hỗ trợ kiểm tra đường
truyền ở mức ứng dụng với độ phức tập cao.
 Unified firewall and VPN server: cung cấp tính năng tích hợp và quản lý firewall
và dịch vụ VPN trên cùng một máy ISA Server.
 Multi networking: hỗ trợ nhiều mạng và có thể xây dựng cấu hình mạng và các
rule của tường lửa, lọc đường truyền giữa các mạng.
2.2 Dễ dàng sử dụng:
 Efficient management tools: các công cụ quản lý hiệu quả, dễ học và cung cấp
một giao diện đơn giản để cấu hình và giám sát ISA Server.

4


Giáo trình Firewall - ISA Server 2006

 Network templates: cung cấp các mẫu cấu hình mạng có sẵn dễ triển khai trong
môi trường mạng đã tồn tại.
 Product integration: ISA hỗ trợ tích hợp trong hệ thống dịch vụ thư mục (Active
Directory), các sản phẩm bảo mật khác đang tồn tại trong hệ thống.
2.3 Các thực thi nổi bậc:
 Optimized for performance: cung cấp hạ tầng thực thi cao để quản lý truy xuất
vào và ra Internet của hệ thống mạng.
 Integrated functionality: cung cấp các giải pháp tích hợp nhưng chỉ với các dịch
vụ cần thiết như bảo mật của tường lửa, VPN, Web Cache.
 Scalability: hỗ trợ thứ bậc với cấu trúc nhiều mạng phức hợp và triển khai nhiều
ISA Server của cùng một công ty hay nhiều nơi các nhau.
 Web caching: ISA tăng khả năng thực thi mạng và giảm sử dụng băng tần cho các
truy xuất Internet sử dụng Web caching, thông tin truy xuất từ Internet được lưu
trữ trong ISA server.

3

Cài đặt ISA server:

3.1 Yêu cầu hệ thống trên ISA server:
 Máy cài đặt hệ điều hành Windows Server 2000 SP4 hoặc bộ Windows Server
2003 family.
 Tốc độ CPU Pentium II 500MHz trở lên.
 Bộ nhớ RAM tối thiểu 256 MB
 Không gian ổ đĩa cứng phải trên 300MB, được định dạng NTFS.
 Máy tính nên có ít nhất 2 card mạng: một card mạng nối mạng nội bộ, một card
mạng nối mạng ngoài (hệ thống mạng khác của công ty hoặc Internet).
3.2 Cài đặt ISA server 2006
 Xây dựng mô hình như hình dưới đây: mạng 192.168.2.0 là mạng nội bộ, mạng
192.168.1.0 là mạng ngoài nối Internet. Máy DC là Domain Controller có tên
miền tùy ý (ví dụ cntt.com), máy ISA Server là thành viên của miền (join
domain) được cài đặt ISA Server 2006.

5


Giáo trình Firewall - ISA Server 2006

 Đưa đĩa Microsoft ISA Server 2006 CD vào CD-ROM hoặc double click vào file
autorun.exe trong thư mục cài đặt. Xuất hiện cửa sổ như hình dưới, click Install
ISA Server 2006.

 Xuất hiện Microsoft ISA Server 2006 – Installation Wizard, cửa sổ
Welcome… click Next. Cửa sổ Lisence Agreement, chọn I accept the terms…
click Next.
 Cửa sổ Customer Information, khung User name và Organization: nhập thông
tin tên người quản trị ISA server và tổ chức/phòng ban (tùy ý). Product Serial
Number nhập số seri cửa sản phẩm phần mềm này, mặc định đã được điền sẵn.

6


Giáo trình Firewall - ISA Server 2006

 Màn hình Setup Type, chọn Typical để cài mặc định, chọn Custom để cài các
thành phần tùy chọn. Ở đây ta chọn Typical.
 Cửa sổ Internal Netwok chỉ định dãy địa chỉ IP của mạng nội bộ, click Add…

 Cửa sổ Addresses, click Add Adapter… để xác định card mạng để tử động xác
định địa chỉ IP. Nếu nhập dãy địa chỉ IP trực tiếp click Add Range…

 Cửa sổ Select Network Adapter, chọn card mạng nối mạng nội bộ. Trong ví dụ
bên dưới ta chọn Local Area Connection 2, khi chọn ta thấy nó tự xác định dãy
địa chỉ IP bên dưới khung Network adapter detail, click OK

7


Giáo trình Firewall - ISA Server 2006

 Trở lại cửa sổ Addresseses, ta thấy có dãy địa chỉ IP được định nghĩa trong mạng
nội bộ, click OK.

 Trở lại cửa sổ Internal Network, ta cũng thấy dãy địa chỉ IP được định nghĩa
mạng nội bộ Sau đó click Next 3 lần. Quá trính cài dặt bắt đầu.

 Sau khi cài đặt xong, click Finish để hoàn thành.

4

Chính sách của hệ thống (System policy):

4.1 Khái niệm
 Khi hoàn thành cài đặt ISA Server 2006, mặc định nó được cấu hình sẵn với
chính sách hệ thống (system policy).
 Chính sách hệ thống là một tập các qui luật truy xuất (access rule) kiểm soát kết
nối giữa máy ISA server và mạng nội bộ, giữa ISA server và mạng ngoài, giữa
mạng nội bộ và mạng ngoài.
4.2 Xem xét System policy:
 Mở giao diện quản lý ISA, chọn Start / Programs / Microsoft ISA Server / ISA
Server Management.

8


Giáo trình Firewall - ISA Server 2006

 Giao diện quản lý cấu hình như dưới đây, trong console tree bên trái click
Firewall Policy, nhìn vào giữa ta thấy có một rule mặc định cấm tất cả các đường
truyền. Vậy khi cài ISA mặc định mạng nội bộ không thể truy xuất ra bên ngoài
và bên ngoài cũng không thể kết nối vào mạng nội bộ

 Để mở xem System Policy, click phải chuột vào Firewall Policy / View / Show
System Policy Rules.

9


Giáo trình Firewall - ISA Server 2006

 System policy như hình dưới, mỗi phần được gọi là một rule, System policy gồm
nhiều rule, các rule này xác định chức năng của mình nhờ các thông số sau đây:
-

Order (thứ tự): xác định thứ tự ưu tiên của mỗi rule, rule nào có số thứ tự thấp
nhất (phía trên) có độ ưu tiên xử lý cao nhất. Thuộc tính này còn được xác định
rule được bật (enable) hay tắt (disable).

-

Name (tên): tên của một rule để phân biệt với các rule khác và để dễ nhận biết
chức năng của rule.
Action (hoạt động): qui định cách hoạt động, các rule trong System policy hoạt
động cho phép (Allow), ngoài ra còn có hoạt động từ chối (Deny).
Protocols (giao thức): qui định giao thức hoạt động trong rule.
From/Listener: địa chỉ nơi xuất phát gói tin.
To: địa chỉ nơi nhận gói tin
Condition: điều kiện đi kèm (đối tượng hay nguyên tắc nào) cho một Rule,
mặc định tất cả user (All Users).

Enable

Disable

10


Giáo trình Firewall - ISA Server 2006

 Để chỉnh sửa một rule trong System Policy, click phải chuột vào rule đó, chọn
Edit System Policy.

 Trong cửa sổ System Policy:
-

Configuration Groups: xác định các nhóm dịch vụ có thể lựa chọn cấu hình

-

Tab General, Enable this configuration group được chọn là rule này được
bật, nếu không được chọn là rule này tắt.

-

Tab To, qui định dãy địa chỉ hoặc loại mạng gói tin được gửi tới.

-

Click OK sau khi đã cấu hình xong, sau đó click Apply.

 Lưu ý: rất ít trường hợp phải thay đổi hay cấu hình lại các rule trong System
Policy vì điều này khá nguy hiểm. Một số trường hợp khi cấu hình access rule bảo

11


Giáo trình Firewall - ISA Server 2006

vệ hệ thống mạng, nó sẽ tác động đến các rule trong hệ thống nên nếu có thay đổi
có thể gây sai lệch cấu hình.
 Mặc định, khi xét gói tin được chấp nhận đi qua firewall hay không, nó xét các
system policy trước khi xét đến các policy do người quản trị cấu hình.
 Dưới đây là danh sách 20 rule đầu tiên trong số các rule trong System Policy:
danh sách gồm thứ tự, tên, hoạt động, nơi đến, nơi đi, và mô tả ý nghĩa của 20 rule
này. System có khoảng 40 rule.
Order

Name

Action

Protocols

From /
Listenner

To

Condition

Mô tả

1 (bật) Allow access to Allow LDAP,
LDAP Local Host
directory services
(GC),
LDAP
for authentication
(UDP), LDAPS,
purpose.
LDAPS (GC)

Internal

All Users Cho phép truy
xuất dịch vụ thư
mục vì mục đích
chứng thực

2 (bật) Allow
Remote Allow MS
Firewall Remote
Management
Control, RPC (all Management
using MMC.
interfaces),
Computers
NetBIOS
Datagram,
NetBIOS Name
Service

Local
Host

All Users Cho phép quản lý
từ xa sử dụng
MMC.

3 (bật) Allow
remote Allow RDP (Terminal Remote
management
Services)
Management
using Terminal
Computers
Server

Local
Host

All Users Cho phép quản lý
từ xa sử dụng
Terminal server

4 (tắt) Allow
remote Allow ISA Server Web Remote
management
Management
Management
from
selected
Computers
computers using
a
Web
application

Local
Host

All Users Cho phép quản lý
từ xa từ các máy
tính được chọn sử
dụng một ứng
dụng Web.

5 (tắt) Allow
remote Allow NetBIOS
Local Host
logging to trusted
Datagram,
servers
using
NetBIOS Name
NetBIOS
Service

Internal

All Users Cho phép ghi lại
từ xa các server
được tin tưởng sử
dụng NetBIOS

6 (bật) Allow RADIUS Allow RADIUS,
authentication
RADIUS
form ISA Server
Accounting
to
trusted
RADIUS servers

Local Host

Internal

All Users Cho phép chứng
thực RADIUS từ
ISA server tời
các
server
RADIUS
đáng
tin cậy.

7 (bật) Allow Kerberos Allow Kerberos-Sec
Local Host
authentication
(TCP), Kerberos-

Internal

All Users Cho phép chứng
thực Kerberos từ

12


Giáo trình Firewall - ISA Server 2006
form ISA Server
to trusted servers

ISA server tới
các server đáng
tin cây

Sec (UDP)

8 (bật) Allow DNS form Allow DNS
ISA Server to
selected servers

Local Host

All
All Users Cho phép DNS từ
Networks
ISA Server tới
các server được
chọn.

9 (bật) Allow
DHCP Allow DHCP (request)
request form ISA
Server to all
networks

Local Host Anywhere All Users Cho phép các yêu
cầu DHCP từ
ISA tới tất cả các
mạng

10
(bật)

Allow
DHCP Allow DHCP (reply)
replies
form
DHCP servers to
ISA Server.

Anywhere

Local
Host

All Users Cho phép trả lời
DHCP từ DHCP
server tới ISA
server

11
(bật)

Allow
ICMP Allow Ping
(Ping) requests
form
selected
computers to ISA
server

Remote
Management
Computers

Local
Host

All Users Cho phép Ping từ
các máy tính
được chọn đến
ISA server

12
(bật)

Allow
ICMP Allow ICMP
Local Host
All
All Users
requests
from
Information
Networks
ISA server to
Request, ICMP
selected servers.
timestamp, Ping

13
(tắt)

Allow
VPN Allow PPTP
client tracffic to
ISA Server

14
(tắt)

Chp phép các yêu
cầu ICMP từ ISA
server đến các
server được chọn.

External

Local
Host

All Users Cho phép các
đường
truyền
VPN (PPTP) đến
ISA server.

Allow VPN site Allow
to site to ISA
Server

External, IP
Sec Remote
Gateways

Local
Host

All Users Cho phép VPN
site to site đến
ISA Server

15
(tắt)

Allow VPN site Allow
to site from ISA
Server

Local Host External, All Users Cho phép VPN
IP Sec
site to site từ
Remote
ISA Server.
Gateways

16
(bật)

Allow Microsoft Allow Microsoft CIFS Local Host
CIFS
protocol
(TCP), Microsoft
from ISA Server
CIFS (UDP)
to trusted server

Internal

All Users Cho phép giao
thức Microsofft
CIFS từ ISA
server đến các
server đáng tin
cậy

17
(tắt)

Allow
Remote Allow Microsoft SQL Local Host
SQL
logging
(TCP), Microsoft
from ISA Server
SQL (UDP).

Internal

All Users Cho phép ghi bản
ghi từ xa sử dụng
Microsoft SQL

13


Giáo trình Firewall - ISA Server 2006
to
servers

server từ firewall
đến các server
đáng tin cậy.

selected

18
(tắt)

Allow all http Allow HTTP
tracffic from ISA
server to all
networks.

Local Host

System All Users
Policy
Allowed
Sites

19
(tắt)

Allow http/https Allow HTTP, HTTPS
requests
from
ISA server to
selected servers
for connectivity
verifiers.

Local Host

All
All Users Cho phép các yêu
Networks
cầu http/https từ
ISA server tới
các server được
chọn cho việc
kiểm tra kết nối.

20
(tắt)

Allow
remote Allow NetBIOS
Remote
performance
Datagram,
Management
monitoring
of
NetBIOS Name Computers
ISA Server from
Service,
trusted servers.
NetBIOS Sesion

5

Local
Host

Cho phép các yêu
cầu http từ ISA
server tới tất cả
các mạng.

All Users Cho phép giám
sát thực thi từ xa
ISA server từ các
server đáng tin
cậy.

Câu hỏi và bài tập:
1. Nêu và thực hiện các bước cài đặt phần mềm ISA Server 2006?
2. Nêu và thực hiện thao tác mở xem các rule trong System Policy?
3. Dựa vào bảng danh sách các rule trong System Policy, nêu đặc điểm, chức năng
của một số rule trong System policy?

14


Giáo trình Firewall - ISA Server 2006

CHƯƠNG II

SAO LƯU VÀ PHỤC HỒI CẤU HÌNH ISA SERVER
1

Sao lưu cấu hình ISA Server 2006:

1.1 Giới thiệu
 Một trong những vấn đề quan trọng được hỗ trờ từ ISA 2004 là khả năng sao lưu
(back up) cấu hình ISA Server.
 Khi máy ISA có sự cố về phần cứng hay phần mềm máy tính buộc phải sửa chữa
hay thay thế thì vấn đề cấu hình lại một ISA server mới rất tốn kém.
 Khi cấu hình một ISA server, có thể người quản trị cấu hình sai, với hệ thống
firewall tương đối phức tạp thì việc kiểm tra lỗi rất khó khăn, back up cho phép
người quản trị sao lưu lại những cấu hình đã đúng, khi xảy ra lỗi, người quản trị
phục hồi lại những cấu hình đã đúng và cấu hình lại các cấu hình đã làm sai.
 Trong quá trình cấu hình, có thể xảy ra lỗi nghiêm trọng, khi đó việc cài lại hệ
điều hành để cấu hình lại là không khả thi, ta có thể back up lại cấu hình ban đầu
khi mới cài đặt khi cần thì khôi phục lại, tránh phải cài đặt lại ISA 2006.
1.2 Các thao tác sao lưu (back up):
 Trên màn hình quản lý ISA Server, click phải chuột vào tên máy tính (ví dụ:
server2), chọn Export (Back Up)… Thao tác này back up toàn bộ cấu hình của
ISA server 2006.

 Trong Export Wizard, cửa sổ Welcome… click Next. Cửa sổ Export
Preferences, chọn option Export confidential information: thông tin password
user, RADIUS, và các thông tin bí mật khác được back up và mã hóa bởi
Password được chỉ định bên dưới, password phải ít nhất 8 kí tự (ví dụ: ở đây
password là cntt1234). Nếu chọn Export user permission settings: các thiết lập
các user hoặc nhóm ủy quyền quản trị được back up, click Next.

15


Giáo trình Firewall - ISA Server 2006

 Cửa sổ Export File Location chỉ định vị trí lưu file, click nút Browse… để xác
định đường dẫn, rồi click Next. File back up có dạng .xml, ta có thể lưu file này
vào ở cứng di động hoặc file chia sẻ trên mạng đề phòng trường hợp bị lỗi nặng
trên toàn bộ máy server.

 Click Finish, quá trình back up bắt đầu. Khi xong, click OK để hoàn thành.

2

Phục hồi cấu hình ISA Server 2006 từ file back up:
 Trên màn hình quản lý ISA Server, click phải chuột vào tên máy tính (ví dụ:
server2), chọn Import (Restore)… Thao tác này phục hồi toàn bộ cấu hình của
ISA server 2006 từ file back up.

16


Giáo trình Firewall - ISA Server 2006

 Trong Import Wizard, cửa sổ Welcome… click Next. Cửa sổ Select the Import
File, chỉ định file để phục hồi. File này là file .xml được tạo trong quá trình back
up ở trên, click Browse để xác định đường dẫn. Click Next.

 Cửa sổ Import Action, Import: thông tin được thêm vào cấu hình đã tồn tại,
Overwrite (restore) thông tin được ghi đè lên các cấu hình đã tồn tại. Thường
chọn Overwrite (Restore), ở đây ta cũng chọn mục này click Next.

17


Giáo trình Firewall - ISA Server 2006

 Cửa sổ Import Preferences, chọn Import server-specific information để phục
hồi toàn bộ cấu hình server bao gồm cache drives, dãy địa chỉ tĩnh VPN và chứng
thực SSL. Click Next.

 Cửa sổ Enter Password, nhập Password vào khung. Khi back up, ta đặt
password là cntt1234, nên khi phục hồi nhập password là cntt1234. Click Next.

 Click Finish, xuất hiện thông báo quá trình phục hồi sẽ ghi đè lên các file đang
tồn tại và các đối tượng trong cấu hình cũ sẽ bị xóa. Nếu muốn tiếp tục import
click OK.

18


Giáo trình Firewall - ISA Server 2006

 Quá trình import bắt đầu, quá trình thực hiện xong click OK để hoàn thành.

 Click Apply để cập nhật thông tin đã thay đổi trong hệ thống.

3

Xuất chính sách Firewall
 Quá trình sao lưu, phục hồi trên toàn bộ hệ thống khác lớn và mất nhiều thời gian.
Có một số trường hợp chỉ cấu hình trên một phần nhất định nào đó của ISA server
2006. Do đó, chương trình này được hỗ trợ sao lưu phục hồi trên một phần nào đó
của chương trình đồng thời có thể gửi về cho Microsoft để phân tích lỗi cho ta.
 Trong phần này ta khảo sát thao tác back up firewall policy, một phần quan trọng
của ISA Server 2006.
 Click phải chuột Firewall Policy, chọn Export.

19


Giáo trình Firewall - ISA Server 2006

 Các thao tác back up giống thao tác back up toàn bộ ISA server (phần 1 chương
IV). Tương tự ta có thể back up cho các phàn khác: networks, general…

4

Nhập chính sách firewall:
 Click phải chuột Firewall Policy, chọn Export.

 Các thao tác phục hồi (Import) giống với thao tác phục hồi toàn bộ cấu hình ISA
server (phần 2 chương IV).
 Click Apply để cập nhật các thông tin đã thay đổi vào hệ thống

5

Câu hỏi và bài tập
1. Nêu các trường hợp cần thiết để sao lưu và phục hồi ISA server?
2. Trình bày và thực hiện các bước sao lưu (back up) và phục hồi (restore) trên toàn
bộ hệ thống ISA Server 2006.
3. Trình bày và thực hiện các bước sao lưu và phục hồi firewall policy trên hệ thống
ISA Server 2006.

20


Giáo trình Firewall - ISA Server 2006

CHƯƠNG III

CẤU HÌNH SECURENAT, WEBPROXY CLIENT,
FIREWALL CLIENT
1

Xây dựng mô hình chuẩn bị
 Xây dựng mô hình như hình dưới đây: mạng 192.168.2.0 là mạng nội bộ, mạng
192.168.1.0 là mạng ngoài nối Internet. Máy DC là Domain Controller có tên
miền tùy ý (ví dụ cntt.com), máy ISA Server là thành viên của miền (join
domain) được cài đặt ISA Server 2006.

 Tạo một Access Rule đơn giản nhất: trong giao diện quản lý ISA server 2006,
click phải chuột Firewall Policy / New / Access Rule…

 Trong New Access Rule Wizard, cửa sổ Welcome…, nhập tên access rule vào
khung, click Next.

21


Giáo trình Firewall - ISA Server 2006

 Cửa sổ Rule Action, chọn Allow để cho phép truy xuất, click Next.

 Cửa sổ Protocols, trong khung This Rule applies to:, chọn All outbound traffic
là tất cả các đường truyền, click Next.

 Cửa sổ Access Rule Sources qui định mạng nguồn, click nút Add… chọn
Network Sets / All Networks (and Local Host) click nút Add là chọn tất cả
đường mạng, click Next.

 Cửa sổ Access Rule Destinations qui định mạng đích, click nút Add… chọn
Network Sets / All Networks (and Local Host) click nút Add là chọn tất cả
đường mạng, click Next.

22


Giáo trình Firewall - ISA Server 2006

 Cửa sổ User Sets, để mặc định tất cả các users (All Users), click Next.

 Click Finish để hoàn thành cấu hình. Ta thấy trong giao diện quản lý có một
access rule vừa được cấu hình.

 Để cập nhật access rule này vào hệ thống click Apply, quá trình cập nhật bắt đầu.

 Khi cập nhật xong, click nút OK.
23


Giáo trình Firewall - ISA Server 2006

 Access rule này có đặc điểm gói tin của bất kỳ dịch vụ, giao thức nào từ bất kỳ
mạng nào đều được đi qua ISA server đến bất kỳ mạng nào và ai cũng có thể gửi
và nhận gói tin. Acces rule này không có tính bảo mật nhưng nó phục vụ cho các
cấu hình bảo mật clien bên dưới.

2

Cấu hình SecureNAT:

2.1 Giới thiệu
 SecureNAT client là các máy client không cài đặt Firewall Client, được cấu hình
để yêu cầu truy xuất tài nguyên trên mạng ngoài từ mạng nội bộ.
 SecureNAT client sử dụng địa chỉ IP mạng nội bộ của ISA server làm địa chỉ
Default Gateway, các yêu cầu cửa Secure NAT client được định hướng với kỹ
thuật NAT.
 Cấu hình SecureNAT khá dễ dàng mặc định được hỗ trợ trên ISA Server nhưng
các yêu cầu truy xuất của các client phải tuân theo các chính sách về qui luật truy
xuất (access rule).
2.2 Cấu hình SecureNAT client
 Mặc định ISA server hỗ trợ SecureNAT, ta cấu hình SecureNAT client trên máy
client (ví dụ máy DC trong mô hình trên). Cấu hình địa chỉ IP cho máy client như
hình dưới, Default gateway là địa chỉ IP của ISA server.

 Kiểm tra bằng cách dùng lệnh Ping để kiểm tra kết nối với một máy tính ngoài
Internet (ví dụ máy DNS server của FPT), ta thấy kết nối được
24


Giáo trình Firewall - ISA Server 2006

 Mở trình duyệt web IE vào thử một web site (ví dụ www.google.com.vn).

 Vậy là các máy client mạng nội bộ có thể truy xuất tài nguyên ngoài Internet,
nhưng các máy ngoài Internet lại không thể truy xuất tài nguyên mạng nội bộ.

3

Cấu hình Web Proxy:

3.1 Giới thiệu
 Proxy Server: là một server nằm giữa các client sử dụng ứng dụng web (dùng web
browser) và các web server mà client kết nối tới. Tất cả các yêu cầu web của
client và trả lời của web server đều thông qua proxy server.
 Web proxy client: là các máy client sử dụng trình duyệt web yêu cầu các ứng
dụng web đến các web server và nhờ ISA server làm web proxy server. Web
proxy client không cần phần mềm hỗ trợ chỉ cần dùng trình duyệt web.
 Web proxy làm tăng khả năng bảo mât với chứng thực user và làm tăng tốc độ
truy xuất web với cache web page trên webproxy server. Web proxy chỉ hỗ trợ
người dùng khá hạn chế với các giao thức sau HTTP, HTTPS, FTP, FTPS.

25


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×