Bài 20: Dịch vụ PROXY

Chia sẻ: Nguyen Van TUan | Ngày: | Loại File: DOC | Số trang:54

2
607
lượt xem
409
download

Bài 20: Dịch vụ PROXY

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Kết thúc bài học này giúp cho học viên có thể tổ chức và triển khai một Proxy Server phục vụ chia sẻ và quản lý kết nối Internet của các máy trạm, đồng thời học viên cũng có thể xây dựng một hệ thống Firewall để bảo vệ hệ thống mạng cục bộ của mình.

Chủ đề:
Lưu

Nội dung Text: Bài 20: Dịch vụ PROXY

  1. DỊCH VỤPROXY Tóm tắt Lý thuyết 8 tiết -Thực hành 16 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này giúp I. Firewall II. Giới thiệu ISA 2004 III. Đặt Dựa vào bài Dựa vào bài cho học viên có thểtổchức tập môn Dịch tập môn Dịch điểm của ISA 2004. IV. Cài đặt ISA và triển khai một Proxy vụmạng vụmạng Server phục vụchia sẻvà 2004. V. Cấu hình ISA Server Windows Windows quản lý kết nối Internet 2003. 2003. của các máy trạm, đồng thời học viên cũng có thểxây dựng một hệthống Firewall đểbảo vệhệthống mạng cục bộcủa mình. I. Firewall. Internet là mộthệthống mở, đó là điểmmạnh và cũng là điểmyếucủa nó. Chính điểmyếu này làm giảm khảnăng bảomật thông tin nộibộcủahệthống. Nếu chỉlà mạng LAN thì không có vấn đềgì, nhưng khi đãkếtnối Internet thì phát sinh những vấn đềhếtsức quan trọng trong việc quản lý các tài nguyên quý giá -nguồn thông tin -nhưchếđộbảovệchống việc truy cậpbấthợp pháp trong khi vẫn cho phép người được ủy nhiệmsửdụng các nguồn thông tin mà họđượccấp quyền, và phương pháp chống rò rỉthông tin trên các mạng truyềndữliệu công cộng (Public Data Communication Network). I.1. Giới thiệuvềFirewall. Thuật ngữfirewall có nguồngốctừmộtkỹthuật thiếtkếtrong xây dựng đểngăn chặn, hạn chếhỏa hoạn. Trong công nghệthông tin, firewall là mộtkỹthuật được tích hợp vào hệthống mạng đểchống lại việc truy cập trái phép, bảovệcác nguồn tài nguyên cũng nhưhạn chếsựxâm nhập vào hệthống củamộtsốthông tin khác không mong muốn. Cụthểhơn, có thểhiểu firewall là mộtcơchếbảovệgiữamạng tin tưởng (trusted network), ví dụmạng intranet nộibộ,với các mạng không tin tưởng mà thông thường là Internet.Vềmặtvật lý, firewall bao gồmmột hoặc nhiềuhệthống máy chủkếtnốivới bộđịnh tuyến(Router) hoặc có chứcnăng Router.Vềmặt chứcnăng, firewall có nhiệmvụ:
  2. -Tấtcảcác trao đổidữliệutừtrong ra ngoài và ngượclại đều phải thực hiện thông qua firewall. -Chỉcó những trao đổi được cho phép bởihệthống mạng nộibộ(trusted network)mới được quyềnlưu thông qua firewall. -Các phầnmềm quản lý an ninh chạy trên hệthống máy chủbao gồm: Quản lý xác thực(Authentication): có chứcnăng ngăncản truy cập trái phép vào hệthống mạng nội bộ.Mỗi ngườisửdụng muốn truy cậphợplệphải có một tài khoản(account) bao gồmmột tên người dùng (username) và mật khẩu(password). Quản lý cấp quyền(Authorization): cho phép xác định quyềnsửdụng tài nguyên cũng nhưcác nguồn thông tin trên mạng theo từng người, từng nhóm ngườisửdụng. Quản lý kiểm toán (Accounting Management): cho phép ghi nhậntấtcảcác sựkiệnxảy ra liên quan đến việc truy cập và sửdụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đốivới vùng tài nguyên nào đã đượcsửdụng hoặc thay đổibổsung … I.2. Kiến Trúc Của Firewall. I.2.1 Kiến trúc Dual-homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host.Một máy tính đượcgọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếpvới hai mạng khác nhau và nhưthếmáy tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ởgiữa, một bên đượckếtnốivới Internet và bên còn lạinốivớimạng nộibộ(LAN). 592  Dual-homed host chỉcó thểcung cấp các dịch vụbằng cách ủy quyền(proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host.Mọi giao tiếptừmột host trong mạng nộibộvà host bên ngoài đềubịcấm, dual-homed host là nơi giao tiếp duy nhất.
  3. Hình 5.1: Kiến trúc Dual-Home Host. I.2.2 Kiến trúc Screened Host.Screened Host có cấu trúc ngượclạivớicấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụtừmột host bên trong mạng nộibộ, dùng một Router tách rờivớimạng bên ngoài. Trong kiểu kiến trúc này, bảomật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nộibộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệthống duy nhất trong mạng nộibộmà những host trên Internet có thểkếtnốitới. Mặcdù vậy, chỉnhững kiểukếtnối phù hợp(được thiếtlập trong Bastion host)mới được cho phép kếtnối. Bấtkỳmộthệthống bên ngoài nào cốgắng truy cập vào hệthống hoặc các dịch vụbên trong đều phảikếtnốitới host này. Vì thếBastion host là host cần phải được duy trì ởchếđộbảomật cao. Packet filtering cũng cho phép bastion host có thểmởkếtnối ra bên ngoài. Cấu hình của packet filtering trên screening router nhưsau: -Cho phép tấtcảcác host bên trong mởkếtnốitới host bên ngoài thông qua mộtsốdịch vụcốđịnh. -Không cho phép tấtcảcác kếtnốitừcác host bên trong (cấm những host này sửdụng dịch proxy thông qua bastion host). -Bạn có thểkếthợp nhiềulối vào cho những dịch vụkhác nhau. -Mộtsốdịch vụđược phép đi vào trực tiếp qua packet filtering. -Mộtsốdịch vụkhác thì chỉđược phép đi vào gián tiếp qua proxy. Bởi vì kiến trúc này cho phép các packet đitừbên ngoài vào mạng bên trong, nó dường nhưlà nguy hiểmhơn kiến trúc Dual-homed host, vì thếnó được thiếtkếđểkhông một packet nào có thểtới đượcmạng bên trong. Tuy nhiên trên thựctếthì kiến trúc dual- homed host đôi khi cũng có lỗi mà cho phép các packet thậtsựđitừbên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu nhưkhông
  4. đượcbảovệđểchống lại những kiểutấn công này. Hơnnữa, kiến trúc dual-homed host thì dễdàng bảovệRouter (là máy cung cấprất ít các dịch vụ)hơn là bảovệcác host bên trong mạng. Xét vềtoàn diện thì kiến trúc Screened host cung cấp độtin cậy cao hơn và an toàn hơn kiến trúc 593Dual-homed host. So sánh vớimộtsốkiến trúc khác, chẳng hạn nhưkiến trúc Screened subnet thì kiến trúc Screened host có mộtsốbấtlợi. Bấtlợi chính là nếukẻtấn công tìm cách xâm nhập Bastion Host thì không có cách nào đểngăn tách giữa Bastion Host và các host còn lại bên trong mạng nộibộ. Router cũng có mộtsốđiểmyếu là nếu Router bịtổn thương, toàn bộmạng sẽbịtấn công. Vì lý do này mà Sceened subnet trởthành kiến trúc phổbiến nhất. Hình 5.2: Mô hình Screened host. I.2.3 Sreened Subnet. Nhằmtăng cường khảnăng bảovệmạng nộibộ, thực hiện chiếnlược phòng thủtheo chiều sâu, tăng cường sựan toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bịtổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. Kiến trúc Screened subnet dẫn xuấttừkiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lậpmạng nộibộra khỏimạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngoài (External router còn gọi là access router): nằm giữamạng ngoại vi và mạng ngoài có chứcnăng bảovệcho mạng ngoại vi (bastion host, interior router). Nó cho phép hầuhết những gì outbound từmạng ngoại vi. Mộtsốqui tắc packet filtering đặc biệt được cài đặt ởmứccần thiết đủđểbảovệbastion host và interior router vì
  5. bastion host còn là host được cài đặt an toàn ởmức cao. Ngoài các qui tắc đó, cácquitắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là choke router): nằm giữamạng ngoại vi và mạng nộibộ, nhằmbảovệmạng nộibộtrước khi ra ngoài và mạng ngoại vi. Nó không thực hiệnhết các qui tắc packet filtering của toàn bộfirewall. Các dịch vụmà interior router cho phép giữa bastion host và mạng nộibộ, 594 giữa bên ngoài và mạng nộibộkhông nhất thiết phải giống nhau. Giớihạndịch vụgiữa bastion host và mạng nộibộnhằm giảmsốlượng máy (sốlượng dịch vụtrên các máy này) có thểbịtấn công khi bastion host bịtổn thương và thoảhiệpvới bên ngoài. Chẳng hạn nên giớihạn các dịch vụđược phép giữa bastion host và mạng nộibộnhưSMTP khi có Email từbên ngoài vào, có lẽchỉgiớihạn Hình 5.3: Mô hình Screened Subnet. I.3. Các loại firewall và cách hoạt động. I.3.1 Packet filtering (Bộlọc gói tin). Loại firewall này thực hiện việc kiểm tra sốnhậndạng địa chỉcủa các packet đểtừđócấp phép cho chúng lưu thông hay ngăn chặn . Các thông sốcó thểlọc đượccủamột packet như: -Địa chỉIP nơi xuất phát (source IP address). -Địa chỉIP nơi nhận(destination IP address).
  6. -Cổng TCP nơi xuất phát (source TCP port). -Cổng TCP nơi nhận(destination TCP port). Loại Firewall này cho phép kiểm soát đượckếtnối vào máy chủ, khóa việc truy cập vào hệthống mạng nộibộtừnhững địa chỉkhông cho phép. Ngoài ra, nó còn kiểm soát hiệu suấtsửdụng những dịch vụđang hoạt động trên hệthống mạng nộibộthông qua các cổng TCP tương ứng. I.3.2 Application gateway. Đây là loại firewall được thiếtkếđểtăng cường chứcnăng kiểm soát các loạidịch vụdựa trên những giao thức được cho phép truy cập vào hệthống mạng. Cơchếhoạt động của nó dựa trên mô hình Proxy Service. Trong mô hình này phảitồntạimột hay nhiều máy tính đóng vai trò Proxy Server.Một ứng dụng trong mạng nộibộyêu cầumột đốitượng nào đó trên Internet, Proxy Server sẽnhận yêu cầu này và chuyển đến Server trên Internet. Khi Server trên Internet trảlời, Proxy Server sẽnhận và chuyển ngượclại cho ứng dụng đãgửi yêu cầu. Cơchếlọccủa packet filtering kếthợpvớicơchế 596 “đại diện” của application gateway cung cấpmột khảnăng an toàn và uyển chuyểnhơn, đặc biệt khi kiểm soát các truy cậptừbên ngoài. Ví dụ:Mộthệthống mạng có chứcnăng packet filtering ngăn chặn các kếtnốibằng TELNET vào hệ -Thực hiện telnet vào máy chủbên trong cần truy cập.-Gateway kiểm tra địa chỉIP nơi xuất phát của người truy cập đểcho phép hoặctừchối.-Người truy cập phảivượt qua hệthống kiểm tra xác thực.-Proxy Service tạomộtkếtnối Telnet giữa gateway và máy chủcần truy nhập.-Proxy Service liên kếtlưu thông giữa người truy cập và máy chủtrong mạng nộibộ. Cơchếbộlọc packet kếthợpvớicơchếproxy có nhược điểm là hiện nay các ứng dụng đang phát triểnrất nhanh, do đónếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơmất an toàn sẽtăng lên. Thông thường những phầnmềm Proxy Server hoạt động nhưmột gateway nối giữa hai mạng, mạng bên trong và mạng bên ngoài.
  7. Hình 5.4: Mô hình hoạt động của Proxy. Đường kếtnối giữa Proxy Server và Internet thông qua nhà cung cấpdịch vụInternet (Internet Service Provider -ISP) có thểchọnmột trong các cách sau: -Dùng Modem analog:sửdụng giao thức SLIP/PPP đểkếtnối vào ISP và truy cập Internet. Dùng dial-up thì tốc độbịgiớihạn, thường là 28.8 Kbps -36.6 Kbps. Hiện nay đã có Modem analog tốc độ56 Kbps nhưng chưa được thửnghiệm nhiều. Phương pháp dùng dial-up qua Modem analog thích hợp cho các tổchức nhỏ, chỉcó nhu cầusửdụng dịch vụWeb và E-Mail. -Dùng đường ISDN:Dịch vụISDN (Integrated Services Digital Network) đã khá phổbiến ởmột sốnước tiên tiến. Dịch vụnày dùng tín hiệusốtrên đường truyền nên không cần Modem analog, cho phép truyềncảtiếng nói và dữliệu trên một đôi dây. Các kênh thuê bao ISDN (đường truyền dẫn thông tin giữa ngườisửdụng và mạng) có thểđạttốc độtừ64 Kbps đến 138,24 Mbps. Dịch vụISDN thích hợp cho các công ty vừa và lớn, yêu cầubăng thông lớn mà việc dùng Modem analog không đáp ứng được. Phầncứng dùng đểkếtnối tùy thuộc vào việcnốikết trực tiếp Proxy Server với Internet hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có bộphối ghép ISDN cài trên Server. Hình 5.5: Mô hình kếtnốimạng Internet. Việc chọnlựa cách kếtnối và một ISP thích hợp tùy thuộc vào yêu cầucụthểcủa công
  8. ty, ví dụnhưsốngườicần truy cập Internet, các dịch vụvà ứng dụng nào đượcsửdụng, các đường kếtnối và cách tính cước mà ISP có thểcung cấp. II. Giới Thiệu ISA 2004. Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm share internet của hãng phầnmềm Microsoft, là bản nâng cấptừphầnmềm MS ISA 2000 Server. Có thểnói đây là một phầnmềm share internet khá hiệu quả, ổn định, dễcấu hình, thiếtlậptường lửa(firewall)tốt, nhiều tính năng cho phép bạncấu hình sao cho tương thích vớimạng LAN củabạn. Tốc độnhanh nhờchếđộcache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lậplịch cho tựđộng download thông tin trên các WebServer lưu vào Cache và máy con chỉcầnlấy thông tin trên các Webserver đóbằng mạng LAN) III. Đặc Điểm Của ISA 2004. Các đặc điểmcủa Microsoft ISA 2004: -Cung cấp tính năng Multi-networking:Kỹthuật thiếtlập các chính sách truy cậpdựa trên địa chỉmạng, thiếtlập firewall đểlọc thông tin dựa trên từng địa chỉmạng con,… -Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảovệhệthống mạng nộibộbằng cách giớihạn truy xuấtcủa các Client bên ngoài internet,bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉcho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nộibộ. -Stateful inspection of all traffic: Cho phép giám sát tấtcảcác lưulượng mạng. -NAT and route network relationships: Cung cấpkỹthuật NAT và định tuyếndữliệu cho mạng con. -Network templates: Cung cấp các mô hình mẫu (network templates) vềmộtsốkiến trúc mạng, kèm theo mộtsốluậtcần thiết cho network templates tương ứng. -Cung cấpmộtsốđặc điểmmới đểthiếtlậpmạng riêng ảo(VPN network) và truy cậptừxa cho doanh nghiệp nhưgiám sát, ghi nhận log, quản lý session cho từng VPN Server, thiếtlập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệthống khác. -Cung cấpmộtsốkỹthuậtbảomật(security) và thiếtlập Firewall cho hệthống nhưAuthentication, Publish Server, giớihạnmộtsốtraffic. -Cung cấpmộtsốkỹthuật cache thông minh (Web cache) đểlàm tăng tốc độtruy xuấtmạng, -Cung cấpmộtsốtính năng quản lý hiệu quảnhư: giám sát lưulượng, reporting qua Web, export và import cấu hình từXML configuration file, quản lý lỗihệthống thông qua kỹthuậtgởi thông báo qua E-mail,..
  9. -Application Layer Filtering (ALF): là một trong những điểmmạnh của ISA Server 2004, không giống nhưpacket filtering firewall truyền thống, ISA 2004 có thểthao tác sâu hơn nhưcó thểlọc được các thông tin trong tầng ứng dụng. Mộtsốđặc điểmnổibậccủa ALF: -Cho phép thiếtlậpbộlọc HTTP inbound và outbound HTTP.-Chặn được các cảcác loạitập tin thực thi chạy trên nền Windows như.pif, .com,…-Có thểgiớihạn HTTP download.-Có thểgiớihạn truy xuất Web cho tấtcảcác Client dựa trên nội dung truy cập.-Có thểđiều kiển truy xuất HTTP dựa trên chữký (signature).-Điều khiểnmộtsốphương thức truy xuấtcủa HTTP. IV. Cài Đặt ISA 2004. IV.1. Yêu cầu cài đặt. Thành phần Yêu cầu đềnghị Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trởlên. Hệđiều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack 4). Bộ nhớ (Memory) 256 (MB) hoặc 512 MB cho hệthống không sửdụng Web caching, 1GB cho Web-caching ISA firewalls. không gian đĩa (Disk ổđĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành space) cho ISA. Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC) NIC IV.2. Quá trình cài đặt ISA 2004. IV.2.1 Cài đặt ISA trên máy chủ1 card mạng. Khi ta cài đặt ISA trên máy Server chỉcó một card mạng (còn gọi là Unihomed ISA Firewall), chỉhỗtrợHTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗtrợmộtsốchứcnăng: - SecureN AT client. -Firewall Client. - Server Publishin g Rule. - Remote Access
  10. VPN. -Site-to- Site VPN. -Multi-networking. -Application-layer inspection ( trừgiao thức HTTP) Chạytập tin isaautorun.exe từCDROM ISA 2004 hoặctừISA 2004 source. Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại“Microsoft Internet Security and Acceleration Server 2004”. Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA Server 2004” đểtiếptục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next. Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next đểtiếptục. Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next.. trong hộp thoại“Custom Setup” mặc định hệthống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉhỗtrợWeb Proxy Client nên ta có thểkhông chọn tùy chọn Firewall client Installation share tuy nhiên ta có thểchọn nó đểcác Client có thểsửdụng phầnmềm này đểhỗtrợtruy xuất Web qua Web Proxy. Chọn Next đểtiếptục. Hình 5.6: Chọn Firewall Client Installation Share. Chỉđịnh address range cho cho Internet network trong hộp thoại“Internal Network”, sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC.
  11. Hình 5.7: Mô tảInternal Network Range. Sau khi mô tảxong “Internet Network address ranges”, chọn Next trong hộp thoại“Firewall Client Connection Settings”. Sau đó chương trình sẽtiến hành cài đặt vào hệthống, chọn nút Finish đểhoàn tất quá trình. IV.2.2 Cài đặt ISA trên máy chủcó nhiều card mạng. ISA Firewall thường được triển khai trên dual-homed host (máy chủcó hai Ethernet cards) hoặc multi-homed host (máy chủcó nhiều card mạng) điều này có nghĩa ISA server có thểthực thi đầy đủcác tính năng của nó nhưISA Firewall, SecureNAT, Server Publishing Rule, VPN,… Các bước cài đặt ISA firewall software trên multihomed host: Chạytập tin isaautorun.exe từCDROM ISA 2004 hoặctừISA 2004 source. Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại“Microsoft Internet Security and Acceleration Server 2004”. Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA Server 2004” đểtiếptục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next. Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next đểtiếptục. Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next. Trong hộp thoại“Custom Setup”mặc định hệthống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share . Chọn Next đểtiếp tục.
  12. Hình 5.8: Chọn Firewall Client Installation Share. Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal Network setup. Cách thứnhất ta mô tảdãy địa chỉnộibộ(Internal Network range)từFrom và To text boxes. Cách thứhai ta cấu hình default Internal Network bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp chuột vào dấu chọn“Select Network Adapter” kếtnối vào mạng nộibộ. Trong hộp thoại Configure Internal Network, loạibỏdấu check trong tùy chọn tên Add the following private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK. Hình 5.9: Chọn Network Adapter.Xuất hiện thông báo cho biết Internal network được định nghĩadựa vào Windows routing table. Chọn OK trong hộp thoại Internal network address ranges.
  13. Hình 5.10: Internal Network Address Ranges. Chọn Next trong hộp thoại“Internal Network” đểtiếptục quá trình cài đặt.Chọndấu check “Allow computers running earlier versions of Firewall Client software to connect”nếu ta muốn ISA hỗtrợnhững phiên bản Firewall client trước, chọn Next. Hình 5.11: Tùy chọntương thích với ISA Client. Xuất hiệnhộp thoại Services đểcảnh báo ISA Firewall sẽstop mộtsốdịch vụSNMP và IIS Admin Service trong quá cài đặt. ISA Firewall cũng sẽvô hiệu hóa (disable) Connection Firewall (ICF)/ Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service) services. Chọn Finish đểhoàn tất quá trình cài đặt. V. Cấu hình ISA Server. V.1. Mộtsốthông tin cấu hình mặc định. -Tóm tắtmộtsốthông tin cấu hình mặc định:-System Policies cung cấpsẳnmộtsốluật đểcho phép truy cập vào/ra ISA firewall.Tấtcảcác traffic còn lại đềubịcấm. -Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal
  14. Network. -Cho phép NAT giữa Internal Network và External Network. -Chỉcho phép Administrator có thểthay đổi chính sách bảomật cho ISA firewall.
  15. V.2. Mộtsốchính sách mặc định củahệthống Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Order/Comments Name Action Protocol from/Listener To Condition LDAP ;LDAP (UDP) 1. Chỉsửdụng khi LDAP GC ISA Allow access to (global
  16. Firewall là thành Directory catalog) Allow Local Host Internal All Users viên services của Domain purposes LDAPS ;LDAPS GC (Global Catalog) Allow remote NetBIOS 2. Cho phép quản lý management datagram Remote ISA Firewall từxa from selected NetBIOS Name Local Allow Management All Users thông qua công computers Service NetBIOS Host Computers cụMMC using MMC Allow remote Remote 3. Cho phép quản lý management Management from selected RDP (Terminal Computers All Users ISA Firewall thông Local computers Allow Services) From/Listener Continued qua Terminal Host using Terminal Protocols Condition Services Protocol Server Name NetBIOS 4. Cho phép login tới Allow remote Datagram một sốserver logging to Allow NetBIOS Name Local Host Internal All Users sửdụng giao thức trusted servers Service NetBIOS NetBIOS using NETBIOS Session 5. Cho phép Allow RADIUS RADIUS authentication RADIUS authentication từISA from ISA Server Allow RADIUS Local Host Internal All Users đến một sốtrusted to trusted Accounting RADIUS servers RADIUS servers Học phần 3 -Quản trịmạng Microsoft Windows Trang 487/555 Tài liệuhướng dẫn giảng dạy Order/Comments Name Allow Action Protocol from/Listener To Condition O 6. Cho phép chứng Kerberos Kerberos-Sec 1 thực kerberos từISA authentication from (TCP) Local Host S Server tới trusted ISA Server Allow Kerberos-Sec Internal All Users r server (UDP) s to trusted servers
  17. All 1 7. Cho phép Networks c Allow DNS from ISA sửdụng DNS từISA (and b Server to selected Allow DNS Local Host All Users tới một sốDNS Local v servers Server Host) 1 8. Cho phép DHCP Allow DHCP requests All Users DHCP(reque Local Host Anywher D Request từISA gởi from ISA Server to all Allow Continued s t) Protocols From/Listener e To t đến tất cảcác mạng networks Name Condition c 1 9. Chấp nhận Allow DHCP replies t DHCP replies Local from DHCP servers Allow DHCP (reply) Internal All Users V từDHCP Server tới Host to ISA Server đ ISA Server k 10. Cho phép một 1 sốmáy được quyền Allow ICMP (PING) s Remote gởi ICMP request requests from Local đ Allow Ping Management All Users đến ISA Server selected computers Host f Computers to ISA Server s Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 488/555 Tài liệuhướng dẫn giảng dạy Name Allow Action Protocol from/Listener To All Condition Order/Comments Nam ICMP requests Allow ICMP Local Host Networks All Users 16. Cho phép login remo from ISA Information (and từxa bằng SQL qua logg Server to Request Local ISA server serv selected ICMP Host servers Timestamp Network) Allow 17. Cho phép truy HTT All VPN client Local xuất HTTP/HTTPS requ traffic to ISA Allow PPTP External All Users Host từISA đến một sốsite ISA Server chỉđịnh spec Nam
  18. requ External ISA Allow VPN IPSec All Users 18. Cho phép HTTP/ selec site-to-site Local Allow NONE Remote Continued HTTPS từISA đến for c traffic to ISA Host To Gateways Condition một sốserver khác verif Server Name From/Listener HTT 19. Cho phép một Allow sốmáy được truy from Allow VPN External xuất Firewall Client com site-tosite IPSec installation share trên Firew Allow NONE Local Host All Users traffic from ISA Remote ISA Server insta Server Gateways on IS CIFS Allow (Common Microsoft perfo 20. Cho phép quan Internet File CIFS (TCP) mon Allow Local Host Internal All Users sát thông suất của System) from Microsoft Serv ISA Server từxa ISA Server to CIFS (UDP) trust trusted Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 489/555 Tài liệuhướng dẫn giảng dạy Protocol from/Listen To Condition Order/Comments Name Action Local Host 21. Cho phép er sửdụng NetBIOS Microsoft SQL Allow từISA Server đến (TCP) NetBIOSAllow Internal All Users mộtServer MicrosoftSQL from ISA to sốServer (UDP) Name chỉđịnhtrusted servers sẵn System Allow Policy Allow HTTP All 21. Cho phép RPCfrom ISA HTTP Allowed HTTPS UsersContinued sửdụng RPC tServer to HTTPSProtocols Sites To Protocols Condition từISAtruy xuất đến trusted mộsốserver khác servers All Allow Networks 23. Cho phép (and truyAllow xuất HTTP HTTPS Local Host LocalHost All Users HTTP/HTTPStừISA Network) Server tớmột HTTP/HTTPS sốMicrosoft ifrom ISA Server to
  19. error reporting site specified Allow 24. Cho authentication (TCP) Microsoft phépchứng ISA to trusted CIFS (UDP) Local Internal All Users thựcfrom SecurID servers NetBIOS Host từISA đếnServer DatagramNetBIOS một sốserver Name Service NetBIOS Session NetBIOS 25. Cho phép Datagram giámAllow sát từxa Remote Local NetBIOS Name thông Managemen Host All Service NetBIOS quamonitoring giao t Computers Users Session thức Microsoftfrom remote ISA Operations Server to Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 490/555 Tài liệuhướng dẫn giảng dạy from/Listen To Condition Order/Comments Name Action Protocol er Internal All Users 26. Cho phép HTTP Traffic from ISA Allow + HTTP Local Host To Continued traffic từISA Server tới Server to all Action Protocols From/Listen Condition một sốnetwork networks (for er hỗtrợdịch vụchứng CRL downloads) thực download CRL Name Internal All Users Allow NTP (UDP) Local Host 27. Cho phép sửdụng Allow NTP from NTP (giao thức đồng ISA Server to bộthời gian trên trusted NTP Windows servers NT 2k, XP) từISA tới một Microsoft All Users 28. Cho phép traffic Allow SMTP from SMTP Local Host Allow ISA Server Error SMTP từISA Server tới to Reporting một sốServer trusted servers sites Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host máy sửdụng Content selected Download Jobs. computers for Content
  20. Download Jobs Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host máy khác sửdụng communication to traffic MMC điều khiển ISA selected computers Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 491/555 Ta có thểxem các chính sách mặc định củahệthống ISA Firewall (system policy rule) bằng cách chọn Filewall Policy từhộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy. Hình 5.12: System policy Rules.Ta cũng có thểhiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.
Đồng bộ tài khoản