Hướng dẫn cài đặt ISA Server Enterprise 2000

Chia sẻ: Pht_npower Pht_npower | Ngày: | Loại File: DOC | Số trang:31

0
122
lượt xem
57
download

Hướng dẫn cài đặt ISA Server Enterprise 2000

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai thêm nhiều services khác, gây khó khăn cho việc config firewall, dễ show ra những lỗ hổng bảo mật từ những dịch vụ này hoặc thu hút attackers khi hệ thống trưng ra quá nhiều services...

Chủ đề:
Lưu

Nội dung Text: Hướng dẫn cài đặt ISA Server Enterprise 2000

  1. Hướng dẫn cài đặt ISA Server Enterprise 2000 Chức năng chính của sản phẩm: - Bảo vệ mạng chống các cuộc tấn công từ Internet - Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát. Hướng dẫn cài đặt trên Windows 2000/2003 server: - Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển khai các dịch vụ mạng không được khuyến cáo khác. Điều này sẽ giúp setup 1 hệ thống có độ an toàn cao. Các dịch vụ không nên cài đặt chung với ISA server 2000: Domain controller, Web Server , FTP Server , Certificate Server , NNTP Server , Exchange Server , Sharepoint Server Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai thêm nhiều services khác, gây khó khăn cho việc config firewall, dễ show ra những lỗ hổng bảo mật từ những dịch vụ này hoặc thu hút attackers khi hệ thống trưng ra quá nhiều services... Chuẩn bị Server: - Có thể cài ISA server 2000 trên Computer chạy Windows server 2000/ 20003 ( các OS này trước hết phải patch đầy đủ các lỗ hỗng thông qua service pack, hot fixes..) - Cần 2 NIC Cards (LAN card), 1 cho Internal Network, 1 ra Internet. Hoặc có thể dùng 1 NIC, 1 modem (ADSL, Dial-up, ISDN, broadband routers...) - Tất cả các máy trong LAN dùng TCP/IP protocol. - ISA server 2000 này có thể là domain member (nếu Internal Network đã xây dựng Internal Domain), hoặc là một Stand-alone server không thuộc bất kì Internal Domain nào. (trong hướng dẫn này tôi dùng Stand-along Server) MÔ HÌNH TRIỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET 5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn: Step 1: Cấu hình các Network Card Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000 Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000 Step 4: Cài đặt và cấu hình ISA SERVER 2000 software Step 5: Cấu hình vai trò các Internal Computers là DHCP Clients Tất cả các config ISA Server 2000 đều tiến hành trên Windows 2000 Advanced Server. Nếu tiến hành config trên OS Windows 2003 Server, có sự khác biệt không đáng kể.
  2. Step 1: Cấu hình các Network Card Internal Network Card: - Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ. Trong hướng dẫn này tôi dùng IP address: 192.168.1.200 /255.255.255.0 - Không config Defaul Gateway (khuyến cáo không nên config Defaul Gateway trên ISA SERVER 2000) - Dùng DNS Server: 192.168.1.200 (DNS server cũng chính là ISA SERVER 2000 ) External Network Card: - Với External Network Card thường có 2 trường hợp: + Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs) + Loại dùng Dynamic IP (Dial-up, ADSL...) - Có những hình thức connect sau đối với External modem, người sử dung cần lưu ý: + DSL line kết nối vào------- DSL Modem-------ISA server 2000 (chú ý: Có những loai DSL gắn trong giống như 1 NIC Card-Ethernet Card) + Internet Cable------Cable Modem--------Ethernet Card of ISA + T1 connection--------Router---------Etherner Card of ISA + Broadband DSL--------Broadband Router----------Etherner Card of ISA KẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER
  3. - IP address dùng cho External Card nếu dùng Dynamic (Dial-up, ADSL..) thì hoàn toàn do ISPs cung cấp, người dùng không cần can thiệp các thông số. Tuy nhiên trong trường hợp này tôi sẽ dùng thông số Preferred DNS server là 192.168.1.200 (DNS server nội bộ), khác với Hình CÁC THÔNG SỐ AUTOMATIC TCP/IP XÁC LẬP TRÊN EXTERNAL CARD TỪ ISPs Nếu dùng IP address cố định, như thuê bao lease-line, etc.., có thể cấuhình Static IP được cấp theo ví dụ sau:
  4. CẤU HÌNH STATIC IP CHO EXTERNAL CARD TRÊN ISA SERVER 2000 Lưu ý: Đây là các IP address được ISP cung cấp cố định, cho tổ chức của bạn, hoàn toàn khác với các Private IP address (10.x.x.x, 172.16.x.x, 192.168.x.x), và không được đưa vào bảng cấu hình những IP address mà chúng ta tự nghĩ ra ! Tất cả các thông số kèm theo được cung cấp cố định từ ISP bao gồm: IP address, Subnet Mask, Default Gateway, Preferred DNS server. Tuy nhiên trong hướng dẫn này tôi lại sử dụng Preferred DNS server lại là 192.168.1.200 (IP address của DNS server nội bộ), khác với trên Hình là thông số DNS chuẩn từ ISP. Nếu phía trước ISA Server firewall là một Broadband Router thì các thông số này được khuyến cáo tuân theo Broadband Router Manufacturer. Sau khi cấu hình các thông số cho cả Internal và External Card, người dùng cần lưu ý tiếp đến trình tự (order) bố trí của các Cards này cho đúng. Điều này có ảnh hưởng đến việc giải quyết Domain Name thông qua dich vụ DNS. Muốn tăng tốc độ giải quyết Domain Name (cũng là truy caộ các website, tìm các Server host các dịch vụ khác nhau trên Internet hoặc Mạng nội bộ), thì nên sắp Internal Network Card đứng trên cùng trong danh sách Network Interface List. Chọn My Network Places, Properties, Network and Dial-up Connections, Advanced, Advanced Settings, Adapters and Bindings đảm bảo LAN Card nằm trên cùng danh sách như Hình sau:
  5. Trong hướng dẫn này giả sử tôi dùng External Network Card là một Dial-up modem loại modem thông thừờng với maximum bandwidth đến ISA là 56 Kbps (thực sự đây cũng chỉ là tốc độ kết nối mơ ước thường chỉ tối đa xấp xỉ 40 Kbps). ISA server 2000 gọi một kết nối đến ISP thông qua Dial-up entry là một Connectiod . Chọn My Network Places, Chọn Properties, Chọn Make New Connection, Welcome to the Network Connection Wizard , Chọn Dial-up to the Internet, Network Connection Type , Next, Chọn I want to connect through a local area network (LAN), Next, Chọn I connect through a phone line and a modem, Setting up you Internet connection, Internet account connection information, Area code and Telephone number (số kết nối đến ISP, trong ví dụ này tôi dùng 1268 - số kết nối của FPT), Internet account logon information, Username: 1280, password: 1280. Đặt tên cho kết nối Connection name là FPT Internet Connection và Finish. Có thể xác lập thêm các thông số để hỗ trợ Dial-up như: Redial if line is dropped, Redial attempts, Time between redial attempts, Idle time before hanging up value. Lưu ý: Kết nối qua Dial-up Modem có độ ổn định không cao, cần phải có giải pháp ổn định kết nối, chống drop line, đặc biệt giờ cao điểm. Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000 Bước tiếp theo sẽ cài đặt DNS server trên ISA server Firewall. Dùng DNS server là bắt buộc khi người dùng cần truy cập các Internet Servers thông qua tên, nhiệm vụ DNS server sẽ giải quyết Hostname sang IP address. Cài đặt DNS server ở chế độ Caching-only DNS server trên chính ISA server Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập dùng DNS server này. Theo những bước sau để tiến hành cài đặt DNS server trên Windows 2000 Advanced Server: Click Start chọn Settings click Control Panel. Control Panel window, double click Add/Remove Programs click Add/Remove Windows Components . Windows Components Wizard dialog box, chọn Networking Services Không đánh dấu vào checkbox! , click Details, Networking Services
  6. dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click OK. Tiếp tục Next để hoàn thành tiến trình cài đặt. CÀI ĐẶT DNS SERVER SERVICE TRÊN CHÍNH ISA SERVER FIREWALL. Cấu hình DNS Service: DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận và trả lời các yêu cầu truy vấn tên của các Server Internet từ phía các Client Computer trong mạng nội bộ. Do được cài đặt ở chế độ Caching-only DNS server cũng là chế độ default sau cài đặt của DNS server 2000 cho nên nó không chứa các Hostname của các Internal servers hoặc Internet servers. Caching- only DNS server cũng chỉ giải quyết các tên Internet hoặc dang lưu giữ trong cache, thông thường không dùng Caching-only DNS server để giải quyết tên của các Internal servers. Trong thực tế nếu Mạng của bạn đã có DNS servers hỗ trợ Internal Domain, thì có thể cấu hình Caching-only DNS server, chuyển các yêu cầu truy cập các Internal Server tới các DNS servers này. trong hướng dẫn cấu hình này, không liên quan đến việc Mạng đã có DNS servers hỗ trợ Domain hay chưa. Click Start, Programs, Administrative Tools. Click DNS trên Administrative Tools menu. Right click DNS server, View, click Advanced. Right click trên Server chọn Properties, trong dialog box, click Interfaces tab. Chọn Only the following IP addresses . Click trên bất kì IP address nào trong danh sách không là IP address trên internal interface. Chọn các non-internal interface IP address này và click Remove . Click Apply. Click Forwarders tab. Đánh dấu vào Enable forwarders checkbox. Điền IP address của DNS server ISP mà bạn connect trong IP address text box và click Add. Đánh dấu vào Do not use recursion checkbox. Click Apply và click OK.
  7. Nếu các kết nối được thực hiện qua các ISP VietNam có thể điền vào IP Address List này thông số DNS IP Address như sau: FPT: VDC: DNS1: 210.245.31.10 DNS1: 203.162.4.190 DNS2: 210.245.31.110 DNS2: 203.162.4.191 Right click trên DNS server name bên khung trái và chọn All Tasks sau đó click Restart.khởi động lại DNS server service. Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000 - DHCP Server service được cài đặt trên ISA SERVER 2000 sẽ cung cấp các xác lập TCP/IP cho Internal Computers. Cảnh báo: Disable tất cả các DHCP Server khác trên Mạng (nếu có thể), chỉ cho phép DHCP Server service được cài đặt trên ISA SERVER 2000 này hoạt động, nhằm cung cấp chính xác tất cả các thông số mong muốn. Cài đặt DHCP service trên Windows 2000 Advanced Server: Click Start chọn Settings, click Control Panel. Trong Control Panel window, double click Add/Remove Programs . Trong Add/Remove Programs window, click Add/Remove Windows Components . Trong Windows Components Wizard dialog box, chọn Networking Services trong danh sách Components. Không đánh dấu vào checkbox! Chọn Networking Services, click Details. Trong Networking Services dialog box, đánh dấu vào Dynamic Host Configuration Protocol (DHCP) checkbox và click OK. Click Next trong Windows Components,Click Finish.
  8. Chức năng chính của một DHCP Server ngoài cung cấp IP address, còn cung cấp thêm các thông số (gọi là TCP/IP settings), bao gồm: Subnet mask, Default Gateway & DNS Server Addresses. Trong hướng dẫn này Default Gateway & DNS Server Addresses chính là Internal IP Address (192.168.1.200) trên ISA server Firewall. DHCP server quản lý và phân phối IP address cho các Internal Clients thông qua các DHCP scope. Cấu hình scope chính xác là điều bắt buộc. Khi tạo một vùng IP address trong Scope, có thể sẽ bao gồm luôn cả những IP đã được phân chia trước đó cho các Node trên Mạng (ví dụ Internal server như Web, Mail, Database server đã dùng các IP này), như vậy để tránh hiện tượng DHCP server sẽ lại lấy những IP này cung cấp tiếp cho Clients (gây Conflicts), thì Admin phải dùng chức năng Exclusions để tạo vùng loại trừ tránh xung đột về sau. Click Start chọn Programs, Administrative Tools. Click DHCP. Mở DHCP console. Right click trên server name, click New Scope. Click Next trên Welcome to the New Scope Wizard . Điền vào tên sau trong Name text box SecureNAT Client Scope. Click Next. Trên IP Address Range điền vào Start IP address 192.168.1.1 và End IP address 192.168.1.254 trong text boxe. Click Next. Trên Add Exclusions, điền Start IP address 192.168.1.200 (vì IP address này đã được dành cho Internal Card trên ISA Server 2000 firewall), click Add. Nếu có các Server khác cũng đã được phân chia các static IP address trong vùng phân phối hãy theo các bước trên để loại trừ. Chấp nhận các giá trị Lease Duration và click Next. Trên Configuring DHCP Options chọn Yes, I want to configure these options now và click Next. Trên Router điền vào IP address của internal interface trên ISA Server 2000 firewall và click Add. Click Next. Trên Domain Name and DNS Servers điền IP address của internal interface trên ISA Server 2000 firewall trong IP address text box và click Add. Nếu đã xây dựng một Active Directory domain trên internal network, hãy đưa tên internal network domain vào trong Parent domain text box. Tuyệt đối không nên đưa domain name vào Parent domain text box trừ khi đã tồn tại Active Directory domain trên internal network. Click Next. Không xác lập thông tin tại WINS Servers . Click Next.
  9. Chọn Yes, I want to activate this scope now trên Activate Scope và sau đó click Yes. Click Finish . Step 4: Cài đặt và cấu hình ISA SERVER 2000 software - Windows Server 2000/2003 đã xác lập các thông số và cài đặt các dịch vụ cần thiết (DNS & DHCP), giờ là lúc bắt tay vào setup ISA SERVER Firewall 2000. - Nếu chưa triển khai Service Pack, hot fixes cho Windows 2000/2003 thì giờ là thời điểm để finish vân đề này trước khi cài đặt ISA server 2000. Các bước cài đặt: Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click Install ISA Server icon trên Microsoft ISA Server Setup page. Click Continue trên Welcome to the Microsoft ISA Server installation program page. Điền CD key trên CD Key page và click OK. Click OK trên registration number page. Click I Agree trên License Agreement page. Click Full Installation button trên Installation Type page. Click Yes trên the dialog thông báo rằng ISA Server schema has not been installed in the Active Directory. Chọn Integrated Mode . Click Continue.
  10. Click OK trong dialog box thông báo rằng IIS W3SVC service must be stopped. Trên cache size page, chọn một Partition được format NTFS, và điền vào 150 trong Cache size (MB) text box. Click Set, click OK. Click Construct Table button trên LAT configuration page. Trong Local Address Table dialog box, không check vào Add the following private ranges… checkbox. Đánh dấu vào Add address ranges based on the Windows 2000 Routing Table checkbox. Đánh dấu tiếp vào internal interface network card. Click OK. Xem hình Click OK trong Setup Message dialog box, Click OK trên LAT configuration page. Không đánh dấu Start ISA Server Getting Started Wizard checkbox và click OK. Click OK hoàn tành tiến trình cài đặt.
  11. Tiếp theo cần cài đặt các Service Pack cho ISA server 2000, để cũng cố Security cho chính Firewall này: - Download ISA Service Pack 1: http://www.microsoft.com/isaserver/downloads/sp1.mspx - Download ISA Service Pack 2: http://www.microsoft.com/downloads/details.aspx?FamilyID=C8D3D98B-1CD4-406A-A04A- 2AA2547D09A3&displaylang=en - Download ISA Server 2000 Feature Pack 1 (chứa những hot fixes và những tính năng tăng cường cho ISA 2000): http://www.microsoft.com/isaserver/featurepack1/default.mspx Sau khi download tiến hành quét Virus, bung nén và cài đặt Service packs, Feature Pack. Như vậy về cơ bản đến thời điểm này chúng ta đã có một ISA server 2000 rất mạnh và an toàn. Những vấn đề còn lại phụ thuộc hoàn toàn vào cách các Security Admin cấu hình ISA Server 2000 như thế nào để đảm bảo có được một hệ thống Firewall an toàn ở mức cao nhất có thể. Khuyến cáo: IIS services nên được disabled trên Firewall này vì những lý do an toàn và Performance.Để disable IIS services trên ISA Server 2000 firewall: Click Start, chọn Programs, Administrative Tools. Click Services hoặc tai Run chạy services.msc Xác định các Services sau: FTP Publishing Service Network News Transport Protocol (NNTP) Simple Mail Transport Protocol (SMTP) World Wide Web Publishing Service Tiến hành các bước sau trên mỗi Service : a. Right click trên service và click Properties. b.Trong Startup type , chọn Manual. c. Sau đó Click Stop button. d. Click Apply và click OK. Cấu hình ISA Server 2000: Mục tiêu của cấu hình này cho phép Inernal Clients có thể truy cập hầu hết tất cả các dịch vụ có mặt trên Internet, tuy nhiên cũng sẽ kiểm soát tốI đa các truy nhập bất hợp pháp từ attackers. Mở chức năng DHCP Packet Filter Chức năng này là cần thiết cho các External Interface Card trên ISA server 2000, khi mà các External Card này sử dụng Dynamic IP từ ISP và các connections này thường là Cable, DSL, nhưng Filter này lạI không áp dụng cho Dial-up Connections. chú ý! Như vậy đây là động tác cấu hình đầu tiên cho ISA server 2000, nếu chúng ta có kết nốI nhận Dynamic IP address qua DSL, Cable. 1. Click Start và chọn Programs. Chọn Microsoft ISA Server và click ISA Management . 2. Trong ISA Management console, mở Servers and Arrays node và mở server name. Mở Access Policy node và click IP Packet Filters. 3. Trong khung phảI của ISA Management console, chúng ta thấy DHCP Client packet filter. Packet filter bị disabled theo mặc định. Tiếp theo, enable packet này để có thể cho phép External interface trên ISA Server 2000 firewall nhận IP address từ ISP connection. Double click trên DHCP Client packet filter. Trên General tab, Đánh dấu vào Enable checkbox. Click Apply và click OK.
  12. 4. Mở command Prompt trên ISA server 2000, type C:\> ipconfig /renew để kiểm tra External card đã nhận IP address từ ISP. Tạo một All Open Protocol Rule Protocol Rule cho phép internal network computers truy cập các giao thức ứng dụng xác định khi Clients kết nốI đến các Intenet Servers. (ví dụ HTTP Protocol cho phép Internal Clients kết nốI đến các Web Servers, FTP Protocol kết nốI đến các FTP servers..). Hướng dẫn này sẽ tạo ra một “All IP Traffic” Protocol Rule, cho phép các internal network computers truy cập tất cả các giao thức ứng dụng phổ biến trên Internet, mà các Protocols này đã được xác định trong Protocol Definitions bên dướI ISA Management console Chú ý: Cấu hình này cho phép các Internal network computers truy cập hầu hết, nhưng không phảI tất cả các Applications hiện nay trên Internet. Muốn truy cập những ứng dụng không được định nghĩa trước trong Protocol Definitions, cần phảI config thêm các thông số tương ứng của ứng dụng đó trên Protocol Definitions. 1. Open ISA Management console, mở Servers and Arrays node sau đó mở server name. Mở Access Policy node và right click trên Protocol Rules node. Chọn New và click Rule. 2. Trong Welcome to the New Protocol Rule Wizard page, type All Open trong Protocol Rule name text box và click Next. 3. Chọn Allow option trên Rule Action page và click Next. 4. Chọn All IP traffic trên Protocols page và click Next
  13. 5. Chấp nhận default settings, Always, trên Schedule page và click Next. 6. Chọn Any request option trên Client Type page và click Next. 7. Click Finish trên Completing the New Protocol Rule Wizard page. Enable IP Routing, Enable PPTP Passthrough và Block IP Options Enable IP Routing trên ISA Server 2000 firewall computer gia tăng đáng kể performance cho các internal network computers và cũng cho phép các Internal Clients này PING, và kết nốI đến các Internet VPN servers thông qua PPTP (Point to Point Tunneling Protocol) VPN. Open ISA Management console, mở Servers and Arrays node và sau đó mở server name. Mở Access Policy node và right click trên IP Packet Filters node và click Properties. 1. Trên General tab trong IP Packet Filters Properties dialog box, đánh dấu vào Enable IP routing checkbox.
  14. 2. Click trên Packet Filters tab. Đánh dấu Enable filtering of IP options. 3. Click PPTP tab. Đánh dấu PPTP through ISA firewall checkbox.
  15. Cấu hình một Dial-up Entry (chỉ có các kết nốI Dial-up) ISA Server 2000 firewall computer dùng kết nốI a dial-up để connect tới Internet, yêu cầu xác lập một Dial-up Entry trong ISA Management console. Dial-up entry phụ thuộc vào Dial-up Networking connectoid mà chúng ta đã cấu hình lúc đầu Mở ISA Management console, mở Servers and Arrays node, mở server name. Mở Policy Elements node và click trên Dial-up Entries node. Right click Dial-up Entries node, chọn New và click Dial-up Entry. 1. Trong New Dial-up Entry dialog box, type ISP trong Name text box. 2. Click Select button. Trong Select Network Dial-up Connection dialog box, chọn dial-up connectoid (FPT connection) từ ISP và click OK. 3. Click Set Account button. Trong Set Account dialog box, type user name ISP cung cấp cho account. Type password ISP cấp trong Password text box và confirm lại password trong Confirm password text box. Click OK. 4. Click OK trong New Dial-up Entry dialog box. 5. Right click trên Network Configuration node khung bên trái của ISA Management console và chọn Use primary connection option. Trong Network Configuration Properties dialog box, đánh dấu Use dial-up entry checkbox. 6. Click Apply và sau đó click OK trong Network Configuration Properties dialog box. 7. STEP 5: Cấu hình cho Internal Network Computers Các Internal network computers sẽ được xác lập như ISA Server SecureNAT clients. Một SecureNAT là một machine chỉ vớI xác lập default gateway address trong cấu hình TCP/IP của mình. Default gateway address này có thể là một Router nằm sau ISA Server 2000 firewall, nếu như SecureNAT Clients không cùng Network ID vớI Internal Interface của ISA server ( phảI config cho router này routing được đến Internal card trên ISA server), hoặc là IP address của Internal Card trên ISA server. Ở phần trước chúng ta đã cấu hình DHCP server cung cấp các thông số này Chú ý: Nếu Mô hình Mạng nhỏ chỉ 1 Network ID, có thể chúng ta không busy lắm khi config cho SecureNAT clients, nhưng mô hình Mạng lớn có nhiều Network Ids , có Routers phía sau ISA server firewall cần quan tâm đến các kĩ năng config Routing và phân chia Network IDs đúng. Cấu hìnhg Internal Clients làm DHCP Clients DHCP client sẽ yêu cầu IP address và các thông số từ DHCP server. Tiến hành tạI Client Computers Right click My Network Places icon trên desktop và click the Properties 1. Trong Network Connections window, right click trên network interface and click the Properties 2. Trong Properties dialog box, click Internet Protocol (TCP/IP) và click Properties button. 3. Trong Internet Properties (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically option.
  16. 4. Chọn Use the following DNS server addresses option. Type 192.168.1.200 trong Preferred DNS server text box. Click OK trong Internet Protocol (TCP/IP) Properties dialog box. 5. Click OK . Thực ra 4 và 5 có thể chọn Obtain DNS server address automatically, vì Clients Computer đã dùng DHCP server của Mạng (tất nhiên nếu Client Computers cùng Network ID vớI DHCP server, nếu khác Network ID có thể phảI config thêm tính năng DHCP Relay agent trên Routers..). Xem tiếp: Hướng dẫn cài đặt ISA Enterprise Server 2000 - Phần II HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 (phần 2) HIỂU VỀ CÁC DỊCH VỤ VẬN HÀNH TRÊN ISA SERVER Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm việc với nhau, và với các loại ISA Clients như thế nào. Một sơ đồ đơn giản có thể phác thảo như sau về các Services chính đang chạy trên ISA server.
  17. Cách thức ISA Clients làm việc với ISA server 1. Tất cả các yêu cầu từ ISA Clients đến ISA server được xem xét bởi Packet filters. 2. Các yêu cầu từ SecureNAT Client (chú ý ISA server làm việc trực tiếp với 3 loại ISA Client là SecureNaT Client, Web Proxy Client và ISA Firewall Client, tôi sẽ phân tích các loại ISA client này trong phần tiếp theo), được gửi đến NAT protocol driver và sau đó đến Firewall service là nơi nà các quy tắc (rule) được áp đặt (thông qua Rule Engine) Lưu ý: SecureNAT clients không gửi các thông tin xác thực mình (authentication information) đến ISA server. 3. Những yêu cầu từ ISA Firewall client được gửi đến Firewall service trên ISA server, nếu đó là một HTTP request (khi ISA Firewall Client truy cập Web), thì thay vì gửi đến Firewall service, HTTP redirector trên ISA server sẽ gửi yêu cầu loại này đến Web proxy service trên ISA server. 4. Tất cả những yêu cầu về HTTP/HTTPS, FTP và Gopher luôn được gửi đến Web proxy service. Các dịch vụ chính trên ISA server: - ISA Control Service (MSPADMIN.EXE) ISA control service điều khiển các chức năng trên ISA Server sau: 1. IP packet filters, khi bạn Enable và ghi Log chức năng này trên ISA server 2. Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall) 3. Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần còn lại của ISA servers array. 4. Cập nhật các File cấu hình Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng. 5. Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Service này.
  18. Hình mô tả về stop một service Admin có thể dùng command line để Stop một Service nào đó: C:\> Net stop mspadmin chú thích: mspadmin là tên service cần Stop Và cũng lưu ý quan trọng rằng nếu stop ISA Server Control Service, thì tất cả các ISA Server services cũng Stop theo. - Scheduled Cache Content Download Service (W3PREFCH.EXE) 1. Service này cho phép có thể download nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đã được Config trước (Download scheduled). 2. Có thể config những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành download về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua Cache. Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành download nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2. Thời gian tiến hành download vào lúc 12:00 PM. Sáng hôm sau Clients của các bạn sẽ được phục vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online. 3. Dùng service này có thể download toàn bộ Website nếu bạn muốn làm điều đó Chú ý: Websites chứa các pop-up scripts, cookies hay các gói cài đặt phần mềm ngôn ngữ tương thích với Website - language packs installation (ví dụ website tiếng Japan, China, Thailand, etc...), không thể download được. - HTTP redirector filter Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc với các tính năng của ISA caching, khi HTTP redirector được enable (điều này là mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay vì đến các Service khác. - NAT protocol driver Lưu ý: Microsoft không khuyến cáo chạy RRAS (Rouring and Remote Access Service), trên ISA server vì có thể gây xung đột với NAT Protocol Driver.
  19. Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet. Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA (Internet Assigned Numbers Authority), là thuộc các vùng IP sau: + 10.0.0.0 - 10.255.255.255 + 172.16.0.0 - 172.31.255.255 + 192.168.0.0 - 192.168.255.255 (Các bạn nên tham khảo RFC 1597 để chi tiết hơn về Private IP Address Ranges) Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽ được chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP address của External Interface trên ISA server (vì các IP trong vùng Private IP Address Ranges của Clients không có giá trị communication trực tiếp trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về sẽ phản hồi lại cho Clients trong Mạng nội bộ. - Firewall Service(FWSRV.EXE) 1. Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications) Tôi sẽ có một số định nghĩa để các bạn hiểu thêm như sau: + Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai trò là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall. Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đã làm điều đó, nó hành động nhân danh cho Client và cả Server . Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu này đến Client. Cả hai Client và Server nghĩ rằng chúng nói chuyện trực tiếp với nhau nhưng thực sự chỉ "talk" trực tiếp với Proxy. + Application Level and Circuit Level Proxy Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. Những Proxies trên, được gọi là application-level proxies hay "application-level gateways", bởi vì chúng được chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được gửi đến nó. Một hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc. ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hết các applications trên nền TCP và UDP + SOCKS hay Sockets Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về network designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. SOCKS đã nhanh chóng trở thành một de facto standard (hardware hay software được dùng rộng rãi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn), ngược lại là de jure standard. Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service). SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application. Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server. Vào http://www.socks.permeo.com/TechnicalResources/SOCKSFAQ/SOCKSGeneralFAQ/index.asp (Permeo Technologies' SOCKS Web site ), để tìm hiểu chi tiết về SOCKS và cac Applications tuân theo SOCKS Cũng cần xem thêm mô hình giao tiếp TCP/IP stack. 2. The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp.
  20. 3. Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache. 4. Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode. Lưu ý: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching) 5. Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts. mạng nội bộ vẫn đảm bảo an toàn, bởi vì giao tiếp được thông qua ISA. 6. Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters 7. Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra. 8. Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client. Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts. 9. Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745. 10. Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn..(từ attacker networks v.vv) - Web Proxy Service (W3PROXY.EXE) 1. Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols. 2. Web Proxy Service là một application level service phục vụ cho các CERN-compliant applications (như đã trình bày ở trên ) và những ứng dụng này đã config để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau. Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số như trên Hình
Đồng bộ tài khoản