triển khai cấu hình ISA Server Firewall 2004 phần 4

Chia sẻ: Nguyễn Hà Mỹ Ngọc | Ngày: | Loại File: PDF | Số trang:27

Thêm vào BST

Báo xấu

100
lượt xem 18
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configuration wassuccessfully backed up message. Nên copy file backup này đến nơi lưu trữ an toàn khác trên Mạng nội bộ sau khi backup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ file backup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệ thống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft) ...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: triển khai cấu hình ISA Server Firewall 2004 phần 4

4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configuration wassuccessfully backed up message. Nên copy file backup này đến nơi lưu trữ an toàn khác trên Mạng nội bộ sau khi backup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ file backup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệ thống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft) Kết luận: Trong chương này chúng ta đã bàn về những thủ tục cần thiết khi cài đặt ISA Server 2004 software trên Windows Server 2003 computer. Chúng ta cũng đã xem xét chính sách hệ thống của Firewall (firewall System Policy), được tạo ra trong quá trình cài đặt. Và cuối cùng, chúng ta đã hoàn thành việc lưu giữ lại cấu hình ngay sau khi cài đặt ISA SERVER 2004 Firewall bằng cách thực hiện file backup theo từng bước hướng dẫn. Trong phần tới, chúng ta sẽ cấu hình cho phép truy cập VPN access server từ xa. Trang 70 Triển khai ISA Server Firewall 2004
Chương 8: Sao lưu và Phục hồi cấu hình Firewall ISA Server 2004 bao gồm tính năng mới và tăng cường cho backup và phục hồi. Trong ISA Server 2000, tiện ích backup được tích hợp có thể backup cấu hình của ISA Server 2000 firewall. File backup có thể được sử dụng để phục hồi cấu hình đến củng bản cài đặt ISA Server trên cùng Computer. Tuy nhiên, nếu Hệ điều hành hay phần cứng nếu gặp phải những vấn đề nghiêm trọng tác động trên toàn hệ thông, chắc rằng chỉ có file backup này không thể phục hồi được cấu hình của Firewall Ngược lại, tiện ích backup trên ISA Server 2004 cho phép Admin backup toàn bộ cấu hình Firewall hoặc chỉ backup những phần cần thiết. Và sau đó Admin có thể phục hồi cấu hình này đến cùng phiên bản ISA Server 2004 firewall trên chính Computer đã backup hoặc có thể phục hồi thông tin cấu hình đến một ISA Server 2004 firewall trên một Computer khác. Các hướng dẫn Backup sẽ được thi hành sau một hoặc một số thủ tục sau: • Thay đổi kích cỡ hay vị trí Cache (cache size / location) • Thay đổi chính sách Firewall (Firewall policy) • Thay đổi nền tảng các nguyên tắc ( rule base) • Thay đỗi các nguyên tắc hệ thống (system rules) • Making changes to networks, such as, changing network definition or network rules • Ủy quyền các tác vụ quản trị ISA Server / Bỏ ủy quyền Tính năng nhập/xuất (import/export) cho phép chúng ta xuất các thành phần được chọn lựa trong cấu hình Firewall và sử dụng những thành phần này về sau, hoặc có thể cài đặt nó vào Computer khác. Import/export cũng có thể được dùng để xuất toàn bộ cấu hình của Computer như một phương pháp phân phối cấu hình diện rộng. Bài thực tập bổ ích nhất về backup cấu hình nên được tiến hành ngay sau khi cài đặt ISA Server 2004 firewall software. Thực hiện điều này là tác vụ cơ bản nhằm phục hồi cấu hình nguyên trạng sau cài đặt trên ISA server, kể cả khi chúng ta đã thực hiện các cấu hình khác (điều này giúp các bạn không cần cài đặt lại ISA server) . Chúng ta sẽ tiến hành những công việc sau: • Backup cấu hình Firewall • Phục hồi cấu hình Firewall từ File Backup • Xuất chính sách Firewall • Nhập chính sách Firewall Backup cấu hình Firewall ISA Server 2004 tích hợp sẵn tiện ích backup giúp lưu giữ cấu hình Firewall dễ dàng . Chỉ có một ít các thao tác được yêu cầu khi thực hiện backup và phục hồi cấu hình Tiến hành các bước sau để backup toàn bộ cấu hình Firewall: 5. Mở Microsoft Internet Security and Acceleration Server 2004 management Console, right click trên server name. Click BackUp 6. Trong Backup Configuration dialog box, điền tên file backup trong File name text box. Trong ví dụ này filename là backup1. Click Backup Trang 71 Triển khai ISA Server Firewall 2004
7. Trong Set Password dialog box, điền password và xác nhận lại password. Xin được nhắc lại thông tin trong file backup đã được mã hóa (xem giải thích ở phần trước). Click OK. Trang 72 Triển khai ISA Server Firewall 2004
8. Click OK trong Exporting dialog box khi thông báo The configuration was successfully backed up xuất hiện Nên copy file backup này để lưu trữ ở một vị trí an toàn hơn, không nên lưu trữ trên Firewall này (có thể là trên một Network server, phân vùng lưu trữ được format với NTFS). Phục hồi cấu hình Firewall từ Configuration from the File Backup Admin có thể dùng File backup để phục hồi cấu hình máy. Thông tin có thể được hồi phục trên cùng phiên bản cài đặt của ISA Server 2004 firewall, trên cùng máy hoặc một bản cài đặt hoàn toàn mới, trên một Computer khác. Tiến hành các bước sau để phục hồi cấu hình từ backup: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console, right click trên computer name, Click Restore. 2. Trong Restore Configuration dialog box, tìm file backup trước đó đã tạo. Trong ví dụ này, chúng ta sẽ dùng, file backup có tên là backup1.xml. Click Restore, sau khi đã chọn file Trang 73 Triển khai ISA Server Firewall 2004
3. Đưa vào password mà bạn đã xác nhận trước đó cho file trong Type Password to Open File dialog box, click OK. 4. Click OK trong Importing dialog box khi thấy xuất hiện thông báo The configuration was successfully restored 5. Click Apply để save những thay đổi và cập nhật chính sách cho Firewall. 6. Chọn Save the changes and restart the service(s) trong ISA Server Warning dialog box Trang 74 Triển khai ISA Server Firewall 2004
7. Click OK trong Apply New Configuration dialog box chỉ rõ rằng Changes to the configuration were successfully applied. Giờ đây cấu hình đã phục hồi cho ISA SERVER 2004 đã hoạt động với đầy đủ chức năng và các chính sách của Firewall được áp đặt hiện giờ được lấy từ bản backup cấu hình của Filewall trước đó. Xuất chính sách Firewall (Exporting Firewall Policy) Các Admin không nhất thiết phải luôn luôn export mọi thứ liên quan đến cấu hình của Firewall. Có thể chúng ta chỉ gặp phải một số vấn đề tại Access Policies và muốn gửi những thông tin này đến một Security admin nào đó xem xét. Khi ấy chỉ cần export các Access Policies hiện thời của Firewall, sau đó gửi Export File này đến một chuyên gia về ISA Server 2004, để họ có thể nhanh chóng nhập (import) các Policies này vào một ISA server 2004 Test Computer, và chẩn đoán vấn đề Trong ví dụ này, chúng ta sẽ export cấu hình VPN Clients ra một file. Tiến hành lần lượt các bước sau: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name, right click trên Virtual Private Networks (VPN) node. Click vào Export VPN Clients Configuration. 2. Trong Export Configuration dialog box, điền tên cho export file trong File name text box. Đưa một số thông tin mô tả về nơi chúng ta lưu trữ file. Check vào Export user permission settings and Export confidential information (encryption will be used) check boxes nếu bạn muốn lưu thông tin riêng nằm bên trong VPN Clients configuration (chẳng hạn như các password bí mật của IPSec- IPSec shared secrets). Trong ví dụ này, Chúng ta sẽ đặt file là VPN Clients Backup. Click Export. Trang 75 Triển khai ISA Server Firewall 2004
3. Trong Set Password dialog box, điền một password và xác nhận lại password trong Confirm password text box. Click OK. 4. Click OK trong Exporting dialog box khi chúng ta thấy thông báo Successfully exported the configuration. Trang 76 Triển khai ISA Server Firewall 2004
Nhập chính sách Firewall (Importing Firewall Policy) File export có thể được import đến cùng Computer hoặc một Computer khác có ISA Server 2004 đã cài đặt. Trong ví dụ sau, chúng ta sẽ import các xác lập của VPN Clients đã được export trong phần trước. Tiến hành các bước sau để import VPN Clients settings từ file đã export: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và right click vào Virtual Private Networks (VPN) node. Click Import VPN Clients Configuration. 2. Trong Import Configuration dialog box, chọn file VPN Clients Backup. Đánh dấu vào, Import user permission settings và Import cache drive settings và SSL certificates checkboxes. Trong ví dụ này, cache drive settings, không quan trọng, nhưng SSL certificates là cần thiết nếu chúng ta muốn dùng cùng certificates, đã được sử dụng cho IPSec hoặc L2TP/IPSec VPN connections. Click Import. Trang 77 Triển khai ISA Server Firewall 2004
3. Điền password để mở trong Type Password to Open File dialog box. Click OK. 4. Click OK trong Importing Virtual Private Networks (VPN) dialog box khi nhận được thông báo Successfully imported the configuration. 5. Click Apply để áp dụng những thay đổi và cập nhật Firewall policy. 6. Click OK trong Apply New Configuration dialog box khi nhận được thông báo Changes to the configuration were successfully applied. Lưu ý rằng, những thay đổi trong cấu hình VPN có thể mất vài phút để cập nhật Kết luận: Trong chương này chúng ta đã thảo luận việc backup và phục hồi cấu hình của ISA Server 2004 firewall. Chúng ta cũng đã xem xét các tính năng của export và import, cho phép thực hiện backup các thành phần lựa chọn (cần thiết), của cấu hình Firewall Trong chương tới, chúng ta sẽ dùng ISA Server 2004 Network Templates để đơn giản hóa cấu hình ban đầu của các Networks, Network Rules, và các Access Policies của Firewall. Trang 78 Triển khai ISA Server Firewall 2004
Chương 9: Đơn giản hóa cấu hình Mạng với các Network Templates ISA Server 2004 firewall mang đến cho chúng ta những thuận lợi to lớn, một trong những số đó là các Network Templates (mô hình mẫu các thông số cấu hình Mạng). Vì sự hỗ trợ thông qua các templates này, mà chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo được một cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng.. Chúng ta có thể chọn một trong số các Network Templates sau: • Edge Firewall Network Template dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có một Network interface được trực tiếp kết nối đến Internet và một Network interface được kết nối với Internal network • 3-Leg Perimeter Network Template dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network Interfaces. Một External interface (kết nối Internet), một Internal interface (kết nối Mnạg nội bộ) và một DMZ interface (kết nối đến Mạng vành đai- Perimeter Network). Template này, cấu cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau. • Front Firewall Dùng Front Firewall Template khi ISA Server 2004 firewall đóng vai trò một frontend firewall trong mô hình back-to-back firewall. Vậy thế nào là một back- to-back firewall ? Đơn giản đó là mô hình kết nối 2 Firewall làm việc với nhau theo kiểu trước (front) sau (back). Phía ngoài Front Firewall có thể là Internet, giữa Front và back firewall có thể là là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall • Back Firewall Như vừa trình bày ở trên có lẽ các bạn đã hiểu về vị trí của một Back firewall, và Back Firewall Template được sử dụng cho một ISA Server 2004 firewall nằm sau một ISA Server 2004 firewall khác phía trước nó (hoặc một third-party firewall nào đó). • Single Network Adapter Template dạng Single Network Adapter là một cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. Trang 79 Triển khai ISA Server Firewall 2004
Được dùng trong những trường hợp ISA SERVER 2004 chỉ có duy nhất một Network Card (unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server. Trong phần này, chúng ta sẽ phác thảo 2 kịch bản sau: • Kịch bản 1: Cấu hình cho Edge Firewall • Kịch bản 2: Cấu hình cho 3-Leg Perimeter Cần xem xét lại chương 1 để nắm rõ cấu hình Mạng, và cấu hình cho ISA SERVER 2004 trong Test Lab này. Kịch bản về cấu trúc Mạng của chúng ta trong Test lab tương thích với Kịch bản 2, ngược lại có thể tham khảo kịch bản 1 Kịch bản 1: Cấu hình Edge Firewall Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có một network interface gắn trực tiếp Internet và một Network interface thứ 2 kết nối với Internal network. Network template này cho phép Admin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng đưa cấu hình điều khiển truy cập (access control) giữa Internal network và Internet. Bảng 1 cho chúng ta thấy các chính sách của Firewall (firewall policies) đã sẵn sàng khi sử dụng Edge Firewall template. Mỗi chính sách trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập. Từ xác lập tất cả các hoạt động đều được cho phép (All Open Access Policy) giữa Internal network và Internet cho đến xác lập ngăn chặn tất cả (Block All policy) hoạt động giữa Internal network và Internet. Table 1: Những lựa chọn về chính sách của Firewall khi dùng Network Edge Firewall Template Firewall Policy Mô tả Block All Ngăn chặn tất cả truy cập qua ISA (Ngăn chặn tất cả) Server Lựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài nguyên tắc ngăn chặn tất cả truy cập Ngăn chặn tất cả truy cập qua ISA Block Internet Access, allow access to server, ngoại trừ những truy cập đến các ISP network services Network services chẳng hạn DNS service. (Ngăn chặn truy cập ra Internet, nhưng Lựa chọn này sẽ được dùng khi các ISP cho phép truy cập đến một số dịch vụ cung cấp những dịch vụ này. của ISP) Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau: 1. Allow DNS from Internal Network and VPN Clients Network to External Network Trang 80 Triển khai ISA Server Firewall 2004
(Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS của ISP để xác định hostnames bên ngoài (như Internet). Allow limited Web access Chỉ cho phép truy cập Web dùng các giao (Cho phép truy cập Web có giới hạn) thức: HTTP, HTTPS, FTP. Còn lại tất cả truy cập khác sẽ bị ngăn chặn. Những nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy cập dạng HTTP, HTTPS, FTP từ Internal network ra bên ngoài. 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (từ bên ngoài) truy cập vào bên trong Mạng nội bộ. Cho phép truy cập Web có giới hạn dùng Allow limited Web access and access to HTTP, HTTPS, và FTP, và cho phép truy ISP network services cập tới ISP network services như DNS. (Cho phép truy cập Web có giới hạn và Còn lại ngăn chặn tất cả các truy cập truy cập đến một số dịch vụ của ISP) Network khác. Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Clients Network ra External Network (Internet) 2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (bên ngoài, VPN Clients thực hiện kết nối vào Mạng nội bộ thông qua Internet), được truy cập vào bên trong Mạng nội bộ. Allow unrestricted access Cho phép không hạn chế truy cập ra Trang 81 Triển khai ISA Server Firewall 2004
(Cho phép truy cập không giới hạn) Internet qua ISA Server Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng tất cả giao thức từ Internal Network và VPN Clients Network tới External Network (Internet) 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả giao thức từ VPN Clients Network truy cập vào Internal Network. Tiến hành những bước sau khi dùng Edge Firewall Network Template để cấu hình Firewall: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và mở rộng tiếp Configuration node. Click vào Networks node. 2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template. Trang 82 Triển khai ISA Server Firewall 2004
3. Click Next trên Welcome to the Network Template Wizard page. Trang 83 Triển khai ISA Server Firewall 2004
4. Trên Export the ISA Server Configuration page, bạn được chọn lựa để Export cấu hình hiện tại. Hoàn toàn có thể quay lại cấu hình ISA Server 2004 firewall trước khi dùng Edge Firewall network template , bởi vì chúng ta đã backed up cấu hình hệ thống trước đó và vì thế cũng không cần phải export cấu hình tại thời điểm này. Click Next. Trang 84 Triển khai ISA Server Firewall 2004
5. Trên Internal Network IP Addresses page, Xác định Internal network addresses. Vùng địa chỉ nội bộ Internal network address hiện đã tự động được xác định trong Address ranges list. Và bạn có thể dùng Add, Add Adapter và Add Private button để mở rộng vùng danh sách Adrress này. Trong ví dụ của chúng ta, giữ nguyên vùng Internal network address. Click Next. Trang 85 Triển khai ISA Server Firewall 2004
6. Trên Select a Firewall Policy page bạn có thể chọn một firewall policy và một tập hợp các Access Rules. Trong ví dụ này chúng ta muốn cho phép các Internal network clients có thể truy cập đến tất cả Protocol của tất cả các Sites trên Internet. Sau khi đã có kinh nghiệm hơn với ISA Server 2004 firewall, bạn có thể gia tăng mức độ security của tất cả các truy cập ra ngoài - outbound access . Tại thời điểm này chỉ cần thử nghiệm cho phép truy cập Internet. Chọn Allow unrestricted access policy từ danh sách và click Next. Trang 86 Triển khai ISA Server Firewall 2004
7. Review lại các xác lập vừa rồi và click Finish trên Completing the Network Template Wizard page. 8. Click Apply lưu lại những thay đổi và cập nhật firewall policy. 9. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. 10. Click trên Firewall Policies node trong khung tráiđể xem các policies được tạo bởi Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients truy cập đầy đủ ra Internet, và VPN clients cũng được đầy đủ quyền truy cập vào Internal network. Trang 87 Triển khai ISA Server Firewall 2004
Kịch bản 2: Cấu hình 3-Leg Perimeter Cấu hình Firewall theo template dạng 3-leg perimeter sẽ tạo ra các mối quan hệ giữa các Network: Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép người dùng Internet truy cập vào như:public DNS server hoặc một caching-only DNS server. Table 2: Những chọ lựa tại 3-Legged Perimeter Firewall Template Firewall Policy Firewall Policy Mô tả Block all Chặn tất cả truy cập qua ISA Server. Lựa chọn này sẽ không tạo bất kì Rules nào khác hơn ngoài default rule - ngăn chặn tất cả truy cập Chặn tất cả truy cập qua ISA Server, Block Internet access, ngoài trừ những truy cập đến các allow access to network services, như DNS trên DMZ . network services on Các access rules sau sẽ được tạo: the perimeter network 1. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network –Cho phép các truy cập dịch vụ DNS từ Internal Network và VPN Clients Network đến Perimeter Network Ngăn chặn tất cả các truy cập Mạng qua Block Internet access, firewall ngoại trừ các network services allow access to ISP như DNS. Lựa chọn này là phù hợp khi network services nhà cung cấp các dịch vụ mạng cơ bản là Trang 88 Triển khai ISA Server Firewall 2004
Internet Service Provider (ISP) của bạn. Các rules sau sẽ được tạo: 1. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) –Cho phép DNS từ Internal Network, VPN Clients Network và Perimeter Network đến External Network (Internet) Chỉ cho phép cac truy cập hạn chế dùng Allow limited Web các Protcol Web như: HTTP, HTTPS, FTP access, allow access và cũng cho phép truy cập các network to network services services như DNS trên DMZ. on perimeter network Tất cả các truy cập Mạng khác đều bị blocked. Lựa chọn này phù hợp khi tất cả các dịch vụ hạ tầng Mạng nằm trên DMZ. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet) 2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network 3. Allow all protocols from VPN Clients Network to Internal Network Cũng giống như trên nhưng chỉ khác là Allow limited Web các network services như DNS do access and access to Internet Service Provider (ISP) của bạn ISP network services cung cấp. Tất cả các truy cập Mạng khác đều bị blocked. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet) 2. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network Allow unrestricted Cho phép tất cả các loại truy cập ra access Internet qua firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network Trang 89 Triển khai ISA Server Firewall 2004