Đề Cương Mô Đun: Cài Đặt và Quản Trị ISA Server | Môn Công nghệ thông tin - Trường Cao đẳng Kinh tế - Kỹ thuật Trung ương

lOMoAR cPSD| 58794847 ĐỀ CƯƠNG ISA SERVER lOMoAR cPSD| 58794847 LỜI NÓI ĐẦU
Bộ đề cương này là một trong các bộ đề cương của mô đun đào tạo nghề
bắt buộc thuộc chuyên nghành Quản trị mạng. Đề cương được xây dựng theo
phương châm vừa đáp ứng yêu cầu chuẩn mực của mô đun đào tạo trình độ
trung cấp nghề - cao đẳng nghề, vừa có giá trị thực tiễn, đồng thời tăng cường
khả năng tự học, tự nghiên cứu của sinh viên. Mô đun được bố trí sau khi sinh
viên đã học xong mô đun, môn học Quản trị mạng nâng cao, Bảo trị hệ thống
mạng. Trên cơ sở đó, chúng tôi đã tham khảo nhiều tài liệu có giá trị của các
tác giả và lấy từ các ứng dụng thực tiễn.
Giáo trình này được dùng kèm các tài liệu điện tử trên internet, các bài
tập do giảng viên cung cấp nhằm đáp ứng tốt nhất cho việc tự học của sinh viên.
Chúng tôi rất mong nhận được các ý kiến đóng góp để bộ đề cương ngày càng hoàn thiện. Tác giả
Bài 1: Triển khai cơ sở hạ tầng mạng với
những dịch vụ cần thiết
1. Giới thiệu về ISA Server
Tầm quan trọng của Firewall:
Hiện nay, bảo mật thông tin đang đóng một vai trò thiết yếu trong mọi hoạt động liên
quan đến việc ứng dụng CNTT. Vai trò to lớn của việc ứng dụng CNTT đang diễn ra sôi
động, không chỉ thuần túy là những công cụ phần cứng, phần mềm, mà thực sự đã được
xem như là giải pháp cho nhiều vấn đề. Ngay từ những năm đầu thập niên 90, một số ít
chuyên gia CNTT với những hiểu biết còn hạn chế, đưa CNTT ứng dụng trong các hoạt
động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ. Đôi
khi họ còn nhận thấy những công cụ đắt tiền này còn gây một số cản trở, không đem lại hiệu quả thiết thực. lOMoAR cPSD| 58794847
Trong khu vực, những nền kinh tế mạnh đang trên đà phát triển mạnh mẽ. Từ rất sớm
họ đã nhận thức được sự ưu việt của ứng dụng CNTT áp dụng vào mọi hoạt động không
chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Họ cũng
học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo. CNTT
đang dần trở thành một đối tượng được săn lùng, được kiểm soát, và cũng là bệ phóng
cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và bền
vững. Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin
và đem những thông tin này vào ứng dụng một cách có hiệu quả. Xét trên bình diện một
doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có
được điều này. Tính hiệu quả là điểu bắt buộc, và sự bền vững cũng là tất yếu.
Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống
thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy
trì tính bền vững cho hệ thống thông tin của 1 doanh nghiệp. Và tất cả chúng ta đều
hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về
vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng
sẽ ra sao nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi
dụng với những mục đích khách nhau… hacker, attacker, virus, worm,… những khái
niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin.
Chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu
cách xử lý để đối phó với những thế lực đen đáng sợ đó. Ai tạo ra bức tường lửa đủ mạnh
này để có thể “ thiêu cháy” mọi ý đồ xâm nhập? Từ Personal Firewall bảo vệ cho từng
Computer đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Mạng của một
tổ chức. Và Microsoft ISA SERVER là một công cụ như thế. Một sản phẩm tốt và là
người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin. Isa Server là gì ?
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm chia sẻ
internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm chia
sẻ internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép
bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ
cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp
bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho việc tự
động download thông tin trên các WebServer lưu vào Cache, và máy con chỉ cần lấy
thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa
Hiện nay ISA Server có 2 phiên bản Standard và Enterprise. -
Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng vừa
và nhỏ. Với phiên bản này ta có thể xây dựng firewall kiểm soát luồng dữ liệu vào ra
của hệ thống, thiết lập các chính sách firewall ngăn chặn việc truy cập vào các Website
có nội dung không phù hợp. lOMoAR cPSD| 58794847 -
Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng lớn,
đáp ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài. Ngoài
những tính năng đã có trên ISA Standard Edition, phiên bản Enterprise còn cho phép
thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ
dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) 2.
Các tính năng trên ISA Server
ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngoài lẫn
kiểm soát các truy cập từ bên trong Mạng nội bộ của một tổ chức. ISA Server 2004
firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua
Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một
quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó
những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào
cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại.
ISA Server 2004 firewall chứa nhiều tính năng mà các Security Admin có thể dùng để
đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Mạng nội bộ.
Các Network Services và những tính năng trên ISA SERVER 2004 sẽ được cài đặt và cấu hình gồm:
• Microsoft Certificate Services: dịch vụ cung cấp các chứng thư kĩ thuật số phục vụ
nhận dạng an toàn khi giao dịch trên Mạng.
• Microsoft Internet Authentication Services (RADIUS): dịch vụ xác thực an toàn
chocác truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN).
• Microsoft DHCP Services: dịch vụ cung cấp các xác lập TCP/IP cho các node trên
Mạng. Và WINS Services: dịch vụ cung cấp giải pháp truy vấn NETBIOS name của các Computer trên Mạng.
• Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng autodiscovery (tự động
khám phá) và autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients.
Rất thuận lợi cho các ISA Clients (Web và Firewall clients) trong một tổ chức khi họ
phải mang Computer từ một Network (có một ISA SERVER) đến Network khác (có
ISA SERVER khác) mà vẫn tự động phát hiện và làm việc được với Web Proxy Service
và Firewall Service trên ISA SERVER này .
• Cài đặt Microsoft DNS server trên Perimeter network server (Network chứa cácServer
cung cấp trực tuyến cho các Clients bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN)
• Cài đặt ISA Server 2004 firewall software
• Back up và phục hồi thông tin cấu hình của ISA Server 2004 firewall lOMoAR cPSD| 58794847
• Dùng các mô hình mẫu của ISA Server 2004 (ISA Server 2004 Network Templates) để cấu hình Firewall.
• Cấu hình các loại ISA Server 2004 clients
• Tạo các chính sách truy cập (Access Policy) trên ISA Server 2004 firewall
• Publish Web Server trên một Perimeter network
• Dùng ISA Server 2004 firewall đóng vai trò một Spam filtering SMTP relay (trạm
trung chuyển e-mails, có chức năng ngăn chặn Spam mails)
• Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của
Microsoft, tương tự Lotus Notes của IBM)
• Cấu hình ISA Server 2004 firewall đóng vai trò một VPN server
• Tạo kết nối VPN theo kiểu site to site giữa hai Networks
Trước khi thực hành cấu hình ISA Server 2004 firewall, phải nhận thức rõ ràng : Đây là
một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hình lỗi sẽ
tạo điều kiện cho các cuộc xâm nhập Mạng. Với những lý do này, điều quan trọng nhất
các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn
cho việc truy cập Internet . Với cấu hình mặc định của mình ISA SERVER 2004 ngăn
chặn tất cả lưu thông vào, ra qua firewall. Rõ ràng đây là một cấu hình chủ động, an toàn
nhất mà Admin có thể yên tâm ngay từ đầu khi vận hành ISA SERVER. Và sau đó để
đáp ứng các yeu cầu hợp pháp truy cập các dịch vụ khác nhau của Internet (ví dụ như
web, mail, chat, download, game online v.vv..), Security Admin sẽ cấu hình để ISA
SERVER 2004 có thể đáp ứng cácyêu cầu được phép trên.
Các Securty Admin luôn được khuyến cáo: Hãy tạo các cuộc kiểm tra cấu hình ISA
SERVER 2004 trong phòng Lab, trước khi đem các cấu hình này áp dụng thực tế. Chúng
ta sẽ được hướng dẫn cấu hình ISA Server 2004 firewall đúng cách, chính xác thông qua
giao diện làm việc rất gần gủi của ISA SERVER 2004. Có thể có những sai lầm khi thực
hiện Lab, nhưng các Admin không qua lo lắng vì chắc rằng các attackers không thể lợi
dụng những lỗ hỗng này (trừ khi Lab Network được kết nối với Internet..). Trên Lab điều
quan trọng nhất là hiểu đúng các thông số đã cấu hình, cho phép sai phạm và các Admin
rút ra kinh ghiệm từ chính những “mistakes” này. 3.
Ví dụ một mô hình xây dựng ISA
ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của
tổ chức. Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa
mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập
Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (‘security
polices’) để phân phát đến ‘user’ một số cách thức truy cập Internet mà họ được phép. Đồng
thời, nhiều tổ chức cũng cung cấp cho các ‘user’ ở xa (‘remote user’) một số cách thức truy
cập đến các máy chủ trong mạng tổ chức. Ví dụ, nhiều công ty cho phép máy chủ Mail trên lOMoAR cPSD| 58794847
Internet kết nói đến máy chủ Mail trong mạng của công ty để gửi e-mail ra Internet. ISA
Server được sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy được bảo mật.
ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp,
vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như
Internet). Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.
Mạng bên trong (‘interal network’) hay gọi là mạng được bảo vệ thường được đặt trong tổ
chức và có sự giám sát của nhân viên IT trong tổ chức. ‘Internal network’ coi như đã được
bảo mật một cách tương đối, tức là, thông thường những ‘user’ đã được chứng thực mới có
quyền truy cập vật lý đến ‘interal network’. Ngoài ra, Nhân viên IT có thể quyết định những
loại ‘traffic’ nào được cho phép trên ‘internal network’.
Thâm ch椃Ā cho d甃 ‘interal network’ an to愃n hơn Internet, th椃 bạn c甃̀ng không nên c漃Ā
礃Ā ngh椃̀ ̣ sai l m rằng, bạn ch椃ऀ c n bảo vê v愃nh đai mạng. Đ ऀ bảo vệ mạng
c甃ऀ a bạn mộ
t cách đ y đ甃ऀ , ̣ bạn phải vạch ra k Ā hoạch bảo vê theo chi u sâu,
n漃Ā bao g m nhi u bước đ ऀ đảm bảo cho ̣ mạng c甃ऀ a bạn được an to愃n, thâm ch椃Ā
trong trường hợp v愃nh đai bị “th甃ऀ ng”. Nhi u cuộ c ̣ t Ān công mạng g n đây như
‘virus’ v愃 ‘worm’ đ愃̀ t愃n phá những mạng c漃Ā v愃nh đai an to愃n. ISA Server l愃 thi Āt
y Āu trong viêc bảo vệ v愃nh đai mạng, nhưng bạn đừng ngh椃̀, sau khi tri ऀ ṇ khai ISA
Server th椃 viêc c甃ऀ a bạn đ愃̀ xong.̣
Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các ‘traffic’ của mạng
trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác
định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng
gì. Ngoài ra, những gói tin trên mạng (‘network packet’) gửi qua Internet không được an toàn,
bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy ‘packet sniffer’ trên một lOMoAR cPSD| 58794847
phân đoạn mạng Internet. ‘Packet Sniffer’ là một ứng dụng mà bạn có thể sử dụng để bắt lấy
và xem tất cả các ‘traffic’ trên một mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet
sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’.
Internet l愃 một phát minh kh漃Ā tin v愃 đ y quy Ān r甃̀. Bạn c漃Ā th ऀ t椃m ki Ām trên
mạng n愃y nhi u thông tin hữu 椃Āch. Bạn c漃Ā th ऀ gặp gỡ những người khác, chia sẽ
với họ sở th椃Āch c甃ऀ a bạn v愃 giao ti Āp với họ. Nhưng đ ng thời Internet c甃̀ng l愃
một nơi nguy hi ऀ m, r Āt đơn giản, bởi lẽ ai c甃̀ng truy cập được. V椃Ā dụ, Internet không
th ऀ bi Āt được ai l愃 một người d甃ng b椃nh thường vô hại, ai l愃 tội phạm mạng – những
kẻ phá hoại, cả hai đ u c漃Ā quy n truy cập Internet. Đi u đ漃Ā c漃Ā ngh椃̀a l愃, không
sớm th椃 muộn, khi tổ chức c甃ऀ a bạn tạo một k Āt nối đ Ān Internet th椃 k Āt nối đ漃Ā
sẽ được phơi b愃i ra cho b Āt kỳ ai k Āt nối Internet. Đ漃Ā c漃Ā th ऀ l愃 một người d甃ng
hợp pháp t椃m ki Ām thông tin trên Website c甃ऀ a tổ chức, đ漃Ā c甃̀ng c漃Ā th ऀ l愃 kẻ
x Āu cố gắng ‘deface’ to愃n bộ dữ liệu trên Website hoặc đánh c Āp dữ liệu khách h愃ng
từ tổ chức c甃ऀ a bạn.
V椃 đ漃Ā l愃 bản ch Āt h Āt sức tự nhiên c甃ऀ a Internet, việc bảo mật cho n漃Ā l愃 h u
như không th ऀ . Nên tốt nh Āt, bước đ u tiên trong việc bảo vệ k Āt nối Internet c甃ऀ a
bạn l愃 xem t Āt cả ‘user’ k Āt nối đ Ān bạn đ u l愃 “kẻ x Āu” cho tới khi “thân phận”
c甃ऀ a họ được chứng minh.
Hình 1 đã cho thấy môt ví dụ đơn giản của mộ
t cấu hình mạng mà ở đó, ranh giới giữa ̣
‘internal network’ và Internet được định nghĩa môt cách dễ dàng. Trong thực tế, việ c định ̣
nghĩa ranh giới giữa ‘interal network’ của tổ chức với phần còn lại của thế giới là không hề
đơn giản. Hình 2 cho thấy môt sự phức tạp hơn, nhưng thực tế hơn và “kịch tính” hơn.̣ lOMoAR cPSD| 58794847
Vành đai mạng đã trở nên khó định nghĩa hơn theo như kịch bản trong hình 2. Kịch bản
này cũng khiến viêc bảo mậ
t kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậ y
ISA ̣ Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo
kịch bản trong hình 2, ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiên ̣ các viêc như sau:̣
•Cho phép truy câp nặ c danh đến Website dùng chung (‘public website’), trong khi đó ̣ lọc
ra mã đôc hại nhắm đến việ c gây hại Website.̣
•Chứng thực ‘user’ từ tổ chức của đối tác trước khi gán quyền truy câp đến Website dùng ̣
riêng (‘private website’).
•Cho phép truy câp VPN giữa những vùng địa lý khác nhau, nhờ đó ‘user’ ở chi nhánh ̣
văn phòng có thể truy câp đến tài nguyên trong ‘interal network’.̣
•Cho phép nhân viên ở xa truy câp ‘internal Mail Server’, và cho phép ‘client’ truy cậ p ̣
VPN đến ‘internal File Server’.
•䄃Āp đăc chính sách truy cậ
p Internet của tổ chức hòng giới hạn những giao thức
được ̣ dùng tới ‘user’, và lọc từng ‘request’ để chắc chắn họ chỉ đang truy câp đến các tài
nguyên ̣ Internet cho phép. lOMoAR cPSD| 58794847
Bài 2: Cài Đặt Certificate Services
1. Cài đặt Internet Information Service 6.0
Microsoft Certificate Services có thể được cài đặt trên Domain controller của
internal network và cung cấp các Certificates cho các Hosts trong Internal
network domain, cũng như các Hosts không là thành viên của Internal network domain.
Chúng ta sẽ sử dụng Certificates trong nhiều kịch bản khác nhau, các công việc cần hoàn thành:
• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec
VPN protocol, tạo liên kết site-to-site VPN.
• Cho phép ISA Server 2004 firewall cung cấp kênh để hỗ trợ L2TP/IPSec
VPN protocol, tạo điều kiện cho VPN client thực hiện kết nối từ một Remote Location (site)
• Cho phép remote users có thể truy cập đến Outlook Web Access site,
phương thức bảo mật mạnh SSL-to-SSL bridged connections. • Publish
secure Exchange SMTP và POP3 services lên Internet Certificates cho
phép dùng SSL/TLS security. SSL (Secure Sockets Layer) protocol, là một
giao thức lớp session (layer) có khả năng mã hóa dữ liệu truyền giữa client
và server. SSL security hiện được xem là chuẩn cung cấp an toàn cho các
remote access đến các Websites. Ngoài ra, certificates còn có thể được dùng
để xác nhận các đối tượng tham gia các kết nối VPN , bao gồm VPN clients
và VPN servers (phương pháp này gọi là xác thực cả hai chiều- mutual Authentication)
Trong phần này chúng ta sẽ đề cập đến các tiến trình sau:
• Cài đặt Internet Information Services 6.0 để hỗ trợ Certificate
Authority’s Web Enrollment ( nhận các Certificates từ CA server thông
qua hình thức đăng kí trên CA’sWeb)
• Cài đặt Microsoft Certificate Services ở chế độ Enterprise CA
Cài đặt Internet Information Services 6.0 Certificate Authority’s Web
enrollment site sử dụng Internet Information Services World Wide
Publishing Service. Bởi vì chúng ta đã cài IIS Web services, trong chương
1 khi tiến hành cài Exchange 2003 hỗ trợ Outlook Web Access site, nên sẽ
không cần cài lại IIS service. Tuy nhiên, bạn nên xác nhận lại WWW
Publishing Service đã được Enabled, trước khi tiến hành cài Enterprise CA.
Thi hành các bước sau để xác nhận WWW Publishing Service đang chạy trên domain controller:
1. Click Start chọn Administrative Tools. Click Services. lOMoAR cPSD| 58794847
2. Trong Services console, click Standard tab phía dưới. Kéo xuống danh
sách và double-click vào World Wide Web Publishing Service .
3. Trong World Wide Web Publishing Server Properties dialog box, xác
nhận Startup type là Automatic, và trang thái vận hành của service là Started.
4. Click Cancel và đóng Services console.
Như vậy WWW Publishing Service đã vận hành, bước tiếp theo là cài đặt
Enterprise CA software.
2. Cài đặt Certificate Services ở chế độ Enterprise CA
Cài đặt Certificate Services ở chế độ Enterprise CA
Microsoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domain
controller. Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược
lại với Standalone mode) bao gồm: •
Chứng thư gốc của CA (root CA certificate) được tự động đưa vào vùng
lưu trữ Certificate của Trusted Root Certification Authorities (certificate
store) trên tất cả các máy thành viên của Domain (domain member). Các
Computer thành viên của Domain khi dùng các giao dịch cần Certificates để
nâng cao tính an toàn, có thể dễ dàng tìm các nhà cung cấp hơp pháp- CA
servers, trong Trusted Root Certification Authorities trên Computer của mình. lOMoAR cPSD| 58794847 •
Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại
RUN, type mmc, chọn File, Add/Remove snap-in, Add, chọn Certificates),
và dễ dàng dùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites •
Tất cả các Computer trong Domain có thể được phân chia Certificates
đồng loạt thông qua tính năng Active Directory autoenrollment feature Lưu
ý rằng không nhất thiết phải cài CA ở Enterprise mode. Bạn có thể cài CA ở
chế độ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập
standalone mode hoặc làm thế nào để xin cấp certificate từ một Standalone CA
Tiến hành các bước sau để cài đặt Enterprise CA trên Domain Controller EXCHANGE2003BE
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, kéo danh sách xuống và check vào
Certificate Services checkbox. Click Yes trong Microsoft Certificate
Services dialog box, thông báo rằng informing “you may not change the
name of the machine or the machine’s domain membership while it is acting
as a CA”. Như vậy là rất rõ ràng Bạn không thể thay đổi Computer Name
hoặc thay đổi tư cách thành viên Domain của Computer này, sau khi đã cài CA service.Click Yes.
4. Click Next trên Windows Components page.
5. Trên CA Type page, chọn Enterprise root CA option và click Next. lOMoAR cPSD| 58794847
6. Trên CA Identifying Information page, điền tên cho CA server này trong
Common name của CA text box. Nên dùng tên dạng DNS host name của
domain controller. Tham khảo về cấu hình DNS hỗ trợ ISA server
http://www.tacteam.net/isaserverorg/isabokit/9dnssupport/9dnssupport.ht
m Trong text box này các bạn điền vào NetBIOS name của domain
controller là EXCHANGE2003BE. Click Next. lOMoAR cPSD| 58794847
7. Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish
to overwrite the existing key”, ghi đè lên các kh漃Āa đ愃̀ t n tại. Còn nếu
bạn đã triển khai các CA khác trên mạng có thể không nên overwrite các
khóa hiện tại. Và nếu đây là CA đầu tiên, có thể chấp nhận overwrite the
existing key. Trong ví dụ này chúng ta trước đó đã chưa cài CA trên
Computer vì vậy không nhìn thấy dialog box thông báo như trên
8. Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định cho
Certificate Database và Certificate database log text boxes. Click Next. 9.
Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được
thông báo phải restart Internet Information Services. Click Yes để stop
service. Service sẽ được restart automatic.
10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box,
đưa đường dẫn đến I386 folder trong Copy file from text box và click OK.
11. Click Finish trên Completing the Windows Components Wizard page.
12. Đóng Add or Remove Programs.
Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer
khác trong Domain thông qua autoenrollment, Certificates mmc snap-in,
hoặc qua Web enrollment site. Trong hướng dẫn cấu hình ISA Server 2004
này, chúng ta sẽ cấp phát một Web site certificate cho OWA
Web site và cũng cấp phát các Computer certificates cho ISA Server 2004 firewall
computer và cho các external VPN client và VPN gateway (VPN router) machine. lOMoAR cPSD| 58794847 Kết luận:
Trong phần này chúng ta đã thảo luận về việc dùng một CA- Certificate
Authority và làm thế nào để cài đặt một Enterprise CA trên Domain controller
trong internal network.
Bài 3: Cài đặt ISA Server trên windows Server
Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức
tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu
cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá
trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network
IP address range(s). Không giống như ISA Server 2000, ISA Server 2004
không sử dụng bảng Local Address Table (LAT) để xác định đâu là Mạng đáng
tin cậy (trusted Networks), và đâu là Mạng không được tin cậy (untrusted
networks). Thay vào đó, ISA Server 2004 firewall các IP addresses nội bộ
được xác nhận bên dưới Internal network. Internal network nhằm xác định
khu vực có các Network Servers và các
Services quan trọng như: Active Directory domain controllers, DNS, WINS,
RADIUS, DHCP, các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa
Internal network và ISA Server 2004 firewall được điều khiển bởi các chính
sách của Firewall (firewall’s System Policy).
System Policy là một tập hợp các nguyên tắc truy cập được xác định trước
(pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép
vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được
cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt
chặt hoặc nới lõng từ các Access Rules mặc định của System Policy.. Trong
phần này, chúng ta sẽ đế cập đến các vấn đề sau:
• Cài đặt ISA Server 2004 trên Windows Server 2003
• Xem lại các chính sách hệ thống mặc định trên ISA SERVER 2004 Firewall (Default System Policy) lOMoAR cPSD| 58794847
1. Cài đặt ISA Server
Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối
không phức tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các
xác lập về Internal network (những IP addresses nào sẽ được xác định tại phần
này). Cấu hình các địa chỉ cuả Internal network là một phần quan trọng, bởi
vì chính sách hệ thống của Firewall (firewall’s System Policy ) sẽ căn cứ vào
đây để định nghĩa các nguyên tắc truy cập- Access Rules Tiến hành các bước
sau để cài đặt ISA Server 2004 software trên dual homed (máy gắn hai
Network Cards) Windows Server 2003 Computer: 1. Chèn ISA Server 2004
CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện 2. Trên Microsoft Internet
Security and Acceleration Server 2004 page, click liên kết Review Release
Notes và xem những lưu ý về cài đặt sản phẩm. Release Notes chứa những
thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề khác.Đọc
xong release notes, đóng cửa sổ lại và click Read Setup and Feature Guide
link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có
thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA Server 2004 link.
3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page.
4. Chọn I accept the terms in the license agreement trên License Agreement page. Click Next.
5. Trên Customer Information page, điền Tên và Tên tổ chức của bạn trong
User Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next.
6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt
ISA Server 2004 software trên C: drive, click Change để thay đổi vị trí cài
đặt chương trình trên đĩa cứng. Click Next. lOMoAR cPSD| 58794847
7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt.
Mặc định thì, Firewall Services và ISA Server Management sẽ được cài
đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác (spam)
và các file đính kèm (file attachments) khi chúng được đưa vào Mạng hoặc
từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được
cài đặt. Thành phần tiếp theo cũng không được cài đặt là Firewall Client
Installation Share. Bạn cũng nên lưu ý, cần cài đặt IIS 6.0 SMTP service
trên ISA Server 2004 firewall computer trước khi bạn cài Message Screener.
Dùng xác lập mặc định để tiếp tục và click Next. lOMoAR cPSD| 58794847
8. Trên Internal Network page, click Add. Internal network khác hơn LAT
(được sử dụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì
Internal network sẽ chứa các Network services được tin cậy và ISA Server
2004 firewall phải giao tiếp được với những Services này
Ví dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP,
terminal services client management workstations, và các dịch vụ khác, thì
chính sách hệ thống của Firewall sẽ tự động nhận biết chúng thuộc Internal
network. Chúng ta sẽ xem xét vấn đề này trong phần System Policy
9. Trong Internal Network setup page, click Select Network Adapter
10. Trong Select Network Adapter dialog box, remove dấu check tại Add the
following private ranges… checkbox. Check vào Add address ranges lOMoAR cPSD| 58794847
based on the Windows Routing Table checkbox. Check tiếp vào Network
Card nào, trực tiếp kết nối vào LAN tại Select the address
ranges…Internal network adapter . Lý do không check vào add private
address ranges checkbox là bởi vì, chúng ta muốn dùng những vùng địa
chỉ này cho DMZ ( perimeter networks). Click OK.
11. Click OK trong Setup Message dialog box xác nhận rằng Internal network
đã được định nghĩa hoạt độn dựa trên Windows routing table.
12. Click OK trên Internal network address ranges dialog box.
13. Click Next trên Internal Network page. lOMoAR cPSD| 58794847
14. Trên Firewall Client Connection Settings page, check vào Allow
nonencrypted Firewall client connections và Allow Firewall clients
running earlier versions of the Firewall client software to connect to
ISA Server checkboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến
ISA Server 2004 firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc
ngay cả khi dùng Windows 2000/Windows XP/Windows Server 2003 nhưng
đang chạy Firewall Clients là ISA Server 2000 Firewall client. Click Next.
15. Trên Services page, click Next. lOMoAR cPSD| 58794847
16. Click Install trên Ready to Install the Program page.
17. Trên Installation Wizard Completed page, click Finish.
18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng
Computer phải restarted.
19. Log-on lại vào Computer bằng tài khỏan Administrator
2. Xem xét chính sách hệ thống (System Policy)
Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài
Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát
của bất cứ Network được bảo vệ (protected Network), và cũng không cho
phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks
đã được bảo vệ bởi Firewall. Như vậy sau khi triển khai ISA Server 2004
Firewall, theo mặc định thì “Nội bất xuất, ngoại bất nhập” . Tuy nhiên, một
System Policy trên Firewall đã được cài đặt, cho phép thực hiện các tác vụ
Quản trị Network cần thiết. Lưu ý:
Khái niệm Network được bảo vệ (protected Network), là bất cứ Network nào
được định nghĩa bởi ISA Server 2004 Firewall không thuộc phạm vi của các
Network bên ngoài (ExternalNetwork), như Internet.
Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall
(default Firewall System Policy): 1.
Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server Management. 2.
Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng server node và click vào Firewall Policy
node. Right click trên Firewall Policy node, trở đến View và click Show System Policy Rules.