TRƯỜNG CAO ĐẲNG NGHỀ SÀI GÒN
Tìm Hiểu ISA Server 2006
Giáo viên hướng dẫn: Nguyễn Văn Tùng
Sinh Viên: Vũ Cao Sơn Đông
Mai Văn Mẫn
Châu Huỳnh Quốc Biểu
Nguyễn Phước Trung
Lê Tuấn Vũ
1
Võ Thành Bửu Tâm
MỤC LỤC
CHƯƠNG I: Tổng quan về ISA Server 2006
1. Giới Thiệu Về ISA Server 2006 3
2. Các phiên bản của ISA Server 2006
3. Tính năng của ISA Server 2006 4
4. So sánh ISA 2006 và 2004 6
Chương II: Cấu hình ISA Server 2006
I. Cài đặt ISA Server 2006
1. Yêu cầu cài đặt 7
2. Quá trình cài đặt
a. Cài ISA Server 2006 trên máy chủ 1 card mạng
b. Cài ISA Server 2006 trên máy chủ nhiều card mạng 8
II. Cấu hình ISA server 2006
1. Tóm tắc một số thông số mặc định 15
2. Cấu hình Web Proxy cho ISA server 2006
a. Tạo và sử dụng Access Rule
b. Tạo 1 số Access Rules
c. Cấu hình Web Proxy cho ISA server 2006 20
3. Cấu hình nâng cao ISA Server 2006 21
a. Web Publishing and server Publishing
4. Cấu hình VPN trên ISA server 2006 22

a. Giới thiệu VPN
b. Xây dựng VPN client to Gatewa
2
Chương I
Tổng Quan Về ISA Server 2006
1. Giớ Thiệu Về ISA Server 2006
Mircosoft Internet Security and Acceleration Server (ISA Server) là phần mềm
tường lửa và share internet của hãng phần mền nổi tiếng Microsoft. Có thể nói đây là
phần mềm tường lửa và share internet khá hiệu quả, ổn định, dễ cấu hình, nhiều tính
năng nổi bật. ISA Server được thiết kế chủ yếu để hoạt động như một tường lửa, nhầm
đảm bảo rằng tất cả những ‘traffic’ không trông đợi từ Internet được chặn lại, từ bên
ngoài mạng của tổ chức, đồng thời ISA Server có thể cho phép các người dùng bên
trong mạng tổ chức truy cập một cách có chọn lọc đến cái tài nguyên từ Internet và
người dùng trên Internet có thể truy cập vào tài nguyên trong mạng của tổ chức sao
cho phù hợp với các chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc
Mail của tổ chức. Và một số chức năng khác.
2. Các phiên bản của ISA Server 2006
ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẽ băng thông cho các công ty
có quy mô nhỏ và trung bình. ISA Server 2006 có hai phiên bản là Enterprise và
Standard
 Standard Edition :
+ Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty
+ Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không phù
hợp, thời gian không thích hợp (ví dụ trong giời làm việc)
+ Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay
remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc
trao đổi dữ liệu văn phòng và hội sở.
+ Đối với các công ty có những hệ thống máy chủ Public như Mail Server,
Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006

cho phép triên khai vùng DMZ nhằm ngăn chặn sự tương tác trực tiếp giữa người dùng
bên ngoài và bên trong hệ thống.
+ Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản Standard
còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc kết nội internet của
mạng nội bộ
3
Chính vì thế mà sản phẩm firewall này có tên gọi tên là Internet Security và
Aceleration (bảo mật và tăng tốc Internet).
 Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô
hình mạng lớn, đáp ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và
trong hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn
cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều
này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
 So sách giữa phiên bản Standard Edition và Enterprise Edition
Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau.
Bản Enterprise có hỗ trợ thêm 3 tính năng mà bản Standard không có
- Centralized storage of configuration data:
Trong khi bản Standard lưu thông tin về cấu hình (configuration information ->
conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó
trên một thư mục (directory) riêng biệt. Khi các bạn cài bản Enterprise bạn phải chỉ ra
một hay nhiều máy đóng vai trò là máy lưu cấu hình (configuration storage server). Các
storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu
hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy,
nên bạn có thể có nhiều storage server (bạn có thể cài ADAM lên máy khác lo ISA hay
cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẻ tự nhân bản
(replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ bạn
muốn thay đổi cấu hình của một hay nhiều máy ISA bạn chỉ việc ngồi vào trong máy
server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình.
- Support for cache Array Routing Protocol (CARP):
Bản Enterprise cho phép ta chia sẽ việc cache giữa một dãy các ISA với nhau.

Với bản Enterprise, một dãy nhiều máy ISA sẽ được cấu hình trở thành một vùng
cache của tất các ISA với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ
chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA
trong dãy cache lại trang đó. Khi một client bât kì đi một trang web đã được cache thì
CARP sẽ chỉ định ra máy ISA nào đã cache trang đó trả về cho máy client. CARP giúp
tối ưu hóa khả năng cache.
- Intergation of Network Load Balancing- NLB (tích hợp cân bằng tải trên ISA):
NBL là một thành phần network có sẵn trong Windows 2000 server và Windows
server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ
có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền,
tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị
down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia.
NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống. Với bản
Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích
4
hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server
Management Console để cấu hình, quản lý, giám sát (monitor) NLB.
3. Tính năng của ISA Server 2006
ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng
LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache
vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính
năng Schedule Cache (lập lịch cho tự động download thông tin trên các WebServer lưu
vào Cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN).
Ngoài ra các chính sách bảo mật thông tin tương đối tốt.
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN ( đây
là những tính năng mà các doanh nghiệp ở Việt Nam ta ít dùng.
 Về khả năng Publishing Serviece:
+ ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang
OWA (Outlock Web Access, Đây là Module của Microsoft Exchanger Server (một
Server phục vụ Mail), nó cho phép người dùng truy cập và quản trị Mailbox của họ từ

xa thông qua Web Browser), qua đấy hỗ trợ chứng thực kiểu form-based. Chống lại
các người dùng bất hợp pháp vào trang Web OWA, tính năng được phát triển dưới
dạng Add-in.
+ Cho phép public Terminal Server theo chuẩn RDP over SSl, đảm bào dữ liệu
trong phiên kết được mã hóa trên Internet (kể cả password).
+ Block các kết nối non-encryted MAPI đến Exchanger server, cho phép Outlook
của người dùng kết nối an toàn đến Exchanger Server.
+ Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra
Internet một cách an toàn. Hỗ cả các sản phẩm mới như Exchanger 2007.
 Khả năng kết nối VPN:
+ Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng
riêng biệt, tất nhiên ai thích cấu hình bằng tay tại từng thời điểm một cũng được. Tích
hợp hoàn toàn Quanratine.
+ Statefull filterning and inspection , kiểm tra đầy đủ các VPN connection, site-
to-site, secureNAT for VPN clients, …
+ cho phép public luôn một VPN server khác trong Intranet ra ngoài Internet, hỗ
trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác).
 Về khả năng quản lý:
+ Dễ dàng quản lý
+ Rất nhiều Wizard
+ Backup và Restore đơn giản
+ Cho phép ủy quyền quản trị cho các User/Group
+ Log và Report chi tiết cụ thể
+ Khai báo thêm Server vào array dễ dàng (không khó như ISA 2000, 2004)
+ Tích hợp với giải pháp quản lý cụ thể của Microsoft :MOM
+ SDK…
5
 Các tính năng khác:
+ Hỗ trợ nhiều CPU và RAM (bản Standard hỗ trợ đến 4 CPU, 2GB RAM)
+ Max 32 node Network LoadBalancing

+ Hỗ trợ nhiều network
+ Route/NAT theo từng network,
+ Firewall rule đa dạng
+ IDS
+ Flood Resiliency
+ HTTP compression
+ Diffserv
4. So sánh ISA 2006 và 2004
ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về
giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới
nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:
- Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/HTTP Publishing.
- Hỗ trợ SharePoint Portal Server.
- Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listene
- Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN
6
CHƯƠNG II
CẤU HÌNH ISA SERVER 2006
I. Cài đặt ISA Server 2006
1. Yêu cầu cài đặt
Thành phần Yêu cầu
Bộ sử lý (CPU) Intel hoặc AMD 500MHz trở lên
Hệ điều hành (OS) Windowns server 2003 hoặc Windowns server 2003 r2
Bộ nhớ (RAM) 256 MB hoặc 512 MB cho hệ thống không sử dụng Web
Caching, 1GB hoặc cao hơn cho hệ thống có Web-Caching
hoặc ISA Firewall
Không gian đĩa
(Disk space)
Ổ đĩa cài đặt ISA phải là NTFS file system, ít nhất còn khoảng
150MB dành cho ISA

Card mạng (NIC) Phải ít nhất có một card mạng (đề nghị 2 card mạng)
2. Quá trình cài đặt :
a. Cài ISA trên máy chủ 1 card mạng:
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng ( còn gọi là
Unihomed ISA Firewall). Chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web
proxied) FTP. ISA không hỗ trợ một số chức năng :
7
• SecureNat client
• Firewall Client
• Server Publishing Rule
• Remote Access VPN
• Site-to-Site VPN
• Multi-networking
• Application-layer inspection (trừ giao thức HTTP)
b. Cài ISA trên máy chủ nhiều card mạng:
ISA Firewall thường được triển khai trên dual-homed host (máy chủ có 2 card
mạng) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA
Server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT,
Server Publishing Rule, VPN, …
 Các bước cài đặt ISA Firewall software
Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 suorce.
Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet
Security anh Acceleration Server 2006”.
8
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for
Microsoft ISA Server 2006” để tiếp tục cài đặt.
Chọn tùy chọn Select “I accept” trong hộp thoại License Agreement, chọn Next
9
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe. Nhập serial number trong Product

Serial Number textbox. Nhấp Next để tiếp tục.
Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chon
Typical, chọn Next.
10
• Ta có 2 các định nghĩa internet network addresses trong hộp thoại Internal Network
setup. Cách thứ nhất ta mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và
To text boxes. Cách thứ hai ta cấu hình default Internal Nextwork bằng cách chọn nút
“Select Network Adapter” sau đó ta nhấp chuột vào dấu chọn “Select Network
Adapter” kết nối vào mạng nội bộ.
Bạn chọn nút Add ở hộp thoại Internal Network.
Trong cửa sổ Address bạn chọn Add Adapter.
11
• Trong cửa sổ Select Network Adapters bạn chọn vào card mạng mà kết nối với
hệ thống mạng nội bộ của bạn. Và chọn OK cho các cửa sổ tiếp theo để tiếp tục
cài đặt.
Trong hộp thoại Internal Network bạn kiểm tra lại những đường mạng có đúng
với bản routing table trong tổ chức. Chọn Next để tiếp tục
12
• Chọn dấu check “ Allow computers running earlier versions of Firewall Client
software toconnect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước,
chọn Next

• Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP
và IIS Admin Service trong quá trình cài đặt. ISA Firewall cũng sẽ vô hiệu hóa
(disable) Connection Firewall (ICF)/Internet Connection Sharing (ICF), và IP Network
Address Translation (RRAS NAT service) services.
13
Chọn Install
Chọn Finish để hoàn tất quá trình cài đặt. Và bạn restart lại máy.
14

II. Cấu hình ISA Server 2006
1. Tóm tắt một số thông tin mặc định:
• System Policies cung cấp sẵn một số luất để cho phép truy cập vào/ra ISA Firewall. Tất
cả các traffic còn lại đều bị cấm.
• Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network.
• Cho phép NAT giữa Internal Network và External Network.
• Chỉ cho phép Adminstrator có thể thay đổi chính sách bảo mật cho ISA firewall. Ta có
thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng
cách chọn Firewall Policy từ hộp thoại ISA Management, sau đó chọn item Show
system policy rule trên cột System policy. Ta cũng có thể hiệu chỉnh từng system policy
bằng cách nhấp đôi chuột vào system policy item.
2. Cấu hinh web proxy cho ISA:
Các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để
chia sẻ kết nối Internet cho mạng nội bộ.
• Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web
thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẵn trong Domain
Name Sets được mô tả dưới tên “system policy allow sites”. Cánh tạo Domain Name
Sets.
15
a. Tạo và sử dụng Access Rules
• Access Rules dùng để điều khiển outbound access.
• ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top
down (lưu ý rằng system Policy được kiểm tra trước Access Policy do user định nghĩa),
nếu packet phù hợp với một luật nào đó thì ISA Firewall sẽ thực thi action (permit/deny)
tùy theo luật, sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu không phù hợp
với bất kỳ System Access Policy và User-Defined Policy thì ISA Firewall deny packet
này.
• Một số tham số mà Access Rule sẽ kiểm tra trong connection request:
 Protocol: Giao thức sử dụng.
 From : Địa chỉ nguồn.

 Schedule Thời gian thực thi luật
 To: Địa chỉ đích.
 Users: Người dùng truy xuất.
 Content type: Loại nội dung cho HTTP connection.
b. Tạo một số Access Rule:
Kích hoạt vào Start vào Programs bạn vào Microsoft ISA Server chọn ISA
Server Management, mở rộng server name, nhập chuột phải vào Firewall Policy, chọn
New và nhập chuột vào Access Rules
Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên
Access Rulename, nhấp chuột vào nút Next để tiếp tục.
Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn
Deny được đặt mặc định tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho
phù hợp, chọn Next để tiếp tục.
16
Hiển thị hộp thoại “Protocols” ở đây bạn có chọn rất nhiều Protocols.
Ta sẽ chọn giao thức (Protocol) để cho phép /cấm outbound traffic từ source
đến destination. Ta có thể chọn ba tùy chọn trong danh sách This rule applies to.
• All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng có thể
của tùy chọn này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. Đối
với Firewall clients, thì tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound),
bao gồm cả secondary protocols đã được định nghĩa hoặc chưa được định trong ISA
17
Firewall. Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access
chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của Isa Firewall,
nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một
Protocol nào đó thì ta phải mô tả Protocol vào ProtocolPanel được cung cấp trên ISA
Firewall để có thể hỗ trợ kết nối cho SecureNAT client.
• Selected Protocols: Tùy chọn này cho phép ta có thể lựa chọn từng Protocols để áp đặt
vào luật(rule). Ta có thể lựa chọn một số protocol có sẳn trong hộp thoại hoặc có thể
tạo mới mộ Protocol Definition.

• All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật
mà không được định nghĩa trong hợp thoại.
Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các Protocol
cần mô tả cho luật. Bạn chon vào nút Add vào Add vào những protocols thích hợp. Sau
đó chọn Next để tiếp tục.
Hiển thị hộp thoại Access Rule Soureces, chọn địa chỉ nguồn (source
location) để áp đặt vào luật bằng cách chọn nút Add, hiển thị hộp thoại Add
Network Entities, sau đó ta chọn địa chỉ nguồn từ hộp thoại này.
Chọn Next để thực hiện bước tiếp theo.
Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích
(destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add
18
Network Entities, trong hộp thoại hoặc có thể định nghĩa một destination mới, thông
thường ta chọn External network cho destination rule.
sau khi hoàn tất chọn nút Next để tiếp tục
hiện thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho Access
Rule. Mặc định luật sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thống số
này bằng cách Edit hoặc thêm User mới vào Rule thông qua nút Add, chọn Next để
tiếp tục.
Chọn Finish để hoàn tất.
c. Cấu hình Web Proxy cho ISA
Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình Isa Firewall cung
cấp dịch vụ Web Proxy để chia sẽ kết nối Internet cho mạng nội bộ.
•
•
•
•
• Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất
Internet Web thông qua giao thức HTTP/HTTPS tới một số Site được chỉ
định sẵn trong Domain Name Sets được mô tả dưới tên là “System

Policy Allow Sites” bao gồm:
 *.windows.com
 *.windowsupdate.com
 *.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một
Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy
Allowed Sites hoặc hiệu chỉnh lại System Policy Rule có tên. Hiệu chỉnh System Policy
Allowed Sites bằng cách chọn Firewall Policy trong ISA Mangement Console, sau đó
chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed
Sites để mô tả một số Site cần thiết cho phép mạng nội truy xuất theo cú pháp
*.domain_name.
• Nếu ta muốn cho mạng nội bố truy xuất bất kỳ Internet Website nào thì ta
phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA
19
Server to selected servers for connectivity verifiers” sau đó ta chọn nút
Apply trong Firewall Policy pannel để áp dụng sự thay đổi vào hệ thống.
• Nếu ISA Firewall kết nối trực tiếp Internet thì ta phải cấu hình một số
thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ
thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả một số tham số
Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để Proxy cha
lấy thông tin từ Internet Web Server.
• Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server
có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình
duyệt Web cho từng Client, hoặt ta cài ISA Client Share trên từng Client
để Client đóng vai trò là ISA Firewall Client.
• Chỉ định địa chỉ của Web Proxy trong Textbox Addrress.
• Chỉ Web Proxy Port trong Textbox Port là 8080.
3. Cấu hình nâng cao Server 2006
a. Web Publishing and Server Publishing:
Publishing services là một kỹ thuật dùng để công bố (publishing) dịch vụ nội

bộ ra ngoài mạng Internet thông qua ISA Firewall. Thông qua ISA Firewall ta
có thể Publish các dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA,
NNTP, Terminal Services.
• Web Publishing: Dùng để publish các Web Site và dịch vụ Web. Web
Publishing đôi khi được gọi là ‘reverser proxy’ trong đó ISA Firewall đóng
vài trò là Web Proxy nhận các Web request từ bên ngoài sau đó nó sẽ
chuyển yêu cầu đó vào Web Site hoặc Web Services nội bộ xử lý. Một
số đặc điểm của Web Publishing:
 Cung cấp cơ chế truy xuất ủy quyền Web Site thông qua ISA
Firewall.
 Chuyển hướng theo đường dẫn truy xuất WebSite (Path
redirection)
 Reverse Caching of Published Web Site
 Cho phép Publish nhiều Web Site thông qua một địa chỉ IP.
 Có khả năng thay đổi (re-write) URLs bằng cách sử dụng Link
Translator của ISA Firewall.
 Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web
Site (SecurID Authentication, RADIUS Authentication, Basic
Authentication)
 Cung cấp cơ chế chuyển theo Port và Protocol.
• Server Publishing: Tương tự như Web Publishing, Server Publishing
cung cấp một số cơ chế công bố (Publishing) các Server thông qua ISA
Firewall.
4. ISA VPN Client To Gateway
20
a. Giới thiệuVPN (Virtual Private Network ):
VPNlà giải pháp hữu hiệu để kết nối hệ thống mạng của doanh nghiệp có
nhiều chi nhánh và nằm khác vị trí địa lý hoặc doanh nghiệp của bạn có nhiều
nhân viên phải đi công tác xa và họ muốn truy cập vào tài nguyên mạng nội
bộ. Và ISA Server 2006 có thể đáp ứng những nhu cầu của doanh nghiệp bạn

thông chức năng VPN Client to Gateway.
b. Xây dựng VPN Client to Gateway:
- Đầu tiên ta phải tạo một UserVPN trên máy server và cho UserVPN
quyền Allow Access.
- Tiếp theo cấu hình trên máy ISA Server
- Định nghĩa nhóm VPN Client
Bạn vào ISA Server Management, chọn Firewall Policy, nhấn vào Toolbox
chọn Users và nhấp chuột vào New
.
Trong cửa sổ Welcom to the New User Set Wizard bạn đặt tên cho nhóm
User. Sau đó chọn Next để tiếp tục
21
Hộp thoại tiếp theo chọn Add và chọn Windows user and Group.
22
Chọn User VPN Client và nhấn Next rồi kết thúc Finish.
Bạn chuột phải vào Virual Private Network, chọn Propterties
Trong hộp thoại Virual Private Network, qua tab Address Asignment, chọn Static
Address pool, nhấn Add bạn nhập vào range IP sẽ cấp cho Client.Nhấn Apply
Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục
bật chức năng này lên. Bạn chọn Virual Private Network (VPN) chọn tab Configure VPN
23
Client Access và Enable chức năng VPN Client. Bạn nên nhớ sau khi chọn xong phải
chọn Apply.
- Tạo Access rule cho phép kết nối VPN với yêu cầu:
+ Access rule name : VPNClient
+ Rule Action : Allow
+ Protocol : All outbound Traffic
+ Access Rule Source : VPN Clients
+ Access Rule Destinations: Internal
+ User Sets: chọn user được cho phép dùng VPN

Apply -> OK.
- Kiểm tra kết nối VPN
Trên máy Client, mở Network Connection
Trong cửa sổ Network Connection, chọn Create a New Network Connection
Trong hộp thoại
Welcome to the
New Connection Wizard, nhấn chọn Next
24
Trong hộp thoại Network Connection Type, chọn Connection to the
NetWork at my workplace
Trong hộp thoại Network Connection, chọn Virtual Private Network connection.
Nhấn Next để tiếp tục cài đặt.
Trong hộp thoại Connnection Name, bạn đặt tên cho VPN kết nối
25