Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 489/555
CIFS (Common
Internet File
System) from IS
A

Server to trusted
servers
Allow VPN site-to-
site traffic from
ISA Server
Allow VPN site-
to-site traffic to
ISA Server Name
All VPN client
traffic to ISA
Server
Allow ICMP
requests from ISA
Server to selected
servers
Name
Allow
Allow
Allow
Allow
Allow
Action

Microsoft CIFS
(TCP) Microsoft
CIFS (UDP)
NONE
NONE
PPTP
ICMP
Information
Request ICMP
Timestamp
Protocol
Local Host
Local Host
External
IPSec Remote
Gateways
From/Listener
External
Local Host
from/Listener
Internal
External
IPSec
Remote
Gateways
Local Host
To
Local Host
All Networks
(and Local

Host
Network)
To
All Users
All Users
All Users
Continued
Condition
All Users
All Users
Condition
20. Cho phép quan sát
thông suất của ISA
Server từ xa
19. Cho phép một số
máy được truy xuất
Firewall Client
installation share trên
ISA Server
18. Cho phép
HTTP/HTTPS từ ISA
đến một số server khác
17. Cho phép truy xuất
HTTP/HTTPS từ ISA
đến một số site chỉ định
16. Cho phép login từ
xa bằng SQL qua ISA
server
Order/Comments
All

ow remo
t
e
performance
monitoring of ISA
Server from trusted
servers
A
llow access from
trusted computers
to the Firewall
Client installation
share on ISA
Server
Allow

HTTP/HTTPS

requests from ISA
Server to selected
servers fo
r

connectivity
verifiers
A
llow HTTP/HTTPS
requests from ISA
Server to specified
sites Name

Allow remote SQL
logging from ISA
servers
Name
Allow
Allow
Allow
Allow
Allow
Action

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 490/555
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
Microsoft

CIFS

(TCP) Microsoft
CIFS (UDP)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
HTTP HTTPS
HTTP HTTPS

Protocols
Microsoft SQL
(TCP) Microsoft
SQL (UDP)
Protocol
Remote
Managemen
t Computers
Internal
Local Host
HTTP
HTTPS
Protocols
Local Host
from/Listen
er
Local Host
Local Host
All
Networks
(and Local
Host
Network)
System
Policy
Allowed
Sites To
Internal
To
All Users

All Users
All Users
All Users
Continued
Condition
All Users
Condition
25. Cho phép giám
sát từ xa thông qua
giao thức Microsoft
Operations
24. Cho phép
chứng thực
SecurID từ ISA đến
một số server
23. Cho phép truy
xuất HTTP/HTTPS
từ ISA Server tới
một số Microsoft
error reportin
gsite
21. Cho phép sử
dụng RPC từ IS
A

truy xuất đến một
số server khác
21. Cho phép sử
dụng NetBIOS từ
ISA Server đến một

số Server chỉ định
sẵn
Order/Comments
A
llow remote
monitoring
from IS
A

Server to
authentication
from ISA
Server to
trusted servers
Allow
HTTP/HTTPS
from IS
A

Server to
specified
A
llow RPC
from IS
A

Server to
trusted servers
A
llow NetBIOS

from IS
A

Server to
trusted servers
Name
Name

Allow
Allow
Allow
Allow
Action
Microsoft
Operations
Manager Agent
SecurID
HTTP HTTPS
RPC (all interfaces)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Sessions Protocols
Protocol
Local Host
Local Host
Local Host
Local Host
Local Host
From/Listen

er
from/Listen
er

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 491/555
Internal
Internal
Microsoft
Error
Reporting
sites
Internal
Internal To
To
All Users
All Users
All Users
All Users
All Users
Continued
Condition
Condition
30. Cho phép một số
máy khác sử dụng MMC
điều khiển ISA
29. Cho phép một số
máy sử dụng Content
Download Jobs.

28. Cho phép traffic
SMTP từ ISA Server tới
một số Server
27. Cho phép sử dụng
NTP (giao thức đồng bộ
thời gian trên Windows
NT 2k, XP) từ ISA tới một
26. Cho phép HTTP
traffic từ ISA Server tới
một số network hỗ trợ
dịch vụ chứng thực
download CRL
(Certificate Revocation
Order/Comments
Allow Microsoft
communication to
selected computers
ISA Server to
selected computers
for Content
Download Jobs
Allow SMTP from
Allow ISA Server to
trusted servers
Allow NTP from ISA
Server to trusted
NTP servers
Traffic from ISA
Server to all
networks (for CRL

downloads) Name
Name
Allow
Allow

Allow
Allow + Action
Action
All Outbound
traffic
HTTP
SMTP
NTP (UDP)
HTTP Protocols
Protocol
Local Host
Local Host
Local Host
Local Host
Local Host
From/Listen
er
from/Listen
er
Remote
Management
Computers
All Networks
(and Local
Host)

Internal
Internal
All Networks
(and Local
Host) To
To
All Users
System
and
Network
Service
All Users
All Users
All Users
Continued
Condition
Condition

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 492/555
Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên
cột System policy.

Hình 5.12: System policy Rules.
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.

Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.

Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ
Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 493/555

Hình 5.14: System Policy Editor.
- Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua
giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả
dưới tên là “system policy allow sites” bao gồm:
- *.windows.com
- *.windowsupdate.com
- *.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên
ngoài thì ta phả
i hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System
Policy Rule có tên
+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA
Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào
item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ
truy xuất theo cú pháp *.domain_name.
- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable lu
ật 18 có
tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity
verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt
sự thay đổi vào hệ thống.

Tài liệu hướng dẫn giảng dạy


Học phần 3 - Quản trị mạng Microsoft Windows Trang 494/555

Hình 5.15: Mô tả System Policy Sites.
Chú ý:
- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại
nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy
cha lấy thông tin từ Internet Web Server.
+ Để cấu hình Uptream Server cho ISA Server
nội bộ ta chọn Configuration panel từ ISA
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi
vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream
server.

Hình 5.16: Chỉ định Upstream server.
+ Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta
cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.
- Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
Internal interface của ISA Firewall
trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 495/555
- Chỉ định địa chỉ của Web Proxy trong textbox Address.
- Chỉ Web Proxy Port trong Textbox Port là 8080.


Hình 5.16: Chỉ định Client sử dụng Proxy Server.
V.4. Tạo Và Sử Dụng Firewall Access Policy.
- Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server
Publishing Rules và Access Rules.
+ Web Publishing Rules và Server Publishing Rules được sử dụng để cho phép inbound
access.
o Access rules dùng để điều khiển outbound access.
- ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down (Lưu ý rằng
System Policy được kiểm tra trước Access Policy do user định nghĩa), nếu packet phù hợp với
một luật nào đó thì ISA Firewall thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật,
sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu packet không phù hợp với bất kỳ
System Access Policy và User-Defined Policy thì ISA Firewall deny packet
này.
- Một số tham số mà Access Rule sẽ kiểm tra trong connection request:
+ Protocol: Giao thức sử dụng.
+ From: Địa chỉ nguồn.
+ Schedule: Thời gian thực thi luật.
+ To: Địa chỉ đích.
+ Users: Người dùng truy xuất.
+ Content type: Loại nội dung cho HTTP connection.
V.4.1 Tạo một Access Rule.
Access Rules trên ISA Firewall luôn luôn áp đặt luật theo hướng ra (outbound). Ngược lại, Web
Publishing Rules, Server Publishing Rules áp đặt theo h
ướng vào (inbound). Access Rules điều
khiển truy xuất từ source tới destination sử dụng outbound protocol. Một số bước tạo Access
Rule:
3. Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management console,
mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong Task Pane,
nhấp chuột vào liên kết Create New Access Rule.


Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 496/555
4. Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rule
name, nhấp chuột vào nút Next để tiếp tục.
5. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc
định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp
tục.
6. Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17). Ta s
ẽ chọn giao thức (protocol) để cho
phép/cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh
sách This rule applies to.
- All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn
này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì
tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary
protocols đã được
định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với
SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã
được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất
tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol
Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client.
- Selected protocols: Tùy chọn này cho phép ta có thể l
ựa chọn từng protocols để áp đặt vào luật
(rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một
Protocol Definition.
- All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà
không được định nghĩa trong hộp thoại.

Hình 5.17: Lựa chọn protocol để mô tả cho Rule.
Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật

(tham khảo hình 5.18).

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 497/555

Hình 5.18: Lựa chọn protocol để mô tả cho Rule.
1. Hiển thị hộp thoại Access Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào
luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa
chỉ nguồn từ hộp thoại này (tham khảo hình), chọn Next để thực hiện bước tiếp theo.

Hình 5.19: Chọn địa chỉ nguồn.
2. Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật
bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này
cho phép ta chọn địa chỉ đích (Destination) được mô tả sẳn trong hộp thoại hoặc có thể định
nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau
khi hoàn t
ất quá trình ta chọn nút Next để tiếp tục.
3. Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật
sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thông số này bằng cách chọn Edit hoặc
thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục
4. Chọn Finish để hoàn tất.
V.4.2 Thay đổi thuộc tính củ
a Access Rule.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 498/555
Trong hộp thoại thuộc tính của Access Rule chứa đầy đủ các thuộc tính cần thiết để thiết lập luật, có
một số thuộc tính chỉ có thể cấu hình trong hộp thoại này mà không thể cấu hình trong quá trình tạo

Access Rule, thông thường ta truy xuất hộp thoại thuộc tính của luật khi ta muốn kiểm tra hoặc thay
đổi các điều kiện đã đặt trước đó. Để truy xuất thuộc tính của Access Rule
ta nhấp đôi chuột vào tên
luật trong Firewall Policy Panel.
Một số Tab thuộc tính của Access Rule:
- General tab: Cho phép ta có thể thay đổi tên Access rule, Enable/Disable Access rule.
- Action tab: Cung cấp một số tùy chọn để hiệu chỉnh luật như (Tham khảo hình 5.20):
- Allow: Tùy chọn cho phép các kết nối phù hợp (matching) với các điều kiện được mô tả trong
Access rule đi qua ISA firewall.
- Deny: Tùy chọn cấm các kết nối phù h
ợp (matching) với các điều kiện được mô tả trong Access
rule đi qua ISA firewall.
- Redirect HTTP requests to this Web page: Tùy chọn được cấu hình để chuyển hướng HTTP
requests (phù hợp với điều kiện của Access rule) tới một Web page khác.
- Log requests matching this rule Cho phép ghi nhận lại tất cả các request phù hợp với Access
Rule.

Hình 5.20: Thuộc tính của Access Rule.
- Protocols tab: Cung cấp các tùy chọn để cho phép ta hiệu chỉnh giao thức (protocol) cho
Access rule.
- From tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ nguồn cho Access rule.
- To tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ đích cho Access rule.
- Users tab: Cung cấp các tùy chọn để hiệu chỉnh thông tin User trong Access rule.
- Schedule tab: Hiệu ch
ỉnh thời gian áp đặt (apply) luật.
- Content Types tab: Cho phép hiệu chỉnh Content Type chỉ áp đặt HTTP connection.
V.5. Publishing Network Services.
V.5.1 Web Publishing and Server Publishing.

Tài liệu hướng dẫn giảng dạy


Học phần 3 - Quản trị mạng Microsoft Windows Trang 499/555
Publishing services là một kỹ thuật dùng để công bố (publishing) dịch vụ nội bộ ra ngoài mạng
Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các dịch vụ SMTP, NNTP,
POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,,.
- Web publishing: Dùng để publish các Web Site và dịch vụ Web. Web Publishing đôi khi được
gọi là 'reverse proxy' trong đó ISA Firewall đóng vai trò là Web Proxy nhận các Web request từ
bên ngoài sau đó nó sẽ chuyển yêu cầu
đó vào Web Site hoặc Web Services nội bộ xử lý (tham
khảo hình 5.21), Một số đặc điểm của Web Publishing:
- Cung cấp cơ chế truy xuất ủy quyền Web Site thông qua ISA firewall.
- Chuyển hướng theo đường dẫn truy xuất Web Site (Path redirection)
- Reverse Caching of published Web Site.
- Cho phép publish nhiều Web Site thông qua một địa chỉ IP.
- Có khả năng thay đổi (re-write) URLs bằng cách s
ử dụng Link Translator của ISA firewall.
- Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Site (SecurID authentication,
RADIUS authentication, Basic Authentication)
- Cung cấp cơ chế chuyển theo Port và Protocol.

Hình 5.21: Mô hình Web Publishing.
- Server publishing: Tương tự như Web Publishing, Server publishing cung cấp một số cơ chế
công bố (publishing) các Server thông qua ISA Firewall.
V.5.2 Publish Web server.
Để publish một Web Services ta thực hiện các bước sau:
1. kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management
console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.
2. Trên Tasks tab, chọn liên kết “Publish a Web Server”, hiển thị hộp thoại “Welcome to the New
Web Publishing Rule Wizard” yêu cầu nhập tên
Web publishing rule, chọn Next để tiếp tục.

3. Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next.
4. Cung cấp một số thông tin về Web Site cần được publish trong hộp thoại “Define Website to
Publish” (tham khảo hình 5.22):
- “Computer name or IP address”: chỉ định địa chỉ của Web Server nội bộ.