Trang 146 Triển khai ISA Server Firewall 2004
Chương 12: Xuất bản Web và FTP Server thuộc Perimeter
Network ra Internet

ISA Server 2004 firewalls cho phép chúng ta publish các nguồn tài nguyên thuộcc
các Mạng được bảo vệ, nhằm cho phép người bên ngoài -external users, có thể truy
cập đến các nguồn tài nguyên đó. Có 2 phương pháp cơ bản để thực hiện publish các
tài nguyên trên các Mạng được bảo vệ là:
• Web Publishing Rules
• Server Publishing Rules

Web Publishing Rules có thể được sử dụng để publish Web servers. External users có
thể kết nối đến Web servers đã được Publish sử dụng các giao thức như: HTTP /
HTTPS (SSL) protocols. Web Publishing Rules có một số ưu điểm h
ơn so với Server
Publishing Rules, và bạn luôn có thể dùng một Web Publishing Rule khi tiến hành
publish một Web site.

Server Publishing Rules có thể dùng để publish bất cứ giao thức mà Server sử dụng –
Server Protocol. Có thể dùng Server Publishing Rules để publish: FTP sites, mail
servers, news servers, terminal servers và các giao thức Server khác. Sử dụng
Server Publishing Rules khi Web Publishing Rules không thể sử dụng để publish một
dịch vụ thuộc Mạng được bảo vệ như Perimeter network

Trong chương này của sách, chúng ta sẽ publish một Web site và một FTP site được
đặt tại Perimeter network –DMZ. Chúng ta vẫn nên đọc phần này, ngay cả khi bạn
đã quyết định dùng Edge Firewall template thay cho 3-Leg Perimeter Network
Template- Nơi có khu vực Perimeter Network, mà chúng ta sẽ đề cập ngay sau đây.
Những nguyên tắc chủ yếu khi tiến hành áp dụng đều giống nhau cho dù đang áp
dụng Edge template hay 3-leg template. Sự khác nhau chỉ nằm tại vị trí các Server
sẽ được publish.

Tiến hành các bước sau để publish Web và FTP sites thuộc perimeter network:
• Cấu hình Web site mẫu
• cấu hình FTP site mẫu
• Disable các rules đã can thiệp –custom rules và dùng các rules đã tạo sẵn bởi
template
• Tiến hành tạo Web Publishing Rule
• Tiến hành tạo FTP Server Publishing Rule
• Kiểm tra lại (người ngoài Internet truy cập vào các sites này)

Cấu hình Web Site

Bước đầu tiên là cấu hình Web site trên perimeter network . Trong môi trường thực
tế, có thể Web site đã được cấu hình và chỉ chờ publish. Trong ví dụ đây, chúng ta
cần tạo ra một website mẫu- default Web site và xác lập vài tham số để có thể kiểm
tra việc publish thành công hay không?
Tiến hành các bước sau để cấu hình Web site trên IIS server thuộc perimeter
network:
Trang 147 Triển khai ISA Server Firewall 2004
1. Click Start , Administrative Tools. Click Internet Information Services (IIS)
Manager.
2. Trong Internet Information Service (IIS) Manager console, mở rộng server
name và Web sites node.
3. Right click Default Web Site node và click Properties.
4. Trong Default Web Site Properties dialog box, chọn IP address của server trong
IP address list.



5. Click vào Documents tab, và click Add. Trong Add Content Page dialog box,
điền vào tên default.txt. Click OK.

Trang 148 Triển khai ISA Server Firewall 2004


6. Sử dụng Move Up button chuyển default.txt lên đầu danh sách
Trang 149 Triển khai ISA Server Firewall 2004


7. Click Apply; sau đó click OK trong Default Web Site Properties dialog box.
8. Right click vào server name ở khung trái và trỏ vào All Tasks. Click Restart IIS.
9. chọn Restart Internet Services on TRIHOMEDMZLAN1 trong
Stop/Start/Restart dialog box và click OK.
Trang 150 Triển khai ISA Server Firewall 2004


10. Đóng Internet Information Services (IIS) Manager console.
11. Click Start và Windows Explorer.
12. Tìm đến C:\Inetpub\wwwroot folder. Click menu File , chọn New và click
Text Document.
13. Double click vào New Text Document.txt ở khung phải. Điền vào dòng text
sau: This is the Web site on the perimeter network segment. Click File và click
Exit. Click Yes trong Notepad dialog box yêu cầu nếu bạn muốn save những thay
đổi.
14. Right click vào New Text Document.txt file và click Rename. Đổi lại tên file
thành default.txt.

Cấu hình FTP Site

Bước tiếp theo sẽ cấu hình FTP site để sẵn sàng cho việc publish. Bạn sẽ gửi IP
address của FTP site và cấu hình thông
điệp chào mừng đến với FTP site. Ngoài ra,

bạn cũng sẽ cho phép user upload dữ liệu lên FTP site. Trong môi trường thực tế việc
upload files lên FTP server có thể bị cấm, nhằm ngăn chặn những việc đưa những tài
liệu bất hợp pháp hoặc vi phạm bản quyền lên site
Tiến hành các bước sau cấu hình FTP site:
1. Click Start , Administrative Tools. Click Internet Information Services (IIS)
Manager.
2. Mở rộng server name bên khung trái Internet Information Services (IIS)
Manager console, sau đó mở rộng FTP Sites node.
3. Right click vào Default FTP Site và click Properties.
4. Trong Default FTP Site Properties dialog box, chọn IP address của server trong
danh sách IP address.
Trang 151 Triển khai ISA Server Firewall 2004


5. Click vào Messages tab. Trong Banner text box, điền vào This is the perimeter
network FTP site. Trong Welcome text box, điền vào Welcome to the ISA
firewall protected FTP site. Trong Exit text box, điền vào Goodbye! trong
Maximum connections text box, điến vào thông báo sau Site is busy come back
later.
Trang 152 Triển khai ISA Server Firewall 2004


6. Click vào Home Directory tab. Trên Home Directory tab, đánh dấu check vào
Write text box. Lưu ý nên cẩn trọng trong môi trường thực của bạn việc ch phép
quyền Write trên FTP sites. Những kẽ có y đồ có thể lợi dụng việc này để đưa lên các
dữ liệu, files bất hợp pháp, vi phạm bản quyền.
Trang 153 Triển khai ISA Server Firewall 2004


7. Click Apply và OK trong Default FTP Site Properties dialog box.

8. Right click vào server name trong khung bên trái và chọn All Tasks. Click
Restart IIS.
9. Chọn Restart Internet Services on TRIHOMEDMZLAN1 entry trong What do
you want IIS to do? và click OK.
10. Đóng Internet Information Services (IIS) Manager console.
11. Click Start và Windows Explorer.
12. Tìm đến folder C:\Program Files\NetMeeting. Chọn tất cả File trong Folder
này và chọn copy.
13. Tìm đến folder C:\Inetpub\ftproot. Paste tất cả File bạn đã copy.

Disable Các quy tắc tùy biến và enable lại các quy tắc được tạo bởi Template

Trong chương trước của sách, chúng ta đã tạo ra các Access Rules điều khiển việc
truy cập ra Internet c
ăn cứ trên user/group. Bây giờ, chúng ta sẽ disable những rules
đó và sử dụng các Rules đã tạo sẵn trong 3-Leg Perimeter Network Template.
Trang 154 Triển khai ISA Server Firewall 2004
Tiến hành các bước sau để disable các custom rules đã tạo ở chương trước và enable
các rules được tạo sẵn trong Template:
1. Tại ISA Server 2004 firewall mở Microsoft Internet Security and Acceleration
Server 2004 management console. Mở rộng server name và click vào Firewall
Policy node.
2. Click DNS Servers policy. Nhấn CTRL key và click Administrator Internet
Access and Limited Access Web Users Access Rules. Right click một trong số các
rules và click Disable.



3. Click Apply để lưu lại những thay đổi và cập nhật firewall policy.
4. Click OK trong Apply New Configuration dialog box.

5. Click rule đầu tiên đã được tạo bởi Wizard. Trong ví dụ này, rule đầu tiên là VPN
Clients to Internal Network. Nhấn CTRL key và click vào rule thứ hai , bây giờ cả
2 rules đã được chọn. Right click vào một trong hai, click Enable.



6. Với 2 Access Rules vẫn được chọn, click vào dấu mũi tên xanh hướng lên trong
console, sau đó chuyển rule lên hàng trên cùng của danh sách.



Trang 155 Triển khai ISA Server Firewall 2004
7. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.
8. Click OK trong Apply New Configuration dialog box.

Tạo quy tắc publish Web - Web Publishing Rule
Bây giờ bạn đã sẵn sàng cho việc publish Web. Web Publishing Rule sẽ cấu hình để
ISA Server 2004 firewall lắng nghe các yêu cầu đến Web site của bạn. Bởi vì ISA
Server 2004 firewall là một ứng dụng “thông minh”, Lớp ứng dụng trên Firewall chỉ
chấp nhận các yêu cầu từ external users, những người truy câp đến đúng tên Web
site. Các External users, hackers và Internet worms sẽ không thể kết nối đế
n Web
site khi chỉ dùng một IP address đơn giản.

Tiến hành các bước sau để tạo Web Publishing Rule:
1. Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security and
Acceleration Server 2004 management console và mở rộng server name. Click
vào Firewall Policy node.
2. Right click Firewall Policy node, chọn New và click Web Server Publishing
Rule.

3. Trên Welcome to the New Web Publishing Rule Wizard page, điền vào tên
Web publishing rule name text box. Trong ví dụ này, chúng ta sẽ đặt tên là
Perimeter Web Server. Click Next.
4. Trên Select Rule Action page, chọn Allow và click Next.
5. Trên Define Website to Publish page, điền vào tên Web server trên
perimeter network trong Computer name or IP address text box. Đây là tên hay
IP address của Server trên perimeter network , không phải IP address trên Card
ngoài- external interface của ISA Server 2004 firewall. Trong ví dụ này chúng ta sẽ
dùng tên perimeter.msfirewall.org; tên này phả
i có thể giải quyết ra IP address
được sử dụng bởi Web server trên perimeter network. Điều này có thể tiến hành
bằng cách cài đặt một DNS Server phân tách dịch vụ tim tên - split DNS
infrastructure, hoặc dùng một HOSTS file trên ISA Server 2004 firewall.
Sau này, bạn sẽ tạo một HOSTS file dành cho các máy ở perimeter network.Trong
Folder text box, điền vào /*. Click Next.
Trang 156 Triển khai ISA Server Firewall 2004


6. Trên Public Name Details page, chọn This domain name (type below) trong
Accept requests for list. Trong Public name text box, điền vào tên mà external
users sẽ truy cập site. Trong ví dụ này chúng ta sẽ dùng tên
perimeter.msfirewall.org. Khi User truy cập vào
Tên này sẽ được DNS giải quyết thành địa chỉ ngoài -external IP address trên ISA
Server 2004 firewall, nơi đang lắng nghe thực sự các yêu cầu truy cập vào Web site.
Trong Path (optional) text box, điền /*. Điều này cho phép users truy cập đến tất
cả directories trên Website, dĩ nhiên rằng nếu họ có quyền làm điều đó. Click Next.
Trang 157 Triển khai ISA Server Firewall 2004


7. Trên Select Web Listener page, click New.

8. Trên Welcome to the New Web Listener Wizard page, điền tên cho Web
listener trong Web listener name text box. Trong ví dụ này, tên sẽ là Listener1.
Click Next.
9. Trên IP Addresses page, đánh dấu check vào External check box và click
Address.
Trang 158 Triển khai ISA Server Firewall 2004


10. Trên External Network Listener IP Selection page, chọn Specified IP
addresses on the ISA Server computer in the selected network. Trong danh
sách Available IP Addresses chọn IP address trên Card ngoài- external interface
của ISA Server 2004 firewall và click Add. IP bây giờ sẽ xuất hiện trong Selected IP
Addresses list. Click OK.
Trang 159 Triển khai ISA Server Firewall 2004


11. Click Next trên IP Addresses page.
Trang 160 Triển khai ISA Server Firewall 2004


12. Trên Port Specification page, xác nhận là đã đánh dấu check vào Enable
HTTP check box port mặc định HTTP port là 80. Click Next.
Trang 161 Triển khai ISA Server Firewall 2004


13. Click Finish trên Completing the New Web Listener Wizard page.
14. Listener1 entry giờ đã xuất hiện trong Web listener list. Click Next.
Trang 162 Triển khai ISA Server Firewall 2004



15. Trên User Sets page, chấp nhận mặc định, All Users, và click Next.
16. Click Finish trên Completing the New Web Publishing Rule Wizard page.
17. Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.
18. Click OK trong Apply New Configuration dialog box.
Bước kế tiếp là tạo ra HOSTS file để firewall có thể giải quyết tên
perimeter.msfirewall.org thành IP address được sử dụng bởi website trên
perimeter network.
Trong ví dụ này, Web site đang lắng nghe trên IP address 172.16.0.2.
1. Click Start , Run. Trong Run dialog box, điền vào notepad click OK.
2. Click File menu và Open. Trong Open dialog box, đ
iền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click
Open.
Trang 163 Triển khai ISA Server Firewall 2004


3. Đưa dòng text sau vào HOSTS file:172.16.0.2 perimeter.msfirewall.org .
Nhấn ENTER khi kết thúc dòng. Click File , click Exit. Trong Notepad dialog box,
click Yes để lưu những thay đổi
Trang 164 Triển khai ISA Server Firewall 2004


Tạo FTP Server Publishing Rule

Với Server Publishing Rules mơi vấn đề liên quan đến publish Server còn đơn giản
hơn cả Web Publishing Rules. Một Server Publishing Rule đẩy các yêu cầu truy cập
vào Server đến các server được publish và ISA Server 2004 firewall xử lý các yêu cầu
này thông qua bọ lọc lớp ứng dụng của mình - application layer filters. Thông tin duy
nhất cần để hỗ trợ cho Server Publishing Rule là IP address của Server sẽ được
publish. Chú ý rằng tất cả các server có Primary connection luôn được xác lập là

inbound.
Tiến hành các bước sau để tạo một FTP Server Publishing Rule:
1. Tại ISA Server 2004 firewall , mở
Microsoft Internet Security and
Acceleration Server 2004 management console và mở rộng server name. Click
trên Firewall Policy node.
2. Right click vào Firewall Policy node, chọn New và click Server Publishing
Rule.
3. Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên
của rule trong Server publishing rule name text box. Trong ví dụ này, chúng ta sẽ
đặt tên là Perimeter FTP Server và click Next.
4. Trên Select Server page, điền vào IP address của FTP server trên perimeter
network trong Server IP address text box. Trong ví dụ này, FTP server đang lắng
nghe trên IP address 172.16.0.2. Click Next.
Trang 165 Triển khai ISA Server Firewall 2004


5. Trên Select Protocol page, chọn FTP Server protocol từ danh sách Selected
protocol. Click Next.
Trang 166 Triển khai ISA Server Firewall 2004


6. Trên IP Addresses page, đánh dấu check vào External check box. Click
Addresses button.
7. Trong External Network Listener IP Selection dialog box, chọn Specified IP
addresses on the ISA Server computer in the selected network option. Chọn
IP address trên Card ngoài - external interface của ISA Server 2004 firewall trong
Available IP Addresses list và click Add. IP bây giờ xuất hiện trong Selected IP
Addresses list. Click OK.
8. Click Next trên IP Addresses page.

9. Click Finish trên Completing the New Server Publishing Rule Wizard page.
Bước kế tiếp xác định đúng mối liên hệ Network giữa perimeter network và
external network:
1. Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng Configuration node và click Networks node.
2. Trong Details pane, click Network Rules tab. Right click Perimeter Access
Network Rule và click Properties.
3. Trong Perimeter Access Properties dialog box, click Network Relationship
tab.
4. Trên Network Relationship tab, chọn Network Address Translation (NAT)
.
Click Apply and OK.
5. Click Apply để lưu những thay đổi và cập nhật cho firewall policy.
Trang 167 Triển khai ISA Server Firewall 2004
6. Click OK trong Apply New Configuration dialog box.

Kiểm tra lại kết quả Publish Server

Giờ đây chúng ta đã sẵn sàng cho việc kiểm tra kết nối. Internet Explorer 6.0 có thể
truy cập cả hai Web FTP sites . Sự khác nhau uy nhất khi truy cập vào các sites này
là việc gõ lệnh trong I.E, một bên là: http:// cho truy cập Web site và ftp:// truy
cập FTP site. Bạn cũng sẽ được xem hướng dẫn, cấu hình FTP site như thế nào để
cho phép external users đượcvupload files.
Tiến hành các bước sau để kiểm tra Web và FTP Server Publishing Rules:
1. Bước đầu tiên th
ực hiện tại external Windows 2000 client là việc cấu hình HOSTS
file nhằm cho phép Client có thể giải quyết tên perimeter.msfirewall.org thành IP
ngoài- external address của ISA Server 2004 firewall.
2. Click Start và Run. Trong Run dialog box, điền notepad và click OK.
3. Click menu File và chọn Open. Trong Open dialog box, điền vào

c:\windows\system32\drivers\etc\hosts in the File name text box, và click
Open.
4. Đưa dòng text sau vào HOSTS file:192.168.1.70 perimeter.msfirewall.org
Nhấn ENTER tại cuối dòng. Click File và click Exit. Trong Notepad dialog box, click
Yes để lưu lại những thay đổi
5. Từ Máy client bên ngoài -external client machine, mở Internet Explorer và điền
vào .ENTER. Trang Web mặc đị
nh của site sẽ xuất
hiện.



6. Trong Internet Explorer, điền vào . ENTER. Bạn sẽ
thấy nội dung của FTP site. Theo mặc định, chúng ta chỉ có thể download files từ FTP
site.
Trang 168 Triển khai ISA Server Firewall 2004


7. Nếu bạn muốn upload files lên site, quay trở lại Microsoft Internet Security
and Acceleration Server 2004 management console right click vào Perimeter
FTP Server publishing rule và click Configure FTP.



8. Trong Configures FTP protocol policy dialog box, remove dấu check tại Read
Only check box. Click Apply và OK.