Trang 192 Triển khai ISA Server Firewall 2004


6. Trên Bridging Mode page, chọn Secure connection to clients and mail
server and click Next.
Trang 193 Triển khai ISA Server Firewall 2004


7. Trên Specify the Web Mail Server page, điền tên cho Internal OWA Web site
trong Web mail server text box. Trong vd này, chúng ta sẽ dùng tên
owa.msfirewall.org. Click Next.
Trang 194 Triển khai ISA Server Firewall 2004


8. Trên Public Name Details page, chọn This domain name (type below) trong
Danh sách Accept requests for . Điền vào tên external users sẽ dùng để truy cập
đến OWA Web site trong Public name text box. Trong vd này, external users sẽ
dùng tên owa.msfirewall.org. Click Next.
Trang 195 Triển khai ISA Server Firewall 2004


9. Trên Select Web Listener page, click New.
10. Trên Welcome to the New Web Listener Wizard page, điền vào tên cho
listener trong Web listener name text box. Trong vd này chúng ta dùng tên OWA
SSL Listener. Click Next.
11. Trên IP Addresses page, đánh dấu trong External check box. Click Address
button.
12. Trong External Network Listener IP Selection dialog box, chọn Specified IP
addresses trên ISA Server computer trong select network. Click trên external
IP address đã cấu hình trên ISA Server 2004 firewall mà bạn muốn dùng để lắng
nghe các yêu cầu đi vào-cincoming requests đến OWA site (trong Available IP

Addresses list). Trong vd này, chúng ta sẽ chọn 192.168.1.70 entry. Click Add. IP
address giờ đã xuất hiện trong Selected IP Addresses list. Click OK.
13. Click Next trên IP Addresses page.
14. Trên Port Specification page, remove dấu check từ Enable HTTP check
box. Đặ
t dấu check trong Enable SSL checkbox. Giữ nguyên SSL port number là
443.
15. Click Select button. Trong Select Certificate dialog box, click trên OWA Web
site certificate mà bạn đã nhập vào nơi lưu trữ certificate trên ISA Server 2004
firewall and click OK.
Trang 196 Triển khai ISA Server Firewall 2004
16. Click Next trên Port Specification page.
17. Click Finish trên Completing the New Web Listener page.
18. Chi tiết của Web listener giờ đã xuất hiện trên Select Web Listener page. Click
Edit.
19. Trong OWA SSL Listener Properties dialog box, click Preferences tab.


20. Trên Preferences tab, click Authentication button.
21. Trong Authentication dialog box, remove dấu check từ Integrated check box.
Click OK trong Microsoft Internet Security and Acceleration Server 2004
dialog box nhận thấy cảnh báo rằng hiện không có phương thức xác thực nào được
cấu hình.
22. Đặt dấu check trong OWA Forms-Based authentication checkbox. Click OK.
Trang 197 Triển khai ISA Server Firewall 2004


23. Click Apply và sau đó click OK trong OWA SSL Listener Properties dialog box.
24. Click Next trên Select Web Listener page.
Trang 198 Triển khai ISA Server Firewall 2004



25. Trên User Sets page, chấp nhận entry mặc định là, All Users, và click Next.
26. Click Finish trên Completing the New Mail Server Publishing Rule Wizard
page.
27. Click Apply để lưu những thay đổi và cập nhật firewall policy.
28. Click OK trong Apply New Configuration dialog box.
Bước tiếp theo là tạo một HOSTS file entry trên ISA Server 2004 firewall để có thể
giải quyết tên owa.msfirewall.org ra IP address của Exchange Server trên
Internal network.
4. Click Start , Run. Trong Run dialog box, điền vào notepad trong Open text box,
click OK.
5. Click File menu ,click Open. Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click
Open.
Trang 199 Triển khai ISA Server Firewall 2004


6. Add thêm dòng sau vào HOSTS file:
10.0.0.2 owa.msfirewall.org
Nhấn ENTER ở cuối dòng. Click File và Exit. Trong Notepad dialog box, click Yes để
xác đinh bạn muốn save
Trang 200 Triển khai ISA Server Firewall 2004


Tạo quy tắc SMTP Server Publishing Rule
Bạn có thể tạo ra một SMTP Server Publishing Rule để cung cấp cho external users
và servers truy cập đến Microsoft Exchange SMTP service. Nhìn chung, bạn sẽ muốn
dùng ISA Server 2004 firewall đóng vai trò là một bộ lọc chuyển tiếp mail-SMTP
filtering relay để ngăn chặn external users và các servers trực tiếp kết nối đến

Exchange Server. Server Publishing Rule được thảo luận trong các bước được dùng
thích hợp nhất để cung cấp cho các external SMTP servers truy cập đến Exchange
Server để có thể send mail đến e-mail dưới quyền quản trị
của bạn.
Tiến hành các bước sau để tạo SMTP Server Publishing Rule:
10. Mở Microsoft Internet Security and Acceleration Server 2004 management
console, mở rộng server name trong khung trái. Click trên Firewall Policy node.
11. Right click Firewall Policy node và chọn New. Click Server Publishing Rule.
12. Trên Welcome to the New Server Publishing Rule Wizard page, điền tên
của rule trong Server publishing rule name text box. Trong vd này, chúng ta sẽ
đặt tên rule là SMTP Server. Click Next.
13. Trên Select Server page, điền vào IP address của Exchange Server trên Internal
network. Trong vd của chúng ta, IP address là 10.0.0.2. Điền 10.0.0.2 vào text
box. Click Next.
14. Trên Select Protocol page, chọn SMTP Server protocol từ danh sách Selected
protocol. Click Next.
Trang 201 Triển khai ISA Server Firewall 2004


15. Trên IP Addresses page, đánh dấu check vào External check box và click
Address button.
16. Trong External Network Listener IP Selection dialog box, chọn Specified IP
addresses trên ISA Server computer in the selected network. Click IP address
trên external interface mà bạn muốn dùng trong rule này. Trong vd này IP address là
192.168.1.70. Click Add. IP address giờ đã xuất hiện trong danh sách Selected IP
Addresses. Click OK.
Trang 202 Triển khai ISA Server Firewall 2004


17. Click Next trên IP Addresses page.

18. Click Finish trên Completing the New Server Publishing Rule Wizard page.

Tạo quy tắc POP3 Server Publishing Rule

Truy cập từ xa đến Exchange Server POP3 service cho phép User hiện ở bất cứ nơi
nào cũng có thể download mail của họ từ Exchange Server đến hộp chứa mail-
Inbox, của bất kì ứng dụng e-mail client nào. Users phải cung cấp một user name và
password khi họ muốn kết nối đến POP3 service. Họ download e-mail ứng dụng e-
mail client sau khi gửi thông tin xác thực hợp lệ về mình. Những thông tin xác thực
của User được gửi đi mà không mã hóa-clear text. Trong môi trường thực tế, bạn nên
yêu cầu một kết nối bảo mật SSL khi truy cập đến POP3 -SSL secured POP3 nhằm
bảo vệ user name và password không dễ dàng bị những kẽ tấn công thâu tóm
Tiến hành các bước sau để tạo POP3 Server Publishing Rule:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
console,và mở rộng server name ở khung trái. Click trên Firewall Policy node.
2. Right click Firewall Policy node và chọn New. Click Server Publishing Rule.
3. Trên Welcome to the New Server Publishing Rule Wizard page, điền vào tên
dành cho rule trong Server publishing rule name text box. Trong vd này,chúng ta
sẽ đặt tên rule là POP3 Server. Click
Next.
4. Trên Select Server page, điền vào IP address của Exchange Server trên Internal
network. Trong vd này,IP address là 10.0.0.2. Điền vào 10.0.0.2 trong text
box. Click Next.
5. Trên Select Protocol page, chọn POP3 Server protocol từ danh sách Selected
protocol. Click Next.
Trang 203 Triển khai ISA Server Firewall 2004
6. Trên IP Addresses page, đánh dấu check vào External check box và click
Address button.
7. Trong External Network Listener IP Selection dialog box, chọn Specified IP
addresses trên ISA Server computer in the selected network. Click IP address

trên external interface bạn muốn dùng cho rule. Trong vd này, IP address là
192.168.1.70, click Add. Giờ IP address đã xuất hiện trong Selected IP
Addresses list. Click OK.



8. Click Next trên IP Addresses page.
9. Click Finish trên Completing the New Server Publishing Rule Wizard page.

Kiểm tra kết nối
Chúng ta đã sẵn sàng cho việc kiểm tra các kết nối OWA, SMTP and POP3 đến
Exchange Server, nằm sau ISA Server 2004 firewall. Bước đầu tiên là tạo ra HOSTS
file entry trên client để giải quyết đúng tên của OWA site. Trong môi trường thực tế,
bạn có thể tạo ra một public DNS resource record để giải quyết tên này ra IP address
cho các external network clients.
Tiến hành các bước sau để kiểm tra kết nối Outlook Web Access:
1. Bước đầu tiên là add vào HOSTS file entry trên external client machine. Click
Start , Run. Trong Run dialog box,
điền vào notepad trong Open text box và click
OK.
2. Click menu File và chọn Open. Trong Open dialog box, điền vào
c:\windows\system32\drivers\etc\hosts trong File name text box và click
Open.
Trang 204 Triển khai ISA Server Firewall 2004


3. Add dòng sau vào HOSTS file:192.168.1.70 owa.msfirewall.org
Nhấn ENTER ở cuối dòng. Click File và Exit. Trong Notepad dialog box, click Yes để
xác nhận rằng bạn lưu những thay đổi
4. Mở Internet Explorer trên external client machine. Điền vào

. Nhấn ENTER.
5. Trong hộp đăng nhập- Outlook Web Access Log on , điền vào user name trong
Domain\user name text box, và password trong Password text box. Chọn
Premium client type và Private computer Security type. Trong vd này, chúng ta
sẽ điền tên user name là MSFIREWALL\Administrator và Administrator’s
password. Click Log On.
Trang 205 Triển khai ISA Server Firewall 2004


Kế tiếp, sẽ kiểm tra các chức năng của POP3 và SMTP khi dùng Outlook Express:
1. Trên external client machine, mở Outlook Express. Click Tools và Accounts.
2. Trong Internet Accounts dialog box, click account có sẵn và chọn Remove.
Click Yes trong Internet Accounts dialog box nếu được hỏi có chắc rằng sẽ delete
account.
3. Click Add và click Mail.
4. Trên Your Name page, điền tên Administrator trong Display name text box.
Click Next.
5. Trên Internet E-mail Address page, điền vào
trong E-mail address text box. Click Next.
6. Trên E-mail Server Names page, chọn POP3 entry trong My incoming mail
server is a x server list. Điền vào 192.168.1.70 trong Incoming mail (POP3,
IMAP or HTTP) server
text box. Điền vào 192.168.1.70 trong Outgoing mail
(SMTP) server text box. Click Next.
Trang 206 Triển khai ISA Server Firewall 2004


7. Trên Internet Mail Logon page, điền vào Administrator trong Account name
text box và administrator’s password trong Password text box. Click Next.
8. Click Finish trên Congratulations! page.

9. Click Close trên Internet Accounts dialog box.
10. Đóng Outlook Express và mở lại. Click Create Mail button và điền đại chỉ đến là
to: Điền một subject và vài dòng text sau đó click
Send button. Để nhận mail từ POP3 server, click Send/Recv. Mail bạn gửi sẽ xuất
hiện trong Inbox.
11. Đóng Outlook Express.

Kết luận:
Trong chương này chúng ta đã thảo luận việc publish một Microsoft Exchange
Outlook Web Access (OWA) site và làm th
ế nào để publish Exchange POP3
và SMTP services. Trong chương tới của sách chúng ta sẽ thảo luận về việc làm thế
nào firewall có thể publish một dãy các Exchange Server.





Trang 207 Triển khai ISA Server Firewall 2004
Chương 15: Cấu hình ISA Server 2004 Firewall đóng vai trò một
VPN Server

ISA Server 2004 firewall có thể được cấu hình trở thành môt VPN server. Khi bật
chức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients -incoming
VPN client , nếu kết nối thành công, VPN client computer sẽ là thành viên cua Mạng
được bảo vệ, không khác gì so với các Client bên trong LAN. VPN servers truyền
thống cho phép VPN clients đầy đủ quyền truy cập vào Mạng khi đã được kết nối.
Ngược lại với ISA Server 2004 VPN server có khả năng cho phép chúng ta điều khiển
những protocols nào và những servers nào mà VPN clients có thể kết nối đến d
ựa

trên đặc quyền mà Client đã khai báo khi thiết lập kết nối-credentials đến VPN
server.
Có thể dùng Microsoft Internet Security and Acceleration Server 2004
management console để quản lý tất cả cấu hình liên quan đến VPN server . Firewall
sẽ quản lý danh sách các IP addresses được cấp phát cho VPN clients và bố trí các IP
này trên một VPN clients network được chỉ định. Điều khiển truy cập sau đó có thể
được bố trí dựa trên chiều giao tiếp, thông qua kiểm soát của các Access Rules : Đến
hay từ VPN clients network.
Theo các bước sau tiến hành enable ISA Server 2004 VPN server:
• Enable VPN Server
• Tạo một Access Rule cho phép VPN clients truy cập vào Internal network
• Ki
ểm tra các kết nối VPN .

Enable VPN Server
Theo mặc định, thành phần VPN server trên ISA Server bị disabled. Bước đầu tiên là
enable tính năng VPN server và cấu hình các thành phần VPN server.
Tiến hành các bước sau để enable và cấu hình ISA Server 2004 VPN Server:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
console , mở rộng server name. Click trên Virtual Private Networks (VPN)
node.
2. Click trên Tasks tab trong Task Pane. Click Enable VPN Client Access.


Trang 208 Triển khai ISA Server Firewall 2004

3. Click Apply để lưu những thay đổi và cập nhật firewall policy.
4. Click OK trong Apply New Configuration dialog box.
5. Click Configure VPN Client Access.
6. Trên General tab, thay đổi giá trị là Maximum number of VPN clients allowed

Từ 5 đến 10.



7. Click trên Groups tab. Trên Groups tab, click Add button.
8. Trong Select Groups dialog box, click Locations button. trong Locations dialog
box, click msfirewall.org entry và click OK.
9. Trong Select Group dialog box, điền Domain Users trong Enter the object
names to select text box. Click Check Names button. group name này sẽ có gạch
dưới khi nó được tìm thấy trong Active Directory. Click OK.
Trang 209 Triển khai ISA Server Firewall 2004


10. Click Protocols tab. Trên Protocols tab, đánh dấu check vào Enable
L2TP/IPSec check box.
Trang 210 Triển khai ISA Server Firewall 2004


11. Click User Mapping tab. Đánh dấu check vào Enable User Mapping check box.
Đánh dấu check vào When username does not contain a domain, use this
domain check box. Điền vào msfirewall.org trong Domain Name text box.
Trang 211 Triển khai ISA Server Firewall 2004


12. Click Apply trong VPN Clients Properties dialog box. Click OK Microsoft
Internet Security and Acceleration Server 2004 dialog box nhận được thông báo
rằng phải restart lại ISA Server firewall trước khi các xác lập có hiệu lực. Click OK.
13. Click Apply lưu lại những thay đổi và cập nhật cho firewall policy.
14. Click OK trong Apply New Configuration dialog box.
15. Restart ISA Server 2004 firewall.


Tạo một Access Rule cho phép VPN Clients truy cập vào Internal Network
Tại thời điểm này, VPN clients có thể kết nối đến VPN server. Tuy nhiên, VPN clients
Không thể truy cập đến bất cứ tài nguyên nào trên Internal network. Trước hết, bạn
phải tạo một Access Rule cho phép các thành viên thu
ộc VPN clients network truy
cập vào Internal network. Trong vd này, chúng ta sẽ tạo một Access Rule nhằm cho
phép tất cả các lưu thông từ VPN clients network được vào Internal network. Trong
môi trường thực tế, bạn có thể tạo ra access rules hạn chế hơn nhằm chặt chẽ việc
Users trên VPN clients network chỉ có thể truy cập đến các tài nguyên mà họ có nhu
cầu.