Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 485/555

Hình 5.9: Chọn Network Adapter.
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vào Windows routing table.
Chọn OK trong hộp thoại Internal network address ranges.

Hình 5.10: Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network” để tiếp tục quá trình cài đặt.
Chọn dấu check “Allow computers running earlier versions of Firewall Client software to
connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next.

Hình 5.11: Tùy chọn tương thích với ISA Client.

.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 486/555
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một sốdịch vụ SNMP và IIS Admin
Service trong quá cài đặt. ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) /
Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)
services.
Chọn Finish để hoàn tất quá trình cài đặt.
V. Cấu hình ISA Server.
V.1. Một số thông tin cấu hình mặc định.
- Tóm tắt một số thông tin cấu hình mặc định:
- System Policies cung cấp sẳn một số luật để cho phép truy cập vào/ra ISA firewall. Tất cả các
traffic còn lại đều bị cấm.

- Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network.
- Cho phép NAT giữa Internal Network và External Network.
- Chỉ cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA firewall.
Đặc điểm Cấu hình mặc định (Post-installation Settings)
User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên của
Administrators group trên máy tính nội bộ có thể cấu hình firewall policy).
Network settings Các Network Rules được tạo sau khi cài đặt:
Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và
tất cả các mạng khác.
Internet Access: Định nghĩa Network Address Translation (NAT).
VPN Clients to Internal Network dùng để định nghĩa đường đi VPN Clients
Network và Internal Network.
Firewall policy Cung cấp một Access Rule mặc định tên là Default Rule để cấm tất cả các
traffic giữa các mạng.
System policy ISA firewall sử dụng system policy để bảo mật hệ thống. một số system
policy rule chỉ cho phép truy xuất một số service cần thiết.
Web chaining Cung cấp một luật mặc định có tên Default Rule để chỉ định rằng tất cả các
request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể
nhận từ Proxy Server khác.
Caching Mặc định ban đầu cache size có giá trị 0 có nghĩa rằng cơ chế cache sẽ bị vô
hiệu hóa. Ta cần định nghĩa một cache drive để cho phép sử dụng Web
caching.
Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và gián sát sự kiện.
Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó nó sẽ cấu hình
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 487/555
thông số proxy dụng Web browser.

V.2. Một số chính sách mặc định của hệ thống
5. Cho phép RADIUS
authentication từ ISA đến
một số trusted RADIUS
servers
4. Cho phép login tới
một số server sử dụng
giao thức NetBIOS
3. Cho phép quản lý ISA
Firewall thông qua
Terminal Services
Protocol
2. Cho phép quản lý ISA
Firewall từ xa thông qua
công cụ MMC
1. Chỉ sử dụng khi ISA
Firewall là thành viên
của Domain
Order/Comments
All
ow
RADIUS

authentication from
ISA Server to
trusted RADIUS
servers
Allow remote
logging to trusted
servers using

NETBIOS
A
llow remote
management from
selected computers
using Terminal
Server Name
A
llow remote
management from
selected computers
using MMC
Allow access to
Directory services
purposes
Name
Allow
Allow
Allow
Allow
Allow
Action
RADIUS
RADIUS
Accounting
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
RDP (Terminal

Services) Protocols
NetBIOS datagram
NetBIOS
Name Service
NetBIOS
LDAP ;LDAP (UDP)
LDAP GC (global
catalog)
LDAPS ;LDAPS GC
(Global Catalog)
Protocol
Local Host
Local Host
Remote
Management
Computers
From/Listener
Remote
Management
Computers
Local Host
from/Listener
Internal
Internal
Local
Host
Local
Host
Internal
To

All Users
All Users
All Users
Continued
Condition
All Users
All Users
Condition
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 488/555
10. Cho phép một số
máy được quyền gởi
ICMP request đến IS
A

Server
9. Chấp nhận DHCP
replies từ DHCP
Server tới ISA Server
8. Cho phép DHCP
Request từ ISA gởi
đến tất cả các mạng
7. Cho phép sử dụng
DNS từ ISA tới một số
DNS Server
6. Cho phép chứng
thực kerberos từ ISA

Server tới trusted
server
Order/Comments
Allow ICMP (PING)
requests from selected
computers to ISA Server
Allow DHCP replies from
DHCP servers to ISA Server
Allow DHCP requests from
ISA Server to all networks
Name
Allow DNS from ISA Server
to selected servers
Allow Kerberos
authentication
from ISA Server
to trusted servers
Name
Allow
Allow
Allow
Allow
Allow
Action
Ping
DHCP (reply)
DHCP(reques
t) Protocols
DNS
Kerberos-Sec

(TCP)
Kerberos-Sec
(UDP)
Protocol
Remote
Management
Computers
Internal
Local Host
From/Listener
Local Host
Local Host

from/Listener
Local
Host
Local
Host
Anywher
e To
All

Networks
(and
Local
Host
)
Internal
To
All Users

All Users
All Users
Continued
Condition
All Users
All Users
Condition
15. Cho phép sử dụng
CIFS để truy xuất
share file từ ISA đến
các server khác
14. Cho phép ISA thiết
lập kết nối VPN (site to
site) đến VPN Server
khác
13. Cho phép DHCP
Request từ ISA gởi
đến tất cả các mạng
12. Cho phép tất cả
các VPN Client bên
ngoài kết nối vào ISA
Server
11. Cho phép ISA
Server gởi ICMP
request tới một số
server
Order/Comments
.

Tài liệu hướng dẫn giảng dạy


Học phần 3 - Quản trị mạng Microsoft Windows Trang 489/555
CIFS (Common
Internet File
System) from IS
A

Server to trusted
servers
Allow VPN site-to-
site traffic from
ISA Server
Allow VPN site-
to-site traffic to
ISA Server Name
All VPN client
traffic to ISA
Server
Allow ICMP
requests from ISA
Server to selected
servers
Name
Allow
Allow
Allow
Allow
Allow
Action
Microsoft CIFS

(TCP) Microsoft
CIFS (UDP)
NONE
NONE
PPTP
ICMP
Information
Request ICMP
Timestamp
Protocol
Local Host
Local Host
External
IPSec Remote
Gateways
From/Listener
External
Local Host
from/Listener
Internal
External
IPSec
Remote
Gateways
Local Host
To
Local Host
All Networks
(and Local
Host

Network)
To
All Users
All Users
All Users
Continued
Condition
All Users
All Users
Condition
20. Cho phép quan sát
thông suất của ISA
Server từ xa
19. Cho phép một số
máy được truy xuất
Firewall Client
installation share trên
ISA Server
18. Cho phép
HTTP/HTTPS từ ISA
đến một số server khác
17. Cho phép truy xuất
HTTP/HTTPS từ ISA
đến một số site chỉ định
16. Cho phép login từ
xa bằng SQL qua ISA
server
Order/Comments
All
ow remo

t
e
performance
monitoring of ISA
Server from trusted
servers
A
llow access from
trusted computers
to the Firewall
Client installation
share on ISA
Server
Allow

HTTP/HTTPS

requests from ISA
Server to selected
servers fo
r

connectivity
verifiers
A
llow HTTP/HTTPS
requests from ISA
Server to specified
sites Name
Allow remote SQL

logging from ISA
servers
Name
Allow
Allow
Allow
Allow
Allow
Action
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 490/555
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
Microsoft

CIFS

(TCP) Microsoft
CIFS (UDP)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
HTTP HTTPS
HTTP HTTPS

Protocols
Microsoft SQL
(TCP) Microsoft
SQL (UDP)
Protocol
Remote
Managemen
t Computers
Internal
Local Host
HTTP
HTTPS
Protocols
Local Host
from/Listen
er
Local Host
Local Host
All
Networks
(and Local
Host
Network)
System
Policy
Allowed
Sites To
Internal
To
All Users

All Users
All Users
All Users
Continued
Condition
All Users
Condition
25. Cho phép giám
sát từ xa thông qua
giao thức Microsoft
Operations
24. Cho phép
chứng thực
SecurID từ ISA đến
một số server
23. Cho phép truy
xuất HTTP/HTTPS
từ ISA Server tới
một số Microsoft
error reportin
gsite
21. Cho phép sử
dụng RPC từ IS
A

truy xuất đến một
số server khác
21. Cho phép sử
dụng NetBIOS từ
ISA Server đến một

số Server chỉ định
sẵn
Order/Comments
A
llow remote
monitoring
from IS
A

Server to
authentication
from ISA
Server to
trusted servers
Allow
HTTP/HTTPS
from IS
A

Server to
specified
A
llow RPC
from IS
A

Server to
trusted servers
A
llow NetBIOS

from IS
A

Server to
trusted servers
Name
Name

Allow
Allow
Allow
Allow
Action
Microsoft
Operations
Manager Agent
SecurID
HTTP HTTPS
RPC (all interfaces)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Sessions Protocols
Protocol
Local Host
Local Host
Local Host
Local Host
Local Host
From/Listen

er
from/Listen
er
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 491/555
Internal
Internal
Microsoft
Error
Reporting
sites
Internal
Internal To
To
All Users
All Users
All Users
All Users
All Users
Continued
Condition
Condition
30. Cho phép một số
máy khác sử dụng MMC
điều khiển ISA
29. Cho phép một số
máy sử dụng Content

Download Jobs.
28. Cho phép traffic
SMTP từ ISA Server tới
một số Server
27. Cho phép sử dụng
NTP (giao thức đồng bộ
thời gian trên Windows
NT 2k, XP) từ ISA tới một
26. Cho phép HTTP
traffic từ ISA Server tới
một số network hỗ trợ
dịch vụ chứng thực
download CRL
(Certificate Revocation
Order/Comments
Allow Microsoft
communication to
selected computers
ISA Server to
selected computers
for Content
Download Jobs
Allow SMTP from
Allow ISA Server to
trusted servers
Allow NTP from ISA
Server to trusted
NTP servers
Traffic from ISA
Server to all

networks (for CRL
downloads) Name
Name
Allow
Allow

Allow
Allow + Action
Action
All Outbound
traffic
HTTP
SMTP
NTP (UDP)
HTTP Protocols
Protocol
Local Host
Local Host
Local Host
Local Host
Local Host
From/Listen
er
from/Listen
er
Remote
Management
Computers
All Networks
(and Local

Host)
Internal
Internal
All Networks
(and Local
Host) To
To
All Users
System
and
Network
Service
All Users
All Users
All Users
Continued
Condition
Condition
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 492/555
Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên
cột System policy.

Hình 5.12: System policy Rules.
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.


Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.
Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ
Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ.
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 493/555

Hình 5.14: System Policy Editor.
- Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua
giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả
dưới tên là “system policy allow sites” bao gồm:
- *.windows.com
- *.windowsupdate.com
- *.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên
ngoài thì ta phả
i hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System
Policy Rule có tên
+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA
Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào
item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ
truy xuất theo cú pháp *.domain_name.
- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable lu
ật 18 có
tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity
verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt
sự thay đổi vào hệ thống.

.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 494/555

Hình 5.15: Mô tả System Policy Sites.
Chú ý:
- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại
nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy
cha lấy thông tin từ Internet Web Server.
+ Để cấu hình Uptream Server cho ISA Server
nội bộ ta chọn Configuration panel từ ISA
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi
vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream
server.

Hình 5.16: Chỉ định Upstream server.
+ Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta
cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.
- Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
Internal interface của ISA Firewall
trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.
.