HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - Phần III
Cấu hình ISA Server như thế nào để có thể làm việc với 3 loại ISA Clients :
SecureNAT Client, Web Proxy Client và Firewall Client. Những hướng dẫn về
cách cấu hình ISA server và phân biệt các loại ISA Clients khác nhau, được sử
dụng tùy những trường hợp khác nhau, có thể giúp các Admin tận dụng được
những ưu điểm của ISA và triển khai hợp lý đúng với yêu cầu trên hệ thống
Mạng của tổ chức mình.
Một số định nghĩa:
· Auto-detection:
Một tính năng trên ISA server (WPAD), cho phép trình duyệt Internet Explorer
(phiên bản 5.0 trở lên), tự động cập nhật cấu hình thích hợp nhất cho mình để
có thể làm việc được với ISA server
· DNS (Domain Name Services)
Service chạy trên một Computer có nhiệm vụ trả lời những yêu cầu truy vấn
tên (hostname) ra IP address thực của các Internet Servers. ví dụ về một truy
vấn tên, ISA Clients cần truy cập đến www.nis.com.vn hay mail.nis.com.vn
(đây là một hostname, và hostname là kiểu tên duy nhất được dùng để mô tả về
các Computer đang cung cấp các dịch vụ trên Internet)
· FQDN (Fully Qualified Domain Name):
Là Computer name, chỉ ra được cấu trúc logic của tên Computer gắn với
Domain chứa Computer ấy. Ví dụ: www.security.net được xem xét về cấu trúc
logic như sau: “Security.net” là Domain name, “www” là tên của Computer
cung cấp Web service của Domain đó. Ngòai ra các .com, .net, .edu, .gov, .org
,v.vv là do các tổ chức quy định Internet Domain Name (ICANN, ) đưa ra.
· LAT Host:
Những Computer hoạt động bên trong Mạng nội bộ thông thường nằm trong
danh sách LAT (Local Address Table), giúp ISA server phận biệt với các
External Host. ISA server dùng NAT dể xử lý các LAT host này (thay các IP
Address của LAT host bằng External IP address trên ISA server), trước khi
thông tin được gửi ra ngoài.
· NetBIOS Name:

Cũng được gọi là Computer Name, được dùng phổ biến trong các Mạng nôi bộ
(mô hình WORKGROUP các máy tình thường dùng Netbios name để giao tiếp
với nhau, không dùng Hostname – chú ý: Hostname chỉ được dùng trong 2
trường hợp: Cho các server cung cấp dịch vụ trên Internet, và trong các hệ
thống Domain nội bộ, như Active directory domain của Microsoft)
· Record:
Trong hệ thống DNS, và nằm trong DNS zone, các record chính là bản ghi cụ
thể chỉ rõ một Host, một Mail server, một Web server hay Domain Controller,
v.vv gắn liền với IP address ( hoặc ngược lại ghi IP adrress trước và Hostname
sau) của những Server này, và là nhân tố chính phục vụ cho việc truy vấn tên
từ Clients.
· Primary và Secondary Protocol:
Có những Server cung cấp chỉ một Network Service khi giao tiếp, có thể
Service phải được vận hành trên nhiều Port (hay nói cách khác phục vụ trên
nhiều connections cùng thời điểm cho dù chỉ cung cấp 1 service. Ví dụ Active
FTP server service, chạy đồng thời trên 2 TCP ports: 21- thiết lập connection,
và 20- truyền data (khác với Passive FTP chỉ mở TCP Port 21)

Trong ví dụ trên, Primary connection trên Active FTP server được thực hiện
thông qua TCP Port 21, còn Secondary connection qua TCP port 20. Như vậy
TCP 21 là Primary Protocol, còn TCP 20 là Secondary Protocol của Active
FTP Server Application.
· TTL ( Time to Live)
Có đơn vị, được tính bằng giây, xác định thời gian cho một name record tồn
tại trong DNS zone, trước khi name record này phải được refresh, để cập nhật
thông số mới chính xác cho mình.
· WINS (Windows Internet Name Services)
Cũng là Sevice chuyên giải quyết các truy vấn tìm tên như DNS, ngoại trừ việc
NAME được giải quyết trên WINS là NETBIOS NAME (dạng tên không phân
tầng như Hostname, có chiều dài tối đa 16 kí tự - kí tự thứ 16 dùng để xác định

dịch vụ mà Computer dùng NETBIOS name này cung cấp cho các Computer
khác trên Mạng, ví dụ 1 record được đăng kí trong WINS server là SERVER
<20> : Computer name là Server và kí tự Hexa cuối 20, xác định cho các
Computer khác trên Mạng biết được 2 thông tin: Computer name là Server và
dịch vụ mà máy này cung cấp là Fire and Print Sharing.
· WPAD (Windows Proxy Auto Detection)
Một tính năng trên ISA server dùng hỗ trợ cho Internet Explorer 5.0 (hoặc cao
hơn). Khi được cấu hình thích hợp, nó cho phép I.E cập nhật tự động các thông
số cấu hình cho mình.

Các chế độ hoạt động của ISA server:

· Cache :
Dịch vụ được cài đặt và vận hành là Caching Service. Nếu ISA server chỉ cài
đặt ở chế độ này, đối tượng ISA client duy nhất mà nó phục vụ đó là Web
Proxy client. Và chế độ này cũng khôgn hỗ trợ cho H.323 Gatekeeper service.
ISA server hoạt động ở chế độ này chỉ cần cung cấp Web cache, cho nên chỉ
cần 1 NIC Card.
· Firewall:
ISA server ở chế độ này là sự kết hợp của Firewall Service và Web Proxy
service, và hoàn toàn không dính dáng gì đến Web Cache service. Tất cả các
tính năng chính của ISA Server là nằm ở đây và tất cả các loại ISA Clients đều
được hỗ trợ. ISA Server ở chế độ này yêu cầu ít nhất 2 NIC Cards- 1 External
Card và 1 Internal Card dành cho LAT.
· Integrated:
Tích hợp trọn gói gồm đầy đủ các dịch vụ trên cộng lại (Web Proxy, Firewall
và Web Caching service). Sự thực thì khác biệt giữ chế độ này và Firewall đó
là Intergrated có thêm Web Caching service.

Các loại ISA Clients: (Sẽ được phân tích chi tiết ở phần 4)


· SecureNAT :
Chính là một LAT host (Client có cấu hình IP address bên trong Mạng nội bộ).
trong một Mạng đơn giản thì SecureNAT Client có đường định tuyến duy nhất
(default route / default gateway) ra Internet là qua ISA server, và nhận Default
Gateway chính là IP address của ISA server Internal NIC. Trong một Mạng
phức tạp hơn có thễ sẽ hơi khác, SecureNAT Clients sẽ nhận Default Gateway
là các Interface của Router đứng phía sau ISA server, và nhiệm vụ cac Router
này là chỉ đường đến Internal Interface trên ISA.
· Firewall:
Cũng là một LAT host, được cài đặt software ISA Firewall client, được
enabled và các application trên Client sẽ dùng nó sau đó.

· Web Proxy:
Được cấu hình đơn giản thông qua một Application (IE hay các trình duyệt
Web khác như Netscape , hoặc các ứng dụng hỗ trợ (web-enabled application)
như Yahoo Messenger v.vv, trên LAT host dùng các yêu cầu proxy gửi đến
Outbound web listener trên ISA server ra Internet.

Cấu hình ISA Server:
Điều quan trọng là ISA server được Cấu hình đúng để phục vụ cho các loại
ISA Client khác nhau. Nếu ISA Server gặp khó khăn khi giải quyết cho Client
tìm Hostname, hay tiếp cận các dịch vụ Internet thì toàn bộ các Clients có thể
bị tác động. Lập lại các cuộc kiểm tra cho ISA Server trong suốt quá trình cài
đặt và cấu hình, để đảm bảo ISA Server có được cấu hình hợp lý nhất. Như vậy
những thay đổi các thông số trong quá trình cấu hình sẽ được kiểm định chặt
chẽ, và nếu có sai lầm, sẽ dễ dàng quay lại trang thái ban đầu.
· Outgoing Web Requests Listener:
Chức năng như một Web proxy. Yêu cầu Web proxy service (w3proxy) phải
đang hoạt động , Outbound Web Requests Listener phải được config và được

Enable. Xem và thay đổi thông số này, open ISA Management MMC, open
Servers and Arrays, . Right-click và chọn Properties. Click Outgoing Web
Requests tab.

Theo mặc định ISA Server enable Proxy service trên tất cả ISA internal IPs
(trong các ví dụ trước là 192.168.1.200 và 127.0.0.1 (cái này dùng cho chính
ISA Server nếu nó muốn trở thành Web Proxy Client của chính Web Proxy
Service đang hoạt động trên nó), tại port 8080, setup mặc định của Proxy
service này không liên quan đến hoạt động của các ISA Server mode khác như:
Firewall, Integrated, Cache. Để disable Outgoing Web Requests listener, chỉ
đơn giản chọn Configure listeners individually per IP address và không chọn
bất kì IP address nào cho việc này.
· Auto Discovery listener: Đây là một trong những “éo le” cho những người
yêu mến ISA server, khi họ muốn chạy IIS (web server) trên chính ISA Server,
ngay cả khi IIS chỉ dùng Internal IPs. Xem hình các bạn sẽ thấy

Tình huống này chúng ta có 2 applications/services (WPAD functions và IIS
Web service) phục vụ cho Clients trên cùng TCP Port, một cuộc cạnh tranh
xảy ra và ai trong số 2 Service này có thể sẽ bị “thiệt thòi”. Thực chất TCP Port
80 được open trên ISA Server để cung cấp cho ISA Clients tính năng
Automatic Discovery (WPAD functionality, có nghĩa là tự động dò tìm các
thông số để connect đến Web Proxy Service hay ISA firewall Service ), nhưng
những mô tả ở trên sẽ khiến cho Admin băn khoăn một chút khi dùng tính
năng này.
Nếu không muốn Auto Discovery, không nên check Publish automatic
discovery information. Như vậy Port 80 sẽ được giải phóng cho Internal IPs
trên ISA Server
Lưu ý: ISA Server ở chế độ Web proxy server chỉ dùng duy nhất 1 NIC (Cache
Mode)


· Site and Content Rules:
Những nguyên tắc được xác lập ở đây sẽ control những nội dung liên quan đến
HTTP và FTP khi chúng chuyển đến Web Proxy Service (ví dụ khi ISA Clients
truy cập 1 HTTP site nào đó, các nguyên tắc được xác lập ở Site and Content
Rules sẽ xem xét các yêu cầu của ISA clients có hợp lệ hay không, nếu hợp lệ
về nội dung cũng như đích đến, yêu cầu sẽ chuyển tiếp đến Web Proxy service
và ra Internet….) Theo mặc định Site and Content Rules không ngăn cấm bất
kì nội dung nào (Audio, image, video, applications, compressed file…), và bất
kì Site nào khi yêu cầu gửi ra Internet. Do mặc định đã có Allow rule được
thiết. Muốn ngăn chặn những Website/FTPsite Admin có thể tiến hành Deny
tại đây, nhưng hãy xác lập cho chính xác, nếu không sẽ “bế quan tỏa cảng” tất
cả.

· Protocol Rules:
Một trong những trung tâm đầu não của ISA Server. Việc cho phép các LAT
hosts (Internal Clients) truy cập các tài nguyên Internet thông qua các Rule tại
đây. Hình bên dưới chúng ta định nghĩa khá nhiều Protocols cho phép LAT
hosts sử dụng. ví dụ nếu tôi không tạo rule có đánh dấu đỏ, các LAT hosts của
tôi sẽ không thể truy cập được các HTTP Site.

· IP Routing:
Vấn đề kế tiếp, đảm bảo rằng các tất cả các luồng lưu thông SecureNAT
Clients không bị ngăn trở (tất nhiên các rule tại Protocol rules ở trên phải cho
phép điều này). ISA Server mặc định đã disabled “Enable IP Routing”. Khi
được Enable ISA Server mới cho phép các ICMP (pings) từ LAT ra Internet.
Mở ISA Management MMC, tìm IP Packet Filtering. Right-click , chọn
Properties và bạn sẽ thấy như trên hình

Xem thêm thông tin Enable IP Routing tại:


· HTTP Redirector:
Đây là nơi mà Admin có thể điều khiển ISA Firewall Clients và SecureNAT
Clients khi các Clients này yêu cầu truy cập Web. Mở ISA Management
MMC, chọn Servers and Arrays, Extensions, Application Filters. Right-click
HTTP Redirector Filter, chọn Properties. Chọn Options tab Admin sẽ thấy như
trên Hình

Như vậy tại đây các Admin có thể quyết định các yêu cầu truy cập Web của
SecureNAT & Firewall client sẽ được kiểm soát như thế nào (Chú thích:
Thông thường SecureNAT clients và ISA Firewall Clients sẽ làm việc trực tiếp
với ISA Firewall Service cho tất cả các yêu cầu truy cập mọi dịch vụ Internet,
thế nhưng ngoại trừ HTTP/FTP –Web request, thì HTTP Redirector sẽ chuyển
đến Web Proxy service.
Ở hình trên các bạn cũng thấy xác lập “If the local service is unavailable…”,
xác lập này có nghĩa là khi Web Proxy Service trên ISA Server không hoạt
động, chuyển các yêu cầu Web đến trực tiếp Web Server “redirect requests to
Requested Web Server” Điều này thuận lợi cho SecureNAT và Firewall clients
vẫn tiếp cận được Internet mà không cần đếm xỉa gì đến Web Proxy filtering
vốn đang NO ANSWER REQUESTS.
Nếu Admin check vào Send to requested Web Server , thì SecureNAT và
Firewall Clients bỏ qua Web proxy service cho mọi yêu cầu Web, ở mọi thời
điểm.
Tuy nhiên, check vào đây sẽ bỏ qua hết những thông số Proxy được xác lập
trên trình duyệt IE/Netscape của Firewall và SecureNAT clients
Nếu check Reject HTTP requests from Firewall and SecureNAT clients khiến
cho các Firewall và SecureNAT clients phải xác lập Web proxy settings tại
trình duyệt nếu không muốn bị cấm cửa tất cả Web requests.
· Local Domain Table:
Bảng xác định các Internal Domain. Đây là thông tin then chốt cho cả trình
duyệt IE và Firewall client. Bất cứ tên Domain nào đưa và bảng này 1 trong 2

khả năng có thể xảy ra như sau:
1.

Nếu Web Proxy và Firewall clients có dùng 1 DNS server để tìm tên thì
chúng sẽ thông qua DNS server này để giải quyết mà không qua ISA
service có chức năng liên quan.
2.

Web Proxy clients sẽ tạo yêu cầu trực tiếp đến bất cứ Server nào trong
Domain đó, bỏ qua ISA proxy services.
Lưu ý: Cũng nhắc nhở luôn các Admin, tránh trường hợp DNS không thể
phân biệt đâu là truy cập ra các Internet domain và đâu là truy cập domain
nội bộ, thì khi tạo một Internal Domain tránh dùng các định dạng như
Internet Domain đang dùng vd: congty.com thay vào đó có thể khác đi vd:
Int.Domain.tld ( ở đây tôi đặt tên domain rất đặc thù cho tổ chức của tôi :
Int.Domain với .tld thay vì các .com/net/edu/org phổ biến trên Internet
hiện nay)

· Name Resolution:
Xác lập các thông số IP đúng cho ISA server tuyệt đối quan trọng Ít nhất,
Admin phải cung cấp một DNS server cho ISA Server để ISA có thể giải
quyết các Internet Server cho Web Proxy và Firewall clients, và cũng nên
cung cấp cho ISA một internal DNS server phục vụ cho Internal Network,
nếu Mạng là một Domain. ISA Server 2000 cài đặt trên Windows server
2000, và W2K Server mặc định được khuyến cáo dùng DNS là giải pháp
truy vấn tên duy nhất chứ không phải dùng các giải pháp có thể gây “đau
đầu” cho các Admin sau này như WINS (giải quyết NETBIOS name), và
cách giải quyết tên “kinh điển” NETBIOS Broadcast. ISA Server cung cấp
giải pháp tìm DNS name cho chính nó bằng cách tạo sẵn một DNS Lookup
Packet Filter . Các Admin không nên Desabled chức năng này, vì nếu

không ISA Server có thể không giải quyết chính xác các Internet DNS name

∙Web Proxy và Firewall DNS cache:
Web Proxy và Firewall services trên ISA server cung cấp một giải pháp tìm
DNS name rất cơ bản dựa trên các xác lập TCP/IP mà Admin đã config trên
các Network Card của ISA server. Chức năng cơ bản này sẽ giải quyết các
yêu cầu tìm kiếm các Internet hostname cho Web và Firewall clients. Cơ
chế lưu giữ các DNS name đã được giải quyết (DNS Name Cache) của ISA
server khá thú vị, thời gian tồn tại của các DNS records đã cache (Time to
Live of DNS Records) không phụ thuộc vào quy định từ các remote DNS
server mà ISA server chuyển yêu cầu đến nhờ giải quyết, mà TTL này đã
được ISA server quy định sẵn cho Web Proxy và Firewall DNS caches có
tổng thời lượng là 6 giờ. Điều này khác hẳn với cơ chế làm việc của các
DNS server caching only, những DNS server này khi chuyển yêu cầu giải
quyết tên đến các DNS server khác, TTL của records được cache lại trên nó,
phụ thuộc vào TTL từ các DNS server đóng vai trò người giải quyết truy
vấn và bản thân nó chỉ đơn thuần là lưu giữ (cache) lại những gì đã được
DNS server khác tìm. Các Admin muốn tham khảo các thông số về cơ chế
cache DNS name của Web Proxy service và Firewall Service trên ISA
server. Dùng lệnh REGEDIT tai menu RUN và tìm kiếm các entry như sau

Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array
GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array
GUID}\ArrayPolicy\Proxy-WSP

"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460


WWW.NEWHORIZONS.COM (New Horizons Computer Learning
Centers)
Hồ Việt Hà
Training Manager
My Website (NIS.COM.VN- Network Information Securtiy, My Website
Coming soon)