ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 40

Module 5: Configuring Access to Internal Resources
Xây dựng mô hình như hình vẽ:

Lab 1: Publish web.
Mô tả: trong bài lab này chưa cần đến domain và CA enterprise. Giả sử bên trong internal
có một web server là topic.edu (mạng 200.200.200.x). Ta muốn cho user ở external
(mạng 10.x.x.x) có thể truy cập được web server trong internal ta sẽ publish web server
này lên ISA. Client external sẽ chỉ DNS về ISP để truy cập web internal.

Trên máy Web server: cài và cấu hình DNS, tạo một alias là www chỉ về máy web
server, forward DNS internal ra DNS ISP bên ngoài. Cài IIS, ASP.net, tạo file Default.htm
trong thư mục Inetpub\wwwroot có nội dung tuy ý. Tại máy web server vào IE test thử
www.topic.edu
Trên máy ISA: thực hiện publish web
1. Click phải vào Firewall Polic New å Web sitepublishing Rule
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 41


2. Ñaët teân cho Rule å next

3. Choïn Option allow å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 42

4. Choïn publish a single web site or load balancer å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 43


5. Choïn Option Use non-secured connection … å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 44


6. Trong phần internal site name gõ tên của web cần publish ví dụ là
www.topic.edu,
trong phần Computer or ip gõ IP cỉa máy web server å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 45


7. Trong phaàn path (optional) goõ vaøo /* å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 46


8. Trong phần publish name gõ vào tên web mà external sẽ dùng tên này để truy cập
vào web server internal thông qua ISA å ấn next
ISA Server Tài liu thc hành dành cho hc viên


VSIC Education Corporation Trang 47


9. Trong của sổ select web listener ấn new, gõ vào tên của web listener ånext
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 48


10. Choïn option Do not require SSL … å next
ISA Server Ti liu thc hnh dnh cho hc viờn

VSIC Education Corporation Trang 49


11. Trong cuỷa soồ Web listener Ip address check vaứo external, aỏn select ip address
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 50


12. Choïn option specified IP address on ISA server, choïn IP external cuûa ISA aán
Addåokå next

13. Choïn No Authentication å next å next å finish
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 51



14. Tieáp tuïc aán next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 52


15. Choïn No delegation, and client cannot … å next.
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 53


16. Choïn all user å next å finish
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 54


17. Chọn Apply

18. Kiểm tra system policy: chọn firewall policy, chọn thẻ task ở cửa sổ bên phải, chọn
edit system policy. Kiểm tra xem check box Enable this configuration group đã
được check chưa nếu chưa thì check vào åok å apply
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 55




Máy DNS ISP
1. Giả sử DNS external là CTL.net đã được cấu hình rồi. Bây giờ đi tạo thêm một
zone nữa cho topic.edu và tạo alias chỉ về card ngoài của ISA.

2. Test thử DNS ISP thử

3. Sau đó đứng tại máy DNS ISP vào IE gõ www.topic.edu sẽ đi được web internal.
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 56


Lab 2: Publish web SSL
Giống như lab 1, nhưng muốn làm web SSL phải có domain và CA enterprise.
Trên máy web server: lúc này đã lên domain và cài CA enterprise rồi.
Tại máy ISA: thực hiện publish web SSL
1. Trước tiên phải xin certificate cho máy ISA. Vào IE gõ
nhập vào username và password của administrator,
chọn Request a certificate

2. Chọn Advanced certificate request
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 57


3. Chọn Create and submit a request to this CA

4. Chọn certificate template là Web server, trong phần name gõ chính xác tên của
web site cần publish, kéo thanh trượt xuống bên dưới

ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 58


5. Chech vaøo check box store a certificate in the local computer … å submit

6. Aán vaøo Install this certificate
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 59


7. Sau khi install certficate xong, ta cần kiểm tra xem certficate vừa xin đã tin cậy
chưa(vì ISA không join domain nên certficate thường sẽ không tin cậy cần phải
kiêm tra lai). Vào Startå Run: gõ mmc, vào menu file chọn add/remove snap-inå
add å chọn certifucate å chọn option computer account å next å finish å
closể ok. Chọn Certificates\personal\certificateså double click vào certificate
vừa xin (
www.topic.edu) kiểm tra xem có bò đánh dấu đỏ không, nếu có là chưa tin
cậy cần thực hiện các bước sau
8. Click phảivào Trusted root certification authorities chọn All taskå import å
nextå Browse

9. Truy cập vào folder CertConfig trên máy cài CA å chọn file .CRT open
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 60




10. Nextå next å finish

11. Lúc này kiểm tra lại certificate đã được tin cậy rồi
Tại máy web server (cũng là máy domain) thực hiện https
12. Vào Internet information services, click phải vào default web site å properties å
chọn tab Directory Security
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 61


13. Choïn server certificate å next å choïn create a new certificate å next

14. Choïn option send the request immediately å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 62


15. cửa sổ Name and Security setting để tham số mặc đònh ấn next

16. cửa sổ Organnization Information nhập các thông tin cần thiết å next
ISA Server Tài liu thc hành dành cho hc viên

VSIC Education Corporation Trang 63


17. Trong phần common name phải gõ đúng tên web site cần làm HTTPS, trong trường
hợp này là

www.topic.edu å next

18. Nhập đầy đủ các thông tin (không quan trọng nhưng phải nhập) rồi ấn next
ISA Server Ti liu thc hnh dnh cho hc viờn

VSIC Education Corporation Trang 64


19. Choùn port 443 ồ nextồ next finish

20. Trong phan secure communications aỏn Edit ồ ẹaựnh daỏu choùn vaứo check box
Require secure channel(SSL) vaứ Require 128-bit encrytionồ ok