Hướng dẫn cài đặt ISA Server Enterprise 2000

Chức năng chính của sản phẩm:
- Bảo vệ mạng chống các cuộc tấn công từ Internet
- Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm
soát.
Hướng dẫn cài đặt trên Windows 2000/2003 server:
- Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển khai các dịch vụ
mạng không được khuyến cáo khác. Điều này sẽ giúp setup 1 hệ thống có độ an toàn cao. Các dịch
vụ không nên cài đặt chung với ISA server 2000:
Domain controller, Web Server , FTP Server , Certificate Server , NNTP Server , Exchange
Server , Sharepoint Server
Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai thêm nhiều services khác, gây
khó khăn cho việc config firewall, dễ show ra những lỗ hổng bảo mật từ những dịch vụ này hoặc thu
hút attackers khi hệ thống trưng ra quá nhiều services...
Chuẩn bị Server:
- Có thể cài ISA server 2000 trên Computer chạy Windows server 2000/ 20003 ( các OS này trước
hết phải patch đầy đủ các lỗ hỗng thông qua service pack, hot fixes..)
- Cần 2 NIC Cards (LAN card), 1 cho Internal Network, 1 ra Internet. Hoặc có thể dùng 1 NIC, 1
modem (ADSL, Dial-up, ISDN, broadband routers...)
- Tất cả các máy trong LAN dùng TCP/IP protocol.
- ISA server 2000 này có thể là domain member (nếu Internal Network đã xây dựng Internal
Domain), hoặc là một Stand-alone server không thuộc bất kì Internal Domain nào. (trong hướng dẫn
này tôi dùng Stand-along Server)
MÔ HÌNH TRIỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET
5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn:
Step 1: Cấu hình các Network Card
Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000
Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000
Step 4: Cài đặt và cấu hình ISA SERVER 2000 software
Step 5: Cấu hình vai trò các Internal Computers là DHCP Clients

Tất cả các config ISA Server 2000 đều tiến hành trên Windows 2000 Advanced Server. Nếu tiến
hành config trên OS Windows 2003 Server, có sự khác biệt không đáng kể.
Step 1: Cấu hình các Network Card
Internal Network Card:
- Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ.
Trong hướng dẫn này tôi dùng IP address: 192.168.1.200 /255.255.255.0
- Không config Defaul Gateway (khuyến cáo không nên config Defaul Gateway trên ISA SERVER
2000)
- Dùng DNS Server: 192.168.1.200 (DNS server cũng chính là ISA SERVER 2000 )
External Network Card:
- Với External Network Card thường có 2 trường hợp:
+ Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs)
+ Loại dùng Dynamic IP (Dial-up, ADSL...)
- Có những hình thức connect sau đối với External modem, người sử dung cần lưu ý:
+ DSL line kết nối vào------- DSL Modem-------ISA server 2000
(chú ý: Có những loai DSL gắn trong giống như 1 NIC Card-Ethernet Card)
+ Internet Cable------Cable Modem--------Ethernet Card of ISA
+ T1 connection--------Router---------Etherner Card of ISA
+ Broadband DSL--------Broadband Router----------Etherner Card of ISA







KẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER
- IP address dùng cho External Card nếu dùng Dynamic (Dial-up, ADSL..) thì hoàn toàn do ISPs
cung cấp, người dùng không cần can thiệp các thông số. Tuy nhiên trong trường hợp này tôi sẽ
dùng thông số Preferred DNS server là 192.168.1.200 (DNS server nội bộ), khác với Hình



CÁC THÔNG SỐ AUTOMATIC TCP/IP XÁC LẬP TRÊN EXTERNAL CARD TỪ ISPs
Nếu dùng IP address cố định, như thuê bao lease-line, etc.., có thể cấuhình Static IP được cấp theo
ví dụ sau:

CẤU HÌNH STATIC IP CHO EXTERNAL CARD TRÊN ISA SERVER 2000
Lưu ý: Đây là các IP address được ISP cung cấp cố định, cho tổ chức của bạn, hoàn toàn khác với
các Private IP address (10.x.x.x, 172.16.x.x, 192.168.x.x), và không được đưa vào bảng cấu hình
những IP address mà chúng ta tự nghĩ ra !
Tất cả các thông số kèm theo được cung cấp cố định từ ISP bao gồm: IP address, Subnet Mask,
Default Gateway, Preferred DNS server. Tuy nhiên trong hướng dẫn này tôi lại sử dụng Preferred
DNS server lại là 192.168.1.200 (IP address của DNS server nội bộ), khác với trên Hình là thông số
DNS chuẩn từ ISP. Nếu phía trước ISA Server firewall là một Broadband Router thì các thông số
này được khuyến cáo tuân theo Broadband Router Manufacturer.
Sau khi cấu hình các thông số cho cả Internal và External Card, người dùng cần lưu ý tiếp đến trình
tự (order) bố trí của các Cards này cho đúng. Điều này có ảnh hưởng đến việc giải quyết Domain
Name thông qua dich vụ DNS. Muốn tăng tốc độ giải quyết Domain Name (cũng là truy caộ các
website, tìm các Server host các dịch vụ khác nhau trên Internet hoặc Mạng nội bộ), thì nên sắp
Internal Network Card đứng trên cùng trong danh sách Network Interface List.
Chọn My Network Places, Properties, Network and Dial-up Connections, Advanced, Advanced
Settings, Adapters and Bindings đảm bảo LAN Card nằm trên cùng danh sách như Hình sau:
Trong hướng dẫn này giả sử tôi dùng External Network Card là một Dial-up modem loại modem
thông thừờng với maximum bandwidth đến ISA là 56 Kbps (thực sự đây cũng chỉ là tốc độ kết nối
mơ ước thường chỉ tối đa xấp xỉ 40 Kbps).
ISA server 2000 gọi một kết nối đến ISP thông qua Dial-up entry là một Connectiod .
Chọn My Network Places, Chọn Properties, Chọn Make New Connection, Welcome to the
Network Connection Wizard , Chọn Dial-up to the Internet, Network Connection Type , Next,
Chọn I want to connect through a local area network (LAN), Next, Chọn I connect through a
phone line and a modem, Setting up you Internet connection, Internet account connection

information, Area code and Telephone number (số kết nối đến ISP, trong ví dụ này tôi dùng 1268
- số kết nối của FPT), Internet account logon information, Username: 1280, password: 1280.
Đặt tên cho kết nối Connection name là FPT Internet Connection và Finish.
Có thể xác lập thêm các thông số để hỗ trợ Dial-up như: Redial if line is dropped, Redial attempts,
Time between redial attempts, Idle time before hanging up value.
Lưu ý: Kết nối qua Dial-up Modem có độ ổn định không cao, cần phải có giải pháp ổn định kết nối,
chống drop line, đặc biệt giờ cao điểm.
Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000
Bước tiếp theo sẽ cài đặt DNS server trên ISA server Firewall. Dùng DNS server là bắt buộc khi
người dùng cần truy cập các Internet Servers thông qua tên, nhiệm vụ DNS server sẽ giải quyết
Hostname sang IP address. Cài đặt DNS server ở chế độ Caching-only DNS server trên chính ISA
server Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập dùng DNS server
này.
Theo những bước sau để tiến hành cài đặt DNS server trên Windows 2000 Advanced Server:
Click Start chọn Settings click Control Panel. Control Panel window, double click Add/Remove
Programs click Add/Remove Windows Components . Windows Components Wizard dialog box,
chọn Networking Services Không đánh dấu vào checkbox! , click Details, Networking Services
dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click OK. Tiếp tục Next để hoàn
thành tiến trình cài đặt.


CÀI ĐẶT DNS SERVER SERVICE TRÊN CHÍNH ISA SERVER FIREWALL.
Cấu hình DNS Service:
DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận và trả lời các yêu cầu
truy vấn tên của các Server Internet từ phía các Client Computer trong mạng nội bộ. Do được cài
đặt ở chế độ Caching-only DNS server cũng là chế độ default sau cài đặt của DNS server 2000 cho
nên nó không chứa các Hostname của các Internal servers hoặc Internet servers. Caching-only DNS
server cũng chỉ giải quyết các tên Internet hoặc dang lưu giữ trong cache, thông thường không dùng
Caching-only DNS server để giải quyết tên của các Internal servers.
Trong thực tế nếu Mạng của bạn đã có DNS servers hỗ trợ Internal Domain, thì có thể cấu hình

Caching-only DNS server, chuyển các yêu cầu truy cập các Internal Server tới các DNS servers này.
trong hướng dẫn cấu hình này, không liên quan đến việc Mạng đã có DNS servers hỗ trợ Domain
hay chưa.
Click Start, Programs, Administrative Tools. Click DNS trên Administrative Tools menu. Right click
DNS server, View, click Advanced. Right click trên Server chọn Properties, trong dialog box, click
Interfaces tab. Chọn Only the following IP addresses . Click trên bất kì IP address nào trong danh
sách không là IP address trên internal interface. Chọn các non-internal interface IP address này và
click Remove . Click Apply. Click Forwarders tab. Đánh dấu vào Enable forwarders checkbox.
Điền IP address của DNS server ISP mà bạn connect trong IP address text box và click Add. Đánh
dấu vào Do not use recursion checkbox. Click Apply và click OK.
Nếu các kết nối được thực hiện qua các ISP VietNam có thể điền vào IP Address List này thông số
DNS IP Address như sau:
FPT: VDC:
DNS1: 210.245.31.10 DNS1: 203.162.4.190
DNS2: 210.245.31.110 DNS2: 203.162.4.191
Right click trên DNS server name bên khung trái và chọn All Tasks sau đó click Restart.khởi động
lại DNS server service.
Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000
- DHCP Server service được cài đặt trên ISA SERVER 2000 sẽ cung cấp các xác lập TCP/IP cho
Internal Computers.
Cảnh báo: Disable tất cả các DHCP Server khác trên Mạng (nếu có thể), chỉ cho phép DHCP
Server service được cài đặt trên ISA SERVER 2000 này hoạt động, nhằm cung cấp chính xác tất cả
các thông số mong muốn.
Cài đặt DHCP service trên Windows 2000 Advanced Server:
Click Start chọn Settings, click Control Panel. Trong Control Panel window, double click
Add/Remove Programs . Trong Add/Remove Programs window, click Add/Remove Windows
Components . Trong Windows Components Wizard dialog box, chọn Networking Services trong
danh sách Components. Không đánh dấu vào checkbox! Chọn Networking Services, click Details.
Trong Networking Services dialog box, đánh dấu vào Dynamic Host Configuration Protocol
(DHCP) checkbox và click OK.

Click Next trong Windows Components,Click Finish.
Chức năng chính của một DHCP Server ngoài cung cấp IP address, còn cung cấp thêm các thông
số (gọi là TCP/IP settings), bao gồm: Subnet mask, Default Gateway & DNS Server Addresses.
Trong hướng dẫn này Default Gateway & DNS Server Addresses chính là Internal IP Address
(192.168.1.200) trên ISA server Firewall.
DHCP server quản lý và phân phối IP address cho các Internal Clients thông qua các DHCP scope.
Cấu hình scope chính xác là điều bắt buộc.
Khi tạo một vùng IP address trong Scope, có thể sẽ bao gồm luôn cả những IP đã được phân chia
trước đó cho các Node trên Mạng (ví dụ Internal server như Web, Mail, Database server đã dùng
các IP này), như vậy để tránh hiện tượng DHCP server sẽ lại lấy những IP này cung cấp tiếp cho
Clients (gây Conflicts), thì Admin phải dùng chức năng Exclusions để tạo vùng loại trừ tránh xung
đột về sau.
Click Start chọn Programs, Administrative Tools. Click DHCP. Mở DHCP console. Right click
trên server name, click New Scope. Click Next trên Welcome to the New Scope Wizard . Điền vào
tên sau trong Name text box SecureNAT Client Scope. Click Next.
Trên IP Address Range điền vào Start IP address 192.168.1.1 và End IP address 192.168.1.254
trong text boxe. Click Next.
Trên Add Exclusions, điền Start IP address 192.168.1.200 (vì IP address này đã được dành cho
Internal Card trên ISA Server 2000 firewall), click Add. Nếu có các Server khác cũng đã được phân
chia các static IP address trong vùng phân phối hãy theo các bước trên để loại trừ.
Chấp nhận các giá trị Lease Duration và click Next.
Trên Configuring DHCP Options chọn Yes, I want to configure these options now và click Next.
Trên Router điền vào IP address của internal interface trên ISA Server 2000 firewall và click Add.
Click Next.
Trên Domain Name and DNS Servers điền IP address của internal interface trên ISA Server 2000
firewall trong IP address text box và click Add. Nếu đã xây dựng một Active Directory domain trên
internal network, hãy đưa tên internal network domain vào trong Parent domain text box. Tuyệt đối
không nên đưa domain name vào Parent domain text box trừ khi đã tồn tại Active Directory domain
trên internal network. Click Next.
Không xác lập thông tin tại WINS Servers . Click Next.

Chọn Yes, I want to activate this scope now trên Activate Scope và sau đó click Yes.
Click Finish .
Step 4: Cài đặt và cấu hình ISA SERVER 2000 software
- Windows Server 2000/2003 đã xác lập các thông số và cài đặt các dịch vụ cần thiết (DNS &
DHCP), giờ là lúc bắt tay vào setup ISA SERVER Firewall 2000.
- Nếu chưa triển khai Service Pack, hot fixes cho Windows 2000/2003 thì giờ là thời điểm để finish
vân đề này trước khi cài đặt ISA server 2000.
Các bước cài đặt:
Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click
Install ISA Server icon trên Microsoft ISA Server Setup page. Click Continue trên Welcome to the
Microsoft ISA Server installation program page. Điền CD key trên CD Key page và click OK. Click
OK trên registration number page. Click I Agree trên License Agreement page. Click Full
Installation button trên Installation Type page.
Click Yes trên the dialog thông báo rằng ISA Server schema has not been installed in the Active
Directory. Chọn Integrated Mode . Click Continue.
Click OK trong dialog box thông báo rằng IIS W3SVC service must be stopped. Trên cache size
page, chọn một Partition được format NTFS, và điền vào 150 trong Cache size (MB) text box. Click
Set, click OK. Click Construct Table button trên LAT configuration page. Trong Local Address
Table dialog box, không check vào Add the following private ranges… checkbox. Đánh dấu vào Add
address ranges based on the Windows 2000 Routing Table checkbox. Đánh dấu tiếp vào internal
interface network card. Click OK. Xem hình
Click OK trong Setup Message dialog box, Click OK trên LAT configuration page. Không đánh dấu
Start ISA Server Getting Started Wizard checkbox và click OK. Click OK hoàn tành tiến trình cài đặt.
Tiếp theo cần cài đặt các Service Pack cho ISA server 2000, để cũng cố Security cho chính
Firewall này:
- Download ISA Service Pack 1: />- Download ISA Service Pack 2:
/>2AA2547D09A3&displaylang=en
- Download ISA Server 2000 Feature Pack 1 (chứa những hot fixes và những tính năng tăng cường
cho ISA 2000):
Sau khi download tiến hành quét Virus, bung nén và cài đặt Service packs, Feature Pack.

Như vậy về cơ bản đến thời điểm này chúng ta đã có một ISA server 2000 rất mạnh và an toàn.
Những vấn đề còn lại phụ thuộc hoàn toàn vào cách các Security Admin cấu hình ISA Server 2000
như thế nào để đảm bảo có được một hệ thống Firewall an toàn ở mức cao nhất có thể.
Khuyến cáo: IIS services nên được disabled trên Firewall này vì những lý do an toàn và
Performance.Để disable IIS services trên ISA Server 2000 firewall:
Click Start, chọn Programs, Administrative Tools. Click Services hoặc tai Run chạy
services.msc
Xác định các Services sau:
FTP Publishing Service
Network News Transport Protocol (NNTP)
Simple Mail Transport Protocol (SMTP)
World Wide Web Publishing Service
Tiến hành các bước sau trên mỗi Service :
a. Right click trên service và click Properties.
b.Trong Startup type , chọn Manual.
c. Sau đó Click Stop button.
d. Click Apply và click OK.
Cấu hình ISA Server 2000:
Mục tiêu của cấu hình này cho phép Inernal Clients có thể truy cập hầu hết tất cả các dịch vụ có mặt
trên Internet, tuy nhiên cũng sẽ kiểm soát tốI đa các truy nhập bất hợp pháp từ attackers.
Mở chức năng DHCP Packet Filter
Chức năng này là cần thiết cho các External Interface Card trên ISA server 2000, khi mà các
External Card này sử dụng Dynamic IP từ ISP và các connections này thường là Cable, DSL,
nhưng Filter này lạI không áp dụng cho Dial-up Connections. chú ý!
Như vậy đây là động tác cấu hình đầu tiên cho ISA server 2000, nếu chúng ta có kết nốI nhận
Dynamic IP address qua DSL, Cable.
1. Click Start và chọn Programs. Chọn Microsoft ISA Server và click ISA Management .
2. Trong ISA Management console, mở Servers and Arrays node và mở server name. Mở
Access Policy node và click IP Packet Filters.
3. Trong khung phảI của ISA Management console, chúng ta thấy DHCP Client packet filter.

Packet filter bị disabled theo mặc định. Tiếp theo, enable packet này để có thể cho phép
External interface trên ISA Server 2000 firewall nhận IP address từ ISP connection. Double
click trên DHCP Client packet filter. Trên General tab, Đánh dấu vào Enable checkbox.
Click Apply và click OK.
4. Mở command Prompt trên ISA server 2000, type C:\> ipconfig /renew để kiểm tra External
card đã nhận IP address từ ISP.
Tạo một All Open Protocol Rule
Protocol Rule cho phép internal network computers truy cập các giao thức ứng dụng xác định khi
Clients kết nốI đến các Intenet Servers. (ví dụ HTTP Protocol cho phép Internal Clients kết nốI đến
các Web Servers, FTP Protocol kết nốI đến các FTP servers..). Hướng dẫn này sẽ tạo ra một “All IP
Traffic” Protocol Rule, cho phép các internal network computers truy cập tất cả các giao thức ứng
dụng phổ biến trên Internet, mà các Protocols này đã được xác định trong Protocol Definitions bên
dướI ISA Management console
Chú ý: Cấu hình này cho phép các Internal network computers truy cập hầu hết, nhưng không phảI
tất cả các Applications hiện nay trên Internet. Muốn truy cập những ứng dụng không được định
nghĩa trước trong Protocol Definitions, cần phảI config thêm các thông số tương ứng của ứng dụng
đó trên Protocol Definitions.
1. Open ISA Management console, mở Servers and Arrays node sau đó mở server name.
Mở Access Policy node và right click trên Protocol Rules node. Chọn New và click Rule.
2. Trong Welcome to the New Protocol Rule Wizard page, type All Open trong Protocol
Rule name text box và click Next.
3. Chọn Allow option trên Rule Action page và click Next.
4. Chọn All IP traffic trên Protocols page và click Next