DỊCH VỤPROXY
Tóm tắt
Lý thuyết 8 tiết -Thực hành 16 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này giúp
cho học viên có thểtổchức
và triển khai một Proxy
Server phục vụchia sẻvà
quản lý kết nối Internet của
các máy trạm, đồng thời
học viên cũng có thểxây
dựng một hệthống Firewall
đểbảo vệhệthống mạng cục
bộcủa mình.
I. Firewall II. Giới thiệu ISA 2004 III. Đặt
điểm của ISA 2004. IV. Cài đặt ISA 2004.
V. Cấu hình ISA Server
Dựa vào bài
tập môn Dịch
vụmạng
Windows
2003.
Dựa vào bài
tập môn Dịch
vụmạng
Windows
2003.
I. Firewall.
Internet là mộthệthống mở, đó là điểmmạnh và cũng là điểmyếucủa nó. Chính điểmyếu
này làm giảm khảnăng bảomật thông tin nộibộcủahệthống. Nếu chỉlà mạng LAN thì

không có vấn đềgì, nhưng khi đãkếtnối Internet thì phát sinh những vấn đềhếtsức quan
trọng trong việc quản lý các tài nguyên quý giá -nguồn thông tin -nhưchếđộbảovệchống
việc truy cậpbấthợp pháp trong khi vẫn cho phép người được ủy nhiệmsửdụng các
nguồn thông tin mà họđượccấp quyền, và phương pháp chống rò rỉthông tin trên các
mạng truyềndữliệu công cộng (Public Data Communication Network).
I.1. Giới thiệuvềFirewall. Thuật ngữfirewall có nguồngốctừmộtkỹthuật thiếtkếtrong xây
dựng đểngăn chặn, hạn chếhỏa hoạn. Trong công nghệthông tin, firewall là mộtkỹthuật được tích
hợp vào hệthống mạng đểchống lại việc truy cập trái phép, bảovệcác nguồn tài nguyên cũng
nhưhạn chếsựxâm nhập vào hệthống củamộtsốthông tin khác không mong muốn. Cụthểhơn, có
thểhiểu firewall là mộtcơchếbảovệgiữamạng tin tưởng (trusted network), ví dụmạng intranet
nộibộ,với các mạng không tin tưởng mà
thông thường là Internet.Vềmặtvật lý, firewall bao gồmmột hoặc nhiềuhệthống máy
chủkếtnốivới bộđịnh tuyến(Router) hoặc có chứcnăng Router.Vềmặt chứcnăng,
firewall có nhiệmvụ:
-Tấtcảcác trao đổidữliệutừtrong ra ngoài và ngượclại đều
phải thực hiện thông qua firewall. -Chỉcó những trao đổi
được cho phép bởihệthống mạng nộibộ(trusted
network)mới được quyềnlưu thông qua firewall. -Các
phầnmềm quản lý an ninh chạy trên hệthống máy chủbao
gồm:
Quản lý xác thực(Authentication): có chứcnăng ngăncản truy cập trái phép vào
hệthống mạng nội bộ.Mỗi ngườisửdụng muốn truy cậphợplệphải có một tài
khoản(account) bao gồmmột tên người dùng (username) và mật khẩu(password).
Quản lý cấp quyền(Authorization): cho phép xác định quyềnsửdụng tài nguyên cũng
nhưcác nguồn thông tin trên mạng theo từng người, từng nhóm ngườisửdụng.
Quản lý kiểm toán (Accounting Management): cho phép ghi nhậntấtcảcác sựkiệnxảy ra
liên quan đến việc truy cập và sửdụng nguồn tài nguyên trên mạng theo từng thời điểm
(ngày/giờ) và thời gian truy cập đốivới vùng tài nguyên nào đã đượcsửdụng hoặc thay
đổibổsung …
I.2. Kiến Trúc Của Firewall.

I.2.1 Kiến trúc Dual-homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa
trên máy tính dual-homed host.Một máy tính đượcgọi là dual-homed host nếu nó có ít nhất hai
network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếpvới hai mạng khác nhau và
nhưthếmáy tính này đóng vai trò là Router
mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ởgiữa, một bên
đượckếtnốivới Internet và bên còn lạinốivớimạng nộibộ(LAN).
592
Dual-homed host chỉcó thểcung cấp các dịch vụbằng cách ủy quyền(proxy) chúng hoặc cho phép
users đăng nhập trực tiếp vào dual-homed host.Mọi giao tiếptừmột host trong mạng nộibộvà
host bên ngoài đềubịcấm, dual-homed host là nơi giao tiếp duy nhất.
Hình 5.1: Kiến trúc Dual-Home Host.
I.2.2 Kiến trúc Screened Host.Screened Host có cấu trúc ngượclạivớicấu trúc Dual-homed
host. Kiến trúc này cung cấp các dịch
vụtừmột host bên trong mạng nộibộ, dùng một Router tách rờivớimạng bên ngoài.
Trong kiểu kiến trúc này, bảomật chính là phương pháp Packet Filtering.
Bastion host được đặt bên trong mạng nộibộ. Packet Filtering được cài trên Router.
Theo cách này, Bastion host là hệthống duy nhất trong mạng nộibộmà những host trên
Internet có thểkếtnốitới. Mặcdù vậy, chỉnhững kiểukếtnối phù hợp(được thiếtlập trong
Bastion host)mới được cho phép kếtnối. Bấtkỳmộthệthống bên ngoài nào cốgắng truy
cập vào hệthống hoặc các dịch vụbên trong đều phảikếtnốitới host này. Vì thếBastion
host là host cần phải được duy trì ởchếđộbảomật cao.
Packet filtering cũng cho phép bastion host có thểmởkếtnối ra bên ngoài. Cấu hình
của packet filtering trên screening router nhưsau:
-Cho phép tấtcảcác host bên trong
mởkếtnốitới host bên ngoài thông qua
mộtsốdịch vụcốđịnh. -Không cho phép
tấtcảcác kếtnốitừcác host bên trong (cấm
những host này sửdụng dịch proxy
thông qua bastion host). -Bạn có
thểkếthợp nhiềulối vào cho những dịch

vụkhác nhau. -Mộtsốdịch vụđược phép đi
vào trực tiếp qua packet filtering.
-Mộtsốdịch vụkhác thì chỉđược phép đi
vào gián tiếp qua proxy.
Bởi vì kiến trúc này cho phép các packet đitừbên ngoài vào mạng bên trong, nó dường
nhưlà nguy hiểmhơn kiến trúc Dual-homed host, vì thếnó được thiếtkếđểkhông một
packet nào có thểtới đượcmạng bên trong. Tuy nhiên trên thựctếthì kiến trúc dual-
homed host đôi khi cũng có lỗi mà cho phép các packet thậtsựđitừbên ngoài vào bên
trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu nhưkhông
đượcbảovệđểchống lại những kiểutấn công này. Hơnnữa, kiến trúc dual-homed host
thì dễdàng bảovệRouter (là máy cung cấprất ít các dịch vụ)hơn là bảovệcác host bên
trong mạng.
Xét vềtoàn diện thì kiến trúc Screened host cung cấp độtin cậy cao hơn và an toàn hơn kiến trúc
593Dual-homed host.
So sánh vớimộtsốkiến trúc khác, chẳng hạn nhưkiến trúc Screened subnet thì kiến trúc Screened
host có mộtsốbấtlợi. Bấtlợi chính là nếukẻtấn công tìm cách xâm nhập Bastion Host thì không có
cách nào đểngăn tách giữa Bastion Host và các host còn lại bên trong mạng nộibộ. Router cũng
có mộtsốđiểmyếu là nếu Router bịtổn thương, toàn bộmạng sẽbịtấn công. Vì lý do này mà
Sceened subnet trởthành kiến trúc phổbiến nhất.
Hình 5.2: Mô hình Screened host.
I.2.3 Sreened Subnet.
Nhằmtăng cường khảnăng bảovệmạng nộibộ, thực hiện chiếnlược phòng thủtheo chiều
sâu, tăng cường sựan toàn cho bastion host, tách bastion host khỏi các host khác,
phần nào tránh lây lan một khi bastion host bịtổn thương, người ta đưa ra kiến trúc
firewall có tên là Sreened Subnet.
Kiến trúc Screened subnet dẫn xuấttừkiến trúc screened host bằng cách thêm vào
phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lậpmạng nộibộra khỏimạng
bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened
subnet đơn giản bao gồm hai screened router:
Router ngoài (External router còn gọi là access router): nằm giữamạng ngoại vi và

mạng ngoài có chứcnăng bảovệcho mạng ngoại vi (bastion host, interior router). Nó
cho phép hầuhết những gì outbound từmạng ngoại vi. Mộtsốqui tắc packet filtering
đặc biệt được cài đặt ởmứccần thiết đủđểbảovệbastion host và interior router vì
bastion host còn là host được cài đặt an toàn ởmức cao. Ngoài các qui tắc đó,
cácquitắc khác cần giống nhau giữa hai Router.
Interior Router (còn gọi là choke router): nằm giữamạng ngoại vi và mạng nộibộ,
nhằmbảovệmạng nộibộtrước khi ra ngoài và mạng ngoại vi. Nó không thực hiệnhết các
qui tắc packet filtering của toàn bộfirewall. Các dịch vụmà interior router cho phép
giữa bastion host và mạng nộibộ,
594
giữa bên ngoài và mạng nộibộkhông nhất thiết phải giống nhau. Giớihạndịch vụgiữa
bastion host và mạng nộibộnhằm giảmsốlượng máy (sốlượng dịch vụtrên các máy này)
có thểbịtấn công khi bastion host bịtổn thương và thoảhiệpvới bên ngoài. Chẳng hạn
nên giớihạn các dịch vụđược phép giữa bastion host và mạng nộibộnhưSMTP khi có
Email từbên ngoài vào, có lẽchỉgiớihạn
Hình 5.3: Mô hình Screened Subnet.
I.3. Các loại firewall và cách hoạt động.
I.3.1 Packet filtering (Bộlọc gói tin).
Loại firewall này thực hiện việc kiểm tra sốnhậndạng địa chỉcủa các packet đểtừđócấp
phép cho chúng lưu thông hay ngăn chặn . Các thông sốcó thểlọc đượccủamột packet
như:
-Địa chỉIP nơi xuất phát (source IP address).
-Địa chỉIP nơi nhận(destination IP address).
-Cổng TCP nơi xuất phát (source TCP port).
-Cổng TCP nơi nhận(destination TCP port).
Loại Firewall này cho phép kiểm soát đượckếtnối vào máy chủ, khóa việc truy cập vào
hệthống mạng nộibộtừnhững địa chỉkhông cho phép. Ngoài ra, nó còn kiểm soát hiệu
suấtsửdụng những dịch vụđang hoạt động trên hệthống mạng nộibộthông qua các cổng
TCP tương ứng.
I.3.2 Application gateway. Đây là loại firewall được thiếtkếđểtăng cường chứcnăng kiểm soát

các loạidịch vụdựa trên những giao thức được cho phép truy cập vào hệthống mạng. Cơchếhoạt
động của nó dựa trên mô hình Proxy Service. Trong mô hình này phảitồntạimột hay nhiều máy
tính đóng vai trò Proxy Server.Một ứng dụng trong mạng nộibộyêu cầumột đốitượng nào đó trên
Internet, Proxy Server sẽnhận yêu
cầu này và chuyển đến Server trên Internet. Khi Server trên Internet trảlời, Proxy
Server sẽnhận và chuyển ngượclại cho ứng dụng đãgửi yêu cầu. Cơchếlọccủa packet
filtering kếthợpvớicơchế
596
“đại diện” của application gateway cung cấpmột khảnăng an toàn và uyển chuyểnhơn,
đặc biệt khi kiểm soát các truy cậptừbên ngoài.
Ví dụ:Mộthệthống mạng có chứcnăng packet filtering ngăn chặn các kếtnốibằng TELNET vào hệ
-Thực hiện telnet vào máy chủbên trong cần truy cập.-Gateway kiểm tra địa chỉIP nơi xuất phát
của người truy cập đểcho phép hoặctừchối.-Người truy cập phảivượt qua hệthống kiểm tra xác
thực.-Proxy Service tạomộtkếtnối Telnet giữa gateway và máy chủcần truy nhập.-Proxy Service
liên kếtlưu thông giữa người truy cập và máy chủtrong mạng nộibộ.
Cơchếbộlọc packet kếthợpvớicơchếproxy có nhược điểm là hiện nay các ứng dụng đang phát
triểnrất nhanh, do đónếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơmất an toàn
sẽtăng lên.
Thông thường những phầnmềm Proxy Server hoạt động nhưmột gateway nối giữa hai mạng,
mạng bên trong và mạng bên ngoài.
Hình 5.4: Mô hình hoạt động của Proxy.
Đường kếtnối giữa Proxy Server và Internet thông qua nhà cung cấpdịch vụInternet
(Internet Service Provider -ISP) có thểchọnmột trong các cách sau:
-Dùng Modem analog:sửdụng giao thức SLIP/PPP đểkếtnối vào ISP và truy cập
Internet. Dùng dial-up thì tốc độbịgiớihạn, thường là 28.8 Kbps -36.6 Kbps. Hiện
nay đã có Modem analog tốc độ56 Kbps nhưng chưa được thửnghiệm nhiều.
Phương pháp dùng dial-up qua Modem analog thích hợp cho các tổchức nhỏ, chỉcó
nhu cầusửdụng dịch vụWeb và E-Mail.
-Dùng đường ISDN:Dịch vụISDN (Integrated Services Digital Network) đã khá phổbiến
ởmột sốnước tiên tiến. Dịch vụnày dùng tín hiệusốtrên đường truyền nên không cần

Modem analog, cho phép truyềncảtiếng nói và dữliệu trên một đôi dây. Các kênh
thuê bao ISDN (đường truyền dẫn thông tin giữa ngườisửdụng và mạng) có
thểđạttốc độtừ64 Kbps đến 138,24 Mbps. Dịch vụISDN thích hợp cho các công ty
vừa và lớn, yêu cầubăng thông lớn mà việc dùng Modem analog không đáp ứng
được.
Phầncứng dùng đểkếtnối tùy thuộc vào việcnốikết trực tiếp Proxy Server với Internet
hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN
phải có bộphối ghép ISDN cài trên Server.
Hình 5.5: Mô hình kếtnốimạng Internet.
Việc chọnlựa cách kếtnối và một ISP thích hợp tùy thuộc vào yêu cầucụthểcủa công ty,
ví dụnhưsốngườicần truy cập Internet, các dịch vụvà ứng dụng nào đượcsửdụng, các
đường kếtnối và cách tính cước mà ISP có thểcung cấp.
II. Giới Thiệu ISA 2004.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm share
internet của hãng phầnmềm Microsoft, là bản nâng cấptừphầnmềm MS ISA 2000
Server. Có thểnói đây là một phầnmềm share internet khá hiệu quả, ổn định, dễcấu
hình, thiếtlậptường lửa(firewall)tốt, nhiều tính năng cho phép bạncấu hình sao cho
tương thích vớimạng LAN củabạn. Tốc độnhanh nhờchếđộcache thông minh, với tính
năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule
Cache (Lậplịch cho tựđộng download thông tin trên các WebServer lưu vào Cache và
máy con chỉcầnlấy thông tin trên các Webserver đóbằng mạng LAN)
III. Đặc Điểm Của ISA 2004.
Các đặc điểmcủa Microsoft ISA 2004:
-Cung cấp tính năng Multi-networking:Kỹthuật thiếtlập các chính sách truy cậpdựa trên địa
chỉmạng, thiếtlập firewall đểlọc thông tin dựa trên từng địa chỉmạng con,…
-Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA
Server cho phép bảovệhệthống mạng nộibộbằng cách giớihạn truy xuấtcủa các
Client bên ngoài internet,bằng cách tạo ra một vùng mạng ngoại vi perimeter
network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet),
chỉcho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không

cho phép Client bên ngoài truy xuất trực tiếp vào mạng nộibộ.
-Stateful inspection of all traffic: Cho phép giám sát tấtcảcác
lưulượng mạng. -NAT and route network relationships: Cung
cấpkỹthuật NAT và định tuyếndữliệu cho mạng con. -Network
templates: Cung cấp các mô hình mẫu (network templates)
vềmộtsốkiến trúc mạng, kèm theo mộtsốluậtcần thiết cho
network templates tương ứng. -Cung cấpmộtsốđặc điểmmới
đểthiếtlậpmạng riêng ảo(VPN network) và truy cậptừxa cho
doanh nghiệp nhưgiám sát, ghi nhận log, quản lý session cho
từng VPN Server, thiếtlập access policy cho từng VPN Client,
cung cấp tính năng tương thích với VPN trên các hệthống khác.
-Cung cấpmộtsốkỹthuậtbảomật(security) và thiếtlập Firewall
cho hệthống nhưAuthentication, Publish Server,
giớihạnmộtsốtraffic. -Cung cấpmộtsốkỹthuật cache thông minh
(Web cache) đểlàm tăng tốc độtruy xuấtmạng,
-Cung cấpmộtsốtính năng quản lý hiệu quảnhư: giám sát lưulượng, reporting qua Web, export
và import cấu hình từXML configuration file, quản lý lỗihệthống thông qua kỹthuậtgởi thông
báo qua E-mail,..
-Application Layer Filtering (ALF): là một trong những điểmmạnh của ISA Server 2004, không
giống nhưpacket filtering firewall truyền thống, ISA 2004 có thểthao tác sâu hơn nhưcó
thểlọc được các thông tin trong tầng ứng dụng. Mộtsốđặc điểmnổibậccủa ALF:
-Cho phép thiếtlậpbộlọc HTTP inbound và outbound HTTP.-Chặn được các cảcác loạitập tin
thực thi chạy trên nền Windows như.pif, .com,…-Có thểgiớihạn HTTP download.-Có thểgiớihạn
truy xuất Web cho tấtcảcác Client dựa trên nội dung truy cập.-Có thểđiều kiển truy xuất HTTP dựa
trên chữký (signature).-Điều khiểnmộtsốphương thức truy xuấtcủa HTTP.
IV. Cài Đặt ISA 2004.
IV.1. Yêu cầu cài đặt.
Thành phần Yêu cầu đềnghị
Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trởlên.
Hệđiều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack 4).

Bộ nhớ (Memory)
256 (MB) hoặc 512 MB cho hệthống không sửdụng Web caching, 1GB
cho Web-caching ISA firewalls.
không gian đĩa (Disk
space)
ổđĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành
cho ISA.
NIC
Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC)
IV.2. Quá trình cài đặt ISA 2004.
IV.2.1 Cài đặt ISA trên máy chủ1 card mạng.
Khi ta cài đặt ISA trên máy Server chỉcó một card mạng (còn gọi là Unihomed ISA
Firewall), chỉhỗtrợHTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không
hỗtrợmộtsốchứcnăng:
-
SecureN
AT
client.
-Firewall
Client.
-Server
Publishin
g Rule.
-Remote
Access
VPN.
-Site-to-
Site
VPN.
-Multi-networking.

-Application-layer inspection ( trừgiao thức HTTP)
Chạytập tin isaautorun.exe từCDROM ISA 2004 hoặctừISA 2004 source.
Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại“Microsoft Internet Security and
Acceleration Server 2004”.
Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA
Server 2004” đểtiếptục cài đặt.
Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next.
Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và
Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next
đểtiếptục.
Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next..
trong hộp thoại“Custom Setup” mặc định hệthống đã chọn Firewall Services, Advanced
Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉhỗtrợWeb Proxy Client
nên ta có thểkhông chọn tùy chọn Firewall client Installation share tuy nhiên ta có thểchọn nó
đểcác Client có thểsửdụng phầnmềm này đểhỗtrợtruy xuất Web qua Web Proxy. Chọn Next
đểtiếptục.
Hình 5.6: Chọn Firewall Client Installation Share.
Chỉđịnh address range cho cho Internet network trong hộp thoại“Internal Network”, sau đó chọn
nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC.
Hình 5.7: Mô tảInternal Network Range. Sau khi mô tảxong
“Internet Network address ranges”, chọn Next trong hộp thoại“Firewall Client Connection
Settings”. Sau đó chương trình sẽtiến hành cài đặt vào hệthống, chọn nút Finish đểhoàn tất quá
trình.
IV.2.2 Cài đặt ISA trên máy chủcó nhiều card mạng.
ISA Firewall thường được triển khai trên dual-homed host (máy chủcó hai Ethernet cards) hoặc
multi-homed host (máy chủcó nhiều card mạng) điều này có nghĩa ISA server có thểthực thi đầy
đủcác tính năng của nó nhưISA Firewall, SecureNAT, Server Publishing Rule, VPN,…
Các bước cài đặt ISA firewall software trên multihomed host:
Chạytập tin isaautorun.exe từCDROM ISA 2004 hoặctừISA 2004 source.
Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại“Microsoft Internet Security and

Acceleration Server 2004”.
Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA
Server 2004” đểtiếptục cài đặt.
Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next.
Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và
Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next
đểtiếptục.
Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next.
Trong hộp thoại“Custom Setup”mặc định hệthống đã chọn Firewall Services, Advanced
Logging, và ISA Server Management. Ta chọn tùy chọn Firewall client Installation share .
Chọn Next đểtiếp tục.
Hình 5.8: Chọn Firewall Client Installation Share.
Ta có hai cách Định nghĩa internet network addresses trong hộp thoại Internal
Network setup. Cách thứnhất ta mô tảdãy địa chỉnộibộ(Internal Network
range)từFrom và To text boxes. Cách thứhai ta cấu hình default Internal Network
bằng cách chọn nút “Select Network Adapter” Sau đó ta nhấp chuột vào dấu
chọn“Select Network Adapter” kếtnối vào mạng nộibộ.
Trong hộp thoại Configure Internal Network, loạibỏdấu check trong tùy chọn tên Add
the following private ranges. Sau đó check vào mục chọn Network Adapter, chọn OK.
Hình 5.9: Chọn Network Adapter.Xuất hiện thông báo cho biết Internal network được định
nghĩadựa vào Windows routing table. Chọn OK trong hộp thoại Internal network address
ranges.
Hình 5.10: Internal Network Address Ranges. Chọn Next trong hộp thoại“Internal Network”
đểtiếptục quá trình cài đặt.Chọndấu check “Allow computers running earlier versions of
Firewall Client software to connect”nếu ta muốn ISA hỗtrợnhững phiên bản Firewall client
trước, chọn Next.
Hình 5.11: Tùy chọntương thích với ISA Client.
Xuất hiệnhộp thoại Services đểcảnh báo ISA Firewall sẽstop mộtsốdịch vụSNMP và IIS Admin
Service trong quá cài đặt. ISA Firewall cũng sẽvô hiệu hóa (disable) Connection Firewall (ICF)/
Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)

services.
Chọn Finish đểhoàn tất quá trình cài đặt.
V. Cấu hình ISA Server.
V.1. Mộtsốthông tin cấu hình mặc định.
-Tóm tắtmộtsốthông tin cấu hình mặc định:-System Policies cung cấpsẳnmộtsốluật đểcho phép
truy cập vào/ra ISA firewall.Tấtcảcác
traffic còn lại đềubịcấm. -Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal
Network. -Cho phép NAT giữa Internal Network và External Network. -Chỉcho phép
Administrator có thểthay đổi chính sách bảomật cho ISA firewall.

V.2. Mộtsốchính sách mặc định củahệthống
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Order/Comments Name Action Protocol
LDAP ;LDAP
(UDP)
from/Listener To Condition
1. Chỉsửdụng khi ISA Allow access to
LDAP GC (global
Firewall là thành viên
Directory
services
Allow
catalog)
Local Host Internal All Users
của Domain purposes LDAPS ;LDAPS
GC
(Global Catalog)
2. Cho phép quản lý
ISA Firewall từxa

thông qua công
cụMMC
Allow remote
management
from selected
computers
using MMC
Allow
NetBIOS
datagram
NetBIOS Name
Service NetBIOS
Remote
Management
Computers
Local
Host
All Users
3. Cho phép quản lý
ISA Firewall thông
qua Terminal
Services Protocol
Allow remote
management
from selected
computers
using Terminal
Server Name
Allow
RDP (Terminal

Services)
Protocols
Remote
Management
Computers
From/Listener
Local
Host
All Users
Continued
Condition
4. Cho phép login tới
một sốserver
sửdụng giao thức
NetBIOS
Allow remote
logging to
trusted servers
using NETBIOS
Allow
NetBIOS
Datagram
NetBIOS Name
Service NetBIOS
Session
Local Host Internal All Users
5. Cho phép
RADIUS
authentication từISA
đến một sốtrusted

RADIUS servers
Allow RADIUS
authentication
from ISA Server
to trusted
RADIUS
servers
Allow
RADIUS
RADIUS
Accounting
Local Host Internal All Users
Học phần 3 -Quản trịmạng Microsoft Windows Trang 487/555
Tài liệuhướng dẫn giảng dạy
Order/Comments
6. Cho phép chứng
Name Allow
Kerberos
Action Protocol
Kerberos-Sec
from/Listener To Condition Order/Comments
11. Cho phép ISA
thực kerberos từISA
Server tới trusted
authentication from
ISA Server
Allow
(TCP)
Kerberos-Sec
Local Host

Internal All Users
Server gởi ICMP
request tới một số
server
to trusted servers
(UDP) server
7. Cho phép sửdụng
DNS từISA tới một
sốDNS Server
Allow DNS from ISA
Server to selected
servers
Allow DNS Local Host
All
Networks
(and
Local
Host)
All Users
12. Cho phép tất
cảcác VPN Client
bên ngoài kết nối
vào ISA Server
8. Cho phép DHCP
Request từISA gởi
đến tất cảcác mạng
Allow DHCP requests
from ISA Server to all
networks Name
Allow

DHCP(reques
t) Protocols
Local Host
From/Listener
Anywher
e To
All Users
Continued
Condition
13. Cho phép DHCP
Request từISA gởi
đến tất cảcác mạng
9. Chấp nhận DHCP
replies từDHCP
Server tới ISA
Server
Allow DHCP replies
from DHCP servers to
ISA Server
Allow DHCP (reply) Internal
Local
Host
All Users
14. Cho phép ISA
thiết lập kết nối VPN
(site to site) đến
VPN Server khác
10. Cho phép một
sốmáy được quyền
gởi ICMP request

đến ISA Server
Allow ICMP (PING)
requests from
selected computers to
ISA Server
Allow Ping
Remote
Management
Computers
Local
Host
All Users
15. Cho phép
sửdụng CIFS đểtruy
xuất share file từISA
đến các server khác
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 488/555
Tài liệuhướng dẫn giảng dạy
Name Allow
ICMP requests
from ISA
Server to
selected
servers
Action
Allow
Protocol
ICMP

Information
Request ICMP
Timestamp
from/Listener
Local Host
To All
Networks
(and
Local
Host
Network)
Condition
All Users
Order/Comments
16. Cho phép login
từxa bằng SQL qua
ISA server
Name
remote SQL
logging from ISA
servers
All VPN client
traffic to ISA
Server
Allow PPTP External Local Host All Users
17. Cho phép truy
xuất HTTP/HTTPS
từISA đến một sốsite
chỉđịnh
Allow

HTTP/HTTPS
requests from
ISA Server to
specified sites
Name
Allow VPN
site-to-site
traffic to ISA
Server Name
Allow NONE
External
IPSec Remote
Gateways
From/Listener
Local Host
To
All Users
Continued
Condition
18. Cho phép
HTTP/HTTPS từISA
đến một sốserver
khác
requests from
ISA Server to
selected servers
for connectivity
verifiers Allow
HTTP/HTTPS
Allow VPN

site-tosite
traffic from ISA
Server
Allow NONE Local Host
External
IPSec
Remote
Gateways
All Users
19. Cho phép một
sốmáy được truy xuất
Firewall Client
installation share trên
ISA Server
Allow access
from trusted
computers to the
Firewall Client
installation share
on ISA Server
CIFS
(Common
Internet File
System) from
ISA Server to
trusted
Allow
Microsoft
CIFS (TCP)
Microsoft

CIFS (UDP)
Local Host Internal All Users
20. Cho phép quan
sát thông suất của
ISA Server từxa
Allow remote
performance
monitoring of ISA
Server from
trusted servers
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 489/555
Tài liệuhướng dẫn giảng dạy
Protocol from/Listen To Condition Order/Comments Name Action
Microsoft SQL
(TCP)
MicrosoftSQL
(UDP)
Local Host
er
Internal All Users
21. Cho phép
sửdụng NetBIOS
từISA Server đến
mộtServer
sốServer
chỉđịnhtrusted
servers sẵn
Allow

NetBIOSAllow
from ISA to
Name
HTTP
HTTPSProtocols
HTTP
HTTPS
Protocols
System
Policy
Allowed
Sites To
All
UsersContinued
Condition
21. Cho phép
sửdụng RPC
từISAtruy xuất đến
mộsốserver khác
Allow
RPCfrom ISA
tServer to
trusted
servers
Allow
HTTP HTTPS Local Host
All
Networks
(and
LocalHost

Network)
All Users
23. Cho phép
truyAllow xuất
HTTP/HTTPStừISA
Server tớmột
sốMicrosoft
HTTP/HTTPS
ifrom ISA
Server to
Allow
(TCP) Microsoft
CIFS (UDP)
NetBIOS
DatagramNetBIOS
Name Service
NetBIOS Session
Internal
Local
Host
All Users
error reporting site
24. Cho phépchứng
thựcfrom SecurID
từISA đếnServer
một sốserver
specified
authentication
ISA to trusted
servers

Allow
NetBIOS
Datagram
NetBIOS Name
Service NetBIOS
Session
Remote
Managemen
t Computers
Local
Host All
Users
25. Cho phép
giámAllow sát từxa
thông
quamonitoring giao
thức Microsoftfrom
Operations
remote ISA
Server to
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 490/555
Tài liệuhướng dẫn giảng dạy
To Condition Order/Comments Name Action Protocol
from/Listen
er
Internal
To
All Users

Continued
Condition
26. Cho phép HTTP
traffic từISA Server tới
một sốnetwork
hỗtrợdịch vụchứng
thực download CRL
Traffic from ISA
Server to all
networks (for CRL
downloads) Name
Allow +
Action
HTTP Protocols Local Host
From/Listen
er
Internal All Users
27. Cho phép sửdụng
NTP (giao thức đồng
bộthời gian trên
Windows
Allow NTP from
ISA Server to
trusted NTP
servers
Allow NTP (UDP) Local Host
NT 2k, XP) từISA tới
một
Microsoft All Users 28. Cho phép traffic Allow SMTP from SMTP Local Host
Error SMTP từISA Server tới

Allow ISA Server
to
Reporting một sốServer trusted servers
sites
Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host
máy sửdụng Content
Download Jobs.
selected
computers for
Content
Download Jobs
Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host
máy khác sửdụng
MMC
communication to traffic
điều khiển ISA selected
computers
Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống |

Học phần 3 -Quản trịmạng Microsoft Windows Trang 491/555
Ta có thểxem các chính sách mặc định củahệthống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từhộp thoại ISA Management, sau đó chọn item Show system policy rule
trên cột System policy.
Hình 5.12: System policy Rules.Ta cũng có thểhiệu chỉnh từng system policy bằng cách nhấp
đôi chuột vào system policy item.
Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.
Trong phần này ta sẽkhảo sát nhanh các bước làm sao đểcấu hình ISA Firewall cung
cấpdịch vụWeb Proxy đểchia sẻkếtnối Internet cho mạng nộibộ.
Hình 5.14: System Policy Editor.

-Mặc định ISA Firewall cho phép tấtcảmạng nộibộchỉcó thểtruy xuất Internet Web thông qua giao
thức HTTP/HTTPS tớimộtsốsite được chỉđịnh sẳn trong Domain Name Sets được mô tảdưới
tên là “system policy allow sites” bao gồm:
-
*.windo
ws.com
-*.wind
owsup
date.co
m
-*.micr
osoft.c
om
Do đó khi ta muốncấu hình cho mạng nộibộcó thểtruy xuất đếnbấtkỳmột Internet Web
nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites
hoặc hiệu chỉlại System Policy Rule có tên
+ Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy
trong ISA Management Console, sau đó chọncột Toolbox, chọn Domain
Name Sets, nhấp đôi vào item System Policy Allowed Sites đểmô
tảmộtsốsite cần thiết cho phép mạng nộibộtruy xuất theo cú pháp
*.domain_name.
-Nếu ta muốn cho mạng nộibộtruy xuấtbấtkỳInternet Website nào thì ta phải Enable luật
18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for
connectivity verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong
Firewall Policy pannel đểáp đặt sựthay đổi vào hệthống.
Hình 5.15: Mô tảSystem Policy Sites.
Chú ý:
-Nếu ISA Firewall kếtnối trực tiếp Internet thì ta chỉcầncấu hình mộtsốthông sốtrên, ngượclại nếu
ISA Firewall còn phải thông qua mộthệthống ISA Firewall hoặc Proxy khác thì ta cần phải
mô tảthêm tham sốUptream Server đểchuyển yêu cầu truy xuất lên Proxy cha đểnhờProxy

cha lấy thông tin từInternet Web Server.
+ Đểcấu hình Uptream Server cho ISA Server nộibộta chọn Configuration panel từISA
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp
đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn
Redirecting them to specified upstream server, chọn tiếp nút Settings…Chỉđịnh địa
chỉcủa upstream server.
Hình 5.16: Chỉđịnh Upstream server.
+ Ta cần chỉđịnh DNS Server cho ISA Server đểkhi ISA có thểphân giải Internet Site khi
có yêucầu, ta có thểsửdụng DNS Server nộibộhoặc Internet DNS Server, tuy nhiên ta
615cầnlưuýrằng phảicấu hình ISA Firewall đểcho phép DNS request và DNS reply.
-Đểcho phép Client có thểsửdụng Web Proxy ta cấu hình Proxy Server có địa chỉlà địa chỉcủa
Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
-Chỉđịnh địa chỉcủa Web Proxy trong textbox
Address. -ChỉWeb Proxy Port trong Textbox Port là
8080.
Hình 5.16: Chỉđịnh Client sửdụng Proxy Server.
V.4. TạoVà SửDụng Firewall Access Policy.
-Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules,
ServerPublishing Rules và Access Rules.
+ Web Publishing Rules và Server Publishing Rules đượcsửdụng đểcho
phép inbound access.
oAccess rules dùng đểđiều khiển outbound access.
-ISA Firewall kiểm tra Access Rules trong Access Policy theo cơchếtop down
(Lưuýrằng System Policy được kiểm tra trước Access Policy do user định nghĩa),
nếu packet phù hợpvới một luật nào đó thì ISA Firewall thì ISA Firewall sẽthực thi
action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽbỏqua tấtcảcác luật còn
lại. Nếu packet không phù hợpvớibấtkỳSystem Access Policy và User-Defined
Policy thì ISA Firewall deny packet này.
-Mộtsốtham sốmà Access Rule sẽkiểm tra trong connection request:
1 + Protocol: Giao thứcsửdụng.

2 + From: Địa chỉnguồn.
3 + Schedule: Thời gian thực thi luật.
4 + To: Địa chỉđích.
5 + Users: Người dùng truy xuất.
6 + Content type: Loạinội dung cho HTTP connection.
V.4.1 Tạomột Access Rule. Access Rules trên ISA Firewall luôn luôn áp đặt luật theo hướng ra
(outbound). Ngượclại, Web Publishing Rules, Server Publishing Rules áp đặt theo hướng vào
(inbound). Access Rules điều
khiển truy xuấttừsource tới destination sửdụng outbound protocol.Mộtsốbướctạo
Access Rule:
617
1 Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management
console, mởrộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong
Task Pane, nhấp chuột vào liên kết Create New Access Rule.
2 4.Hiển thịhộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access
Rule name, nhấp chuột vào nút Next đểtiếptục.
3 Hiển thịhộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được
đặtmặc định, tùy vào loại Rule ta cần mô tảmà chọn Allow hoặc Deny cho phù hợp, chọn Next
đểtiếp tục.
4 Hiển thịhộp thoại“Protocols” (tham khảo Hình 5.17). Ta sẽchọn giao thức (protocol)
đểcho phép/cấm outbound traffic từsource đến destination. Ta có thểchọn ba tùy chọn trong
danh sách This rule applies to.
-All outbound traffic: Đểcho phép tấtcảcác protocols outbound.Tầm ảnh hưởng của tùy chọn
này phụthuộc vào loại Client (client type)sửdụng đểtruy xuất luật. đốivới Firewall clients, thì
tùy chọn này cho phép tấtcảcác Protocol ra ngoài (outbound), bao gồmcảsecondary
protocols đã được định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đốivới
SecureNAT client kếtnối ISA Firewall thì outbound access chỉcho phép các protocol mà đã
được định nghĩa trong Protocols list của ISA firewall,nếu SecureNAT client không thểtruy
xuất tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phảimô tảprotocol vào
Protocol Panel được cung cấp trên ISA firewall đểnó có thểhỗtrợkếtnối cho SecureNAT

client.
-Selected protocols: Tùy chọn này cho phép ta có thểlựa chọntừng protocols đểáp đặt vào luật
(rule). Tacó thểlựa chọnmộtsốprotocol có sẵn trong hộp thoại hoặc có thểtạomớimột
Protocol Definition.
-All outbound traffic except selected: Tùy chọn này cho phép tấtcảcác protocol cho luật mà
không được định nghĩa trong hộp thoại.