Cách tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2)

Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2) Trong phần đầu của loạt bài viết này chúng ta đã xem xét một số nhược điểm của truy cập VPN từ xa tại các điểm truy cập công cộng,
Nội dung trích xuất từ tài liệu:
Cách tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2) Tạo máy chủ Server 2008 SSL VPN bằng ISA 2006 Firewalls (P.2)Trong phần đầu của loạt bài viết này chúng ta đã xem xét một sốnhược điểm của truy cập VPN từ xa tại các điểm truy cập công cộng,và phương pháp sử dụng giao thức SSTP để khắc phục những vấn đềnày bằng cách cho phép các kết nối VPN thực hiện qua một kết SSLcổng 443 của TCP được mọi hệ thống tường lửa cho phép trongnhững môi trường này.Sau đó chúng ta đã cài đặt các Certificate Service (dịch vụ cấp phép) trênmáy chủ SSL VPN. Sau khi cài đặt giấy phép trên máy chủ VPN chúng tacũng đã cài đặt các dịch vụ RRAS VPN và NAT trên VPN Gateway.Ngoài ra, chúng ta đã hoàn thành cấu hình máy chủ NAT trên VPNGateway để chuyển tiếp các kết nối HTTP đến được ISA Firewall chuyểntiếp để thực hiện trên CA lưu trữ CDP.Trong phần này, chúng ta sẽ thực hiện cấu hình cho một tài khoản ngườidùng cho phép truy cập dialup, rồi cấu hình CDP này để cho phép các kếtnối HTTP ẩn danh. Sau đó chúng ta sẽ hoàn thành tiến trình này bằngcách cấu hình cho ISA Firewall cho phép các kết nối cần thiết tới máychủ VPN và CDP Website.Cấu hình tài khoản người dùng cho phép kết nối dial-upNhững tài khoản người dùng cần được cấp phép để truy cập dial-up trướckhi chúng có thể kết nối tới một máy chủ VPN của Windows là thànhviên của một miền Active Directory. Phương pháp tốt nhất mà chúng tacó thể áp dụng là sử dụng một Network Policy Server (NPS) và sử dụnggiấy phép tài khoản người dùng mặc định được sử dụng để cho phép truycập từ xa dựa trên NPS Policy. Tuy nhiên, chúng ta vẫn chưa cài đặt mộtNPS trong tình huống này do đó chúng ta sẽ phải cấu hình thủ công giấyphép dial-in cho người dùng này.Chúng ta cần thực hiện các bước sau đây để kích hoạt giấy phép dial-intrên tài kho ản người dùng mà chúng ta muốn kết nối tới máy chủ SSLVPN. Trong ví dụ này chúng ta sẽ kích hoạt truy cập dial-in cho tài khoảnquản trị miền mặc định:1. Tại Domain Controller, mở Active Directory User and ComputersConsole từ menu Administrative Tools.2. Trong bảng bên trái của Console này, mở rộng tên miền và click vàonode User. Sau đó click đúp vào tài khoản Administrator.3. Click vào tab Dial-in. Cài đặt mặc định trong tab này là Controlaccess through NPS Network Policy. Vì chúng ta không có một máychủ NPS nào trong tình huống này nên chúng ta sẽ thay đổi cài đặt nàythành Allow Access như trong hình 1, sau đó nhấn OK. Hình 1: Hộp thoại thuộc tính của tìa khoản Administrator.Cấu hình IIS trên Certificate Server cho phép kết nối HTTP cho thưmục CRLVì một số lí do, khi wizard cài đặt thực hiện cài đặt Certificate ServicesWebsite thì nó sẽ cấu hình cho thư mục CRL sử dụng một kết nối SSL.Xét về bảo mật thì đây là một ý tưởng khá hay, tuy nhiên vấn đề ở chỗURI trên giấy phép này vẫn chưa được cấu hình sử dụng SSL. Vì chúngta đang sử dụng các cài đặt mặc định cho CDP trong bài viết này nênchúng ta sẽ phải tắt yêu cầu SSL trên CA Website cho đường dẫn thưmục CRL.Thực hiện các bước sau để hủy bổ yêu cầu SSL cho thư mục CRL:1. Trong menu Administrative Tools, mở Internet InformationServices (IIS) Manager.2. Trong bảng bên trái của IIS Console, mở rộng tên máy chủ rồi mởrộng node Sites. Mở rộng tiếp node Default Website rồi click vào nodeCertEnroll như trong hình 2. Hình 2: Truy cập vào node CertEnroll trong IIS Manager.3. Nếu kiểm tra trong bảng giữa của console này chúng ta sẽ thấy rằngCRL được đặt trong thư mục ảo này như trong hình 3. Để kiểm tra nộidung của thư m ục ảo này chúng ta chỉ cần click vào nút Content View ởphía cuối của bảng giữa. H ình 3: CRL trong CertEnroll.4. Click vào nút F eatures View ở phía cuối bảng giữa, sau đó click đúpvào biểu tượng SSL Settings. Hình 4: Nội dung của thư mục ảo CertEnroll.5. Khi đó trang SSL Settings sẽ xuất hiện. Hủy chọn hộp chọn RequireSSL rồi click vào liên kết Apply trong bảng phải của Console này. Hình 5: Trang cài đặt SSL Settings.6. Đóng IIS Manager Console sau khi thấy thông báo The changes havebeen successfully saved (những thay đổi đ ã đ ược lưu thành công). Hình 6: Thông báo cho biết quá trình cài đặt thành công.Cấu hình ISA Firewall với một máy chủ PPTP VPN, SSL VPN vàWeb Publishing Rules của CDPSau đây chúng ta sẽ tiến hành cấu hình ISA Firewall. Chúng ta cần tạo baPublishing Rules để hỗ trợ cho tiến trình này, gồm: Một Web Publishing Rule cho phép truy cấp SSL VPN tới CRL  Distribution Point (CDP). Một Server Publishing Rule cho phép các kết nối SSL nội bộ tới  máy chủ SSTP mà cho phép kết nối SSTP được thiết lập với máy chủ VPN này. Một Server Publishing Rule cho phép PPTP truy cập tới máy chủ  VPN, do đó máy trạm VPN có thể truy cập vào giấy phép CA từ Enrollment Website trên mạng phía sau máy chủ VPN.Sau khi đã tạo các ...