Cài đặt, cấu hình, quản trị ISA Server 2004 Firewall

Trongsốnhữngsảnphẩmtườnglữa(firewall)trênthịtrườnghiệnnaythìISAServer2004củaMicrosoftđượcnhiều
Nội dung trích xuất từ tài liệu:
Cài đặt, cấu hình, quản trị ISA Server 2004 FirewallCàiđặt,cấuhình,quảntrịISAServer2004Firewall Trongsốnhữngsảnphẩmtườnglữa(firewall)trênthịtrườnghiệnnaythìISAServer2004củaMicrosoftđượcnhiều ngườiyêuthíchdokhảnăngbảovệhệthốngmạnhmẽcùngvớicơchếquảnlýlinhhoạt.ISAServer2004Firewallcó haiphiênbảnStandardvàEnterprisephụcvụchonhữngmôitrườngkhácnhau.ISAServer2004Standardđápứngnhucầubảovệvàchiasẻbăngthôngchocáccôngtycóquymôtrungbình.Vớiphiênbảnnàychúngtacóthểxâydựngfirewallđểkiểmsoátcácluồngdữliệuvàovàrahệthốngmạngnộibộcủacôngty,kiểmsoátquátrìnhtruycậpcủangườidùngtheogiaothức,thờigianvànộidungnhằmngănchặnviệckếtnốivàonhữngtrangwebcónộidungkhôngthíchhợp.BêncạnhđóchúngtacòncóthểtriểnkhaihệthốngVPNSitetoSitehayRemoteAccesshỗtrợchoviệctruycậptừxa,hoặctraođổidữliệugiữacácvănphòngchinhánh.ĐốivớicáccôngtycónhữnghệthốngmáychủquantrọngnhưMailServer,WebServercầnđượcbảovệchặtchẽtrongmộtmôitrườngriêngbiệtthìISA2004chophéptriểnkhaicácvùngDMZ(thuậtngữchỉvùngphiquânsự)ngănngừasựtươngtáctrựctiếpgiữangườibêntrongvàbênngoàihệthống.Ngoàicáctínhnăngbảomậtthôngtintrên,ISA2004còncóhệthốngđệm(cache)giúpkếtnốiInternetnhanhhơndothôngtintrangwebcóthểđượclưusẵntrênRAMhayđĩacứng,giúptiếtkiệmđángkểbăngthônghệthống.ChínhvìlýdođómàsảnphẩmfirewallnàycótêngọilàInternetSecurity&Aceleration(bảomậtvàtăngtốcInternet).ISAServer2004Enterpriseđượcsửdụngtrongcácmôhìnhmạnglớn,đápứngnhiềuyêucầutruyxuấtcủangườidùngbêntrongvàngoàihệthống.NgoàinhữngtínhnăngđãcótrênISAServer2004Standard,bảnEnterprisecònchophépthiếtlậphệthốngmảngcácISAServercùngsửdụngmộtchínhsách,điềunàygiúpdễdàngquảnlývàcungcấptínhnăngLoadBalancing(cânbằngtải).BàiviếtnàytrìnhbàycáchthứctriểnkhaihệthốngISAServer(StandarvàEnterprise)chomộtcôngtycósốlượngnhânviêntrên50người.ĐểcungcấpdịchvụchiasẻInternet,côngtysửdụngmộtđườngADSLvàhệthốngISAServer2004Firewall.VớiđịachỉmodemADSLlà1.1.1.2,hệthốngcóhailớpmạngchínhlàInternalbaogồmcácmáytínhcủanhânviêncódãyđịachỉIPriênglà192.168.1.1–192.168.1.255/24vàDMZdànhchomáychủ(nhưExchangeServer,WebServer)sửdụngđịachỉmạng172.16.1.0/24.MáychủdùngđểcàiđặtISAServerchạyWindowsServer2003SP1có3NIC(networkinterface)vớiđịachỉIPnhưsau:OutsideInterface:IP1.1.1.1,SubnetMask255.255.255vàDefaultGateway1.1.1.2(ADSLmodem).InsideInterface:IP192.168.1.10,SubnetMask255.255.255.0vàDNS192.168.1.11(DNSServervàDomainControlercủahệthống)DMZInterface:IP172.16.1.1,SubnetMask255.255.255.0Nhằmbảođảmantoànchohệthốngvàfirewall,trêngiaotiếpmạngOutsidechọnDisableNetbiosOverTCPIP,bỏchọnRegisterthisconnectionsaddressinDNSvàEnableLMHOSTlookupnhưhìnhsau:Lưuý:ChứcnăngDisableNetBIOSoverTCP/IPlàmchomáytínhtrởnênvôhìnhtrênmạng,cácphầnmềmquétlỗihệthốngnhưRetina,Nmapsẽkhôngtìmthấytêncủamáytính,hạnchếtrườnghợpdòtìmpasswordcủanhữngtàikhoảntheocơchếbruteforce.CácmáychủgiaotiếpvớiInternetnhưfirewallthườngchọnchứcnăngnày,tuynhiênđốivớicácmáytínhtrênmạngnộibộchúngtakhôngnênsửdụngvìsẽngăncácmáytínhkháctruycậpvàotàinguyênchiasẻtrênmáynhưPrinter,FolderShare.Mộtsốứngdụngbảomật(nhưPCSecurity)khicàiđặtsẽmặcđịnhchọnDisableNetBIOSoverTCP/IP.CàiĐặtISAServerSaukhiđãthiếtlậpđầyđủcácthồngtincầnthiết,chúngtatiếnhànhcàiđặtISAServer2004Standardtrênmáytínhdùnglàmfirewall.Chúngtacóthểchọnmộttrong3chếđộcàiđặtsau:Typical:ởchếđộnàychỉcàiđặtmộtsốdịchvụtốithiểu,khôngcódịchvụCache.Complete:tấtcảcácdịchvụsẽđượccàiđặtnhưFirewalldùngđểkiểmsoáttruycập;MessageScreenerchophépngănchặnspamvàfileđínhkèm(cầnphảicàiIIS6.0SMTPtrướckhicàiMessageScreener);FirewallClientInstallationShare.Custom:chophépchọnnhữngthànhphầncầncàiđặtcủaISAServer2004.ỞđâychúngtasẽsửdụngchếđộcàiđặtCustom,mặcđịnhchỉcóhaidịchvụFirewallServicesvàISAServerManagement,hãychọnthêmFirewallClientInstallationShare.Tiếptheotiếntrìnhcàiđặtsẽyêucầubạnxácđịnhgiaotiếpmạngvớihệthốngmạngnộibộ(InternalNetwork),trongcửasổInternalNetworknhấnAddrồiSelectNetworkAdapter.ĐánhdấuchọnInsidetrongtrangSelectNetworkAdapter.Tiếptheo,chúngtacầncungcấpdãyđịachỉIPchứacácmáytínhtrongmạngnộibộ(From,To).Lưuý,dãyđịachỉnàyphảichứaIPcủagiaotiếpmạngInside.TrongcửasốFirewallClientConnectionSettingshãyđánhdấuchọnAllownonencryptedFirewallclientconnectionsvàAllowFirewallclientsrunningearlierversionsoftheFirewallclientsoftwaretoconnecttoISAServer,nhấnNexttrongcácbướctiếptheođểhoàntấtquátrìnhcàiđặt.ĐốivớiphiênbảnStandardchúngtanêncàibảnváSP1ISA2004KB891024X86ENU.msp(cóthểtảivềtừwebsitewww.microsoft.comhaywww.security365.org/downloads/software)đểbảođảmhệthốnghoạtđộngổnđịnh.KếtNốiISAServerVớiInternetVàCấuHìnhCácISAClientISAServer2004Firewallcó3dạngchínhsáchbảomật:systempolicy,accessrulevàpublishingrule.SystempolicythườngẩnvàđượcdùngchoviệctươngtácgiữafirewallvàcácdịchvụmạngkhácnhưICMP,RDP...Systempolicyđượcxửlýtrướckhiaccessruleđượcápdụng.SaukhicàiđặtcácsystempolicymặcđịnhchophépISAServersửdụngcác ...