Cài đặt ISA Server 2004 trên Windows Server 2003

Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 7)    Tác giả: www.nis.com.vn CHƯƠNG 7: Cài đặt ISA Server 2004 trên Windows Server 2003 Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal Network IP address range(s). Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local Address Table (LAT) để xác định đâu là Network đáng tin cậy (trusted Networks), và đâu là Network không được tin cậy (untrusted Networks). Thay vào đó, ISA Server 2004 Firewall các IP addresses nội bộ được xác nhận bên dưới Internal Network. Internal Network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa Internal Network và ISA Server 2004 Firewall được điều khiển bởi các chính sách của Firewall (Firewall’s System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lõng từ các Access Rules mặc định của System Policy.. Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau: • Cài đặt ISA Server 2004 trên Windows Server 2003 • Xem lại các chính sách hệ thống mặc định trên ISA Server 2004 Firewall (Default System Policy) Installing ISA Server 2004 Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phức tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internal Network (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địa chỉ cuả Internal Network là một phần quan trọng, bởi vì chính sách hệ thống của Firewall (Firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắc truy cập- Access Rules Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máy gắn hai Network Cards) Windows Server 2003 Computer: 1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện 2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. Release Notes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề khác.Đọc xong release notes, đóng cửa sổ lại và click Read Setup and Feature Guide link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA Server 2004 link. 3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. 4. Chọn I accept the terms in the license agreement trên License Agreement page. Click Next. 5. Trên Customer Information page, điền Tên và Tên Tổ chức của bạn trong User Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next. 6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISA Server 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chương trình trên đĩa cứng. Click Next. 7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặc định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đính kèm (file attachments) khi chúng được đưa vào Network hoặc từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng không được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cần cài đặt IIS 6.0 SMTP service trên ISA Server 2004 Firewall computer trước khi bạn cài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next. 8. Trên Internal Network page, click Add. Internal Network khác hơn LAT (được sử dụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì Internal Network sẽ chứa các Network services được tin cậy và ISA Server 2004 Firewall phải giao tiếp được với những Services này Ví dụ những Service như Active Directory domain controllers, DNS, DHCP, terminal services client management workstations, và các Service khác, thì chính sách hệ thống của Firewall sẽ tự động nhận biết chúng thuộc Internal Network. Chúng ta sẽ xem xét vấn đề này trong phần System Policy 9. Trong Internal Network setup page, click Select Network Adapter 10. Trong Select Network Adapter dialog box, remove dấu check tại Add the following private ranges… checkbox. Check vào Add address ranges based on the Windows Routing Table checkbox. Check tiếp vào Network Card nào, trực tiếp kết nối vào LAN tại Select the address ranges…Internal Network adapter . Lý do không check vào add private address ranges checkbox là bởi vì, chúng ta muốn dùng những vùng địa chỉ này cho DMZ ( perimeter Networks). Click OK. 11. Click OK trong Setup Message dialog box xác nhận rằng Internal Network đã được định nghĩa hoạt độn dựa trên Windows routing table. 12. Click OK trên Internal Network address ranges dialog box. 13. Click Next trên Internal Network page. 14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004 Firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùng Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client. Click Next. 15. Trên Services page, click Next. 16. Click Install trên Ready to Install the Program page. 17. Trên Installation Wizard Completed page, click Finish. 18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải restarted. 19. Log-on lại vào Computer bằng tài khỏan Administrator Xem xét System Policy Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Network được bảo vệ (protected Network), và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Như vậy sau khi triển khai ISA Server 2004 Firewall, theo mặc định thì “Nội bất xuất, ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, cho phép thực hiện các tác vụ Quản trị Network cần thiết. Lưu ý: Khái niệm Network được bảo vệ (protected Network), là bất cứ Network nào được định nghĩa bởi ISA Server 2004 Firewall không thuộc phạm vi của các Network bên ngoài (External Network), như Internet. Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (default Firewall System Policy): 1. Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server Management. 2. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server node và click vào Firewall Policy node. Right click trên Firewall Policy node, trở đến View và click Show System Policy Rules. 3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thông báo rằng ISA Server 2004 Access Policy giới thiệu một danh sách các Policy được sắp xếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều mà Access Policy trên ISA Server 2000 đã không quan tâm đến trình từ xử lý này. Theo mặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truy cập đến và từ ISA Server 2004 Firewall. Cũng lưu ý rằng, các nguyên tắc tại System Policy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sách sau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trên và được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấy rằng, các nguyên tắc được xác định rõ bởi: Số thứ tự (Order number) Tên (Name Rule) Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or Deny) Dùng giao thức nào (Protocols) Từ Network hoặc Computer nguồn- From (source Network or host) Đến Network hay Computer đích- To (destination Network or host) Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng) Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng của cột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lý các Rule của mình hơn. Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chính sách Disabled mặc định của System Policy Rules được thể hiện bằng những biểu tượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nào đó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truy cập VPN- thực hiện enable VPN access. Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks. 4. Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double-click trên rule. 5. Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide System Policy Rules ở Bảng chứa các nút này. Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định: Bảng 1: System Policy Rules Chú thích: 1 Policy này bị disabled cho đến khi VPN Server component được kích hoạt -activated 2 Policy này bị disabled cho đến khi một kết nối VPN dạng site to site xác lập 3 Policy này bị disabled cho đến khi chính sách thẩm định kết nối dùng HTTP/HTTPS được cấu hình 4 Policy này bị disabled cho đến khi SecureID filter được enabled 5 Policy này phải được enabled thủ công 6 Policy này bị disabled theo mặc định 7 Policy này bị disabled theo mặc định 8 Policy này tự động được enabled khi Firewall client share được cài đặt 9 Policy này bị disabled theo mặc định Tại thời điểm này, ISA Server 2004 Firewall đã sẵn sàng cho các Admin cấu hình các truy cập ra ngoài (outbound) hoặc vào trong (inbound) qua Firewall. Tuy nhiên, trước khi khởi hành tạo các chính sách truy cập- Access Policies, các Security Admin nên back-up lại cấu hình mặc định của ISA Server 2004 Firewall. Điều này cho phép bạn phục hồi ISA Server 2004 Firewall về trạng thái ban đầu sau cài đặt. Điều này là cần thiết cho các các cuộc kiểm tra và khắc phục các sự cố trong tương lai. Tiến hành Back-up cấu hình mặc định ngay sau cài đặt theo hướng dẫn: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console, right click trên server name. Click BackUp. 2. Trong Backup Configuration dialog box, điền tên file backup bạn muốn đặt trong File name text box. Nhớ vị trí chúng ta đã lưu backup file trong Save list. Trong ví dụ này, đặt tên file backup là backup1. Click Backup. 3. Trong Set Password dialog box, điền vào password và xác nhận lại password này trong Password và Confirm password text boxes. Thông tin trong file backup được mã hóa vì nó chứa password phục hồi và những thông tin quan trọng đã lưu giữ, tất cả những thông tin này chúng ta không muốn một ai khác có thể truy cập. Click OK. 4. Click OK trong Exporting dialog box khi bạn thấy thông báo The configuration was successfully backed up message. Nên copy file backup này đến nơi lưu trữ an toàn khác trên Nội bộ Network sau khi backup hoàn thành (không nên luu giữ trên chính Firewall này). Thiết bị lưu giữ file backup nên có phân vùng lưu trữ được định dạng bằng hệ thống tập tin NTFS (hệ thống tập tin an toàn nhất hiện nay trên các hệ điều hành của Microsoft) Kết luận: Trong chương này chúng ta đã bàn về những thủ tục cần thiết khi cài đặt ISA Server 2004 software trên Windows Server 2003 computer. Chúng ta cũng đã xem xét chính sách hệ thống của Firewall (Firewall System Policy), được tạo ra trong quá trình cài đặt. Và cuối cùng, chúng ta đã hoàn thành việc lưu giữ lại cấu hình ngay sau khi cài đặt ISA Server 2004 Firewall bằng cách thực hiện file backup theo từng bước hướng dẫn. Trong phần tới, chúng ta sẽ cấu hình cho phép truy cập VPN access server từ xa.