Hành trình ngàn dặm bắt đầu từ một bước đi: Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

11 thg 5, 2008

Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server 2004 firewall.

Có 3 loại ISA Server 2004 client:
• SecureNAT client
• Web Proxy client
• Firewall client
Một SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall à ra Internet.
Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client.
Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall.
Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client.
Table 1: Các loại ISA Server 2004 Client và những đặc điểm

Feature

SecureNAT client
Firewall client
Web Proxy client
Cần phải cài đặt ?

Không, chỉ cần xác lập thông số default gateway

Yes. Cần cài đặt software

Không, chỉ cần cấu hình các thông số phù hợp tại trình duyệt Web- Web browser

Hỗ trợ Hệ điều hành nào ?

Bất cứ OS nào hỗ trợ TCP/IP

Chỉ Windows

Bất kì OS nào có hỗ trợ các Web application

Hỗ trợ Protocol

Nhờ có bộ lọc ứng dụng -Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols - multiconnection
protocols

Tất cả các ứng dụng Winsock
Applications. Có nghĩa là hầu hết các ứng dụng trên Internet hiện nay

HTTP, Secure HTTP
(HTTPS), và FTP

Có hỗ trợ xác thực người dùng hay không ? Nhằm kiểm soát việc User truy cập ra ngoài

Yes, nhưng chỉ dành cho VPN clients

Yes

Yes

Cấu hìnhSecureNAT Client
Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số default gateway giúp client định tuyến ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành một SecureNAT client:
• Xác lập các thông số TCP/IP thủ công trên máy
• Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP scope option trên DHCP Server
Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như một SecureNAT client. Network servers như domain controllers, DNS servers, WINS servers và Web servers thông thường cũng được cấu hình như các SecureNAT clients.
Domain controller đã được cấu hình thủ công làm SecureNAT client.
Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope (một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp phát cho DHCP clients thông số default gateway address chính là IP address của Internal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windows systems là sử dụng DHCP để nhận các xác lập về thông tin IP address.
Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách ,Internal network client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng ta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạt động, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hình DHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh.
1. Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties.
2. Trong Network and Dial-up Connections, right click Local Area Connection và click Properties.
3. Trong Local Area Connection Properties dialog box, click Internet Protocol
(TCP/IP) , click Properties.
4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP address
automaticallyvà Obtain DNS server address automatically. Click OK.

5. Click OK trong Local Area Connection Properties dialog box.
6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start ,
Run. Trong Open box, đánh lệnh cmd.
7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể thấy được IP address được cấp phát cho Clientvà các thông số IP address khác mà Client dùng như: DNS, WINS và default gateway

8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi máy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2.
Cấu hình Web Proxy Client
Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng ISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấu hình Web browser với vai trò một Web Proxy client. Có thể là:
• Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web
Proxy server
• Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration script
• Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấu hình này nhé)
• Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP
Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ trợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá của Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client, và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cần phải thủ công cấu hình trên trình uyệt web –web browsers của các Clients.
Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi Firewall client được setup trên clients..
Và chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự động trên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ thống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop..).
Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers sẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể tự cấu hình. Tuy nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thể cấu hính thủ công trên các browsers cho các Clients. Cúng ta sẽ xem xét cấu hình browser trong suốt quá trình cài đặt Firewall client ở phần tới.
Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser:
1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.
2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button.
3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settings dialog box. Đánh dấu check vào Automatically detect settings check box để cho phép browser dùng các xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc định trên các Internet Explorer Web browsers. Đặt một checkmark vào Use automatic configuration script check box, và điền vào vị trí lưu trữ autoconfiguration script trên ISA Server 2004 firewall như sau:
http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script
Dĩ nhiên máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISA Server 2004 firewall) ra IP address (IP address này nằm trênInternal interface của firewall. Chú ý một điều, nếu Client có thể dùng wpad để Automatically detect settings, thì các thông tin cấu hình tự động nằm rong autoconfiguration script sẽ được download đến trình duyệt Web Proxy client. Đặt một checkmark vào Use a proxy server for your LAN (These settings will not apply to dial-up or VPN connections) check box, và điền vào IP address của Internal interface trên ISA Server 2004 firewall trong Address text box.
Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghe trên Porttext box, theo mặc định là port 8080. Click OK trong Local Area Network (LAN) Settings dialog box.

4. Click OK trong Internet Properties dialog box.
Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách cấu hình khác.
Cấu hình Firewall Client
Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet (trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên mỗi User hoặc Group.
Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential: Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tài khoản nội bộ trên chính ISA Server 2004 firewall (tức là các accounts nằm trong Sam database)nếu cả ISA Server 2004 và clients đều thuộc cùng một Windows domain, thì các user accounts có thể nằm trên Windows NT 4.0 SAM hoặc Windows 2000/Windows Server 2003 Active Directory. Tôi nhắc lại, trong môi trường Domain 2000/2003, Active directory database (trên Domain controller là nơi lưu trữ tất cả tài khoản User của Domain đó)
Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có chứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt Firewall client software từ ISA Server 2004 firewall computer, trước hết hãy bật System Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau này bạn nên chuyển Source này đến một File server trên mạng để việc truy cập được an toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer.
1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA Server 2004 icon.
2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next.
3. Trên License Agreement page, chọn I accept the terms in the license agreement, click Next.
4. trên Customer Information page, điền User name, Organization và Product
Serial Number của bạn. Click Next.
5. trên Setup Type page, chọn Custom.
6. Trên Custom Setup page, click Firewall Services entry và click This feature will not be available option. Click ISA Server Management entry và click This feature will not be available option. Click Firewall Client Installation Share và click This feature, and all subfeatures, will be installed on the local hard drive. Click Next.
7. Click Install trên Ready to Install the Program page.
8. Click Finish trên Installation Wizard Completed page.
Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domain controller. Tiến hành các bước sau để cài Firewall client software:
1. Tại CLIENT computer trên Internal network, click Start và click Run
command. trong Open text box, điền vào EXCHANGE2003BEmspclntsetup và click OK.
2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.
3. Click Next trên Destination Folder page.
4. Trên ISA Server Computer Selection page, chọn Automatically detect the appropriate ISA Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đã tạo wpad entry trong DNS. Nếu bạn chưa tạo một wpad entry, bạn có thể chọn Connect to this ISA Server computer option và điền vào tên hay IP address của ISA Server 2004 firewall trong text box. Click Next.

5. Click Install trên Ready to Install the Program page.
6. Click Finish trên Install Wizard Completed page.
Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hành các bước sau trên ISA Server 2004 firewall:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
Console, mở server name. mở tiếp Configuration node và click trên Networks node. Right click trên Internal Network và click Properties.
2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định là đã đánh dấu vào Enable Firewall client support for this network check box.
Xác định là cũng đã đánh dấu vào Automatically detect settings và Use automatic configuration script check boxes trong khung Web browser configuration on the Firewall client computer. Đánh dáu tiếp vào Use a Web proxy server check box. Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDN trong ISA Server name or IP address text box. Trong vd này FQDN của ISA Server 2004 computer là ISALOCAL.msfirewall.org. Click Apply.

3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discovery information check box. Để port mặc định này, không thay đổi 80. Click Apply

4. Click Apply để lưu những thay đổi và cập nhật firewall policy.
5. Click OK trong Apply New Configuration dialog box.
Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT.
1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ thống.
2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng đã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box.
Xác nhận tiếp đã chọn Automatically detect ISA Server

3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.

4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration checkbox và click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập mà chúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thông số cấu hình tự động.
Click OK trong Web Browser Settings Update dialog box.

5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server 2004 dialog box.
Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet dựa tên các quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004 firewall.
Kết luận
Trong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhau và những tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loại theo một số cách. Trong chương tới của sáchchúng ta sẽ phác thảo các thủ tục để tạo hoặc chỉnh sửa các quy tắc trên chính sách truy cập ra ngoài Internet -outbound access policy rules thông qua các Network Templates.

Theo Ho Viet Ha
Owner
Network Information Security Vietnam, Inc.
http://nis.com.vn
networksecurity@Nis.com.vn

http://www.hocquantrimang.net/forum/showthread.php?t=384

Không có nhận xét nào:

Đăng nhận xét

Hành trình ngàn dặm bắt đầu từ một bước đi

11 thg 5, 2008

Configuring ISA Server 2004 SecureNAT, Firewall và Web Proxy Clients

Không có nhận xét nào:

NHỮNG BÀI GẦN ĐÂY

TẤT CẢ CÁC BÀI

C.E.H NN

C.E.H (Certified Ethical Hacker)

ENGLISH

HACKER-CRACKER

EBOOKS IT

Pre Exams

Pass4sure

MSCA- NETWORK

MCSA

LAB

www.4shared.com

Download Later

Cung cap kien thuc ve Mang may tinh

Thiết kế WEB

Wireless

WEB IT

SOFTWARE

Links hay

Links

KIS_ KAV key

MEO-- CV

Tuyển dụng

TỪNG CHỦ ĐỀ RIÊNG

Rau_ Củ_Quả

Blog thầy cô KHTN TPHCM

TÌNH NGUYỆN

BLOG HAY

SÁO TRÚC

YouTuBe-flute

CỜ TƯỚNG-CHINESE CHESS

Pic

MÁY ẢNH-MÁY QUAY

LAPTOP

ĐIỆN THOẠI

CHỨNG KHOÁN

KHO ONLINE

BLOGGER

NHÀ SÁCH ONLINE

SÁCH & TRUYỆN

Audio Book

THỦ THUẬT TÌM KIẾM

ẨM THỰC

LINKS DOWNLOAD GAME

LINK DOWNLOAD FILM

THƯ VIỆN MÃ NGUỒN

Báo chí- Tin tức

KHOE KHOANG BẢN THÂN