Embed Size (px)
Citation preview
“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Part 38 - ISA Server - Installation
Chúng ta không thể phủ nhận rằng trong khoảng vài năm trở lại đây Internet phát triển với tốc độ chóng mặt và là công cụ khôngthể thiếu trong thời đại công nghệ ngày nay. Tầm quan trọng của nó không chỉ ảnh hưởng đến ngành công nghệ cao mà còn vươn xatới cách lĩnh vực khác. Hay nói cách khác Internet đã gần như xóa bỏ định nghĩa về không gian địa lý vì qua đó mọi người trên thếgiới đều có thể liên lạc với nhau một cách nhanh chóng cho dù có cách xa đến hàng vạn cây số.
Hơn nữa đây chính là một không gian mở một thế giới tri thức của loài người, người ta có thể trao đổi kiến thức, dữ liệu.... với nhaugần như ngay lập tức.
Đi kèm với những tiện ích đó là vấn nạn virus, lừa đảo, tấn công vào hệ thống máy tính ngày càng đang dạng và rộng khắp. Nhữngkẻ tấn công với nhiều mục đích vì tư lợi hoặc vì muốn chứng tỏ bản thân mà bất chấp tất cả chúng len lỏi vào hệ thống chúng ta tànphá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một quốc gia nào đó....
Ngay từ những năm đầu của thế kỷ 21 vấn nạn này đã trở nên nhức nhối và là nỗi boăn khoăn chung của toàn xã hội. Các hãng bảomật máy tính trên toàn thế giới đã không ngừng cho ra đời, phát triển và hoàn thiện các chương trình bảo mật của mình mà tiêu biểunhất đó chính là chương trình Internet Sercurity Acceleration Server (ISA Server) của Microsoft.
Vậy cơ chế hoạt động của ISA như thế nào dưới đây chúng ta sẽ đi sâu vào nghiên cứu nó.
Theo Microsoft giới thiệu thì ISA Server là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọithông tin ra vào hệ thống của chúng ta đều phải qua ISA kiểm duyệt rất kỹ lưỡng. Hay nói cách khác khi dựng ISA Server lên thếgiới của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi
Bây giờ chúng ta tiến hành cài đặt ISA lên hệ thống. Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain làgccom.net
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan IP Address 192.168.1.2
Subnet Mask 255.255.255.0 Defaultgateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Defaultgateway 172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông quaSwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02
- Mạng 192.168.1.0/24 là mạng giả lập mạng Internet
- Máy PC01 chính là máy ISA Server đã Join vào domain
- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24
ISA không yêu cầu chúng ta phải lên Domain nhưng trong bài chúng ta sẽ thao tác trong môi trường Domain để tận dụng các tínhnăng mạnh mẽ của nó.
Sau khi cấu hình IP các máy hoàn tất bạn phải xác nhận rằng các máy Ping thấy nhau rất tốt.
Trước tiên để cài được ISA bạn phải đáp ứng đủ các yêu cầu sau đây:
- Ổ đĩa cài ISA phải được định dạng là NTFS
- Đã cài đặt .Net Framework 3.0 trở lên
- Vào Services tắt dịch vụ Windows Firewall đi
Cũng xin nói thêm là có rất nhiều phiên bản ISA Server cho chúng ta cài đặt. Tuy nhiên trong phần này tôi chỉ đề cập tới ISAServer Standard mà thôi
Tại máy PC01 bạn Logon vào User Administrator của Domain và chạy chương trình Setup ISA Server lên chọn Install ISAServer 2006
Trong màn hình Setup type chọn Custom
Giữ nguyên giá trị mặc định chọn Next
Tại màn hình Internal Network nhấp Add
Chọn tiếp Add Range...
Tại đây bạn nhập dãy IP mà bạn muốn ISA quản lý chúng tất nhiên để tốt nhất là chọn nguyên cả Subnet
Màn hình sau khi Add xong chọn Next
Chọn Next để tiến hành cài đặt
Sau khi cài đặt ISA thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được
Truy cập máy ISA cũng không được
Tuy nhiên với máy ISA thì ping rất tốt
Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24)
Bây giờ tôi sẽ tiến hành cấu hình ISA sao cho các máy trong mạng có thể thấy được nhau. Với ISA Server chúng ta có 3 giải phápđể các máy trong mạng 172.16.2.0/24 truy cập được Internet:
Dạng Ưu điểm Nhược điểm
Secure NATKiểm soát được tất cả mọiPort ra vào hệ thống
Không kiểm soát được User,trang web...
ProxyKiểm soát được mọi User,trang web...
Chỉ kiểm soát được các Port443,80,21
Firewall Client
Kiểm soát được tất cả mọiPort ra vào hệ thống
Kiểm soát được mọi User,trang web...
Chỉ hỗ trợ các hệ điều hànhWindows
1/ Secure NAT
Bạn vào Start -> Programs -> Microsoft ISA Server -> ISA Server Management
Màn hình chính của chương trình ISA Server
Nhấp phải vào Firewall Policy chọn New -> Access Rule
Đặt tên cho Rule này ví dụ là Internal
Trong Rule Action chọn Allow
Trong Protocol bạn chọn All outbound traffic và nhấp Next
Tại Access Rule Sources nhấp Add
Chọn Internal trong thư mục Networks
Màn hình sau khi hoàn tất
Tại Access Rule Destinations Add External vào
Nhấp Next
Trong Filrewall Policy ta thấy xuất hiện Rule Internal mới được tạo nhấp Apply để thực thi Rule này
Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của ISA
Ra Command DOS ping thử máy ISA thấy rất tốt
Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của ISA
Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote ManagementComputers
Trong màn hình Remote Management Computers Properties nhấp Add:
Computer: chỉ tác động duy nhất lên một máy nào đó
Address Range: chỉ tác động lên một dãy IP nào đó
Subnet: tác động lên nguyên cả Subnet
Trong ví dụ này tôi chỉ tác động lên duy nhất máy PC02 mà thôi nên tôi chọn Computer
Đặt tên cho Rule này là Remote ISA và nhập IP của PC02 vào sau đó nhấp OK
Tại máy PC02 ra Command DOS ping thử máy ISA thấy rất tốt
2/ Proxy
Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0 Defaultgateway
192.168.1.1
Preferred DNS 203.162.4.191
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Defaultgateway
Preferred DNS 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông quaSwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings
Nhập IP của máy PC01 vào ô Address và Port là 8080
Trở lại IE truy cập thử Internet thấy rất tốt
3/ Firewall Client
Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt mộtcông cụ Firewall Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt ISA Server.
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên isa.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0 Defaultgateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Defaultgateway 172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông quaSwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 chọn thư mục Client trong Folder cài đặt ISA Server nhấp chọn Setup.exe để cài đặt
Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy ISA Server
Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tạiProxy
Trở lại IE truy cập thử Internet thấy rất tốt
Đến đây chúng ta đã hoàn tất quá trình cài đặt ISA và cấu hình cho các máy trong mạng có thể ra được Internet.
Và mọi công việc trên máy ISA coi như xong, nếu bạn có nhu cầu truy cập ISA để chỉnh sửa gì thêm trên thực tế bạn phải hạn chếđến mức tối đa việc ngồi làm việc trực tiếp trên máy cài ISA Server mà dùng một máy Client bất kỳ cài công cụ ISA ServerManagement để quản lý ISA mà thôi.
Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình Setup ISA Server lên chọn Install ISA Server2006
Trong màn hình Setup type chọn Custom
Bỏ chọn phần ISA Server đi mà chỉ chọn ISA Server Management mà thôi chọn tiếp Next để cài đặt
Tiếp đến chạy ISA Server Management tại máy Client lên nhấp phải vào Microsoft Internet Sercurity Acceleration Server vàchọn Connect to
Nhập IP của máy ISA Server vào
Đến đây ISA Server Management sẽ hiển thị các công cụ y như trên máy ISA Server cho bạn quản lý
OK mình vừa trình bày xong phần Installation ISA Server trong 70-351 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin họcĐiện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
