Giáo trình Hướng dẫn phương pháp khởi động các dịch vụ trong Exchange bằng kỹ thuật khởi động số (Phần 5)

Nội dung text: Giáo trình Hướng dẫn phương pháp khởi động các dịch vụ trong Exchange bằng kỹ thuật khởi động số (Phần 5)

1. 489/555 489/555 Name Action Protocol from/Listener To Condition Order/Comments Name Action Allow ICMP ICMP All Networks 16. Cho phép login từ Allow remote SQL requests from ISA Information (and Local Allow Local Host All Users xa bằng SQL qua ISA logging from ISA Allow Server to selected Request ICMP Host server servers servers Timestamp Network) Allow HTTP/HTTPS All VPN client 17. Cho phép truy xuất requests from ISA traffic to ISA Allow PPTP External Local Host All Users HTTP/HTTPS từ ISA Allow Server to specified Server đến một số site chỉ định sites Name Allow HTTP/HTTPS External requests from ISA Allow VPN site- All Users 18. Cho phép IPSec Remote Local Host Server to selected to-site traffic to Allow NONE HTTP/HTTPS từ ISA Allow Gateways To Continued servers for ISA Server Name đến một số server khác From/Listener Condition connectivity verifiers Allow access from 19. Cho phép một số External trusted computers Allow VPN site-to- máy được truy xuất IPSec to the Firewall site traffic from Allow NONE Local Host All Users Firewall Client Allow Remote Client installation ISA Server installation share trên y Gateways share on ISA ạ ISA Server Server ng Microsoft Windows Windows Microsoft ng Trang ng d ạ ả Allow remote m CIFS (Common ị n gi Microsoft CIFS 20. Cho phép quan sát performance ẫ Internet File n tr Allow (TCP) Microsoft Local Host Internal All Users thông suất của ISA monitoring of ISA Allow ả System) from ISA ng d CIFS (UDP) Server từ xa Server from trusted ướ Server to trusted servers - Qu n 3 ầ u h servers ệ c ph ọ H li Tài
2. 490/555 490/555 Protocol from/Listen To Condition Order/Comments Name Action Protocol from/Listen er er 21. Cho phép sử Allow NetBIOS Allow NetBIOS Datagram Local Host Microsoft SQL dụng NetBIOS từ from ISA NetBIOS Name From/Listen (TCP) Microsoft Local Host Internal All Users ISA Server đến một Server to Service NetBIOS er SQL (UDP) số Server chỉ định trusted servers Sessions Protocols sẵn Name System HTTP All Users 21. Cho phép sử Allow RPC Allow RPC (all interfaces) Local Host HTTP HTTPS Policy HTTPS Continued dụng RPC từ ISA from ISA Protocols Allowed Protocols Condition truy xuất đến một Server to Sites To số server khác trusted servers All 23. Cho phép truy Allow Allow HTTP HTTPS Local Host Networks xuất HTTP/HTTPS HTTP/HTTPS HTTP HTTPS Local Host (and Local All Users từ ISA Server tới from ISA Host một số Microsoft Server to Network) Microsoft CIFS error reportingsite specified (TCP) Microsoft 24. Cho phép authentication Allow SecurID Local Host CIFS (UDP) chứng thực from ISA NetBIOS Datagram Internal Local Host All Users SecurID từ ISA đến Server to NetBIOS Name y một số server trusted servers ạ Service NetBIOS ng Microsoft Windows Windows Microsoft ng Trang ng d Session ạ ả m NetBIOS Datagram ị 25. Cho phép giám Allow remote Microsoft Local Host n gi Remote ẫ NetBIOS Name n tr Managemen Local Host All Users sát từ xa thông qua monitoring Operations ả Service NetBIOS ng d t Computers giao thức Microsoft from ISA Manager Agent ướ Session Operations Server to - Qu n 3 ầ u h ệ c ph ọ H li Tài
3. 491/555 491/555 To Condition Order/Comments Name Action Protocol from/Listen To Condition er Internal To All Users 26. Cho phép HTTPTraffic from ISA Allow + Action HTTP Protocols Local Host All Networks All Users Continued traffic từ ISA Server tớiServer to all From/Listen (and Local Continued Condition một số network hỗ trợnetworks (for CRL er Host) To Condition dịch vụ chứng thực downloads) Name download CRL (Certificate Revocation Internal All Users 27. Cho phép sử dụng Allow NTP from ISA Allow NTP (UDP) Local Host Internal All Users NTP (giao thức đồng bộ Server to trusted thời gian trên Windows NTP servers NT 2k, XP) từ ISA tới một Microsoft All Users 28. Cho phép traffic Allow SMTP from SMTP Local Host Internal All Users Error SMTP từ ISA Server tới Allow ISA Server to Reporting một số Server trusted servers sites Internal All Users 29. Cho phép một số ISA Server to Allow HTTP Local Host All Networks System máy sử dụng Content selected computers (and Local and Download Jobs. for Content Host) Network y Download Jobs Service ạ ng Microsoft Windows Windows Microsoft ng Trang ng d ạ ả m Internal All Users 30. Cho phép một số Allow Microsoft Allow All Outbound Local Host Remote All Users ị n gi ẫ n tr máy khác sử dụng MMC communication to traffic Management ả ng d điều khiển ISA selected computers Computers ướ n 3 - Qu n 3 ầ u h ệ c ph ọ H li Tài
4. Tài liệu hướng dẫn giảng dạy Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy. Hình 5.12: System policy Rules. Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item. Hình 5.13: System Policy Editor. V.3. Cấu hình Web proxy cho ISA. Trong phần này ta sẽ khảo sát nhanh các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet cho mạng nội bộ. Học phần 3 - Quản trị mạng Microsoft Windows Trang 492/555
5. Tài liệu hướng dẫn giảng dạy Hình 5.14: System Policy Editor. - Mặc định ISA Firewall cho phép tất cả mạng nội bộ chỉ có thể truy xuất Internet Web thông qua giao thức HTTP/HTTPS tới một số site được chỉ định sẳn trong Domain Name Sets được mô tả dưới tên là “system policy allow sites” bao gồm: - *.windows.com - *.windowsupdate.com - *.microsoft.com Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông tin trong System Policy Allowed Sites hoặc hiệu chỉ lại System Policy Rule có tên + Hiệu chỉnh System Policy Allowed Sites bằng cách Chọn Firewall Policy trong ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số site cần thiết cho phép mạng nội bộ truy xuất theo cú pháp *.domain_name. - Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” (tham khảo Hình 5.15), sau đó ta chọn nút Apply trong Firewall Policy pannel để áp đặt sự thay đổi vào hệ thống. Học phần 3 - Quản trị mạng Microsoft Windows Trang 493/555
6. Tài liệu hướng dẫn giảng dạy Hình 5.15: Mô tả System Policy Sites. Chú ý: - Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server. + Để cấu hình Uptream Server cho ISA Server nội bộ ta chọn Configuration panel từ ISA Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them to specified upstream server, chọn tiếp nút Settings Chỉ định địa chỉ của upstream server. Hình 5.16: Chỉ định Upstream server. + Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply. - Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client Share trên từng Client để Client đóng vai trò lài ISA Firewall Client. Học phần 3 - Quản trị mạng Microsoft Windows Trang 494/555
7. Tài liệu hướng dẫn giảng dạy - Chỉ định địa chỉ của Web Proxy trong textbox Address. - Chỉ Web Proxy Port trong Textbox Port là 8080. Hình 5.16: Chỉ định Client sử dụng Proxy Server. V.4. Tạo Và Sử Dụng Firewall Access Policy. - Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server Publishing Rules và Access Rules. + Web Publishing Rules và Server Publishing Rules được sử dụng để cho phép inbound access. o Access rules dùng để điều khiển outbound access. - ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top down (Lưu ý rằng System Policy được kiểm tra trước Access Policy do user định nghĩa), nếu packet phù hợp với một luật nào đó thì ISA Firewall thì ISA Firewall sẽ thực thi action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽ bỏ qua tất cả các luật còn lại. Nếu packet không phù hợp với bất kỳ System Access Policy và User-Defined Policy thì ISA Firewall deny packet này. - Một số tham số mà Access Rule sẽ kiểm tra trong connection request: + Protocol: Giao thức sử dụng. + From: Địa chỉ nguồn. + Schedule: Thời gian thực thi luật. + To: Địa chỉ đích. + Users: Người dùng truy xuất. + Content type: Loại nội dung cho HTTP connection. V.4.1 Tạo một Access Rule. Access Rules trên ISA Firewall luôn luôn áp đặt luật theo hướng ra (outbound). Ngược lại, Web Publishing Rules, Server Publishing Rules áp đặt theo hướng vào (inbound). Access Rules điều khiển truy xuất từ source tới destination sử dụng outbound protocol. Một số bước tạo Access Rule: 3. Kích hoạt Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab trong Task Pane, nhấp chuột vào liên kết Create New Access Rule. Học phần 3 - Quản trị mạng Microsoft Windows Trang 495/555
8. Tài liệu hướng dẫn giảng dạy 4. Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rule name, nhấp chuột vào nút Next để tiếp tục. 5. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp tục. 6. Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17). Ta sẽ chọn giao thức (protocol) để cho phép/cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh sách This rule applies to. - All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary protocols đã được định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client. - Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng protocols để áp đặt vào luật (rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một Protocol Definition. - All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà không được định nghĩa trong hộp thoại. Hình 5.17: Lựa chọn protocol để mô tả cho Rule. Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật (tham khảo hình 5.18). Học phần 3 - Quản trị mạng Microsoft Windows Trang 496/555
9. Tài liệu hướng dẫn giảng dạy Hình 5.18: Lựa chọn protocol để mô tả cho Rule. 1. Hiển thị hộp thoại Access Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào luật bằng cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa chỉ nguồn từ hộp thoại này (tham khảo hình), chọn Next để thực hiện bước tiếp theo. Hình 5.19: Chọn địa chỉ nguồn. 2. Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa chỉ đích (destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này cho phép ta chọn địa chỉ đích (Destination) được mô tả sẳn trong hộp thoại hoặc có thể định nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau khi hoàn tất quá trình ta chọn nút Next để tiếp tục. 3. Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule. Mặc định luật sẽ áp đặt cho tất cả user (All Users), ta có thể hiệu chỉnh thông số này bằng cách chọn Edit hoặc thêm user mới vào rule thông qua nút Add, chọn Next để tiếp tục 4. Chọn Finish để hoàn tất. V.4.2 Thay đổi thuộc tính của Access Rule. Học phần 3 - Quản trị mạng Microsoft Windows Trang 497/555
10. Tài liệu hướng dẫn giảng dạy Trong hộp thoại thuộc tính của Access Rule chứa đầy đủ các thuộc tính cần thiết để thiết lập luật, có một số thuộc tính chỉ có thể cấu hình trong hộp thoại này mà không thể cấu hình trong quá trình tạo Access Rule, thông thường ta truy xuất hộp thoại thuộc tính của luật khi ta muốn kiểm tra hoặc thay đổi các điều kiện đã đặt trước đó. Để truy xuất thuộc tính của Access Rule ta nhấp đôi chuột vào tên luật trong Firewall Policy Panel. Một số Tab thuộc tính của Access Rule: - General tab: Cho phép ta có thể thay đổi tên Access rule, Enable/Disable Access rule. - Action tab: Cung cấp một số tùy chọn để hiệu chỉnh luật như (Tham khảo hình 5.20): - Allow: Tùy chọn cho phép các kết nối phù hợp (matching) với các điều kiện được mô tả trong Access rule đi qua ISA firewall. - Deny: Tùy chọn cấm các kết nối phù hợp (matching) với các điều kiện được mô tả trong Access rule đi qua ISA firewall. - Redirect HTTP requests to this Web page: Tùy chọn được cấu hình để chuyển hướng HTTP requests (phù hợp với điều kiện của Access rule) tới một Web page khác. - Log requests matching this rule Cho phép ghi nhận lại tất cả các request phù hợp với Access Rule. Hình 5.20: Thuộc tính của Access Rule. - Protocols tab: Cung cấp các tùy chọn để cho phép ta hiệu chỉnh giao thức (protocol) cho Access rule. - From tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ nguồn cho Access rule. - To tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ đích cho Access rule. - Users tab: Cung cấp các tùy chọn để hiệu chỉnh thông tin User trong Access rule. - Schedule tab: Hiệu chỉnh thời gian áp đặt (apply) luật. - Content Types tab: Cho phép hiệu chỉnh Content Type chỉ áp đặt HTTP connection. V.5. Publishing Network Services. V.5.1 Web Publishing and Server Publishing. Học phần 3 - Quản trị mạng Microsoft Windows Trang 498/555
11. Tài liệu hướng dẫn giảng dạy Publishing services là một kỹ thuật dùng để công bố (publishing) dịch vụ nội bộ ra ngoài mạng Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,,. - Web publishing: Dùng để publish các Web Site và dịch vụ Web. Web Publishing đôi khi được gọi là 'reverse proxy' trong đó ISA Firewall đóng vai trò là Web Proxy nhận các Web request từ bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào Web Site hoặc Web Services nội bộ xử lý (tham khảo hình 5.21), Một số đặc điểm của Web Publishing: - Cung cấp cơ chế truy xuất ủy quyền Web Site thông qua ISA firewall. - Chuyển hướng theo đường dẫn truy xuất Web Site (Path redirection) - Reverse Caching of published Web Site. - Cho phép publish nhiều Web Site thông qua một địa chỉ IP. - Có khả năng thay đổi (re-write) URLs bằng cách sử dụng Link Translator của ISA firewall. - Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Site (SecurID authentication, RADIUS authentication, Basic Authentication) - Cung cấp cơ chế chuyển theo Port và Protocol. Hình 5.21: Mô hình Web Publishing. - Server publishing: Tương tự như Web Publishing, Server publishing cung cấp một số cơ chế công bố (publishing) các Server thông qua ISA Firewall. V.5.2 Publish Web server. Để publish một Web Services ta thực hiện các bước sau: 1. kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab. 2. Trên Tasks tab, chọn liên kết “Publish a Web Server”, hiển thị hộp thoại “Welcome to the New Web Publishing Rule Wizard” yêu cầu nhập tên Web publishing rule, chọn Next để tiếp tục. 3. Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next. 4. Cung cấp một số thông tin về Web Site cần được publish trong hộp thoại “Define Website to Publish” (tham khảo hình 5.22): - “Computer name or IP address”: chỉ định địa chỉ của Web Server nội bộ. Học phần 3 - Quản trị mạng Microsoft Windows Trang 499/555