isa server

1FPT Telecom 10/2006

Phần mềm ISA Server

1. Chức năng chương trình

2. Cài đặt phần mềm ISA Server

3. Cấu hình ISA Server

4. Các lỗi thường gặp

Trình bày: Trương Ngọc Tuấn

FPT Telecom 2

1.Chức năng chương trình

• Bảo vệ mạng chống các cuộc tấn công từ Internet

• Cho phép các client trong mạng nội bộ truy cập các dịch ngoài Internet, có kiểm soát

FPT Telecom 3

2. Cài đặt chương trình ISA Server

• Chuẩn bị Server:– Có thể cài ISA server 2000 trên Computer chạy Windows

server 2000/ 20003 ( các OS này trước hết phải patch đầy đủ các lỗ hỗng thông qua service pack, hot fixes..)

– Cần 2 NIC Cards (LAN card), 1 cho Internal Network, 1 ra Internet. Hoặc có thể dùng 1 NIC, 1 modem (ADSL, Dial-up, ISDN, broadband routers...)

– Tất cả các máy trong LAN dùng TCP/IP protocol.– ISA server 2000 này có thể là domain member (nếu

Internal Network đã xây dựng Internal Domain), hoặc là một Stand-alone server không thuộc bất kì Internal Domain nào. (trong hướng dẫn này tôi dùng Stand-along Server)

FPT Telecom 4


Mô hình:

FPT Telecom 5


• Các bước cài đặt cơ bản trên Window 2000 Server:

– Step 1: Cấu hình các Network Card

– Step 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000

– Step 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000

– Step 4: Cài đặt và cấu hình ISA SERVER 2000 software

– Step 5: Cấu hình vai trò các Internal Computers là DHCP Clients

FPT Telecom 6


2.1 Step 1: Cấu hình các Network card

– Internal Network Card: -Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ.-Trong hướng dẫn này tôi dùng IP address: 192.168.1.200 /255.255.255.0-Không config Defaul Gateway (khuyến cáo không nên config Defaul Gateway trên ISA SERVER 2000)-Dùng DNS Server: 192.168.1.200 (DNS server cũng chính là ISA SERVER 2000 )

FPT Telecom 7



– External Network Card: • Với External Network Card thường có 2 trường hợp:

+ Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs)

+ Loại dùng Dynamic IP (Dial-up, ADSL...)

FPT Telecom 8


2.1 Step 1: Cấu hình các Network card- Có những hình thức connect sau đối với External modem, người sử dung cần lưu ý:

+ DSL line kết nối vào------- DSL Modem-------ISA server 2000 (chú ý: Có những loai DSL gắn trong giống như 1 NIC

Card-Ethernet Card) + Internet Cable------Cable Modem--------Ethernet Card of ISA + T1 connection--------Router---------Etherner Card of

ISA + Broadband DSL--------Broadband Router----------Etherner Card of ISA

FPT Telecom 9



FPT Telecom 10



-KẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER

-IP address dùng cho External Card nếu dùng Dynamic (Dial-up, ADSL..) thì hoàn toàn do ISPs cung cấp, người dùng không cần can thiệp các thông số.

FPT Telecom 11



Minh họa:

FPT Telecom 12



Nếu dùng IP address cố định, như thuê bao lease-line, etc.., có thể cấuhình Static IP được cấp theo ví dụ sau:

FPT Telecom 13


2.2 Sep 2: Cài đặt và cấu hình DNS Server trên ISA SERVER 2000

• Bước tiếp theo sẽ cài đặt DNS server trên ISA server Firewall. Dùng DNS server là bắt buộc khi người dùng cần truy cập các Internet Servers thông qua tên, nhiệm vụ DNS server sẽ giải quyết Hostname sang IP address. Cài đặt DNS server ở chế độ Caching-only DNS server trên chính ISA server Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập dùng DNS server này.

• Theo những bước sau để tiến hành cài đặt DNS server trên Windows 2000 Advanced Server:

• Click Start chọn Settings click Control Panel. Control Panel window, double click Add/Remove Programs click Add/Remove Windows Components . Windows Components Wizard dialog box, chọn Networking Services Không đánh dấu vào checkbox! , click Details, Networking Services dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click OK. Tiếp tục Next để hoàn thành tiến trình cài đặt.

FPT Telecom 14



FPT Telecom 15



• Cấu hình DNS Service:

DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận và trả lời các yêu cầu truy vấn tên của các Server Internet từ phía các Client Computer trong mạng nội bộ. Do được cài đặt ở chế độ Caching-only DNS server cũng là chế độ default sau cài đặt của DNS server 2000 cho nên nó không chứa các Hostname của các Internal servers hoặc Internet servers. Caching-only DNS server cũng chỉ giải quyết các tên Internet đang lưu giữ trong cache.

FPT Telecom 16



• Nếu các kết nối được thực hiện qua các ISP VietNam có thể điền vào IP Address List này thông số DNS IP Address như sau:

• FPT: VDC:

• DNS1: 210.245.31.10 DNS1: 203.162.4.190DNS2: 210.245.31.110 DNS2: 203.162.4.191

• Right click trên DNS server name bên khung trái và chọn All Tasks sau đó click Restart.khởi động lại DNS server service.

FPT Telecom 17



FPT Telecom 18


2.3 Sep 3: Cài đặt và cấu hình DHCP Server trên ISA SERVER 2000

- DHCP Server service được cài đặt trên ISA SERVER 2000 sẽ cung cấp các xác lập TCP/IP cho Internal Computers.

- Cảnh báo: Disable tất cả các DHCP Server khác trên Mạng (nếu có thể), chỉ cho phép DHCP Server service được cài đặt trên ISA SERVER 2000 này hoạt động, nhằm cung cấp chính xác tất cả các thông số mong muốn.

FPT Telecom 19



Cài đặt DHCP service trên Windows 2000 Advanced Server: Click Start – Settings -Control Panel -Add/Remove Programs - Add/Remove Windows Components - Networking Services - Dynamic Host Configuration Protocol (DHCP) và click OK.

FPT Telecom 20



• Chức năng chính của một DHCP Server ngoài cung cấp IP address, còn cung cấp thêm các thông số (gọi là TCP/IP settings), bao gồm: Subnet mask, Default Gateway & DNS Server Addresses. Trong hướng dẫn này Default Gateway & DNS Server Addresses chính là Internal IP Address (192.168.1.200) trên ISA server Firewall.

• DHCP server quản lý và phân phối IP address cho các Internal Clients thông qua các DHCP scope. Cấu hình scope chính xác là điều bắt buộc.

• Khi tạo một vùng IP address trong Scope, có thể sẽ bao gồm luôn cả những IP đã được phân chia trước đó cho các Node trên Mạng (ví dụ Internal server như Web, Mail, Database server đã dùng các IP này), như vậy để tránh hiện tượng DHCP server sẽ lại lấy những IP này cung cấp tiếp cho Clients (gây Conflicts), thì Admin phải dùng chức năng Exclusions để tạo vùng loại trừ tránh xung đột về sau.

FPT Telecom 21


2.4 Sep 4: Cài đặt và cấu hình ISA SERVER 2000 software

Các bước cài đặt: Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click Install ISA Server icon trên Microsoft ISA Server Setup page. Click Continue trên Welcome to the Microsoft ISA Server installation program page. Điền CD key trên CD Key page và click OK. Click OK trên registration number page. Click I Agree trên License Agreement page. Click Full Installation button trên Installation Type page.

FPT Telecom 22


• 2.4 Sep 4: Cài đặt và cấu hình ISA SERVER 2000 software

Click Yes trên the dialog thông báo rằng ISA Server schema has not been installed in the Active Directory. Chọn Integrated Mode . Click Continue.

FPT Telecom 23


2.5 Sep 5: Cấu hình cho Internal Network Computers

Các Internal network computers sẽ được xác lập như ISA Server SecureNAT clients. Một SecureNAT là một machine chỉ vớI xác lập default gateway address trong cấu hình TCP/IP của mình. Default gateway address này có thể là một Router nằm sau ISA Server 2000 firewall, nếu như SecureNAT Clients không cùng Network ID vớI Internal Interface của ISA server ( phảI config cho router này routing được đến Internal card trên ISA server), hoặc là IP address của Internal Card trên ISA server.

FPT Telecom 24


2.5 Sep 5: Cấu hình cho Internal Network Computers

• Cấu hình Internal Clients làm DHCP Clients

FPT Telecom 25


2.5 Sep 5: Cấu hình cho Internal Network Computers • DHCP client sẽ yêu cầu IP address và các thông số từ DHCP

server. • Tiến hành tạI Client Computers • Right click My Network Places icon trên desktop và click the

Properties 1.Trong Network Connections window, right click trên network interface and click the Properties 2.Trong Properties dialog box, click Internet Protocol (TCP/IP) và click Properties button. 3.Trong Internet Properties (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically option.

FPT Telecom 26


2.5 Sep 5: Cấu hình cho Internal Network Computers4. Chọn Use the following DNS server addresses option. Type 192.168.1.200 trong Preferred DNS server text box. Click OK trong Internet Protocol (TCP/IP) Properties dialog box. 5. Click OK . Thực ra 4 và 5 có thể chọn Obtain DNS server address automatically, vì Clients Computer đã dùng DHCP server của Mạng (tất nhiên nếu Client Computers cùng Network ID vớI DHCP server, nếu khác Network ID có thể phảI config thêm tính năng DHCP Relay agent trên Routers..)

FPT Telecom 27


3.1 Outgoing Web Requests Listener:

Chức năng như một Web proxy. Yêu cầu Web proxy service (w3proxy) phải đang hoạt động , Outbound Web Requests Listener phải được config và được Enable. Xem và thay đổi thông số này, open ISA Management MMC, open Servers and Arrays, . Right-click và chọn Properties. Click Outgoing Web Requests tab.

FPT Telecom 28



• Theo mặc định ISA Server enable Proxy service trên tất cả ISA internal IPs (trong các ví dụ trước là 192.168.1.200 và 127.0.0.1 (cái này dùng cho chính ISA Server nếu nó muốn trở thành Web Proxy Client của chính Web Proxy Service đang hoạt động trên nó), tại port 8080, setup mặc định của Proxy service này không liên quan đến hoạt động của các ISA Server mode khác như: Firewall, Integrated, Cache. Để disable Outgoing Web Requests listener, chỉ đơn giản chọn Configure listeners individually per IP address và không chọn bất kì IP address nào cho việc này.

FPT Telecom 29



• Minh họa

FPT Telecom 30


3.2 Site and Content Rules: • Những nguyên tắc được xác lập ở đây sẽ control những nội

dung liên quan đến HTTP và FTP khi chúng chuyển đến Web Proxy Service (ví dụ khi ISA Clients truy cập 1 HTTP site nào đó, các nguyên tắc được xác lập ở Site and Content Rules sẽ xem xét các yêu cầu của ISA clients có hợp lệ hay không, nếu hợp lệ về nội dung cũng như đích đến, yêu cầu sẽ chuyển tiếp đến Web Proxy service và ra Internet….) Theo mặc định Site and Content Rules không ngăn cấm bất kì nội dung nào (Audio, image, video, applications, compressed file…), và bất kì Site nào khi yêu cầu gửi ra Internet. Do mặc định đã có Allow rule được thiết. Muốn ngăn chặn những Website/FTPsite Admin có thể tiến hành Deny tại đây, nhưng hãy xác lập cho chính xác, nếu không sẽ “bế quan tỏa cảng” tất cả.

FPT Telecom 31


• 3.2 Site and Content Rules:

FPT Telecom 32


3.4 Protocol Rules:

• Một trong những trung tâm đầu não của ISA Server. Việc cho phép các LAT hosts (Internal Clients) truy cập các tài nguyên Internet thông qua các Rule tại đây. Hình bên dưới chúng ta định nghĩa khá nhiều Protocols cho phép LAT hosts sử dụng. ví dụ nếu tôi không tạo rule có đánh dấu đỏ, các LAT hosts của tôi sẽ không thể truy cập được các HTTP Site.

FPT Telecom 33


3.4 Protocol Rules:

FPT Telecom 34


3.5 IP Routing:

Vấn đề kế tiếp, đảm bảo rằng các tất cả các luồng lưu thông SecureNAT Clients không bị ngăn trở (tất nhiên các rule tại Protocol rules ở trên phải cho phép điều này). ISA Server mặc định đã disabled “Enable IP Routing”. Khi được Enable ISA Server mới cho phép các ICMP (pings) từ LAT ra Internet.

FPT Telecom 35


3.5 IP Routing:

Mở ISA Management MMC, tìm IP Packet Filtering. Right-click , chọn Properties và bạn sẽ thấy như trên hình

FPT Telecom 36


3.6 HTTP Redirector:

Đây là nơi mà Admin có thể điều khiển ISA Firewall Clients và SecureNAT Clients khi các Clients này yêu cầu truy cập Web. Mở ISA Management MMC, chọn Servers and Arrays, Extensions, Application Filters. Right-click HTTP Redirector Filter, chọn Properties. Chọn Options tab Admin sẽ thấy như

trên Hình

FPT Telecom 37


3.6 HTTP Redirector:• Như vậy tại đây các Admin có thể quyết định các yêu cầu truy cập Web

của SecureNAT & Firewall client sẽ được kiểm soát như thế nào ( Thông thường SecureNAT clients và ISA Firewall Clients sẽ làm việc trực tiếp với ISA Firewall Service cho tất cả các yêu cầu truy cập mọi dịch vụ Internet, thế nhưng ngoại trừ HTTP/FTP –Web request, thì HTTP Redirector sẽ chuyển đến Web Proxy service.

• Ở hình trên các bạn cũng thấy xác lập “If the local service is unavailable…”, xác lập này có nghĩa là khi Web Proxy Service trên ISA Server không hoạt động, chuyển các yêu cầu Web đến trực tiếp Web Server “redirect requests to Requested Web Server”. Khi đó SecureNAT và Firewall clients vẫn tiếp cận được Internet mà không cần đếm xỉa gì đến Web Proxy filtering vốn đang NO ANSWER REQUESTS.Nếu Admin check vào Send to requested Web Server , thì SecureNAT và Firewall Clients bỏ qua Web proxy service cho mọi yêu cầu Web, ở mọi thời điểm.

• Nếu check Reject HTTP requests from Firewall and SecureNAT clients khiến cho các Firewall và SecureNAT clients phải xác lập Web proxy settings tại trình duyệt nếu không muốn bị cấm cửa tất cả Web requests.

FPT Telecom 38

4. Một số lỗi thường gặp

• Các máy client không chạy được 1 số ứng dụng

• Các máy client không đi Internet được

• Chỉ vào được 1 số trang Web

• …….

isa server

Documents