Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Tin Tức F.A.Q Lịch Khai Giảng Học Phí Việc Làm Liên Hệ

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc

Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Ðề tài đã khoá
 
Ðiều Chỉnh
  #1  
Old 08-09-2008, 14:07
lmh lmh vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 879
Thanks: 27
Thanked 411 Times in 88 Posts
Đôi điều về cài đặt ISA 2006

ĐÔI ĐIỀU VỀ CÀI ĐẶT ISA SERVER 2006


Cài đặt ISA? Thật là đơn giản!!!

Trong quá trình công tác và giao tiếp với một số quản trị viên hệ thống, tôi thỉnh thoảng được nghe bày tỏ quan điểm như vừa nói trên. Quả thật, không hề đại ngôn khi cho rằng cài ISA thật là đơn giản.

Chính vì "thật là đơn giản" nên "có khi mưa ngoài trời là giọt nước mắt em, đã tan theo vào đời làm thành nỗi ưu phiền" (lời của nhạc sĩ Trịnh Công Sơn chứ không phải của Mr. Bill Gates). Tức là sau khi cài xong rồi thì không chỉ riêng server ISA mà cả hệ thống LAN bỗng dưng trở nên chập chờn như mưa nắng Sài Gòn làm anh quản trị ưu phiền không dứt!!! Vì thế bài viết này không nhằm hướng dẫn từng bước mà chỉ nêu lên một số vấn đề cần đặc biệt quan tâm khi cài đặt với mong muốn giúp quý vị xây dưng một server ISA 2006 hoàn chỉnh ngay từ những bước đầu tiên.

1. Cấu hình máy chủ cần thiết:

- CPU Intel hoặc AMD tối thiểu 773 MHz.
- RAM tối thiểu 512MB.
- Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server).
- Đĩa cứng trống tối thiểu 150MB, định dạng NTFS.
- Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bit

Băng thông internet và cấu hình đề nghị tương ứng:

Băng thông: đến 25 Mbps
CPU: 3 đến 4 GHz
RAM: 512 MB
Card mạng: 10/100 Mbps
Số kết nối VPN đồng thời tối đa: 700

Băng thông: đến 90 Mbps
CPU: Dual core 2 đến 3 GHz
RAM: 2 GB
Card mạng: 100/1000 Mbps
Số kết nối VPN đồng thời tối đa: 2000

Tham khảo thêm cấu hình tối ưu tại: http://www.microsoft.com/technet/isa/2006/perf_bp.mspx

2. Hoàn chỉnh bảng định tuyến (routing table)

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network - subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet.
Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường:



Chú ý rằng trên interface 192.168.3.254 của router nội bộ phải có default gateway 192.168.3.1

Với cấu hình IP như trên, bảng định tuyến của ISA sẽ có các định tuyến:
Dest. Subnet mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1
192.168.3.0 255.255.255.0 192.168.3.1 192.168.3.1





Để ISA có thể giao tiếp với hệ thống mạng nội bộ, phải thêm 2 định tuyến:
Dest. Subnet mask Gateway Interface
192.168.1.0 255.255.255.0 192.168.3.254 192.168.3.1
192.168.2.0 255.255.255.0 192.168.3.254 192.168.3.1

Để tạo thêm định tuyến, có thể dùng console Routing and Remote Access hoặc các lệnh NETSH và ROUTE
ví dụ:
route add 192.168.1.0 mask 255.255.255.0 192.168.3.254 metric 1
route add 192.168.2.0 mask 255.255.255.0 192.168.3.254 metric 1



3. Chú ý thông số DNS

Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô - internal interface):
- Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh hoạ).
- Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary DNS server) nội bộ.
- Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy chủ DNS nội bộ.

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.
Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

4. Tinh chỉnh cấu hình external interface

Để bảo đảm nhân viên bảo vệ - ISA - toàn tâm toàn ý với công việc của mình, cần có một số quy định sau đây:
- Quy định 1: Không được ... đi nhậu!!!
- Quy định 2: Không được mời ai đến phòng bảo vệ để ... nhậu!!!
- Quy định 3: Không được nghe lời ... bọn xấu dụ dỗ!!!
Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên external interface:
- Để thoả quy định 1 và quy định 2: External interface properties: bỏ các dấu kiểm "Client for Microsoft Networks" và "File and Printer Sharing for Microsoft Networks"



- Để thoả quy định 3: External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTS lookup" và chọn "Disable NetBIOS over TCP/IP"



5. Cài ISA trên một máy chủ "sạch"

Cũng với mục tiêu "đào tạo" một nhân viên bảo vệ chuyên trách & để giúp nhân viên này "vô cảm" trước "gợi ý" của những kẻ "bất chính", nên cài ISA trên một máy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất giành cho hoạt động định tuyến và chặn lọc thông tin.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ chính ISA bị tấn công.
Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng "tê liệt " nốt. Nếu nhân viên bảo vệ đồng thời là ... giám đốc doanh nghiệp thì ... xin miễn ý kiến!!!

6. Nên cài ISA trên stand-alone server hay domain member server?

Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để "với tới" dịch vụ danh bạ động (Active Directory service) hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server (Remote Authentication Dial-In User Service).
Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn.

Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user.

Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ tức cài ISA trên domain member server.
Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường

7. Những lưu ý rất quan trọng khi cài đặt:

- Kích hoạt tập tin ISAAutorun.exe từ đĩa cài đặt ISA 2006.

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006.

- Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next.

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng: 192.168.1.0 - 192.168.1.255, 192.168.2.0 - 192.168.2.255 và 192.168.3.0 - 192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm.

Xin được để lại phần kiểm định sau cài đặt ISA và cấu hình ISA Client trong một bài viết khác.

Rất cảm ơn Quý Vị đã quan tậm theo dõi.
__________________
Nhất Nghệ Support Team
LÊ NGỌC HIẾN

thay đổi nội dung bởi: Mr.Hieu, 12-03-2009 lúc 10:52
Sponsored links
  #2  
Old 18-09-2008, 23:47
khunghai khunghai vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Feb 2007
Bài gởi: 107
Thanks: 1
Thanked 2 Times in 2 Posts
Ðề: Đôi điều về cài đặt ISA 2006

Chào Thầy,

trong bài trên, cho em hỏi 2 câu hỏi:
1. sao cái mày ISA trong mô hình card mạng external không có DNS vậy?
2. Thầy có thể nói rõ cái mục "allow non-encrypt..." nếu trong mạng của em chỉ gồm các máy xài win xp sp3 và win server 2003 hết thì có cần check vào mục này kô?

em xin cám ơn thầy
  #3  
Old 19-09-2008, 08:47
suthuc's Avatar
suthuc suthuc vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 3,560
Thanks: 20
Thanked 626 Times in 427 Posts
Ðề: Đôi điều về cài đặt ISA 2006

đọc xong bài viết của thầy LMH sao tôi thấy giống mô hình công ty của mình vậy ta . Tuy không phức tạp bằng mô hình công ty tôi, nhưng đúng là chưa có bài viết nào về mô hình này. Cám ơn thầy Hiến (LMH).
Cũng chia sẻ kinh nghiệm với anh em, với mô hình này buộc ta phải config routing trên ISA server, nhưng khi config routing bằng giao diện đồ họa (graphic) với công cụ Routing Remote Access sẽ thường xuyên gặp lỗi. Thỉnh thoảng sẽ bị disable dịch vụ này, do đó tốt nhất anh em nên route bằng lệnh như thầy LMH đã làm. Nhưng route bằng lệnh thì khi ISA khởi động lại sẽ mất route này. Anh em nên đưa các lệnh đó vào 1 file script và cho 1 cái policy chạy file script trong quá trình startup, như vậy thì sau này có restart ISA cũng không phải lo là gõ lệnh route
__________________
Mr.Thức- MCT
Hãy bấm nút THANKS nếu câu trả lời đã hài lòng bạn.
Lab Windows Server 2012 tại
http://thuc.nhatnghe.vn
Đã có 2 người gửi lời cảm ơn suthuc vì bài viết hữu ích này:
  #4  
Old 19-09-2008, 08:54
dangduya147 dangduya147 vẫn chưa có mặt trong diễn đàn
Thành Viên Lâu Năm
 
Tham gia ngày: Aug 2007
Bài gởi: 1,456
Thanks: 0
Thanked 101 Times in 23 Posts
Ðề: Đôi điều về cài đặt ISA 2006

Trích:
Nguyên văn bởi suthuc View Post
Thỉnh thoảng sẽ bị disable dịch vụ này, do đó tốt nhất anh em nên route bằng lệnh như thầy LMH đã làm. Nhưng route bằng lệnh thì khi ISA khởi động lại sẽ mất route này. Anh em nên đưa các lệnh đó vào 1 file script và cho 1 cái policy chạy file script trong quá trình startup, như vậy thì sau này có restart ISA cũng không phải lo là gõ lệnh route
- Route ADD với tham số -p hình như giải quyết được mà SuThuc ( Training Kit 291 )
Đã có 2 người gửi lời cảm ơn dangduya147 vì bài viết hữu ích này:
  #5  
Old 19-09-2008, 09:37
LDP's Avatar
LDP LDP vẫn chưa có mặt trong diễn đàn
Non-Stop
 
Tham gia ngày: Oct 2006
Bài gởi: 1,595
Thanks: 0
Thanked 349 Times in 81 Posts
Ðề: Đôi điều về cài đặt ISA 2006

Trích:
Nguyên văn bởi khunghai View Post
Chào Thầy,

trong bài trên, cho em hỏi 2 câu hỏi:
1. sao cái mày ISA trong mô hình card mạng external không có DNS vậy?
2. Thầy có thể nói rõ cái mục "allow non-encrypt..." nếu trong mạng của em chỉ gồm các máy xài win xp sp3 và win server 2003 hết thì có cần check vào mục này kô?

em xin cám ơn thầy
Đọc từ từ, kỹ lưỡng từ trên xuống dưới sẽ thấy có chú thích cho những câu hỏi của bạn.
Những người sau đây đã gửi lời cảm ơn LDP vì bài viết hữu ích này:
  #6  
Old 19-09-2008, 09:45
vtbk's Avatar
vtbk vtbk vẫn chưa có mặt trong diễn đàn
IT Solutions
 
Tham gia ngày: Mar 2007
Nơi Cư Ngụ: HCMC
Tuổi: 32
Bài gởi: 2,389
Thanks: 51
Thanked 114 Times in 89 Posts
Ðề: Đôi điều về cài đặt ISA 2006

Trích:
Nguyên văn bởi dangduya147 View Post
- Route ADD với tham số -p hình như giải quyết được mà SuThuc ( Training Kit 291 )
Chính xác..........................................
__________________
Phone: 093 777 5863 | Email: thanh.nguyen@ncs.net.vn
Những người sau đây đã gửi lời cảm ơn vtbk vì bài viết hữu ích này:
  #7  
Old 19-09-2008, 10:28
mcminh1411 mcminh1411 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Apr 2008
Bài gởi: 136
Thanks: 4
Thanked 2 Times in 2 Posts
Ðề: Đôi điều về cài đặt ISA 2006

Bài viết rất chi tiết, rất cảm ơn bác
  #8  
Old 19-09-2008, 14:41
suthuc's Avatar
suthuc suthuc vẫn chưa có mặt trong diễn đàn
Nhất Nghệ Support Team
 
Tham gia ngày: Aug 2006
Bài gởi: 3,560
Thanks: 20
Thanked 626 Times in 427 Posts
Ðề: Đôi điều về cài đặt ISA 2006

ừ hen, sao quên nghĩ tới nhỉ, thanks dangduya147
__________________
Mr.Thức- MCT
Hãy bấm nút THANKS nếu câu trả lời đã hài lòng bạn.
Lab Windows Server 2012 tại
http://thuc.nhatnghe.vn
  #9  
Old 25-11-2008, 12:27
hnlife hnlife vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Oct 2008
Tuổi: 36
Bài gởi: 6
Thanks: 3
Thanked 0 Times in 0 Posts
Cam on nhieu, toi dang nghien cuu va thu nghiem.
  #10  
Old 29-11-2008, 07:27
nghiatg nghiatg vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Apr 2007
Bài gởi: 298
Thanks: 0
Thanked 10 Times in 10 Posts
HI!

Cài ISA này, máy client ko cài firewall client thì có thể truy cập duoc Internet ko? nếu thế, thì ta phải cấu hình ra sao

THanks
Sponsored links
Ðề tài đã khoá

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Đôi điều về IP Access-List trong IOS StiltDreamer [ CISCO ] Thảo luận chung 16 28-09-2012 16:14
Hướng dẫn cài đặt ISA Server 2006 hanam1601 Firewall 2 04-10-2008 15:19
Đôi điều sau khi pass 70-291 rantaro Pre Exams 16 15-11-2007 12:20
Hướng dẫn cài đặt ISA 2006 vinhcomputer Firewall 0 05-11-2007 22:43



Múi giờ GMT +7. Hiện tại là 14:15
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Ad Management by RedTyger