Setup Isa Server Enterprise 2000 Phan 2







































"



4



5



*





6

!

7

"



#

$

8

%



"

*

9

&

'

&

*

(

:

)





*





(

!



)









(







%

































%

)



(

;

)



+

"

)

&

"

'

&

&

(

(

,

)

-

*

-

-

(

.

/

0

1

2

,

3

)

Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm việc với nhau, và với các loại ISA Clients như thế nào. Một sơ đồ đơn giản có thể phác thảo như sau về các Services chính đang chạy trên ISA server.

<

=

0

>

0

?

=

"

&

'

@

A

B

2

>

C

@

D

E

F

A

G

=

F

H

A

"

&

'

C

B

I

F

B

I

1. Tất cả các yêu cầu từ ISA Clients đến ISA server được xem xét bởi Packet filters.

2. Các yêu cầu từ SecureNAT Client (chú ý ISA server làm việc trực tiếp với 3 loại ISA Client là SecureNaT Client, Web Proxy Client và ISA Firewall Client, tôi sẽ

1

phân tích các loại ISA client này trong phần tiếp theo), được gửi đến NAT protocol driver và sau đó đến Firewall service là nơi nà các quy tắc (rule) được áp đặt (thông qua Rule Engine) SecureNAT clients không gửi các thông tin xác thực mình (authentication information) đến ISA server.








3. Những yêu cầu từ ISA Firewall client được gửi đến Firewall service trên ISA server, nếu đó là một HTTP request (khi ISA Firewall Client truy cập Web), thì thay vì gửi đến Firewall service, HTTP redirector trên ISA server sẽ gửi yêu cầu loại này đến Web proxy service trên ISA server. 4. Tất cả những yêu cầu về HTTP/HTTPS, FTP và Gopher luôn được gửi đến Web proxy service.

<

"

=

&





=

0

'

F

2



=



>

I



0

@



&

2

0

B

I

>

F

I

A

2



=

B

"

.

&

'

C

&

+

B

'

I

F

B



I



"





(

(



3



ISA control service điều khiển các chức năng trên ISA Server sau: 1. IP packet filters, khi bạn Enable và ghi Log chức năng này trên ISA server 2. Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall) 3. Tiến hành đồng bộ ( servers . I



I

&



2

=

0

I



2

A

A



2

mỗi

3



"

&

server với phần còn lại của ISA

'





4. Cập nhật các File cấu hình Client ( nào không sử dụng. mspclnt.ini và delete bất cứ =

@

A

B

2

>

=



2



A





I

>



@







A

@

B

A



2



A

@

B

C

3



như msplat.txt và

C

5. Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Service này.

2














































Admin có thể dùng command line để Stop một Service nào đó: C:\> Net stop mspadmin 













: mspadmin là tên service cần Stop



Và cũng lưu ý quan trọng rằng nếu stop ISA Server Control Service, thì tất cả các ISA Server services cũng Stop theo. &

=

0

B





@

B

=



0

B

2



>

B

2

>





2



@





&

B

I

F

A

=

B

.



+



)

(







(



(

3







1. Service này cho phép có thể download nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server ( ), theo đúng những thời điểm đã được Config trước (Download scheduled). "

&

'

&

B

I

F

B

I



=



@



=

=

0

B



2. Có thể config những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành download về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua =

0

B





Ví dụ: Lập kế hoạch

như sau: Tiến hành download nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2. Thời gian tiến hành download vào lúc 12:00 PM. Sáng hôm sau Clients của &

=

0

B





@

B

=





0

B



2

>

B

2

>







2

@







3

các bạn sẽ được phục vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online. 3. Dùng service này có thể download toàn bộ Website nếu bạn muốn làm điều đó : Websites chứa các hay các gói cài đặt phần mềm ngôn ngữ tương thích với Website (ví dụ website tiếng Japan, China, Thailand, etc...), không thể download được. 



















%

%

+

I

B

A



I

B

=

>

I



A



@

>

B





















































































I



Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc khi HTTP redirector được enable (điều này là với các tính năng của mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay vì đến các Service khác. "

&

'

=

=

0

A

2









'

%

/

I

>



=



@



I



A

F

B

I








: Microsoft không khuyến cáo chạy ( trên ISA server vì có thể gây xung đột với NAT Protocol Driver. )



)

'

&

)



I



A

2

2



)



B

E

>



B

'

=

=

B

C

C



&

B

I

F

A

=

B

3



Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet. Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA ( ), là thuộc các vùng IP sau: "

2

>

B

I

2

B

>

'

C

C

A

2



B





E



B



I

C

'

>



0

I



A

>



+ 10.0.0.0 - 10.255.255.255 + 172.16.0.0 - 172.31.255.255 + 192.168.0.0 - 192.168.255.255 



















































































































Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽ được chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP address của External Interface trên ISA server (vì các IP trong vùng không có giá trị communication trực tiếp 



























































trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về sẽ phản hồi lại cho Clients trong Mạng nội bộ. 

A

I

B

@



@

&

B

I

F

A

=

B

.





&

)

*



(



(

3





1. Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications) Tôi sẽ có một số định nghĩa để các bạn hiểu thêm như sau:

4

+ Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai trò là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall. Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đã làm điều đó, nó hành động nhân danh cho Client và cả Server . Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu này đến Client. Cả hai Client và Server nghĩ rằng chúng nói chuyện trực tiếp với nhau nhưng thực sự chỉ "talk" trực tiếp với Proxy. + Application Level and Circuit Level Proxy Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. Những Proxies trên, được gọi là /

/

@

A

=

>

A

2



@

B

F

B

@

/

I



A

B

C





















































bởi vì chúng được chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được gửi đến nó. Một hệ thống proxy khác được , hỗ trợ nhiều applications cùng lúc. ví dụ, SOCKS là một gọi là IP-based proxy server ( hổ trợ hầu hết các applications trên nền TCP và UDP 














=

A





I

=

A



>

@

B

F

B

@

/

I







=

A

I

=

A



>

@

B

F

B

@

/

I





3





+ SOCKS hay Sockets Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ ( ( )- một cộng đồng các chuyên gia về network "

"

2

>

B

I

2

B

>

(

2

A



2

B

B

I

A

2

%



C







I

=

(

%



B



designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. SOCKS đã nhanh chóng trở hardware hay software được dùng rộng rãi nhưng thành một không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn), ngược lại là Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng B



=



>

C



























>

2









I





.





SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication)

5

và giải quyết hostname (DNS service). SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application. Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server. Vào http://www.socks.permeo.com/TechnicalResources/SOCKSFAQ/SOCKSGeneralFA Q/index.asp (Permeo Technologies' SOCKS Web site ), để tìm hiểu chi tiết về SOCKS và cac Applications tuân theo SOCKS Cũng cần xem thêm mô hình giao tiếp TCP/IP stack. 2. The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp. 3. Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache. 4. Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode. Lưu ý: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching) 5. Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts. mạng nội bộ vẫn đảm bảo an toàn, bởi vì giao tiếp được thông qua ISA. 6. Firewall service có thể được tăng cường chức năng hoạt động thông qua '

/

/

@

A

=

>

A

2





A

@

>

B

I

C



7. Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra. 8. Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client. Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts. 9. Firewall service cũng sử dụng kênh điều khiển để giao tiếp với và on trên UDP port 1745.







































































































6

10. Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn..(từ attacker networks v.vv) B



+



I



&



B

I

F

A

=

B

.



+



)








(

(



3





1. Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols. 





















































2. Web Proxy Service là một application level service phục vụ cho các và những ứng dụng này đã config để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau. Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số như trên Hình 



























































































7

sau đó click vào Advanced sẽ thấy

Trên minh họa này Internal Interface của ISA server là 192.168.1.200, và mở port 8080 (port mà Web Proxy Service trên ISA server tiếp nhận các yêu cầu từ các Web ) Proxy Clients hoặc nói chung là 












































Web Proxy Service tiếp nhận các yêu cầu đấn từ kể những Applications này được cài trên Hệ Điều hành nào. 






















































bất

3. Web proxy service vận hành như một quy trình trên Windows 2000 Server ( Win2k process) chính xác là W3proxy.exe). 4. ISA Server sẽ dùng các chức năng Secure Web publishing và Reverse hosting (tôi sẽ giải thích ở các phần tiếp theo) để gửi các yêu cầu đấn các 

B

/







@

A

C

0

A

2





( các Web server cho phép các Client ngoài Internet truy cập, vì lý do an toàn nên chúng phải nằm sau ISA server firewall, và phải dùng chức năng Web-publishing trên ISA Server để cung cấp truy, dùng Web-publishing không làm giảm độ an toàn của LAN) C

B

I

F

B

I

C

8

5. Web proxy service hỗ trợ SSL (secure socket layer) và Web (ISAPI) filters. 6. Web proxy service bao gồm luôn tính năng cache trên ISA server.

9