HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - Phần III

Cấu hình ISA Server như thế nào để có thể làm việc với 3 loại ISA Clients : SecureNAT Client, Web Proxy Client và Firewall Client. Những hướng dẫn về cách cấu hình ISA server và phân biệt các loại ISA Clients khác nhau, được sử dụng tùy những trường hợp khác nhau, có thể giúp các Admin tận dụng được những ưu điểm của ISA và triển khai hợp lý đúng với yêu cầu trên hệ thống Mạng của tổ chức mình.

Một số định nghĩa:

· Auto-detection:

Một tính năng trên ISA server (WPAD), cho phép trình duyệt Internet Explorer (phiên bản 5.0 trở lên), tự động cập nhật cấu hình thích hợp nhất cho mình để có thể làm việc được với ISA server

· DNS (Domain Name Services)

Service chạy trên một Computer có nhiệm vụ trả lời những yêu cầu truy vấn tên (hostname) ra IP address thực của các Internet Servers. ví dụ về một truy vấn tên, ISA Clients cần truy cập đến www.nis.com.vn hay mail.nis.com.vn (đây là một hostname, và hostname là kiểu tên duy nhất được dùng để mô tả về các Computer đang cung cấp các dịch vụ trên Internet)

· FQDN (Fully Qualified Domain Name):

Là Computer name, chỉ ra được cấu trúc logic của tên Computer gắn với Domain chứa Computer ấy. Ví dụ: www.security.net được xem xét về cấu trúc logic như sau: “Security.net” là Domain name, “www” là tên của Computer cung cấp Web service của Domain đó. Ngòai ra các .com, .net, .edu, .gov, .org ,v.vv.. là do các tổ chức quy định Internet Domain Name (ICANN,..) đưa ra.

· LAT Host:

Những Computer hoạt động bên trong Mạng nội bộ thông thường nằm trong danh sách LAT (Local Address Table), giúp ISA server phận biệt với các External Host. ISA server dùng NAT dể xử lý các LAT host này (thay các IP Address của LAT host bằng External IP address trên ISA server), trước khi thông tin được gửi ra ngoài.

· NetBIOS Name:

Cũng được gọi là Computer Name, được dùng phổ biến trong các Mạng nôi bộ (mô hình WORKGROUP các máy tình thường dùng Netbios name để giao tiếp với nhau, không dùng Hostname – chú ý: Hostname chỉ được dùng trong 2 trường hợp: Cho các server cung cấp dịch vụ trên Internet, và trong các hệ thống Domain nội bộ, như Active directory domain của Microsoft)

· Record:

Trong hệ thống DNS, và nằm trong DNS zone, các record chính là bản ghi cụ thể chỉ rõ một Host, một Mail server, một Web server hay Domain Controller, v.vv gắn liền với IP address ( hoặc ngược lại ghi IP adrress trước và Hostname sau) của những Server này, và là nhân tố chính phục vụ cho việc truy vấn tên từ Clients.

· Primary và Secondary Protocol:

Có những Server cung cấp chỉ một Network Service khi giao tiếp, có thể Service phải được vận hành trên nhiều Port (hay nói cách khác phục vụ trên nhiều connections cùng thời điểm cho dù chỉ cung cấp 1 service. Ví dụ Active FTP server service, chạy đồng thời trên 2 TCP ports: 21- thiết lập connection, và 20- truyền data (khác với Passive FTP chỉ mở TCP Port 21)

Trong ví dụ trên, Primary connection trên Active FTP server được thực hiện thông qua TCP Port 21, còn Secondary connection qua TCP port 20. Như vậy TCP 21 là Primary Protocol, còn TCP 20 là Secondary Protocol của Active FTP Server Application.

· TTL ( Time to Live)

Có đơn vị, được tính bằng giây, xác định thời gian cho một name record tồn tại trong DNS zone, trước khi name record này phải được refresh, để cập nhật thông số mới chính xác cho mình.

· WINS (Windows Internet Name Services)

Cũng là Sevice chuyên giải quyết các truy vấn tìm tên như DNS, ngoại trừ việc NAME được giải quyết trên WINS là NETBIOS NAME (dạng tên không phân tầng như Hostname, có chiều dài tối đa 16 kí tự - kí tự thứ 16 dùng để xác định dịch vụ mà Computer dùng NETBIOS name này cung cấp cho các Computer khác trên Mạng, ví dụ 1 record được đăng kí trong WINS server là SERVER <20> : Computer name là Server và kí tự Hexa cuối 20, xác định cho các Computer khác trên Mạng biết được 2 thông tin: Computer name là Server và dịch vụ mà máy này cung cấp là Fire and Print Sharing.

· WPAD (Windows Proxy Auto Detection)

Một tính năng trên ISA server dùng hỗ trợ cho Internet Explorer 5.0 (hoặc cao hơn). Khi được cấu hình thích hợp, nó cho phép I.E cập nhật tự động các thông số cấu hình cho mình.

Các chế độ hoạt động của ISA server:

· Cache :

Dịch vụ được cài đặt và vận hành là Caching Service. Nếu ISA server chỉ cài đặt ở chế độ này, đối tượng ISA client duy nhất mà nó phục vụ đó là Web Proxy client. Và chế độ này cũng khôgn hỗ trợ cho H.323 Gatekeeper service. ISA server hoạt động ở chế độ này chỉ cần cung cấp Web cache, cho nên chỉ cần 1 NIC Card.

· Firewall:

ISA server ở chế độ này là sự kết hợp của Firewall Service và Web Proxy service, và hoàn toàn không dính dáng gì đến Web Cache service. Tất cả các tính năng chính của ISA Server là nằm ở đây và tất cả các loại ISA Clients đều được hỗ trợ. ISA Server ở chế độ này yêu cầu ít nhất 2 NIC Cards- 1 External Card và 1 Internal Card dành cho LAT.

· Integrated:

Tích hợp trọn gói gồm đầy đủ các dịch vụ trên cộng lại (Web Proxy, Firewall và Web Caching service). Sự thực thì khác biệt giữ chế độ này và Firewall đó là Intergrated có thêm Web Caching service.


Các loại ISA Clients: (Sẽ được phân tích chi tiết ở phần 4)

· SecureNAT :

Chính là một LAT host (Client có cấu hình IP address bên trong Mạng nội bộ). trong một Mạng đơn giản thì SecureNAT Client có đường định tuyến duy nhất (default route / default gateway) ra Internet là qua ISA server, và nhận Default Gateway chính là IP address của ISA server Internal NIC. Trong một Mạng phức tạp hơn có thễ sẽ hơi khác, SecureNAT Clients sẽ nhận Default Gateway là các Interface của Router đứng phía sau ISA server, và nhiệm vụ cac Router này là chỉ đường đến Internal Interface trên ISA.

· Firewall:

Cũng là một LAT host, được cài đặt software ISA Firewall client, được enabled và các application trên Client sẽ dùng nó sau đó.


· Web Proxy:

Được cấu hình đơn giản thông qua một Application (IE hay các trình duyệt Web khác như Netscape.., hoặc các ứng dụng hỗ trợ (web-enabled application) như Yahoo Messenger v.vv, trên LAT host dùng các yêu cầu proxy gửi đến Outbound web listener trên ISA server ra Internet.

Cấu hình ISA Server:

Điều quan trọng là ISA server được Cấu hình đúng để phục vụ cho các loại ISA Client khác nhau. Nếu ISA Server gặp khó khăn khi giải quyết cho Client tìm Hostname, hay tiếp cận các dịch vụ Internet thì toàn bộ các Clients có thể bị tác động. Lập lại các cuộc kiểm tra cho ISA Server trong suốt quá trình cài đặt và cấu hình, để đảm bảo ISA Server có được cấu hình hợp lý nhất. Như vậy những thay đổi các thông số trong quá trình cấu hình sẽ được kiểm định chặt chẽ, và nếu có sai lầm, sẽ dễ dàng quay lại trang thái ban đầu.

· Outgoing Web Requests Listener:

Chức năng như một Web proxy. Yêu cầu Web proxy service (w3proxy) phải đang hoạt động , Outbound Web Requests Listener phải được config và được Enable. Xem và thay đổi thông số này, open ISA Management MMC, open Servers and Arrays, . Right-click và chọn Properties. Click Outgoing Web Requests tab.

Theo mặc định ISA Server enable Proxy service trên tất cả ISA internal IPs (trong các ví dụ trước là 192.168.1.200 và 127.0.0.1 (cái này dùng cho chính ISA Server nếu nó muốn trở thành Web Proxy Client của chính Web Proxy Service đang hoạt động trên nó), tại port 8080, setup mặc định của Proxy service này không liên quan đến hoạt động của các ISA Server mode khác như: Firewall, Integrated, Cache. Để disable Outgoing Web Requests listener, chỉ đơn giản chọn Configure listeners individually per IP address và không chọn bất kì IP address nào cho việc này.

· Auto Discovery listener: Đây là một trong những “éo le” cho những người yêu mến ISA server, khi họ muốn chạy IIS (web server) trên chính ISA Server, ngay cả khi IIS chỉ dùng Internal IPs. Xem hình các bạn sẽ thấy

Tình huống này chúng ta có 2 applications/services (WPAD functionsIIS Web service) phục vụ cho Clients trên cùng TCP Port, một cuộc cạnh tranh xảy ra và ai trong số 2 Service này có thể sẽ bị “thiệt thòi”. Thực chất TCP Port 80 được open trên ISA Server để cung cấp cho ISA Clients tính năng Automatic Discovery (WPAD functionality, có nghĩa là tự động dò tìm các thông số để connect đến Web Proxy Service hay ISA firewall Service ), nhưng những mô tả ở trên sẽ khiến cho Admin băn khoăn một chút khi dùng tính năng này.

Nếu không muốn Auto Discovery, không nên check Publish automatic discovery information. Như vậy Port 80 sẽ được giải phóng cho Internal IPs trên ISA Server

Lưu ý: ISA Server ở chế độ Web proxy server chỉ dùng duy nhất 1 NIC (Cache Mode)

· Site and Content Rules:

Những nguyên tắc được xác lập ở đây sẽ control những nội dung liên quan đến HTTP và FTP khi chúng chuyển đến Web Proxy Service (ví dụ khi ISA Clients truy cập 1 HTTP site nào đó, các nguyên tắc được xác lập ở Site and Content Rules sẽ xem xét các yêu cầu của ISA clients có hợp lệ hay không, nếu hợp lệ về nội dung cũng như đích đến, yêu cầu sẽ chuyển tiếp đến Web Proxy service và ra Internet….) Theo mặc định Site and Content Rules không ngăn cấm bất kì nội dung nào (Audio, image, video, applications, compressed file…), và bất kì Site nào khi yêu cầu gửi ra Internet. Do mặc định đã có Allow rule được thiết. Muốn ngăn chặn những Website/FTPsite Admin có thể tiến hành Deny tại đây, nhưng hãy xác lập cho chính xác, nếu không sẽ “bế quan tỏa cảng” tất cả.

· Protocol Rules:

Một trong những trung tâm đầu não của ISA Server. Việc cho phép các LAT hosts (Internal Clients) truy cập các tài nguyên Internet thông qua các Rule tại đây. Hình bên dưới chúng ta định nghĩa khá nhiều Protocols cho phép LAT hosts sử dụng. ví dụ nếu tôi không tạo rule có đánh dấu đỏ, các LAT hosts của tôi sẽ không thể truy cập được các HTTP Site.

· IP Routing:

Vấn đề kế tiếp, đảm bảo rằng các tất cả các luồng lưu thông SecureNAT Clients không bị ngăn trở (tất nhiên các rule tại Protocol rules ở trên phải cho phép điều này). ISA Server mặc định đã disabled “Enable IP Routing”. Khi được Enable ISA Server mới cho phép các ICMP (pings) từ LAT ra Internet.
Mở ISA Management MMC, tìm IP Packet Filtering. Right-click , chọn Properties và bạn sẽ thấy như trên hình

Xem thêm thông tin Enable IP Routing tại: http://support.microsoft.com/kb/q279347/

· HTTP Redirector:

Đây là nơi mà Admin có thể điều khiển ISA Firewall Clients và SecureNAT Clients khi các Clients này yêu cầu truy cập Web. Mở ISA Management MMC, chọn Servers and Arrays, Extensions, Application Filters. Right-click HTTP Redirector Filter, chọn Properties. Chọn Options tab Admin sẽ thấy như trên Hình

Như vậy tại đây các Admin có thể quyết định các yêu cầu truy cập Web của SecureNAT & Firewall client sẽ được kiểm soát như thế nào (Chú thích: Thông thường SecureNAT clients và ISA Firewall Clients sẽ làm việc trực tiếp với ISA Firewall Service cho tất cả các yêu cầu truy cập mọi dịch vụ Internet, thế nhưng ngoại trừ HTTP/FTP –Web request, thì HTTP Redirector sẽ chuyển đến Web Proxy service.

Ở hình trên các bạn cũng thấy xác lập “If the local service is unavailable…”, xác lập này có nghĩa là khi Web Proxy Service trên ISA Server không hoạt động, chuyển các yêu cầu Web đến trực tiếp Web Server “redirect requests to Requested Web Server” Điều này thuận lợi cho SecureNAT và Firewall clients vẫn tiếp cận được Internet mà không cần đếm xỉa gì đến Web Proxy filtering vốn đang NO ANSWER REQUESTS.
Nếu Admin check vào Send to requested Web Server , thì SecureNAT và Firewall Clients bỏ qua Web proxy service cho mọi yêu cầu Web, ở mọi thời điểm.

Tuy nhiên, check vào đây sẽ bỏ qua hết những thông số Proxy được xác lập trên trình duyệt IE/Netscape của Firewall và SecureNAT clients

Nếu check Reject HTTP requests from Firewall and SecureNAT clients khiến cho các Firewall và SecureNAT clients phải xác lập Web proxy settings tại trình duyệt nếu không muốn bị cấm cửa tất cả Web requests.

· Local Domain Table:

Bảng xác định các Internal Domain. Đây là thông tin then chốt cho cả trình duyệt IE và Firewall client. Bất cứ tên Domain nào đưa và bảng này 1 trong 2 khả năng có thể xảy ra như sau:

  1. Nếu Web Proxy và Firewall clients có dùng 1 DNS server để tìm tên thì chúng sẽ thông qua DNS server này để giải quyết mà không qua ISA service có chức năng liên quan.

  2. Web Proxy clients sẽ tạo yêu cầu trực tiếp đến bất cứ Server nào trong Domain đó, bỏ qua ISA proxy services.

Lưu ý: Cũng nhắc nhở luôn các Admin, tránh trường hợp DNS không thể phân biệt đâu là truy cập ra các Internet domain và đâu là truy cập domain nội bộ, thì khi tạo một Internal Domain tránh dùng các định dạng như Internet Domain đang dùng vd: congty.com thay vào đó có thể khác đi vd: Int.Domain.tld ( ở đây tôi đặt tên domain rất đặc thù cho tổ chức của tôi : Int.Domain với .tld thay vì các .com/net/edu/org phổ biến trên Internet hiện nay)

· Name Resolution:

Xác lập các thông số IP đúng cho ISA server tuyệt đối quan trọng Ít nhất, Admin phải cung cấp một DNS server cho ISA Server để ISA có thể giải quyết các Internet Server cho Web Proxy và Firewall clients, và cũng nên cung cấp cho ISA một internal DNS server phục vụ cho Internal Network, nếu Mạng là một Domain. ISA Server 2000 cài đặt trên Windows server 2000, và W2K Server mặc định được khuyến cáo dùng DNS là giải pháp truy vấn tên duy nhất chứ không phải dùng các giải pháp có thể gây “đau đầu” cho các Admin sau này như WINS (giải quyết NETBIOS name), và cách giải quyết tên “kinh điển” NETBIOS Broadcast. ISA Server cung cấp giải pháp tìm DNS name cho chính nó bằng cách tạo sẵn một DNS Lookup Packet Filter . Các Admin không nên Desabled chức năng này, vì nếu không ISA Server có thể không giải quyết chính xác các Internet DNS name

Web Proxy và Firewall DNS cache:
Web Proxy và Firewall services trên ISA server cung cấp một giải pháp tìm DNS name rất cơ bản dựa trên các xác lập TCP/IP mà Admin đã config trên các Network Card của ISA server. Chức năng cơ bản này sẽ giải quyết các yêu cầu tìm kiếm các Internet hostname cho Web và Firewall clients. Cơ chế lưu giữ các DNS name đã được giải quyết (DNS Name Cache) của ISA server khá thú vị, thời gian tồn tại của các DNS records đã cache (Time to Live of DNS Records) không phụ thuộc vào quy định từ các remote DNS server mà ISA server chuyển yêu cầu đến nhờ giải quyết, mà TTL này đã được ISA server quy định sẵn cho Web Proxy và Firewall DNS caches có tổng thời lượng là 6 giờ. Điều này khác hẳn với cơ chế làm việc của các DNS server caching only, những DNS server này khi chuyển yêu cầu giải quyết tên đến các DNS server khác, TTL của records được cache lại trên nó, phụ thuộc vào TTL từ các DNS server đóng vai trò người giải quyết truy vấn và bản thân nó chỉ đơn thuần là lưu giữ (cache) lại những gì đã được DNS server khác tìm. Các Admin muốn tham khảo các thông số về cơ chế cache DNS name của Web Proxy service và Firewall Service trên ISA server. Dùng lệnh REGEDIT tai menu RUN và tìm kiếm các entry như sau

Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

WWW.NEWHORIZONS.COM (New Horizons Computer Learning Centers)

Hồ Việt Hà

Training Manager

My Website (NIS.COM.VN- Network Information Securtiy, My Website Coming soon)

Thứ Hai, 01/08/2005 14:10
31 👨 1.434
0 Bình luận
Sắp xếp theo