Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 2

Quản trị mạngTrong phần hai loạt bài giới thiệu cách cấu hình một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Firewall, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề DNS cần thiết để giải pháp làm việc, thêm vào đó là việc cài đặt CSS và tạo các mảng ISA Firewall cho văn phòng chính và văn phòng chi nhánh.

Trong phần đầu tiên của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cơ sở hạ tầng mạng ví dụ và đã thảo luận về một số khái niệm trong việc tạo các VPN site to site.

Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 1

Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề DNS cần thiết để giải pháp làm việc, thêm vào đó là việc cài đặt CSS và tạo các mảng ISA Firewall cho văn phòng chính và văn phòng chi nhánh.

Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp động, add các entry DNS tĩnh (Host (A) Record) cho các mảng và ISA Firewall văn phòng chi nhánh.

Trước khi bắt đầu cài đặt CSS tại văn phòng chính và các mảng ISA Firewall, bước đầu tiên chúng ta cần thực hiện là cấu hình DNS server trên mạng công ty để từ chối các nâng cấp động. Chúng ta cần thực hiện điều đó để khi ISA Firewall chi nhánh kết nối với ISA Firewall văn phòng chính nó sẽ sử dụng địa chỉ IP ảo không được đăng ký trong DNS để thay thế cho địa chỉ IP bên trong có thực của ISA Firewall văn phòng chi nhánh. Điều này cũng tránh được việc ISA Firewall văn phòng chính đăng ký địa chỉ IP ảo của nó trong DNS.

Đây là một vấn đề hay xảy ra với các kết nối VPN site to site. Cho ví dụ, giả dụ bạn sử dụng Web proxy và Firewall client trên mạng văn phòng chính và các máy khách đó được cấu hình sử dụng tên của ISA Firewall để kết nối đến các dịch vụ Firewall và Web proxy của ISA Firewall. Mọi thứ làm việc tốt cho tới khi có kết nối site to site. Sau khi kết nối site to site được thiết lập, địa chỉ IP ảo của văn phòng chính sẽ tự đăng ký trong DDNS (Dynamic DNS). Lúc này khi Web proxy và Firewall client cố gắng kết nối đến ISA Firewall văn phòng chính, chúng sẽ cố gắng kết nối đến địa chỉ IP ảo của ISA Firewall văn phòng chính (địa chỉ RAS interface) và các kết nối từ Web proxy và Firewall client sẽ thất bại.

Một kịch bản khác khi đăng ký địa chỉ RAS interface ảo (IP ảo) nảy sinh vấn đề là khi ISA Firewall văn phòng chi nhánh cố gắng kết nối với CSS văn phòng chính. Khi kết nối site to site được thiết lập, ISA Firewall văn phòng chi nhánh sẽ đăng ký địa chỉ RAS interface ảo của nó trong CSS. CSS cố gắng truyền thông với mảng Firewall văn phòng chi nhánh bằng cách sử dụng địa chỉ này và kết nối sẽ thất bại.
Chúng ta có thể tránh được các vấn đề này bằng cách vô hiệu hóa DDNS trên DNS server. Bạn có thể đặt ra câu hỏi “Liệu chúng ta có cần thực hiện điều này vĩnh viễn không hay chỉ cần có một cách có thể cấu hình demand-dial interface để không cần đăng ký trong DDNS?” Câu trả lời là “có thể”.
Chúng ta cần tạo các Host (A) record trong DNS tích hợp Active Directory với các máy dưới đây:

  • isa2006se.msfirewall.org (10.0.0.1)
  • isa2006branch.msfirewall.org (10.0.1.1)
  • main.msfirewall.org (10.0.0.1)
  • branch.msfirewall.org (10.0.1.1)

Không cần nhập vào các bản ghi cho máy CSS hoặc domain controller là vì các máy này đã được cài đặt và được đăng ký trong DNS bằng DDNS. Chúng ta không phải lo lắng về các máy đó vì thông tin địa chỉ IP của chúng sẽ không thay đổi theo trạng thái kết nối của kết nối VPN site to site.
Trước khi tạo Host (A) record, bạn cần tạo một vùng tra cứ ngược cho network ID văn phòng chi nhánh. Trong ví dụ hiện hành của chúng tôi, network ID của văn phòng chi nhánh là 10.0.1.0/24. Thực hiện theo các bước dưới đây để tạo vùng tra cứu ngược:

  1. Trong Domain controller, kích Start, sau đó trỏ đến Administrative Tools. Kích DNS.
  2. Trong giao diện điều khiển DNS management, mở máy chủ và kích nút Reverse Lookup Zones.
  3. Kích phải vào nút Reverse Lookup Zone và kích New Zone.
  4. Trong trang Welcome to the New Zone Wizard, kích Next.
  5. Trong trang Zone Type, chọn tùy chọn Primary Zone và kích Next.


Hình 1

  1. Trong trang Active Directory Zone Replication Scope, chọn tùy chọn To all DNS servers in the Active Directory domain msfirewall.org. Chúng ta chọn tùy chọn này vì chỉ có một miền (domain) trong tổ chức. Nếu có nhiều domain, bạn có thể tạo bản sao của vùng tra cứu ngược này cho tất cả các máy chủ DNS trong forest. Kích Next.


Hình 2

  1. Trong trang Reverse Lookup Zone Name, chọn tùy chọn Network ID và nhập vào network ID cho văn phòng chi nhánh trong hộp văn bản. Trong ví dụ này, network ID của văn phòng chi nhánh là 10.0.1.0/24, vì vậy chúng ta sẽ nhập vào 10.0.1 và kích Next.


Hình 3

  1. Trong trang Dynamic Update, chọn tùy chon Allow only secure dynamic updates (recommend for Active Directory). Kích Next.


Hình 4

  1. Kích Finish trong trang Completing the New Zone Wizard.
  2. Bạn sẽ thấy vùng mới trong phần panel bên trái của giao diện DNS management.

Hình 5

Giờ đây chúng ta đã sẵn sàng cho việc tạo Host (A) record. Sử dụng thủ tục dưới đây để add các Host (A) record vào DNS:

  1. Trong máy Domain controller, kích Start, trỏ đến Administrative Tools và kích DNS.
  2. Trong giao diện DNS management, mở máy chủ, sau đó kích nút Forward Lookup Zones. Kích vào nút msfirewall.org.
  3. Kích phải vào nút msfirewall.org và kích lệnh New Host (A).
  4. Trong hộp thoại New Host, nhập vào tên của máy chủ trong phần Name (uses parent domain name if blank). Trong ví dụ này, chúng tôi sẽ nhập vào tên của ISA Firewall văn phòng nhánh, đó là isa2006branch. FQDN sẽ xuất hiện trong hộp Fully qualified domain name (FQDN). Nhập vào địa chỉ IP bên trong của ISA Firewall văn phòng chi nhánh trong hộp văn bản IP address. Trong ví dụ này, địa chỉ IP của ISA Firewall văn phòng chi nhánh là 10.0.1.1, vì vậy chúng ta sẽ nhập địa chỉ đó vào hộp văn bản. Kích Add Host.


Hình 6

  1. Để mở hộp thoại Add Host để cho phép bạn nhập thêm các entry Host (A). Nhập tên và thông tin địa chỉ IP cho các entry được lưu ý trong danh sách ở trên cho ISA Firewall nội bộ, cũng như mảng.
  2. Sau khi nhập vào các bản ghi, kích Cancel trong hộp thoại New Host.
  3. Danh sách của bạn cần phải giống như hình bên dưới.


Hình 7

  1. Lúc này chúng ta cần load các entry này vào cơ sở dữ liệu DNS. Có thể thực hiện điều này bằng cách khởi động lại máy chủ DNS. Trong DNS console, kích phải vào tên máy chủ và trỏ đến All Tasks, kích Restart.

Hình 8

Để kết thúc việc cấu hình DNS, chúng ta cần vô hiệu hóa các nâng cấp động (tối thiểu là tạm thời). Trong phần panel bên trái của giao diện DNS, kích entry msfirewall.org trong nút Forward Lookup Zones. Kích phải vào nút msfirewall.org và kích Properties.

Trong hộp thoại Properties, kích tab General. Trong tab General, chọn tùy chọn None từ danh sách sổ xuống Dynamic updates. Kích OK. Không cần khởi động lại dịch vụ DNS để tùy chọn này có hiệu lực. Tối thiểu cửa sổ giao diện DNS.


Hình 9

Cài đặt CSS trên máy CSS chuyên dụng

Giờ đây bước quan trọng trong thiết lập DNS đã được hoàn tất, chúng ta cần chuyển sang bước tiếp theo, đây là bước cài đặt CSS trên máy tính CSS chuyên dụng. Tuy có thể cài đặt CSS trên một Domain controller hoặc thậm chí trên bản thân mảng ISA Firewall, nhưng cấu hình tốt nhất và an toàn nhất là đặt CSS trên thiết bị chuyên dụng.

Trong cài đặt lý tưởng, CSS được đặt trên một đoạn mạng bảo mật chuyên dụng, không có các máy tính khác và không có lưu lượng nào được phép truy cập đến máy tính CSS từ bất cứ đoạn mạng khác, bằng cách sử dụng ISA Firewall chúng ta có thể bảo vệ CSS trước tất cả các máy khác. Mặc dù vậy, để đơn giản hóa mọi thứ trong loạt bài này, chúng tôi không thiết lập mọi thứ theo cách đó.

Thực hiện theo các bước sau để cài đặt CSS trên máy tính CSS chuyên dụng:

  1. Đặt ISA 2006 CD vào máy tính. Nếu hệ thống không tự khởi chạy CD, hãy kích đúp vào file ISAAutorun.exe để khởi chạy menu autorun.
  2. Trong menu autorun, kích vào liên kết Install ISA Server 2006.
  3. Kích Next trong trang Welcome to the Installation Wizard for Microsoft ISA Server 2006
  4. Chọn tùy chọn I accept the terms in the license agreement trên trang License Agreement và kích Next.
  5. Nhập vào thông tin khách hàng của bạn trong trang Customer Information và kích Next.
  6. Trong trang Setup Scenarios, chọn tùy chọn Install Configuration Storage Server và kích Next.


Hình 10

  1. Kích Next trong trang Component Selection.


Hình 11

  1. Trong trang Enterprise Installation Options, chọn tùy chọn Create a new ISA Server enterprise. Tùy chọn này cho phép bạn tạo một new enterprise. Ngược lại, tùy chọn Create a replica of the enterprise configuration cho phép bạn copy một ISA Firewall enterprise đang tồn tại, copy này có thể được sử dụng như một CSS backup phòng khi CSS chính gặp sự cố. Trong ví dụ này, chúng ta cần tạo một new enterprise sẽ có tất cả các mảng của mình. Kích Next.


Hình 12

  1. Trong trang New Enterprise Warning, bạn sẽ thấy các thông tin về giá trị trong việc sử dụng một enterprise để quản lý tất cả các mảng. Kích Next.


Hình 13

  1. Trong trang Create New Enterprise, nhập vào tên cho ISA Firewall enterprise mới trong hộp tên Enterprise name. Trong ví dụ này, chúng ta sẽ sử dụng tên Enterprise. Bạn có thể nhập vào phần mô tả cho ISA Firewall enterprise này trong hộp Description. Kích Next.


Hình 14

  1. Trong hộp thoại Enterprise Deployment Environment, bạn cần chọn giữa hai tùy chọn triển khai trng cùng một miền hay trong cùng một workgroup. Để tốt nhất cho vấn đề bảo mật ISA Firewall cũng như dễ dàng cấu hình bạn nên chọn là một phần của cùng một miền. Vậy chúng ta sẽ thực hiện với tùy chọn tốt nhất.
Do chúng ta sẽ triển khai một cấu hình an toàn, các thành viên ISA Firewall và CSS là một phần trong cùng miền, vì vậy hãy chọn tùy chọn I am deploying in a single domain or in domains with trust relationships. Kích Next.


Hình 15

  1. Trong trang Ready to Install the Program, kích Next.


Hình 16

  1. Thanh bar tiến trình sẽ thể hiện trạng thái của cài đặt và những hành động gì bộ cài đặt đang thực hiện tại một thời điểm nào đó.


Hình 17

  1. Trong trang Installation Wizard Completed, tích vào mục Invoke ISA Server Management when the wizard closes và kích Finish.

Hình 18

Tạo các mảng và cấu hình trạm quản lý doanh nghiệp (Enterprise Management Station)

Lúc này chúng ta đã sẵn sàng cho việc tạo các mảng cho các văn phòng chính và chi nhánh. Mảng ở chính là một bộ các ISA Firewall hành động như một tường lửa logic, trong đó tất cả chúng đều có cùng một chính sách và cấu hình. Một mảng ISA Firewall có thể gồm có từ 1 đến 32 máy chủ. Tối thiểu một interface trên mỗi thành viên mảng ISA Firewall phải nằm trên cùng network ID như tất cả các thành viên khác của mảng ISA Firewall trong cùng một mảng ISA Firewall, interface này được sử dụng cho truyền thông mảng bên trong. Trong thực tế, điều này có nghĩa rằng bạn không thể mở rộng các mảng cho toàn bộ các liên kết WAN hoặc VPN site to site, vì tất cả các interface trong văn phòng từ xa sẽ nằm trên một network ID khác với network ID tại văn phòng chính.

Trong ví dụ được sử dụng trong loạt bài này, chúng ta sẽ có hai mảng: mảng văn phòng chính có tên Main và mảng cho văn phòng chi nhánh có tên Branch. Chúng ta hoàn toàn có thể tạo nhiều mảng văn phòng chính và nhiều mảng văn phòng chi nhánh và mỗi mảng có thể có chứa đến 32 thành viên. Tuy nhiên trong thực tế, các văn phòng chi nhánh thường chứa điển hình một thành viên mảng, còn văn phòng chính và các văn phòng chi nhánh lớn có thể chứa từ 2 đến 32 máy chủ thành viên.

Một trong những thuận lợi lớn nhất trong việc sử dụng nhiều thành viên mảng là CARP và cơ chế cân bằng tải mạng NLB cho phép bạn đạt được mức hiệu quả thông lượng bằng tổng số thành viên mảng trên thời gian mà tốc độ liên kết có sẵn cho mỗi thành viên mảng.

Cho ví dụ, với sự thanh tra dữ liệu động, một ISA Firewall được cấu hình điển hình có thể cho qua lưu lượng với tốc độ xấp xỉ 1.5Gbps. Nếu bạn có một mảng văn phòng chính có chứa 5 thành viên mảng, thông lượng qua mảng sẽ là 7.5Gbps. Hãy tính chi phí cho một tường lửa phần cứng có thông lượng 7.5Gbps và đem so nó với giá thành của một mảng 5 thành viên.

Bạn sẽ thấy ấn tượng về việc tiết kiệm chi phí cũng như khả năng thay thế các thành phần với giá cả phải chăng.

Chúng ta hãy quay trở lại với giao diện điều khiển ISA Firewall. Sau khi kích Finish ở trang cuối cùng của wizard cài đặt, giao diện ISA Firewall sẽ mở như một trang web bảo mật. Thực hiện các bước sau để add CSS vào các trạm Enterprise Remote Management trong chính sách doanh nghiệp:

  1. Đọc trang Protect the ISA Server Computer và sau đó đóng nó.
  2. Trong giao diện điều khiển ISA Firewall, mở nút Enterprise, sau đó mở nút Enterprise Policies. Kích nút Default Policy.


Hình 19

  1. Kích tab Toolbox trong Task Pane. Kích tiêu đề Network Objects. Kích thư mục Computer Sets, sau đó kích đúp vào entry Enterprise Remote Management.


Hình 20

  1. Trong hộp thoại Enterprise Remote Management Computers Properties, kích nút Add và kích entry Computer.


Hình 21

  1. Trong hộp thoại New Computer Rule Element, nhập vào tên cho máy CSS, đây là máy cũng hoạt động như một trạm quản lý từ xa. Chúng ta sẽ đặt tên cho máy tính này là CSS và nhập vào tên của nó vào hộp Name. Trong hộp Computer IP Address, nhập vào địa chỉ IP của máy CSS. Trong ví dụ của chúng ta, địa chỉ IP là 10.0.0.3. Nhập vào phần mô tả cho máy đó trong hộp Description (optional). Kích OK trong hộp New Computer Rule Element.


Hình 22

  1. Kích OK trong hộp Enterprise Remote Management Computers Properties.
  2. Kích Apply để lưu các thay đổi và nâng cấp chính sách tường lửa. Kích OK trong hộp Apply New Configuration.

Lúc này chúng ta cần tạo các mảng. Sẽ có hai mảng trong kịch bản này: một mảng văn phòng chính và một mảng văn phòng chi nhánh. Cả hai mảng sẽ được quản lý trong cùng ISA Firewall enterprise và đều có thể sử dụng các chính sách doanh nghiệp tập trung. Thực hiện theo các bước dưới đây để tạo mảng Main:

  1. Trong phần panel bên trái của giao diện điều khiển ISA Firewall, kích phải vào nút Arrays. Kích lệnh New Array.


Hình 23

  1. Trong hộp Welcome to the New Array Wizard, nhập vào tên cho mảng trong hộp Array name. Trong ví dụ này, chúng ta sẽ đặt tên cho mảng là Main. Kích Next.


Hình24

  1. Trong hộp Array DNS Name, nhập vào một FQDN để phân biệt tên mảng. Điều này hết sức hữu dụng khi bạn sử dụng NLB hoặc client side CARP để cân bằng tải. Trong ví dụ này, chúng ta sẽ sử dụng tên main.msfirewall.org để phân giải địa chỉ IP của interface bên trong của office ISA Firewall văn phòng chính. Nếu đã kích hoạt NLB, tên này sẽ phân giải thành một VIP bên trong, và nếu sử dụng client side CARP, chúng ta sẽ có các bản ghi Host (A) cho tên này và sử dụng DNS round robin cho việc phân phối các kết nối ban đầu để nhận thông tin. Kích Next.


Hình 25

  1. Trong trang Assign Enterprise Policy, chọn tùy chọn mặc định, Default Policy. Sau đó chúng ta sẽ nghiên cứu tỉ mỉ cách sử dụng các chính sách doanh nghiệp có thể áp dụng cho tất cả các mảng được quản lý bởi cùng một ISA Firewall enterprise. Kích Next.


Hình 26

  1. Trong trang Array Policy Rule Types, bạn có thể điều khiển tập trung cho một số kiểu rule được cấu hình bởi các quản trị viên mảng. Để các thiết lập mặc định “Deny” Access Rules, “Allow” Access Rules and Publishing rules (Deny and Allow) đã kích hoạt và kích Next.


Hình 27

  1. Kích Finish trong trang Completing the New Array Wizard.


Hình 28

  1. Thanh bar tiến trình Creating a new array xuất hiện khi mảng được tạo.


Hình 29

  1. Kích OK sau khi The new array was successfully created xuất hiện.


Hình 30

  1. Kích Apply để lưu những thay đổi và nâng cấp chính sách tường lửa. Kích OK trong hộp Apply New Configuration.

Chúng ta hãy tạo mảng văn phòng chi nhánh:

  1. Kích phải vào nút Arrays và kích New Array.


Hình 31

  1. Nhập Branch vào hộp Array name. Kích Next.


Hình 32

  1. Nhập branch.msfirewall.org vào hộp Array’s DNS name. Tên này sẽ phân giải thành địa chỉ IP trong trên ISA Firewall văn phòng chi nhánh. Kích Next.


Hình 33

  1. Chấp nhận entry Default Policy trong trang Assign Enterprise Policy và kích Next.


Hình 34

  1. Chấp nhận các thiết lập mặc định trong trang Array Policy Rule Types và kích Next.


Hình 35

  1. Kích Finish trong trang Completing the New Array Wizard.


Hình 36

  1. Thanh trạng thái chỉ thị tiến trình đang trong quá trình tạo mảng mới.


Hình Hình 37

  1. Kích OK khi bạn thấy The new array was successfully created.


Hình 38

  1. Kích Apply để lưu những thay đổi và cập nhật chính sách tường lửa. Kích OK trong hộp Apply New Configuration.

Một thứ cuối cùng cần thực hiện trước khi kết thúc. Kích vào liên kết phía trên trong phần panel giữa có liên quan đến chương trình cải thiện cảm nhận khách hàng. Bạn sẽ được đưa đến hộp Customer Feedback. Bạn nên tham gia vào chương trình này vì nó sẽ giúp nhóm sản phẩm của ISA Firewall hiểu được cách bạn sử dụng ISA Firewall như thế nào và biết cách đáp trả các vấn đề mà bạn có thể gặp phải với ISA Firewall. Các thông tin nào sẽ được gửi đến Microsoft và kết quả cuối cùng sẽ làm một sản phẩm ISA Firewall ổn định hơn, an toàn hơn cho bạn và bất cứ ai sử dụng ISA Firewall.


Hình 39

Kết luận

Trong phần này, chúng ta đã cấu hình DNS server với Host (A) record để hỗ trợ giải pháp. Sau khi cấu hình DNS, chúng ta đẫ cài đặt CSS trên máy CSS chuyên dụng và cấu hình các mảng văn phòng chính cũng như văn phòng chi nhánh. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho bạn cách tạo một answer file và sau đó sử dụng nó cho việc tạo kết nối VPN site to site, tiếp đó là join ISA Firewall văn phòng chi nhánh vào miền và CSS văn phòng chính.

Thứ Ba, 30/03/2010 08:50
31 👨 2.682
0 Bình luận
Sắp xếp theo