Tạo VPN Site-to-site trên ISA 2006 (Phần 1)
Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Tạo VPN Site-to-site trên ISA 2006 (Phần 3)
Tạo VPN Site-to-site trên ISA 2006 (Phần 4)
Tạo VPN Site-to-site trên ISA 2006 (Phần 5)
Bắt đầu với các thiết lập cấu hình nâng cao dùng để liên kết Domain Controller branch office với Domain Controller main office trong các liên lạc nội miền.
Trong năm phần đầu của loạt bài cách tạo VPN Site-to-Site giữa các ISA Firewall main office và branch office, chúng ta đã tập trung vào các vấn đề liên quan đến tạo, quản lý bản thân kết nối VPN Site-to-Site. Bây giờ, khi đã có chi tiết về kết nối VPN Site-to-Site được tạo, chúng ta có thể điều chỉnh để có được mức bảo mật cao hơn so với “bộ tập trung” VPN thông thường hay “ổ cứng” cổng vào mạng riêng ảo (VPN gateway).
Đầu tiên chúng ta nên bắt đầu với đặc quyền tối thiểu trong cấu hình ISA Firewall branch office cho máy tính chi nhánh, nhằm hỗ trợ các liên lạc nội miền giữa Domain Controller branch office và Domain Controller main office. Cấu hình ISA Firewall branch office hỗ trợ cho Domain Controller main office là một ví dụ hay, vì chúng ta cần một số bước cấu hình khác nữa mới giúp Domain Controller branch office hoạt động được.
Một số bước sau có thể gọi là tương đối hoàn chỉnh:
- Ngưng hoạt động DDNS trên các giao diện demand-dial và các máy Main Office, Branch Office ISA Firewall.
- Cho phép sử dụng DDNS trên msfirewall.org Forward and Reverse Lookup Zone.
- Tạo các quy tắc chấp nhận (Access Rule) liên lạc nội miền trên Branch Office ISA Firewall.
Ngưng hoạt động DDNS trên các giao diện Demand-dial và các máy Main, Branch Office ISA Firewall
Bạn có thể nhớ lại rằng, trong phần một hoặc phần hai của loạt bài này, chúng ta có đề cập đến việc ngưng hoạt động DDNS trên msfirewall.org forward lookup zone. Có lẽ bạn cũng nhớ vì sao chúng ta thực hiện điều đó? Là bởi chúng ta không muốn ISA Firewall ở cả văn phòng chính và văn phòng chi nhánh đăng ký địa chỉ IP giao diện demand-dial trên DNS. Khi các giao diện demand-dial đăng ký với DDNS, nó có nhiều vấn đề rắc rối sẽ diễn ra, vì các client xử lý tên của ISA Firewall thông qua địa chỉ giao diện deman-dial thay vì địa chỉ IP thực.
Trong hai bài đầu, một câu hỏi đặt ra là liệu chúng ta có thực sự cần ngắt DDNS? Liệu có cách nào tốt hơn không, có thể giúp chúng ta cấu hình để tự các giao diện deman-dial không cần phải đăng ký địa chỉ trong DDNS? Vì khá là bất tiện khi ngưng sử dụng DDNS trên DNS server, thậm chí còn là phi thực tế.
Một tin tốt là chúng ta có thể tự động ngắt quá trình đăng ký DNS trên các giao diện demand-dial cho cả ISA Firewall main office và ISA Firewall branch office thông qua sử dụng RRAS console. Nói chung, chúng ta cần tránh thực hiện các thay đổi cấu hình VPN trên ISA Firewall bằng RRAS console, vì các thiết lập này có thể ghi đè lên thay đổi trong RRAS. Nhưng đáng mừng là, hiện nay chúng ta có thể thay đổi thông tin đăng ký DDNS cho giao diện demand-dial để chúng không ghi đè lên cấu hình ISA Firewall VPN.
Thực hiện các bước sau trên ISA Firewall main office:
- Vào Start, trỏ tới Administrative Tools và kích Routing and Remote Access.
- Trong cửa sổ Routing and Remote Access, mở rộng nút tên server.
- Kích lên nút Network Interfaces ở khung bên trái. Bấm phải chuột lên Branch ở khung bên phải và chọn Properties.
Hình 1
- Trong hộp thoại Branch Properties, kích vào tab Networking và ấn nút Properties.
Hình 2
- Trên hộp thoại Internet Protocol (TCP/IP) Properties, kích nút Advanced.
Hình 3
- Trong hộp thoại Advanced TCP/IP Settings, kích chuột lên tab DNS. Trên tab DNS, bỏ dấu chọn khỏi ô Register the connection’s addresses in DNS. Bấm OK.
Hình 4
- Bấm OK trong hộp thoại Internet Protocol (TCP/IP) Properties. Bấm OK tiếp trên hộp thoại Branch Properties. Nếu giao diện demand-dial hiện thời được kết nối, hộp thoại sẽ đưa ra thông báo rằng các thay đổi chưa có tác dụng, phải chờ tới lần kết nối sau.
- Đóng console Routing and Remote Access.
Thực hiện các bước sau trên ISA Firewall branch office:
- Vào Start, trỏ tới Administrative Tools và kích chuột lên Routing and Remote Access.
- Trong cửa sổ Routing and Remote Access, mở rộng tên server.
- Kích chuột lên nút Network Interfaces ở khung bên trái. Bấm phải chuột trên điểm vào Branch ở khung bên phải và chọn Properties.
Hình 5
- Trong hộp thoại Main Properties, kích vào tab Networking và sau đó là nút Properties.
Hình 6
- Trên hộp thoại Internet Protocol (TCP/IP) Properties, kích vào nút Advanced.
Hình 7
- Trong hộp thoại Advanced TCP/IP Settings, chọn tab DNS. Trên tab DNS, bỏ dấu chọn trong ô Register the connection’s addresses in DNS. Kích OK.
Hình 8
- Kích OK trong hộp thoại Internet Protocol (TCP/IP) Properties. Kích OK tiếp trong hộp thoại Branch Properties. Nếu giao diện deman-dial hiện thời được kết nối, hộp thoại có thể sẽ đưa ra thông báo rằng các thay đổi chưa có tác dụng, phải chờ lần kết nối tiếp theo của deman-dial.
- Đóng console Routing and Remote Access.
- Khởi động lại cả ISA Firewall main office và ISA Firewall branch office và chờ kết nối VPN Site-to-Site demand-dial được thiết lập.
Cho phép sử dụng DDNS trên msfirewall.org Forward and Reverse Lookup Zone
Bây giờ, vấn đề với các giao diện demand-dial đã được giải quyết, chúng ta có thể cho phép sử dụng DDNS trên miền msfirewall.org. DDNS nhìn chung rất hữu ích, đặc biệt là trong lĩnh vực cụ thể: tự động đăng ký tất cả domain branch office Domain Controller liên quan đến các bản ghi DNS trong main office DNS. Chúng ta có thể tự tạo “thủ công” các bản ghi này, nhưng có thể sẽ mắc phải nhiều vấn đề về quản trị và làm tăng thêm mức độ nguy hiểm khi gây ra lỗi.
Đăng nhập Domain Controller ở văn phòng chính và thực hiện các bước sau:
- Vào Start > Administrative Tools > DNS.
- Trong console DNS, mở rộng tên server, sau đó mở rộng nút Forward Lookup Zones.
- Kích vào msfirewall.org và chọn Properties.
Hình 9
- Trong hộp thoại msfirewall.org Properties, chọn tab General. Trên tab General, kích vào nút xuống trong danh sách Dynamic updates và chọn Secure only. Tuỳ chọn này chỉ cho phép các thành viên miền mới được nhập thông tin vào trong DDNS. Kích OK.
Hình 10
- Kích phải chuột lên tên server DNS ở khung bên trái console và trở tới All Tasks, sau đó ấn Restart.
Hình 11
Tạo Quy tắc truy cập liên lạc nội miền (Intra-domain Communication Access Rule) trên Branch Office ISA Firewall
Với nền tảng trên, bây giờ chúng ta có thể chuyển sang cấu hình ISA Firewall. Điều đầu tiên chúng ta cần làm là tạo một quy tắc, cho phép branch office Domain Controller sử dụng các giao thức nội miền cần thiết cho hoạt động liên lạc trong miền với các Domain Controller khác. Ở ví dụ này chúng ta sẽ thực hiện với một Domain Controller ở main office.
Bảng bên dưới là một số thiết lập Access Rule cho các giao thức nội miền thông thường:
Name | Branch DC > Main DC |
Action | Allow |
Protocols | Microsoft CIFS (TCP 445) DNS Kerberos-Adm(UDP) Kerberos-Sec(TCP) Kerberos-Sec(UDP) LDAP (TCP) LDAP (UDP) LDAP GC (Global Catalog) RPC (all interfaces) NTP Ping |
From | Branch Office DC |
To | Main Office DC |
Users | All |
Schedule | Always |
Content Types | All content types |
Bảng 1: Các giao thức cần thiết cho liên lạc nội miền.
Ở đây nên chú ý một điểm là, phương thức này không chỉ cho phép thực hiện liên lạc nội miền từ Domain Controller ở văn phòng chi nhánh tới Domain Controller ở văn phòng chính. Phương thức này còn tập trung vào điều khiển lưu lượng chuyển từ chi nhánh tới trụ sở chính với giả sử rằng tất cả lưu lượng đều được phép chuyển từ văn phòng chính tới văn phòng chi nhánh. Đây không phải là phương thức tối ưu (chúng ta sẽ thay đổi Access Rule main office sau), nhưng nó lại được xem là phương thức tốt nhất cho điều khiển truy cập: khu vực có mức nguy hiểm cao hơn là văn phòng chi nhánh, do đó chúng ta sẽ quan tâm nhiều tới việc điều khiển hoạt động chuyển đổi giữa văn phòng chi nhánh và trụ sở chính.
Mặt khác, bạn có thể thiết lập chính sách truy cập ở trụ sở chính và tập trung quan tâm tới ISA Firewall main office, tạo Acess Rule ở đó để điều khiển những thứ có thể tới từ các phòng chi nhánh.
Phương thức thích hợp nhất và linh hoạt nhất cho điều khiển truy cập giữa văn phòng chi nhánh và trụ sở chính là dùng Enterprise Policies. Khi tạo một Enterprise Policy, bạn có thể gán từng chính sách cho một mảng, thể hiện từng chương trình cài đặt branch office. Điều này giúp đơn giản hoá đi nhiều lần việc quản lý firewall policy cho các chi nhánh. Vì bạn có thể chỉ cần thực hiện các thay đổi một lần, sau đó chúng được tự động phổ biến cho tất cả mọi mảng branch office.
Trong ví dụ này, chúng ta sẽ dùng một Enterprise Policy để giải thích cách các Enterprise Policy hoạt động.
Bước đầu tiên là tạo một Enterprise Policy mới. Chúng ta cần tạo mới bởi không thể thực hiện bất kỳ thay đổi nào trên Enterprise Policy mặc định. Sau đó là tạo một Access Rule, có thể áp dụng được cho tất cả các mảng Enterprise Policy được định nghĩa. Bước cuối cùng là kết nối Enterprise Policy với mảng ISA Firewall branch office.
Thực hiện các bước sau trên máy CSS để tạo Enterprise Policy:
- Trên máy CSS tại mạng ở trụ sở chính, mở ISA Firewall console.
- Trong ISA Firewall console, mở rộng nút Enterprise, sau đó là nút Enterprise Policies. Bấm phải chuột lên nút Enterprise Policies, trỏ tới New và kích Enterprise Policy.
Hình 12
- Trên trang Welcome to the New Enterprise Policy Wizard, nhập tên cho Enterprise Policy trong ô Enterprise Policy. Ở ví dụ này chúng ta sẽ đặt tên cho chính sách là Branch Policy. Kích Next.
Hình 13
- Bấm Finish trên trang Completing the New Enterprise Policy Wizard.
Hình 14
- Di chuột lên nút Branch Policy trong khung bên trái console, sau đó chọn tab Tasks trong Task Pane. Trên Task Pane, kích chuột lên tuỳ chọn Create Enterprise Access Rule.
- Trên trang welcome to the New Access Rule Wizard, nhập tên cho quy tắc trong ô Access Rule name. Ở ví dụ này, chúng ta sẽ tạo một Access Rule cho phép các Domain Controller chi nhánh kết nối tới Domain Controller tại văn phòng chính. Do đó chúng ta sẽ đặt tên quy tắc là Branch DCs >5 Main DC. Kích Next.
Hình 15
- Trên trang Rule Action, chọn tuỳ chọn Allow và kích Next.
Hình 16
- Trên trang Protocols, kiểm tra lại rằng tuỳ chọn Selected protocols đã được chọn từ danh sách sổ xuống của this rule applies to. Sau đó ấn nút Add. Trong hộp thoại Add Protocols, bấm chọn thư mục All Protocols. Kích đúp lên một trong các giao thức có trong danh sách của bảng 1 ở trên. Ấn Close.
Hình 17
- Kích Next trong trang Protocols.
Hình 18
- Trên trang Access Rule Sources, kích vào nút Add. Trong hộp thoại Add Network Entities, kích vào menu New, sau đó là Computer Set. Trong hộp thoại New Computer Set Rule Element, nhập Branch Office DCs vào ô Name.
Hình 19
- Kích vào nút Add trong hộp thoại New Computer Set Rule Element và ấn chuột lên Computer trong danh sách.
Hình 20
- Trong hộp thoại New Computer Rule Element, nhập tên máy tính ở chi nhánh trong ô Name. Trong ví dụ của chúng ta, tên máy tính được đặt là Branch1 DC, giúp chúng ta phân biệt được DC này với các DC ở chi nhánh khác. Nhập địa chỉ IP của Domain Controller nhánh trong ô Computer IP Address, ở ví dụ này là 10.0.1.2. Kích OK.
Hình 21
- Kích OK trong hộp thoại New Computer Set Rule Element.
Hình 22
- Trong hộp thoại Add Network Entities, bấm chuột lên thư mục Computer Sets và kích đúp lên Branch Office DCs. Ấn Close trong hộp thoại Add Network Entities.
Hình 23
- Kích Next trong trang Access Rule Sources.
Hình 24
- Trên trang Access Rule Destinations, ấn nút Add. Trong hộp thoại Add Network Entities, kích vào menu New và ấn chọn Computer.
Hình 25
- Trong hộp thoại New Computer Rule Element, nhập tên cho máy tính trong ô Name. Ở ví dụ này chúng ta sẽ nhập tên của Domain Controller ở văn phòng chính, do đó chúng ta sẽ đặt tên cho nó là Main Office DC. Nhập địa chỉ IP cho Domain Controller main office trong ô Computer IP Address và kích OK.
Hình 26
- Trong hộp thoại Add Network Entities, chọn thư mục Computers và kích đúp lên Main Office DC. Kích Close.
Hình 27
- Bấm Next trên trang Access Rule Destinations.
Hình 28
- Trên trang User Sets, chấp nhận thiết lập mặc định All Users. Lý do chúng ta cần cho phép tất cả người dùng là bởi các Domain Controller này không quy định người dùng đăng nhập. Muốn thẩm định, bạn cần Firewall Client. Firewall Client không đượ cài đặt trên Domain Controller. Kích Next.
- Kích Finish trên trang Completing the New Access Rule Wizard.
- Bấm Apply để ghi lại các thay đổi và update firewall policy. Kích OK trong hộp thoại Apply New Configuration.
Bây giờ, Enterprise Policy đã được cấu hình, bước tiếp theo là gắn Enterprise Policy với mảng chi nhánh. Tới thời điểm hiện tại, Enterprise Policy mặc định đã được gắn với mảng branch office. Chúng ta sẽ thay đổi một số thứ để Branch Policy được gắn vào mảng này.
Thực hiện các bước sau:
- Trong console ISA Firewall, mở rộng nút Arrays và kích lên nút Branch. Kích phải chuột lên Branch và chọn Properties.
Hình 29
- Trong hộp thoại Branch Properties, chọn tab Policy Settings. Trên tab Policy Settings, ấn vào nút xuống trong danh sách Enterprise policy. Chọn tuỳ chọn Branch Policy. Tuỳ chọn này sẽ nhập và áp dụng các quy tắc định nghĩa trong Enterprise Policy vào chính sách mảng. Loại bỏ các ô checkbox của Publishing rule (“Deny” and “Allow”) để các quy tắc Web và Server Publishing không thể được tạo tại chi nhánh vì một số lý do an toàn. Bấm OK.
Hình 30
- Mở rộng mảng Branch ở khung bên trái console và bấm chuột lên nút Firewall Policy (Branch). Chú ý rằng Access Rule chúng ta tạo ở mức Enterprise Policy cũng được áp dụng với chính sách mảng.
Hình 31
- Chúng ta muốn Domain Controller policy này luôn được áp dụng trước chính sách mảng cục bộ. Để thực hiện điều này, kích chuột lên nút Branch Policy Enterprise Policy ở khung bên trái console. Bấm phải chuột lên Branch DCs > Main DC Access Rule và chọn lệnh Move Up.
Hình 32
- Kích lên chính sách mảng Firewall Policy (Branch). Bạn sẽ thấy Enterprise Policy được áp dụng trước chính sách mảng cục bộ.
Hình 33
Như bạn có thể thấy trên hình minh hoạ Enterprise Policy, sẽ dễ dàng hơn nhiều khi áp dụng các chính sách cho đa văn phòng chi nhánh bằng cách thực hiện thay đổi một lần trên Branch Policy Enterprise Policy. Các thay đổi này sẽ được tự động nhân rộng sang tất cả mảng nối kết với chính sách. Chắc chắn sẽ dễ dàng hơn nhiều so với việc thực hiện thay đổi trên từng mảng, nhất là với khoảng 30 mảng hoặc hơn.Ví dụ, nếu bạn muốn thêm vào nhiều Domain Controller hơn, tất cả việc cần làm là update Computer Set Branch Office DCs. Quy tắc này sẽ được áp dụng cho các DC mới ở chi nhánh.
Tóm tắt
Trong phần 6 của loạt bài về cách sử dụng VPN Site-to-Site Branch Office Connectivity Wizard để kết nối giữa các văn phòng chi nhánh và trụ sở chính này, chúng ta đã bắt đầu với một số thiết lập cấu hình nâng cao dùng trong liên kết Domain Controller branch office và Domain Controller main office với các liên lạc nội miền. Trong bài chúng tôi đã giới thiệu một sự kiện phá vỡ các điều lệ thông thường, là cách tạo và sử dụng Enterprise Policy để phân dòng phát triển chính sách và triển khai các Enterprise Firewall được phân phối. Trong phần tiếp theo của loạt bài này, chúng ta sẽ chạy depromo trên Domain Controller branch office, cài đặt Active Directory tích hợp DNS server trên Domain Controller branch office và thay đổi các thiết lập DNS trên ISA Firewall branch office.
Sau khi Branch Office Domain Controller được cài đặt, bước tiếp theo là tạo firewall policy (chính sách tường lửa) cho các văn phòng chi nhánh, cho phép truy cập tài nguyên tại văn phòng chính. Chúng ta cũng sẽ tạo một nhóm hoặc người dùng tuỳ chọn dựa trên chính sách cho phép người dùng truy cập tài nguyên Exchange Server tại văn phòng chính, v.v…. Nếu có thời gian chúng ta cũng sẽ bắt đầu cấu hình một CSS luân phiên để tạo khả năng chịu lỗi cho cấu hình ISA Firewall Enterprise.