Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 489/555
CIFS (Common
Internet File
System) from IS
A

Server to trusted
servers
Allow VPN site-to-
site traffic from
ISA Server
Allow VPN site-
to-site traffic to
ISA Server Name
All VPN client
traffic to ISA
Server
Allow ICMP
requests from ISA
Server to selected
servers
Name
Allow
Allow
Allow
Allow
Allow
Action

Host
Network)
To
All Users
All Users
All Users
Continued
Condition
All Users
All Users
Condition
20. Cho phép quan sát
thông suất của ISA
Server từ xa
19. Cho phép một số
máy được truy xuất
Firewall Client
installation share trên
ISA Server
18. Cho phép
HTTP/HTTPS từ ISA
đến một số server khác
17. Cho phép truy xuất
HTTP/HTTPS từ ISA
đến một số site chỉ định
16. Cho phép login từ
xa bằng SQL qua ISA
server
Order/Comments
All

Allow remote SQL
logging from ISA
servers
Name
Allow
Allow
Allow
Allow
Allow
Action

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 490/555
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
Microsoft

CIFS

(TCP) Microsoft
CIFS (UDP)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Session
HTTP HTTPS
HTTP HTTPS

All Users
All Users
All Users
Continued
Condition
All Users
Condition
25. Cho phép giám
sát từ xa thông qua
giao thức Microsoft
Operations
24. Cho phép
chứng thực
SecurID từ ISA đến
một số server
23. Cho phép truy
xuất HTTP/HTTPS
từ ISA Server tới
một số Microsoft
error reportin
gsite
21. Cho phép sử
dụng RPC từ IS
A

truy xuất đến một
số server khác
21. Cho phép sử
dụng NetBIOS từ
ISA Server đến một

from IS
A

Server to
trusted servers
Name
Name

Allow
Allow
Allow
Allow
Action
Microsoft
Operations
Manager Agent
SecurID
HTTP HTTPS
RPC (all interfaces)
NetBIOS Datagram
NetBIOS Name
Service NetBIOS
Sessions Protocols
Protocol
Local Host
Local Host
Local Host
Local Host
Local Host
From/Listen

28. Cho phép traffic
SMTP từ ISA Server tới
một số Server
27. Cho phép sử dụng
NTP (giao thức đồng bộ
thời gian trên Windows
NT 2k, XP) từ ISA tới một
26. Cho phép HTTP
traffic từ ISA Server tới
một số network hỗ trợ
dịch vụ chứng thực
download CRL
(Certificate Revocation
Order/Comments
Allow Microsoft
communication to
selected computers
ISA Server to
selected computers
for Content
Download Jobs
Allow SMTP from
Allow ISA Server to
trusted servers
Allow NTP from ISA
Server to trusted
NTP servers
Traffic from ISA
Server to all
networks (for CRL

Internal
Internal
All Networks
(and Local
Host) To
To
All Users
System
and
Network
Service
All Users
All Users
All Users
Continued
Condition
Condition

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 492/555
Ta có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách
chọn Filewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên
cột System policy.

Hình 5.12: System policy Rules.
Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item.

Hình 5.13: System Policy Editor.
V.3. Cấu hình Web proxy cho ISA.

Học phần 3 - Quản trị mạng Microsoft Windows Trang 494/555

Hình 5.15: Mô tả System Policy Sites.
Chú ý:
- Nếu ISA Firewall kết nối trực tiếp Internet thì ta chỉ cần cấu hình một số thông số trên, ngược lại
nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải
mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy
cha lấy thông tin từ Internet Web Server.
+ Để cấu hình Uptream Server cho ISA Server
nội bộ ta chọn Configuration panel từ ISA
Management Console, sau đó chọn item Network , chọn Web Chaining Tab, Nhấp đôi
vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them
to specified upstream server, chọn tiếp nút Settings…Chỉ định địa chỉ của upstream
server.

Hình 5.16: Chỉ định Upstream server.
+ Ta cần chỉ định DNS Server cho ISA Server để khi ISA có thể phân giải Internet Site khi
có yêu cầu, ta có thể sử dụng DNS Server nội bộ hoặc Internet DNS Server, tuy nhiên ta
cần lưu ý rằng phải cấu hình ISA Firewall để cho phép DNS request và DNS reply.
- Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa chỉ là địa chỉ của
Internal interface của ISA Firewall
trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client
Share trên từng Client để Client đóng vai trò lài ISA Firewall Client.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 495/555
- Chỉ định địa chỉ của Web Proxy trong textbox Address.
- Chỉ Web Proxy Port trong Textbox Port là 8080.


Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 496/555
4. Hiển thị hộp thoại “Welcome to the New Access Rule Wizard”. Điền vào tên Access Rule
name, nhấp chuột vào nút Next để tiếp tục.
5. Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny. Tùy chọn Deny được đặt mặc
định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny cho phù hợp, chọn Next để tiếp
tục.
6. Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17). Ta s
ẽ chọn giao thức (protocol) để cho
phép/cấm outbound traffic từ source đến destination. Ta có thể chọn ba tùy chọn trong danh
sách This rule applies to.
- All outbound traffic: Để cho phép tất cả các protocols outbound. Tầm ảnh hưởng của tùy chọn
này phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật. đối với Firewall clients, thì
tùy chọn này cho phép tất cả các Protocol ra ngoài (outbound), bao gồm cả secondary
protocols đã được
định nghĩa hoặc chưa được định trong ISA firewall. Tuy nhiên đối với
SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã
được định nghĩa trong Protocols list của ISA firewall, nếu SecureNAT client không thể truy xuất
tài nguyên nào đó bên ngoài bằng một protocol nào đó thì ta phải mô tả protocol vào Protocol
Panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nối cho SecureNAT client.
- Selected protocols: Tùy chọn này cho phép ta có thể l
ựa chọn từng protocols để áp đặt vào luật
(rule). Ta có thể lựa chọn một số protocol có sẵn trong hộp thoại hoặc có thể tạo mới một
Protocol Definition.
- All outbound traffic except selected: Tùy chọn này cho phép tất cả các protocol cho luật mà
không được định nghĩa trong hộp thoại.

Hình 5.17: Lựa chọn protocol để mô tả cho Rule.
Nếu ta chọn tùy chọn Selected Protocols ta sẽ chọn danh sách các protocol cần mô tả cho luật

Access Rule, thông thường ta truy xuất hộp thoại thuộc tính của luật khi ta muốn kiểm tra hoặc thay
đổi các điều kiện đã đặt trước đó. Để truy xuất thuộc tính của Access Rule
ta nhấp đôi chuột vào tên
luật trong Firewall Policy Panel.
Một số Tab thuộc tính của Access Rule:
- General tab: Cho phép ta có thể thay đổi tên Access rule, Enable/Disable Access rule.
- Action tab: Cung cấp một số tùy chọn để hiệu chỉnh luật như (Tham khảo hình 5.20):
- Allow: Tùy chọn cho phép các kết nối phù hợp (matching) với các điều kiện được mô tả trong
Access rule đi qua ISA firewall.
- Deny: Tùy chọn cấm các kết nối phù h
ợp (matching) với các điều kiện được mô tả trong Access
rule đi qua ISA firewall.
- Redirect HTTP requests to this Web page: Tùy chọn được cấu hình để chuyển hướng HTTP
requests (phù hợp với điều kiện của Access rule) tới một Web page khác.
- Log requests matching this rule Cho phép ghi nhận lại tất cả các request phù hợp với Access
Rule.

Hình 5.20: Thuộc tính của Access Rule.
- Protocols tab: Cung cấp các tùy chọn để cho phép ta hiệu chỉnh giao thức (protocol) cho
Access rule.
- From tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ nguồn cho Access rule.
- To tab: Cung cấp các tùy chọn để hiệu chỉnh địa chỉ đích cho Access rule.
- Users tab: Cung cấp các tùy chọn để hiệu chỉnh thông tin User trong Access rule.
- Schedule tab: Hiệu ch
ỉnh thời gian áp đặt (apply) luật.
- Content Types tab: Cho phép hiệu chỉnh Content Type chỉ áp đặt HTTP connection.
V.5. Publishing Network Services.
V.5.1 Web Publishing and Server Publishing.

Tài liệu hướng dẫn giảng dạy

3. Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next.
4. Cung cấp một số thông tin về Web Site cần được publish trong hộp thoại “Define Website to
Publish” (tham khảo hình 5.22):
- “Computer name or IP address”: chỉ định địa chỉ của Web Server nội bộ.