DỊCH VỤPROXY Tóm tắt Lý thuyết 8 tiết -Thực hành 16 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này giúp cho học viên có thểtổchức và triển khai một Proxy Server phục vụchia sẻvà quản lý kết nối Internet của các máy trạm, đồng thời học viên cũng có thểxây dựng một hệthống Firewall đểbảo vệhệthống mạng cục bộcủa mình. I. Firewall II. Giới thiệu ISA 2004 III. Đặt điểm của ISA 2004. IV. Cài đặt ISA 2004. V. Cấu hình ISA Server Dựa vào bài tập môn Dịch vụmạng Windows 2003. Dựa vào bài tập môn Dịch vụmạng Windows 2003. I. Firewall. Internet là mộthệthống mở, đó là điểmmạnh và cũng là điểmyếucủa nó. Chính điểmyếu này làm giảm khảnăng bảomật thông tin nộibộcủahệthống. Nếu chỉlà mạng LAN thì không có vấn đềgì, nhưng khi đãkếtnối Internet thì phát sinh những vấn đềhếtsức quan trọng trong việc quản lý các tài nguyên quý giá -nguồn thông tin -nhưchếđộbảovệchống việc truy cậpbấthợp pháp trong khi vẫn cho phép người được ủy nhiệmsửdụng các nguồn thông tin mà họđượccấp quyền, và phương pháp chống rò rỉthông tin trên các mạng truyềndữliệu công cộng (Public Data Communication Network). I.1. Giới thiệuvềFirewall. Thuật ngữfirewall có nguồngốctừmộtkỹthuật thiếtkếtrong xây dựng đểngăn chặn, hạn chếhỏa hoạn. Trong công nghệthông tin, firewall là mộtkỹthuật được tích hợp vào hệthống mạng đểchống lại việc truy cập trái phép, bảovệcác nguồn tài nguyên cũng nhưhạn chếsựxâm nhập vào hệthống củamộtsốthông tin khác không mong muốn. Cụthểhơn, có thểhiểu firewall là mộtcơchếbảovệgiữamạng tin tưởng (trusted network), ví dụmạng intranet nộibộ,với các mạng không tin tưởng mà thông thường là Internet.Vềmặtvật lý, firewall bao gồmmột hoặc nhiềuhệthống máy chủkếtnốivới bộđịnh tuyến(Router) hoặc có chứcnăng Router.Vềmặt chứcnăng, firewall có nhiệmvụ: -Tấtcảcác trao đổidữliệutừtrong ra ngoài và ngượclại đều phải thực hiện thông qua firewall. -Chỉcó những trao đổi được cho phép bởihệthống mạng nộibộ(trusted network)mới được quyềnlưu thông qua firewall. -Các phầnmềm quản lý an ninh chạy trên hệthống máy chủbao gồm: Quản lý xác thực(Authentication): có chứcnăng ngăncản truy cập trái phép vào hệthống mạng nội bộ.Mỗi ngườisửdụng muốn truy cậphợplệphải có một tài khoản(account) bao gồmmột tên người dùng (username) và mật khẩu(password). Quản lý cấp quyền(Authorization): cho phép xác định quyềnsửdụng tài nguyên cũng nhưcác nguồn thông tin trên mạng theo từng người, từng nhóm ngườisửdụng. Quản lý kiểm toán (Accounting Management): cho phép ghi nhậntấtcảcác sựkiệnxảy ra liên quan đến việc truy cập và sửdụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đốivới vùng tài nguyên nào đã đượcsửdụng hoặc thay đổibổsung … I.2. Kiến Trúc Của Firewall. I.2.1 Kiến trúc Dual-homed host. Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host.Một máy tính đượcgọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếpvới hai mạng khác nhau và nhưthếmáy tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host rất đơn giản. Dual-homed host ởgiữa, một bên đượckếtnốivới Internet và bên còn lạinốivớimạng nộibộ(LAN). 592 Dual-homed host chỉcó thểcung cấp các dịch vụbằng cách ủy quyền(proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào dual-homed host.Mọi giao tiếptừmột host trong mạng nộibộvà host bên ngoài đềubịcấm, dual-homed host là nơi giao tiếp duy nhất. Hình 5.1: Kiến trúc Dual-Home Host. I.2.2 Kiến trúc Screened Host.Screened Host có cấu trúc ngượclạivớicấu trúc Dual-homed host. Kiến trúc này cung cấp các dịch vụtừmột host bên trong mạng nộibộ, dùng một Router tách rờivớimạng bên ngoài. Trong kiểu kiến trúc này, bảomật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nộibộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệthống duy nhất trong mạng nộibộmà những host trên Internet có thểkếtnốitới. Mặcdù vậy, chỉnhững kiểukếtnối phù hợp(được thiếtlập trong Bastion host)mới được cho phép kếtnối. Bấtkỳmộthệthống bên ngoài nào cốgắng truy cập vào hệthống hoặc các dịch vụbên trong đều phảikếtnốitới host này. Vì thếBastion host là host cần phải được duy trì ởchếđộbảomật cao. Packet filtering cũng cho phép bastion host có thểmởkếtnối ra bên ngoài. Cấu hình của packet filtering trên screening router nhưsau: -Cho phép tấtcảcác host bên trong mởkếtnốitới host bên ngoài thông qua mộtsốdịch vụcốđịnh. -Không cho phép tấtcảcác kếtnốitừcác host bên trong (cấm những host này sửdụng dịch proxy thông qua bastion host). -Bạn có thểkếthợp nhiềulối vào cho những dịch vụkhác nhau. -Mộtsốdịch vụđược phép đi vào trực tiếp qua packet filtering. -Mộtsốdịch vụkhác thì chỉđược phép đi vào gián tiếp qua proxy. Bởi vì kiến trúc này cho phép các packet đitừbên ngoài vào mạng bên trong, nó dường nhưlà nguy hiểmhơn kiến trúc Dual-homed host, vì thếnó được thiếtkếđểkhông một packet nào có thểtới đượcmạng bên trong. Tuy nhiên trên thựctếthì kiến trúc dual- homed host đôi khi cũng có lỗi mà cho phép các packet thậtsựđitừbên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu nhưkhông đượcbảovệđểchống lại những kiểutấn công này. Hơnnữa, kiến trúc dual-homed host thì dễdàng bảovệRouter (là máy cung cấprất ít các dịch vụ)hơn là bảovệcác host bên trong mạng. Xét vềtoàn diện thì kiến trúc Screened host cung cấp độtin cậy cao hơn và an toàn hơn kiến trúc 593Dual-homed host. So sánh vớimộtsốkiến trúc khác, chẳng hạn nhưkiến trúc Screened subnet thì kiến trúc Screened host có mộtsốbấtlợi. Bấtlợi chính là nếukẻtấn công tìm cách xâm nhập Bastion Host thì không có cách nào đểngăn tách giữa Bastion Host và các host còn lại bên trong mạng nộibộ. Router cũng có mộtsốđiểmyếu là nếu Router bịtổn thương, toàn bộmạng sẽbịtấn công. Vì lý do này mà Sceened subnet trởthành kiến trúc phổbiến nhất. Hình 5.2: Mô hình Screened host. I.2.3 Sreened Subnet. Nhằmtăng cường khảnăng bảovệmạng nộibộ, thực hiện chiếnlược phòng thủtheo chiều sâu, tăng cường sựan toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bịtổn thương, người ta đưa ra kiến trúc firewall có tên là Sreened Subnet. Kiến trúc Screened subnet dẫn xuấttừkiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lậpmạng nộibộra khỏimạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngoài (External router còn gọi là access router): nằm giữamạng ngoại vi và mạng ngoài có chứcnăng bảovệcho mạng ngoại vi (bastion host, interior router). Nó cho phép hầuhết những gì outbound từmạng ngoại vi. Mộtsốqui tắc packet filtering đặc biệt được cài đặt ởmứccần thiết đủđểbảovệbastion host và interior router vì bastion host còn là host được cài đặt an toàn ởmức cao. Ngoài các qui tắc đó, cácquitắc khác cần giống nhau giữa hai Router. Interior Router (còn gọi là choke router): nằm giữamạng ngoại vi và mạng nộibộ, nhằmbảovệmạng nộibộtrước khi ra ngoài và mạng ngoại vi. Nó không thực hiệnhết các qui tắc packet filtering của toàn bộfirewall. Các dịch vụmà interior router cho phép giữa bastion host và mạng nộibộ, 594 giữa bên ngoài và mạng nộibộkhông nhất thiết phải giống nhau. Giớihạndịch vụgiữa bastion host và mạng nộibộnhằm giảmsốlượng máy (sốlượng dịch vụtrên các máy này) có thểbịtấn công khi bastion host bịtổn thương và thoảhiệpvới bên ngoài. Chẳng hạn nên giớihạn các dịch vụđược phép giữa bastion host và mạng nộibộnhưSMTP khi có Email từbên ngoài vào, có lẽchỉgiớihạn Hình 5.3: Mô hình Screened Subnet. I.3. Các loại firewall và cách hoạt động. I.3.1 Packet filtering (Bộlọc gói tin). Loại firewall này thực hiện việc kiểm tra sốnhậndạng địa chỉcủa các packet đểtừđócấp phép cho chúng lưu thông hay ngăn chặn . Các thông sốcó thểlọc đượccủamột packet như: -Địa chỉIP nơi xuất phát (source IP address). -Địa chỉIP nơi nhận(destination IP address). -Cổng TCP nơi xuất phát (source TCP port). -Cổng TCP nơi nhận(destination TCP port). Loại Firewall này cho phép kiểm soát đượckếtnối vào máy chủ, khóa việc truy cập vào hệthống mạng nộibộtừnhững địa chỉkhông cho phép. Ngoài ra, nó còn kiểm soát hiệu suấtsửdụng những dịch vụđang hoạt động trên hệthống mạng nộibộthông qua các cổng TCP tương ứng. I.3.2 Application gateway. Đây là loại firewall được thiếtkếđểtăng cường chứcnăng kiểm soát các loạidịch vụdựa trên những giao thức được cho phép truy cập vào hệthống mạng. Cơchếhoạt động của nó dựa trên mô hình Proxy Service. Trong mô hình này phảitồntạimột hay nhiều máy tính đóng vai trò Proxy Server.Một ứng dụng trong mạng nộibộyêu cầumột đốitượng nào đó trên Internet, Proxy Server sẽnhận yêu cầu này và chuyển đến Server trên Internet. Khi Server trên Internet trảlời, Proxy Server sẽnhận và chuyển ngượclại cho ứng dụng đãgửi yêu cầu. Cơchếlọccủa packet filtering kếthợpvớicơchế 596 “đại diện” của application gateway cung cấpmột khảnăng an toàn và uyển chuyểnhơn, đặc biệt khi kiểm soát các truy cậptừbên ngoài. Ví dụ:Mộthệthống mạng có chứcnăng packet filtering ngăn chặn các kếtnốibằng TELNET vào hệ -Thực hiện telnet vào máy chủbên trong cần truy cập.-Gateway kiểm tra địa chỉIP nơi xuất phát của người truy cập đểcho phép hoặctừchối.-Người truy cập phảivượt qua hệthống kiểm tra xác thực.-Proxy Service tạomộtkếtnối Telnet giữa gateway và máy chủcần truy nhập.-Proxy Service liên kếtlưu thông giữa người truy cập và máy chủtrong mạng nộibộ. Cơchếbộlọc packet kếthợpvớicơchếproxy có nhược điểm là hiện nay các ứng dụng đang phát triểnrất nhanh, do đónếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơmất an toàn sẽtăng lên. Thông thường những phầnmềm Proxy Server hoạt động nhưmột gateway nối giữa hai mạng, mạng bên trong và mạng bên ngoài. Hình 5.4: Mô hình hoạt động của Proxy. Đường kếtnối giữa Proxy Server và Internet thông qua nhà cung cấpdịch vụInternet (Internet Service Provider -ISP) có thểchọnmột trong các cách sau: -Dùng Modem analog:sửdụng giao thức SLIP/PPP đểkếtnối vào ISP và truy cập Internet. Dùng dial-up thì tốc độbịgiớihạn, thường là 28.8 Kbps -36.6 Kbps. Hiện nay đã có Modem analog tốc độ56 Kbps nhưng chưa được thửnghiệm nhiều. Phương pháp dùng dial-up qua Modem analog thích hợp cho các tổchức nhỏ, chỉcó nhu cầusửdụng dịch vụWeb và E-Mail. -Dùng đường ISDN:Dịch vụISDN (Integrated Services Digital Network) đã khá phổbiến ởmột sốnước tiên tiến. Dịch vụnày dùng tín hiệusốtrên đường truyền nên không cần Modem analog, cho phép truyềncảtiếng nói và dữliệu trên một đôi dây. Các kênh thuê bao ISDN (đường truyền dẫn thông tin giữa ngườisửdụng và mạng) có thểđạttốc độtừ64 Kbps đến 138,24 Mbps. Dịch vụISDN thích hợp cho các công ty vừa và lớn, yêu cầubăng thông lớn mà việc dùng Modem analog không đáp ứng được. Phầncứng dùng đểkếtnối tùy thuộc vào việcnốikết trực tiếp Proxy Server với Internet hoặc thông qua một Router. Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có bộphối ghép ISDN cài trên Server. Hình 5.5: Mô hình kếtnốimạng Internet. Việc chọnlựa cách kếtnối và một ISP thích hợp tùy thuộc vào yêu cầucụthểcủa công ty, ví dụnhưsốngườicần truy cập Internet, các dịch vụvà ứng dụng nào đượcsửdụng, các đường kếtnối và cách tính cước mà ISP có thểcung cấp. II. Giới Thiệu ISA 2004. Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm share internet của hãng phầnmềm Microsoft, là bản nâng cấptừphầnmềm MS ISA 2000 Server. Có thểnói đây là một phầnmềm share internet khá hiệu quả, ổn định, dễcấu hình, thiếtlậptường lửa(firewall)tốt, nhiều tính năng cho phép bạncấu hình sao cho tương thích vớimạng LAN củabạn. Tốc độnhanh nhờchếđộcache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lậplịch cho tựđộng download thông tin trên các WebServer lưu vào Cache và máy con chỉcầnlấy thông tin trên các Webserver đóbằng mạng LAN) III. Đặc Điểm Của ISA 2004. Các đặc điểmcủa Microsoft ISA 2004: -Cung cấp tính năng Multi-networking:Kỹthuật thiếtlập các chính sách truy cậpdựa trên địa chỉmạng, thiếtlập firewall đểlọc thông tin dựa trên từng địa chỉmạng con,… -Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảovệhệthống mạng nộibộbằng cách giớihạn truy xuấtcủa các Client bên ngoài internet,bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉcho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nộibộ. -Stateful inspection of all traffic: Cho phép giám sát tấtcảcác lưulượng mạng. -NAT and route network relationships: Cung cấpkỹthuật NAT và định tuyếndữliệu cho mạng con. -Network templates: Cung cấp các mô hình mẫu (network templates) vềmộtsốkiến trúc mạng, kèm theo mộtsốluậtcần thiết cho network templates tương ứng. -Cung cấpmộtsốđặc điểmmới đểthiếtlậpmạng riêng ảo(VPN network) và truy cậptừxa cho doanh nghiệp nhưgiám sát, ghi nhận log, quản lý session cho từng VPN Server, thiếtlập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệthống khác. -Cung cấpmộtsốkỹthuậtbảomật(security) và thiếtlập Firewall cho hệthống nhưAuthentication, Publish Server, giớihạnmộtsốtraffic. -Cung cấpmộtsốkỹthuật cache thông minh (Web cache) đểlàm tăng tốc độtruy xuấtmạng, -Cung cấpmộtsốtính năng quản lý hiệu quảnhư: giám sát lưulượng, reporting qua Web, export và import cấu hình từXML configuration file, quản lý lỗihệthống thông qua kỹthuậtgởi thông báo qua E-mail, -Application Layer Filtering (ALF): là một trong những điểmmạnh của ISA Server 2004, không giống nhưpacket filtering firewall truyền thống, ISA 2004 có thểthao tác sâu hơn nhưcó thểlọc được các thông tin trong tầng ứng dụng. Mộtsốđặc điểmnổibậccủa ALF: -Cho phép thiếtlậpbộlọc HTTP inbound và outbound HTTP.-Chặn được các cảcác loạitập tin thực thi chạy trên nền Windows như.pif, .com,…-Có thểgiớihạn HTTP download.-Có thểgiớihạn truy xuất Web cho tấtcảcác Client dựa trên nội dung truy cập.-Có thểđiều kiển truy xuất HTTP dựa trên chữký (signature).-Điều khiểnmộtsốphương thức truy xuấtcủa HTTP. IV. Cài Đặt ISA 2004. IV.1. Yêu cầu cài đặt. Thành phần Yêu cầu đềnghị Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trởlên. Hệđiều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack 4). Bộ nhớ (Memory) 256 (MB) hoặc 512 MB cho hệthống không sửdụng Web caching, 1GB cho Web-caching ISA firewalls. không gian đĩa (Disk space) ổđĩa cài đặt ISA thuộc loại NTFS file system, ít nhất còn 150 MB dành cho ISA. NIC Ít nhất phải có một card mạng (khuyến cáo phải có 2 NIC) IV.2. Quá trình cài đặt ISA 2004. IV.2.1 Cài đặt ISA trên máy chủ1 card mạng. Khi ta cài đặt ISA trên máy Server chỉcó một card mạng (còn gọi là Unihomed ISA Firewall), chỉhỗtrợHTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗtrợmộtsốchứcnăng: - SecureN AT client. -Firewall Client. -Server Publishin g Rule. -Remote Access VPN. -Site-to- Site VPN. -Multi-networking. -Application-layer inspection ( trừgiao thức HTTP) Chạytập tin isaautorun.exe từCDROM ISA 2004 hoặctừISA 2004 source. Nhấp chuột vào “Install ISA Server 2004” trong hộp thoại“Microsoft Internet Security and Acceleration Server 2004”. Nhấp chuột vào nút Next trên hộp thoại“Welcome to the Installation Wizard for Microsoft ISA Server 2004” đểtiếptục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại“ License Agreement”, chọn Next. Nhậpmộtsốthông tin vềtên username và tên tổchứcsửdụng phầnmềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next đểtiếptục. Chọn loại cài đặt(Installation type) trong hộp“Setup Type”, chọn tùy chọn Custom, chọn Next trong hộp thoại“Custom Setup” mặc định hệthống đã chọn Firewall Services, Advanced Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉhỗtrợWeb Proxy Client nên ta có thểkhông chọn tùy chọn Firewall client Installation share tuy nhiên ta có thểchọn nó đểcác Client có thểsửdụng phầnmềm này đểhỗtrợtruy xuất Web qua Web Proxy. Chọn Next đểtiếptục. Hình 5.6: Chọn Firewall Client Installation Share. Chỉđịnh address range cho cho Internet network trong hộp thoại“Internal Network”, sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC. Hình 5.7: Mô tảInternal Network Range. Sau khi mô tảxong “Internet Network address ranges”, chọn Next trong hộp thoại“Firewall Client Connection Settings”. Sau đó chương trình sẽtiến hành cài đặt vào hệthống, chọn nút Finish đểhoàn tất quá [...]... là mộtkỹthuật dùng đểcông bố(publishing )dịch vụnộibộra ngoài mạng Internet thông qua ISA Firewall Thông qua ISA Firewall ta có thểpublish các dịch vụSMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,, -Web publishing: Dùng đểpublish các Web Site và dịch vụWeb Web Publishing đôi khi được gọi là 'reverse proxy' trong đó ISA Firewall đóng vai trò là Web Proxy nhận các Web request từbên ngoài... remote ISA Server to Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 490/555 Tài liệuhướng dẫn giảng dạy from/Listen er To Condition Order/Comments Name Action Protocol Internal To All Users Continued Condition 26 Cho phép HTTP traffic từISA Server tới một sốnetwork hỗtr dịch vụchứng thực download CRL Traffic... request và DNS reply -Đểcho phép Client có thểsửdụng Web Proxy ta cấu hình Proxy Server có địa chỉlà địa chỉcủa Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặc ta cài ISA Client -Chỉđịnh địa chỉcủa Web Proxy trong textbox Address -ChỉWeb Proxy Port trong Textbox Port là 8080 Hình 5.16: Chỉđịnh Client sửdụng Proxy Server V.4 TạoVà SửDụng Firewall Access Policy -Access... cũng có thểhiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item Local Host Hình 5.13: System Policy Editor V.3 Cấu hình Web proxy cho ISA Trong phần này ta sẽkhảo sát nhanh các bước làm sao đểcấu hình ISA Firewall cung cấpdịch vụWeb Proxy đểchia sẻkếtnối Internet cho mạng nộibộ Hình 5.14: System Policy Editor -Mặc định ISA Firewall cho phép tấtcảmạng nộibộchỉcó thểtruy xuất Internet... được truy xuất Firewall Client installation share trên ISA Server 20 Cho phép quan sát thông suất của ISA Server từxa Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 489/555 Tài liệuhướng dẫn giảng dạy Protocol Microsoft SQL (TCP) MicrosoftSQL (UDP) HTTP HTTPSProtocols HTTP HTTPS from/Listen To Condition... Management Computers Local Host 1 c b v All Users All Users Continued Condition 1 R đ All Users 1 t ( V All Users 1 s x đ Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Học phần 3 -Quản trịmạng Microsoft Windows Trang 488/555 Tài liệuhướng dẫn giảng dạy Name Allow ICMP requests from ISA Server to selected servers All VPN client traffic to ISA Server Action... Firewall kếtnối trực tiếp Internet thì ta chỉcầncấu hình mộtsốthông sốtrên, ngượclại nếu ISA Firewall còn phải thông qua mộthệthống ISA Firewall hoặc Proxy khác thì ta cần phải mô tảthêm tham sốUptream Server đểchuyển yêu cầu truy xuất lên Proxy cha đểnh Proxy cha lấy thông tin từInternet Web Server + Đểcấu hình Uptream Server cho ISA Server nộibộta chọn Configuration panel từISA Management Console,... software to connect”nếu ta muốn ISA hỗtrợnhững phiên bản Firewall client trước, chọn Next Hình 5.11: Tùy chọntương thích với ISA Client Xuất hiệnhộp thoại Services đểcảnh báo ISA Firewall sẽstop mộts dịch vụSNMP và IIS Admin Service trong quá cài đặt ISA Firewall cũng sẽvô hiệu hóa (disable) Connection Firewall (ICF)/ Internet Connection Sharing (ICF), và IP Network Address Translation (RRAS NAT service)... Internal Network -Cho phép NAT giữa Internal Network và External Network -Chỉcho phép Administrator có thểthay đổi chính sách bảomật cho ISA firewall V.2 Mộtsốchính sách mặc định củahệthống Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net Order/Comments Name 1 Chỉsửdụng khi ISA Allow access to Action Protocol LDAP ;LDAP (UDP) LDAP GC (global from/Listener... All Users Allow RADIUS authentication from ISA Server to trusted RADIUS servers Allow RADIUS RADIUS Accounting Local Host Internal All Users Học phần 3 -Quản trịmạng Microsoft Windows Trang 487/555 Tài liệuhướng dẫn giảng dạy Order/Comments 6 Cho phép chứng Name Allow Kerberos thực kerberos từISA Server tới trusted authentication from ISA Server server to trusted servers Action Allow Protocol Kerberos-Sec . cho những dịch vụkhác nhau. -Mộts dịch vụ ược phép đi vào trực tiếp qua packet filtering. -Mộts dịch vụkhác thì chỉđược phép đi vào gián tiếp qua proxy. Bởi. đặt ISA 2004. V. Cấu hình ISA Server Dựa vào bài tập môn Dịch vụmạng Windows 2003. Dựa vào bài tập môn Dịch vụmạng Windows 2003. I. Firewall. Internet là