Cài đặt và cấu hình ISA Server Firewall 2004 - Chapter 9

Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 9)   Tác giả: www.nis.com.vn CHƯƠNG 9: Đơn giản hóa cấu hình Mạng với các Network Templates ISA Server 2004 firewall mang đến cho chúng ta những thuận lợi to lớn, một trong những số đó là các Network Templates (mô hình mẫu các thông số cấu hình Mạng). Vì sự hỗ trợ thông qua các templates này, mà chúng ta có thể cấu hình tự động các thông số cho Networks, Network Rules và Access Rules. Network Templates được thiết kế giúp chúng ta nhanh chóng tạo được một cấu hình nền tảng cho những gì mà chúng ta có thể sẽ xây dựng.. Chúng ta có thể chọn một trong số các Network Templates sau: • Edge Firewall Network Template dành cho Edge Firewall, được sử dụng khi ISA Server 2004 firewall có một Network interface được trực tiếp kết nối đến Internet và một Network interface được kết nối với Internal network • 3-Leg Perimeter Network Template dành cho 3-Leg Perimeter được sử dụng với Firewall gắn 3 Network Interfaces. Một External interface (kết nối Internet), một Internal interface (kết nối Mnạg nội bộ) và một DMZ interface (kết nối đến Mạng vành đai- Perimeter Network). Template này, cấu cấu hình các địa chỉ và mối quan hệ giữa các Networks này với nhau. • Front Firewall Dùng Front Firewall Template khi ISA Server 2004 firewall đóng vai trò một frontend firewall trong mô hình back-to-back firewall. Vậy thế nào là một back-to-back firewall ? Đơn giản đó là mô hình kết nối 2 Firewall làm việc với nhau theo kiểu trước (front) sau (back). Phía ngoài Front Firewall có thể là Internet, giữa Front và back firewall có thể là là DMZ network, và phía sau back firewall là Internal network. Template này dành cho Front Firewall • Back Firewall Như vừa trình bày ở trên có lẽ các bạn đã hiểu về vị trí của một Back firewall, và Back Firewall Template được sử dụng cho một ISA Server 2004 firewall nằm sau một ISA Server 2004 firewall khác phía trước nó (hoặc một third-party firewall nào đó). • Single Network Adapter Template dạng Single Network Adapter là một cấu hình khá đặc biệt, áp dụng dạng template này trên ISA Server 2004 có nghĩa là loại luôn chức năng Firewall của nó. Được dùng trong những trường hợp ISA SERVER 2004 chỉ có duy nhất một Network Card (unihomed), đóng vai trò là hệ thống lưu giữ cache- Web caching server. Trong phần này, chúng ta sẽ phác thảo 2 kịch bản sau: • Kịch bản 1: Cấu hình cho Edge Firewall • Kịch bản 2: Cấu hình cho 3-Leg Perimeter Cần xem xét lại chương 1 để nắm rõ cấu hình Mạng, và cấu hình cho ISA SERVER 2004 trong Test Lab này. Kịch bản về cấu trúc Mạng của chúng ta trong Test lab tương thích với Kịch bản 2, ngược lại có thể tham khảo kịch bản 1 Kịch bản 1: Cấu hình Edge Firewall Template cho Edge Firewall sẽ cấu hình cho ISA Server 2004 firewall có một network interface gắn trực tiếp Internet và một Network interface thứ 2 kết nối với Internal network. Network template này cho phép Admin nhanh chóng áp dụng các nguyên tắc truy cập thông qua chính sách của Firewall (firewall policy Access Rules ), cho phép chúng ta nhanh chóng đưa cấu hình điều khiển truy cập (access control) giữa Internal network và Internet. Bảng 1 cho chúng ta thấy các chính sách của Firewall (firewall policies) đã sẵn sàng khi sử dụng Edge Firewall template. Mỗi chính sách trong Firewall policies chứa sẵn các xác lập về những nguyên tắc truy cập. Từ xác lập tất cả các hoạt động đều được cho phép (All Open Access Policy) giữa Internal network và Internet cho đến xác lập ngăn chặn tất cả (Block All policy) hoạt động giữa Internal network và Internet. Table 1: Những lựa chọn về chính sách của Firewall khi dùng Network Edge Firewall Template Firewall Policy Mô tả Block All (Ngăn chặn tất cả) Ngăn chặn tất cả truy cập qua ISA Server Lựa chọn này không tạo bất kì nguyên tắc cho phép truy cập nào ngoài nguyên tắc ngăn chặn tất cả truy cập Block Internet Access, allow access to ISP network services (Ngăn chặn truy cập ra Internet, nhưng cho phép truy cập đến một số dịch vụ của ISP) Ngăn chặn tất cả truy cập qua ISA server, ngoại trừ những truy cập đến các Network services chẳng hạn DNS service. Lựa chọn này sẽ được dùng khi các ISP cung cấp những dịch vụ này. Dùng lựa chọn này để xác định chính sách Firewall của bạn, ví dụ như sau: 1. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS của ISP để xác định hostnames bên ngoài (như Internet). Allow limited Web access (Cho phép truy cập Web có giới hạn) Chỉ cho phép truy cập Web dùng các giao thức: HTTP, HTTPS, FTP. Còn lại tất cả truy cập khác sẽ bị ngăn chặn. Những nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy cập dạng HTTP, HTTPS, FTP từ Internal network ra bên ngoài. 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (từ bên ngoài) truy cập vào bên trong Mạng nội bộ. Allow limited Web access and access to ISP network services (Cho phép truy cập Web có giới hạn và truy cập đến một số dịch vụ của ISP) Cho phép truy cập Web có giới hạn dùng HTTP, HTTPS, và FTP, và cho phép truy cập tới ISP network services như DNS. Còn lại ngăn chặn tất cả các truy cập Network khác. Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP từ Internal Network và VPN Clients Network ra External Network (Internet) 2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network truy cập dịch vụ DNS giải quyết các hostnames bên ngoài (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả các giao thức từ VPN Clients Network (bên ngoài, VPN Clients thực hiện kết nối vào Mạng nội bộ thông qua Internet), được truy cập vào bên trong Mạng nội bộ. Allow unrestricted access (Cho phép truy cập không giới hạn) Cho phép không hạn chế truy cập ra Internet qua ISA Server Các nguyên tắc truy cập sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng tất cả giao thức từ Internal Network và VPN Clients Network tới External Network (Internet) 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tất cả giao thức từ VPN Clients Network truy cập vào Internal Network. Tiến hành những bước sau khi dùng Edge Firewall Network Template để cấu hình Firewall: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server name và mở rộng tiếp Configuration node. Click vào Networks node. 2. Click vào Templates tab trong Task Pane. Click vào Edge Firewall network template. 3. Click Next trên Welcome to the Network Template Wizard page. 4. Trên Export the ISA Server Configuration page, bạn được chọn lựa để Export cấu hình hiện tại. Hoàn toàn có thể quay lại cấu hình ISA Server 2004 firewall trước khi dùng Edge Firewall network template , bởi vì chúng ta đã backed up cấu hình hệ thống trước đó và vì thế cũng không cần phải export cấu hình tại thời điểm này. Click Next. 5. Trên Internal Network IP Addresses page, Xác định Internal network addresses. Vùng địa chỉ nội bộ Internal network address hiện đã tự động được xác định trong Address ranges list. Và bạn có thể dùng Add, Add Adapter và Add Private button để mở rộng vùng danh sách Adrress này. Trong ví dụ của chúng ta, giữ nguyên vùng Internal network address. Click Next. 6. Trên Select a Firewall Policy page bạn có thể chọn một firewall policy và một tập hợp các Access Rules. Trong ví dụ này chúng ta muốn cho phép các Internal network clients có thể truy cập đến tất cả Protocol của tất cả các Sites trên Internet. Sau khi đã có kinh nghiệm hơn với ISA Server 2004 firewall, bạn có thể gia tăng mức độ security của tất cả các truy cập ra ngoài - outbound access . Tại thời điểm này chỉ cần thử nghiệm cho phép truy cập Internet. Chọn Allow unrestricted access policy từ danh sách và click Next. 7. Review lại các xác lập vừa rồi và click Finish trên Completing the Network Template Wizard page. 8. Click Apply lưu lại những thay đổi và cập nhật firewall policy. 9. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. 10. Click trên Firewall Policies node trong khung tráiđể xem các policies được tạo bởi Edge Firewall network template. 2 Access Rules cho phép Internal network và VPN clients truy cập đầy đủ ra Internet, và VPN clients cũng được đầy đủ quyền truy cập vào Internal network. Kịch bản 2: Cấu hình 3-Leg Perimeter Cấu hình Firewall theo template dạng 3-leg perimeter sẽ tạo ra các mối quan hệ giữa các Network: Internal, DMZ và Internet. Và tương ứng Firewall cũng tạo ra các Access Rules để hỗ trợ cho Internal network segment và perimeter (DMZ) network segment. Perimeter network Segment –DMZ là khu vực có thể quản lý các nguồn tài nguyên cho phép người dùng Internet truy cập vào như:public DNS server hoặc một caching-only DNS server. Table 2: Những chọ lựa tại 3-Legged Perimeter Firewall Template Firewall Policy Firewall Policy Mô tả Block all Chặn tất cả truy cập qua ISA Server. Lựa chọn này sẽ không tạo bất kì Rules nào khác hơn ngoài default rule - ngăn chặn tất cả truy cập Block Internet access, allow access to network services on the perimeter network Chặn tất cả truy cập qua ISA Server, ngoài trừ những truy cập đến các network services, như DNS trên DMZ . Các access rules sau sẽ được tạo: 1. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network –Cho phép các truy cập dịch vụ DNS từ Internal Network và VPN Clients Network đến Perimeter Network Block Internet access, allow access to ISP network services Ngăn chặn tất cả các truy cập Mạng qua firewall ngoại trừ các network services như DNS. Lựa chọn này là phù hợp khi nhà cung cấp các dịch vụ mạng cơ bản là Internet Service Provider (ISP) của bạn. Các rules sau sẽ được tạo: 1. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) –Cho phép DNS từ Internal Network, VPN Clients Network và Perimeter Network đến External Network (Internet) Allow limited Web access, allow access to network services on perimeter network Chỉ cho phép cac truy cập hạn chế dùng các Protcol Web như: HTTP, HTTPS, FTP và cũng cho phép truy cập các network services như DNS trên DMZ. Tất cả các truy cập Mạng khác đều bị blocked. Lựa chọn này phù hợp khi tất cả các dịch vụ hạ tầng Mạng nằm trên DMZ. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to Perimeter Network and External Network (Internet) 2. Allow DNS traffic from Internal Network and VPN Clients Network to Perimeter Network 3. Allow all protocols from VPN Clients Network to Internal Network Allow limited Web access and access to ISP network services Cũng giống như trên nhưng chỉ khác là các network services như DNS do Internet Service Provider (ISP) của bạn cung cấp. Tất cả các truy cập Mạng khác đều bị blocked. Các access rules sau sẽ được tạo: 1. Allow HTTP, HTTPS, FTP from Internal Network and VPN Clients Network to the External Network (Internet) 2. Allow DNS from Internal Network, VPN Clients Network and Perimeter Network to External Network (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network Allow unrestricted access Cho phép tất cả các loại truy cập ra Internet qua firewall. Firewall sẽ chặn các truy cập từ Internet vào các Network được bảo vệ. Từ chính sách cho phép tất cả truy cập này, sau đó bạn có thể ngăn chặn bớt một số truy cập không phu hợp với chính sách bảo mật của tổ chức Các rules sau sẽ được tạo: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet) and Perimeter Network 2. Allow all protocols from VPN Clients to Internal Network Tiến hành các bước sau để dùng 3-Leg Perimeter network template: 1. Mở Microsoft Internet Security and Acceleration Server 2004 management console , mở rộng server name. Mở tiếp Configuration node và click trên Networks node. 2. Click Networks tab trong Details pane, sau đó click Templates tab trong Task pane. Click vào 3-Leg Perimeter network template. 3. Click Next trên Welcome to the Network Template Wizard page. 4. Trên Export the ISA Server Configuration page, bạn có thể chọn để export cấu hình hiện tại. Lựa chọn này là sự cẩn trọng, khi bạn không muốn sử dụng cấu hình của template và muốn quay trở lại các xác lập ban đầu. Trong ví dụ này chúng ta đã backed up cấu hình vì thế không cần phải export . Click Next. 5. Trên Internal Network IP Addresses page, xác định các địa chỉ IP của Internal network. Bạn sẽ thấy ISA tự động xuất hiện chúng trong Address ranges list. Bạn không cần phải thêm bất kì Address nào trong Internal network. Click Next. 6. Tiếp theo, Bạn sẽ cấu hình vùng địa chỉ này thuộc perimeter network segment trên Perimeter Network IP Addresses page. Bạn nhận thấy Address ranges list hoàn toàn trống. Do đó.. 7. Click vào Add Adapter button. Trong Network adapter details dialog box, đánh dấu vào DMZ check box. Tên Adapter là DMZ do bạn đặt lúc đầu và hãy đánh dấu cho chính xác vào đấy. Click OK. 8. Wizard sẽ tự động đưa các địa chỉ vào Address ranges list dựa trên Windows routing table. Click Next. 9. Trên Select a Firewall Policy page, Bạn sẽ chọn một firewall policy để tạo mối quan hệ giữa Internet, DMZ và Internal networks và cũng tạo ra các Access Rules. Trong ví dụ này chúng ta sẽ cho phép Internal network clients đầy đủ quyền truy cập ra Internet và DMZ network, và cũng cho phép các DMZ hosts được truy cập ra Internet. Sau khi đã có kinh nghiệm hơn với việc config Access Policies trên ISA Server 2004 firewall, bạn sẽ kiểm soát chặt chẽ hơn các truy cập ra bên ngoài -outbound access giữa DMZ network segment và Internet, giữa Internal network segment và Internet. Chọn Allow unrestricted access firewall policy và click Next. 10. Review lại các xác lập trên Completing the Network Template Wizard và click Finish. 11. Click Apply để lưu lại những thay đổi và cập nhật cho Firewall. 12. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. 13. Click trên Firewall Policy node trên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console để xem lại các rules đã được tạo bởi 3-Leg Perimeter network template. 2 rules này cho phép các Hosts thuộc Internal network và VPN clients network đầy đủ quyền truy cập ra Internet và cả DMZ. Thêm nữa, VPN Clients network được truy cập đầy đủ vào Internal network. 14. Mở rộng Configuration node bên khung trái của Microsoft Internet Security and Acceleration Server 2004 management console. Click Networks node. Ở đây bạn sẽ thấy một danh sachq của các networks, bao gồm Perimeter network được tạo bởi template. 15. Click Network Rules tab. Right click Perimeter Configuration Network Rule and click Properties. 16. Trong Perimeter Configuration Properties dialog box, click Source Networks tab. Bạn có thể thấy trong danh sách This rule applies to traffic from these sources gồm Internal, Quarantined VPN Clients và VPN Clients networks. 17. Click Destination Networks tab. Bạn thấy Perimeter network trong This rule applies to traffic sent to these destinations list. 18. Click Network Relationship tab. Xác lập mặc định là Network Address Translation (NAT). Đây là một xác lập an toàn vì bạn biết rằng NAT có thể ẩn các IP addresses của Internal network clients kết nối đến các DMZ network hosts. Tuy nhiên các mối quan hệ giữa NAT và các Protocols, không phải bao giờ cũng thuận lợi. Một số Protocol không làm việc được với NAT, cho nên trong ví dụ này chúng ta chọn Network Relationship là Route relationship nhằm giải quyết vấn đề rắc rối đó.Ghi nhớ rằng, tại thời điểm này, không có Access Rules nào cho phép truy cập tới Internal network từ DMZ network. 19. Click Apply và click OK. 20. Click Apply để lưu những thay đổi. 21. Click OK trong Apply New Configuration dialog box sau khi thấy thông báo Changes to the configuration were successfully applied. Kết luận: Trong chương này chúng ta đã đề cập cách thức sử dụng các network templates: Edge Firewall và 3-Leg Perimeter để đơn giản hóa các cấu hình khởi hoạt cho: network addresses, Network Rules và Access Rules. Trong chương tới chúng ta sẽ thảo luận tiếp về các loại ISA Server 2004 Clients khác nhau làm việc thế nào với iSA Server 2004 Fiewall.