Thiết lập firewall và các rule với ISA server

một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối. II.2.1. Kiểm tra và Cảnh báo (Activity Logging and Alarms). a. Kiểm tra (Activity logging): Để cung cấp thông tin về những hoạt động của mạng tới người quản trị hầu hết các tường lửa ghi chép các thông tin vào files (log files) và lưu giữ trên đĩa. Một tường lửa hoàn chỉnh phải ghi chép đầy đủ các thông tin về các kết nối thành công và cả không thành công. Các thông tin này rất hữu ích cho việc phát hiện kịp thời những lỗ hổng trêntường lửa. Một log file chuẩn phải có các thông tin sau: + Thời gian bắt đầu và kết thúc của một phiên + Địa chỉ trạm nguồn. + Địa chỉ trạm đích. + Giao thức sử dụng (TCP hay UDP) + Cổng được mở trên trạm đích. + Kết quả của việc kết nối (thành công hay bị từ chối). + Tên người sử dụng nếu xác thực được sử dụng. Ngoài ra còn có thể có thêm các thông tin về số gói được chuyển qua, số lần lặp lại của kết nối đó…. b. cảnh báo (Alarm): Hoạt động báo động cũng rất quan trọng đối với người quản trị. Khi có một kết nối đến mạng thì tường lửa sẽ phát tín hiệu để người quản trị biết. Đồng thời hoạt động cảnh báo cũng đưa ra tình trạng lỗi của các gói. Khi một gói bị chặn lại không qua được tường lửa thì hoạt động cảnh báo của tường lửa cũng gửimột cảnh báo đến trạm nguồn thông báo về nguyên nhân loại bỏ gói đó. III. THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA. III.1. CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP. III.1.1. Mô hình cơ bản. Hình 9 III.1.3. Mô hình Firewall phức tạp: thường sử dụng trong các Doanh Nghiệp lớn Nó có thể chống để các đợt tấn công và xâm nhập bức hợp pháp cả bên trông lẫn bên ngoài Internet Hình 10 III.2. THIẾT LẬP VÀ CẤU HÌNH. III.2.1. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức. B1. Chọn vào Firewall Policy click chuột phải chọn New rồi chọn tiếp Access rule B2. Xuất hiện Hộp thoại Access rule name: Ta điền Amin ra Internet rồi ta bấm Next B3. Xuất hiện hộp thoại Rule Action (luật Hành động ) Action to take when rule condition are met: Allow: (cho phép) Deny: (Cấm) Rule ở đây là ra Internet nên ta chọn Allow rồi bấm Next B4. Màn hình xuất hiện hộp thoại Protocols (Gồm những hành động nào đi ra ngoài) This rule applies to: Ta chọn hành động All outbound trafic: hành động này đi ra ngoài sử dụng được tất cả các Protocol v.v Ta bấm Next Selected protocols: Muốn Protocol nào đi ra ngoài thì chọn mục này All outbound traffic except selected: Cho phép sử dụng tất cả Protocol nhưng muốn không dùng 1 Protocol nào thì chọn mục này B5. Acces Rule Sources (nguồn xuất phát từ đâu) Ta chọn Add xuất hiện hộp thoại Add Network Entities Ta chọn mục Network: Internal là bên trong, External là bên ngoài, Local Host là máy ISA. Ta muốn ra ngoài Internet nên ta chọn nơi xuất phát từ Internal rồi Close Lúc này Access Rule Sources có Internal ta bấm Next B6. Access Rule Destinations (Đi Đâu). Ta tiếp tục chọn Add. Muốn ra ngoài Internet ta chọn External rồi Close Lúc này Ta thấy ngoài Access rule Destinations có External ta bấm Next B7. Màn hình xuất hiện hộp thoại User Sets (Ai đi ra). Ta muốn Admin đi ra thì bỏ All Users bằng cách bấm vào All Users bấm nút Remove, Rồi bấm Add B8. Màn hình Add Users xuất hiện Ta chọn vào New B9. Màn hình New User Set Wizard xuất hiện: Ta điền là Admin Rồi Ta Bấm Next Khi đó Ta chọn Add nó hiện lên 3 dòng ta chọn Windows users and groups B10. Ta chọn vào Location chọn Entire Directory rồi chọn abc.com rồi Ok, sau đó chọn vào Advanced rồi bấm nut Find Now ta sẽ thấy mục Search results có Administrator ta chọn rồi Ok rồi Next sau đó Finish B11. Bây giờ ta thấy có Admin do ta làm hồi nãy ta chọn Admin rồi Close B12. Bây giờ User Sets không phải là chữ All Users mà là chữ Admin ta bấm Next tiếp rồi Finish rồi Apply Kể từ bây giờ admin có thể truy cập được Internet - Bây giờ Clien bỏ DF 10.0.0.100 đi thì không vô Internet được Máy Clien mở IE lên chọn Tab Menu Tool chọn Internet Options Rồi chọn Tab Connection rồi chọn Lan Setting Mục Proxy server Use a proxy server for your LAN ( These setting will not apply to dial-up or VPN connections) ta đánh dấu vô Address ta đánh địa chỉ IP của máy ISA 10.0.0.100 Port 8080 rồi Ok Lúc này ta lại vô được Internet Ta không cần có DF vẫn ra Internet, 2 Kiểu đi ra Internet khác nhau là : • Máy Clien ta để DF đến ISA lúc đó máy ISA đang đóng vai trò NAT • Còn lúc Client trong trình duyệt IE mà cấu hình Proxy lúc đó máy ISA đóng vai trò Proxy Server Ta mở IE lên vào Proxy bỏ hết các thông số ta sẽ không đi bằng kiểu NAT hoặc Proxy nữa mà đi bằng kiểu 3 Máy Clien mở hộp thoại RUN lên đánh địa chỉ IP của máy ISA \\10.0.0.100 ta sẽ thấy bên máy ISA có 1 thư mục đăt tên là mspclnt ta click đôi vào đó rồi chạy file Setup ta cứ việc Next rồi Next thêm cái nữa . Màn hình ISA server Computer Selection xuất hiện Ta chọn Connect to this ISA Server computer ta đánh IP của ISA 10.0.0.100 rồi Next Bấm Install rồi bấm Finish và khi cài xong máy clien sẻ có biểu tượng và lúc này ta không có DF và Proxy nhưng vẫn truy cập được Internet Kết luận: Máy Clien khi mà để DF thì gọi là Secure NAT Máy Clien không để DF nhưng sử dụng Proxy gọi là Proxy Clien Khi Clien không dùng DF và Proxy mà đi cài Tool ISA Clien gọi là Firewall Clien Mỗi cách sẻ có 1 ưu nhược điểm riêng Nếu ta dùng Secure NAT thì thằng Clien có thể ra Internet và dùng bất kì Protocol nào mà ISA allow cho cái rule của nó. Nếu dùng Proxy chỉ đi ra được Internet bằng HTTP và FTP bất chấp máy ISA có allow mọi Protocol nhưng bù lại phương pháp đi bằng Proxy tận dụng được CACHING bởi vì lúc đó máy ISA đi dùng .Nếu có máy Client khác mà hõi lại 1 trang web nào mà ISA nhớ nó có nằm trong cache lúc đó máy ISA trả lời lại liền Firewall Clien là dạng tổng hợp của 2 dạng trên và nó sẻ tự biết là khi nào nên dùng Secure NAT và khi nào dùng Proxy III.2.2. Cấu hình cho các clien ra Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS B1. Ta chọn vào Firewall Policy click chuột phải chọn New rồi chọn Access rule. Acces rule name ta điền: Users ra Internet (HTTP và HTTPS). B2. Màn hình xuất hiện hộp thoại Rule Action.ta chọn Allow Protocols.Ta chọn Sellected protocols rồi chọn Add Rồi ta chọn mục web rồi chọn 2 giao thức HTTP và HTTPS rồi Close B3. ta chọn Next Access Rule Sources : ta bấm Add rồi bấm vào Network chọn Internal rồi Close rồi Next Access Rule Destinations : ta chọn External rồi bấm Next tiếp User Sets mặc định là All Users ta tiếp tục bấm Next rồi Finish Và Apply Lúc này User chỉ sử dụng được có 2 giao thức HTTP và HTTPS III.2.3. Cấm 1 số địa chỉ IP 10.0.0.3 chỉ cho coi web thấy chữ và Không thấy hình và các video. B1. Ta chọn vào Firewall Policy Click chuột phải chọn New rồi chọn Access rule Acces rule name ta điền: Cấm hinh anh. Rule Action: ta chọn Deny Protocols: Ta chọn All outbound traffic Access Rule Sources: Ta chọn Add rồi chọn New rồi chọn dòng Computer Dòng Name điền: may clien. Computer IP Address: 10.0.0.3 rồi Ok Thì mục Computer bây giờ có may Clien rồi ta chọn rồi bấm nút Close Lúc này Access Rule Source sẽ có may clien rồi ta bấm Next Access Rule Destination : Ta chọn External B2. User Sets: ta chọn All Users rồi bấm Next rồi Finish và Apply Click phải vào cam hinh anh rồi chọn Properties. Ta tìm đến tab Content Types Ta đánh dấu vào Selected content types (with this option selected, the rule is applicable only to HTTP traffic) và tiếp tục chọn vào 2 mục Images và Video Ta Ok và Apply Lúc này bên máy Clien có IP 10.0.0.3 truy cập được web nhưng chỉ thấy chữ nhưng không thấy hình và video III.2.4. Cấu hình cache và tiến hành lập lịch down 1 số trang web. B1. Ta chọn Configuation rồi chọn Cache bấm chuột phải rồi chọn Denfine Cache Driver Ta chọn ổ đĩa C: Maximum cache size (MB) dung lượng chứa cache : ta cho 500 rồi bấm nút Set rồi Ok. Ta Apply Ta chọn Save the changes and restart the services rồi Ok. B2.Ta chọn lại Configuration rồi cache bấm chuột phải chọn properties rồi chọn tab Active Caching ta đánh dấu vào Enable active caching rồi ta đánh dấu vào tiếp ô Normally rồi Ok Như vậy ta đã tiến hành cấu hình cache xong Lập lịch Down 1 số trang web về máy Ta bấm vào Configuration rồi bấm cache bấm chuột phải chọn New rồi chọn Content download job rồi chọn Yes. B3. Ta bấm vào Configuration rồi bấm cache bấm chuột phải chọn New rồi chọn Content download job. Content Download Job name: ta điền mail rồi Next. Run the job ta đánh dấu vào Weekly : vào mỗi tuần nó sẽ tự động down rồi Next Select the days the Job will Run ( nó sẽ down vào ngày thứ mấy) Ta đánh dấu vào Sunday rồi Next. Download content from this URL: ta điền địa chỉ trang web muốn down và cache http:// www.mail.yahoo.com rồi ta Next Cache Content: ta chọn if source request headers indicate then the content will be cached Time To – Live: ta chọn Expire content according to the cache rule rồi ta Next. Rồi ta Finish. III.2.5. Cấu hình DNS phân giải tên. B1. Chọn Firewall Policy click chuột phải chọn New rồi Access Rule Access rule name: DNS Rule Action: Allow Protocols. This rule appiles to: ta chọn Selectes protocols rồi bấm Add ta chọn Comomn. B2. Protocols rồi chọn DNS rồi Close rồi Next. Access Rule Sources: Internal. Access Rule Destinations: External. User Sets : All Users rồi Next rồi Finish ta Apply Khi mà ta vào Run đánh CMD mà hình DOS xuất hiện rồi đánh nslookup rồi đánh một trang web bất kỳ ví dụ: www.google.com.vn ta thấy phân giải tên được là 64.233.189.104 Chương III THIẾT LẬP VPN VỚI ISA SERVER 2004 I. TỔNG QUAN VỀ VPN I.1. MỘT SỐ KHÁI NIỆM VPN. Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPN. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng. Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point. Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau: I.1.1. Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa: a. Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó. b. Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó. Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES). I.1.2. Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) I.1.3. Ủy quyền (authorization): Là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công. I.1.4. giao thức đường hầm VPN. Có 3 giao thức đường hầm chính được sử dụng trong VPNs: a. IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng. b. Point-to-Point Tunneling Protocol (PPTP). Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows. c. Layer 2 Tunneling Protocol (L2TP). Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM. I.1.5. Ưu điểm và khuyết điểm của VPN. a. Ưu điểm: - Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP). - Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. -Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính -Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin. -Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. -Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. b. Khuyết điểm. - Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs. - Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng. I.2. CÁC DẠNG VPN. - Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản: + Người sử dụng ở xa có thể truy cập vào tài nguyên mạng của tổ chức hay daonh nghiệp, bất kỳ thời gian nào. + Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau + Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan. - VPN có hai dạng Client to Site và Site to Site. + Client to Site: Một người ở nhà có kết nối internet muốn truy xuất được tài nguyên ở công ty như là đang ngồi ở công ty. Một nhân viên khi đi công tác có lúc cần lấy dữ liệu, hay cần trao đổi dữ liệu trong cơ quan, … Để đáp ứng được những yêu cầu thực tế này trong cơ quan, công ty, … phải xây dựng mô hình VPN theo kiểu Client to Site: cho phép một kết nối từ xa qua đường truyền internet để truy xuất, trao đổi được tài nguyên của mạng nội bộ. + Site to Site: Một công ty có nhiều chi nhánh ở xa có kết nối lên đường internet. Yêu cầu thực tế là các chi nhánh của công ty tuy ở xa nhưng cần phải lấy dữ liệu của nhau, cần phải có nhu cầu trao đổi dữ liệu qua lại giữa các chi nhánh, … để đáp ứng yêu cầu này, mô hình VPN theo kiểu Site to Site cần được xây dựng ở các chi nhánh của công ty. Khi VPN được xây dựng bất kì thành phần nào bên mạng LAN này cũng truy xuất được bất kì thành phần nào ở mạng LAN bên kia và ngược lại. mọi chuyện đều được xảy ra một cách tự động, diễn ra một cách trong suốt mà không cần người Admin đứng ra làm điều gì cả. II. CẤU HÌNH VPN VỚI ISA SERVER 2004. II.1. VPN CLIENT TO SITE DÙNG GIAO THỨC PPTP. I.1.1. các bước cấu hình và thiết lập. Mô hình Client to site ta cần 3 máy tính 1 máy làm Domain (abc.com) 1máy cài ISA và join vào Domain Và 1 máy client ngoài mạng. B1. Tại Domain ta tạo 1 Group tên bất kỳ ví dụ Admin và bật Allow access cho Administrator và cho Administrator tham gia vào Group Admin Và Administrator có Password là 123456. B2. Cách tạo group: Ta click chuột phải rồi chọn New rồi chọn Group. Màn hình New Object – Group xuất hiện Group name: ta điền Admin rồi Ok vậy là tạo Group Admin xong. B3. Bật Allow access cho Administrator Ta chọn Administrator rồi bấm chuột phải chọn Properties Màn hình Administrator Properties xuất hiện: ta chọn tab Dial – in. Remote Access Permission (Dial –in or VPN). Ta chọn Allow access rồi Ok. Cho Administrator vào trong Group Admin Ta chọn Group Admin rồi Click chuột phải chọn Properties. Rồi chọn Tab Members bấm Add Màn hình Select Users Contacts or Computers xuất hiện khung Enter the object name to select: ta bấm administrator rồi chọn Check Names rồi bấm Ok. Lúc này ta quay lại sẽ thấy màn hình Admin Properties có Administrator xuất hiên ta bấm Ok B4. Tại ISA Ta chọn Vitual Private Networks: khi đó ta nhìn bên VPN Clients Tasks có Enable VPN Client Access Ta chọn vào rồi Apply Lúc này ta nhìn lại VPN Client Tasks không phải là Enable VPN Client Access nữa mà là Disable VPN Client Access Ta tiếp tục chọn Configure VPN Client Access. Màn hình VPN Client Properties xuất hiện: Ta chọn tab General Ta đánh dấu vào Enable VPN client access (kích hoạt truy cập VPN client) và Maximum number of VPN client allowe ta điền là 10 (cho phép tối đa 10 client truy cập). B5. Ta chọn tiếp tục tab Group rồi ta bấm vào Add Select group: Ta bấm vào Location Locations: Rồi ta chọn tên miền của tổ chức abc.com rồi chọn Users rồi Ok. Rồi quay lại Select Groups lần này ta thấy hộp thoại From this location: bây giờ là Users Ta chọn vào Advaned tiếp Rồi ta bấm vào Find Now. Lúc này khung Search rerults xuất hiện Group Admin ta chọn rồi bấm Ok Lúc này VPN Client Properties sẽ xuất hiện Group Admin ta ok Rồi ta chọn tab Protocols tiếp: Ta đánh dấu vào Enable PPTP và Enable L2TP/ IPSec. Ta Apply và chọn tiếp Select Access Network. B6. Màn hình Virtual Private Network (VPN) Properties xuất hiện Ta chọn tab Access Network: Ta đánh dấu vào External. Rồi ta chọn tab Address Assignment: Đánh dấu vào Static address pool Rồi bấm Add Ta cung cấp khi một ai kết nối bằng VPN để truy cập mạng nội bộ sẽ phát sinh ra 1 địa chỉ IP Lưu ý địa chỉ IP cấp phát này không được trùng vơí Internal. Internal ta đã lấy địa chỉ IP 10.0.0.2 đến 10.0.0.200 thì ở đây ta phải cấp phát địa chỉ IP là 10.0.0.201 đến 10.0.0.250 Thì lúc này ta sẽ thấy Virtual Private Network (VPN) Properties Khung IP address ranges thấy IP ta cấp rồi OK sau đó. Ta Apply. B7. Khi cấu hình Virtual Private Network (VPN) xong Ta tiến hành tạo ra 1 rule để cho mọi người khi kết nối VPN có thể xâm nhâp vào mạng nội bộ được Lưu ý nếu ta kông tạo rule cho các VPN Client thì cho dù ai đó kết nối VPN thành công cũng không thể nào truy xuất dữ liệu trong mạng nội bộ được. B8. Cách tạo rule cho VPN Client truy xuất dữl iệu được Ta chọn Frewall Policy Click chuột phải chọn New rồi Access Rule. Màn hình Wellcome to the New Access Rule Wizard xuất hiện Access rule name: ta điền VPN Client rồi Next B9. Màn hình Rule Action xuất hiện Action to take when rule condtions are met: Ta chọn Alow. Next B10. Màn hình Protocols xuất hiện This rule applies to: ta chọn All outbound traffic rồi Next. B11. Màn hình xuất hiện Access Rule Sources: Ta bấm Add rồi bấm vào Network chọn VPN client rồi Close lúc này This rule applies Cliets xuất hiện VPN Client rồi bấm Next. B12. Màn hình xuất hiện hộp thoại Access Rule Destinations: Ta chọn Add rồi bấm vào Network chọn Internal rồi Close lúc này ta cũng sẽ thấy This rule applies to traffic sent to these destinations xuất hiện Internal rồi bấm Next. B13. Màn hình xuất hiện hộp thoại Users Sets Lúc này đã có All Users sẵn ta chỉ việc Next rồi Finish Ta Apply là xong. B14. Máy client lúc này ta sẽ cấu hình để sử dụng VPN Ta chọn vào My Network Places rồi click chuột phải chọn Properties. Rồi chọn New Connection Wizrad chọn chuột phải chọn New Connection. Màn hình Wellcome to the New Connection Wizard rồi chọn Next. B15. Màn hình Network Connection Type: ta chọn Connect to the network at my workplace rồi Next. B16. Màn hình Network Connection: Ta chọn Virtual Private Network connection rồi Next. B17. Màn hình Connection Name xuất hiên Compary Name : ta điền PPTP rồi bấm Next. B18. Màn hình VPN Server Selection xuất hiện Host name or IP address (for example microft com or 157.54.0.1): Ta điền địa chỉ 192.168.1.100 rồi Next. B19. Màn hình Connection Availability Xuất hiện Ta chọn My use only rồi next Màn Hình Completing the New Connection xuất hiện Ta đánh dấu vào mục Add a shortcut to this connection to my destop Thì lúc này ta thấy PPTP xuất hiện ở Destop Ta bấm click đôi chuột vào PPTP Thì lúc này Màn hình Connect PPTP xuất hiện: User name: ta điền Administrator Password: 123456 rồi bấm Connect Ta thấy Connect thành công VPN bằng giao thức PPTP Ta bấm Start rồi Run hộp thoại Run xuất hiện ta đánh CMD thì ra được màn hình Dos Khi ra được màn hình Dos ta bấm lệnh ipconfig /all ta thấy xuất hiện thêm 1 địa chỉ IP do ta kêt nối VPN tới mạng cục bộ và được ISA cung cấp do ta cấu hình IP được cung cấp ở đây là 10.0.0.203 Và ta tiến Hành Ping đến mang cục bộ thử là 10.0.0.2 thì thấy nó trả lời lại tín hiệu 127 Và kể từ lúc này ta có thể truy xuất được dữ liệu trong mạng cục bộ. II.2. VPN CLIENT TO SITE DÙNG GIAO THỨC L2TP/IPSEC. II.2.1. Các bước cấu hình và thiết lập. B1. Máy AD Cài dịch vụ IIS và Enterprise CA Ta chọn vào Start rồi chọn Setting rồi chọn Control Panel. B2. Màn hình Control xuất hiện: Ta chọn Add or Remove Programs Màn hình Add or Remove Programs xuất hiện Ta chọn vào Add\Remove Windows Components. B3. Màn hình Windows Components Wizard xuất hiện Ta chọn Application Server rồi bấm vào nút Details. B4. Màn hình Application Server xuất hiện Ta chọn Internet Information Service (IIS) rồi chọn Details. B5. Màn hình Internet Information Services (IIS) xuất hiện Ta chọn World Wide Web Service rồi bấm Details. B6. Màn hình World Wide Web Service Ta chọn World Wide Web Service rồi chọn Ok rồi chọn 2 lần ok Thì lúc này ta trở về màn hình Windows Components Wizard Ta thấy Application Server có đánh dấu và ta bấm Next. B7. Màn hình cài IIS chạy. Sau khi cài IIS xong thì ta tiếp tục cài Enterprise CA Ta chọn Certificate Services rồi nhắp Details. B8. Màn hình Certificate Services xuất hiện Ta chọn Certificate Services Ca. Màn hình hiện ra Microsoft Certificate Services: Ta chọn Yes Thì lúc này Ta thấy Certificate Services CA và Certificate Services Web Enrollment Support đã được đánh dấu ta bấm Ok. B9. Màn hình Windows Components Wizard Ta thấy Certificate Services lúc này được đánh dấu và ta nhắp Next. B10. Màn hình CA type xuất hiện: Ta chọn Enterprise root CA rồi bấm Next. B11. Màn hình CA Identifying Information xuất hiện Common name for this CA: ta điền Certifities rồi Next. B12. Màn hình Certificate Database Settings xuất hiện: Ta tiếp tục chọn Next. B13. Màn hình Microsoft Certificate Services xuất hiện: Ta chọn Yes B14. Màn hình Configuring Components xuất hiện và bắt đầu cài Enterprise CA Trong quá trình cài Enterprise CA nó sẽ ngừng lại và xuất hiện màn hình Microsoft Certificate Services ta cứ tiếp tục bấm Yes Là chương trình sẽ tiếp tục cài Sau khi cài xong ta bấm Finish . Vậy là đã cài xong IIS và Enterprise CA. B15. Máy ISA . Bây giờ ta đi xin chứng nhận CA cho máy ISA Để xin chứng nhận Certificate dễ dàng ta cần phải tạo ra 1 rule để cho Local thông với Internal. Và sau khi chứng nhận Certificate thành công ta phải xoá rule này đi B16. Ta chọn Firewall Policy rồi click chuột phải chọn New rồi Access Rule. B17. Màn hình Wellcome to the New Access Rule Wizard xuất hiện Access rule name: Ta điền All Open from Local Host to Internal rồi Next. B18. Màn hình Rule Action xuất hiện: Ta chọn Allow B19. Màn hình Protocols xuất hiện: Ta chọn All outbound traffic rồi bấm Next. B20. Màn hình Access Rule Source xuất hiện: Ta chọn nút Add rồi chọn network ta chọn Local Host rồi Close sau đó Next. B21. Màn hình Access Rule Destination xuất hiện: Ta bấm Add chọn Network rồi chọn Internal sau đó Close rồi Next. B22. Màn hình User Sets xuất hiện: Ta chọn All Users rồi Next. B23. Màn hình Completing the New Access Rule Wizard xuất hiện: Ta bấm Finish rồi sau đó Apply. B24. Sau khi tạo xong rule All Open from Local host to Internal Ta bấm vào rule All Open from Local Host to Internal rồi click chuột phải chọn Configue RPC protocol. B25. Màn hình Configure RPC protocol policy xuất hiện: ta bỏ dấu Enforce strict RPC compliance đi rồi bấm OK sau đó Apply. B26. Ta chọn tiếp Configuration rồi chọn Add-ins Chọn RPC Filter click chuột phải và chọn Disable. B27. Màn hình ISA Server Warning: Ta chọn Save the change and (restart the services) B28. Ta chọn vào Start rồi chọn Run hộp thoại Run xuất hiện ta bấm mmc. B29. Màn hình Console1 xuất hiện ta bấm vào File rồi chọn Add/Remove Snap-in B30. Màn hình Add/Remove Snap-in xuất hiện: Ta bấm Add. B31. Màn hình Standalone Snap-in xuất hiện ta chọn certificate rồi bấm Add. B32. Màn hình Certificates snap-in: Ta chọn Computer account rồi Next. B33. Màn hình Select Computer xuất hiện: Ta chon Local compurter rồi Finish B34. Lúc này ta thấy màn hình Add/Remove Snap-in đã có Certificate (Local Computer) Bây giờ ta thấy Console Root đã có Certificate (Local Computer). Ta chọn Personal click chuột phải chọn All Task rồi chọn Request New Certificate. B35. Màn hình Welcome to the Certificate Request Wizard xuất hiện: ta bấm Next B36. Màn hình Certificate Types xuất hiện: ta chọn Next. B37. Màn hình Certificate Friendly Name and Description. Friendly name: ta điền Firewall Computer Certificate. B38. Màn hình Completing the Certificate Request Wizard xuất hiện: Ta bấm Finish Thì màn hình Certicate Request Wizard xuất hiên nó báo cho ta biết đã xin Certificate thành công ta bấm Ok Và ta thấy Personal bây giờ có mục Certificates và có Certificate do ta xin là hoang.abc.com. B39. Bây giờ thì ta có thể xoá rule All Open from Local host to Internal được rồi Ta chọn All Open from Local Host …. Rồi lick chuột phải chọn Delete sau đó Apply. B40. Chọn Configuration chọn Add-ins rồi chọn RPC Fiter click chuột phải chọn Enable. B41. Màn hình ISA Server Warning: Ta chọn Save the Changes and restart the service Ta đã Chứng nhận Certificate cho máy ISA xong rồi bây giờ Ta chứng nhận Cho máy VPN Clien là bằng cách Muốn chứng nhận cho máy VPN Clien là ta thực hiện VPN kết nối bằng PPTP tương tự cách cấu hình Client to Site bằng PPTP. Máy client ta thực hiện kết nối VPN bằng PPTP tới máy ISA. B42. Khi kết nối thành công VPN bằng giao thức PPTP thành công rồi thì ta mở chương trình Internet Explorer. Ta ra màn hình Destop click đôi chuột vào Internet Explorer. B43. Màn hình Internet Explorer xuất hiện Thanh Address: ta gõ địa chỉ B44. Màn hình Connetcting to 10.0.0.2 xuất hiện Users name: ta điền khungbo\administrator Password: ta điền 123456 rồi Ok. B45. Trang web xin Certificate sẽ hiện ra: Ta bấm vào Request certificate B46. Màn hình Request a Certificate hiện ra: Ta chọn advanced certificate request B47. Màn hình Ađvance Certificate Request xuất hiện. Ta chọn Create and submit a request to this CA. Certificate Template: Ta chọn Administrator. Key Options: Ta đánh dấu vào Store certificate in the local computer certificate store rồi bấm Submit. B48. Hộp thoại Potential Scripting Violation xuất hiện: Ta bấm Yes. B49. Màn hình Certificate Issued xuất hiện: Ta bấm vào Install this certificate. B50. Hộp thoại Potential Scripting Violation xuất hiện: Ta bấm Yes. B51. Màn hình Certificate Installed xuất hiện Ta thấy nó báo là Your new certificate. has been successfully installed Như vậy ta đã xin thành công rồi. B52.Ta tiếp tục vào Run rồi đánh mmc. B53. Màn hình Console1 xuất hiện: Ta bấm vào File rồi Add/Remove Snap-in. B54. Màn hình Add/Remove Snap-in xuất hiện: Ta bấm Add. B55. Màn hình Add Standlone Snao-in xuất hiện: Ta chọn Certificate rồi Add B56. Màn hình Certificate Snap-in xuất hiện: Ta chọn Computer account rồi Finish B57. Màn hình Select Computer xuất hiện: Ta chọn Local computer rồi Finish. Thì bây giờ ta thấy màn hình Add/Remove Snap-in có Certicate(local Computer)rồi OK B58. Bây giờ màn hình Console1 có Certificate (Local Computer) Ta Click vào Personal rồi Certificate rồi nhấp đôi chuột vào Administrator B59. Màn hình Certificate xuất hiện: Ta chọn Tab Certification Path Ta thấy Certification path nó vẫn có dấu chéo đỏ Ta chọn Certifities: rồi bấm View Certificate Rồi ta chọn Tab Details rồi bấm Copy to File B60. Màn hình Welcome to the Certificate Export Wizard xuất hiện. Ta Next B61. Màn hình Export File Format xuất hiện. Ta chọn Cryptogr aphic Message Syntax Standard – PKCS #7 Certificate (.P7B) Và đánh dấu vào Include all certificate in the certification path if possble rồi Next. B62. Màn hình File to Export xuất hiện File name ; Ta điền C:\CA_Certificate rồi Next B63. Màn hình Completing the Certificate Export Wizard rồi bấm Finish B64. Hộp thoại Certificate Export Wizard báo là The export was successful ta bấm Ok Rồi ta bấm Ok mấy lần nữa. B65. Ta lại chọn lại Trusted Root Certificate Authorities rồi chọn Certaficate bấm chuột phải chọn All Tasks rồi Import B66. Màn hình Welcome to the Certificate Import Wizard rồi bấm Next B67. Màn hình File Import xuất hiện Ta bấm Browse B68. Hộp thoại Open xuất hiện khung Files of type ta chọn là All Fites (*.*) rồi chọn đường dẫn đến ổ C ta sẽ thấy CA_Certificate do hồi nãy ta tạo ta bấm vào đó rồi Open sau đó ta bấm Next B69. Màn hình Certificate Store xuất hiện Ta chọn Place all certificates in the following store rồi bấm Next B70. Màn hình Completing the Certificate Import Wizard ta bấm Finish Lúc này ta thấy trong Trusted Root Certificate Authoritoes\Certificate thấy có Certifities Và Ta bấm lại Personal rồi Certificate rồi click đôi chuột vào Administrator lại coi thử Lúc này Ta không thấy dấu chéo đỏ nữa . Sau đó ta đóng lại hết B71. Khi đó Ta Dissconet PPTP. Bây giờ Ta đã chứng nhận dùng bằng Certificate cho máy ISA và VPN Client xong rồi Ta tiếp tục chứng nhận cho User cho VPN Client Ta tiếp tục Vào Run đánh mmc tiếp Màn hình Console xuất hiện: Ta chọn File rồi chọn Add/Remove Snap-in B72. Màn hình Add/Remove snap-in xuất hiện Ta bấm Add B73. Màn hình Add Standalone Snap-in xuất hiện ta chọn Certificate rồi Add B74. Ta chọn My user acccount rồi Finish B75. Ta lại tiếp tục chọn Certificate 1 lần nữa rồi bấm Add B76. Ta chọn Computer account B77. Màn hình Select Computer : Ta chọn local computer rồi Finish Lúc này ta thấy màn hình Add/Remove Snap-in có 2 Certificates B78. Ta chọn vào Certificate (local Computer) rồi bấm vào Personal rồi Certificate ta Copy Administrator B79. Chọn Certificate –Curent User rồi chọn Personal click chuột phải rồi chọn Paste Lúc này ta thấy Certificate – Curent User. Personal\Certificate có Administrator sau đó ta đóng lại tất cả B80. Bây giờ máy ISA xác lập EAP Ta chọn Virtual Private Network (VPN) rồi ta chọn Select Access Network B81. Màn hình Virtual Private Networks (VPN) Properties xuất hiện Ta chọn Tab Authentication: Ta đánh dấuvào Extensible authentication protocol (EAP) with smart card or other certificate rồi Ok sau đó Apply B82. Ta chọn Monitoring rồi chọn tab Service Rồi chọn Remove Access Service click chuột phải và chọn Stop B83. Chọn Remove Access Service click chuột phải chọn Start lại B84. Bây giờ ta tạo kết nối VPN bằng L2TP/ IP Sec Trên client bên ngoài ta Click chuột phải vào Icon My Network Places rồi chọn Properties B85. Click chuột vào New Connection Wizard B86. Màn hình Welcome to the New Connection Wizard xuất hiện ta bấm Next B87. Màn hình Network Connection Type xuất hiện: Ta chọn Connect to the network at my workplace rồi chọn Next B88. Màn hình Network Connection xuất hiện: Ta chọn Virtual Private Network connection rồi Next B89. Màn hình Connection Name xuất hiện. Compary Name: Ta điền L2TP rồi Next B90. Màn hình Public Network: Ta chọn Do not dial the intial connection B91. Màn hình VPN Server Selection: Ta điền 192.168.1.100 B92. Màn hình Connection Availabilily xuất hiện: Ta chọn My use only rồi Next B93. Màn hình Completing the New Connection Wizarrd xuất hiện: Ta đánh dấu vào Add shortcut to this connection to my destop Ta ra màn hình Destop sẽ thấy có L2TP được tạo ra và ta bấm click vào L2TP B94. Màn hình Connect L2TP xuất hiện ta bấm vào Propertiess B95. Màn hình L2TP Properties xuất hiện Ta chon Tab Security B96. Ta chọn Ađvance (Custom settings) rồi bấm vào Settings B97. Màn hình Advanced Security Setting xuất hiện: Ta đánh dấu vào Use Extensible Authentication Protocol (EAP) rồi Properties B98. Màn hình Smart Card or other Certificate Properties xuất hiện: Ta đánh dấu vào Use a certificate on this computer và Use simple certificate selection rồi Ok B100. Màn hình L2TP xuất hiên: Rồi ta chọn Tab Networking. Type of VPN: Ta chọn L2TP IP Sec VPN ròi Ok B101. Màn hình Connect L2TP xuất hiện và ta bấm vào chữ Connect Và nó sẽ đi kiểm tra quyền chứng thực và ta bấm OK. Vậy là ta đã Connect thành công VPN dùng bằng L2TP/IP Sec dùng bằng phương thức bảo mật EAP thành công III.3. VPN SITE TO SITE. III.3.1. Các bước cấu hình và thiết lập. Chúng Ta sẻ lam mô hình theo site saigon và site hanoi Site saigon có IP là 192.168.1.100 và ta tạo user là kiem pass 123 và bật Allow Access Site hanoi có IP là 192.168.1.200 và ta tạo user là dao pass 123 và bật Allow Access Ta sẻ cấu hình Site Saigon trước B1. Ta chọn vào Virtual Private Network (VPN) rồi chọn vào Enanle VPN Client Access Và Apply thì lúc này ta sẽ thấy lại là Disable VPN Client Access Rồi ta chọn Configure VPN Client Access B2. Màn hình VPN Client Properties xuất hiện Ta đánh dấu vào Enable VPN client access Maximu number of VPN client allowe : ta sửa lại là 10 và Ok và Apply B4. Chọn Tab Remote Sites: rồi bấm vào Add Remote Site Network B5. Màn hình Welcome to the New Network Wizard xuất hiện Network name: ta điền hanoi rồi Next B6. VPN Protocol: ta chọn Point to Point Tunneling Protocol (PPTP) rồi Next B7. Màn hình Remote Site Gateway xuất hiện Remote VPN Server name or IP address:Ta điền IP ra net của site hanoi là 192.168.1.200 B8. Màn hình Remote Authentication xuất hiện Ta đánh dấu vào Local site can initiable connection to remote site using these credentials User name: ta điền user site hanoi là dao Password: 123 Confirm password:123 rồi Next B9. Màn hình Local Authentication xuất hiện ta bấm Next B10. Màn hình Network Addresses xuất hiện Ta bấm Add B10. Nhập IP Internal của ISA site hanoi là 172.16.2.5 đến 172.16.2.100 rồi Ok Lúc này ta sẻ thấy Address ranges sẻ xuất hiện IP rồi bấm Next B11. Màn hình Completing the New Network Wizard xuất hiện ta bấm Finish rồi Apply B12. Ta chọn Vitual Pritave Network (VPN) bấm chuột phải chọn Properties B13. Màn hình Virtual Private Network (VPN) Properties xuất hiện Ta chọn tab Access Networks và đánh dấu vào External và hanoi B14. Chọn tab address Assignment Ta đánh dấu vào Static address pool rồi bấm Add B15. Ta cấp phát IP cho site Hanoi Lưu ý địa chỉ cấp phát không được chung với Internal nội bộ Internal của site saigon là 10.0.0.2 đến 10.0.0.200 nên bây giờ ta cấp 10.0.0.201-10.0.0.250 rồi Ok Thì lúc này IP address ranges có IP rồi ta bấm ok sâu đoá ta apply B16. Ta chọn tiếp Configuration rồi chọn Network Click chuột phải chọn New rồi Network Rule B17. Màn hình Welcome to the New Network Rule Wizard xuất hiện Network rule name: ta điền hanoi to internal rồi Next B18. Màn hình Network Traffic Sources : ta bấm Add rồi bấm vào Network rồi chọn Hanoi rồi Close Lúc này ta sẻ thấy This rule applies to traffic from these soures : có hanoi rồi ta bấm Next B19. Màn hình Network Traffic Destinations: ta bấm Add rồi bấm vào Network rồi chọn Internal rồi Close Ta thấy This rule applies to traffi sent to these destinations có Internal rồi Next B20. Màn hình Network Relationship: Ta chọn Route. Route sẽ định tuyến các gói tin nhưng giữ nguyên địa chỉ IP gốc của client gửi gói tin đi. NAT: nó sẻ thay đổi địa chỉ IP gốc của clien gửi gói tin Màn hình Completing the New Network Rule Wizard xuất hiện ta bấm Finish rồi Apply Đến đây là ta đã cấu hình site saigon xong bây giờ ta phải tạo ra rule để cho 2 site mới truy cập dũ liệu đuợc nhau B21. Ta chọn Frewall Policy rồi bấm chuột phải chọn New rồi Access Rule B22.Màn hình Welcome to the New Access Rule Wizard xuất hiện Access rule name : ta điền site to site B23. Màn hình Rule Action xuất hiện Action to take when condtions are met : ta chọn Allow rồi Next B25. Màn hình Protocol xuất hiện This rule applies to : ta chọn All outbound traffic rồi Next B26. Màn hình Access Rule Sources xuất hiện : Ta chọn vào Add chọn Network rồi chọn hanoi và Internal rồi close Lúc này ta thấy This rule applies to traffic these soures có hanoi và Internal rồi bấm Next B27. Màn hình Access Rule Destinations xuất hiện: Ta bấm Add chọn Network rồi chọn hanoi và Internal rồi Close Lúc này ta thấy This rule applies to traffic sent to these destinnation có hanoi va Internal rồi ta bấm Next B28. Màn hình User Sets xuất hiện This rule to requests from the following user sets có All Users rồi ta bấm Next B29. Màn hình Completing the New Access Rule Wizard xuất hiện ta bấm Finish rồi Apply B30. Khi làm xong rule bây giờ ta phải kiểm tra xem trong Routing and Remote Access có bật chức năng Remote access connection (inbound only) và Demand –dial routing connections (inbound and outbound) chưa. Ta bấm vào Start rồi chọn Program ròi chọn Administrator Tool rồi chọn tiếp Routing and Remote Access B31. Chọn Port bấm chuột phải chọn Properties B32. Màn hình Ports Properties xuất hiện Rồi ta chọn dòng WAN Miniport (PPTP) RAS/Routing PPTP nhấp đôi chuột B33. Màn hình Configure Devie – WAN Miniport (PPTP) xuất hiện Ta đánh dâu vào 2 mục Remote access connections (inbound only) Và Demand –dial routing connections (inbound and outbound) rồi Ok B34. Ta bấm vào tên máy tính rồi click chuột phải chọn All taks rồi Restart B35. Bây giờ ta cấu hình site hanoi cách làm củng tương tự site saigon chỉ làm ngược lại thôi Ta bấm vào Virtual Private Network (VPN) rồi bấm vào Enanle VPN Client Access Và Apply thì lúc này ta sẻ thấy lại là Disable VPN Client Access B36. Chọn Configure VPN Client Access B37. Màn hình VPN Client Properties xuất hiện Ta đánh dấu vào Enable VPN client access Maximum number of VPN client allowe: ta sửa lại là 10 rồi Ok và Apply B38. Chọn Tab Remote Sites: rồi bấm vào Add Remote Site Network B39. Màn hình Welcome to the New Network Wizard xuất hiện Network name: ta điền saigon rồi Next B40. VPN Protocol : ta chọn Point to Point Tunneling Protocol (PPTP) rồi Next B41. Màn hình Remote Site Gateway xuất hiện Remote VPN Server name orIP address Ta điền IP ra net của site saigon là 192.168.1.100 B42. Màn hình Remote Authentication xuất hiện Ta đánh dấu vào Local site can initiable connection to remote site using these credentials User name : ta điền user site saigon là kiem Password: 123. Confirm password:123 rồi Next B43. Màn hình Local Authentication xuất hiện ta Next B44. Màn hình Network Addresses xuất hiện ta Add B45. Lúc này ta sẻ nhập địa chỉ card trong của ISA site saigon là 10.0.0.2 đến 10.0.0.200 rồi Ok B46. Màn hình network address. Address ranges sẽ xuất hiện IP rồi bấm Next B47. Màn hình Completing the New Network Wizard xuất hiện ta Finish rồi Apply B48. Ta chọn Vitual Pritave Network (VPN) click chuột phải chọn Properties B49. Màn hình Virtual Private Network (VPN) Properties xuất hiện Ta chọn tab Access Networks và đánh dấu vào External và saigon B50. Chọn tab address Assignment Ta đánh dấu vào Static address pool rồi bấm Add B51. Ta cấp phát IP cho site Hanoi Lưu ý địa chỉ cấp phát không được trùng với Internal nội bộ Internal của site hanoi là 172.16.2.5 đến 172.16.2.100 nên bây giờ ta cấp 172.16.2.101-172.16.2.200 rồi Ok Thì lúc này IP address ranges có IP rồi ta bấm Ok rồi Apply B52. Ta chọn tiếp Configuration rồi chọn Network bấm chuột phải chọn New rồi Network Rule B53. Màn hình Welcome to the New Network Rule Wizard xuất hiện Network rule name: ta điền saigon to internal rồi Next B54. Màn hình Network Traffic Sources: ta bấm Add rồi bấm vào Network rồi chọn Saigon rồi Close Lúc này ta sẻ thấy This rule applies to traffic from these soures : có hanoi rồi ta bấm Next B55. Màn hình Network Traffic Destinations: ta bấm Add rồi bấm vào Network rồi chọn Internal rồi Close Lúc nầy ta sẻ thấy This rule applies to traffi sent to these destinations có Internal rồi Next B56. Màn hình Network Relationship : Ta chọn Route B57. Màn hình Completing the New Network Rule Wizard xuất hiện ta bấm Finish rồi Apply Đến đây là ta đã cấu hình site hanoi xong bây giờ ta phải tạo ra rule để cho 2 site mới truy cập dũ liệu đuợc B58. Ta chọn Frewall Policy Click chuột phải chọn New rồi Access Rule B59. Màn hình Welcome to the New Access Rule Wizard xuất hiện Access rule name: ta điền site to site B60. Màn hình Rule Action xuất hiện Action to take when condtions are met : ta chọn Allow rồi Next B61. Màn hình Protocol xuất hiện This rule applies to : ta chọn All outbound traffic rồi Next B62. Màn hình Access Rule Sources xuất hiện : Ta bấm vào Add chọn Network rồi chọn saigon và Internal rồi Close Lúc này ta thấy This rule applies to traffic these soures có saigon và Internal rồi Next B63. Màn hình Access Rule Destinations xuất hiện : Ta bấm Add chọn Network rồi chọn saigon và Internal rồi Close Lúc nầy ta thấy This rule applies to traffic sent to these destinnation có saigon và Internal rồi Next B64. Màn hình User Sets xuất hiện This rule to requests from the following user sets có All Users rồi ta bấm Next B65. Màn hình Completing the New Access Rule Wizard xuất hiện ta bấm Finish rồi Apply Khi làm xong rule bây giờ ta phải kiểm tra xem trong Routing and Remote Access có bật chức năng Remote access connection (inbound only) và Demand –dial routing connections (inbound and outbound) B66. Ta chọn vào Start rồi chọn Program ròi chọn Administrator Tool rồi chọn tiếp Routing and Remote Access B67. chọn Port bấm chuột phải chọn Properties B68.Màn hình Ports Properties xuất hiện Rồi ta chọn dòng WAN Miniport (PPTP)RAS/Routing PPTP nhấp đôi chuột B69. Màn hình Configure Devie – WAN Miniport (PPTP) xuất hiện Ta đánh dấu vào 2 mục Remote access connections (inbound only) Và Demand –dial routing connections (inbound and outbound) ròi Ok B70. vào tên máy tính rồi bấm chuột phải chọn All taks rồi Restart KẾT LUẬN Với sự bùng nổ ngày càng mạnh mẽ của mạng máy tính và Internet, các quốc gia, các tổ chức, các công ty và tất cả mọi người đang dường như xích lại gần nhau hơn. Từ các máy tính cá nhân PC, các mạng cục bộ LAN, các mạng diện rộng WAN, … đều có thể kết nối vào Internet để khai thác và truyền bá thông tin. ở Việt Nam ta hiện nay, cùng với sự gia nhập Internet, việc ứng dụng tin học vào quản lý và công tác nghiên cứu, học tập ngày càng phổ biến; đặc biệt là việc tra cứu, tìm kiếm và trao đổi thông tin. Chính vì thông tin có tầm quan trọng lớn như vậy nên việc bảo vệ, làm trong sạch nguồn tài nguyên thông tin trên mạng đã, đang và sẽ luôn là vấn đề rất cần thiết không chỉ đối với những chuyên gia an ninh mạng mà còn với tất cả những người tham gia vào mạng máy tính và Internet. Với mục tiêu mà đề tài đã đặt ra, qua mỗi phần trong đồ án, em đã tìm hiểu và đưa ra được những nghiên cứu của mình về ứng dụng của ISA server trong xây dựng tường lửa và kết nối VPN một cách tổng quan nhất. tuy nhiên bên cạnh những ưu điểm của nó vẫn còn những hạn chế nhất định như: - Hệ thống ISA SERVER 2004 chưa thực sự tối ưu trong bảo mật và an ninh mạng. - Đôi khi còn gây khó chịu cho người sử dụng do bị hạn chế truy cập các nguồn tài nguyên trên internet. - Trong khi sử dụng, cấu hình, cài đặt còn rất khó khăn, như phần mền bị lỗi do không sử dụng phần mền có bản quyền, chưa biết cách sử dụng, thiết lập… định hướng phát trển đề tài: xây dựng một hệ thống bảo mật và an ninh mạng tốt nhất cho doanh nghiệp tổ chức, nhằm bảo vệ nhưng thông tin cơ sở dữ liệu một cách tốt nhất. Đồng thời nâng cấp lên phiên bản ISA SERVER 2006 với nhiều tính năng bảo mật cao hơn, dễ sử dụng hơn, giao diện đẹp hơn… Do vốn kiến thức bản thân còn chưa rộng, hơn nữa thời gian tiếp xúc và thực tiễn còn nhiều hạn chế, nên em chưa thế tìm hiểu và trình bày thật tốt những vấn đề về an toàn, bảo mật, và tường lửa cũng như VPN. Trên đây là những kiến thức mà em đã nắm được trong quá trình học tập và nghiên cứu qua sự hướng dẫ và chỉ bảo tận tình của thầy giáo hướng dẫn. em chân thành cam ơn và mong được sự giúp đỡ và chỉ bảo tận tình của thầy cô và bạn bè để em có thể trang bị cho mình những kiến thức về đề tài mà em đã chọn.Những kiến thức đó và những kiến thức đã được trang bị trong quá trình học tập, nghiên cứu tại trường cũng là cái gốc để từ đó em có cơ sở nghiên cứu, phát huy tiếp về đề tài này; mong đóng góp một phần nào đó có ích cho ngành điện tử viễn thông cũng như nền công nghệ thông tin của nước nhà. Em xin chân thành cám ơn! Hà Nội tháng 5-2005 Sinh viên thực hiện C¸c tõ viÕt t¾t AH Application Header ALU Arithmetic and Logic Unit ARP Address Resolution Protocol CRC Cyclic Redundancy Check DEC Digital Equipment Corporation DH Data link Header DNS Domain Name System FDDI Fiber Distributed Data Interface FIN Final FTP File Transfer Protocol GAN Global Area Network HTML Hyper Text Markup Language HTTP Hyper Text Transport Protocol IAS Institute for Advanced Studies ICMP Internet Control Message Protocol IP Internet Protocol IRC Internet Relay Chat ISDN Integated Services Digital Network ISO International Standards Organization LAN Local Area Network MAC Media Access Control MAN Metropolitan Area Network MTU Maximum Transmit Unit NH Network Header NIC Network Interface Card NSF National Science Foundation OSI Open System Interconnection PDU Protocol Data Unit RARP Reverse Address Resolution Protocol RCP Remote Call Procedure RIP Routing Information Protocol SH Session Header SLIP Serial Line Internet Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol RST Reset SYN Sychronous TCP Transmission Control Protocol TF Time of Fall TFTP Trivial File Transfer Protocol TH Transport Header TTL Time To Live UDP User Datagram Protocol VER Version WAIS Wide Area Information Services WAN Wide Area Network Tµi liÖu tham kh¶o Cấu trúc máy vi tính – Tg: Trần Quang Vinh (NXB Giáo Dục) Giáo trình Cấu trúc máy tính – Tg: Tống Văn On, Hoàng Đức Hải (NXB Lao Động – Xã Hội) Mạng máy tính và các hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục) An toàn và bảo mật tin tức trên mạng – Học viện Công nghệ Bưu chính Viễn thông (NXB Bưu Điện) Bức tường lửa Internet và An ninh mạng – NXB Bưu Điện Network and Internetwork Security – Tg: William Stallings Cisco Networking Academy Program CCNA 1, CCNA 2 Các bài viết về mạng máy tính và bức tường lửa – Tham khảo qua Internet. Traningkit MCSA, MCSE 70-351, 70-351. LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của tôi. Những tài liệu trong đò án là hoàn toàn trung thực. các kết quả nghiên cứu do chính tôi thực hiện dưới sự chỉ đạo của giáo viên hướng dẫn. MỤC LỤC