Trang chủ > Computer-Internet > Cấu hình ISA server 2006 sau khi cài đặt

Cấu hình ISA server 2006 sau khi cài đặt

Có hang loạt các thao tác quản lý cơ bản mà bạn cần phải quan tâm ngay sau khi cài đặt ISA 2006 firewall. Các thao tác quản lý tường lửa cơ bản này thường độc lập với chính sách tường lửa bạn mà thiết lập sau này.
Bạn đang thiết lập hệ thống tường lửa Web proxy cơ bản cho phù hợp với công ty của bạn. Những thao tác sau khi cài đặt thay đổi theo loại hình cài đặt (Web proxy mode so với full firewall deployment), phiên bản ISA firewall được cài đặt (phiên bản Standard Edition hay phiên bản Enterprise Edition), và nếu Enterprise Edition thì tùy thuộc vào cấu hình Array (mảng cấu kết đơn lẻ, mảng đa cấu kết, mảng cấu kết tổ hợp nhóm làm việc, mảng cấu kết miền).
Bài viết này tiếp tục bài trước Cài đặt ISA Server 2006 Enterprise Edition trong việc cấu hình nhóm làm việc đơn lẻ cung cấp một danh sách các thao tác sau cài đặt. Mỗi quản trị ISA firewall cài đặt một mảng cấu kết đơn lẻ, Web proxy đơn lẻ tuân theo các thao tác sau:


• Sao lưu dự phòng cấu hình

• Gán Enterprise Roles

• Thiết lập CSS Policy Update Interval

• Gán Array Roles

• Thiết lập Alert Definitions

• Thay đổi Column Order trong Sessions Monitor

• Thiết lập Recurring Report Jobs

• Tùy biến Reports

• Thiết lập Log Summary và Report Preferences

• Thiết lập Connectivity Monitors

• Thiết lập Firewall và Web Proxy Logging

• Tạo và xuất Frequently Used Filter Definitions

• Nhập các địa chỉ IP của Remote Management Computers

• Thiết lập Direct Access List

• Thiết lập Web Chaining Rules

• Kích hoạt và thiết lập Web Cache

• Vô hiệu hóa Unused Application và Web Filters

• Thiết lập Compression Preferences

• Chỉ rõ Certificate Revocation Settings

• Chỉ rõ Diffserv Preferences

• Xác định LDAP và RADIUS Servers

• Thiết lập Intrusion Detection và DNS Attack Detection

• Xác định IP Preferences

• Thiết lập Flood Mitigation Settings

• Hệ thống Hardening – củng cố, làm cứng (tùy chọn)

• Sao lưu dự phòng lại cấu hình
Những nội dung dưới đây cung cấp một số thông tin cơ bản về những tùy chọn thiết lập sau khi cài đặt. Tuy nhiên vì vấn đề này khá phức tạp nên bài viết này chỉ đưa ra những miêu tả khái quát cơ bản. Bạn có thể tìm đọc thêm các chủ đề khác trong ấn phẩm sách ISA 2006 hoặc phần Help file của chương trình trước thiết lập các tùy chọn này.
install-isa-unihome

Hình 1.


Sao lưu dự phòng cấu hình

Để bảo đảm an toàn cho việc sao lưu các hệ thống file, hệ thống thư từ và các website bạn nên sao lưu cấu hình ISA firewall trước khi có bất kỳ sự thay đổi nào. Đây là điều đầu tiên bạn nên làm trước khi ngắt hệ thống sau khi cài đặt. Cũng khá dễ dàng để trở về tình trạng hiện thời, vậy còn đắn đo gì về điều này? Hãy sao lưu các cấu hình cơ sở và bạn sẽ dễ dàng trở lại trạng thái đó.


Thực hiện các bước sau để sao lưu cấu hình ISA firewall:

1. Ở bảng điều khiển ISA firewall, nhấp chuột phải vào nút trên cùng và nhấp chọn Export (Back Up).

2. Nhấp chọn Next trên cửa sổ Welcome to Export Wizard.

3. Trên cửa sổ Export Preference, đánh dấu Export confidential information và Export user permissions. Nhấn enter và xác
nhận mật khẩu để lưu giữ bảo vệ file. Ấn Next.
install-isa-unihome-2


Hình 2.

4. Trên cửa sổ Export File Location, nhập tên cho file cần sao lưu vào ô trống, sau đó ấn Next.
install-isa-unihome-3
Hình 3.

5. Nhấp chuột Finish trên cửa sổ Completing the Export Wizard.

6. Ấn Ok trong hộp thoại xác nhận để việc xuất dữ liệu đã thành công.


Gán vai trò Enterprise Roles

Dù chỉ có duy nhất một máy trong hệ thống ISA firewall Enterprise, bạn vẫn nên thiết lập cấu hình các Enterprise Roles. Đó là nơi cho phép bạn thiết lập các người dùng và các nhóm được quyền truy cập vào CSS và Monitor Arrays.
Để gán vai trò Enterprise roles, nhấp chuột phải vào Enterprise ở bên trái cửa sổ bảng điều khiên ISA firewall và chọn Properties. Trong hộp thoại Enterprise Properties, chọn tab Assign Roles. Bạn sẽ thấy xuất hiện bảng sau.
install-isa-unihome-4


Hình 4.

Mặc định, quản trị cục bộ của máy được thiết lập như một ISA Server Enterprise Administrator. Bạn có thể thêm các user khác như các quản trị Enterprise, tuy nhiên phải lưu ý rằng vì ISA firewall không phải cấu kết miền nên các tài khoản sử dụng phải tồn tại trong chính bản thân ISA firewall. Enterprise còn là ISA Server Enterprise Auditor. Vai trò này cho phép các user quan sát thiết lập của toàn bộ enterprise cũng như thực hiện các nhiệm vụ kiểm tra giám sát, bao gồm tạo lập các tệp sổ ghi (log file) của ISA firewall, tạo lập Alert Definitions (xác định cảnh báo), và giám sát tất cả các lĩnh vực của Enterprise và mảng trong doanh nghiệp này.
Thiết lập thời gian cập nhật chính sách CSS
Chính sách và cấu hình ISA firewall cho hệ thống ISA Enterprise không được lưu giữ trong cục bộ phần đăng ký mà được lưu giữ ở bộ nhớ cấu hình (CSS). CSS được kiểm tra dựa trên những thay đổi định kỳ cơ bản đối với chính sách và cấu hình firewall và những thay đổi này được áp dụng cho mảng. Bạn có thể thiết lập được khoảng kiểm tra vòng này bằng cách nhấp chuột phải vào tên của mảng nằm bên trái cửa số bảng điều khiển ISA firewall và ấn Properties. Trên hộp thoại Properties, nhấp chuột vào thẻ Configuration Storage. Thẻ này giống như trong bảng sau.
install-isa-unihome-5
Hình 5.

Trong thẻ Configuration Storage bạn cài đặt khoảng kiểm tra vòng. Giá trị mặc định là 15 giây. Bạn có thế thay đổi giá trị khoảng thời gian đến 10 phút, 60 phút hoặc tùy biến (Custom) (giây) bằng tay. Chú ý khoảng thời gian càng dài thì sẽ càng mất nhiều thời gian thay đổi để phân phối từ CSS đến chính sách hoạt động firewall.


Gán vai trò của Array

Array roles khác biệt so với enterprise roles. Những tài khoản người dùng được gán tới vai trò Enterprise roles có thể có những ưu thế của các vai trò này đối với tất cả các mảng trong enterprise. Ngược lại, các vai trò được gán ở cấp độ arrray áp dụng chỉ cho mảng cụ thể. Các tùy chọn vai trò Array này hơi khác biệt so với những gì bạn thấy ở cấp độ Enterprise. Trong hộp thoại Properties, nhấp chuột vào thẻ Assign Roles để gán vai trò mảng.
install-isa-unihome-6
Hình 6.

Chú ý không có bất cứ một user mặc định được gán với bất cứ vai trò nào ở cấp độ mảng. Có 3 vai trò mảng: ISA Server Array Administrator (tương tự vai trò của enterprise administrator), ISA Server Array Auditor (cho phép người dùng quan sát các biểu đồ ISA Server traffic logs), và ISA Server Array Monitoring Auditor (cho phép người dùng hiển thị các đặc quyền trên toàn bộ mảng bao gồm enterprise và các firewall policy rule.


Thiết lập Alert Definitions

ISA firewall bao gồm hàng tá cảnh báo trước cài đặt. Những cảnh báo này được kích hoạt khi dò thấy các thông số cảnh báo. Tuy nhiên trạng thái cảnh báo có thể được điều chỉnh tùy theo những yêu cầu riêng của bạn.

Để thiết lập Alert Definitions, nhấp chuột vào Monitoring nằm bên trái cửa sổ bảng điều chỉnh. Sau đó nhấp chuột chọn thẻ Alerts ở giữa cửa sổ bảng điều chỉnh. Chọn thẻ Tasks trong Task Pane rồi nhấp chuột vào Configure Alert Definitions link. Bạn sẽ thấy xuất hiện bảng giống như hình sau.
install-isa-unihome-7
Hình 7.

Trong hộp thoại Alerts properties có một danh sách tất cả các cảnh báo có sẵn ở ISA firewall. Mỗi cảnh báo này được thiết lập mặc định và bạn có thể sử dụng ngay ngoài hộp thoại, hoặc bạn cũng có thể tùy chỉnh thiết lập mặc định. Bạn cũng có thể tạo những cảnh báo mới dựa trên các cảnh báo thích hợp nhưng việc kích hoạt dựa trên các thông số sự kiện khác nhau có những tác động khác nhau.

Nhấn đúp chuột vào một trong các cảnh báo và bạn sẽ thấy xuất hiện bảng giống như bảng sau. Trên thẻ General trong hộp thoại Properties của cảnh báo, bạn sẽ thấy những mô tả của cảnh báo, loại cảnh báo, và mức độ nghiêm trọng mặc định của nó. Đánh dấu chọn Enable nếu muốn kích hoạt cảnh báo.
install-isa-unihome-8
Hình 8.

Chọn thẻ Events và bạn sẽ thấy các thông số mặc định cần có để có thể kích hoạt cảnh báo. Bạn có thể thay đổi các thông số kích hoạt tại đây. Bạn cũng có thể quyết định việc cảnh báo chỉ được kích hoạt khi một server cụ thể nào đó trong mảng bị tác động.
install-isa-unihome-9
Hình 9.

Chọn thẻ Actions. Ở đây bạn có thể thiết lập cảnh báo để gửi một thông báo, chạy một chương trình, hoặc ngừng hay khởi động Windows trong trường hợp cảnh báo được kích hoạt dựa trên những thiết lập trước trên thẻ Events.
install-isa-unihome-10
Hình 10.

Mức độ bao quát, bảo vệ cụ thể của tất cả các cảnh báo trong ISA firewall alerts cũng như cách thiết lập và tạo mới các cảnh báo nằm ngoài phạm vi của bài viết này. Trong tương lai vấn đề này chắc chắn sẽ được đề cập chi tiết trong cuốn sách ISA Server 2006.


Thay đổi Column Order trong Sessions Monitor

ISA firewalls session monitor (bộ giám sát phiên hoạt động của ISA firewall) cho thấy những máy có phiên đang hoạt động ISA firewall trong chế độ thời gian thực. Mặc định, các cột được sắp xếp không theo thứ tự để tránh việc “dòm ngó” thông tin. Sự cố này có thể khắc phục được bằng cách sắp xếp lại các cột. Ngoài ra, bạn cũng có thể thêm một cột mang lại một lượng lớn thông tin có giá trị.

Chọn thẻ Sessions, sau đó nhấp chuột chọn mục Add/Remove Columns.
install-isa-unihome-11
Hình 11.

Trong hộp thoại Add/Remove Columns, chọn mục Application Name trong Available columns list và chọn Add. Mục này mang lại các thông tin giá trị về những ứng dụng mà user đang sử dụng để tiếp cận nguồn tài nguyên qua ISA firewall. Thông qua thông tin này bạn có thể kiểm tra những ứng dụng chưa xác định đã được sử dụng để kết nối các nguồn tài nguyên liên mạng. Sau đó bạn có thể ngừng kết nối làm việc trong thời gian xử lý thông tin. Lưu ý cách này chỉ dùng được khi bạn triển khai Firewall client trong tổ chức đúng cách.

Bạn có thể dùng phím Move Up và Move Down để thay đổi thứ tự columns (như bảng sau). Ấn OK sau khi thay đổi.

install-isa-unihome-12
Hình 12.


Thiết lập Recurring Report Jobs

Thứ mà các ông chủ thường yêu cầu chính là các báo cáo. Các ISA firewall report cung cấp những thông tin khách quan về những gì ISA firewall đã và đang bảo vệ cũng như quản lý lưu thông mạng cho tổ chức. Với lý do này bạn nên lập kế lịch report jobs hoạt động thường xuyên và việc quản lý nhờ đó mà trở nên dễ dàng hơn.

Chọn thẻ Reports ở giữa cửa sổ bảng điều khiển. Chọn thẻ Tasks trên khung Task Pane và bạn sẽ thấy xuất hiện một loạt tùy chọn có sẵn để tạo lập và thiết lập cấu hình báo cáo. Thực hiện theo các bước sau để tạo lập một recurring report job:
1. Ở thẻ Tasks trên khung Task Pane, nhấp chuột vào link Create and Configure Report Jobs. Đường dẫn này cho phép bạn tạo lập một recurring report job. Link Generate a New Report giúp bạn tạo lập một Ad Hoc report.
install-isa-unihome-13
Hình 13.

2. Ở trang Welcome to the New Report Job Wizard, nhập một tên cho report trong hộp Report Job name. Ở ví dụ này chúng ta sẽ tạo một report thực hiện một lần một tuần, vì vậy sẽ được đặt tên là Weekly Report. Sau đó ấn Next.
install-isa-unihome-14
Hình 14.

3. Ở trang Report Content, chọn nội dung bạn muốn có trong bản report. Càng nhiều càng tốt, vì vậy nên lựa chọn tất cả các tùy chọn (thiết lập mặc định). Ấn Next.
install-isa-unihome-15
Hình 15.

4. Ở trang Report Job Schedule, lựa chọn tần xuất cho bản báo cáo. Có các lựa chọn như Daily (hàng ngày), Weekly (hàng tuần), on specified days (những ngày đặc biệt) và Monthly (hàng tháng), on this date every month (ngày này hang tháng). Lưu ý theo mặc định, report jobs được thực hiện vào lúc 1:00AM (0100h). Ở ví dụ này chúng ta muốn thực hiện một report job hang tuần vì vậy sẽ chọn tùy chọn Weekly, on specified days. Bạn cũng có thể chọn ngày trong tuần mà bạn muốn report được thực hiện. Ví dụ như chọn Saturday. Ấn Next.
install-isa-unihome-16
Hình 16.

5. Ở trang Report Publishing, bạn có tuỳ chọn xuất bản báo cáo cho local directory hay a network share. Các báo cáo được lưu giữ dưới dạng file HTML có thể đọc được với bất kỳ Web browser nào. Nhập địa chỉ nơi bạn muốn các báo cáo được thông báo đến và các thông tin người dùng yêu cầu để truy cập hệ thống chia sẻ. Tránh xuất bản các báo cáo ngay tại ISA firewall khi bạn không muốn cho phép các liên kết tới ISA firewall. Ấn Next.
install-isa-unihome-17
Hình 17.

6. Ở trang Send E-mail Notification, tùy chọn gửi thông báo thư điện tử khi bản báo cáo được tạo lập. Nhập địa chỉ server SMTP, the From and To e-mail addresses (địa chỉ gửi và nhận), và một nội dung tin ngắn. Bạn cũng có thể nhập một đường link tới bản report đã được thông báo. Nhấp chuột vào Test để xác nhận việc kết nối với e-mail server của bạn.
install-isa-unihome-18
Hình 18.

7. Chọn Finish trong trang Completing the New Report Job Wizard.
8. Hộp thoại Report Jobs Properties thông báo bạn đã tạo lập báo cáo.
install-isa-unihome-19
Hình 19.

Tùy chỉnh báo cáo
ISA firewalls reports có thể được thay đổi theo một phạm vi nhất định. Khi tạo lập được các báo cáo chuyên sâu về một hoạt động cụ thể nào đó của người dùng, bạn có thể thay đổi mẫu thông tin trong các report.


Bạn có thể tùy chỉnh các report sau:


1. Summary Content reports

2. Web Usage reports

3. Application Usage reports

4. Traffic and Utilization reports

5. Security Content reports
Xem các tùy chọn trong bảng sau.
install-isa-unihome-20
Hình 20.

Nhấp chuột vào Customize Web Usage Content link và bạn sẽ thấy xuất hiện bảng giống bảng sau. Mỗi tùy chọn sửa đổi report lại có những tính năng sửa đổi khác nhau. Trong bảng dưới đây, chọn thẻ Top Users. Ở đây bạn có thể thiết lập số lượng user xuất hiện và thứ tự sắp xếp trong báo cáo. Những tùy chọn sửa đổi tương tự cũng có thể ứng dụng cho các báo cáo khác. Hãy xem xét kỹ từng cách sửa đổi báo cáo và chọn những cách phù hợp với yêu cầu của bạn nhất.
install-isa-unihome-21
Hình 21.


Thiết lập Log Summary và Report Preferences

Đồng thời với việc thiết lập và tùy chỉnh các bản báo cáo đã được lập lịch, bạn có thể muốn thiết lập các tùy chọn tóm lược nhật ký máy và các báo cáo về trạng thái, hoạt động lưu trữ. Ở thẻ Tasks trên khung Task Pane, nhấp chuột vào đường link Configure Log Summary and Report Preferences như trong bảng sau.
install-isa-unihome-22
Hình 22.

Trong hộp thoại Log Summary and Report Properties, chọn thẻ Log Summary, xuất hiện bảng giống bảng sau. Theo mặc định, các log summary được tạo hàng ngày vào lúc 12:30AM (theo giờ địa phương). Các thông tin được dùng để lập các bản báo cáo được giữ ở các log summary, vì thế không thể có một bản báo cáo dựa vào một dữ liệu riêng trừ khi log summary của ngày đó đã có sẵn. Lưu ý những bản log summary dựa trên những thông tin trong ISA firewalls log files. Tuy nhiên, một khi bản được tạo trên các log files thì không còn cần các log files hiện thời để tạo một báo cáo cho ngày đó.
Vị trí mặc định cho log summary là ở thư mục ISA Server 2004, trong thư mục ISASummaries. Có thể chuyển vị trí bằng cách chọn tùy chọn This folder, tuy nhiên bạn không thể sử dụng ổ đĩa mạng hay thư mục chia sẻ cho nó. Cũng có thể thiết lập một lượng các log summary bạn muốn giữ. Các giá trị mặc định là 35 Daily summaries và 13 Monthly. Có thể để 365 daily và 48 monthly.
install-isa-unihome-23
Hình 23.

Chọn thẻ Report Storage. Đây là tính năng mới trong ISA Server 2006. Ở đây bạn có thể đặt lượng các báo cáo mỗi kỳ được lưu trong từng ổ cứng riêng. Giá trị mặc định là 30. Tùy theo dung lượng của ổ cứng của bạn, có thể chuyển sang 365 nếu không muốn thực hiện lại các báo cáo.

install-isa-unihome-24
Hình 24.


Kết luận

Bài viết này đề cập tới một số tùy chọn thiết lập cấu hình cơ bản sau cài đặt. Chúng có thể ứng dụng được đối với từng mảng đơn unihomed Web proxy cấu kết lẻ thiết lập ISA firewall. Khi phần lớn áp dụng cho các kiểu triển khai ISA firewall khác, các tùy chọn thiết lập cấu hình trong bài viết này không phản ánh một danh sách đầy đủ cho các bản khác. Ở bài viết tiếp theo trong loạt bài về vấn đề này, chúng tôi sẽ tiếp tục đi sâu về những tùy chọn thiết lập cấu hình sau khi cài đặt mà không đề cập tới ở đây.

Chuyên mục:Computer-Internet
  1. Chưa có phản hồi.
  1. No trackbacks yet.

Gửi phản hồi

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: