Đề tài Xây dựng Firewall cho hệ thống Mail exchange

pdf 100 trang yendo 6020
Bạn đang xem 20 trang mẫu của tài liệu "Đề tài Xây dựng Firewall cho hệ thống Mail exchange", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfde_tai_xay_dung_firewall_cho_he_thong_mail_exchange.pdf

Nội dung text: Đề tài Xây dựng Firewall cho hệ thống Mail exchange

  1. Khóa lun tt nghip. MC LC -o0o- MC LC 1 LI M U 3 Chng 1 4 KHO SÁT HI N TR NG 4 1.1. Hin tr ng t chc 5 1.1.1. H thng Mail Server. 5 1.1.2. Nhân lc IT 6 1.2. Hin tr ng c s h tng m ng. 6 1.3. Hin tr ng nghip v nhân viên : 7 Chng 2 8 MÔ T BÀI TOÁN VÀ CÁCH GII QUY T 8 2.1. Mô t" bài toán. 9 2.2. Yêu cu chc n*ng, phi chc n*ng 10 2.2.1. Yêu cu chc nng. 10 2.2.2. Yêu cu phi chc nng. 10 2.3. Ph.ng pháp ti/p c0n gi"i quy/t v3n Č5. 10 2.4. Các b.8c xây d;ng server Č= gi"i quy/t v3n Č5. 11 Chng 3 12 PHÂN TÍCH H TH NG 12 3.1. Nh0n din các Č?i t.@ng và mc tiêu cAa tCng Č?i t.@ng 13 3.1.1. i t ng ng i dùng. 13 3.1.2. i t ng m ng, c s h tng 13 3.2. Phân tích ph.ng pháp Č= ČEnh tuy/n các th. gFi ra ngoài. 15 3.2.1. Tìm hiu cách Mail Server nh tuyn các th gi ra ngoài. 15 3.2.2. Các ph ng pháp thông th ng  nh tuyn các th gi ra ngoài. 16 3.3. Thi/t l0p s ČI m ng. 19 3.3.1. S  m ng lý thuyt: 19 3.3.2. S  m ng thc t: 20 3.4. Mô t" các máy tính trong s ČI m ng và chc n*ng cAa SMTP Relay. NTTULIB 20 3.5. Mô t" v5 Perimeter Network. 22 3.6. Mô t" các chính sách b"o m0t cAa Firewall. 22 Chng 4 27 CÀI  T, TH NGHI M VÀ ÁNH GIÁ 27 4.1. OEnh nghPa các Č?i t.@ng m ng trong ISA Server 28 4.1.1. nh ngha m ng vòng ngoài(Perimeter Network): 28 4.1.2. nh ngha Computer Network Object: 30 4.1.3. nh ngha các Network Rule : 33 4.2. T o các Rule ČEnh tuy/n ra vào trong ISA Server 37 4.2.1. T o các Intradomain Access Rule: 37 ___ - 1 -
  2. Khóa lun tt nghip. 4.2.2. T o các access rule SMTP và DNS cho SMTP relay và Exchange Server: 41 4.2.3. T o SMTP Server publishing rule: 42 4.3. C3u hình các dEch v trên máy tính Exchange Server. 45 4.3.1. Cu hình dch v POP3 trên máy Exchange Server 2003: 45 4.3.2. T o các giá tr Registry  gii h n port trên Exchange Server:.45 4.4. C3u hình các dEch v trên máy tính SMTP Relay Server. 46 4.4.1. Join máy tính SMTP Relay vào domain: 46 4.4.2. Cài t và cu hình dch v SMTP trên máy tính SMTP Relay: 46 4.4.3. Yêu cu mt chng nhn Web site  s dng cho dch v SMTP trên máy tính SMTP Relay: 51 4.5. Cài ČVt và c3u hình SMTP Filter và Message Screener trên máy tính SMTP Relay: 52 4.5.1. Cài t SMTP Message Screener trên máy tính SMTP Relay nm trên m ng vòng ngoài: 52 4.5.2. Cu hình SMTP Message Screener: 55 4.5.3. Cu hình SMTP Message Screener Logging: 58 4.5.4. Test cu hình SMTP Filtering: 60 4.6. Publish b"o m0t Outlook Web Access site v8i ISA Server 2004: 62 4.6.1. Cp mt chng nhn và kt h p chng nhn này cho OWA site: 64 4.6.2. Xut chng nhn ca OWA site ti mt file: 68 4.6.3. Cu hình OWA site  cng ép mã hóa SSL và xác lp basic:.71 4.6.4. Nhp chng nhn ca OWA Web site vào trong Certificate Store (ngn lu tr chng nhn) ca máy tính ISA Server firewall: 74 4.6.5. Ch y Outlook Web Access Publishing Wizard : 80 4.6.6. Cài t chng nhn Root CA trên máy tính OWA client: 89 4.7. Oánh giá k/t qu". 96 4.7.1. Kt qu  t  c 96 4.7.2. Vic cha làm  c 96 4.8. H.8ng phát tri=n 96 K T LUN 97 MC LC HÏNH NH.NTTULIB 98 ___ - 2 -
  3. Khóa lun tt nghip. LI M U tvwu D o nhu cu thit lp mt h thng máy ch Mail Server vi ph ng án b o mt cao trong các công ty ngày càng ph bin. Nên các công ty cn mt i ng, k s am hiu v b o mt mng cho h thng mail server ca h. Chúng em là sinh viên ca tr ng C Nguyn Tt Thành chuyên ngành v Mng máy tính ã thy c nhu cu này tht cn thit trên môi tr ng mng thc t ó, nên chúng em ã làm  tài tt nghip nghiên cu v h thng b o mt dùng ISA Server 2004 làm Firewall cho h thng Mail Exchange server 2003. D i s h ng dn ca các thy cô  hoàn chnh  án này làm tài liu nhm phc v cho nhu cu, làm vic sau này. Tài liu này thích hp cho các bn ang nghiên cu v Microsoft ISA Server 2004 và Microsoft Exchange 2003. ng thi nó giúp ích cho các bn h thng li các kin thc ca mình ã có. Chúng tôi xin chân thành cám n các thy cô và các bn trong tr ng C Nguyn Tt Thành ã quan tâm và giúp chúng tôi trong sut thi gian qua ! NTTULIB ___ - 3 -
  4. Khóa lun tt nghip. Chng 1 KHO SÁT HI N TR NG Ni dung: 1.1. Hin tr ng t chc 1.2. Hin tr ng c s h tng m ng 1.3. Hin tr ng nghip v nhân viên. NTTULIB ___ - 4 -
  5. Khóa lun tt nghip. 1.1. Hin trng t chc. Công ty chuyên kinh doanh v! các mt hàng qung cáo, in n, t chc even, live show Công ty có i ng" nhân viên qui mô hàng trm ng i, th ng xuyên i công tác n nhi!u n i  bàn tho h p ng, xúc tin u t vi các i tác. Vic s dng mail gi tài liu, h p ng ca nhân viên vi các i tác, khách hàng bên ngoài là vic th ng xuyên và yêu cu bo mt cao. Vi xã hi phát trin ngày càng cao vic ng dng Công ngh thông tin vào trong công ty ngày càng quan tr#ng. N$m b$t nhu cu thc ti%n này công ty ã m nh d n nâng cp h thng Mail Server ca mình nhm tng tính bo mt và chng l i các s tn công bên ngoài môi tr ng internet. 1.1.1. H thng Mail Server. Ban u công ty xây dng mt h thng Mail Server vi tên g#i là Mail Deamon, qua quá trình s dng lâu dài h thng Mail Deamon ngày càng bc l nhi!u nh c im nh: - Tính nng bo mt không cao. - ng nhp Mail ngoài công ty khó khn, phi dùng VPN. - Khó qun lý và giám sát vic trao  i mail. - Là mail offline, nên cn phi thuê host, tn kém không an toàn.  kh$c phc nhng khuyt im trên công ty ã u t nâng cp h thng Mail Server mi vi tên g#i là Mail Exchange Server. Mail Exchange Server có nhng u im : - Bo mt cao h n. - T ng thích vi t ng la ISA Server. - Có thNTTULIB ng nhp Mail ca công ty t& bt kì n i âu. - Có h' tr gi nhn mail t& in tho i di ng. Ngoài ra nhm nâng cao h n na tính nng bo mt cho h thng Mail Server Exchange công ty ã xây dng mt Firewall (t ng la) vi tên g#i ISA Server  h n ch nhng cuc tn công t& bên ngoài ca các virus, phn m!m gián ip, hackers ISA Server có nhng u im so vi các h thng Firewall khác: -  c xây dng b i tp oàn Microsoft. ___ - 5 -
  6. Khóa lun tt nghip. - T ng thích vi h i!u hành Windows. - Luôn  c update các bn vá l'i nh kì. - T ng thích vi h thng Mail Exchange. 1.1.2. Nhân lc IT.  i!u hành ho t ng h thng Mail Server Exchange công ty ã lp ra h(n mt phòng ban IT chuyên ph trách v! h thng Mail Server. Các nhân viên phòng ban này luôn có nhim v ki!m tra, phân tích và a ra các bin pháp kh$c phc khi có s c. 1.2. Hin trng c s h tng mng. Khi xây dng h thng Mail Server Exchange cn phi có c s h tng m ng n nh, i ng" nhân viên IT, phòng l nh  gim bt chi phí khi xây dng h thng Mail Exchange Server công ty ã tn dng l i h thng m ng ã có trong công ty nh: -  ng truy!n Lease-Line Internet. - Phòng Server có máy l nh làm mát. - i ng" nhân viên IT qun tr Server. NTTULIB Hình 1.2 - 1: Mô hình h thng Mail Server Exchange ___ - 6 -
  7. Khóa lun tt nghip. Vic tn dng l i h thng m ng có s)n trong công ty giúp cho công ty tit kim th i gian xây dng h thng Mail Server Exchange và làm tng tính bo mât thay vì phi i thuê Server bên ngoài ca các nhà ISP, v&a tn thêm chi phí l i ph thuc vào quá nhi!u các nhà ISP. Ngoài ra  thit lp h thng nhng Server này c"ng òi h*i nhng máy có cu hình khá cao nh: - Máy Server cu hình CPU:Xeon, ram 4Ghz, HDD:1T ,  c kt ni vi m ng Lease-Line, phòng máy làm mát giúp tn nhit cho h thng Server. - Các dch v m ng bo m ho t ng 24/7 (24h trong mt ngày, 7 ngày trong mt tun). 1.3. Hin trng nghip v nhân viên : Trong quá trình làm vic hng ngày các nhân viên IT ca phòng k+ thut th ng xuyên sao lu d liu, kim tra h h thng m ng, kh$c phc s c phát sinh trong quá trình làm vic. Khi n cui ca làm vic các nhân viên IT s, vit báo cáo quá trình làm vic trong ngày  gi lên tr ng phòng IT, và tr ng phòng IT s, lp báo cáo hàng tháng vi ban giám c công ty. Qua ó công ty ánh giá  c hiu nng h thng m ng ang s dng  a ra nhng bin pháp kh$c phc. NTTULIB ___ - 7 -
  8. Khóa lun tt nghip. Chng 2 MÔ T BÀI TOÁN VÀ CÁCH GII QUY T Ni dung: 2.1. Mô t bài toán. 2.2. Yêu cu chc nng, phi chc nng. 2.2.1. Yêu cu chc nng. 2.2.2. Yêu cu phi chc nng. 2.3. Ph ng pháp tip cn gii quyt vn !. NTTULIB ___ - 8 -
  9. Khóa lun tt nghip. 2.1. Mô t bài toán. Là mt công ty có quy mô ho t ng trung bình, s l ng nhân viên công ty khong h n trm ng i. Nhng là công ty có tham gia th tr ng chng khoán nên vic bo mt và chng rò r- thông tin n$m vai trò sng còn cho toàn th công ty. Vic s dng mail gi tài liu, h p ng ca nhân viên vi các i tác, khách hàng bên ngoài là vic th ng xuyên và ht sc bo mt. Gii pháp thuê server bên ngoài  lu, gi mail thì không m bo cho s an toàn thông tin trit  và không áng tin cy. Công ty cn xây dng mt h thng mail server m nh m, và  c bo v mt cách an toàn tránh s xâm nhp phá ho i, ánh c$p thông tin ca các cá nhân và ca công ty và t t i chính tr s công ty là gii pháp chính  c t ra. Tn dng c s h tng m ng có s)n và n nh ca công ty. Thông tin trong các mail gi i trong ni b công ty phi an toàn, bo mt, chng s rò r- thông tin. Thông tin trong các mail gi i ra ngoài công ty phi an toàn, bo mt, chng s rò r- thông tin. Các nhân viên khi i ra ngoài công ty v.n có th s dng mail công ty  tr l i khách hàng mà v.n m bo s an toàn thông tin cn truy!n ti. Ngoài ra, h thng cn có các chc n!ng sau: • Cho phép nhân viên  c phép s dng máy tính truy cp Internet. • Qun lý các nhân viên công ty t o và qun lý mail, qun lý th i gian truy cp. • Cho phép nhân viêNTTULIBn gi và nhn mail trong ni b ca công ty. • Cho phép nhân viên dùng mail ni b công ty gi và nhn vi các i tác bên ngoài. • Cho phép nhân viên khi ra ngoài công ty v.n có th dùng mail ni b ca công ty  gi và nhn vi các i tác bên ngoài. • Giám sát  c mail ca các nhân viên trong công ty. • Bo mt cho các mail ca công ty. ___ - 9 -
  10. Khóa lun tt nghip. 2.2. Yêu cu chc nng, phi chc nng. 2.2.1. Yêu cu chc nng. Bài toán có các chc n!ng sau ây: • Cho phép nhân viên s dng máy tính truy cp vào h thng m ng công ty. • Cho phép nhân viên  c phép s dng máy tính truy cp Internet. • Cho phép công ty qun lý thông tin, d liu nhân viên. • Cho phép công ty qun lý th i gian truy cp ca nhân viên. • Cho phép công ty qun lý hp mail ca nhân viên. • Cho phép nhân viên gi và nhn mail trong ni b công ty. • Cho phép nhân viên gi và nhn mail vi các i tác bên ngoài. • Cho phép nhân viên ngoài công ty gi và nhn mail vi các i tác bên ngoài. • Cho phép công ty giám sát mail ca các nhân viên trong công ty. 2.2.2. Yêu cu phi chc nng. • m bo kh nng ho t ng b!n vng, s)n sàng làm vic. • Tc  truy xut mail phi nhanh và chính xác  m bo s linh ho t trong công vic. 2.3. Phng pháp tip cn gii quyt vn  . Cu hình h thng ISA Server tr thành mt Firewall m nh mà v.n áp ng  c các yêu cu s dng các dch v t& xa, phc v cho c các Client bên trong truy cp các dch v bên nNTTULIBgoài (internet), l.n các Client bên ngoài (Internet Clients) cn truy cp các dch v bên trong M ng công ty. Thit lp, cu hình server mail Exchange làm server gi nhn và lu tr mail nm trong chính tr s công ty, v&a m bo s an toàn thông tin cá nhân, v&a m bo lu tr d liu phòng ng&a s c khi có vn ! h h*ng xy ra. Có th kh$c phc nhanh chóng s c giúp công ty ho t ng tr l i bình th ng. Tn dng c s h tng m ng có s)n, c"ng nh ngun nhân lc qun tr m ng th ng trc t i công ty. ___ - 10 -
  11. Khóa lun tt nghip. 2.4. Các b!c xây dng server " gii quyt vn  . Xây dng Mail Exchange Server  qun lý mail ca nhân viên. - Qun lý nhân viên qua Domain Controler. - Xây dng h thng phân gii tên mi!n DNS. - Xây dng MX record cho h thng Mail. - Cài t và cu hình Microsoft Certificate Services (dch v cung cp các chng th k thut s phc v nhn d ng an toàn khi giao dch trên M ng). - Xây dng và giám sát mail trong vic gi nhn mail ca công ty. - Bo mt h thng mail và m ng ni b trong công ty. - Thit lp OWA cho các user truy cp mail thông qua web browser. - Sao lu và t o bn d phòng. Xây dng ISA Server làm mt t ng la m nh, an toàn cho h thng Mail Server Exchange : - Cài t ISA Server firewall software. - Back up và phc hi thông tin cu hình ca ISA Server firewall. - Cu hình các lo i ISA Server 2004 clients. - T o các chính sách truy cp (Access Policy) trên ISA Server firewall. - Publish Microsoft Exchange Server services. - m bo cho user truy xut và gi mail ra ngoài Internet. - Nâng cao bo mt trong vic gi nhn mail ca công ty. Xây dng mt Server SMTP RELAY : - Cu hình IIS 6.0 và SMTP services, message srceener. - Thit lp ngNTTULIBn chn nhng mail rác và phishing. - Dùng SMTP Relay óng vai trò mt Spam filtering SMTP relay (tr m trung chuyn e-mails, có chc nng ngn chn Spam mails) ___ - 11 -
  12. Khóa lun tt nghip. Chng 3 PHÂN TÍCH H TH NG Ni dung: 3.1. Nhn din các i t ng và mc tiêu ca t&ng i t ng. 3.2. Phân tích ph ng pháp  nh tuyn các th gi ra ngoài. 3.3. Thit lp s  m ng. 3.4. Mô t các máy tính trong s  m ng. 3.5. Mô t v! Perimeter Network. 3.6. Mô t các chính sách bo mt ca Firewall: NTTULIB ___ - 12 -
  13. Khóa lun tt nghip. 3.1. Nhn din các i t#ng và mc tiêu c$a t%ng i t#ng. 3.1.1. i t#ng ng&i dùng. i t#ng Mc tiêu Nhân viên - ng nhp h thng m ng công ty. - Truy cp ra ngoài Internet. - Gi và nhn mail trong h thng m ng ni b công ty. - Dùng mail ni b công ty gi và nhn ra bên ngoài Internet. - T& ngoài công ty có th dùng mail ni b gi và nhn ra bên ngoài. Qun lý công ty - ng nhp h thng m ng. - Qun lý thông tin nhân viên. - Qun lý truy cp nhân viên. - Qun lý hp mail nhân viên. 3.1.2. i t#ng mng, c s h tng. i t#ng Chc nng Internet Client - Ng i dùng máy tính trên Internet nm bên ngoài m ng công ty, có th truy cp vào công ty nu  c cho phép vi tài khon ca nhà qun tr công ty cp. External Client - Ng i s dng máy tính m ng vòng ngoài ca công ty, có thNTTULIB s dng  ng truy!n Internet ca công ty  kt ni m ng và có th truy cp vào h thng m ng ni b ca công ty di s cho phép ca nhà qun tr công ty thông qua tài khon  c cp. Ví d: khách hàng n công ty h#p, hi tho ISA Server - Máy tính dùng h i!u hành Window Server 2003. ( Firewall) -  c cài t phn m!m ISA Server và cu hình có y  các ___ - 13 -
  14. Khóa lun tt nghip. tính nng dùng làm t ng la, có kh nng làm firewall tng ng dng, có th bo v các doanh nghip b tn công t& bt k/ quy mô hay hình thc nào (t& m ng ni b hay t& bên ngoài). ISA Server 2004 thc hin vic kim soát các giao thc m ng Internet theo chi!u sâu và s)n sàng ngn chn, tìm ra các mi e do mà các lo i t ng la trc không th dò tìm  c. SMTP Relay Server - Máy tính dùng h i!u hành Window Server 2003. - Thit lp SMTP Relay trên máy tính nm m ng vòng ngoài (perimeter network) hay còn g#i là vùng DMZ (vùng phi quân s). Máy tính Exchange Server 2003 gi mail ti cho SMTP Relay Server nm trong m ng vòng ngoài, cho phép máy tính Exchange Server 2003 truy cp hng ra ngoài ch- ti  c SMTP Relay Server trên m ng vòng ngoài  m bo s an toàn và bo mt khi không kt ni trc tip vi Internet. Tránh  c s tn công t& Internet. Exchange Server - Máy tính dùng h i!u hành Window Server 2003. 2003 -  c cài t phn m!m qun lý Mail Exchange Server và các dch v cho phép gi và nhn th in t c"ng nh các d ng khác ca truy!n thông thông qua m ng máy tính. Xây dng máy tính Mail Exchange dùng  qun lý h thng gi, nhn và lu tr mail ca toàn b công ty. Internal Client - Ng i dùng máy tính nm bên trong m ng ni b công ty, là nhNTTULIBân viên ca công ty,  c phép truy cp vào m ng công ty, s dng m ng truy cp internet, s dng tài nguyên ni b và s dng h thng mail ni b vi tài khon ca nhà qun tr công ty cp. - M#i ho t ng !u di s cho phép và giám sát ca công ty. ___ - 14 -
  15. Khóa lun tt nghip. 3.2. Phân tích phng pháp " 'nh tuyn các th g(i ra ngoài. 3.2.1. Tìm hi"u cách Mail Server 'nh tuyn các th g(i ra ngoài. Máy tính Exchange Server cn phi truy cp hng ra ngoài ti các DNS Server và SMTP Server s dng 2 protocol DNS và SMTP. Protocol DNS  c s dng  gii quyt các MX domain name cho các th email  c gi ra ngoài công ty. Protocol SMTP  c s dng  gi mail ti các SMTP Server bên ngoài. Dch v SMTP ca Exchange Server cn phi gii quyt tên ca domain mail ra a ch- IP ca mt SMTP server chu trách nhim cho domain mail ó. Cn phi có mt MX record trên mt public DNS Server cho domain mail và MX record này phi ch- ti mt Host (A) record. Mt domain mail có th có nhi!u MX record có  u tiên khác nhau. Các SMTP Server trên Internet s, gi mail ti cho các SMTP Server có  u tiên t& cao nht n thp. Dch v SMTP ca Exchange Server phi có th gii quyt các tên DNS bên ngoài  gi mail ti các domain không nm trong m ng ni b. Có th cu hình Exchange Server s dng mt DNS Server ni b  gii quyt các tên DNS ni b nhng v.n cho phép dch v SMTP ca nó s dng DNS Server bên ngoài  gii quyt các tên DNS bên ngoài. Máy tính Exchange Server s dng 2 protocol này  gi mail ti bt k/ mt mail server nào trên Internet. NTTULIB ___ - 15 -
  16. Khóa lun tt nghip. 3.2.2. Các phng pháp thông th&ng " 'nh tuyn các th g(i ra ngoài. Tr&ng h#p 1: Máy tính Exchange Server 2003 gii quyt MX domain name bng cách s dng mt DNS Server trong m ng ni b và ri gi mail trc tip ti các SMTP server bên ngoài. INTERNET Exchange Server 2003 Internet Mail Server ISA Firewall DNS Server Trong tr ng h p này, card m ng ca máy tính Exchange Server phi  c cu hình  s dng mt DNS Server trong m ng ni b  gii quyt các MX domain name. Máy tính Exchange Server s, gi các DNS query ti cho DNS Server và nhn tr l i a ch- IP nào chu trách nhim nhn mail cho domain ích. Sau ó, dch v SMTP ca máy tính Exchange Server s, gi các th email SMTP trc tip ti cho a ch- IP chu trách nhim v! mail ca domain này. ( Hình ) Tr ng h p này phi s dng mt DNS Server ni b vi h tng DNS phân chia t&ng phn  có th gii quyt tên úng cho tt c các client trong m ng ni b và ra bên ngoài internet. CNTTULIBách này tn chi phí cho mt server trong khi máy tính Exchange Server v.n liên l c trc tip vi các Mail Server bên ngoài internet mt cách không an toàn, có th b các hacker l i dng tn công. ___ - 16 -
  17. Khóa lun tt nghip. Tr&ng h#p 2: Máy tính Exchange Server 2003 gii quyt MX domain name bng cách s dng mt DNS Server bên ngoài và ri gi mail trc tip ti các SMTP server bên ngoài. Internet Mail Server INTERNET Exchange Server 2003 ISA Firewall DNS Server Trong tr ng h p này, dch v SMTP ca máy tính Exchange Server s,  c cu hình  s dng mt DNS Server bên ngoài. Có th cu hình dch v SMTP ca máy tính Exchange Server s dng mt DNS Server khác vi DNS Server ã  c cu hình trên card m ng ca nó. i!u này cho phép máy tính Exchange Server gi các query DNS ti cho DNS Server bên ngoài, ging nh DNS server ca ISP ch(ng h n,  gii quyt các MX domain name cho các th email i ra ngoài. Máy tính Exchange Server gi các query DNS ti cho DNS Server bên ngoài và nhn tr l i a ch- IP nào chu trách nhim nhn mail cho domain ích. Sau ó, dch v SMTP ca máy tính Exchange Server s, gi các th email SMTP trc tip ti cho a ch- IP chu trách nhim v! mail ca domain này. ( Hình ) Tr ng h p này máy tính Exchange Server s dng DNS Server ca các ISP  phân gii DNS giúp tiNTTULIBt kim chi phí nhng máy tính Exchange Server v.n liên l c trc tip vi các Mail Server bên ngoài internet mt cách không an toàn, có th b các hacker l i dng tn công. ___ - 17 -
  18. Khóa lun tt nghip. Tr&ng h#p 3: Máy tính Exchange Server 2003 s, chuyn tt c các th email hng ra ngoài cho mt SMTP Server ca công ty t t i m ng vòng ngoài. Máy tính này s, chu trách nhim gii quyt các MX domain name và chuyn các th email ti cho các domain ích. Internet Mail Server INTERNET SMTP Relay Exchange Server 2003 ISA Firewall DNS Server Trong tr ng h p này, máy tính Exchange Server không trc tip thông tin vi các DNS Server và SMTP Server bên ngoài. Thay vào ó, máy tính Exchange Server s, forward tt c các email hng ra ngoài ti mt SMTP Relay Server ca công ty nm trong m ng vòng ngoài. Máy tính SMTP Relay server nm trong m ng vòng ngoài này s, chu trách nhim thc hin các DNS query  gii quyt các MX domain name và ri gi các th email mt cách trc tip ti cho các SMTP Server chu trách nhim cho các domain mail. (Hình ) ây là ph ng án bo mt nht trong ba tr ng h p v&a nêu b i vì máy tính Exchange Server s, không trc tip liên h vi các DNS server c"ng nh các SMTP Server trên Internet. NTTULIB ___ - 18 -
  19. Khóa lun tt nghip. 3.3. Thit lp s ) mng. 3.3.1. S ) mng lý thuyt: Hình 3.3.1: S  mng lý thuyt. ° Internal Network : M ng ni b, nm bên trong t ng la. ° Perimeter Network: M ng vòng ngoài nm bên trong t ng la, nhng khác vi Internal netwoNTTULIBrk. ° External Network: M ng bên ngoài, nm bên ngoài t ng la, kt ni trc tip vi Internet. ° Firewall: T ng la cài t ISA Server. ___ - 19 -
  20. Khóa lun tt nghip. 3.3.2. S ) mng thc t: CÓNG TY Internet Phòng K# Thu%t SMTP RELAY SERVER Perimeter Card IP : 172.16.0.2 IP: 172.16.0.1 Sub : 255.255.255.0 Sub: 255.255.255.0 External Card DF : 172.16.0.1 IP: 192.168.1.2 DNS : 200.200.200.2 Sub: 255.255.255.0 DF: 192.168.1.1 Internal Card IP: 200.200.200.1 ROUTER Sub: 255.255.255.0 EXCHANGE SERVER 2003 IP :200.200.200.2 ISA SERVER 2004 Sub :255.255.255.0 Firewall DF: 200.200.200.1 DNS: 200.200.200.2 Các Phòng Ban Các Phòng Ban Các Phòng Ban Hình 3.3.2: S  mng thc t. 3.4. Mô t các máy tính trong s ) mng và chc nng c$a SMTP Relay. Máy ISA Server 2NTTULIB004 Firewall cài t : Windows 2003 Server ISA Server 2004 Máy Exchange Sever 2003 cài t: Windows 2003 Server DNS Domain IIS ___ - 20 -
  21. Khóa lun tt nghip. CA Microsoft Exchange 2003 Máy SMTP Relay cài t : Windows 2003 Server IIS Services. Các máy client cài t Windows XP. ISA Server 2004 client. Mail client. Chc nng ca máy tính SMTP Relay. Mt SMTP Relay là mt máy tính chu trách nhim cho các th email gia a ch- gc và a ch- ích ca th. SMTP Relay nh tuyn các th SMTP t& mt SMTP Server này ti mt SMTP server khác. Máy tính Exchange Server 2003 ã có th s dng protocol SMTP  gi mail ra tt c các SMTP Server trên Internet. Cu hình nh ã nói là không bo mt vì máy tính Exchange Server 2003 phi trc tip liên h vi các SMTP server trên Internet.  bo mt cho Exchange Server 2003, ta phi cu hình ch- cho phép Exchange Server 2003 gi mail n SMTP Relay Server nm trên m ng vòng ngoài. Trong tr ng h p này ta không dùng ISA Server làm SMTP Relay na mà ta s dng mt máy tính làm Server SMTP Relay t t i m ng vòng ngoài. 0 ây, ta t SMTP Relay trên máy tính nm m ng vòng ngoài (perimeter network) hay còn g#i là vùng DMZ (vùng phi quân s). Máy tính Exchange Server 2NTTULIB003 gi mail ti cho SMTP Relay Server nm trong m ng vòng ngoài, ta phi t o ra mt access rule cho phép máy tính Exchange Server 2003 truy cp hng ra ngoài ch- ti  c SMTP Relay Server trên m ng vòng ngoài và ng th i ch- s dng  c mt protocol SMTP. ___ - 21 -
  22. Khóa lun tt nghip. 3.5. Mô t v Perimeter Network. Trong mô hình trên, là mt Perimeter Network (hay DMZ Network- vùng phi quân s, khái nim này ra  i t& cuc chin Nam, B$c Tri!u Tiên). Trong h thng M ng ca mt t chc, ví d nh các ISP (Internet Servies Provider). Khi trin khai cung cp các dch v cho khách hàng, nh Web Hosting, Mail th ng t các Servers cung cp các dch v này t i DMZ network, phân vùng M ng này tách bit vi Internal Network (M ng làm vic ca các nhân viên và cha các tài nguyên ni b). Mô hình M ng này, ISA SERVER Firewall (ISALOCAL), là mt h thng Tree-homed Host (g$n 3 Network Interface Cards) Network Interface 1 (WAN): T o kt ni ra Internet Network Interface 2 (DMZ): T o kt ni n DMZ network Network Interface 3: (LAN)T o kt ni n Internal network Nh vy thông th ng các t chc trin khai DMZ network (nm phía sau Firewall), nhm cung cp cho các External clients (nh khách hàng, ng i dùng Internet, i tác ) truy cp n các tài nguyên công cng ca mình (Web, FTP publish resourses ). Nu DMZ network b tn công, attackers c"ng cha th xâm nhp ngay vào Internal Network (LAN bên trong), vì Attacker cn phi tip tc ch#c thng Firewall. n ây, có l, các b n c"ng ã hình dung phn nào v! DMZ network. 3.6. Mô t các chính sách bo mt c$a Firewall. Theo mc nh, ISA Server 2004 không cho phép các truy cp ra ngoài Internet (outbound access), t& bt c máy nào nm trong ph m vi kim soát ca bt c M ng  c bo v (prNTTULIBotected network), và c"ng không cho phép các Computers trên Internet truy cp n Firewall hoc bt kì Networks ã  c bo v b i Firewall. Nh vy sau khi trin khai ISA SERVER 2004 Firewall, theo mc nh thì “Ni bt xut, ngo i bt nhp” . Tuy nhiên, mt System Policy trên Firewall ã  c cài t, cho phép thc hin các tác v Qun tr M ng cn thit. Lu ý: Khái nim M ng  c bo v (protected network), là bt c Network nào  c nh ngha b i ISA Server 2004 firewall không thuc ph m vi ca các M ng bên ngoài (External network), nh Internet. Các policy s,  c Firewall x lý ___ - 22 -
  23. Khóa lun tt nghip. t& trên xung di, i!u mà Access Policy trên ISA Server 2000 ã không quan tâm n trình t& x lý này. Theo mc nh, System Policy gii thiu mt danh sách mc nh nhng nguyên t$c truy cp n và t& ISA Server 2004 firewall. C"ng lu ý rng, các nguyên t$c t i System Policy Rules luôn  c s$p xp có th t nh ã ! cp, k c nhng chính sách sau này các Security Admin t o ra, nh vy nhng policy mi này s, ng bên trên và  c x lý trc. kéo xung danh sách ca System Policy Rules. Nhn thy rng, các nguyên t$c  c xác nh rõ b i: ° S th t (Order number) ° Tên (Name Rule) ° Hành ng a ra i vi nguyên t"c ó (Cho phép ho#c ng!n ch#n -Allow or Deny) ° Dùng giao thc nào (Protocols) ° T$ Mng ho#c Computer ngun- From (source network or host) ° n Mng hay Computer ích- To (destination network or host) ° iu kin- Condition ( i t ng nào hay nh%ng gì nguyên t"c này s& áp dng) Ngoài ra, có th s, phi kèm theo nhng mô t v! nguyên t$c, t i phn m rng ca ct tên nguyên t$c, i!u này giúp các Security Admin d% dàng theo dõi và qun lý các Rule ca mình h n. Chúng ta nhn thy rng, không phi tt c các Rules !u  c bt- enabled. Chính sách Disabled mc nh ca System Policy Rules  c th hin rng nhng biu t ng m"i tên xung màu * bên góc phi. Khi cn thit phc v choNTTULIB yêu cu nào ó, các Admin có th enabled các Rule này. ___ - 23 -
  24. Khóa lun tt nghip. Mt s chính sách thng dùng: Firewall Policy Mô t Block All (Ngn chn tt c) Ngn chn tt c truy cp qua ISA Server La ch#n này không t o bt kì nguyên t$c cho phép truy cp nào ngoài nguyên t$c ngn chn tt c truy cp Block Internet Access, allow Ngn chn tt c truy cp qua ISA server, ngo i access to ISP network services tr& nhng truy cp n các Network services (Ngn chn truy cp ra InNTTULIBternet, ch(ng h n DNS service. La ch#n này s,  c nhng cho phép truy cp n dùng khi các ISP cung cp nhng dch v này. mt s dch v ca ISP) Dùng la ch#n này  xác nh chính sách Firewall ca b n, ví d nh sau: Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép Internal Network và VPN Clients Network dùng DNS ca ISP ___ - 24 -
  25. Khóa lun tt nghip.  xác nh hostnames bên ngoài (nh Internet). Allow limited Web access (Cho Ch- cho phép truy cp Web dùng các giao phép truy cp Web có gii h n) thc: HTTP, HTTPS, FTP. Còn l i tt c truy cp khác s, b ngn chn. Nhng nguyên t$c truy cp sau s,  c t o: 1. Allow HTTP, HTTPS, FTP from Internal Network to External Network- Cho phép các truy cp d ng HTTP, HTTPS, FTP t& Internal network ra bên ngoài. 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tt c các giao thc t& VPN Clients Network (t& bên ngoài) truy cp vào bên trong M ng ni b. Allow limited Web access and Cho phép truy cp Web có gii h n dùng HTTP, access to ISP network services HTTPS, và FTP, và cho phép truy cp ti ISP (Cho phép truy cp Web có gii network services nh DNS. h n và truy cp n mt s dch Còn l i ngn chn tt c các truy cp v ca ISP) Network khác. Các nguyên t$c truy cp sau s,  c t o: 1. Allow HTTP, HTTPS, FTP from Internal NTTULIBNetwork and VPN Clients Network to External Network (Internet)- Cho phép HTTP, HTTPS, FTP t& Internal Network và VPN Clients Network ra External Network (Internet) 2. Allow DNS from Internal Network and VPN Clients Network to External Network (Internet)- ___ - 25 -
  26. Khóa lun tt nghip. Cho phép Internal Network và VPN Clients Network truy cp dch v DNS gii quyt các hostnames bên ngoài (Internet) 3. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tt c các giao thc t& VPN Clients Network (bên ngoài, VPN Clients thc hin kt ni vào M ng ni b thông qua Internet),  c truy cp vào bên trong M ng ni b. Allow unrestricted access (Cho Cho phép không h n ch truy cp ra Internet qua phép truy cp không gii h n) ISA Server Các nguyên t$c truy cp sau s,  c t o: 1. Allow all protocols from Internal Network and VPN Clients Network to External Network (Internet)- Cho phép dùng tt c giao thc t& Internal Network và VPN Clients Network ti External Network (Internet) 2. Allow all protocols from VPN Clients Network to Internal Network- Cho phép tt c giao thc t& VPN Clients Network truy cp vào Internal Network. NTTULIB ___ - 26 -
  27. Khóa lun tt nghip. Chng 4 CÀI  T, TH NGHI M VÀ ÁNH GIÁ Ni dung: 4.1. nh ngha các i t ng m ng trong ISA Server. 4.2. T o các Rule nh tuyn ra vào trong ISA Server. 4.3. Cu hình các dch v trên máy tính Exchange Server. 4.4. Cu hình các dch v trên máy tính SMTP Relay Server. 4.5. Cài t và cu hình SMTP Filter và Message Screener trên máy tính SMTP Relay. 4.6. Publish bo mt Outlook Web Access site vi ISA Server 2004. NTTULIB ___ - 27 -
  28. Khóa lun tt nghip. 4.1. 'nh ngh*a các i t#ng mng trong ISA Server. 4.1.1. 'nh ngh*a mng vòng ngoài(Perimeter Network): Máy tính ISA Server 2004 firewall ã  c cu hình vi 3 card m ng. Card m ng s dng vùng IP 172.16.0.0 s, ni vi m ng vòng ngoài. Ta s, nh ngha cho ISA Server 2004 m ng này nh là Perimeter Network. Tt c các m ng khác (ngoài tr& m ng Internal) không  c nh ngha ISA Server s, xem nh là m ng External. Các b c thc hin chi tit: 1. Trong trình qun lý ISA Server Management, m rng tên server ch#n mc Configuration ri ch#n mc Networks. 2. Trong phn Details Pane, ch#n th1 Networks. Nhn vào th1 Tasks trên thanh Task Pane ch#n mc Create a New Network. 3. Trong hp tho i Welcome to the New Network Wizard, nhp tên ca m ng vòng ngoài là Perimeter Network vào trong hp text Network name. Nhn Next. NTTULIBHình 4.1.1-1: #t tên mng Perimeter. 4. Trong hp tho i Network Type, ch#n mc Perimeter Network. Nhn Next. ___ - 28 -
  29. Khóa lun tt nghip. Hình 4.1.1-2: Chn Network Type. 5. Trong hp tho i Network Address, nhn nút Add Adapter. 6. Trong hp tho i Select Network Adapter, check vào card m ng ni vi m ng vòng ngoài. 0 ây tên card m ng là DMZ Perimeter Network. Nhn OK. Hình 4.1.1-3: Chn card mng. 7. Trong hp tho i Network Address, nhn Next. NTTULIB Hình 4.1.1-4: Chn card mng vòng ngoài. ___ - 29 -
  30. Khóa lun tt nghip. 8. Trong hp tho i Completing the New Network Wizard, nhn Finish. Hình 4.1.1-5: Kt thúc 'nh ngh(a mng vòng ngoài. Nh vy ta ã nh ngha cho ISA Server 2004 firewall bit card m ng vòng ngoài. 4.1.2. 'nh ngh*a Computer Network Object: ISA Server 2004 cho phép t o mt s Network Object – là mt cách  qui c mt i t ng m ng  tin vic s dng -  d% dàng kim soát vic trao  i thông tin gia các máy ngun và ích. Các Network Object có th  c t o ra trc hoc trong quá trình t o mt Access Rule. 0 ây ta s, t o trc 2 Computer Object mt cho máy tính Exchange Server 2003 trong mang ni b và mt cho DNS Server bên ngoài  kim soát các protocol gì  c phép i gia máy tính ngun và máy tính ích . Computer Object là mt i t ng máy tính  c qui c cu hình s)n  tin vic s dng. Ta nh ngha mt Computer Object vi tên máy tính và IP cùa nó  khi cn truy cp ti máy tính này s, d% dàng h n. NTTULIB Các bc t o các Computer Object: Exchange Server, DNS Server 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Trên thanh Task Pane phía bên phi, ch#n Toolbox, nhn vào liên kt Network Objects. ___ - 30 -
  31. Khóa lun tt nghip. Hình 4.1.2-1: Chn Network Object. 2. Trong Network Object, ch#n New ri ch#n Computer. 3. Trong New Computer Rule Element gõ Exchange Server vào trong hp Name và a ch- IP ca máy Exchange Server (200.200.200.2) vào hp Computer IP Addess. Nhn OK. Hình 4.1.2-2: To Computer Object. 4. T ng t t o thêm mt Computer Object nh trên vi tên ISP DNS Server vi IP là 203.113.131.1 nu b n dùng m ng Viettel còn b n dùng m ng ca VNN thì IP là 203.162.4.1. Nhn OK. NTTULIB Hình 4.1.2-3: To Computer Object. ___ - 31 -
  32. Khóa lun tt nghip. 5. Nhn vào mc Computer trong phn Network Object s, thy 2 object v&a  c t o. Hình 4.1.2-4: Kt thúc to Computer Object. Nhn Apply  lu cu hình v&a t o. Các bc t o Computer Object: SMTP Relay Server 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Trên thanh Task Pane phía bên phi, ch#n Toolbox, nhn vào liên kt Network Objects. 2. Trong Network Object, ch#n New ri ch#n Computer. 3. Trong New Computer Rule Element gõ DMZ SMTP Relay vào trong hp Name và a ch- IP ca máy SMTP Relay (172.16.0.2) vào hp Computer IP Addess. Nhn OK. NTTULIB Hình 4.1.2-5: To Computer Object. 4. Nhn vào mc Computer trong phn Network Object s, thy object v&a  c t o. 5. Nhn Apply  lu cu hình v&a t o. ___ - 32 -
  33. Khóa lun tt nghip. 4.1.3. 'nh ngh*a các Network Rule : Network Rule là mi quan h nh tuyn gia 2 card m ng, ta có th nh ngha mi quan h nh tuyn là Route hay NAT. • Route  n gin là nh tuyn các gói gia 2 card m ng vi nhau, vi i!u kin kt ni t ng la  c chp nhn. • NAT là nh tuyn thc hin vic chuyn a ch- m ng gia 2 m ng, a ch- IP Source s,  c thay th bng a ch- IP ca card m ng trên máy tính ISA mà gói tin  c chuyn i. 0 ây, hai m ng Perimeter và Internal !u s dng a ch- IP Private. Vì vy, ta có th s dng nh tuyn Route gia hai m ng Internal và Perimeter. Thc hin to 2 network rule: Network Rule cho mi quan h Route gi a m ng Perimeter và Internal. 1. Trong trình qun lý ISA Server Management, m rng tên server ch#n mc Configuration ri ch#n mc Networks. 2. Trong mc Networks, nhn vào th1 Network Rule trong Details Pane. 3. Trong Details Pane, ch#n th1 Tasks trên Task Pane, ch#n mc Create a New Network Rule. 4. Trên hp tho i Welcome to the New Network Rule Wizard, nhp tên ca rule là Internal   Perimeter vào trong hp text Network rule name. Nhn Next. NTTULIB Hình 4.1.3-1: #t tên Network Rule. 5. Trên hp tho i Network Traffic Sources, nhn nút Add. ___ - 33 -
  34. Khóa lun tt nghip. 6. Trên hp tho i Add Network Entities, m mc Networks và ch#n Internal, nhn Add ri nhn Close. 7. Trong hp tho i Network Traffic Sources, nhn Next. Hình 4.1.3-2: Add Network Sources. 8. Trong hp tho i Network Traffic Destinations,nhn Add. 9. Trên hp tho i Add Network Entities, m mc Networks và ch#n Perimeter, nhn Add ri nhn Close. 10. Trong hp tho i Network Traffic Destinations, nhn Next. HNTTULIBình 4.1.3-3: Add Network Destinations. ___ - 34 -
  35. Khóa lun tt nghip. 11. Trong hp tho i Network Relationship, ch#n mc Route. Nhn Next. Hình 4.1.3-4: Chn Network Relationship. 12. Trong hp tho i Completing the New Network Rule Wizard, nhn Finish. Hình 4.1.3-5: Kt thúc to Network Rule. Network Rule cho mi quan h NAT gi a m ng Perimeter và External. 1. Trong trình qun lý ISA Server Management, m rng tên server ch#n mc ConfiguratioNTTULIBn ri ch#n mc Networks. 2. Trong mc Networks, nhn vào th1 Network Rule trong Details Pane. 3. Trong Details Pane, ch#n th1 Tasks trên Task Pane, ch#n mc Create a New Network Rule. 4. Trên hp tho i Welcome to the New Network Rule Wizard, nhp tên ca rule là Perimeter   External vào trong hp text Network rule name. Nhn Next. ___ - 35 -
  36. Khóa lun tt nghip. Hình 4.1.3-6: #t tên cho Network Rule. 5. Trên hp tho i Network Traffic Sources, nhn nút Add. 6. Trên hp tho i Add Network Entities, m mc Networks và ch#n Perimeter, nhn Add ri nhn Close. 7. Trong hp tho i Network Traffic Sources, nhn Next. 8. Trong hp tho i Network Traffic Destinations, nhn Add. 9. Trên hp tho i Add Network Entities, m mc Networks và ch#n External, nhn Add ri nhn Close. 10. Trong hp tho i Network Traffic Destinations, nhn Next. 11. Trong hp tho i Network Relationship, ch#n mc NAT. Nhn Next. NTTULIB Hình 4.1.3-7: Chn Network Relationship. ___ - 36 -
  37. Khóa lun tt nghip. 12. Trong hp tho i Completing the New Network Rule Wizard, nhn Finish. Hình 4.1.3-8: Kt thúc to Network Rule. 4.2. To các Rule 'nh tuyn ra vào trong ISA Server. 4.2.1. To các Intradomain Access Rule: T o các Access rule kim soát giao thông gia m ng Internal và Perimeter. T o Access Rule cho phép các kiu giao thông cn thit gia SMTP Relay trong m ng vòng ngoài và Exchange Server trong m ng ni b (mc ích xa h n là cài t Exchange Server Front-end trên máy tính này): Name : SMTP Relay  Exchange Server Action : Allow Protocol: ADLogon/DirRep FEBE/LinkState Direct Access DNSNTTULIB SMTP Kerberos-Adm(UDP) Kerberos-Sec(TCP) Kerberos-Sec(UDP) LDAP (TCP) LDAP (UDP) LDAP GC (Global Catalog) ___ - 37 -
  38. Khóa lun tt nghip. RPC (All Interfaces) NTP Ping From : SMTP Relay DMZ Exchange Server To : SMTP Relay DMZ Exchange Server Users : All Users ) ây có 3 protocols ADLogon/DirRep ; FEBE/LinkState ; Direct Access không có trong danh sách, bn ph i to 3 protocol này: 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Trên thanh Task Pane phía bên phi, ch#n Toolbox, nhn vào liên kt Protocols. 2. Trong mc Protocols nhn vào menu New ch#n Protocol. 3. Trong hp tho i Welcome to the New Protocol Definition Wizard, gõ tên ADLogon/DirRep vào trong hp text Protocol Definition name. Nhn Next. 4. Trong hp tho i Primary Connection Information, nhn New. 5. Trong hp tho i New/Edit Protocol Connection, ch#n TCP trong danh sách Protocol type. Ch#n Outbound trong danh sách Direction. Trong khung Port RangeNTTULIB, nhp 1600 vào trong hp text From và To. Nhn OK. Hình 4.2.1-1: Edit Protocol Connection. ___ - 38 -
  39. Khóa lun tt nghip. 6. Trong hp tho i Primary Connection Information, nhn Next. 7. Trong hp tho i Secondary Connection, ch#n No. Nhn Next. Trong hp tho i Completing the New Protocol Definition Wizard, nhn Finish. Hình 4.2.1-2: Kt thúc to Protocol. 8. T ng t các bc trên, t o thêm protocol FEBE/Link State vi Port Range 691 và protocol Direct Access vi Port Range 445 nh ã t o protocol ADLogon/DirRep. 9. Nhn Apply  lu cu hình firewall policy. To mt Access rule m* hoàn toàn  s+ dng cp chng nhn cho máy tính SMTP Relay. Access rule này s& c khóa li sau khi kt thúc vic cp chng nhn. Name : All Open Perimeter  Internal Action : Allow Protocol : All outbound traffic From Source : SMTP Relay DMZ NTTULIBExchange Server To Destination : SMTP Relay DMZ Exchange Server User Sets : All Users 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Nhn chut phi trên mc Firewall Policy ch#n New Access Rule ___ - 39 -
  40. Khóa lun tt nghip. hoc trên thanh Task Pane phía bên phi nhn th1 Tasks, nhn vào Creat New Access Rule  t o mi. 2. Trên trang Welcome to the New Access Rule Wizard, gõ tên All Open Perimeter  Internal vào hp Access Rule Name. Nhn Next. 3. Trên Rule Action ch#n Allow ri nhn Next. 4. Trên Protocols ch#n All outbound traffic trong mc This rule applies to. Nhn Add. 5. Trên trang Access Rule Sources, nhn Add. 6. Trong hp Network Entities nhn vào mc Computer ch#n SMTP Relay DMZ và Exchange Server. Nhn Add ri Close. Trên trang Access Rule Sources, nhn Next. 7. Trên trang Access Rule Destinations, nhn nút Add. Trong hp Network Entities nhn vào mc Computer ch#n SMTP Relay DMZ và Exchange Server. Nhn Add ri Close. Tr v! trang Access Rule Destinations, nhn Next. 8. Trên trang Users Sets,  mc nh là All Users và nhn Next. 9. Trên trang Completing the New Access Rule Wizard, nhn Finish  hoàn tt. Ta c n ph i khóa RPC filter trên ISA Server 2004: 1. Trong trình qun lý ISA Server Management, m rng tên server ch#n mc Configuration ri nhn nút Add-ins. 2. T i nút Add-ins, nhn chut phi vào mc RPC Filter trong Details Pane ri ch#n Disable. NTTULIB 3. Nhn Apply  cp nht firewall policy. 4. Trong hp tho i ISA Server warning, ch#n mc Save the changes and restart the services. Nhn OK. ___ - 40 -
  41. Khóa lun tt nghip. 4.2.2. To các access rule SMTP và DNS cho SMTP relay và Exchange Server: C hai máy tính SMTP Relay và Exchange Server phi có th gi th các SMTP ra ngoài. Máy tính SMTP Relay phi có th relay mail ti các domain (không do b n kim soát) cho các user ã xác lp thành công và máy tính Exchange Server phi có th gi email nó nhn  c t& m ng ni b ra ngoài ti các domain không do b n kim soát. Ta phi t o Access rule cho phép các máy tính này truy cp hng ra ngoài i vi protocol SMTP và DNS. To mt Access Rule cho phép máy tính Exchange Server 2003 g+i mail ti cho SMTP Relay Server: Name : SMTP Relay Outbound SMTP/DNS Action : Allow Protocol : SMTP, DNS From Source : SMTP Relay DMZ Exchange Server To Destination : External User Sets : All Users Các b c thc hin chi tit: 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Nhn chuNTTULIBt phi trên mc Firewall Policy ch#n New Access Rule hoc trên thanh Task Pane phía bên phi nhn tab Tasks, nhn vào Creat New Access Rule  t o mi. 2. Trên trang Welcome to the New Access Rule Wizard, gõ tên SMTP Relay Outbound SMTP/DNS vào hp Access Rule Name. Nhn Next. 3. Trên Rule Action ch#n Allow ri nhn Next. 4. Trên Protocols ch#n Selected Protocols trong mc This rule applies to. Nhn Add. ___ - 41 -
  42. Khóa lun tt nghip. 5. Trong hp Add Protocols, ch#n Common Protocol, ch#n SMTP và DNS. Nhn Add ri nhn Close  v! trang Protocol ri nhn Next. Hình 4.2.2-1: Add các Protocol. 6. Trên trang Access Rule Sources, nhn Add. Trong hp Network Entities nhn vào mc Computer ch#n Exchange Server và SMTP Relay DMZ. Nhn Add ri Close. Trên trang Access Rule Sources, nhn Next. 7. Trên trang Access Rule Destinations, nhn nút Add. Trong hp Network Entities nhn vào mc Networks ch#n External . Nhn Add ri Close. Tr v! trang Access Rule Destinations, nhn Next. 8. Trên trang Users Sets,  mc nh là All Users và nhn Next. 9. Trên trang Completing the New Access Rule Wizard, nhn Finish  hoàn tt. 4.2.3. To SMTP Server publishing rule: Mt Server NTTULIBPublishing Rule cho phép truy cp h ng i vào ti SMTP Server ca bn t$ các SMTP Server trên Internet: T o mt SMTP Server Publishing Rule cho phép máy tính ISA Server 2004 Firewall chp nhn các th SMTP i vào. Các th SMTP i vào này s,  c chuyn cho dch v SMTP service trên máy tính Exchange Server trên m ng ni b. ___ - 42 -
  43. Khóa lun tt nghip. 1. Trong ch ng trình qun lý Microsoft Internet Security and Acceleration Server 2004, ch#n tên máy ISA Server và nhn vào mc Firewall Policy ch#n th1 Tasks trên thanh Task Pane. Nhn vào mc Creat New Server Publishing Rule. Hình 4.2.3-1: #t tên cho Publishing Rule. 2. Trên hp tho i Welcome to the New Server Publishing Rule Wizard, gõ tên ca rule cn t o vào trong hp text Server publishing rule name. 0 ây ta gõ tên: Inbound SMTP Relay ri nhn Next. NTTULIBHình 4.2.3-2: Nhp Server IP. 3. Trên hp tho i Select Server, nhp a ch- IP ca máy SMTP Relay vào hp text Server IP Addess. 0 ây ta nhp: 172.16.0.2 . Nhn Next. ___ - 43 -
  44. Khóa lun tt nghip. Hình 4.2.3-3: Chn Protocol. 4. Trên hp tho i Select Protocol, nhn vào m"i tên hng xung trong danh sách Selected Protocol ch#n mc SMTP Server. Nhn Next. Hình 4.2.3-4: Chn IP Address card mng. 5. Trên hp tho i IP Addresses, ch#n mc External và nhn Next. Trên hp tho i Completing the New Server Publishing Rule Wizard, nhn Finish. NTTULIB Hình 4.2.4-5: Kt thúc to Publishing Rule. 6. Nhn Apply  cp nht firewall policy, nhn OK. ___ - 44 -
  45. Khóa lun tt nghip. 4.3. Cu hình các d'ch v trên máy tính Exchange Server. Dch v SMTP ca Exchange Server cn phi gii quyt tên ca domain mail ra a ch- IP ca SMTP Server chu trách nhim cho domain mail ó. 4.3.1. Cu hình d'ch v POP3 trên máy Exchange Server 2003: Các b c thc hin chi tit: 1. Click Start, ch#n Administration Tools và click vào Services. 2. Trong console Services, tìm mc Microsoft Exchange POP3 và right click vào nó. Ch#n lnh Properties. 3. Trên hp tho i Microsoft Exchange POP3 Properties (Local computer), click vào m"i tên hng xung trong mc Starup type. Ch#n ph ng án automatic. 4. Sau khi ph ng án Automatic  c ch#n, nút Start s, sáng lên. Click vào nút Start  kh i ng dch v POP3. 5. Hp tho i Services Control xut hin hin th thanh tin trình kh i ng dch v POP3. 6. Click OK trên hp tho i Microsoft Exchange POP3 Properties (Local Computer) sau khi dch v ã  c kh i ng . 7. Mc Microsoft Exchange POP3 trong hp tho i Services s, th hin dch v nh là Started và Startup Type là Automatic. 4.3.2. To các giá tr' Registry " gi!i hn port trên Exchange Server: Nu mun s dng các c im nh xác lp logon nhng không mun m quá nhi!NTTULIBu port trên t ng la. Ta cu hình các domain controller, và Exchange Server s dng ch- mt port  c quy nh trc cho tt c các giao thông.  có th xác lp thành công các client, mt registry key phi  c cu hình trên tt c các máy tính server mà SMTP Relay có th liên h. Cu hình registry key nh bên di vi mt port nào ó, ví d port 1600 trên máy tính Exchange Server: 1. Nhn Start ri nhn Run. ___ - 45 -
  46. Khóa lun tt nghip. 2. Trong hp tho i Run, nhp vào regedit trong hp text Open và nhn OK. 3. Trong ca s Registry Editor, chon  ng d.n: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services|NTDS\Par ameters. 4. Nhn Edit, ch#n New và nhn DWORD. Thay  i tên ca New Value #1 thành TCP/IP Port và nhn Enter. 5. Nhp úp chut vào TCP\IP Port. 6. Trong hp tho i Edit DWORD Value, ch#n Decimal. Trong hp text Value data, nhp 1600. Nhn OK. 7. óng Registry Editor. Kh i ng l i máy tính Exchange Server. 4.4. Cu hình các d'ch v trên máy tính SMTP Relay Server. 4.4.1. Join máy tính SMTP Relay vào domain: Các Access Rule có s)n hin gi ã có th cung cp các thông tin cn thit  join máy tính SMTP Relay nm trong m ng vòng ngoài vào domain. Khi join vào domain thành công ta s, cài dch v SMTP trên máy tính này. 4.4.2. Cài +t và cu hình d'ch v SMTP trên máy tính SMTP Relay: • Cài t dch v SMTP Relay: Dch v SMTP ca IIS 6.0 phi  c cài t trên máy tính SMTP Relay trc khi SMTP Message Screener  c cài t trên máy tính này. • Cu hình dch v SMTP  h tr Relay theo hng i vào và i ra: 1. Nhn Start, ch#n Administrative Tools, nhn Internet Information Services (IIS) MaNTTULIBnager. 2. Trong trình qun lý IIS Manager, ch#n tên máy tính ca ISA Server ri nhn chut phi vào Default SMTP Virtual Server ch#n Properties. 3. Trong hp tho i Default SMTP Virtual Server Properties, ch#n th1 General ri thay  i a ch- IP trong khung IP Address thành 172.16.0.2. ___ - 46 -
  47. Khóa lun tt nghip. Hình 4.4.2-1: Chn 'a ch IP cho SMTP. 4. Ch#n th1 Access ri nhn vào Authentication (chp nhn chng thc). Hình 4.4.2-2: Cu hình Authentication. 5. Trong hp tho i Authentication, ch$c rng mc Anonymous access ã  c ánh du ch#NTTULIBn. Mc này là cn thit cho các SMTP server trên Internet có th relay mail vào các domain do b n kim soát. ánh du check vào mc Integrated Windows Authentication. Mc này cho phép các user ca domain xác lp vi SMTP Relay Server, sau khi xác lp thành công thì user có th relay mail ti các domain không do b n kim soát. Nhn OK. ___ - 47 -
  48. Khóa lun tt nghip. Hình 4.4.2-3: Cu hình các tùy chn Authentication. 6. Trong hp tho i Access, nhn vào nút Relay trong khung Relay restrictions. 7. Trong hp tho i Relay Restrictions, ch$c rng mc Only the list below  c ch#n, nhn nút Add. Hình 4.4.2-4: Cu hình Relay Retrictions. 8. Trong hp tho NTTULIBi Computer, ch#n mc Single computer và nhp a ch- IP ca máy tính SMTP Relay DMZ ( ây là 172.16.0.2) vào hp text IP Addess. Nhn OK 2 ln. i!u này cho phép máy tính Exchange Server trong m ng ni b relay mail hng ra ngoài thông qua máy tính SMTP Relay DMZ. ___ - 48 -
  49. Khóa lun tt nghip. Hình 4.4.2-5: Nhp IP ca SMTP Relay. 9. Trong hp tho i Default SMTP Virtual Server Properties, nhn Apply ri nhn OK. 10. Ch#n mc Default SMTP Virtual Server, nhn chut phi vào Domains ch,n New Domain. Hình 4.4.2-6: To New Domain. 11. Trên hp tho i Welcome to the New SMTP Domain Wizard, ch#n Remote ri nhn Next. NTTULIB Hình 4.4.2-7: Chn New SMTP Domain. ___ - 49 -
  50. Khóa lun tt nghip. 12. Tên hp tho i Domain Name, nhp tên domain (m ng ni b) ca máy Exchange Server ( ây là ntt.org) vào hp text name. ây chính là domain mà b n mun SMTP relay chp nhn th i vào t& SMTP server trên Internet. Nhn Finish. 13. Nhp phi chut vào domain ntt.org trong phn bên phi, ch#n Properties. Hình 4.4.2-8: Cu hình thuc tính Domain. 14. Trong hp tho i ntt.org Properties, check vào mc Allow incoming mail to be relayed to this domain. Ch#n mc Forward all mail to smart host. Nhp a ch- IP ca Exchange Server vào hp text (chú ý phi s dng du ngoc vuông) ây ta nhp [200.200.200.2]. Nhn Apply ri OK. NTTULIB Hình 4.4.2-9: Cu hình thuc tính New Domain. 15. Nhn chut phi vào mc Default SMTP Virtual Server nhn Stop ri nhn Start  kh i ng dch v. ___ - 50 -
  51. Khóa lun tt nghip. 4.4.3. Yêu cu mt chng nhn Web site " s( dng cho d'ch v SMTP trên máy tính SMTP Relay:  bo mt kt ni gia các SMTP Client và SMTP Relay bng các s dng mã hóa SSL/TLS. Các ng dng mail trên máy client s, thc hin mt kênh bo mt vi máy tính SMTP Relay và mã hóa các thành phn ca email. i!u này s, ci thin bo mt mt cách áng k i vi nhng user ang trên mt m ng không bo mt, ging nh m ng không dây hoc internet. Phi cài t mt chng nhn Web site trên máy tính SMTP Relay. Chng nhn này  c s dng  t o ra mt kt ni bo mt vi máy tính ca client. Sau ó, ta s, cp chng nhn Root CA cho máy client sao cho máy tính client có th trust vi chng nhn trên máy tính SMTP Relay. Các b c thc hin chi tit: 1. Trên máy tính SMTP Relay, nhn Start vào Administrative Tools ch#n Internet Information Services (ISS) Manager. 2. Trong hp tho i Internet Information Services (ISS) Manager, nhn chut phi vào mc Default SMTP Virtual Server ch#n Properties. 3. Trong hp tho i Default SMTP Virtual Server Properties, nhn vào nút Certificate trong khung Secure communications. 4. Trong hp tho i Welcome to the Web Server Certificate Wizard, nhn Next. 5. Trong hp tho i Server Certificate, ch#n mc Creat a new certificate, nhn Next. NTTULIB 6. Trong hp tho i Delayed or Immediate Request, ch#n mc Send the request immediately to an online certification authority ri nhn Next. 7. Trong hp tho i Name and Security Settings,  mc nh và nhn Next. 8. Trong hp tho i Organization Information, gõ tên công ty và t chc vào trong hp text Organization và Organizational Unit. Nhn Next. 9. Trong hp tho i Your Site’s Common Name, gõ tên common name ây ta nhp mail.ntt.org . ây là setting cc k/ quan tr#ng. Tên b n nhp ây ___ - 51 -
  52. Khóa lun tt nghip. s, là tên mà client s dng khi kt ni vi máy tính SMTP Relay và tên này phi  c phân gii ra a ch- IP trên card m ng bên ngoài ca máy ISA Server 2004 firewall  c s dng trong SMTP Server Publishing Rules i vi SMTP Relay. Nhn Next. 10. Trong hp tho i Geographical Information, nhp tên quc gia , thành ph vào các hp text Country/Region, State/province và City/locality. Nhn Next. 11. Trong hp tho i Choose a Certification Authority,  các giá tr mc nh. Nhn Next. 12. Trong hp tho i Certificate Request Submission, xem các cu hình ri nhn Next. 13. Trong hp tho i Completing the Web Server Certificate Wizard, nhn Finish  hoàn tt. SMTP Server hin gi có th t o mt kt ni SSL bo mt ti các Client t& xa, nhng ta không cu hình SMTP Relay cng ép kt ni bo mt. B i vì các SMTP server trên Internet cn phi có th relay mail vào domain do b n kim soát. Nhng SMTP server này không th thc hin kt ni SSL bo mt vi SMTP relay ca b n. 4.5. Cài +t và cu hình SMTP Filter và Message Screener trên máy tính SMTP Relay: 4.5.1. Cài +t SMTP Message Screener trên máy tính SMTP Relay n-m trên mng vòng ngoài: Tin hành các b NTTULIBc sau  cài #t SMTP Message Screener trên máy tính SMTP Relay: 1. B* a software ISA Server 2004 vào CD. Autorun menu s, xut hin. 2. Trên Microsoft Internet Security and Acceleration Server 2004 page, nhn vào Install ISA Server 2004. 3. Nhn Next trên hp tho i Welcome to the Installation Wizard for Microsoft ISA Server 2004. 4. Trên trang Program Maintenance, ch#n Modify và nhn Next. ___ - 52 -
  53. Khóa lun tt nghip. 5. Trên trang Custom Setup, mc Firewall Services và ISA Server Management ch#n This feature will not be available  không cài t. Thành phn tip theo c"ng không  c cài t là Firewall Client Installation Share. Ch#n ph ng án Message Screener và nhn vào mc This feature and all subfeatures, will be installed on local hard drive. Nhn Next. L u ý: cn cài #t IIS 6.0 SMTP service tr c khi bn cài Message Screener. Hình 4.5.1-1: Custom Setup ISA Server 6. Trên hp tho i Ready to Modify the Program, nhn Install. 7. Trên trang Installation Wizard Completed, ánh du check vào mc Invoke ISA Server Management when the wizard closes, và nhn Finish. SMTP Message Screener phi thông tin vi ISA Server 2004  nhn thông tin cu hình. Thông tin này bao gm các keyword, các domain, các file kèm theo mà b n mun khóa. Ta cu hình các cài t ca SMTP Message Screener trên máyNTTULIB tính ISA Server 2004 trong giao din SMTP Filter. Ta không cu hình các cài t ca SMTP Message Screener trên máy tính SMTP Relay trên ó dch v SMTP Message Screener  c cài t. Công c smtpcred.exe  c s dng  chuyn các thông tin cu hình gia SMTP Message Screener vi ISA Server 2004. B n phi nhp tên user, tên máy tính hoc thông tin domain trong công c smtpcred.exe  t o kt ni gia hai máy thành công. ___ - 53 -
  54. Khóa lun tt nghip. Các bc  ch y công c smtpcred.exe : 1. Trên máy tính ISA Server 2004. Trong ch ng trình qun lý Microsoft Internet Security and Acceleration Server 2004, ch#n tên máy ISA Server và nhn chut phi vào mc Firewall Policy ch#n Edit System Policy. 2. Trong hp tho i System Policy Editor, tìm group Remote Management và nhn vào th mc con Microsoft Management ch#n th1 Form. 3. Trên th1 Form, nhn nút Add. 4. Trong hp tho i Add Network Entities, nhn nút Computer ch#n SMTP Relay DMZ nhn Add ri nhn Close. 5. Trong hp tho i System Policy Editor, nhn OK. Hình 4.5.1-2: System Policy Editor. 6. Nhn Apply  lu l i cu hình firewall policy. Nhn OK. Trên máy SMTP Relay DMZ, vào th mc C:\Program Files\Microsoft ISA Server ch y công c smtpcred.exe. 1. Trong hp tho NTTULIBi Message Screener Credentials, nhp tên ca máy tính ISA Server 2004 firewall vào trong hp text ISA Server. Trong hp text Retrieve setting every min, nhp mt giá tr xác nh s phút mà b n mun SMTP Message Screener  i  nhn các thông s cu hình t& máy tính ISA Server 2004 firewall. Trong khung Authentication data, nhp Username, Domain và Password ca user Administrator trên máy tính ISA Server 2004 firewall. ___ - 54 -
  55. Khóa lun tt nghip. Hình 4.5.1-3: Test SMTP Message Screner Configuration. 2. Nhn nút Test, mt hp tho i cnh báo xut hin. Nhn OK. 3. Hp tho i SMTP Message Screener Configuration Test Completed xut hin thông báo cho b n bit không phát hin bt c l'i nào. Nhn OK. 4. Trong hp tho i Message Screener Credentials, nhn OK. 4.5.2. Cu hình SMTP Message Screener: SMTP Message Screener là mt b l#c ng dng  kho sát tt c các th i vào ISA Server 2004 Firewall thông qua mt SMTP Server Publishing Rule. 1. Trong ch ng trình qun lý Microsoft Internet Security and Acceleration Server 2004, ch#n tên máy ISA Server , ch#n mc Configuration. Nhn vào Add-ins. 2. Trong mc Add-ins, nhn chut phi vào mc SMTP Filter trong Details Pane và ch#n PropNTTULIBerties. ___ - 55 -
  56. Khóa lun tt nghip. Hình 4.5.2-1: SMTP Filter Properties. 3. Trong hp tho i SMTP Filter Properties, ch#n th1 General và ch$c ã check vào mc Enable this filter. 4. Ch#n th1 Keywords, nhn vào nút Add. NTTULIB Hình 4.5.2-2: Add Keywords. 5. Trong hp tho i Mail Keyword Rule, ch$c rng ã check mc Enable keyword rule, gõ mail enhancement trong hp text Keyword. Trong khung Apply action if keyword is found có th ch#n các ph ng án sau: ___ - 56 -
  57. Khóa lun tt nghip. Message subject or body : Nu keyword  c tìm thy trong tiêu ! hoc ni dung th thì các cu hình trong rule s,  c thc thi. Message subject : Nu keyword  c tìm thy trong tiêu ! th thì các cu hình trong rule s,  c thc thi. Message body : Nu keyword  c tìm thy trong ni dung th thì các cu hình trong rule s,  c thc thi. Trong hp thoi Action, có th# ch$n các ph&'ng án sau: Delete message : Th& s* b+ xóa mà không l&u li ho2c thông báo cho b3t k4 ai. Hold message : Th& s* Č&6c gi7 li trong th& m8c BADMAIL n i th& m8c root c?a d+ch v8 SMTP. Bn có th# xem các thành phBn c?a th& Č&6c gi7 li nh&ng th& không Č&6c l&u d&>i dng dùng Č# chuy#n cho mt ng&Ei nhFn khác. Forward meesage to : Th& s* Č&6c chuy#n ČGn mt Č+a chH email Čã c3u hình trong rule. MKi rule có th# chH Č+nh mt Č+a chH email khác nhau mà th& s* Č&6c chuy#n t>i. Hình 4.5.2-3: Nhp Mail Keywords. Ch#n mc Message subject or body. Ch#n mc Hold message trong danh sách Action. Nhn OK. 6. Ch#n th1 Users/Domains, b n có th cu hình SMTP Message Screener khóa các th da trên a ch- email ca ng i gi bng cách nhp a ch- email vào hp text Sender ‘s email address và nhn Add. Hoc domain mail ca ng i giNTTULIB bng cách nhp domain mail vào hp text Domain name và nhn Add. Danh sách email và domain mail b cm s, xut hin trong Blocked sender và Blocked domain. Nhn Apply  lu cu hình. 7. Ch#n th1 Attachment và nhn Add, trong hp tho i Mail Attachment Rule ch$c rng ã check mc Enable this rule. ___ - 57 -
  58. Khóa lun tt nghip. Trong m8c Apply action to messages containing attachments with one of these properties có 3 ph&'ng án ch$n: Attachment name : ch$n ph&'ng án này Č# khóa chính xác mt file Čính kèm v>i tên và phBn mQ rng Č&6c nhFp. Attachment extension : khóa t3t cR các file Čính kèm có phBn mQ rng nào Čó. Attachment size limit (in bytes) : khóa các file Čính kèm dSa trên kích th&>c c?a chúng mà ta quy Č+nh. Hình 4.5.2-4: Nhp Mail Attachment Rule. 8. Trong mc Action, ta có th ch#n 3 ph ng án Delete message, Hold message và Forward message to nh ã trình bày trên. Khi ch#n Forward message to, mt hp text E-mail address xut hin cho phép nhp mt a ch- email  chuyn th th*a mãn rule ti ó. Nhng server phi gii quyt a ch- domain mail này. 9. Trong hp tho i SMTP Filter Properties,nhn Apply ri nhn OK. 10. Nhn Apply  cp nht firewall policy. Nhn OK. 4.5.3. Cu hình SMTP Message Screener Logging: Máy tính ISA Server 2004 Firewall gi mt file log cho các th  c x lý b i SMTP Message Screener. File log này cung cp các thông tin có giá tr v! các th b khóa b i Message Screener và lý do t i sao chúng b khóa. 1. Trong trình qun lý Microsoft Internet Security and Acceleration Server 2004, nhnNTTULIB vào mc Monitoring. 2. Trong mc Monitoring, nhn vào th1 Logging trong Details Pane. 3. Nhn vào th1 Tasks trong thanh Task Pane. Trên th1 Tasks, nhn vào mc Configure SMTP Message Screener Logging. ___ - 58 -
  59. Khóa lun tt nghip. Hình 4.5.3-1: Configure SMTP Message Screener Logging. 4. Trong hp tho i SMTP Message Screeener Logging Properties, ch#n th1 Log. Ch$c rng ã check mc Enable logging for this service. Ch#n kiu lu là File và nh d ng là ISA file format trong danh sách format. Hình 4.5.3-2: Cu hình thuc tính SMTP Message Screener. 5. Nhn vào nút ONTTULIBptions, trong mc Store the log file in ta ch#n ISA folder nu lu file log trên th mc ISALogs lu trên cng hoc gõ  ng d.n n i mun lu file log trong hp text This folder (enter the full path). Nhn OK. ___ - 59 -
  60. Khóa lun tt nghip. Hình 4.5.3-3: Tùy chnh các options. 6. Trong hp tho i SMTP Message Screener Logging Properties, nhn Apply ri nhn OK. 4.5.4. Test cu hình SMTP Filtering: Ta dùng mt máy tính client m ng bên ngoài (external network)  kim tra chc nng l#c th ca SMTP Relay ã cu hình: Máy tính client bên ngoài phi có th gii quyt tên ca máy tính SMTP relay ra a ch- IP trên card m ng bên ngoài ca máy tính ISA Server 2004 firewall. Tên ca SMTP Server là mail.ntt.org . Máy tính client phi có th gii quyt tên này ra a ch- IP trên card m ng bên ngoài ca máy tính ISA Server 2004 firewall ang l$ng nghe các yêu cu i vào SNTTULIBMTP relay server. ( ây IP là 192.168.1.2) Trong thc t, ta phi có c s h tng DNS phân chia t&ng phn c th  có th gii quyt tên úng cho c các client bên trong m ng ni b và bên ngoài. 0 ây ta không có h tng DNS  phân chia t&ng phn nên ta phi s dng file Hosts  phân gii tên mail.ntt.org ra a ch- IP là 192.168.1.2. 1. Nhn chut phi vào Start ch#n Explore. 2. M th mc Windows\System32\drivers\etc m file Hosts dùng Notepad. 3. Trong file Hosts, gõ các dòng di ây vào phn cui ca file: ___ - 60 -
  61. Khóa lun tt nghip. 192.168.1.2 mail.ntt.org nh Enter cho xung dòng ri óng file l i và lu l i các thay  i. Trên máy client  bên ngoài, test chc nng SMTP relay: 1. M Outlook Express, nhn vào Tool ch#n Account. 2. Trong hp tho i Internet Account, nhn Add ri ch#n Mail. 3. Trong hp tho i Your name, nhp tên ri nhn Next. 4. Trong hp tho i E-mail address, nhp a ch- email. 0 ây ta nhp a ch- admin@ntt.org .Nhn Next. 5. Trong hp tho i E-mail Server Names, ch#n mc POP3 trong danh sách My Incoming mail server is a X server. Trong hp text Incoming mail (POP3, IMAP or HTTP) server và Outgoing mail (SMTP) server, ta nhp vào mail.ntt.org. Nhn Next. 6. Trong hp tho i Internet Mail Logon, nhp account name admin trong hp text Account name và password trong hp text password. Nhn Next. 7. Trong hp tho i Congratulations, nhn Finish. 8. Trong hp tho i Internet Accounts, ch#n e-mail v&a t o ri nhn Properties. 9.Trong hp tho i Properties ca account, ch#n th1 Servers. 10. Trong th1 Servers, check vào mc My server requires authentication, nhn vào nút Settings. 11. Trong hp tho i Outgoing Mail Server, ch#n Log on using. Trong hp text Account Name, nhp BKAPTECH\Admin. Nhp password trong hp text Password. ánh du cNTTULIBheck vào mc Log on using Secure Password Authentication. Nhn OK. 12. Trong hp tho i Properties ca mail account, nhn Apply ri OK. 13. Trong hp tho i Internet Accounts, nhn Close. 14. Nhn nút Create mail. 15. Trong hp tho i New Message, gõ a ch- admin@ntt.org và tiêu ! th mail enhancement. Nhn Send. ___ - 61 -
  62. Khóa lun tt nghip. 16. Trên máy SMTP Relay, nhn Start ch#n Windows Explore. Vào th mc C:\Inetpub\mailroot\Badmail ta s, thy 3 file vi các phn m rng là . BAD; .BDP và .BDR. Nhng file này là th mà b n mi v&a gi vào b khóa  c lu l i. 4.6. Publish bo mt Outlook Web Access site v!i ISA Server 2004: Nhng user t& xa có th kt ni ti Exchange Server ca b n t& bt k/ n i âu trên th gii bng cách s dng protocol HTTP  truy cp vào Outlook Web Access (OWA). OWA ca Exchange Server 2003 cung cp nhng chc nng tuyt v i h n rt nhi!u so vi OWA ca Exchange 2000. Ta có th cung cp cho các user t& xa mt kt ni bo mt cao ti OWA Web Site ca công ty. Công ngh bo mt hin nay cho phép m bo  c mt kt ni hoàn toàn bo mt gia user t& xa và OWA Web site. Publish bo mt OWA Web site bng cách s dng ISA Server 2004 s, cung cp mt cp  bo mt cao h n nhi!u so vi bt k/ mt gii pháp t ng la o nào khác hin có trên th tr ng. Chúng ta hòan tòan có th cung cp cho các user t& xa mt kt ni bo mt cao ti OWA Web Site ca công ty. Chúng ta có th bo mt gia user t& xa và OWA Web site bao gm: Kt ni SSL gia OWA client và máy tính ISA Server 2004 firewall Kt ni SSL gia ISA SeNTTULIBrver 2004 firewall và OWA site Cng ép chng nhn client trên các th mc ca OWA – i!u này yêu cu máy tính ISA Server 2004 (và bt k/ máy tính host khác) phi cung cp chng nhn client trc khi  c phép kt ni ti bt kì th mc nào ca OWA Web Site Xác lp chng nhn ca client vi b l$ng nghe các yêu cu Web i vào trên máy tính ISA Server firewall – i!u này yêu cu các client OWA t& xa phi cung cp ___ - 62 -
  63. Khóa lun tt nghip. chng nhn ca client  xác lp vi t ng la chp nhn và chuyn các nhn din ca client ti cho OWA site Cho phép y quy!n xác lp – i!u này có ngha là t ng la s, chu trách nhim chuyn các nhn din ca user ti cho OWA Web site – vic này nhm ngn cn mt máy tính host cha  c xác lp g i bt k/ mt gói tin nào n OWA Website Enterprise CA ca Microsoft cho phép kim sóat mt cách cht ch, da trên chng nhn – i!u này s, l#ai b* ri ro các client khi kt ni t& nhng máy tính host cha  c trust ging nh nhng máy tính công cng t t i sân bay h#c nhng máy tính này th ng là không tuân theo các tiêu chu2n bo mt nghiêm ngt ca công ty Publish bo mt OWA Web Site bng cách s dng ISA Server 2004 s, cung cp mt cp  bo mt cao h n nhi!u so vi bt kì gii pháp t ng la o nào khác trên th tr ng Lock SSL Mail Server SSL key ISA Exchange server Internet ISA LOCAL Windows Server 2003 SSL IP: 200.200.200.2 H-NG SSL key Windows Server 2003 SUB: 255.255.255.0 Internal network DF: 200.200.200.1 Windows XP IP: 200.200.200.1 DNS: 200.200.200.2 IP: 195.201.2.3 SUB: 255.255.255.0 NTTULIBSUB: 255.255.255.0 DNS: 203.162.4.190 DNS: 200.200.200.2 External network IP: 192.168.1.2 SUB: 255.255.255.0 DF: 192.168.1.1 DNS: 203.131.113.1 Hình 4.6: S  hot ng ca OWA mã hóa SSL. ___ - 63 -
  64. Khóa lun tt nghip. 4.6.1. Cp mt chng nhn và kt h#p chng nhn này cho OWA site: Mc ích cung cp cho các client kh nng truy cp t& xa bo mt n OWA site bng cách yêu cu client dùng mã hóa SSL(Secure Sockets Layer)/TLS khi kt ni vi Exchange Server. Web site  c publish yêu cu phi có chng nhn web site. Chng nhn web site này  c t trong ngn lu tr chng nhn ca máy tính Exchange Server và  c kt h p vi Web site ca Exchange Server. Yêu cu mt chng nhn Web site cho OWA Web site trên máy tính Exchange Server 2003. 1. Trên máy tính Exchange Server 2003, nhn Start vào Administrative Tools ch#n Internet Information Services (ISS) Manager. 2. Trong hp tho i Internet Information Services (ISS) Manager, ch#n mc Web Sites nhn chut phi vào mc Default Web Site ch#n Properties. NTTULIB Hình 4.6.1-1: Cu hình thuc tính Default Web Site. 3. Trong hp tho i Default Web Site Properties, ch#n th1 Directory Security ri nhn vào nút Server Certificate trong khung Secure communications. ___ - 64 -
  65. Khóa lun tt nghip. Hình 4.6.1-2: Tùy chn thuc tính Default Web Site. 4. Trong hp tho i Welcome to the Web Server Certificate Wizard, nhn Next. 5. Trong hp tho i Server Certificate, ch,n mc Creat a new certificate nhn Next. Hình 4.6.1-3: To mi Certificate. 6. Trong hp tho i DeNTTULIBlayed or Immediate Request, ch#n mc Send the request immediately to an online certification authority ri nhn Next. ___ - 65 -
  66. Khóa lun tt nghip. Hình 4.6.1-4: To mi Certificate. 7. Trong hp tho i Name and Security Settings,  mc nh và nhn Next. 8. Trong hp tho i Organization Information, gõ tên công ty và t chc vào trong hp text Organization và Organizational Unit. Nhn Next. 9. Trong hp tho i Your Site’s Common Name, gõ tên site mà user dùng  truy cp vào site này (mail.ntt.org). ây là setting cc k/ quan tr#ng, nu nhp không úng thì khi truy cp n OWA site s, báo l'i. Tên này phi  c phân gii ra a ch- IP trên card m ng bên ngoài ca máy ISA Server ã cu hình  l$ng nghe các kt ni i vào ti OWA site. Nhn Next. NTTULIB Hình 4.6.1-5: Nhp tên Site ‘s Common. 10. Trong hp tho i Geographical Information, nhp tên quc gia , thành ph vào các hp text Country/Region, State/province và City/locality. Nhn Next. ___ - 66 -
  67. Khóa lun tt nghip. Hình 4.6.1-6: Nhp thông tin. 11. Trong hp tho i SSL Port,  các giá tr mc nh là 443 trong hp text SSL Port this web site should use. Nhn Next. Hình 4.6.1-7: Nhp port SSL. 12. Trong hp tho i Choose a Certification Authority,  các giá tr mc nh, nhn Next. 13. Trong hp tho i Certificate Request Submission, xem các cu hình ri nhn Next. 14. Trong hp tho i CNTTULIBompleting the Web Server Certificate Wizard, nhn Finish  hoàn tt. Lúc này nút View Certificate s, sáng lên, chng t* rng chng nhn Web site ã  c kt h p vi OWA Web site và có th  c s dng  cng ép các kt ni bo mt ti Web site. ___ - 67 -
  68. Khóa lun tt nghip. Hình 4.6.1-8: Hoàn tt to mi Certificate. 15. Trong hp tho i Default Web Site Properties, nhn OK. 4.6.2. Xut chng nhn c$a OWA site t!i mt file: Máy tính ISA Server 2004 firewall s, óng vai trò ca OWA Web site bng cách a chng nhn OWA Web site ti cho các client OWA t& xa. Tên ca OWA Web site  c cha trong chng nhn, ta xut chng nhn Web site t& OWA server. 1. Nhn Start, vào Administrative Tools ch#n Internet Information Services. Trong Internet Information Services (IIS) Manager, ch#n mc Web Sites ri nhn chut phi vào Default Web Site ch#n Properties. 2. Trong hp tho i Default Web Site Properties, ch#n th1 Directory Security ri nhn vào nút View Certificate. NTTULIB Hình 4.6.2-1: View Certificate. ___ - 68 -
  69. Khóa lun tt nghip. 3. Trong hp tho i Certificate, ch#n th1 Details. Nhn vào nút Copy to File. Hình 4.6.2-2: Certificate Details. 4. Trong hp tho i Welcome to the Certificate Export Wizard, nhn Next. 5. Trong hp tho i Export Private Key, ch#n mc Yes, export the private key ri nhn Next. NTTULIB Hình 4.6.2-3: Certificate Export Key. 6. Trong hp tho i Export File Format, ch#n mc Personal Information Exchange – PKCS#12 (.PFX). Ch- ánh du check vào mc Include all certificate in the certification path if possible, các mc còn l i  trng. Nhn Next. ___ - 69 -
  70. Khóa lun tt nghip. Hình 4.6.2-4: Export File Format. 7. Trong hp tho i Password, nhp password và xác nhn l i. Password này s, bo v private key tránh b s dng khi mt c$p. Nhn Next. 8. Trong hp tho i File to Export, nhp  ng d.n và tên file  lu chng nhn. Lu ý nên nh n i lu  copy nó ti máy ISA Server 2004 firewall. Nhn Next. Hình 4.6.2-5: L u file Export. 9. Trong hp tho i Completing the Certificate Export Wizard, nhn Finish ri nhn OK  xác nNTTULIBhn xut chng nhn thành công. ___ - 70 -
  71. Khóa lun tt nghip. Hình 4.6.2-6: Hoàn tt Certificate Export. 10. óng hp tho i Certificate ri óng hp tho i Default Web Site Properties. 4.6.3. Cu hình OWA site " c.ng ép mã hóa SSL và xác lp basic: OWA Web Site s, h' tr các kt ni SSL ngay khi chng nhn  c kt h p n site này, tuy nhiên user có th s dng mt kt ni không bo mt ti site. Ta có th cng ép ISA Server 2004 và tt c các user ni b s dng kt ni SSL ti các th mc ca OWA Web Site và yêu cu phi dàn xp mt kt ni SSL thành công trc khi kt ni vi các th mc ca OWA site. Ta c"ng mun cng ép xác lp basic trên tt c các th mc ca OWA site. i!u này giúp b n tn dng  c nhng u im ca ISA Server 2004  cho phép relay các nhn din xác lp basic t& t ng la ti OWA site. i!u này ngn cn nhng thông tin cha  c xác lp n  c các th mc ca OWA Web site và ci tin mt cách áng k vn ! bo mt. Thc hi n cng ép xácNTTULIB lp basic ti các th mc ca OWA Web site: 1. Nhn Start vào Administrative Tools ch#n Internet Information Services (ISS) Manager. Trong hp tho i Internet Information Services (ISS) Manager, ch#n tên server m mc Web Sites, m mc Default Web Site ln l t ch#n 3 th mc ca OWA Web site mà các user t& xa phi truy cp là: /Exchange; /ExchWeb; /Public ri nhn chut phi ch#n Properties. ___ - 71 -
  72. Khóa lun tt nghip. Hình 4.6.3-1: Exchange Properties. 2. Ch#n th1 Directory Security, trong khung Authentication and access control nhn vào nút Edit. Hình 4.6.3-2: Edit Authentication and Access control. 3. Trong hp tho i Authentication Methods, lo i b* du check ra kh*i tt c các mc ch- check mNTTULIBc Basic authentication (password is send in clear text). Nhn Yes trong hp tho i thông báo các nhn din s,  c bo v bng SSL. Nhp tên domain ca b n vào hp text Default domain. Nhn OK. ___ - 72 -
  73. Khóa lun tt nghip. Hình 4.6.3-3: Tùy chn Authentication. 4. Trong hp tho i Exchange Properties, nhn Apply ri OK. Lp l i ln l t vi hai th mc /ExchWeb và /Public nh ã làm trên. Thc hi n cng ép dch v Firewall service ca ISA Server 2004 firewall s dng SSL (Secure Sockets Layer) khi kt ni vi các th mc ca OWA site. 1. Nhn Start vào Administrative Tools ch#n Internet Information Services (ISS) Manager. Trong hp tho i Internet Information Services (ISS) Manager, ch#n tên server m mc Web Sites, m mc Default Web Site ln l t ch#n 3 th mc ca OWA Web site mà các user t& xa phi truy cp là: /Exchange; /ExchWeb; /Public ri nhn chut phi ch#n Properties. 2. Trong hp tho i Exchange Properties, ch#n th1 Directory Security, trong khung Secure commuNTTULIBnications nhn vào nút Edit. 3. Trong hp tho i Secure communications, ánh du check vào mc Require secure channel (SSL) và mc Require 128-bit encryption. Nhn OK. ___ - 73 -
  74. Khóa lun tt nghip. Hình 4.6.3-4: C ng ép mã hóa SSL. 4. Trong hp tho i Exchange Properties, nhn Apply ri OK. 5. Lp l i t& bc 1 ti bc 4 cho hai th mc /ExchWeb và /Public. Nh vy b n ã cng ép SSL trên c 3 th mc Exchange , ExchWeb và Public. 4.6.4. Nhp chng nhn c$a OWA Web site vào trong Certificate Store (ngn lu tr/ chng nhn) c$a máy tính ISA Server firewall: Sau khi ISA Server 2004 firewall  c cài t, s)n sàng  copy chng nhn Web site t& Exchange Server ti máy tính ISA server 2004 firewall. Chng nhn này  c lu trong ngn import vào ngn lu tr ca máy tính ISA Server 2004 firewall và  c kt h p vi b l$ng nghe các yêu cu Web i vào. 1. Nhn Start, ch#n Run. Nhp mmc vào trong hp text Open và nhn OK. Trong Console 1, nhn vào menu File và ch#n Add/Remove Snap-in. NTTULIB Hình 4.6.4-1: Add/Remove Snap-in. ___ - 74 -
  75. Khóa lun tt nghip. 2. Trong hp tho i Add/Remove Snap-in, nhn nút Add. Hình 4.6.4-2: Add/Remove Snap-in. 3. Trong hp tho i Add Standalone Snap-in, ch#n mc Certificates trong danh sách Available Standalone Snap-in. NTTULIB Hình 4.6.4-3: Add Certificates. ___ - 75 -
  76. Khóa lun tt nghip. 4. Trong hp tho i Certificates snap-in, ch#n Computer account. Nhn Next. Hình 4.6.4-4: Chn Certificates snap-in. 5. Trong hp tho i Select Computer, ch#n Local computer: (the computer this console is running on) và nhn Finish. Hình 4.6.4-5: Chn Computer. 6. Trong hp tho i Add Standalone Snap-in, nhn Close. 7. Trong hp tho i Add/Remove Snap-in, nhn OK. 8. Nhn chut phi vào mc Personal , ch#n All Tasks và nhn Import. NTTULIB Hình 4.6.4-6: Import Certificates. ___ - 76 -
  77. Khóa lun tt nghip. 9. Trong hp tho i Welcome to the Certificate Import Wizard, nhn Next. 10. Nhn Browse và tìm n file chng nhn. Nhn Next sau khi  ng d.n và tên file  c tìm thy. Hình 4.6.4-7: File Import Certificates. 11. Trong hp tho i Password, nhp password ca file chng nhn. Không check vào mc Mark this key as exportable. This will allow you to back up or tranport you keys at a late time. Lý do máy tính này có mt card m ng ra internet nên rt d% b tn công và b ánh c$p private key nn nh nó  c ánh du cho phép xut ra  c. Nhn Next. NTTULIB Hình 4.6.4-8: Import Certificates Password. ___ - 77 -
  78. Khóa lun tt nghip. 12. Trong hp tho i Certificate Store, ch$c rng ã ch#n mc Place all certificate in the follow store trong hp text Certificate store là Personal. Nhn Next. Hình 4.6.4-9: Certificates Import. 13. Trong hp tho i Completing the Certificate Import, nhn Finish. 14. Trong hp tho i Certificate Import Wizard, nhn OK khi import thành công. 15. Trong phn bên phi ta s, nhìn thy mt chng nhn Web site và mt chng nhn Root CA. Chng nhn CA phi  c t trong ngn Trusted Root Certification Authorities\Certificates sao cho máy tính này s, trust chng nhn Web site  c cài t trên nó. Nhp úp vào chng nhn Web site. HNTTULIBình 4.6.4-10: Trust Certificates Import. 16. Trong hp tho i Certificate, ch#n th1 Certificate Path lúc này du “X” màu * trên nút chng nhn CA, i!u này chng t* rng máy tính này cha trust vi CA ã cp chng nhn Web site.  có th s dng chng nhn này nhm thc hin mt kt ni SSL ti SSL briging, máy tính này phi trust vi CA ã cp chng nhn Web site. óng hp tho i Certificate. ___ - 78 -
  79. Khóa lun tt nghip. 17. Nhn chut phi vào chng nhn CA trong khu vc bên phi ri ch#n Copy. Hình 4.6.4-11: Trust Certificates Import. 18. M mc Trusted Root Cetification Authorities và ch#n mc Certificates. Nhn chut phi vào Certificates và ch#n Paste. Chng nhn CA s,  c a vào ngn Trusted Root Certification Authorities\Certificates và cho phép máy tính này trust các chng nhn ã  c cp b i CA. Hình 4.6.4-12: Paste Certificates Import. 19. Nhn vào nút Refresh, chng nhn s, xut hin bên phi console. NTTULIB Hình 4.6.4-13: Refresh Certificates Import. ___ - 79 -
  80. Khóa lun tt nghip. 20. Tr l i mc Personal\Certificates, nhn úp vào chng nhn Web site. Trong hp tho i Certificates ca chng nhn Web site, ch#n th1 Certification Path, du “X” màu * không còn xut hin trên chng nhn CA. Nhn OK. 21. óng console 1. 4.6.5. Chy Outlook Web Access Publishing Wizard : To mt OWA Web Publishing Rule: 1. Trong ch ng trình qun lý Microsoft Internet Security and Acceleration Server 2004, ch#n tên máy ISA Server và nhn vào Firewall Policy ch#n th1 Tasks trên thanh Task Pane. Nhn vào mc Publish a Mail Server. Hình 4.6.5-1: Publish a Mail Server. 2. Trong hp tho i Welcome to the New Mail Server Publishing Rule Wizard, nhp tên rule ( Publish OWA Site) vào trong hp text Mail Server Publishiing Rule name. nhn Next. NTTULIB Hình 4.6.5-2: #t tên Publish a Mail Server. ___ - 80 -
  81. Khóa lun tt nghip. 3. Trong hp tho i Select Access Type, ch#n Web client access: Outlook Web Access (OWA), Outlook Mobile Acess, Exchange Server ActiveSync. Nhn Next. Hình 4.6.5-3: Select Access Type. 4. Trong hp tho i Select Services, ánh du check vào mc Outlook Web Access và mc Enable high bit characters used by non-English character sets ( cho phép user OWA truy cp mail s dng b ký t c bit). Nhn Next. NTTULIBHình 4.6.5-4: Select Services. 5. Trong hp tho i Bridging Mode, ch#n Secure connection to clients and mail server (cho phép t o mt Web publishing Rule m bo mt kt ni SSL bo mt t& client ti OWA Web Site, m bo các giao thông  c mã hóa tránh b xâm nhp và ánh c$p thông tin). Nhn Next. ___ - 81 -
  82. Khóa lun tt nghip. Hình 4.6.5-5: Select Bridging Mode. 6. Trong hp tho i Specify the Web Mail Server, nhp tên ca OWA Web site mail.ntt.org trong hp text Web mail server (ây là common name trên chng nhn OWA Web site). Nhn Next. Hình 4.6.5-6: Specify the Web Mail Server. 7. Trong hp tho i Public Name Details, ch#n This domain name (type below) trong mc Accept request for. Nhp tên common name vào trong hp text Public name. Nhn NNTTULIBext. ___ - 82 -
  83. Khóa lun tt nghip. Hình 4.6.5-7: Public Name Details. 8. Trong hp tho i Select Web Listener, nhn New. ây là b l$ng nghe các yêu cu Web i vào trong ISA Server 2004. Hình 4.6.5-8: Select Web Listener. 9. Trong hp tho i Welcome to the New Web Listener Wizard, nhp tên b l$ng nghe Web i vào trong hp text Web listener name. Nhn Next. NTTULIB Hình 4.6.5-9: Hoàn tt to Web Listener. ___ - 83 -
  84. Khóa lun tt nghip. 10. Trong hp tho i IP Addresses, check vào mc External ri nhn Address. 11. Trong hp tho i External Network Listener IP Selection, ch#n a ch- IP (192.168.1.2) trên card m ng bên ngoài ca máy tính ISA Server 2004 firewall trong khung Available IP Address  l$ng nghe các yêu cu Web i vào ti OWA site. Nhn Add. Trong khung Selected IP Address, a ch- IP xut hin. Nhn OK. Hình 4.6.5-10: External Network Listener IP Selection. 12. Trong hp tho i IP Adrresses, nhn Next. 13. Trong hp tho i Port Specification, lo i b* du check ra kh*i mc Enable HTTP, áng du vào mc Enable SSL vi port 443. Nhn Select. NTTULIB Hình 4.6.5-11: Port Specification. 14. Trong hp tho i Select Certificate, ch#n chng nhn OWA Web site mà ta ã import vào trong ngn lu tr chng nhn ca máy tính ISA Server 2004 firewall, nhn OK. 15. Trong hp tho i Port Specification, nhn Next. 16. Trong hp tho i Completing the New Web Listener, nhn Finish. ___ - 84 -
  85. Khóa lun tt nghip. Hình 4.6.5-12: Hoàn tt to Web Listener. 17. Trong hp tho i Select Web Listener, chi tit ca b l$ng nghe xut hin nhn nút Edit. Hình 4.6.5-13: Select Web Listener. 18. Trong hp tho i OWA SSL Listener Properties, ch#n th1 Preferences ri nhn nút Authentication. NTTULIB ___ - 85 -
  86. Khóa lun tt nghip. Hình 4.6.5-14: OWA SSL Listener Properties. 19. Trong hp tho i Authentication, lo i b* du check ra kh*i mc Integrated. Nhn OK. 20. ánh du check vào mc OWA Forms-Based. Ph ng pháp xác lp OWA Forms-Based rt hiu qu và là mt ci tin bo mt mà ISA Server 2004 firewall cung cp cho OWA site. T ng la s, phát sinh mt trang log on và chuyn các user name và password ti cho OWA site  xác lp. Ch- sau khi user xác lp thành công thì yêu cu kt ni mi  c chuyn cho OWA site. Lu ý, b n &ng bt xác lp bng form t i OWA site ca Exchange Server mà ch- bt t i ISA Server 2004 firewall mà thôi. Nhn Configure. NTTULIB Hình 4.6.5-15: Chn OWA Forms-Based. ___ - 86 -
  87. Khóa lun tt nghip. 21. Trong hp tho i OWA Forms-Based Authentication, ánh du check vào tt c các mc. Nhn OK. Hình 4.6.5-16: OWA Forms-Based Authentication. 22. Trong hp tho i Authentication, nhn OK. 23. Trong hp tho i OWA SSL Listener Properties, nhn Apply ri nhn OK. 24. Trong hp tho i Select Web Listener, nhn Next. 25. Trong hp tho i User Sets,  mc nh All Users ri nhn Next. Ch- có các user xác lp thành công mi truy cp  c. 26. Trong hp tho i Completing the New Mail Server Publishing Rule Wizard, nhn Finish. NTTULIB Hình 4.6.5-17: Hoàn tt to Publishing Rule. ___ - 87 -
  88. Khóa lun tt nghip. 27. Trong Details Pane, nhn chut phi vào OWA Web site rule ch#n Properties. 28. Trong hp tho i OWA Web site Properties, ch#n th1 To, ch#n mc Request appear to come form the original client (cho phép OWA Web site nhn a ch- IP tht ca user bên ngoài). Nhn Apply ri OK. Hình 4.6.5-18: Public OWA Site properties. 29. Nhn Apply  cp nht firewall policy. Nhn OK. NTTULIB ___ - 88 -
  89. Khóa lun tt nghip. 4.6.6. Cài +t chng nhn Root CA trên máy tính OWA client: Máy tính External client cn phi có chng nhn Root CA  c t trong ngn lu tr chng nhn Trusted Root Certification Authorities trc khi client có th thc hin kt ni ti Server bo mt. Ta phi publish Web enrollment site c$a Enterprise CA ra ngoài ISA Server 2004 sao cho client có th nhn  c chng nhn này và cài t nó ngay t& bên ngoài t ng la ISA Server. T o Publish Web enrollment site ca Enterprise CA: 1. Trong ISA Server Management, ch#n mc Firewall Policy trong phn server. Nhn chut phi trên mc Firewall Policy ch#n Publish a Web Server. Hình 4.6.6-1: Publish a Web Server. 2. Trong hp tho i Welcome to the New Web Publishing Rule Wizard, nhp tên Publish Web Enrollment Site trong hp text publishing rule name. Nhn Next. NTTULIB Hình 4.6.6-2: #t tên Publish Web Enrollment site. 3. Trong hp tho i Select Rule Action, ch#n Allow ri nhn Next. ___ - 89 -
  90. Khóa lun tt nghip. 4. Trong hp tho i Define Website to Publish, nhp a ch- IP (200.200.200.2) ca Web site ca Enterprise CA trong hp text Computer name or IP address. Trong hp text path, nhp /certsrv/*. Nhn Next. Hình 4.6.6-3: Define Website to Publish. 5. Trong hp tho i Public Name Details, ch#n This domain name (type below) trong danh sách Accept request for. Trong hp text Public name, nhp a ch- IP card m ng bên ngoài ca máy ISA Server (192.168.1.2). Nhp /certsrv/* vào hp text Path (optional). Nhn Next. NTTULIB Hình 4.6.6-4: Public Name Details. 6. Trong hp tho i Select Web Listener, nhn New. 7. Trong hp tho i Welcome to the New Web Listener, nhp tên rule là Listener IP trong hp text Web listener name. ___ - 90 -
  91. Khóa lun tt nghip. Hình 4.6.6-5: #t tên Web Listener. 8. Trong hp tho i IP Addresses, check vào mc External ri nhn Next. Hình 4.6.6-6: Chn IP Address. 9. Trong hp tho i Port Specification,  mc nh Enable HTTP port 80 , ri nhn Next. NTTULIB Hình 4.6.6-7: Port Specification. ___ - 91 -
  92. Khóa lun tt nghip. 10. Trong hp tho i Completing the New Web Listener, nhn Finish. Hình 4.6.6-8: Hoàn tt to Web Listener. 11. Trong hp tho i Select Web Listener, nhn Next. Hình 4.6.6-9: Select Web Listener. 12. Trong hp tho i User Sets, chp nhn mc nh ri nhn Next. 13. Trong hp tho i Completing the New Web Publishing Rule Wizard, nhn Finish. NTTULIB ___ - 92 -
  93. Khóa lun tt nghip. Hình 4.6.6-10: Hoàn tt to Publishing Rule. 14. Nhn chut phi vào rule Publish Web Enrollment Site ch#n Properties. Hình 4.6.6-11: Publishing Web Rule Properties. 15. Trong hp tho i Publish Web Enrollment Site Properties, ch#n th1 Paths ri nhn Add. Trong hp tho i Path mapping nhp dòng /CerControl/* vào trong hp text Specify the folder on the Web site that you want to publish. Nhn OK. Hình 4.6.6-12: Path mapping. 16. Trong hp tho i Publish Web Enrollment Site, nhn Apply ri OK. 17. Nhn Apply  cp nht firewall policy. Nhn OK. NTTULIB Truy cp vào web site này  cài t chng nhn Root CA vào máy client. 1. Trên máy client, m Internet Explorer gõ vào address ca IE ri nhn Enter. Nhp User Name, Password và Domain ca user nhn OK. User name: admin Password: ___ - 93 -
  94. Khóa lun tt nghip. Domain: ntt.org 2. Trên trang Welcome c$a web site enrollment chng nhn, ch#n mc Download a CA certificate, certificate chain, or CRL. 3. Trên hp tho i Download a CA Certificate, Certificate chain, or CRL, ch#n Install this CA certificate chain. 4. Trong hp tho i Potential Scripting Violation, nhn Yes. 5. Trong hp tho i Root Certificate Store, nhn Yes  chp nhn chng nhn s, cài t. 6. óng Internet Explorer sau khi CA Certificate Installation thông báo chng nhn cài t thành công. 7. Nhn Start, ch#n Run. Nhp mmc vào trong hp text Open và nhn OK. Trong Console 1, nhn vào menu File và ch#n Add/Remove Snap-in. 8. Trong hp tho i Add/Remove Snap-in, nhn nút Add. 9. Ch#n mc Certificates trong danh sách Available Standalone Snap-in. Nhn Add. 10. Ch#n My user account trên hp tho i Certificates snap-in và nhn Finish. 11. Ch#n mc Certificates trong danh sách Available Standalone Snap-in mt ln na. Nhn Add. 12. Trong hp tho i Certificates snap-in, ch#n Computer account. Nhn Next. 13. Trong hp tho i Select Computer, ch#n Local Computer và nhn Finish. 14. Trên hp tho i Add Standalone Snap-in, nhn Close. 15. Trong hp tho i Add/Remove Snap-in, ta s, thy 2 mc Certificates – Current User và Certificates (Local computer) trong danh sách các snap- in. Nhn OK. NTTULIB 16. M rng nút Certificates – Current User trên phn bên trái, m rng nút Trusted Root Certification Authorities và ch#n Certificates. Nhn chut phi vào chng nhn Root CA ca b n và nhn Copy. 17. M rng nút Certificates (Local Computer) phn bên trái, m rng nút Trusted Roo Certification Authorities và ch#n Certificates. Nhn chut phi vào Certificates ch#n lnh Paste. ___ - 94 -
  95. Khóa lun tt nghip. 18. Nhn Refresh trên thanh toolbar hoc nhn F5, chng nhn Root CA xut hin bên phi console. Máy tính client gi ã trust vi root CA. Hi u chnh file Hosts trên máy External Client sao cho nó có kh nng phân gi i tên mail.ntt.org và tên owa.ntt.org ra a ch IP ca card m ng bên ngoài ca máy tính ISA Server 2004 firewall là 192.168.1.2 : 1. Nhn chut phi vào Start ch#n Explorer. 2. Vào Windows\system32\drivers\etc m file hosts dùng Notepad. 3. Trong Notepad, thêm 1 dòng vào file hosts: 192.168.1.2 mail.ntt.org 192.168.1.2 owa.ntt.org 4. Nhn Enter xung dòng ri lu l i thay  i, óng Notepad. Kim tra kt qu kt ni t máy external client n OWA Web site ã c Publish thông qua ISA Server 2004: 1. M Internet Explorer, nhp vào thanh a ch- nhn Enter. 2. Trên trang log on Outlook Web Access, nhp NTT\Admin và password. Ch#n Premium di mc Client và Private computer di mc Security. Nhn Log On. 3. Trang OWA s,  c m trong mt ca s SSL. Hình khóa xut hin trên thanh tr ng thái cho ta bit hin gi IE ang làm vic trên mt kt ni SSL. 4. Nhn Log Off  thNTTULIBoát ra OWA Web Site. ___ - 95 -
  96. Khóa lun tt nghip. 4.7. ánh giá kt qu. 4.7.1. Kt qu t #c. Xây dng h thng Firewall dùng ISA Server 2004 cho Mail Exchange 2003, m bo s bo mt cho toàn h thng Mail ca công ty. Trong ! tài này, vn dng  c kin thc cn bn ã h#c v! ISA Server, H i!u hành Window Server 2003, Mail Exchange 2003, chúng em ã xây dng  c h thng m ng bo mt có th áp ng  c nhng yêu cu nh: • Cho phép nhân viên gi và nhn mail trong ni b công ty. • Cho phép nhân viên gi và nhn mail vi các i tác bên ngoài. • Cho phép nhân viên ngoài công ty gi và nhn mail vi các i tác bên ngoài. • Cho phép công ty qun lý thông tin, d liu nhân viên. • Cho phép công ty qun lý hp mail ca nhân viên. • Cho phép công ty giám sát mail ca các nhân viên trong công ty. • m bo h thng mail bo mt, an toàn. • C ch ho t ng mail  c mã hóa. 4.7.2. Vic cha làm #c. Mc dù rt c g$ng, nhng do kin thc h n h3p nên lun vn không tránh kh*i nhi!u thiu sót và h n ch nh: ° Cha h' tr vic mã hóa SSL cho dch v POP3, IMAP. ° Cha trình NTTULIBbày chi tit nhng cu hình qun lý hp Mail Exchange. ° Cha nêu rõ nhng tính nng t ng la cho h thng m ng. 4.8. H!ng phát tri"n. Trong th i gian s$p ti , chúng em s, c g$ng kh$c phc nhng h n ch trên: ° Thit lp vic mã hóa SSL cho dch v POP3, IMAP. ° Trình bày chi tit nhng cu hình qun lý hp Mail Exchange. ° Trình bày rõ nhng tính nng t ng la cho h thng m ng. ___ - 96 -
  97. Khóa lun tt nghip. K T LUN Chúng em xin gi n tt c các Thy Cô, các b n – nhng ng i ã tn tình giúp  chúng em trong sut th i gian làm ! tài v! mt chuyên môn c"ng nh s giúp  chân thành v! mt tinh thn l i cm n sâu s$c.  hoàn thành ! tài này, chúng em ã nhn  c rt nhi!u s góp ý t& phía thy cô c bit là Thy Trn Qung Hng ã luôn h' tr m'i khi ! tài gp khó khn, bên c nh ó chúng em còn h#c  c cách làm vic nhóm, cách t ng tr l.n nhau m'i khi gp nhng vn ! mà cá nhân không th gii quyt  c, chúng em c"ng nhn  c không ít s giúp  t& phía các b n cùng lp 07CTHL1. Xin chân thành ghi nhn tt c nhng s giúp  này và cho chúng em gi n m#i ng i lòng bit n sâu s$c nht. Tuy ã có rt nhi!u c g$ng nhng ch$c ch$n ! tài ca chúng em không tránh kh*i nhng thiu sót, xin nhn  c t& phía thy cô và các b n s góp ý c"ng nh s thông cm  cho ch ng trình chúng em ngày càng hoàn thin h n. Mt ln na, chúng em xin chân thành bit n. Nhóm sinh viên thc hin. H) Tr,ng Ngh*a. NTTULIB Trn Lê Hng. ___ - 97 -
  98. Khóa lun tt nghip. MC LC HÌNH NH Hình 1.2 - 1: Mô hình h thng Mail Server Exchange 6 Hình 3.3.1: S  m ng lý thuyt 19 Hình 3.3.2: S  m ng thc t. 20 Hình 4.1.1-1: t tên m ng Perimeter 28 Hình 4.1.1-2: Ch#n Network Type. 29 Hình 4.1.1-3: Ch#n card m ng 29 Hình 4.1.1-4: Ch#n card m ng vòng ngoài 29 Hình 4.1.1-5: Kt thúc nh ngha m ng vòng ngoài 30 Hình 4.1.2-1: Ch#n Network Object 31 Hình 4.1.2-2: T o Computer Object. 31 Hình 4.1.2-3: T o Computer Object. 31 Hình 4.1.2-4: Kt thúc t o Computer Object 32 Hình 4.1.2-5: T o Computer Object. 32 Hình 4.1.3-1: t tên Network Rule 33 Hình 4.1.3-2: Add Network Sources. 34 Hình 4.1.3-3: Add Network Destinations. 34 Hình 4.1.3-4: Ch#n Network Relationship. 35 Hình 4.1.3-5: Kt thúc t o Network Rule 35 Hình 4.1.3-6: t tên cho Network Rule 36 Hình 4.1.3-7: Ch#n Network Relationship. 36 Hình 4.1.3-8: Kt thúc t o Network Rule 37 Hình 4.2.1-1: Edit Protocol Connection. 38 Hình 4.2.1-2: Kt thúc t o Protocol 39 Hình 4.2.2-1: Add các Protocol. 42 Hình 4.2.3-1: t tên cho Publishing Rule 43 Hình 4.2.3-2: Nhp Server IP. 43 Hình 4.2.3-3: Ch#n Protocol 44 Hình 4.2.3-4: Ch#n IP Address card m ng 44 Hình 4.2.4-5: Kt thúc t o Publishing Rule 44 Hình 4.4.2-1: Ch#n a ch- IP cho SMTP 47 Hình 4.4.2-2: Cu hình Authentication 47 Hình 4.4.2-3: Cu hình các tùy ch#n Authentication. 48 Hình 4.4.2-4: Cu hình Relay Retrictions 48 Hình 4.4.2-5: Nhp IP ca SMTP Relay. 49 Hình 4.4.2-6: T o New DomNTTULIBain. 49 Hình 4.4.2-7: Ch#n New SMTP Domain. 49 Hình 4.4.2-8: Cu hình thuc tính Domain. 50 Hình 4.4.2-9: Cu hình thuc tính New Domain 50 Hình 4.5.1-1: Custom Setup ISA Server 53 Hình 4.5.1-2: System Policy Editor 54 Hình 4.5.1-3: Test SMTP Message Screner Configuration 55 Hình 4.5.2-1: SMTP Filter Properties 56 Hình 4.5.2-2: Add Keywords 56 Hình 4.5.2-3: Nhp Mail Keywords. 57 Hình 4.5.2-4: Nhp Mail Attachment Rule 58 Hình 4.5.3-1: Configure SMTP Message Screener Logging 59 Hình 4.5.3-2: Cu hình thuc tính SMTP Message Screener 59 ___ - 98 -