Share internet với Microsoft Internet Security and Acceleration Sever (ISA Server)

pdf 31 trang hoanguyen 3450
Bạn đang xem 20 trang mẫu của tài liệu "Share internet với Microsoft Internet Security and Acceleration Sever (ISA Server)", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfshare_internet_voi_microsoft_internet_security_and_accelerat.pdf

Nội dung text: Share internet với Microsoft Internet Security and Acceleration Sever (ISA Server)

  1. Share internet với Microsoft Internet Security and Acceleration Sever (ISA Server) I. Lời giới thiệu Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Trong khuôn khổ bài viết này tôi sẽ tập trung vào những tính năng quan trọng để bạn đọc có thể cấu hình phòng máy của bạn sao cho tốc độ chấp nhận được, sử dụng được tất cả các dịch vụ của nhà cung cấp. Bạn có thể tìm hiểu thêm những tính năng trên website hay II. Cấu hình tối thiểu của máy Sever Máy Tính: Pentium II 300Mhz, 256MB RAM trở lên. Hệ điều hành: Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server với Service Pack 1 trở lên hay Microsoft Windows 2000 Datacenter và các partition phải định dạng theo NTFS. III. Cấu hình mạng LAN (Local Area Network) Mạng LAN nên cấu hình theo IP tĩnh.(tất cả các máy đều gán một địa chỉ IP và Subnet mask) IV. Cài đặt ISA Server Bạn tìm tập tin Setup trong phần mềm ISA để cài đặt, sau khi kích hoạt tập tin bạn chọn Continue, rồi chọn đường dẫn của chương trình để tiếp tục cài đặt, bạn nhập cdkey của ISA. (hình 1)
  2. hình 1 Click OK, chọn Agree để cài đặt, bạn chọn Full Installation. (hình 2) hình 2 Sau khi kiểm tra các thông số của hệ thống nếu hệ điều hành của bạn cài theo Workgroup thì thì ISA sẽ xuất hiện cửa sổ thông báo bạn chỉ cài theo
  3. chuẩn Stand-alone server còn hệ điều hành của bạn cài theo Domain thì bạn cũng chọn chế độ này, bạn chọn Yes. (hình 3) hình 3 Cửa sổ tiếp theo xuất hiện cho phép bạn chọn một trong ba chế độ: Firewall mode, Cache mode, Intergrated mode, bạn chọn Intergrated mode, Click Continue. (hình 4) hình 4 ISA sẽ stop dịch vụ IIS (Internet Information Services), nếu muốn sử dụng dịch vụ này bạn có thể cấu hình lại sau khi ISA cài đặt hoàn tất. (hình 5)
  4. hình 5 Cửa sổ tiếp theo sẽ cho bạn qui định dung lượng Cache của ISA. ISA không giới hạn dung lượng của cache nên bạn có thể Set càng nhiều càng tốt, tùy theo dung lượng ổ cứng của bạn nhiều hay ít, bạn nên chọn partition khác với patition đã cài đặt Hệ điều hành và phần mềm ISA và phải format theo NTFS, bạn nhập dung lượng Cache vào ô Cache Size(MB) rồi click vào nút Set, sau đó click OK. (hình 6) hình 6 Cửa sổ tiếp theo xuất hiện của ISA là yêu cầu tạo bảng LAT(Local Address Table).Ðể dễ quản lý cho việc truy xuất của máy con (client), ISA dựa vào bảng này , nếu các máy con không thuộc lớp IP của mạng LAN thì ISA không cho phép truy cập ra ngoài. Lúc này bạn nhập số IP theo qui định của mạng
  5. LAN của bạn. Giả sử số IP của mạng LAN của bạn đánh từ 192.168.205.1 trở đi thì trong ô From bạn phải đánh là 192.168.205.0 và ô To bạn phải đánh là 192.168.205.255. (hình 7) hình 7 Click Add để tạo LAT, click OK để hoàn thành quá trình cài đặt ISA. Sau khi hoàn tất quá trình cài đặt ISA, chúng at bước snag bước config nó để có thể sử dụng được. Conifg ISA thì nó có nhiều cách config khác nhau, tôi xin trình bày với các bạnn cách config của mình, có thể nó còn nhiều hạn chế các bạn có thể góp ý thêm.
  6. Sau khi cài đặt xong, các bạn mở cửa dổ ISA mangement ra, các bạn có hình ảnh bên dưới. Để máy chủ và máy con có thể sử dụng các dịch vụ của web các bạn làm các bước sau
  7. Các bạn lặp lại từ hình thứ hai đến hình thứ bảy thay thế http bằng https. Xong một bước, chuẩn bị chuyển sang bước thứ haiBây giờ các bạn thêm port 80 và 443 ở mục Ip Packet Filter
  8. Lặp lại từ hình hai đến hình bảy với port 443 và thay thế http bằng https Sau khi thêm hai port này nó sẽ xuất hiện như hình, kiểm tra thì các bạn có như sau
  9. Port 443 Port 80
  10. Ok, dậy là các bạn đã hoàn tất một quá trình. Chuyển sang bước khác nhen các bạn Để yahoo có thể chat voice và webcam các bạn lần lượt thêm bốn port sau ở mục Protocol Definitions : các port là 5000, 5050,5100,5001 . Hình ảnh minh hoạ dưới đây là cách thêm một port 5000, các bport còn lại các bạn làm tương tự nhen.
  11. Ok dậy là xong. sang bước tiếp theo Bây giờ các bạn set cache và active nó nhen
  12. Bước tiếp theo là lưu cache các trang web các bạn muốn lưu nhen, các bạn nên lưu những trang thật thông dụng mà khách thường vào ấy. Ở đây mình cho lưu trang www.mail.yahoo.com còn các trang còn lại các bạn làm tương tự nhen
  13. Tạo Report jobs
  14. Ok ! vậy là mình đã làm xong phần config ser ver còn phần confg cilent thì đơn giản thôi mà Sau khi cài đặt xong, ISA tự động tạo thư mục share có tên là mspclnt trên máy chủ. Từ máy con bạn vào Network Neighborhood(Win9x,WinME), My Network Places(WinXP,Win2000). Bạn phải tạo một user có quyền Log on vào máy chủ cho các máy con. Sau khi Log vào máy chủ bạn vào thư mục mspclnt rồi tìm tập lệnh có tên là MS_FWC để cài đặt phần mềm Microsoft Firewall Client (MFC) cho các máy con Chú ý : Bạn không nên cài MFC lên máy chủ.
  15. Quá trình cài đặt kết thúc trên máy con sẽ có thêm một biểu tượng trên thanh taskbar và Control Panel. Biểu tượng có hình cầu màu xanh lá cây thì Micorsoft Firewall Client (MFC) đang hoạt động bình thường, nếu biểu tượng có chấm đỏ ở trong vòng trắng thì MFC bị disable và icon có chấm đỏ bên trong có một vệt trắng thì MFC có một, hai hay tất cả các dịch vụ trên internet không thể sử dụng được. Ðể cho người sử dụng không vào và chỉnh những thông số của MFC bạn double click vào biểu tượng rồi bỏ chọn vào mục Show firewall Client icon on taskbar. ISA client đang hoạt động ISA client đang disable ISA client đang bị lỗi Ok dậy là xong hết, hic hic hic. may wé cuối cùng cũng xong. V ài d òng n ói th êm v ề ISA Hướng dẫn sử dụng Microsoft ISA 2000 Server 1. Giới thiệu về phần mềm ISA 2000 Server ISA 2000 Server là phần mềm mới nhất của Microsoft được sử dụng thay thế cho phần mềm Proxy Server 2.0 và được tích hợp thêm chức năng bảo mật (Firewall) Các chức năng chính của ISA 2000 Server: - Truy nhập Internet tập trung (Proxy): cho phép nhiều user từ nhiều trạm làm việc có thể đồng thời truy nhập Internet qua một mối nối kết chung từ
  16. một máy chủ Proxy - Tác dụng của Proxy: + Tăng tốc độ truy nhập Internet nhờ sử dụng cache (bộ đệm lưu trữ). Cache sẽ lưu lại nội dung các trang Web được truy nhập vào máy chủ Proxy, ở lần truy nhập kế tiếp, khi user muốn xem thông tin từ trang Web đó thì sẽ lấy thẳng từ cache của Proxy Server mà không cần vào Internet nữa, do đó việc kết nối được diễn ra nhanh hơn và vẫn thực hiện được ngay cả trong trường hợp Proxy Server bị ngắt kết nối với Internet (offline) + Quản lý được việc truy nhập Internet: cho phép chỉ những user có quyền hợp lệ thì mới được truy nhập Internet qua Proxy, những user khác sẽ không được phép sử dụng Proxy. Ngoài ra, còn có thể quản lý việc truy nhập Internet theo các Web site nhất định, tức là chỉ ra những Web site nào thì không được phép kết nối, hoặc chỉ định user chỉ được kết nối trong khoảng thời gian nào trong ngày,do đó tận dụng được tối đa băng thông (bandwidth) và hạn chế tắc nghẽn khi quá nhiều người truy nhập đồng thời. - Bảo mật mạng cục bộ: ngăn chặn những truy nhập trái phép từ bên ngoài vào mạng công ty. Những truy nhập được Firewall xác nhận là hợp lệ thì mới được phép. Tác dụng của Firewall: Ngăn chặn truy nhập từ bên ngoài vào mạng công ty hoặc từ bên trong ra mạng công cộng. Việc ngăn chặn được thực hiện qua việc hạn chế những giao thức được sử dụng để truy nhập (HTTP, FTP, Telnet, ICMP ) 2. Hướng dẫn cài đặt cụ thể ISA 2000 Server - Chạy Setup.exe từ thư mục chứa bộ cài đặt ISA 2000 Server - Tại màn hình khởi động setup, chọn Continue - Nhập CD-Key đi kèm theo ISA 2000 Server vào, Nhấn nút OK - Chọn Agree - ISA sẽ cho phép lựa chọn các hình thức cài đặt, có 3 hình thức: Typical installation, Custom installation và Full installation. Thông thường chọn Typical installation. - Tiếp theo ISA sẽ cho phép lựa chọn các chế độ cài đặt  Firewall mode: nếu chỉ muốn cài chế độ bảo mật cho mạng nội bộ  Cache mode: nếu chỉ cài chế độ cho phép quản lý truy nhập Internet tập trung (qua Proxy Server)  Integrated mode: nếu muốn tích hợp cả hai chế độ Firewall và Proxy - Nhấn nút Continue - Setup thông báo là tạm thời ngưng các dịch vụ liên quan, nhấn nút OK nếu được hỏi. - Tiếp theo bạn phải lựa chọn một phân vùng (partition) trên đĩa cứng để
  17. chứa Cache (nơi lưu giữ các Web site đã truy nhập để tăng tốc độ cho các lần truy nhập tiếp theo). ISA yêu cầu phân vùng này phải được định dạng dưới NTFS. - Kích thước Cache ngầm định của ISA Server đặt ra là 100 MB. Nếu muốn thay đổi thì bạn đưa kích thước mới vào ô Cache size (MB). Chọn Set để chấp nhận kích thước mới này. - Nhấn nút OK - Tiếp theo ISA sẽ yêu cầu bạn nhập vào một dãy địa chỉ của mạng nội bộ của bạn. Phải làm như vậy để ISA còn phân biệt được đâu là mạng nội bộ (internal hay private), đâu là mạng công cộng (external hay public). Dãy địa chỉ này có ý nghĩa: những trạm làm việc nào có địa chỉ thuộc dãy này thì sẽ được coi là cục bộ, còn những truy nhập nào xuất phát từ những trạm có địa chỉ không thuộc dãy này thì được coi là công cộng. - Hãy nhập dãy địa chỉ mạng cục bộ của bạn bằng cách chỉ định địa chỉ đầu tiên và địa chỉ cuối cùng của dãy. Nếu mạng của bạn có nhiều dãy địa chỉ, hãy nhập lần lượt từng dãy một, sau đó chọn Add để dãy đó được đưa vào hộp Internal IP ranges. Trong ví dụ này, tôi đã đưa vào 2 dãy địa chỉ: 192.168.120.1 – 192.168.120.254 và 10.0.0.1 – 10.0.0.254. Lưu ý rằng các dãy địa chỉ này phải chứa cả địa chỉ của máy ISA 2000 Server - Nhấn nút OK, và chờ một lát để Setup khởi động lại các dịch vụ liên quan. - Bỏ chọn ô Start the ISA Server Getting Started wizard - Nhấn nút OK tiếp để kết thúc quá trình cài đặt. 3. Định cấu hình và quản trị ISA 2000 Server Sau khi cài đặt xong, Windows sẽ tự động thêm mục Microsoft ISA Server trong Program của menu Start. Chọn ISA Management để khởi động chương trình quản trị ISA Server. 3.1. Xác lập cổng truy nhập đối với các truy nhập từ bên trong hoặc bên ngoài Việc đầu tiên cần làm là xác lập các thiết định về cách truy nhập đối với những truy nhập từ ngoài hoặc từ bên trong - Nhấn nút phải chuột vào tên Server của bạn, chọn Properties để vào trang Server Properties. - Hai mục quan trọng nhất cần xem xét là Incoming Web Request và Outgoing Web Request  Incoming Web Request: chỉ định rõ là khi có yêu cầu cần truy nhập từ bên ngoài vào thì hướng truy nhập đó tới cổng TCP số mấy. Thông thường, đây là cổng số 80 vì 80 là cổng ngầm định cho giao thức HTTP, khi mọi người từ bên ngoài muốn truy nhập vào Web Server của bạn, thì 80 là cổng ngầm định cho HTTP và trình duyệt sẽ tự động hướng truy nhập đó tới cổng 80 này. Nếu thay đổi con số này, thì những người bên
  18. ngoài sẽ không thể truy nhập vào Web Server của bạn vì không biết phải tới cổng TCP số bao nhiêu.  Outgoing Web Request: chỉ rõ là khi có yêu cầu truy nhập từ bên trong mạng nội bộ ra Internet thì sẽ hướng truy nhập này tới cổng bao nhiêu trên ISA Server. Con số này do bạn tự định ra, có thể từ 1-65535 nhưng không được trùng vào những cổng đã được sử dụng. Bạn phải nhớ con số này khi thiết lập Proxy cho trình duyệt Internet của các máy trạm. Trong ví dụ này chúng tôi sử dụng cổng 8080. 3.2. Quản lý các dịch vụ của ISA Server Sau khi đặt cổng truy nhập, việc tiếp theo là quản lý các dịch vụ mà ISA Server cung cấp. Mở rộng tên Server của bạn, chọn Monitoring, Services và bạn sẽ thấy ở khung bên phải tên các dịch vụ mà ISA Server 2000 cung cấp. Bạn có thể bật/tắt các dịch vụ này bằng cách chọn tên dịch vụ rồi chọn Stop a Service hoặc Start a Service ở bên dưới. Microsoft yêu cầu là đối với một số phần mềm nhất định (SQL Server, Clustering Service, ISA Server ) thì muốn bật tắt dịch vụ thì phải sử dụng các chức năng quản lý dịch vụ ngay trong chương trình đó, không được sử dụng cách bật tắt theo lối thông thường trong mục Services của Windows. - Các chức năng của ISA Server chỉ hoạt động khi dịch vụ tương ứng của chúng đang ở trạng thái running như bạn thấy ở hình trên 3.3. Quản lý, cấp phép và hạn chế truy nhập Công việc quản lý và thiết lập các chế độ cấp phép và hạn chế truy nhập được tập trung chủ yếu tại mục Access Policy. Trong màn hình ISA Management, mở rộng mục Access Policy và bạn sẽ thấy các thành phần như sau: + Site and Content Rules + Protocol Rules + ISP Packet Filters 3.3.1. Site and Content Rules Tạo ra các quy tắc (Rule) để áp dụng cho một nhóm đối tượng (user) nào đó, được truy nhập tới những Web site nào (destination), xem những nội dung gì (Content), trong khoảng thời gian nào (schedule) Để tạo ra một quy tắc, bạn chọn mục Site and Content Rules, ở khung bên phải, chọn Create Site and Content Rule. Ví dụ như sau: - Chọn Create Site and Content Rule. - Trong hộp Welcome, chọn một tên cho quy tắc này. VD là “Deny www.vnn.vna>€. Bạn có thể chọn bất ký tên nào cho phù hợp với nội dung của quy tắc. - Nhấn nút Next - Trong hộp Rule Action, chọn Deny rồi nhấn Next
  19. - Trong hộp Destination Sets:  Hộp Apply this rule to, chọn Specified Destination Set  Hộp Name, chọn Deny www.vnn.vn (đây là một name do tôi tự đặt ra theo ý thích, lát nữa tôi sẽ hướng dẫn các bạn tạo ra nó. Khi bạn tạo trước những thứ như vậy, thì trong hộp Name mới xuất hiện chúng. - Nhấn nút Next - Trong hộp use this Schedule, chọn Work hours - Nhấn nút Next - Trong hộp Client Type, chọn Specific users and groups - Nhấn nút Next - Trong hộp users and groups, Nhấn nút Add - Trong hộp Select user and Groups, chọn tên user hoặc group mà bạn muốn áp dụng quy tắc này. VD: username=test - Nhấn nút OK và Next cho đến khi Finish Như vậy, bạn đã tạo ra một quy tắc kiểm soát truy nhập với nội dung như sau: Không cho (deny) người sử dụng test (username=test) truy nhập vào trang web www.vnn.vn (Specified Destination Set) trong giờ làm việc (work hours) Bây giờ chúng tôi sẽ giải thích cụ thể từng hạng mục trong việc tạo ra một quy tắc mới. Các bạn hãy quay lại từng bước như đã hướng dẫn ở trên để xem các thao tác. - Bước 1 (Welcome), hãy chọn cho quy tắc này một cái tên để gợi nhớ cho chúng ta nội dung của quy tắc này - Bước 2 (Rule Action), hãy chọn kiểu áp dụng quy tắc. Nếu bạn chọn Allow, tức là khi thoả mãn điều kiện thì cho phép truy nhập, còn nếu chọn Deny tức là khi thoả mãn điều kiện thì từ chối truy nhập - Bước 3: (Destination sets): áp dụng quy tắc này cho những truy nhập tới những nơi nào.  Nếu chọn All destination, tức là áp dụng quy tắc đối với tất cả các truy nhập đi tới bất kỳ đâu  Nếu chọn All internal destination, tức là chỉ áp dụng quy tắc đối với những truy nhập tới những máy nội bộ trong công ty, không áp dụng cho những máy công cộng trên Internet  Nếu chọn All external destination, tức là chỉ áp dụng quy tắc đối với những truy nhập tới những máy công cộng trên Internet, không áp dụng cho những máy cục bộ.  Nếu chọn Specified Destination Sets, tức là bạn tự chỉ ra những máy nào là thuộc phạm vi áp dụng của quy tắc, tức là bạn tự định nghĩa một số máy nào đó để quản lý việc truy nhập tới. Như ví dụ trên, chúng tôi chọn
  20. máy www.vnn.vn. - Bước 4 (schedule): áp dụng quy tắc này trong khoảng thời gian nào (Always: luôn luôn được áp dụng; week ends: áp dụng vào cuối tuần; work hours: áp dụng trong giờ làm việc). Thực ra, các week ends hay work hours là những cái do Microsoft tự làm sẵn ra, bạn có thể hoàn toàn định nghĩa lại hoặc tạo ra cái khác theo ý mình trong các phần sau. Chẳng hạn, bạn định nghĩa work hours (giờ làm việc) là từ mấy giờ đến mấy giờ, week ends (cuối tuần) là thứ bảy hay chủ nhật hoặc tạo ra khoảng thời gian nào đó theo ý bạn. - Bước 5 (client type): áp dụng quy tắc này đối với những user hay trạm làm việc nào.  Nếu chọn Any request, thì quy tắc này sẽ được sử dụng để kiểm soát truy nhập từ tất các các user và trạm làm việc trong mạng nội bộ  Nếu chọn specific computer, thì quy tắc này chỉ áp dụng cho những truy nhập xuất phát từ những trạm làm việc thuộc một dải địa chỉ ISP nào đó  Nếu chọn Specific users and groups, thì quy tắc này chỉ áp dụng cho những truy nhập xuất pháp từ những người sử dụng hay nhóm người sử dụng nào đó. 3.3.2 Protocol Rule Cũng là biện pháp kiểm soát truy nhập nhưng không dựa trên kiểm tra là truy nhập sẽ tới đâu (không kiểm tra destination) mà sẽ kiểm tra giao thức mà việc truy nhập sẽ sử dụng. Các bước như sau: - Bước 1: Tạo ra 1 quy tắc bằng cách chọn Create a Protocol Rule for Internet Access, chọn một cái tên cho quy tắc này. Nhấn nút Next. - Bước 2: Chọn loại protocol mà trên đó bạn muốn áp dụng quy tắc này. Nhấn nút Next. - Bước 3: chọn loại Schedule (always, week ends, work hours hay do bạn tự định nghĩa). Nhấn nút Next. - Bước 4: Chọn loại Client giống như phần trên. Nhấn nút Next. Lưu ý: - Đây là chọn các giao thức thường dùng cho việc truy nhập trên Internet. Nếu bạn muốn áp dụng cho nhiều loại giao thức khác nữa thì ở bước 1 bạn phải chọn Create a Protocol Rule chứ không phải là Create a Protocol Rule for Internet Access. - Trong các mục của Access Policy, ở khung bên phải thường có 3 chức năng chính hay dùng: Create (tạo ra quy tắc), Delete (xoá quy tắc đó) và Configure (thay đổi các xác lập trong quy tắc đó) - Trong mục General của mỗi quy tắc, có hộp chọn Enable. Phải kích chọn hộp này thì quy tắc đó mới được áp dụng
  21. 3.4. Tạo ra các thiết lập định trước Khi sử dụng ISA Server, chúng ta được phép định nghĩa trước một đối tượng nào đó để khi tạo ra các Access Policy thì sẽ lấy ra dùng luôn được. Ví dụ như bạn định nghĩa trước một số trang Web nào đó bị cấm không vào được, định nghĩa một nhóm máy tính thuộc một dải địa chỉ nào đó sẽ cùng được áp dụng một quy tắc, định nghĩa các dải thời gian để cho phép hoặc từ chối truy nhập trong khoảng thời gian đó. Có 3 hạng mục thường được sử dụng trong phần này - Schedules - Destination Sets - Client Address Sets 3.4.1. Schedule Chọn Schedule, nhấn nút vào Create a schedule ở khung bên phải để tạo một khoảng thời gian mới. - Nhập vào một tên để nhận biết khoảng thời gian mới này. VD: Ngay nghi - Trong ô ghi các ngày trong tuần, rê con trỏ chuột kéo hết vùng từ Monday đến Friday, rồi chọn Inactive. Kết quả sẽ như hình sau: - Như vậy, bạn đã tự định nghĩa “Ngày nghỉ” là ngày thứ bảy và chủ nhật. Tất nhiên, ta có thể định nghĩa theo một khoảng thời gian bất kỳ trong ngày theo ý thích. Ví dụ, ta có thể định nghĩa “Gio lam viec” là từ 8 giờ sáng đến 5 giờ chiều từ thứ hai đến thứ sáu trong tuần: 3.4.2. Destination sets - Chọn Destination sets ở khung bên trái, rồi chọn Create a destination set ở khung bên phải để tạo một phạm vi vùng các nơi sẽ truy nhập đến - Nhập vào một tên để nhận biết, chẳng hạn “Web sites in USA” để định nghĩa những trang Web nằm trên máy chủ ở Mỹ. - Chọn Add để đưa nội dung vào vùng này. - Ta có thể chỉ đích danh tên domain name của Web site hoặc dãy địa chỉ của các Web site. - Nhấn nút OK để nhập tên domain name của Web site vào danh sách. Nếu cần thêm nhiều Web site khác, bạn cứ dùng Add để thêm các web đó. - Như vậy bạn có danh sách các web site như trên sẽ thuộc vào một destination set tên là “Web sites in USA”. - Có thể chỉ định các Web site bằng địa chỉ ISP như sau: Bên cạnh nút Add, bạn có thể sử dụng các nút Edit và Remove để sửa đổi hoặc xoá các mục trong danh sách 3.4.3. Client address sets - Chọn Client address sets ở khung bên trái, chọn Create a client set ở khung bên phải - Chọn một tên nhận dạng cho phạm vi địa chỉ, chẳng hạn “Phòng Kinh doanh”
  22. - Nhấn nút Add để đưa địa chỉ ISP vào dãy, chẳng hạn tôi dùng dải địa chỉ 172.16.30.1 – 172.16.30.254 - Nếu bộ phận này có địa chỉ thuộc nhiều dải khác nhau thì bạn có thể thêm từng dải một bằng cách chọn Add, nếu muốn sửa đổi hoặc xoá các dải này thì sử dụng Edit hoặc Remove Như vậy ta vừa định nghĩa bộ phận Kinh doanh của Công ty sẽ có dải địa chỉ như trên. Sau này khi cần áp dụng các quy tắc với bộ phận này ta chỉ việc chọn tên bộ phận đó. 3.5. Định cấu hình Bộ đệm trữ dữ liệu (Cache) Như đã nói ở phần đầu, bộ đệm trữ dữ liệu là thành phần quan trọng của dịch vụ Proxy, nó cho phép ta dành một phần kích thước ổ đĩa làm vùng lưu trữ cho những thông tin đã được tải xuống từ Internet khi có một trạm làm việc truy nhập vào Internet qua Proxy Server. Thông tin lưu trữ này sẽ được sử dụng khi có một trạm làm việc cũng yêu cầu đúng loại thông tin như vậy và Proxy Server sẽ gửi hồi đáp dựa trên những thông tin mà nó đã cache lại, như vậy làm việc lấy thông tin từ Internet sẽ nhanh hơn rất nhiều. điều này cũng đặc biệt hữu ích khi Proxy Server bị ngắt kết nối với Internet (offline). 3.5.1. Thay đổi kích thước cache - Trong khung ISA Management bên trái, chọn Cache Configuration - Trong khung bên phải, bạn nhìn thấy tên Server dùng làm Proxy, kích thước Cache, tổng số phân vùng NTFS còn trống. - Để thay đổi kích thước cache, bạn chọn vào tên server, rồi chọn Configure cache size - Đưa kích thước cache mới vào ô Maximum cache size, chọn Set để chấp nhận kích thước này. Nhấn nút OK để kết thúc - Lưu ý rằng phải đặt cache trên một phân vùng được định dạng theo NTFS và nên đặt trên một phận vùng độc lập với vùng chứa hệ điều hành để tối ưu việc đọc thông tin từ cache. 3.5.2. Định cấu hình cache - Để định cấu hình cache, trong khung bên phải, bạn chọn tên server rồi chọn Configure cache policy. - Đây là ô hiển thị thông tin về dung lượng cache của Proxy - Chuyển sang khung HTTP - Đánh dấu chọn vào ô enable HTTP Caching, việc này cho phép bạn cache các Web site được truy nhập - Các hình thức cập nhật thông tin trong cache (có 4 ô chọn trong hộp): - Frequently: thông tin trong cache sẽ được cập nhật thường xuyên liên tục và khi không có ai truy nhập thông tin đó nữa, nó lập tức sẽ bị xoá khỏi cache. Việc này sẽ tăng lưu lượng thông tin giữa proxy với Internet vì Proxy thường xuyên phải lấy thông tin mới nhất từ Internet về.
  23. - Less Frequently: thông tin trong cache sẽ ít được cập nhật từ Internet hơn. Như vậy sẽ giảm được lưu lượng giữa proxy với Internet nhưng nếu trên Internet có thông tin mới nhất thì nó sẽ không được cập nhật ngay lập tức. - Normally: mức bình thường, việc cập nhật sẽ ở giữa mức Frequently và Less Frequently. - Set Time to Live (TTL) of object in cache to: Tự quy định một khoảng thời gian nào đó mà nội dung cache có thể tồn tại, hết khoảng thời gian này thì proxy phải kết nối để cập nhật thông tin. - Chuyển sang ô FTP - Cũng có mục đích giống HTTP nhưng đối tượng được cache là các file nằm trên các FTP server. - Chuyển sang ô Active Caching - Active là một hình thức cập nhật động, nó tự đánh giá, phân tích quá trình truy nhập các Web site hoặc FTP site và tìm ra những thông tin nào hay được truy nhập nhất và tự động cache lại những thông tin này. Cũng có 3 mức độ Frequently, Normally và Less Frequently như đã giải thích ở trên. - Chuyển sang trang Advanced - Trang này có hai ô quan trọng thường sử dụng  Do not cache object larger than: chỉ ra kích thước tối đa có thể cache được của một đối tượng nào đó, tức là nếu đối tượng có kích thước lớn hơn đã chỉ định trong ô này, nó sẽ không được cache.  Cache dynamic content: lưu lại cả những thông tin có liên quan đến trang Web được truy nhập. Thông thường, trong một trang Web bao giờ cũng có những nối kết nội bộ trong phạm vi thư mục ảo, các hyperlink, bookmark Nếu ta đánh dấu ô này thì các thông tin đó cũng được cache lại. 3.6. Cấu hình các thông tin liên quan đến dịch vụ mạng. Trong ISA Management, chọn Network Configuration 3.6.1. Proxy Server được kết nối trực tiếp với Internet hay thông qua một Proxy Server khác Kết nối trực tiếp là Proxy đó có một interface nối với Internet, nó thay mặt các client trong mạng để gửi và nhận thông tin từ Internet. Kết nối gián tiếp là Proxy đó không có interface trực tiếp với Internet mà kết nối với Internet thông qua một proxy server khác. Theo cấu hình ngầm định lúc cài đặt, thì coi proxy này là có kết nối trực tiếp với Internet. Để thực hiện kết nối gián tiếp với Internet qua một proxy server khác, ta làm như sau: - Trong khung bên trái của Network Configuration, chọn Default Rule (thực ra bạn có thể tạo ra các rule khác nhưng vì đây là trường hợp đơn giản
  24. nên có thể sử dụng luôn default rule của ISA) - Nhấp đôi chuột vào Default rule - Trong hộp Action, chọn Routing them to a specified upstream server (ô Retrieving them directly from the specified destination được dùng trong trường hợp kết nối trực tiếp với Internet) - Chọn Setting - Trong hộp Server or array, đưa tên hoặc địa chỉ ISP của Proxy server mà bạn muốn kết nối thông qua nó. - Trong hộp Port, đưa số hiệu cổng mà Proxy đó chờ nhận thông tin. - Chọn kiểu Authentication là Basic. - Đánh dấu chọn vào ô use this account và nhấn nút vào nút Set Account (account này là account có quyền truy nhập vào Proxy server ở cấp trên và phải được proxy server cấp trên này xác nhận) - Nhập tên và mật khẩu hợp lệ vào, nhấn nút OK. - Nhấn nút OK để hoàn tất config. 3.6.2. Thay đổi dải địa chỉ Local Như đã nói ở phần đầu, khi cài ISA Server 2000, sẽ yêu cầu đưa vào một bảng địa chỉ cục bộ (LAT), và ISA sẽ căn cứ vào dãy địa chỉ này để xác định xem một trạm làm việc có phải là thuộc mạng nội bộ hay không và có chịu quản lý của ISA hay không. Bảng LAT này có thể gồm nhiều dải địa chỉ khác nhau và có thể thay đổi, thêm bớt bằng cách sử dụng nhánh Local Address Table trong mục Network Configuration - Ở khung bên phải sẽ hiển thị các dải địa chỉ trong bảng. - Để thêm vào một dải địa chỉ, chọn Local Address Table, nhắp phải chuột, chọn New, chọn LAT entry. - Hộp thoại sau hiện ra: - Nhập địa chỉ đầu và địa chỉ cuối của dải vào các ô tương ứng, trong hộp description, đưa vào một cái tên để dễ nhận diện. - Nhấn nút OK để tạo dải mới này. - Để xoá, thay đổi nội dung một dải địa chỉ, chọn dải đó ở khung bên trái, nhắp phải chuột. - Nếu muốn xoá, chọn Delete - Nếu muốn sửa đổi nội dung, chọn Properties 3.7. Định cấu hình trình duyệt Internet (Browser) của các máy trạm. Để các máy trạm có thể sử dụng được dịch vụ proxy, thì phải đặt cấu hình của trình duyệt trên máy trạm này theo địa chỉ ISP và số cổng tương ứng của máy chủ Proxy. - Khởi động Internet Explorer trên máy trạm - Trên menu Tools, chọn Internet options - Chọn trang Connection, chọn tiếp LAN Settings
  25. - Đánh dấu vào ô Use a Proxy server - Trong mục Address, đưa địa chỉ ISP của Proxy server, trong hộp port, đưa số cổng mà Proxy chờ để nhận yêu cầu Proxy. - Nếu muốn bỏ qua Proxy khi truy nhập tới những web site trên mạng nội bộ, đánh dấu vào ô Bypass proxy server for local address. - Nhấn nút vào ô Advanced. - Đánh dấu vào ô Use the same proxy server for all protocols để dùng một máy proxy cho chung tất cả các giao thức. - Nếu muốn không dùng Proxy cho một số web site nào đó (tức là có thể có kết nối cục bộ ngay tại máy trạm, thì liệt kê các Web site đó trong ô Exception, giữa các Web site ngăn cách với nhau bởi dấu chấm phẩy B ài vi ết t ổng h ợp