View Full Version: HƯỚNG DẪN CÀI ĐẶT ISA....

(¯`·.º-:¦:-Diễn Đàn Chính-:¦:-º.·´¯) > Hỏi đáp về máy tính, tin học > HƯỚNG DẪN CÀI ĐẶT ISA....


Title: HƯỚNG DẪN CÀI ĐẶT ISA....
Description: vanthu


vanthu - June 7, 2006 06:36 AM (GMT)
:D
HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - 14/7/2005 16h:5

Chức năng chính của sản phẩm:
- Bảo vệ mạng chống các cuộc tấn công từ Internet
- Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát.
Hướng dẫn cài đặt trên Windows 2000/2003 server:
- Server cài đặt ISA server 2000 phải là server "sạch", có nghĩa là không nên triển khai các dịch vụ mạng không được khuyến cáo khác. Điều này sẽ giúp setup 1 hệ thống có độ an toàn cao. Các dịch vụ không nên cài đặt chung với ISA server 2000:
Domain controller, Web Server , FTP Server , Certificate Server , NNTP Server , Exchange Server , Sharepoint Server
Một Firewall thông thường kết nối trực tiếp với Internet, việc triển khai thêm nhiều services khác, gây khó khăn cho việc config firewall, dễ show ra những lỗ hổng bảo mật từ những dịch vụ này hoặc thu hút attackers khi hệ thống trưng ra quá nhiều services...
Chuẩn bị Server:
- Có thể cài ISA server 2000 trên Computer chạy Windows server 2000/ 20003 ( các OS này trước hết phải patch đầy đủ các lỗ hỗng thông qua service pack, hot fixes..)
- Cần 2 NIC Cards (LAN card), 1 cho Internal Network, 1 ra Internet. Hoặc có thể dùng 1 NIC, 1 modem (ADSL, Dial-up, ISDN, broadband routers...)
- Tất cả các máy trong LAN dùng TCP/IP protocol.
- ISA server 2000 này có thể là domain member (nếu Internal Network đă xây dựng Internal Domain), hoặc là một Stand-alone server không thuộc bất ḱ Internal Domain nào. (trong hướng dẫn này tôi dùng Stand-along Server)

MÔ H̀NH TRIỂN KHAI ISA SERVER 2000 GIỨA INTERNAL NETWORK VÀ INTERNET
5 bước hướng dẫn cài đặt ISA SERVER 2000 ở mức độ an toàn:
Step 1: Cấu h́nh các Network Card
Step 2: Cài đặt và cấu h́nh DNS Server trên ISA SERVER 2000
Step 3: Cài đặt và cấu h́nh DHCP Server trên ISA SERVER 2000
Step 4: Cài đặt và cấu h́nh ISA SERVER 2000 software
Step 5: Cấu h́nh vai tṛ các Internal Computers là DHCP Clients
Tất cả các config ISA Server 2000 đều tiến hành trên Windows 2000 Advanced Server. Nếu tiến hành config trên OS Windows 2003 Server, có sự khác biệt không đáng kể.
Step 1: Cấu h́nh các Network Card
Internal Network Card:
- Dùng static IP, cùng địa chỉ Mạng với các Computers trong Mạng nội bộ.
Trong hướng dẫn này tôi dùng IP address: 192.168.1.200 /255.255.255.0
- Không config Defaul Gateway (khuyến cáo không nên config Defaul Gateway trên ISA SERVER 2000)
- Dùng DNS Server: 192.168.1.200 (DNS server cũng chính là ISA SERVER 2000 )
External Network Card:
- Với External Network Card thường có 2 trường hợp:
+ Loại dùng Static IP cố định (Có thể thuê bao Lease-lines từ ISPs)
+ Loại dùng Dynamic IP (Dial-up, ADSL...)

- Có những h́nh thức connect sau đối với External modem, người sử dung cần lưu ư:
+ DSL line kết nối vào------- DSL Modem-------ISA server 2000
(chú ư: Có những loai DSL gắn trong giống như 1 NIC Card-Ethernet Card)
+ Internet Cable------Cable Modem--------Ethernet Card of ISA
+ T1 connection--------Router---------Etherner Card of ISA
+ Broadband DSL--------Broadband Router----------Etherner Card of ISA

KẾT NỐI EXTERNAL NETWORK CARD CỦA ISA SERVER QUA BROADBAND ROUTER
- IP address dùng cho External Card nếu dùng Dynamic (Dial-up, ADSL..) th́ hoàn toàn do ISPs cung cấp, người dùng không cần can thiệp các thông số. Tuy nhiên trong trường hợp này tôi sẽ dùng thông số Preferred DNS server là 192.168.1.200 (DNS server nội bộ), khác với H́nh

CÁC THÔNG SỐ AUTOMATIC TCP/IP XÁC LẬP TRÊN EXTERNAL CARD TỪ ISPs
Nếu dùng IP address cố định, như thuê bao lease-line, etc.., có thể cấuh́nh Static IP được cấp theo ví dụ sau:


CẤU H̀NH STATIC IP CHO EXTERNAL CARD TRÊN ISA SERVER 2000
Lưu ư: Đây là các IP address được ISP cung cấp cố định, cho tổ chức của bạn, hoàn toàn khác với các Private IP address (10.x.x.x, 172.16.x.x, 192.168.x.x), và không được đưa vào bảng cấu h́nh những IP address mà chúng ta tự nghĩ ra !
Tất cả các thông số kèm theo được cung cấp cố định từ ISP bao gồm: IP address, Subnet Mask, Default Gateway, Preferred DNS server. Tuy nhiên trong hướng dẫn này tôi lại sử dụng Preferred DNS server lại là 192.168.1.200 (IP address của DNS server nội bộ), khác với trên H́nh là thông số DNS chuẩn từ ISP. Nếu phía trước ISA Server firewall là một Broadband Router th́ các thông số này được khuyến cáo tuân theo Broadband Router Manufacturer.
Sau khi cấu h́nh các thông số cho cả Internal và External Card, người dùng cần lưu ư tiếp đến tŕnh tự (order) bố trí của các Cards này cho đúng. Điều này có ảnh hưởng đến việc giải quyết Domain Name thông qua dich vụ DNS. Muốn tăng tốc độ giải quyết Domain Name (cũng là truy caộ các website, t́m các Server host các dịch vụ khác nhau trên Internet hoặc Mạng nội bộ), th́ nên sắp Internal Network Card đứng trên cùng trong danh sách Network Interface List.
Chọn My Network Places, Properties, Network and Dial-up Connections, Advanced, Advanced Settings, Adapters and Bindings đảm bảo LAN Card nằm trên cùng danh sách như H́nh sau:

Trong hướng dẫn này giả sử tôi dùng External Network Card là một Dial-up modem loại modem thông thừờng với maximum bandwidth đến ISA là 56 Kbps (thực sự đây cũng chỉ là tốc độ kết nối mơ ước thường chỉ tối đa xấp xỉ 40 Kbps).
ISA server 2000 gọi một kết nối đến ISP thông qua Dial-up entry là một Connectiod .
Chọn My Network Places, Chọn Properties, Chọn Make New Connection, Welcome to the Network Connection Wizard , Chọn Dial-up to the Internet, Network Connection Type , Next, Chọn I want to connect through a local area network (LAN), Next, Chọn I connect through a phone line and a modem, Setting up you Internet connection, Internet account connection information, Area code and Telephone number (số kết nối đến ISP, trong ví dụ này tôi dùng 1268 - số kết nối của FPT), Internet account logon information, Username: 1280, password: 1280. Đặt tên cho kết nối Connection name là FPT Internet Connection và Finish.
Có thể xác lập thêm các thông số để hỗ trợ Dial-up như: Redial if line is dropped, Redial attempts, Time between redial attempts, Idle time before hanging up value.
Lưu ư: Kết nối qua Dial-up Modem có độ ổn định không cao, cần phải có giải pháp ổn định kết nối, chống drop line, đặc biệt giờ cao điểm.
Step 2: Cài đặt và cấu h́nh DNS Server trên ISA SERVER 2000
Bước tiếp theo sẽ cài đặt DNS server trên ISA server Firewall. Dùng DNS server là bắt buộc khi người dùng cần truy cập các Internet Servers thông qua tên, nhiệm vụ DNS server sẽ giải quyết Hostname sang IP address. Cài đặt DNS server ở chế độ Caching-only DNS server trên chính ISA server Firewall sẽ có nhiều ưu điểm, và yêu cầu các Internal Computers xác lập dùng DNS server này.
Theo những bước sau để tiến hành cài đặt DNS server trên Windows 2000 Advanced Server:
Click Start chọn Settings click Control Panel. Control Panel window, double click Add/Remove Programs click Add/Remove Windows Components . Windows Components Wizard dialog box, chọn Networking Services Không đánh dấu vào checkbox! , click Details, Networking Services dialog box, đánh dấu vào Domain Name System (DNS) checkbox, click OK. Tiếp tục Next để hoàn thành tiến tŕnh cài đặt.

CÀI ĐẶT DNS SERVER SERVICE TRÊN CHÍNH ISA SERVER FIREWALL.
Cấu h́nh DNS Service:
DNS server cài đặt trên ISA server Firewall này, chịu trách nhiệm tiếp nhận và trả lời các yêu cầu truy vấn tên của các Server Internet từ phía các Client Computer trong mạng nội bộ. Do được cài đặt ở chế độ Caching-only DNS server cũng là chế độ default sau cài đặt của DNS server 2000 cho nên nó không chứa các Hostname của các Internal servers hoặc Internet servers. Caching-only DNS server cũng chỉ giải quyết các tên Internet hoặc dang lưu giữ trong cache, thông thường không dùng Caching-only DNS server để giải quyết tên của các Internal servers.
Trong thực tế nếu Mạng của bạn đă có DNS servers hỗ trợ Internal Domain, th́ có thể cấu h́nh Caching-only DNS server, chuyển các yêu cầu truy cập các Internal Server tới các DNS servers này. trong hướng dẫn cấu h́nh này, không liên quan đến việc Mạng đă có DNS servers hỗ trợ Domain hay chưa.
Click Start, Programs, Administrative Tools. Click DNS trên Administrative Tools menu. Right click DNS server, View, click Advanced. Right click trên Server chọn Properties, trong dialog box, click Interfaces tab. Chọn Only the following IP addresses . Click trên bất ḱ IP address nào trong danh sách không là IP address trên internal interface. Chọn các non-internal interface IP address này và click Remove . Click Apply. Click Forwarders tab. Đánh dấu vào Enable forwarders checkbox. Điền IP address của DNS server ISP mà bạn connect trong IP address text box và click Add. Đánh dấu vào Do not use recursion checkbox. Click Apply và click OK.

Nếu các kết nối được thực hiện qua các ISP VietNam có thể điền vào IP Address List này thông số DNS IP Address như sau:
FPT: VDC:
DNS1: 210.245.31.10 DNS1: 203.162.4.190
DNS2: 210.245.31.110 DNS2: 203.162.4.191
Right click trên DNS server name bên khung trái và chọn All Tasks sau đó click Restart.khởi động lại DNS server service.
Step 3: Cài đặt và cấu h́nh DHCP Server trên ISA SERVER 2000
- DHCP Server service được cài đặt trên ISA SERVER 2000 sẽ cung cấp các xác lập TCP/IP cho Internal Computers.
Cảnh báo: Disable tất cả các DHCP Server khác trên Mạng (nếu có thể), chỉ cho phép DHCP Server service được cài đặt trên ISA SERVER 2000 này hoạt động, nhằm cung cấp chính xác tất cả các thông số mong muốn.
Cài đặt DHCP service trên Windows 2000 Advanced Server:
Click Start chọn Settings, click Control Panel. Trong Control Panel window, double click Add/Remove Programs . Trong Add/Remove Programs window, click Add/Remove Windows Components . Trong Windows Components Wizard dialog box, chọn Networking Services trong danh sách Components. Không đánh dấu vào checkbox! Chọn Networking Services, click Details. Trong Networking Services dialog box, đánh dấu vào Dynamic Host Configuration Protocol (DHCP) checkbox và click OK.

Click Next trong Windows Components,Click Finish.

Chức năng chính của một DHCP Server ngoài cung cấp IP address, c̣n cung cấp thêm các thông số (gọi là TCP/IP settings), bao gồm: Subnet mask, Default Gateway & DNS Server Addresses. Trong hướng dẫn này Default Gateway & DNS Server Addresses chính là Internal IP Address (192.168.1.200) trên ISA server Firewall.
DHCP server quản lư và phân phối IP address cho các Internal Clients thông qua các DHCP scope. Cấu h́nh scope chính xác là điều bắt buộc.
Khi tạo một vùng IP address trong Scope, có thể sẽ bao gồm luôn cả những IP đă được phân chia trước đó cho các Node trên Mạng (ví dụ Internal server như Web, Mail, Database server đă dùng các IP này), như vậy để tránh hiện tượng DHCP server sẽ lại lấy những IP này cung cấp tiếp cho Clients (gây Conflicts), th́ Admin phải dùng chức năng Exclusions để tạo vùng loại trừ tránh xung đột về sau.
Click Start chọn Programs, Administrative Tools. Click DHCP. Mở DHCP console. Right click trên server name, click New Scope. Click Next trên Welcome to the New Scope Wizard . Điền vào tên sau trong Name text box SecureNAT Client Scope. Click Next.
Trên IP Address Range điền vào Start IP address 192.168.1.1 và End IP address 192.168.1.254 trong text boxe. Click Next.
Trên Add Exclusions, điền Start IP address 192.168.1.200 (v́ IP address này đă được dành cho Internal Card trên ISA Server 2000 firewall), click Add. Nếu có các Server khác cũng đă được phân chia các static IP address trong vùng phân phối hăy theo các bước trên để loại trừ.
Chấp nhận các giá trị Lease Duration và click Next.
Trên Configuring DHCP Options chọn Yes, I want to configure these options now và click Next.
Trên Router điền vào IP address của internal interface trên ISA Server 2000 firewall và click Add. Click Next.
Trên Domain Name and DNS Servers điền IP address của internal interface trên ISA Server 2000 firewall trong IP address text box và click Add. Nếu đă xây dựng một Active Directory domain trên internal network, hăy đưa tên internal network domain vào trong Parent domain text box. Tuyệt đối không nên đưa domain name vào Parent domain text box trừ khi đă tồn tại Active Directory domain trên internal network. Click Next.
Không xác lập thông tin tại WINS Servers . Click Next.
Chọn Yes, I want to activate this scope now trên Activate Scope và sau đó click Yes.
Click Finish .
Step 4: Cài đặt và cấu h́nh ISA SERVER 2000 software
- Windows Server 2000/2003 đă xác lập các thông số và cài đặt các dịch vụ cần thiết (DNS & DHCP), giờ là lúc bắt tay vào setup ISA SERVER Firewall 2000.
- Nếu chưa triển khai Service Pack, hot fixes cho Windows 2000/2003 th́ giờ là thời điểm để finish vân đề này trước khi cài đặt ISA server 2000.
Các bước cài đặt:
Double click ISAAutorun.exe trong ISA Server 2000 CD-ROM để thực hiện autorun setup.Click Install ISA Server icon trên Microsoft ISA Server Setup page. Click Continue trên Welcome to the Microsoft ISA Server installation program page. Điền CD key trên CD Key page và click OK. Click OK trên registration number page. Click I Agree trên License Agreement page. Click Full Installation button trên Installation Type page.

Click Yes trên the dialog thông báo rằng ISA Server schema has not been installed in the Active Directory. Chọn Integrated Mode . Click Continue.

Click OK trong dialog box thông báo rằng IIS W3SVC service must be stopped. Trên cache size page, chọn một Partition được format NTFS, và điền vào 150 trong Cache size (MB) text box. Click Set, click OK. Click Construct Table button trên LAT configuration page. Trong Local Address Table dialog box, không check vào Add the following private ranges… checkbox. Đánh dấu vào Add address ranges based on the Windows 2000 Routing Table checkbox. Đánh dấu tiếp vào internal interface network card. Click OK. Xem h́nh

Click OK trong Setup Message dialog box, Click OK trên LAT configuration page. Không đánh dấu Start ISA Server Getting Started Wizard checkbox và click OK. Click OK hoàn tành tiến tŕnh cài đặt.
Tiếp theo cần cài đặt các Service Pack cho ISA server 2000, để cũng cố Security cho chính Firewall này:
- Download ISA Service Pack 1: http://www.microsoft.com/isaserver/downloads/sp1.mspx
- Download ISA Service Pack 2:
http://www.microsoft.com/downloads/details...&displaylang=en
- Download ISA Server 2000 Feature Pack 1 (chứa những hot fixes và những tính năng tăng cường cho ISA 2000): http://www.microsoft.com/isaserver/featurepack1/default.mspx
Sau khi download tiến hành quét Virus, bung nén và cài đặt Service packs, Feature Pack.
Như vậy về cơ bản đến thời điểm này chúng ta đă có một ISA server 2000 rất mạnh và an toàn. Những vấn đề c̣n lại phụ thuộc hoàn toàn vào cách các Security Admin cấu h́nh ISA Server 2000 như thế nào để đảm bảo có được một hệ thống Firewall an toàn ở mức cao nhất có thể.
Khuyến cáo: IIS services nên được disabled trên Firewall này v́ những lư do an toàn và Performance.Để disable IIS services trên ISA Server 2000 firewall:
Click Start, chọn Programs, Administrative Tools. Click Services hoặc tai Run chạy services.msc
Xác định các Services sau:
FTP Publishing Service
Network News Transport Protocol (NNTP)
Simple Mail Transport Protocol (SMTP)
World Wide Web Publishing Service
Tiến hành các bước sau trên mỗi Service :
a. Right click trên service và click Properties.
b.Trong Startup type , chọn Manual.
c. Sau đó Click Stop button.
d. Click Apply và click OK.
Cấu h́nh ISA Server 2000:
Mục tiêu của cấu h́nh này cho phép Inernal Clients có thể truy cập hầu hết tất cả

vanthu - June 7, 2006 06:37 AM (GMT)
các dịch vụ có mặt trên Internet, tuy nhiên cũng sẽ kiểm soát tốI đa các truy nhập bất hợp pháp từ attackers.
Mở chức năng DHCP Packet Filter
Chức năng này là cần thiết cho các External Interface Card trên ISA server 2000, khi mà các External Card này sử dụng Dynamic IP từ ISP và các connections này thường là Cable, DSL, nhưng Filter này lạI không áp dụng cho Dial-up Connections. chú ư!
Như vậy đây là động tác cấu h́nh đầu tiên cho ISA server 2000, nếu chúng ta có kết nốI nhận Dynamic IP address qua DSL, Cable.
1. Click Start và chọn Programs. Chọn Microsoft ISA Server và click ISA Management .
2. Trong ISA Management console, mở Servers and Arrays node và mở server name. Mở Access Policy node và click IP Packet Filters.
3. Trong khung phảI của ISA Management console, chúng ta thấy DHCP Client packet filter. Packet filter bị disabled theo mặc định. Tiếp theo, enable packet này để có thể cho phép External interface trên ISA Server 2000 firewall nhận IP address từ ISP connection. Double click trên DHCP Client packet filter. Trên General tab, Đánh dấu vào Enable checkbox. Click Apply và click OK.

4. Mở command Prompt trên ISA server 2000, type C:\> ipconfig /renew để kiểm tra External card đă nhận IP address từ ISP.
Tạo một All Open Protocol Rule
Protocol Rule cho phép internal network computers truy cập các giao thức ứng dụng xác định khi Clients kết nốI đến các Intenet Servers. (ví dụ HTTP Protocol cho phép Internal Clients kết nốI đến các Web Servers, FTP Protocol kết nốI đến các FTP servers..). Hướng dẫn này sẽ tạo ra một “All IP Traffic” Protocol Rule, cho phép các internal network computers truy cập tất cả các giao thức ứng dụng phổ biến trên Internet, mà các Protocols này đă được xác định trong Protocol Definitions bên dướI ISA Management console
Chú ư: Cấu h́nh này cho phép các Internal network computers truy cập hầu hết, nhưng không phảI tất cả các Applications hiện nay trên Internet. Muốn truy cập những ứng dụng không được định nghĩa trước trong Protocol Definitions, cần phảI config thêm các thông số tương ứng của ứng dụng đó trên Protocol Definitions.
1. Open ISA Management console, mở Servers and Arrays node sau đó mở server name. Mở Access Policy node và right click trên Protocol Rules node. Chọn New và click Rule.
2. Trong Welcome to the New Protocol Rule Wizard page, type All Open trong Protocol Rule name text box và click Next.
3. Chọn Allow option trên Rule Action page và click Next.
4. Chọn All IP traffic trên Protocols page và click Next

5. Chấp nhận default settings, Always, trên Schedule page và click Next.
6. Chọn Any request option trên Client Type page và click Next.
7. Click Finish trên Completing the New Protocol Rule Wizard page.

Enable IP Routing, Enable PPTP Passthrough và Block IP Options
Enable IP Routing trên ISA Server 2000 firewall computer gia tăng đáng kể performance cho các internal network computers và cũng cho phép các Internal Clients này PING, và kết nốI đến các Internet VPN servers thông qua PPTP (Point to Point Tunneling Protocol) VPN.
Open ISA Management console, mở Servers and Arrays node và sau đó mở server name. Mở Access Policy node và right click trên IP Packet Filters node và click Properties.
1. Trên General tab trong IP Packet Filters Properties dialog box, đánh dấu vào Enable IP routing checkbox.

2. Click trên Packet Filters tab. Đánh dấu Enable filtering of IP options.
3. Click PPTP tab. Đánh dấu PPTP through ISA firewall checkbox.

Cấu h́nh một Dial-up Entry (chỉ có các kết nốI Dial-up)
ISA Server 2000 firewall computer dùng kết nốI a dial-up để connect tới Internet, yêu cầu xác lập một Dial-up Entry trong ISA Management console. Dial-up entry phụ thuộc vào Dial-up Networking connectoid mà chúng ta đă cấu h́nh lúc đầu
Mở ISA Management console, mở Servers and Arrays node, mở server name. Mở Policy Elements node và click trên Dial-up Entries node. Right click Dial-up Entries node, chọn New và click Dial-up Entry.
1. Trong New Dial-up Entry dialog box, type ISP trong Name text box.
2. Click Select button. Trong Select Network Dial-up Connection dialog box, chọn dial-up connectoid (FPT connection) từ ISP và click OK.
3. Click Set Account button. Trong Set Account dialog box, type user name ISP cung cấp cho account. Type password ISP cấp trong Password text box và confirm lại password trong Confirm password text box. Click OK.
4. Click OK trong New Dial-up Entry dialog box.
5. Right click trên Network Configuration node khung bên trái của ISA Management console và chọn Use primary connection option. Trong Network Configuration Properties dialog box, đánh dấu Use dial-up entry checkbox.
6. Click Apply và sau đó click OK trong Network Configuration Properties dialog box.
7.
STEP 5: Cấu h́nh cho Internal Network Computers
Các Internal network computers sẽ được xác lập như ISA Server SecureNAT clients. Một SecureNAT là một machine chỉ vớI xác lập default gateway address trong cấu h́nh TCP/IP của ḿnh. Default gateway address này có thể là một Router nằm sau ISA Server 2000 firewall, nếu như SecureNAT Clients không cùng Network ID vớI Internal Interface của ISA server ( phảI config cho router này routing được đến Internal card trên ISA server), hoặc là IP address của Internal Card trên ISA server.
Ở phần trước chúng ta đă cấu h́nh DHCP server cung cấp các thông số này
Chú ư:
Nếu Mô h́nh Mạng nhỏ chỉ 1 Network ID, có thể chúng ta không busy lắm khi config cho SecureNAT clients, nhưng mô h́nh Mạng lớn có nhiều Network Ids , có Routers phía sau ISA server firewall cần quan tâm đến các kĩ năng config Routing và phân chia Network IDs đúng.

Cấu h́nhg Internal Clients làm DHCP Clients
DHCP client sẽ yêu cầu IP address và các thông số từ DHCP server.
Tiến hành tạI Client Computers
Right click My Network Places icon trên desktop và click the Properties
1. Trong Network Connections window, right click trên network interface and click the Properties
2. Trong Properties dialog box, click Internet Protocol (TCP/IP) và click Properties button.
3. Trong Internet Properties (TCP/IP) Properties dialog box, chọn Obtain an IP address automatically option.

4. Chọn Use the following DNS server addresses option. Type 192.168.1.200 trong Preferred DNS server text box. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.
5. Click OK . Thực ra 4 và 5 có thể chọn Obtain DNS server address automatically, v́ Clients Computer đă dùng DHCP server của Mạng (tất nhiên nếu Client Computers cùng Network ID vớI DHCP server, nếu khác Network ID có thể phảI config thêm tính năng DHCP Relay agent trên Routers..)
(c̣n tiếp phần 2, 3, 4,5)

Hồ Việt Hà – Instructor Team Leader
hvha@newhorizons.com.vn
New Horizons VietNam (Computer Learning Centers in VietNam)
Network Information Security (NIS.COM.VN - My Website come soon )

HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - Phần II - 28/7/2005 11h:11

HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 (phần 2)
HIỂU VỀ CÁC DỊCH VỤ VẬN HÀNH TRÊN ISA SERVER
Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm việc với nhau, và với các loại ISA Clients như thế nào.
Một sơ đồ đơn giản có thể phác thảo như sau về các Services chính đang chạy trên ISA server.


Cách thức ISA Clients làm việc với ISA server
1. Tất cả các yêu cầu từ ISA Clients đến ISA server được xem xét bởi Packet filters.

2. Các yêu cầu từ SecureNAT Client (chú ư ISA server làm việc trực tiếp với 3 loại ISA Client là SecureNaT Client, Web Proxy Client và ISA Firewall Client, tôi sẽ phân tích các loại ISA client này trong phần tiếp theo), được gửi đến NAT protocol driver và sau đó đến Firewall service là nơi nà các quy tắc (rule) được áp đặt (thông qua Rule Engine)

Lưu ư: SecureNAT clients không gửi các thông tin xác thực ḿnh (authentication information) đến ISA server.

3. Những yêu cầu từ ISA Firewall client được gửi đến Firewall service trên ISA server, nếu đó là một HTTP request (khi ISA Firewall Client truy cập Web), th́ thay v́ gửi đến Firewall service, HTTP redirector trên ISA server sẽ gửi yêu cầu loại này đến Web proxy service trên ISA server.

4. Tất cả những yêu cầu về HTTP/HTTPS, FTP và Gopher luôn được gửi đến Web proxy service.

Các dịch vụ chính trên ISA server:

- ISA Control Service (MSPADMIN.EXE)
ISA control service điều khiển các chức năng trên ISA Server sau:
1. IP packet filters, khi bạn Enable và ghi Log chức năng này trên ISA server
2. Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall)
3. Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần c̣n lại của ISA servers array.
4. Cập nhật các File cấu h́nh Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng.
5. Restarting lại các ISA services khác khi có sự thay đổi về cấu h́nh trên những Service này.

H́nh mô tả về stop một service
Admin có thể dùng command line để Stop một Service nào đó:
C:\> Net stop mspadmin
chú thích: mspadmin là tên service cần Stop
Và cũng lưu ư quan trọng rằng nếu stop ISA Server Control Service, th́ tất cả các ISA Server services cũng Stop theo.
- Scheduled Cache Content Download Service (W3PREFCH.EXE)
1. Service này cho phép có thể download nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đă được Config trước (Download scheduled).
2. Có thể config những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành download về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua Cache.
Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành download nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2. Thời gian tiến hành download vào lúc 12:00 PM. Sáng hôm sau Clients của các bạn sẽ được phục vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online.
3. Dùng service này có thể download toàn bộ Website nếu bạn muốn làm điều đó
Chú ư: Websites chứa các pop-up scripts, cookies hay các gói cài đặt phần mềm ngôn ngữ tương thích với Website - language packs installation (ví dụ website tiếng Japan, China, Thailand, etc...), không thể download được.
- HTTP redirector filter
Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc với các tính năng của ISA caching, khi HTTP redirector được enable (điều này là mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay v́ đến các Service khác.
- NAT protocol driver
Lưu ư: Microsoft không khuyến cáo chạy RRAS (Rouring and Remote Access Service), trên ISA server v́ có thể gây xung đột với NAT Protocol Driver.
Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet. Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA (Internet Assigned Numbers Authority), là thuộc các vùng IP sau:
+ 10.0.0.0 - 10.255.255.255
+ 172.16.0.0 - 172.31.255.255
+ 192.168.0.0 - 192.168.255.255
(Các bạn nên tham khảo RFC 1597 để chi tiết hơn về Private IP Address Ranges)
Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽ được chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP address của External Interface trên ISA server (v́ các IP trong vùng Private IP Address Ranges của Clients không có giá trị communication trực tiếp trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về sẽ phản hồi lại cho Clients trong Mạng nội bộ.
- Firewall Service(FWSRV.EXE)
1. Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications)
Tôi sẽ có một số định nghĩa để các bạn hiểu thêm như sau:
+ Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai tṛ là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall.
Từ proxy c̣n có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đă làm điều đó, nó hành động nhân danh cho Client và cả Server . Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đă được kiểm tra từ Internet và chuyển yêu cầu này đến Client. Cả hai Client và Server nghĩ rằng chúng nói chuyện trực tiếp với nhau nhưng thực sự chỉ "talk" trực tiếp với Proxy.
+ Application Level and Circuit Level Proxy
Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. Những Proxies trên, được gọi là application-level proxies hay "application-level gateways", bởi v́ chúng được chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được gửi đến nó. Một hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc. ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hết các applications trên nền TCP và UDP
+ SOCKS hay Sockets
Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về network designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. SOCKS đă nhanh chóng trở thành một de facto standard (hardware hay software được dùng rộng răi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn), ngược lại là de jure standard. Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 c̣n hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service).
SOCKS bắt buộc Client phải được cấu h́nh để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application. Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server. Vào http://www.socks.permeo.com/TechnicalResou...alFAQ/index.asp (Permeo Technologies' SOCKS Web site ), để t́m hiểu chi tiết về SOCKS và cac Applications tuân theo SOCKS Cũng cần xem thêm mô h́nh giao tiếp TCP/IP stack.
2. The ISA Firewall service cung cấp cho các Winsock client va` tiep' theo.............o? phan` duoi'

vanthu - June 7, 2006 06:38 AM (GMT)
applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp.
3. Nếu HTTP redirector được xác lập Default (đây cũng là cấu h́nh mặc định), sau đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lư những yêu cầu loại nay, và tận dụng ưu điểm của Cache.
4. Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode. Lưu ư: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching)
5. Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts. mạng nội bộ vẫn đảm bảo an toàn, bởi v́ giao tiếp được thông qua ISA.
6. Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters
7. Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của ḿnh và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra.
8. Kênh điều khiển (control channel) sẽ quản lư các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client. Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts.
9. Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745.
10. Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn..(từ attacker networks v.vv)
- Web Proxy Service (W3PROXY.EXE)
1. Service này cho phép bất ḱ CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương tŕnh t́m kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm răi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols.
2. Web Proxy Service là một application level service phục vụ cho các CERN-compliant applications (như đă tŕnh bày ở trên ) và những ứng dụng này đă config để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau. Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số như trên H́nh



sau đó click vào Advanced sẽ thấy


Trên minh họa này Internal Interface của ISA server là 192.168.1.200, và mở port 8080 (port mà Web Proxy Service trên ISA server tiếp nhận các yêu cầu từ các Web Proxy Clients hoặc nói chung là CERN-compliant applications )
Web Proxy Service tiếp nhận các yêu cầu đấn từ CERN-compliant applications , bất kể những Applications này được cài trên Hệ Điều hành nào.
3. Web proxy service vận hành như một quy tŕnh trên Windows 2000 Server ( Win2k process) chính xác là W3proxy.exe).
4. ISA Server sẽ dùng các chức năng Secure Web publishing và Reverse hosting (tôi sẽ giải thích ở các phần tiếp theo) để gửi các yêu cầu đấn các Web-publishing servers ( các Web server cho phép các Client ngoài Internet truy cập, v́ lư do an toàn nên chúng phải nằm sau ISA server firewall, và phải dùng chức năng Web-publishing trên ISA Server để cung cấp truy, dùng Web-publishing không làm giảm độ an toàn của LAN)
5. Web proxy service hỗ trợ SSL (secure socket layer) và Web (ISAPI) filters.
6. Web proxy service bao gồm luôn tính năng cache trên ISA server.
Phần I: HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000

Hồ Việt Hà – Instructor Team Leader
hvha@newhorizons.com.vn
New Horizons VietNam (Computer Learning Centers in VietNam)
Network Information Security (NIS.COM.VN - My Website come soon )
HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - Phần III - 1/8/2005 14h:10
Cấu h́nh ISA Server như thế nào để có thể làm việc với 3 loại ISA Clients : SecureNAT Client, Web Proxy Client và Firewall Client. Những hướng dẫn về cách cấu h́nh ISA server và phân biệt các loại ISA Clients khác nhau, được sử dụng tùy những trường hợp khác nhau, có thể giúp các Admin tận dụng được những ưu điểm của ISA và triển khai hợp lư đúng với yêu cầu trên hệ thống Mạng của tổ chức ḿnh.
Một số định nghĩa:
• Auto-detection:
Một tính năng trên ISA server (WPAD), cho phép tŕnh duyệt Internet Explorer (phiên bản 5.0 trở lên), tự động cập nhật cấu h́nh thích hợp nhất cho ḿnh để có thể làm việc được với ISA server
• DNS (Domain Name Services)
Service chạy trên một Computer có nhiệm vụ trả lời những yêu cầu truy vấn tên (hostname) ra IP address thực của các Internet Servers. ví dụ về một truy vấn tên, ISA Clients cần truy cập đến www.nis.com.vn hay mail.nis.com.vn (đây là một hostname, và hostname là kiểu tên duy nhất được dùng để mô tả về các Computer đang cung cấp các dịch vụ trên Internet)
• FQDN (Fully Qualified Domain Name):
Là Computer name, chỉ ra được cấu trúc logic của tên Computer gắn với Domain chứa Computer ấy. Ví dụ: www.security.net được xem xét về cấu trúc logic như sau: “Security.net” là Domain name, “www” là tên của Computer cung cấp Web service của Domain đó. Ng̣ai ra các .com, .net, .edu, .gov, .org ,v.vv.. là do các tổ chức quy định Internet Domain Name (ICANN,..) đưa ra.
• LAT Host:
Những Computer hoạt động bên trong Mạng nội bộ thông thường nằm trong danh sách LAT (Local Address Table), giúp ISA server phận biệt với các External Host. ISA server dùng NAT dể xử lư các LAT host này (thay các IP Address của LAT host bằng External IP address trên ISA server), trước khi thông tin được gửi ra ngoài.
• NetBIOS Name:
Cũng được gọi là Computer Name, được dùng phổ biến trong các Mạng nôi bộ (mô h́nh WORKGROUP các máy t́nh thường dùng Netbios name để giao tiếp với nhau, không dùng Hostname – chú ư: Hostname chỉ được dùng trong 2 trường hợp: Cho các server cung cấp dịch vụ trên Internet, và trong các hệ thống Domain nội bộ, như Active directory domain của Microsoft)
• Record:
Trong hệ thống DNS, và nằm trong DNS zone, các record chính là bản ghi cụ thể chỉ rơ một Host, một Mail server, một Web server hay Domain Controller, v.vv gắn liền với IP address ( hoặc ngược lại ghi IP adrress trước và Hostname sau) của những Server này, và là nhân tố chính phục vụ cho việc truy vấn tên từ Clients.
• Primary và Secondary Protocol:
Có những Server cung cấp chỉ một Network Service khi giao tiếp, có thể Service phải được vận hành trên nhiều Port (hay nói cách khác phục vụ trên nhiều connections cùng thời điểm cho dù chỉ cung cấp 1 service. Ví dụ Active FTP server service, chạy đồng thời trên 2 TCP ports: 21- thiết lập connection, và 20- truyền data (khác với Passive FTP chỉ mở TCP Port 21)

Trong ví dụ trên, Primary connection trên Active FTP server được thực hiện thông qua TCP Port 21, c̣n Secondary connection qua TCP port 20. Như vậy TCP 21 là Primary Protocol, c̣n TCP 20 là Secondary Protocol của Active FTP Server Application.
• TTL ( Time to Live)
Có đơn vị, được tính bằng giây, xác định thời gian cho một name record tồn tại trong DNS zone, trước khi name record này phải được refresh, để cập nhật thông số mới chính xác cho ḿnh.
• WINS (Windows Internet Name Services)
Cũng là Sevice chuyên giải quyết các truy vấn t́m tên như DNS, ngoại trừ việc NAME được giải quyết trên WINS là NETBIOS NAME (dạng tên không phân tầng như Hostname, có chiều dài tối đa 16 kí tự - kí tự thứ 16 dùng để xác định dịch vụ mà Computer dùng NETBIOS name này cung cấp cho các Computer khác trên Mạng, ví dụ 1 record được đăng kí trong WINS server là SERVER <20> : Computer name là Server và kí tự Hexa cuối 20, xác định cho các Computer khác trên Mạng biết được 2 thông tin: Computer name là Server và dịch vụ mà máy này cung cấp là Fire and Print Sharing.
• WPAD (Windows Proxy Auto Detection)
Một tính năng trên ISA server dùng hỗ trợ cho Internet Explorer 5.0 (hoặc cao hơn). Khi được cấu h́nh thích hợp, nó cho phép I.E cập nhật tự động các thông số cấu h́nh cho ḿnh.

Các chế độ hoạt động của ISA server:

• Cache :
Dịch vụ được cài đặt và vận hành là Caching Service. Nếu ISA server chỉ cài đặt ở chế độ này, đối tượng ISA client duy nhất mà nó phục vụ đó là Web Proxy client. Và chế độ này cũng khôgn hỗ trợ cho H.323 Gatekeeper service. ISA server hoạt động ở chế độ này chỉ cần cung cấp Web cache, cho nên chỉ cần 1 NIC Card.
• Firewall:
ISA server ở chế độ này là sự kết hợp của Firewall Service và Web Proxy service, và hoàn toàn không dính dáng ǵ đến Web Cache service. Tất cả các tính năng chính của ISA Server là nằm ở đây và tất cả các loại ISA Clients đều được hỗ trợ. ISA Server ở chế độ này yêu cầu ít nhất 2 NIC Cards- 1 External Card và 1 Internal Card dành cho LAT.
• Integrated:
Tích hợp trọn gói gồm đầy đủ các dịch vụ trên cộng lại (Web Proxy, Firewall và Web Caching service). Sự thực th́ khác biệt giữ chế độ này và Firewall đó là Intergrated có thêm Web Caching service.

Các loại ISA Clients: (Sẽ được phân tích chi tiết ở phần 4)

• SecureNAT :
Chính là một LAT host (Client có cấu h́nh IP address bên trong Mạng nội bộ). trong một Mạng đơn giản th́ SecureNAT Client có đường định tuyến duy nhất (default route / default gateway) ra Internet là qua ISA server, và nhận Default Gateway chính là IP address của ISA server Internal NIC. Trong một Mạng phức tạp hơn có thễ sẽ hơi khác, SecureNAT Clients sẽ nhận Default Gateway là các Interface của Router đứng phía sau ISA server, và nhiệm vụ cac Router này là chỉ đường đến Internal Interface trên ISA.
• Firewall:
Cũng là một LAT host, được cài đặt software ISA Firewall client, được enabled và các application trên Client sẽ dùng nó sau đó.

• Web Proxy:
Được cấu h́nh đơn giản thông qua một Application (IE hay các tŕnh duyệt Web khác như Netscape.., hoặc các ứng dụng hỗ trợ (web-enabled application) như Yahoo Messenger v.vv, trên LAT host dùng các yêu cầu proxy gửi đến Outbound web listener trên ISA server ra Internet.

Cấu h́nh ISA Server:
Điều quan trọng là ISA server được Cấu h́nh đúng để phục vụ cho các loại ISA Client khác nhau. Nếu ISA Server gặp khó khăn khi giải quyết cho Client t́m Hostname, hay tiếp cận các dịch vụ Internet th́ toàn bộ các Clients có thể bị tác động. Lập lại các cuộc kiểm tra cho ISA Server trong suốt quá tŕnh cài đặt và cấu h́nh, để đảm bảo ISA Server có được cấu h́nh hợp lư nhất. Như vậy những thay đổi các thông số trong quá tŕnh cấu h́nh sẽ được kiểm định chặt chẽ, và nếu có sai lầm, sẽ dễ dàng quay lại trang thái ban đầu.
• Outgoing Web Requests Listener:
Chức năng như một Web proxy. Yêu cầu Web proxy service (w3proxy) phải đang hoạt động , Outbound Web Requests Listener phải được config và được Enable. Xem và thay đổi thông số này, open ISA Management MMC, open Servers and Arrays, . Right-click và chọn Properties. Click Outgoing Web Requests tab.

Theo mặc định ISA Server enable Proxy service trên tất cả ISA internal IPs (trong các ví dụ trước là 192.168.1.200 và 127.0.0.1 (cái này dùng cho chính ISA Server nếu nó muốn trở thành Web Proxy Client của chính Web Proxy Service đang hoạt động trên nó), tại port 8080, setup mặc định của Proxy service này không liên quan đến hoạt động của các ISA Server mode khác như: Firewall, Integrated, Cache. Để disable Outgoing Web Requests listener, chỉ đơn

vanthu - June 7, 2006 06:39 AM (GMT)
giản chọn Configure listeners individually per IP address và không chọn bất ḱ IP address nào cho việc này.
• Auto Discovery listener: Đây là một trong những “éo le” cho những người yêu mến ISA server, khi họ muốn chạy IIS (web server) trên chính ISA Server, ngay cả khi IIS chỉ dùng Internal IPs. Xem h́nh các bạn sẽ thấy

T́nh huống này chúng ta có 2 applications/services (WPAD functions và IIS Web service) phục vụ cho Clients trên cùng TCP Port, một cuộc cạnh tranh xảy ra và ai trong số 2 Service này có thể sẽ bị “thiệt tḥi”. Thực chất TCP Port 80 được open trên ISA Server để cung cấp cho ISA Clients tính năng Automatic Discovery (WPAD functionality, có nghĩa là tự động ḍ t́m các thông số để connect đến Web Proxy Service hay ISA firewall Service ), nhưng những mô tả ở trên sẽ khiến cho Admin băn khoăn một chút khi dùng tính năng này.
Nếu không muốn Auto Discovery, không nên check Publish automatic discovery information. Như vậy Port 80 sẽ được giải phóng cho Internal IPs trên ISA Server
Lưu ư: ISA Server ở chế độ Web proxy server chỉ dùng duy nhất 1 NIC (Cache Mode)

• Site and Content Rules:
Những nguyên tắc được xác lập ở đây sẽ control những nội dung liên quan đến HTTP và FTP khi chúng chuyển đến Web Proxy Service (ví dụ khi ISA Clients truy cập 1 HTTP site nào đó, các nguyên tắc được xác lập ở Site and Content Rules sẽ xem xét các yêu cầu của ISA clients có hợp lệ hay không, nếu hợp lệ về nội dung cũng như đích đến, yêu cầu sẽ chuyển tiếp đến Web Proxy service và ra Internet….) Theo mặc định Site and Content Rules không ngăn cấm bất ḱ nội dung nào (Audio, image, video, applications, compressed file…), và bất ḱ Site nào khi yêu cầu gửi ra Internet. Do mặc định đă có Allow rule được thiết. Muốn ngăn chặn những Website/FTPsite Admin có thể tiến hành Deny tại đây, nhưng hăy xác lập cho chính xác, nếu không sẽ “bế quan tỏa cảng” tất cả.

• Protocol Rules:
Một trong những trung tâm đầu năo của ISA Server. Việc cho phép các LAT hosts (Internal Clients) truy cập các tài nguyên Internet thông qua các Rule tại đây. H́nh bên dưới chúng ta định nghĩa khá nhiều Protocols cho phép LAT hosts sử dụng. ví dụ nếu tôi không tạo rule có đánh dấu đỏ, các LAT hosts của tôi sẽ không thể truy cập được các HTTP Site.

• IP Routing:
Vấn đề kế tiếp, đảm bảo rằng các tất cả các luồng lưu thông SecureNAT Clients không bị ngăn trở (tất nhiên các rule tại Protocol rules ở trên phải cho phép điều này). ISA Server mặc định đă disabled “Enable IP Routing”. Khi được Enable ISA Server mới cho phép các ICMP (pings) từ LAT ra Internet.
Mở ISA Management MMC, t́m IP Packet Filtering. Right-click , chọn Properties và bạn sẽ thấy như trên h́nh

Xem thêm thông tin Enable IP Routing tại: http://support.microsoft.com/kb/q279347/
• HTTP Redirector:
Đây là nơi mà Admin có thể điều khiển ISA Firewall Clients và SecureNAT Clients khi các Clients này yêu cầu truy cập Web. Mở ISA Management MMC, chọn Servers and Arrays, Extensions, Application Filters. Right-click HTTP Redirector Filter, chọn Properties. Chọn Options tab Admin sẽ thấy như trên H́nh

Như vậy tại đây các Admin có thể quyết định các yêu cầu truy cập Web của SecureNAT & Firewall client sẽ được kiểm soát như thế nào (Chú thích: Thông thường SecureNAT clients và ISA Firewall Clients sẽ làm việc trực tiếp với ISA Firewall Service cho tất cả các yêu cầu truy cập mọi dịch vụ Internet, thế nhưng ngoại trừ HTTP/FTP –Web request, th́ HTTP Redirector sẽ chuyển đến Web Proxy service.
Ở h́nh trên các bạn cũng thấy xác lập “If the local service is unavailable…”, xác lập này có nghĩa là khi Web Proxy Service trên ISA Server không hoạt động, chuyển các yêu cầu Web đến trực tiếp Web Server “redirect requests to Requested Web Server” Điều này thuận lợi cho SecureNAT và Firewall clients vẫn tiếp cận được Internet mà không cần đếm xỉa ǵ đến Web Proxy filtering vốn đang NO ANSWER REQUESTS.
Nếu Admin check vào Send to requested Web Server , th́ SecureNAT và Firewall Clients bỏ qua Web proxy service cho mọi yêu cầu Web, ở mọi thời điểm.
Tuy nhiên, check vào đây sẽ bỏ qua hết những thông số Proxy được xác lập trên tŕnh duyệt IE/Netscape của Firewall và SecureNAT clients
Nếu check Reject HTTP requests from Firewall and SecureNAT clients khiến cho các Firewall và SecureNAT clients phải xác lập Web proxy settings tại tŕnh duyệt nếu không muốn bị cấm cửa tất cả Web requests.
• Local Domain Table:
Bảng xác định các Internal Domain. Đây là thông tin then chốt cho cả tŕnh duyệt IE và Firewall client. Bất cứ tên Domain nào đưa và bảng này 1 trong 2 khả năng có thể xảy ra như sau:
1. Nếu Web Proxy và Firewall clients có dùng 1 DNS server để t́m tên th́ chúng sẽ thông qua DNS server này để giải quyết mà không qua ISA service có chức năng liên quan.
2. Web Proxy clients sẽ tạo yêu cầu trực tiếp đến bất cứ Server nào trong Domain đó, bỏ qua ISA proxy services.
Lưu ư: Cũng nhắc nhở luôn các Admin, tránh trường hợp DNS không thể phân biệt đâu là truy cập ra các Internet domain và đâu là truy cập domain nội bộ, th́ khi tạo một Internal Domain tránh dùng các định dạng như Internet Domain đang dùng vd: congty.com thay vào đó có thể khác đi vd: Int.Domain.tld ( ở đây tôi đặt tên domain rất đặc thù cho tổ chức của tôi : Int.Domain với .tld thay v́ các .com/net/edu/org phổ biến trên Internet hiện nay)

• Name Resolution:
Xác lập các thông số IP đúng cho ISA server tuyệt đối quan trọng Ít nhất, Admin phải cung cấp một DNS server cho ISA Server để ISA có thể giải quyết các Internet Server cho Web Proxy và Firewall clients, và cũng nên cung cấp cho ISA một internal DNS server phục vụ cho Internal Network, nếu Mạng là một Domain. ISA Server 2000 cài đặt trên Windows server 2000, và W2K Server mặc định được khuyến cáo dùng DNS là giải pháp truy vấn tên duy nhất chứ không phải dùng các giải pháp có thể gây “đau đầu” cho các Admin sau này như WINS (giải quyết NETBIOS name), và cách giải quyết tên “kinh điển” NETBIOS Broadcast. ISA Server cung cấp giải pháp t́m DNS name cho chính nó bằng cách tạo sẵn một DNS Lookup Packet Filter . Các Admin không nên Desabled chức năng này, v́ nếu không ISA Server có thể không giải quyết chính xác các Internet DNS name

∙Web Proxy và Firewall DNS cache:
Web Proxy và Firewall services trên ISA server cung cấp một giải pháp t́m DNS name rất cơ bản dựa trên các xác lập TCP/IP mà Admin đă config trên các Network Card của ISA server. Chức năng cơ bản này sẽ giải quyết các yêu cầu t́m kiếm các Internet hostname cho Web và Firewall clients. Cơ chế lưu giữ các DNS name đă được giải quyết (DNS Name Cache) của ISA server khá thú vị, thời gian tồn tại của các DNS records đă cache (Time to Live of DNS Records) không phụ thuộc vào quy định từ các remote DNS server mà ISA server chuyển yêu cầu đến nhờ giải quyết, mà TTL này đă được ISA server quy định sẵn cho Web Proxy và Firewall DNS caches có tổng thời lượng là 6 giờ. Điều này khác hẳn với cơ chế làm việc của các DNS server caching only, những DNS server này khi chuyển yêu cầu giải quyết tên đến các DNS server khác, TTL của records được cache lại trên nó, phụ thuộc vào TTL từ các DNS server đóng vai tṛ người giải quyết truy vấn và bản thân nó chỉ đơn thuần là lưu giữ (cache) lại những ǵ đă được DNS server khác t́m. Các Admin muốn tham khảo các thông số về cơ chế cache DNS name của Web Proxy service và Firewall Service trên ISA server. Dùng lệnh REGEDIT tai menu RUN và t́m kiếm các entry như sau

Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460



vanthu - June 7, 2006 06:40 AM (GMT)
WWW.NEWHORIZONS.COM (New Horizons Computer Learning Centers)
Hồ Việt Hà
Training Manager
My Website (NIS.COM.VN- Network Thông tin Securtiy, My Website Coming soon)


HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 –PHẦN IV - 21/9/2005 10h:1
(Bài này được cập nhật cách đây 1 giờ )
PHÂN TÍCH CÁC LOẠI ISA CLIENT

Những câu hỏi thường được đề cập khá nhiều về ISA Clients như: ISA Client là ǵ, có mấy loại, và được sử dụng trong những trường hợp nào. Tất cả những câu hỏi trên đều rất cần thiết khi bạn làm việc với một hệ thống phức tạp như ISA server. Bài viết đưa ra cái nh́n tổng quan và cách thức để triển khai ISA Clients,chính xác là cách thức làm việc giữa ISA server và ISA clients như thế nào nhằm đạt hiệu quả tốt nhất.

Có 3 loại ISA clients: SecureNAT, Firewall và Web. Thuật ngữ chính xác khi mô tả về các loại Clients này là “Client request” hơn là “Client”. Tại sao ư, v́ đơn giản là cách mô tả này cho chúng ta thấy được cách làm việc giữa Clients và ISA server : Đó là những yêu cầu từ phía ISA client chuyển đến ISA server được đáp ứng như thế nào.

Một khái niệm “nền” mà các bạn cần lưu ư khi triển khai các loại Client này là LAT host (Loal Address Table host- Các Computer có IP address nằm trong vùng địa chỉ nội bộ, nhằm phân biệt với các External Computers). Một LAT host có thể được cấu h́nh làm SecureNAT, Firewall và Web client tại cùng một thời điểm.
Tôi xin nhắc lại một số định nghĩa đă được tŕnh bày tại phần III
• Auto-detection: Một tính năng trên ISA server (WPAD), cho phép tŕnh duyệt Internet Explorer (phiên bản 5.0 trở lên), tự động cập nhật cấu h́nh thích hợp nhất cho ḿnh để có thể làm việc được với ISA server
• DNS (Domain Name Services) Service chạy trên một Computer có nhiệm vụ trả lời những yêu cầu truy vấn tên (hostname) ra IP address thực của các Internet Servers. ví dụ về một truy vấn tên, ISA Clients cần truy cập đến www.nis.com.vn hay mail.nis.com.vn (đây là một hostname, và hostname là kiểu tên duy nhất được dùng để mô tả về các Computer đang cung cấp các dịch vụ trên Internet)
• FQDN (Fully Qualified Domain Name): Là Computer name, chỉ ra được cấu trúc logic của tên Computer gắn với Domain chứa Computer ấy. Ví dụ: www.security.net được xem xét về cấu trúc logic như sau: “Security.net” là Domain name, “www” là tên của Computer cung cấp Web service của Domain đó. Ng̣ai ra các .com, .net, .edu, .gov, .org ,v.vv.. là do các tổ chức quy định Internet Domain Name (ICANN,..) đưa ra.

• LAT Host: Những Computer hoạt động bên trong Mạng nội bộ thông thường nằm trong danh sách LAT (Local Address Table), giúp ISA server phận biệt với các External Host. ISA server dùng NAT dể xử lư các LAT host này (thay các IP Address của LAT host bằng External IP address trên ISA server), trước khi thông tin được gửi ra ngoài.

• NetBIOS Name: Cũng được gọi là Computer Name, được dùng phổ biến trong các Mạng nôi bộ (mô h́nh WORKGROUP các máy t́nh thường dùng Netbios name để giao tiếp với nhau, không dùng Hostname – chú ư: Hostname chỉ được dùng trong 2 trường hợp: Cho các server cung cấp dịch vụ trên Internet, và trong các hệ thống Domain nội bộ, như Active directory domain của Microsoft)

• Record: Trong hệ thống DNS, và nằm trong DNS zone, các record chính là bản ghi cụ thể chỉ rơ một Host, một Mail server, một Web server hay Domain Controller, v.vv gắn liền với IP address ( hoặc ngược lại ghi IP adrress trước và Hostname sau) của những Server này, và là nhân tố chính phục vụ cho việc truy vấn tên từ Clients.

• Primary và Secondary Protocol:
Có những Server cung cấp chỉ một Network Service khi giao tiếp, có thể Service phải được vận hành trên nhiều Port (hay nói cách khác phục vụ trên nhiều connections cùng thời điểm cho dù chỉ cung cấp 1 service. Ví dụ Active FTP server service, chạy đồng thời trên 2 TCP ports: 21- thiết lập connection, và 20- truyền data (khác với Passive FTP chỉ mở TCP Port 21)

Trong ví dụ trên, Primary connection trên Active FTP server được thực hiện thông qua TCP Port 21, c̣n Secondary connection qua TCP port 20. Như vậy TCP 21 là Primary Protocol, c̣n TCP 20 là Secondary Protocol của Active FTP Server Application.

• TTL ( Time to Live) Có đơn vị, được tính bằng giây, xác định thời gian cho một name record tồn tại trong DNS zone, trước khi name record này phải được refresh, để cập nhật thông số mới chính xác cho ḿnh.

• WINS (Windows Internet Name Services) Cũng là Sevice chuyên giải quyết các truy vấn t́m tên như DNS, ngoại trừ việc NAME được giải quyết trên WINS là NETBIOS NAME (dạng tên không phân tầng như Hostname, có chiều dài tối đa 16 kí tự - kí tự thứ 16 dùng để xác định dịch vụ mà Computer dùng NETBIOS name này cung cấp cho các Computer khác trên Mạng, ví dụ 1 record được đăng kí trong WINS server là SERVER <20> : Computer name là Server và kí tự Hexa cuối 20, xác định cho các Computer khác trên Mạng biết được 2 thông tTrong: Computer name là Server và dịch vụ mà máy này cung cấp là Fire và Print Sharing.

• WPAD (Windows Proxy Auto Detection)
Một tính năng trên ISA server dùng hỗ trợ cho Internet Explorer 5.0 (hoặc cao hơn). Khi được cấu h́nh thích hợp
_________________
Thư

Về Đầu Trang


vanthu
Thu'


Ngày tham gia: 23 10 2005
Số Bài viết: 512
Đến từ: Ninh Thuận
Gửi: 09 11 2005 11:26 am Tiêu đề:

--------------------------------------------------------------------------------

CASHFIESTA đươc đánh giá là một trong những chương tŕnh kiếm tiền trên mạng trên mạng nổi tiếng nhất, đây là chương tŕnh trả nhiều tiền nhất cho các thành viên tham gia. Trung b́nh trên một thành viên CASHFIESTA chi trả khoảng 90 USD/tháng và rất nhiều thành viên của CASHFIESTA dễ dàng kiếm được 500-600 USD/tháng.

Chúng ta sử dụng CASHFIESTA như thế nào ?

Chúng ta phải đăng kư là một thành viên của CASHFIESTA và download chương tŕnh CASHFIESTA về máy tính của ḿnh. Mỗi lần chúng ta lên Internets và mở chương tŕnh CASHFIESTA th́ sẽ xuất hiện các mẫu quảng cáo. Mỗi giờ sử dụng internet với CASHFIESTA chúng ta sẽ được trả cao nhất là 1USD ( tương đương 15.800/giờ).

CASHFIESTA thanh toán tiền cho chúng ta như thế nào?

CASHFIESTA thanh toán tiền đến tất cả các quốc gia trên thế giới với h́nh thức chuyển tiền bằng Séc qua thư bảo đảm. Sau khi nhận Sec các bạn cầm CMND ra ngân hàng để rút tiền.

CASHFIESTA lấy tiền ở đâu để thanh toán cho chúng ta ?

CASHFIESTA thu tiền chủ yếu nhờ tiền quảng cáo của các công ty lớn trên thế giới. Chi phí mà CASHFIESTA trả cho chúng ta chỉ là một phần rất nhỏ so với nó kiếm được.

Ban có thể kiếm được bao nhiêu tiền từ CASHFIESTA ?

Có 2 cách kiếm tiền tùy các bạn:

+ Cách 1: nếu các bạn chỉ muốn kiếm thêm tiền để trả tiền Internet và chút đỉnh để tiêu vặt th́ mỗi lần lên Internet bạn chi cần nhớ chạy chương tŕnh CASHFIESTA, mỗi giờ bạn sử dụng Internet bạn phải tốn hết 3000đ/ giờ th́ bạn có thể kiếm lại được từ CASHFIESTA tối đa 10.000đ/h. Nghĩa là bạn được lợi 7000đ/h khi sử dụng Internet. Nếu mỗi ngày chỉ lên Internetểtung b́nh 1 giờ th́ một tháng bạn kiếm được 300.000đ tu CASHFIESTA.

+ Cach 2: Nếu bạn nào thực sự quan tâm đến h́nh thức kiếm thêm thu nhập này và muốn biến nó thành một nguồn thu nhập đáng kể như ḿnh đă làm được th́ ngoài việc sử dụng trực tiếp CASHFIESTA bạn phải giới thiệu CASHFIESTA đến thật nhiều người khác, đảm bảo với các bạn sau vài tháng đầu vất vả, đến tháng thứ 3 các bạn sẽ kiếm được những khoảng thu nhập khôngg nhỏ.

Tại sao kiếm được nhiều như vậy?

V́ CASHFIESTA cho chúng ta hưởng hoa hồng khi giới thiệu thêm người khác sử dụng. VD: Bạn giới thiệu thêm 3 ngừơi sử dụng, 3 người mới giới thiệu thêm 3 người khác

3 người 15% ( hoa hồng cap 1) 3- 9 người 7% (hoa hồng cap 2) 9 -27 người 5% (hoa hồng cap 3) 27- 81 người 4% (hoa hồng cap 4) 81- 243 người 3% (hoa hồng cap 5) 243 -729 người 2% (hoa hồng cap 6) 729- 2187 người 1% (hoa hồng cap 7) 2187- 6561 người 1 % (hoa hồng cap CASHFIESTA trả hoa hồng cho chúng ta chia làm 8 cấp theo tỉ lệ ở bảng trên, số người giới thiệu là không hạn chế như vd trên, như ḿnh cấp 1 thôi hiện giờ cấp 1 150 người, cấp 2 cũng được gần 100 người. Nếu bạn có được số người sử dụng như trên và mọi người chỉ cần lên Internet 1 giờ mỗi ngày th́ tổng số tiền hoa hồng của bạn sẽ khoảng 2413 USD/ tháng. ( cung hap dan phai khong cac ban )

Đăng kư làm thành viên như thế nào ?

Rất đơn giản, trước tiên các bạn vào địa chỉ http://www.cashfiesta.com/php/join.php?ref=fantasy_2004

Sau do (nhan chuot vao chu JOIN TODAY neu co) dien cac thong tin vao mau dang ky:


- Authentication Thông tin + LogTrong: bạn tự chọn, vd: nguyenvu ( bạn phải nhớ tên sử dụng mà bạn chọn để lần sau có thể đăng nhập vào hệ thống để kiểm tra) + Password: bạn tự đặt, ít nhất 6 kư tự + Verify password : xác nhận lại Password bạn vừa đặt

- First, tell us where we can send your checks + First name : Họ và tên đệm + Last name: ghi tên thật ( ban phai ghi ten ho that, can thiet khi nhan tien ) + Street address : ghi địa chỉ nhà, vd 24 Thái Nguyên ( nhớ ghi địa chỉ thật, để CASHFIESTA chuyển SEC nhận tiền ) + City : ghi tên thành phố, vd: Ho Chi Minh, Ha Noi + Zip/postal code : ma vung, neu o HCM ( hoac cac tinh phia Nam) thi ghi la 70000, neu ban o mien Bac hay Ha Noi thi ghi la 20000 + State: not select , không cần chọn, chỉ dùng cho công dân MỸ + Province : ghi tên tỉnh, ở tỉnh nào th́ ghi tên tỉnh đó. + Country: Viet Nam + Email address: ghi dia chi email, ( nho ghi dung dia chi mail cua minh) + Verify Email address : ghi lai dia chi email.

- Now, please tell us more about yourself + Year of birth: năm sinh + Giới tính: male ( nam ) + female (nữ) + Education: chon muc nao cung duoc + Annual household income: less than $ 20000 + Industry: chon muc nao cung duoc + Title: chon muc nao cung duoc + Additional Thông tin: danh dau het ta ca cac muc - Payment Thông tin: hinh thuc thanh toan tien + Preferred check size : chon 50$

- Referral Thông tin: + Referred Bởi: fantasy_2004 ( de minh co the bao lanh cho ban dang ki thanh cong hoac ban co the nghi nhu la minh la người gioi thieu ban voi cong ty). - Danh dau vao muc I have Đọc và understvà the Member Agreement - Nhan vao Submit Registration de hoan tat .

Neu ban thuc hien dung cac buoc va dien day du thong tin se hien len hang chu Congratulation , neu ban ghi chua dung hoac chua day du thi ban phai kiem tra lai cac thong tin da dien, cho nao chua dung no se bao sai bang cac dong chu mau do.

Lam the nao de chay chuong trinh CASHFIESTA?

Sau khi da hoan tat viec dang ky ban vao trang web http://www.cashfiesta.com , vào mục Thành viên nhap username va password vao de dang nhap, khi da vao duoc trang web ban kiem hang chu Download CASHFIESTA va nhan chuot vao do de download CASHFIESTA ve.

HUONG DAN CACH SU DUNG CHUONG TRINH:

Khi ban vao CASHFIESTA se co 1 thanh quang cao hien ra o phia tren cung cua man hinh va trang web cua CASHFIESTA o phia duoi, ban co the tat trang web nay di, chi can thanh CASHFIESTA chay la du. Tren thanh quang cao CASHFIESTA có 1 chú bế đội mũ, mặc quần xanh đang ngồi, ban rê chuột vào là chú bé đứng dậy và đi bộ, như vậy có ngĩa là chương tŕnh đang hoạt động và điểm cua bạn sẽ tăng, nếu chú bé đứng đi bộ và ngồi xuống thi bạn phải rê chuột vào để nó đứng dậy đi tiếp. Ô kế bên POINTS là ô tính điểm của bạn, mỗi một giờ trên internet điểm sẽ tăng khoảng 600 điểm ( 1000 diem duoc 1,666 USD) Tiếp theo là ở ô REFERAL là ô hiện số người bạn giới thiệu được . Ô kế bên là SETTING là ô để chỉnh sửa chương tŕnh CASHFIESTA. Ban muon coi minh duoc bao nhieu diem thi vao SETTING/ACCOUNT/BALANCE.

Tôi ra máy ngoài dịch vụ internet có sử dụng CASHFIES dụng được không?

Được, nếu máy ngoài dịch vụ không cài sẵn chương tŕnh th́ bạn chỉ cần vào http://www.cashfiesta.com và download chương tŕnh về cài vô máy là xong ( chỉ mất khoảng 1 phút ).

Có phải CASHFIESTA sẽ trả tôi 1,666 USD cho 1000 điểm không ?

Đúng voi dieu kien ban phai la thanh vien cua cau lac bo vang GOLD CLUB cua CASHFIESTA. Khi ban chua la thanh vien cua GOLD CLUB thi CASHFIESTA se tra tien cho ban theo 6 cap tuy vao so DANG KY DAC BIET ( Special offer ) ma ban dat duoc, cac Special offer này để chứng tỏ ban co tham gia va quan tam toi CASHFIESTA .

Làm cách nào tôi đặt được các SPECIAL OFFER?

Rat don gian, ban vao trang chu http://www.cashfiesta.com , dang nhap vao account cua minh, nhan chuot vao phan SPECIAL OFFER , ban se thay rat nhieu o quang cao nho o trong trang web, hay lua cac SPECIAL OFFER cho phep dang ky FREE va tren toan the gioi WORLD, ban chi can nhan chuot vao do, mot trang web khac se mo len, ban vao do va dang ky la thanh vien cua trang web do thi coi nhu ban da co duoc 1 SPECIAL OFFER ( luu y la khi dang ky ban phai dang chay chuong trinh CASHFIESTA va khai bao dia chi email giong nhu khai bao email voi CASHFIESTA ). Trong thang 7/2004 co cac SPECIAL OFFER sau dang ky mien phi cac ban hay vao do dang ky: EBAY UK, HOT MAT, SHOPWIDE, AIRLINE co khoang 6,7 cái các bạn kiếm trong đó nha, ḿnh không nhớ hết.

Toi da dang ki SPECIAL OFFER lam sao biet minh co duoc bao nhieu cai?

Ban co the vao trong account cua minh nhan vao phan SPECIAL OFFER DONE , nhung luu y ke tu khi ban dang ky SPECIAL OFFER thi khoang 2 den 4 tuan sau CASHFIESTA moi kiem tra duoc va xac nhan cac SPECIAL OFFER cua minh, va do cung la ly do tai sao CASHFIESTA thanh toan tien cho chung ta trong vong 30 ngay ke tu khi dat duoc 50$ .

Lam sao de tro thanh thanh vien cua GOLD CLUB?:

Muon tro thanh thanh vien cua GOLD CLUB ban phai co duoc 3 dieu kien sau : dang ky duoc 6 SPECIAL OFFER , kiem duoc 10.000 diem thuong tu cac SPECIAL OFFER va dat duoc 133 GPS.

Lam sao kiem duoc diem GPS ?

Moi ngay ban su dung CASHFIESTA khoang 30 phut se duoc 1 GPS, moi ngay neu cac thanh vien cua ban su dung CASHFIESTA va dem lai cho ban 100 points thi ban duoc them 1 GPS , ngoai ra cuoi thang CASHFIESTA se cong cho ban toi da 15 GPS dua vao so thanh vien moi do ban gioi thieu, CASHFIESTA se cong them 15 GPS cho ban dua vao tong thoi gian cac thanh vien cua minh su dung CASHFIESTA. Trung binh 1 thang ban se co the kiem duoc tren 100 GPS.

Tai sao het thang thi diem points cua toi nhay ve so 0?

Ban dung lo cuoi moi thang CASHFIESTA se quyết toan 1 lan va luu lai diem cua ban, dua vao so SPECIAL OFFER cua ban de thanh toan tien cho ban, khi do ban se thay so tien cua ban hien len trong o thang truoc.

Bao gio thi CASHFIESTA thanh toan tien cho toi?

Khi nao trong tai khoan cua ban co du 50 $ thi nut PAYMENT REQUEST se hien len, ban nhap vao nut do de yeu cau thanh toan tien, trong vong tu 2-4 tuan thi tien se ve den Viet Nam ( tru di 2$ tien phi chuyen tien).

Lam sao de toi gioi thieu den moi người ma CASHFIESTA xac nhan duoc do la thanh vien cua toi ?

de CASHFIESTA nhan ra do la thanh vien do ban gioi thieu thi khi ban huong dan moi người dang ky gia nhap CASHFIESTA thi trong phan Referred Bởi: ban phai huong dan ho dien username cua ban. Vi du : username cua toi la fantasy_2004 , thi trong muc + Referred Bởi: ghi fantasy_2004

Lam sao de co the nhanh chong gioi thieu chuong trinh CASHFIESTA den voi nhieu người? ( cái này dựa trên kinh nghiệm của ḿnh):

+ Ban co the vao cac dien dan sinh vien tren internet va dang bai quang cao cho moi người. + Ban co the vao cac phong chat va ru them nhieu người khac. + Ban hay gui bai huong dan nay den nhieu người khac qua email . Lam nhu vay vua nhanh vua hieu qua. Moi người kiem duoc tien, minh cung kiem duoc tien Nhanh len cac ban oi hay click vao day de dang ky ngay lap tuc: http://www.cashfiesta.com/php/join.php?ref=fantasy_2004 ,chúc bạn thành công!
_________________
_________________
Thư





* Hosted for free by InvisionFree