Embed Size (px)
Citation preview
Quản trị mạng
Collection By traibingo
1
Lab 6
XÂY DỰNG VÀ CẤU HÌNH ISA 2006
A - MÔ HÌNH
B- GIỚI THIỆU
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này
giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and
Acceleration 2006 (ISA-2K6)
C- CÁC BƯỚC TRIỂN KHAI
Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng
Windows Server 2003 để triển khai ISA-2K6
Quản trị mạng
Collection By traibingo
2
Các bước triển khai bao gồm :
- Cấu hình thông số TCP/IP và cài đặt ISA-2K6
- Cấu hình các ISA-Clients trong mạng nội bộ
- Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER
- Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch
- Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
- Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
D- TRIỂN KHAI CHI TIẾT
I. Chuẩn bị
Bài lab gồm 5 PC:
Server,VIP,Users,Router và ISA
1. Nâng cấp Domain Controller trên máy Server
B1.Đặt IP Address
Interface
Name
IP Address Subnet Mark Default Gateway Preferred
DNS
Quản trị mạng
Collection By traibingo
3
Lan-3 192.168.3.2 255.255.255.0 192.168.3.1 192.168.3.2
B2.StartRun:DCPROMO
Domain Name:nhatnghe.local
2. Cấu hình Routing trên máy Router
B1.Đặt IP Address cho các Interface
Interface
Name
IP Address Subnet Mark Default Gateway Preferred
DNS
Cross 192.168.5.2 255.255.255.0 Trắng Trắng
Lan-2 192.168.2.1 255.255.255.0 Trắng Trắng
Lan-3 192.168.3.1 255.255.255.0 Trắng Trắng
Lan-4 192.168.4.1 255.255.255.0 Trắng Trắng
B2.Enable Lan Routing
StartProgramsAdministrative ToolsRouting and Remote Access
Quản trị mạng
Collection By traibingo
4
B3.Tạo Static Route
Quản trị mạng
Collection By traibingo
5
Quản trị mạng
Collection By traibingo
6
3. Join domain các máy VIP,USERS vào nhatnghe.local
B1. IP Address
PC IP Address Subnet Mark Default Gateway Preferred
DNS
VIP 192.168.2.2 255.255.255.0 192.168.2.1 192.168.3.2
Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2
B2.My ComputerPropertiesTab Computer NameClick Change
Member Of Domain: nhatnghe.local
II. Cài đặt ISA Server 2006 trên máy ISA
1.Cấu hình Route trên máy ISA
B1.Đặt IP Address
Quản trị mạng
Collection By traibingo
7
Interface
Name
IP Address Subnet Mark Default Gateway Preferred
DNS
Cross 192.168.5.1 255.255.255.0 Trắng 192.168.3.2
Lan 192.168.1.2 255.255.255.0 Trắng Trắng
B2. Tạo các route
Start\Run:CMD.
*Nhập các lệnh tạo route sau:
Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
*Để xem Routing Table, nhập lệnh
route print
Quản trị mạng
Collection By traibingo
8
2.Cài đặt ISA Server
Từ Source ISA2006 chạy file:ISAAutorun.exe
Quản trị mạng
Collection By traibingo
9
Quản trị mạng
Collection By traibingo
10
Quản trị mạng
Collection By traibingo
11
Quản trị mạng
Collection By traibingo
12
Quản trị mạng
Collection By traibingo
13
Quản trị mạng
Collection By traibingo
14
Quản trị mạng
Collection By traibingo
15
Quản trị mạng
Collection By traibingo
16
Quản trị mạng
Collection By traibingo
17
Quản trị mạng
Collection By traibingo
18
Quản trị mạng
Collection By traibingo
19
Quản trị mạng
Collection By traibingo
20
Quản trị mạng
Collection By traibingo
21
Quản trị mạng
Collection By traibingo
22
3.Cài đặt Firewall client trên cácmáy SERVER,VIP,USERS
Từ source ISA2006ClientChạy file: ISACient.exe
Quản trị mạng
Collection By traibingo
23
Quản trị mạng
Collection By traibingo
24
Quản trị mạng
Collection By traibingo
25
Quản trị mạng
Collection By traibingo
26
Quản trị mạng
Collection By traibingo
27
Quản trị mạng
Collection By traibingo
28
III.Cấu hình Access Rules
1.Cho phân giải tên miền DNS
Quản trị mạng
Collection By traibingo
29
Quản trị mạng
Collection By traibingo
30
Quản trị mạng
Collection By traibingo
31
Quản trị mạng
Collection By traibingo
32
Quản trị mạng
Collection By traibingo
33
Quản trị mạng
Collection By traibingo
34
Quản trị mạng
Collection By traibingo
35
Quản trị mạng
Collection By traibingo
36
2. Cho PC VIP và Users được gửi nhận mail từ internet
B1.Định nghĩa VIP,Users
Quản trị mạng
Collection By traibingo
37
Quản trị mạng
Collection By traibingo
38
Quản trị mạng
Collection By traibingo
39
B2.Tạo Access rule
Quản trị mạng
Collection By traibingo
40
Quản trị mạng
Collection By traibingo
41
Quản trị mạng
Collection By traibingo
42
Quản trị mạng
Collection By traibingo
43
Quản trị mạng
Collection By traibingo
44
Quản trị mạng
Collection By traibingo
45
Quản trị mạng
Collection By traibingo
46
Quản trị mạng
Collection By traibingo
47
3. Cho PC Users đựoc truy cập trang nhatnghe.com trong giờ làm việc (8hAM-4hPM
từ Thứ 2 đến Thứ 6)
B1.Định nghĩa “Trang nhatnghe.com”
Quản trị mạng
Collection By traibingo
48
Quản trị mạng
Collection By traibingo
49
B2.Định nghĩa “Giờ làm việc”
Quản trị mạng
Collection By traibingo
50
B3.Tạo Access Rule
Quản trị mạng
Collection By traibingo
51
Quản trị mạng
Collection By traibingo
52
Quản trị mạng
Collection By traibingo
53
Quản trị mạng
Collection By traibingo
54
Quản trị mạng
Collection By traibingo
55
Quản trị mạng
Collection By traibingo
56
Quản trị mạng
Collection By traibingo
57
Quản trị mạng
Collection By traibingo
58
Quản trị mạng
Collection By traibingo
59
Quản trị mạng
Collection By traibingo
60
4. Cho PC VIP truy cập internet không hạn chế.
Quản trị mạng
Collection By traibingo
61
Quản trị mạng
Collection By traibingo
62
Quản trị mạng
Collection By traibingo
63
Quản trị mạng
Collection By traibingo
64
Quản trị mạng
Collection By traibingo
65
Quản trị mạng
Collection By traibingo
66
Quản trị mạng
Collection By traibingo
67
Quản trị mạng
Collection By traibingo
68
Quản trị mạng
Collection By traibingo
69
5. Cho Users truy cập internet không hạn chế trong giờ giải lao(10hAM-2hPM)
B1.Định nghĩa “Giờ giải lao”
Quản trị mạng
Collection By traibingo
70
B2. Tạo Access Rule
Quản trị mạng
Collection By traibingo
71
Quản trị mạng
Collection By traibingo
72
Quản trị mạng
Collection By traibingo
73
Quản trị mạng
Collection By traibingo
74
Quản trị mạng
Collection By traibingo
75
Quản trị mạng
Collection By traibingo
76
Quản trị mạng
Collection By traibingo
77
B3. Properties Rule “Gio giai lao”
Quản trị mạng
Collection By traibingo
78
Quản trị mạng
Collection By traibingo
79
Quản trị mạng
Collection By traibingo
80
6. Chỉ cho Users đọc chữ, không cho xem hình,xem phim,nghe nhạc…
Quản trị mạng
Collection By traibingo
81
Quản trị mạng
Collection By traibingo
82
Quản trị mạng
Collection By traibingo
83
7. Cấm tất cả users truy cập trang ngoisao.net,nếu users truy cập trang này thì redirect về
trang nhatnghe.com.
B1.Định nghĩa URL “ngoisao.net
ToolboxNetwork ObjectNew URL Set
Quản trị mạng
Collection By traibingo
84
B2.Tạo Access Rule
Quản trị mạng
Collection By traibingo
85
Quản trị mạng
Collection By traibingo
86
Quản trị mạng
Collection By traibingo
87
Quản trị mạng
Collection By traibingo
88
Quản trị mạng
Collection By traibingo
89
Quản trị mạng
Collection By traibingo
90
Quản trị mạng
Collection By traibingo
91
Quản trị mạng
Collection By traibingo
92
B3.Properties Rule ”Cam Ngoisao.net”
Quản trị mạng
Collection By traibingo
93
Quản trị mạng
Collection By traibingo
94
Quản trị mạng
Collection By traibingo
95
Quản trị mạng
Collection By traibingo
96
IV.Cấu hình HTTP Filter
Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file
exe,vbs
Quản trị mạng
Collection By traibingo
97
Quản trị mạng
Collection By traibingo
98
Quản trị mạng
Collection By traibingo
99
Quản trị mạng
Collection By traibingo
100
Quản trị mạng
Collection By traibingo
101
Quản trị mạng
Collection By traibingo
102
V.Cấu hình Intrusion Detection
Để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
B1.Enable Intrusion Detection
Quản trị mạng
Collection By traibingo
103
Quản trị mạng
Collection By traibingo
104
B2:Thiết lập Action
Quản trị mạng
Collection By traibingo
105
Quản trị mạng
Collection By traibingo
106
Quản trị mạng
Collection By traibingo
107
VI.Report
-Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
Chọn MonitoringTab ReportsClick “Generate a New Report”
Quản trị mạng
Collection By traibingo
108
Quản trị mạng
Collection By traibingo
109
Quản trị mạng
Collection By traibingo
110
Quản trị mạng
Collection By traibingo
111
Quản trị mạng
Collection By traibingo
112
Quản trị mạng
Collection By traibingo
113
Quản trị mạng
Collection By traibingo
114
Quản trị mạng
Collection By traibingo
115
