ISA-Server (Firewall y Proxy)

5/9/2018 ISA-Server (Firewall y Proxy) - slidepdf.com

http://slidepdf.com/reader/full/isa-server-firewall-y-proxy 1/34

Firewall y Proxy con ISA Server

Trabajo Realizado por:

Yonatan Gallego Durango

Tutor

Mauricio Ortiz

Administración de redes Sena

(Cesge)

2011



Simulación en Virtual-Box

En esta practica se instalara y configurara ISA server como firewall y proxy para un

esquema así:

LAN (interna) = windows XPIP 192.168.100.3/24

DMZ (perimetro) = CentOS

IP 192.168.110.3/24

Servicios (Dns, Ftp, Http)

ISA-Server (Firewall y proxy) = Windows Server 2003

IP LAN 192.168.100.1/24 (gateway)IP DMZ 192.168.110.1/24 (gateway)

IP WAN (Obtenida por el DHCP publico)

por medio de esta interface podra tener acceso a internet la LAN y la DMZ

ISA-Server: Microsoft Internet Security and Acceleration Server

es un firewall de red,VPN y web cache diseñado para estructuras microsoft.



Instalando ISA-server en Windows Server 2003

Antes de instalar la maquina deber tener 3 tarjetas de red, de las cuales 2 serán los

gateways de la LAN y la DMZ para proporcionarles el acceso a internet; la otra sera por

la cual se obtendrá el acceso.

Después de haber configurado las 3 interfaces se obtendrá algo así

>ipconfig



instalamos ISA-server



Aceptamos los términos

Creamos un nombre de usuario y una organización (cualquiera)



Seleccionamos la instalación de botheo la 3ra



creamos una nueva configuración de ISA server



damos en adicionar

escogemos un rango de dirección ip



seleccionamos la LAN

verificamos que el rango de direcciones sea el correcto



seguimos con la instalación



esperamos que finalice la instalación de ISA-server



a terminado la instalación de ISA-server, ahora procedemos a configurar las reglas denateo, firewall y proxy.



Inicio, todos los programas, Microsoft ISA Server

desplegamos las opciones del panel izquierdo



nos paramos en networks, escogemos la segunda topologia que contendra LAN, DMZ y

WAN

seguimos el asistente



damos en addicionar para seleccionar la primera red que sera la LAN



verificamos que el rango de LAN sea el correcto y procedemos

así mismo para la DMZ



activamos la política de “Denegar todo” por defecto para comenzar a permitir los

protocolos y puertos deseados

Finalizamos el asistente



configurada la topología requerida procedemos a crear una regla de NAT para que la

DMZ y la LAN puedan salir a internet.



Necesitamos que las redes de origen sean la LAN (internal) y la DMZ (perimetro) y la

red de destino sea la WAN (external), nos debe quedar como la regla seleccionada.

Firewall

Vamos a las politicas de firewall para comenzar a crear las reglas.



Pasamos al panel derecho y creamos una nueva Access Rule

ponemos un nombre a la regla



la acción para la regla sera permitir

seleccionaremos los protocolos dando click en “Add..” y en “All protocols”



seleccionamos Http y Https para la regla de web, que en conclusión se permitirá este

protocolo.

Red de origen “internal”



Red de destino la external y el perimetro

que se aplique la regla para todos los usuarios



finalizamos y se ha creado la regla

así nos debe de quedar la regla

así mismo crearemos todas las reglas para los demás protocolos que deseemos permitir,

recordando que la regla por defecto es denegar.



Proxy

para esta regla de proxy filtrare desde un rango de IP, unas Urls especificadas para todos

los usuarios.

Creamos o definimos el rango de IP que deseemos filtrar.



Creamos al archivo de URL'S que deseemos filtrar

agregamos las direcciones URL'S a filtrar



despues de haber creado los archivos de “IP denegadas” y “URL'S denegadas”

creamos la regla para el filtrado.

-creamos una Access Rule

- colocamos un nombre



denegamos la acción

seleccionamos los protocolos



http y https

el origen sera el archivo IP creado anteriormente



-el destino sera las URLS denegadas

-que se aplique para todos los usuarios



finalizamos al asistente.

Asi debe quedar la regla



Filtrando por Tiempo

para filtrar por horario creamos el en “Schedules” la configuración de hora para cada

día de la semana.

- damos en nuevo y le colocamos un nombre

colocamos un nombre de nuevo, puede ser el anterior o uno distinto y editamos la hora

que filtraremos para cada día, en este ejemplo se esta filtrando de lunes a viernes de

6 am hasta las 2 pm el acceso a internet para todos los usuarios.



Nos paramos sobre la regla creada y damos en propiedades.

en schedule buscamos el la configuración antes creada llamada HORARIO WORK y

aceptamos.



Aplicamos los cambios

hacemos la prueba, nos conectamos desde la LAN (internal) a internet a una hora dentro

de la filtrada, es importante tener configuradas las horas del servidor (ISA-server), la de

la LAN y la DMZ.

Desde el browser intentamos ingresar a google.com, nos debe aparecer un anuncio de

denegación como este.

Eso es todo.

Documents

ISA-Server (Firewall y Proxy)