XÂY DỰNG VÀ CẤU HÌNH ISA 2006
A - MÔ HÌNH
http://nhatnghe.com/tailieu/nnlab/Ba...s/image001.jpg
B- GIỚI THIỆU
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
-Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
-Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft :
Internet Security and Acceleration 2006 (ISA-2K6)
C- CÁC BƯỚC TRIỂN KHAI
Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6
Các bước triển khai bao gồm :
-Cấu hình thông số TCP/IP và cài đặt ISA-2K6
-Cấu hình các ISA-Clients trong mạng nội bộ
-Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER
-Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch
-Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
-Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
D- TRIỂN KHAI CHI TIẾT
I. Chuẩn bị
Bài lab gồm 5 PC:
Server,VIP,Users,Router và ISA
1. Nâng cấp Domain Controller trên máy Server
B1.Đặt IP Address
192.168.3.2
255.255.255.0
B2.Start
àRun:
DCPROMO
Domain Name:
nhatnghe.local
2. Cấu hình Routing trên máy Router
B1.Đặt IP Address cho các Interface
192.168.5.2
255.255.255.0
192.168.2.1
255.255.255.0
192.168.3.1
255.255.255.0
192.168.4.1
255.255.255.0
B2.Enable Lan Routing
Start
àPrograms
àAdministrative Tools
àRouting and Remote Access
http://nhatnghe.com/tailieu/nnlab/Ba...s/image002.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image003.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image004.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image005.jpg
B3.Tạo Static Route
http://nhatnghe.com/tailieu/nnlab/Ba...s/image006.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image007.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image008.jpg
3. Join domain các máy VIP,USERS vào nhatnghe.local
B1. IP Address
192.168.2.2
255.255.255.0
192.168.4.2
255.255.255.0
B2.My Computer
àProperties
àTab Computer Name
àClick Change
Member Of Domain:
nhatnghe.local
II. Cài đặt ISA Server 2006 trên máy ISA
1.Cấu hình Route trên máy ISA
B1.Đặt IP Address
192.168.5.1
255.255.255.0
192.168.1.2
255.255.255.0
B2. Tạo các route
Start\Run:
CMD.
*Nhập các lệnh tạo route sau:
Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
*Để xem Routing Table, nhập lệnh
route print
http://nhatnghe.com/tailieu/nnlab/Ba...s/image009.jpg
2.Cài đặt ISA Server
Từ Source ISA2006
à chạy file:ISAAutorun.exe
http://nhatnghe.com/tailieu/nnlab/Ba...s/image010.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image011.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image012.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image013.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image014.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image015.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image016.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image017.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image018.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image019.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image020.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image021.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image022.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image023.jpg
3.Cài đặt Firewall client trên cácmáy SERVER,VIP,USERS
Từ source ISA2006
àClient
àChạy file: ISACient.exe
http://nhatnghe.com/tailieu/nnlab/Ba...s/image024.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image025.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image026.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image027.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image028.jpg
III.Cấu hình Access Rules
1.Cho phân giải tên miền DNS
http://nhatnghe.com/tailieu/nnlab/Ba...s/image029.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image030.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image031.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image032.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image033.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image034.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image036.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image037.jpg
2. Cho PC VIP và Users được gửi nhận mail từ internet
B1.Định nghĩa VIP,Users
http://nhatnghe.com/tailieu/nnlab/Ba...s/image038.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image039.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image040.jpg
B2.Tạo Access rule
http://nhatnghe.com/tailieu/nnlab/Ba...s/image041.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image031.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image042.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image033.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image034.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image043.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image044.jpg
3. Cho PC Users đựoc truy cập trang nhatnghe.com trong giờ làm việc (8hAM-4hPM từ Thứ 2 đến Thứ 6)
B1.Định nghĩa “Trang nhatnghe.com”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image045.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image046.jpg
B2.Định nghĩa “Giờ làm việc”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image047.jpg
B3.Tạo Access Rule
http://nhatnghe.com/tailieu/nnlab/Ba...s/image048.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image031.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image049.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image050.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image051.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image052.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image053.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image054.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image055.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image056.jpg
4. Cho PC VIP truy cập internet không hạn chế.
http://nhatnghe.com/tailieu/nnlab/Ba...s/image057.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image031.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image049.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image058.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image059.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image034.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image060.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image061.jpg
5. Cho Users truy cập internet không hạn chế trong giờ giải lao(10hAM-2hPM)
B1.Định nghĩa “Giờ giải lao”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image062.jpg
B2. Tạo Access Rule
http://nhatnghe.com/tailieu/nnlab/Ba...s/image063.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image064.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image065.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image066.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image067.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image034.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image068.jpg
B3. Properties Rule “Gio giai lao”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image069.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image070.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image071.jpg
6. Chỉ cho Users đọc chữ, không cho xem hình,xem phim,nghe nhạc…
http://nhatnghe.com/tailieu/nnlab/Ba...s/image072.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image073.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image074.jpg
7. Cấm tất cả users truy cập trang ngoisao.net,nếu users truy cập trang này thì redirect về trang nhatnghe.com.
B1.Định nghĩa URL “ngoisao.net
Toolbox
àNetwork Object
àNew URL Set
http://nhatnghe.com/tailieu/nnlab/Ba...s/image075.jpg
B2.Tạo Access Rule
http://nhatnghe.com/tailieu/nnlab/Ba...s/image076.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image077.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image049.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image033.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image078.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image079.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image035.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image080.jpg
B3.Properties Rule ”Cam Ngoisao.net”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image081.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image082.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image083.jpg
IV.Cấu hình HTTP Filter
Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs
http://nhatnghe.com/tailieu/nnlab/Ba...s/image084.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image085.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image086.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image087.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image088.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image089.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image090.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image091.jpg
V.Cấu hình Intrusion Detection
Để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
B1.Enable Intrusion Detection
http://nhatnghe.com/tailieu/nnlab/Ba...s/image092.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image093.jpg
B2:Thiết lập Action
http://nhatnghe.com/tailieu/nnlab/Ba...s/image094.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image095.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image096.jpg
VI.Report
-Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
Chọn Monitoring
àTab Reports
àClick “Generate a New Report”
http://nhatnghe.com/tailieu/nnlab/Ba...s/image097.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image098.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image099.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image100.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image101.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image102.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image103.jpg
http://nhatnghe.com/tailieu/nnlab/Ba...s/image104.jpg