Lab Xây dựng và cấu hình ISA 2006

Quản trị mạng Collection By traibingo 1 Lab 6 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 A - MÔ HÌNH B- GIỚI THIỆU Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như : - Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet - Ngăn chặn các tấn công, thâm nhập trái phép từ Internet Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6) C- CÁC BƯỚC TRIỂN KHAI Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6 Quản trị mạng Collection By traibingo 2 Các bước triển khai bao gồm : - Cấu hình thông số TCP/IP và cài đặt ISA-2K6 - Cấu hình các ISA-Clients trong mạng nội bộ - Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER - Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch - Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet - Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6 D- TRIỂN KHAI CHI TIẾT I. Chuẩn bị Bài lab gồm 5 PC: Server,VIP,Users,Router và ISA 1. Nâng cấp Domain Controller trên máy Server B1.Đặt IP Address Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Quản trị mạng Collection By traibingo 3 Lan-3 192.168.3.2 255.255.255.0 192.168.3.1 192.168.3.2 B2.StartRun:DCPROMO Domain Name:nhatnghe.local 2. Cấu hình Routing trên máy Router B1.Đặt IP Address cho các Interface Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Cross 192.168.5.2 255.255.255.0 Trắng Trắng Lan-2 192.168.2.1 255.255.255.0 Trắng Trắng Lan-3 192.168.3.1 255.255.255.0 Trắng Trắng Lan-4 192.168.4.1 255.255.255.0 Trắng Trắng B2.Enable Lan Routing StartProgramsAdministrative ToolsRouting and Remote Access Quản trị mạng Collection By traibingo 4 B3.Tạo Static Route Quản trị mạng Collection By traibingo 5 Quản trị mạng Collection By traibingo 6 3. Join domain các máy VIP,USERS vào nhatnghe.local B1. IP Address PC IP Address Subnet Mark Default Gateway Preferred DNS VIP 192.168.2.2 255.255.255.0 192.168.2.1 192.168.3.2 Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2 B2.My ComputerPropertiesTab Computer NameClick Change Member Of Domain: nhatnghe.local II. Cài đặt ISA Server 2006 trên máy ISA 1.Cấu hình Route trên máy ISA B1.Đặt IP Address Quản trị mạng Collection By traibingo 7 Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Cross 192.168.5.1 255.255.255.0 Trắng 192.168.3.2 Lan 192.168.1.2 255.255.255.0 Trắng Trắng B2. Tạo các route Start\Run:CMD. *Nhập các lệnh tạo route sau: Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1 *Để xem Routing Table, nhập lệnh route print Quản trị mạng Collection By traibingo 8 2.Cài đặt ISA Server Từ Source ISA2006 chạy file:ISAAutorun.exe Quản trị mạng Collection By traibingo 9 Quản trị mạng Collection By traibingo 10 Quản trị mạng Collection By traibingo 11 Quản trị mạng Collection By traibingo 12 Quản trị mạng Collection By traibingo 13 Quản trị mạng Collection By traibingo 14 Quản trị mạng Collection By traibingo 15 Quản trị mạng Collection By traibingo 16 Quản trị mạng Collection By traibingo 17 Quản trị mạng Collection By traibingo 18 Quản trị mạng Collection By traibingo 19 Quản trị mạng Collection By traibingo 20 Quản trị mạng Collection By traibingo 21 Quản trị mạng Collection By traibingo 22 3.Cài đặt Firewall client trên cácmáy SERVER,VIP,USERS Từ source ISA2006ClientChạy file: ISACient.exe Quản trị mạng Collection By traibingo 23 Quản trị mạng Collection By traibingo 24 Quản trị mạng Collection By traibingo 25 Quản trị mạng Collection By traibingo 26 Quản trị mạng Collection By traibingo 27 Quản trị mạng Collection By traibingo 28 III.Cấu hình Access Rules 1.Cho phân giải tên miền DNS Quản trị mạng Collection By traibingo 29 Quản trị mạng Collection By traibingo 30 Quản trị mạng Collection By traibingo 31 Quản trị mạng Collection By traibingo 32 Quản trị mạng Collection By traibingo 33 Quản trị mạng Collection By traibingo 34 Quản trị mạng Collection By traibingo 35 Quản trị mạng Collection By traibingo 36 2. Cho PC VIP và Users được gửi nhận mail từ internet B1.Định nghĩa VIP,Users Quản trị mạng Collection By traibingo 37 Quản trị mạng Collection By traibingo 38 Quản trị mạng Collection By traibingo 39 B2.Tạo Access rule Quản trị mạng Collection By traibingo 40 Quản trị mạng Collection By traibingo 41 Quản trị mạng Collection By traibingo 42 Quản trị mạng Collection By traibingo 43 Quản trị mạng Collection By traibingo 44 Quản trị mạng Collection By traibingo 45 Quản trị mạng Collection By traibingo 46 Quản trị mạng Collection By traibingo 47 3. Cho PC Users đựoc truy cập trang nhatnghe.com trong giờ làm việc (8hAM-4hPM từ Thứ 2 đến Thứ 6) B1.Định nghĩa “Trang nhatnghe.com” Quản trị mạng Collection By traibingo 48 Quản trị mạng Collection By traibingo 49 B2.Định nghĩa “Giờ làm việc” Quản trị mạng Collection By traibingo 50 B3.Tạo Access Rule Quản trị mạng Collection By traibingo 51 Quản trị mạng Collection By traibingo 52 Quản trị mạng Collection By traibingo 53 Quản trị mạng Collection By traibingo 54 Quản trị mạng Collection By traibingo 55 Quản trị mạng Collection By traibingo 56 Quản trị mạng Collection By traibingo 57 Quản trị mạng Collection By traibingo 58 Quản trị mạng Collection By traibingo 59 Quản trị mạng Collection By traibingo 60 4. Cho PC VIP truy cập internet không hạn chế. Quản trị mạng Collection By traibingo 61 Quản trị mạng Collection By traibingo 62 Quản trị mạng Collection By traibingo 63 Quản trị mạng Collection By traibingo 64 Quản trị mạng Collection By traibingo 65 Quản trị mạng Collection By traibingo 66 Quản trị mạng Collection By traibingo 67 Quản trị mạng Collection By traibingo 68 Quản trị mạng Collection By traibingo 69 5. Cho Users truy cập internet không hạn chế trong giờ giải lao(10hAM-2hPM) B1.Định nghĩa “Giờ giải lao” Quản trị mạng Collection By traibingo 70 B2. Tạo Access Rule Quản trị mạng Collection By traibingo 71 Quản trị mạng Collection By traibingo 72 Quản trị mạng Collection By traibingo 73 Quản trị mạng Collection By traibingo 74 Quản trị mạng Collection By traibingo 75 Quản trị mạng Collection By traibingo 76 Quản trị mạng Collection By traibingo 77 B3. Properties Rule “Gio giai lao” Quản trị mạng Collection By traibingo 78 Quản trị mạng Collection By traibingo 79 Quản trị mạng Collection By traibingo 80 6. Chỉ cho Users đọc chữ, không cho xem hình,xem phim,nghe nhạc… Quản trị mạng Collection By traibingo 81 Quản trị mạng Collection By traibingo 82 Quản trị mạng Collection By traibingo 83 7. Cấm tất cả users truy cập trang ngoisao.net,nếu users truy cập trang này thì redirect về trang nhatnghe.com. B1.Định nghĩa URL “ngoisao.net ToolboxNetwork ObjectNew URL Set Quản trị mạng Collection By traibingo 84 B2.Tạo Access Rule Quản trị mạng Collection By traibingo 85 Quản trị mạng Collection By traibingo 86 Quản trị mạng Collection By traibingo 87 Quản trị mạng Collection By traibingo 88 Quản trị mạng Collection By traibingo 89 Quản trị mạng Collection By traibingo 90 Quản trị mạng Collection By traibingo 91 Quản trị mạng Collection By traibingo 92 B3.Properties Rule ”Cam Ngoisao.net” Quản trị mạng Collection By traibingo 93 Quản trị mạng Collection By traibingo 94 Quản trị mạng Collection By traibingo 95 Quản trị mạng Collection By traibingo 96 IV.Cấu hình HTTP Filter Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs Quản trị mạng Collection By traibingo 97 Quản trị mạng Collection By traibingo 98 Quản trị mạng Collection By traibingo 99 Quản trị mạng Collection By traibingo 100 Quản trị mạng Collection By traibingo 101 Quản trị mạng Collection By traibingo 102 V.Cấu hình Intrusion Detection Để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet B1.Enable Intrusion Detection Quản trị mạng Collection By traibingo 103 Quản trị mạng Collection By traibingo 104 B2:Thiết lập Action Quản trị mạng Collection By traibingo 105 Quản trị mạng Collection By traibingo 106 Quản trị mạng Collection By traibingo 107 VI.Report -Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6 Chọn MonitoringTab ReportsClick “Generate a New Report” Quản trị mạng Collection By traibingo 108 Quản trị mạng Collection By traibingo 109 Quản trị mạng Collection By traibingo 110 Quản trị mạng Collection By traibingo 111 Quản trị mạng Collection By traibingo 112 Quản trị mạng Collection By traibingo 113 Quản trị mạng Collection By traibingo 114 Quản trị mạng Collection By traibingo 115