Xây dựng và cấu hình isa 2006

XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 1/79 LAB: XÂY DỰNG VÀ CẤU HÌNH ISA 2006 A - MÔ HÌNH B- GIỚI THIỆU Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như : - Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet - Ngăn chặn các tấn công, thâm nhập trái phép từ Internet Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft :Internet Security and Acceleration 2006 (ISA-2K6) C- CÁC BƯỚC TRIỂN KHAI Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6 Các bước triển khai bao gồm : - Cấu hình thông số TCP/IP và cài đặt ISA-2K6 - Cấu hình các ISA-Clients trong mạng nội bộ - Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER - Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch - Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet - Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6 D- TRIỂN KHAI CHI TIẾT I. Chuẩn bị Bài lab gồm 5 PC: Server,VIP,Users,Router và ISA 1. Nâng cấp Domain Controller trên máy Server XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 2/79 B1.Đặt IP Address Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Lan-3 192.168.3.2 255.255.255.0 192.168.3.1 192.168.3.2 B2.StartRun:DCPROMO Domain Name:nhatnghe.local 2. Cấu hình Routing trên máy Router B1.Đặt IP Address cho các Interface Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Cross 192.168.5.2 255.255.255.0 Trắng Trắng Lan-2 192.168.2.1 255.255.255.0 Trắng Trắng Lan-3 192.168.3.1 255.255.255.0 Trắng Trắng Lan-4 192.168.4.1 255.255.255.0 Trắng Trắng B2.Enable Lan Routing StartProgramsAdministrative ToolsRouting and Remote Access XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 3/79 B3.Tạo Static Route XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 4/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 5/79 3. Join domain các máy VIP,USERS vào nhatnghe.local B1. IP Address PC IP Address Subnet Mark Default Gateway Preferred DNS VIP 192.168.2.2 255.255.255.0 192.168.2.1 192.168.3.2 Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2 B2.My ComputerPropertiesTab Computer NameClick Change Member Of Domain: nhatnghe.local II. Cài đặt ISA Server 2006 trên máy ISA 1.Cấu hình Route trên máy ISA B1.Đặt IP Address Interface Name IP Address Subnet Mark Default Gateway Preferred DNS Cross 192.168.5.1 255.255.255.0 Trắng 192.168.3.2 Lan 192.168.1.2 255.255.255.0 Trắng Trắng B2. Tạo các route Start\Run:CMD. *Nhập các lệnh tạo route sau: Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1 Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1 *Để xem Routing Table, nhập lệnh route print XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 6/79 2.Cài đặt ISA Server Từ Source ISA2006 chạy file:ISAAutorun.exe XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 7/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 8/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 9/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 10/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 11/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 12/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 13/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 14/79 3.Cài đặt Firewall client trên cácmáy SERVER,VIP,USERS Từ source ISA2006ClientChạy file: ISACient.exe XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 15/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 16/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 17/79 III.Cấu hình Access Rules 1.Cho phân giải tên miền DNS XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 18/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 19/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 20/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 21/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 22/79 2. Cho PC VIP và Users được gửi nhận mail từ internet B1.Định nghĩa VIP,Users XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 23/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 24/79 B2.Tạo Access rule XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 25/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 26/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 27/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 28/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 29/79 3. Cho PC Users đựoc truy cập trang nhatnghe.com trong giờ làm việc (8hAM-4hPM từ Thứ 2 đến Thứ 6) B1.Định nghĩa “Trang nhatnghe.com” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 30/79 B2.Định nghĩa “Giờ làm việc” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 31/79 B3.Tạo Access Rule XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 32/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 33/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 34/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 35/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 36/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 37/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 38/79 4. Cho PC VIP truy cập internet không hạn chế. XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 39/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 40/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 41/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 42/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 43/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 44/79 5. Cho Users truy cập internet không hạn chế trong giờ giải lao(10hAM- 2hPM) B1.Định nghĩa “Giờ giải lao” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 45/79 B2. Tạo Access Rule XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 46/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 47/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 48/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 49/79 B3. Properties Rule “Gio giai lao” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 50/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 51/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 52/79 6. Chỉ cho Users đọc chữ, không cho xem hình,xem phim,nghe nhạc XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 53/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 54/79 7. Cấm tất cả users truy cập trang ngoisao.net,nếu users truy cập trang này thì redirect về trang nhatnghe.com. B1.Định nghĩa URL “ngoisao.net ToolboxNetwork ObjectNew URL Set XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 55/79 B2.Tạo Access Rule XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 56/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 57/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 58/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 59/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 60/79 B3.Properties Rule ”Cam Ngoisao.net” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 61/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 62/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 63/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 64/79 IV.Cấu hình HTTP Filter Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 65/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 66/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 67/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 68/79 V.Cấu hình Intrusion Detection Để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet B1.Enable Intrusion Detection XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 69/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 70/79 B2:Thiết lập Action XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 71/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 72/79 VI.Report -Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6 Chọn MonitoringTab ReportsClick “Generate a New Report” XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 73/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 74/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 75/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 76/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 77/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 78/79 XÂY DỰNG VÀ CẤU HÌNH ISA 2006 Trang 79/79