Upload
hong-nguyen
View
229
Download
2
Embed Size (px)
DESCRIPTION
Cài đặt cấu hình ISA 2004
Citation preview
Cài Đặt ISA 2004
I. Giới thiệu:
Hệ thống gồm 2 máy (máy chẳn, máy lẻ). Máy lẻ đóng vai trò Firewall, máy chẳn vừa làm Domain controller vừa làm Workstation để test.
Bài Lab gồm những thao tác chính sau:1. Nâng cấp máy chẳn lên Domain2. Cài ISA 2004 và ISA 2004 Service Pack 13. Tạo Rule để kiểm tra đường truyền4. Khảo sát các loại Client5. Auto Discovery: Cấu hình tự động cho Workstation6. Cài đặt ISA Management trên Workstation để có thể quản lý ISA 2004 từ
xa
II. Thực hiệnQui ước:
- P: số phòng- X: số nhóm (X: số máy lẻ)
Card LAN Card Cross
Máy lẻIP 192.168.P.X / 24 172.16.X.1 / 24GW 192.168.P.200 TrắngDNS Trắng 172.16.X.2
Máy chẳnIP
Disable172.16.X.2 / 24
GW 172.16.X.1DNS 172.16.X.2
1. Nâng cấp máy chẳn lên Domain:
Nâng cấp máy chẳn lên Domain Controller. Đặt tên Domain: NhomX.com
2. Cài ISA 2004 và ISA 2004 Service Pack 1:
Thực hiện tại máy lẻ:
B1: Join vào DomainB2: Logon bằng Domain Admin
B3: Disable những dịch vu không dùng đến trên card LAN:
Bỏ File and Printer Sharing For Microsoft Networks
Bỏ Client For Microsoft Networks
B4: Disable NetBIOS over TCP/IP trên card LAN:
Trong phần chỉnh IP è Advance è WINS è Diasble NetBIOS Over TCP/IP
B5: Chạy Auto Run của bộ phần mềm ISA è Install ISA 2004.
Trả lời các câu hỏi về bàn quyền, số CD key …
B6: Chọn Custom Setup
B7: Chọn Firewall ServiceISA
ManagementFirewall Client
Install Share
Không chọn Message Screener
è Next
B8: Khai báo địa chị cho “Internal Network”
Chọn “Add”
B9: Khai báo phạm vi địa chỉ sau172.16.X.0 – 172.16.X.255
B10: chọn các giá trị mặc định để hoàn tất quá trình cài đặt
B11: Cài ISA 2004 Service pack 1
Khỏi động lại máy.
3. Tạo Rule để kiểm tra đường truyền:
Thực hiện tại máy chẳn
B1: Mở ISA Management è Firewall Policy è Click nút phải chuột è New è Access Rule
B2: Đặt tên Rule: Internet è Next
B3: Action chọn Allow è Next
B4: Protocol chọn All outbound Traffic è Next
B5: Source è Add è Internal è Next
B6: Destination è Add è External è Next
B7: User Set è All Users
B8: Finish
B9: Apply
4. Các loại Client:
A - Secure NAT:Thực hiện tại máy chẳn
B1: Đặt Default gateway về máy lẻ
(172.16.X.1)
B2: Thử truy cập internet
B – Proxy:
Thực hiện tại máy lẻ
B1: Đặt giá trị Prefer DNS cho card LAN: 210.245.31.130
Thực hiện tại máy chẳn
B2: Bỏ trắng Default Gateway
B3: Mở IE è Tools è Internet Options è Connections è LAN Settings
Điền địa chỉ 172.16.X.1 vào ô address
Điền giá trị 8080 vào ô portè OK
Truy cập thử Internet
Bỏ Prefer DNS thực hiện ở B1
Bỏ Proxy seting thực hiện ở B3
C – Firewall Client
Thực hiện tại máy chẳn
B1: Truy cập vào máy lẻ (\\172.16.X.1)
Mở thư mục “mspclnt” è Setup
Chọn các thông số mặc định cho đến khi
được hỏi:“ISA Server Computer Selection”
B2: Chọn “Connect to this ISA Server computer”
Điền địa chỉ máy lẻ: 172.16.X.1
è Next è Finish
B3: Mở IE è Tools è Internet Options è Connection è LAN Settings
Quan sát các thông số được thiết lập.
è Thoát ra
è Truy cập thử Internet
5 - Automatic Discovery:
Thực hiện tại máy lẻ
B1: ISA Management è Configuration è Networks è Properties
B2: Chọn Tab “Auto Discovery” è Publish automatic discovery information
Thực hiện tại máy chẳn
B3: Cài DHCP và Authorize (xem lại bài DHCP)
B4: DHCP Manage è Set Predefined Options
B5: Chọn “Add” để khai báo Option mới
Name: WPADData type: StringCode: 252
è OK
B6: Chọn Option Name: 252 WPAD
Khai báo giá trị sau tại dòng Value:
http://isa.NhomX.com:80/WPAD.DAT
è OK Đóng DHCP Manager
B7: Mở DNS Manager
Khai báo Alias WPAD ứng với tên máy ISA
WPAD --- Alias --- isa.NhomX.com
6 – Remote Management:
Thực hiện tại máy lẻ
B1: Mở ISA Server Management è Firewall Policy è Toolbox è Network Objects è Computer Sets è Remote Management Computer è Double click
B2: Add è Computer è khai báo tên & địa chỉ máy chẳn (172.16.X.2) è OK
Trở về cửa sổ chính chínhè Apply
Thực hiện tại máy chẳn
B3: Chạy AutoRun của bộ Software ISA 2004 è Chọn cấu hình mặc định è Chương trình tự động gợi ý chọn ISA Management è chọn các thông số mặc định để hoàn tất việc cài đặt
B4: Chạy ISA Management è click nút phải chuột trên ISA Management è Connect to è Nhập địa chỉ máy lẻ (172.16.X.1)
B5: Lúc này Bạn có thể thực hiện các thao tác trên ISA 2004 như tại máy lẻ
Bài viết này thuộc quyền sở hữu Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
105- Bà Huyện Thanh Quan - 205 Võ Thị Sáu , Q3 ,TP HCM - Tel :9322735
Ghi rõ nguồn khi bạn phát hành lại thông tin từ trang này.
ACCESS RULE
I. Giới thiệu:
Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule). Muốn hệ thống hoạt động ta phải tạo các rule tương ứng.
Bài Lab gồm những thao tác chính sau:7. Tạo rule cho phép traffic DNS Query để phân giải tên miền8. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )9. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang
vnexpress.net trong giờ làm việc10. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không
hạn chế11. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao12. Chỉ cho xem “chữ” không cho xem “hình”13. Cấm xem trang www.tuoitre.com.vn14. Khảo sát system policy15. Giới thiệu các Policy Template
II. Thực hiện
1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1: ISA Management è Firewall Policy è New è Access Rule
B2: Gõ “DNS Query” vào ô Access Rule Name è Next
B3: Action chọn “Allow” èNext
B4: Trong “This Rule Apply to:” chọn “Selected Protocols” è Add è Common Protocol è DNSè OK è Next
B5: Trong “Access Rule Source” è Add è Networks è Internal è add è Close è Next
B6: Trong “Access Rule Destination” è add è Networks è External è close è Next
B7: Trong “User Sets” chọn giá trị mặc định “All Users” è Next è Finish
Chọn nút “apply” (phía trước có dấu chấm than)
Thực hiện tại máy chẳn
B8: dùng lện NSLOOKUP để phân giải thử một tên miền bất kỳ
2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
B1: Tạo Access rule theo các thông số sau:
Rule Name: Allow Mail (SMTP + POP3)Action: AllowProtocols: POP3 + SMTPSource: InternalDestination: ExternalUser: All User
Các thao tác làm tương tự như phần 1
B2: Kiểm tra - Thực hiện tại máy chẳn
Setup Outlook Express theo các thông số sau:Display Name: Hoc VienEmail Address: [email protected] Mail: mail.nhatnghe.comInComming Mail: mail.nhatnghe.comAccount Name: [email protected]: hocvien
Thử gởi/ nhận mail
3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc
a – Định nghĩa nhóm “Nhan Vien”b – Định nghĩa URL Set chứa trang vnexpress.netc – Định nghĩa “giờ làm việc”d – Tạo rulee – Kiểm tra
a – Định nghĩa nhóm “Nhan Vien”:
B1: Dùng chương trình “Active Directory User and Computer” tạo 2 user u1, u2 (password 123)
Tạo Group “Nhan Vien”
Đưa 2 user u1, u2 vào Group “Nhan Vien”
B2: ISA Server Management è Firewall Policy è Toolbox è Users è New
B3: Nhập chuỗi “Nhan Vien ” vào ô User set name è Next
B4: Add è Windows User and Group
B5: Chọn Group “Nhan Vien”
Next è Finish
b – Định nghĩa URL Set chứa trang vnexpress.net
B1: ISA Server Management è Firewall Policy è Toolbox è Network Objects è New è URL Set
B2: Dòng name đặt tên “vnexpress”
Chọn New, khai 2 dòng
http://vnexpress.net
http://*.vnexpress.net
è OK
c – Định nghĩa “giờ làm việc””
B1: ISA Server Management è Firewall Policy è Toolbox è Schedule è New
Name: Gio Lam Viec
Chọn Active từ 8am -6 pm
è OK
d – Tạo rule:
B1: Tạo Access rule theo các thông số sau:
Rule Name: Nhan Vien – Trong GioAction: AllowProtocols: HTTP + HTTPSSource: Internal
Destination: URL Set è vnexpressUser: Nhan Vien
Các thao tác làm tương tự như phần 1B2: click nút phải chuột trên rule vừa tạo è Properties
B3: Chọn Schedule è Gio Lam Viec
è OK
è Apply Rule
e – Kiểm tra:
Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google
Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google
4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế
a- Định nghĩa nhóm “Sếp”b- Tạo rulec- Kiểm tra
a - Định nghĩa nhóm “Sếp”:
Dùng chương trình “Active Directory User and Computer” tạo 2 user U3, U4 (password 123)
Tạo Group “Sep”
Đưa 2 user U3, U4 vào Group “Sep”
Các bước còn lại làm tương tự phần 3a
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: SepAction: AllowProtocols: All Outbound TrafficSource: InternalDestination: ExternalUser: Sep
Các thao tác làm tương tự như phần 1
c – Kiểm tra:Logon U4, thử truy cập internet ….
5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải laoa - Định nghĩa giờ giải laob - Tạo rulec - Kiểm tra
a – Định nghĩa giờ giải lao:
Làm tương tự 3c
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Giai LaoAction: AllowProtocols: All Outbound TrafficSource: InternalDestination: ExternalUser: All Users
Các thao tác làm tương tự như phần 1Sau khi tạo rule xong, chọn properties của rule vừa tạo è Schedule è Giai Lao
c – Kiểm tra:Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet
6 - Chỉ cho xem “chữ” không cho xem “hình”:
Chọn Properties của Rule vừa tạo è Content Types è Selected Content Types:- Documents- HTML Documents- Text
7 - Cấm xem trang www.tuoitre.com.vn:
a - Định nghĩa các trang web muốn cấmb - Tạo Rulec - Kiểm tra
a - Định nghĩa các trang web muốn cấm:
Tạo URL Set tương tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL Set khai báo:
http://*.tuoitre.com.vnhttp://tuoitre.com.vn
b – Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Web bi cam Action: DenyProtocols: All Outbound TrafficSource: InternalDestination: URL Set è Nhung Trang Web Bi CamUser: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
c – kiểm tra:
Logon U3 (sep), mở thử trang tuoitre.com.vn
8 - Khảo sát system policy:
B1: Firewall Policy è Task è Show System Policy Rules
B2: Mở Policy thứ 2 Tìm hiểu các thông sốGiải thích tại sao có thể dùng chương trình ISA Management trên máy DC để đều khiển ISA?
9 - Giới thiệu các Policy Template:
B1: Xóa hết các rule đã tạo
B2: ISA Management è Configuration è Template è Edge Firewall
B3: Khai báo phạm vi địa chỉ cho internal network
172.16.X.0 – 172.16.X.200
B4: Chọn Allow Limmitted Web Access
B5: Mở rule Web Access Only. Khảo sát các thông số
Bài viết này thuộc quyền sở hữu Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
105- Bà Huyện Thanh Quan - 205 Võ Thị Sáu , Q3 ,TP HCM - Tel :9322735
Ghi rõ nguồn khi bạn phát hành lại thông tin từ trang này.