Embed Size (px)
DESCRIPTION
this is ISA
Citation preview
中壢資策會網工班 81期
MS LAB & TOP 出版社
I S A
第二組 顏柏舜
指導老師:楊宏文、劉家聖、戴有煒
1
目錄 ----------------------------------------------------------------------------------
前言…...............................................................P2
客戶要求….......................................................
拓樸圖…...........................................................P3
Back To Back 防火牆.....................................P4
CSS 建置步驟….................................................P5
建立前後端陣列...............................................P6
後端防火牆規則.............................................P13
前端防火牆規則.............................................P14
2
前言:
第一階段的 MSLAB 我擔任第二組的組長,
我負責規劃組員所需要建置的 SERVER 功能、拓樸圖
規劃、實體串機、人員調度。由於組員中都是非本科
系但有意願學習的人,所以在初期的學習方向採用兩
人一組的方式共同學習一個區塊,之後在針對往後的
實驗做個人的分工來達成 MSLAB 的目標。
客戶需求:
1.建設一個對外服務的使用區域
2.針對該公司的防護需求,建設高可用性防火牆
3.為怕不可預期災害,需將重要資料備份
4.為讓業務人員,能夠獲得網路信箱新的郵件,需建
置 Push Mail 功能
3
規劃後 拓樸圖
在這次的 MSLAB 我挑戰的是 ISA 2006,我負責的部份是在
總公司以及 DMZ 區對外的部份建置具有 NLB 功能和容錯的
Back To Back 防火牆。
4
Back To Back 防火牆
建置的防火牆為 FW1~FW4,從外部進來的使用者可從 FW1
或 FW2 進入到 DMZ 或總公司(為此具有負載平衡的功能),
假設今天遭受駭客攻擊使得 FW1、FW3 停擺,那防火牆便從
FW2 進入內部網路,在從 FW4 進入總公司網路,這樣則提
供了容錯轉移的功能。讓總司在面對外來的攻擊時,有雙重
的保障,不會因為一面牆倒了而導致對外網路斷掉。
5
CSS 建置
建置原則:
一、 CSS 建立於網域內(安全性)。
二、 設定前後兩陣列。
三、 指定遠端管理前、後陣列為 CSS Host。
1 新增陣列對著陣列按右鍵,選擇新增陣列(從後牆先建
起,假設後牆名稱為 BArray,前牆為 FArray)
2.將 BArray 內容中的設定存放區點擊選擇
6
3.開放 CSS 電腦遠端管理兩個陣列
選擇企業底下的企業原則 右鍵點擊企業遠端管理
點擊 SSL 加密通道上驗
證
7
點擊新增選電腦
輸入名稱、IP ,按下確定
8
建立前後端陣列電腦
建置原則:
一、由後端陣列開始建起,選擇安裝 ISA Server 服務。
二、 ISA2006 必須安裝為 SP1 版本。
三、設立遠端管理驗證帳號。
四、以 kb938550x.wsf 開啟多點傳輸模式。
將存放區設定為 CSS,記得在帳號驗證前必須加網域
9
後端防火牆陣列成員新增遠端管理帳號
回到 CSS 選陣列(內容)陣列內部認證設定帳戶(設定遠端
管理帳號)
10
命令提示字元下輸入該指令,開啟多點傳輸
BArray(底下設定)選網路右工作(點擊設定負載平衡網
路) 設定後端陣列叢集 IP,內部(總公司)、外部(DMZ、
前端陣列)
11
前後端陣列操作都一樣 ,而設定正常狀況為下
12
後端防火牆規則
13
前端防火牆規則
14
MSLAB 檢討與需知:
首先在建置的過中 AD 是緊接著 ISA 的,所以 ISA
必須很確定目前使用的實體建置是否正確,網路卡是否損壞,
該跳的線是有做,是否能達到 PING 通以及達到前、後端陣
列都可以順利以 FQDN 解讀,如果沒完成以上步驟,即便是
求快做到後面才發現是白搭,所以穩定以及正確的第一步一
定要正確。由於我們一開始建置是前後防火牆分開所以難免
碰上一些設定不同步的問題,像明明後火防牆 可以解讀
FQDN,但是前端通到後端就死了,第 1可能是實體線路損壞,
第 2 可能是網卡損壞、第 3 該死的防火牆未關閉、第 4 沒有
定設叢集 IP,而我剛好碰到 2、3、4 問題而我解決的方法是:
狀況1我在PING IP 是絕對沒問題的但偏偏FQDN確過不了,
那是在本機因為灌 2008 下它是兩層防火牆,如果只是看到
防火牆是紅色那不代表你完全關閉。
狀況 2 拿到一張壞的網卡,先將這場網卡的 MAC 位址指定
為內建網卡遠東上網用的 MAC 位址,以拿到的網卡來上網
便可以測試出來。(遠東會鎖定你 MAC 位址所以要用原本
MAC 位址給第二張網卡用)。
狀況 3 由於前後端防火牆是分開建,在一連串的 Check 下人
總是會疲憊而忘了一些步驟,所以後端沒設叢集 IP 當然前端
連 PING 都不會通。
而為了讓防火牆夠穩定最後我們採取將 4 道牆放在一同台的
策略,果然是非常的穩定,在來的防火牆規則是依需求而生
的,有什麼的需求就開什麼樣的規則,如果碰到了規則以開
卻無法通行的狀況,我們會以治中學長教的將防火牆通透(開
啟所有輸出流量)去測試問題的來源。
15
心得:
在第一次的 MSLAB 剛開始真的是不順利到極點,第一
天碰到雙硬碟同時掛掉連重灌都有問題,終於順利解決了本
機問題,卻有碰到壞的網卡來糾纏(看起來很新),由於習慣
使用 2003 一看到防火牆就有關閉的衝動,卻有忘了 2008 的
2 層防火牆…無言,於是前 2 天碰到問題、解決問題,碰到問
題、解決問題,不停的 PING ,PING 到 PING 出一種心得,
練出用 PING 來解決實體串連問題的邏輯,終於很悶的 2 天,
以最快速的方式(2hr)架構整個防火牆陣列,之後那道牆在穩
紮穩打的建造下,即便出了問題無法同步,都能在數次重開
機下順利的回復正常,之後整體部份就較順利,完成了這次
的 MSLAB。真是太感激我的隊友們,大家都是一顆齒輪,缺
一不可,如果大家沒有發揮自已所學,我想在好的肝,也會
硬掉,而這次 MSLAB 就像家福學說的一樣第一階段是磨練組
員間的默契和合作,不然單打獨鬥太辛苦囉!!。
