TRUNG TÂM ĐÀO TẠO

QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA

--------------------------------

BÁO CÁO THỰC TẬP TUẦN 1

ĐỀ TÀI:

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA

ISA 2006

Giáo viên hướng dẫn: Võ Đỗ Thắng

Sinh viên thực tập: Lê Kim Ngân

Tuần 1: 19/01/2015 – 23/01/2015

Thành phố Hồ Chí Minh – Năm 2015

MỤC LỤC

ContentsChương I: TỔNG QUAN ISA SERVER 2006........................................................................1

1. Giới thiệu ISA server 2006:...........................................................................................1

1.1 Các phiên bản ISA server 2006:.............................................................................1

2. Cài đặt ISA server 2006:................................................................................................1

2.1 Mô hình:...................................................................................................................1

2.2 Chuẩn bị:..................................................................................................................2

2.3 Tiến trình cài đặt:....................................................................................................4

CHƯƠNG II: PHÂN LOẠI VÀ CẤU HÌNH ISA CLIENTS.............................................10

Phân loại................................................................................................................................10

1. Cấu hình:.......................................................................................................................10

1.1 Secure NAT clients:...............................................................................................10

1.2 Cấu hình web proxy client:...................................................................................16

1.3 Cài đặt và cấu hình Firewall client:.....................................................................22

1.4 Cấu hình Auto Discovery:....................................................................................26

Chương I: TỔNG QUAN ISA SERVER 2006

1. Giới thiệu ISA server 2006:

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần

mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ

biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet

khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu

hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache

thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp

bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (lập lịch cho tự

động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy

thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính

năng khác nữa.

1.1 Các phiên bản ISA server 2006:

Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ

băng thông cho các công ty có quy mô trung bình.

Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình

mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và

ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản

Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử

dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính

năng Load Balancing (cân bằng tải).

2. Cài đặt ISA server 2006:

2.1 Mô hình:

Hình 2.1: Mô hình ISA

2.2 Chuẩn bị:

Máy DC: Windows server 2003 đã nâng cấp Domain Controller.

Máy ISA Server: Windows server 2003 đã join Domain

Thiết lập địa chỉ IP cho 2 máy:

Card mạng Card LAN Card WAN

Máy ISA Server IP:172.16.1.1

SM:255.255.255.0

DNS:172.16.1.2

IP:192.168.6.2

SM:255.255.255.0

GW:192.168.6.1

DNS:172.16.1.2

Máy DC IP:172.16.1.2

SM:255.255.255.0

GW:172.16.1.1

DNS:172.16.1.2

Không có card WAN

Bảng 2.2.1: Địa chỉ IP card mạng

Card LAN dùng để liên lạc trong mạng Internal, còn card WAN dùng để kết nối

internet (External)

Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface .

Máy tên DC là máy đại diện cho các traffic từ internet đến máy ISA. Tại máy

này ta sẽ nâng cấp thành Domain Controller, Mail Server, Web Server.

Kiểm tra kết nối máy DC đến máy ISA

Hình 2.2.1

Kiểm tra kết nối máy ISA ping đến DC

Hình 2.2.2

Kiểm tra kết nối từ máy ISA ra internet

Hình 2.2.3

Tiếp theo trên máy DC ta sẽ tạo các đối tượng sau:

OU Maketing Manager Training Sale

Group maketing manager training sales

User Ma1/123

Ma2/123

Man1/123

Man2/123

T1/123

T2/123

S1/123

S2/123

Bảng 2.2.2 Bảng các user và group trong domain

Tại máy DC kiểm tra dịch vụ DNS ứng với mạng 172.16.1.0/24

Hình 2.2.4

2.3 Tiến trình cài đặt:

Cho đĩa ISA server 2006 vào, trong thư mục chứa file cài đặt chọn

isaautorun.exe và chọn Install ISA server 2006

Hình 2.2.5

Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc

định và chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom

Next

Hình 2.2.6

Sau đó chúng ta nhấp Next

Hình 2.2.7

Tại cửa sổ Internal Network nhấp Add

Hình 2.2.8

Chọn tiếp Add Adapter

Hình 2.2.8

Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN OK

Hình 2.2.9

Nhấp Next

Hình 2.2.10

Nhấp Next Install Finish

Hình 2.2.11

Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công

Hình 2.2.12

CHƯƠNG II: PHÂN LOẠI VÀ CẤU HÌNH ISA CLIENTS

Phân loại

Có 3 loại ISA Server 2006 client:

SecureNAT client là máy tính được cấu hình với thông số chính Default

gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall. Nếu

SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006

firewall, thông số default gateway của SecureNAT client chính là IP address của

network card trên ISA Server 2006 firewall gắn với Network đó . Nấu

SecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đó

SecureNAT client sẽ cấu hình thông số default gateway là IP address của router

gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến

ISA Server 2006 firewall ra Internet.

Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer)

được cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của

nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2006

firewall làm Web Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình

tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2006

firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc

điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của

User (User name) được ghi nhận trong các Web Proxy logs khi máy tính được

cấu hình như một Web Proxy client.

Firewall client là máy tính có cài Firewall client software. Firewall client

software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường,

là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp

đến Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được

đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối

Internet thông qua ISA Server 2006 firewall.

1. Cấu hình:

1.1 Secure NAT clients:

Các máy trong mạng Internal chỉ việc thiết lập thông số Default Gateway là IP

của máy ISA

Hình 2.1.1

Bây giờ, tại máy ISA ta thiết lập 1 access rule cho việc truy cập ra ngoài

External.

Mở ISA Server Management, chuột phải Firewal Policy, chọn New, chọn

Access Rule

Hình 2.1.2

Hộp thoại Access Rule Names, đặt tên rule là: allow internet

Hình 2.1.3

Hộp thoại Rule Action, bạn chọn Allow

Hình 2.1.4

Hộp thoại Protocols, chọn All outbound traffic:

Hình 2.1.5

Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal:

Hình 2.1.6

Hộp thoại Access Rule Destinations, nhấn Add, chọn External:

Hình 2.1.7

Hộp thoại User Sets, chọn All User

Hình 2.1.8

Nhấn Finish để hoàn tất Rule

Hình 2.1.9

Nhấn Apply , OK

Hình 2.1.9

Kiểm tra việc truy cập đến www.google.com

Hình 2.1.10

1.2 Cấu hình web proxy client:

Tại máy DC, mở Internet Explorer. Chọn Tool – chọn Internet option – Tab

Connection - chọn LAN Setting. Mục Proxy Server điền IP ứng với Card Lan

của máy ISA: 172.16.1.1, port : 8080

Hình 2.2.1

Kiểm tra lại việc kết nối đến trang http://athena.com.vn

Hình 2.2.2

Tuy nhiên việc thiết lập Proxy trên từng Client như vậy sẽ mất rất nhiều thời

gian cho người quản trị. Bạn có thể thiết lập Policy trên Domain cho các Client.

Tại máy DC, mở Active Diretory Users and Computer. Chuột phải vào

lekimngan.com chọn properties.

Hình 2.2.3

Qua tab Group Policy, bạn chọn New và đặt tên “proxy for client”. Sau đó

chọn Edit

Hình 2.2.4

Vào User Configuration – Windows Settings – Internet – Inter Explorer

maintenance - Connection

Hình 2.2.5

Chọn tiếp Proxy Setting và tick vào Enable proxy setting. Điền IP card LAN của

máy ISA: 172.16.1.1, port: 8080

Hình 2.2.6

Ta áp tiếp 1 policy để cấm Client có thể thay đổi thông số Proxy

Vào User Configuration – Administrative Templates – Window Component -

Internet Explorer. Chọn tiếp Disable Changing Proxy Settings. Chọn Enable

Hình 2.2.7

Cuối cùng mở Start – Run gõ gpupdate /force.

Hình 2.2.8

Kiểm tra: mở Internet explorer – kiểm tra lại Proxy đã bị mờ đi không thay đổi được.

Hình 2.2.9

1.3 Cài đặt và cấu hình Firewall client:

Cài đặt ISA Firewall Client trong source cài đặt (Thư mục Client). Chạy file setup.exe

Hình 2.3.1

Hộp thoại Welcom to the Install ….., nhấn Next

Hình 2.3.2

Tiếp theo chọn accept và cài đặt theo mặc định

Hình 2.3.3

Hình 2.3.4

Hộp thoại ISA Server Computer Selection, nhập địa chỉ IP của máy ISA Server, nhấn

Next

Hình 2.3.5

Chọn Install

Hình 2.3.6

Nhấn Finish để kết thúc

Hình 2.3.7

1.4 Cấu hình Auto Discovery:

Tại máy ISA .Mở ISA Server Management, phần Configuration, chọn Network . Ở

khung bên phải, right click Internal chọn Properties

Hình 2.4.1

Chọn tab Auto Discovery đánh dấu check vào Publish automatic discovery

infomation for this network

Hình 2.4.2

Tại máy DC, mở DNS manager

Click phải vào zone lekimngan.com chọn New Alias (CNAME).....

Hình 2.4.3

Nhập WPAD vào ô Alias name ở khung FQDN, bạn Browse đến máy ISA Server

Hình 2.4.4

Sau đó bạn Restart lại DNS

Hình 2.4.5

Mở ISA Firewall Client, vào tab Setting, chọn Automatically detected ISA Server ,

chọn Detect Now, kiểm tra máy client đã detect được tên máy ISA Server.

Hình 2.4.6

Như vậy, chúng ta đã cài đặt ISA Server cho mô hình và khảo sát qua các Firewall

Client .