Upload
vuhosking
View
48
Download
0
Embed Size (px)
Citation preview
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
--------------------------------
BÁO CÁO THỰC TẬP TUẦN 1
ĐỀ TÀI:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
ISA 2006
Giáo viên hướng dẫn: Võ Đỗ Thắng
Sinh viên thực tập: Lê Kim Ngân
Tuần 1: 19/01/2015 – 23/01/2015
Thành phố Hồ Chí Minh – Năm 2015
MỤC LỤC
ContentsChương I: TỔNG QUAN ISA SERVER 2006........................................................................1
1. Giới thiệu ISA server 2006:...........................................................................................1
1.1 Các phiên bản ISA server 2006:.............................................................................1
2. Cài đặt ISA server 2006:................................................................................................1
2.1 Mô hình:...................................................................................................................1
2.2 Chuẩn bị:..................................................................................................................2
2.3 Tiến trình cài đặt:....................................................................................................4
CHƯƠNG II: PHÂN LOẠI VÀ CẤU HÌNH ISA CLIENTS.............................................10
Phân loại................................................................................................................................10
1. Cấu hình:.......................................................................................................................10
1.1 Secure NAT clients:...............................................................................................10
1.2 Cấu hình web proxy client:...................................................................................16
1.3 Cài đặt và cấu hình Firewall client:.....................................................................22
1.4 Cấu hình Auto Discovery:....................................................................................26
Chương I: TỔNG QUAN ISA SERVER 2006
1. Giới thiệu ISA server 2006:
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần
mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ
biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet
khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu
hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache
thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp
bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (lập lịch cho tự
động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy
thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính
năng khác nữa.
1.1 Các phiên bản ISA server 2006:
Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ
băng thông cho các công ty có quy mô trung bình.
Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình
mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và
ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản
Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử
dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính
năng Load Balancing (cân bằng tải).
2. Cài đặt ISA server 2006:
2.1 Mô hình:
Hình 2.1: Mô hình ISA
2.2 Chuẩn bị:
Máy DC: Windows server 2003 đã nâng cấp Domain Controller.
Máy ISA Server: Windows server 2003 đã join Domain
Thiết lập địa chỉ IP cho 2 máy:
Card mạng Card LAN Card WAN
Máy ISA Server IP:172.16.1.1
SM:255.255.255.0
DNS:172.16.1.2
IP:192.168.6.2
SM:255.255.255.0
GW:192.168.6.1
DNS:172.16.1.2
Máy DC IP:172.16.1.2
SM:255.255.255.0
GW:172.16.1.1
DNS:172.16.1.2
Không có card WAN
Bảng 2.2.1: Địa chỉ IP card mạng
Card LAN dùng để liên lạc trong mạng Internal, còn card WAN dùng để kết nối
internet (External)
Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface .
Máy tên DC là máy đại diện cho các traffic từ internet đến máy ISA. Tại máy
này ta sẽ nâng cấp thành Domain Controller, Mail Server, Web Server.
Kiểm tra kết nối máy DC đến máy ISA
Hình 2.2.1
Kiểm tra kết nối máy ISA ping đến DC
Hình 2.2.2
Kiểm tra kết nối từ máy ISA ra internet
Hình 2.2.3
Tiếp theo trên máy DC ta sẽ tạo các đối tượng sau:
OU Maketing Manager Training Sale
Group maketing manager training sales
User Ma1/123
Ma2/123
Man1/123
Man2/123
T1/123
T2/123
S1/123
S2/123
Bảng 2.2.2 Bảng các user và group trong domain
Tại máy DC kiểm tra dịch vụ DNS ứng với mạng 172.16.1.0/24
Hình 2.2.4
2.3 Tiến trình cài đặt:
Cho đĩa ISA server 2006 vào, trong thư mục chứa file cài đặt chọn
isaautorun.exe và chọn Install ISA server 2006
Hình 2.2.5
Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc
định và chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom
Next
Hình 2.2.8
Chọn tiếp Add Adapter
Hình 2.2.8
Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN OK
CHƯƠNG II: PHÂN LOẠI VÀ CẤU HÌNH ISA CLIENTS
Phân loại
Có 3 loại ISA Server 2006 client:
SecureNAT client là máy tính được cấu hình với thông số chính Default
gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall. Nếu
SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006
firewall, thông số default gateway của SecureNAT client chính là IP address của
network card trên ISA Server 2006 firewall gắn với Network đó . Nấu
SecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi đó
SecureNAT client sẽ cấu hình thông số default gateway là IP address của router
gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến
ISA Server 2006 firewall ra Internet.
Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer)
được cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của
nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2006
firewall làm Web Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình
tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2006
firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc
điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của
User (User name) được ghi nhận trong các Web Proxy logs khi máy tính được
cấu hình như một Web Proxy client.
Firewall client là máy tính có cài Firewall client software. Firewall client
software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường,
là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp
đến Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được
đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối
Internet thông qua ISA Server 2006 firewall.
1. Cấu hình:
1.1 Secure NAT clients:
Các máy trong mạng Internal chỉ việc thiết lập thông số Default Gateway là IP
của máy ISA
Hình 2.1.1
Bây giờ, tại máy ISA ta thiết lập 1 access rule cho việc truy cập ra ngoài
External.
Mở ISA Server Management, chuột phải Firewal Policy, chọn New, chọn
Access Rule
Hình 2.1.2
Hộp thoại Access Rule Names, đặt tên rule là: allow internet
Hình 2.1.3
Hộp thoại Rule Action, bạn chọn Allow
Hình 2.1.4
Hộp thoại Protocols, chọn All outbound traffic:
Hình 2.1.5
Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal:
Hộp thoại User Sets, chọn All User
Hình 2.1.8
Nhấn Finish để hoàn tất Rule
Hình 2.1.9
Nhấn Apply , OK
Hình 2.1.9
Kiểm tra việc truy cập đến www.google.com
Hình 2.1.10
1.2 Cấu hình web proxy client:
Tại máy DC, mở Internet Explorer. Chọn Tool – chọn Internet option – Tab
Connection - chọn LAN Setting. Mục Proxy Server điền IP ứng với Card Lan
của máy ISA: 172.16.1.1, port : 8080
Hình 2.2.1
Kiểm tra lại việc kết nối đến trang http://athena.com.vn
Hình 2.2.2
Tuy nhiên việc thiết lập Proxy trên từng Client như vậy sẽ mất rất nhiều thời
gian cho người quản trị. Bạn có thể thiết lập Policy trên Domain cho các Client.
Tại máy DC, mở Active Diretory Users and Computer. Chuột phải vào
lekimngan.com chọn properties.
Hình 2.2.3
Qua tab Group Policy, bạn chọn New và đặt tên “proxy for client”. Sau đó
chọn Edit
Hình 2.2.4
Vào User Configuration – Windows Settings – Internet – Inter Explorer
maintenance - Connection
Hình 2.2.5
Chọn tiếp Proxy Setting và tick vào Enable proxy setting. Điền IP card LAN của
máy ISA: 172.16.1.1, port: 8080
Hình 2.2.6
Ta áp tiếp 1 policy để cấm Client có thể thay đổi thông số Proxy
Vào User Configuration – Administrative Templates – Window Component -
Internet Explorer. Chọn tiếp Disable Changing Proxy Settings. Chọn Enable
Hình 2.2.7
Cuối cùng mở Start – Run gõ gpupdate /force.
Hình 2.2.8
Kiểm tra: mở Internet explorer – kiểm tra lại Proxy đã bị mờ đi không thay đổi được.
Hình 2.2.9
1.3 Cài đặt và cấu hình Firewall client:
Cài đặt ISA Firewall Client trong source cài đặt (Thư mục Client). Chạy file setup.exe
Hình 2.3.1
Hộp thoại Welcom to the Install ….., nhấn Next
Hình 2.3.4
Hộp thoại ISA Server Computer Selection, nhập địa chỉ IP của máy ISA Server, nhấn
Next
Hình 2.3.5
Tại máy ISA .Mở ISA Server Management, phần Configuration, chọn Network . Ở
khung bên phải, right click Internal chọn Properties
Hình 2.4.1
Chọn tab Auto Discovery đánh dấu check vào Publish automatic discovery
infomation for this network
Hình 2.4.2
Tại máy DC, mở DNS manager
Click phải vào zone lekimngan.com chọn New Alias (CNAME).....
Hình 2.4.3
Nhập WPAD vào ô Alias name ở khung FQDN, bạn Browse đến máy ISA Server