ISA Server Tài liệu thực hành dành cho học viên Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com... ISA Server Tài liệu thực hành dành cho học viên Lab 3: Clien
Trang 1ISA Server Tài liệu thực hành dành cho học viên
Mục lục
Module 1: Overview of Microsoft ISA Server 2004 2
Module 2: Installing and Maintaining ISA Server 2
Module 3: Enabling Access to Internet Resources 17
Module 4: Configuring ISA Server as a Firewall 33
Module 5: Configuring Access to Internal Resources 40
Module 6: Integrating ISA Server 2004 and Microsoft Exchange Server 79
Module 7:Advanced Application and Web Filtering 96
Module 8: Configuring Virtual Private Network Access for Remote Clients and Networks 103
Module 9: Implementing Caching 141
Module 10: Monitoring ISA Server 150 Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 2ISA Server Tài liệu thực hành dành cho học viên
ISA 2006
Module 1: Overview of Microsoft ISA Server 2004
Module 2: Installing and Maintaining ISA Server
Xây dựng mô hình và khai báo ip cho các pc như hình vẽ
Lab 1: Cài ISA server
1 Vào thư mục chứa source ISA double click vào file ISAAutorun.exe
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 3ISA Server Tài liệu thực hành dành cho học viên
2 Xuất hiện cửa sổ Microsoft ISA server 2006 setup, chọn Install ISA server 2006 Ỉ next
3 Chọn option I accept the terms in the license agreement Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 4ISA Server Tài liệu thực hành dành cho học viên
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 5ISA Server Tài liệu thực hành dành cho học viên
Nhập vào CD key Ỉ next
4 Chọn option Typical hay Custom đều được Ỉ next Ỉ next
5 Aán add rồi ấn add range nhập vào dãy ip internal của ISA Ỉ ok Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 6ISA Server Tài liệu thực hành dành cho học viên
6 Tất cả các cửa sổ còn lại ấn next cho đến khi cài ISA xong
Lab 2: Tạo access rule cho internal và máy ISA ra internet
1 Vào start Ỉ programs Ỉ Microsoft ISA server Ỉ ISA server management, Click
phải vào Firewall Policy chọn NewỈ Access Rule, đặt tên cho access rule Ỉ next
2 Chọn Option Allow Ỉ next, chọn Selected protocols ấn Add chọn các protocol như
hình vẽ Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 7ISA Server Tài liệu thực hành dành cho học viên
3 Tại cửa sổ Access Rule Sources ấn Add chọn Internal và Local Host Ỉ next
4 Tại cửa sổ Access Rule destinations ấn Add chọn External Ỉ next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 8ISA Server Tài liệu thực hành dành cho học viên
5 Tại cửa sổ user sets chọn All users Ỉ next Ỉ finish
6 Aán Apply
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 9ISA Server Tài liệu thực hành dành cho học viên
Lab 3: Client truy cập internet dùng SecuNat
1 Tại máy client khai báo Ip đầy đủ các thông tin sau Ỉok
2 Vào IE truy cập thử vào trang http://www.vsic.com và các trang web khác Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 10ISA Server Tài liệu thực hành dành cho học viên
Lab 4: Client sử dụng proxy
1 Tại máy client khai báo ip như sau: (không có GW và DNS)
2 Vào IE, vào menu tools chọn Internet Options, Chọn thẻ Connections, ấn LAN
Setting
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 11ISA Server Tài liệu thực hành dành cho học viên
3 Check vào Use a proxy server for your LAN, nhập vào IP của card INT ISA port
8080 Ỉ ok Ỉ ok
4 Truy cập thử vào trang http://www.vsic.com hay trang http://www.vsic.com/forum Lab 5: Client sử dụng firewall client
1 Tại máy client khai báo nhu hình vẽ:
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 12ISA Server Tài liệu thực hành dành cho học viên
2 Vào ổ đĩa chứ source ISA server 2006 chọn thư mục Client, double click vào file setup.exe hay file MS_FWC.MSI để cài firewall client
3 Chọn option I accept the terms in the license agreement Ỉ next Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 13ISA Server Tài liệu thực hành dành cho học viên
4 Chọn option Connect to this ISA server computer, nhập vào IP internal của máy ISA Ỉ next ( nếu có DNS server, tạo alias là WPAD cho card internal của ISA thì
ở cửa sổ này chọn option Automatically detect the appropriate ISA server computer)
5 Truy cập vào trang http://www.vsic.com hay trang http://www.vsic.com/forum để kiểm tra
Lab 6: Backup and Restore
1 Click phải vào firewall policy chọn Export Ỉ next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 14ISA Server Tài liệu thực hành dành cho học viên
2 Có thể đặt password cho file backup Ỉ next
3 Chọn ổ đĩa cần lưu file backup Ỉ next Ỉ Finish
4 Chọn access rule Allow Internet chọn delete
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 15ISA Server Tài liệu thực hành dành cho học viên
5 Click phải vào firewall policy chọn Import Ỉ next, chọn file cần restore Ỉ next
6 Tiếp tục ấn next Ỉ finish Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 16ISA Server Tài liệu thực hành dành cho học viên
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 17ISA Server Tài liệu thực hành dành cho học viên
Module 3: Enabling Access to Internet Resources
Xây dựng mô hình như module 1, cài ISA server và tạo rule ra internet
Lab 1: Tạo thêm protocol
1 Đứng tại máy client truy cập trang http://www.itvietnam.com.vn:8099/feedback, không truy cập được vì trang này sử dụng port 8099 Ỉ cần phải tạo thêm protocol cho port này
2 Chọn Firewall policy Ỉ chọn thẻ Toolbox , chọn protocolsỈ new Ỉ protocol (như hình vẽ)
3 Gõ vào tên của protocol Ỉ next
4 Aán nút New Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 18ISA Server Tài liệu thực hành dành cho học viên
5 Chọn Protocol type, Direction, và Port range ( như hình vẽ)Ỉ next
6 Tiếp tục ấn next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 19ISA Server Tài liệu thực hành dành cho học viên
7 Tại cửa sổ Secondary Connections chọn Option No Ỉ nextỈ finish
8 Click phải vào Rule Allow Internet chọn Properties, chọn thẻ Protocols, ấn nút add
Ỉ chọn User-Defined chọn port vừa tạo Ỉ ấn add Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 20ISA Server Tài liệu thực hành dành cho học viên
9 Ok ỈApply Đứng tại máy client truy cập thử vào trang
http://www.itvietnam.com.vn:8099/feedback lúc này đã truy cập thành công
Lab 2: Tạo URL set
1 Ví dụ ta cần cấm không cho Client internal truy cập vào trang
http://www.tuoitre.com.vn trước tiên ta phải tạo URL set
2 Chọn Firewall policy, chọn thẻ Toolbox, chọn network Objects Ỉ NewỈ URL set Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 21ISA Server Tài liệu thực hành dành cho học viên
3 Gõ vào tên cho URL set Ỉ ấn nút Add gõ vào trang web cần cấm Ỉ next
4 Nếu muốn cấm thêm trang nào chỉ cần ấn nút Add và gõ vào địa chỉ của trang đó
5 Click phải vào Firewall policy chọn New Ỉ Access rule Ỉ gõ vào tên rule ví dụ là Deny TuoitreỈ next Ỉ chọn Option Deny Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 22ISA Server Tài liệu thực hành dành cho học viên
6 Tại cửa sổ Protocols chọn All Outbound traffic Ỉ next
7 Tại cửa sổ Access Rule Sources ấn nút Add chọn Internal Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 23ISA Server Tài liệu thực hành dành cho học viên
8 Tại cửa sổ Access Rule Destinations ấn nút Add Ỉ chọn URL sets chọn tuoitre Ỉ next
9 Tiếp tục ấn next Ỉ finish Ỉ Apply Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 24ISA Server Tài liệu thực hành dành cho học viên
10 Tại máy client truy cập vào trang http://www.tuoitre.com.vn lúc này không thể truy cập được nữa
Lab 3: Tạo computer và Computer set
1 Giả sử ta cần cấm PC10 có IP là 200.200.200.10, PC11 có IP là 200.200.200.11 và PC12 đến PC15 có IP từ 200.200.200.12 – 200.200.200.15 truy cập Internet ta cần
phải tạo Computer hay Computer set
2 Chọn Firewall policy, chọn thẻ Toolbox, chọn Network ObjectsỈ computer
3 Gõ vào tên pc name và Ip của PC cần tạo Ỉ Ok
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 25ISA Server Tài liệu thực hành dành cho học viên
4 Tương tự như bước 1 như chọn Computer set, nhập vào tên ấn add chọn Computer nhập vào pc11 và IP của PC11, tiếp tục ấn nút add chọn address range nhập vào dãy IP từ Pc12 đến pc15Ỉ OK
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 26ISA Server Tài liệu thực hành dành cho học viên
5 Bây giờ ta đi tạo access rule để deny các computer và computer set Click phải vào Firewall Policy Ỉ New Ỉ Access Rule Ỉ đặt tên cho rule Ỉ nextỈ chọn All outbound traffic Ỉ next
6 Chọn option deny Ỉ next
7 Tại cửa sổ Access rule source ấn Add Ỉ chọn Computers double click vào PC10, chọn Computer sets doublr click vào PC11—pc15 Ỉ close Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 27ISA Server Tài liệu thực hành dành cho học viên
8 Tại cửa sổ Access Rule Destinations ấn Add Ỉ chọn External Ỉ next Ỉ next Ỉ Finish
9 Aán Apply Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 28ISA Server Tài liệu thực hành dành cho học viên
10 Đứng tại PC10 truy cập thử internet, lúc này PC10 không truy cập được nửa
Lab 4: Tạo Schedule
1 Giả sử ta muốn cho các user internal chỉ được phép truy cập internet từ 8 :00 –
Trang 29ISA Server Tài liệu thực hành dành cho học viên
3 Click phải vào rule Allow Internet chọn Properties
4 Chọn thẻ Schedule, chọn Schedule8h-12hỈ ok, Apply Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 30ISA Server Tài liệu thực hành dành cho học viên
5 Tại máy client chỉnh lại giờ là 9:00 sau đó truy cập thử internet, lúc này không truy cập được nửa
Lab 5: Tạo Network và network set
1 Chọn Configuration, chọn networks, chọn thẻ networks, chọn tiếp thẻ tasks ở cửa sổ bên phải chọn Create a new networkỈ chọn Internal network Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 31ISA Server Tài liệu thực hành dành cho học viên
2 Tại cửa sổ Network Address ấn Add range, nhập vào dãy IP cần dùng ỈokỈ next
Trang 32ISA Server Tài liệu thực hành dành cho học viên
4 Check vào internal và internal2 Ỉ next Ỉ finish Ỉ apply
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 33ISA Server Tài liệu thực hành dành cho học viên
Module 4: Configuring ISA Server as a Firewall
Xây dựng mô hình như hình vẽ
Lab 1: Dùng Templates
Mục đích: Cấu hình isa server bằng template
1 Vào Isa, Chọn Configuration\networks, ở cửa sổ bên phải chọn tab templates chọn template Edge Firewall
2 Xuất hiện màn hình welcome Ỉ next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 34ISA Server Tài liệu thực hành dành cho học viên
3 Nếu isa đã được cấu hình trước đó muốn lưu lại cấu hình đó ấn export chọn ổ đĩa và file cần lưu Nếu không muốn lưu cấu hình trước đó ấn next
4 Nhập vào dãy IP của internal Ỉnext
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 35ISA Server Tài liệu thực hành dành cho học viên
5 Chọn firewall policy phù hợp, trong trường hợp này chọn Allow limited web
access (Tạo rule ra net) Ỉ next Ỉ finish
6 Các rule đã được tạo tự động
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 36ISA Server Tài liệu thực hành dành cho học viên
7 Truy cập thử web site http://www.vsic.com/forum > truy cập thành công
8 Tương tư như trên nếu cần xây dựng mô hình 3-leg ta cũng có thể sử dụng template cho mô hình này, chỉ định dãy IP cho ineternal, dãy Ip cho perimeter
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 37ISA Server Tài liệu thực hành dành cho học viên
9 Chọn firewall policy phù hợp
10 Và cũng sẽ có những rule được tạo sẵn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 38ISA Server Tài liệu thực hành dành cho học viên
Lab 2: System policy
1 Vào ISA, chọn Firewall policy, ở cửa sổ bên phải chọn Show System Policy Rules,
sẽ xuất hiện 30 system policy
2 Aán Edit system policy khi cần chỉnh sửa policy system
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 39ISA Server Tài liệu thực hành dành cho học viên
3 Giả sữ cần cho các máy internal ping đến ISA, chọn rule ICMP (ping) chọn thẻ
From add Internal, local host Ỉok Ỉ apply Lúc này từ máy client có thể ping
máy ISA
Lab 3: Configuring Intrusion Detection (Xem lab 3 module 10)
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 40ISA Server Tài liệu thực hành dành cho học viên
Module 5: Configuring Access to Internal Resources
Xây dựng mô hình như hình vẽ:
Lab 1: Publish web
Mô tả: trong bài lab này chưa cần đến domain và CA enterprise Giả sử bên trong internal
có một web server là topic.edu (mạng 200.200.200.x) Ta muốn cho user ở external
(mạng 10.x.x.x) có thể truy cập được web server trong internal ta sẽ publish web server này lên ISA Client external sẽ chỉ DNS về ISP để truy cập web internal
Trên máy Web server: cài và cấu hình DNS, tạo một alias là www chỉ về máy web
server, forward DNS internal ra DNS ISP bên ngoài Cài IIS, ASP.net, tạo file Default.htm trong thư mục Inetpub\wwwroot có nội dung tuy ý Tại máy web server vào IE test thử www.topic.edu
Trên máy ISA: thực hiện publish web
1 Click phải vào Firewall PolicyỈ New Ỉ Web sitepublishing Rule
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 41ISA Server Tài liệu thực hành dành cho học viên
2 Đặt tên cho Rule Ỉ next
3 Chọn Option allow Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 42ISA Server Tài liệu thực hành dành cho học viên
4 Chọn publish a single web site or load balancer Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 43ISA Server Tài liệu thực hành dành cho học viên
5 Chọn Option Use non-secured connection … Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 44ISA Server Tài liệu thực hành dành cho học viên
6 Trong phần internal site name gõ tên của web cần publish ví dụ là www.topic.edu , trong phần Computer or ip gõ IP cỉa máy web server Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 45ISA Server Tài liệu thực hành dành cho học viên
7 Trong phần path (optional) gõ vào /* Ỉ next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Trang 46ISA Server Tài liệu thực hành dành cho học viên
8 Trong phần publish name gõ vào tên web mà external sẽ dùng tên này để truy cập vào web server internal thông qua ISA Ỉ ấn next
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com