Lab - Thực hành ISA 2006 Toàn tập Phần 1 pptx

Máy tên internet là máy đại diện cho các traffic từ External kết nối đến máy ISA server.. Trong hộp thoại Internal Network, nhấn chọn Add Sau đó bạn chọn Add Adapter …... Hộp thoại Insta

L ỜI MỞ ĐẦU

-ooOOoo -

Tài liệu được thực hiên nhằm mục đích giúp các bạn học viên củng cố kiến thức và cũng thông qua đó, hổ trợ các bạn tốt hơn trong việc thực hành Lab tại nhà

Xin chân thành gởi lời cảm ơn đến GV-Trần Văn An, GV-Lê Đình Nhân, MCT-Lê

Ng ọc Hiến, MCT-Đào Duy Hiếu, anh Trần Quốc Toản … đã chia sẻ những thông tin,

những kinh nghiệm thực tiễn, qua đó giúp cho việc thực hiện tài liệu được tốt hơn

Xin chân thành cảm ơn trung tâm Đào Tạo & Quản Trị Mạng Athena đã tạo điều kiện

cho tôi thực hiện tài liệu này

Tài liệu được phân làm 2 tập :

+ Tập 1 : Khái quát và triển khai ISA Server 2006 trên mô hình Bastion Host Trong

phần này có sử dụng video demo do GV-Trần Văn An cung cấp

+ Tập 2 : Phân tích và triển khai hệ thống Firewall ứng với các mô hình phức tạp thông qua hai dòng sản phẩm của Microsoft : ISA Server 2006 & Threat Management

Gateway 2010

Trong quá trình thực hiện, chắc chắn sẽ không tránh khỏi những sai sót Mọi sự đóng góp

ý kiến của các bạn sẽ giúp cho tài liệu ngày càng hoàn thiện hơn Các bạn có thể liên hệ theo địa chỉ email sau : duyva@athenavn.com hoặc wuyingwei@live.com

ISA Server 2006 là phiên bản tiếp theo của sản phẩm Microsoft ISA Server Có một số tính năng mới so với phiên bản ISA 2004 như :

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP publishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

Bạn có thể tải ISA Server 2006 theo link sau :

Trong suốt tài liệu này, mô hình Bastion Host sẽ được áp dụng

Các bài Lab sẽ sử dụng chương trình VMWare WorkStation phiên bản 7.1.4

build-385536 Đây là 1 ứng dụng cho phép bạn có thể chạy nhiều máy tính ảo sử dụng chung các thiết bị phần cứng

Bạn có thể tải chương trình theo link sau :

http://www.mediafire.com/?9a0pf30g5jlpp

Password download : athena

Chúng ta sẽ xây dựng và sử dụng 3 máy tính ảo theo mô hình sau :

Subnet Mask: 255.255.255.0 Gateway:

Preferred DNS: 172.16.1.2

IP Address: 192.168.2.111 Subnet Mask: 255.255.255.0

Preferred DNS:

Máy DC IP Address: 172.16.1.2

Subnet Mask: 255.255.255.0 Gateway: 172.16.1.1 Preferred DNS: 172.16.1.2

Đường mạng nối máy internet và máy ISA Server ta sẽ chọn chế độ Bridged

Athena Research Team

Athena Research Team

Máy tên internet là máy đại diện cho các traffic từ External kết nối đến máy ISA server

Cấu hình thông số Ip trên máy Internet Ở đây ta sẽ giả lập mạng 192.168.2.0/24 là mạng từ

External

Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface Ta đặt tên cho 2 interface này như sau :

• LAN : kết nối tới các traffict trong Internal

• WAN : kết nối tới các traffict ở External

Cấu hình thông số Ip trên 2 interface này :

Athena Research Team

Máy tên DC là máy đại diện cho các traffic từ Internal đến máy ISA Tại máy này ta sẽ nâng

cấp thành Domain Controller, Mail Server, Web Server Cấu hình thông số Ip trên máy này

Kiểm tra kết nối từ máy DC đến máy ISA

Kiểm tra kết nối từ máy ISA đến máy DC

Kiểm tra kết nối từ máy ISA ra Internet

Tiếp theo, trên máy DC ta sẽ tạo các đối tượng sau :

User Ma1\ 123abc!!!

Máy DC kiểm tra dịch vụ DNS ứng với mạng 172.16.1.0/24

Như vậy, việc chuẩn bị cho mô hình đã hoàn tất Tiếp theo chúng ta sẽ đi tìm hiểu và triển khai mô hình ứng với các chức năng : Access rule, Application & web filter , Server Publishing, VPN, Caching, Monitor

Ph ần 1 : Cài đặt ISA 2006

Phần này gồm các phần sau :

1 Cài đặt ISA Server 2006

2 Cấu hình Secure Nat

3 Cấu hình Web Proxy Client

4 Cài đặt và cấu hình Firewall Client

5 Cấu hình Auto Discovery

6 Tạo Access Rule để kiểm tra kết nối Internet

Chuẩn bị :

Máy DC: Windows Server 2003 đã nâng cấp lên Domain Controller

Máy ISA Server: Windows Sever 2003 đã Join domain

Dựa vào mô hình đã đề ra, ta thiết lập như sau :

1 Cài đặt ISA Server 2006

Tại máy DC vào thư mục chứa bộ cài đặt ISA SERVER 2006, chạy file isaautorun.exe

Chọn Install ISA Server 2006

Hộp thoại Welcome to the Install Wizard…, nhấn Next

Chọn I accept the terms in the license agreement, nhấn Next

Athena Research Team

Athena Research Team

Nhập Username, Organization, Product Serial Number, sau đó Bấm Next

Chọn Typical và bấm Next

Trong hộp thoại Internal Network, nhấn chọn Add

Sau đó bạn chọn Add Adapter …

Bạn chọn Card Lan, để khai báo đường mạng nội bộ mà bạn cần quản lý Nhấn Ok để tiếp

tục

Kiểm tra lại và nhấn Next

Tiếp theo trong hộp thoại Firewalll Client Connections, nhấn Next

Tiếp theo bạn để theo mặc định và nhấn Next

Hộp thoại Ready Install to Program Bấm Install để bắt đầu quá trình cài đặt

Hộp thoại Installation Wizard Completed, nhấn Finish

Mặc định sau khi cài ISA server xong, Default rule sẽ cấm các traffict từ bên ngoài kết nối

tới máy ISA, từ bên trong kết nối tới máy ISA

Từ máy DC, bạn Ping đến máy ISA ( 172.16.1.1 )

Từ máy ISA bạn ping đến máy DC ( 172.16.1.2 )

Từ máy ISA bạn ping đến địa chỉ của máy Internet ( 192.168.2.112 )

Máy ISA sau khi cài đặt ISA 2006 và đã kiểm tra các rules chuẩn Sau đó tiến hành join vào domain đã dựng sẵn trên máy PC2 ( athena.edu.vn ) Chúng ta sẽ bàn luận vấn đề này thêm ở

tập 2 của tài liệu này

2 Cấu hình Secure Nat cho Client :

Các máy trong mạng Internal chỉ việc thiết lập thông số Default Gateway là Ip của máy ISA

Bây giờ, tại máy ISA, ta sẽ thiết lập 1 access rule cho việc truy cập ra ngoài External

Mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule

Hộp thoại Access Rule Names, đặt tên rule là: Allow to Internet

Hộp thoại Rule Action, bạn chọn Allow

Hộp thoại Protocols, chọn All outbound traffic

Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal và Localhost

Hộp thoại Access Rule Destinations, nhấn Add, chọn External

Hộp thoại User Sets, chọn All User

Nhấn Finish để hoàn tất rule

Nhấn Apply

Kiểm tra việc truy cập đến www.google.com

Ta cũng có thể sử dụng DHCP Server với Option 003 Router để cấu hình Gateway cho các

máy Clients trong LAN

3 Cấu hình Web Proxy Client

Tại máy DC, mở Internet Explorer Chọn Tool \ chọn Internet option \ chọn Tab

Connection \ chọn mục LAN Setting

Mục Proxy Server điền Ip ứng với Card Lan của máy ISA, port : 8080

Kiểm tra lại việc kết nối đến trang http://athena.edu.vn

Tuy nhiên việc thiết lập Proxy trên từng Client như vậy sẽ mất rất nhiều thời gian cho người

quản trị Bạn có thể thiết lập Policy trên Domain cho các Client

Tại máy DC, mở Active Directory Users and Computers Chuột phải vào athena.edu.vn

chọn properties

Chọn tab Group Policy, bạn chọn New và đặt tên “ proxy for client “ Sau đó nhấn Edit

Vào User Configuration \ Windows Settings \ Internet Explorer Maintenance

\ Connection

Chọn tiếp Proxy Settings và Double Click Điền Ip card LAN của máy ISA, port 8080

Ta áp tiếp 1 policy để cấm Client có thể thay đổi thông số Proxy

Vào User Configuration \ Administrative Templates \ Window Components\

Internet Explorer Ch ọn tiếp Disable Changing Proxy Settings

Cuối cùng là gpupdate /force

4 Cài đặt và cấu hình Firewall Client

Tại máy DC, logon athena\Administrator

- Cài đặt ISA Firewall Client trong đĩa CD cài đặt (thư mục Client)

Hộp thoại Welcome to the Install…, nhấn Next

Tiếp theo bạn nhấn accept và cài đặt theo mặc định

Hộp thoại ISA Server Computer Selection, nhập vào địa chỉ IP của máy ISA Server, nhấn

Next

Chọn Install

5 Cấu hình Auto Discovery

Tại máy ISA Mở ISA Server Management, phần Configuration, chọn Network Ở khung

bên phải, right click Internal, chọn Properties

Chọn tab Auto Discovery, đánh dấu check vào Publish automatic discovery information

for this network

Tại máy DC, mở DNS manager

Click phải vào zone athena.edu.vn chọn New Alias (CNAME)…

Nhập WPAD vào ô Alias name

Ở khung FQDN, bạn Browse đến máy ISA Server

Sau đó bạn Restart lại DNS

Mở ISA Firewall Client, vào tab Setting, chọn Automatically detected ISA Server, chọn

Detect Now, kiểm tra máy client đã detect đuợc tên máy ISA Server

Bạn có thể tham khảo Video demo theo link sau :

Ph ần 2 : Access Rule

Sau khi cài đặt ISA cho mô hình, chúng ta thấy ISA đã phân tách hệ thống thành 3 vùng chính : Internal, Local Host ( nơi đặt ISA), External Mặc định, hệ thống sẽ bị tác động bởi Default Rule như đã được trình bày ở phần trên

Trong phần này, chúng ta cần nắm những khái niệm sau :

• Network Definition : khoảng địa chỉ Ip kết nối tới ISA Server, khoảng Ip này được

định nghĩa bằng 1 Network Name ISA sẽ quản lý khoảng Ip này thông qua Network Name

này

Để định nghĩa Network Name, trên ISA Server Management ta chọn mục Confirugation,

chọn tiếp mục Network

• Network Rule : quy định các mối liên hệ giữa các Network, các mối liên hệ này

được ISA Server kết nối với nhau Khi hệ thống của bạn có nhiều Network, ISA sẽ quy định

mối quan hệ của các Network thông qua 2 cơ chế : Route và NAT Ta sẽ đề cập tiếp vấn đề

này ở những phần sau

• Access Rule : quy định những traffict nào sẽ được đi qua ISA Server Đây là thành

phần quan trọng của ISA Server Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình

huống được nêu ra ở các mục bên dưới

Default Rule đã cấm mọi traffic ra vào thông qua ISA Server Như vậy, để các máy trong Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server phân giải các domain name này Ở đây ta sẽ sử dụng DNS Server của ISP

Ta sẽ tạo rule truy vấn DNS để phân giải tên miền ở bên ngoài

Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall Policy,

chọn New, chọn Access Rule

Hộp thoại Access Rule Names, đặt tên rule là: DNS Query

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn Selected Protocols và nhấn Add

Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add,

nh ấn Next

Hộp thoại Access Rule Sources, Add : Internal và Local Host Thực tế thì ta không nên

chọn Local Host

Hộp thoại Access Rule Destinaton, Add : External, nhấn Next

Hộp thoại User Sets, chọn All Users, nhấn Next

Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về Rule lần

cuối, sau đó nhấn Finish Nhấn chọn Apply, Ok

Kiểm ta lại kết quả: trên máy ISA

Máy DC :

Tuy nhiên, lúc này ta chỉ mới cho phép các traffic từ Internal được truy vấn DNS ra bên ngoài thông qua port 53 Do đó, để các máy Internal được phép truy cập ra ngoài sử dụng

những dịch vụ khác nữa, ta cần phải tạo thêm rule thông qua các tình huống dưới đây

truy cập Internet không hạn chế

Group Maketing đã được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉ việc định

nghĩa các đối tượng này trên máy ISA Để quản lý được các domain user ta phải joint máy ISA vào domain athena.edu.vn

Trong cửa sổ ISA Server Management, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục

Users, ch ọn New, hộp thoại User set name, đặt tên là Maketing rồi nhấn Next

Hộp thoại Users, nhấn Add, chọn Windows users and groups…

Add 2 users Man1 và Man2 vào h ộp thoại Users

Trong hộp thoại Completing, chọn Finish Nhấn Apply

Thực hiện tương tự cho các đối tượng còn lại

Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên Chuột phải Firewall Policy, chọn

New, ch ọn Access Rule

Hộp thoại Access Rule Names, đặt tên rule là: Allow Maketing – Full Access

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn All outbound traffic

Hộp thoại Access Rule Sources, add Internal, chọn Next

Hộp thoại Access Rule Destinaton, add External, chọn Next

Hộp thoại User Sets, remove group All Users, và add group Maketing vào, chọn Next

Hộp thoại Completing the New Access Rule Wizard, chọn Finish

Nhấn chọn Apply, chọn OK

Ki ểm tra kết quả

Logon user athena\Ma1