Cấu hình hệ thống ISA sever 2006

Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc...44 3.. Như: • Lọc gói tinpacket íìltering • Lọc trạng tháistateful filtering • Lọc tầng ứng

ĐẠI HỌC QƯÓC GIA THÀNH PHÓ HÒ

CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

THÔNG TIN

KHOA MẠNG MÁY TÍNH VÀ TRUYỀN

BÁO CÁO ĐÈ TÀI ISA SERVER

(Internet Security and Acceleration Server)

MÔN: QUẢN TRỊ HỆ THÓNG MẠNG

Nhóm sinh viên thực hiện:

TP HỒ CHÍ MINH, 02/12/2011 NHẬN XÉT CỦA GIÁO VIÊN:

Trang 3

MỤC LỤC:

I/ Giới thiệu:

1.1/Giól thiệu tống quan về quản lý hệ thống mạng: 6

1.2/Mục đích bài báo cáo: 7

II/ ISA server: 2.1/ Giới thiệu: 8

2.2/ Chức năng của phầnmềm 9

2.3/Cài đặt ISA Server 2006 9

Bước 1: Nâng cấp DC cho ISA2 (isa.local), ISA1 join domain 10

Bước 2: Cài “ISA 2006” lên ISA 1 10

Bước 3: Cài đặt SP1 cho ISA Server 15

Bước 4: Tạo Rule kiếm tra đường chuyền 17

Bước 5: Cấu hình Automatic Discovery 22

Bước 6: Cấu hình Remote Management 35

Một số ứng dụng thực tế: 1. Tạo rule cho phép traffic DNS Ọuery để phân giải tên miền 38 2. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 44

3. Tạo rule cho phép các User thuộc nhóm “Sep” sử dụng Internet không hạn chế 7

52

4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao 53 5. Chỉ cho xem “chữ” 55

6. Cấm xem trang www.kenhl4.vn -Redirect vềvnexpress.net: 56

7. Cấm chat yahoo 59

10. Caching 76

Triển khai Mô hình VPN TO GATEVVAY 1 T ạo domain User u 1/123, Properties Allow acess 84

2. Xác đinh Pool sổ ĨP được gắn 84

3. Bật tính năng VPN Client access, xác định số VPN kết nối tối đa, đồng thời 86

4. Định nghĩa nhóm VPN Client 88

5. Tạo Ru le cho phép kết nối VPN 89

6. Kiểm tra 89

2.4/ Đánh giá công cụ ISA server 2006: 2.4.1/Điếm yếu của của ISA server so với Forefront TMG 94

2.4.2/ Ưu điểm của ISA server 2006 so với ISA server 2004 96

2.5/ Lòi khuvên dành cho nhà quản trị ISA server 98

III/ Kết luận 98

Trang 5

I/ Giói thiệu:

1.1/ Giói thiệu tống quan về quản lý hệ thống mạng:

Sự phát triến và hội tụ mạng trong những năm gần đây đã tác động mạnh

đa dạng và phức tạp đã tạo ra các thách thức lớn trong vấn đề quản lý mạng

Nhiệm vụ của quản lý mạng rất rõ ràng về mặt nguyên tắc chung, nhưng

các đường trung kế, DSC/DAC, các bộ lặp, bộ tái tạo tín hiệu, các thiết bị chuyến

căn bản giữa truyền thông số liệu và trao đối thông tin quản lý là việc trao đôi

lý đòi hỏi các trường dữ liệu chuyên biệt, các giao thức truyền thông cũng như

(Internet Clients) cần truy cập các dịch vụ bên trong Mạng tố chức.

Firewalls luôn giừ truyền thống là một trong các loại thiết bị Mạng cấu hình phức

Bài báo cáo mô tả các vấn đề:

• Giúp bạn hiếu các tính năng cỏ mặt trên ISA Server

• Cung cấp những lời khuyên cụ the khi dùng tài liệu đế cấu hình ISA

Server

• Mô tả chi tiết thực hành triển khai (ISA SERVER)

Mục đích của đề tài là hướng dẫn cài đặt và cấu hình ISA server Cách sử

Tên máy Card Internet Card Cross

ISA Server cung cấp các tính năng tường lửa Như:

• Lọc gói tin(packet íìltering)

• Lọc trạng thái(stateful filtering)

• Lọc tầng ứng dụng(application-layer filtering)ISA Server cho phép truy cập an toàn vào Internet bang cách đảm bảo

hàng có thế truy cập chỉ những tài nguyên cần thiết trên Internet, và bằng cách

việc kết nối và truyền dữ liệu cả đến và đi tù’ Inernet được an toàn

ISA Server cho phép truy cập an toàn từ Internet vào tài nguyên mạng

2.3/Cài đặt ISA Server Standard:

Mô hình triên khai:

Bước 1: Năng cấp DC cho ISA2 ( isa.local), ISA1 join domaỉn.

Bước 2: Cài “ISA 2006” lên ISA1

Trang 10

Chạy file autorun trong bộ cài đặt.

Chọn Intall ISA Server 2006

Trả lời các câu hỏi bản quyền, serial

Setup type chọn: Typical

Trang 12

Hộp thoại Intemal Network -> Add ->khai báo range IP internal -> 0K-> next

Chọn các giá trị mặc định -> Finish

Trang 14

Bước 3: Cài đặt SP1 cho ISA Server

Microsolt ISA Server 2006 Service Pack 1- Installatĩon WĩzardLicense Agreement

Please read the following license

agreement caretully

X]

MICROSũn SOFTWARE

SUPPLEMENTAL LICENSE TERMS

INTERNET SECURITY AND

ACCELERATION SERVER 2006

SERVICE PACK 1

EOR MICROSOFT INTERNET

SECURITY AND ACCELERATION

SERVER 2006 _

< Back I Next > I Cancel

Trang 16

Restart lại máy

Bước 4: Tạo Rule kiểm tra đường chuyền

Mở ISA Management và chọn như hình dưới

Đặt tên Rule là Internet

Action chọn

Trang 18

Protocol chọn Aỉỉ outbound Traffice -> Next

Access Rule Source -> Add -> chọn

“Internal”&”Localhost”

Access Rule Destinations -> Add -> External

User Set -> All Users -> Next

Trang 20

- Apply

Saving Coníiguration changes

<ề

changes to the conhguration were successtully applied

changes applied to the conhguration do not impact

Kiểm tra truy cập vào Internet (tù- ISA2 ):

Trang 22

|@ ^Dornain Name System (DNS) 1.7MB

□ ậ Dynamic Host Contiguration Protocol (DHCP) 0.0

□ Internet Authentication Service 0.0 MB

□ ^iRemote Access Quarantine Service 0.1 MB

□ ^Isimple TCP/IP Services 0.0 MB

n ,^Windows Internet Name

'3 Google - Microsoft Internet Explorer

i StartỊ j 11 Google - Microsoft Int \) ũ 10:22 PM

Bước 5: cấu hình Automatic Discovery

Component > Networking Services > chọn details

Chọn “Dynamic Host Conííguration Protocol (DHCP)” > Ok > Next

Netvvorking Services

T 0 add or remove a component, click the check box A shaded box means that only Subcomponents oí Networking Services:

Description: Sets up a DHCP server that automatically assigns temporary IP

T otal disk space

Start > Program > Administrative tools > DHCP

Trang 25

Chuột phải lên isa2.isa.local > Chọn Authorise

ị StartỊ I [3 &

Chuột phải isa2.isa.local > Chọn New scope >

Màn hình welcome > Next > Scope name : đặt tên scope : ISA Scope > Next

Trang 27

Điền dãy IP sẽ cấp cho mạng lan

( Không chọn 172.16.1.3 đên 172.16.1.9 vì đê dành cho trường hợp hệ thông phát sinh thêm

sen>er và không chọn cấp dãy IP 172.16.1.1 & 172.16.1.2 ).

Add Excutions ( dùng khi không muốn cấp 1 IP nào đó trong dãy IP của

Ở đây để mặc định vì không loại bỏ IP nào trong dãy IP này cả

Màn hình lease Duration (thời gian sử dụng 1 IP ) > chọn Next

Trang 29

Màn hình Coníĩgure DHCP Options : chọn “Yes , I want to coníĩgure these

chọn Next

Màn hình Router (deíault gateway) :

Trong ô

Parent Domain : isa.local

Server name : isa.local > chọn Resolve

Trong ô IP address đã nhận đúng IP server > chọn Add

Màn hình Wins > Điền trong ô server name : isa.local > Chọn resolve > Trong ô

đã nhận đúng ỈP server > chọn Add > Next

Trang 31

New Scope Wizard

To change this behavior for Windows

DHCP clients modity option

< Back Next > Cancel

Màn hình Activate > Chọn “Yes, I want to activate this scope

now”

> Next > Finish

2 DHCP > Set Pređeíĩneđ options

Chọn Add để khai báo option mới

Trang 33

Chọn Option Name: 252 WPAD

Nhập Valule: http://isal isa local:80/WPAD.DA

T

Trang 34

Mở DNS Manager > Khai báo Alias WPAD ứng với tên máy ISA

Bước 6: cấu hình Remote Management

Tại máy ĨSA1:

Mở ISA Server Management > Firewall Policy > Toolbox

Objects > Computer Sets > Remote Management Computer

Add > Computer > khai báo tên & địa chỉ máy chăn (172.16.1.2) > OK

sổ chính > Apply

Trang 36

Tại máy ISA2:

Chạy AutoRun của bộ Software ISA 2006 è Chọn cấu hình mặc định èChương

trình

tự động gợi ý chọn ISA Management è chọn các thông số mặc định để hoàn

Chạy ISA Management c click nút phải chuột trên ISA Management è Connect

to è Nhập tên máy lẻ

Trang 38

Lúc này có thế thực hiện các thao tác trên ISA 2006 như tại máy lẻ

MỘT SÓ ỨNG DỤNG THựC TÉ

1 Tạo rule cho phép traffìc DNS Querv đế phân giải tên miền:

ISA Management > Firewall Policy > New > Access Rule

Gõ “DNS Ọuery” vào ô Access Rule Name > Next

Trang 40

Action chọn “Allow” > Next

Trong “This Rule Apply to:” chọn “Selected Protocols” Add > Common Protocol > DNS >

OK > Next

Trang 42

Trong “Access Rule Source” > Adđ > Netvvorks > Internal > Add > Close > Next

Trong “Access Rule Destination” > Add > Netvvorks > Extemal > Close > Next

Trong “User Sets” chọn giá trị mặc định “All Users” > Next > Finish

Trang 44

Apply > OK

Kiểm tra tại ISA2:

Dùng lệnh NSLOOKUP đế phân giải tên miền bất kỳ

2 Tạo rule cho phép các User thuộc nhóm “Nhân Viên ” xem trang

vnexpress.net

trong giờ làm việc

a - Định nghĩa nhóm “Nhan Vien ”

h - Định nghĩa URL Set chứa trang vnexpress.net

c — Định nghĩa “giờ làm việc ”

a- Định nghĩa nhóm “NhanVien”

Dùng chương trình “Active Directory User and Computer” tạo 2 User nvl, nv2 (password123)

Tạo Group “NhanVien”

Đưa 2 User nvl, nv2 vào Group “NhanVien”

ISA Server Management > Firewall Policy > Toolbox > Ưsers > New

Trang 46

Nhập chuỗi “Nhan Vien ” vào ô User set name > Next

Add > Winđows User and Group

Chọn Group “Nhan Vien” > Next > Finish

Trang 48

b- Định nghĩa URL Set chứa trang vnexpress.net

+ ISA Server Management > Firewall Policy > Toolbox > Netvvork

Objects > New > URL Set

Dòng name đặt tên “vnexpress” > New, khai 2 dòng

http://vnexpress.net

> OK

Trang 50

c- Định nghĩa giờ làm việc

ISA Server Management > Firewall Policy > Toolbox > Schedule > New

Name: Gio Lam Viec

Chọn Active tù’ 8am ->12pm & 2pm ->6 pm >

OK

d- Tạo Access rule theo các thông số sau:

Rule Name: Nhan Vien - Gio lam viec

(Các thao tác làm tương tự như phần I)

Click nút phải chuột trên rule vừa tạo > Chọn Schedule > Gio lam viec > OK > Apply Rule

Trang 52

Kicm tra:

Disable rule Internet:

Logon nvl, kiếm tra giờ của máy: trong giờ làm việc, mở thử vnexpress, mở thử google.

Logon User khác (không phải nvl, nv2), mở thử vnexpress, mở thử google

( xem clip demo kết quả Nhan Vien - Gio lam viec.avi)

3- Tạo ruỉe cho phép các User thuộc nhóm “sếp” sử dụng Internet không hạn chế

Tạo Group “Sep”

Đưa 2 User s 1, s2 vào Group “Sep”

Các bước còn lại làm tương tự phần 2a(định nghĩa nhóm NhanVien)

b- Tạo rule

Trang 54

Tạo Access mle theo các thông số sau:

Logon sl, thử truy cập internet ( xem elip demo ket qua Sep.avi)

4 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao

a - Định nghĩa giờ giải lao

Các thao tác làm tương tự như phần 1

Sau khi tạo rule xong, chọn properties của rule vừa tạo > Schedule >Gio giai lao

Xem clip demo ket qua: “Chỉ duoc xem chu.avi”

6 - Cấm xem trang www.kenhI4.vn -Redirect về vnexpress.net:

a - Định nghĩa các trang web muốn

Tạo URL Set tương tự phần 2b, đặt tên là “Nhung trang web cam”, trong URL Set khai báo:

http://Lkenhl4.vn

http://kenhl4.vn

b - Tạo rule:

Tạo Access rule theo các thông sổ sau:

Rule Name: Web bi cam

Action: Deny

Protocols: All Outbound Traffic

Source: Internal

Destination: URL Set > Nhung trang web camUser: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo mle, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1

Xem clip demo kết quả “Cam kenhl4vn.avi”

7- Cấm chatyahoo

1. Mở port cho chạy yahoo trong hệ thống

2. Thực hiện cấm signin yahoo

1 Mở port cho chay vahoo trong hê thống

Mặc định yahoo không sign in được, muốn chạy được yahoo phải thiết lập Access

rule

Rule Name: Mo port

Protocols: Yahoo port

Khi chọn Protocol > Add>New

Đặt tên Yahoo port

Trang 62

Chọn New > Nhập port 5000 -> 5050

Chọn No

Next > Finish

Destination: External

User: All Users

Các thao tác làm tương tự như phần 1

Test đăng nhập yahoo trong giờ làm việc (trước khi cấm ):

“SigninYahoo.avi

2.

Cấm chat:

Dùng ADƯC tạo Group “KeToan”

Đinh nghĩa nhóm “KeToan”

Tạo Rule “KeToan”, cho sử dung internet thoải mái

Trang 64

Làm tương tự như các phần trên.

OK > Apply >OK

Xem demo kết quả clip “Denyyahoo.avi

8- Cấm down Jĩle có đuôi

exe

Chuột phải Rule “Sep” > Coníĩgure HTTP

Trang 66

Extension > Block speciíieđ extensions (allow all others )

Điền thông số Extension: exe > OK

Apply> OK

Tương tự như vậy cho Rule “Giai Lao” & “Nhan Vien - Gio Lam Viec”

Xem clip demo kết quả “Cam downfìle duoi exe.avi”

B3: Require all users to Authenticate >OK>Apply

+ Xem các phiên giao dịch

Trang 70

Client đi ra bằng webproxy, SecureNat Xem cột Client Username : biết được

hiện

+ Xem chi tiết hon với tab Logging:

BI: Monitoring > tab Logging >start Querry

Thấy được luồng traffic đang đi bằng Protocol nào, thành công thất bại,

Protocol nào

Trang 72

URL cho biết đối tượng truy cập:

Lập báo cáo thống kê:

BI: Monitoring > Tab Reports > Create And Conílgure Report Jobs

B2: Report Job Properties > Add

Trang 74

Màn hình Welcome gõ “Test Job”

Report Content > Next

Trang 76

Report Job sheđule > Next

( Chọn lịch báo cáo )

Report Publishing > Next

Send E-mail Notiíìcation > Next > Finish > Apply

B3: Xem cột Statiis Completed

B4: Chuột phải > view > xem kết quả

Trang 78

B2- Cache Drives > Properties

Trang 80

B3-Maximum cache size (MB): “1000” > Set>OK

2 Tạo Content Download Job

Bl- Coníĩguration > Cache > New > Content Download Job >Yes

Trang 82

ị start| I © & Ị& ■ I C:\Inetpub\wwwroot IỊ J Microsoft Internet Se ọ ỉs LJ 9:Ũ7PM

B2- Download Job Name : www.tuoitrc.vn

Lựa chọn ngày Cache

Trang 84

Thời gian bát đầu Caehe

Content Download >http://www.tuoitre.vn

Content Caching > mặc định >Next > Finish

Chuot phải lên Rule vừa tạo > Start

Trang 86

Triển khai Mô hình VPN TO GATEWAY

1 Tạo domaìn User ul/123, Properties Aỉlow acess

2 Xác đinh Pool số IP được gắn

ISA Management > Virtual Private Network > VPN Client > Taskpane > Task >Defìne

Trang 88

3 Bắt tính năng VPN Client access, xác đinh số VPN kết nối tối đa, đồng thời

BI: Chọn Coníigure VPN Client Acess

Trang 90

B2: Tab General > Enable VPN Client access > 100 ( Maximum number of

allowed)

KSearch ► ■

Help and Support 1

£7 Run

shut Down

B2: Ađd > Windows User and group > chọn ul

se E

Apply > OK

6. Kiểm tra:

Máy thứ 3 nối với ISA1 bằng card Internet

Bl: Start > Setting > Network Connection

Printẹĩỹ anrl FạypĩDisplays existing network

- Control Panel

3 Network Connections

Connect using a modem and a regular

phone line or an Integrated Services

Digital

Network (ISDN) phone line

* ^ĩdual Private Netwoik conneclioni

< Back I Next > I Cancel

New Connection Wizard

VPN Server Selection

What is the name or address of the VPN

server?

Type the host name or Internet Protocol (IP)

address of the Computer to which you are

2006 TM

G

Internet access protection (proxy) ✓ ✓

Netvvork inừusion prevention

Enhanced UI management

s New

2.4/ Đánh giá công cụ ISA server 2006:

2.4.1/ Điếm vếu của của ISA server so vói Forefront TMG

ISA server 2006 không hồ trợ chạy trên windows server 2008 64bit, không lọc URL,

hơn (chạy trên 64bit mà)

Do Forefont TMG là thế hệ sau của thằng ISA 2006 có thêm tính năng

2.4.2/ ưu điểm của ISA server 2006 so vói ISA server 2004:

về giao diện thì ISA 2006 giống ISA 2004 đến 90% Tuy nhiên, nó có

năng mới nôi trội hơn mà ISA 2004 vẫn còn hạn chế, chăng hạn như:

• Phát triển hồ trợ OWA, OMA, ActiveSync và RPC/http Publishing

• Hồ trợ SharePoint Portal Server

• Hồ trợ cho việc kết nối nhiều Certiíìcates tới 1 Web listener

• Hồ trợ việc chứng thực LDAP cho Web Publishing Rules

Đặc điếm noi bật của bản 2006 so với 2004 là tính năng Publishing và VPN

• về khả năng Publishing Service

ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào

phiên kết nối được mã hóa trên Internet (kế cả password)

Block các kết nổi non-encrypted MAPI đến Exchange Server, cho phép

người dùng kết nối an toàn đến Exchange Server

Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ