Ü Máy này làm máy client cho ISA... Trong mô hình 3-leg này, đ ng DMZ đóng vai trò là Perimeter.. Trong ph n này ta ch n Allow limited Web acces and access to ISP network services.. MaI
Trang 1Lab 5 : Xây d ng m ng b ng Network Template
-oOo -
A YÊU C U:
I Mô Hình:
II M c tiêu:
Bi t cách xây d ng mô hình m ng t nh ng Template mà ISA đã cung c p s n
Phòng ng a hành đ ng Scan Port
III Yêu c u bài Lab:
Chu n b 3 máy o v i các thông s nh sau :
o Máy o 1:
Ü H H: Windows Server 2003 Enterprise làm Server 02
Ü Máy 1 Card m ng IP nh mô hình trên
Ü Nâng c p lên Domain Controler v i mi n MaIT.vn
Ü Ch y DNS server trên máy này
o Máy o 2:
Ü H H: Windows Server 2003 Enterprise làm Server 01
Ü Máy 3 Card m ng IP nh mô hình trên
Ü Cài ISA Server 2006 lên máy này
o Máy o 3:
MaIT Education http://www.MaIT.vn
Trang 2o Máy o 4:
Ü H H: Windows XP Professional
Ü Máy này làm máy client cho ISA Cho máy o 2 gia nh p vào Domain tr c khi cài ISA server 2006
Cho máy o 3,4 gia nh p vào Domain
B H NG D N:
I Các b c th c hi n:
Yêu c u: xây d ng h th ng m ng 3-Leg Perimeter
Ü Vào Configurate å Network , ch n qua Tab Template, trong ph n Template,
t i v trí th 2 có mô hình 3-leg perimeter, click vào đó
Ü Trong màn hình Welcome, nh n Next đ ti p t c
Ü Trong màn hình Export the ISA server configuration, nh n Next đ ti p t c
Ü Trong màn hình Internal Network IP Address, ISA server t đ ng nh n đ nh
cho ta đ ng m ng Internal, nh n Next đ ti p t c
Trang 3Ü Trong màn hình Perimeter Network IP Address,nh n Add Adapter … đ ch n
đ ng m ng DMZ Trong mô hình 3-leg này, đ ng DMZ đóng vai trò là Perimeter
Nh n Next đ ti p t c
Ü Trong ph n Select a Firewall Policy có li t kê m t s mô t p h p các Rule m u
Trong ph n này ta ch n Allow limited Web acces and access to ISP network
services Nh n Next đ ti p t c
MaIT Education
http://www.MaIT.vn
MaIT Education http://www.MaIT.vn
Trang 4Ü Nh n Finish đ k t thúc
Yêu c u: S a các c u hình Network Rules không phù h p:
Rule th 3: Perimeter Configuration : đ i t NAT å Route
Rule th 4: Perimeter Access : đ i t Route å NAT
Yêu c u: S a các c u hình Firewall Policy không phù h p:
Rule th 1: Web Access Only : thêm Perimeter vào Source Network, xoá Perimeter
kh i Destination Network
Yêu c u: hi u ch nh system policy đ cho phép remote desktop vào server01 t
server02
Ü Ch n show system policy rule đ show h t t t c các Rule m c đ nh đ c t o
Ü Th c hi n ch nh s a Rule th 3
MaIT Education http://www.MaIT.vn
Trang 5Ü Vào Tab From , ch n Remote Managerment Computers Nh n Edit đ chính
s a (t c thêm 1 máy m i có quy n Remote đ n ISA
Ü Nh n Add å computer đ thêm 1 PC m i
MaIT Education
http://www.MaIT.vn
MaIT Education
http://www.MaIT.vn
Trang 6Ü Trong h p tho i New Computer Rule Element, ta đi n tên máy và IP c a máy
c n Add vào Trong tr ng h p này IP c a DC là Server02: 200.20.20.2
Ü Nh n OK đ k t thúc
Yêu c u: hi u ch nh system policy đ cho phép Server01 truy xu t các Website
www.vnexpress.com , www.tuoitre.com.vn
Ü Th c hi n ch nh s a Rule th 26
MaIT Education http://www.MaIT.vn
MaIT Education http://www.MaIT.vn
Trang 7Ü Ch n System Polcicy Allowed Sites å nh n Edit….Trong h p properties ta
add vào 2 trang web vnexpress.net và tuoitre.com.vn
MaIT Education
http://www.MaIT.vn
MaIT Education
http://www.MaIT.vn
Trang 8Ü Vào Configuration ch n General , trong ph n Additional Security Policy ta
ch n Enable Intruction Detection and DNS Attack Detection
Ü Trong h p tho i Intruction Dectection, ta check vào d u check cu i cùng : Port
Scan đ b t ch c n ng phát hi n scan port Trong ô Well-know ports ch nh l i s 5
ây là thông s nói cho ISA bi t sau 5 port b scan thì s phát c nh báo
MaIT Education http://www.MaIT.vn
Trang 9Yêu c u: th c hi n scan port và xem log trên ISA
Ü Dùng 1 máy bên ngoài S d ng 1 ng d ng tên là PortQry Chép ng d ng này
vào vào bung nén ra đ l y file PortQry.exe
MaIT Education http://www.MaIT.vn
MaIT Education http://www.MaIT.vn
Trang 10Ü Ki m tra c nh báo trên Server: Vào Monitoring å ch n tab Alerts
MaIT Education http://www.MaIT.vn
MaIT Education http://www.MaIT.vn