Tất cả các cửa sổ còn lại ấn next cho đến khi cài ISA xong Lab 2: Tạo access rule cho internal và máy ISA ra internet.. Vào start å programs å Microsoft ISA server å ISA server managemen
Trang 1ISA Server Tài li u th c hành dành cho h c viên
M c l c
Module 1: Overview of Microsoft ISA Server 2004 2
Module 2: Installing and Maintaining ISA Server 2
Module 3: Enabling Access to Internet Resources 17
Module 4: Configuring ISA Server as a Firewall 33
Module 5: Configuring Access to Internal Resources 40
Module 6: Integrating ISA Server 2004 and Microsoft Exchange Server 79
Module 7:Advanced Application and Web Filtering 96
Module 8: Configuring Virtual Private Network Access for Remote Clients and Networks 103
Module 9: Implementing Caching 141
Module 10: Monitoring ISA Server 150
Trang 2ISA 2006
Module 2: Installing and Maintaining ISA Server
Xây dựng mô hình và khai báo ip cho các pc như hình vẽ
Lab 1: Cài ISA server
1 Vào thư mục chứa source ISA double click vào file ISAAutorun.exe
Trang 3ISA Server Tài li u th c hành dành cho h c viên
2 Xuất hiện cửa sổ Microsoft ISA server 2006 setup, chọn Install ISA server 2006 å next
3 Chọn option I accept the terms in the license agreement å next
Trang 5ISA Server Tài li u th c hành dành cho h c viên
Nhập vào CD key å next
4 Chọn option Typical hay Custom đều được å next å next
5 Aán add rồi ấn add range nhập vào dãy ip internal của ISA å ok å next
Trang 66 Tất cả các cửa sổ còn lại ấn next cho đến khi cài ISA xong
Lab 2: Tạo access rule cho internal và máy ISA ra internet
1 Vào start å programs å Microsoft ISA server å ISA server management, Click
phải vào Firewall Policy chọn Newå Access Rule, đặt tên cho access rule å next
2 Chọn Option Allow å next, chọn Selected protocols ấn Add chọn các protocol như
hình vẽ å next
Trang 7ISA Server Tài li u th c hành dành cho h c viên
3 Tại cửa sổ Access Rule Sources ấn Add chọn Internal và Local Host å next
4 Tại cửa sổ Access Rule destinations ấn Add chọn External å next
Trang 85 Tại cửa sổ user sets chọn All users å next å finish
6 Aán Apply
Trang 9ISA Server Tài li u th c hành dành cho h c viên
Lab 3: Client truy cập internet dùng SecuNat
1 Tại máy client khai báo Ip đầy đủ các thông tin sau åok
2 Vào IE truy cập thử vào trang http://www.vsic.com và các trang web khác
Trang 10Lab 4: Client sử dụng proxy
1 Tại máy client khai báo ip như sau: (không có GW và DNS)
2 Vào IE, vào menu tools chọn Internet Options, Chọn thẻ Connections, ấn LAN
Setting
Trang 11ISA Server Tài li u th c hành dành cho h c viên
3 Check vào Use a proxy server for your LAN, nhập vào IP của card INT ISA port
Trang 122 Vào ổ đĩa chứ source ISA server 2006 chọn thư mục Client, double click vào file setup.exe hay file MS_FWC.MSI để cài firewall client
3 Chọn option I accept the terms in the license agreement å next å next
Trang 13ISA Server Tài li u th c hành dành cho h c viên
4 Chọn option Connect to this ISA server computer, nhập vào IP internal của máy ISA å next ( nếu có DNS server, tạo alias là WPAD cho card internal của ISA thì
ở cửa sổ này chọn option Automatically detect the appropriate ISA server
computer)
5 Truy cập vào trang http://www.vsic.com hay trang http://www.vsic.com/forum để kiểm tra
Lab 6: Backup and Restore
1 Click phải vào firewall policy chọn Export å next
Trang 142 Có thể đặt password cho file backup å next
3 Chọn ổ đĩa cần lưu file backup å next å Finish
4 Chọn access rule Allow Internet chọn delete
Trang 15ISA Server Tài li u th c hành dành cho h c viên
5 Click phải vào firewall policy chọn Import å next, chọn file cần restore å next
6 Tiếp tục ấn next å finish
Trang 17ISA Server Tài li u th c hành dành cho h c viên
Module 3: Enabling Access to Internet Resources
Xây dựng mô hình như module 1, cài ISA server và tạo rule ra internet
Lab 1: Tạo thêm protocol
1 Đứng tại máy client truy cập trang http://www.itvietnam.com.vn:8099/feedback,
không truy cập được vì trang này sử dụng port 8099 å cần phải tạo thêm protocol
cho port này
2 Chọn Firewall policy å chọn thẻ Toolbox , chọn protocolså new å protocol (như
hình vẽ)
3 Gõ vào tên của protocol å next
4 Aán nút New
Trang 185 Chọn Protocol type, Direction, và Port range ( như hình vẽ)å next
6 Tiếp tục ấn next
Trang 19ISA Server Tài li u th c hành dành cho h c viên
7 Tại cửa sổ Secondary Connections chọn Option No å nextå finish
8 Click phải vào Rule Allow Internet chọn Properties, chọn thẻ Protocols, ấn nút add
å chọn User-Defined chọn port vừa tạo å ấn add
Trang 209 Ok åApply Đứng tại máy client truy cập thử vào trang
http://www.itvietnam.com.vn:8099/feedback lúc này đã truy cập thành công
Lab 2: Tạo URL set
1 Ví dụ ta cần cấm không cho Client internal truy cập vào trang
http://www.tuoitre.com.vn trước tiên ta phải tạo URL set
2 Chọn Firewall policy, chọn thẻ Toolbox, chọn network Objects å Newå URL set
Trang 21ISA Server Tài li u th c hành dành cho h c viên
3 Gõ vào tên cho URL set å ấn nút Add gõ vào trang web cần cấm å next
4 Nếu muốn cấm thêm trang nào chỉ cần ấn nút Add và gõ vào địa chỉ của trang đó
5 Click phải vào Firewall policy chọn New å Access rule å gõ vào tên rule ví dụ là Deny Tuoitrể next å chọn Option Deny å next
Trang 226 Tại cửa sổ Protocols chọn All Outbound traffic å next
7 Tại cửa sổ Access Rule Sources ấn nút Add chọn Internal å next
Trang 23ISA Server Tài li u th c hành dành cho h c viên
8 Tại cửa sổ Access Rule Destinations ấn nút Add å chọn URL sets chọn tuoitre å next
9 Tiếp tục ấn next å finish å Apply
Trang 2410 Tại máy client truy cập vào trang http://www.tuoitre.com.vn lúc này không thể truy cập được nữa
Lab 3: Tạo computer và Computer set
1 Giả sử ta cần cấm PC10 có IP là 200.200.200.10, PC11 có IP là 200.200.200.11 và PC12 đến PC15 có IP từ 200.200.200.12 – 200.200.200.15 truy cập Internet ta cần
phải tạo Computer hay Computer set
2 Chọn Firewall policy, chọn thẻ Toolbox, chọn Network Objectså computer
3 Gõ vào tên pc name và Ip của PC cần tạo å Ok
Trang 25ISA Server Tài li u th c hành dành cho h c viên
4 Tương tự như bước 1 như chọn Computer set, nhập vào tên ấn add chọn Computer nhập vào pc11 và IP của PC11, tiếp tục ấn nút add chọn address range nhập vào dãy IP từ Pc12 đến pc15å OK
Trang 265 Bây giờ ta đi tạo access rule để deny các computer và computer set Click phải vào Firewall Policy å New å Access Rule å đặt tên cho rule å nextå chọn All outbound traffic å next
6 Chọn option deny å next
7 Tại cửa sổ Access rule source ấn Add å chọn Computers double click vào PC10, chọn Computer sets doublr click vào PC11—pc15 å close å next
Trang 27ISA Server Tài li u th c hành dành cho h c viên
8 Tại cửa sổ Access Rule Destinations ấn Add å chọn External å next å next å Finish
9 Aán Apply
Trang 2810 Đứng tại PC10 truy cập thử internet, lúc này PC10 không truy cập được nửa
Lab 4: Tạo Schedule
1 Giả sử ta muốn cho các user internal chỉ được phép truy cập internet từ 8 :00 –
12 :00 Ta tạo Schedule
2 Chọn Firewall Policy, chọn Scheduleså new, nhập vào tên và thời gian cho phép truy cập å OK
Trang 29ISA Server Tài li u th c hành dành cho h c viên
3 Click phải vào rule Allow Internet chọn Properties
4 Chọn thẻ Schedule, chọn Schedule8h-12hå ok, Apply
Trang 305 Tại máy client chỉnh lại giờ là 9:00 sau đó truy cập thử internet, lúc này không truy cập được nửa
Lab 5: Tạo Network và network set
1 Chọn Configuration, chọn networks, chọn thẻ networks, chọn tiếp thẻ tasks ở cửa sổ bên phải chọn Create a new networkå chọn Internal network å next
Trang 31ISA Server Tài li u th c hành dành cho h c viên
2 Tại cửa sổ Network Address ấn Add range, nhập vào dãy IP cần dùng åokå next
å finish å Apply
3 Chọn thẻ Network sets, ở thẻ tasks bên phải cửa sổ chọn Create a new netword set Đặt tên cho network setå next
Trang 324 Check vào internal và internal2 å next å finish å apply
Trang 33ISA Server Tài li u th c hành dành cho h c viên
Module 4: Configuring ISA Server as a Firewall
Xây dựng mô hình như hình vẽ
Lab 1: Dùng Templates
Mục đích: Cấu hình isa server bằng template
1 Vào Isa, Chọn Configuration\networks, ở cửa sổ bên phải chọn tab templates chọn template Edge Firewall
2 Xuất hiện màn hình welcome å next
Trang 343 Nếu isa đã được cấu hình trước đó muốn lưu lại cấu hình đó ấn export chọn ổ đĩa và file cần lưu Nếu không muốn lưu cấu hình trước đó ấn next
4 Nhập vào dãy IP của internal ånext
Trang 35ISA Server Tài li u th c hành dành cho h c viên
5 Chọn firewall policy phù hợp, trong trường hợp này chọn Allow limited web
access (Tạo rule ra net) å next å finish
6 Các rule đã được tạo tự động
Trang 367 Truy cập thử web site http://www.vsic.com/forum > truy cập thành công
8 Tương tư như trên nếu cần xây dựng mô hình 3-leg ta cũng có thể sử dụng template cho mô hình này, chỉ định dãy IP cho ineternal, dãy Ip cho perimeter
Trang 37ISA Server Tài li u th c hành dành cho h c viên
9 Chọn firewall policy phù hợp
10 Và cũng sẽ có những rule được tạo sẵn
Trang 38Lab 2: System policy
1 Vào ISA, chọn Firewall policy, ở cửa sổ bên phải chọn Show System Policy Rules,
sẽ xuất hiện 30 system policy
2 Aán Edit system policy khi cần chỉnh sửa policy system
Trang 39ISA Server Tài li u th c hành dành cho h c viên
3 Giả sữ cần cho các máy internal ping đến ISA, chọn rule ICMP (ping) chọn thẻ
From add Internal, local host åok å apply Lúc này từ máy client có thể ping
máy ISA
Lab 3: Configuring Intrusion Detection (Xem lab 3 module 10)
