ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 1
LỜI MỞ ĐẦU
ooOOoo
Tài liệu được thực hiên nhằm mục đích giúp các bạn học viên củng cố kiến thức và cũng
thông qua đó, hổ trợ các bạn tốt hơn trong việc thực hành Lab tại nhà.
Xin chân thành gởi lời cảm ơn đến GV-Trần Văn An, GV-Lê Đình Nhân, MCT-Lê
Ngọc Hiến, MCT-Đào Duy Hiếu, anh Trần Quốc Toản … đã chia sẻ những thông tin,
những kinh nghiệm thực tiễn, qua đó giúp cho việc thực hiện tài liệu được tốt hơn.
Xin chân thành cảm ơn trung tâm Đào Tạo & Quản Trị Mạng Athena đã tạo điều kiện
cho tôi thực hiện tài liệu này.
Tài liệu được phân làm 2 tập :
+ Tập 1 : Khái quát và triển khai ISA Server 2006 trên mô hình Bastion Host. Trong
phần này có sử dụng video demo do GV-Trần Văn An cung cấp.
+ Tập 2 : Phân tích và triển khai hệ thống Firewall ứng với các mô hình phức tạp
thông qua hai dòng sản phẩm của Microsoft : ISA Server 2006 & Threat Management
Gateway 2010.
Trong quá trình thực hiện, chắc chắn sẽ không tránh khỏi những sai sót. Mọi sự đóng góp
ý kiến của các bạn sẽ giúp cho tài liệu ngày càng hoàn thiện hơn. Các bạn có thể liên hệ theo
địa chỉ email sau : hoặc
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 2
ISA Server 2006 là phiên bản tiếp theo của sản phẩm Microsoft ISA Server. Có một số
tính năng mới so với phiên bản ISA 2004 như :
+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP publishing.
+ Hổ trợ SharePoint Portal Server.
+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener.
+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules.
Bạn có thể tải ISA Server 2006 theo link sau :
Trong tài liệu này bài Lab gồm các phần như sau :
1. Cài đặt ISA 2006
2. Access rule
3. Application & web filter
4. Server Publishing
5. VPN
6. Caching
7. Monitor
Trong suốt tài liệu này, mô hình Bastion Host sẽ được áp dụng.
Các bài Lab sẽ sử dụng chương trình VMWare WorkStation phiên bản 7.1.4 build-
385536. Đây là 1 ứng dụng cho phép bạn có thể chạy nhiều máy tính ảo sử dụng chung các
thiết bị phần cứng.
Bạn có thể tải chương trình theo link sau :
Password download : athena
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 3
Chúng ta sẽ xây dựng và sử dụng 3 máy tính ảo theo mô hình sau :
Card mạng
Card LAN
Card WAN
Máy ISA Server
IP Address: 172.16.1.1
Subnet Mask: 255.255.255.0
Gateway:
Preferred DNS: 172.16.1.2
IP Address: 192.168.2.111
Subnet Mask: 255.255.255.0
Gateway: 192.168.2.1 (địa chỉ Router)
Preferred DNS:
Máy DC
IP Address: 172.16.1.2
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.1
Preferred DNS: 172.16.1.2
Không thiết lập
Máy internet
Không thiết lập
IP Address: 192.168.2.112
Subnet Mask: 255.255.255.0
Gateway: 192.168.2.1 (địa chỉ Router)
Preferred DNS: 8.8.8.8
Để sử dụng chương trình VMWare, bạn có thể tham khảo theo link sau :
Hoặc :
Đường mạng trong ( internal ) nối máy DC với máy ISA Server ta sẽ chọn kiểu đường mạng
là VMNet2
Mạng
Sơ đồ mạng 1
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 4
Đường mạng nối máy internet và máy ISA Server ta sẽ chọn chế độ Bridged.
Athena Research Team
Athena Research Team
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 5
Máy tên internet là máy đại diện cho các traffic từ External kết nối đến máy ISA server.
Cấu hình thông số Ip trên máy Internet. Ở đây ta sẽ giả lập mạng 192.168.2.0/24 là mạng từ
External .
Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface. Ta đặt tên cho 2
interface này như sau :
• LAN : kết nối tới các traffict trong Internal.
• WAN : kết nối tới các traffict ở External.
Cấu hình thông số Ip trên 2 interface này :
Athena Research Team
Athena Research Team Athena Research Team
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 6
Máy tên DC là máy đại diện cho các traffic từ Internal đến máy ISA. Tại máy này ta sẽ nâng
cấp thành Domain Controller, Mail Server, Web Server . Cấu hình thông số Ip trên máy này.
Kiểm tra kết nối từ máy DC đến máy ISA
Kiểm tra kết nối từ máy ISA đến máy DC
Kiểm tra kết nối từ máy ISA ra Internet
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 7
Tiếp theo, trên máy DC ta sẽ tạo các đối tượng sau :
OU
Maketing
Sale
Training
Manager
Group
Maketing
Sale
Traning
Manager
User
Ma1\ 123abc!!!
Ma2\ 123abc!!!
S1\ 123abc!!!
S2\ 123abc!!!
T1\ 123abc!!!
T2\ 123abc!!!
Man1\123abc!!!
Man2\ 123abc!!!
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 8
Máy DC kiểm tra dịch vụ DNS ứng với mạng 172.16.1.0/24
Như vậy, việc chuẩn bị cho mô hình đã hoàn tất. Tiếp theo chúng ta sẽ đi tìm hiểu và triển
khai mô hình ứng với các chức năng : Access rule, Application & web filter , Server
Publishing, VPN, Caching, Monitor.
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 9
Phần 1 : Cài đặt ISA 2006
Phần này gồm các phần sau :
1. Cài đặt ISA Server 2006.
2. Cấu hình Secure Nat.
3. Cấu hình Web Proxy Client.
4. Cài đặt và cấu hình Firewall Client.
5. Cấu hình Auto Discovery.
6. Tạo Access Rule để kiểm tra kết nối Internet.
Chuẩn bị :
Máy DC: Windows Server 2003 đã nâng cấp lên Domain Controller
Máy ISA Server: Windows Sever 2003 đã Join domain
Dựa vào mô hình đã đề ra, ta thiết lập như sau :
1. Cài đặt ISA Server 2006.
Tại máy DC vào thư mục chứa bộ cài đặt ISA SERVER 2006, chạy file isaautorun.exe
Chọn Install ISA Server 2006
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 10
Hộp thoại Welcome to the Install Wizard…, nhấn Next
Chọn I accept the terms in the license agreement, nhấn Next
Athena Research Team
Athena Research Team
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 11
Nhập Username, Organization, Product Serial Number, sau đó Bấm Next
Chọn Typical và bấm Next
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 12
Trong hộp thoại Internal Network, nhấn chọn Add
Sau đó bạn chọn Add Adapter …
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 13
Bạn chọn Card Lan, để khai báo đường mạng nội bộ mà bạn cần quản lý. Nhấn Ok để tiếp
tục .
Kiểm tra lại và nhấn Next
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 14
Tiếp theo trong hộp thoại Firewalll Client Connections, nhấn Next
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 15
Tiếp theo bạn để theo mặc định và nhấn Next
Hộp thoại Ready Install to Program. Bấm Install để bắt đầu quá trình cài đặt
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 16
Hộp thoại Installation Wizard Completed, nhấn Finish
Mặc định sau khi cài ISA server xong, Default rule sẽ cấm các traffict từ bên ngoài kết nối
tới máy ISA, từ bên trong kết nối tới máy ISA .
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 17
Từ máy DC, bạn Ping đến máy ISA ( 172.16.1.1 )
Từ máy ISA bạn ping đến máy DC ( 172.16.1.2 )
Từ máy ISA bạn ping đến địa chỉ của máy Internet ( 192.168.2.112 )
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 19
Máy ISA sau khi cài đặt ISA 2006 và đã kiểm tra các rules chuẩn. Sau đó tiến hành join vào
domain đã dựng sẵn trên máy PC2 ( athena.edu.vn ). Chúng ta sẽ bàn luận vấn đề này thêm ở
tập 2 của tài liệu này.
2. Cấu hình Secure Nat cho Client :
Các máy trong mạng Internal chỉ việc thiết lập thông số Default Gateway là Ip của máy ISA.
Bây giờ, tại máy ISA, ta sẽ thiết lập 1 access rule cho việc truy cập ra ngoài External .
Mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: Allow to Internet
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 20
Hộp thoại Rule Action, bạn chọn Allow
Hộp thoại Protocols, chọn All outbound traffic
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 21
Hộp thoại Access Rule Sources, nhấn Add, chọn 2 mục: Internal và Localhost
Hộp thoại Access Rule Destinations, nhấn Add, chọn External
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 22
Hộp thoại User Sets, chọn All User
Nhấn Finish để hoàn tất rule
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 23
Nhấn Apply
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 24
Kiểm tra việc truy cập đến www.google.com
Ta cũng có thể sử dụng DHCP Server với Option 003 Router để cấu hình Gateway cho các
máy Clients trong LAN.
3. Cấu hình Web Proxy Client.
Tại máy DC, mở Internet Explorer. Chọn Tool \ chọn Internet option \ chọn Tab
Connection \ chọn mục LAN Setting.
Mục Proxy Server điền Ip ứng với Card Lan của máy ISA, port : 8080
ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING
Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM
Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn
Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 25
Kiểm tra lại việc kết nối đến trang
Tuy nhiên việc thiết lập Proxy trên từng Client như vậy sẽ mất rất nhiều thời gian cho người
quản trị. Bạn có thể thiết lập Policy trên Domain cho các Client.
Tại máy DC, mở Active Directory Users and Computers. Chuột phải vào athena.edu.vn
chọn properties.