ISA2006
的安装
1、安装
ISA Server 2006
的机器应该至少有两个网卡,一个为外部接口,一个为内部接口。所以你可以安装多个内部接口以支持多个内部网络,
Firewall Access policy
控制所有网络间的数据传输。
2、下图为一个测试网络,
ISA Server
作为一个边缘防火墙(
Edge Firewall
):
3、ISA2006
的安装。(环境
Windows Server 2003 R2 +AD +DNS
)
第一步:运行
ISA2006
安装程式,如图,点击“安装
ISA Server 2006”
第二步:出现
ISA Server 2006
安装向导,点击“下一步”
第三步:接受软件许可条款,点击“下一步”:
第四步:选择“同时安装
IAS Server
服务
和
配置存储服务器
”
,点击下一步
第五步:组件选择,点击“下一步”,如图所示:
第六步:选择“创建新的
ISA
服务器企业”,点击“下一步”:
第七步:出现一个警告画面,不会理会,点击“下一步”,出现如图所示:
建议输入具有域管理员权限的帐号和密码。
第八步:添加指定要包括在
ISA
服务器内部网络中的地址范围,点击“添加”
出现下图,点击“添加适配器”,选择网卡连接内部网络的那块,点击“确定”,如下图
第九步:选中“允许不加密的防火墙客户端连接”后,点击“下一步”,
第十步:完成以上步骤后,
ISA
开始安装
第十一步:安装完毕。
实验二、使用
ISA2006
代理上网实现安全策略
一、 实验拓扑图。
二、 平台搭建:
1、使用
VPC
建立
2
台
Wisndows Server 2003 R2
,一台做
ISA Server ,
一台做
Client
加入
AD
做测试用。
2、将
ISA Server 2003
安装好
AD
和
DNS,
域名为:
inforen.cn,
主机名为:
lab.inforen.cn
3、按拓扑图中的
IP
,配置好设备的
IP
地址,注意在使用
VPC
的时候,在配置网卡的使用,一定要注意
IP
地址不要配反,不然实验无法实现(注意:
VPC
网卡分
:Internal network adapters,External network adapters
)
4、安装
ISA Server 2006.
三、 需求分析
:
1、公司以前只有一个网段
192.168.23.0/23,
有一台
DNS
服务器,
IP
:
192.168.23.1
。
2、现在新增加了一个事业部,需要独立出来一个网段
172.24.5.0/24
,这个事业部有自己的
AD
环境和
DNS
服务器,事业部的电脑利用
AD+ISA+DNS
这台服务器代理上网。
3、在
AD
上建立一个
web access
的
OU
,在
OU
中建立一个
web-user
的群组,建立
web1,web2
两个用户并隶属于
web-user
群组。
4、 公司要求只有
172.24.5.10
—
172.24.5.30
这段
IP
可以上网,其他
IP
不行,而且只用
web-user
的用户才能上网,需要做身份验证,但是这些用户不能使用
QQ
代理上网。
四、 实现配置
:
1、当我们把
IP
地址设定完成后,要在
ISA
的
DNS
服务器上做转发的配置,如图:
点击“属性”后,配置只在内部接口上侦听:如图
接下来再配置转发器,可以选择
192.168.23.1
和
ISP
的
DNS
服务器,如图:
这样就完成了
DNS
的配置,接下来我们来配置用户上网验证,如图,双击“内部”网络
出现下图,如红框内设置,点击“身份验证”:
如图:
点击完成后,就完成用户身份验证的配置。身份验证的方法“基本”是基于
AD
用户的。
接下来设置防火墙规则,此规则将设定内部使用者浏览
Internet
时必须要验证登录帐号和密码。建议按照网段将
intranet to internet
的策略分开,也就是不要将所有内容的
IP
套在同一条策略里,因为太多的
IP
会造成策略失效
出现“新建访问规则向导”,输入名称,点击“下一步”:
出现“规则操作”如下图配置,点击“下一步”
在出现的“协议”对话框里,如下图“添加”相应的协议:
选择协议“
HTTP
”和“
HTTPS
”点击“添加”,然后“下一步”
在出现的“访问规则源”点击“添加”
出现如下图点击“新建”
选择“计算机集”
出现下图所示:按照实际需求定义“规则源”,可以是单独的计算机,地址范围或者是某个子网,这里定义了一个内部网络的地址范围。点击“确定”。
选择我们刚刚
”
添加
”
的计算机集“
inside network
”
,
如图:
这时候“访问规则源”里出现了“
inside network
”
,
点击“下一步”:
出现定义“访问规则目标”,点击“添加”选择“外部”网络。点击“下一步”如下图:
出现“用户集”,点击“添加”出现“添加用户”框。点击“新建”,如图
出现“新建用户集向导”设置完毕点击“下一步”,如下图:
点击“添加”选择“
windows
用户和组”
将我们之前在
AD
中建立的
web user
群组加入到“用户集
”
中
,
点击“下一步”,如图
按照系统提示将
web user
加入到“用户集”中,“下一步”完成。
按照系统提示,完成规则的配置,当
ISA
有设置上的变动后,必须点击“应用”才能生效。
点击“应用”后我们可以看到一条定义好的规则:
因为
ISA2006
架设上来之后,预设是所有的协议关闭,包括
ISA
本机对内部网络和内部网络对
ISA
本机,外部网络和
ISA
本机。
所以还需要新增
2
条规则,如下图:
请大家自行建立,做为练习当配置完毕后,
ISA
服务器是可以上网的。
接下来需要为
Clinet
电脑配置上网代理服务,点击“区域网路设定”
在
proxy
代理服务器,配置如下图所示,网址为
ISA
的
FQDN,
端口号为
8080
,如图
接下来我们在浏览器中输入
www.163.com
,
会弹出如下画面,要我们输入用户和密码,这个时候我们需要输入之前
AD
里面建立的
web-user
群组里面的用户和密码才能上网。这时当我们把
Client
端的
IP
改为
172.24.5.10---172.24.5.30
之外的
IP
时,也是无法上网的。也就是说刚才我们的第一个规则限定了
IP
,并且还要求有帐号和密码才能访问外部网络。
这个时候我们发现虽然我们可以上网,但是无法使用
ping
命令来验证与外部网络的联通性,为什么呢?明明可以上网啊?如图:
原因是因为我们的防火墙规则只容许
HTTP,
和
HTTPS
的请求通过,对于
ICMP
协议的流量我们是拒绝的。我们新增一个规则来容许
ICMP
协议通过我们的
ISA
防火墙。如图:
接下来,我们在
clinet
端测试看能不能
ping
通
www.163.com
,
成功
ping
通了。
现在我们来封杀
QQ
软件,基于以上的配置,我们使用
QQ
软件的时候,做如下配置是可以使用
QQ
软件的。如图
有没有办法来禁止用户使用代理来使用
QQ
呢?可以使用
ISA2006
的增强型
HTTP
配置来实现。配置如下:选择上网的规则“右键”点击“配置
HTTP
”如下:
在出现的“规则配置
HTTP
策略”中选择“方法”设置如图,点击“添加”,如下:
接下来在“签名”栏中“添加”
,如图中配置:
点击“确定”后,点击“应用”,使规则生效。
这时我们去
clinet
端测试,使用代理
QQ
,看还能不能使用
QQ
软件。如图,无法连接上代理服务器了,成功的封杀了
QQ
软件,相信这个时候大家不会头大了吧。
ISA2006
还带了强大的监视功能,能让你很清楚的知道,当前网络的一些情况。如图:
在“监视”模块里,“会话”显示出了当前有那些用户在使用
ISA
做代理上网,他们的
IP
和用户名都能显示出来,很方便我们的管理和查找。
实验三、使用
ISA2006
建立
PPTP ×××
实现远程接入
一、实验拓扑如图
二、实验要求:
1
、公司使用
ISA2006
做为防火墙,同时域名为
inforen.cn
,
ISA
服务器同时也是
AD+DNS.
2
、公司因为业务需要有移动用户需要在外出办公的时候连到公司网络,访问公司资源。
3
、要求用
ISA2006
部署
L2TP ×××
提供移动用户
×××
服务。
三、思路分析:
1
、假设
×××
已经建立好,移动用户使用
×××
拨号的帐号和密码如何设定?
2
、当移动用户使用
×××
连到公司网络后,
IP
地址,网关,
DNS
如何取得?
以上
2
个问题我们先要解决。
四、实验步骤:
1
、在
AD
上建立
OU= ***-user
再建立
***-user
群组加入到
OU
中,在群组中建
***1,***2
用户。
2
、建立
DHCP
服务器,给
×××
用户分配
IP
地址,网关,
DNS
等网络参数,根据环境自定义。
3
、在
ISA2006
服务器上部署
DHCP
服务器,配置相关防火墙规则
4
、在防火墙规则中配置
DHCP
中继代理
5
、在管理工具“路由和远程访问”中配置
DHCP
中继代理。
6
、在
ISA2006
中启用
×××
服务
7
、建立一个允许
×××
客户访问的内网访问防火墙策略。
五、实验过程:
1
、在
AD
中建立
OU,
群组,用户过程略。
2
、建立
DHCP
服务器,配置相关网络参数过程略。
3
、在
ISA2006
中部署
DHCP
服务器,配置相关防火墙规则。
默认情况下,当一台
ISA
服务器安装
DHCP
服务时,
DHCP
服务器不会对请求作出相应。要使
DHCP
服务器运行,需要创建下列规则:
A、 一条允许从
DHCP
客户端所在的网络向本地主机网络发送
DHCP
请求规则。
B、 一条允许从本地主机网络向
DHCP
客户端所在的网络发送
DHCP
答复的规则。
C
、为了避免与其他规则冲突,应确保配置的允许
DHCP
请求规则在规则排序中高于其他任何匹配
DHCP
请求的,使用名称解析的规则。
规则建立见下图,请大家对应下图红框自行建立,(注意规则的次序,不要违反
C
注意点)
接下来在防火墙中配置
DHCP
中继代理防火墙规则,见下图:(请自行建立红框中的规则):
接下来在“路由和远程访问”配置
DHCP
中继代理服务,如下图
右键单击“
DHCP
中继代理程序”,点击“属性”,将
DHCP
服务器的
IP
输入。
右键单击“
DHCP
中继代理程序”,点击“新增接口”,选择“本地连接”
(注内部网络接口
),点击“确定”
完成
DHCP
中继代理的配置:
接下来启用在
ISA2006
中启用
×××
服务器,首先进行“配置地址分配方法”如图
在跳出的“虚拟专用网络属性”中做如下配置:
接下来“启用
***
客户端访问”
在跳出的“
×××
客户端属性”中完成“常规”配置,“组”配置,将
AD
中建立的
***-user
群组添加到“组”中,点击应用。
然后配置“协议”和“用户映射”,配置如下图:
点击“应用”如下图
这个时候我们点击“选择访问的网络”可以看到“外部”已经被自动选定
我们还要建立一个允许
×××
客户访问内部网络的防火墙规则如下图,请自行建立
最后在
AD
中给我们的
×××
用户的帐号添加拨号权限:
到此我们已经配置完成
L2TP ×××
的配置,重新启动
ISA
服务器电脑。
接下来我们来测试是否可以使移动用户使用
×××
连接到公司的网络。在“网上邻居”新建连接后如图配置新建连接的“属性”在“常规”中输入
ISA
的外部的
IP
地址,然后输入“用户名”和“密码”,就是我们在
AD
中建立的属于
***-user
群组的用户和密码
.
最后可以看到“已经通过身份验证”,到此成功完成移动用户使用
L2TP ×××
连接公司网络的方案部署。
然后我们在
ISA
防火墙建立一条规则如下:
然后使用
ping
命令可以
ping
通
ISA
防火墙也可以访问他的共享文件夹,而且能通过
DHCP
服务器能获得
IP
地址以及相关的网络参数,到此我们的实验已经成功
。
在
ISA2006
的“监视”,查看“会话”有一个激活的
×××
客户端,
IP
地址是
172.24.5.34
,用户是
×××1
,如图:
实验四、使用
ISA
建立站点到站点的
×××
一、实验拓扑图如上。
1
、请大家按照拓扑图所示搭建好实验平台,网卡
IP
地址请按图中配置。
二、实验要求
1
、
2
台电脑装
2
台虚拟机,一台
AD+ISA2006+DNS,
一台
Client
端。
2
、
inforen.cn
域用户能够通过
×××
访问
Itrenclub.cn
域中的资源。同样,
Itrenclub.cn
域中的用户能通过
×××
访问
inforen.cn
的资源。
3
、分别在
2
台
ISA
服务器上配置好
DHCP
服务和
DHCP
中继代理服务,和配置好防火墙规则。(配置过程参见实验
3
)
4
、在
inforen.cn
中建立用户
remote,
并赋予拨号权限,在
itrenclub.cn
中建立用户
main
,赋予拨号权限。(过程略)
三、实验步骤:
1
、在
inforen.cn
上建立远程站点。
2
、在
inforen.cn
上建立网络规则。
3
、在
inforen.cn
上建立访问规则。
4
、在
itrenclub.cn
上建立远程站点。
5
、在
itrenclub.cn
建立网络规则。
6
、在
itrenclub.cn
建立访问规则。
7
、在
itrenclub.cn
上为远程站点拨入建立用户。
8
、测试
×××
连接。
四、实验过程:
1
、为了便于我们测试,先在
ISA
防火墙里定义个规则:
A
、允许内部到外部的所有访问、所有网络到本地的
ping
。如图:
先再
inforen.cn
上配置站点到站点的
×××
,打开
ISA2006
控制台,点击“虚拟专用网络”,点
击右边任务面板中的“添加远程站点网络”
在“欢迎使用网络创建向导”页,输入远程站点的名字,在此命名为
main
,点击“下一步”
在“
×××
协议”页,选择“点对点隧道协议(
PPTP
)”,点击“下一步”
在“连接所有者”页,选择
ISA
服务器阵列成员:
在远程站点网关,输入
itrenclub.cn
外部网络地址,如图:
在“远程身份验证”页中,输入的用户名必须和远程
×××
网关上具有拨号权限的对应远程站点的用户名和密码,注意,这个用户名和密码必须和远程
×××
网关上设置的远程站点名字相同,在后面我们在
itrenclub.cn
上建立,在这里先输入用户
remote
和对应的密码。点击“下一步”继续:
在“网络地址”页,点击“添加”输入远程子网的
IP
地址范围
,如图:
在“远程
NLB”
页,不要选中红框中的选项,点击“下一步”,如图:
在“点对点连接向导”页,保持默认设置不变,点击“下一步”:
在“点对点网络访问规则”页,为方便测试做如下配置,实际工作中按需求来选择相关协议,点击“下一步”:
点击“完成”后,应用新的规则后,重新启动
ISA
服务器。
在
itrenclub.cn
的建立的过程是一样的,要注意的是,远程站点的
IP
地址,站点的名称。
用户名必须和远程
×××
站点名称一致,用户要有拨号的权限。
实验五、使用
ISA2006
发布
WEB
站点
一、实验拓扑图如上
二、实验要求:
1
、公司现在有一台
WEB
服务器,
IP
地址是
172.24.5.10
,现在要使用
ISA2006
发布这个
WEB
站点
三、实验步骤:
1
、首先在
WEB
服务器中架设一个
WEB
站点,过程略
2
、在
ISA2006
服务器中发布这个站点。
四、实验步骤:
1
、我们将发布位于内网
IP
为
172.24.5.10/24
的
WEB
服务器上的站点,其中
ISA
服务器
其中
ISA
服务器的内部接口为
172.24.5.1/24.
首先,我们打开
ISA 2006
的管理控制台,展开你的服务器,在防火墙策略上面点击右键,选择新建,然后点击“网站发布规则”:
在“新建
Web
发布规则向导”输入
web
发布规则名称:
选择“允许”规则,点击“下一步”
在“发布类型”选择“发布单个网站或负载平衡器”,点击“下一步”
在“服务器连接安全”选择图中框中的选项:
在“内部发布详细信息”配置如图,站点名称为
WBE
服务器内部站点的名称,点击“下一步”:
在“内部发布详细信息”,如下图配置,可以不用配置。点击“下一步”:
在“公共名称细节”做如下图配置:
在“选择
WEB
侦听器”,配置如下图:
在“身份验证委派”中选择“基本身份验证”如图:
在“用户集”选择“所有用户”,“所有通过身份验证的用户”,如下图:
点击“完成”“应用
” web
发布规则,使用
ISA2006
发布
WEB
站点结束。