Cài Đặt ISA

2004
I. Giới thiệu:

Hệ thống gồm 2 máy (máy chẳn, máy lẻ). Máy lẻ đóng vai trò Firewall, máy chẳn
vừa làm Domain controller vừa làm Workstation để test.

Bài Lab gồm những thao tác chính sau:

1. Nâng cấp máy chẳn lên Domain
2. Cài ISA 2004 và ISA 2004 Service Pack 1
3. Tạo Rule để kiểm tra đường truyền
4. Khảo sát các loại Client
5. Auto Discovery: Cấu hình tự động cho Workstation
6. Cài đặt ISA Management trên Workstation để có thể quản lý ISA 2004 từ
xa

II. Thực hiện

Qui ước:
- P: số phòng
- X: số nhóm (X: số máy lẻ)

Card LAN Card Cross

IP 192.168.P.X / 24 172.16.X.1 / 24
Máy lẻ GW 192.168.P.200 Trắng
DNS Trắng 172.16.X.2

IP 172.16.X.2 / 24
Máy chẳn GW Disable 172.16.X.1
DNS 172.16.X.2

1. Nâng cấp máy chẳn lên Domain:

Nâng cấp máy chẳn lên Domain Controller. Đặt tên Domain: NhomX.com

2. Cài ISA 2004 và ISA 2004 Service Pack 1:

Thực hiện tại máy lẻ:

B1: Join vào Domain

B2: Logon bằng Domain Admin

B3: Disable những dịch

vu không dùng đến trên
card LAN:

• Bỏ File and
Printer Sharing
For Microsoft
Networks 
• Bỏ Client For
Microsoft
Networks 

B4: Disable NetBIOS

over TCP/IP trên card
LAN:

Trong phần chỉnh IP è

Advance è WINS è
Diasble NetBIOS Over
TCP/IP

B5: Chạy Auto Run

của bộ phần mềm ISA
è Install ISA 2004.

Trả lời các câu hỏi về

bàn quyền, số CD key
…
B6: Chọn Custom
Setup

B7: Chọn
Firewall Service
ISA
Management
Firewall Client
Install Share

Không chọn Message

Screener

è Next

B8: Khai báo địa chị

cho “Internal Network”

Chọn “Add”
B9: Khai báo phạm vi
địa chỉ sau
172.16.X.0 –
172.16.X.255

B10: chọn các giá trị

mặc định để hoàn tất
quá trình cài đặt

B11: Cài ISA 2004

Service pack 1

Khỏi động lại máy.

3. Tạo Rule để kiểm tra đường truyền:

Thực hiện tại máy chẳn

B1: Mở
ISA
Managem
ent è
Firewall
Policy è
Click nút
phải chuột
è New è
Access
Rule

B2: Đặt
tên Rule:
Internet è
Next
B3: Action
chọn
Allow è
Next

B4:
Protocol
chọn All
outbound
Traffic
è Next

B5:
Source è
Add è
Internal è
Next
B6:
Destinatio
n è Add
è
External
è Next

B7: User
Set è All
Users

B8: Finish
B9: Apply

4. Các loại Client:

A - Secure NAT:
Thực hiện tại máy chẳn

B1: Đặt Default

gateway về máy lẻ

(172.16.X.1)

B2: Thử truy cập

internet

B – Proxy:

Thực hiện tại máy lẻ

B1: Đặt giá trị Prefer DNS cho card LAN: 210.245.31.130

Thực hiện tại máy chẳn

B2: Bỏ trắng Default Gateway

B3: Mở IE
è Tools è
Internet
Options è
Connection
s è LAN
Settings

Điền địa
chỉ
172.16.X.1
vào ô
address

Điền giá trị

8080 vào ô
port
è OK

Truy cập
thử Internet

Bỏ Prefer DNS thực hiện ở B1

Bỏ Proxy seting thực hiện ở B3

C – Firewall Client

Thực hiện tại máy chẳn

B1: Truy
cập vào
máy lẻ
(\\172.16.X.
1)

Mở thư
mục
“mspclnt”
è Setup

Chọn các
thông số
mặc định
cho đến khi
được hỏi:
“ISA
Server
Computer
Selection”
B2: Chọn
“Connect to
this ISA
Server
computer”

Điền địa
chỉ máy lẻ:
172.16.X.1

è Next è
Finish

B3: Mở IE
è Tools è
Internet
Options è
Connection
è LAN
Settings

Quan sát
các thông
số được
thiết lập.

è Thoát ra

è Truy cập
thử Internet

5 - Automatic Discovery:
Thực hiện tại máy lẻ

B1: ISA Management è

Configuration è Networks
è Properties

B2: Chọn Tab “Auto

Discovery” è Publish
automatic discovery
information

Thực hiện tại máy chẳn

B3: Cài DHCP và Authorize (xem lại bài DHCP)

B4: DHCP Manage è Set
Predefined Options

B5: Chọn “Add” để khai báo

Option mới

Name: WPAD
Data type: String
Code: 252

è OK

B6: Chọn Option Name:

252 WPAD

Khai báo giá trị sau tại dòng

Value:

http://isa.NhomX.com:80/W
PAD.DAT

è OK
Đóng DHCP Manager

B7: Mở DNS Manager

Khai báo Alias WPAD ứng

với tên máy ISA

WPAD --- Alias ---

isa.NhomX.com

6 – Remote Management:

Thực hiện tại máy lẻ

B1: Mở ISA Server Management è Firewall Policy è Toolbox è Network Objects è Computer Sets
è Remote Management Computer è Double click

B2: Add è Computer è khai báo tên & địa

chỉ máy chẳn (172.16.X.2) è OK

Trở về cửa sổ chính chínhè Apply

Thực hiện tại máy chẳn

B3: Chạy AutoRun của bộ Software ISA

2004 è Chọn cấu hình mặc định è Chương
trình tự động gợi ý chọn ISA Management è
chọn các thông số mặc định để hoàn tất việc
cài đặt

B4: Chạy ISA

Management è click nút
phải chuột trên ISA
Management è Connect
to è Nhập địa chỉ máy
lẻ (172.16.X.1)

B5: Lúc này Bạn có thể thực hiện các thao tác trên ISA 2004 như tại máy lẻ

 Bài viết này thuộc quyền sở hữu 
Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ 
105­ Bà Huyện Thanh Quan ­ 205 Võ Thị Sáu , Q3 ,TP HCM ­  
Tel :9322735
Ghi rõ nguồn khi bạn phát hành lại thông tin từ trang này.
 ACCESS
RULE
I. Giới thiệu:

Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule). Muốn hệ
thống hoạt động ta phải tạo các rule tương ứng.

Bài Lab gồm những thao tác chính sau:

7. Tạo rule cho phép traffic DNS Query để phân giải tên miền
8. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
9. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang
vnexpress.net trong giờ làm việc
10. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không
hạn chế
11. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
12. Chỉ cho xem “chữ” không cho xem “hình”
13. Cấm xem trang www.tuoitre.com.vn
14. Khảo sát system policy
15. Giới thiệu các Policy Template

II. Thực hiện

1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền

B1: ISA
Management
è Firewall
Policy è
New è
Access Rule
B2: Gõ “DNS
Query” vào ô
Access Rule
Name è
Next

B3: Action
chọn “Allow”
èNext

B4: Trong
“This Rule
Apply to:”
chọn
“Selected
Protocols” è
Add è
Common
Protocol è
DNSè OK
è Next

B5: Trong
“Access Rule
Source” è
Add è
Networks è
Internal è
add è Close
è Next
B6: Trong
“Access Rule
Destination”
è add è
Networks è
External è
close è
Next

B7: Trong
“User Sets”
chọn giá trị
mặc định “All
Users” è
Next è
Finish

Chọn nút
“apply”
(phía trước
có dấu
chấm than)

Thực hiện tại

máy chẳn

B8: dùng lện

NSLOOKUP
để phân giải
thử một tên
miền bất kỳ

2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

B1: Tạo Access rule theo các thông số sau:

Rule Name: Allow Mail (SMTP + POP3)

Action: Allow
Protocols: POP3 + SMTP
Source: Internal
Destination: External
User: All User
Các thao tác làm tương tự như phần 1

B2: Kiểm tra - Thực hiện tại máy chẳn

Setup Outlook Express theo các thông số sau:

Display Name: Hoc Vien
Email Address: hocvien@nhatnghe.com
OutGoing Mail: mail.nhatnghe.com
InComming Mail: mail.nhatnghe.com
Account Name: hocvien@nhatnghe.com
Password: hocvien

Thử gởi/ nhận mail

3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang
vnexpress.net trong giờ làm việc

a – Định nghĩa nhóm “Nhan Vien”

b – Định nghĩa URL Set chứa trang vnexpress.net
c – Định nghĩa “giờ làm việc”
d – Tạo rule
e – Kiểm tra
a – Định nghĩa nhóm “Nhan Vien”:

B1: Dùng
chương trình
“Active
Directory
User and
Computer”
tạo 2 user
u1, u2
(password
123)

Tạo Group
“Nhan Vien”

Đưa 2 user
u1, u2 vào
Group “Nhan
Vien”
B2: ISA
Server
Management
è Firewall
Policy è
Toolbox è
Users è
New

B3: Nhập
chuỗi “Nhan
Vien ” vào ô
User set
name è
Next

B4: Add è
Windows
User and
Group
B5: Chọn
Group “Nhan
Vien”

Next è
Finish

b – Định nghĩa URL Set chứa trang vnexpress.net

B1: ISA Server

Management è
Firewall Policy è
Toolbox è
Network Objects
è New è URL
Set
B2: Dòng name
đặt tên
“vnexpress”

Chọn New, khai 2

dòng

http://vnexpress.n
et

http://*.vnexpress
.net

è OK

c – Định nghĩa “giờ làm việc””

B1: ISA Server

Management è
Firewall Policy è
Toolbox è Schedule
è New

Name: Gio Lam Viec

Chọn Active từ 8am -

6 pm

è OK

d – Tạo rule:

B1: Tạo Access rule theo các thông số sau:

Rule Name: Nhan Vien – Trong Gio

Action: Allow
Protocols: HTTP + HTTPS
Source: Internal
 Destination: URL Set è vnexpress
User: Nhan Vien
Các thao tác làm tương tự như phần 1
B2: click
nút phải
chuột trên
rule vừa
tạo è
Properties

B3: Chọn
Schedule
è Gio
Lam Viec

è OK

è Apply
Rule

e – Kiểm tra:

Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google

Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google

4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn
chế

a- Định nghĩa nhóm “Sếp”

b- Tạo rule
c- Kiểm tra
a - Định nghĩa nhóm “Sếp”:

Dùng chương trình “Active Directory User and Computer” tạo 2 user U3, U4 (password
123)

Tạo Group “Sep”

Đưa 2 user U3, U4 vào Group “Sep”

Các bước còn lại làm tương tự phần 3a

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Sep

Action: Allow
Protocols: All Outbound Traffic
Source: Internal
Destination: External
User: Sep
Các thao tác làm tương tự như phần 1

c – Kiểm tra:
Logon U4, thử truy cập internet ….

5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
a - Định nghĩa giờ giải lao
b - Tạo rule
c - Kiểm tra

a – Định nghĩa giờ giải lao:

Làm tương tự 3c

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Giai Lao

Action: Allow
Protocols: All Outbound Traffic
Source: Internal
Destination: External
User: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo rule xong, chọn properties của rule vừa tạo è Schedule è Giai Lao
c – Kiểm tra:
Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet

6 - Chỉ cho xem “chữ” không cho xem “hình”:

Chọn Properties của Rule vừa tạo è Content Types è Selected Content Types:
- Documents
- HTML Documents
- Text
7 - Cấm xem trang www.tuoitre.com.vn:

a - Định nghĩa các trang web muốn cấm

b - Tạo Rule
c - Kiểm tra

a - Định nghĩa các trang web muốn cấm:

Tạo URL Set tương tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL
Set khai báo:

http://*.tuoitre.com.vn
http://tuoitre.com.vn
b – Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Web bi cam

Action: Deny
Protocols: All Outbound Traffic
Source: Internal
Destination: URL Set è Nhung Trang Web Bi Cam
User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order
bằng 1

c – kiểm tra:

Logon U3 (sep), mở thử trang tuoitre.com.vn

8 - Khảo sát system policy:

B1: Firewall Policy è Task

è Show System Policy
Rules

B2: Mở Policy thứ 2 Tìm hiểu các thông số

Giải thích tại sao có thể dùng chương trình ISA Management trên máy DC để đều khiển ISA?

9 - Giới thiệu các Policy Template:

B1: Xóa hết các rule đã tạo

B2: ISA
Management
è
Configuration
è Template
è Edge
Firewall

B3: Khai báo

phạm vi địa
chỉ cho
internal
network

172.16.X.0 –
172.16.X.200
B4: Chọn
Allow
Limmitted
Web Access

B5: Mở rule Web Access Only. Khảo sát các thông số

 Bài viết này thuộc quyền sở hữu 
Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ 
105­ Bà Huyện Thanh Quan ­ 205 Võ Thị Sáu , Q3 ,TP HCM ­  
Tel :9322735
Ghi rõ nguồn khi bạn phát hành lại thông tin từ trang này.