实训3 配置防火墙与入侵检测.doc

实训3 配置防火墙与入侵检测 3.1 配置防火墙 实验目的：安装ISA Server防火墙，配置防火墙客户端，建立访问策略和发布规则控制内部和外部网络之间的访问。 实验任务：你是一家企业的网络管理员，负责管理和维护企业的网络。现在，你需要为该企业设置防火墙，从而控制企业内部网络和外部网络之间的访问。为此，需要执行以下工作： ①在一台连接企业内部网络与外部网络的计算机上，安装ISA Server2006标准版。 ②把企业内部网络上所有的计算机配置为该防火墙的web代理客户端。 ③在防火墙ISA Server上创建访问规则，允许某些用户可以访问外网的某个web网站。 ④在防火墙ISA Server上创建发布规则，允许外部用户可以访问企业内部的某个web网站。 在一台连接企业内部网络与外部网络的计算机上，安装ISA Server2006标准版 前期准备 windows域环境，域名为： ??? 公司内部有WebServer主机名为及MailServer主机名为需要发布,它们处在DMZ区。 ?? ISA SERVER上有三块网卡，1.LAN IP：/24；2.DMZ IP:；3.WAN IP：/8 1? 首先确认windows域已经搭建好，我这里已经搭好了的，域名为,DNS也OK ?? 确认ISA Server 三块网卡已经连接好，并配置了正确的TCP/IP参数 2 打开ISA Server 2006的安装光盘，找到“ISAAutorun.exe”文件，双击启动ISA Server 2006的安装界面 3 单击安装ISA server 2006，再单击下一步。选择我同意后输入用户名、单位名及产品序列号，单击下一步 4 如果域中已经配置了存储服务器，我们就选第一项就可以了；如果还没有就选第三项；5要是只想安装配置存储服务器，选择第二项就可以了；第四项用于仅安装ISA服务器管理；现在咱们的网络中还没有配置存储服务器，所以就选第三项 选择所有安装组件，单击下一步 ????? 选择新ISA服务器企业，单击下一步 .????? 这时会弹出一个警告，咱们不用理会，直接单击下一步即可。 ???? ? 设置配置存储服务器所使用的用户帐号，注意此帐号必须属于Domain Admin组，咱们就用administrator吧！ .? 接下来设置企业内部网络，单击添加，然后单击添加适配器，将LAN网卡加入即可， 此时需要清除“允许不加密的防火墙客户端连接”，单击下一步。为什么要清除此项呢？这一项的作用还是为了兼容像98、me这样的老版操作系统，我想这样的操作系统也只能在博物馆里找到了，呵呵！所以咱们用不着这一项。在服务警告页中单击下一步，再单击安装 注意：核心组件装完后，系统还会自动安装附加组建并进行系统初始化。初始化完毕后就好了。 就这样我们的ISA Server 2006服务端就装好了。接下来咱们来看一下客户端的安装，装了客户端后我们才能使用到后面会说到的众多功能 1.????? 打开ISA Server 2006安装光盘中的Client文件夹，双击“setup.exe”文件，开始安装防火墙客户端。 2.????? 单击下一步，选择同意，单击下一步；选择“我接受许可协议中的条款”，确定之后，单击下一步，选择连接到此ISA服务器计算机，输入ISA服务器内网卡的地址。单击下一步， 3.????? 现在单击安装按钮，我们就开始安装ISA防火墙。 安装完成之后，确认一下计算任务栏的右侧出现一个小图标。表示防火墙客户端启动。 把企业内部网络上所有的计算机配置为该防火墙的web代理客户端 1 .登录到安装有防火墙客户端的客户端计算机； 打开c：\documents and settings\all users\application data\microsoft\firewall client 2004目录，新建一个文本文件，名为locallat.txt； 2 双击此文件使用记事本打开，在此文件中添加ip地址范围，按照以下格式添加：起始IP地址 结束ip地址。在此我添加为 55，保存此文件后退出 3 然后重启firewall client agent服务此时，你就可以发现发送到10.10.5.x网络的通讯就没有再通过isa防火墙了。防火墙客户端软件发现locallat.txt文件后，从中读取ip地址范围，然后把它们当做是内部网络。你也可以针对某个ip地址跳过访问，但是必须在locallat.txt中输入地址范围的形式。在内部网络属性对话框上点击确定这样，当防火墙客户端访问上述定义的域名集时，会跳过isa防火墙直接进行访问。 　　允许直接访问和