總公司:MainDC、CSS(並且安裝獨立CA)、後牆兩面、前牆兩面
DMZ區:DNS
分公司:BranchDC、分公司牆
網路環境:總公司內部、總公司DMZ網路、外部網路、分公司內部
CSS存放區主要在存放前後兩牆的規則並且控制前後端防火牆NLB
CSS安裝獨立CA主要是,ISA與CSS分開安裝,需要透過憑證才能溝通
MainDC升級時順便安裝DNS服務,因為ISA與CSS溝通需要用FQDN
MainDC和BranchDC會另做說明
DNS為對外提供服務的DNS伺服器
MainDC
1. 將MainDC設定為總公司內部網路,升級
2. 在MainDC內安裝企業根CA,作為VPN Site to Site L2TP加密用憑證
CSS
1. 將CSS設定為總公司內部網路,加入網域後重新開機
主要用意在於DNS的紀錄,所以請確定已存在
2. 安裝獨立根CA,並且申請憑證(必須使用CSS的FQDN),安裝憑證
申請憑證請注意兩個選項,請務必勾選
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
3. 執行MMC,並匯出金鑰含私密金鑰
4. 安裝CSS,安裝過程請選擇第四步驟的金鑰,結束後重新開機
5. 建立後端陣列BackendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.5.250
將CSS驗證改為[在SSL加密通道上驗證]
6. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
7. 建立前端陣列FrontendArray,並請在DNS上登記此陣列的FQDN
IP設定為陣列的虛擬IP 192.168.6.240
將CSS驗證改為[在SSL加密通道上驗證]
8. 建立後端Intra-Array網路,隨便設定一段ClassC的內部網段即可
意在於兩道牆的彼此供通,詳細原理請看戴老師ISA單點傳輸的部分
9. 開放CSS電腦可以管理這兩個ISA陣列
[企業遠端管理電腦],在企業原則的網路物件內。
後端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司內部網路、總公司DMZ網路、Intra-Array
1. 因為ISA不加入網域,所以兩台機器上變更尾碼,並登記於DNS內
2. 確認FQDN可以互相解到CSS和兩台機器的IP
3. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
4. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段192.168.5.0/24
5. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
6. 在結點1上安裝ISA Server,動作類似4.
7. ISA未加入網域,必須在兩台Server建立鏡像帳戶,隨便取,帳密一樣就好
8. 將陣列內部認證帳號設立為鏡像帳戶
9. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
10. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.5.250
外部虛擬IP 192.168.6.250
* 內部對外部網路規則改為路由規則
後端ISA Server陣列開放前端陣列所需流量
1. 前端ISA到內部DNS伺服器查詢CSS主機IP位址所需的流量
2. 前端ISA到獨立CA所需的網頁流量,以便信任CA
3. 前端ISA到CSS所需的流量,來源端指定前端兩台ISA
[MS 防火牆存取區]
[Microsoft CIFS(TCP)]
4. CSS到前端ISA所需的流量,目的端指定前端兩台ISA
[MS防火牆控制]
[RPC(所有界面)]
前端ISA Server陣列的設定
0. 設定三張網路卡分別屬於總公司DMZ網路、外部網路、Intra-Array
1. 兩台機器上變更尾碼,並登記於DNS內
2. 在兩節點路由表新增發送到總公司內部網段所需經過的路由
route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250 if 0x1000?
3. 確認FQDN可以互相解到CSS和兩台機器的IP
4. 信任CA,下載CA鏈結,並使用MMC安裝於本機電腦的憑證信任區
5. 在結點1上安裝ISA Server
過程請輸入CSS的FQDN,及連結帳密(用網域的)
並且加入後端陣列BackendArray
選擇SSL加密通道驗證
設定總公司內部網路網段 192.168.5.0/24、192.168.6.0/24
6. 執行ISA管理主控台將陣列內通訊IP改為Intra-Array
如此一來,結點2安裝的時候會自動選取。
7. 在結點1上安裝ISA Server,動作類似4.
8. 在兩台Server建立鏡像帳戶,推薦和後牆的鏡像帳戶一樣
9. 將陣列內部認證帳號設立為鏡像帳戶
10. 指派角色,將鏡像指定為允許間是此陣列的帳戶[ISA 陣列系統管理員]
11. 啟動後端陣列NLB,檢查CSS是否同步、相關服務是否正常執行中
內部虛擬IP 192.168.6.240
外部虛擬IP 192.168.168.240
*以上前牆和後牆的內網卡,請注意DNS必須指向內部的DNS
DNS
1. 將MainDC設定為總公司DMZ網路,安裝DNS服務
2. 建立lucky.com區域
3. 登記對外提供服務的主機資料
因為要讓分公司的牆去申請憑證及信任企業CA
先登記一筆MainDC.lucky.com 192.168.168.240
總公司前端ISA Server發行規則
1. 發行DNS 192.168.6.1
2. 發行企業根CA maindc.lucky.com
* 監聽程式的驗證裡的進階,勾選 [允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇 [沒有委派,但用戶端可以直接驗證]
總公司後端ISA Server發行規則
1. 允許前端ISA Server到企業根CA網站的流量
因為網頁是由ISA監聽的,所以開放ISA到CA流量即可
總公司後端ISA Server建立VPN站台
1. 建立遠端VPN站台branch,靜態IP指派不可重複
2. 在兩台ISA Server本機建立具備[允許存取]撥入權力的著帳戶branch
3. 並且替兩台申請企業憑證並安裝且確認信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
先替一台申請,匯出後再去另外一台匯入
4. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
總公司前端防火牆開放VPN相關規則
1. 發行VPN Server。提供VPN 伺服器服務,讓分公司可以連線
[PPTP伺服器]
[IKE伺服器]
[IPSec NAT-T伺服器]
2. 允許VPN Client。讓後牆可以提出VPN要求,連線分公司
[PPTP]
[IKE用戶端]
[IPSec NAT-T用戶端]
分公司ISA Server安裝與VPN站台設定
0. 設定兩張網路卡分別屬於分公司內部網路、外部網路
外部網卡DNS請指向總公司所發行的DNS,這樣才能查到相對應的IP
1. 安裝ISA Server與CSS於同一台內
2. 建立遠端VPN站台main,靜態IP指派不可與總公司的重複
遠端站台設定為總公司前牆發行VPN伺服器的虛擬IP 192.168.168.240
遠端網路IP位置範圍選擇公司內部網路 192.168.5.0/24
[遠端NLB]必須輸入兩台前牆的實體IP 192.168.168.241-242
3. 在ISA Server本機建立具備[允許存取]撥入權力的著帳戶main
4. 替ISA Server申請企業憑證並信任企業CA
因為是企業CA,請申請[系統管理員],並勾選以下兩個選項
□將金鑰標是成可匯出
□將憑證存放在本機電腦憑證存放區
5. 重新啟動[路由及遠端存取的服務],在ISA主控台的服務
6. 利用Regedit.exe 修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servies\IPSec
新增一筆 AssumeUDPEncapsulationContextOnSendRule 型態為DWORD
數值改為1,並重新啟動電腦
目的為了讓VPN站台可以連結NAT後面的VPN站台
BranchDC
1. 將BranchDC設定為分公司內部網路,尚未加入網域
2. 暫時為這一階段的測試電腦,確認兩個NAT電腦可以透過VPN互通
測試
1. 到系統管理工具的遠端及路由存取裡面彼此主動連線對方
2. MainDC與BranchDC彼此互ping對方
當站台對站台VPN建立的同時
防火牆規則會自動開放VPN與內部所有流量
網路規則也會變成路由規則
參考文獻 戴有煒老師上課的教材、ISA Server 2006 防火牆安裝與管理指南
沒有留言:
張貼留言