how to config ISA with PIX

[quyanh]

tôi có mô hình mạng như sau:
LAN------ISA------PIX515E--------ROUTER--------INTERNET
có 1 dãy địa chỉ đăng ký trên internet là 203.x.y.208/28
nếu không có ISA thì tôi có thể cấu hình, nhưng khi có ISA thì tôi không biết cấu hình thế nào cho đúng, rất mong mọi người giúp
yêu cầu là :
- tất cả các users trong LAN đều được kiểm sóat truy cập internet thông qua ISA.
- pubplic 2 server trong LAN ra internet : Webserver and mailserver

Thanks

[HuuHoa]

chào quyanh

Mục tiêu của đặt một ISA server vào vị trí đó là để làm gì? Nếu mình rõ mục tiêu thiết kế thì mình mới có cách cấu hình phù hợp. Theo mình hiểu thì các chức năng về firewall đã do PIX đảm nhiệm. Nên ISA trong trường hợp này chỉ làm giống như proxy phải không?

[itmansaigon]

tôi có mô hình mạng như sau:
LAN------ISA------PIX515E--------ROUTER--------INTERNET
có 1 dãy địa chỉ đăng ký trên internet là 203.x.y.208/28
nếu không có ISA thì tôi có thể cấu hình, nhưng khi có ISA thì tôi không biết cấu hình thế nào cho đúng, rất mong mọi người giúp
yêu cầu là :
- tất cả các users trong LAN đều được kiểm sóat truy cập internet thông qua ISA.
- pubplic 2 server trong LAN ra internet : Webserver and mailserver

Thanks

Cấu hình như trên thường dùng cho những công ty có nhu cầu về bảo mật cao (dùng 2 firewall của hai vendor khách nhau để tránh trường hợp một firewall bị security bug)
Thông thường khi dùng cấu hình này người ta sẽ có một segment DMZ riêng để public các Internet services ra ngoài, nhưng nếu bạn cứ cố tình đưa các local hosts ra bên ngoài :roll: thì chịu khó NAT thêm một lần nữa ở ISA

[quyanh]

tôi chưa thấy mô hình này lần nào nên không biết asign các địa chỉ ra sao ? nhờ bạn chỉ giúp trên mô hình
Thanks

[sinhvienngheo]

hi quyanh

địa chỉ đấu nối của đường truyền có tính vào dãy địa chỉ trên hay không? hay là ISP sẽ cấp địa chỉ đấu nối riêng?

[quyanh]

tôi không biết assign địa chỉ giữa inside interface của PIX và địa chỉ internal của ISA như thế nào cho hợp lý.
Thanks

[itmansaigon]

External if của PIX là một trong 14 usable IP addresses mà bạn có
Internal if của PIX là một private IP address nào đó mà bạn chọn
External if của ISA là một private IP address cùng segment với Internal if IP address của PIX ở trên

[changchancuucodon]

nếu trên PIX có DMZ thì cho DMZ dãy địa chỉ thật 203.x.ỵ mà bạn được cấp. Card mạng bên trong ISA server là một địa chỉ mạng private khác nữa.

[itmansaigon]

nếu trên PIX có DMZ thì cho DMZ dãy địa chỉ thật 203.x.ỵ mà bạn được cấp.

Như vậy thì DMZ và external if IP address của PIX cùng subnet à :lol:

[quyanh]

Thanks,
mình làm được rồi