НОУ ИНТУИТ | Технологии и продукты Microsoft в обеспечении информационной безопасности. Лекция 9: Мониторинг, оповещения и логирование на ISA Server 2006

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 25.06.2010 | Уровень: специалист | Доступ: платный

|

Вам нравится? Нравится 28 студентам

| Поделиться |

Поддержать программу

Упражнение 3 Регистрация доступа клиентских компьютеров

Сценарий

В этом упражнении вы изучите функции логирования (регистрации) продукта ISA Server.

Примечание: в этом упражнении используются компьютеры Denver, Paris и Istanbul

Задача	Инструкции
Следующие 3 задания выполняются на компьютере 1. На компьютере Paris определите местонахождение лог-файлов ISA Server	Примечание: выполните описанные ниже шаги на компьютере Paris a.На левой панели консоли ISA Server выберите Monitoring и перейдите на вкладку Logging. Примечание: возможно, вам потребуется временно закрыть панель задач, чтобы увидеть вкладку Logging b.В панели задач на вкладке Tasks выберите Configure Firewall Logging c.На вкладке Log диалогового окна Firewall Logging Properties выберите Options. Примечание: Диалоговое окно Options показывает, что ISA Server хранит лог-файлы в папке ISALogs установочной директории (C:\Program Files\Microsoft ISA Server). d.Чтобы закрыть диалоговое окно Options , нажмите Cancel. Примечание: Диалоговое окно Firewall Logging Properties показывает, что имена лог-файлов создаются по шаблону ISALOG_yyyymmdd_FWS_nnn.mdf e.Чтобы закрыть диалоговое окно Firewall Logging Properties, нажмите Cancel. Примечание: лог-файлы Web Proxy( ISALOG_yyyymmdd_WEB_nnn.mdf) также хранятся в папке ISALogs
2. Запустите запрос логов в режиме онлайн	a.На вкладке Logging нажмите Start Query. Примечание: опция Start Query инициирует запрос на получение содержимого лог-файлов ISA Server в режиме реального времени. При успешных и неуспешных попытках осуществления соединений через ISA Server записи из лог-файлов будут отображаться на экране
3. Создайте новое правило доступа: Name: Allow Web access (logging test) Applies to: HTTP From network: Internal To network: External	a.На левой панели консоли ISA Server выберите Firewall Policy. b.На правой панели выберите первое правило или Default rule ( если ни одного правила не существует), чтобы указать, на какой позиции списка правил будет добавлено новое правило c.В панели задач на вкладке Tasks выберите Create Access Rule. d.В диалоговом окне мастера создания правил New Access Rule Wizard введите Allow Web access (logging test) в поле Access rule name и нажмите Next. e.На странице Rule Action выберите опцию Allow и нажмите Next. f.На странице Protocols в окне списка This rule applies to выберите Selected protocols и нажмите Add. g.В диалоговом окне Add Protocols нажмите Common Protocols -> HTTP -> Add. Чтобы закрыть диалоговое окно Add Protocols, нажмите Close. h.На странице Protocols нажмите Next. i.На странице Access Rule Sources нажмите Add. j.В диалоговом окне Add Network Entities нажмите Networks -> Internal -> Add. Чтобы закрыть диалоговое окно Add Network Entities, нажмите Close. k.На странице Access Rule Sources page нажмите Next. l.На странице Access Rule Destinations page нажмите Add. m.В диалоговом окне Add Network Entities нажмите Networks -> External -> Add. Чтобы закрыть диалоговое окно Add Network Entities, нажмите Close. n.нажмите Access Rule Destinations нажмите Next. o.На странице User Sets page нажмите Next. p.В диалоговом окне мастера создания правил New Access Rule Wizard нажмите Finish. Примечание: создано новое правило для межсетевого экрана, позволяющее осуществлять подключения по HTTP-протоколу из внутренней сети во внешнюю q. Чтобы применить новое правило, нажмите Apply и OK.
Следующее задание выполняется на компьютере 4. На компьютере Denver с помощью обозревателя Internet Explorer подключитесь к http:// istanbul.fabrikam.c om	Примечание: выполните описанные ниже шаги на компьютере Denver a.Откройте Internet Explorer, в адресной строке введите http://istanbul.fabrikam.com и нажмите Enter. Примечание: Internet Explorer отобразит web-сайт Istanbul.
Следующее задание выполняется на компьютере 4. На компьютере Paris задайте новое описание фильтра для логирования в режиме реального времени: Filter by: Destination IP Condition: Equals Value: 39.1.1.7	Примечание: выполните описанные ниже шаги на компьютере Paris a.На левой панели консоли ISA Server выберите Monitoring и перейдите на вкладку Logging. Примечание: ISA Server выводит на экран все записи из лог-файлов Firewall service и Web Proxy с момента запуска Start Query . Там могут оказаться несколько одинаковых NBNS-запросов (NBNS - NetBIOS Name Service) и дейтаграмм NetBIOS, получивших отказ. HTTP -запрос к машине Istanbul (39.1.1.7) также входит в этот список. Задавая фильтр, вы можете определять, какие записи будут отображаться на экране, а какие нет. b.В панели задач на вкладке Tasks выберите Edit Filter. c.В диалоговом окне Edit Filter введите следующую информацию и нажмите Add To List, чтобы добавить новое определение фильтра: Filter by: Destination IP Condition: Equals Value: 39.1.1.7 d. Чтобы закрыть диалоговое окно Edit Filter, нажмите Start Query. Примечание: Экран очищается от ранее выведенных записей из лога. С этого момента отображаются только записи, соответствующие новому фильтру (Destination IP = 39.1.1.7).
Следующие 2 задания выполняются на компьютере 6. На компьютере Denver обновите два раза содержимое web-страницы http:// istanbul.fabrikam.c om - нажмите Ctrl+F5 (Ctrl-Refresh) - нажмите F5 (Refresh)	Примечание: выполните описанные ниже шаги на компьютере Denver a.Проверьте, что на компьютере Denver в обозревателе Internet Explorer открыта web -страница http://istanbul.fabrikam.com. b.Удерживая клавишу Ctrl, нажмите на кнопку Refresh на панели обозревателя, чтобы обновить Web -страницу вне зависимости от того, было ли изменено ее содержимое с момента последней загрузки. c.Подождите несколько секунд и нажмите на кнопку Refresh на панели обозревателя (не удерживая клавишу Ctrl ), чтобы обновить Web -страницу, если ее содержимое было изменено с момента последней загрузки. Примечание: Internet Explorer в обоих случаях отобразит одну и ту же web страницу Istanbul.
7. Попытайтесь загрузить несуществующую web-страницу http:// istanbul.fabrikam.c om/ test.htm	a.В адресной строке обозревателя Internet Explorer введите http://istanbul.fabrikam.com/test.htm и нажмите Enter. Примечание: Internet Explorer не сможет обнаружить указанную web-страницу test.htm (HTTP Error 404). b.Закройте Internet Explorer.
Следующие 2 задания выполняются на компьютере 8. На компьютере Paris просмотрите содержимое лог-файлов, выведенное в режиме онлайн для заданного фильтра по IP = 39.1.1.7. Добавьте столбец HTTP Status Code	Примечание: выполните описанные ниже шаги на компьютере Paris a.Подождите несколько секунд, пока на вкладке Logging не появятся записи из лог-файла, соответствующие заданному фильтру IP 39.1.1.7. Примечание: появится не менее трех записей, соответствующих фильтру Destination IP = 39.1.1.7 (адрес машины Istanbul) b.Правой кнопкой мыши кликните по заголовку Log Time и в появившемся контекстном меню выберите опцию Add/Remove Columns. Примечание: Можно добавлять колонки, перемещая их из списка Available columns в список Displayed columns. c.В окне списка Available columns диалогового окна Add / Remove Columns выберите HTTP Status Code и нажмите Add ->. Примечание: HTTP Status Code is moved into the Displayed columns list. d.В списке Displayed columns выберите HTTP Status Code и нажимайте Move Up до тех пор, пока HTTP Status Code не займет место следом за HTTP Method. e.Чтобы закрыть диалоговое окно Add/Remove Columns, нажмите OK. Примечание: Чтобы увидеть на экране все поля приведенных ниже записей из лог-файлов, используйте горизонтальную полосу прокрутки: Protocol http - HTTP Method GET - HTTP Status Code 200 Protocol http - HTTP Method GET - HTTP Status Code 304 Protocol http - HTTP Method GET - HTTP Status Code 404 Примечание: код возврата 200 означает Success (после нажатия Ctrl-F5), 304 означает отсутствие изменений в содержимом страницы (после нажатия F5), 404 означает File not found (после обращения к несуществующей странице test.htm). Примечание: описанные ниже шаги нужно выполнить, чтобы избежать конфликтов настроек при выполнении следующих лабораторных занятий
9. Удалите описание онлайн-фильтра и остановите запрос на выборку и отображение записей из лог-файлов	a.В панели задач на вкладке Tasks выберите Edit Filter. b.В диалоговом окне Edit Filter выберите выражение Destination IP - Equals - 39.1.1.7 и нажмите Remove. c.Чтобы закрыть диалоговое окно Edit Filter, нажмите Start Query. d.В панели задач на вкладке Tasks выберите Stop Query. Примечание: Онлайн запрос на выборку и отображение записей из лог-файлов Firewall Server остановлен. e.Чтобы сохранить изменения, нажмите Apply и затем OK