Chặn trình duyệt web với IPSec Trong hướng dẫn giới thiệu cho bạn cách chặn hoạt động duyệt web máy tính Windows 2000/XP/2003 vào Internet cho phép truy cập đến site mạng nội Các máy tính Windows 2000/XP/2003 có chế bảo mật IP kèm mang tên IPSec (IP Security) IPSec giao thức thiết kế để bảo vệ gói liệu TCP/IP chúng truyền tải mạng cách sử dụng mã hóa khóa chung Về chất, máy nguồn gói địa IP chuẩn bên gói IPSec mã hóa Sau gói liệu trì trạng thái mã hóa đến máy đích Ngồi tính kể trên, bên cạnh việc mã hóa, IPSec cịn cho phép bạn bảo vệ cấu hình máy trạm máy chủ với chế giống tường lửa Tuy nhiên bạn chặn truy cập Internet số người dùng cho phép họ sử dụng trình duyệt web để lướt site mạng nội Hồn tồn với IPSec Bạn thực đơn giản cách tạo sách để thị cho máy tính khóa tất lưu lượng IP có sử dụng HTTP HTTPS, giao thức sử dụng cổng TCP 80 443 với tư cách cổng đích chúng Bằng việc khóa lưu lượng cụ thể này, bạn chặn số máy tính đó, khơng cho chúng duyệt Internet Tuy nhiên, việc khóa tất lưu lượng HTTP HTTPS làm cho người dùng bạn truy cập vào site nội Một giải pháp đưa bổ sung thêm sách cho phép lưu lượng HTTP HTTPS dành cho địa IP cụ thể, tên DNS máy tính cụ thể tồn subnet Bạn cấu hình sách cách điều chỉnh sách IPSec máy tính đó, tốt nữa, bạn cấu hình sách Group Policy Object (GPO) Site, Domain hay Organization Unit (OU) Để cấu hình GPO, bạn phải có Active Directory thích hợp Để cấu hình hành động cho máy tính, bạn thực theo bước sau: Cấu hình danh sách lọc hành động lọc Mở cửa sổ MMC (Start > Run > MMC) Add IP Security and Policy Management Snap-In 3 Trong cửa sổ Select which computer this policy will manage, chọn Local Computer (hoặc sách phụ thuộc vào nhu cầu bạn) Kích Close sau kích Ok Kích phải vào IP Security Policies panel bên trái giao diện điều khiển MMC Chọn Manage IP Filter Lists and Filter Actions 5 Trong Manage IP Filter Lists and Filter actions, kích Add Trong cửa sổ IP Filter List, đánh vào tên mô tả (chẳng hạn HTTP, HTTPS) kích Add để thêm lọc Trong cửa sổ chào, kích Next 8 Trong hộp mơ tả, đánh vào thông tin mô tả bạn muốn, sau kích Next Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address chọn kích Next 10 Trong cửa sổ IP Traffic Destination, để tùy chọn Any IP Address chọn kích Next 11 Trong IP Protocol Type, cuộn xuống đến TCP nhấn Next 12 Trong IP Protocol Port, đánh 80 (cho HTTP) hộp To This Post kích Next 13 Trong cửa sổ IP Filter List, lưu ý cách IP Filter add Lúc muốn, bạn add HTTPS (Any IP to Any IP, Protocol TCP, Destination Port 443) theo cách thực 14 Lúc bạn thiết lập hai lọc, kích OK 15 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lại lọc (bạn add remove lọc sau) Lúc add lọc dùng để định nghĩa lưu lượng web mạng nội (INTRANET) Tiếp đó, kích Add 16 Đặt tên thích hợp cho lọc – cho ví dụ - Intranet, sau tiến hành cấu hình lọc cách kích Add 17 Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address tích kích Next 18 Trong IP Traffic Destination, kích danh sách sổ xuống chọn kiểu đích Ví dụ, bạn muốn cho phép lưu lượng web cung cấp từ máy chủ web mạng nội (chẳng hạn mang tên SERVER200), chọn A Specific DNS Name Sau đó, Host Name, đánh SERVER200 kích Next Nếu muốn cho phép lưu lượng web cung cấp từ subnet mạng nội bộ, chẳng hạn 192.168.0.0/24, chọn A Specific IP Subnet, đánh vào Network ID Subnet Mask cho subnet yêu cầu Kích Next 19 Quay trở lại danh sách IP Filter, add lọc khác mà bạn muốn, cuối kích OK 20 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lọc bạn tất ok, kích tab Manage Filter Actions Lúc cần add hành động lọc (filter action) để khóa lưu lượng định đó, kích Add 21 Trong hình chào, kích Next 22 Trong Filter Action Name đánh Block kích Next 23 Trong Filter Action General Options, kích Block sau kích Next 24 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lọc bạn, tất ok, kích nút Close Bạn thêm Filters Filter Actions lúc muốn Bước cấu hình IPSec Policy gán Cấu hình IPSec Policy Trong giao diện MMC, kích phải vào IP Security Policies Local Computer chọn Create IP Security Policy Trong hình chào, kích Next Trong IP Security Policy Name, nhập vào tên mô tả, chẳng hạn "Block HTTP, HTTPS, allow Intranet" Kích Next 4 Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active the Default Response Rule Kích Next Trong cửa sổ Completing IP Security Policy Wizard, kích Finish Lúc cần add IP Filters Filter Actions khác vào IPSec Policy Trong cửa sổ IPSec Policy mới, kích Add để thêm vào IP Filters Filter Actions Trong cửa sổ chào, kích Next 8 Trong Tunnel Endpoint, bảo đảm thiết lập mặc định chọn kích Next Trong cửa sổ Network Type, chọn All Network Connections kích Next 10 Trong cửa sổ IP Filter List, chọn IP Filter cấu hình từ trước, cho ví dụ "HTTP, HTTPS" (được cấu hình bước phần viết) Nếu lý đó, bạn khơng cấu hình IP Filter từ trước bạn nhấn Add thêm vào lúc Khi xong, kích Next 11 Trong cửa sổ Filter Action, chọn Filter Action cấu hình từ trước, cho ví dụ "Block" (đã cấu hình bước 20 phần trên) Tiếp đến, chưa cấu hình Filter Action từ trước bạn nhấn Add thêm vào lúc Khi xong, kích Next 12 Quay trở lại cửa sổ new IPSec Policy, bảo đảm new IP Filter chọn Kích Add để bổ sung thêm IP Filters Filter Actions giống bạn thực Trong ví dụ này, add "Intranet" IP Filter Thực bước từ đến bước 11 13 Add "Intranet" IP Filter 14 Cấu hình để sử dụng Permit Filter Action 15 Lưu ý cách hai IP Filter add Lưu ý bạn thay đổi thứ tự chúng giống tường lửa chuyên dụng Mặc dù cấu hình làm việc tốt Giai đoạn gán IPSec Policy Gán IPSec Policy Trong giao diện MMC, kích phải vào new IPSec Policy chọn Assign Khi thực xong, bạn test cấu hình cách thử lướt đến Windows bị chặn website khơng bị chặn Khóa nhiều máy tính Việc khóa nhiều máy tính thực theo hai cách: Export Import IPSec Policy Cấu hình IPSec Policy thơng qua GPO Cả hai phương pháp sử dụng để ngăn chặn số máy tính sử dụng ICMP (cho cho IPSec Policy khác)  ... đoạn gán IPSec Policy Gán IPSec Policy Trong giao diện MMC, kích phải vào new IPSec Policy chọn Assign Khi thực xong, bạn test cấu hình cách thử lướt đến Windows bị chặn website khơng bị chặn Khóa... thực theo hai cách: Export Import IPSec Policy Cấu hình IPSec Policy thông qua GPO Cả hai phương pháp sử dụng để ngăn chặn số máy tính sử dụng ICMP (cho cho IPSec Policy khác) ... phép lưu lượng web cung cấp từ máy chủ web mạng nội (chẳng hạn mang tên SERVER200), chọn A Specific DNS Name Sau đó, Host Name, đánh SERVER200 kích Next Nếu muốn cho phép lưu lượng web cung cấp