PHẦN 2: ACCESS RULES I Giới thiệu: Tiếp theo phần 1, sau bạn cài đặt thành công ISA Server 2006, bạn cần phải tạo Access Rule để quản lý gói tin vào hệ thống Trong phần hướng dẫn cách tạo Access Rule phù hợp với nhu cầu doanh nghiệp Trong viết bao gồm phần: Phần I: Cài đặt ISA Server 2006 Phần II: Cấu hình Access Rule Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL Bài lab bao gồm bước: Kiểm tra Default Rule Tạo rule truy vấn DNS để phân giải tên miền Tạo rule cho phép user thuộc nhóm Manager truy cập Internet không hạn chế Tạo rule cho phép user thuộc nhóm Staff phép truy cập số trang web hành chánh Tạo rule cho phép user thuộc nhóm Staff truy cập web giải lao, ngoại trừ trang ngoisao.net Tạo rule cho phép user kết nối mail yahoo Outlook Express Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có exe Cấm truy cập số trang web, truy cập tự động chuyển đến trang web cảnh cáo cơng ty II Chuẩn bị : Mơ hình lab phần 1, lab bao gồm máy: - Máy DC: Windows Server 2003 SP2 Windows Server 2008 + Tạo OU HCM Trong OU HCM, tạo group Manager, Staff + Trong OU HCM, tạo user Man1, Man2 làm thành viên group Manager + Trong OU HCM, tạo user Staff1, Staff2 làm thành viên group Staff - Máy ISA Server: Windows Server 2003 SP2 III Thực hiện: Kiểm tra Default Rule - Mặc định sau cài ISA Server 2006, có access rule tên Default Rule cấm tất traffic vào - Tại máy DC, log on MSOpenLab\Administrator, truy cập vào trang web bất kỳ, kiểm tra nhận thông báo lỗi ISA Server - Vào cmd gõ lệnh nslookup, phân giải tên trang web sau: www.google.com www.tuoitre.com.vn , kiểm tra phân giải thất bại Tạo rule truy vấn DNS để phân giải tên miền - Tại máy ISA Server, log on MSOpenLab\Administrator, mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule - Hộp thoại Access Rule Names, đặt tên rule là: DNS Query - Hộp thoại Rule Action, chọn Allow - Hộp thoại Protocols, chọn Selected Protocols nhấn Add - Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add - Nhấn Next - Hộp thoại Access Rule Sources, Add Rule : Internal Local Host - Hộp thoại Access Rule Destinaton, Add Rule: External, nhấn Next - Hộp thoại User Sets, chọn All Users, nhấn Next - Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin Rule lần cuối, sau nhấn Finish - Nhấn chọn Apply, Ok Lưu ý: Sau lần tạo rule, phải chọn Apply để rule có hiệu lực Tạo rule cho phép user thuộc nhóm Manager truy cập Internet không hạn chế a Tạo Element để định nghĩa nhóm Manager Staff - Trong cửa sổ ISA Server Management, cửa sổ thứ 3, chọn tab Toolbox, bung mục Users, chọn New - Hộp thoại User set name, đặt tên Manager - Hộp thoại Users, nhấn Add, chọn Windows users and groups… - Thử truy cập vào trang http://nhacso.net, kiểm tra không nghe nhạc trực tuyến - Bạn thử download file.exe từ trang web (VD: http://bkav.com.vn) - Kiểm tra thấy download thất bại Cấm truy cập số trang web, truy cập tự động chuyển đến trang web cảnh báo công ty a Tạo Access Rule cho truy cập từ Internal tới Internal với All Protocol (tương tự bước trên) b Tạo URL Sets : (xem lại phần 4b) - Add trang web mà bạn muốn cấm vào Deny Web c Tạo Access Rule - Chuột phải Firewall Policy, chọn New, chọn Access Rule - Hộp thoại Access Rule Names, đặt tên rule là: Deny and Redirect Web - Hộp thoại Rule Action, chọn Deny - Trong hộp thoại Protocols, chọn Selected protocols, nhấn Add - Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP HTTPS, nhấn Add - Hộp thoại Access Rule Sources, Add Rule: Internal, nhấn Next - Hộp thoại Access Rule Destinaton, nhấn Add - Bung mục URL Sets, add Deny Web - Nhấn Next - Hộp thoại User Sets, chọn All Users - Hộp thoại Completing the New Access Rule Wizard, nhấn Finish - Move up rule Deny and Redirect Web làm rule số 2, chọn Apply, nhấn OK - Chuột phải vào rule Deny and Redirect Web, chọn Properties - Trong hộp thoại Deny and Redirect Web Properties, qua tab Action, đánh dấu check vào mục Redirect HTTP requests to this Web Page, khung bên nhập vào trang web mà bạn muốn redirect http://www.msopenlab.com/canhcao.htm (Trong viết có hosting sẳn trang web máy DC, tham khảo viết INTERNET INFORMATION SERVICES (IIS) 7.0) - Log on user MSOPenLab\Man2 máy DC, truy cập vào trang web bị cấm VD: http://www.muctim.com.vn tự động redirect trang cảnh báo công ty ... kiểm tra không truy cập Tạo rule cho phép user thuộc nhóm Staff truy cập web giải lao, ngoại trừ trang ngoisao.net - Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọn... truy cập thành cơng Tạo rule cho phép user thuộc nhóm Staff phép truy cập số trang web hành chánh a Tạo Schedule Element - Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ... Apply để rule có hiệu lực Tạo rule cho phép user thuộc nhóm Manager truy cập Internet khơng hạn chế a Tạo Element để định nghĩa nhóm Manager Staff - Trong cửa sổ ISA Server Management, cửa sổ thứ