Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 37 trang
THÔNG TIN TÀI LIỆU
Nội dung
ISA Server - Access Rule ISA Server - Access Rule Bởi: Phạm Nguyễn Bảo Nguyên Như hoàn tất bước cài đặt ISA Server cấu hình cho tất máy từ Internal Network truy cập ISA Server (Local Host) Firewall Client Và chúng biết sau cài đặt xong ISA Server ngăn cách Internal Network External Network nó, máy Internal Network truy cập (mạng Internet) ngược lại Hay nói cách khác ISA Server khóa tất Port vào hệ thống Như tìm hiểu cách thức mở Port để truy cập Internet Tuy nhiên không mở cách tùy tiện Port mà mở thực cần thiết mà Để cho đơn giản sử dụng mô hình máy mạng lên Domain gccom.net Cấu hình IP máy sau: - Card Lan 192.168.1.2/24 Card nối vào Router ADSL để Internet - Máy PC01 máy ISA Server Join vào domain 1/37 ISA Server - Access Rule - Máy PC02 đóng vừa đóng vai trò máy DC Server vừa máy Client thuộc mạng 172.16.2.0/24 Tại máy PC02 bật Active Directory Users and Computers lên tạo Group Kinh Doanh User gccom1 Tiến hành Add gccom1 vào Group Kinh Doanh Đầu tiên để máy Internal Network truy cập Local Host ngược lại ta phải tạo Access Rule (tương tự làm Installation) đặt tên cho Rule Internal VS Local Host 2/37 ISA Server - Access Rule Chọn Allow Chọn tiếp All outbound traffic 3/37 ISA Server - Access Rule Trong Access Rule Sources chọn thuộc tính Internal Local Host Vì cho đơn giản học chọn Local Host nhiên thực tế lý bảo mật không chọn Local Host mà chọn Internal mà Nhằm tránh tình trạng máy Intrenal Network truy cập trực tiếp lên máy ISA Server Tương tự Access Rule Destinations chọn thuộc tính Internal Local Host Trong User Sets chọn All User 4/37 ISA Server - Access Rule Màn hình Rule Internal VS Local Host sau tạo xong với Rule hiểu sau: Đồng ý cho tất giao thức (mọi Port) từ Internal sang Local Host ngược lại, quyền gán lên User có mạng Internal Tiếp theo để máy Internal Network truy cập Internet domain name trang Web ví dụ google.com.vn chẳng hạn đòi hỏi phải có DNS Server phân giải giúp ta tên miền này, mà DNS Server nhà cung cấp dịch vụ ISP mà ta sử dụng Như tạo tiếp Access Rule có thuộc tính cho máy Internal Network có quyền truy vấn đến DNS Server bên giả sử đặt tên cho Rule DNS Query 5/37 ISA Server - Access Rule Tại cửa sổ Protocol ta không chọn All outbound traffic mà mở Port 53 để truy vấn DNS mà nên ta giữ nguyên chế độ Selected protocols chọn Add 6/37 ISA Server - Access Rule Nhấp chọn DNS Folder Common Protocols Trong Access Rule Sources chọn thuộc tính Internal Tương tự Access Rule Destinations chọn thuộc tính External 7/37 ISA Server - Access Rule Trong User Sets chọn All User Như với Rule DNS Query hiểu sau: Đồng ý cho giao thức DNS (duy Port 53) theo chiều từ Internal sang External, quyền gán lên User có mạng Internal Như máy Internal Network truy cập trang web hỏi DNS Server hệ thống (tức PC02) tất nhiên DNS Server hiểu Domain name DNS Server hỏi tiếp DNS Server bên nhờ ISA mở Port 53 Tuy nhiên thực chất lúc máy Internal Network chưa truy cập trang Web mong muốn thực tế ISA Server mở Port 53 mà để truy cập Web cần mở tiếp Port 80 (http), Port 443 (https), Port 21 (ftp) Tiếp đến tạo Access Rule cho User Group Kinh Doanh phép truy cập Internet bị giới hạn thời gian phép truy cập số trang Web mà Giả sử đặt tên cho Rule Web Group KD 8/37 ISA Server - Access Rule Tại cửa sổ Protocol ta mở Port Port 80,Port 443,Port 21 để truy cập dịch vụ HTTP, HTTPS, FTP mà nên ta giữ nguyên chế độ Selected protocols chọn Add Lần lượt Add giao thức FTP, HTTP, HTTPS Folder Web vào 9/37 ISA Server - Access Rule Tiếp tục chọn Next 10/37 ISA Server - Access Rule Tại PC01 bật ISA Server lên tạo tiếp Access Rule đặt tên Sep 23/37 ISA Server - Access Rule Và có thuộc tính sau: Rule Action: Allow Protocol: All outbound traffic Access Rule Sources: Internal Access Rule Destinations: External User Sets: Group Sep (Thao tác tương tự tạo Web Group KD) Màn hình sau hoàn tất 24/37 ISA Server - Access Rule Như với Rule Sep ta hiểu sau: Đồng ý cho giao thức (tất Port) theo chiều từ Internal sang danh sách External, quyền gán lên User có Group Sep mạng Internal Tại máy PC02 Logon với Administrator thấy truy cập trang Web 25/37 ISA Server - Access Rule Vậy từ đến ta tìm hiểu thức tạo Rule với Action Allow mà ta tạo Rule với Action Deny Tạo Access Rule với tên Cam KD truy cap Web den 26/37 ISA Server - Access Rule Tại Rule Action không chọn Allow mà chọn Deny Tại cửa sổ Protocol ta mở Port Port 80,Port 443,Port 21 để truy cập dịch vụ HTTP, HTTPS, FTP mà Trong Access Rule Sources chọn thuộc tính Internal Tiếp đến Access Rule Destinations ta không chọn thuộc tính External mà tạo URL Set đặt tên Deny Web Và tạo danh sách trang Web mà bạn cấm User truy cập vào ví dụ giả sử định nghĩa trang google.com.vn Web đen muốn ngăn chặn 27/37 ISA Server - Access Rule Trong User Sets chọn Group KD Màn hình sau hoàn tất 28/37 ISA Server - Access Rule Như với Rule Cam KD truy cap Web den ta hiểu sau: Ngăn cấm giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo chiều từ Internal sang danh sách Deny Web, quyền gán lên User có Group Kinh Doanh mạng Internal Như đến ta nhận thấy có mâu thuẫn Group Kinh Doanh: - Bị cấm truy cập trang google.com.vn Rule Cam KD truy cap Web den - Được phép truy cập trang google.com.vn Rule Web Group KD Tuy nhiên ISA Server Rule có thuộc tính Order nhỏ ưu tiên cao hay nói cách khác Rule nằm ưu tiên Rule nằm bên 29/37 ISA Server - Access Rule Như Rule Cam KD truy cap Web den có độ ưu tiên cao Rule Web Group KD nên Users Group Kinh Doanh không truy cập trang google.com.vn Bạn thay đổi thứ tự Rule cách chọn Move up/Move down, thực tế Rule DNS Query nằm Rule Deny ta nên cho quyền ưu tiên cao Rule Allow Tại máy PC02 Logon vào gccom1 thấy truy cập trang google.com.vn Màn hình Web Browser lên trang Web thông báo từ ISA Server cho biết nội dung mà bạn truy cập Web Tuy nhiên trang có chuyên viên IT hiểu gì, thực tế với người dùng bình thường họ ngăn cấm việc truy cập 30/37 ISA Server - Access Rule Như đơn giản người dùng truy cập trang Web cấm ta nên Redirect đến trang Web khác mà nội dung thông báo chi tiết cho người dùng hiểu rõ vấn đề Giả sử máy PC01 cài IIS tạo trang Web Default có nội dung hình bên Trở lại hình ISA Server nhấp phải vào Rule Cam KD truy cap Web den chọn Properties 31/37 ISA Server - Access Rule Chọn tiếp Tab Action -> Deny Nhấp chọn Redirect HTTP requests to this Web page nhập địa máy ISA Server vào Trở lại máy PC02 Logon với gccom1 truy cập lại trang google.com.vn thấy Web Browser không hiển thị trang báo lỗi mặc định ISA Server mà tự chuyển trang Web mà ta tạo lúc 32/37 ISA Server - Access Rule Tiếp theo ta Modify Rule Sep cho User Group Sep phép truy cập trang Web (đã làm lúc nãy) không xem ảnh, video, file mà xem văn Text túy mà Tại PC01 nhấp phải vào Rule Sep chọn Properties Chọn Tab Content types Chọn tiếp Selected content types chọn tùy chọn là: - Documents - HTML Documents 33/37 ISA Server - Access Rule - Text Màn hình sau hoàn tất 34/37 ISA Server - Access Rule Trở lại PC02 Logon với Administrator vào trang Web tùy ý thấy hình ảnh, video không hiển thị mà có túy Text mà 35/37 ISA Server - Access Rule Như đến hoàn thành việc tạo Rule (Allow/Deny) cho máy Internal Network truy cập External Network Bây ta khảo sát số tính khác ISA Server Tại Firewall Policy nhập vào Icon Show/Hide Firewall Policy thấy tất Rule ISA Server Như Rule ta tạo thêm mặc định ISA Server tạo sẵn số Rule cho riêng Trên thực tế ta không nên tác động đến Rule mặc định 36/37 ISA Server - Access Rule 37/37 [...]... máy DC Server (PC02) nên tại đây ta phải chọn Entire Directory để truy cập Users Database trên DC Server Trong Select this users or groups chọn Locations Chọn Entire Directory-> gccom.net 15/37 ISA Server - Access Rule Tiếp tục Add Group Kinh Doanh vào Trở lại màn hình Add Users chọn Group KD 16/37 ISA Server - Access Rule Màn hình sau khi hoàn tất 17/37 ISA Server - Access Rule Như vậy với Rule Web... Như vậy tôi sẽ tạo một Rule mới sao cho các Users thuộc Group Sep sẽ truy cập được mọi trang Web và mọi giao thức Tại Active Directory Users and Computers tạo một Group là Sep Tiến hành Add Administrator vào Group Sep 22/37 ISA Server - Access Rule Tại PC01 bật ISA Server lên tạo tiếp một Access Rule mới đặt tên là Sep 23/37 ISA Server - Access Rule Và có thuộc tính như sau: Rule Action: Allow Protocol:... Add Network Entities chọn URL Set -> Allow Web 12/37 ISA Server - Access Rule Vì tôi muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets chọn All User và Remove nó đi Sau đó nhấp Add để thêm Group mới Trong cửa sổ Add Users chọn New 13/37 ISA Server - Access Rule Đặt tên cho Users Set này là Group KD 14/37 ISA Server - Access Rule Trong cửa sổ Users nhấp Add -> Windows users and... Logon với Administrator sẽ thấy truy cập được mọi trang Web 25/37 ISA Server - Access Rule Vậy là từ nãy đến giờ ta chỉ tìm hiểu về các thức tạo các Rule nhưng với Action là Allow mà thôi bây giờ ta sẽ tạo các Rule nhưng với Action là Deny Tạo một Access Rule mới với tên là Cam KD truy cap Web den 26/37 ISA Server - Access Rule Tại Rule Action không chọn Allow nữa mà chọn Deny Tại cửa sổ Protocol ta... den - Được phép truy cập trang google.com.vn trong Rule Web Group KD Tuy nhiên trong ISA Server các Rule nào có thuộc tính Order càng nhỏ thì được ưu tiên cao hơn hay nói cách khác các Rule nào nằm trên sẽ được ưu tiên hơn là các Rule nằm bên dưới 29/37 ISA Server - Access Rule Như vậy trong này do Rule Cam KD truy cap Web den có độ ưu tiên cao hơn Rule Web Group KD nên các Users trong Group Kinh Doanh... vào Rule Sep chọn Properties Chọn Tab Content types Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là: - Documents - HTML Documents 33/37 ISA Server - Access Rule - Text Màn hình sau khi hoàn tất 34/37 ISA Server - Access Rule Trở lại PC02 Logon với Administrator vào một trang Web tùy ý sẽ thấy hình ảnh, video không được hiển thị mà chỉ có thuần túy Text mà thôi 35/37 ISA Server - Access. .. ISA Server - Access Rule Chọn tiếp Tab Action -> Deny Nhấp chọn Redirect HTTP requests to this Web page và nhập địa chỉ máy ISA Server vào Trở lại máy PC02 Logon với gccom1 và truy cập lại trang google.com.vn sẽ thấy Web Browser không hiển thị trang báo lỗi mặc định của ISA Server nữa mà đã tự chuyển về trang Web mà ta tạo lúc nãy 32/37 ISA Server - Access Rule Tiếp theo ta sẽ Modify Rule Sep sao cho... Web kythuatvien.com sẽ nhận thấy thông báo từ ISA là "ISA Server đã từ chối yêu cầu này", vì gccom1 thuộc Group Kinh Doanh và truy cập trang Web không nằm trong danh sách Allow Web 20/37 ISA Server - Access Rule Tuy nhiên nếu tôi truy cập các trang gccom.net & google.com.vn thì rất tốt vì các trang này thuộc danh sách Allow Web 21/37 ISA Server - Access Rule Logoff gccom1 và Logon lại với Administrator... - Access Rule Như vậy đến đây chúng ta đã cơ bản hoàn thành việc tạo các Rule (Allow/Deny) cho các máy trong Internal Network có thể truy cập External Network Bây giờ ta sẽ khảo sát một số tính năng khác của ISA Server Tại Firewall Policy nhập vào Icon Show/Hide Firewall Policy sẽ thấy tất cả các Rule của ISA Server Như vậy ngoài các Rule ta tạo thêm mặc định ISA Server đã tạo sẵn một số Rule cho riêng.. .ISA Server - Access Rule Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal Tuy nhiên trong Access Rule Destinations ta không chọn thuộc tính là External nữa vì như thế các User có thể truy cập mọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi Nên bạn chọn Add Trong cửa sổ Add Network Entities chọn New -> URL Set 11/37 ISA Server