Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Application Filter I Giới thiệu: Kiểm soát nội dung luồng liệu - can thiệp sâu bên lớp ứng dụng (layer OSI Model) Bài Lab gồm nội dung sau: HTTP Filtering SMTP Filtering * Trong này, YahooMessenger ví dụ điển hình để minh họa Http Filter II Thực A Http Filtering: 1.Máy DC thử truy cập ứng dụng YahooMessenger để chat thử, trước tiến hành cấm công cụ Application Filter với chức Signature: - Kiểm tra tất AccessRule, cho cho phép truy cập HTTP,HTTPS DNS - Tắt tính Proxy Internal (Configuration-Network-Internal)  để Yahoo Messenger theo mặc định, chỉnh Use proxies khơng thể sign in, chỉnh sang Firewall with no Proxies sign in thành cơng B1: Mở YahooMessenger  vào menu Messenger  Chọn Connection Preferences  chọn option Firewall with no Proxies Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 60 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Kiểm tra sign in thành cơng, YahooMesseger thơng qua Http để trao đổi liệu với YahooMessenger Server Sign out , để chuẩn bị thực bước cấm http filter Thực http filtering : B2: Chuột phải rule Access Internet (HTTP/HTTPS)  Chọn Configure HTTP Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 61 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Trong cửa sổ Configure HTTP …  Vào tab Signature B4: Trong cửa sổ Signature  Điền thơng tin hình bên  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 62 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B5: Chọn Deny Yahoo Messenger  Apply  OK B6: Apply  OK, Apply để hoàn tất Mở Yahoo Messenger  Sign in lại thử  Kiểm tra sigin Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 63 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com – Chức Method Http filter: * Trước lọc phương thức Post ISA, kiểm tra phép gửi mail thông qua Web mail (Yahoo, Gmail, Hotmail …) B1: Phải chuột rule Allow Access (HTTP/HTTPS)  Chọn Configure HTTP B3: Vào tab Method  Chọn Block specified methods (allow all others) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 64 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B4: Chọn Add  Trong ô Method gõ vào chữ POST (như hình bên)  OK  OK B5: Trong giao diện quản lý ISA chọn Apply  OK Kiễm tra: Sign in Yahoo Mail! nhận mail bình thường B6: Soạn gửi di e-mail  Kiểm tra khơng gửi được, hầu hết trình gửi mail phải dùng phương thức POST để truyền nội dung Cấm download file: Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 65 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: Phải chuột rule Allow Access (HTTP/HTTPS)  Chọn Configure HTTP B2: Vào tab Extension  Chọn Block specified extensions (allow all others) B3: Chọn Add  Trong ô Extension gõ vào exe  OK  Apply  OK B4: Trong giao diện quản lý ISA chọn Apply  OK Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 66 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B4: Cho máy DC thử download file exe từ trang web nao Vd: http://www.bkav.com.vn Kiểm tra: Không thể download Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 67 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B-SMTP Filtering: * Chuẩn bị: Tạo rule Publish Mail server SMTP & POP (Tương tự Server Publishing) a - Cài đặt Cấu hình SMTP POP3 DC B1: Mở giao diện IIS, chuột phải Default SMTP Virtual Server  Properties B2: Tại tab General  Trong ô IP Address chọn lại cụ thể địa máy DC: 172.16.x.2 B3: Restart dịch vụ SMTP Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 68 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com b - Cài đặt cấu hình SMTP máy ISA B1: Mở Control Panel  Chọn Add/Remove Program  Vào Windows Component  Vào Detail Application Server  Đánh dấu chọn SMTP Service  OK Next Sau cài xong chọn Finish B2: Mở giao diện IIS chuột phải Default SMTP Virtual Server  Properties  Tại tab General  Trong ô IP Address chọn lại cụ thể địa card cross máy ISA: 172.16.x.1  OK B3: Trong Default SMTP Virtual Server  Chuột phải Domain  Chọn New  Domain Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 69 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B4: Trong mục Specify the domain Type  Chọn Remote  Next B5: Trong ô Name  Gõ vào tên domain nhóm: nhom#.com  Finish B6: Chuột phải tên domain vừa tạo, chọn Properties Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 70 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B7: Trong cửa sổ Properties  Đánh dấu chọn vào ô Allow incomming…  Chọn ô Forward all mail to smart host (DC) nhập vào địa IP máy mail server (hiện máy DC) Lưu ý: Địa smart host phải nằm dấu ngoặc vuông B8: Stop Start Default SMTP Virtual Server c - Cài đặt messesage screener cho ISA Server, theo bước sau: B1: Chạy setup chương trinh ISA Server 2004 tương tự Cài đặt ISA Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 71 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: Trong cửa sổ Program Maintenance  Chọn Modify  Next B3: Trong cửa sổ Custom Setup  Chọn cài đặt chức Message Screener hình bên  Next Sau hồn tất q trình cài đặt  Chọn Finish d - Chỉnh sửa lại rule MailPublishing : B1: Chuột phải rule Public Mail SMTP server  Chọn Properties Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 72 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: Vào tab To  chỉnh sửa địa địa máy Mail Server thành địa máy ISA Server (172.16.x.1)  Apply  OK B3: Trong giao diện quản lý ISA chọn Apply  OK e- Cấu hình SMTP Filter: Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 73 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: Trong giao diện quản lý ISA  Vào mục Configuration  Add-ins  Phải chuột mục SMTP Filter chọn Properties B2: Trong cửa sổ SMTP Filter Properties  Vàotab Keywords  Chọn Add Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 74 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Trong ô Keywords nhập vào chữ test,  Chọn Message subject or body  Trong ô Actions chọn Forward message to  Trong ô E-mail address nhập vào địa mail Administrator (tham khao hình bên)  OK B4: Trong giao diện quản lý ISA chọn Apply  OK f - Kiểm tra: Dùng máy bên card LAN giả lập máy Internet gửi mail vào cho cho u1 Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 75 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: Gủi mail cho u1 khơng có nội dung subject “test” B2: Gủi mail cho u1 với subject có chữ “test” Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 76 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Gủi mail cho u1 với nội dung có chữ “test” g - Kiểm tra mail u1 thấy u1 nhận đựơc mail mail cịn lai bị chuyển cho Administrator B1: Mở Outlook Express u1 Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 77 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B2: U1 nhận mail B3 : Mở Outlook Express Administrator Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 78 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B4: Kiểm tra Administrator nhận đươc mail mà u2 gửi u1 có nội dung va subject “test” Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 79 ... Http để trao đổi liệu với YahooMessenger Server Sign out , để chuẩn bị thực bước cấm http filter Thực http filtering : B2: Chuột phải rule Access Internet (HTTP/HTTPS)  Chọn Configure HTTP Phiên... diện quản lý ISA  Vào mục Configuration  Add-ins  Phải chuột mục SMTP Filter chọn Properties B2: Trong cửa sổ SMTP Filter Properties  Vàotab Keywords  Chọn Add Phiên Bản Thử Nghiệm - Lưu... 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B-SMTP Filtering: * Chuẩn bị: Tạo rule Publish Mail server SMTP & POP (Tương tự Server Publishing) a -