Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 29 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
29
Dung lượng
7,35 MB
Nội dung
“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Part38-ISAServer-AccessRule Như vậy chúng ta đã hoàn tất các bước cài đặt ISAServer và cấu hình cho tất cả các máy từ Internal Network có thể truy cập ISAServer (Local Host) bằng Firewall Client. Và như chúng đã biết sau khi cài đặt xong ISAServer lập tức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network không thể truy cập được ra ngoài (mạng Internet) và ngược lại. Hay nói một cách khác ISAServer đã khóa tất cả mọi Port ra vào hệ thống. Như vậy trong bài này chúng ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet. Tuy nhiên chúng ta không mở một cách tùy tiện các Port này mà chỉ mở khi nào thực sự cần thiết mà thôi. Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên isa.gccom.net server.gccom.net Card Lan IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS Card Cross IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.16.2.1 Preferred DNS 172.16.2.2 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 - Card Lan 192.168.1.2/24 là Card nối vào Router ADSL để ra Internet - Máy PC01 chính là máy ISAServer đã Join vào domain - Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24 Tại máy PC02 bật Active Directory Users and Computers lên và tạo một Group là Kinh Doanh và một User là gccom1. Tiến hành Add gccom1 vào Group Kinh Doanh 1 of 29 Đầu tiên để các máy trong Internal Network có thể truy cập được Local Host và ngược lại ta phải tạo một AccessRule (tương tự đã làm ờ bài Installation) và trong bài này tôi đặt tên cho Rule này là Internal VS Local Host Chọn Allow 2 of 29 Chọn tiếp All outbound traffic Trong AccessRule Sources chọn 2 thuộc tính là Internal và Local Host Vì cho đơn giản trong bài học tôi chọn luôn Local Host tuy nhiên trên thực tế vì lý do bảo mật chúng ta không chọn Local Host mà chỉ chọn duy nhất Internal mà thôi. Nhằm tránh tình trạng các máy trong Intrenal Network truy cập trực tiếp lên máy ISAServer Tương tự trong AccessRule Destinations chọn 2 thuộc tính là Internal và Local Host Trong User Sets chọn All User 3 of 29 Màn hình Rule Internal VS Local Host sau khi được tạo xong như vậy với Rule này chúng ta có thể hiểu như sau: Đồng ý cho tất cả các giao thức (mọi Port) từ Internal sang Local Host và ngược lại, quyền này được gán lên mọi User có trong mạng Internal Tiếp theo để các máy trong Internal Network truy cập ra Internet được bằng domain name của một trang Web nào đó ví dụ như google.com.vn chẳng hạn thì đòi hỏi phải có một DNS Server nào đó phân giải giúp ta tên miền này, mà trong này chính là DNS Server của nhà cung cấp dịch vụ ISP mà ta đang sử dụng Như vậy sẽ tạo tiếp một AccessRule có thuộc tính sao cho các máy trong Internal Network có quyền truy vấn đến các DNS Server bên ngoài và giả sử tôi đặt tên cho Rule này là DNS Query 4 of 29 Tại cửa sổ Protocol ta không chọn All outbound traffic nữa mà chỉ mở duy nhất một Port 53 để truy vấn DNS mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add Nhấp chọn DNS trong Folder Common Protocols 5 of 29 Trong AccessRule Sources chọn duy nhất 1 thuộc tính là Internal Tương tự trong AccessRule Destinations chọn duy nhất 1 thuộc tính là External Trong User Sets chọn All User Như vậy với Rule DNS Query này chúng ta có thể hiểu như sau: Đồng ý cho giao thức DNS (duy nhất Port 53) theo một chiều từ Internal sang External, quyền này được gán lên 6 of 29 mọi User có trong mạng Internal Như vậy khi các máy trong Internal Network truy cập một trang web nào đó đầu tiên nó sẽ hỏi DNS Server của hệ thống chúng ta (tức là PC02) và tất nhiên DNS Server chúng ta không thể hiểu được Domain name này và ngay lập tức DNS Server này sẽ hỏi tiếp các DNS Server bên ngoài nhờ ISA đã mở Port 53 Tuy nhiên thực chất cho đến lúc này các máy trong Internal Network vẫn chưa truy cập được các trang Web mình mong muốn vì thực tế ISAServer chỉ mở duy nhất một Port 53 mà thôi trong khi đó để truy cập Web chúng ta cần mở tiếp các Port 80 (http), Port 443 (https), Port 21 (ftp) . Tiếp đến tôi sẽ tạo một AccessRule sao cho các User trong Group Kinh Doanh được phép truy cập Internet nhưng sẽ bị giới hạn về thời gian và chỉ được phép truy cập một số trang Web nào đó mà thôi. Giả sử tôi đặt tên cho Rule này là Web Group KD Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào. 7 of 29 Tiếp tục chọn Next Trong AccessRule Sources chọn duy nhất 1 thuộc tính là Internal Tuy nhiên trong AccessRule Destinations ta không chọn thuộc tính là External nữa vì như thế các User có thể truy cập mọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi. Nên bạn chọn Add 8 of 29 Trong cửa sổ Add Network Entities chọn New -> URL Set Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Allow Web Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào theo cú pháp: http://*.<domain name>/* http://<domain name>/* Như vậy với mỗi trang Web chúng ta cần phải nhập 2 dòng theo cú pháp trên. Trong này ví dụ tôi cho phép User có quyền truy cập 2 trang gccom.net và google.com mà thôi. 9 of 29 Trở lại cửa sổ Add Network Entities chọn URL Set -> Allow Web Vì tôi muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets chọn All User và Remove nó đi. Sau đó nhấp Add để thêm Group mới 10 of 29 [...]... việc tạo các Rule (Allow/Deny) cho các máy trong Internal Network có thể truy cập External Network Bây giờ ta sẽ khảo sát một số tính năng khác của ISAServerTại Firewall Policy nhập vào Icon Show/Hide Firewall Policy sẽ thấy tất cả các Rule của ISAServer Như vậy ngoài các Rule ta tạo thêm mặc định ISAServer đã tạo sẵn một số Rule cho riêng mình Trên thực tế ta không nên tác động đến các Rule mặc định... tạo một Rule mới sao cho các Users thuộc Group Sep sẽ truy cập được mọi trang Web và mọi giao thức Tại Active Directory Users and Computers tạo một Group là Sep Tiến hành Add Administrator vào Group Sep 18 of 29 Tại PC01 bật ISAServer lên tạo tiếp một AccessRule mới đặt tên là Sep Và có thuộc tính như sau: Rule Action: Allow Protocol: All outbound traffic AccessRule Sources: Internal AccessRule Destinations:... trong Rule Web Group KD Tuy nhiên trong ISAServer các Rule nào có thuộc tính Order càng nhỏ thì được ưu tiên cao hơn hay nói cách khác các Rule nào nằm trên sẽ được ưu tiên hơn là các Rule nằm bên dưới Như vậy trong này do Rule Cam KD truy cap Web den có độ ưu tiên cao hơn Rule Web Group KD nên các Users trong Group Kinh Doanh sẽ không truy cập được trang google.com.vn Bạn có thể thay đổi thứ tự các Rule. .. như hình bên dưới Trở lại màn hình ISAServer nhấp phải vào Rule Cam KD truy cap Web den và chọn Properties 24 of 29 Chọn tiếp Tab Action -> Deny Nhấp chọn Redirect HTTP requests to this Web page và nhập địa chỉ máy ISA Server vào Trở lại máy PC02 Logon với gccom1 và truy cập lại trang google.com.vn sẽ thấy Web Browser không hiển thị trang báo lỗi mặc định của ISA Server nữa mà đã tự chuyển về trang... thôi bây giờ ta sẽ tạo các Rule nhưng với Action là Deny Tạo một AccessRule mới với tên là Cam KD truy cap Web den 21 of 29 TạiRule Action không chọn Allow nữa mà chọn Deny Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi Trong AccessRule Sources chọn duy nhất 1 thuộc tính là Internal Tiếp đến trong AccessRule Destinations ta không... riêng mình Trên thực tế ta không nên tác động đến các Rule mặc định này 28 of 29 OK mình vừa trình bày xong phần AccessRule- ISA Server trong 7 0-3 51 của MCSA Công ty TNHH đầu tư phát triển tin học GC Com Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6.274.294 Website: http://www.gccom.net 29 of 29 ... of 29 Tiếp theo ta sẽ Modify Rule Sep sao cho các User trong Group Sep được phép truy cập mọi trang Web (đã làm lúc nãy) nhưng không được xem ảnh, video, file mà chỉ được xem văn bản Text thuần túy mà thôi Tại PC01 nhấp phải vào Rule Sep chọn Properties Chọn Tab Content types Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là: - Documents - HTML Documents - Text 26 of 29 Màn hình sau... Doanh chỉ được truy cập các trang Web thuộc danh sách Allow Web vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ 2-> thứ 6 mà thôi Bây giờ tại máy PC02 tôi đăng nhập với user gccom1 và tiến hành test thử xem thế nào Đầu tiên tôi vào trang Web kythuatvien.com sẽ nhận thấy thông báo từ ISA là "ISA Server đã từ chối yêu cầu này", vì gccom1 thuộc Group Kinh Doanh và truy cập trang Web không... thứ tự các Rule này bằng cách chọn Move up/Move down, trên thực tế ngoài Rule DNS Query được nằm trên cùng các Rule Deny ta nên cho quyền được ưu tiên cao hơn các Rule Allow Tại máy PC02 Logon vào gccom1 sẽ thấy không thể truy cập trang google.com.vn được nữa 23 of 29 Màn hình Web Browser sẽ hiện lên trang Web thông báo từ ISA Server cho biết nội dung mà bạn không thể truy cập Web được Tuy nhiên trang... cho Users Set này là Group KD 11 of 29 Trong cửa sổ Users nhấp Add -> Windows users and groups Vì đối tượng mà ta muốn tác động là Group Kinh Doanh trên máy DC Server (PC02) nên tại đây ta phải chọn Entire Directory để truy cập Users Database trên DC Server Trong Select this users or groups chọn Locations 12 of 29 Chọn Entire Directory -> gccom.net Tiếp tục Add Group Kinh Doanh vào Trở lại màn hình Add . tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Part 38 - ISA Server - Access Rule Như vậy chúng ta đã hoàn tất các bước cài đặt ISA Server và cấu hình. bật ISA Server lên tạo tiếp một Access Rule mới đặt tên là Sep Và có thuộc tính như sau: Rule Action: Allow Protocol: All outbound traffic Access Rule