Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giả

II/ ISA server:

4.Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giả

a - Định nghĩa giờ giải lao b - Tạo rule

c - Kiểm tra

a - Định nghĩa giờ giải lao: Làm tương tự 2c

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: Giai Lao Action: Allow

Protocols: All Outbound Traííĩc

Source: Internal

Destination: External User: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo rule xong, chọn properties của rule vừa tạo > Schedule >Gio giai lao

c - Kiểm tra:

Logon nvl, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet

( xem clip

demo kết quả Giai lao.avi) 5 - Chỉ cho xem “chữ” :

Chọn Properties của Rule “Gia Lao” > Content Types > Selected Content Types: - Documents

- HTML Documents - Text

Xem clip demo ket qua: “Chỉ duoc xem chu.avi”

6 - Cấm xem trang www.kenhI4.vn -Redirect về vnexpress.net:

a - Định nghĩa các trang web muốn cấm

b - Tạo Rule

c - Kiểm tra

a - Định nghĩa các trang web muốn cấm:

Tạo URL Set tương tự phần 2b, đặt tên là “Nhung trang web cam”, trong URL Set khai báo:

http://Lkenhl4.vn http://kenhl4.vn

b - Tạo rule:

Tạo Access rule theo các thông sổ sau:

Rule Name: Web bi cam Action: Deny

Source: Internal

Destination: URL Set > Nhung trang web cam User: All Users

Các thao tác làm tương tự như phần 1 (adsbygoogle = window.adsbygoogle || []).push({});

Sau khi tạo mle, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1

Redirect về vnexpress.net

Click chuột phải lên Rule “Web bi cam” > Properties >Action > check Redirect

Http request

to this Web page > nhập http ://vnexp ress.net > OK > Apply > OK

Xem clip demo kết quả “Cam kenhl4vn.avi”

7- Cấm chatyahoo

1. Mở port cho chạy yahoo trong hệ thống 2. Thực hiện cấm signin yahoo

1. Mở port cho chay vahoo trong hê thống

Mặc định yahoo không sign in được, muốn chạy được yahoo phải thiết lập Access

rule

Protocols: Yahoo port

Khi chọn Protocol > Add>New

Đặt tên Yahoo port

Chọn New > Nhập port 5000 -> 5050

Next > Finish

Source: Internal

Destination: External

User: All Users

Các thao tác làm tương tự như phần 1

Test đăng nhập yahoo trong giờ làm việc (trước khi cấm ):

“SigninYahoo.avi 2.

Cấm chat:

Dùng ADƯC tạo Group “KeToan”.

Đinh nghĩa nhóm “KeToan”.

Tạo Rule “KeToan”, cho sử dung internet thoải mái.

Làm tương tự như các phần trên.

• Cấm group “KeToan”chat:

Chuột phải Rule “KeToan” > Coníĩgure

HTTP (adsbygoogle = window.adsbygoogle || []).push({});

Tab Signatures > Add

OK > Apply >OK

Xem demo kết quả clip “Denyyahoo.avi

8- Cấm down Jĩle có đuôi exe

Chuột phải Rule “Sep” > Coníĩgure HTTP

Extension > Block speciíieđ extensions (allow all others )

> Add

Apply> OK

Tương tự như vậy cho Rule “Giai Lao” & “Nhan Vien - Gio Lam Viec”

Xem clip demo kết quả “Cam downfìle duoi exe.avi”

9- Monitoring:

Giám sát các luồng thông tin traffìc ra vào hệ thống mạng, tổng hợp thông tin để

báo cáo

1) Bật Authentication

+ Xem các phiên giao dịch

Client đi ra bằng webproxy, SecureNat. Xem cột Client Username : biết được

người thực

hiện.

+ Xem chi tiết hon với tab Logging:

Thấy được luồng traffic đang đi bằng Protocol nào, thành công thất bại,

được cho bởi

Protocol nào

Lập báo cáo thống kê:

BI: Monitoring > Tab Reports > Create And Conílgure Report Jobs

B2: Report Job Properties > Add

Report Content > Next

Report Job sheđule > Next

( Chọn lịch báo cáo )

Report Publishing > Next

B3: Xem cột Statiis Completed (adsbygoogle = window.adsbygoogle || []).push({});

B4: Chuột phải > view > xem kết quả

10- Caching hing

Nội dung: Dovvnloađ 1 trang web thường truy cập về lun cache, để User truy cập nhanh hơn

1. Tạo CacheRule

Bl- ỈSAServer Managament > Coníĩguration >Disable the Microsofì Update Cache Rule

B2- Cache Drives > Properties

2. Tạo Content Download Job

Bl- Coníĩguration > Cache > New > Content Download Job >Yes

ị start| I © ■& Ị& I C:\Inetpub\wwwroot IỊ J Microsoft Internet Se...____ọ ỉs LJ 9:Ũ7PM

Lựa chọn ngày Cache

Thời gian bát đầu Caehe

Content Caching > mặc định >Next > Finish

Chuot phải lên Rule vừa tạo > Start

Triển khai Mô hình VPN TO GATEWAY

DC (ISA2) Firewall (ISA1) VPN Client

1. Tạo domaìn User ul/123, Properties Aỉlow acess

2. Xác đinh Pool số IP được gắn

ISA Management > Virtual Private Network > VPN Client > Taskpane > Task >Defìne

Address Assignments

Static address pool > Add

Starting address: 10.10.10.1

Ending address: 10.10.10.200 ( nhiều hơn Maximum number of VPN Client

3. Bắt tính năng VPN Client access, xác đinh số VPN kết nối tối đa, đồng thời

BI: Chọn Coníigure VPN Client Acess

B2: Tab General > Enable VPN Client access > 100 ( Maximum number of

VPN Client

4. Định nghĩa nhóm VPN Client Client

BI: ISA Server Management > Firewall Policy > Toolbox > Users > New >

Nhập “VPN

Client” (adsbygoogle = window.adsbygoogle || []).push({});

K Search ► ■ Help and Support 1

£7 Run... shut Down...

B2: Ađd > Windows User and group > chọn ul

5. Tạo Ruỉe cho phép kết nối VPN

Rule Name: VPN

Action: Allow

Protocols: All Outbound

Traffíc Source: VPN Client Destination:ỉnternal En te rp ri se E Apply > OK 6. Kiểm tra:

Máy thứ 3 nối với ISA1 bằng card Internet

Bl: Start > Setting > Network Connection

Printẹĩỹ anrl Fạypĩ

Displays existing network connections on this

- Control Panel 3 Network Connections

J ỊStarí I @ &

Trang 94

New Connection Wizard > Next > Connect to the network at my

workplace >Virtual

Private Network connection > nhập “VPN Clients” > IP card “Internet” của

ISA1 > Next >

< Ba

ck Next > Cancel

New Connection Wizard

Network Connection

How do you want to connect to the network at your vvorkplace?

Create the following connection: ( Dial-up connection

Connect using a modem and a regular phone line or an Integrated Services Digital

Network (ISDN) phone line. * ^ĩdual Private Netwoik conneclioni

< Back I Next > I Cancel

New Connection Wizard

VPN Server Selection (adsbygoogle = window.adsbygoogle || []).push({});

What is the name or address of the VPN server?

Type the host name or Internet Protocol (IP) address of the Computer to which you are connecting.

Host name or IP address (for example, microsoft.com or 157.54.0.1 ):

B2: ul/123 > Connect> thành công

2006 TM G

Network layer flrewall ✓ ✓

Application layer firewall ✓ ✓

Internet access protection (proxy) ✓ ✓ Basic0WA andSharePointpublishing ✓ ✓ Exchange publishing (RPC over

HTTP) ✓ ✓

IPSec VPN (remote and site-to-site) ✓ ✓ Webcaching. HTTP compression ✓ ✓ Windows $erverô>2008 R2. 64-

bit(only) V New

Web antivirus. antimalvvare URL filtering

y New

s New E-mail antimalvvare. antispam s New Netvvork inừusion prevention

Enhanced UI. management

s New

s New

2.4/ Đánh giá công cụ ISA server 2006:

2.4.1/ Điếm vếu của của ISA server so vói Forefront TMG

ISA server 2006 không hồ trợ chạy trên windows server 2008 64bit, không lọc URL,

Trang 98

ISAServer Forefront

Forefont TMG là upđate của ISA 2006. Mục tiêu của TMG ra đời là đê

hỗ trợ cho các

phiên bản 64bit sau này của Microsoít. Ví dụ nhu hiện giờ Windows 2008

64bit, Exchange

64bit, Sharepoitn.... TMG chỉ hỗ trợ 64bit mà thôi, thêm vào đó TMG có tính

ổn định cao

hơn (chạy trên 64bit mà).

Do Forefont TMG là thế hệ sau của thằng ISA 2006 có thêm tính năng (adsbygoogle = window.adsbygoogle || []).push({});

chính: Web

and email anti-malware and virus protection. Trong đó bao gồm: Chỉ chạy trên winđows

server 2008 R2 64bit, bản EBS.HỖ trợ thế hệ TCP/IP tiếp theo (ỈPv6); Web

antivirus và web

2.4.2/ ưu điểm của ISA server 2006 so vói ISA server 2004:

về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có

những tính

năng mới nôi trội hơn mà ISA 2004 vẫn còn hạn chế, chăng hạn như:

• Phát triển hồ trợ OWA, OMA, ActiveSync và RPC/http Publishing • Hồ trợ SharePoint Portal Server

• Hồ trợ cho việc kết nối nhiều Certiíìcates tới 1 Web listener • Hồ trợ việc chứng thực LDAP cho Web Publishing Rules

Đặc điếm noi bật của bản 2006 so với 2004 là tính năng Publishing và VPN

• về khả năng Publishing Service

ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào

trang OWA,

qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng

bất họp pháp

vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. Cho phép public Terminal Server theo chuân RDP over SSL, đảm bảo

dữ liệu trong

phiên kết nối được mã hóa trên Internet (kế cả password).

Block các kết nổi non-encrypted MAPI đến Exchange Server, cho phép

Outlook của

người dùng kết nối an toàn đến Exchange Server

Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ

kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài

Internet (thế mới

gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản

phẩm VPN

khác, chưa thử cái này đâu nhá). • về khả năng quản

lý

Dễ dàng quản lý Rất nhiều Wizard (adsbygoogle = window.adsbygoogle || []).push({});

Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group

Log và Report cực tốt.

Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise) Khai báo thêm server vào array dễ dàng

Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích

lập trình các

giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp harđware Các tính năng khác Hỗ trợ nhiều CPU và RAM

max 32 node Network Loadbalancing

Hồ trợ nhiều network, không cần đong đếm cài này, ăn đứt các

loại khác.

Tra ng 101 Diữserv

2.5/ Lời khuvên dành cho nhà quản trị ISA server

Là một người quản trị ISA Server, bạn phải chịu trách nhiệm hoàn thành việc triển

khai ISA

Server, bao gồm việc thiết kế, cho đến cấu hình và quản lý.

ISA Server Management Console được dùng để quản lý và giám sát hầu hết các

hoạt động

của ISA Server. Nó bao gồm nhiều nét đặc trung có thể đơn giản hóa việc quản lý.

Như một phần của vai trò quản trị ISA Server, bạn nên liên tục giám sát server. ISA Server

cung cấp một vài tính năng đặc trung cho phép bạn thu thập các thông tin thời

gian thực về sự

thực thi vả bảo mật của server, cũng như cho phép bạn thu thập và phân tích các phương

hướng sử dụng lâu dài.

III/ Kết luận:

Bài báo cáo tập trung vào các vấn đề cấu hình hệ thống ISA SERVER trở

thành một

Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các dịch vụ từ xa,

phục vụ cho cả

các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài

tính chất khái quát quát. ISA server là một lĩnh vực khó và rông, tuy nhiên có rất

nhiều điếm (adsbygoogle = window.adsbygoogle || []).push({});

hấp dẫn để đi sâu vào tìm hiếu.

ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation

Sams Microsoít ISAServer 2006 Unleashed Dec 2007

Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007

Tra ng 103