II/ ISA server:
4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giả
a - Định nghĩa giờ giải lao b - Tạo rule
c - Kiểm tra
a - Định nghĩa giờ giải lao: Làm tương tự 2c
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Giai Lao Action: Allow
Protocols: All Outbound Traííĩc
Source: Internal
Destination: External User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule xong, chọn properties của rule vừa tạo > Schedule >Gio giai lao
c - Kiểm tra:
Logon nvl, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet
( xem clip
demo kết quả Giai lao.avi) 5 - Chỉ cho xem “chữ” :
Chọn Properties của Rule “Gia Lao” > Content Types > Selected Content Types: - Documents
- HTML Documents - Text
Xem clip demo ket qua: “Chỉ duoc xem chu.avi”
6 - Cấm xem trang www.kenhI4.vn -Redirect về vnexpress.net:
a - Định nghĩa các trang web muốn cấm
b - Tạo Rule
c - Kiểm tra
a - Định nghĩa các trang web muốn cấm:
Tạo URL Set tương tự phần 2b, đặt tên là “Nhung trang web cam”, trong URL Set khai báo:
http://Lkenhl4.vn http://kenhl4.vn
b - Tạo rule:
Tạo Access rule theo các thông sổ sau:
Rule Name: Web bi cam Action: Deny
Source: Internal
Destination: URL Set > Nhung trang web cam User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo mle, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
Redirect về vnexpress.net
Click chuột phải lên Rule “Web bi cam” > Properties >Action > check Redirect
Http request
to this Web page > nhập http ://vnexp ress.net > OK > Apply > OK
Xem clip demo kết quả “Cam kenhl4vn.avi”
7- Cấm chatyahoo
1. Mở port cho chạy yahoo trong hệ thống 2. Thực hiện cấm signin yahoo
1. Mở port cho chay vahoo trong hê thống
Mặc định yahoo không sign in được, muốn chạy được yahoo phải thiết lập Access
rule
Protocols: Yahoo port
Khi chọn Protocol > Add>New
Đặt tên Yahoo port
Chọn New > Nhập port 5000 -> 5050
Next > Finish
Source: Internal
Destination: External
User: All Users
Các thao tác làm tương tự như phần 1
Test đăng nhập yahoo trong giờ làm việc (trước khi cấm ):
“SigninYahoo.avi 2.
Cấm chat:
Dùng ADƯC tạo Group “KeToan”.
Đinh nghĩa nhóm “KeToan”.
Tạo Rule “KeToan”, cho sử dung internet thoải mái.
Làm tương tự như các phần trên.
• Cấm group “KeToan”chat:
Chuột phải Rule “KeToan” > Coníĩgure
HTTP
Tab Signatures > Add
OK > Apply >OK
Xem demo kết quả clip “Denyyahoo.avi
8- Cấm down Jĩle có đuôi exe
Chuột phải Rule “Sep” > Coníĩgure HTTP
Extension > Block speciíieđ extensions (allow all others )
> Add
Apply> OK
Tương tự như vậy cho Rule “Giai Lao” & “Nhan Vien - Gio Lam Viec”
Xem clip demo kết quả “Cam downfìle duoi exe.avi”
9- Monitoring:
Giám sát các luồng thông tin traffìc ra vào hệ thống mạng, tổng hợp thông tin để
báo cáo
1) Bật Authentication
+ Xem các phiên giao dịch
Client đi ra bằng webproxy, SecureNat. Xem cột Client Username : biết được
người thực
hiện.
+ Xem chi tiết hon với tab Logging:
Thấy được luồng traffic đang đi bằng Protocol nào, thành công thất bại,
được cho bởi
Protocol nào
Lập báo cáo thống kê:
BI: Monitoring > Tab Reports > Create And Conílgure Report Jobs
B2: Report Job Properties > Add
Report Content > Next
Report Job sheđule > Next
( Chọn lịch báo cáo )
Report Publishing > Next
B3: Xem cột Statiis Completed
B4: Chuột phải > view > xem kết quả
10- Caching hing
Nội dung: Dovvnloađ 1 trang web thường truy cập về lun cache, để User truy cập nhanh hơn
1. Tạo CacheRule
Bl- ỈSAServer Managament > Coníĩguration >Disable the Microsofì Update Cache Rule
B2- Cache Drives > Properties
2. Tạo Content Download Job
Bl- Coníĩguration > Cache > New > Content Download Job >Yes
ị start| I © ■& Ị& I C:\Inetpub\wwwroot IỊ J Microsoft Internet Se...____ọ ỉs LJ 9:Ũ7PM
Lựa chọn ngày Cache
Thời gian bát đầu Caehe
Content Caching > mặc định >Next > Finish
Chuot phải lên Rule vừa tạo > Start
Triển khai Mô hình VPN TO GATEWAY
DC (ISA2) Firewall (ISA1) VPN Client
1. Tạo domaìn User ul/123, Properties Aỉlow acess
2. Xác đinh Pool số IP được gắn
ISA Management > Virtual Private Network > VPN Client > Taskpane > Task >Defìne
Address Assignments
Static address pool > Add
Starting address: 10.10.10.1
Ending address: 10.10.10.200 ( nhiều hơn Maximum number of VPN Client
3. Bắt tính năng VPN Client access, xác đinh số VPN kết nối tối đa, đồng thời
BI: Chọn Coníigure VPN Client Acess
B2: Tab General > Enable VPN Client access > 100 ( Maximum number of
VPN Client
4. Định nghĩa nhóm VPN Client Client
BI: ISA Server Management > Firewall Policy > Toolbox > Users > New >
Nhập “VPN
Client”
K Search ► ■ Help and Support 1
£7 Run... shut Down...
B2: Ađd > Windows User and group > chọn ul
5. Tạo Ruỉe cho phép kết nối VPN
Rule Name: VPN
Action: Allow
Protocols: All Outbound
Traffíc Source: VPN Client Destination:ỉnternal En te rp ri se E Apply > OK 6. Kiểm tra:
Máy thứ 3 nối với ISA1 bằng card Internet
Bl: Start > Setting > Network Connection
Printẹĩỹ anrl Fạypĩ
Displays existing network connections on this
- Control Panel 3 Network Connections
J ỊStarí I @ &
Trang 94
New Connection Wizard > Next > Connect to the network at my
workplace >Virtual
Private Network connection > nhập “VPN Clients” > IP card “Internet” của
ISA1 > Next >
< Ba
ck Next > Cancel
New Connection Wizard
Network Connection
How do you want to connect to the network at your vvorkplace?
Create the following connection: ( Dial-up connection
Connect using a modem and a regular phone line or an Integrated Services Digital
Network (ISDN) phone line. * ^ĩdual Private Netwoik conneclioni
< Back I Next > I Cancel
New Connection Wizard
VPN Server Selection
What is the name or address of the VPN server?
Type the host name or Internet Protocol (IP) address of the Computer to which you are connecting.
Host name or IP address (for example, microsoft.com or 157.54.0.1 ):
B2: ul/123 > Connect> thành công
2006 TM G
Network layer flrewall ✓ ✓
Application layer firewall ✓ ✓
Internet access protection (proxy) ✓ ✓ Basic0WA andSharePointpublishing ✓ ✓ Exchange publishing (RPC over
HTTP) ✓ ✓
IPSec VPN (remote and site-to-site) ✓ ✓ Webcaching. HTTP compression ✓ ✓ Windows $erverô>2008 R2. 64-
bit(only) V New
Web antivirus. antimalvvare URL filtering
y New
s New E-mail antimalvvare. antispam s New Netvvork inừusion prevention
Enhanced UI. management
s New
s New
2.4/ Đánh giá công cụ ISA server 2006:
2.4.1/ Điếm vếu của của ISA server so vói Forefront TMG
ISA server 2006 không hồ trợ chạy trên windows server 2008 64bit, không lọc URL,
Trang 98
ISAServer Forefront
Forefont TMG là upđate của ISA 2006. Mục tiêu của TMG ra đời là đê
hỗ trợ cho các
phiên bản 64bit sau này của Microsoít. Ví dụ nhu hiện giờ Windows 2008
64bit, Exchange
64bit, Sharepoitn.... TMG chỉ hỗ trợ 64bit mà thôi, thêm vào đó TMG có tính
ổn định cao
hơn (chạy trên 64bit mà).
Do Forefont TMG là thế hệ sau của thằng ISA 2006 có thêm tính năng
chính: Web
and email anti-malware and virus protection. Trong đó bao gồm: Chỉ chạy trên winđows
server 2008 R2 64bit, bản EBS.HỖ trợ thế hệ TCP/IP tiếp theo (ỈPv6); Web
antivirus và web
2.4.2/ ưu điểm của ISA server 2006 so vói ISA server 2004:
về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có
những tính
năng mới nôi trội hơn mà ISA 2004 vẫn còn hạn chế, chăng hạn như:
• Phát triển hồ trợ OWA, OMA, ActiveSync và RPC/http Publishing • Hồ trợ SharePoint Portal Server
• Hồ trợ cho việc kết nối nhiều Certiíìcates tới 1 Web listener • Hồ trợ việc chứng thực LDAP cho Web Publishing Rules
Đặc điếm noi bật của bản 2006 so với 2004 là tính năng Publishing và VPN
• về khả năng Publishing Service
ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào
trang OWA,
qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng
bất họp pháp
vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. Cho phép public Terminal Server theo chuân RDP over SSL, đảm bảo
dữ liệu trong
phiên kết nối được mã hóa trên Internet (kế cả password).
Block các kết nổi non-encrypted MAPI đến Exchange Server, cho phép
Outlook của
người dùng kết nối an toàn đến Exchange Server
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ
kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài
Internet (thế mới
gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản
phẩm VPN
khác, chưa thử cái này đâu nhá). • về khả năng quản
lý
Dễ dàng quản lý Rất nhiều Wizard
Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group
Log và Report cực tốt.
Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise) Khai báo thêm server vào array dễ dàng
Tích hợp với giải pháp quản lý của Microsoft: MOM SDK, nếu ai thích
lập trình các
giải pháp tích hợp vào ISA 2006 thì rất khoái bộ này. Có các giải pháp harđware Các tính năng khác Hỗ trợ nhiều CPU và RAM
max 32 node Network Loadbalancing
Hồ trợ nhiều network, không cần đong đếm cài này, ăn đứt các
loại khác.
Tra ng 101 Diữserv
2.5/ Lời khuvên dành cho nhà quản trị ISA server
Là một người quản trị ISA Server, bạn phải chịu trách nhiệm hoàn thành việc triển
khai ISA
Server, bao gồm việc thiết kế, cho đến cấu hình và quản lý.
ISA Server Management Console được dùng để quản lý và giám sát hầu hết các
hoạt động
của ISA Server. Nó bao gồm nhiều nét đặc trung có thể đơn giản hóa việc quản lý.
Như một phần của vai trò quản trị ISA Server, bạn nên liên tục giám sát server. ISA Server
cung cấp một vài tính năng đặc trung cho phép bạn thu thập các thông tin thời
gian thực về sự
thực thi vả bảo mật của server, cũng như cho phép bạn thu thập và phân tích các phương
hướng sử dụng lâu dài.
III/ Kết luận:
Bài báo cáo tập trung vào các vấn đề cấu hình hệ thống ISA SERVER trở
thành một
Firewall mạnh mà vẫn đáp ứng được các yêu cầu sử dụng các dịch vụ từ xa,
phục vụ cho cả
các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài
tính chất khái quát quát. ISA server là một lĩnh vực khó và rông, tuy nhiên có rất
nhiều điếm
hấp dẫn để đi sâu vào tìm hiếu.
ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation
Sams Microsoít ISAServer 2006 Unleashed Dec 2007
Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007
Tra ng 103