XII. Xây dựng hệ thống Firewall tờng lửa ISA Server 2004
8.5. Thiết lập Access Rules
8.5.1 Giới thiệu.
Sau khi định nghĩa mối quan hệ giữa các mạng, chúng ta sẽ thiết lập các Access Rules: để cho phép hoặc từ chối truy cập bất cứ một dịch vụ hay giao thức nào đối với bất cứ một user nào khi đi qua ISA firewall.
Mặc định ISA cấm tất cả mọi traffic ra/ vào hệ thống (Default Rule). Muốn hệ thống hoạt động ta phải tạo các rules tơng ứng.
Sau đây ta sẽ khảo sát một số cách thiết lập các rules thông dụng trên ISA thờng dùng trong mạng các công ty.
8.5.2. Tạo rule cho phép traffic DNS Query để phân giải tên miền
Bớc 1: ISA Management\ Firewall Policy\ New\ Access Rule Bớc 2: Gõ “DNS” vào ô Access Rule Name\ Next.
Bớc 3: Action chọn “Allow”\ Next.
Bớc 4: Trong “This Rule Apply to” chọn Selected Protocols\ Add\
Common Protocol\ DNS\ Ok\ Next.
Bớc 5: Trong “Access Rule Source”\ Add\ Networks\ Internal\ Add\ Close\ Next
Bớc 6: Trong “Access Rule Destination”\ add\ Networks\ External\
Close\ Next.
Bớc 7: Trong “User Sets” chọn giá trị mặc định “All Users”\ Next\
Finish
Chọn nút “Apply”.
8.5.3. Tạo rule cho phép các User thuộc nhóm “ketoan” xem trang ngoisao.net trong giờ làm việc.
• Định nghĩa nhóm “ketoan”.
Bớc 1: ISA Server Management\ Firewall Policy\ Toolbox\ Users\
New.
Bớc 2: Nhập chuỗi “ketoan” vào ô User set name\ Next. Bớc 3: Add\ Windows User and Group.
Bớc 4: Chọn Group “ketoan”. Next\ Finish.
• Định nghĩa URL Set chứa trang –ngoisao.net–.
ISA Server Management\ Firewall Policy\ Toolbox\ Network Objects\ New\ URL Set.
Mở ISA Server Management\ Firewall Policy\ Toolbox\ Schedule\
New.
Name: Gio Lam Viec từ 7- 11 am, 1- 6 pm Chọn Active. Ok. • Tạo rule.
Bớc 1: Tạo Access rule theo các thông số sau: Rule Name: Ke Toan - Trong Gio Lam Viec Action: Allow
Protocols: HTTP+ HTTPS Source: Internal
Destination: URL Set\ ngoisao.net User: Ketoan
Bớc 2: Click nút phải chuột trên rule vừa tạo Properties Bớc 3: Chọn Schedule\ Gio Lam Viec\ Ok. Apply Rule.
8.6 Server Publishing.
Sau khi cài đặt và cấu hình thành công các Server: Mail, Web, FTP trong Local, để ngời dùng có thể giao tiếp đợc với các Server từ Internet, chúng ta cần Publish các Server này ra Internet. Sau khi Publish, ngời dùng có thể truy cập vào Website của công ty, gửi e-mail vào mailbox của các User trong công ty, truyền files với FTP từ mạng Internet.
Nếu không có địa chỉ IP tĩnh do ISP cung cấp thì phải sử dụng phần mềm cập nhật địa chỉ IP động, và phải có một tên miền trên Internet đã cài đặt MX Record dùng cho Mail Server
8.6.1. Publish Mail Server SMTP, POP3.
SMTP và POP3 là hai giao thức dùng để truyền và nhận email, chúng ta cần publish hai giao thức này.
- Tạo Rule cho phép các user nhận và gửi mail(POP3/SMTP) từ Internal- > External với All user
- Tạo Access rule theo các thông số sau: - Rule Name: Allow Mail (SMTP+ POP3)
- Action: Allow
- Protocols: POP3+ SMTP - Source: Internal
- Destination: External - User: All User
Bớc 1: Tạo rule Publish Mail Server:
Firewall Policy\ New\ Mail Server Publishing Rule…
Hộp thoại Welcome\ đặt tên là “Publish Mail”\ Next.
Bớc 2: Hộp thoại Select Access Type\ chọn Clients access: RPC, IMAP, POP3, SMTP\ Next.
Bớc 3: Hộp thoại Select Services\ đánh dấu chọn ô\ Next.
Bớc 4: Hộp thoại Select Server\ gõ vào Server IP address là địa chỉ IP của Mail Server (192.168.1.2)\ Next
Bớc 5: Hộp thoại IP Address\ đánh dấu chọn External network\ Next Hộp thoại Completing…\ Finish.
Cửa sổ ISA Managerment\ Apply\ Ok.
8.6.2. Publish FTP Server.
Bớc 1: Tạo rule Publish FTP:
Firewall Policy\ New\ Server Publishing Rule…
Bớc 2: Hộp thoại Select Servers gõ vào địa chỉ IP của FTP Server, ở đây là 10.0.0.1\ Next.
Bớc 3: Hộp thoại Select Protocol\ chọn FTP Server\ Next.
Bớc 4: Hộp thoại IP Address\ đánh dấu chọn External network\ Next. Hộp thoại Completing…\ Finish.
Cửa sổ ISA Managerment\ Apply\ Ok.
8.6.3. Publish Web Server.
Trên máy ISA, tạo một Web Listener cho phép các đối tợng ngoài Internet có thể truy cập vào mạng nội bộ thông qua Web.
Bớc 1: Vào ISA managerment\ Firewall Policy, trong cửa sổ thứ 3 chọn tab Toolbox\ Network object\ New\ Web Listener…
Hộp thoại Welcom\ đặt tên: “Web Listener”\ Next.
Bớc 2: Hộp thoại IP Address\ đánh dấu chọn External network\ Next. Bớc 3: Hộp thoại Port Specification\ giữ nguyên dấu chọn Enable
HTTP và HTTP port 80\ Next.
Hộp thoại Completing…\ Finish. Apply\ Ok Bớc 4: Tạo rule Publish web:
ISA\ Firewall Policy\ New\ Web Server Publishing Rule…
Hộp thoại Welcome\ đặt tên: “Publish Web”\ Next. Bớc 5: Hộp thoại Select Rule Action\ Chọn Allow\ Next.
Bớc 6: Hộp thoại Define Website to Publish\ gõ vào tên máy chủ webserver, ở đây là server.congtyht.com\ Next.
Bớc 7: Hộp thoại Publish Name Details\ ta nhập Public name: www.vienthonght.com.vn\ Next.
Bớc 8: Hộp thoại Select Web Listener\ chọn Web Listener\ Next. Hộp thoại User sets\ giữ nguyên set “All Users”\ Next\ Finish. Bớc 9: Cửa sổ ISA Managerment\ Apply\ Ok.
Quá trình Publish Web hoàn thành.
8.6.4. Cấu hình VPN trên máy ISA.
Bớc 1: Mở ISA managerment\ Virtual Private Network (VPN). Cửa sổ thứ 2 chọn tab VPN Clients\ Verify that VPN Client Access is Enable.
Bớc 2: Cửa sổ Clients Properties\ Tab General: Check vào ô Enable
VPN client access để cho phép clients thực hiện kết nối VPN.
Maximum number of VPN clients allowed: 100 (default) (Số kết nối VPN tối đa cho phép, mặc định là 100)
Bớc 3: Vào tab Protocols đánh dấu check vào ô Enable PPTP để cho phép VPN kết nối thông qua giao thức PPTP. Ok.
Bớc 4: Trong cửa sổ thứ 2, tab VPN clients, Click chọn vào Remote
access configuration
Tab Access Networks, check vào ô External (đây là mạng mà từ đó
clients sẽ thực hiện kết nối VPN đến công ty).
Bớc 5: Gán dãy địa chỉ IP (WAN) để cấp cho kết nối VPN.
Tab Address Assignment\ Static address pool\ Add\ điền dãy địa chỉ IP cần cấp vào, các thông số khác để mặc định. Ok\ Apply\ Ok.
Bớc 6: Tạo Access rule sau để cho phép clients kết nối VPN: Name: VPN
Protocols: All outbound traffic Sources: VNP Clients
Destinations: Internal User: All Users
Apply\ Ok.
Bớc 7: Kiểm tra lại Network Rule.
Vào Configuration\ Networks\ Network Rules\ VPN Clients to
Internal Networks nh hình dới.
Bớc 8: Để một User thực hiện đợc kết nối VPN vào mạng nội bộ, cần phải cho phép User đó có quyền kết nối.
Vào Properties của User trong Active Directory (trên máy DC), chọn
KếT LUậN
Các kết quả đã đạt đợc:
Đã thiết lập đợc một mạng máy tính từ các giai đoạn nh khảo sát thiết kế, lắp đặt, xây dựng hệ thống máy chủ, quản lý ngời dùng trong công ty.
Mạng đợc xây dựng cơ bản đã hoàn thành những yêu cầu đặt ra.
Những hạn chế:
Trong khuôn khổ đề tài em chỉ mới khái quát đợc các bớc tiến hành để xây dựng hệ thống mạng ở Viễn thông Hà Tĩnh cha thật sự đi sâu với tình hình thực tế cụ thể ở công ty …
Do còn hạn chế về nhiều mặt nên trong khuôn khổ đề tài em cha đa ra đợc các cách để phòng chống và đảm bảo an toàn cho hệ thống mạng một cách tốt nhất.
TàI LIệU THAM KHảO
1. Làm chủ Windows Server 2003 của tác giả Phan Hoàng Dũng . 2. Cấu hình và cài đặt isa 2004
3. http://www.adminviet.net 4. http://www.nhatnghe.com
5. Các trang web tổng hợp trên Internet