Bước 6 : Cấu hình Remote Management
4. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
a - Định nghĩa giờ giải lao b - Tạo rule
c - Kiểm tra
a – Định nghĩa giờ giải lao: Làm tương tự 2c
b - Tạo rule:
Tạo Access rule theo các thông số sau: Rule Name: Giai Lao
Action: Allow
Protocols: All Outbound Traffic Source: Internal
Destination: External User: All Users
Trang 54
Các thao tác làm tương tự như ph n 1
Sau khi tạo rule xong, chọn properties của rule vừa tạo > Schedule >Gio giai lao
c – Kiểm tra:
Logon nv1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet ( xem clip demo kết quả Giai lao.avi )
5 - Chỉ c o xe “c ữ” :
Chọn Properties của Rule “Gia Lao” > Content Types > Selected Content Types: - Documents
- HTML Documents - Text
Xem clip demo ket qua: “Chi duoc xem chu.avi”
6 - Cấm xem trang www.kenh14.vn –Redirect về vnexpress.net:
a - Định nghĩa các trang web muốn cấm b - Tạo Rule
c - Kiểm tra
Trang 56
Tạo URL Set tương tự ph n 2b, đặt tên là “Nhung trang web cam”, trong URL Set khai báo:
http://*.kenh14.vn http://kenh14.vn
b – Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Web bi cam Action: Deny
Protocols: All Outbound Traffic
Source: Internal
Destination: URL Set > Nhung trang web cam User: All Users
Các thao tác làm tương tự như ph n 1
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
Redirect về vnexpress.net
Click chuột phải lên Rule “Web bi cam” > Properties >Action > check Redirect Http request to this Web page > nhập http://vnexpress.net > OK > Apply > OK
Trang 58
Xem clip demo kết quả “Cam kenh14vn.avi”
7- Cấm chat yahoo
1. Mở port cho chạy yahoo trong hệ thống
2. Thực hiện cấm signin yahoo
1. Mở port cho chạy yahoo trong hệ thống
Mặc định yahoo không sign in được, muốn chạy được yahoo phải thiết lập Access rule
Rule Name: Mo port yahoo Action: Allow
Protocols: Yahoo port
Khi chọn Protocol > Add>New
Trang 60
Chọn New > Nhập port 5000 -> 5050
Chọn No
Next > Finish Source: Internal Destination: External
User: All Users
Các thao tác làm tương tự như ph n 1
Test đăng nhập yahoo trong giờ làm việc ( trước khi cấm ): “SigninYahoo.avi”
2. Cấm chat:
Dùng ADUC tạo Group “KeToan”.
Đinh nghĩa nhóm “KeToan”.
Trang 62
Làm tương tự như các ph n trên.
Cấm group “KeToan”chat:
Chuột phải Rule “KeToan” > Configure HTTP
Tab Signatures > Add
Nhập tương tự như hình
OK > Apply >OK
Xem demo kết quả clip “Deny yahoo.avi”
8- Cấm down file có đi exe
Trang 64
Extension > Block specified extensions (allow all others ) > Add
Điền thông số Extension: .exe > OK
Apply > OK
Tương tự như vậy cho Rule “Giai Lao” & “Nhan Vien – Gio Lam Viec”
Xem clip demo kết quả “Cam down file duoi exe.avi”
9- Monitoring:
Giám sát các luồng thông tin traffic ra vào hệ thống mạng, tổng hợp thông tin để báo cáo
1) Bật Authentication
B1: Networks > Internal > Properties
Trang 66
B3: Require all users to Authenticate >OK>Apply
Trang 68
Client đi ra bằng webproxy, SecureNat. Xem cột Client Username : biết được người thực
hiện.
+ Xem chi tiết hơn với tab Logging:
B1: Monitoring > tab Logging >start Querry
Thấy được luồng traffic đang đi bằng Protocol nào, thành công thất bại, được cho bởi Protocol nào
Trang 70
URL cho biết đối tượng truy cập:
Lập báo cáo thống kê:
B1: Monitoring > Tab Reports > Create And Configure Report Jobs
Trang 72
Màn hình Welcome gõ “Test Job”
Trang 74
Report Job shedule > Next
( Chọn lịch báo cáo )
Report Publishing > Next
Send E-mail Notification > Next > Finish > Apply
B3: Xem cột Status Completed
Trang 76
10- Caching
Nội dung: Download 1 trang web thường truy cập về lưu cache, để user truy cập nhanh hơn
1. Tạo CacheRule
B1- ISAServer Managament > Configuration >Disable the Microsoft Update Cache Rule
Trang 78
B3-Maximum cache size (MB): “1000” > Set >OK
2. Tạo Content Download Job
Trang 80
B2- Download Job Name : www.tuoitre.vn
Trang 82
Thời gian bắt đ u Cache
Content Download >http://www.tuoitre.vn
Content Caching > mặc định >Next > Finish
Trang 84
Triển khai Mơ hình VPN TO GATEWAY
1. Tạo domain user u1/123, Properties Allow acess
2. Xác đinh Pool số IP được gắn
Trang 86
Address Assignments
Static address pool > Add
- Starting address: 10.10.10.1
- Ending address: 10.10.10.200 ( nhiều hơn Maximum number of VPN client
allowed ở bước 3 )
3. Bậ í ă VPN c e access, xác định s VPN kết n i t đa, đồng thời
Trang 88
B2: Tab General > Enable VPN client access > 100 ( Maximum number of VPN client allowed )
4. Định nghĩa nhóm VPN client
B1: ISA Server Management > Firewall Policy > Toolbox > Users > New > Nhập “VPN Client”
Trang 90
B2: Add > Windows user and group > chọn u1
5. Tạo Rule cho phép kết nối VPN
Rule Name: VPN
Action: Allow
Protocols: All Outbound Traffic
Source: VPN Client
Destination:Internal
User: VPN Clients
Apply > OK
6. Kiểm tra:
Máy thứ 3 nối với ISA1 bằng card Internet
Trang 92
New Connection Wizard > Next > Connect to the network at my workplace >Virtual
Private Network connection > nhập “VPN Clients” > IP card “Internet” của ISA1 > Next > Finish
Trang 94
B2: u1/123 > Connect> thành công
B3: Start > \\172.16.1.2 > thành công
2.4/ Đá á cô cụ ISA server 2006:
2.4.1/ Đ ểm yếu của của ISA server so với Forefront TMG
ISA server 2006 không hỗ trợ chạy trên windows server 2008 64bit, khơng lọc URL, …
Forefront TMG có đều có các tính năng của ISA server 2006, và hỗ trợ thêm các tính năng khác :
Trang 96
Forefont TMG là update của ISA 2006. Mục tiêu của TMG ra đời là để hỗ trợ cho các phiên bản 64bit sau này của Microsoft. Ví dụ như hiện giờ Windows 2008 64bit, Exchange 64bit, Sharepoitn.... TMG chỉ hỗ trợ 64bit mà thơi, thêm vào đó TMG có tính ổn định cao hơn (chạy trên 64bit mà).
Do Forefont TMG là thế hệ sau của thằng ISA 2006 có thêm tính năng chính: Web and email anti-malware and virus protection. Trong đó bao gồm: Chỉ chạy trên windows server 2008 R2 64bit, bản EBS.Hỗ trợ thế hệ TCP/IP tiếp theo (IPv6); Web antivirus và web mail-ware protection; Dễ dàng quản lý, giao diện người dùng thân thiện, báo cáo nhanh; Lọc địa chỉ URL; Thẩm định HTTPS: khi client request certificate với server. Forefont TMG đứng giữa, xin certificate thay người dùng. Đồng thời tự sinh ra certificate cho người dùng;
Email antivirus và anti spam; Network intrusion prevent; TFTP Filter; Network functionality Enhancement
2.4.2/ Ư đ ểm của ISA server 2006 so với ISA server 2004:
Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn c n hạn chế, chẳng hạn như:
Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/http Publishing
Hỗ trợ SharePoint Portal Server
Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listener
Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN
Về khả năng Publishing Service
ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins.
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được m hóa trên Internet (kể cả password).
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
Khả năng kết nối VPN
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn ph ng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hồn
tồn Quanratine,
Trang 98
kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ...
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet (thế mới gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác, chưa thử cái này đâu nhá).
Về khả năng quản l
Dễ dàng quản l Rất nhiều Wizard
Backup và Restore đơn giản. Cho phép ủy quyền quản trị cho các User/Group Log và Report cực tốt.
Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise) Khai báo thêm server vào array dễ dàng
Tích hợp với giải pháp quản l của Microsoft: MOM SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất khối bộ này.
Có các giải pháp hardware Các tính năng khác Hỗ trợ nhiều CPU và RAM
max 32 node Network Loadbalancing
Hỗ trợ nhiều network, không c n đong đếm cài này, ăn đứt các loại khác. Route/NAT theo từng network
Firewall rule đa dạng IDS (cũng tạm được)
Flood Resiliency HTTP compression Diffserv
2.5/ Lời khuyên dành cho nhà quản trị ISA server
Là một người quản trị ISA Server, bạn phải chịu trách nhiệm hoàn thành việc triển khai ISA Server, bao gồm việc thiết kế, cho đến cấu hình và quản lý.
ISA Server Management Console được dùng để quản lý và giám sát h u hết các hoạt động
của ISA Server. Nó bao gồm nhiều nét đặc trưng có thể đơn giản hóa việc quản lý.
Như một ph n của vai trò quản trị ISA Server, bạn nên liên tục giám sát server. ISA Server
cung cấp một vài tính năng đặc trưng cho phép bạn thu thập các thông tin thời gian thực về sự thực thi vả bảo mật của server, cũng như cho phép bạn thu thập và phân tích các phương hướng sử dụng lâu dài.
III/ Kết luận:
Bài báo cáo tập trung vào các vấn đề cấu hình hệ thống ISA SERVER trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu c u sử dụng các dịch vụ từ xa, phục vụ cho cả các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài (Internet Clients) c n truy cập các dịch vụ bên trong Mạng tổ chức.
Bài báo cáo mô tả các vấn đề:
Giúp bạn hiểu các tính năng của ISA Server
Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server
Mơ tả chi tiết thực hành triển khai (ISA SERVER)
Trang 100
tính chất khái quát quát. ISA server là một lĩnh vực khó và rơng, tuy nhiên có rất nhiều điểm hấp dẫn để đi sâu vào tìm hiểu.
IV/ Tài liệu tham khảo:
ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation
Sams Microsoft ISAServer 2006 Unleashed Dec 2007
Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007