Cấu hình quản lý nhật ký ISA

Một phần của tài liệu Tài liệu tập huấn quản trị mạng nâng cao trung tâm tin học ĐHKHTN TP HCM (Trang 288 - 309)

BÀI 5: XÂY DỰNG FIREWALL CHỐNG XÂM NHẬP

IV. Cấu hình quản lý nhật ký ISA

289

ISA Server INTERNET

Client1

Công ty ABC Anh/chị hãy cấu hình ISA để thực hiện các yêu cầu sau:

 Dùng Start Query để giám sát các kết nối tới ISA Server 2004

 Tiến hành cấu hình:

o Firewall Logging.

o Web Proxy Logging.

o SMTP Message Sreener Logging.

Mục tiêu:

Giúp học viên theo dõi và quản lý nhật ký ISA.

Hướng dẫn:

 Dùng Start Query để giám sát các kết nối tới ISA Server 2004

290

Xem thông tin nhật ký nghi nhận theo thời gian thực.

 Tiến hành cấu hình:

o Firewall Logging.

o Web Proxy Logging.

o SMTP Message Sreener Logging.

Cấu hình Firewall logging.

291

Hiệu chỉnh các tùy chọn nghi nhận.

SMTP Message Sreener Logging

292

Nhật ký ghi nhận thông tin của ISA được lưu mặc định trong thư mục Program Files\Microsoft ISA Server\ISALogs

293

Cho mô hình mạng như sau:

DNS Server Domain: test.com

ISP

Primary DC Server1

Client1 Proxy Server

File Server

192.168.101.0/24 192.168.100.0/24

 Trên máy Domain Controller, tạo các Global Group và Domain user tương ứng:

o Các user: Nam, Thang, Tan, Binh (thuộc nhóm Domain Admins) o Nhóm Manager: Ly

o Nhóm ISA Admin: Khang o Nhóm Sales: Chau

 Trên máy ISA Server, tạo các luật và chính sách như sau:

o Cho phép truy xuất dịch vụ DNS ngoài Internet

o Cho phép các máy mạng trong truy xuất mọi dịch vụ máy ISA Server

o Các user khi đăng nhập các DC có thể sử dụng HTTP và HTTPs truy xuất Internet

o Các user làm việc ca tối chỉ có thể truy xuất vào Internet từ 0h đến 8h

o Thành viên thuộc nhóm Manager có thể truy xuất vào mọi dịch vụ trên Internet nào bất cứ thời gian nào

o Thành viên của nhóm ISA Admins và Domain Admins có thể truy xuất Internet giống như nhóm Manager

294

o Thành viên nhóm Sales chỉ có thể truy xuất Internet từ 9h đến 17h mỗi ngày o Không người dùng nào có thể download các file có đuôi .exe thông qua HTTP o Không người dùng nào, ngoại trừ nhóm Manager và ISA Admin, có thể

download các file PowerPoint thông qua HTTP

o Thành viên nhóm Sales không thể truy xuất vào các web site hoặc ftp site của miền Contoso.com

Chuẩn bị:

Chuẩn bị bốn máy, bao gồm ba máy Windows server 2003 (File server, ISA server, Server1) và một máy Windows XP (PC1) theo mô hình trên. ISA Server gồm hai card mạng:

 Một card giao tiếp ngoài, thông số mạng theo phòng thực hành

 Một card giao tiếp trong, thông số mạng theo nhóm thực hành.

Mục tiêu:

Giúp học viên thiết lập luật kiểm soát truy cập Internet.

Hướng dẫn

 Tạo người dùng và nhóm trên DC.

 Trên ISA tạo vùng mạng Internal 2 có địa chỉ 192.168.101.0 Kiểm tra số lượng card mạng trên máy ISA server

Tạo Network Interface cho Int2 và tạo network rule cho Int2.

295

Chọn loại mạng là Internal. Sau đó chỉ định địa chỉ mạng cho Internal2.

Tiếp theo ta hiệu chỉ Network rules “VPN to Internal Network” để cho phép các mạng cục bộ liên lạc được với nhau.

296

Ta cũng thực hiện tương tự cho Network Rules “Internal Access”

297

 Cho phép mạng cục bộ được truy vấn DNS, Web bên ngoài Internet.

Chọn Firewall Policy -> Create New Access Rule -> Allow Chọn loại giao thức sử dụng (DNS, HTTP, HTTPS)

298

Chọn Access Rule sources

Chọn Access Rule Destinations.

 Cho phép các máy mạng trong truy xuất mọi dịch vụ máy ISA Server.

Tạo luật (Firewall policy) để cho phép mạng cục bộ truy xuất mọi dịch vụ trên ISA Server. Chọn giao thức.

299

Chọn Access rule sources

Chọn Access rule destinations.

300

 Các user khi đăng nhập các DC có thể sử dụng HTTP và HTTPs truy xuất Internet.

o Ta cũng thực hiện tương tự như các bước trên để tạo một Access rules để cho phép mạng trong (Internal) ra mạng ngoài (External) sử dụng giao thức HTTPS khi đăng nhập mạng. Nhưng khi chọn User Sets ta chỉ định Domain User theo các bước sau:

Chọn New -> User set name.

301

Chọn OK -> Finish -> Apply để hoàn tất.

 Các user làm việc ca tối chỉ có thể truy xuất vào Internet từ 0h đến 8h Tạo luật Access Rules cho phép các User cần thiết trong ca tối.

Hiệu chỉnh thời gian truy cập

302

 Thành viên thuộc nhóm Manager có thể truy xuất vào mọi dịch vụ trên Internet nào bất cứ thời gian nào

Tạo Access rules cho phép chỉ nhóm Manager.

303

 Thành viên của nhóm ISA Admins và Domain Admins có thể truy xuất Internet giống như nhóm Manager.

304

 Thành viên nhóm Sales chỉ có thể truy xuất Internet từ 9h đến 17h mỗi ngày

Tạo luật Access Rules cho phép nhóm Sales cho phép truy xuất Internet . Sau đó hiệu chỉnh thời gian.

305

 Không người dùng nào có thể download các file có đuôi .exe thông qua HTTP Tạo luật cấm download file có định dạng là exe.

Hiệu chỉnh Content Types

306

Tạo mới rule cho nội dung.

307

308

 Không người dùng nào, ngoại trừ nhóm Manager và ISA Admin, có thể download các file PowerPoint thông qua HTTP

Tương tự như phần lọc nội dung *.exe.

 Thành viên nhóm Sales không thể truy xuất vào các web site hoặc ftp site của miền Contoso.com

Tạo luật cấm truy cập vào trang Contoso.com

Một phần của tài liệu Tài liệu tập huấn quản trị mạng nâng cao trung tâm tin học ĐHKHTN TP HCM (Trang 288 - 309)

Tải bản đầy đủ (PDF)

(309 trang)