III. Xây Dựng Hệ Thống Tƣờng Lửa ISA Server
2. Access Rule
Tổng quan:
- Access Rule là các chính sách được thiết lập ở Firewall Policy để có thể cho phép hoặc không cho phép những đối tượng: Protocol, User, … giữa các network truy xuất qua lại lẫn nhau.
- Sau khi cài đặt ISA Server, mặc định các network không thể truy xuất qua lại lẫn nhau vì Enterprise Policy Rule ngăn chặn tất cả đối tượng đi qua ISA Server.
- ISA Server quan tâm đến tất cả networks ngoại trừ External, những networks được xác định là External thì không được bảo vệ.
- Các Networks được bảo vệ: VPN Client network.
Quaranined VPN Clients (mạng VPN client bị cách ly). Local Host network (ISA Server firewall).
Internal network (vùng nội bộ). Perimeter networks (vùng DMZ).
2.1 Triển Khai Firewall Client:
- Theo yêu cầu của đề tài, chính sách của công ty dành cho nhân viên trong công ty như sau:
Cho phép phòng Kinh doanh ra Internet trong giờ hành chính nhưng không được phép truy cập vào các trang web có nội dung xấu và có tính chất giải trí, chat, game, …
Ngăn cấm phòng Kế toán và Nhân sự ra Internet nhưng vẫn sử dụng được các dịch vụ mạng nội bộ.
- Với chính sách như trên ta cần triển khai Firewall Client chứng thực User, password của nhân viên trong hệ thống Domain để ISA Server quản lý nhân viên trong công ty truy xuất mạng.
- Firewall Client được cài đặt ở các máy Client, có chế độ xác thực và tự động dò tìm ISA Server với cơ chế Auto Discovery trên ISA. Phiên làm việc giữa Client và ISA Server thông qua port mặc định: 80, vì vậy ta cần tạo Access Rule cho phép Internal Network truy xuất qua lại với Local Host Network thông qua giao thức HTTP:
Rule Name: Allow Access Internal & Local Host. Action: Allow
Protocols: HTTP
User Sets: All User.
2.2 Tạo User Set, Schedules, Web Denied: 2.2.1 Tạo User Set:
- Tại máy DC, vào Active Directory tạo các user - lần lượt gán các user này vào group tương ứng cho các phòng ban.
- Tại máy ISA1, tạo User Set cho các phòng ban với thao tác: Firewall Policy -> vào thẻ Toolbox/ Users chọn New -> gán các group tương ứng của các phòng ban ở Domain phugiasc.vn
2.2.2 Tạo Schedules:
- Lập lịch thời gian hành chính khoảng giờ: 7h – 11h và 13h – 17h áp dụng từ thứ Hai – thứ Sáu bằng thao tác vào Firewall Policy/ Schedules chọn New.
- Kết quả:
2.3 Tạo Access Rule Cho Nhân Viên Kinh Doanh
- Theo yêu cầu của đề tài, nhân viên phòng Kinh doanh được phép truy cập vào Internet vào giờ hành chính (7h – 11h và 13h – 17h) nhưng không truy cập vào các trang có nội dung xấu, có tính chất giải trí, chat, game.
- Để áp dụng theo yêu cầu, ta tạo rule theo các thông số sau: Rule Name: Allow Kinh Doanh to Internet
Action: Allow
Protocols: HTTP, HTTPS Source: Internal
Destination: External User Sets: Kinh Doanh
- Gán thời gian hành chính (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo chọn Propertise chọn thẻ Schedules -> chọn Work Time.
- Thực hiện chính sách cấm chat Yahoo Messenger bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch vụ sử dụng giao thức HTTP cần ngăn cấm.
- Tạo Rule ngăn cấm Web có nội dung xấu, có tính chất giải trí theo thông số sau: Rule Name: Deny Web
Action: Deny
Protocols: All outbound traffic Source: Internal
Destination: Web Denied (đã được tạo tại phần 2.2.2) User Sets: All User
- Cho Rule Deny Web ở vị trí ưu tiên là 1
- Kiểm tra kết quả: logon vào máy Client với User thuộc group kinhdoanh:
Truy cập Website ngoài Internet trong khoảng giờ hành chính -> truy cập thành công. Truy cập Yahoo Messenger thất bại.
Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập. Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn ->
truy cập thành công.
Vào Outlook Express gửi và nhận mail trong công ty -> thành công.
2.3 Tạo Access Rule Cho Phòng Kế Toán, Nhân Sự
- Theo yêu cầu của đề tài, nhân viên phòng Kế toán và Nhân sự không được phép truy cập Internet vào giờ hành chính (7h – 11h và 13h – 17h) nhưng vẫn sử dụng được các dịch vụ mạng nội bộ. - Tạo Rule ngăn cấm phòng Kế toán và Nhân sự ra Internet theo thông số sau:
Rule Name: Deny Ke Toan & Nhan Su to Internet Action: Deny
Protocols: All outbound traffic Source: Internal
Destination: External
User Sets: Ke Toan, Nhan Su
- Kiểm tra kết quả: logon vào máy Client với User thuộc group Nhân sự và Kế toán: Truy cập Website ngoài Internet trong giờ hành chính -> truy cập thất bại.
Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn -> truy cập thành công.
Vào Outlook Express gửi và nhận mail trong công ty -> thành công.
- Tạo Rule cho phép phòng Kế toán và Nhân sự sử dụng các dịch vụ của công ty ở DMZ: Rule Name: Allow Access Internal to DMZ
Action: Allow
Protocols: HTTP, HTTPS, POP3, POP3S, SMTPS Source: Internal
Destination: Perimeter User Sets: All Users
2.3 Tạo Access Rule Cho Tất Cả Nhân Viên Trong Giờ Nghỉ Trƣa:
- Theo yêu cầu của đề tài, tất cả nhân viên được truy cập Internet trong giờ nghỉ trưa nhưng không được chơi game, tải nhạc, gửi file, xem phim trên Internet.
- Tạo Rule cho phép tất cả nhân viên ra Internet: Rule Name: Allow All Users to Internet Action: Allow
Protocols: HTTP, HTTPS Source: Internal
Destination: External User Sets: All Users
- Gán thời gian nghỉ trưa (đã được tạo ở phần 2.2.2) bằng thao tác: Right click vào Rule vừa tạo chọn Propertise chọn thẻ Schedules -> chọn Rest Time.
- Cho phép Chat Yahoo Messenger trong giờ nghỉ trưa bằng thao tác:
1- Định ngh a Protocols mới với tên: Yahoo Messenger sử dụng Port 5050 (cổng truyền nhận dữ liệu của Yahoo Messenger) bằng thao tác: Right click vào Rule vừa tạo chọn Propertise -> chọn thẻ Protocols -> chọn Add -> chọn New -> Tạo Protocol mới với tên: Yahoo Messenger sử dụng Port 5050/ TCP với hướng đi Outbound.
2- Gán Protocol vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All User to Internet -> chọn thẻ To -> chọn Add -> Xổ mục Userdefine chọn Yahoo Messenger.
3- Vì Yahoo Messenger truyền nhận dữ liệu theo cơ chế HTTPS, ta tiến hành định ngh a Domain Name Sets với tên: Yahoo bằng thao tác: vào Firewall Policy chọn thẻ Toolbox/ Network Objects chọn New/ Domain Name Sets -> khai báo tất cả đường dẫn đến Domain Yahoo
4- Gán Domain Name Sets vừa tạo áp dụng cho Rule bằng thao tác: Right click vào Rule: Allow All User to Internet -> chọn thẻ To -> chọn Add -> Xổ mục Domain Name Sets chọn Yahoo.
- Cấm tải nhạc bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP chọn thẻ Extensions/ chọn tác động Block specified extensions (allow all others) -> chọn Add -> định ngh a file mở rộng: .mp3 tại ô Extensions
- Thực hiện chính sách cấm gửi file bằng thao tác: Right click vào Rule vừa tạo chọn Configure HTTP chọn thẻ Signature -> chọn Add, định ngh a Common Application tương ứng cho dịch vụ sử dụng giao thức HTTP cần ngăn cấm.
- Thực hiện chính sách cấm xem phim trên Internet bằng thao tác: Right click vào Rule vừa tạo chọn Propertise chọn thẻ Content Types -> check chọn tất cả application ngoại trừ Video.
- Kiểm tra kết quả: logon vào máy Client với bất kỳ User nhân viên trong công ty: Truy cập Website ngoài Internet trong giờ nghỉ trưa -> truy cập thành công.
Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn -> truy cập thành công.
Vào Outlook Express gửi và nhận mail trong công ty -> thành công.
Truy cập vào các Website trong danh sách cấm xuất hiện cảnh báo và ngăn chặn truy cập. Truy cập vào Yahoo Messenger -> thành công.
Gửi file trong Yahoo Messenger -> thất bại.
Truy cập vào các Website upload file (ví dụ: www.mediafire.com) -> upload file thất bại.
Truy cập vào các Website xem phim online (ví dụ: www.youtube.com) -> không xem được Video.
2.4 Tạo Access Rule Cho Giám Đốc:
- Tạo Rule cho phép group Giám Đốc với quyền Full Access theo thông số: Rule Name: Allow Giam Doc – Full Access
Action: Allow
Protocols: All outbound traffic Source: Internal
Destination: External User Sets: Giam Doc
- Kiểm tra kết quả: logon vào máy Client với User thuộc group Giám Đốc:
Truy cập bất kỳ Website ngoài Internet trong giờ hành chính và nghỉ trưa -> truy cập thành công.
Truy cập Website của công ty: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn -> truy cập thành công.
Vào Outlook Express gửi và nhận mail trong công ty -> thành công.
Truy cập vào các Website trong danh sách cấm xuất -> truy cập thành công. Truy cập vào Yahoo Messenger và gửi file -> thành công.