Mặc dù hệ thống đã kết nối được Internet, nhưng một số Doanh nghiệp có những yêu cầu riêng về chính sách hệ thống như: lọc bỏ Web “đen” (không cho nhân viên truy cập); không cho phép chat bằng một công cụ nào đó; cho phép tải tập tin thông qua FTP…
Bên cạnh đó, để phục vụ nhu cầu duyệt web, giao thức HTTP được cho phép sử dụng nhưng cấm không cho tải những tập tin có thể thực thi trên hệ thống Windows qua HTTP để ngăn ngừa sự lây nhiễm virus…. ISA Firewall Policy cho phép thực hiện điều này.
3.8.1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn – Web Filter.
Để thực hiện, đầu tiên, phải tạo mới một đối tượng mạng kiểu “URL sets”. Đối tương này dùng chứa danh sách các địa chỉ URL (Uniform Resource Locator – tạm hiểu là nơi chứa tài nguyên để người dùng truy cập) mà người quản trị muốn cấm (hoặc cho) truy cập tới đó.
1. Thao tác tạo mới một “URL sets” và nhập vào đó các URLs
2. Trong “ISA Managerment”, chọn Toolbox (nằm ở nhánh bên phải) ÆNetwork Objects. Click NewÆURL Set
3. Tại dòng Name: nhập tên của bộ URL sets. Ví dụ Webs Denied
4. Click nút “New” để nhập vào các URL cho bộ Sets (Xem hình minh hoạ)
- Click OK để thêm URL set “Webs Dinied” vào danh sách đối tượng.
5. Tạo Access rule: Web Filter
6. Access rule name: Web Filter
8. Protocol: chọn “Selected protocols” và Add vào 2 giao thức HTTP và HTTPS
9. Access rule source: chọn Internal
10. Access rule destination: chọn URL sets “Webs Denied”
11. User sets: chọn All User
12. Click “Apply” để cập nhật Access rule vừa tạo
Tất cả máy nội bộ không được phép truy cập vào các Web site có trong danh sách “Webs Denied”. Áp đặt tất cả người dùng
3.8.2. Cấm các nhân viên thuộc phòng ban nào đó truy cập Internet trong giờ làm việc.
Đầu tiên người Quản trị phải tạo biểu đồ thời gian làm việc để dựa vào đó thiết lập các chính sách Firewall theo thời gian. Tương tự, nếu muốn Firewall Policy áp đặt cho người dùng cụ thể, mỗi người dùng phải sở hữu một tài khoản truy cập vào hệ thống mạng Domain của Doanh nghiệp. (Xin xem lại học phần Windows 2003 Server)
1. Xác định biểu đồ thời gian làm việc trong cơ quan (Schedule)
2. Trong “ISA Managerment”, chọn Toolbox (ở nhánh bên phải) Æ Schedules Æ Click New
3. Tạo mới Schedule gồm các nội dung
Name: tên của Schedule
Description: mô tả chi tiết nội dung schedule (nếu cần)
Các ô vuông biểu thị giờ trong ngày. Trong đó, những ô màu xanh dương tượng trưng cho những giờ mà schedule sẽ có hiệu lực. Ngược lại, những ô màu trắng là giờ không có hiệu lực của schedule
Hình minh hoạ dưới đây là schedule quy định giờ làm việc từ 8h00 đến 12h00 và từ 14h00 đến 18h00 các ngày trong tuần, trừ Chủ nhật. Riêng chiều thứ 7, không khống chế thời gian.
¾ Tạo nhóm người dùng trong ISA Server
Việc tạo nhóm người dùng (gọi là User sets) sẽ giúp cho người Quản trị áp đặt “access rule” cho người dùng cụ thể trong mạng.
1. Trong “ISA Managerment”, chọn Toolbox (ở nhánh bên phải) Æ Users Æ Click New
2. Đặt tên cho đối tượng User set. Ví dụ “Sale Group”
3. Trong cửa sổ “Users”: Chọn “Add... “ Æ “Windows user and Groups...
3.8.3. Tạo Access Rule cấm nhóm “Sale Group” kết nối internet trong giờ làm việc:
Các lựa chọn cho Access rule này:
9 Access rule name: Cam Sales truy cap internet
9 Rule Action: Deny
9 Protocol: chọn “All outbound protocol”
9 Access rule source: chọn Internal
9 Access rule destination: chọn External
9 User sets: loại bỏ All User. Thêm vào “Sale Group”
Kết quả:
Sau khi tạo xong Access rule, Properties cho Access rule này Æ chọn tab “Schedule” để áp đặt thời gian mà Access rule có hiệu lực
Click “Apply” để cập nhật Access rule vừa tạo
3.8.4. Tạo access rule cho phép các nhân viên thuộc phòng ban nào đó truy cập internet trong giờ được qui định.
Các lựa chọn cho Access rule này:
9 Access rule name: Cho truy cap trong gio lam viec
9 Rule Action: Allow
9 Protocol: chọn “All outbound protocol”
9 Access rule source: chọn Internal
9 Access rule destination: chọn External
9 User sets: loạibỏ All User
Sau khi tạo xong Access rule, Properties cho Access rule này Æ chọn tab “Schedule” Æ chọn “Work times” để áp đặt thời gian mà Access rule có hiệu lực
Click “Apply” để cập nhật Access rule vừa tạo
Tất cả các máy nội bộ được phép truy cập internet trong thời gian làm việc. Áp đặt cho tất cả mọi người
Nên lưu ý đến thứ tự (Order) của 2 access rule Cấm và Cho truy cập internet ở phần 3.5.2 và 3.5.3.
Nếu Access rule loại “Allow” được xếp trên rule “Deny”, các người dùng thuộc Sale Group sẽ được phép truy cập (do rule “Allow” áp dụng cho “All Users”
3.8.5. Cho phép các nhân viên truy cập Web chỉ có Text và Image.
Các lựa chọn cho Access rule này:
9 Access rule name: All Web Text.
9 Rule Action: Allow
9 Protocol: chọn “Selected protocols” và Add vào 2 giao thức HTTP và HTTPS
9 Access rule source: chọn “Internal”
9 Access rule destination: chọn “External”
9 User sets: loạibỏ All User
Sau khi tạo xong Access rule, Properties cho Access rule này Æ chọn tab “Content type” để qui định loại nội dung tài liệu có hoặc không có hiệu lực đối với Access rule.
Ở đây, chúng ta chỉ cho phép truy cập nội dung thuộc dạng tài liệu (Documents), chữ (Text),
Việc khống chế nội dung tài liệu truy cập sẽ cho người quản trị nhiều giải pháp trong việc giảm băng thông, ngăn chặn xem phim, nghe nhạc online, ngăn chặn virus (dạng thực thi - *.exe, *.dll…) từ internet nhiễm vào mạng nội bộ.
Kết luận:
¾ Mặc định, sau khi ISA Server 2004 cài đặt hoàn tất, ISA Server 2004 sẽ thay thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức năng NAT. Tuy nhiên, Firewall Policy của ISA Server mặc định là đóng tất cả các port (TCP lẫn UDP) trên máy ISA Server.
¾ Firewall Policies trên ISA Server cho phép người quản trị đặt ra các quy tắc (Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu (theo giao thức kết nối – Protocol) di chuyển từ nơi này đến nơi khác (Source và Destination), áp đặt cho một hay nhiều người dùng cụ thể nào đó (Users).
¾ Các luồng dữ liệu đi ngang qua ISA Server sẽ chịu sự kiểm duyệt của Firewall Policies dựa trên các quy tắc mà người quản trị đặt ra hoặc do ISA mặc định sẵn. Các quy tắc sẽ được tham chiếu theo thứ tự (Order) từ trên xuống dưới. Khi gặp một rule thoả đìều kiện của luồng dữ liệu, luồng dữ liệu đó sẽ bị chặn hoặc cho qua mà không quan tâm đến các rule đặt phía dưới.
¾ ISA Server 2004 Firewall có 3 dạng chính sách bảo mật là: System policy, Access rule và Publishing rule.
9 System policy: Thường ẩn (hiden), được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP, RDP... System policy được xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP, RDP, Ping...
9 Access Rule: Là tập hợp các quy tắc truy cập các luồng dử liệu như Internet, Mail, FTP, DNS… đi ngang qua ISA Server
9 Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập
BÀI 4: PUBLISSING WEB VÀ MAIL TRONG ISA 2004. Mục tiêu:
¾ Biết cách Publish các Web Server và Mail Server ra mạng ngoài