Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

triển khai cấu hình ISA Server Firewall 2004 phần 6 potx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (806.95 KB, 24 trang )

Trang 122 Triển khai ISA Server Firewall 2004
Rule Element Value
Thứ tự ưu tiên -
Order (priority)
Thứ 3 (sau tất cả các
rules đã được tạo)
Name Limited Access Web
Users
Quyết định- Action Allow
Protocols HTTP and HTTPS.
From/Listener Internal
To Microsoft (Domain Name
Set)
Condition
Limited Web Users
(Group).



Tiến hành các bươc sau để tạo ra Access Rule giới hạn User:
1.Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security and
Acceleration Server 2004 management console và mở rộng server name nằm ở
khung trái Click vào Firewall Policy node. Trong Task pane, click Tasks tab. Click
Create New Access Rule.


Trang 123 Triển khai ISA Server Firewall 2004
2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule trong
Access Rule name text box. Trong vd này chúng ta sẽ gọi tên rule là Limited
Users Web Access. Click Next.
3. Trên Rule Action page, chọn Allow và click Next.


4. Trên Protocols page, chọn Selected protocols từ danh sách This rule applies
to. Click Add.



5. Trong Add Protocols dialog box, double click trên HTTP và HTTPS protocols.
Click Close.
Trang 124 Triển khai ISA Server Firewall 2004


6. Click Next trên Protocols page.
Trang 125 Triển khai ISA Server Firewall 2004


7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialog
box, click vào Networks folder. Double click trên Internal network, và click Close.
Trang 126 Triển khai ISA Server Firewall 2004


8. Click Next trên Access Rule Sources page.
9. trên Access Rule Destinations page, click Add. On the Add Network Entities
dialog box, click menu New và click Domain Name Set.
Trang 127 Triển khai ISA Server Firewall 2004


10. Trong New Domain Name Set Policy Element dialog box, click New. Điền vào
domain name đầu tiên: *.microsoft.com nhấn ENTER. Điền vào tiếp 3 domains
*.msn.com, *.hotmail.com và *.windows.com. Trong Name text box, điền
Microsoft và click OK.
Trang 128 Triển khai ISA Server Firewall 2004



11. trong Add Network Entities dialog box, click vào Domain Name Sets folder
và sau đó double click trên Microsoft entry. Click Close.
Trang 129 Triển khai ISA Server Firewall 2004


12. Trên User Sets page, chọn All Users từ This rule applies to request from
the following user sets list, và click Remove. Click Add.
13. Trong Add Users dialog box, click menu New.
14. Trên Welcome to the New User Sets Wizard page, điền tên cho User Set
trong User set name text box. Trong vd này chúng ta sẽ đặt tên User Set là
Limited Web Users. Click Next.
15. trên Users page, click Add. Chọn Windows users and groups option.



16. Trong Select Users or Groups dialog box, click Locations button.
17. Trong Locations dialog box, mở rộng Entire Directory entry và click vào
domain name. trong vd này, domain name là msfirewall.org. Click OK.
Trang 130 Triển khai ISA Server Firewall 2004


18. Trong Select Users or Groups dialog box, điền vào User2 trong Enter the
object names to select text box và click Check Names. Khi Active Directory tìm
thấy user name, nó sẽ gạch dưới. Click OK.



19. Click Next vào Users page.

20. Click Finish trên Completing the New User Set Wizard page.
21. Double click Limited Web Users entry trong Add Users dialog box và click
Close.
22. Limited Web Users entry giờ đây xuất hiện trong This rule applies to
requests from the following user sets list. Click Next.
23. Click Finish trên Completing the New Access Rule Wizard page.
Trang 131 Triển khai ISA Server Firewall 2004

Tạo một Access Rule cho phép các Administrators Được truy cập ưu tiên hơn
Các administrators yêu cầu mức độ truy cập Internet so với các User khác trên Mạng.
Tuy nhiên, ngay cả với các network administrators cũng nên hạn chế dùng các
protocols dễ bị lợi dụng để attackers tấn công mạng. Một trong số các protocols này
là Internet Relay Chat –IRC protocol, giao thức dùng để chat, thường là phương tiện
dễ bị các viruses và các software nguy hiểm khác lây nhiễm vào hệ thống. Chúng ta
sẽ tạo ra một rule cho phép các Admin thuộc Domain Administrators group có thể
dúng tất cả
protocol ngoại trừ IRC protocol quá nguy hiểm.
Access Rule được mô tả theo bảng dưới:

Rule Element Value
Thứ tự -Order
(priority)
Thứ 2 (sau tất cả các
rule đã tạo)
Name Administrator Internet
Access
Action Allow
Protocols Tất cả Protocols trừ IRC
From/Listener Internal
To External

Condition Administrators (group)

Tiến hành các bước sau để tạo Access Policy dành cho các administrators:
1. Trong Microsoft Internet Security and Acceleration Server 2004
management console, right click trên Firewall Policy node trong khung trái của
console, chọn New và click Access Rule.
2. Trên Welcome to the New Access Rule Wizard page, điền tên rule vào Access
rule name text box. Trong vd này chúng ta sẽ gọi rule là Administrator Internet
Access. Click Next.
3. Trên Rule Action page, chọn Allow và click Next.
4. Trên Protocols page, chọn All outbound protocols except selected option từ
danh sách This rule applies to, sau đó click Add.
Trang 132 Triển khai ISA Server Firewall 2004


5. Trong Add Protocols dialog box, click vào Instant Messaging folder. Double
click vào IRC protocol. Click Close.
Trang 133 Triển khai ISA Server Firewall 2004


6. Click Next trên Protocols page.
7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialog
box, click vào Networks folder. Double click vào Internal entry và click Close.
8. Trên Access Rule Sources page, click Next.
9. Trên Access Rule Destinations page, click Add. Click Networks folder sau đó
double click trên External entry. Click Close.
10. Trên User Sets page, click All Users và Remove. Click Add.
11. trong Add Users dialog box, click menu New.
12. Trên Welcome to the New User Sets Wizard page, điền một tên cho User Set
trong User set name text box. Trong vd này, chúng ta sẽ đặt tên User Set

Administrators. Click Next.
13. trên Users page, click Add. Chọn Windows users and groups.



14. trong Select Users or Groups dialog box, click Locations button.
Trang 134 Triển khai ISA Server Firewall 2004
15. Trong Locations dialog box, mở rộng Entire Directory entry và click vào
domain name. trong vd này domain name là msfirewall.org. Click OK.



16. Trong Select Users or Groups dialog box, điền vào Domain Admins trong
Enter the object names to select text box và click Check Names. Khi Active
Directory tìm ra user name, tên sẽ được gạch dưới. Click OK.



17. Click Next trên Users page.
18. Click Finish trên Completing the New User Set Wizard page.
19. Trong Add Users dialog box, double click trên Administrators entry, và click
Close.
Trang 135 Triển khai ISA Server Firewall 2004
20. Click Next trên User Sets page.
21. Click Finish trên Completing the New Access Rule Wizard page.

Tạo một DNS Server Access Rule cho phép Internal DNS Servers truy cập các
Internet DNS Servers
Trong kịch bản này, chúng ta sử dụng các DNS server trên Internet để giải quyết các
Internet host names.

DNS server trong Mạng phải có khả năng giải quyết Internet host names bằng cách
tiếp xúc với các DNS servers khác nằm trên Internet. Hầu hết các máy chạy các dịch
vụ Mạng quan trọng thông thường User không phải logon, do vậy khi chúng ta tạo ra
một Access Rule mà không cần căn cứ vào tài khoản logon trên server đó. Thay vào
đó chúng ta sẽ tạo ra
Computer Set chứa một danh sách tất cả DNS servers trên
Mạng.
Một Computer Set là một tập hợp computer names và các addresses tương ứng của
các computer đó. Điều này tạo sự sễ dàng cho Access Rules điều khiển việc truy cập
của các máy thuộc group các computer đó. Chúng ta nên tạo Computer Groups cho
tất cả những network servers quan trọng, như vậy khi áp dụng access rules điều
khiển việc truy cập của các server này ra bên ngoài, chúng ta sẽ khong cần phải căn
cứ trên User account (ai đã logon vào Các computer
đó)

Rule Element Value
Order (priority) Thứ 1 (sau tất cả các
rule đã tạo)
Name DNS Servers
Action Allow
Protocols DNS
From/Listener DNS Servers
To External
Condition All Users

Tiến hành các bước sau để tạo một Access Rule cho phép các internal network DNS
server truy cập đến các DNS servers trên Internet:
1. Trong Microsoft Internet Security and Acceleration Server 2004
management console, right click vào Firewall Policy node trong khung trái của
console. Chọn New và click Access Rule.

2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule vào
Access rule name text box. Trong vd này chúng ta gọi tên rule là DNS Servers.
Click Next.
3. Trên Rule Action page, chọn Allow và click Next.
4. Trên Protocols page, chọn Selected protocols từ danh sách This rule applies
to, và click Add.
5. Trong Add Protocols dialog box, click trên Infrastructure folder. Double click
trên DNS protocol. Click Close.
Trang 136 Triển khai ISA Server Firewall 2004


6. Click Next trên Protocols page.
7. trên Access Rule Sources page, click Add. trong Add Network Entities dialog
box, click menu New, sau đó click Computer Set.
8. Trong New Computer Set Rule Element dialog box, click Add. Click Computer
option.
Trang 137 Triển khai ISA Server Firewall 2004


9. Trong New Computer Rule Element dialog box, điền tên DNS server trong
Name text box. Trong vd này chúng ta sẽ đặt tên DNS server đầu tiên là DNS1.
Điền vào IP address của DNS server trong Computer IP Address text box. Click
OK.
Trang 138 Triển khai ISA Server Firewall 2004


10. Click OK trong New Computer Set Rule Element dialog box.
11. Trong Add Network Entities dialog box, click trên Computer Sets folder.
Double click vào DNS Servers entry. Click Close.
Trang 139 Triển khai ISA Server Firewall 2004



12. Click Next trên Access Rule Sources page.
13. trên Access Rule Destinations page, click Add. Click Networks folder và
double click vào External entry. Click Close.
14. Click Next trên Access Rule Destinations page.
15. Trên User Sets page, chấp nhận entry mặc định là All Users, click Next.
16. Click Finish trên Completing the New Access Rule Wizard page.

Dùng HTTP Policy để ngăn chặn truy cập đến các Web Sites đáng ngờ
Bạn có thể ngăn chặn việc truy cập đến các Web sites đáng ngờ dựa trên một số
thông tin trên giao tiếp HTTP, thông qua ISA Server 2004 HTTP policy có thể giúp
bạn đạt được mục đích này Ví dụ
chúng ta muốn ngăn chặn việc truy cập đến các
Web sites chứa các ứng dụng chia sẽ file ngang hàng phổ biến như: Kaaza,
Edonkey
Các chương trình chia sẽ file này có thể gây nhiều rủi ro bảo mật cho Netowrk bởi vì
các File được download qua các ứng dụng chia sẽ này có thể chứa viruses, worms và
các tài liệu vi phạm bản quyền.
Theohướng dẫn sau, chúng ta sẽ tạo HTTP policy dành cho Administrator Internet
Access và một policy khác là Limited Access Web Users cho user để ngăn chặn
Trang 140 Triển khai ISA Server Firewall 2004
các truy cập Web tới các Sites nguy hiểm trên. Dấu hiệu nhận biết, để cấu hình chính
sách block là các chuỗi ký tự như “Kaaza”. Trong khi ví dụ này chỉ dùng các cụm từ
mô tả “thô” về các site cần ngăn chặn, điều đó cũng cho thấy sức mạnh của ISA
Server 2004 trong việc phát hiện và ngăn chặn hiệu quả, thể hiện trong HTTP policy
này
Tiên hành các bước sau nhằm ngăn chặn User truy cập đấn các sites của Kaaza:
1. trong Microsoft Internet Security and Acceleration Server 2004
management console, click trên Firewall Policy

node.
2. Right click trên Administrator Internet Access rule và click Configure HTTP.



3. trong Configure HTTP policy for rule dialog box, click Signatures tab.
4. trên Signatures tab, click trên Add button.
5. trong Signature dialog box, điền tên “dấu hiệu” trên Name text box. Trong ví dụ
này chúng ta sẽ đưa dấu hiệu nhận biết vào là Kaaza URL. Chọn Request URL
entry trong danh sách Search in . Điền vào chuỗi kí tự kaaza trong Signature text
box. Click OK.
Trang 141 Triển khai ISA Server Firewall 2004


6. Click Apply và OK trong Configure HTTP policy for rule dialog box.
Trang 142 Triển khai ISA Server Firewall 2004


7. Lập lại các bước vừa tạo đối với rule: Limited Access Web Users .
8. Click Apply để lưu lại những thay đổi và cập nhật cho firewall policy.
9. Click OK trong Apply New Configuration dialog box.

Kiểm tra lại các Access Rules vừa tạo
Bây giờ bạn đã có một Access Policy trên ISA Server 2004Và chúng ta có thể kiểm
tra lại policy này.
Tiến hành các bước sau để tets Access Policy:
1. Trước tiên, xem lại Access Policies đã tạo trên ISA Server 2004 firewall. Trong
Microsoft Internet Security and Acceleration Server 2004 management
console, mở rộng server name và click trên Firewall Policy node. Review lại Access
Rules trong khung Details.

Trang 143 Triển khai ISA Server Firewall 2004


2. Log on vào CLIENT computer là User2. Mở Web browser và đánh vào
www.nis.com.vn trên Address bar. Nhấn ENTER.
3. Trang chủ của Network Information Security Vietnam xuất hiện trong trình duyệt
Internet Explorer. Đánh tiếp địa chỉ
www.alonet.com và nhấn ENTER.
4. Bạn sẽ thấy MSN search báo rằng
www.alonet.com không tìm thấy. Bạn có thể
cung cấp nhiều thông tin phản hồi cho User hơn thông qua việc chuyển yêu cầu User
đến một Internet Web server khác.
5. Trong Internet Explorer, điền vào www.msn.com và nhấn ENTER.
6. Bạn sẽ thấy trang chủ của www.msn.com Có thể có vài hình ảnh không xuất hiện
trên trang chủ này, vì chúng nằm ngoài phạm vi các sites được cho phép mà bạn đã
xác định tại Domain Set khi tạo Access Rule.
7. Trong Internet Explorer Address điền vào URL sau:
trang thông báo lỗi xuất hiện, bộ lọc HTTP Security
filter đã ngăn chặn kế
t nối. Dấu hiệu nhận biết- Signature đã cấu hình trong HTTP
policy áp dụng cho Access Rule đã nhận ra chuỗi kí tự “Kaaza” trong địa chỉ URL và
thực hiện lệnh Chặn.
Trang 144 Triển khai ISA Server Firewall 2004


8. Log off khỏi CLIENT và sau đó log on lại bằng account Administrator.
9. Mở Web browser và điền vào www.microsoft.com trong Address bar của trình
duyệt Internet Explorer , nhấn ENTER. Microsoft Web site sẽ xuất hiện.
10. Điền vào tiếp
www.alonet.com trong Address bar của Internet Explorer và nhấn

ENTER. Với tài khoản Administrator, bạn có thể truy cập site.
11. Điền vào www.alonet.com/kaaza bạn sẽ tiếp tục thấy xuất hiện lỗi các xác lập
trong HTTP policy đã “filter” và block kết nối này.
12. Click Start và click Run command. Trong Run dialog box, điền vào cmd trong
Open text box. Click OK.
13. tại C:/> đánh lệnh sau telnet ftp.nis.com.vn 21 và nhấn ENTER. Bạn sẽ thấy
banner thông báo 220 NIS FTP Service. Đánh lệnh quit và nhấn ENTER. Bạn sẽ
thấy thông báo 221 Thank-you for using NIS products!
14. Tại command line dùng lệnh sau telnet dragons.ca.usdal.net 6667 và nhấn
ENTER. Bạn sẽ thấy lỗi thông báo kết nối failed. Nếu chúng ta theo dõi thường trực
trên ISA Server 2004 tại thời điểm này sẽ thấy kết nối bị từ chối bởi firewall.



15. Log off khỏi CLIENT computer.

Trang 145 Triển khai ISA Server Firewall 2004
Kết luận
Trong chương 11 này, chúng ta đã thảo luận về những phương pháp có thể dùng để
kiểm soát truy cập ra ngoài Internet qua ISA Server 2004 Access Rules. Trong các
phần hướng dẫn, các bạn đã tạo ra các Access Rules điều khiển việc truy cập đến
một số Web sites và được sử dụng những giao thức nào. Phương thức kiểm soát cũng
căn cứ trên đối tượng là user hoặc group. Trong chương tới của sách Chúng ta sẽ
xem xét cách thứ
c publish một Web và FTP server, các server này nằm trong
perimeter network của tổ chức và cho phép Internet User truy cập thông tin theo các
chính sách bảo mật quy định.





































Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×