Triển Khai ISA FIREWALL Cho Hệ Thống Doanh Nghiệp P2
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.23 MB, 83 trang )
PHẦN 2: ACCESS RULES
I. Giới thiệu:
Tiếp theo phần 1, sau khi các bạn đã cài đặt thành công ISA Server 2006, các bạn cần
phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ
hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.
Trong bộ bài viết này bao gồm các phần:
Phần I: Cài đặt ISA Server 2006
Phần II: Cấu hình Access Rule
Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL
Bài lab bao gồm các bước:
1. Kiểm tra Default Rule
2. Tạo rule truy vấn DNS để phân giải tên miền
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet khơng hạn chế
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web
trong giờ hành chánh
5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao,
ngoại trừ trang ngoisao.net
6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express
7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có
đi .exe
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh
cáo của cơng ty
II. Chuẩn bị :
Mơ hình bài lab như phần 1, bài lab bao gồm 2 máy:
- Máy DC: Windows Server 2003 SP2 hoặc Windows Server 2008
+ Tạo OU HCM. Trong OU HCM, tạo 2 group Manager, Staff.
+ Trong OU HCM, tạo 2 user Man1, Man2 làm thành viên của group
Manager
+ Trong OU HCM, tạo 2 user Staff1, Staff2 làm thành viên của group Staff
- Máy ISA Server: Windows Server 2003 SP2
III. Thực hiện:
1. Kiểm tra Default Rule
- Mặc định sau khi cài ISA Server 2006, chỉ có 1 access rule tên Default Rule cấm tất cả
mọi traffic ra vào
- Tại máy DC, log on MSOpenLab\Administrator, truy cập vào trang web bất kỳ, kiểm
tra nhận được thông báo lỗi của ISA Server
- Vào cmd gõ lệnh nslookup, phân giải lần lượt tên 2 trang web sau: www.google.com
và www.tuoitre.com.vn , kiểm tra phân giải thất bại
2. Tạo rule truy vấn DNS để phân giải tên miền
- Tại máy ISA Server, log on MSOpenLab\Administrator, mở ISA Server
Management, chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: DNS Query
- Hộp thoại Rule Action, chọn Allow
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add
- Nhấn Next
- Hộp thoại Access Rule Sources, Add 2 Rule : Internal và Local Host
- Hộp thoại Access Rule Destinaton, Add Rule: External, nhấn Next
- Hộp thoại User Sets, chọn All Users, nhấn Next
- Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thơng tin về Rule
lần cuối, sau đó nhấn Finish
- Nhấn chọn Apply, Ok
Lưu ý: Sau mỗi lần tạo rule, phải chọn Apply để rule có hiệu lực
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn
chế
a. Tạo Element để định nghĩa nhóm Manager và Staff
- Trong cửa sổ ISA Server Management, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục
Users, chọn New
- Hộp thoại User set name, đặt tên là Manager
- Hộp thoại Users, nhấn Add, chọn Windows users and groups…
- Add 2 users Man1 và Man2 vào hộp thoại Users
- Trong hộp thoại Completing, chọn Finish
- Nhấn Apply
- Tương tự, bạn tạo thêm nhóm là Staff
- Hộp thoại Users, Add 2 user Staff1 và Staff2, chọn Next
- Hộp thoại Completing the New User Set Wizard, chọn Finish
b Tạo Access Rule:
- Chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access
- Hộp thoại Rule Action, chọn Allow
- Hộp thoại Protocols, chọn All outbound traffic
- Hộp thoại Access Rule Sources, add Internal, chọn Next
- Hộp thoại Access Rule Destinaton, add External, chọn Next
- Hộp thoại User Sets, remove group All Users, và add group Manager vào, chọn Next
- Hộp thoại Completing the New Access Rule Wizard, chọn Finish
- Nhấn chọn Apply, chọn OK
- Trên máy DC, log on MSOpenLab\Man1, truy cập trang web: và
kiểm tra truy cập thành công
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang
web trong giờ hành chánh
a. Tạo Schedule Element
- Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab
Toolbox, bung mục Schedules, chọn New
- Trong ô Name, nhập tên Work Time. Bên dưới chọn từ (7h - 11h) và từ (1h – 5h)
- Tương tự, tạo thêm 1 schedule là Rest Time, với thời gian là từ 11h – 1h
b. Tạo Element URL Sets
- Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab
Toolbox, bung mục Network Objects, nhấn New, chọn URL Set
- Trong hộp thoại New URL Set. Ô Name , nhập tên: Restrict Web, add các trang web
mà bạn muốn cấm (Vd: ) chọn OK
- Tương tự, bạn tạo thêm URL Set là: Allow Web và add những trang web được phép
truy cập vào
c. Tạo Access Rule:
- Chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Work Time
- Hộp thoại Rule Action, chọn Allow
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add
