Module 70 – 351
MaIT Education Institution
Lab 3: Qu n lý truy c p tài nguyên Internet
---oOo--A. YÊU C U:
I.
Mô Hình:
MaIT Education
II.
M c tiêu:
C u hình Web Proxy trên server.
Hi u rõ cách t o các AccessRule trên FireWall đ t đó gi i h n các quy n truy
c p vào Internet c a nh ng Client.
S d ng Web Chainning đ chuy n h ng truy xu t web.
III.
Yêu c u bài Lab:
Chu n b 3 máy o v i các thông s nh sau :
o Máy o 1:
H H: Windows Server 2003 Enterprise làm Server 02.
Máy 1 Card m ng IP nh mô hình trên.
Nâng c p lên Domain Controler v i mi n MaIT.vn.
Ch y DNS server trên máy này.
Phòng chuyên môn M ng
L u hành n i b
1
Website:
Forum:
Module 70 – 351
MaIT Education Institution
o Máy o 2:
H H: Windows Server 2003 Enterprise làm Server 01.
Máy 2 Card m ng IP nh mô hình trên.
Cài ISA Server 2006 lên máy này.
o Máy o 3:
H H: Windows XP Professional.
Máy này làm máy client cho ISA .
Cho máy o 2 gia nh p vào Domain tr c khi cài ISA server 2006.
Cho máy o 3 gia nh p vào Domain.
B. H
I.
NG D N:
Các b
c th c hi n:
Yêu c u: C u hình d ch v Proxy theo các yêu c u sau:
Port ph c v k t n i 8800
S l ng k t n i t i đa 4
Yêu c u User ph i ch ng th c khi truy c p Web.
1. M ISA vào Configuration
Internal và ch n properties.
Network
Click chu t ph i vào đ
ng m ng
MaIT Education
Phòng chuyên môn M ng
L u hành n i b
2
Website:
Forum:
Module 70 – 351
MaIT Education Institution
2. Trong h p tho i Internal Properties ta ch n Tab Web Proxy, trong ph n HTTP
Port chính là n i ch nh s a l i Port c a Proxy s th c hi n l ng nghe yêu c u c a
Client, ch nh l i t Port 8080(m c đ nh) thành 8800.
MaIT Education
3. Click vào nút Authentication đ ti n hành cài đ t cho ch ng th c truy c p Proxy.
4. H p tho i Authentication hi n ra, ch n Require all users to authenticate đ b t
t t c các user ph i ch ng th c b ng account Domain khi truy c p Web Proxy. Khi
check vào Require all user to authenticate thì Client ki u SecureNAT s không th
nào truy xu t đ c Web.
Phòng chuyên môn M ng
L u hành n i b
3
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
5. Nh n OK đ k t thúc và quay l i tab WebProxy, nh n nút Advance… đ thi t l p
s l ng k t n i t i đa, h p tho i Advance Settings hi n ra , click vào Maximum và
nh p vào s 4 (ch cho t i đa 4 k t n i).
(hinh Advance
6. Nh n OK đ k t thúc.
Yêu c u: Cho phép m i l u thông ra DNS ngoài Internet
1. M ISA Server, vào Firewall Policy, ch n Create Access Rule trong ph n Tasks.
2. T i màn hình Welcome to the New Access Rule, đi n tên Access Rule vào h p
tho i Access Rule Name.
Phòng chuyên môn M ng
L u hành n i b
4
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
3. T i màn hình Rule Action, ta có 2 l a ch n là Allow(cho phép) và Deny(c m),
ch n Allow đ cho phép các l u thông v DNS. Nh n Next đ ti p t c.
MaIT Education
4. Trong màn hình Protocols ta s khai báo nh ng giao th c nào s hi u qu b i
Access Rule. Trong m c this Rule applies to có 3 tu ch n:
All outbound traffic: t t c m i l u thông.
Selected protocols: nh ng giao th c đ c ch đ nh c th .
Phòng chuyên môn M ng
L u hành n i b
5
Website:
Forum:
Module 70 – 351
MaIT Education Institution
All outbound traffis except selected: t t c nh ng l u thông ngoài nh ng
giao th c đ c ch đ nh.
5. Ta ch n Selected protocols và nh n Add đ ch n giao th c ch n DNS , giao
th c DNS đ c đ t trong ph n Common Protocols. Nh n Next đ ti p t c.
MaIT Education
6. Trong h p tho i Access Rule Sources ta s khai báo nh ng đ ng m ng ngu n
nào s đ c áp d ng Rule. Ch n Local host (trong ph n Networks) đ cho máy ISA
đ c đi DNS, ch n Internal (trong ph n Networks) đ nh ng Client m ng n i b
truy xu t đ c DNS ngoài Internet. Nh n Next đ ti p t c.
Phòng chuyên môn M ng
L u hành n i b
6
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
7. Trong h p tho i Access Rule Destinations ta s khai báo nh ng đ ng m ng đích
nào s đ c áp d ng Rule. Nh n Add và ch n External (trong ph n Networks) đ ch
ra đó là Internet.
MaIT Education
8. Trong h p tho i User Sets ta s khai báo nh ng ng i dùng ho c nhóm ng i
dùng nào s đ c áp d ng Rule. Trong tr ng h p này s cho phép t t c đi DNS nên
ta gi nguyên và nh n Next đ ti p t c.
Phòng chuyên môn M ng
L u hành n i b
7
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
9. Nh n Finish đ k t thúc và Apply đ ISA nh n Rule m i.
Yêu c u: Cho phép m i ng i dùng web trong gi hành chính.
10. M ISA Server, vào Firewall Policy.
11.
tr c khi t o Rule ta c n đ nh ngh a gi hành chính là nh th nào (vd t
8AM-5PM Th 2 đ n Th 6). Vào Tool box ch n m c Schedules New
12.
t tên và khai báo vùng th i gian hành chính. Nh n OK đ thêm vào.
Phòng chuyên môn M ng
L u hành n i b
8
Website:
Forum:
Module 70 – 351
MaIT Education Institution
13. Click Create Acces Rule đ t o m t Access Rule m i. Khai báo các thông s cho
Access Rule v a t o:
Access Rule Name: cho phep nguoi dung di web gio hanh chinh
Rule Action: allow
Protocols: HTTP, HTTPS (n m trong Common Protocols)
Access Rule Sources: Localhost, Internal
Access Rule Destinations: External
User Sets: AllUser.
14. Click chu t ph i vào Rule v a t o ch n Properties
15. Chuy n qua Tab Schedule, ch n “Gio hanh chinh” đ xác đ nh th i gian áp d ng
Rule là vào gi hành chính, Nh n OK đ k t thúc.
9
Phòng chuyên môn M ng
Website:
L u hành n i b
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
16. Nh n Apply đ ISA nh n Rule m i.
Yêu c u: Nhóm Manager đ
c truy xu t d ch v FTP ngoài Internet.
17. Vào DC t o nhóm Manager và Add các user vào đó.
18. Trong Toolbox, ph n Users ch n New.
Phòng chuyên môn M ng
L u hành n i b
10
Website:
Forum:
Module 70 – 351
MaIT Education Institution
19. Trong ph n User Set Name, đi n vào tên c a nhóm User mu n t o m i.
MaIT Education
20. Nh n Next đ ti p t c, trong h p tho i Users ta s khai báo các user thu c nhóm
b ng cách nh n vào nút Add và ch n nhóm Managers trong AD.
Phòng chuyên môn M ng
L u hành n i b
11
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
21. Nh n Next và Finish đ k t thúc vi c thêm 1 User Set m i.
22. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: nhom manager duoc truy xuat FTP ngoai Internet
Rule Action: allow
Protocols: FTP (n m trong Web)
Access Rule Sources: Localhost, Internal
Access Rule Destinations: External.
User Sets: Nhom Manager (User Set v a t o).
MaIT Education
23. Nh n Apply đ ISA nh n Rule m i.
Phòng chuyên môn M ng
L u hành n i b
12
Website:
Forum:
Module 70 – 351
MaIT Education Institution
Yêu c u: Chuy n h ng m i truy c p trang Web www.myblog.com sang trang web
www.vnexpress.net
24.
làm đ c yêu c u này ta c n đ nh ngh a các trang Web trong ph n URL Sets.
Vào Tool box ch n m c Network Objects ch n New URL Sets.
25. Trong h p tho i New URL Set Rule Element, ph n Name đi n vào tên c a t p
h p trang Web Nh n Add đ đ a vào trang web c n thi t. Trong tr ng h p này
ta s t o 1 URL Set cho trang www.myblog.com v i tên là Trang Web Myblog.
MaIT Education
25. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: chuyen huong trang web myblog.com thanh
vnexpress.net
Rule Action: deny
Protocols: HTTP, HTTPS
Access Rule Sources: Localhost, Internal
Access Rule Destinations: Trang Web Myblog (URL Set m i t o).
User Sets: Allusers.
26. Click chu t ph i vào Rule v a t o ch n Properties, chuy n qua Tab Action.
Check vào Redirect HTTP request to this Web Page sau đó đi n vào
. Nh n OK đ k t thúc.
Phòng chuyên môn M ng
L u hành n i b
13
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
27. Nh n Apply đ ISA nh n Rule m i.
Yêu c u: Không hi n th hình khi truy c p trang web www.ngoisao.net.
28. T o m t URL Set m i tên là Trang web ngoisao và add www.ngoisao.net vào.
29. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: khong cho coi hinh khi truy cap www.ngoisao.net
Rule Action: deny
Protocols: HTTP, HTTPS
Access Rule Sources: Localhost, Internal
Access Rule Destinations: Trang Web ngoisao (URL Set m i t o).
User Sets: Allusers.
30. Click chu t ph i vào Rule v a t o ch n Properties, chuy n qua Tab Content
Types. Check vào Select content type… Sau đó check vào Images OK đ k t
thúc.
Phòng chuyên môn M ng
L u hành n i b
14
Website:
Forum:
Module 70 – 351
MaIT Education Institution
31. Nh n Apply đ ISA nh n Rule m i.
Yêu c u: Thành viên nhóm Domain Admin đ c phép truy xu t m i d ch v ngoài
m ng Internet.
32. Trong Toolbox, ph n Users ch n New.
33. Trong ph n User Set Name, đi n vào tên c a nhóm Nhóm Domain Admins
mu n t o m i. Nh n Next đ ti p t c, trong h p tho i Users ta s khai báo các user
thu c nhóm b ng cách nh n vào nút Add và ch n nhóm Domain Admins trong AD.
MaIT Education
34. Nh n Next và Finish đ k t thúc vi c thêm 1 User Set m i.
Phòng chuyên môn M ng
L u hành n i b
15
Website:
Forum:
Module 70 – 351
MaIT Education Institution
35. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: nhom Domain Admin duoc truy xuat ngoai
Internet
Rule Action: allow
Protocols: All outbound traffic
Access Rule Sources: Localhost, Internal
Access Rule Destinations: External.
User Sets: Nhom Domain Admins (User Set v a t o).
MaIT Education
36. Nh n Apply đ ISA nh n Rule m i.
Yêu c u: thành viên nhóm Sales không đ
Internet.
c truy xu t m i d ch v m ng ngoài
37. Vào DC t o nhóm Sales và Add các user vào đó.
38. Trong Toolbox, ph n Users ch n New.
39. Trong ph n User Set Name, đi n vào tên c a nhóm Nhóm Sales mu n t o m i.
Nh n Next đ ti p t c, trong h p tho i Users ta s khai báo các user thu c nhóm b ng
cách nh n vào nút Add và ch n nhóm Sales trong AD.
Phòng chuyên môn M ng
L u hành n i b
16
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
40. Nh n Next và Finish đ k t thúc vi c thêm 1 User Set m i.
41. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: nhom Sale khong duoc truy xuat Internet
Rule Action: deny
Protocols: All outbound traffic
Access Rule Sources: Localhost, Internal
Access Rule Destinations: External.
User Sets: Nhom Sales (User Set v a t o).
Phòng chuyên môn M ng
L u hành n i b
17
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
42. Nh n Apply đ ISA nh n Rule m i.
Yêu c u: Thành viên nhóm ISA Admin khi ng i t i máy DC đ
d ch v m ng ngoài Internet.
43. Vào DC t o nhóm ISA Admin và Add các user vào đó.
c phép truy xu t m i
44. Trong Toolbox, ph n Users ch n New.
45. Trong ph n User Set Name, đi n vào tên c a nhóm Nhóm ISA Admin mu n t o
m i. Nh n Next đ ti p t c, trong h p tho i Users ta s khai báo các user thu c nhóm
b ng cách nh n vào nút Add và ch n nhóm ISA Admin trong AD.
46. Trong Toolbox, ph n Network Objects ch n New
Computer.
47. Trong h p tho i New Computer Rule Element đi n vào các thông s : Name: tên
PC, Computer IP address: đ a ch IP c a PC. Ta khai báo 2 thông tin đó cho máy
DC.
Phòng chuyên môn M ng
L u hành n i b
18
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
48. Nh n OK đ thêm m i.
49. Vào Firewall Policy Click Create Acces Rule đ t o m t Access Rule m i. Khai
báo các thông s cho Access Rule v a t o:
Access Rule Name: nhom ISA ngoi may DC duoc phep truy xuat moi
dich vu mang ngoai Internet
Rule Action: allow
Protocols: All outbound traffic
Access Rule Sources: May DC (v a đ c t o)
Access Rule Destinations: External.
User Sets: Nhom ISA Admins (User Set v a t o).
MaIT Education
50. Nh n Apply đ ISA nh n Rule m i.
Phòng chuyên môn M ng
L u hành n i b
19
Website:
Forum:
Module 70 – 351
MaIT Education Institution
Yêu c u: c u hình ISA Server truy xu t tr c ti p ngoài Internet đ l y trang web
ngoài ngo i tr 2 trang www.yahoo.com và www.microsoft.com ph i nh qua Server
ISP (203,162.4.200 port 8080)
51. T o 2 URL Set m i, 1 cho www.yahoo.com và 1 cho www.microsoft.com .
52. Vào Configure Network chuy n qua Tab Web Chaining ch n Create
new web channing rule.
53. Trong màn hình Welcome, đi n vào tên web channing m i.
MaIT Education
54. Trong h p tho i Web Channing Rule Destination ch n 2 URL Set c a 2 trang
yahoo và microsoft. Nh n Next đ ti p t c.
MaIT Education
55. Trong h p tho i Request Action ch n Redirect request to a specified upstream
server. Nh n Next đ ti p t c
Phòng chuyên môn M ng
L u hành n i b
20
Website:
Forum:
Module 70 – 351
MaIT Education Institution
MaIT Education
56. Trong h p tho i Configure the primary route đi n vào IP c a ISP và Port t
ng. Nh n Next đ ti p t c.
ng
MaIT Education
57. Nh n Next đ ti p t c trong h p tho i Backup Action. Nh n Finish đ k t thúc.
58. Nh n Apply đ ISA c p nh t.
Phòng chuyên môn M ng
L u hành n i b
21
Website:
Forum: