cấu hình access rule ISA 2006
Transcript of cấu hình access rule ISA 2006
![Page 1: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/1.jpg)
1
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
--------------------------------
BÁO CÁO THỰC TẬP TUẦN 2-3
ĐỀ TÀI:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
ISA 2006
Giáo viên hướng dẫn: Võ Đỗ Thắng
Sinh viên thực tập: Lê Kim Ngân
Tuần 2-3: 26/01/2015 – 06/02/2015
Thành phố Hồ Chí Minh – Năm 2015
![Page 2: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/2.jpg)
2
MỤC LỤC
Contents ACCESS RULE ............................................................................................................................3
1. TẠO RULE TRUY VẤN DNS ĐỂ PHÂN GIẢI TÊN MIỀN Ở BÊN NGOÀI....................5
2. CÔNG TY CHO PHÉP CÁC NHÂN VIÊN THUỘC NHÓM MAKETING TRUY CẬP
WEB KHÔNG HẠN CHẾ. ..................................................................................................... 10
3. CÔNG TY ĐƯA RA YÊU CẦU CHO PHÉP CÁC NHÂN VIÊN THUỘC CÁC PHÒNG
BAN: SALE TRAINING ĐƯỢC PHÉP TRUY CẬP WEB KHÔNG GIỚI HẠN. .................. 17
4. KHI CÁC NHÂN VIÊN CỦA CÔNG TY SỬ DỤNG MÁY TÍNH CÓ TÊN DC THÌ SẼ
KHÔNG ĐƯỢC TRUY CẬP INTERNET. TA THIẾT LẬP RULE NÀY NHƯ SAU: ........... 22
5. QUẢN LÝ TRUY CÂP INTERNET THEO GIỜ LÀM VIỆC, ĐƯỢC QUY ĐỊNH: 8H-12H
SÁNG VÀ 14H-18H CHIỀU. .................................................................................................. 26
6. TRONG GIẢI LAO CÁC NHÂN VIÊN ĐƯỢC TRUY CẬP MỌI TRANG WEB NGOẠI
TRỪ TRANG HTTP://24.COM.VN. TA THIẾT LẬP NHƯ SAU: ....................................... 32
7. CHÍNH SÁCH CÔNG TY YÊU CẦU CÁC NHÂN VIÊN KHÔNG ĐƯỢC TRUY CẬP
WEB: HTTP://BONGDASO.COM TRONG THỜI GIAN LÀM VIỆC VÀ THỜI GIAN NGHỈ.
NẾU VẪN CỐ TÌNH TRUY CẬP SẼ HIỆN THÔNG BÁO CỦA MÁY SERVER. ................ 39
8. EXPORT RULE: ............................................................................................................. 43
9. IMPORT RULE: ............................................................................................................. 46
![Page 3: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/3.jpg)
3
ACCESS RULE
Sau khi cài đặt ISA cho mô hình chúng ta thấy ISA đã phân tách hệ thống thành 3 vùng
chính: Internet, Local Host (nơi đặt ISA server), External. Mặc định, hệ thống sẽ bị tác
động với Default Rule.
Trong phần này, chúng ta cần nắm những khái niệm sau:
Network Defintion: khoảng địa chỉ IP kết nối tới ISA Server, khoảng IP này được định
nghĩa bằng 1 Network Name. ISA sẽ quản lý khoảng IP này thông qua Network Name
này.
Để định nghĩa Network Name, trên ISA Server Management ta chọn mục
Confirugation, chọn tiếp mục Network.
Network Rule: quy định các mối liên hệ giữa các Network, các mối liên hệ này được
ISA Server kết nối với nhau. Khi hệ thống của bạn có nhiều Network, ISA sẽ quy định
![Page 4: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/4.jpg)
4
mối quan hệ của các Network thông qua 2 cơ chế: Route và NAT. Ta sẽ đề cập tiếp vấn
đề này ở phần sau.
Access Rule: Quy định những traffic nào sẽ được đi ISA Server. Đây là thành phần quan
trọng của ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huống
được nêu ra ở các mục bên dưới.
![Page 5: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/5.jpg)
5
Default Rule đã cấm mọi traffic ra vào thông qua ISA Server. Như vậy để các máy trong
Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server phân giải các
domain name này. Ở đây ta sẽ sử dụng DNS Server của ISP.
1. Tạo rule truy vấn DNS để phân giải tên miền ở bên ngoài.
Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall
policy, chọn New chọn Accsess Rule
Hộp thoại Access Rule Names, đặt tên Rule là: DNS
![Page 6: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/6.jpg)
6
Hộp thoại Rule Active, chọn Allow
Hộp thoại Protocols, chọn Selected protocols và nhấn Add
Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS nhấn
Add nhấn Next
![Page 7: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/7.jpg)
7
Hộp thoại Access Rule Sources, Add:Internal và Local Host. Thực tế thì ta
không nên chọn Local Host
![Page 8: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/8.jpg)
8
Hộp thoại Access Rule Destinaton, Add: External , nhấn Next
Hộp thoại User Sets, chọn All Users, nhấn Next
Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về
Rule lần cuối, sau đó nhấn Finish. Nhấn chọn Apply, Ok.
![Page 9: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/9.jpg)
9
Bạn chọn Apply
Kiểm tra lại kết quả: trên máy DC
![Page 10: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/10.jpg)
10
Kiểm tra lại kết quả: trên máy ISA
Tuy nhiên lúc này ta chỉ mới cho phép các traffic từ Internal được truy vấn DNS
ra bên ngoài thông qua port 53. Do đó, ta cần tạo thêm Rule thông qua các tình
huống sau.
2. Công ty cho phép các nhân viên thuộc nhóm maketing truy cập web không
hạn chế.
Group Maketing đã được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉ
việc định nghĩa các đối tượng này trên máy ISA. Để quản lý được các Domain
user ta phải join máy ISA vào domain .....
Trong cửa sổ ISA Server Management tại cửa sổ thứ 3, chọn tab Toolbox, bung
mục User, chọn New, hộp thoại User sets name đặt tên là Maketing rồi nhấn
Next
![Page 11: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/11.jpg)
11
Hộp thoại Users, nhấn Add chọn Windows users and groups....
Add group maketing vào hộp thoại Users
![Page 12: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/12.jpg)
12
Trong hộp thoại Completing chọn Finish. Nhấn Apply
Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên. Chuột phải Firewall Policy,
chọn New chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: allow maketing full access
![Page 13: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/13.jpg)
13
Hộp thoại Rule Action chọn Allow
Hộp thoại Protocols chọn All outbound traffic
![Page 14: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/14.jpg)
14
Hộp thoại Access Rule Sources, add Internal, chọn Next
Hộp thoại Access Rule Destinaton, add External, chọn Next.
![Page 15: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/15.jpg)
15
Hộp thoại User Sets, remove group All Users và add group Maketing vào chọn
Next
Hộp thoại Completing the New Access Rule Wizard chọn Finish
![Page 16: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/16.jpg)
16
Nhấn chọn Apply, chọn OK
Kiểm tra kết quả
Logon user .....\ ma1
Mở Command Prompt gõ lệnh nslookup. Phân giải các tên miền ở External
![Page 17: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/17.jpg)
17
Truy cập trang http://athena.edu.vn
3. Công ty đưa ra yêu cầu cho phép các nhân viên thuộc các phòng ban: Sale
Training được phép truy cập Web không giới hạn.
Ở tình huống 1, yêu cầu đặt ra là cho phép được Internet không hạn chế. Tuy
nhiên, ở tình huống 2 này, ta chỉ cho phép truy cập dịch vụ Web. Như vậy, ta chỉ
cho phép các Protocol: HTTP, HTTPS là đủ.
Trong cửa sổ ISA Server Management, chọn Firewall Policy, chọn New chọn
Access Rule
![Page 18: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/18.jpg)
18
Hộp thoại Access Rule Names, đặt tên Rule là: allow user access web
Hộp thoại Rule Active, chọn Allow
![Page 19: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/19.jpg)
19
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add.
Trong hộp thoại Add Protocols, bung mục Common Protocols chọn HTTP và
HTTPS, nhấn Add. Nhấn Next.
Hộp thoại Access Rule Sources, add Internal, chọn next
![Page 20: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/20.jpg)
20
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users và add group Sale và Training vào,
chọn Next
![Page 21: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/21.jpg)
21
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Kiểm tra kết quả
Logon user .......
![Page 22: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/22.jpg)
22
4. Khi các nhân viên của công ty sử dụng máy tính có tên DC thì sẽ không được
truy cập Internet. Ta thiết lập Rule này như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy chọn New, chọn
Access Rule. Hộp thoại Access Rule Names, đặt tên Rule là: Deny PC DC.
Chọn Deny
![Page 23: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/23.jpg)
23
Hộp thoại Protocols, chọn All outbound traffic
Hộp thoại Access Rule Sources nhấn Add chọn Computer Set chọn máy DC,
chọn Next.
![Page 24: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/24.jpg)
24
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users, và add các group Sale, Training
maketing, manager vào, chọn Next.
![Page 25: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/25.jpg)
25
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Tại máy DC kiểm tra :
![Page 26: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/26.jpg)
26
5. Quản lý truy câp Internet theo giờ làm việc, được quy định: 8h-12h sáng và
14h-18h chiều.
Ta sẽ định nghĩa các Web được phép truy cập như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại
tab Toolbox bung mục Network Object nhấn New chọn URL Set.
Trong hộp thoại New URL Set. Ô Name nhập tên: Allow Web, nhập các trang
web mà cho phép
![Page 27: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/27.jpg)
27
Tương tự như vậy, ta định nghĩa luôn các trang Web không cho phép với tên là
restrict web.
Tiếp theo ta sẽ định nghĩa khoảng giờ làm việc của công ty như sau:
![Page 28: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/28.jpg)
28
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại
tab Toolbox bung mục Schedules chọn New.
Cuối cùng, ta sẽ định nghĩa rule cho tình huống này
Chuột phải Firewall Policy chọn New chọn Access Rule. Hộp thoại Access Rule
Names đặt tên rule là: allow users on work time
Hộp thoại Rule Action, chọn Allow
![Page 29: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/29.jpg)
29
Hộp thoại Protocols chọn Selected Protocols và nhấn Add. Trong hộp thoại Add
Protocols bung mục Comon Protocols chọn HTTP và HTTPS, nhấn Add. Nhấn
Next.
![Page 30: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/30.jpg)
30
Hộp thoại Access Rule Sources add Internal
Hộp thoại Access Rule Destinaton nhấn Add. Bung URL Sets chọn allow web
Nhấn Next.
Hộp thoại User Sets chọn All Users, nhấn Next
![Page 31: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/31.jpg)
31
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish, chuột phải lên
rule allow users on work time, chọn Properties
Qua Tab Schedule trong khung Schedule chọn là work time, Nhấn OK.
![Page 32: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/32.jpg)
32
Kiểm tra kết quả.
Log user .... kiểm tra
6. Trong giải lao các nhân viên được truy cập mọi trang Web ngoại trừ trang
http://24.com.vn. Ta thiết lập như sau:
![Page 33: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/33.jpg)
33
Trong cửa sổ ISA Server Management chuột phải chọn Firewall Policy chọn New
chọn Access Rule. Hộp thoại Access Name, đặt tên là: user on rest time
Hộp thoại Rule Action, chọn Allow
![Page 34: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/34.jpg)
34
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add
Protocols bung mục Common Protocols chọn HTTP và HTTPS nhấn Add
Nhấn Next.
Hộp thoại Access Rule Sources add Internal, nhấn Next
Hộp thoại Access Rule Destinaton add External, nhấn Next.
![Page 35: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/35.jpg)
35
Hộp thoại User Sets chọn All Users. Nhấn Next
Hộp thoại Completing the New Access Rule Wizard nhấn Finish
![Page 36: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/36.jpg)
36
Chuột phải lên rule user on rest time chọn Properties
Qua Tab Schedule trong mục Schedule chọn Rest Time. Qua tab To khung
Exceptions nhấn Add. Bung mục URL Sets chọn deny 24h.com.vn
![Page 37: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/37.jpg)
37
![Page 38: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/38.jpg)
38
Nhấn Apply , chọn Ok
Kiểm tra kết quả
Log on user .... kiểm tra
Truy cập các trang http://24h.com.vn và http://vnexpress.net :
![Page 39: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/39.jpg)
39
7. Chính sách công ty yêu cầu các nhân viên không được truy cập web:
http://bongdaso.com trong thời gian làm việc và thời gian nghỉ . Nếu vẫn cố
tình truy cập sẽ hiện thông báo của máy server.
Trong cửa sổ ISA server Management , chuột phải Firewall Policy , chọn New,
chọn Access Rule. Hộp thoại Access Rule Names, đặt tên: deny access web
![Page 40: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/40.jpg)
40
Hộp thoại Rule Action, chọn Deny
Hộp thoại Protocols, chọn Selected Protocol, nhấn Add, Trong hộp thoại Add
Protocols, bung mục Common Protocols chọn Http, Https, nhấn Add. Nhấn Next.
Hộp thoại Access Rule Sources, Add Internal , nhấn Next
![Page 41: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/41.jpg)
41
Hộp thoại Access Rule Destination, Add. Bung URL Sets, add restrict web, nhấn
Next
![Page 42: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/42.jpg)
42
Hộp thoại User Sets, chọn All Users
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish
Chuột phải vào rule vừa tạo, chọn Properties. Qua tab Action, đánh dấu check vào
thư mục Redirect HTTP requests to this Web Page, khung bên dưới nhập vào
trang web: http://172.16.1.2 (Host chứa web cảnh báo)
![Page 43: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/43.jpg)
43
Kiểm tra kết quả:
8. Export rule:
Trong cửa sổ ISA server Managerment, chuột phải Firewall Policy, chọn Export
Màn hình Welcome…. Nhấn Next.
![Page 44: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/44.jpg)
44
Nhập mật khẩu:
Chọn Browse và chọn nơi lưu trữ. Nhấn Next và Finish
![Page 45: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/45.jpg)
45
![Page 46: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/46.jpg)
46
9. Import rule:
Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn Import
Giao diện Welcome nhấn Next
![Page 47: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/47.jpg)
47
Giao diện Select the Import File, nhấn Browse và chọn file đã export từ trước.
Nhấn Next tiếp tục, nhập vào password.
Kiểm tra và nhấn Finish.
![Page 48: cấu hình access rule ISA 2006](https://reader033.fdocuments.net/reader033/viewer/2022042716/55af4ca41a28ab182e8b4635/html5/thumbnails/48.jpg)
48