Embed Size (px)
Citation preview
1
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
--------------------------------
BÁO CÁO THỰC TẬP TUẦN 2-3
ĐỀ TÀI:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
ISA 2006
Giáo viên hướng dẫn: Võ Đỗ Thắng
Sinh viên thực tập: Lê Kim Ngân
Tuần 2-3: 26/01/2015 – 06/02/2015
Thành phố Hồ Chí Minh – Năm 2015
2
MỤC LỤC
Contents ACCESS RULE ............................................................................................................................3
1. TẠO RULE TRUY VẤN DNS ĐỂ PHÂN GIẢI TÊN MIỀN Ở BÊN NGOÀI....................5
2. CÔNG TY CHO PHÉP CÁC NHÂN VIÊN THUỘC NHÓM MAKETING TRUY CẬP
WEB KHÔNG HẠN CHẾ. ..................................................................................................... 10
3. CÔNG TY ĐƯA RA YÊU CẦU CHO PHÉP CÁC NHÂN VIÊN THUỘC CÁC PHÒNG
BAN: SALE TRAINING ĐƯỢC PHÉP TRUY CẬP WEB KHÔNG GIỚI HẠN. .................. 17
4. KHI CÁC NHÂN VIÊN CỦA CÔNG TY SỬ DỤNG MÁY TÍNH CÓ TÊN DC THÌ SẼ
KHÔNG ĐƯỢC TRUY CẬP INTERNET. TA THIẾT LẬP RULE NÀY NHƯ SAU: ........... 22
5. QUẢN LÝ TRUY CÂP INTERNET THEO GIỜ LÀM VIỆC, ĐƯỢC QUY ĐỊNH: 8H-12H
SÁNG VÀ 14H-18H CHIỀU. .................................................................................................. 26
6. TRONG GIẢI LAO CÁC NHÂN VIÊN ĐƯỢC TRUY CẬP MỌI TRANG WEB NGOẠI
TRỪ TRANG HTTP://24.COM.VN. TA THIẾT LẬP NHƯ SAU: ....................................... 32
7. CHÍNH SÁCH CÔNG TY YÊU CẦU CÁC NHÂN VIÊN KHÔNG ĐƯỢC TRUY CẬP
WEB: HTTP://BONGDASO.COM TRONG THỜI GIAN LÀM VIỆC VÀ THỜI GIAN NGHỈ.
NẾU VẪN CỐ TÌNH TRUY CẬP SẼ HIỆN THÔNG BÁO CỦA MÁY SERVER. ................ 39
8. EXPORT RULE: ............................................................................................................. 43
9. IMPORT RULE: ............................................................................................................. 46
3
ACCESS RULE
Sau khi cài đặt ISA cho mô hình chúng ta thấy ISA đã phân tách hệ thống thành 3 vùng
chính: Internet, Local Host (nơi đặt ISA server), External. Mặc định, hệ thống sẽ bị tác
động với Default Rule.
Trong phần này, chúng ta cần nắm những khái niệm sau:
Network Defintion: khoảng địa chỉ IP kết nối tới ISA Server, khoảng IP này được định
nghĩa bằng 1 Network Name. ISA sẽ quản lý khoảng IP này thông qua Network Name
này.
Để định nghĩa Network Name, trên ISA Server Management ta chọn mục
Confirugation, chọn tiếp mục Network.
Network Rule: quy định các mối liên hệ giữa các Network, các mối liên hệ này được
ISA Server kết nối với nhau. Khi hệ thống của bạn có nhiều Network, ISA sẽ quy định
4
mối quan hệ của các Network thông qua 2 cơ chế: Route và NAT. Ta sẽ đề cập tiếp vấn
đề này ở phần sau.
Access Rule: Quy định những traffic nào sẽ được đi ISA Server. Đây là thành phần quan
trọng của ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huống
được nêu ra ở các mục bên dưới.
5
Default Rule đã cấm mọi traffic ra vào thông qua ISA Server. Như vậy để các máy trong
Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server phân giải các
domain name này. Ở đây ta sẽ sử dụng DNS Server của ISP.
1. Tạo rule truy vấn DNS để phân giải tên miền ở bên ngoài.
Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall
policy, chọn New chọn Accsess Rule
Hộp thoại Access Rule Names, đặt tên Rule là: DNS
6
Hộp thoại Rule Active, chọn Allow
Hộp thoại Protocols, chọn Selected protocols và nhấn Add
Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS nhấn
Add nhấn Next
7
Hộp thoại Access Rule Sources, Add:Internal và Local Host. Thực tế thì ta
không nên chọn Local Host
8
Hộp thoại Access Rule Destinaton, Add: External , nhấn Next
Hộp thoại User Sets, chọn All Users, nhấn Next
Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về
Rule lần cuối, sau đó nhấn Finish. Nhấn chọn Apply, Ok.
9
Bạn chọn Apply
Kiểm tra lại kết quả: trên máy DC
10
Kiểm tra lại kết quả: trên máy ISA
Tuy nhiên lúc này ta chỉ mới cho phép các traffic từ Internal được truy vấn DNS
ra bên ngoài thông qua port 53. Do đó, ta cần tạo thêm Rule thông qua các tình
huống sau.
2. Công ty cho phép các nhân viên thuộc nhóm maketing truy cập web không
hạn chế.
Group Maketing đã được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉ
việc định nghĩa các đối tượng này trên máy ISA. Để quản lý được các Domain
user ta phải join máy ISA vào domain .....
Trong cửa sổ ISA Server Management tại cửa sổ thứ 3, chọn tab Toolbox, bung
mục User, chọn New, hộp thoại User sets name đặt tên là Maketing rồi nhấn
Next
11
Hộp thoại Users, nhấn Add chọn Windows users and groups....
Add group maketing vào hộp thoại Users
12
Trong hộp thoại Completing chọn Finish. Nhấn Apply
Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên. Chuột phải Firewall Policy,
chọn New chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: allow maketing full access
13
Hộp thoại Rule Action chọn Allow
Hộp thoại Protocols chọn All outbound traffic
14
Hộp thoại Access Rule Sources, add Internal, chọn Next
Hộp thoại Access Rule Destinaton, add External, chọn Next.
15
Hộp thoại User Sets, remove group All Users và add group Maketing vào chọn
Next
Hộp thoại Completing the New Access Rule Wizard chọn Finish
16
Nhấn chọn Apply, chọn OK
Kiểm tra kết quả
Logon user .....\ ma1
Mở Command Prompt gõ lệnh nslookup. Phân giải các tên miền ở External
17
Truy cập trang http://athena.edu.vn
3. Công ty đưa ra yêu cầu cho phép các nhân viên thuộc các phòng ban: Sale
Training được phép truy cập Web không giới hạn.
Ở tình huống 1, yêu cầu đặt ra là cho phép được Internet không hạn chế. Tuy
nhiên, ở tình huống 2 này, ta chỉ cho phép truy cập dịch vụ Web. Như vậy, ta chỉ
cho phép các Protocol: HTTP, HTTPS là đủ.
Trong cửa sổ ISA Server Management, chọn Firewall Policy, chọn New chọn
Access Rule
18
Hộp thoại Access Rule Names, đặt tên Rule là: allow user access web
Hộp thoại Rule Active, chọn Allow
19
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add.
Trong hộp thoại Add Protocols, bung mục Common Protocols chọn HTTP và
HTTPS, nhấn Add. Nhấn Next.
Hộp thoại Access Rule Sources, add Internal, chọn next
20
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users và add group Sale và Training vào,
chọn Next
21
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Kiểm tra kết quả
Logon user .......
22
4. Khi các nhân viên của công ty sử dụng máy tính có tên DC thì sẽ không được
truy cập Internet. Ta thiết lập Rule này như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy chọn New, chọn
Access Rule. Hộp thoại Access Rule Names, đặt tên Rule là: Deny PC DC.
Chọn Deny
23
Hộp thoại Protocols, chọn All outbound traffic
Hộp thoại Access Rule Sources nhấn Add chọn Computer Set chọn máy DC,
chọn Next.
24
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users, và add các group Sale, Training
maketing, manager vào, chọn Next.
25
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Tại máy DC kiểm tra :
26
5. Quản lý truy câp Internet theo giờ làm việc, được quy định: 8h-12h sáng và
14h-18h chiều.
Ta sẽ định nghĩa các Web được phép truy cập như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại
tab Toolbox bung mục Network Object nhấn New chọn URL Set.
Trong hộp thoại New URL Set. Ô Name nhập tên: Allow Web, nhập các trang
web mà cho phép
27
Tương tự như vậy, ta định nghĩa luôn các trang Web không cho phép với tên là
restrict web.
Tiếp theo ta sẽ định nghĩa khoảng giờ làm việc của công ty như sau:
28
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại
tab Toolbox bung mục Schedules chọn New.
Cuối cùng, ta sẽ định nghĩa rule cho tình huống này
Chuột phải Firewall Policy chọn New chọn Access Rule. Hộp thoại Access Rule
Names đặt tên rule là: allow users on work time
Hộp thoại Rule Action, chọn Allow
29
Hộp thoại Protocols chọn Selected Protocols và nhấn Add. Trong hộp thoại Add
Protocols bung mục Comon Protocols chọn HTTP và HTTPS, nhấn Add. Nhấn
Next.
30
Hộp thoại Access Rule Sources add Internal
Hộp thoại Access Rule Destinaton nhấn Add. Bung URL Sets chọn allow web
Nhấn Next.
Hộp thoại User Sets chọn All Users, nhấn Next
31
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish, chuột phải lên
rule allow users on work time, chọn Properties
Qua Tab Schedule trong khung Schedule chọn là work time, Nhấn OK.
32
Kiểm tra kết quả.
Log user .... kiểm tra
6. Trong giải lao các nhân viên được truy cập mọi trang Web ngoại trừ trang
http://24.com.vn. Ta thiết lập như sau:
33
Trong cửa sổ ISA Server Management chuột phải chọn Firewall Policy chọn New
chọn Access Rule. Hộp thoại Access Name, đặt tên là: user on rest time
Hộp thoại Rule Action, chọn Allow
34
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add
Protocols bung mục Common Protocols chọn HTTP và HTTPS nhấn Add
Nhấn Next.
Hộp thoại Access Rule Sources add Internal, nhấn Next
Hộp thoại Access Rule Destinaton add External, nhấn Next.
35
Hộp thoại User Sets chọn All Users. Nhấn Next
Hộp thoại Completing the New Access Rule Wizard nhấn Finish
36
Chuột phải lên rule user on rest time chọn Properties
Qua Tab Schedule trong mục Schedule chọn Rest Time. Qua tab To khung
Exceptions nhấn Add. Bung mục URL Sets chọn deny 24h.com.vn
37
38
Nhấn Apply , chọn Ok
Kiểm tra kết quả
Log on user .... kiểm tra
Truy cập các trang http://24h.com.vn và http://vnexpress.net :
39
7. Chính sách công ty yêu cầu các nhân viên không được truy cập web:
http://bongdaso.com trong thời gian làm việc và thời gian nghỉ . Nếu vẫn cố
tình truy cập sẽ hiện thông báo của máy server.
Trong cửa sổ ISA server Management , chuột phải Firewall Policy , chọn New,
chọn Access Rule. Hộp thoại Access Rule Names, đặt tên: deny access web
40
Hộp thoại Rule Action, chọn Deny
Hộp thoại Protocols, chọn Selected Protocol, nhấn Add, Trong hộp thoại Add
Protocols, bung mục Common Protocols chọn Http, Https, nhấn Add. Nhấn Next.
Hộp thoại Access Rule Sources, Add Internal , nhấn Next
41
Hộp thoại Access Rule Destination, Add. Bung URL Sets, add restrict web, nhấn
Next
42
Hộp thoại User Sets, chọn All Users
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish
Chuột phải vào rule vừa tạo, chọn Properties. Qua tab Action, đánh dấu check vào
thư mục Redirect HTTP requests to this Web Page, khung bên dưới nhập vào
trang web: http://172.16.1.2 (Host chứa web cảnh báo)
43
Kiểm tra kết quả:
8. Export rule:
Trong cửa sổ ISA server Managerment, chuột phải Firewall Policy, chọn Export
Màn hình Welcome…. Nhấn Next.
44
Nhập mật khẩu:
Chọn Browse và chọn nơi lưu trữ. Nhấn Next và Finish
45
46
9. Import rule:
Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn Import
Giao diện Welcome nhấn Next
47
Giao diện Select the Import File, nhấn Browse và chọn file đã export từ trước.
Nhấn Next tiếp tục, nhập vào password.
Kiểm tra và nhấn Finish.
48
