Tài liệu hướng dẫn giảng dạy Hình 5.35: IP option filtering V.7 Một số công cụ bảo mật V.7.1 Download Security DownloadSecurity cơng cụ tích hợp với ISA tổ chức GFI Software LtdGFI phát triển DownloadSecurity thiết kế để tăng cường khả kiểm soát quản lý thông tin download từ Internet Một số chức DownloadSecurity: - Scan viruses cho tất tập tin download từ internet - Tự động cập nhật Anti-virus signature - Tự động kiểm tra số loại file nguy hiểm *.exe, *.doc,… - Cung cấp chế cảnh báo an ninh cho người quản trị - Được tích hợp với ISA Firewall, dễ quản lý cấu hình - Tính hiệu cao việc thực số chức lọc nội dung, chống virus, kiểm soát truy xuất internet - Cung cấp chế cảnh báo user trình duyệt chặn số ActiveX Control Java applet nguy hiểm - Phân tích đoạn code thực thi nguy hiểm để chống Trojans - Cấu hình ISA Web Filtering Mặc định sau ta cài phần mềm DownloadSecurity, DownloadSecurity tự động kích hoạt để hỗ trợ thiết lập lọc Web Filters Để hiệu chỉnh lọc ta chọn Configuration | Add-ins | Web Filters | GFI DownloadSecurity Filter | Configuration Tab (tham khảo Hình 5.36) - Do not scan these URLs: Chỉ định danh sách địa URL không cần kiểm tra nội dung virus - Scan these Content types: Chỉ định loại nội dung cần kiểm tra bao gồm đoạn code thực thi, Java applets, ActiveX Control Học phần - Quản trị mạng Microsoft Windows Trang 511/555 Tài liệu hướng dẫn giảng dạy Hình 5.36: Download security Web Filter Thiết lập số sách kiểm tra download Thiết lập sách kiểm tra download để giới hạn cô lập loại file, dung lượng file download,… để thay đổi luật download mặc định hệ thống cách chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đơi chuột vào rule có tên “Default Attachment Download Checking Rule” (tham khảo hình 5.37) - General Tab: Cho phép lựa chọn số chế độ cấm download, cấm download tập tin có dung lượng lớn dung lượng định nghĩa - Actions Tab: Hiệu chỉnh Action cấm thông báo Mail, quản lý thông báo qua mail, ghi nhận nhật ký,… - Users/Folders Tab: Chọn User thư mục cần thiết để thiết lập luật Hình 5.37: Thay đổi thuộc tính Download checking rule Cấu hình kiểm tra Virus, chống Trojans Học phần - Quản trị mạng Microsoft Windows Trang 512/555 Tài liệu hướng dẫn giảng dạy DownloadSecurity tích hợp sẵn chương trình kiểm tra quét virus cho file download, chương trình cập nhận thường xun để ngăn chặn công loại Virus Ngồi DownloadSecurity cịn tích hợp số scanners để scan kiểm tra Trojans, đoạn mã thực thi nguy hiểm (Executable) Để thay đổi hiệu chỉnh số kiểm tra Virus (Virus Engine) ta chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Virus Scanning Engines, Nhấp đôi chuột vào engine cụ thể (Tham khảo hình 5.38) hình 5.38: Hiệu chỉnh thuộc tính Virus Control Engine V.7.2 Surfcontrol Web Filter SurfControl Web Filter giúp nâng cao tính bảo mật, tối ưu hóa băng thông hệ thống SurfControl Web Filter thiết sẵn group đối tượng phép ta quản lý thiết lập luật để giới hạn truy xuất Internet dễ dàng Một số công cụ hỗ trợ SurfControl Web Filter: - Monitor: Cung cấp số cách theo dõi giám sát traffic user mạng, thông tin giám sát hoạt động user lưu SurfControl database, chúng hiển thị cửa sổ the Monitor window - Real Time Monitor: Giám sát hiển thị traffic mạng theo thời gian thực - Rules Administrator: Cho phép ta tạo luật để điều khiển truy xuất internet - Scheduler: Cho phép thiết lập lịch biểu để theo dõi kiện hệ thống - Virtual Control Agent (VCA): Phân loại Web site theo nội dung truy xuất - Report Central: công cụ mạng hỗ trợ tạo report để thống kê traffic - Remote Administration: Cho phép điều khiển từ xa SurfControl Web Filter Database chương trình SurfControl Web Filter lưu hệ quản trị sở liệu, MS SQL Server, msde2000, trước cài đặt SurfControl Web Filter ta cần phải cài đặt hai hệ quản trị sở liệu Học phần - Quản trị mạng Microsoft Windows Trang 513/555 Tài liệu hướng dẫn giảng dạy V.8 Thiết lập Network Rule Mặc định hệ thống tạo Network rule phép thiết lập số chế định tuyến (Route) hai mạng (tham khảo hình 5.39), thay đổi đĩa (NAT) Mặc định hệ thống tạo số Network rule sau: - Local Host Access: Định tuyến traffic localhost đến mạng nội - VPN Client to Internal Network: Định tuyến từ VPN Client đến Internal network - Internet Access: NAT Internal network mạng internet V.8.1 Thay đổi thuộc tính Network Rule Để thay đổi thuộc tính Network Rule ta nhấp đôi chuột vào tên luật Network Rules tab (tham khảo hình 5.39) Hình 5.39: Thay đổi thuộc tính cho Network Rule V.8.2 Tạo Network Rule Để tạo Network Rule ta thực bước sau: Chọn nút Configuration, chọn Network, chọn Network Rules tab, Create a New Network Rule Task Panel, định tên Network Rule, chọn Next Chỉ định địa nguồn hộp thoại Network Traffic Source Hình 5.40: Chỉ định địa nguồn Chỉ định địa đích hộp thoại Network Traffic Destination Học phần - Quản trị mạng Microsoft Windows Trang 514/555 Tài liệu hướng dẫn giảng dạy Hình 5.41: Chỉ định địa đích cho Network Rule Chọn phương thức đặt Network Rule theo NAT (khi ta muốn NAT cho mạng nội mạng Internet) hay Route (khi ta muốn định tuyến mạng nội ngồi mạng khác) Hình 4.42: Chỉ định Network Relationship Chọn Finish để hoàn tất trình V.9 Thiết lập Cache, quản lý theo dõi traffic V.9.1 Thiết lập Cache - Để cấu hình Cache ta chọn nút Configuration -> Cache trình quản lý ISA management: - Nhấp chuột phải vào nút Cache chọn Define Cache Drives, ta nhấp chuột vào Cache Rules sau chọn Define Cache Drives (enable caching) từ Tasks panel - Trong hộp thoại “Define Cache Drives” chọn ổ địa định dạng NTFS định kích thước cache Maximum cache size , chọn nút Set (tham khảo hình 5.39) Học phần - Quản trị mạng Microsoft Windows Trang 515/555 Tài liệu hướng dẫn giảng dạy Hình 5.43: Chỉ định dung lượng Cache V.9.2 Thay đổi tùy chọn vùng Cache - Để cấu hình Cache ta chọn nút Configuration -> Cache trình quản lý ISA management, nhấp chuột phải vào nút Cache chọn liên kết Configure Cache Settings từ Tasks panel, chọn Active Caching tab, chọn Enable active caching (tham khảo hình 5.40) Hình 5.44: Enable cache V.9.3 Tạo Cache Rule Tạo Cache Rule phép ta đặt số luật quy định đối tượng (Object) cần cache, thời gian lưu trữ cache, kích thước đối tượng cache, … Các bước tạo cache rule sau: Nhấp chuột phải vào nút Cache, chọn New, chọn Cache Rule… Chỉ định tên cache rule hộp thoại “Welcome to the New Cache Rule Wirzard”, chọn Next Chọn nút Add để Distination cho Cache Rule (tham khảo hình), chọn Next Học phần - Quản trị mạng Microsoft Windows Trang 516/555 Tài liệu hướng dẫn giảng dạy Hình 5.45: Destination cache Chỉ định loại Object nhận cho request cụ thể hộp thoại Cache retrieval Một số tùy chọn cần lưu ý: + “Only if a valid version of the object exists in the cache if no valid object exists, the request will be routed to the Web server”: Cho phép nhận Object hợp lệ (Valid Object) cache ngược lại tồn không tồn Object hợp lệ request chuyển đến Web Server để nhận Object cần thiết + “If any version of the object exists in the cache it will be returned from cache If no version exists route request server” : Cho phép request nhận Valid Object Invalid Object cache, khơng có Object cache Server chuyển request tới server + “If any version of the object exists in cache if no exists the request will be dropped” Nếu request yêu cầu Object khơng tồn cache bị ngăn chặn (Drop) Trong hộp thoại Cache Content, định nội dung cần lưu cache(tham khảo hình 5.41), chọn Next Học phần - Quản trị mạng Microsoft Windows Trang 517/555 Tài liệu hướng dẫn giảng dạy Hình 5.46: cache content Trong hộp thoại Cache Advanced Configuration, định giới hạn kích thước object cần cache textbox “Do not cache objects larger than” (tham khảo hình 4.42), chọn Next Hình 5.47: Giới hạn kích thước cho đối tượng cache Chỉ định thời gian lưu trữ HTTP Object cache, chọn Next Hình 5.48: Chỉ định TTL cho HTTP Object Chỉ định thời gian lưu trữ FTP Object cache, chọn Next Học phần - Quản trị mạng Microsoft Windows Trang 518/555 Tài liệu hướng dẫn giảng dạy Hình 5.49: TTL HTTP Object Chọn Finish để hoàn tất trình V.9.4 Quản lý theo dõi traffic Một chức qua Firewall khả giám sát (monitoring) thống kê (reporting) kiện xảy hệ thống, giúp cho Người quản trị mạng (Network administrator) theo dõi xâm nhập (attempted intrusions) cơng từ bên ngồi ISA Server 2004 bao gồm số công cụ như: giám sát hoạt động hệ thống (monitor ISA Server activities), tạo cấu hình chế cảnh báo, thống kê thông tin hệ thống, giám sát thông suất (performance) ISA Server Tất công cụ đề đặt Monitoring node trình quản lý “ISA Server 2004 management console” (tham khảo hình 5.44) Hình 5.50: Dashboard theo dõi log Thiết lập số cảnh báo (alert) cho hệ thống Học phần - Quản trị mạng Microsoft Windows Trang 519/555 Tài liệu hướng dẫn giảng dạy + Chọn Tab Alerts, chọn liên kết Configure Alert Definitions Task panel, chọn nút Add từ hộp thoại Alert properties, định tên Alerts, chọn Next (tham khảo hình 5.45) Hình 5.51: Lập cảnh báo cho hệ thống Học phần - Quản trị mạng Microsoft Windows Trang 520/555 Tài liệu hướng dẫn giảng dạy + Chọn loại kiện để lập cảnh báo cho hệ thống, chọn Next Hình 5.52: Chọn loại cảnh báo cho hệ thống + Chỉ định loại cảnh báo (Alert) mức độ kiểm sốt (lỗi, cảnh báo, thơng báo) hộp thoại Category and Severity, chọn Next + Chỉ định action để thực chế cảnh báo cho hệ thống, cảnh báo qua Mail, chương trình, …(tham khảo hình 5.46) Hình 5.53: Chọn chế cảnh báo + Chỉ định địa Email nhận cảnh báo hệ thống, chọn Next Học phần - Quản trị mạng Microsoft Windows Trang 521/555 ... Server, msde2000, trước cài đặt SurfControl Web Filter ta cần phải cài đặt hai hệ quản trị sở liệu Học phần - Quản trị mạng Microsoft Windows Trang 513/555 Tài liệu hướng dẫn giảng dạy V.8 Thiết... ngăn chặn (Drop) Trong hộp thoại Cache Content, định nội dung cần lưu cache(tham khảo hình 5.41), chọn Next Học phần - Quản trị mạng Microsoft Windows Trang 5 17/ 555 Tài liệu hướng dẫn giảng dạy... nguồn hộp thoại Network Traffic Source Hình 5.40: Chỉ định địa nguồn Chỉ định địa đích hộp thoại Network Traffic Destination Học phần - Quản trị mạng Microsoft Windows Trang 514/555 Tài liệu hướng