Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com ACCESS RULE I. Giới thiệu: Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule). Muốn hệ thống hoạt động ta phải tạo các rule tương ứng. Bài Lab gồm những thao tác chính sau: 1. Tạo rule cho phép traffic DNS Query để phân giải tên miền 2. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) 3. Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 4. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế 5. Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao 6. Chỉ cho xem “chữ” không cho xem “hình” 7. Cấm xem trang www.tuoitre.com.vn 8. Khảo sát system policy 9. Giới thiệu các Policy Template II. Thực hiện 1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền B1: ISA Management  Firewall Policy  New  Access Rule B2: Gõ “DNS Query” vào ô Access Rule Name  Next Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 12 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Action chọn “Allow” Next B4: Trong “This Rule Apply to:” chọn “Selected Protocols”  Add  Common Protocol  DNS OK  Next B5: Trong “Access Rule Source”  Add  Networks  Internal  add  Close  Next B6: Trong “Access Rule Destination”  add  Networks  External  close  Next B7: Trong “User Sets” chọn giá trị mặc định “All Users”  Next  Finish Chọn nút “apply” (phía trước có dấu chấm than) Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 13 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Thực hiện tại máy chẳn B8: dùng lện NSLOOKUP để phân giải thử một tên miền bất kỳ 2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) B1: Tạo Access rule theo các thông số sau: Rule Name: Allow Mail (SMTP + POP3) Action: Allow Protocols: POP3 + SMTP Source: Internal Destination: External User: All User Các thao tác làm tương tự như phần 1 B2: Kiểm tra - Thực hiện tại máy chẳn Setup Outlook Express theo các thông số sau: Display Name: Hoc Vien Email Address: hocvien@nhatnghe.com OutGoing Mail: mail.nhatnghe.com InComming Mail: mail.nhatnghe.com Account Name: hocvien@nhatnghe.com Password: hocvien Thử gởi/ nhận mail 3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc a – Định nghĩa nhóm “Nhan Vien” b – Định nghĩa URL Set chứa trang vnexpress.net c – Định nghĩa “giờ làm việc” d – Tạo rule e – Kiểm tra a – Định nghĩa nhóm “Nhan Vien”: B1: Dùng chương trình “Active Directory User and Computer” tạo 2 user u1, u2 (password 123) Tạo Group “Nhan Vien” Đưa 2 user u1, u2 vào Group “Nhan Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 14 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Vien” B2: ISA Server Management  Firewall Policy  Toolbox  Users  New B3: Nhập chuỗi “Nhan Vien ” vào ô User set name  Next B4: Add  Windows User and Group Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 15 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B5: Chọn Group “Nhan Vien” Next  Finish b – Định nghĩa URL Set chứa trang vnexpress.net B1: ISA Server Management  Firewall Policy  Toolbox  Network Objects  New  URL Set B2: Dòng name đặt tên “vnexpress” Chọn New, khai 2 dòng http://vnexpress.net http://*.vnexpress.net  OK c – Định nghĩa “giờ làm việc”” Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 16 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: ISA Server Management  Firewall Policy  Toolbox  Schedule  New Name: Gio Lam Viec Chọn Active từ 8am -6 pm  OK d – Tạo rule: B1: Tạo Access rule theo các thông số sau: Rule Name: Nhan Vien – Trong Gio Action: Allow Protocols: HTTP + HTTPS Source: Internal Destination: URL Set  vnexpress User: Nhan Vien Các thao tác làm tương tự như phần 1 B2: click nút phải chuột trên rule vừa tạo  Properties Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 17 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B3: Chọn Schedule  Gio Lam Viec  OK  Apply Rule e – Kiểm tra: Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google 4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế a- Định nghĩa nhóm “Sếp” b- Tạo rule c- Kiểm tra a - Định nghĩa nhóm “Sếp”: Dùng chương trình “Active Directory User and Computer” tạo 2 user U3, U4 (password 123) Tạo Group “Sep” Đưa 2 user U3, U4 vào Group “Sep” Các bước còn lại làm tương tự phần 3a b - Tạo rule: Tạo Access rule theo các thông số sau: Rule Name: Sep Action: Allow Protocols: All Outbound Traffic Source: Internal Destination: External User: Sep Các thao tác làm tương tự như phần 1 Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 18 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com c – Kiểm tra: Logon U4, thử truy cập internet …. 5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao a - Định nghĩa giờ giải lao b - Tạo rule c - Kiểm tra a – Định nghĩa giờ giải lao: Làm tương tự 3c b - Tạo rule: Tạo Access rule theo các thông số sau: Rule Name: Giai Lao Action: Allow Protocols: All Outbound Traffic Source: Internal Destination: External User: All Users Các thao tác làm tương tự như phần 1 Sau khi tạo rule xong, chọn properties của rule vừa tạo  Schedule  Giai Lao c – Kiểm tra: Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 19 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com 6 - Chỉ cho xem “chữ” không cho xem “hình”: Chọn Properties của Rule vừa tạo  Content Types  Selected Content Types: - Documents - HTML Documents - Text 7 - Cấm xem trang www.tuoitre.com.vn: a - Định nghĩa các trang web muốn cấm b - Tạo Rule c - Kiểm tra a - Định nghĩa các trang web muốn cấm: Tạo URL Set tương tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL Set khai báo: http://*.tuoitre.com.vn http://tuoitre.com.vn b – Tạo rule: Tạo Access rule theo các thông số sau: Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 20 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Rule Name: Web bi cam Action: Deny Protocols: All Outbound Traffic Source: Internal Destination: URL Set  Nhung Trang Web Bi Cam User: All Users Các thao tác làm tương tự như phần 1 Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1 c – kiểm tra: Logon U3 (sep), mở thử trang tuoitre.com.vn 8 - Khảo sát system policy: B1: Firewall Policy  Task  Show System Policy Rules B2: Mở Policy thứ 2 Tìm hiểu các thông số Giải thích tại sao có thể dùng chương trình ISA Management trên máy DC để đều khiển ISA? 9 - Giới thiệu các Policy Template: Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 21 [...]...Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B1: Xóa hết các rule đã tạo B2: ISA Management  Configuration  Template  Edge Firewall B3: Khai báo phạm vi địa chỉ cho internal network 172.16.X.0 – 172.16.X.200 B4: Chọn Allow Limmitted Web Access Phiên Bản Thử Nghiệm... Nghiệm - Lưu Hành Nội Bộ 22 Trung Tâm Nghiên Cứu Phát Triển Đào Tạo CNTT Nhất Nghệ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu, Q3, TP HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com B5: Mở rule Web Access Only Khảo sát các thông số Phiên Bản Thử Nghiệm - Lưu Hành Nội Bộ 23 . www.nhatnghe.com ACCESS RULE I. Giới thiệu: Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule) . Muốn hệ thống hoạt động ta phải tạo các rule tương ứng chính sau: 1. Tạo rule cho phép traffic DNS Query để phân giải tên miền 2. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) 3. Tạo rule cho phép các