1
TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
——————————–
BÁO CÁO THỰC TẬP TUẦN 2-3
ĐỀ TÀI:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
ISA 2006
Giáo viên hướng dẫn: Võ Đỗ Thắng
Sinh viên thực tập: Lê Kim Ngân
Tuần 2-3: 26/01/2015 – 06/02/2015
Thành phố Hồ Chí Minh – Năm 2015
2
MỤC LỤC
Contents
ACCESS RULE …………………………………………………………………………………………………………….3
1.
TẠO RULE TRUY VẤN DNS ĐỂ PHÂN GIẢI TÊN MIỀN Ở BÊN NGOÀI………………..5
2.
CÔNG TY CHO PHÉP CÁC NHÂN VIÊN THUỘC NHÓM MAKETING TRUY CẬP
WEB KHÔNG HẠN CHẾ. ………………………………………………………………………………………..
10
3.
CÔNG TY ĐƯA RA YÊU CẦU CHO PHÉP CÁC NHÂN VIÊN THUỘC CÁC PHÒNG
BAN: SALE TRAINING ĐƯỢC PHÉP TRUY CẬP WEB KHÔNG GIỚI HẠN. ………………
17
4.
KHI CÁC NHÂN VIÊN CỦA CÔNG TY SỬ DỤNG MÁY TÍNH CÓ TÊN DC THÌ SẼ
KHÔNG ĐƯỢC TRUY CẬP INTERNET. TA THIẾT LẬP RULE NÀY NHƯ SAU: ………..
22
5.
QUẢN LÝ TRUY CÂP INTERNET THEO GIỜ LÀM VIỆC, ĐƯỢC QUY ĐỊNH: 8H-12H
SÁNG VÀ 14H-18H CHIỀU. ……………………………………………………………………………………..
26
6.
TRONG GIẢI LAO CÁC NHÂN VIÊN ĐƯỢC TRUY CẬP MỌI TRANG WEB NGOẠI
TRỪ TRANG HTTP://24.COM.VN. TA THIẾT LẬP NHƯ SAU: …………………………………
32
7.
CHÍNH SÁCH CÔNG TY YÊU CẦU CÁC NHÂN VIÊN KHÔNG ĐƯỢC TRUY CẬP
WEB: HTTP://BONGDASO.COM TRONG THỜI GIAN LÀM VIỆC VÀ THỜI GIAN NGHỈ.
NẾU VẪN CỐ TÌNH TRUY CẬP SẼ HIỆN THÔNG BÁO CỦA MÁY SERVER. …………….
39
8.
EXPORT RULE: ……………………………………………………………………………………………….
43
9.
IMPORT RULE: ……………………………………………………………………………………………….
46
3
ACCESS RULE
Sau khi cài đặt ISA cho mô hình chúng ta thấy ISA đã phân tách hệ thống thành 3 vùng
chính: Internet, Local Host (nơi đặt ISA server), External. Mặc định, hệ thống sẽ bị tác
động với Default Rule.
Trong phần này, chúng ta cần nắm những khái niệm sau:
Network Defintion: khoảng địa chỉ IP kết nối tới ISA Server, khoảng IP này được định
nghĩa bằng 1 Network Name. ISA sẽ quản lý khoảng IP này thông qua Network Name
này.
Để định nghĩa Network Name, trên ISA Server Management ta chọn mục
Confirugation, chọn tiếp mục Network.
Network Rule: quy định các mối liên hệ giữa các Network, các mối liên hệ này được
ISA Server kết nối với nhau. Khi hệ thống của bạn có nhiều Network, ISA sẽ quy định
4
mối quan hệ của các Network thông qua 2 cơ chế: Route và NAT. Ta sẽ đề cập tiếp vấn
đề này ở phần sau.
Access Rule: Quy định những traffic nào sẽ được đi ISA Server. Đây là thành phần quan
trọng của ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huống
được nêu ra ở các mục bên dưới.
5
Default Rule đã cấm mọi traffic ra vào thông qua ISA Server. Như vậy để các máy trong
Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server phân giải các
domain name này. Ở đây ta sẽ sử dụng DNS Server của ISP.
1. Tạo rule truy vấn DNS để phân giải tên miền ở bên ngoài.
Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall
policy, chọn New chọn Accsess Rule
Hộp thoại Access Rule Names, đặt tên Rule là: DNS
6
Hộp thoại Rule Active, chọn Allow
Hộp thoại Protocols, chọn Selected protocols và nhấn Add
Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS nhấn
Add nhấn Next
7
Hộp thoại Access Rule Sources, Add:Internal và Local Host. Thực tế thì ta
không nên chọn Local Host
8
Hộp thoại Access Rule Destinaton, Add: External, nhấn Next
Hộp thoại User Sets, chọn All Users, nhấn Next
Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về
Rule lần cuối, sau đó nhấn Finish. Nhấn chọn Apply, Ok.
9
Bạn chọn Apply
Kiểm tra lại kết quả: trên máy DC
10
Kiểm tra lại kết quả: trên máy ISA
Tuy nhiên lúc này ta chỉ mới cho phép các traffic từ Internal được truy vấn DNS
ra bên ngoài thông qua port 53. Do đó, ta cần tạo thêm Rule thông qua các tình
huống sau.
2. Công ty cho phép các nhân viên thuộc nhóm maketing truy cập web không
hạn chế.
Group Maketing đã được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉ
việc định nghĩa các đối tượng này trên máy ISA. Để quản lý được các Domain
user ta phải join máy ISA vào domain …..
Trong cửa sổ ISA Server Management tại cửa sổ thứ 3, chọn tab Toolbox, bung
mục User, chọn New, hộp thoại User sets name đặt tên là Maketing rồi nhấn
Next
11
Hộp thoại Users, nhấn Add chọn Windows users and groups….
Add group maketing vào hộp thoại Users
12
Trong hộp thoại Completing chọn Finish. Nhấn Apply
Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên. Chuột phải Firewall Policy,
chọn New chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: allow maketing full access
13
Hộp thoại Rule Action chọn Allow
Hộp thoại Protocols chọn All outbound traffic
14
Hộp thoại Access Rule Sources, add Internal, chọn Next
Hộp thoại Access Rule Destinaton, add External, chọn Next.
15
Hộp thoại User Sets, remove group All Users và add group Maketing vào chọn
Next
Hộp thoại Completing the New Access Rule Wizard chọn Finish
16
Nhấn chọn Apply, chọn OK
Kiểm tra kết quả
Logon user …..\ ma1
Mở Command Prompt gõ lệnh nslookup. Phân giải các tên miền ở External
17
Truy cập trang http://athena.edu.vn
3. Công ty đưa ra yêu cầu cho phép các nhân viên thuộc các phòng ban: Sale
Training được phép truy cập Web không giới hạn.
Ở tình huống 1, yêu cầu đặt ra là cho phép được Internet không hạn chế. Tuy
nhiên, ở tình huống 2 này, ta chỉ cho phép truy cập dịch vụ Web. Như vậy, ta chỉ
cho phép các Protocol: HTTP, HTTPS là đủ.
Trong cửa sổ ISA Server Management, chọn Firewall Policy, chọn New chọn
Access Rule
18
Hộp thoại Access Rule Names, đặt tên Rule là: allow user access web
Hộp thoại Rule Active, chọn Allow
19
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add.
Trong hộp thoại Add Protocols, bung mục Common Protocols chọn HTTP và
HTTPS, nhấn Add. Nhấn Next.
Hộp thoại Access Rule Sources, add Internal, chọn next
20
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users và add group Sale và Training vào,
chọn Next
21
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Kiểm tra kết quả
Logon user …….
22
4. Khi các nhân viên của công ty sử dụng máy tính có tên DC thì sẽ không được
truy cập Internet. Ta thiết lập Rule này như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy chọn New, chọn
Access Rule. Hộp thoại Access Rule Names, đặt tên Rule là: Deny PC DC.
Chọn Deny
23
Hộp thoại Protocols, chọn All outbound traffic
Hộp thoại Access Rule Sources nhấn Add chọn Computer Set chọn máy DC,
chọn Next.
24
Hộp thoại Access Rule Destinaton, add External, chọn Next
Hộp thoại User Sets, remove group All Users, và add các group Sale, Training
maketing, manager vào, chọn Next.
25
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Tại máy DC kiểm tra :