triển khai cấu hình ISA Server Firewall 2004 phần 6

Chia sẻ: Nguyễn Hà Mỹ Ngọc | Ngày: | Loại File: PDF | Số trang:24

Thêm vào BST

Báo xấu

82
lượt xem 14
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Rule Element Thứ tự ưu tiên Order (priority) Name Quyết định- Action Protocols From/Listener To Condition Value Thứ 3 (sau tất cả các rules đã được tạo) Limited Access Web Users Allow HTTP and HTTPS. Internal Microsoft (Domain Name Set) Limited Web Users

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: triển khai cấu hình ISA Server Firewall 2004 phần 6

Rule Element Value Thứ tự ưu tiên - Thứ 3 (sau tất cả các Order (priority) rules đã được tạo) Name Limited Access Web Users Quyết định- Action Allow Protocols HTTP and HTTPS. From/Listener Internal To Microsoft (Domain Name Set) Limited Web Users Condition (Group). Tiến hành các bươc sau để tạo ra Access Rule giới hạn User: 1.Tại ISA Server 2004 firewall computer, mở Microsoft Internet Security and Acceleration Server 2004 management console và mở rộng server name nằm ở khung trái.. Click vào Firewall Policy node. Trong Task pane, click Tasks tab. Click Create New Access Rule. Trang 122 Triển khai ISA Server Firewall 2004
2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule trong Access Rule name text box. Trong vd này chúng ta sẽ gọi tên rule là Limited Users Web Access. Click Next. 3. Trên Rule Action page, chọn Allow và click Next. 4. Trên Protocols page, chọn Selected protocols từ danh sách This rule applies to. Click Add. 5. Trong Add Protocols dialog box, double click trên HTTP và HTTPS protocols. Click Close. Trang 123 Triển khai ISA Server Firewall 2004
6. Click Next trên Protocols page. Trang 124 Triển khai ISA Server Firewall 2004
7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialog box, click vào Networks folder. Double click trên Internal network, và click Close. Trang 125 Triển khai ISA Server Firewall 2004
8. Click Next trên Access Rule Sources page. 9. trên Access Rule Destinations page, click Add. On the Add Network Entities dialog box, click menu New và click Domain Name Set. Trang 126 Triển khai ISA Server Firewall 2004
10. Trong New Domain Name Set Policy Element dialog box, click New. Điền vào domain name đầu tiên: *.microsoft.com nhấn ENTER. Điền vào tiếp 3 domains *.msn.com, *.hotmail.com và *.windows.com. Trong Name text box, điền Microsoft và click OK. Trang 127 Triển khai ISA Server Firewall 2004
11. trong Add Network Entities dialog box, click vào Domain Name Sets folder và sau đó double click trên Microsoft entry. Click Close. Trang 128 Triển khai ISA Server Firewall 2004
12. Trên User Sets page, chọn All Users từ This rule applies to request from the following user sets list, và click Remove. Click Add. 13. Trong Add Users dialog box, click menu New. 14. Trên Welcome to the New User Sets Wizard page, điền tên cho User Set trong User set name text box. Trong vd này chúng ta sẽ đặt tên User Set là Limited Web Users. Click Next. 15. trên Users page, click Add. Chọn Windows users and groups option. 16. Trong Select Users or Groups dialog box, click Locations button. 17. Trong Locations dialog box, mở rộng Entire Directory entry và click vào domain name. trong vd này, domain name là msfirewall.org. Click OK. Trang 129 Triển khai ISA Server Firewall 2004
18. Trong Select Users or Groups dialog box, điền vào User2 trong Enter the object names to select text box và click Check Names. Khi Active Directory tìm thấy user name, nó sẽ gạch dưới. Click OK. 19. Click Next vào Users page. 20. Click Finish trên Completing the New User Set Wizard page. 21. Double click Limited Web Users entry trong Add Users dialog box và click Close. 22. Limited Web Users entry giờ đây xuất hiện trong This rule applies to requests from the following user sets list. Click Next. 23. Click Finish trên Completing the New Access Rule Wizard page. Trang 130 Triển khai ISA Server Firewall 2004
Tạo một Access Rule cho phép các Administrators Được truy cập ưu tiên hơn Các administrators yêu cầu mức độ truy cập Internet so với các User khác trên Mạng. Tuy nhiên, ngay cả với các network administrators cũng nên hạn chế dùng các protocols dễ bị lợi dụng để attackers tấn công mạng. Một trong số các protocols này là Internet Relay Chat –IRC protocol, giao thức dùng để chat, thường là phương tiện dễ bị các viruses và các software nguy hiểm khác lây nhiễm vào hệ thống. Chúng ta sẽ tạo ra một rule cho phép các Admin thuộc Domain Administrators group có thể dúng tất cả protocol ngoại trừ IRC protocol quá nguy hiểm. Access Rule được mô tả theo bảng dưới: Rule Element Value Thứ tự -Order Thứ 2 (sau tất cả các (priority) rule đã tạo) Name Administrator Internet Access Action Allow Protocols Tất cả Protocols trừ IRC From/Listener Internal To External Condition Administrators (group) Tiến hành các bước sau để tạo Access Policy dành cho các administrators: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, right click trên Firewall Policy node trong khung trái của console, chọn New và click Access Rule. 2. Trên Welcome to the New Access Rule Wizard page, điền tên rule vào Access rule name text box. Trong vd này chúng ta sẽ gọi rule là Administrator Internet Access. Click Next. 3. Trên Rule Action page, chọn Allow và click Next. 4. Trên Protocols page, chọn All outbound protocols except selected option từ danh sách This rule applies to, sau đó click Add. Trang 131 Triển khai ISA Server Firewall 2004
5. Trong Add Protocols dialog box, click vào Instant Messaging folder. Double click vào IRC protocol. Click Close. Trang 132 Triển khai ISA Server Firewall 2004
6. Click Next trên Protocols page. 7. Trên Access Rule Sources page, click Add. Trong Add Network Entities dialog box, click vào Networks folder. Double click vào Internal entry và click Close. 8. Trên Access Rule Sources page, click Next. 9. Trên Access Rule Destinations page, click Add. Click Networks folder sau đó double click trên External entry. Click Close. 10. Trên User Sets page, click All Users và Remove. Click Add. 11. trong Add Users dialog box, click menu New. 12. Trên Welcome to the New User Sets Wizard page, điền một tên cho User Set trong User set name text box. Trong vd này, chúng ta sẽ đặt tên User Set Administrators. Click Next. 13. trên Users page, click Add. Chọn Windows users and groups. 14. trong Select Users or Groups dialog box, click Locations button. Trang 133 Triển khai ISA Server Firewall 2004
15. Trong Locations dialog box, mở rộng Entire Directory entry và click vào domain name. trong vd này domain name là msfirewall.org. Click OK. 16. Trong Select Users or Groups dialog box, điền vào Domain Admins trong Enter the object names to select text box và click Check Names. Khi Active Directory tìm ra user name, tên sẽ được gạch dưới. Click OK. 17. Click Next trên Users page. 18. Click Finish trên Completing the New User Set Wizard page. 19. Trong Add Users dialog box, double click trên Administrators entry, và click Close. Trang 134 Triển khai ISA Server Firewall 2004
20. Click Next trên User Sets page. 21. Click Finish trên Completing the New Access Rule Wizard page. Tạo một DNS Server Access Rule cho phép Internal DNS Servers truy cập các Internet DNS Servers Trong kịch bản này, chúng ta sử dụng các DNS server trên Internet để giải quyết các Internet host names. DNS server trong Mạng phải có khả năng giải quyết Internet host names bằng cách tiếp xúc với các DNS servers khác nằm trên Internet. Hầu hết các máy chạy các dịch vụ Mạng quan trọng thông thường User không phải logon, do vậy khi chúng ta tạo ra một Access Rule mà không cần căn cứ vào tài khoản logon trên server đó. Thay vào đó chúng ta sẽ tạo ra Computer Set chứa một danh sách tất cả DNS servers trên Mạng. Một Computer Set là một tập hợp computer names và các addresses tương ứng của các computer đó. Điều này tạo sự sễ dàng cho Access Rules điều khiển việc truy cập của các máy thuộc group các computer đó. Chúng ta nên tạo Computer Groups cho tất cả những network servers quan trọng, như vậy khi áp dụng access rules điều khiển việc truy cập của các server này ra bên ngoài, chúng ta sẽ khong cần phải căn cứ trên User account (ai đã logon vào Các computer đó) Rule Element Value Order (priority) Thứ 1 (sau tất cả các rule đã tạo) Name DNS Servers Action Allow Protocols DNS From/Listener DNS Servers To External Condition All Users Tiến hành các bước sau để tạo một Access Rule cho phép các internal network DNS server truy cập đến các DNS servers trên Internet: 1. Trong Microsoft Internet Security and Acceleration Server 2004 management console, right click vào Firewall Policy node trong khung trái của console. Chọn New và click Access Rule. 2. Trên Welcome to the New Access Rule Wizard page, điền tên của rule vào Access rule name text box. Trong vd này chúng ta gọi tên rule là DNS Servers. Click Next. 3. Trên Rule Action page, chọn Allow và click Next. 4. Trên Protocols page, chọn Selected protocols từ danh sách This rule applies to, và click Add. 5. Trong Add Protocols dialog box, click trên Infrastructure folder. Double click trên DNS protocol. Click Close. Trang 135 Triển khai ISA Server Firewall 2004
6. Click Next trên Protocols page. 7. trên Access Rule Sources page, click Add. trong Add Network Entities dialog box, click menu New, sau đó click Computer Set. 8. Trong New Computer Set Rule Element dialog box, click Add. Click Computer option. Trang 136 Triển khai ISA Server Firewall 2004
9. Trong New Computer Rule Element dialog box, điền tên DNS server trong Name text box. Trong vd này chúng ta sẽ đặt tên DNS server đầu tiên là DNS1. Điền vào IP address của DNS server trong Computer IP Address text box. Click OK . Trang 137 Triển khai ISA Server Firewall 2004
10. Click OK trong New Computer Set Rule Element dialog box. 11. Trong Add Network Entities dialog box, click trên Computer Sets folder. Double click vào DNS Servers entry. Click Close. Trang 138 Triển khai ISA Server Firewall 2004
12. Click Next trên Access Rule Sources page. 13. trên Access Rule Destinations page, click Add. Click Networks folder và double click vào External entry. Click Close. 14. Click Next trên Access Rule Destinations page. 15. Trên User Sets page, chấp nhận entry mặc định là All Users, click Next. 16. Click Finish trên Completing the New Access Rule Wizard page. Dùng HTTP Policy để ngăn chặn truy cập đến các Web Sites đáng ngờ Bạn có thể ngăn chặn việc truy cập đến các Web sites đáng ngờ dựa trên một số thông tin trên giao tiếp HTTP, thông qua ISA Server 2004 HTTP policy có thể giúp bạn đạt được mục đích này.. Ví dụ chúng ta muốn ngăn chặn việc truy cập đến các Web sites chứa các ứng dụng chia sẽ file ngang hàng phổ biến như: Kaaza, Edonkey... Các chương trình chia sẽ file này có thể gây nhiều rủi ro bảo mật cho Netowrk bởi vì các File được download qua các ứng dụng chia sẽ này có thể chứa viruses, worms và các tài liệu vi phạm bản quyền. Theohướng dẫn sau, chúng ta sẽ tạo HTTP policy dành cho Administrator Internet Access và một policy khác là Limited Access Web Users cho user để ngăn chặn Trang 139 Triển khai ISA Server Firewall 2004
các truy cập Web tới các Sites nguy hiểm trên. Dấu hiệu nhận biết, để cấu hình chính sách block là các chuỗi ký tự như “Kaaza”. Trong khi ví dụ này chỉ dùng các cụm từ mô tả “thô” về các site cần ngăn chặn, điều đó cũng cho thấy sức mạnh của ISA Server 2004 trong việc phát hiện và ngăn chặn hiệu quả, thể hiện trong HTTP policy này Tiên hành các bước sau nhằm ngăn chặn User truy cập đấn các sites của Kaaza: 1. trong Microsoft Internet Security and Acceleration Server 2004 management console, click trên Firewall Policy node. 2. Right click trên Administrator Internet Access rule và click Configure HTTP. 3. trong Configure HTTP policy for rule dialog box, click Signatures tab. 4. trên Signatures tab, click trên Add button. 5. trong Signature dialog box, điền tên “dấu hiệu” trên Name text box. Trong ví dụ này chúng ta sẽ đưa dấu hiệu nhận biết vào là Kaaza URL. Chọn Request URL entry trong danh sách Search in . Điền vào chuỗi kí tự kaaza trong Signature text box. Click OK. Trang 140 Triển khai ISA Server Firewall 2004
6. Click Apply và OK trong Configure HTTP policy for rule dialog box. Trang 141 Triển khai ISA Server Firewall 2004