Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 4.. Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế 5.. Tạo rule c
Trang 1ACCESS RULE
I Giới thiệu:
Mặc định ISA cấm tất cả mọi traffic ra/vào hệ thống (Default Rule) Muốn hệ thống hoạt động
ta phải tạo các rule tương ứng
Bài Lab gồm những thao tác chính sau:
1 Tạo rule cho phép traffic DNS Query để phân giải tên miền
2 Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
3 Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc
4 Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế
5 Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
6 Chỉ cho xem “chữ” không cho xem “hình”
7 Cấm xem trang www.tuoitre.com.vn
8 Khảo sát system policy
9 Giới thiệu các Policy Template
II Thực hiện
1 - Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1: ISA Management Firewall
Policy New Access Rule
B2: Gõ “DNS Query” vào ô Access
Rule Name Next
Trang 2B3: Action chọn “Allow” Next
B4: Trong “This Rule Apply to:” chọn
“Selected Protocols” Add
Common Protocol DNS OK
Next
B5: Trong “Access Rule Source”
Add Networks Internal add
Close Next
B6: Trong “Access Rule Destination”
add Networks External
close Next
B7: Trong “User Sets” chọn giá trị
mặc định “All Users” Next
Finish
Chọn nút “apply” (phía trước có
dấu chấm than)
Trang 3Thực hiện tại máy chẳn
B8: dùng lện NSLOOKUP để phân
giải thử một tên miền bất kỳ
2 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
B1: Tạo Access rule theo các thông số sau:
Rule Name: Allow Mail (SMTP + POP3)
Action: Allow
Protocols: POP3 + SMTP
Source: Internal
Destination: External
User: All User
Các thao tác làm tương tự như phần 1
B2: Kiểm tra - Thực hiện tại máy chẳn
Setup Outlook Express theo các thông số sau:
Display Name: Hoc Vien
Email Address: hocvien@nhatnghe.com
OutGoing Mail: mail.nhatnghe.com
InComming Mail: mail.nhatnghe.com
Account Name: hocvien@nhatnghe.com
Password: hocvien
Thử gởi/ nhận mail
3 - Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc
a – Định nghĩa nhóm “Nhan Vien”
b – Định nghĩa URL Set chứa trang vnexpress.net
c – Định nghĩa “giờ làm việc”
d – Tạo rule
e – Kiểm tra
a – Định nghĩa nhóm “Nhan Vien”:
B1: Dùng chương trình “Active
Directory User and Computer” tạo 2
user u1, u2 (password 123)
Tạo Group “Nhan Vien”
Đưa 2 user u1, u2 vào Group “Nhan
Trang 4B2: ISA Server Management
Firewall Policy Toolbox Users
New
B3: Nhập chuỗi “Nhan Vien ” vào ô
User set name Next
B4: Add Windows User and
Group
Trang 5B5: Chọn Group “Nhan Vien”
Next Finish
b – Định nghĩa URL Set chứa trang vnexpress.net
B1: ISA Server Management
Firewall Policy Toolbox
Network Objects New URL
Set
B2: Dòng name đặt tên “vnexpress”
Chọn New, khai 2 dòng
http://vnexpress.net
http://*.vnexpress.net
OK
c – Định nghĩa “giờ làm việc””
Trang 6B1: ISA Server Management
Firewall Policy Toolbox
Schedule New
Name: Gio Lam Viec
Chọn Active từ 8am -6 pm
OK
d – Tạo rule:
B1: Tạo Access rule theo các thông số sau:
Rule Name: Nhan Vien – Trong Gio
Action: Allow
Protocols: HTTP + HTTPS
Source: Internal
Destination: URL Set vnexpress
User: Nhan Vien
Các thao tác làm tương tự như phần 1
B2: click nút phải chuột trên
rule vừa tạo Properties
Trang 7B3: Chọn Schedule Gio
Lam Viec
OK
Apply Rule
e – Kiểm tra:
Logon U1, kiểm tra giờ của máy: 8am-6pm, mở thử vnexpress, mở thử google
Logon User khác (không phải U1, U2), mở thử vnexpress, mở thử google
4 - Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế
a- Định nghĩa nhóm “Sếp”
b- Tạo rule
c- Kiểm tra
a - Định nghĩa nhóm “Sếp”:
Dùng chương trình “Active Directory User and Computer” tạo 2 user U3, U4 (password 123)
Tạo Group “Sep”
Đưa 2 user U3, U4 vào Group “Sep”
Các bước còn lại làm tương tự phần 3a
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Sep
Action: Allow
Protocols: All Outbound Traffic
Source: Internal
Destination: External
User: Sep
Các thao tác làm tương tự như phần 1
Trang 8c – Kiểm tra:
Logon U4, thử truy cập internet …
5 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao
a - Định nghĩa giờ giải lao
b - Tạo rule
c - Kiểm tra
a – Định nghĩa giờ giải lao:
Làm tương tự 3c
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Giai Lao
Action: Allow
Protocols: All Outbound Traffic
Source: Internal
Destination: External
User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule xong, chọn properties của rule vừa tạo Schedule Giai Lao
c – Kiểm tra:
Logon U1, sửa lại giờ trên máy ISA để trùng với giờ giải lao, truy cập internet
Trang 96 - Chỉ cho xem “chữ” không cho xem “hình”:
Chọn Properties của Rule vừa tạo Content Types Selected Content Types:
- Documents
- HTML Documents
- Text
7 - Cấm xem trang www.tuoitre.com.vn :
a - Định nghĩa các trang web muốn cấm
b - Tạo Rule
c - Kiểm tra
a - Định nghĩa các trang web muốn cấm:
Tạo URL Set tương tự phần 3b, đặt tên là “Nhung Trang Web Bi Cam”, trong URL Set khai báo:
http://*.tuoitre.com.vn
http://tuoitre.com.vn
b – Tạo rule:
Tạo Access rule theo các thông số sau:
Trang 10Rule Name: Web bi cam
Action: Deny
Protocols: All Outbound Traffic
Source: Internal
Destination: URL Set Nhung Trang Web Bi Cam
User: All Users
Các thao tác làm tương tự như phần 1
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
c – kiểm tra:
Logon U3 (sep), mở thử trang tuoitre.com.vn
8 - Khảo sát system policy:
B1: Firewall Policy
Task Show System
Policy Rules
B2: Mở Policy thứ 2
Tìm hiểu các thông số
Giải thích tại sao có thể
dùng chương trình ISA
Management trên máy
DC để đều khiển ISA?
9 - Giới thiệu các Policy Template:
Trang 11B1: Xóa hết các rule đã tạo
B2: ISA Management
Configuration Template
Edge Firewall
B3: Khai báo phạm vi địa chỉ
cho internal network
172.16.X.0 – 172.16.X.200
B4: Chọn Allow Limmitted Web
Access
Trang 12B5: Mở rule Web Access Only
Khảo sát các thông số
