Hướng dẫn-ShareInternet ISA2004-phần 7-Application Filter

Kiểm tra sign in thành công, vì YahooMesseger đã thông qua Http để trao đổi dữ liệu với YahooMessenger Server Sign out , để chuẩn bị thực hiện các bước cấm bằng http filter Thực hiện ht

Application Filter

I Giới thiệu:

Kiểm soát nội dung các luồng dữ liệu - can thiệp sâu bên trong lớp ứng dụng (layer 7 của OSI Model)

Bài Lab gồm những nội dung chính sau:

1 HTTP Filtering

2 SMTP Filtering

* Trong bài này, YahooMessenger là 1 ví dụ điển hình để minh họa Http Filter

II Thực hiện

A Http Filtering:

1.Máy DC thử truy cập ứng dụng YahooMessenger để chat thử, trước khi tiến hành cấm bằng công cụ Application Filter với chức năng Signature:

- Kiểm tra tất cả AccessRule, sao cho chỉ cho phép truy cập HTTP,HTTPS và DNS

- Tắt tính năng Proxy đối với Internal (Configuration-Network-Internal)

 nếu để Yahoo Messenger theo mặc định, hoặc chỉnh Use proxies thì không thể sign in, nhưng nếu chỉnh sang Firewall with no Proxies thì vẫn sign in thành công.

B1: Mở YahooMessenger  vào

menu Messenger  Chọn

Connection Preferences  chọn

option Firewall with no Proxies

Kiểm tra sign in thành công, vì

YahooMesseger đã thông qua Http

để trao đổi dữ liệu với

YahooMessenger Server

Sign out , để chuẩn bị thực hiện các

bước cấm bằng http filter

Thực hiện http filtering :

B2: Chuột phải trên rule Access

Internet (HTTP/HTTPS)  Chọn

Configure HTTP

B3: Trong cửa sổ Configure HTTP

…  Vào tab Signature

B4: Trong cửa sổ Signature  Điền

thông tin như hình bên  OK

B5: Chọn Deny Yahoo Messenger

 Apply  OK

B6: Apply  OK, Apply để hoàn tất

Mở Yahoo Messenger  Sign in lại

thử  Kiểm tra không thể sigin

2 – Chức năng Method trong Http filter:

* Trước khi lọc phương thức Post bằng ISA, kiểm tra vẫn được phép gửi mail thông qua Web mail (Yahoo, Gmail, Hotmail …)

B1: Phải chuột trên rule Allow Access

(HTTP/HTTPS)  Chọn Configure HTTP

B3: Vào tab Method  Chọn Block

specified methods (allow all others)

B4: Chọn Add  Trong ô Method gõ vào

chữ POST (như hình bên)  OK  OK

B5: Trong giao diện quản lý ISA chọn Apply

 OK

Kiễm tra: Sign in nào Yahoo Mail! vẫn

nhận mail được bình thường

B6: Soạn và gửi di 1 e-mail mới  Kiểm tra không gửi được, vì hầu hết quá trình gửi mail đều phải dùng phương thức POST để truyền nội dung.

3 Cấm download file:

B1: Phải chuột trên rule Allow

Access (HTTP/HTTPS)  Chọn

Configure HTTP

B2: Vào tab Extension  Chọn

Block specified extensions (allow

all others)

B3: Chọn Add  Trong ô Extension

gõ vào exe  OK  Apply  OK

B4: Trong giao diện quản lý ISA

chọn Apply  OK

B4: Cho máy DC thử download 1

file exe bất kỳ từ trang web nao đó

Vd: http://www.bkav.com.vn

Kiểm tra: Không thể download.

B-SMTP Filtering:

* Chuẩn bị: Tạo 1 rule Publish Mail server SMTP & POP (Tương tự bài Server Publishing)

a - Cài đặt và Cấu hình SMTP và POP3 trên DC

B1: Mở giao diện IIS, chuột phải

trên Default SMTP Virtual Server

 Properties

B2: Tại tab General  Trong ô IP

Address chọn lại cụ thể là địa chỉ

của máy DC: 172.16.x.2

B3: Restart dịch vụ SMTP

b - Cài đặt và cấu hình SMTP trên máy ISA

B1: Mở Control Panel  Chọn

Add/Remove Program  Vào

Windows Component  Vào Detail

của Application Server  Đánh

dấu chọn SMTP Service  OK

Next

Sau khi cài xong chọn Finish

B2: Mở giao diện IIS chuột phải

trên Default SMTP Virtual Server

 Properties  Tại tab General

 Trong ô IP Address chọn lại cụ

thể là địa chỉ card cross của máy

ISA: 172.16.x.1  OK

B3: Trong Default SMTP Virtual

Server  Chuột phải trên Domain

 Chọn New  Domain

B4: Trong mục Specify the

domain Type  Chọn Remote 

Next

B5: Trong ô Name  Gõ vào tên

domain của nhóm: nhom#.com 

Finish

B6: Chuột phải trên tên domain

vừa tạo, chọn Properties

B7: Trong cửa sổ Properties 

Đánh dấu chọn vào ô Allow

incomming…

 Chọn ô Forward all mail to

smart host (DC) và nhập vào địa

chỉ IP của máy mail server (hiện là

máy DC)

Lưu ý: Địa chỉ của smart host phải

nằm trong dấu ngoặc vuông.

B8: Stop và Start Default SMTP

Virtual Server

c - Cài đặt messesage screener cho ISA Server, theo các bước sau:

B1: Chạy setup chương trinh ISA Server 2004

tương tự như bài Cài đặt ISA

B2: Trong cửa sổ Program Maintenance 

Chọn Modify  Next

B3: Trong cửa sổ Custom Setup  Chọn cài

đặt chức năng Message Screener như hình

bên  Next

Sau khi hoàn tất quá trình cài đặt  Chọn

Finish

d - Chỉnh sửa lại rule MailPublishing :

B1: Chuột phải trên rule Public Mail SMTP

server  Chọn Properties

B2: Vào tab To  chỉnh sửa địa chỉ hiện tại là

địa chỉ của máy Mail Server thành địa chỉ của

máy ISA Server (172.16.x.1)  Apply  OK

B3: Trong giao diện quản lý ISA chọn Apply 

OK

e- Cấu hình SMTP Filter:

B1: Trong giao diện quản lý ISA  Vào mục

Configuration  Add-ins  Phải chuột trên

mục SMTP Filter chọn Properties

B2: Trong cửa sổ SMTP Filter Properties 

Vàotab Keywords  Chọn Add

B3: Trong ô Keywords nhập vào chữ test, 

Chọn Message subject or body  Trong ô

Actions chọn Forward message to  Trong ô

E-mail address nhập vào địa chỉ mail của

Administrator (tham khao hình bên)  OK

B4: Trong giao diện quản lý ISA chọn Apply 

OK

f - Kiểm tra: Dùng 1 máy bên ngoài card LAN giả lập là máy ngoài Internet gửi mail vào cho trong

cho u1

B1: Gủi mail cho u1 không có nội dung và

subject là “test”

B2: Gủi mail cho u1 với subject có chữ “test”

B3: Gủi mail cho u1 với nội dung có chữ

“test”

g - Kiểm tra mail của u1 chỉ thấy u1 nhận đựơc mail đầu tiên 2 mail còn lai thì đã bị chuyển cho Administrator

B1: Mở Outlook Express của u1

B2: U1 chỉ nhận được mail đầu tiên.

B3 : Mở Outlook Express của Administrator

B4: Kiểm tra Administrator nhận đươc 2 mail

mà u2 gửi u1 có nội dung va subject là “test”