TẠO RULE TRUY VẤN DNS ĐỂ PHÂN GIẢI TÊN MIỀN Ở BÊN NGOÀI
Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall policy, chọn New chọn Accsess Rule
Hộp thoại Access Rule Names, đặt tên Rule là: DNS
Hộp thoại Rule Active, chọn Allow
Hộp thoại Protocols, chọn Selected protocols và nhấn Add
Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS nhấn Add nhấn Next
Hộp thoại Access Rule Sources, Add:Internal và Local Host Thực tế thì ta không nên chọn Local Host
Hộp thoại Access Rule Destinaton, Add: External, nhấn Next
Hộp thoại User Sets, chọn All Users, nhấn Next
Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về Rule lần cuối, sau đó nhấn Finish Nhấn chọn Apply, Ok
Kiểm tra lại kết quả: trên máy DC
Kiểm tra lại kết quả: trên máy ISA
Hiện tại, chỉ có traffic từ Internal được phép truy vấn DNS ra bên ngoài qua port 53 Do đó, cần tạo thêm quy tắc (Rule) dựa trên các tình huống cụ thể.
CÔNG TY CHO PHÉP CÁC NHÂN VIÊN THUỘC NHÓM MAKETING TRUY CẬP
Để quản lý người dùng trong miền, trước tiên cần định nghĩa các đối tượng đã được tạo trên máy DC trên máy ISA Tiếp theo, máy ISA cần tham gia vào miền để thực hiện việc này hiệu quả.
In the ISA Server Management window, navigate to the Toolbox tab in the third window, expand the User section, select New, and in the User sets name dialog, enter "Marketing" before clicking Next.
Hộp thoại Users, nhấn Add chọn Windows users and groups
Add group maketing vào hộp thoại Users
Trong hộp thoại Completing chọn Finish Nhấn Apply
Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên Chuột phải Firewall Policy, chọn New chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: allow maketing full access
Hộp thoại Rule Action chọn Allow
Hộp thoại Protocols chọn All outbound traffic
Hộp thoại Access Rule Sources, add Internal, chọn Next
Hộp thoại Access Rule Destinaton, add External, chọn Next
Hộp thoại User Sets, remove group All Users và add group Maketing vào chọn Next
Hộp thoại Completing the New Access Rule Wizard chọn Finish
Nhấn chọn Apply, chọn OK
Mở Command Prompt gõ lệnh nslookup Phân giải các tên miền ở External
Truy cập trang http://athena.edu.vn
CÔNG TY ĐƯA RA YÊU CẦU CHO PHÉP CÁC NHÂN VIÊN THUỘC CÁC PHÒNG BAN: SALE TRAINING ĐƯỢC PHÉP TRUY CẬP WEB KHÔNG GIỚI HẠN
Trong tình huống 1, yêu cầu là cho phép truy cập Internet không hạn chế, trong khi ở tình huống 2, chỉ cho phép truy cập dịch vụ Web Điều này có nghĩa là chỉ cần cho phép các giao thức HTTP và HTTPS.
Trong cửa sổ ISA Server Management, chọn Firewall Policy, chọn New chọn
Hộp thoại Access Rule Names, đặt tên Rule là: allow user access web
Hộp thoại Rule Active, chọn Allow
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add
Trong hộp thoại Add Protocols, bung mục Common Protocols chọn HTTP và
HTTPS, nhấn Add Nhấn Next
Hộp thoại Access Rule Sources, add Internal, chọn next
Hộp thoại Access Rule Destinaton, add External , chọn Next
Hộp thoại User Sets, remove group All Users và add group Sale và Training vào, chọn Next
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
KHI CÁC NHÂN VIÊN CỦA CÔNG TY SỬ DỤNG MÁY TÍNH CÓ TÊN DC THÌ SẼ KHÔNG ĐƯỢC TRUY CẬP INTERNET TA THIẾT LẬP RULE NÀY NHƯ SAU
Trong cửa sổ ISA Server Management chọn Firewall Policy chọn New, chọn Access Rule Hộp thoại Access Rule Names, đặt tên Rule là: Deny PC DC
Hộp thoại Protocols, chọn All outbound traffic
Hộp thoại Access Rule Sources nhấn Add chọn Computer Set chọn máy DC, chọn Next
Hộp thoại Access Rule Destinaton, add External, chọn Next
Hộp thoại User Sets, remove group All Users, và add các group Sale, Training maketing, manager vào, chọn Next
Hộp thoại Completing the New Access Rule Wizard, chọn Finish
Tại máy DC kiểm tra :
QUẢN LÝ TRUY CÂP INTERNET THEO GIỜ LÀM VIỆC, ĐƯỢC QUY ĐỊNH: 8H-12H SÁNG VÀ 14H-18H CHIỀU
Ta sẽ định nghĩa các Web được phép truy cập như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại tab Toolbox bung mục Network Object nhấn New chọn URL Set
Trong hộp thoại New URL Set Ô Name nhập tên: Allow Web, nhập các trang web mà cho phép
Tương tự như vậy, ta định nghĩa luôn các trang Web không cho phép với tên là restrict web
Tiếp theo ta sẽ định nghĩa khoảng giờ làm việc của công ty như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy qua cửa sổ thứ 3 tại tab Toolbox bung mục Schedules chọn New
Cuối cùng, ta sẽ định nghĩa rule cho tình huống này
Chuột phải Firewall Policy chọn New chọn Access Rule Hộp thoại Access Rule Names đặt tên rule là: allow users on work time
Hộp thoại Rule Action, chọn Allow
Hộp thoại Protocols chọn Selected Protocols và nhấn Add Trong hộp thoại Add
Protocols bung mục Comon Protocols chọn HTTP và HTTPS, nhấn Add Nhấn Next
Hộp thoại Access Rule Sources add Internal
Hộp thoại Access Rule Destinaton nhấn Add Bung URL Sets chọn allow web
Hộp thoại User Sets chọn All Users, nhấn Next
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish, chuột phải lên rule allow users on work time, chọn Properties
Qua Tab Schedule trong khung Schedule chọn là work time, Nhấn OK
TRONG GIẢI LAO CÁC NHÂN VIÊN ĐƯỢC TRUY CẬP MỌI TRANG WEB NGOẠI TRỪ TRANG HTTP://24.COM.VN TA THIẾT LẬP NHƯ SAU
Trong cửa sổ ISA Server Management chuột phải chọn Firewall Policy chọn New chọn Access Rule Hộp thoại Access Name, đặt tên là: user on rest time
Hộp thoại Rule Action, chọn Allow
Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add
Protocols bung mục Common Protocols chọn HTTP và HTTPS nhấn Add
Hộp thoại Access Rule Sources add Internal, nhấn Next
Hộp thoại Access Rule Destinaton add External, nhấn Next
Hộp thoại User Sets chọn All Users Nhấn Next
Hộp thoại Completing the New Access Rule Wizard nhấn Finish
Chuột phải lên rule user on rest time chọn Properties
Qua Tab Schedule trong mục Schedule chọn Rest Time Qua tab To khung Exceptions nhấn Add Bung mục URL Sets chọn deny 24h.com.vn
Log on user kiểm tra
Truy cập các trang http://24h.com.vn và http://vnexpress.net :
CHÍNH SÁCH CÔNG TY YÊU CẦU CÁC NHÂN VIÊN KHÔNG ĐƯỢC TRUY CẬP WEB: HTTP://BONGDASO.COM TRONG THỜI GIAN LÀM VIỆC VÀ THỜI GIAN NGHỈ NẾU VẪN CỐ TÌNH TRUY CẬP SẼ HIỆN THÔNG BÁO CỦA MÁY SERVER
http://bongdaso.com trong thời gian làm việc và thời gian nghỉ Nếu vẫn cố tình truy cập sẽ hiện thông báo của máy server
Trong cửa sổ ISA server Management , chuột phải Firewall Policy , chọn New, chọn Access Rule Hộp thoại Access Rule Names, đặt tên: deny access web
Hộp thoại Rule Action, chọn Deny
Hộp thoại Protocols, chọn Selected Protocol, nhấn Add, Trong hộp thoại Add Protocols, bung mục Common Protocols chọn Http, Https, nhấn Add Nhấn Next
Hộp thoại Access Rule Sources, Add Internal, nhấn Next
Hộp thoại Access Rule Destination, Add Bung URL Sets, add restrict web, nhấn
Hộp thoại User Sets, chọn All Users
Hộp thoại Completing the New Access Rule Wizard, nhấn Finish
Right-click on the created rule and select Properties In the Action tab, check the box for "Redirect HTTP requests to this Web Page," and in the field below, enter the website URL: http://172.16.1.2 (the host containing the warning page).
EXPORT RULE
Trong cửa sổ ISA server Managerment, chuột phải Firewall Policy, chọn Export
Màn hình Welcome… Nhấn Next
Chọn Browse và chọn nơi lưu trữ Nhấn Next và Finish
IMPORT RULE
Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn Import
Giao diện Welcome nhấn Next
Giao diện Select the Import File, nhấn Browse và chọn file đã export từ trước Nhấn Next tiếp tục, nhập vào password
Kiểm tra và nhấn Finish.