Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ

Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ (http://www.nhatnghe.com/forum/index.php)
-   Firewall (http://www.nhatnghe.com/forum/forumdisplay.php?f=9)
-   -   [Ask] Chứng thực User trong ISA 2006 (http://www.nhatnghe.com/forum/showthread.php?t=90115)

duytruongnguyen 07-10-2010 10:07

Chứng thực User trong ISA 2006
 
Mô hình mạng của mình như sau :
DC : 192.168.1.2/24
ISA Server :
- Internal NIC : 192.168.1.3/24
Default gateway: trống
DNS : 192.168.1.2

- External NIC : 192.168.3.10/24
Default gateway: 192.168.3.1
DNS : trống

Modem : 192.168.3.1
Có 15 clients
Các Client truy cập internet theo cơ chế SecureNAT
Như vậy trong ISA thì Internal Networks : 192.168.1.0 - 192.168.1.255
Mình cấu hình ISA Server các rule như sau:
1. Query DNS :
Action --> allow
Protocal --> DNS
From --> Internal, local host
To --> External
Codition --> All users
2. Allow access LAN:
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal, local host
To --> Internal, local host
Codition --> All users
3. Allow access internet :
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal, local host
To --> External
Condition --> All Users
Bây giờ có thay đổi chính sách cho việc truy cập internet như sau:
- Cấm tất cả các user truy cập trang www.facebook.com, ngoại trừ user U1 được truy cập
- Cấm user U10, U11 không được sử dụng Yahoo Messenger.
Mình tiến hành tạo các rule như sau:
- Mình xóa Rule 3 đi
- Mình tạo User Set U1 và Add U1 vào.
- Mình tạo User Set U10&U11 và Add U10,U11
- Mình tạo User Set USERDENYFACEBOOK và Add những user còn lại vào.
- Tạo URL set : Deny Facebook và add www.facebook.com
- Mình tạo Rule cho U1(vị trí thứ 3):
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External
Condition --> U1
- Tạo Rule cho U10 & U11(vị trí thứ 4) :
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External, Exceptions: add URL Deny Facebook
Condition --> U10&U11
- Tạo Rule cấm chát Yahoo (vị trí thứ 5):
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External, Exceptions: add URL Deny Facebook
Condition --> USERDENYFACEBOOK
Configure HTTP , chọn signature :
Name : Deny Yahoo messenger
Search in :Request Headers
HTTP header: msg.yahoo.com

Như vậy theo các bạn mình đã tạo đúng chưa? Vì khi mình làm như vậy thì tất cả các user không truy cập internet được. Nếu như mình add All User giống như Rule 3 ban đầu thì vào internet bình thường.
Vậy nếu cho Client chạy SecureNAT thì có chứng thực được User hay không? Vì mạng mình có sử dụng laptop

haipham 07-10-2010 11:22

Hai rule đầu tiên thì Ok.

Với yêu cầu:
Trích:

- Cấm tất cả các user truy cập trang www.facebook.com, ngoại trừ user U1 được truy cập
- Cấm user U10, U11 không được sử dụng Yahoo Messenger.
Mình nghĩ nên tạo các Access rule như sau:

Tạo Access rule thứ 3, 4, 5, 6 như sau:

(Cho phép u1 vào Facebook)
Allow - HTTP - Internal -> URL Set "http://www.facebook.com" - u1

(Cấm các user khác vào Facebook)
Deny - HTTP - Internal -> URL Set "http://www.facebook.com" - All user

(Cấm chat u10, u1)
Allow - HTTP, HTTPS - Internal -> External - u10, u11
Configure HTTP , chọn signature :
Name : Deny Yahoo messenger
Search in :Request Headers
HTTP header: msg.yahoo.com

(Cho phép các user ra internet)
Allow - HTTP, HTTPS - Internal -> External - All user

Bạn lưu ý trong ISA, độ ưu tiên của các rule theo thứ tự từ trên xuống và rule Allow có quyền cao hơn rule Deny.

Nên sử dụng ISA Firewall Client cho các client, đó là sự kết hợp ScureNAT và Proxy.

Thân!

duytruongnguyen 07-10-2010 11:32

Nếu cài Firewall Client thì nếu máy laptop có thể sử dụng ở chổ khác được không bạn?

haipham 07-10-2010 11:45

Nếu bạn dùng IP tĩnh tất nhiên là không sài được chỗ khác. Chuyển sang dùng IP động cho khỏe.

duytruongnguyen 07-10-2010 13:52

Cho HTTP minh thay cho All Outbound Traffic được không bạn? Vì không những Web mà còn email, chat ..

haipham 07-10-2010 19:03

Để an toàn cho hệ thống mạng thì chỉ nên mở những port cần thiết ứng với các dịch mạng thôi. Không nên dùng All Outbound Traffic.

pethaoyeu 07-10-2010 22:03

mấy bạn xem lại kĩ đi bạn ấy để action toàn là allow hết kìa.check lại đi bạn ơi.

300000 08-10-2010 04:30

"Các Client truy cập internet theo cơ chế SecureNAT"

Cơ chế NAT không hỗ trợ chứng thục được nên tất các những ý định của bạn không thực hiện được , một là tất cả cùng được ra , hai tất cả bị khóa hết thế thôi . cho dù bạn làm kiểu gì cũng thế , có thể gán địa chỉ IP tĩnh vào từng máy tính và tạo rule thì cũng chỉ là giải pháp tạm thời chứ không phải là tối ưu , tuy là có thể hạn chế được nhưng người ta rất dễ lừa được ISA để vào mạng .

Để thực hiện những gì bạn yêu cầu thì phải cài firewall client vào và chứng thực bằng user name và pasword thì lúc đó những yêu cầu của bạn mới thực thi được , khi cấu hình firewall client thì phải thay đổi chút trong netword card internal của máy cài ISA thì mới chạy được , nói chung là nên thực tập trên máy ảo trước khi áp dụng vào hệ thống đang chạy , nếu bạn chưa biết mà làm ngay vào hệ thống đang chạy là tất cả tịt hết luôn thì càng thêm đâu đầu để sử lý vấn đề.

duytruongnguyen 09-10-2010 08:39

Nếu vậy thì để mở port cho Skype thì phải mở port nào vậy bạn?


Múi giờ GMT +7. Hiện tại là 10:34

Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger