Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Ðề tài đã khoá
 
Ðiều Chỉnh
  #1  
Old 07-05-2008, 21:47
tevez tevez vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Dec 2007
Bài gởi: 47
Thanks: 0
Thanked 0 Times in 0 Posts
vấn đề quản lý user truy cập internet cua isa

hê thống của em là thế này:
internet<==>isa(win2k3)<====>dc<===>client(xp)
em tháy các anh trong diễn đàn khuyên là kô cài đặt isa trên cùng DC
vậy:
khi dùng Isa quản lý user truy cập internet là quản ly như thế nào a?
em cảm ơn, mong các anh/thầy giúp đỡ em với!
  #2  
Old 07-05-2008, 23:14
hocnt hocnt vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Nov 2007
Bài gởi: 62
Thanks: 1
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi tevez View Post
hê thống của em là thế này:
internet<==>isa(win2k3)<====>dc<===>client(xp)
em tháy các anh trong diễn đàn khuyên là kô cài đặt isa trên cùng DC
vậy:
khi dùng Isa quản lý user truy cập internet là quản ly như thế nào a?
em cảm ơn, mong các anh/thầy giúp đỡ em với!
Thì lúc đó trên con ISA bạn sẽ tạo ra các rule, trong fần User Sets bạn sẽ add vào những user/group mà bạn muốn quản lý.
  #3  
Old 08-05-2008, 00:08
tevez tevez vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Dec 2007
Bài gởi: 47
Thanks: 0
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi hocnt View Post
Thì lúc đó trên con ISA bạn sẽ tạo ra các rule, trong fần User Sets bạn sẽ add vào những user/group mà bạn muốn quản lý.
nhưng những user va group nay được tạo trên DC làm sao ma từ máy ISA có thể add được
  #4  
Old 08-05-2008, 09:00
danvt danvt vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: May 2007
Bài gởi: 67
Thanks: 0
Thanked 0 Times in 0 Posts
uh mình cũng tạo user bằng DC, ISA nó không hiểu đâu
  #5  
Old 08-05-2008, 09:22
vdk vdk vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Jun 2007
Bài gởi: 253
Thanks: 21
Thanked 12 Times in 12 Posts
Trích:
Nguyên văn bởi tevez View Post
nhưng những user va group nay được tạo trên DC làm sao ma từ máy ISA có thể add được
Một là bạn phải cho máy isa joint domain, nếu không thì phải cài radius trên máy dc để chứng thực cho isa. Tham khảo tại đây:http://nhatnghe.com/forum/showthread.php?t=11960
  #6  
Old 08-05-2008, 12:02
hocnt hocnt vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Nov 2007
Bài gởi: 62
Thanks: 1
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi tevez View Post
nhưng những user va group nay được tạo trên DC làm sao ma từ máy ISA có thể add được
uh.đúng rồi con isa fải jiont domain hoặc nó là members của radius client.
  #7  
Old 12-06-2008, 15:06
ngocquycomputer2007 ngocquycomputer2007 vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Jan 2008
Tuổi: 37
Bài gởi: 16
Thanks: 0
Thanked 0 Times in 0 Posts
Ðề: vấn đề quản lý user truy cập internet cua isa

bạn ơi nguyên tắc dựng isa la bạn phải join may isa vao DC trước .khi đó bạn mới quan lý được user trên AD . bạn chỉ cần vào muc user set là thấy được AD thôi khi đó bạn quản lý user nào cũng được
  #8  
Old 15-06-2008, 02:13
tiengiang tiengiang vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Sep 2006
Bài gởi: 231
Thanks: 8
Thanked 18 Times in 8 Posts
Ðề: vấn đề quản lý user truy cập internet cua isa

Trích:
Nguyên văn bởi ngocquycomputer2007 View Post
bạn ơi nguyên tắc dựng isa la bạn phải join may isa vao DC trước .khi đó bạn mới quan lý được user trên AD . bạn chỉ cần vào muc user set là thấy được AD thôi khi đó bạn quản lý user nào cũng được
Nếu Joint vao DC thì còn gì hay nữa . Sau Pác nói nguyên tắc mạnh quá vậy ???? Pác dựa vào kinh nghiệm hay là lý thuyết .
Pác tham khảo cái này nha:
http://nhatnghe.com/forum/showthread.php?t=11960&page=2
và thêm cái này nữa này

Các bước cần thiết để có 1 ISA hiệu quả
________________________________________
1: Get Physical

Khi bạn quan tâm đến bảo mật một vấn đề phải quan tâm và rất quan trọng đầu tiên là tầng vật lý. Khi bất kỳ một máy chủ nào cần được quan tâm đến vấn đề bảo mật nói chung và máy chủ ISA Server 2004 nói riêng đều cần có những chính sách để bảo vệ tầng vật lý của máy chủ như cung cấp các bộ lưu điện UPS các giải pháp chống ẩm, chống cháy. Đặc biệt phải quan tâm đến những thiết bị dễ hỏng như ổ cứng phải có giải pháp chống xảy ra sự cố hỏng hóc như sử dụng RAID và giải pháp backup.

2: Domain vs. Workgroup
Khi bạn cài đặt ISA Server 2004, một vấn đề khác bạn cần phải quan tâm đó là máy chủ sau khi cài đặt sẽ nằm trong Workgroup hay là member của một domain. Theo kinh nghiệm của tôi thì cài đặt ISA Server 2004 vào trong một Workgoup. Tuy nhiên hoàn cảnh có thể buộc ISA Server 2004 là một member của một domain. Ví dụ, nếu bạn thiết lập một chính sách phụ thuộc vào quá trình xác thực trong domain, thì khi đó máy chủ ISA Server sẽ phải là một thành viên trong domain đó. Như một thành viên trong domain bạn sẽ có thể khoá máy chủ đó bằng việc sử dụng Group Policy. Nếu bạn buộc phải cài đặt ISA Server trong một domain thì giải pháp tốt nhất của bạn là nên đặt nó sau một firewall cứng nào đó, như giải pháp sử dụng PIX firewall của Cisco.

Nhưng theo kinh nghiệm của riêng tôi thì bạn vẫn nên cài đặt ISA Server 2004 trong Workgroup, nó hoạt động riêng biết với hệ thống mạng của bạn, nếu bạn cần ISA Server 2004 là một member của domain, hãy quan tâm đến việc cài đặt nó sang một forest khác. Ví dụ bạn chạy máy chủ ISA Server 2004 trong vùng DMZ, bạn tạo ra một forest khác và tạo one-way trust giữa các forest trong cùng hệt hống của bạn, và riêng ISA Server 2004 nằm trong một forest riêng biệt.

3: Adjust Connection Limits

Giới hạn số lượng kết nối tới máy chủ ISA Server 2004 để chống lại các cuộc tấn công phá huỷ các tài nguyên quan trọng trong máy chủ ISA Server. Bằng việc giới hạn các kết nối đến máy chủ, bạn có thể giảm nhẹ các cuộc tấn công từ các máy tính nguy hiểm.

Mặc định, giới hạn kết nối cho các kết nối không phải TCP được thiết lập là 1000 kết nối trên mỗi giây và trên mỗi rule, và cho 160 kết nối cho client cả các kết nối TCP và không phải kết nối TCP, thể hiện ở hình 1 dưới. Microsoft khuyến cáo bạn không nên thay đổi giới hạn mặc định này. Tuy nhiên nếu bạn cảm thấy cần phải điều chỉnh số lượng kết nối thì bạn có thể chỉnh sửa sao cho hợp lý nhất với hệ thống của bạn. Nhưng nếu bạn giới hạn số lượng kết nối ít, một số người trong hệ thống có thể sẽ bị ảnh hưởng quá trình truy cập của họ ra bên ngoài.

4: Configure DNS Properly

Khi bạn cấu hình ISA Server, bạn phải chắc chắn một điều là bạn đã cấu hình DNS một cách chuẩn xác. Bao gồm tất cả các local domain trong hệ thống mạng của bạn. Mặt khác ISA Server có thể gửi một yêu cầu tới các máy chủ DNS ở bên ngoài. Điều đó có thể tạo ra những lỗi tiềm tàng cho hệ thống mạng của bạn, các local domain sẽ có thể bị phát hiện bởi các kẻ tấn công.

Để chống lại việc phân tích DNS được lưu trữ tạm thời trên máy chủ ISA Server, bạn chỉ gán DNS cho máy chủ ISA với một máy chủ DNS ở trong nội bộ của hệ thống. Chắc chắn một điều rằng máy chủ DNS được cấu hình để chống lại quá trình tấn công qua bộ lưu tạm thời.

Chú ý các bước thực hiện trên máy chủ ISA có hai card mạng. Một Public và một Private, và sau đây là các bước cụ thể cấu hình DNS trên máy chủ ISA.

1. Đặt địa chỉ DNS cho card private là địa chỉ của máy chủ DNS bên trong hệ thống. Không đặt gateway và bất kỳ các DNS nào khác.
2. Cấu hình default gateway trên card mạng nối ra internet vào địa chỉ của Router nối với hệ thống mạng của bạn, lưu ý DNS ở card mạng này để chống.
3. Cấu hình máy chủ DNS chuyển các yêu cầu tới địa chỉ máy chủ DNS của nhà cung cấp dịch vụ.
4. Cấu hình một access rule chỉ cho phép máy chủ DNS truy cập vào Internet. Nó sẽ cho phép tất cả các clients trong hệ thống được resolve tên từ máy chủ DNS bên trong hệ thống.

Trong tab General của card mạng public, bạn disable toàn bộ ngoại trừ giao thức TCP/IP, bạn cần phải disable “Client for Microsoft Networking, File and Printer Sharing for Microsoft Network, etc. Thêm vào đó bạn cần phải Disable NetBIOS trên TCP/IP và bỏ dấu trong checkbox LMHOSTS lookuup, hình 2 thể hiện các cấu hình dưới đây. Cần chú ý là bạn không disable NetBIOS trên TCP/IP tại card mạng nối vào private network.

5: Disable Error Reporting

Mặc định, Microsoft cho phép lưu lại các lỗi trong máy chủ Windows Server 2003 và khi cài đặt ISA Server 2004 bạn có thể disable quá trình này trên cả hệ điều hành và trên ISA Server 2004 (trong System Policy). Theo như các nhà bảo mật của Microsoft, quá trình ghi lại các lỗi xảy ra trong hệ thống buộc phải được thực hiện nhưng ngoại trừ máy chủ ISA Server. Phản ánh lại các lỗi giúp Microsoft dựa vào các thông tin bạn phản hồi đó nhà sản xuất sẽ phân tích các lỗi tiềm tàng của hệ thống. Tuy nhiên các thông khi bạn gửi lỗi tới Microsoft thì không được mã hoá. Và một vài người có thể tóm được gói tin của bạn, có thể điều đó làm hạn chế, hay bị thay thế các gói tin được truyền đến Microsoft. Để thực hiện việc Disable error reporting:

1. Bật ISA Server Management Console lựa chọn Firewall Policy.
2. Chuột phải Firewall Policy và chọn Edit System Policy.
1. Trong System Policy Editor, trong cây Configuration Groups, chọn Diagnostic Services.
2. Chọn Microsoft Error Reporting dưới Diagnostic Services.
3. Bên tay phải bạn bỏ dấu Enable box, Được thể hiện dưới hình 3.

6: Reconfigure System Policy Allowed Sites

Mặc định, Allow sites được cấu hình là enabled, cho phép ISA Server truy cập vào các trang web cụ thể và phụ thuộc trong System Policy Allows Sites. Mặc định trong system policy cho phép HTTP và HTTPS từ máy chủ ISA tới trang web Microsoft.com. Để cho việc phản ánh lại các lỗi xảy ra. Bạn có thể chỉ cho phép trang web *.windowsupdate.com còn remove tất cả các trang web còn lại. Đảm bảo không một trang web nào khác không bảo mật hay chứa những đoạn mã nguy hiểm mà máy chủ ISA lại vào.

7: Delegate Administration

Trong một môi trường làm việc lớn, nơi c nhiều người cùng quản trị các máy chủ ISA Server, điều quan tâm đầu tiên là phải thiết lập trong ISA Server Administration Delegation Wizard. Bạn có thể khởi động wizard bằng cách vào ISA Server Management Console chuột phải vào máy chủ ISA Server. Trong thiết lập này cho phép bạn gán những users và group khác nhau có thể quản trị những vấn đề khác nhau. Trong ISA server có các role sau.

• ISA Server Array Administrator
• ISA Server Array Auditor
• ISA Server Array Monitoring Auditor

Bạn có thể tìm được các thông tin này qua help của ISA server. Những thông tin rất chi tiết

8: Disallow Older Firewall Clients

Firewall client của máy chủ ISA Server sử dụng một giao thức được mã hoá dữ liệu khi truyền giữa các Firewall client và ISA Server. Không cho phép sử dụng các phiên bản Firewall client cũ vì nó không thể mã hoá dữ liệu trong quá trình truyền. Chắc chắn rằng box “allow non-encrypted Firewall client connections” không được lựa chọn, được thể hiện với hình 4 dưới đây.

9: Don't Enable Guest Account

Một điều không may là Guest Account còn có cho đến tận phiên bản Windows Server 2003, cho phép Guest account có thể ảnh hwongr tới cả hệ thống là một lỗi tiềm tàng cho phép bất kỳ người nào cũng có thể sử dụng user này để đăng nhập vào hệ thống, nhưng việc cho phép Guest account còn đặc biệt nguy hiểm với máy chủ ISA Server, bạn phải chắc chắn rằng nó đã bị cấm. ISA Server sẽ thừa nhận guest account như một user đã được xác thực trong nhóm All Authenticated Users.

10: Avoid Running Browsers on ISA Server

Không chạy một web brower cho quá trình truy cập Internet trên ISA Server. Bằng việc truy cập vào Internet đồng nghĩa với việc sẽ tiềm ẩn rất nhiều nguy cơ như các phần mềm gián điệm, các keylogger, và các đoạn mã nguyên hiểm có thể vào máy bạn bất kỳ lúc nào. Nếu bạn có những trang web tin tưởng bạn có thể dùng các trình duyệt như IE 7 hay Firefox 2.0. Tuy nhiên tốt nhất bạn vẫn không sử dụng truy cập web từ máy chủ ISA mà bạn chỉ cho phép truy cập đến trang web để cập nhật các bản update.

Thêm vào đó bạn có thể thực hiện các bước sau để bảo mật máy chủ ISA Server

Nếu máy chủ ISA Server đã bị virus hay các spyware thì tốt nhất bạn nên cài đặt lại, nhiều người cố gắng diệt virus nhưng không biết rằng sau khi virus vào hệ thống đã làm một số thiết lập trên máy tính của bạn bị thay đổi và giải pháp tốt nhất với máy chủ ISA Server 2004 là cài lại hệ thống.

Nếu trong hệ thống của bạn có hiều máy chủ ISA Server 2004 việc cần thiết của bạn là tạo ra một thiết lập chuẩn sau đó lưu lại và khi cần thiết sẽ áp dụng cho toàn bộ các máy chủ ISA Server trong hệ thống của bạn.

Khi bạn cấu hình firewall, cần sử dụng IP Security (IPSec) để bảo mật các quá trình truyền gói tin giữa máy chủ ISA và các máy khác trong hệ thống

Cần phải disable các dịch vụ không cần thiết cho máy chủ ISA Server để hạn chế các tấn công dựa trên các dịch vụ này.

Khi bạn tạo backup, phải chắc chắn một điều bản backup của bạn phải được mã hoá và bảo vệ bằng mật khẩu khó.

(sưu tầm)

thay đổi nội dung bởi: tiengiang, 15-06-2008 lúc 02:21
Ðề tài đã khoá

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Bạn cần một software quản lý INTERNET như thế nào ? davidhuynhvan Quản Lý Phòng Internet - Games 22 07-07-2008 19:34
Help ISA ko nhận user trong DC xda160 Firewall 19 20-05-2008 14:40
Chương trình quản lý truy cập internet tập trung jonny17_2003 Softwares - Tools 1 13-03-2008 15:13



Múi giờ GMT +7. Hiện tại là 23:30
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger