Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 07-10-2010, 10:07
duytruongnguyen duytruongnguyen vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Aug 2006
Bài gởi: 306
Thanks: 0
Thanked 1 Time in 1 Post
Chứng thực User trong ISA 2006

Mô hình mạng của mình như sau :
DC : 192.168.1.2/24
ISA Server :
- Internal NIC : 192.168.1.3/24
Default gateway: trống
DNS : 192.168.1.2

- External NIC : 192.168.3.10/24
Default gateway: 192.168.3.1
DNS : trống

Modem : 192.168.3.1
Có 15 clients
Các Client truy cập internet theo cơ chế SecureNAT
Như vậy trong ISA thì Internal Networks : 192.168.1.0 - 192.168.1.255
Mình cấu hình ISA Server các rule như sau:
1. Query DNS :
Action --> allow
Protocal --> DNS
From --> Internal, local host
To --> External
Codition --> All users
2. Allow access LAN:
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal, local host
To --> Internal, local host
Codition --> All users
3. Allow access internet :
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal, local host
To --> External
Condition --> All Users
Bây giờ có thay đổi chính sách cho việc truy cập internet như sau:
- Cấm tất cả các user truy cập trang www.facebook.com, ngoại trừ user U1 được truy cập
- Cấm user U10, U11 không được sử dụng Yahoo Messenger.
Mình tiến hành tạo các rule như sau:
- Mình xóa Rule 3 đi
- Mình tạo User Set U1 và Add U1 vào.
- Mình tạo User Set U10&U11 và Add U10,U11
- Mình tạo User Set USERDENYFACEBOOK và Add những user còn lại vào.
- Tạo URL set : Deny Facebook và add www.facebook.com
- Mình tạo Rule cho U1(vị trí thứ 3):
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External
Condition --> U1
- Tạo Rule cho U10 & U11(vị trí thứ 4) :
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External, Exceptions: add URL Deny Facebook
Condition --> U10&U11
- Tạo Rule cấm chát Yahoo (vị trí thứ 5):
Action --> Allow
Protocal --> All Outbound Traffic
From --> Internal
To --> External, Exceptions: add URL Deny Facebook
Condition --> USERDENYFACEBOOK
Configure HTTP , chọn signature :
Name : Deny Yahoo messenger
Search in :Request Headers
HTTP header: msg.yahoo.com

Như vậy theo các bạn mình đã tạo đúng chưa? Vì khi mình làm như vậy thì tất cả các user không truy cập internet được. Nếu như mình add All User giống như Rule 3 ban đầu thì vào internet bình thường.
Vậy nếu cho Client chạy SecureNAT thì có chứng thực được User hay không? Vì mạng mình có sử dụng laptop
Trả Lời Với Trích Dẫn
  #2  
Old 07-10-2010, 11:22
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 37
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
Hai rule đầu tiên thì Ok.

Với yêu cầu:
Trích:
- Cấm tất cả các user truy cập trang www.facebook.com, ngoại trừ user U1 được truy cập
- Cấm user U10, U11 không được sử dụng Yahoo Messenger.
Mình nghĩ nên tạo các Access rule như sau:

Tạo Access rule thứ 3, 4, 5, 6 như sau:

(Cho phép u1 vào Facebook)
Allow - HTTP - Internal -> URL Set "http://www.facebook.com" - u1

(Cấm các user khác vào Facebook)
Deny - HTTP - Internal -> URL Set "http://www.facebook.com" - All user

(Cấm chat u10, u1)
Allow - HTTP, HTTPS - Internal -> External - u10, u11
Configure HTTP , chọn signature :
Name : Deny Yahoo messenger
Search in :Request Headers
HTTP header: msg.yahoo.com

(Cho phép các user ra internet)
Allow - HTTP, HTTPS - Internal -> External - All user

Bạn lưu ý trong ISA, độ ưu tiên của các rule theo thứ tự từ trên xuống và rule Allow có quyền cao hơn rule Deny.

Nên sử dụng ISA Firewall Client cho các client, đó là sự kết hợp ScureNAT và Proxy.

Thân!
Trả Lời Với Trích Dẫn
  #3  
Old 07-10-2010, 11:32
duytruongnguyen duytruongnguyen vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Aug 2006
Bài gởi: 306
Thanks: 0
Thanked 1 Time in 1 Post
Nếu cài Firewall Client thì nếu máy laptop có thể sử dụng ở chổ khác được không bạn?
Trả Lời Với Trích Dẫn
  #4  
Old 07-10-2010, 11:45
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 37
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
Nếu bạn dùng IP tĩnh tất nhiên là không sài được chỗ khác. Chuyển sang dùng IP động cho khỏe.
Trả Lời Với Trích Dẫn
  #5  
Old 07-10-2010, 13:52
duytruongnguyen duytruongnguyen vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Aug 2006
Bài gởi: 306
Thanks: 0
Thanked 1 Time in 1 Post
Cho HTTP minh thay cho All Outbound Traffic được không bạn? Vì không những Web mà còn email, chat ..
Trả Lời Với Trích Dẫn
  #6  
Old 07-10-2010, 19:03
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 37
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
Để an toàn cho hệ thống mạng thì chỉ nên mở những port cần thiết ứng với các dịch mạng thôi. Không nên dùng All Outbound Traffic.
Trả Lời Với Trích Dẫn
  #7  
Old 07-10-2010, 22:03
pethaoyeu pethaoyeu vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Jul 2010
Bài gởi: 401
Thanks: 7
Thanked 77 Times in 66 Posts
mấy bạn xem lại kĩ đi bạn ấy để action toàn là allow hết kìa.check lại đi bạn ơi.
Trả Lời Với Trích Dẫn
  #8  
Old 08-10-2010, 04:30
300000 300000 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Mar 2008
Bài gởi: 392
Thanks: 3
Thanked 183 Times in 116 Posts
"Các Client truy cập internet theo cơ chế SecureNAT"

Cơ chế NAT không hỗ trợ chứng thục được nên tất các những ý định của bạn không thực hiện được , một là tất cả cùng được ra , hai tất cả bị khóa hết thế thôi . cho dù bạn làm kiểu gì cũng thế , có thể gán địa chỉ IP tĩnh vào từng máy tính và tạo rule thì cũng chỉ là giải pháp tạm thời chứ không phải là tối ưu , tuy là có thể hạn chế được nhưng người ta rất dễ lừa được ISA để vào mạng .

Để thực hiện những gì bạn yêu cầu thì phải cài firewall client vào và chứng thực bằng user name và pasword thì lúc đó những yêu cầu của bạn mới thực thi được , khi cấu hình firewall client thì phải thay đổi chút trong netword card internal của máy cài ISA thì mới chạy được , nói chung là nên thực tập trên máy ảo trước khi áp dụng vào hệ thống đang chạy , nếu bạn chưa biết mà làm ngay vào hệ thống đang chạy là tất cả tịt hết luôn thì càng thêm đâu đầu để sử lý vấn đề.
Trả Lời Với Trích Dẫn
  #9  
Old 09-10-2010, 08:39
duytruongnguyen duytruongnguyen vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Aug 2006
Bài gởi: 306
Thanks: 0
Thanked 1 Time in 1 Post
Nếu vậy thì để mở port cho Skype thì phải mở port nào vậy bạn?
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến



Múi giờ GMT +7. Hiện tại là 18:59
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger