TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
--------------------------------

BÁO CÁO THỰC TẬP TUẦN 2-3
ĐỀ TÀI:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
ISA 2006

Giáo viên hướng dẫn: Võ Đỗ Thắng
Sinh viên thực tập: Lê Kim Ngân
Tuần 2-3: 26/01/2015 – 06/02/2015

Thành phố Hồ Chí Minh – Năm 2015

1


MỤC LỤC
Contents
ACCESS RULE ............................................................................................................................3
1.

TẠO RULE TRUY VẤN DNS ĐỂ PHÂN GIẢI TÊN MIỀN Ở BÊN NGỒI....................5

2. CƠNG TY CHO PHÉP CÁC NHÂN VIÊN THUỘC NHĨM MAKETING TRUY CẬP
WEB KHƠNG HẠN CHẾ. ..................................................................................................... 10
3. CÔNG TY ĐƯA RA YÊU CẦU CHO PHÉP CÁC NHÂN VIÊN THUỘC CÁC PHÒNG
BAN: SALE TRAINING ĐƯỢC PHÉP TRUY CẬP WEB KHÔNG GIỚI HẠN. .................. 17
4. KHI CÁC NHÂN VIÊN CỦA CƠNG TY SỬ DỤNG MÁY TÍNH CĨ TÊN DC THÌ SẼ
KHƠNG ĐƯỢC TRUY CẬP INTERNET. TA THIẾT LẬP RULE NÀY NHƯ SAU: ........... 22

5. QUẢN LÝ TRUY CÂP INTERNET THEO GIỜ LÀM VIỆC, ĐƯỢC QUY ĐỊNH: 8H-12H
SÁNG VÀ 14H-18H CHIỀU. .................................................................................................. 26
6. TRONG GIẢI LAO CÁC NHÂN VIÊN ĐƯỢC TRUY CẬP MỌI TRANG WEB NGOẠI
TRỪ TRANG HTTP://24.COM.VN. TA THIẾT LẬP NHƯ SAU: ....................................... 32
7. CHÍNH SÁCH CÔNG TY YÊU CẦU CÁC NHÂN VIÊN KHÔNG ĐƯỢC TRUY CẬP
WEB: HTTP://BONGDASO.COM TRONG THỜI GIAN LÀM VIỆC VÀ THỜI GIAN NGHỈ.
NẾU VẪN CỐ TÌNH TRUY CẬP SẼ HIỆN THƠNG BÁO CỦA MÁY SERVER. ................ 39
8.

EXPORT RULE: ............................................................................................................. 43

9.

IMPORT RULE: ............................................................................................................. 46

2


ACCESS RULE
Sau khi cài đặt ISA cho mơ hình chúng ta thấy ISA đã phân tách hệ thống thành 3 vùng
chính: Internet, Local Host (nơi đặt ISA server), External. Mặc định, hệ thống sẽ bị tác
động với Default Rule.
Trong phần này, chúng ta cần nắm những khái niệm sau:
Network Defintion: khoảng địa chỉ IP kết nối tới ISA Server, khoảng IP này được định
nghĩa bằng 1 Network Name. ISA sẽ quản lý khoảng IP này thông qua Network Name
này.
Để định nghĩa Network Name, trên ISA Server Management ta chọn mục
Confirugation, chọn tiếp mục Network.

Network Rule: quy định các mối liên hệ giữa các Network, các mối liên hệ này được

ISA Server kết nối với nhau. Khi hệ thống của bạn có nhiều Network, ISA sẽ quy định

3


mối quan hệ của các Network thông qua 2 cơ chế: Route và NAT. Ta sẽ đề cập tiếp vấn
đề này ở phần sau.

Access Rule: Quy định những traffic nào sẽ được đi ISA Server. Đây là thành phần quan
trọng của ISA Server. Chúng ta sẽ tìm hiểu về Access Rule thơng qua những tình huống
được nêu ra ở các mục bên dưới.

4


Default Rule đã cấm mọi traffic ra vào thông qua ISA Server. Như vậy để các máy trong
Internal truy cập ra ngồi bằng domain name, cần phải có DNS Server phân giải các
domain name này. Ở đây ta sẽ sử dụng DNS Server của ISP.
1. Tạo rule truy vấn DNS để phân giải tên miền ở bên ngoài.
Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall
policy, chọn New chọn Accsess Rule

Hộp thoại Access Rule Names, đặt tên Rule là: DNS

5


Hộp thoại Rule Active, chọn Allow

Hộp thoại Protocols, chọn Selected protocols và nhấn Add

Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS nhấn
Add nhấn Next

6


Hộp thoại Access Rule Sources, Add:Internal và Local Host. Thực tế thì ta
khơng nên chọn Local Host

7


Hộp thoại Access Rule Destinaton, Add: External, nhấn Next

Hộp thoại User Sets, chọn All Users, nhấn Next

Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về
Rule lần cuối, sau đó nhấn Finish. Nhấn chọn Apply, Ok.

8


Bạn chọn Apply

Kiểm tra lại kết quả: trên máy DC

9


Kiểm tra lại kết quả: trên máy ISA


Tuy nhiên lúc này ta chỉ mới cho phép các traffic từ Internal được truy vấn DNS
ra bên ngồi thơng qua port 53. Do đó, ta cần tạo thêm Rule thơng qua các tình
huống sau.
2. Cơng ty cho phép các nhân viên thuộc nhóm maketing truy cập web khơng
hạn chế.
Group Maketing đã được tạo trước trên máy DC ở phần trước, tiếp theo ta chỉ
việc định nghĩa các đối tượng này trên máy ISA. Để quản lý được các Domain
user ta phải join máy ISA vào domain .....
Trong cửa sổ ISA Server Management tại cửa sổ thứ 3, chọn tab Toolbox, bung
mục User, chọn New, hộp thoại User sets name đặt tên là Maketing rồi nhấn
Next

10


Hộp thoại Users, nhấn Add chọn Windows users and groups....

Add group maketing vào hộp thoại Users

11


Trong hộp thoại Completing chọn Finish. Nhấn Apply

Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên. Chuột phải Firewall Policy,
chọn New chọn Access Rule
Hộp thoại Access Rule Names, đặt tên rule là: allow maketing full access

12



Hộp thoại Rule Action chọn Allow

Hộp thoại Protocols chọn All outbound traffic

13


Hộp thoại Access Rule Sources, add Internal, chọn Next

Hộp thoại Access Rule Destinaton, add External, chọn Next.

14


Hộp thoại User Sets, remove group All Users và add group Maketing vào chọn
Next

Hộp thoại Completing the New Access Rule Wizard chọn Finish

15


Nhấn chọn Apply, chọn OK
Kiểm tra kết quả
Logon user .....\ ma1

Mở Command Prompt gõ lệnh nslookup. Phân giải các tên miền ở External


16


Truy cập trang

3. Công ty đưa ra yêu cầu cho phép các nhân viên thuộc các phòng ban: Sale
Training được phép truy cập Web khơng giới hạn.
Ở tình huống 1, yêu cầu đặt ra là cho phép được Internet khơng hạn chế. Tuy
nhiên, ở tình huống 2 này, ta chỉ cho phép truy cập dịch vụ Web. Như vậy, ta chỉ
cho phép các Protocol: HTTP, HTTPS là đủ.
Trong cửa sổ ISA Server Management, chọn Firewall Policy, chọn New chọn
Access Rule
17


Hộp thoại Access Rule Names, đặt tên Rule là: allow user access web

Hộp thoại Rule Active, chọn Allow

18


Hộp thoại Protocols chọn Selected Protocols và nhấn Add.Trong hộp thoại Add.
Trong hộp thoại Add Protocols, bung mục Common Protocols chọn HTTP và
HTTPS, nhấn Add. Nhấn Next.

Hộp thoại Access Rule Sources, add Internal, chọn next
19



Hộp thoại Access Rule Destinaton, add External , chọn Next

Hộp thoại User Sets, remove group All Users và add group Sale và Training vào,
chọn Next

20


Hộp thoại Completing the New Access Rule Wizard, chọn Finish

Kiểm tra kết quả
Logon user .......

21


4. Khi các nhân viên của công ty sử dụng máy tính có tên DC thì sẽ khơng được
truy cập Internet. Ta thiết lập Rule này như sau:
Trong cửa sổ ISA Server Management chọn Firewall Policy chọn New, chọn
Access Rule. Hộp thoại Access Rule Names, đặt tên Rule là: Deny PC DC.

Chọn Deny

22


Hộp thoại Protocols, chọn All outbound traffic

Hộp thoại Access Rule Sources nhấn Add chọn Computer Set chọn máy DC,
chọn Next.


23


Hộp thoại Access Rule Destinaton, add External, chọn Next

Hộp thoại User Sets, remove group All Users, và add các group Sale, Training
maketing, manager vào, chọn Next.

24


Hộp thoại Completing the New Access Rule Wizard, chọn Finish

Tại máy DC kiểm tra :

25