Chặn truy cập Web trong ISA Server 2006

Quản trị mạng - Hiện có vô số mối đe dọa từ bên ngoài mạng hòng giành quyền truy cập và khai thác tài nguyên mạng nội bộ khi có cơ hội. Nói chung, hệ thống tường lửa là tấm lá chắn chính của mạng, chặn những lưu lượng không mong muốn và những phiên truy cập không được cho phép. Vì lí do đó mà ISA Server 2006 đã được nhiều hệ thống sử dụng nhằm ngăn chặn những vấn đề bảo mật có thể xảy ra.

Tuy nhiên những mối đe dọa bên ngoài không phải là mối quan tâm duy nhất. Bởi vì trong hệ thống luôn có rất nhiều người dùng, và bạn không thể khẳng định rằng không có ai truy cập vào những trang web không liên quan tới công việc, và tình huống xấu nhất có thể xảy ra đó là làm tổn hại tài nguyên hệ thống khi truy cập vào các trang web độc hại.

Hầu hết các hệ thống đều có những chính sách hạn chế những thao tác mà người dùng được phép truy cập Internet sử dụng tài nguyên máy tính của công ty. Quản trị viên phải giá sát và kiểm soát phiên truy cập đó, và có thể chặn phiên truy cập vào những trang độc hại hay không phù hợp.

Domain Name Sets trong ISA Server 2006

Có nhiều phương án khác nhau có thể áp dụng vào những tình huống trên, nhưng trong bài viết này chúng ta sẽ tập trung vào phương pháp sử dụng Domain Name Sets và URL Sets để chặn truy cập vào những trang nguy hiểm hay không thích hợp. Tất cả các loại máy trạm ISA Server có thể sử dụng Domain Name Sets để chặn phiên truy cập. Tuy nhiên, chỉ những máy trạm Web Proxy và Firewall có thể được kiểm soát ở cấp độ nhóm hay cấp độ người dùng.

Domain Name Sets cho phép người dùng chặn truy cập hoàn toàn vào một trang, chẳng bạn như espn.com. Nếu tạo một Domain Name Set với mục *.espn.com, bạn sẽ chặn người dùng truy cập vào mọi trang trong miền espn.com. Tương tự, bạn có thể tạo nhiều Domain Name Set để chặn truy cập vào nhiều miền khác nhau.

Chúng ta cũng có thể sử dụng Domain Name Sets để chặn truy cập ở cấp độ lớn hơn bằng cách chỉ định một máy chủ cụ thể trên miền. Chẳng hạn, bạn có thể tạo một mục cho www3.espn.com để chặn truy cập vào máy chủ www3 trong khi vẫn cho phép truy cập vào phần còn lại của miền espn.com.

Domain Name Sets áp dụng cho mọi giao thức và mọi loại máy trạm. Điều đó có nghĩa khi mục Domain Name Set đã được tạo thì mọi lưu lượng tới miền sẽ bị chặn mà không quan tâm tới loại máy trạm ISA Server 2006. Nếu chỉ chú ý tới kết nối Web, và không chú ý tời giao thức mạng thì bạn có thể sử dụng URL Sets để chặn truy cập thay cho Domain Name Sets.

---

URL Sets trong ISA Server 2006

URL Sets cũng giống như Domain Name Sets ngoại trừ URL Sets chỉ chặn truy cập vào những kết nối web. Để URL Sets hoạt động hiệu quả, những kết nối phải sử dụng giao thức HTTP hoặc HTTPS (máy chủ FTP được cấu hình như máy trạm Web Proxy cũng có thể bị chặn) và phải được bộ lọc Web Proxy xử lý.

Ví dụ, bạn có thể tạo một URL Set với một mục dành cho hotmail.com đồng thời tạo một rule để chặn truy cập vào hotmail.com sử dụng mọi giao thức. Mọi nỗ lực truy cập vào trang hotmail.com với một ứng dụng trình duyệt sẽ bị chặn, tuy nhiên người dùng sử dụng máy trạm SMTP hay POP3 đã được cấu hình sẽ vẫn có thể truy lục mail từ hotmail.com bởi vì URL Set chỉ áp dụng cho phiên truy cập HTTP, HTTPS và FTP thông qua Web Proxy.

Luôn phải nhớ đến sự khác biệt giữa Domain Name Sets và URL Sets. URL Sets cho phép bạn giới hạn truy cập, chặn lưu lượng tới URL mong muốn sử dụng giao thức HTTP và HTTPS miễn là máy trạm kết nối đang sử dụng giao thức đó qua bộ lọc Web Proxy. Ngược lại, Domain Name Sets chặn toàn bộ truy cập tới miền dù sử dụng bất kì giao thức.

Tạo Access Rule

Domain Name Sets và URL Sets cần phỉa sử dụng Access Rules. Bạn có thể tạo Domain Name Sets hay URL Sets như một chức năng của wizard Access Rule. Thực hiện các bước dưới đây để tạo một Access Rule và Domain Name hay URL Set liên quan để chặn truy cập:

1. Mở Management Console của ISA Server 2006.

2. Mở rộng tên máy chủ rồi lựa chọn Firewall Policy.

3. Click chọn tab Tasks trong Task Pane.

4. Lựa chọn Create a New Access Rule.

5. Nhập tên cho Access Rule (Ví dụ Block ESPN) rồi nhấn Next.

6. Lựa chọn Deny trên trang Rule Action rồi nhấn Next.

7. Trên trang Protocols, bạn hãy lựa chọn tạo Domain Name Set hay URL Set.

Nếu tạo Domain Name Set, hãy lựa chọn All Outbound Traffic.

Nếu tạo URL Set, hãy lựa chọn Selected Protocols sau đó lựa chọn tiếp HTTP và HTTPS.

8. Click Next.

9. Click nút Add trên trang Access Rule Sources.

10. Click tiếp vào Networks rồi chọn Internal. Sau đó nhấn Close.

11. Click Next.

12. Lựa chọn Add trên trang Access Rule Destinations.

13. Trên trang Add Network Entities, lựa chọn Domain Name Set hoặc URL Set.

14. Sau đó nhập tên cho Domain Name hay URL Set trong hộp thoại hiển thị.

15. Nhấn nút New rồi nhập tên miền muốn chặn truy cập. Ví dụ *.espn.com.

16. Nhấn OK.

Nhớ rằng Access Rule được xử lý theo trật tự trước sau. Bạn cần di chuyển Access Rule mới và mọi Deny Rule khác lên đầu danh sách để hệ thống xử lý những rule từ chối trước sau đó mới xử lý đến rule cho phép truy cập.