Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn chi tiết về Access Rules sau khi đã cùng nhau đi tạo xong một rule bằng wizard trong phần 1.
[#RelatedNews(8)#] |
Trong phần 1 của loạt bài gồm có hai phần về Access Rules này, chúng tôi đã giới thiệu cho các bạn về mục đích và quá trình tạo Access Rule cũng như cách sử dụng Access Rule wizard cho việc tạo một rule nào đó. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn chi tiết về Access Rules sau khi đã cùng nhau đi tạo bằng wizard trong phần 1. Chúng tôi muốn thực hiện điều này là vì có một số thiết lập không lộ diện trong Access Rule wizard.
Nếu kích đúp vào một rule truy cập nào đó sau khi tạo nó, bạn sẽ thấy hộp thoại Properties cho rule xuất hiện. Tab đầu tiên mà bạn sẽ thấy là tab General. Ở đây bạn có thể đặt lại tên của rule và cung cấp phần mô tả cho nó. Chúng tôi thấy phần mô tả là rất hữu dụng, vì bạn có thể minh chứng bằng tài liệu mục đích của rule, ai đã tạo rule, rule được tạo khi nào và lý do nó được tạo, chẳng hạn như ai đó đã yêu cầu tạo rule hoặc vấn đề doanh nghiệp nào đó mà nó cần giải quyết.
Lưu ý rằng thứ tự đánh giá Evaluation order nằm trong tab này. Mặc dù vậy, bạn cần biết đây là thứ tự đánh giá cho danh sách các rule tường lửa nằm bên ngoài các rule System Policy. Các rule System Policy luôn được đánh giá trước các rule chính sách. Bạn cũng có thể kích hoạt hoặc vô hiệu hóa rule bằng cách sử dụng hộp kiểm Enable.
Hình 1
Trên tab Action, bạn có một số tùy chọn:
- Allow – Khi chọn tùy chọn này, rule sẽ trở thành rule cho phép và khi cố gắng kết nối khớp với các thiết lập trong rule này, kết nối sẽ được cho phép.
- Deny – Khi chọn tùy chọn này, rule trở thành rule từ chối và cố gắng kết nối khớp với các thiết lập trong rule này, kết nối sẽ bị từ chối.
- Display denial notification to user – Nếu rule là HTTP rule và chọn tùy chọn này thì bạn có thể nhập vào một đoạn văn bản, đoạn văn bản này sẽ được trả về với người dùng khi kết nối bị từ chối. Thông tin này sẽ được hiển thị trong cửa sổ của trình duyệt. Bằng cách sử dụng tùy chọn này, bạn có thể cho phép người dùng biết tại sao kết nối bị từ chối.
- Add denied request category to notification – Tùy chọn này chỉ có sẵn khi URL filtering được kích hoạt nếu kích hoạt URL filtering trên tường lửa TMG của mình, ban sẽ có tùy chọn để cho phép người dùng biết, khi yêu cầu bị từ chối, site mà người dùng cố gắng truy cập nằm trong hạng mục nào. Nói chung, người dùng không thực sự quan tâm đến các thông tin này, tuy nhiên nếu bạn có các rule áp cho các quản trị viên và một số người dùng đặc biệt, rất có thể họ sẽ quan tâm đến các thông tin này để tạo các yêu cầu nhằm phân loại lại các site.
- Redirect web client to the following URL – Nếu không muốn cung cấp cho người dùng một trang hiển thị tại sao kết nối bị từ chối, bạn có tùy chọn để chuyển hướng (redirect) người dùng đến một website nào đó. Đây có thể là website gồm có các hạng mục thỏa thuận dịch vụ mà bạn đặt ra với người dùng hoặc một site giáo dục cung cấp cho họ các thông tin về việc sử dụng thích hợp kết nối Internet công ty.
- Log requests matching this rule – Tùy chọn này được kích hoạt mặc định và cho phép các kết nối khớp với rule này sẽ được ghi vào trong bản ghi của tường lửa TMG. Mặc dù vậy, sẽ có lần bạn không muốn ghi các thông tin – chẳng hạn như lưu lượng không thích hợp. Điều này sẽ làm giảm được kích thước tổng thể của file bản ghi và tạo cho các bản ghi của bạn trong sáng hơn, dễ dàng độc và phân tích cú pháp hơn.
Hình 2
Trong trang Protocols, bạn có một số tùy chọn tương tự như các tùy chọn có trong Access Rule wizard. Hộp chọn This rule applies to cũng cung cấp các tùy chọn tương tự và bạn có thể sử dụng các nút Add, Edit và Remove để chỉnh sửa, thêm, bớt các giao thức sẽ áp với rule này. Bạn cũng có tùy chọn Ports đã có sẵn. Nút Filtering, khi được kích hoạt, sẽ cho phép bạn cấu hình HTTP Policy cho rule (nếu nó là một HTTP rule). Tính năng này được nhóm vào các phiên bản trước của tường lửa ISA, được biết đến nhiều hơn với các tên HTTP Security Filter. Cũng có thể có các bộ lọc khác – phụ thuộc vào giao thức bạn sử dụng – nếu bộ lọc có thể áp với các giao thức gửi ra. Hầu hết các bộ lọc giao thức mà chúng ta có với TMG đều được thiết kế để bảo vệ kết nối gửi vào, tuy nhiên có một số áp cho các giao thức gửi ra.
Hình 3
Trong tab From, bạn có thể định nghĩa các nguồn mà rule sẽ áp cho chúng. Có nhiều máy khách nằm trên mạng bảo vệ TMG. Tùy chọn này tương tự như những gì bạn thấy trong Access Rule wizard. Khi kích Add, bạn sẽ thấy xuất hiện hộp thoại Add Network Entities và có thể chọn từ một số entry mạng hoặc tạo các entry mới. Một tùy chọn có sẵn trong tab này nhưng không lộ diện trong Access Rule wizard là phần Exceptions. Ở đây bạn có thể thiết lập các nguồn mà mình muốn rule áp với nó, tuy nhiên lại có một tập con bên trong nhóm đó là ngoại lệ, bạn có thể đặt các trường hợp ngoại lệ đó vào phần Exceptions. Đây là một tùy chọn hết sức mạnh và đôi khi cần phải lưu ý trong thiết kế Access Rules của bạn.
Hình 4
Tab To cũng tương tự với tab From, nơi bạn định nghĩa đích mà mình muốn rule khớp với. Khi kích Add, bạn sẽ thấy hộp thoại Add Network Entities, có thể chọn đích từ danh sách hoặc có thể tạo một đích mới. Như bên trong tab From, bạn cũng có tùy chọn cho việc tạo các ngoại lệ Exceptions.
Hình 5
Trong tab Users, bạn có thể định nghĩa rule sẽ áp cho người dùng nào. Mặc định, All Users là tập người dùng được sử dụng cho Access Rules. Cần lưu ý All Users ở đây không thực sự có nghĩa là tất cả người dùng mà chỉ là các kết nối nặc danh và các kết nối được nhận thực – vì vậy nó có nghĩa “phạm vi người dùng không được xem xét”. Nếu bạn muốn bắt người dùng phải nhận thực, bạn cần phải sử dụng một tập người dùng khác và remove tập người dùng All Users.
Nếu kích Add, bạn có thể chọn All Authenticated Users và chỉ có người dùng có thể nhận thực với tường lửa TMG mới được phép truy cập qua rule này. Sự nhận thực có thể được thực hiện qua cấu hình web proxy máy khách hoặc cấu hình Firewall máy khách (TMG máy khách). Nếu muốn tạo một tập người dùng của riêng mình, bạn hãy kích nút New.
Hình 6
Khi kích New, chương trình sẽ khởi chạy Welcome to the New User Set wizard. Trên trang đầu tiên của wizard, nhập vào tên cho tập người dùng. Trong ví dụ này, chúng ta sẽ tạo một tập người dùng gồm có nhóm Domain Admins Active Directory, vì vậy hãy đặt tên cho rule này là Administrators và kích Next.
Hình 7
Trong trang Users, khi kích Add, một menu sẽ xuất hiện. Menu này gồm có các nguồn nhận thực sau:
- Windows users and groups – Có nhiều người dùng và nhóm người dùng bên trong miền Active Directory hoặc một miền đích thực mà tường lửa TMG thuộc về nó.
- LDAP – Có nhiều người dùng và nhóm người dùng bên trong Active Directory và bạn có thể sử dụng khi tường lửa TMG không phải là một thành viên của miền. Cần lưu ý rằng TMG không hỗ trợ nhận thực LDAP cho Access Rules.
- RADIUS – Có người dùng có thể truy cập qua RADIUS. Lưu ý rằng bản thân RADIUS không hỗ trợ Group Membership, mặc dù vậy bạn có thể tạo một tập người dùng có chứa nhiều tài khoản có thể truy cập thông qua RADIUS, một thứ khá hiệu quả trong các nhóm đặc biệt trên tường lửa TMG. RADIUS được hỗ trợ cho các kết nối web gửi ra qua tường lửa TMG.
- SecurID – Có nhiều người dùng được định nghĩa bởi SecurID. Tuy nhiên SecurID không được hỗ trợ cho các kết nối gửi ra qua tường lửa TMG thông qua Access Rules.
Trong ví dụ này, tường lửa TMG đã gia nhập vào miền Active Directory, vì vậy chúng ta sẽ chọn Windows users and groups.
Hình 8
Bạn sẽ thấy xuất hiện hộp thoại Select Users or Groups. Chúng ta nhập Domain Admins vào trong hộp văn bản Enter the object names to select và kích Check Names sau đó kích OK để thêm nhóm Active Directory này vào tập người dùng.
Hình 9
Bạn sẽ thấy tập người dùng mới trên trang Users. Có thể thêm nhiều người dùng nữa vào tập người dùng này nếu thích. Trong ví dụ này, chúng ta sẽ kích Next và không thêm bất cứ ai vào tập người dùng này.
Hình 10
Trong trang Completing the New User Set Wizard, kích Finish để tạo tập người dùng mới.
Hình 11
Lúc này, bạn có thể tạo nhóm Administrators trong hộp thoại Add Users và có thể sử dụng nhóm này trong Access Rules và việc publish các rule.
Hình 12
Trên tab Schedule, bạn có thể thiết lập một lịch trình cho rule để đặt thời gian rule sẽ được áp dụng. Lưu ý rằng khi bạn định nghĩa một lịch trình, lịch trình sẽ chỉ được áp dụng cho các kết nối mới để phòng trường hợp người dùng đã kết nối trước khi lịch trình hết hạn, khi đó kết nối của người dùng sẽ không bị đứt. Mặc dù vậy, nếu một cố gắng kết nối mới hợp với rule nằm bên ngoài lịch trình, kết nối đó sẽ bị từ chối. Lịch trình mặc định luôn là Always, tuy nhiên có hai lịch trình đi kèm khác: Weekends và Work hours. Nếu không thích các lịch trình đi kèm này, bạn có thể kích nút New và tạo một lịch tình tùy biến.
Hình 13
Tab Malware Inspection là một tab chỉ có sẵn trên tường lửa TMG. Có một vài tùy chọn trên tab này không được lộ diện trong Access Rule wizard:
- Inspect content downloaded from web servers to clients – Khi bạn kích hoạt tùy chọn này, tất cả các nội dung được download từ các máy chủ web sẽ được thanh tra malware bằng Microsoft AV engine đã được sử dụng bởi tường lửa TMG.
- Force full content requests (remove HTTP Range header) – Buộc tường lửa phải yêu cầu nội dung hoàn chỉnh để nó có thể được đánh giá một cách toàn bộ. Nếu chỉ đánh giá một dải nào đó, các mối nguy hiểm tiềm tàng có thể bị bỏ sót.
- Use rule specific settings for malware inspection – Bạn có thể tùy biến các thiết lập chống malware cho rule khi chọn tùy chọn này. Nếu chọn tùy chọn này, bạn cần kích nút Rule Settings để hoàn tất cấu hình tùy biến của mình.
Hình 14
Trong trang Edit Rule Malware Inspection Settings, bạn có một số tùy chọn. Hình dưới thể hiện các thiết lập mặc định:
- Attempt to clean the infected files – Khi thiết lập này được kích hoạt, tường lửa TMG sẽ cố gắng làm sạch file trước khi chuyển tiếp nó đến người dùng. Nếu file không thể làm sạch, nó sẽ xóa file.
- Block files with low and medium severity threats (higher level threats are blocked automatically) – Tường lửa TMG mặc định sẽ không khóa các file ở mức nguy hiểm thông thường và thấp, bằng hệ thống phân loại của Microsoft AM engine.
- Block suspicious files – Tường lửa TMG sử dụng phương pháp suy nghiệm để xác định xem một file nào đó có phải là malware hay không. Khi tùy chọn này được chọn, file sẽ bị khóa nếu phương pháp suy nghiệm xác định file có thể là malware.
- Block corrupted files – Khi tùy chọn này được kích hoạt, các file được xác định là lỗi sẽ bị khóa.
- Block files that cannot be scanned – Khi tùy chọn này được kích hoạt, nếu Microsoft AV engine không thể quét file, file đó sẽ bị khóa.
- Block encrypted files – Nếu file được mã hóa, Microsoft AV engine sẽ không thể đánh giá file và vì vậy, khi tùy chọn này được kích hoạt, nó sẽ khóa file.
- Block files if scanning time exceeds (seconds) – Khi tùy chọn này được kích hoạt, nó sẽ hạn chế thời gian Microsoft AV engine có thể đánh giá một file trước khi quyết định chuyển tiếp hoặc khóa nó. Giá trị mặc định là 5 phút.
- Block files if archive level depth exceeds - Khi tùy chọn này được kích hoạt, AV engine sẽ khóa các file vượt quá thiết lập về độ sâu lưu trữ ở đây. Giá trị mặc định là 20 mức.
- Block files larger than (MB) - Khi tùy chọn này được kích hoạt, nó sẽ khóa các file lớn hơn giá trị được liệt trong hộp văn bản, với giá trị mặc định là 1000MB (1GB). Tùy chọn này có thể được sử dụng để cải thiện hiệu suất trên tường lửa TMG, tuy nhiên bạn cần phải cần thận nếu không sẽ khóa các file mà người dùng cần vì khá nhiều người dùng thường làm việc với các file có dung lượng lớn.
- Block archive files if unpacked content is large than (MB) – Tùy chọn này thiết lập kích thước lớn nhất của một file được giải nén. Giá trị này được sử dụng để dự trữ bộ nhớ trong tường lửa TMG.
Hình 15
Kết luận
Trong bài này, chúng tôi đã giới thiệu cho các bạn các chi tiết về Access Rules. Hầu hết trong số các tùy chọn mà bạn muốn cấu hình đều đã lộ diện trong Access Rule Wizard, tuy nhiên vẫn có một số tùy chọn quan trọng khác chỉ có thể truy cập sau khi bạn đã tạo rule, bằng cách truy cập vào hộp thoại Properties của rule. Chúng tôi hy vọng loạt bài gồm có hai phần này sẽ giúp ích được cho các bạn, nhất là những người mới làm quen với tường lửa TMG và các thông tin này sẽ giúp các bạn tạo các chính sách truy cập gửi ra phù hợp với tổ chức mình.