Triển khai GFI WebMonitor 2009

Quản trị mạng - Khả năng giám sát và kiểm soát phiên truy cập của người dùng tới Web là rất quan trọng trong công việc quản trị hiện nay, và phần mềm GFI tích hợp một số công cụ có thể giúp người dùng thỏa mãn được như cầu này.
 
Được phát hành như một phiên bản proxy độc lập vận hành trên hầu hết môi trường mạng như một pug-in chuyên dụng cho các công ty đã triển khai Microsoft ISA Server, GFI WebMonitor là một công cụ tổng hợp giúp kiểm soát truy cập, lọc, kiểm tra, và kiểm soát Web bằng chính sách mà mọi tổ chức đã cân nhắc kỹ lưỡng trước khi triển khai.

Cài đặt và cấu hình

Phiên bản độc lập của GFI WebMonitor có thể được triển khai theo hai cấu hình khác nhau, gồm chế độ Simple Proxy, và chế độ Gateway. Chế độ Simple Proxy yêu cầu thiết bị cổng nối Internet hỗ trợ chặn cổng (cấu hình thiết bị chặn lưu lượng HTTP xuất phát từ máy trạm trên mạng trong khi cho phép lưu lượng HTTP khởi đầu từ hệ thống GFI WebMonitor) hay chuyển tiếp lưu lượng (cấu hình thiết bị để cho phép lưu lượng HTTP ngoài xuất phát từ hệ thống GFI WebMonitor và để chuyển tiếp lưu lượng từ máy trạm tới hệ thống WebMonitor). Với chế độ Simple Proxy, hệ thống GFI WebMonitor chỉ yêu cầu sử dụng một card giao tiếp mạng (NIC) và hoạt động như một Proxy Server cho các máy trạm trên mạng LAN.

Trong bài viết này chúng ta sẽ triển khai GFI WebMonitor theo chế độ Gateway, chế độ này yêu cầu hệ thống GFI WebMonitor sử dụng hai NIC để có thể hoạt động như một cổng nối giữa mạng riêng tư nơi các máy trạm kết nối tới và một mạng ngoài chứa các thiết bị kết nối Internet. Hệ thống sử dụng trong ví dụ này đang vận hành Windows Server 2008 R2, và chúng ta sẽ bắt đầu bằng việc cài đặt dịch vụ chức năng Routing and Remote Access (RRAS), sau đó cấu hình RRAS cho Network Access Translation (NAT). Một NIC trên máy chủ cổng nối có tên SRV-GW được bổ sung vào mạng riêng tư 10.0.0.0/8 có chứa các máy trạm Windows 7; NIC còn lại được đưa vào mạng ngoài 172.16.0.0./16 nơi chứa thiết bị cổng nối Internet (một router DSL). Khi NAT đã được cấu hình trên hệ thống cổng nối, xác nhận rằng các máy trạm trên mạng 10.0.0.0 có thể duyệt tìm Web bằng cách chuyển hướng lưu lượng qua máy tính cổng nối sau đó điều hướng tiếp qua router DSL.

Tiếp theo chúng ta sẽ cài đặt GFI WebMonitor trên máy tính cổng nối và giữ nguyên các cài đặt mặc định. Đảm bảo rằng tài khoản dịch vụ chỉ định cho GFI WebMonitor có quyền người dùng Log On As A Service (đăng nhập như một dịch vụ), nếu không GFI WebMonitor và các dịch vụ GFI Proxy sẽ không khởi chạy. Khi tiến trình cài đặt hoàn thành, Configuration Wizard sẽ khởi chạy để hướng dẫn chúng ta cấu hình GFI WebMonitor, trên Wizard này chúng ta sẽ lựa chọn tùy chọn Gateway mode (chế độ cổng nối) như trong hình 1.

 

Hình 1: Lựa chọn tùy chọn cấu hình Gateway mode.

Trang cuối cùng của Wizard này cho biết GFI WebMonitor sẽ nhận lưu lượng HTTP trên 10.0.0.1 qua cổng 8080 (hình 2).

 

Hình 2: Kiểm tra các cài đặt Web Proxy trên Gateway Server.

Những cài đặt này rất quan trọng bởi vì khi GFI WebMonitor được cài đặt trên hệ thống cổng nối, các máy trạm trong mạng riêng tư sẽ không thể trình duyệt Web nếu các cài đặt Internet Explorer Proxy của chúng không được cấu hình sử dụng những cài đặt này. Do chỉ sử dụng máy trạm Windows 7 trên mạng triêng tư, nên chúng ta sẽ cấu hình thủ công các cài đặt của IE Proxy bằng cách mở Internet Options từ Control Panel, trên hộp thoại xuất hiện, click chọn tab Connections nhấn nút LAN Settings (hình 3).

 

Hình 3: Cấu hình cài đặt của Web Proxy trên máy trạm.





Với những môi trường lớn, chúng ta có thể cấu hình các cài đặt của IE Proxy trên máy trạm trong Group Policy sử dụng node Proxy Settings policy trong User Configuration | Policies | Windows Settings | Internet Explorer Maintenance | Connection.

Với những mỗi trường đơn giản, chúng ta có thể sử dụng Web Proxy Autodiscovery (WPAD) được kích hoạt mặc định trong GFI WebMonitor.

Một vấn đề có thể phát sinh đó là máy trạm vẫn không thể trình duyệt Web cho dù những cài đặt IE Proxy của chúng đã được cấu hình phù hợp. Đó là do tính năng Advanced Security của Windows Firewall. Để khắc phục vấn đề này, tạo một quy định cổng mới cho phép lưu lượng TCP đến trên cổng 8080, sau đó các máy trạm sẽ có thể trình duyệt Web qua hệ thống cổng nối.

Giám sát và kiểm soát hành vi Web

Khi GFI WebMonitor đã được cài đặt và cấu hình, giao diện người dùng của ứng dụng này rất trực quan và dễ sử dụng. Hình 4 hiển thị Console quản trị của GFI WebMonitor với mục Dashboard đã được lựa chọn. Mục này sẽ hiển thị một khung nhìn số liệu và đồ họa của tiến trình kiểm soát, bảo mật, lọc hành vi Web trên Gateway Server. Khi lựa chọn một node trong bảng trái, thông tin cho tiết của node này sẽ được hiển thị trong bảng phải của Console này.

 

Hình 4: Node Dashboard trong Console quản trị của GFI WebMonitor.

Để kiểm tra thống kê giám sát chi tiết, lựa chọn node Monitoring (hình 5). Khi lựa chọn node này và các node con trong đó, chúng ta có thể truy cập thời gian thực vào các kết nối HTTP đang hoạt động từ những máy trạm trên mạng, kiểm tra danh sách các kết nối gần đây, hiển thị thống kê sử dụng băng thông, kiểm tra những trang thường được truy cập, …


Hình 5: Các tùy chọn giám sát Web.

Ví dụ, hình 6 hiển thị hai máy trạm có địa chỉ IP là 10.0.0.100 và 10.0.0.101 hiện đang tải những file lớn từ Internet. Khi nhấn vào nút X mầu đỏ của một trong hai máy, tiến trình tải sẽ bị dừng lại.


Hình 6: Hủy bỏ tải dữ liệu qua HTTP.





Một ví dụ khác, node Top Sites bên trong Bandwith Consumption liệt kê 10 trang Web thường được người dùng truy cập qua băng thông (hình 7). Lưu ý rằng Drudge Report, một trang phổ dụng mới, là một trong những trang được sử dụng nhiều nhất.


Hình 7: Kiểm tra những trang thường được truy cập qua băng thông.

Trang Web Drudge Report được thiết kế đơn giản và sạch, điều này có nghĩa là lượng băng thông 701.42KB được thống kê mà người dùng đã sử dụng để truy cập trang này có thể không chính xác, do đó chúng ta cần kiểm tra một node khác có tên Top Time Consumption để xác định lượng thời gian mà người dùng sử dụng để truy cập vào trang này (hình 8). Tuy nhiên lượng thời gian sử dụng chỉ có tính chất tương đối.


Hình 8: Kiểm tra các trang theo lượng thời gian mà người dùng sử dụng.

Drudge gần giống với thuật ngữ thời gian lướt Web. Để kiểm tra số lượng người dùng đã truy cập vào và hiển thị thông tin chi tiết bổ sung của trang này chúng ta chỉ cần click vào liên kết www.drudgereport.com.

 

Hình 9: Lược sử truy cập của trang www.drudgereport.com.

Chúng ta có thể thấy rằng một vài người dùng đa truy cập vào trang này. Nếu chỉ có một người dùng đã truy cập vào, chúng ta có thể trực tiếp đưa ra cảnh báo tới người dùng đó. Còn trong trường hợp có nhiều người dùng truy cập, cần phải tạo một chính sách ngăn chặn người dùng truy cập vào trang này. Để tạo một chính sách chặn truy cập, trước tiên cần bổ sung một mục vào Blacklist, một tính năng của GFI WebMonitor cho phép người dùng chặn trang Web, người dùng hay địa chỉ IP khỏi bị truy cập mà không quan tâm tới bất kỳ chính sách nào đã được cấu hình trước đó. Để tạo một mục Blacklist, lựa chọn node Balcklist trong thanh điều hướng, lựa chọn tiếp Site từ danh sách thả xuống, sau đó nhập địa chỉ URL của trang cần chặn rồi nhấn Add để bổ sung. Thực hiện xong nhấn nút Save Settings.


Hình 10: Chặn truy cập trang bằng tính năng Blacklist.

Sau khi chặn, nếu người dùng trong mạng sử dụng Internet Explorer để truy cập vào trang này sẽ thấy một thông báo như trong hình 11.


Hình 11: Thông báo hiển thị khi truy cập vào trang bị chặn.

Các phiên truy cập vào trang bị chặn này sẽ được lưu vào Activity Log.

 

Hình 12: Activity Log hiển thị các mục đã bị chặn.





Ngoài việc tạo danh sách chặn, chúng ta còn có thể sử dụng GFI WebMonitor để tạo danh sách trang, người dùng và địa chỉ IP được cho phép mà không liên quan tới những chính sách đã cấu hình trước đó. GFI WebMonitor cho phép tạo hai loại danh sách cho phép, gồm tạm thời và vĩnh viễn. Ví dụ, chúng ta có thể sử dụng danh sách tạm thời để tạm thời cho phép truy cập tới một trang cụ thể. Danh sách cho phép và danh sách chặn sẽ ghi đè lên mọi chính sách đã được cấu hình bằng WebFilter và WebSecurity.

Sử dụng WebFilter

Công cụ WebFilter của GFI WebMonitor cung cấp cho người dùng quyền kiểm soát cao hơn với phiên truy cập Internet của người dùng, nhóm người dùng và địa chỉ IP trên mạng. WebFilter thực hiện tác vụ này bằng cách kết hợp các chính sách lọc Web với WebGrade Database thực hiện lưu trữ và triển khai các chính sách lọc Web đồng thời cho phép tra cứu những địa chỉ URL không xuất hiện trong cơ sở dữ liệu này trong một cơ sở dữ liệu Internet rộng lớn được tạo bởi GFI. Hình 13 hiển thị Default Web Filtering Policy (chính sách lọc Web mặc định) áp dụng cho mọi người dùng tại mọi thời điểm và cho phép truy cập tới mọi địa chỉ URL.

 

Hình 13: Default Web Filtering Policy.

Nếu cần tạo một chính sách lọc Web để chặn một số kiểu dữ liệu nhất định, click vào nút Add rồi nhập tên và mô tả trên tab General của chính sách mới này (hình 14).


Hình 14: Tạo một chính sách lọc Web mới.

Lưu ý rằng chính sách mới ở trên sẽ được áp dụng tại mọi thời điểm. Một trong những tính năng đáng lưu ý của WebFilter đó là chúng ta có thể thực hiện lọc theo thời gian bằng cách cấu hình các chính sách để chỉ áp dụng cho những ngày, những thời điểm nhất định.

Tiếp theo click vào tab Web Filtering rồi lựa chọn những kiểu dữ liệu muốn chặn.


Hình 15: Chặn dữ liệu.

Tab Exceptions cho phép bổ sung hay loại bỏ một số trang cụ thể.


Hình 16: Bổ sung ngoại lệ cho chính sách.





Tab Applies To cho phép áp dụng chính sách này tới những người dùng, nhóm hay máy tính (địa chỉ IP). Trong ví dụ này, chúng ta sẽ áp dụng chính sách này tới một người dùng có tên Jacky (hình 17).


Hình 17: Áp dụng chính sách tới một người dùng cụ thể.

Tab Notifications cho phép GFI WebMonitor sử dụng máy chỉ SMTP mà chúng ta đã chỉ định trong quá trình cài đặt để thông báo cho quản trị viên khi người dùng thực hiện một tác vụ phạm phải chính sách này.


Hình 18: Thông báo được gửi đi khi chính sách bị vị phạm.

Nhấn nút Save Settings. Khi lựa chọn lại node Filtering chúng ta sẽ thấy chính sách mới này.

 

Hình 19: Chính sách lọc Web mới.

Hình 20 hiển thị thông báo xuất hiện khi Jacky truy cập vào một trang bị chặn bởi chính sách lọc Web mà chúng ta vừa tạo.


Hình 20: Thông báo hiển thị khi vi phạm chính sách.

Sử dụng WebSecurity

Tính năng WebSecurity của GFI WebMonitor cung cấp các giới hạn kiểm soát sử dụng và kiểm tra, như kiểm soát tải, liên lạc email, quét virus, bảo vệ chống giả mạo. WebSecurity tích hợp ba ứng dụng diệt virus phổ dụng, gồm Kaspersky, Norman và BitDefender.


Hình 21: Những phần mềm diệt virus tích hợp trong WebSecurity của GFI WebMonitor.





Tiếp theo chúng ta sẽ tìm hiểu phương pháp WebSecurity giúp khắc phục một vấn đề mà các quản trị viên gặp phải, cụ thể là khả năng tải file chạy từ Web.

Default Download Control Policy (Chính sách kiểm soát tải mặc định) sẽ áp dụng cho mọi người tại mọi thời điểm, và không có bất kì giới hạn nào trên những kiểu file mà người dùng tải.


Hình 22: Default Download Control Policy.

Để chặn người dùng trên mạng tỉa file .exe, mở Default Download Control Policy rồi chọn tab Download như trong hình 23.


Hình 23: Danh sách kiểm file có thể cho phép/chặn/cách ly.

Lưu ý: Nếu chỉ muốn chặn những người dùng, nhóm hay máy tính nhất định tải một số kiểu file, chúng ta cần tạo một Download Control Policy mới rồi cấu hình cho chính sách này.

Tiếp theo click vào mục Executable trong danh sách này rồi chọn tùy chọn Block And Quarantine để chặn người dùng tải file thực thi, và lưu trữ những file tải độc vào vùng cách ly để kiểm tra.


Hình 24: Chặn và cách ly file thực thi.

Thực hiện xong nhấn nút Save Settings để cập nhật Default Download Control Policy. Sau đó mối khi người dùng tải file .exe từ trang Web thì sẽ có thông báo như trong hình 25 xuất hiện.

 

Hình 25: Thông báo chặn tải file thực thi.

Khi sử dụng tính năng Quarantine của GFI WebMonitor, chúng ta có thể xem các mục đã được cách ly và có thể lựa chọn xóa hoặc cho phép thực hiện tải với những mục này.


Hình 26: Kiểm tra những mục bị cách ly.

Kết luận

Như chúng ta đã thấy GFI WebMonitor là một công cụ khá mạnh, dễ sử dụng, cấu hình và cài đặt. Chúng ta có thể triển khai GFI WebMonitor trong môi trường nhóm làm việc hoặc Active Directory. Nếu đang sử dụng Microsoft SQL Server, chúng ta còn có thể cấu hình tính năng Reporting của GFI WebMonitor để ghi lại số liệu thống kê vào một cơ sở dữ liệu SQL, do đó chúng ta có thể theo dõi những gì đang diễn ra trên mạng bằng Crystal Reports hay một số công cụ phân tích khác.
Thứ Sáu, 18/12/2009 10:54
31 👨 7.843