Isa 2006

Dear ban,

Không nên để DC va ISA cùng 1 máy tinh. Đó là chuyện không nên.

Thân mến

Chào !!!
MỘt vài lưu ý :
1) Bạn không nên dùng ISA chung với DC vì các lí do sau :
1.1 ) DC là vua không nên cho nó ra ngoài (do ISA là tường thành gần biên giới luôn phải chống mọi cuộc tấn công)
1.2) DC đảm nhận thêm chức năng ISA sẽ hoạt động chậm hơn
2) Bạn kiểm tra xem mình có tạo một access rule cho phép truy cập chưa , vì mặc định khi cài đặt thì ISA sẽ cấm tất cả

Tải cấu hình tại đây (tiếng việt) :
Chúc bạn vui !!!

Chào mọi người!
EM cũng có một vấn đề với ISA 2006 mong được chỉ giáo
Hiện nay em đang cài đặt ISA2006 trên một máy vơi mô hình và thiết lập như sau:
LAN (+DC) <--->ISA <---> ADSL
dải địa chỉ cho LAN: 172.16.1.0/24
DC: 172.16.1.2 DG: 172.16.1.1 (add của ISA)
(cài AD, dịch vụ DNS, DHCP)
ISA 2 card mạng:
+ Internal : 172.16.1.1/16
+ External : 192.168.1.2/24
GW: 192.168.1.1
Em cài ISA 2006 server: và thiết lập một số rule như một số sách hướng dẫn(thông cảm vì em ko up được hình vẽ) nhưng vẫn gặp phải một số vấn đề, cụ thể các rule em tạo như sau:
- Allow Internal to External (all outbound traffic & all user)
- Allow External to Internal (all outbound traffic & all user)
- Allow Local host to Ex, Internal (all outbound traffic & all user)
- Allow Ex, Internal to Local host (all outbound traffic & all user)
Tuy nhiên trên máy ISA có thể ping được ra các máy trong LAN và Internet nhưng lại không duyệt web được.
và các máy khác trong LAN thì có thể ping được máy ISA sau đó em thêm một Rule nữa cho phép tất cả traffic và Network qua ISA.
- Allow all Network (and Local host)--> all network and local host (all outbound traffic & all user).
thì lại có thể duyệt web bình thường và máy trong LAN có thể ping được ISA.
Như vậy thì 4 rule em tạo ở trên có gì sai ko?
Vậy nhờ các bác chỉ giúp, cần phải cấu hình tối thiều những rule như thế nào để cho phép các máy trong LAN có thể ra ngoài internet qua con ISA này.Thêm nữa sau này em còn muốn thiết lập VPN trên ISA này nữa.
Vậy mong được mọi người chỉ giáo.
Thank All!!!

Chào !!!
Khuyến khích :
+ DNS của các máy trong internal cũng như ISA nên dùng DNS nội bộ (đĩa chỉ của DC)
+ ISA tốt nhất là đảm bảo (nội bất xuất ngoại bất nhập):
++++ ko truy cập internet được và ko cho bên ngoài truy cập vào
++++ ko cho các máy bên trong truy cập vào được ISA
+ Khi thiết lập Rule nên làm chi tiết hoá , càng chi tiết càng tốt để tận dụng hết chức năng của ISA

Vấn đề của bạn :
Đầu tiên ta xét những rule bạn đã tạo ra
+ Mặc định thì ISA khi cài đặt đã có 1 rule cấm tất cả
+ => ko khả thi và không ai làm như vậy, ở đây ta chỉ nên dùng nó để test
4 rule này có thể làm thành 1 rule (rule này đối ngược hoàn toàn với default rule)
Nó sẽ duyệt theo thứ tự từ trên xuống dưới các RUle này, với thiết lập này xem như ko cần cài ISA => do đó chắc chắn máy ISA sẽ ra internet được. Bạn xem lại thứ tự hoặc chắc chắn đã nhấn apply cho từng rule.

1) Tuy nhiên trên máy ISA có thể ping được ra các máy trong LAN và Internet nhưng lại không duyệt web được.=> bạn xem vấn đề DNS. Phân giải nslookup

2)=> Ở đây bạn chỉ cần làm các rule sao :
+ internal (i) -> external (e) mở port 53 (DNS)
+ i->e mở port 80( http) ,443 (https)
Chỉ cần 2 rule này là user bên trong có thể truy cập web(việc cấm cụ thể từng trang Web chúng sẽ nói sau)
3) => Tải file đính kèm

Chúc bạn vui 1!!

vấn đề ISA 2006.help!!!

Cám ơn Phúc rất nhiều!
Mình mới dùng ISA nên thiết lập mấy cái Rule đó ra là để test xem thằng ISA nó chạy thế nào? Thông thường theo lý thuyết mà nói thì 4 rule đó là các máy trong mạng đã có thể truy cập được ra ngoài Internet vô tư rồi đúng không? và từ máy trong mạng LAN cũng có thể ping được với thằng Local host rồi. nhưng mạng của mình thì lại không được vậy. ko biết lỗi tại thằng nào? có phải ISA? mình đang dùng ISA server2006 Enterprise edition. Mạng mình gặp vấn đề sau:
- với 4 rule đó thì Local host có thể ping được đến tất cả các máy trong LAN và có thể ping được ra các mạng ngoài inernet, nhưng các máy ping tới nó thì lúc được lúc mất và không thể truy cập được ra ngoài Internet. Local host cũng vậy chỉ ping được nhưng duyệt web thì lúc được lúc mất. và thông báo một lỗi sau:
Error code 403: The ISA server denied the specified uniform resource locator (URL) (12202).
- Hiện tại mình muốn thiết lập các rule cho ISA chạy thông suốt, để còn thiết lập VPN client to site và cho các máy trong LAN ra NET ngon lành đã. Phúc và mọi người đã có kinh nghiệm trong vấn để này xin hãy debug giúp mình với. Cần phải thiết lập các rule nào nhưng cũng chưa cần chặt lắm chỉ để cho thông đã, còn các chính sách bảo mật cho mạng mình sẽ thỉnh giáo sau. :105:
Cho mình hỏi thêm Phúc chút nhé: mấy cái port mà Phúc bảo mở thêm đó là trong ISA đúng không nhưng mình đã để all outbound thì các port đó cũng được mở hết rồi phải ko? còn những port cần thiết cho web và vpn thì mình cũng đã mở trong modem rồi.
Rất mong được mọi người giúp đỡ.
Cám ơn mọi người! chúc mọi người ngày cuối tuần vui vẻ! :D.

=> bạn có thể diễn tả rõ hơn cụm từ : "đặt Direct cũng vào được mà đặt proxy cũng vào được" cụ thể hơn được không?

Chào !!!
++ Để có thể cấu hình ISA chạy trơn tru anh cần phải xem tài liệu hướng dẫn tiếng việt tại đây :
++ Để cấu hình VPN bạn xem tài liệu đính kèm trong bài viết này
=> KHi anh dùng all outbound thì các port đó đã được mở hết rồi. Anh cần kiểm tra xem SYSTEM RULE . Vào View-> System Rule xem đủ 30 Rule và thiết lập đúng mặc định chưa.

Chúc anh vui !!!

ISA mà tạo Rules kiểu này thì thôi rồi, để từ local có thể truy cập ra internet thì chỉ cần 1 rule : Allow Internal to External (all outbound traffic & all user).

PHẦN 2: ACCESS RULES
Tiếp theo phần 1, sau khi các bạn đã cài đặt thành công ISA Server 2006, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

Trong bộ bài viết này bao gồm các phần:
Phần I: Cài đặt ISA Server 2006
Phần II: Cấu hình Access Rule
Phần III: Cấu hình VPN Client-to-Gateway qua đường truyền ADSL


Bài lab bao gồm các bước:
1. Kiểm tra Default Rule
2. Tạo rule truy vấn DNS để phân giải tên miền
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang ngoisao.net
6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express
7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty


II. Chuẩn bị :
Mô hình bài lab như phần 1, bài lab bao gồm 2 máy:
- Máy DC: Windows Server 2003 SP2 hoặc Windows Server 2008
+ Tạo OU HCM. Trong OU HCM, tạo 2 group Manager, Staff.
+ Trong OU HCM, tạo 2 user Man1, Man2 làm thành viên của group Manager
+ Trong OU HCM, tạo 2 user Staff1, Staff2 làm thành viên của group Staff
- Máy ISA Server: Windows Server 2003 SP2

III. Thực hiện:
1. Kiểm tra Default Rule
- Mặc định sau khi cài ISA Server 2006, chỉ có 1 access rule tên Default Rule cấm tất cả mọi traffic ra vào



- Tại máy DC, log on MSOpenLab\Administrator, truy cập vào trang web bất kỳ, kiểm tra nhận được thông báo lỗi của ISA Server




- Vào cmd gõ lệnh nslookup, phân giải lần lượt tên 2 trang web sau: www.google.com và www.tuoitre.com.vn , kiểm tra phân giải thất bại




2. Tạo rule truy vấn DNS để phân giải tên miền
- Tại máy ISA Server, log on MSOpenLab\Administrator, mở ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule




- Hộp thoại Access Rule Names, đặt tên rule là: DNS Query




- Hộp thoại Rule Action, chọn Allow




- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add




- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add




- Nhấn Next




- Hộp thoại Access Rule Sources, Add 2 Rule : Internal và Local Host




- Hộp thoại Access Rule Destinaton, Add Rule: External, nhấn Next




- Hộp thoại User Sets, chọn All Users, nhấn Next




- Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về Rule lần cuối, sau đó nhấn Finish




- Nhấn chọn Apply, Ok



Lưu ý: Sau mỗi lần tạo rule, phải chọn Apply để rule có hiệu lực

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
a. Tạo Element để định nghĩa nhóm Manager và Staff
- Trong cửa sổ ISA Server Management, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục Users, chọn New




- Hộp thoại User set name, đặt tên là Manager

Hộp thoại Users, nhấn Add, chọn Windows users and groups…



- Add 2 users Man1 và Man2 vào hộp thoại Users




- Trong hộp thoại Completing, chọn Finish




- Nhấn Apply




- Tương tự, bạn tạo thêm nhóm là Staff



- Hộp thoại Users, Add 2 user Staff1 và Staff2, chọn Next



- Hộp thoại Completing the New User Set Wizard, chọn Finish


b Tạo Access Rule:
- Chuột phải Firewall Policy, chọn New, chọn Access Rule



- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access




- Hộp thoại Rule Action, chọn Allow




- Hộp thoại Protocols, chọn All outbound traffic




- Hộp thoại Access Rule Sources, add Internal, chọn Next




- Hộp thoại Access Rule Destinaton, add External, chọn Next




- Hộp thoại User Sets, remove group All Users, và add group Manager vào, chọn Next




- Hộp thoại Completing the New Access Rule Wizard, chọn Finish




- Nhấn chọn Apply, chọn OK



- Trên máy DC, log on MSOpenLab\Man1, truy cập trang web: http://vnexpress.net và http://www.google.com.vn kiểm tra truy cập thành công






4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
a. Tạo Schedule Element
- Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Schedules, chọn New

Trong ô Name, nhập tên Work Time. Bên dưới chọn từ (7h - 11h) và từ (1h – 5h)



- Tương tự, tạo thêm 1 schedule là Rest Time, với thời gian là từ 11h – 1h




b. Tạo Element URL Sets
- Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Network Objects, nhấn New, chọn URL Set




- Trong hộp thoại New URL Set. Ô Name , nhập tên: Restrict Web, add các trang web mà bạn muốn cấm (Vd:http://ngoisao.net ) chọn OK




- Tương tự, bạn tạo thêm URL Set là: Allow Web và add những trang web được phép truy cập vào



c. Tạo Access Rule:
- Chuột phải Firewall Policy, chọn New, chọn Access Rule




- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Work Time




- Hộp thoại Rule Action, chọn Allow




- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add




- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add



- Nhấn Next



- Hộp thoại Access Rule Sources, add Internal




- Hộp thoại Access Rule Destinaton, nhấn Add




- Bung URL Sets, chọn Allow Web




- Nhấn Next




- Hộp thoại User Sets, remove group All Users, add group Staff




- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish




- Chuột phải lên Rule Allow Staff on Work Time, chọn Properties



- Qua Tab Schedule, trong khung schedule, chọn là Work Time , Nhấn OK

- Trên máy DC, log on MSOPenLab\Staff1, truy cập trang web http://vnexpress.net và http://www.nhatnghe.com, kiểm tra truy cập thành công





- Truy cập những trang web khác, ví dụ:http://www.google.com, kiểm tra không truy cập được



5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang ngoisao.net
- Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule




- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Rest Time




- Hộp thoại Rule Action, chọn Allow
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add




- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add



- Nhấn Next




- Hộp thoại Access Rule Sources, add Internal, nhấn Next





- Hộp thoại Access Rule Destinaton, add External, nhấn Next




- Hộp thoại User Sets, remove group All Users, add group Staff vào, chọn Next




- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish



- Chuột phải lên rule Allow Staff on Rest Time, chọn Properties




- Qua Tab Schedule, trong mục Schedule, chọn Rest Time




- Qua tab To, khung Exceptions, nhấn Add




- Bung mục URL Sets, chọn Restrict Web



- Nhấn Apply, chọn OK




- Trên máy DC, log on user MSOPenLab\Staff2, truy cập trang: http://ngoisao.net, kiểm tra nhận thông báo lỗi.




- Truy cập những trang web khác (ví dụ: http://www.google.com.vn.) kiểm tra truy cập thành công

6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express
- Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule




- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access




- Hộp thoại Rule Action, chọn Allow




- Hộp thoại Protocols, chọn Selected Protocol, nhấn Add




- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn SMTP và POP3, nhấn Add




- Nhấn Next




- Hộp thoại Access Rule Sources, Aad Internal, nhấn Next




- Hộp thoại Access Rule Destinaton, add External, nhấn Next




- Hộp thoại User Sets, bạn chọn All Users




- Hộp thoại Completing the New Access Rule Wizard, Finish




- Nhấn chọn Apply, nhấn OK




- Log on Man1 trên máy DC, vào Start\Programs, chọn OutlookExpress
- Trong khung Display Name, bạn gõ tên vào. Ví dụ: msopenlab . Nhấn Next



- Trong khung email address, điền địa chỉ yahoo của bạn (Ví dụ: msopenlab@yahoo.com.vn) Nhấn Next



- Trong hộp thoại E-mail Server Names, trong khung My incoming mail server, bạn chọn là POP3
+ Incoming mail: pop.mail.yahoo.com.vn
+ Outgoing mail: smtp.mail.yahoo.com.vn
nhấn Next



- Trong hộp thoại Internet Mail Logon, nhậpaccount và passwordvào (không điền @yahoo.com.vn)




- Tiếp theo, vào Tools, chọn Accounts




- Qua tab Mail, nhấn Properties




- Trong hộp thoại Properties, qua tab Advanced.
+ Trong khung Outgoing mail (SMTP): bạn gõ vào 587
+ Trong khung Incoming mail (POP3), bạn gõ vào 995 và đánh dấu check vào ô chọn This server requires a secure connection
+ Trong khung Delivery, đánh dấucheck vào Leave a copy of messages on server
chọn Apply, OK



- Sau đó, nhấn vào biểu tượng Send/Receive, bạn sẽ nhận được mail từ yahoo tải về

7. Không cho nhân viên nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
a. Cấm trong giờ hành chánh
- Tại máy ISA Server, trong cửa sổ ISA Server Management, chuột phải lên rule Allow Staff on Work Time, chọn Configure HTTP




- Qua tab Signatures, nhấn Add




- Ở khung Name, nhập tên: Deny Yahoo Messenger
Khung Search in, chọn tùy chọn: Request headers
Khung HTTP Header, nhập: Host:
Khung Signature, nhập: msg.yahoo.com
chọn OK




- Nhấn Apply, chọn OK




- Qua tab Methods, trong khung Specify the action taken for HTTP methods, chọn Block specified methods (allow all others)




- Nhập vào những định dạng file mà bạn muốn cấm, ví dụ: .exe




- Chuột phải vào Allow Staff on Work Time, chọn Properties




- Qua tab Content Types, khung This rule applies to, chọn Selected content types
- Trong khung Content Types bỏ dấu chọn ô Audio và Video (để user không nghe nhạc trực tuyến). Nhấn Apply, chọn OK




b. Cấm trong giờ giải lao: Làm tương tự bước a trên rule Allow Staff on Rest Time

c. Kiểm tra:
- Log on Administrator trên máy Client, thử Sign in vào Yahoo Messenger, bạn sẽ không thể đăng nhập Yahoo được




- Thử truy cập vào trang http://nhacso.net, kiểm tra không được nghe nhạc trực tuyến



- Bạn thử download 1 file.exe bất kỳ từ trang web nào đó. (VD: http://bkav.com.vn)




- Kiểm tra sẽ thấy download thất bại