Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn chi tiết về Access Rules sau khi đã cùng nhau đi tạo xong một rule bằng wizard trong phần 1.
Trong phần 1 của loạt bài gồm có hai phần về Access Rules này, chúng tôi đã giới thiệu cho các bạn về mục đích và quá trình tạo Access Rule cũng như cách sử dụng Access Rule wizard cho việc tạo một rule nào đó. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn chi tiết về Access Rules sau khi đã cùng nhau đi tạo bằng wizard trong phần 1. Chúng tôi muốn thực hiện điều này là vì có một số thiết lập không lộ diện trong Access Rule wizard.
Nếu kích đúp vào một rule truy cập nào đó sau khi tạo nó, bạn sẽ thấy hộp thoại Properties cho rule xuất hiện. Tab đầu tiên mà bạn sẽ thấy là tab General. Ở đây bạn có thể đặt lại tên của rule và cung cấp phần mô tả cho nó. Chúng tôi thấy phần mô tả là rất hữu dụng, vì bạn có thể minh chứng bằng tài liệu mục đích của rule, ai đã tạo rule, rule được tạo khi nào và lý do nó được tạo, chẳng hạn như ai đó đã yêu cầu tạo rule hoặc vấn đề doanh nghiệp nào đó mà nó cần giải quyết.
Lưu ý rằng thứ tự đánh giá Evaluation order nằm trong tab này. Mặc dù vậy, bạn cần biết đây là thứ tự đánh giá cho danh sách các rule tường lửa nằm bên ngoài các rule System Policy. Các rule System Policy luôn được đánh giá trước các rule chính sách. Bạn cũng có thể kích hoạt hoặc vô hiệu hóa rule bằng cách sử dụng hộp kiểm Enable.
Hình 1
Trên tab Action, bạn có một số tùy chọn:
- Allow – Khi chọn tùy chọn này, rule sẽ trở thành rule cho phép và khi cố gắng kết nối khớp với các thiết lập trong rule này, kết nối sẽ được cho phép.
- Deny – Khi chọn tùy chọn này, rule trở thành rule từ chối và cố gắng kết nối khớp với các thiết lập trong rule này, kết nối sẽ bị từ chối.
- Display denial notification to user – Nếu rule là HTTP rule và chọn tùy chọn này thì bạn có thể nhập vào một đoạn văn bản, đoạn văn bản này sẽ được trả về với người dùng khi kết nối bị từ chối. Thông tin này sẽ được hiển thị trong cửa sổ của trình duyệt. Bằng cách sử dụng tùy chọn này, bạn có thể cho phép người dùng biết tại sao kết nối bị từ chối.
- Add denied request category to notification – Tùy chọn này chỉ có sẵn khi URL filtering được kích hoạt nếu kích hoạt URL filtering trên tường lửa TMG của mình, ban sẽ có tùy chọn để cho phép người dùng biết, khi yêu cầu bị từ chối, site mà người dùng cố gắng truy cập nằm trong hạng mục nào. Nói chung, người dùng không thực sự quan tâm đến các thông tin này, tuy nhiên nếu bạn có các rule áp cho các quản trị viên và một số người dùng đặc biệt, rất có thể họ sẽ quan tâm đến các thông tin này để tạo các yêu cầu nhằm phân loại lại các site.
- Redirect web client to the following URL – Nếu không muốn cung cấp cho người dùng một trang hiển thị tại sao kết nối bị từ chối, bạn có tùy chọn để chuyển hướng (redirect) người dùng đến một website nào đó. Đây có thể là website gồm có các hạng mục thỏa thuận dịch vụ mà bạn đặt ra với người dùng hoặc một site giáo dục cung cấp cho họ các thông tin về việc sử dụng thích hợp kết nối Internet công ty.
- Log requests matching this rule – Tùy chọn này được kích hoạt mặc định và cho phép các kết nối khớp với rule này sẽ được ghi vào trong bản ghi của tường lửa TMG. Mặc dù vậy, sẽ có lần bạn không muốn ghi các thông tin – chẳng hạn như lưu lượng không thích hợp. Điều này sẽ làm giảm được kích thước tổng thể của file bản ghi và tạo cho các bản ghi của bạn trong sáng hơn, dễ dàng độc và phân tích cú pháp hơn.
Hình 2
Trong trang Protocols, bạn có một số tùy chọn tương tự như các tùy chọn có trong Access Rule wizard. Hộp chọn This rule applies to cũng cung cấp các tùy chọn tương tự và bạn có thể sử dụng các nút Add, Edit vàRemove để chỉnh sửa, thêm, bớt các giao thức sẽ áp với rule này. Bạn cũng có tùy chọn Ports đã có sẵn. Nút Filtering, khi được kích hoạt, sẽ cho phép bạn cấu hình HTTP Policy cho rule (nếu nó là một HTTP rule). Tính năng này được nhóm vào các phiên bản trước của tường lửa ISA, được biết đến nhiều hơn với các tênHTTP Security Filter. Cũng có thể có các bộ lọc khác – phụ thuộc vào giao thức bạn sử dụng – nếu bộ lọc có thể áp với các giao thức gửi ra. Hầu hết các bộ lọc giao thức mà chúng ta có với TMG đều được thiết kế để bảo vệ kết nối gửi vào, tuy nhiên có một số áp cho các giao thức gửi ra.
Hình 3
Trong tab From, bạn có thể định nghĩa các nguồn mà rule sẽ áp cho chúng. Có nhiều máy khách nằm trên mạng bảo vệ TMG. Tùy chọn này tương tự như những gì bạn thấy trong Access Rule wizard. Khi kích Add,bạn sẽ thấy xuất hiện hộp thoại Add Network Entities và có thể chọn từ một số entry mạng hoặc tạo các entry mới. Một tùy chọn có sẵn trong tab này nhưng không lộ diện trong Access Rule wizard là phầnExceptions. Ở đây bạn có thể thiết lập các nguồn mà mình muốn rule áp với nó, tuy nhiên lại có một tập con bên trong nhóm đó là ngoại lệ, bạn có thể đặt các trường hợp ngoại lệ đó vào phần Exceptions. Đây là một tùy chọn hết sức mạnh và đôi khi cần phải lưu ý trong thiết kế Access Rules của bạn.
Hình 4
Tab To cũng tương tự với tab From, nơi bạn định nghĩa đích mà mình muốn rule khớp với. Khi kích Add, bạn sẽ thấy hộp thoại Add Network Entities, có thể chọn đích từ danh sách hoặc có thể tạo một đích mới. Như bên trong tab From, bạn cũng có tùy chọn cho việc tạo các ngoại lệ Exceptions.
Hình 5
Trong tab Users, bạn có thể định nghĩa rule sẽ áp cho người dùng nào. Mặc định, All Users là tập người dùng được sử dụng cho Access Rules. Cần lưu ý All Users ở đây không thực sự có nghĩa là tất cả người dùng mà chỉ là các kết nối nặc danh và các kết nối được nhận thực – vì vậy nó có nghĩa “phạm vi người dùng không được xem xét”. Nếu bạn muốn bắt người dùng phải nhận thực, bạn cần phải sử dụng một tập người dùng khác và remove tập người dùng All Users.
Nếu kích Add, bạn có thể chọn All Authenticated Users và chỉ có người dùng có thể nhận thực với tường lửa TMG mới được phép truy cập qua rule này. Sự nhận thực có thể được thực hiện qua cấu hình web proxy máy khách hoặc cấu hình Firewall máy khách (TMG máy khách). Nếu muốn tạo một tập người dùng của riêng mình, bạn hãy kích nút New.
Hình 6
Văn Linh (Theo Isaserver)
Bình luận (0)
Add Comment