Trang chủĐăng kýĐăng nhập Cộng đồng tin học
Thứ 7, 2024-11-23, 3:59 PM
Khung đăng nhập

http://congdongtinhoc.net
Site menu

Chuyên mục
Phần cứng - Drivers [46]
Điểm Game [37]
Tin tức - Sự kiện [128]
Bảo mật - Security [104]
Mạng Lan, WAN - Internet [44]
Phần mềm tiện ích miễn phí [51]
Điện thoại - Thiết bị số [54]
Máy tính xách tay - Laptop [71]
Tin học văn phòng - MS Office [19]
Đồ họa - thiết kế [27]
Thủ thuật máy tính [116]
Kiến thức cơ bản [48]
Hệ điều hành [51]

Bài viết lưu trữ

Tìm kiếm

Từ khóa tìm kiếm
Email thủ thuật Apple bảo mật Adobe windows 7 tăng tốc tang toc Microsoft windows xp hệ điều hành Laptop acer Lenovo sony compaq netbook miễn phí Wi-Fi download trình duyệt Google Chrome internet Firefox 3.5 Microsoft Office Chrome Internet Explorer 8 safari Công cụ cấu hình dịch vụ google IE virus spyware Bing khám phá firefox 3.6 lỗ hổng zero-day máy tính khắc phục sự cố cập nhật trojan linux ubuntu windows vista Registry Windows tiện ích pc Core i7 bộ xử lý activex control HP nâng cấp thu thuat Mozilla Toshiba Mac dell Việt Nam twitter hotmail intel phần cứng phan cung hacker USB facebook Symantec thiết bị số điện thoại di động Top 10 office card đồ họa Card đồ hoạ IpoD 3G asus mạng xã hội mien phi Blackberry game AMD nVIDIA iphone chỉnh sửa ảnh wan ROUTER hệ thống opera psp Wii hành động Xbox 360 firefox Internet Explorer Android cảm ứng

Bài mới diễn đàn
  • Quạt Hướng Trục
  • vào ucoz.com thiết kế web không hiểu sao...
  • Sothink DHTMLMenu 9.2 Build 90326
  • cho em quảng cáo cái
  • BIDV triển khai gói 10.000 tỷ đồng cho v...
  • Phượng Đã Nở Ngoài Hiên
  • Ngựa Ô Thương Nhớ
  • Những mẩu chuyện vui
  • 1001 cách biến "sim rác" thành...
  • Windows XP Media Center Edition 2008 - S...

  • User tích cực
  • Hung@info
  • thangbom
  • Hung@webmater
  • hebeo
  • giodaingan
  • david15
  • whitecat
  • luutruthongtin
  • systemfan_12
  • sha66b5cates0428

  • Lịch
    «  Tháng 4 2010  »
    SuMoTuWeThFrSa
        123
    45678910
    11121314151617
    18192021222324
    252627282930

    Thăm dò ý kiến
    Rate my site
    Total of answers: 12

    Địa chỉ của bạn
    IP

    Thống kê

    Tổng số trực tuyến: 1
    Khách: 1
    Thành viên: 0

    Trang chủ » 2010 » Tháng 4 » 10 » Chặn trình duyệt web với IPSec
    8:33 PM
    Chặn trình duyệt web với IPSec
    Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn về cách chặn hoạt động duyệt web của một máy tính Windows 2000/XP/2003 nào đó vào Internet nhưng vẫn cho phép nó truy cập đến các site trong mạng nội bộ.

    Các máy tính Windows 2000/XP/2003 có một cơ chế bảo mật IP đi kèm mang tên IPSec (IP Security). IPSec là một giao thức được thiết kế để bảo vệ các gói dữ liệu TCP/IP khi chúng truyền tải trong mạng bằng cách sử dụng mã hóa khóa chung. Về bản chất, máy nguồn sẽ gói địa chỉ IP chuẩn bên trong một gói IPSec đã được mã hóa. Sau đó gói dữ liệu này sẽ được duy trì ở trạng thái mã hóa cho tới khi nó đến được máy đích.

    Ngoài tính năng kể trên, bên cạnh việc mã hóa, IPSec còn cho phép bạn có thể bảo vệ và cấu hình máy trạm cũng như máy chủ với một cơ chế giống như tường lửa.

    Tuy nhiên bạn có thể chặn truy cập Internet của một số người dùng nào đó nhưng vẫn cho phép họ sử dụng trình duyệt web để lướt các site trong mạng nội bộ. Hoàn toàn có thể với IPSec.  

    Bạn có thể thực hiện rất đơn giản bằng cách tạo một chính sách để chỉ thị cho máy tính khóa tất cả lưu lượng IP nào đó có sử dụng HTTP và HTTPS, đây là các giao thức sử dụng cổng TCP 80 và 443 với tư cách là các cổng đích của chúng. Bằng việc khóa lưu lượng cụ thể này, bạn có thể chặn một số máy tính nào đó, không cho chúng duyệt Internet.

    Tuy nhiên, việc khóa tất cả lưu lượng HTTP và HTTPS sẽ làm cho người dùng của bạn không thể truy cập vào các site nội bộ.

    Một giải pháp được đưa ra ở đây là bổ sung thêm một chính sách cho phép lưu lượng HTTP và HTTPS nhưng chỉ dành cho một địa chỉ IP cụ thể, một tên DNS của máy tính cụ thể hoặc toàn bộ một subnet.

    Bạn có thể cấu hình chính sách này bằng cách điều chỉnh chính sách IPSec của máy tính đó, hoặc tốt hơn nữa, bạn có thể cấu hình chính sách như một Group Policy Object (GPO) trên một Site, Domain hay Organization Unit (OU) nào đó. Để cấu hình một GPO, bạn phải có Active Directory thích hợp.

    Để cấu hình hành động này cho một máy tính, bạn có thể thực hiện theo các bước sau:

    Cấu hình danh sách lọc và các hành động của bộ lọc

    1. Mở cửa sổ MMC (Start > Run > MMC).

    2. Add IP Security and Policy Management Snap-In.

    3. Trong cửa sổ Select which computer this policy will manage, chọn Local Computer (hoặc bất cứ chính sách nào phụ thuộc vào nhu cầu của bạn). Kích Close sau đó kích Ok.

    4. Kích phải vào IP Security Policies trong panel bên trái của giao diện điều khiển MMC. Chọn Manage IP Filter Lists and Filter Actions.

    5. Trong Manage IP Filter Lists and Filter actions, kích Add.

    6. Trong cửa sổ IP Filter List, đánh vào tên mô tả (chẳng hạn như HTTP, HTTPS) và kích Add để thêm các bộ lọc mới.

    7. Trong cửa sổ chào, kích Next.

    8. Trong hộp mô tả, đánh vào các thông tin mô tả nếu bạn muốn, sau đó kích Next.

    9. Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được chọn và kích Next.

    10. Trong cửa sổ IP Traffic Destination, để tùy chọn Any IP Address được chọn và kích Next.


    11. Trong IP Protocol Type, cuộn xuống đến TCP và nhấn Next.

    12. Trong IP Protocol Port, đánh 80 (cho HTTP) trong hộp To This Post và kích Next.

    13. Trong cửa sổ IP Filter List, lưu ý cách một IP Filter đã được add như thế nào. Lúc này nếu muốn, bạn có thể add HTTPS (Any IP to Any IP, Protocol TCP, Destination Port 443) theo cách thực hiện như trên.

    14. Lúc này bạn đã thiết lập được cả hai bộ lọc, kích OK.

    15. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lại các bộ lọc (bạn có thể add hoặc remove các bộ lọc về sau). Lúc này chúng ta sẽ đi add một bộ lọc mới dùng để định nghĩa lưu lượng web của mạng nội bộ (INTRANET). Tiếp đó, kích Add.

    16. Đặt tên thích hợp cho bộ lọc mới – cho ví dụ - Intranet, sau đó tiến hành cấu hình bộ lọc bằng cách kích Add.

    17. Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được tích và kích Next.

    18. Trong IP Traffic Destination, kích danh sách sổ xuống và chọn kiểu đích. Ví dụ, nếu bạn chỉ muốn cho phép lưu lượng web cung cấp từ một máy chủ web nào đó trong mạng nội bộ (chẳng hạn nó mang tên SERVER200), khi đó hãy chọn A Specific DNS Name.

    Sau đó, trong Host Name, đánh SERVER200 và kích Next.

    Nếu muốn cho phép lưu lượng web được cung cấp từ một subnet trong mạng nội bộ, chẳng hạn như 192.168.0.0/24, hãy chọn A Specific IP Subnet, và đánh vào Network IDSubnet Mask cho subnet yêu cầu. Kích Next.

    19. Quay trở lại danh sách IP Filter, add bất kỳ bộ lọc nào khác mà bạn muốn, cuối cùng kích OK.

    20. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn và nếu tất cả đều ok, hãy kích tab Manage Filter Actions. Lúc này chúng ta cần add một hành động lọc (filter action) để khóa lưu lượng chỉ định nào đó, vì vậy hãy kích Add.

    21. Trong màn hình chào, kích Next.

    22. Trong Filter Action Name đánh Block và kích Next.

    23. Trong Filter Action General Options, kích Block sau đó kích Next.

    24. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn, nếu tất cả ok, kích nút Close. Bạn có thể thêm các Filters và Filter Actions bất cứ lúc nào nếu muốn.

    Bước tiếp theo là cấu hình IPSec Policy và gán nó.

    Cấu hình IPSec Policy

    1. Trong giao diện MMC, kích phải vào IP Security Policies trên Local Computer và chọn Create IP Security Policy

    2. Trong màn hình chào, kích Next.

    3. Trong IP Security Policy Name, nhập vào tên mô tả, chẳng hạn như "Block HTTP, HTTPS, allow Intranet". Kích Next.

    4. Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active the Default Response Rule. Kích Next.

    5. Trong cửa sổ Completing IP Security Policy Wizard, kích Finish

    6. Lúc này chúng ta cần add IP FiltersFilter Actions khác vào IPSec Policy mới. Trong cửa sổ IPSec Policy mới, kích Add để thêm vào IP Filters và Filter Actions

    7. Trong cửa sổ chào, kích Next.

    8. Trong Tunnel Endpoint, bảo đảm rằng thiết lập mặc định được chọn và kích Next.

    9. Trong cửa sổ Network Type, chọn All Network Connections và kích Next.

    10. Trong cửa sổ IP Filter List, chọn một trong các IP Filter đã được cấu hình từ trước, cho ví dụ "HTTP, HTTPS" (được cấu hình trong bước 6 ở phần trên bài viết). Nếu vì một lý do nào đó, bạn không cấu hình đúng IP Filter từ trước thì bạn có thể nhấn Add và thêm nó vào lúc này. Khi xong, kích Next.

    11. Trong cửa sổ Filter Action, chọn một trong các Filter Action đã được cấu hình từ trước, cho ví dụ "Block" (đã được cấu hình trong bước 20 ở phần trên). Tiếp đến, nếu chưa cấu hình đúng Filter Action từ trước thì bạn có thể nhấn Add và thêm nó vào lúc này. Khi xong, kích Next

    12. Quay trở lại cửa sổ new IPSec Policy, bảo đảm rằng new IP Filter được chọn. Kích Add để bổ sung thêm IP Filters và Filter Actions giống như những gì bạn đã thực hiện ở trên. Trong ví dụ này, chúng ta sẽ add "Intranet" IP Filter.

    Thực hiện các bước từ 7 đến bước 11.

    13. Add "Intranet" IP Filter.

    14. Cấu hình nó để sử dụng Permit Filter Action.

    15. Lưu ý cách hai IP Filter được add.

    Lưu ý rằng bạn không thể thay đổi thứ tự của chúng giống như trong các tường lửa chuyên dụng. Mặc dù vậy cấu hình này làm việc khá tốt.

    Giai đoạn tiếp theo là gán IPSec Policy.

    Gán IPSec Policy

    Trong giao diện MMC, kích phải vào new IPSec Policy và chọn Assign.

    Khi thực hiện xong, bạn có thể test cấu hình bằng cách thử lướt đến một Windows nào đó bị chặn và một website không bị chặn.

    Khóa nhiều máy tính

    Việc khóa nhiều máy tính có thể được thực hiện theo hai cách:

    Export và Import IPSec Policy

    Cấu hình IPSec Policy thông qua GPO

    Cả hai phương pháp trên đều được sử dụng để ngăn chặn một số máy tính có thể sử dụng ICMP (cho cho các IPSec Policy khác).


    (Theo Petri)

    Chuyên mục: Mạng Lan, WAN - Internet | Lượt xem: 927 | Thêm bởi: Hung@info | Tags: gpo, internet, ipsec policy, cho phép truy cập website, chặn duyệt web, ipsec | Đánh giá: 0.0/0
    Đăng nhập để bình luận.
    [ Đăng ký | Đăng nhập ]
    + Các bài viết khác

      Copyright Cộng đồng tin học © 2024