Chặn trình duyệt Web với IPSec
Chặn truy cập Web cho một máy tính
Để chặn truy cập Web trên mốt máy tính, thực hiện các thao tác sau:
Cấu hình IP Filter List và Filter Action
1. Vào menu Start | Run, rồi nhập MMC để mở cửa sổ MMC.
2. Bổ sung Snap-In IP Security and Policy Management.
3. Trong hộp thoại Select Computer or Domain, lựa chọn máy tính mà chính sách này sẽ quản lý. Do mục đích là chặn một máy nên chúng ta sẽ lựa chọn tùy chọn Local Machine. Sau đó nhấn Finish | Close | OK trên các hộp thoại đang mở.
4. Phải chuột lên IP Security Policies trong bảng bên phải của MMC Console. Lựa chọn Manage IP Filter Lists and Filter Actions.
5. Trong hộp thoại Manage IP Filter Lists and Filter Actions nhấn Add.
6. Trong hộp thoại IP Filter List, nhập tên mô tả (như HTTP hay HTTPS) rồi nhấn Add để bổ sung bộ lọc mới. Khi đó IP Filter Wizard sẽ xuất hiện.
7. Trên trang Welcome nhấn Next.
9. Trên trang IP Traffic Source và IP Traffic Destination, giữ nguyên tùy chọn được chọn sẵn và nhấn Next.
10. Trong trang IP Protocol Type, lựa chọn kiểu giao thức là TCP trong danh sách thả xuống rồi nhấn Next.
11. Trên trang IP Protocol Port, lựa chọn tùy chọn From any port và nhập 80 (cho HTTP) vào hộp To this box rồi nhấn Next.
13. Đến đây chúng ta đã thiết lập được hai bộ lọc. Nhấn OK để hoàn thành.
14. Quay trở lại hộp thoại Manage IP Filter Lists and Filter actions, kiểm tra lại các bộ lọc. Nếu tất cả đã được cài đặt, click vào tab Manage Filter Actions. Tiếp theo chúng ta cần bổ sung một hành động lọc sẽ chặn lưu lượng đến. Nhấn Add.
15. Trên trang Welcome của Filter Action Wizard, nhấn Next.
17. Trên trang Filter Action General Options, lựa chọn tùy chọn Block rồi nhấn Next.
18. Quay trở lại hộp thoại Manage IP Filter Lists and Filter actions, kiểm tra lại các bộ lọc, nếu mọi bộ lọc đã được cài đặt nhấn Close. Chúng ta có thể bổ sung các bộ lọc và hành động lọc tại bất kì thời điểm nào.
Cấu hình chính sách IPSec
Sau đây chúng ta sẽ tiến hành cấu hình chính sách IPSec. Thực hiện các thao tác sau:
1. Trong MMC Console, phải chuột lên IP Security Policies trên Local Computer rồi chọn Create IP Security Policy. Khi đó IP Security Policy Wizard sẽ xuất hiện.
2. Trên trang Welcome của Wizard này, nhấn Next.
3. Trên trang IP Security Policy Name, nhập tên cho chính sách này rồi nhấn Next.
4. Trên trang Request for Secure Communication, hủy chọn hộp chọn Activate the default response rule rồi nhấn Next.
5. Trên trang Completing IP Security Policy Wizard, nhấn Finish.
7. Trên trang Welcome của Security Rule Wizard, nhấn Next.
9. Trên trang Network Type, lựa chọn tùy chọn All Network Connections rồi nhấn Next.
10. Trên trang IP Filter List, lựa chọn một trong những bộ lọc IP đã được cấu hình trước đó, ví dụ như HTTP, HTTPS (đã được cấuh ình trong bước 6). Nếu vì một lí do nào đó, bộ lọc IP chưa được cấu hình phù hợp thì chúng ta có thể nhấn Add và bắt đầu bổ sung nó. Khi hoàn thành nhấn Next.
12. Xác nhận rằng IP Filter đã được bổ sung.
Lưu ý rằng chúng ta không thể thay đổi thứ tự trong những Firewal đầy đủ tính năng khác. Tuy vậy, cấu hình này vẫn hoạt động tốt.
Gán IPSec Policy
Sau khi tạo thành công IPSec Policy, trong MMC Console, phải chuột lên chính sách mới này rồi lựa chọn Assign.
Chặn truy cập Web trên nhiều máy tính
Export và Import các chính sách IPSec
Có hai phương pháp có thể áp dụng để xuất và nhập chính sách IPSec, đó là sử dụng MMC Console và một phương pháp đơn giản hơn là sử dụng lệnh NESH. Trong bài viết này chúng ta sẽ sử dụng lệnh NETSH để xuất và nhập chính sách IPSec.
Trước tiến, vào menu Start | Run, nhập CMD để chạy Command Prompt.
Để xuất chính sách IPSec, nhập lệnh sau:
netsh ipsec static exportpolicy c:'temp'ipsec_policy.ipsec
Khi đó, chính sách này sẽ được xuất thành một file có tên ipsec_policy.ipsec trong thư mục C:\Temp.
netsh ipsec static importpolicy c:'temp'ipsec_policy.ipsec
Trong đó c:'temp'ipsec_policy.ipsec là đường dẫn tới file được copy về máy.
Cấu hình chính sách IPSec qua Group Policy Object
1. Mở Active Directory Users & Computers, phải chuột lên miền (hay OU nếu chỉ muốn cấu hình cho một nhóm máy tính cụ thể) rồi chọn Properties.
2. Trong hộp thoại Properties, chọn tab Group Policy. Nhấn nút New để cấu hình một GPO mới (nếu chưa có một nhóm cho OU đó). Giả sử nhập tên mô tả cho GPO này là Secure Services.
3. Sau đó nhấn nút Edit để hiệu chỉnh GPO này.
5. Sau khi chính sách IPSec mới đã được cấu hình, phải chuột lên nó chọn Assign.
secedit /refreshpolicy machine_policy /enforce
Trên máy tính Windows XP hay Windows Server 2003, nhập lệnh sau:
gpupdate /force
Khi đã gán một chính sách IPSec trong Active Directory, cần lưu ý những điểm sau:
1. Hủy gán chính sách IPSec
2. Đợi một khoảng thời gian nhất định để đảm bảo rằng thay đổi đã được triển khai.
3. Xóa Group Policy Object.
Currently have 0 nhận xét: