Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client

Chia sẻ: Nhan Nguyen | Ngày: | Loại File: PDF | Số trang:16

0
272
lượt xem
120
download

Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ở bài trước chúng ta đã hoàn tất việc cài đặt Forefront TMG trong bài này chúng ta sẽ tìm hiểu về các giao thức truyền tải mà Forefront TMG tương tác các máy trong Internal Network

Chủ đề:
Lưu

Nội dung Text: Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client

  1. “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client Ở bài trước chúng ta đã hoàn tất việc cài đặt Forefront TMG trong bài này chúng ta sẽ tìm hiểu về các giao thức truyền tải mà Forefront TMG tương tác các máy trong Internal Network Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net trong đó: - PC01 là máy Windows Server 2008 sẽ cài đặt Forefront TMG đã Join vào Domain - PC02 vừa là máy DC Server 2008 vừa đóng vai trò là máy Client để Test Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên ftmg.gccom.net server.gccom.net IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Card Lan Default 192.168.1.1 gateway Preferred DNS IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Card Cross Default 172.16.2.1 gateway Preferred DNS 172.16.2.2 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Sau khi cài đặt FTMG thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được Tuy nhiên với máy FTMG thì ping rất tốt 1 of 16
  2. Như vậy ngay sau quá trình cài đặt FTMG sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24) Bây giờ tôi sẽ tiến hành cấu hình FTMG sao cho các máy trong mạng có thể thấy được nhau. Với Forefront TMG chúng ta có 3 giải pháp để các máy trong mạng 172.16.2.0/24 truy cập được Internet: Dạng Ưu điểm Nhược điểm Kiểm soát được tất cả mọi Không kiểm soát được User, Secure NAT Port ra vào hệ thống trang web... Kiểm soát được mọi User, Chỉ kiểm soát được các Port Proxy trang web... 443,80,21 Kiểm soát được tất cả mọi Port ra vào hệ thống Chỉ hỗ trợ các hệ điều hành Firewall Client Windows Kiểm soát được mọi User, trang web... 1/ Secure NAT Bạn vào Start -> Programs -> Microsoft Forefront TMG -> Forefront TMG Management -> Forefront TMG Trong màn hình chính của chương trình Forefront TMG nhấp phải vào Firewall Policy chọn New -> Access Rule 2 of 16
  3. Đặt tên cho Rule này ví dụ là Internal VS Local Host Trong Rule Action chọn Allow Trong Protocol bạn chọn All outbound traffic và nhấp Next 3 of 16
  4. Tại cửa sổ Malware Inspection bạn nhấp chọn Enable malware inspection for this rule để áp đặt chế độ bảo vệ khỏi virus, malware cho từng Rule Đây là một tính năng mới trong Forefront TMG Tại Access Rule Sources nhấp Add Chọn Internal, Local Host trong thư mục Networks 4 of 16
  5. Màn hình sau khi hoàn tất Tại Access Rule Destinations Add Internal, Local Host vào Nhấp Next 5 of 16
  6. Trong Filrewall Policy ta thấy xuất hiện Rule Internal VS Local Host mới được tạo nhấp Apply để thực thi Rule này Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của FTMG Ra Command DOS ping thử máy FTMG thấy rất tốt 6 of 16
  7. Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của FTMG Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote Management Computers Trong màn hình Remote Management Computers Properties nhấp Add: Computer: chỉ tác động duy nhất lên một máy nào đó Address Range: chỉ tác động lên một dãy IP nào đó Subnet: tác động lên nguyên cả Subnet 7 of 16
  8. Mặc định trong Remote Management Computers Properties, FTMG chỉ Add các IP của chính mình mà thôi vì vậy ta phải Add thêm các IP hoặc Network mới Trong ví dụ này tôi sẽ tác động lên nguyên Subnet là 172.16.2.0/24 nên tại đây tôi chọn Subnet Đặt tên cho Rule này là Subnet 172.16.2.0/24 và nhập nguyên Subnet là 172.16.2.0/24 vào sau đó nhấp OK Tại máy PC02 ra Command DOS ping thử máy FTMG thấy rất tốt 8 of 16
  9. Như vậy đến đây các máy trong mạng LAN có thể ping thấy nhau nhưng các máy này không thể ra Internet được ngoại trừ máy Forefront TMG vì Rule mà ta vừa tạo chỉ cho phép truy cập qua lại với nhau giữa các máy trong Internal & Local Host mà thôi. Vì vậy để các máy trong Internal có thể truy cập được Internet tại đây bạn phải Add thêm một Rule nữa tương tự với Rule Internal với thuộc tính như sau: Tại Access Rule Sources Add Internal, Local Host vào Tại Access Rule Destinations Add External vào 9 of 16
  10. Thử truy cập Internet từ các máy Client thấy rất tốt 2/ Proxy Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên ftmg.gccom.net server.gccom.net IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Card Lan Default 192.168.1.1 gateway Preferred DNS 203.162.4.191 IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Card Cross Default gateway Preferred DNS 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings Nhập IP của máy PC01 vào ô Address và Port là 8080 10 of 16
  11. Trở lại IE truy cập thử Internet thấy rất tốt 3/ Firewall Client Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt Forefront TMG. Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên FTMG.gccom.net server.gccom.net IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Card Lan Default 192.168.1.1 gateway Preferred DNS IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Card Cross Default 172.16.2.1 gateway Preferred DNS 172.16.2.2 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Tại máy PC02 chọn thư mục Client trong Folder cài đặt Forefront TMG nhấp chọn Setup.exe để cài đặt 11 of 16
  12. Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy Forefront TMG Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tại Proxy 12 of 16
  13. Trở lại IE truy cập thử Internet thấy rất tốt Đến đây chúng ta đã hoàn tất quá trình cài đặt FTMG và cấu hình cho các máy trong mạng có thể ra được Internet. Và mọi công việc trên máy FTMG coi như xong, nếu bạn có nhu cầu truy cập FTMG để chỉnh sửa gì thêm trên thực tế bạn phải hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài Forefront TMG mà dùng một máy Client bất kỳ cài công cụ Forefront TMG Management để quản lý FTMG mà thôi. Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình Setup Forefront TMG lên chọn Install Forefront TMG Trong màn hình Setup Scenarios bạn chỉ chọn Install Forefront Threat Management Gateway Management only mà thôi chọn tiếp Next để cài đặt 13 of 16
  14. Màn hình Component Selection nhấp Next Sau khi cài đặt hoàn tất , tiếp đến chạy Forefront TMG Management tại máy Client lên nhấp phải vào Microsoft Forefront Threat Management Gateway và chọn Connect to 14 of 16
  15. Nhập IP hoặc tên Domain của máy Forefront TMG vào Giữ nguyên giá trị mặc định trong màn hình Forefront TMG Credentials 15 of 16
  16. Đến đây Forefront TMG Management sẽ hiển thị các công cụ y như trên máy Forefront TMG cho bạn quản lý OK mình vừa trình bày xong phần Secure NAT - Proxy - Firewall Client - Microsoft Forefront Threat Management Gateway trong 70-557 của MCSA. Công ty TNHH đầu tư phát triển tin học GC Com Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6.274.294 Website: http://www.gccom.net 16 of 16
Đồng bộ tài khoản