Bài báo cáo về quản trị hệ thống tường lửa TMG FOREFRONT 2010
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG ...o0o... MÔN: Xây Dựng Chuẩn Chính Sách An Toàn Thông Tin Trong Doanh Nghiệp TMG FOREFRONT 2010 Thành Phố Hồ Chí Minh -25/04/2012- 1 Mục lục ..................................................................................................................................................... 1 ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH........................................................................... 1 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN...............................................................................1 KHOA MẠNG VÀ TRUYỀN THÔNG................................................................................................ 1 1 Giới thiệu.................................................................................................................................. 3 2 DOWNLOAD và INSTALL............................................................................................................. 8 3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT..............................................................10 4 FIREWALL POLICY.................................................................................................................... 18 5 WEB ACCESS POLICY................................................................................................................ 32 6 E-MAIL POLICY......................................................................................................................... 37 7 MONITORING : xem hoạt động của TMG................................................................................. 50 8 NETWORKING......................................................................................................................... 53 9 LOGS & REPORTS :................................................................................................................... 56 Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ)....................56 10 REMOTE ACCESS POLICY........................................................................................................ 57 11 UPDATE CENTRER.................................................................................................................. 85 12 TROUBLESHOOTING.............................................................................................................. 88 2 1 Giới thiệu Sự xuất hiện của Microsoft Forefront Threat Management Gateway (TMG) 2010 đã mang lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản Microsoft ISA Server trước đây. Một trong số đó là các tính năng bảo mật mới có trong sản phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn. Trong đồ án này, chúng em sẽ giới thiệu một số tính năng cơ bản được ưa thích và một số cải tiến trong TMG để có thể cho administrator triến khai từ đơn giản đến phức tạp . 3 Chức năng chính của Forefont TMG 2010 Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall . Được đa số doanh nghiệp vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng . Được phát triển dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó . Tiếp nối thành công đó, Forefont TMG 2010 ra đời . Các tính năng nổi trội của Forefont TMG 2010 4 • • • • • • • • • • Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền internet Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat... HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit Bảng so sánh tính năng ISA Server 2006 và Forefront TMG 5 Bảng so sánh 2 phiên bản Forefont TMG Standard và Enterprise Các yêu cầu phần cứng khi cài đặt Forefont TMG 6 Các yêu cầu phần mềm khi cài đặt : - - Windows Role and Features • Network Policy and Access Server • Active Directory Lightweight Directory Services (ADLDS) • Network Load Balancing (NLB) Microsoft® .NET 3.5 Framework SP1 Windows Web Services API 7 2 2.1 DOWNLOAD và INSTALL Download B1:Vào trang microsoft để tìm kiếm và tải về 2.2 B2:Tải bản cập nhật SP1 cho TMG Install B1:click vào file đã tải về sau đó chạy cập nhận B2:cài đặt các tool cần thiết Windows 8 B3: cài đặt services, features và management B4 : trong quá trình cài đặt consolse cần thiết B4: tiến hành cài đặt phần còn lại B5: nhấn Add để khai báo dãy địa chỉ Internal B6: quá trình cài đặt 9 3 3.1 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT Cài đặt Forefont TMG 2010 Server B1: chọn Configure network settings B2: Hộp thoại Network Template Selection ( Chọn các mô hình để triển khai firewall) : Chọn 3-Leg perimeter Next B3 : Chọn network adapter kết nối với mạng cục B4 : Chọn network adapter kết nối với ISP bên ngoài bộ 10 B5: Chọn network adapter kết nối với vùng B6: Nhấn finish để hoàn thành DMZ B7 : Chọn Configure system settings B8: Chọn Next 11 B9 : chọn Define deployment options B10 : Chọn Use the Microsoft Update service to check for updates (recommended) để update TMG B11 : Chọn thời gian cập nhật TMG 12 B12 : Chọn No, I don’t want to participate B14 : Chọn Close để hoàn thành B13 : Chọn Basic hoặc Advanced Đây là giao diện để cấu hình của Forefront TMG 13 3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server: Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so sánh trong bảng sau: Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu hình chức năng Auto Discovery trên Forefront TMG 2010 Các bước sẽ thực hiện : 1.Bật chức năng Auto Discovery tren Forefront TMG Server 2.Cấu hình Auto Discovery 3.Cài đặt Forefront TMG Client 14 • Bật chức năng Auto Discovery trên Forefront TMG Server B1 : bên trái chọn Network . Bên phải chọn Internal sau đó B2 : qua tab Auto Discovery chọn check vào Properties Publish automatic discovery information for this network • Cấu hình Auto Discovery bằng Công cụ TMGADConfig Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của máy chủ TMG được thực hiện trên các máy trạm TMG(AD Marker). Không giống như những phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu trong Active Directory để kiểm tra máy chủ TMG tương ứng. TMG Client sẽ sử dụng LDAP để kiểm tra những thông tin cần thiết trong Active Directory Lưu ý: Nếu không tìm thấy AD Marker, TMG Client sẽ không chuyển sang tiến trình kiểm tra tự động truyền thống qua DHCM và DNS vì lí do bảo mật. Làm như vậy để giảm thiểu nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn. Nếu một kết nối tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG Client sẽ chuyển sang DHCP và DNS Để thiết lập cấu hình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG AD Config và cài trên máy chủ TMG, sau đó chạy lệnh trong cmd có cú pháp sau để đăng ký AD Marker: Tmgaddconfigadd – default –type winsock –url http://yourdomain:8080/wspad.dat 15 • Cài đặt Forefront TMG Client Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay. Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe (đối với hệ điều hành 64 bit) để cài đặt B1 : Chọn file TMG client B2 : Hộp thoại Welcome, chọn Next 16 B3 : chọn I accept the terms in the license B4 : Connect to this Forefront TMG computer : agreement Next khai báo bằng tay Automatically detect the appropriate Forefront TMG computer : tự động dò và kết nối với TMG Server . Option này được chọn Next B5 : Chọn Automatically detect the appropriate B6 : Chọn Finish Forefront TMG computer Next 17 Mở Forefront TMG Client, qua tab Setting, kiểm Trong hộp thoại Advanced Automatic Detection, traTMG Client kết nối đến TMG Server thành kiểm tra chúng ta đang sử dụng cả 3 cơ chế Auto công, chọn Advanced Discover 4 4.1 FIREWALL POLICY Access Rule 4.1.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền B1 : Firewall Policy New Access Rule B2 : Access rule name điền DNS Query 18 B3 : chọn Allow B5 : chọn Add Internal B4 : Chọn Add DNS Next B6 : chọn Add External 19 B6 : chọn Next 4.1.2 B7 : Kiểm tra tại máy domain Định nghĩa Group Policy cho Firewall Policy B1 : Firewall Pocily ToolboxUsers New 20 B2 : Hộp thoại Welcome to the New User Set B3 : Hộp thoại Users : Add -> Windows users and Winzard : đặt tên Giangvien groups B4 : Location caonhatquang.com B5 : Chọn Next 21 B6 : Hộp thoại Completing the New User Set Winzard - chọn Finish 4.1.3 Định nghĩa giờ làm việc B1: Firewall Policy ToolboxSche dules New 22 B2 : Hộp thoại New schedule Name giờ làm việc . Thiết lập giờ làm việc OK 4.1.4 Tạo Group trang web cho phép hay muốn cấm B1 : Firewall Policy Toolbox Network Objects New Domain Name Set 23 B2 : Hộp thoại New Domain Name Set Policy ElementName : Allow website Add để thêm website 4.1.5 Kiểm tra chi tiết các Access Rule đã tạo : B1 :Chuột phải lên rule đã tạo Properties 24 Tab Content Types . Tùy chọn nội dung Tab Malware Inspection coi có bật tính năng trang web được xem phát hiện Malware 4.1.6 Application Filter B1 : Chọn Rule cần chỉnh Confitur e HTTP 25 B2 : Tab Method Add và thêm những phương thức muốn cấm hay cho phép 4.1.7 Publish Web Server B1 : Fiwall Policy New Web Site Publishing B2 : đặt tên ở Web publishing rule name Rule 26 B3 : chọn Allow B4 : Publish a single web site or load balancer(khi chỉ có 1 web server).Option này được chọn Next Publish a server farm of load balanced Web server (khi có nhiều server và cân bằng tải cho nó) Publish multiple Web sites (khi có nhiều Web site) 27 B5 : chọn phương thức none-secured connections B6 : chọn Forward the original host header B7 : Chọn Any domain name Next B8 : chọn New 28 B9 : Web listener name Listener web B10 : chọn Do not require SSL secured connections with clients B11 : Chọn External B12 : Chọn No Authentication 29 B13 : chọn Next B14 : chọn Next B15: Chọn Listen 80 For CA Server B16 : chọn No delegation, and client cannot authenticate directly 30 B17 : Chọn Next B18 : chọn Finish B19 : Đứng từ 1 máy bên ngoài để kiểm tra. Trên máy B20 : kết quả khi kết nối Web Server (AD) tạo trang web mặc định ở folder wwwroot . 31 5 5.1 WEB ACCESS POLICY Web Caching B1 : Web Access Policy Web Caching B2 : tab Cache Driver Configure B3 : Maximum cache size (dung lượng tối đa để caching) 1000 Set 32 B4 : Tab Cache Rules dùng để tạo rule khi B5 : Tab Content Download dùng để cấu hình caching download 1 website nào đó vào theo ngày giờ cài đặt 5.2 Malware Inspection B1 :Web Access Policy Malware Inspection 33 B2 : Tab General coi có bật tính năng Enable B3 :Tab Destination Exceptions nơi đến mà sẽ malware inspection chưa. không kiểm tra malware. Muốn thêm chọn Add B4 : Tab Source Exceptions nguồn đi ra sẽ B5 : Tab Inspection Settings cách thực hiện không kiểm tra malware trên TMG . Muốn của Malware Inspection thêm nhấn Add 34 B6 : Tab Storage chứa file của Malware inspection 5.3 HTTPS inspection : phát hiện các khả năng khi chạy giao thức https B1 : Vào Web Access Policy HTTPS Inspection 35 B2 : Tab General bật tính năng Enable B3 : Chọn Generate Certificate Now . sau đó HTTPS inspection Generate để đăng ký nhấn Next . Các cấu hình còn lại giống với certificate Malware inspection 5.4 Web Proxy B1 : Chọn Web Access Policy Web Proxy 36 B2 :Tab Web Proxy bật tính năng Web Proxy 6 E-MAIL POLICY 6.1 Public Mail Server B1: Click vào Publich Mail Servers và điền tên rule 37 B2: chọn loại kết nối giữa Mail Server và client B4: Điền địa chỉ của Mail Server B3: Chọn giao thức trên Mail Server B5: Chọn IP lắng nghe yêu cầu cho published server 6.2 Cấu hình E-mail Policy B1: kích vào E-mail Policy và Configure E-mail B2: Kích nút Add để khai báo thông Policy để cấu hình tin Mail Server 38 B3: nhập tên của máy chủ SMTP và địa chỉ B4: Kích vào Add và thêm vào domain name IP máy chủ(hoặc có thể sử dụng nút Browse) chấp nhận email gửi đến B4: nhập địa chỉ IP bên trong mạng B5: Nhập địa chỉ IP bên ngoài mạng 39 B6: Nhấn Finish để hoàn thành 6.3 Spam Filtering Tab Spam Filtering trong panel giữa của giao diện điều khiển. Ở đây có thể thấy bộ sưu tập các tùy chọn cho việc cấu hình Spam Filters. Đó là những tùy chọn: • IP Allow List: Cho phép có thể cấu hình bộ địa chỉ IP để các thư luôn được chấp nhận từ đó. • IP Allow List Providers: Cho phép cấu hình địa chỉ của một hoặc nhiều nhà cung cấp IP Allow List. • IP Block List: Cho phép cấu hình một danh sách các địa chỉ không bao giờ nhận mail từ đó. • Content Filtering: Cho phép chặn email dựa trên nội dung của thư • Recipient Filtering: Cho phép điều khiển sự phân phối email dựa trên người nhận. • Sender Filtering : cho phép điều khiển sự phân phối email dựa trên người gửi. • Sender ID: Điều khiển cho phép hoặc từ chối email dựa trên sự có mặt của bảng ghi Sender ID. • Sender Reputation: Cho phép hay từ chối email dựa trên tên của người gửi 40 6.3.1 IP Allow List B1: Chọn IP Allow List B2: chọn tab Allowed Addresses Add để nhập IP luôn chấp nhận từ nó B3: Nhấn OK để hoàn tất 41 6.3.2 IP Block List B1: chọn IP Block List B3: Nhập dãy IP để từ chối nhận thư B2: Qua tab Blocked Address Add B4: nhấn OK để hoàn thành 42 6.3.3 Content Filtering B1: click vào Content Filtering B2: vào Tab Custom Words Add để điền những từ hay cụm từ được cho phép B3: Chọn Add phía dưới để thêm những từ B4: Vào tab Exceptions Add để thêm khi gặp sẽ bị block email sẽ không bị áp dụng rule này 43 B5: Mức độ nhận diện spam 6.3.4 Recipient Filtering B1: Click vào Recipient Filtering để cấu hình B2: click vào Add để thêm vào email của người nhận sẽ bị chặn 44 6.3.5 Sender Filtering B1: click vào Sender Filtering B2: tab Blocked Senders Add nhập e-mail của người gửi muốn khóa hay domail muốn khóa B3: vào tab Action chọn hành động thực hiện khi phát hiện 45 6.3.6 Sender Reputation B1: Click vào Sender Reputation để cấu hình danh tính B2: qua tab SRL Thresholds để thiết người gửi lập ngưỡng 6.4 Virus và Content Filtering 6.4.1 File filtering B1: Click vào File Filtering để cấu hình lọc email dựa B2: Click và Add để cấu hình vào File 46 B3: Tab General đặt tên và chọn hành động B4 : chọn định dạng file muốn lọc thực hiện B5: chọn tên file muốn lọc 47 6.4.2 Message Body Filtering B1: Click vào Message Body Filtering để cấu hình B2: đặt tên file và chọn cách thực thi lọc email theo nội dung B3: ở tab Keywords thêm vào từ, cụm từ mà có trong body email thì thư sẽ bị xóa 48 6.4.3 Virus Filtering B1: click vào Virus Filtering B3: tab Remediation B2: qua tab Engines chọn engines muốn lọc email B4: ở tab Options chọn hành động khi đến timeout,tiêu đề không hợp lệ thời gian 49 7 MONITORING : xem hoạt động của TMG Ở tab Alert : những thông báo của TMG khi làm việc Tab Sessions : Phiên làm việc của TMG 50 Tab connectivity Verifiers : để xem các kết nối TMG khác Tab Serviecs : để xem các services được bật 51 Tab Confituration : xem trạng thái cấu hình của TMG 52 8 NETWORKING Tab Networks : các mạng hiện tại Các Network Rules đã được cài đặt TMG 53 Tab Network Adapters : các interface vật lý của mạng Tab Routing : những mạng được route . Muốn tạo phương thức route mới cho 1 mạng chọn Create Network Protocol 54 Tab ISP Redundancy : cân bằng tải giữa các ISP . Muốn cấu hình chọn “Configure ISP Redundancy” Hộp thoại ISP Redundancy mode : Chọn Load balancing : sẽ cho 2 ISP chạy song song Chọn Failover only : sẽ cho 1 ISP chạy . Khi ISP đó không hoạt động thì sẽ chuyển qua ISP khác 55 Khi cấu hình xong . Có thể Disable ISP Redundacy hay chuyển giữa Load Balancing và Failover 9 LOGS & REPORTS : Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ) 56 10 REMOTE ACCESS POLICY 10.1 VPN client to gateway B1 : tại máy AD vào user kt1 B2 : Remote Access Policy (VPN) Confiture properties tab Dial-in Allow Address Assignment Method access 57 B3 : tab Address Assignment Add B4 : vào tab 10.10.10.1 10.10.10.200 Group_Kithuat B5 : Tạo Rule VPN Groups Add B6 : chọn Allow 58 B7 : chọn All outbound traffic B8 : chọn Add VPN Clients B8 : chọn Add Internal B9 : chọn Add VPN Clients 59 B10 : chọn Finish B .VPN gateway to gateway B1 : Remote Access Policy (VPN) Remote Sites đặt tên cho site 60 B2 : chọn Point to Point tunneling Protocol (PPTP) B3 : Nhập địa chỉ ip của remote site VPN B4 : Hộp thoại Remote Authentication ->điền B5 : Hộp thoại Network Addresses điền dãy username và password account của site 1 số IP của site 1 61 B6 : Hộp thoại Network Addresses đặt lại tên ở B7 : Hộp thoại Site-to-Site Network Access Rule Network rule name và Add->Internal Apply the rule to these protocols All outbound traffic B8 : Kiểm tra Access Rule đã được tạo 10.2 VNP dùng giao thức SSTP Phần 1: 1. Cài đặt Stand-alone Root CA 2. Cấu hình CRL (Certificate Revocation List) 62 3. Tạo Local User và Group tại TMG Server 4. Tạo rule trên TMG Server - Tạo rule cho phép TMG Server truy cập mạng Internet - Tạo rule cho phép VPN Clients truy cập mạng Internal 5. Publish CA Server Phần 2: 6. TMG Server xin Certificate 7. CA Server cấp phát Certificate 8. TMG Server cài đặt Certificate - Export Certificate từ Certificate của User - Import Certificate vào Certificate Store của máy TMG Server Phần 3: 9. Cấu hình VPN trên TMG Server 10. Restart RRAS(Routing and Remote Access) Phần 1 1.Cài đặt Stand-alone Root CA B2 : Hộp thoại Select Role Services : check B1 :Tại máy AD check vào ô Active Directory vào Certification authority và Certification Certificate Services Authority Web Enrollment 63 B3 : Hộp thoại Specify Setup Type chọn B4 : Hộp thoại Specify CA Type chọn Root CA Standalone Next Next B5 : Hộp thoại Set up Private key chọn Create B6 : Hộp thoại Configure Cryptography for CA để a new private key thông số mặc định ->Next 64 B6 : Cuối cùng tại hộp thoại Confirm Installation Selections nhấn Install 2. Cấu hình CRL (Certificate Revocation List) B1 :Tại máy Certification Authority Server(AD) mở Certificate Authority, chuột phải tên ServerProperties B2 : Tab Extensions -> Add . Gõ http://vpn.caonhatquang.com/CertEnroll/.crl > OK 65 B3 : Chọn yes 3.Tạo Local User và Group tại TMG server Chuột phải user kt1 > Properties > Dial-in > Chọn Allow access 66 B3 : kiểm tra các rule 5.Publish Root CA B2 : Web publishing rule name public CA B1 : Firewall Policy new Web Site Server Publishing Rule 67 B3 : chọn Allow B4 : chọn Publish a single Web site or load balancer B5 : Chọn Use non-secured connections to connect B6 : điền Internal site name và IP address của CA Server 68 B7 : chọn Any domain name B8 : Trong hộp thoại Select Web Listener chọn New và nhập web listener name : Listen 80 for CA Server 69 B9 : chọn Do not require SSL secured B10 : Chọn External Next connections with clients B11 : chọn No Authentication Next B12 : Tiếp tục nhấn Next và Finish việc tạo web listener 70 B13 : chọn No delegation , and client cannot B14 authenticate directly : Phần 2: 6. TMG Server xin 7. CA Server cấp phát 8. TMG server cài đặt a. Export certificate từ certificate b. Import certificate vào certficate store của máy TMG Server chọn All của Users certificate certificate certificate user 71 6. TMG xin certificate : B1 : Máy TMG mở Internet Explorer truy cập http://172.16.1.2/certsrv > chọn Request a certificate B2 : Chọn advanced certificate request 72 B3 :Chọn Create and submit a request to this CA B4 : Điền thông số mặc định như trong hình 73 B5 : Hoàn thành cài đặt việc request Certificate 7. CA Server cấp phát certificate : B1 : Tại máy Certification Authority Server (AD)mở Certification Authority, bên trái chọn Pending request > bên phải chuột phải request > All Task > Issue 74 B2 : Bên trái chọn Issued Certificates, bên phải open certificate mới vừa cấp phát B3 : ở tab Details Chọn CRL Distribution Points kiểm tra thông tin như hình > OK 75 8. TMG server cài đặt certificate B1 : Máy TMG chạy lại trang web http://172.16.1.2/cer tsrv, chọn View the status of pending certificate request B2 : Chọn Server Authentication Certificate để lấy Certificate 76 B3 : Chọn Yes B4 : Quá trình cài đặt certificate đã thành công 77 B5 : Vào Run gõ mmc OK để mở chương trình console Menu File Add/ Remove snap in Add Chọn Certificates Add B6 : Chọn My user account 78 B7 : click chuột phải chọn All Tasks Export B8 : Chọn Yes, export the private key để export B9 : chon Personal Information Exchange certificate 79 B10 : Chọn Password . B12 : chọn Finish để hoàn thành việc cài đặt B11 : Chọn đường dẫn để Export B13 : Chọn Certificates (Local Computer) Personal All Task Import 80 B14 : chọn đường dẫn của file Certificate B15 : điền Password để xác nhận việc Import B16 : chọn Place all certificates in the following store 81 Phần 3 9. Cấu hình VPN trên TMG Server B1 : chọn Remote Access Policy Configure VPN Properties B2 : tab Address Assignment chọn IP ảo 82 B3 : ở tab Group chọn group cho phép VPN B4 : qua tab Protocols Enable SSTP B5 : chọn New Select Listener 83 B6 : Chọn tên cho Web listener name B8 : Listener SSL Certificates Select Certificate B7 : Web Listener IP Addresses External B9 : chọn Listen 443 for SSTP 84 10 . Tại TMG Server vào Routing and Remote Access Restart Sau đó cấu hình máy client để kết nối VPN 11 UPDATE CENTRER Giao diện ở phần update center 85 Chọn Properties để disable hay enable update và chỉnh thời gian update Tab General : coi tính năng có enable chưa 86 Tab Definition Updates : chỉnh cách update và thời gian cập nhật 87 12 TROUBLESHOOTING 88 [...]... trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu hình chức năng Auto Discovery trên Forefront TMG 2010 Các bước sẽ thực hiện... Forefront TMG 2010, vào thư mục client, chạy file TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe (đối với hệ điều hành 64 bit) để cài đặt B1 : Chọn file TMG client B2 : Hộp thoại Welcome, chọn Next 16 B3 : chọn I accept the terms in the license B4 : Connect to this Forefront TMG computer : agreement Next khai báo bằng tay Automatically detect the appropriate Forefront. .. pháp sau để đăng ký AD Marker: Tmgaddconfigadd – default –type winsock –url http://yourdomain:8080/wspad.dat 15 • Cài đặt Forefront TMG Client Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM Trong bài viết này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài... update TMG B11 : Chọn thời gian cập nhật TMG 12 B12 : Chọn No, I don’t want to participate B14 : Chọn Close để hoàn thành B13 : Chọn Basic hoặc Advanced Đây là giao diện để cấu hình của Forefront TMG 13 3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server: Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG. .. Discovery tren Forefront TMG Server 2.Cấu hình Auto Discovery 3.Cài đặt Forefront TMG Client 14 • Bật chức năng Auto Discovery trên Forefront TMG Server B1 : bên trái chọn Network Bên phải chọn Internal sau đó B2 : qua tab Auto Discovery chọn check vào Properties Publish automatic discovery information for this network • Cấu hình Auto Discovery bằng Công cụ TMGADConfig Microsoft Forefront TMG cung cấp... bằng tay Automatically detect the appropriate Forefront TMG computer : tự động dò và kết nối với TMG Server Option này được chọn Next B5 : Chọn Automatically detect the appropriate B6 : Chọn Finish Forefront TMG computer Next 17 Mở Forefront TMG Client, qua tab Setting, kiểm Trong hộp thoại Advanced Automatic Detection, traTMG Client kết nối đến TMG Server thành kiểm tra chúng ta đang sử dụng cả 3... trình kiểm tra của máy chủ TMG được thực hiện trên các máy trạm TMG( AD Marker) Không giống như những phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu trong Active Directory để kiểm tra máy chủ TMG tương ứng TMG Client sẽ sử dụng LDAP để kiểm tra những thông tin cần thiết trong Active Directory Lưu ý: Nếu không tìm thấy AD Marker, TMG Client sẽ không chuyển... truyền thống qua DHCM và DNS vì lí do bảo mật Làm như vậy để giảm thiểu nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn Nếu một kết nối tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG Client sẽ chuyển sang DHCP và DNS Để thiết lập cấu hình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG AD Config và cài trên máy chủ TMG, ... Exceptions nơi đến mà sẽ malware inspection chưa không kiểm tra malware Muốn thêm chọn Add B4 : Tab Source Exceptions nguồn đi ra sẽ B5 : Tab Inspection Settings cách thực hiện không kiểm tra malware trên TMG Muốn của Malware Inspection thêm nhấn Add 34 B6 : Tab Storage chứa file của Malware inspection 5.3 HTTPS inspection : phát hiện các khả năng khi chạy giao thức https B1 : Vào Web Access Policy HTTPS ... điểm Forefront TMG Client vừa hỗ trợ tất protocols vừa hỗ trợ kiểm soát truy cập theo User account, hệ thống Forefront TMG 2010 nên cấu hình cho máy Clients truy cập Internet chế Forefront TMG. .. TMG Client Và để TMG Client tự động dò & kết nối đến TMG Server cách cấu hình chức Auto Discovery Forefront TMG 2010 Các bước thực : 1.Bật chức Auto Discovery tren Forefront TMG Server 2.Cấu... Công cụ TMGADConfig Microsoft Forefront TMG cung cấp tính giúp tự động hóa tiến trình kiểm tra máy chủ TMG thực máy trạm TMG( AD Marker) Không giống phiên máy trạm Firewall khác, Forefront TMG Client