Cài đặtvàcấuhình Forefront TMGClient Một trong những tính năng đáng chú ý của ForefrontTMG là khả năng hỗ trợ cho nhiều loại máy trạm được sử dụng để kết nối tới ForefrontTMG Firewall. Một trong số đó là máy trạm Microsoft Forefront TMG, được biết đến như một máy trạm Winsock cho các hệ điều hành Windows. Sử dụng TMGClient có một số ưu thế so với những máy trạm khác (như Web proxy và Secure NAT). TMGClient có thể được càiđặt trên máy trạm Windows và mộ t vài hệ điều hành dành cho máy chủ được bảo mật bằng ForefrontTMG 2010. ForefrontTMGClient cung cấp thông báo kiểm tra HTTPS (được sử dụng với TMG2010), khả năng tìm kiếm tự động, khả năng bảo mật tăng cường, hỗ trợ ứng dụng, và kiểm soát truy cập cho các máy trạm. Khi một máy trạm sử dụng ForefrontTMGClient thực hiện một yêu cầu tới Firewall, yêu cầu này sẽ được gửi tới máy tính ForefrontTMG 2010 để xử lý. Chúng ta không cần phải sử dụng đến bất kì cấu trúc chuyển đổi nào vì đã có tiến trình Winsock. ForefrontTMGClient sẽ gửi thông tin của người dùng kèm với mỗi yêu cầu để giúp tạo một Firewall Policy trên máy chủ ForefrontTMG 2010 với những Rule sử dụng các giấy phép thẩm định quyền được máy trạm đó chuyển tiếp mà chỉ sử dụng lưu lượng UDP và TCP. Với các giao thức khác, chúng ta phải sử dụng kết nối máy trạm Secure NAT. Ngoài những tính năng chuẩn của máy trạm Firewall, TMGClient còn hỗ trợ: • Thông báo kiểm tra HTTPS • Hỗ trợ AD Marker Những tính năng chuẩn của TMGClient • Hỗ trợ những Firewall Policy nền tảng người dùng hay nhóm người dùng cho giao thức UDP và TCP nền tảng Web proxy và Web. • Hỗ trợ cho các giao thức phức tạp mà không yêu cầu sử dụng bộ lọc ứng dụng TMG. • Đơn giản hóa cấuhình điều hướng cho những hệ thống lớn. • Tự động tìm kiếm thông tin TMG dựa trên các càiđặt của máy chủ DHCP và DNS. Yêu cầu hệ thống TMGClient có một số yêu cầu sau với hệ thống: 1. Sử dụng các hệ điều hành hỗ trợ, gồm: Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP. 2. Sử dụng những phiên bản ForefrontTMGvà ISA Server hỗ trợ, gồm: ISA Server 2004 Standard Edition, ISA Server 2004 Enterprise Edition, ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition, ForefrontTMG MBE (Medium Business Edition), ForefrontTMG 2010 Standard Edition, ForefrontTMG 2010 Enterprise Edition. Hình 1: Khả năng hỗ trợ của hệ điều hành. Hình 2: Khả năng tương thích của máy trạm và máy chủ. Những càiđặt của TMGClient trên máy chủ TMG Chỉ có một số càiđặt trên máy chủ ForefrontTMG đảm trách cấuhình cho hành vi của ForefrontTMG Client. Trước tiên chúng ta có thể kích hoạt hỗ trợ cho TMGClient trong mạng nội bộ trên máy chủ TMG như trong hình 1. Hình 3: Những càiđặt của máy trạm TMG trên máy chủ TMG. Sau khi kích hoạt hỗ trợ cho TMGClient (mặc định sau khi thực hiện một tiến trình càiđặtTMG thông thường), chúng ta cũng có thể tự động hóa quá trình cấuhình Web Browser cho những máy trạm này. Trong khi đang thực hiện cập nhật TMGClient hay khi dịch vụ đang khởi chạy, Web Browser sẽ được cấuhình các càiđặt trong TMG Management Console. Trong vùng Application Settings của TMGClient trong TMG Console, chúng ta có thể kích hoạt hay hủy bỏ một số càiđặt ph ụ thuộc của ứng dụng. Hình 4: Các càiđặt của TMG Client. AD Marker Microsoft ForefrontTMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của máy chủ TMG được thực hiện trên các máy trạm TMG. Không giống như những phiên bản máy trạm Firewall khác, giờ đây ForefrontTMGClient có thể sử dụng một vạch dấu trong Active Directory để kiểm tra máy chủ TMG tương ứng. TMGClient sẽ sử dụng LDAP để kiểm những thông tin cần thiết trong Active Directory. Lưu ý: Nếu không tìm thấy AD Marker, TMGClient sẽ không chuyển sang tiến trình kiểm tra tự động truyền thống qua DHCP và DNS vì lí do bảo mật. Làm như vậy để giảm thiểu nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn. Nếu một kết nối tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMGClient sẽ chuyển sang DHCP và DNS. Công cụ TMGADConfig Để thiết lập cấuhình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG AD Config tại đây (lựa chọn file tải là AdConfigPack.exe). Sau khi tải công cụ này về, chúng ta có thể càiđặt trên máy chủ TMG, sau đó chạy lệnh có cú pháp như sau để đăng ký AD Marker: Tmgadconfig add –default –type winsock –url http://nameoftmgserver.domain.tld:8080/wspad.dat Chúng ta cũng có thể gỡ bỏ AD Marker bằng công cụ TMGADConfig nếu chúng ta không cần sử dụng đến những hỗ trợ của AD Marker. CàiđặtTMGClient Trước tiên chúng ta cần tải TMGClient tại đây. Sau khi file càiđặt đã được tải về, click đúp vào file này để khởi chạy wizard càiđặt rồi làm theo hướng dẫn. Hình 5: CàiđặtTMG Client. Trong khi càiđặt chúng ta có thể chỉ định đường dẫn riêng hoặc sử dụng đường dẫn mặc định của TMG Client. Sau khi tiến trình càiđặt kết thúc chúng ta có thể thiết lập lại càiđặt cho cơ chế tìm kiếm của máy trạm TMG bằng công cụ cấuhìnhTMGClient trong bảng tác vụ của máy trạm này. Hình 6: Lựa chọn máy chủ TMG mà máy trạm TMG sẽ kết nối tới. Tiến trình tìm kiếm tự động nâng cao Nếu muốn hiệu chỉnh hành vi của tiến trình tiếm kiếm tự động, chúng ta có thể sử dụng hai tùy chọn mới để xác định phương pháp được áp dụng cho tiến trình này. Hình 7: Tùy chọn nâng cao của tiến trình tìm kiếm tự động. Thông báo kiểm tra HTTPS Microsoft ForefrontTMG có một tính năng mới giúp kiểm tra lưu lượng HTTPS cho các kết nối đi của máy trạm. Để thông báo cho người dùng về tiến trình này, máy trạm TMG có thể được cấuhình để thông báo cho người dùng biết rằng kết nối HTTPS đi sẽ được kiểm tra nếu họ muốn thực hiện tiến trình này. Quản trị viên TMG cũng có thể tắt bỏ hoàn toàn những thông báo này trên máy chủ TMG, hay hủy bỏ thủ công trên các máy trạm. Hình 8: Secure Connection Inspection. Nếu tiến trình kiểm tra HTTPS đi được kích hoạt, vàcàiđặt thông để thông báo cho người dùng nếu tiến trình kiểm tra HTTPS được sử dụng cũng đã được kích hoạt thì những người dùng đã càiđặtForefrontTMGClient sẽ nhận được thông báo có nội dung như trong hình 7. Hình 9: Thông báo của Secure Connection Inspection. Kết luận Trong bài viết này chúng ta đã khái quát về tiến trình cấu hìnhvàcài đặt, và một số tính năng của Microsoft ForefrontTMG Client. Những càiđặt chi tiết của TMGClient không được nhắc đến trong bài viết này, vì trong phiên bản mới nhất này các càiđặt không có gì khác biệt so với các phiên bản trước. . khái quát về tiến trình cấu hình và cài đặt, và một số tính năng của Microsoft Forefront TMG Client. Những cài đặt chi tiết của TMG Client không được nhắc. file cài đặt đã được tải về, click đúp vào file này để khởi chạy wizard cài đặt rồi làm theo hướng dẫn. Hình 5: Cài đặt TMG Client. Trong khi cài đặt chúng