Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
3,61 MB
Nội dung
“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT MicrosoftForefrontTMG-Part2-SecureNAT-Proxy-FirewallClient Ở bài trước chúng ta đã hoàn tất việc cài đặt ForefrontTMG trong bài này chúng ta sẽ tìm hiểu về các giao thức truyền tải mà ForefrontTMG tương tác các máy trong Internal Network Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net trong đó: - PC01 là máy Windows Server 2008 sẽ cài đặt ForefrontTMG đã Join vào Domain - PC02 vừa là máy DC Server 2008 vừa đóng vai trò là máy Client để Test Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên ftmg.gccom.net server.gccom.net Card Lan IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS Card Cross IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.16.2.1 Preferred DNS 172.16.2.2 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Sau khi cài đặt FTMG thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được Tuy nhiên với máy FTMG thì ping rất tốt 1 of 16 Như vậy ngay sau quá trình cài đặt FTMG sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24) Bây giờ tôi sẽ tiến hành cấu hình FTMG sao cho các máy trong mạng có thể thấy được nhau. Với ForefrontTMG chúng ta có 3 giải pháp để các máy trong mạng 172.16.2.0/24 truy cập được Internet: Dạng Ưu điểm Nhược điểm SecureNAT Kiểm soát được tất cả mọi Port ra vào hệ thống Không kiểm soát được User, trang web . Proxy Kiểm soát được mọi User, trang web . Chỉ kiểm soát được các Port 443,80,21 FirewallClient Kiểm soát được tất cả mọi Port ra vào hệ thống Kiểm soát được mọi User, trang web . Chỉ hỗ trợ các hệ điều hành Windows 1/ SecureNAT Bạn vào Start -> Programs -> MicrosoftForefrontTMG -> ForefrontTMG Management -> ForefrontTMG Trong màn hình chính của chương trình ForefrontTMG nhấp phải vào Firewall Policy chọn New -> Access Rule 2 of 16 Đặt tên cho Rule này ví dụ là Internal VS Local Host Trong Rule Action chọn Allow Trong Protocol bạn chọn All outbound traffic và nhấp Next 3 of 16 Tại cửa sổ Malware Inspection bạn nhấp chọn Enable malware inspection for this rule để áp đặt chế độ bảo vệ khỏi virus, malware cho từng Rule Đây là một tính năng mới trong ForefrontTMGTại Access Rule Sources nhấp Add Chọn Internal, Local Host trong thư mục Networks 4 of 16 Màn hình sau khi hoàn tất Tại Access Rule Destinations Add Internal, Local Host vào Nhấp Next 5 of 16 Trong Filrewall Policy ta thấy xuất hiện Rule Internal VS Local Host mới được tạo nhấp Apply để thực thi Rule này Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của FTMG Ra Command DOS ping thử máy FTMG thấy rất tốt 6 of 16 Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của FTMG TạiFirewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote Management Computers Trong màn hình Remote Management Computers Properties nhấp Add: Computer: chỉ tác động duy nhất lên một máy nào đó Address Range: chỉ tác động lên một dãy IP nào đó Subnet: tác động lên nguyên cả Subnet 7 of 16 Mặc định trong Remote Management Computers Properties, FTMG chỉ Add các IP của chính mình mà thôi vì vậy ta phải Add thêm các IP hoặc Network mới Trong ví dụ này tôi sẽ tác động lên nguyên Subnet là 172.16.2.0/24 nên tại đây tôi chọn Subnet Đặt tên cho Rule này là Subnet 172.16.2.0/24 và nhập nguyên Subnet là 172.16.2.0/24 vào sau đó nhấp OK Tại máy PC02 ra Command DOS ping thử máy FTMG thấy rất tốt 8 of 16 Như vậy đến đây các máy trong mạng LAN có thể ping thấy nhau nhưng các máy này không thể ra Internet được ngoại trừ máy ForefrontTMG vì Rule mà ta vừa tạo chỉ cho phép truy cập qua lại với nhau giữa các máy trong Internal & Local Host mà thôi. Vì vậy để các máy trong Internal có thể truy cập được Internet tại đây bạn phải Add thêm một Rule nữa tương tự với Rule Internal với thuộc tính như sau: Tại Access Rule Sources Add Internal, Local Host vào Tại Access Rule Destinations Add External vào 9 of 16 Thử truy cập Internet từ các máy Client thấy rất tốt 2/ Proxy Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên ftmg.gccom.net server.gccom.net Card Lan IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS 203.162.4.191 Card Cross IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway Preferred DNS 172.16.2.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings Nhập IP của máy PC01 vào ô Address và Port là 8080 10 of 16 [...]... Card Lan Default gateway 1 92. 168.1.1 Preferred DNS IP Address 1 72. 16 .2. 1 1 72. 16 .2. 2 Subnet Mask 25 5 .25 5 .25 5.0 25 5 .25 5 .25 5.0 Card Cross Default 1 72. 16 .2. 1 gateway Preferred DNS 1 72. 16 .2. 2 1 72. 16 .2. 2 Card Lan: nối gián tiếp 2 máy PC01 & PC 02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC 02Tại máy PC 02 chọn thư mục Client trong Folder cài đặt ForefrontTMG nhấp chọn Setup.exe... 14 of 16 Nhập IP hoặc tên Domain của máy ForefrontTMG vào Giữ nguyên giá trị mặc định trong màn hình ForefrontTMG Credentials 15 of 16 Đến đây ForefrontTMG Management sẽ hiển thị các công cụ y như trên máy ForefrontTMG cho bạn quản lý OK mình vừa trình bày xong phần SecureNAT-Proxy-FirewallClient-MicrosoftForefront Threat Management Gateway trong 7 0-5 57 của MCSA Công ty TNHH đầu tư phát... tốt 3/ FirewallClient Với FirewallClient bạn sẽ tận dụng được tất cả các ưu điểm của SecureNAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ FirewallClient cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt ForefrontTMG Cấu hình IP các máy như sau: Máy Đặc tính PC 02 FTMG.gccom.net Tên PC01 server.gccom.net IP Address 1 92. 168.1 .2 Subnet Mask 25 5 .25 5 .25 5.0 Card... quá trình cài đặt FTMG và cấu hình cho các máy trong mạng có thể ra được Internet Và mọi công việc trên máy FTMG coi như xong, nếu bạn có nhu cầu truy cập FTMG để chỉnh sửa gì thêm trên thực tế bạn phải hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài ForefrontTMG mà dùng một máy Client bất kỳ cài công cụ ForefrontTMG Management để quản lý FTMG mà thôi Tại máy Client bạn Logon vào... máy và chạy chương trình Setup ForefrontTMG lên chọn Install ForefrontTMG Trong màn hình Setup Scenarios bạn chỉ chọn Install Forefront Threat Management Gateway Management only mà thôi chọn tiếp Next để cài đặt 13 of 16 Màn hình Component Selection nhấp Next Sau khi cài đặt hoàn tất , tiếp đến chạy ForefrontTMG Management tại máy Client lên nhấp phải vào MicrosoftForefront Threat Management Gateway... computer và nhập IP của máy ForefrontTMG Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của FirewallClientTại máy PC 02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm tạiProxy 12 of 16 Trở lại IE truy cập... MicrosoftForefront Threat Management Gateway trong 7 0-5 57 của MCSA Công ty TNHH đầu tư phát triển tin học GC Com Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6 .27 4 .29 4 Website: http://www.gccom.net 16 of 16 . 1 72. 16 .2. 1 1 72. 16 .2. 2 Subnet Mask 25 5 .25 5 .25 5.0 25 5 .25 5 .25 5.0 Default gateway 1 72. 16 .2. 1 Preferred DNS 1 72. 16 .2. 2 1 72. 16 .2. 2 Card Lan: nối gián tiếp 2. thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client Ở bài trước chúng