Triển khai dịch vụ cho hệ thống

Một phần của tài liệu Tìm hiểu và triển khai TMG cho công ty TNHH Mai Lan (Trang 53 - 67)

• Yêu cầu phần cứng

3.3.3 Triển khai dịch vụ cho hệ thống

Cấu hình các Access Rules

- Web Access

Cấu hình Access rule cho phép truy cập internet. Mặc định khi cài đặt tường lửa thì các máy tính trong mạng lan sẽ không thể ra ngoài internet cho tới khi người quản trị cấu hình Access rule cho phép truy cập.

+ Tạo mới một Access rule: Nhấn chuột phải vào Firewall Policy chọn New-> Access Rule.

+ Thiết lập điều kiện cho rule là Allow.

+ Tùy chọn cấu hình Malware Inspection cho rule. + Cấu hình source và destination network cho rule.

+ Thêm các user áp dụng rule.

Hình 3.24: Cấu hình hoàn tất, apply để lưu cấu hình trên Forefront

- DNS Query

Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền:

+Tạo mới một Access rule: Nhấn chuột phải vào Firewall Policy chọn New-> Access Rule.

+ Khai báo tên và xác định hành động cho rule: Allow.

+ Chọn giao thức là DNS.

+ Cấu hình source và destination cho rule.

- Malware Inspection

Các bước cấu hình:

 Bật tính năng Malware Inspection trong TMG.

 Cấu hình và thực hiện update các engine và signature cho việc ngăn chặn malware xâm nhập vào hệ thống.

+ Cấu hình tự động update cho Malware Inspection.

+ Tiến hành update chức năng Malware Inspection.  Cấu hình Malware Inspection cho Rule Access Internet.

Hình 3.34: Thực hiện cấu hình trong mục Properties + Hộp thoại cấu hình Malware Inspection.

+ Các tùy chọn nâng cao của Malware Inspection với Rule Setting.  Kiểm tra

Thực hiện kiểm tra cấu hình Malware inspection với file virus mẫu download từ trang eicar.org: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa

Forefront chặn ngay khi chúng ta download file về. - HTTPs Inspection

Các bước thực hiện:

 bật tính năng HTTPS Inspection: Cấu hình tính năng HTTPs Inspection trong Task Web Access Policy.

 Cài đặt chứng chỉ nhận dạng mã độc

Cài đặt chứng chỉ dùng để xác định mã độc cho HTTPS Inspection (click “Generate…” trong hộp thoại HTTPS Outboun Inspection tab Genral ).

Hình 3.42: Cài đăt chứng chỉ + Lưu trữ chứng chỉ

Hình 3.44: Cài đặt chứng chỉ thành công + Triển khai chứng chỉ trên domain

Hình 3.46: Triển khai chứng chi trên domain mailan.net

 Kiểm tra cấu hình

Thực hiện kiểm tra tính năng HTTPS vừa cấu hình với trang eicar.org. + Download file từ eicar.org sử dụng giao thức bảo mật.

- Caching( Tăng tốc độ truy cập website)

Các bước cấu hình:

 Bật tính năng web caching: Cấu hình Web Caching trong Web Access Policy.  Cấu hình dung lượng lưu trữ: Cấu hình dung lượng lưu trữ cho Web Caching.  Cấu hình cache rule

Tạo Cache rule

Cấu hình request detination cho cache Cấu hình lưu trữ các đối tượng cache Cấu hình cache content

 Cấu hình Download Job Đặt tên cho job

Lập lịch và thời gian download Các tùy chọn download site

Hình 3.61: Apply để lưu cấu hình cache

Hình 6.62: Chọn lưu và khởi động lại dịch vụ

- URL Filtering

Hình 3.63: Add các URL catergory cần disable vào mục Exceptions

Hình 3.64: Network Objects

Cấu hình thuộc tính cho đối tượng “Chat” vừa disable. Trong mục URL Catalogy Override, chọn Add, nhập vào URL: vietfun.com/* và lưu cấu hình vừa tạo.

Hình 3.65: Cấu hình cấm chat trong trang vietfun.com

- DMZ Join Domain

Cấu hình Access Rule cho phép máy server vùng DMZ được Join vào Domain Controllers (Internal).

Các bước cấu hình:

 Tạo rule cấu hình cho phép các giao thức: DNS, LDAP, LDAP (UDP, Global Catalog), UDP (Adm/Sec/CIFS), TCP (Sec/CIFS), NTP (UDP), RPC (All Interfaces), PING.Được lưu thông giữa vùng Perimeter và Internal để các server trong vùng internal có thể join vào domain thông qua các giao thức trên.

Tạo New Access Rule Đặt tên cho rule

Chọn Allow trong mục rule action Thêm vào các giao thức

Xác định nguồn cho rule là Perimeter Cấu hình chứng thực user

Hình 3.73: Các rule đã tạo

 Thực hiện join các server trong vùng perimeter vào domain mailan.net

Hình 3.74: Các Client trong vùng Perimeter join Domain thành công

Cấu hình Network Ispection System( NIS)

Các bước cấu hình: - Bật tính năng NIS

- Cấu hình NIS (Network Inspection System) Thêm dãy địa chỉ ip cần giám sát

Đưa dãy địa chỉ ip vừa cấu hình vào Managerment Server Cho phépNIS phản ứng lại trước những traffic bất thường

Hình 3.80: Lưu cấu hình vừa tạo - Giám sát NIS

Thực hiện giám sát NIS thông qua log and report Nhập địa chỉ IP cần giám sát

Hình 3.84: Dữ liệu client cần giám sát được ghi nhận bởi NIS

Cấu hình kết nối VPN site to site

Các bước thực hiện:

- Tạo user chứng thực trên cả hai chi nhánh< tạo user chứng thực trên AD cho 2 chi nhánh: user A và user H, với 2 user này cho phép kết nối>

Cho phép các user A và H được phép truy cập từ bên ngoài - Thực hiện cấu hình kết nối VPN site to site

Cấu hình kết nối VPN trên site Hà Nội< TMG>

Tạo tài khoản A kết nối VPN tới site HCM< TMG1> Địa chỉ IP internal của site HCM

Hình 3.90: Phương thức mã hóa dữ liệu truyền giữa 2 site

Chúng ta làm tương tự với site HCM<TMG1> - Kiểm tra cấu hình

Sau đó vào start/administrator tool/routing and remote access/ network interfaces và connect interface A.

Hình 3.91: Kết quả khi 2 site connect được tới nhau

Cấu hình kết nối VPN client to site

Cấu hình Intrusion Detection

Bảo mật hệ điều hành với ForeFront Client Security

Cấu hình ForeFront Unifiel Access Gateway 2010

Bảo mật máy chủ Exchange

Một phần của tài liệu Tìm hiểu và triển khai TMG cho công ty TNHH Mai Lan (Trang 53 - 67)

Tải bản đầy đủ (DOC)

(67 trang)
w