Cấu hình 1 số tính năng củaTMG để quản lý nhần viên

Một phần của tài liệu Báo cáo thực tập nghiên cứu công nghệ firewall, triển khai ứng dụng TMG 2010 cho doanh nghiệp (Trang 49)

4.3.1 Web acess.

- Cấu hình access rule cho phép truy cập internet

- Theo mặc định khi cài đặt tường lửa thành công thì tường lửa sẽ khóa truy cập internet cho đến khi người quản trị thực hiện tạo access rule cho phép truy cập. - Cấu hình chọn Firewall policy chọn New chọn tiếp là Access Rule.

50

Hình 4.18 Tạo Access rule

- Đặt tên Access rule và next để tiếp tục

Hình 4.19 Đặt tên cho Access rule

51

Hình 4.20 Chọn cách cài đặt

- Chọn giao thức Http và Https và next

52 - Chọn giao thức Internal và local Host và next để tiếp tục.

Hình 4.22 Chọn giao thức

- Chọn External  next  next  và Finish  chọn Apply  Done

Hình 4.23 kết thức cấu hình access rule

53

4.3.2 DNS Query.

- Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền.

Hình 4.24 Tạo Access rule cấu hình DNS Query

54

Hình 4.26 Chọn giao thức

Hình 4.27 Hoàn thành quá trình cấu hình

55 - Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.

- Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ, trên máy DC, bạn cài đặt thêm Role Web server (IIS) bằng cách mở Server Manager. Bấm phải chuột lên Roles - ChọnAdd Roles

- Đánh dấu chọn Web Server (IIS) sau đó nhấn Next và chấp nhận tất cả các lựa chọn mặc định khi cài đặt

Hình 4.29 Chọn cài đặt Web Server (IIS)

56

Hình 4.30 Tạo host tên TMGLON trỏ về IP máy DC

a. Enable Caching

- Mặc định TMG chưa bật chức năng Web Caching. Để sử dụng bạn cần bật tính năng này. Chọn Web Access Policy - Nhấn vào link Disabled của mục Web Caching.

- Sang tab Cache Drives - Nhấn nút Configure

57 - Chọn ỗ đĩa tùy ý, tôi chọn đĩa C: - Nhập dung lượng tùy ý (tính bằng MB) vào ô Maximum cache size (MB) - Nhấn nút Set

- Nhấn OK

- Nhấn OK

- Nhấn Apply

Hình 4.32 Hoàn thành quá trình tạo cache

- Chọn Save the changes and restart the services – OK - Nhấn Apply

- Nhấn OK

- Mở ổ C: bạn sẽ thấy xuất hiện một thư mục mới tên là urlcache, mở thư mục này bạn sẽ thấy 1 file tên tên là Dir1.cdat có dung lượng bằng với dung lượng bạn đã chỉ định ở bước trước. Đây chính là file sẽ chứa nội dung các trang Web mà TMG truy cập

- Sang máy DC kiểm tra truy cập một trang Web tùy ý (ví dụ www.dantri.com.vn) và đợi cho đến khi trang web này hiển thị đầy đủ nội dung và hình ảnh

58

Hình 4.33 Hiển thị 1 số trang web để thử

- Đóng Internet Explorer, mở lại Internet Explorer và truy cập lại trang Web trên lần thứ hai, kiểm tra tốc độ lần thứ hai sẽ nhanh hơn nhiều so với khi truy cập lần đầu tiên

- Tiếp theo tôi sẽ kiểm tra Web Caching đối với các trang Web trong nội bộ. Trên máy TMG, truy cập trang Web www.mcthub.local để trang Web này được lưu vào Cache

- Sang máy DC mở Internet Information Service (IIS) Manager

- Chọn trang Web Default Web Site - Trong Action Pane - Chọn Stop

- Sang máy TMG đóng Internet Explorer, mở Internet Explorer và truy cập lại và trang www.dantri.com.vn Bạn sẽ vẫn truy cập được do đang truy cập nội dung trang web từ Cache.

b. Content Download Job

- Content Download Job là chức năng tự động download một trang Web chỉ định vào Cache cho phép trang Web này luôn được truy cập với tốc độ tốt nhất có thể. Chọn Web Access Policy - Nhấn chuột vào link Enabled của mục Web Caching - Sang tab Content Download - Nhấn New

59

Hình 4.34 Tạo Download Job

- Chọn lịch trình Download là Daily (hàng ngày) - Nhấn Next

60 - Trong khung Job start time: chỉ định giờ sau giờ hiện hành khoảng 5 phút - Nhấn Next

- Khung Download content from this URL: Nhập URL của trang Web cần download là http://chaydau.com - Nhấn Next

Hình 4.36 Chọn trang web cần dowload

- Chấp nhận các thông số mặc định về TTL - Nhấn Next - Nhấn Finish

61 - Nhấn Yes để khởi động dịch vụ

- Nhấn Apply

- Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

- Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo và nhấn Start Job

Hình 4.38 Cho chạy Download Job vừa tạo

- Sang máy DC, chờ đến thời gian mà bạn đã qui định, sau vài phút truy cập trang web http://mcthub.com để kiểm tra tốc độ truy cập

4.3.4 Malware Inspection.

- Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.

- Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi

62 cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE - Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Triên tiên bạn cần

kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)

Hình 4.39 kiểm tra việc cập nhật cho chức năng Malware Inspection

- Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau (lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd

63

Hình 4.40 Giao diện Launch Getting Started Wizrd

- Chọn Define deployment options

- Chọn Use the Microsoft Update service to check for updates - Nhấn Next

Hình 4.41 Bật tính Năng updates

- Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next

64

Hình 4.42 Giao diện cấu hình

- Chấp nhận các thông số mặc định - Nhấn Next - Chọn No, I don't want to participate - Nhấn Next

- Chọn None. No information is send to Microsoft - Nhấn Next - Nhấn Finish

- Chọn Update Center - Bấm phải chuột Malware Inspection - Chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn

65 - Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy - Bấm phải chuột vào Access Rule Allow Web - Chọn Properties - Sang Tab Malware Inspection - Đánh dấu check Inspect content downloaded from Web servers to clients - Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Hình 4.44 Check Inspect content downloaded from Web servers to clients

- Sang máy DC, kiểm tra bằng cách download lại file eicar.com

66 - Bạn sẽ nhận thông báo lỗi như hình dưới cho biết file này có chứa malware và đã bị chặn

Hình 4.46 Thông báo khi nhấn Downloal

4.3.5 HTTP Filter

- HTTP filter là chức năng cho phép lọc và chặn dựa vào nội dung của gói tin HTTP khi truy cập Web. Trên TMG có thể sử dụng chức năng này để cấm download các loại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông số signature của các ứng dụng truy cập Web như ứng dụng Chat hay Game online… Trong ví dụ này tôi sẽ cấu hình cấm download các loại file chỉ định và cấm dựa theo phương thức truy cập Web.

a. Cấm Download các loại file chỉ định

- Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP

67

Hình 4.47 Chọn Configure HTTP cấu hình cấm download file chỉ định

- Sang Tab Extensions - Chọn Block specified extensions (allow all others) - Nhấn Add

- Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần mở rộng là exe, nhập .exe - Nhấn OK

- Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

68 - Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là EXE, bạn sẽ nhận báo lỗi như hình dưới với thông tin Source là Web filter

Hình 4.49 Kiểm tra thử download

b. Cấm dựa vào phương thức (method) truy cập Web

- Khi truy cập web, thông thường người dùng sẽ sử dụng một trong các phương thức truy cập phổ biến sau:

- GET: Lấy thông tin từ server, đây là phương thức truy cập phổ biến nhất để đọc nội dung Web

- POST: Gửi thông tin từ client lên Web Server. Đây là phương thức thường dùng của các Web Mail hay diễn đàn

- Trong ví dụ này tôi sẽ cấm truy cập bằng phương thức POST. Chọn Firewall Policy. Bấm phải chuột vào Access Rule Allow Web - Chọn Configure HTTP - Sang Tab Methods - Chọn Block specified method (allow all others) - Nhấn Add - Nhập phương thức cần cấm (ví dụ POST) - Nhấn OK

69

Hình 4.50 Cấm post là đăng nhập vào các diễn đàn forum

- Chuyển sang máy DC thử đang nhập vào một diễn đàn (forum) nào đó sử dụng phương thức POST. Bạn sẽ nhận báo lỗi như hình dưới

70

4.3.6 Ngăn chặn video trên YouTube và các nội dung Flash HÌNH ẢNH bằng cách sử dụng Forefront TMG cách sử dụng Forefront TMG

Có bạn luôn có thể chặn URL Video nhưng điều này có thể không có hiệu quả như video trên YouTube có thể được nhúng trong các trang web khác và có rất nhiều các trang web giống như trang YouTube. Một cách tiếp cận hiệu quả hơn là để ngăn chặn kiểu MIME, nhờ nội dung nâng cao, khả năng lọc được xây dựng vào Forefont TMG.

Trước khi bắt đầu có hai ghi chú quan trọng:

Tôi đề cập đến YouTube bởi vì nó là trang chia sẻ video mà tất cả mọi người yêu thích, nhưng các bước dưới đây sẽ làm việc cho Vimeo và các trang web chia sẻ video nào khác dựa trên công nghệ Adobe Flash.

Các bước dưới đây có thể được sử dụng để chặn YouTube và nội dung flash trên ISA Server 2004/2006.

Chặn video YouTube bằng cách sử dụng TMG

Trên giao diện TMG, click chuột phải vào Firewall Policy > New Access Rule và tạo “Deny” với tên là “Block Youtube” và làm theo các bước sau:

Deny

Applies to: All Outbound traffic From: Internal

To: External All Users

Click Finish để đóng cửa sổ Wizard.

Bạn không cần phải nhấn Apply ngay! click chuột phải vào Rule bạn mới tạo chọn Properties.

71 Tạo Content type Set mới như sau:

Tên: YouTube

Available types: (bạn gõ các kiểu file sau và click nút Add)

*VIDEO/* *.JPG

*IEMAGE/JPEG

Hình 4.52 cửa sổ tạo đuôi video ảnh

Click ok, và đảm bảo bạn chọn vào Youtube mà bạn vừa tạo để kích hoạt. Click Ok và Apple để áp dụng thay đổi.

Kiểm tra thiết lập bạn vừa taọ bằng cách bạn thử mở Video trên Youtube hoặc trang web chia sẻ Video khác.

Block Adobe Flash Player sử dụng TMG Thực hiện từ bước 1 đến bước 3 như ở trên.

Trong khi tạo Content type set mới, bạn sử dụng các thông số sau: Tên: Flash

Trong ô available types box, bạn gõ:

72 Bạn thực hiện giống bước 5 ở trên.

Ngăn chặn thêm kiểu MIME

Nếu bạn cần để chặn một cái gì đó khác, thì nó khá dễ dàng để tìm thấy những loại nội dung để NGĂN CHẶN. ĐƠN GIẢN CHỈ CẦN THEO dõi ghi chép (Logs & Reports> Logging) trong giao diện điều khiển TMG. Một khi bạn gặp phải nhật ký cho phép nội dung mà bạn muốn chặn, mở rộng ”Additional Information“ và bạn sẽ tìm thấy những loại MIME mà bạn cần phải chặn.

4.3.7 Thực hiện backup và restore.

- Thực hiện Backup hệ thống

- Trong mục Action, chọn Export Firewall Policy

Hình 4.53 cửa sổ tạo file backup

73

Hình 4.54 Giao diện cấu hình backup

- Check vào “export confidental infomation” - Nhập password để bảo vệ cho file cấu hình

Hình 4.55 Tạo passwords khi tạo file backup

74

Hình 4.56 Chọn nơi lưu file Backup

Hình 4.57 Hoàn thành quá trình tạo file backup

- Restore file đã Backup của hệ thống

- Vào menu Action\import firewall policy… để tiến hành các bước restore file cấu hình

75

Hình 4.58 Giao diện Restore file đã Backup

- Chọn đến nơi đang giữ file Backup

Hình 4.59 Chọn nơi lưu file Backup

- Mục Import Server để mặc định và nhập Password lúc backup ở cửa sổ Enter password

76

Hình 4.60 Nhập passwords

Hình 4.61 Hoàn thành quá trình Restore file đã Backup

77

Hình 4.62 Giao diện lúc đã backup

4.3.8 VPN Client to Gateway.

a. Tạo Domain Acount cho phép thực hiện kết nối VPN

- Máy domain: Mở Active Directory Users and Computers → User → Tạo User u1

78

Hình 4.63 Tạo tài khoản để kết nối VPN

- Chỉnh thuộc tính cho u1 → tab Dial-in → chọn Allow acess → OK

79 - Tạo Group tên VPN → OK

Hình 4.65 Tạo Group VPN

- Đưa u1 vào danh sách thành viên của Group VPN → OK

80 b Xác định Pool số IP được gán.

- Mở Forefront TMG Management → Remote Acess Policy(VPN) → VPN clients →Define Address Assignments

Hình 4.67 Cấu hình ip cho VPN

- Nhấn Add → chọn tên Server → Nhập Range IP từ 10.10.10.1 đến 10.10.10.200 → OK

81 - Kiểm tra Pool số IP → OK

Hình 4.69 Kiểm tra số IP

c Xác định VPN clients Properties

- Chọn Remote Acess policy(VPN) → Configure VPN Client Acess

82 - Tab Group: Quy định group được kết nối VPN là group VPN

Hình 4.71 Quy định group được kết nối VPN

- Tab protocol: Chọn Protocol sử dụng là PPTP

Hình 4.72 Chọn Protocol kết nối VPN

- Tab User Mapping: Chọn Enable user mapping Chọn When username does not contain a domain, use this domain Nhập tên domain chaydau.com – OK

83

Hình 4.73 Chọn user mapping

d . Bật chức năng VPN

- Chọn Remote Acess Policy(VPN) ֶ→ Enable VPN Client Access

Hình 4.74 Enable VPN

84 - Chọn firewall policy → New access Rule

Hình 4.75 Tạo acess rule kết nối VPN

- Đặt tên Rule: Allow VPN Clients –> Next

85 - Chọn Allow -> Next

Hình 4.77 Chọn action của rule

- Chọn All Outbound traffic -> Next

86 - Chọn Do not enable malware inspection for this rule -> Next

Hình 4.79 Select malware Inspection

- Soure: Add -> Bung network -> Chọn VPN clients -> Add -> close-> Next

Một phần của tài liệu Báo cáo thực tập nghiên cứu công nghệ firewall, triển khai ứng dụng TMG 2010 cho doanh nghiệp (Trang 49)

Tải bản đầy đủ (PDF)

(98 trang)