1. Khái niệm
TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Forefront TMG chia ra làm 3 phần riêng biệt:
Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy Forefront TMG
External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình Forefront TMG.
Forefront TMG có khả năng:
Bảo vệ hệ thống đa dạng hơn
Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Trước tiên để cài được Forefront TMG bạn phải đáp ứng đủ các yêu cầu sau đây:
Ổ đĩa cài Forefront TMG phải được định dạng là NTFS. Đã cài đặt .Net Framework 3.0 trở lên
Máy tính cài đặt Forefront TMG phải chạy hệ điều hành Windows Server 2008 64bit và ở phiên bản Forefront TMG Beta1 thì máy tính cài đặt phải là Domain Member.
RAM tối thiểu 1GB, Dung lượng đĩa cứng còn trống tối thiểu 150MB Máy TMG gồm 2 card mạng
Card 1: Nối vào mạng nội bộ IP: 192.168.13.6
Subnet Mask: 255.255.255.192 DNS: 192.168.12.3
Defaul Getway: 192.168.12.1
Card 2: Nối ra môi trường Internet IP: 192.168.1.105
Subnet Mask: 255.255.255.255 DNS: 8.8.8.8
Defaul Getway: 192.168.1.1 2. Cài đặt
Ta tải TMG về máy và đúp chuột vào biểu tượng TMG
Tiếp theo ta nhẫn vào Install Microsoft Forefront Protection 2010 for Exchange
Tíc chọn I agree to the terms of the license agreement and privacy statement rồi Next để tiếp tục
Kiểu cài đặt có ba lựa chọn:
Forefront TMG services and Management Forefront TMG dịch vụ và quản lý.
Enterprise Management Server (EMS) for centralized array management Quản lý doanh nghiệp Server (EMS) cho mảng quản lý tập trung.
Bạn chọn Forefront TMG servies and Management Forefront . Click Next .
Tiến trình cài đặt được bắt đầu
Chọn accept
Điền một số thông tin
Chọn đường dẫn bạn muốn cài đặt
Add dải ip nội bộ của công ty vào
Chọn Card mạng tương thích
Chọn Next
Cũng như với việc cài đặt tường lửa ISA, một số dịch vụ sẽ cần phải được khởi động lại hoặc bị vô hiệu hoá khi bạn đang cài đặt tường lửa TMG. In this case,
SNMP service SNMP, dịch vụ
IIS Admin service IIS Admin dịch vụ
WWW Publishing Service WWW Publishing Service
Microsoft Operations Manager Service Microsoft Operations Manager Dịch vụ.
Nhấn Next.
Chọn Install
Chọn Finish để hoàn thành.
3. Triển khai
2.1. Web access
Cấu hình access rule cho phép truy cập internet. Theo mặc định khi cài đặt tường lửa thành công thì tường lửa sẽ khóa truy cập internet cho đến khi người quản trị thực hiện tạo access rule cho phép truy cập. cấu hình chọn Firewall policy chọn New chọn tiếp Access Rule.
Đặt tên Access rule và next để tiếp tục
Chọn Allow và nhấn next tiếp tục
Chọn giao thức Http và Https và next
Chọn giao thức Internal và local Host và next để tiếp tục.
Chọn External next next Finish Apply Done
Vào DC thử thì vào mạng Ok.
2.2. DNS Query
Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền.
Tạo Access rule cấu hình DNS Query
Đặt tên Access rule
Chọn giao thức
Hoàn thành quá trình cấu hình
2.3. Malware Inspection.
Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.
Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE. Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Trước tiên bạn cần kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)
Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau (lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd
Chọn Define deployment options
Chọn Use the Microsoft Update service to check for updates. Nhấn Next
Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next
Chấp nhận các thông số mặc định ta nhấn Next Chọn No, I don't want to participate nhấn Next Chọn None. No information is send to Microsoft. Nhấn Next chọn Finish chọn Update Center. Bấm phải chuột Malware Inspection, chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn
Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy. Bấm phải chuột vào Access Rule Allow Web chọn Properties Sang Tab Malware Inspection ta đánh dấu check Inspect content downloaded from Web servers to clients rồi nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi