“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ T HUẬT Microsoft Forefront TMG - Part 3 - Access Rule Như vậy chúng ta đã hoàn tất các bước cài đặt Fo
Trang 1“Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ T HUẬT
Microsoft Forefront TMG - Part 3 - Access Rule
Như vậy chúng ta đã hoàn tất các bước cài đặt Forefront TMG và cấu hình cho tất cả các máy từ Internal Network có thể truy cập Forefront TMG (Local Host) bằng Firewall Client Và như chúng đã biết sau khi cài đặt xong Forefront TMG lập tức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network không thể truy cập được ra ngoài (mạng Internet) và ngược lại Hay nói một cách khác Forefront TMG đã khóa tất cả mọi Port
ra vào hệ thống
Như vậy trong bài này chúng ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet Tuy nhiên chúng ta không
mở một cách tùy tiện các Port này mà chỉ mở khi nào thực sự cần thiết mà thôi.
Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net
Cấu hình IP các máy như sau:
Tên FTMG.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default gateway 192.168.1.1 Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
- Card Lan 192.168.1.2/24 là Card nối vào Router ADSL để ra Internet
- Máy PC01 chính là máy Forefront TMG đã Join vào domain
- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24
Tại máy PC02 bật Active Directory Users and Computers lên và tạo một Group là Kinh Doanh và một User là
gccom1 Tiến hành Add gccom1 vào Group Kinh Doanh
Trang 2Đầu tiên để các máy trong Internal Network có thể truy cập được Local Host và ngược lại ta phải tạo một Access Rule (tương tự đã làm ờ bài Installation) và trong bài này tôi đặt tên cho Rule này là Internal VS Local Host
Chọn Allow
Trang 3Chọn tiếp All outbound traffic
Trong Access Rule Sources chọn 2 thuộc tính là Internal và Local Host
Vì cho đơn giản trong bài học tôi chọn luôn Local Host tuy nhiên trên thực tế vì lý do bảo mật chúng ta không chọn Local Host mà chỉ chọn duy nhất Internal mà thôi Nhằm tránh tình trạng các máy trong Intrenal Network truy cập trực tiếp lên máy Forefront TMG
Tương tự trong Access Rule Destinations chọn 2 thuộc tính là Internal và Local Host
Trang 4Trong User Sets chọn All User
Màn hình Rule Internal VS Local Host sau khi được tạo xong như vậy với Rule này chúng ta có thể hiểu như sau:
Đồng ý cho tất cả các giao thức (mọi Port) từ Internal sang Local Host và ngược lại, quyền này được gán lên mọi User
có trong mạng Internal
Tiếp theo để các máy trong Internal Network truy cập ra Internet được bằng domain name của một trang Web nào đó ví
dụ như google.com.vn chẳng hạn thì đòi hỏi phải có một DNS Server nào đó phân giải giúp ta tên miền này, mà trong này chính là DNS Server của nhà cung cấp dịch vụ ISP mà ta đang sử dụng
Như vậy sẽ tạo tiếp một Access Rule có thuộc tính sao cho các máy trong Internal Network có quyền truy vấn đến các DNS Server bên ngoài và giả sử tôi đặt tên cho Rule này là DNS Query
Trang 5Tại cửa sổ Protocol ta không chọn All outbound traffic nữa mà chỉ mở duy nhất một Port 53 để truy vấn DNS mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add
Nhấp chọn DNS trong Folder Common Protocols
Trang 6Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal
Tương tự trong Access Rule Destinations chọn duy nhất 1 thuộc tính là External
Trong User Sets chọn All User
Như vậy với Rule DNS Query này chúng ta có thể hiểu như sau:
Đồng ý cho giao thức DNS (duy nhất Port 53) theo một chiều từ Internal sang External, quyền này được gán lên mọi User có trong mạng Internal
Như vậy khi các máy trong Internal Network truy cập một trang web nào đó đầu tiên nó sẽ hỏi DNS Server của hệ thống chúng ta (tức là PC02) và tất nhiên DNS Server chúng ta không thể hiểu được Domain name này và ngay lập tức DNS Server này sẽ hỏi tiếp các DNS Server bên ngoài nhờ FTMG đã mở Port 53
Tuy nhiên thực chất cho đến lúc này các máy trong Internal Network vẫn chưa truy cập được các trang Web mình mong muốn vì thực tế Forefront TMG chỉ mở duy nhất một Port 53 mà thôi trong khi đó để truy cập Web chúng ta cần mở tiếp các Port 80 (http), Port 443 (https), Port 21 (ftp)
Tiếp đến tôi sẽ tạo một Access Rule sao cho các User trong Group Kinh Doanh được phép truy cập Internet nhưng sẽ bị
giới hạn về thời gian và chỉ được phép truy cập một số trang Web nào đó mà thôi
Giả sử tôi đặt tên cho Rule này là Web Group KD
Trang 7Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi nên ta giữ nguyên chế độ Selected protocols chọn Add
Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào.
Tiếp tục chọn Next
Trang 8Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal
Tuy nhiên trong Access Rule Destinations ta không chọn thuộc tính là External nữa vì như thế các User có thể truy cập
mọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi Nên bạn
chọn Add
Trong cửa sổ Add Network Entities chọn New -> URL Set
Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Allow Web
Trang 9Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào theo cú pháp:
http://*.<domain name>/*
http://<domain name>/*
Như vậy với mỗi trang Web chúng ta cần phải nhập 2 dòng theo cú pháp trên Trong này ví dụ tôi cho phép User có quyền truy cập 2 trang gccom.net và google.com mà thôi.
Trở lại cửa sổ Add Network Entities chọn URL Set -> Allow Web
Vì tôi muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets chọn All User và Remove nó đi Sau đó nhấp Add để thêm Group mới
Trang 10Trong cửa sổ Add Users chọn New
Đặt tên cho Users Set này là Group KD
Trong cửa sổ Users nhấp Add -> Windows users and groups
Trang 11Vì đối tượng mà ta muốn tác động là Group Kinh Doanh trên máy DC Server (PC02) nên tại đây ta phải chọn Entire Directory để truy cập Users Database trên DC Server
Trong Select this users or groups chọn Locations
Chọn Entire Directory -> gccom.net
Tiếp tục Add Group Kinh Doanh vào
Trang 12Trở lại màn hình Add Users chọn Group KD
Màn hình sau khi hoàn tất