Secure NAT – Proxy – Firewall Client

- GC Com's Blog - http://blog.gccom.net -

Microsoft Forefront TMG – Part 2 – Secure NAT – Proxy – FirewallClientPosted By admin On 02/02/2009 @ 21:22 In 70-557,Forefront TMG,Mạng máy tính,MCSA -MCSE,Sercurity | No Comments

Ở bài trước chúng ta đã hoàn tất việc cài đặt Forefront TMG trong bài này chúng ta sẽ tìmhiểu về các giao thức truyền tải mà Forefront TMG tương tác các máy trong InternalNetwork

Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net trongđó:

- PC01 là máy Windows Server 2008 sẽ cài đặt Forefront TMG đã Join vào Domain

- PC02 vừa là máy DC Server 2008 vừa đóng vai trò là máy Client để Test

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02Tên ftmg.gccom.net server.gccom.net

Card Lan

IP Address 192.168.1.2Subnet Mask 255.255.255.0Default gateway 192.168.1.1Preferred DNS

Card Cross

IP Address 172.16.2.1 172.16.2.2Subnet Mask 255.255.255.0 255.255.255.0Default gateway 172.16.2.1Preferred DNS 172.16.2.2 172.16.2.2

Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua SwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02

Sau khi cài đặt FTMG thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoàisẽ thấy không thể Ping được

[1]

Tuy nhiên với máy FTMG thì ping rất tốt

[2]

Như vậy ngay sau quá trình cài đặt FTMG sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta(172.16.2.0/24)

Bây giờ tôi sẽ tiến hành cấu hình FTMG sao cho các máy trong mạng có thể thấy được nhau.Với Forefront TMG chúng ta có 3 giải pháp để các máy trong mạng 172.16.2.0/24 truy cậpđược Internet:

[3]

Dạng Ưu điểm Nhược điểm

Secure NAT Kiểm soát được tất cả mọ i Port ravào hệ thống

Không kiểm soát được User, trangweb…

Proxy Kiểm soát được mọ i User, trangweb…

Chỉ kiểm soát được các Port443,80,21

Firewall ClientKiểm soát được tất cả mọ i Port ravào hệ thốngKiểm soát được mọ iUser, trang web…

Chỉ hỗ trợ các hệ điều hànhWindows

1/ Secure NAT

Bạn vào Start -> Programs -> Microsoft Forefront TMG -> Forefront TMG Management ->Forefront TMG

Trong màn hình chính của chương trình Forefront TMG nhấp phải vào Firewall Policy chọnNew -> Access Rule

[4]

Đặt tên cho Rule này ví dụ là Internal VS Local Host

[5]

Trong Rule Action chọn Allow

[6]

Trong Protocol bạn chọn All outbound traffic và nhấp Next

[7]

Tại cửa sổ Malware Inspection bạn nhấp chọn Enable malware inspection for this rule đểáp đặt chế độ bảo vệ khỏi virus, malware cho từng Rule

Đây là một tính năng mới trong Forefront TMG

[8]

Tại Access Rule Sources nhấp Add

[9]

Chọn Internal, Local Host trong thư mục Networks

[10]

Màn hình sau khi hoàn tất

[11]

Tại Access Rule Destinations Add Internal, Local Host vào

[12]

Nhấp Next

[13]

Trong Filrewall Policy ta thấy xuất hiện Rule Internal VS Local Host mới được tạo nhấpApply để thực thi Rule này

[14]

Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của FTMG

[15]

Ra Command DOS ping thử máy FTMG thấy rất tốt

[16]

Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote ManagementComputers có sẵn của FTMG

Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếpComputer Sets -> Remote Management Computers

[17]

Trong màn hình Remote Management Computers Properties nhấp Add:

Computer: chỉ tác động duy nhất lên một máy nào đó

Address Range: chỉ tác động lên một dãy IP nào đó

Subnet: tác động lên nguyên cả Subnet

[18]

Mặc định trong Remote Management Computers Properties, FTMG chỉ Add các IP của chínhmình mà thôi vì vậy ta phải Add thêm các IP hoặc Network mới

Trong ví dụ này tôi sẽ tác động lên nguyên Subnet là 172.16.2.0/24 nên tại đây tôi chọnSubnet

Đặt tên cho Rule này là Subnet 172.16.2.0/24 và nhập nguyên Subnet là 172.16.2.0/24vào sau đó nhấp OK

[19]

Tại máy PC02 ra Command DOS ping thử máy FTMG thấy rất tốt

[20]

Như vậy đến đây các máy trong mạng LAN có thể ping thấy nhau nhưng các máy này khôngthể ra Internet được ngoại trừ máy Forefront TMG vì Rule mà ta vừa tạo chỉ cho phép truycập qua lại với nhau giữa các máy trong Internal & Local Host mà thôi.

Vì vậy để các máy trong Internal có thể truy cập được Internet tại đây bạn phải Add thêmmột Rule nữa tương tự với Rule Internal với thuộc tính như sau:

Tại Access Rule Sources Add Internal, Local Host vào

[21]

Tại Access Rule Destinations Add External vào

[22]

Thử truy cập Internet từ các máy Client thấy rất tốt

2/ Proxy

Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IPcủa mạng chúng ta


Máy Đặc tính PC01 PC02Tên ftmg.gccom.net server.gccom.net

Card Lan

IP Address 192.168.1.2Subnet Mask 255.255.255.0

Default gateway 192.168.1.1Preferred DNS 203.162.4.191

Card Cross

IP Address 172.16.2.1 172.16.2.2Subnet Mask 255.255.255.0 255.255.255.0Default gateway

Preferred DNS 172.16.2.2


Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp TabConnections

Nhấp chọn LAN Settings

[23]

Nhập IP của máy PC01 vào ô Address và Port là 8080

[24]

Trở lại IE truy cập thử Internet thấy rất tốt

3/ Firewall Client

Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxynhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trongmạng phần mềm này có kèm theo trong bộ cài đặt Forefront TMG.


Máy Đặc tính PC01 PC02Tên FTMG.gccom.net server.gccom.net

Card Lan

IP Address 192.168.1.2Subnet Mask 255.255.255.0Default gateway 192.168.1.1Preferred DNS

Card Cross

IP Address 172.16.2.1 172.16.2.2Subnet Mask 255.255.255.0 255.255.255.0Default gateway 172.16.2.1Preferred DNS 172.16.2.2 172.16.2.2


Tại máy PC02 chọn thư mục Client trong Folder cài đặt Forefront TMG nhấp chọn Setup.exeđể cài đặt

[25]

Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computervà nhập IP của máy Forefront TMG

[26]

Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiệnIcon của Firewall Client

[27]

Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp TabConnections

Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta khôngcần phải nhập thủ công như làm tại Proxy

[28]

Trở lại IE truy cập thử Internet thấy rất tốt

Đến đây chúng ta đã hoàn tất quá trình cài đặt FTMG và cấu hình cho các máy trong mạng cóthể ra được Internet.

Và mọi công việc trên máy FTMG coi như xong, nếu bạn có nhu cầu truy cập FTMG để chỉnhsửa gì thêm trên thực tế bạn phải hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trênmáy cài Forefront TMG mà dùng một máy Client bất kỳ cài công cụ Forefront TMGManagement để quản lý FTMG mà thôi.

Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình SetupForefront TMG lên chọn Install Forefront TMG

[29]

Trong màn hình Setup Scenarios bạn chỉ chọn Install Forefront Threat ManagementGateway Management only mà thôi chọn tiếp Next để cài đặt

[30]

Màn hình Component Selection nhấp Next

[31]

Sau khi cài đặt hoàn tất , tiếp đến chạy Forefront TMG Management tại máy Client lên nhấpphải vào Microsoft Forefront Threat Management Gateway và chọn Connect to

[32]

Nhập IP hoặc tên Domain của máy Forefront TMG vào

[33]

Giữ nguyên giá trị mặc định trong màn hình Forefront TMG Credentials

[34]

Đến đây Forefront TMG Management sẽ hiển thị các công cụ y như trên máy Forefront TMGcho bạn quản lý

[35]

OK mình vừa trình bày xong phần Secure NAT – Proxy – Firewall Client – Microsoft ForefrontThreat Management Gateway trong 70-557 của MCSA.

Article printed from GC Com's Blog: http://blog.gccom.net

URL to article: http://blog.gccom.net/?p=4271

URLs in this post:

[1] Image: http://blog.gccom.net//uploads/2009/02/20090212-190428-gf.jpg

[2] Image: http://blog.gccom.net//uploads/2009/02/20090212-190508-gf.jpg[3] Image: http://blog.gccom.net//uploads/2009/02/20090117-200743-gf.jpg[4] Image: http://blog.gccom.net//uploads/2009/02/20090212-190631-gf.jpg[5] Image: http://blog.gccom.net//uploads/2009/02/20090212-190710-gf.jpg[6] Image: http://blog.gccom.net//uploads/2009/02/20090212-190723-gf.jpg[7] Image: http://blog.gccom.net//uploads/2009/02/20090212-190741-gf.jpg[8] Image: http://blog.gccom.net//uploads/2009/02/20090212-190800-gf.jpg[9] Image: http://blog.gccom.net//uploads/2009/02/20090212-190820-gf.jpg[10] Image: http://blog.gccom.net//uploads/2009/02/20090212-190842-gf.jpg[11] Image: http://blog.gccom.net//uploads/2009/02/20090212-190913-gf2.jpg[12] Image: http://blog.gccom.net//uploads/2009/02/20090212-190941-gf1.jpg[13] Image: http://blog.gccom.net//uploads/2009/02/20090212-190952-gf.jpg[14] Image: http://blog.gccom.net//uploads/2009/02/20090212-191027-gf.jpg[15] Image: http://blog.gccom.net//uploads/2009/02/20090212-191114-gf.jpg[16] Image: http://blog.gccom.net//uploads/2009/02/20090212-191501-gf.jpg[17] Image: http://blog.gccom.net//uploads/2009/02/20090212-192536-gf.jpg[18] Image: http://blog.gccom.net//uploads/2009/02/20090212-192804-gf.jpg[19] Image: http://blog.gccom.net//uploads/2009/02/20090212-192842-gf.jpg[20] Image: http://blog.gccom.net//uploads/2009/02/20090212-193004-gf.jpg[21] Image: http://blog.gccom.net//uploads/2009/02/20090212-190913-gf3.jpg[22] Image: http://blog.gccom.net//uploads/2009/02/20090101-195615-gf1.jpg[23] Image: http://blog.gccom.net//uploads/2009/02/20090212-193231-gf.jpg[24] Image: http://blog.gccom.net//uploads/2009/02/20090212-193315-gf.jpg[25] Image: http://blog.gccom.net//uploads/2009/02/20090212-193826-gf.jpg[26] Image: http://blog.gccom.net//uploads/2009/02/20090212-193923-gf.jpg[27] Image: http://blog.gccom.net//uploads/2009/02/20090212-194005-gf.jpg[28] Image: http://blog.gccom.net//uploads/2009/02/20090212-194105-gf.jpg[29] Image: http://blog.gccom.net//uploads/2009/02/20090212-195352-gf.jpg[30] Image: http://blog.gccom.net//uploads/2009/02/20090212-195503-gf.jpg[31] Image: http://blog.gccom.net//uploads/2009/02/20090212-195519-gf.jpg[32] Image: http://blog.gccom.net//uploads/2009/02/20090212-195709-gf.jpg[33] Image: http://blog.gccom.net//uploads/2009/02/20090212-195744-gf.jpg[34] Image: http://blog.gccom.net//uploads/2009/02/20090212-195808-gf.jpg[35] Image: http://blog.gccom.net//uploads/2009/02/20090212-195832-gf1.jpg

Copyright © 2008 GC Com's Blog. All rights reserved.

Documents

Secure NAT – Proxy – Firewall Client