microsoft forefront tmg part 3 - access rule -

“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT

Microsoft Forefront TMG - Part 3 - Access RuleNhư vậy chúng ta đã hoàn tất các bước cài đặt Forefront TMG và cấu hình cho tất cả các máy từ Internal Network có thểtruy cập Forefront TMG (Local Host) bằng Firewall Client. Và như chúng đã biết sau khi cài đặt xong Forefront TMG lậptức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network khôngthể truy cập được ra ngoài (mạng Internet) và ngược lại. Hay nói một cách khác Forefront TMG đã khóa tất cả mọi Portra vào hệ thống.

Như vậy trong bài này chúng ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet. Tuy nhiên chúng ta khôngmở một cách tùy tiện các Port này mà chỉ mở khi nào thực sự cần thiết mà thôi.

Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02Tên FTMG.gccom.net server.gccom.net

Card Lan

IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Defaultgateway

192.168.1.1

Preferred DNS

Card Cross

IP Address 172.16.2.1 172.16.2.2

Subnet Mask 255.255.255.0 255.255.255.0

Defaultgateway 172.16.2.1

Preferred DNS 172.16.2.2 172.16.2.2

Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông quaSwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02

- Card Lan 192.168.1.2/24 là Card nối vào Router ADSL để ra Internet

- Máy PC01 chính là máy Forefront TMG đã Join vào domain

- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24

Tại máy PC02 bật Active Directory Users and Computers lên và tạo một Group là Kinh Doanh và một User làgccom1. Tiến hành Add gccom1 vào Group Kinh Doanh

1 of 25

Đầu tiên để các máy trong Internal Network có thể truy cập được Local Host và ngược lại ta phải tạo một Access Rule(tương tự đã làm ờ bài Installation) và trong bài này tôi đặt tên cho Rule này là Internal VS Local Host

Chọn Allow

2 of 25

Chọn tiếp All outbound traffic

Trong Access Rule Sources chọn 2 thuộc tính là Internal và Local Host

Vì cho đơn giản trong bài học tôi chọn luôn Local Host tuy nhiên trên thực tế vì lý do bảo mật chúng ta không chọn LocalHost mà chỉ chọn duy nhất Internal mà thôi. Nhằm tránh tình trạng các máy trong Intrenal Network truy cập trực tiếplên máy Forefront TMG

Tương tự trong Access Rule Destinations chọn 2 thuộc tính là Internal và Local Host

3 of 25

Trong User Sets chọn All User

Màn hình Rule Internal VS Local Host sau khi được tạo xong như vậy với Rule này chúng ta có thể hiểu như sau:

Đồng ý cho tất cả các giao thức (mọi Port) từ Internal sang Local Host và ngược lại, quyền này được gán lên mọi Usercó trong mạng Internal

Tiếp theo để các máy trong Internal Network truy cập ra Internet được bằng domain name của một trang Web nào đó vídụ như google.com.vn chẳng hạn thì đòi hỏi phải có một DNS Server nào đó phân giải giúp ta tên miền này, mà trongnày chính là DNS Server của nhà cung cấp dịch vụ ISP mà ta đang sử dụng

Như vậy sẽ tạo tiếp một Access Rule có thuộc tính sao cho các máy trong Internal Network có quyền truy vấn đến cácDNS Server bên ngoài và giả sử tôi đặt tên cho Rule này là DNS Query

4 of 25

Tại cửa sổ Protocol ta không chọn All outbound traffic nữa mà chỉ mở duy nhất một Port 53 để truy vấn DNS mà thôinên ta giữ nguyên chế độ Selected protocols chọn Add

Nhấp chọn DNS trong Folder Common Protocols

5 of 25

Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal

Tương tự trong Access Rule Destinations chọn duy nhất 1 thuộc tính là External

Trong User Sets chọn All User

Như vậy với Rule DNS Query này chúng ta có thể hiểu như sau:

Đồng ý cho giao thức DNS (duy nhất Port 53) theo một chiều từ Internal sang External, quyền này được gán lên mọiUser có trong mạng Internal

Như vậy khi các máy trong Internal Network truy cập một trang web nào đó đầu tiên nó sẽ hỏi DNS Server của hệ thốngchúng ta (tức là PC02) và tất nhiên DNS Server chúng ta không thể hiểu được Domain name này và ngay lập tức DNSServer này sẽ hỏi tiếp các DNS Server bên ngoài nhờ FTMG đã mở Port 53

Tuy nhiên thực chất cho đến lúc này các máy trong Internal Network vẫn chưa truy cập được các trang Web mình mongmuốn vì thực tế Forefront TMG chỉ mở duy nhất một Port 53 mà thôi trong khi đó để truy cập Web chúng ta cần mở tiếpcác Port 80 (http), Port 443 (https), Port 21 (ftp)...

Tiếp đến tôi sẽ tạo một Access Rule sao cho các User trong Group Kinh Doanh được phép truy cập Internet nhưng sẽ bịgiới hạn về thời gian và chỉ được phép truy cập một số trang Web nào đó mà thôi.

Giả sử tôi đặt tên cho Rule này là Web Group KD

6 of 25

Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôinên ta giữ nguyên chế độ Selected protocols chọn Add

Lần lượt Add 3 giao thức FTP, HTTP, HTTPS trong Folder Web vào.

Tiếp tục chọn Next

7 of 25


Tuy nhiên trong Access Rule Destinations ta không chọn thuộc tính là External nữa vì như thế các User có thể truy cậpmọi trang Web mà vấn đề đặt ra ở đây là ta cần giới hạn lại và chỉ cho phép truy cập một số trang Web mà thôi. Nên bạnchọn Add

Trong cửa sổ Add Network Entities chọn New -> URL Set

Trong cửa sổ Allow Web Properties đặt tên cho URL set này ví dụ là Allow Web

8 of 25

Tiếp tục bên dưới bạn Add các trang Web cho phép người dùng truy cập vào theo cú pháp:

http://*.<domain name>/*

http://<domain name>/*

Như vậy với mỗi trang Web chúng ta cần phải nhập 2 dòng theo cú pháp trên. Trong này ví dụ tôi cho phép User có quyềntruy cập 2 trang gccom.net và google.com mà thôi.

Trở lại cửa sổ Add Network Entities chọn URL Set -> Allow Web

Vì tôi muốn Rule này chỉ tác động lên Group Kinh Doanh mà thôi nên trong User Sets chọn All User và Remove nó đi.Sau đó nhấp Add để thêm Group mới

9 of 25

Trong cửa sổ Add Users chọn New

Đặt tên cho Users Set này là Group KD

Trong cửa sổ Users nhấp Add -> Windows users and groups

10 of 25

Vì đối tượng mà ta muốn tác động là Group Kinh Doanh trên máy DC Server (PC02) nên tại đây ta phải chọn EntireDirectory để truy cập Users Database trên DC Server

Trong Select this users or groups chọn Locations

Chọn Entire Directory -> gccom.net

Tiếp tục Add Group Kinh Doanh vào

11 of 25

Trở lại màn hình Add Users chọn Group KD

Màn hình sau khi hoàn tất

12 of 25

Như vậy với Rule Web Group KD này ta có thể hiểu như sau:

Đồng ý cho các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách AllowWeb, quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal

Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cách Double click lên Rule Web Group KD và chọn TabSchedule

Nhấp New để tạo một Schedule mới và đặt tên là Set Times

Tiếp tục chọn Active như hình bên dưới

13 of 25


Như vậy với tùy chọn này các User thuộc Group Kinh Doanh chỉ được truy cập các trang Web thuộc danh sách AllowWeb vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ 2->thứ 6 mà thôi

Bây giờ tại máy PC02 tôi đăng nhập với user gccom1 và tiến hành test thử xem thế nào.

Đầu tiên tôi vào trang Web kythuatvien.com sẽ nhận thấy thông báo từ FTMG là "Forefront TMG đã từ chối yêu cầunày", vì gccom1 thuộc Group Kinh Doanh và truy cập trang Web không nằm trong danh sách Allow Web

14 of 25

Tuy nhiên nếu tôi truy cập các trang gccom.net & google.com.vn thì rất tốt vì các trang này thuộc danh sách AllowWeb

Logoff gccom1 và Logon lại với Administrator sẽ thấy không truy cập được bất cứ trang Web nào

15 of 25

Điều này hiển nhiên vì cho đến thời điểm này ta chỉ cho phép các User thuộc Group Kinh Doanh truy cập Web mà thôi cònvới các User khác thì vẫn chưa được phép.

Như vậy tôi sẽ tạo một Rule mới sao cho các Users thuộc Group Sep sẽ truy cập được mọi trang Web và mọi giao thức

Tại Active Directory Users and Computers tạo một Group là Sep. Tiến hành Add Administrator vào Group Sep

Tại PC01 bật Forefront TMG lên tạo tiếp một Access Rule mới đặt tên là Sep

Và có thuộc tính như sau:

Rule Action: Allow

Protocol: All outbound traffic

Access Rule Sources: Internal

16 of 25

Access Rule Destinations: External

User Sets: Group Sep

(Thao tác tương tự như tạo Web Group KD)


Như vậy với Rule Sep này ta có thể hiểu như sau:

Đồng ý cho mọi giao thức (tất cả các Port) theo một chiều từ Internal sang danh sách External, quyền này được gán lênmọi User có trong Group Sep của mạng Internal

Tại máy PC02 Logon với Administrator sẽ thấy truy cập được mọi trang Web

17 of 25

Vậy là từ nãy đến giờ ta chỉ tìm hiểu về các thức tạo các Rule nhưng với Action là Allow mà thôi bây giờ ta sẽ tạo cácRule nhưng với Action là Deny

Tạo một Access Rule mới với tên là Cam KD truy cap Web den

Tại Rule Action không chọn Allow nữa mà chọn Deny

18 of 25

Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi.


Tiếp đến trong Access Rule Destinations ta không chọn thuộc tính là External mà tạo một URL Set mới đặt tên là DenyWeb

Và tạo một danh sách các trang Web mà bạn cấm các User truy cập vào đây trong ví dụ này giả sử tôi định nghĩa trangsexviet.com là Web đen và tôi muốn ngăn chặn nó.

Trong User Sets chọn Group KD


19 of 25

Như vậy với Rule Cam KD truy cap Web den này ta có thể hiểu như sau:

Ngăn cấm các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Deny Web,quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal

Như vậy đến đây ta nhận thấy có sự mâu thuẫn trong Group Kinh Doanh:

- Bị cấm truy cập trang google.com.vn trong Rule Cam KD truy cap Web den

- Được phép truy cập trang google.com.vn trong Rule Web Group KD

Tuy nhiên trong Forefront TMG các Rule nào có thuộc tính Order càng nhỏ thì được ưu tiên cao hơn hay nói cách kháccác Rule nào nằm trên sẽ được ưu tiên hơn là các Rule nằm bên dưới.

Như vậy trong này do Rule Cam KD truy cap Web den có độ ưu tiên cao hơn Rule Web Group KD nên các Users trongGroup Kinh Doanh sẽ không truy cập được trang google.com.vn

Bạn có thể thay đổi thứ tự các Rule này bằng cách chọn Move up/Move down, trên thực tế ngoài Rule DNS Query đượcnằm trên cùng các Rule Deny ta nên cho quyền được ưu tiên cao hơn các Rule Allow

Tại máy PC02 Logon vào gccom1 sẽ thấy không thể truy cập trang sexviet.com được nữa

20 of 25

Màn hình Web Browser sẽ hiện lên trang Web thông báo từ Forefront TMG cho biết nội dung mà bạn không thể truy cậpWeb được. Tuy nhiên trang này chỉ có các chuyên viên IT thì mới hiểu là gì, trên thực tế với người dùng bình thường họkhông biết là chúng ta đã ngăn cấm việc truy cập này.

Như vậy để cho đơn giản hơn khi người dùng truy cập những trang Web cấm ta nên Redirect đến một trang Web khác mànội dung sẽ thông báo chi tiết hơn cho người dùng hiểu rõ vấn đề.

Giả sử tại máy PC01 tôi đã cài IIS và tạo một trang Web Default có nội dung như hình bên dưới

Trở lại màn hình Forefront TMG nhấp phải vào Rule Cam KD truy cap Web den và chọn Properties

21 of 25

Chọn tiếp Tab Action -> Deny

Nhấp chọn Redirect HTTP requests to this Web page và nhập địa chỉ máy Forefront TMG vào

Trở lại máy PC02 Logon với gccom1 và truy cập lại trang google.com.vn sẽ thấy Web Browser không hiển thị trang báolỗi mặc định của Forefront TMG nữa mà đã tự chuyển về trang Web mà ta tạo lúc nãy

Tiếp theo ta sẽ Modify Rule Sep sao cho các User trong Group Sep được phép truy cập mọi trang Web (đã làm lúc nãy)nhưng không được xem ảnh, video, file... mà chỉ được xem văn bản Text thuần túy mà thôi.

Tại PC01 nhấp phải vào Rule Sep chọn Properties

22 of 25

Chọn Tab Content types

Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là:

- Documents

- HTML Documents

- Text


23 of 25

Trở lại PC02 Logon với Administrator vào một trang Web tùy ý sẽ thấy hình ảnh, video... không được hiển thị mà chỉ cóthuần túy Text mà thôi

24 of 25

Như vậy đến đây chúng ta đã cơ bản hoàn thành việc tạo các Rule (Allow/Deny) cho các máy trong Internal Network cóthể truy cập External Network

Bây giờ ta sẽ khảo sát một số tính năng khác của Forefront TMG

Tại Firewall Policy nhập vào Icon Show/Hide Firewall Policy sẽ thấy tất cả các Rule của Forefront TMG. Như vậyngoài các Rule ta tạo thêm mặc định Forefront TMG đã tạo sẵn một số Rule cho riêng mình. Trên thực tế ta không nêntác động đến các Rule mặc định này.

OK mình vừa trình bày xong phần Access Rule - Forefront TMG trong 70-557 của MCSA.

Công ty TNHH đầu tư phát triển tin học GC Com

Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin họcĐiện thoại: (073) - 3.511.373 - 6.274.294

Website: http://www.gccom.net

25 of 25