“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ T HUẬT Microsoft Forefront TMG - Part - Access Rule Như hoàn tất bước cài đặt Forefront TMG cấu hình cho tất máy từ Internal Network truy cập Forefront TMG (Local Host) Firewall Client Và chúng biết sau cài đặt xong Forefront TMG ngăn cách Internal Network External Network nó, máy Internal Network khơng thể truy cập (mạng Internet) ngược lại Hay nói cách khác Forefront TMG khóa tất Port vào hệ thống Như tìm hiểu cách thức mở Port để truy cập Internet Tuy nhiên không mở cách tùy tiện Port mà mở thực cần thiết mà thơi Để cho đơn giản tơi sử dụng mơ hình máy mạng lên Domain gccom.net Cấu hình IP máy sau: Máy Đặc tính PC02 FTMG.gccom.net Tên PC01 server.gccom.net IP Address Subnet Mask Card Lan 192.168.1.2 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0 Card Cross Default 172.16.2.1 gateway Preferred DNS 172.16.2.2 172.16.2.2 Card Lan: nối gián tiếp máy PC01 & PC02 với thông qua Switch Card Cross: nối trực tiếp cặp máy PC01 với PC02 - Card Lan 192.168.1.2/24 Card nối vào Router ADSL để Internet - Máy PC01 máy Forefront TMG Join vào domain - Máy PC02 đóng vừa đóng vai trị máy DC Server vừa máy Client thuộc mạng 172.16.2.0/24 Tại máy PC02 bật Active Directory Users and Computers lên tạo Group Kinh Doanh User gccom1 Tiến hành Add gccom1 vào Group Kinh Doanh of 25 Đầu tiên để máy Internal Network truy cập Local Host ngược lại ta phải tạo Access Rule (tương tự làm Installation) đặt tên cho Rule Internal VS Local Host Chọn Allow of 25 Chọn tiếp All outbound traffic Trong Access Rule Sources chọn thuộc tính Internal Local Host Vì cho đơn giản học chọn Local Host nhiên thực tế lý bảo mật không chọn Local Host mà chọn Internal mà thơi Nhằm tránh tình trạng máy Intrenal Network truy cập trực tiếp lên máy Forefront TMG Tương tự Access Rule Destinations chọn thuộc tính Internal Local Host of 25 Trong User Sets chọn All User Màn hình Rule Internal VS Local Host sau tạo xong với Rule hiểu sau: Đồng ý cho tất giao thức (mọi Port) từ Internal sang Local Host ngược lại, quyền gán lên User có mạng Internal Tiếp theo để máy Internal Network truy cập Internet domain name trang Web ví dụ google.com.vn chẳng hạn địi hỏi phải có DNS Server phân giải giúp ta tên miền này, mà DNS Server nhà cung cấp dịch vụ ISP mà ta sử dụng Như tạo tiếp Access Rule có thuộc tính cho máy Internal Network có quyền truy vấn đến DNS Server bên giả sử đặt tên cho Rule DNS Query of 25 Tại cửa sổ Protocol ta không chọn All outbound traffic mà mở Port 53 để truy vấn DNS mà nên ta giữ nguyên chế độ Selected protocols chọn Add Nhấp chọn DNS Folder Common Protocols of 25 Trong Access Rule Sources chọn thuộc tính Internal Tương tự Access Rule Destinations chọn thuộc tính External Trong User Sets chọn All User Như với Rule DNS Query hiểu sau: Đồng ý cho giao thức DNS (duy Port 53) theo chiều từ Internal sang External, quyền gán lên User có mạng Internal Như máy Internal Network truy cập trang web hỏi DNS Server hệ thống (tức PC02) tất nhiên DNS Server hiểu Domain name DNS Server hỏi tiếp DNS Server bên nhờ FTMG mở Port 53 Tuy nhiên thực chất lúc máy Internal Network chưa truy cập trang Web mong muốn thực tế Forefront TMG mở Port 53 mà thơi để truy cập Web cần mở tiếp Port 80 (http), Port 443 (https), Port 21 (ftp) Tiếp đến tạo Access Rule cho User Group Kinh Doanh phép truy cập Internet bị giới hạn thời gian phép truy cập số trang Web mà Giả sử đặt tên cho Rule Web Group KD of 25 Tại cửa sổ Protocol ta mở Port Port 80,Port 443,Port 21 để truy cập dịch vụ HTTP, HTTPS, FTP mà nên ta giữ nguyên chế độ Selected protocols chọn Add Lần lượt Add giao thức FTP, HTTP, HTTPS Folder Web vào Tiếp tục chọn Next of 25 Trong Access Rule Sources chọn thuộc tính Internal Tuy nhiên Access Rule Destinations ta khơng chọn thuộc tính External User truy cập trang Web mà vấn đề đặt ta cần giới hạn lại cho phép truy cập số trang Web mà Nên bạn chọn Add Trong cửa sổ Add Network Entities chọn New -> URL Set Trong cửa sổ Allow Web Properties đặt tên cho URL set ví dụ Allow Web of 25 Tiếp tục bên bạn Add trang Web cho phép người dùng truy cập vào theo cú pháp: http://*./* http:///* Như với trang Web cần phải nhập dòng theo cú pháp Trong ví dụ tơi cho phép User có quyền truy cập trang gccom.net google.com mà Trở lại cửa sổ Add Network Entities chọn URL Set -> Allow Web Vì tơi muốn Rule tác động lên Group Kinh Doanh mà nên User Sets chọn All User Remove Sau nhấp Add để thêm Group of 25 Trong cửa sổ Add Users chọn New Đặt tên cho Users Set Group KD Trong cửa sổ Users nhấp Add -> Windows users and groups 10 of 25 Vì đối tượng mà ta muốn tác động Group Kinh Doanh máy DC Server (PC02) nên ta phải chọn Entire Directory để truy cập Users Database DC Server Trong Select this users or groups chọn Locations Chọn Entire Directory -> gccom.net Tiếp tục Add Group Kinh Doanh vào 11 of 25 Trở lại hình Add Users chọn Group KD Màn hình sau hồn tất 12 of 25 ... nhờ FTMG mở Port 53 Tuy nhiên thực chất lúc máy Internal Network chưa truy cập trang Web mong muốn thực tế Forefront TMG mở Port 53 mà để truy cập Web cần mở tiếp Port 80 (http), Port 4 43 (https),... Port 53 để truy vấn DNS mà nên ta giữ nguyên chế độ Selected protocols chọn Add Nhấp chọn DNS Folder Common Protocols of 25 Trong Access Rule Sources chọn thuộc tính Internal Tương tự Access. .. Internal mà thơi Nhằm tránh tình trạng máy Intrenal Network truy cập trực tiếp lên máy Forefront TMG Tương tự Access Rule Destinations chọn thuộc tính Internal Local Host of 25 Trong User Sets chọn