Home > MS FOREFRONT TMG > CẤU HÌNH WEB ACCESS POLICY TRÊN FOREFRONT TMG 2010

CẤU HÌNH WEB ACCESS POLICY TRÊN FOREFRONT TMG 2010

I- GIỚI THIỆU:

Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall tiếp theo của các phiên bản Internet Security and Acceleration (ISA) trước đó của Micrososoft. Trên TMG có bổ sung một số chức năng mới so với ISA, điển hình là chức năng điều khiển việc truy cập Web của người dùng thông qua Web Access Policy.

Trong bài viết này tôi sẽ giới thiệu thao tác cấu hình một số chức năng để hạn chế việc truy cập Web và bảo mật Web cho người dùng thông qua Web Access Policy

II- TRIỂN KHAI CHI TIẾT:

Bài LAB sử dụng 2 server

– DC: Domain Controller (domain mcthub.local) chạy Windows Serrer 2008 R2

– TMGSERVER: Domain Member chạy Windows Server 2008 R2 đã cài đặt TMG 2010 Standard SP1

Thông số TCP/IP đề nghị:

Bài LAB gồm các bước chính sau đây

1- URL Filtering

2- Malware Inspection

3- HTTPS Inspection

4- HTTP Filter

5- Web Caching

Chuẩn bị: trước khi thực hiện, bạn cần tạo các Access Rule cho phép truy cập trong mạng nội bộ, cho phép phân giải bằng DNS và cho phép truy cập Web bằng HTTP và HTTPS như hình bên dưới

Dong Phuong Nam

1- URL Filtering

URL Filtering là chức năng cho phép hay cấm các trang Web dựa theo chủ đề (category). Trong ví dụ này tôi sẽ cấu hình cấm truy cập các trang Web mua bán (Shopping). Trước khi thực hiện, trên máy DC bạn thử truy cập các trang Web mua bán bao gồm http://www.ebay.com, http://www.amazon.com http://www.5giay.vn và kiểm tra truy cập bình thường vào các trang Web trên

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Bật chức năng URL Filtering: Chọn Web Access Policy, trong Action Pane, chọn Configure URL Filtering

Dong Phuong Nam

Đánh dấu check Enable URL Filtering – Nhấn OK

Dong Phuong Nam

Cấu hình Access Rule: Bấm phải chuột vào Access Rule Allow Web – Chọn Properties

Dong Phuong Nam

Sang Tab To, trong khung Exceptions – Nhấn Add

Dong Phuong Nam

Chọn Shopping – Nhấn Add – Nhấn Close

Dong Phuong Nam

Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Sang máy DC kiểm tra không truy cập được vào các trang http://www.ebay.comhttp://www.amazon.com vì các trang Web này thuộc chủ đề Shopping

Dong Phuong Nam

Tuy nhiên trang http://www.5giay.vn vẫn có thể truy cập bình thường do TMG không đưa trang này vào chủ đề Shopping (cũng có thể do TMG không biết đến trang Web này)

Dong Phuong Nam

Do đó nếu muốn cấm trang http://www.5giay.vn bạn cần bổ sung trang Web này vào chủ đề Shopping bằng cách chọn Web Access Policy – Configure URL Category Overrides

Dong Phuong Nam

Nhấn Add

Dong Phuong Nam

Bổ sung URL pattern 5giay.vn/* vào category Shopping – Nhấn OK

Dong Phuong Nam

Tương tự bạn bổ sung URL pattern http://www.5giay.vn/* vào chủ đề Shopping. Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Sang máy DC kiểm tra không truy cập vào trang http://www.5giay.vn nữa

Dong Phuong Nam

2- Malware Inspection

Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.
Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE

Dong Phuong Nam

Chọn DOWNLOAD

Dong Phuong Nam

Chọn File eicar.com trong khung Download area using the standard protocol http

Dong Phuong Nam

Nhấn Save

Dong Phuong Nam

Kiểm tra việc download hoàn toàn bình thường

Dong Phuong Nam

Dong Phuong Nam

Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Triên tiên bạn cần kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)

Dong Phuong Nam

Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau (lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) – Launch Getting Started Wizrd

Dong Phuong Nam

Chọn Define deployment options

Dong Phuong Nam

Chọn Use the Microsoft Update service to check for updates – Nhấn Next

Dong Phuong Nam

Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next

Dong Phuong Nam

Chấp nhận các thông số mặc định – Nhấn Next

Dong Phuong Nam

Chọn No, I don’t want to participate – Nhấn Next

Dong Phuong Nam

Chọn None. No information is send to Microsoft – Nhấn Next

Dong Phuong Nam

Nhấn Finish

Dong Phuong Nam

Chọn Update Center – Bấm phải chuột Malware Inspection – Chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn

Dong Phuong Nam

Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy – Bấm phải chuột vào Access Rule Allow Web – Chọn Properties

Dong Phuong Nam

Sang Tab Malware Inspection – Đánh dấu check Inspect content downloaded from Web servers to clients – Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Sang máy DC, kiểm tra bằng cách download lại file eicar.com

Dong Phuong Nam

Bạn sẽ nhận thông báo lỗi như hình dưới cho biết file này có chứa malware và đã bị chặn

Dong Phuong Nam

3- HTTPS Inspection

HTTPS Inspection là chức năng tương tự Malware Inspection nhưng cho phép chặn Malware được download bằng giao thức HTTPS. Trước khi cấu hình, sang máy DC cho download file eicar.comtrong khung Download area using the secure, SSL enabled protocol https

Dong Phuong Nam

Nhấn Save

Dong Phuong Nam

Kiểm tra việc download hoàn toàn bình thường mặc dù trước đó tôi đã cấu hình chức năng Malware Inspection

Dong Phuong Nam

Dong Phuong Nam

Tiếp theo tôi sẽ cấu hình HTTPS Inspection bằng cách chọn Web Access Policy – Configure HTTPS Inspection

Dong Phuong Nam

Đánh dấu check Enable HTTPS Inspection – Nhấn nút Generate để phát sinh Certificate

Dong Phuong Nam

Nhấn nút Generate Certificate Now

Dong Phuong Nam

Bạn sẽ thấy TMG tự động phát sinh một Certificate cho chức năng HTTPS Inspection. Nhấn nút Install Certificate

Dong Phuong Nam

Nhấn Next

Dong Phuong Nam

Chấp nhận nơi lưu trữ Certificate mặc định – Nhấn Next

Dong Phuong Nam

Nhấn Finish

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn Close

Dong Phuong Nam

Nhấn HTTPS Inspection Trusted Root CA Certificate Options

Dong Phuong Nam

Nhấn nút Domain Administrator Credentials

Dong Phuong Nam

Nhập Username và Password của account domain admin – Nhấn OK

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Kiểm tra Certificate bằng cách mở Certificate Console bằng lệnh CERTMGR.MSC

Dong Phuong Nam

Bung theo hình bên dưới và kiểm tra Certificate mới đã phát sinh

Dong Phuong Nam

Cập nhật policy bằng lệnh GPUPDATE /FORCE

Dong Phuong Nam

Sang máy DC kiểm tra bằng cách download lại file eicar.com

Dong Phuong Nam

Kiểm tra bạn sẽ nhận báo lỗi như hình dưới cho biết đã phát hiện và chặn file có chứa malware

Dong Phuong Nam

4- HTTP Filter

HTTP filter là chưc năng cho phép lọc và chặn dựa vào nội dung của gói tin HTTP khi truy cập Web. Trên TMG có thể sử dụng chức năng này để cấm download các loại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông số signature của các ứng dụng truy cập Web như ưng dụng Chat hay Game online… Trong ví dụ này tôi sẽ cấu hình cấm download các loại file chỉ định và cấm dựa theo phương thức truy cập Web

a. Cấm Download các loại file chỉ định

Chọn Firewall Policy – Bấm phải chuột lên Access Rule Allow Web – Chọn Configure HTTP

Dong Phuong Nam

Sang Tab Extensions – Chọn Block specified extensions (allow all others) – Nhấn Add

Dong Phuong Nam

Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần mở rộng là exe, nhập .exe – Nhấn OK

Dong Phuong Nam

Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là EXE, bạn sẽ nhận báo lỗi như hình dưới với thông tin SourceWeb filter

Dong Phuong Nam

b. Cấm dựa vào phương thức (method) truy cập Web

Khi truy cập web, thông thường người dùng sẽ sử dụng một trong các phương thức truy cập phổ biến sau:

– GET: Lấy thông tin từ server, đây là phương thức truy cập phổ biến nhất để đọc nội dung Web

– POST: Gửi thông tin từ client lên Web Server. Đây là phương thức thường dùng của các Web Mail hay diễn đàn

Trong ví dụ này tôi sẽ cấm truy cập bằng phương thức POST. Chọn Firewall Policy. Bấm phải chuột vào Access Rule Allow Web – Chọn Configure HTTP

Dong Phuong Nam

Sang Tab Methods – Chọn Block specified method (allow all others) – Nhấn Add

Dong Phuong Nam

Nhập phương thức cần cấm (ví dụ POST) – Nhấn OK

Dong Phuong Nam

Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Chuyển sang máy DC thử đang nhập vào một diễn đàn (forum) nào đó sử dụng phương thức POST. Bạn sẽ nhận báo lỗi như hình dưới

Dong Phuong Nam

5- Web Caching

Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.

Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ, trên máy DC, bạn cài đặt thêm Role Web server (IIS) bằng cách mở Server Manager. Bấm phải chuột lên Roles – ChọnAdd Roles

Dong Phuong Nam

Đánh dấu chọn Web Server (IIS) sau đó nhấn Next và chấp nhận tất cả các lựa chọn mặc định khi cài đặt

Dong Phuong Nam

Mở DNS Console, tạo một HOST (A) tên là www trỏ về IP của máy DC

Dong Phuong Nam

a. Enable Caching

Mặc định TMG chưa bật chức năng Web Caching. Để sử dụng bạn cần bật tính năng này. Chọn Web Access Policy – Nhấn vào link Disabled của mục Web Caching

Dong Phuong Nam

Sang tab Cache Drives – Nhấn nút Configure

Dong Phuong Nam

Chọn ỗ đĩa tùy ý, tôi chọn đĩa C: – Nhập dung lượng tùy ý (tính bằng MB) vào ô Maximum cache size (MB) – Nhấn nút Set

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn Apply

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Nhấn Apply

Dong Phuong Nam

Chọn Save the changes and restart the servicesOK

Dong Phuong Nam

Nhấn Apply

Dong Phuong Nam

Nhấn OK

Dong Phuong Nam

Mở ổ C: bạn sẽ thấy xuất hiện một thư mục mới tên là urlcache, mở thư mục này bạn sẽ thấy 1 file tên tên là Dir1.cdat có dung lượng bằng với dung lượng bạn đã chỉ định ở bước trước. Đây chính là file sẽ chứa nội dung các trang Web mà TMG truy cập

Dong Phuong Nam

Sang máy DC kiểm tra truy cập một trang Web tùy ý (ví dụ http://www.yahoo.com) và đợi cho đến khi trang web này hiển thị đầy đủ nội dung và hình ảnh

Dong Phuong Nam

Đóng Internet Explorer, mở lại Internet Explorer và truy cập lại trang Web trên lần thứ hai, kiểm tra tốc độ lần thứ hai sẽ nhanh hơn nhiều so với khi truy cập lần đầu tiên

Tiếp theo tôi sẽ kiểm tra Web Caching đối với các trang Web trong nội bộ. Trên máy TMG, truy cập trang Web http://www.mcthub.local để trang Web này được lưu vào Cache

Dong Phuong Nam

Sang máy DC mở Internet Information Service (IIS) Manager

Dong Phuong Nam

Chọn trang Web Default Web Site – Trong Action Pane – Chọn Stop

Dong Phuong Nam

Sang máy TMG đóng Internet Explorer, mở Internet Explorer và truy cập lại và trang http://www.mcthub.local. Bạn sẽ vẫn truy cập được do đang truy cập nội dung trang web từ Cache.

Dong Phuong Nam

b. Content Download Job

Content Download Job là chức năng tự động download một trang Web chỉ định vào Cache cho phép trang Web này luôn được truy cập với tốc độ tốt nhất có thể. Chọn Web Access Policy – Nhấn chuột vào link Enabled của mục Web Caching

Dong Phuong Nam

Sang tab Content Download – Nhấn New

Dong Phuong Nam

Nhập tên tùy ý – Nhấn Next

Dong Phuong Nam

Chọn lịch trình Download là Daily (hàng ngày) – Nhấn Next

Dong Phuong Nam

Trong khung Job start time: chỉ định giờ sau giờ hiện hành khoảng 5 phút – Nhấn Next

Dong Phuong Nam

Khung Download content from this URL: Nhập URL của trang Web cần download là http://mcthub.com – Nhấn Next

Dong Phuong Nam

Chấp nhận các thông số mặc định về TTL – Nhấn Next

Dong Phuong Nam

Nhấn Finish

Dong Phuong Nam

Nhấn Yes để khởi động dịch vụ

Dong Phuong Nam

Nhấn Apply

Dong Phuong Nam

Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi

Dong Phuong Nam

Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo và nhấn Start Job

Dong Phuong Nam

Sang máy DC, chờ đến thời gian mà bạn đã qui định, sau vài phút truy cập trang web http://mcthub.com để kiểm tra tốc độ truy cập

Advertisements
Categories: MS FOREFRONT TMG Tags:
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: