CẤU HÌNH WEB ACCESS POLICY TRÊN FOREFRONT TMG 2010

I- GIỚI THIỆU:

Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall tiếp theo của các phiên bản Internet Security and Acceleration (ISA) trước đó của Micrososoft. Trên TMG có bổ sung một số chức năng mới so với ISA, điển hình là chức năng điều khiển việc truy cập Web của người dùng thông qua Web Access Policy.

Trong bài viết này tôi sẽ giới thiệu thao tác cấu hình một số chức năng để hạn chế việc truy cập Web và bảo mật Web cho người dùng thông qua Web Access Policy

II- TRIỂN KHAI CHI TIẾT:

Bài LAB sử dụng 2 server

– DC: Domain Controller (domain mcthub.local) chạy Windows Serrer 2008 R2

– TMGSERVER: Domain Member chạy Windows Server 2008 R2 đã cài đặt TMG 2010 Standard SP1

Thông số TCP/IP đề nghị:

Continue reading “CẤU HÌNH WEB ACCESS POLICY TRÊN FOREFRONT TMG 2010”

Microsoft Forefront TMG 2010: Web Filtering

Các phiên bản ISA Server trước đây đã hỗ trợ việc lọc web (Web Filtering) bằng cách quản trị mạng lập danh sách các địa chỉ website (URL) đưa vào URL Set của ISA Server, và kết hợp với Access Rule để lọc web. Tuy nhiên, việc lọc web bằng tay kiểu này chỉ mang tính chất nhất thời, khó có thể thực hiện nhiều hơn khi Internet ngày nay càng ngày càng nhiều website. SurfControl trước đây và Websense sau này cung cấp cơ sở dữ liệu chứa hàng triệu website và chia theo thể loại, chủ đề giúp người quản trị mạng có thể lọc web dễ dàng hơn. Microsoft Forefront TMG 2010 đã bổ sung thêm tính năng lọc web này  mà không cần hỗ trợ thêm các phần mềm của hãng thứ 3.

Chuẩn bị

TMG đã có 2 access rule cho phép truy cập web. (trong các phần trước đã thực hiện).

Thực hiện

Chuột phải rule Allow Web Access chọn Properties

WebFiltering001

Continue reading “Microsoft Forefront TMG 2010: Web Filtering”

Microsoft Forefront TMG 2010: HTTPS Inspection

Trong phần Malware Inspection, khi truy cập vào web site http://www.eicar.org, ta không thể download được các file có chứa mã độc hại do Malware Inspection Filter của Forefront TMG đã phát hiện được mã độc hại và ngăn chặn download. Tuy nhiên đó là do các file đó xuất phát từ link HTTP:// , còn khi download các file từ link HTTPS:// thì sao? Chọn download các file trong khung đỏ như hình sau

MalwareInspection001b

Đây là những file xuất phát từ link HTTPS:// và việc download thành công mặc dù Malware Inspection đã được bật

picture003

Kể cả file zip đã được nén 2 lần cũng download được

picture004

Continue reading “Microsoft Forefront TMG 2010: HTTPS Inspection”

Microsoft Forefront TMG 2010: How Malware Inspection Works

Chúng ta đã thực hiện bài lab thử nghiệm chức năng Malware Inspection (kiểm tra mã độc hại) của Microsoft Forefront TMG 2010. Trong phần này chúng ta sẽ tìm hiểu cách hoạt động của tính năng mới này và một số cấu hình thêm của Malware Inspection.
hmiw

Continue reading “Microsoft Forefront TMG 2010: How Malware Inspection Works”

Microsoft Forefront TMG 2010: Malware Inspection

Ở phần trước, chúng ta đã tạo các access rule để truy cập Internet, nhưng chưa bật tính năng kiểm tra mã độc hại (Malware Inspection). Thử truy cập trang web http://www.eicar.org/anti_virus_test_file.htm . Đây là trang web cho phép download các file virus thử nghiệm. Loại virus này không gây hại máy tính, nhưng bất kỳ phần mềm antivirus nào cũng phát hiện được. Download các file trong khung đỏ

malwareinspection001a

Continue reading “Microsoft Forefront TMG 2010: Malware Inspection”

FOREFRONT TMG 2010: 03. WPAD & FIREWALL CLIENT

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:

clip_image002

Với các đặc điểm trong bảng so sánh trên, chúng ta thấy rõ ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 chúng ta nên cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server, trong tôi sẽ trình bày cách thức cấu hình chức năng Auto Discovery trên Forefront TMG 2010

Continue reading “FOREFRONT TMG 2010: 03. WPAD & FIREWALL CLIENT”

FOREFRONT TMG 2010 : 01. OVERVIEW

Forefront Threat Management Gateway (TMG) 2010 là phiên bản “Firewall” mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống được nâng cao đáng kể, các bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) & các mối đe dọa khác.

clip_image002

Continue reading “FOREFRONT TMG 2010 : 01. OVERVIEW”

Migrating from ISA Server 2006 to Forefront TMG

Forefront Threat Management Gateway (TMG) là phiên bản nâng cấp kế tiếp của  Internet Security and Acceleration (ISA) Server được Microsoft ra mắt vào cuối năm 2009. Về cơ bản TMG Server thừa hưởng nhiều tính năng giống ISA Server nhưng mạnh mẽ hơn, hoàn thiện hơn và bổ sung nhiều tính năng mới. Bài viết này sẽ hướng dẫn bạn chuyển đổi từ ISA 2006 sang TMG 2010.

mohinhTMG

Continue reading “Migrating from ISA Server 2006 to Forefront TMG”

Nâng cấp TMG Server 2010 Standard Edition lên Enterprise Edition

Bạn đã từng sử dụng ISA Server 2004/2006, việc nâng cấp từ phiển bản Standard lên phiên bản Enterprise gặp rất nhiều khó khăn. Trước tiên bạn phải backup rules và remove phiên bản ISA Standard hiện tại, sau đó cài phiên bản ISA Enterprise và restore các rules. Với TMG Server 2010 thì việc này hết sức dễ dàng, bạn chỉ cần nhập product key của phiên bản TMG Server 2010 Enterprise vào giao diện quản lý của TMG hiện là quá trình upgrade thành công.

1/ Mở TMG Server 2010 management console, click vào System bên trái.

picture001

Continue reading “Nâng cấp TMG Server 2010 Standard Edition lên Enterprise Edition”