728x90 AdSpace

  • Latest News

    Được tạo bởi Blogger.
    Thứ Tư, 13 tháng 8, 2014

    Cấu hình Web Access Policy trên Forefront TMG 2010 (vi-VN)

    nino24 ) - Cấu hình Web Access Policy trên Forefront TMG 2010 (vi-VN)
    I- GIỚI THIỆU
    Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall tiếp theo của các phiên bản Internet Security and Acceleration (ISA) trước đó của Micrososoft. Trên TMG có bổ sung một số chức năng mới so với ISA, điển hình là chức năng điều khiển việc truy cập Web của người dùng thông qua Web Access Policy.
    Trong bài viết này tôi sẽ giới thiệu thao tác cấu hình một số chức năng để hạn chế việc truy cập Web và bảo mật Web cho người dùng thông qua Web Access Policy
    II- TRIỂN KHAI CHI TIẾT
    Bài LAB sử dụng 2 server
    - DC: Domain Controller (domain mcthub.local) chạy Windows Serrer 2008 R2
    - TMGSERVER: Domain Member chạy Windows Server 2008 R2 đã cài đặt TMG 2010 Standard SP1
    Thông số TCP/IP đề nghị:
    DC
    TMGSERVER
    Internal Card
    IP Address: 192.168.1.2
    Subnet Mask: 255.255.255.0
    Default Gateway: 192.168.1.1
    DNS Server: 172.0.0.1
    IP Address: 192.168.1.1
    Subnet Mask: 255.255.255.0
    Default Gateway: để trống
    DNS Server: 192.168.1.2
    External Card
    IP Address: 172.16.0.10
    Subnet Mask: 255.255.0.0
    Default Gateway: IP của Router ADSL
    DNS Server:
    Bài LAB gồm các bước chính sau đây
    1- URL Filtering
    2- Malware Inspection
    3- HTTPS Inspection
    4- HTTP Filter
    5- Web Caching

    Chuẩn bị: trước khi thực hiện, bạn cần tạo các Access Rule cho phép truy cập trong mạng nội bộ, cho phép phân giải bằng DNS và cho phép truy cập Web bằng HTTPS và HTTPS như hình bên dưới
    1- URL Filtering
    URL Filtering là chức năng cho phép hay cấm các trang Web dựa theo chủ đề (category). Trong ví dụ này tôi sẽ cấu hình cấm truy cập các trang Web mua bán (Shopping). Trước khi thực hiện, trên máy DC bạn thử truy cập các trang Web mua bán bao gồm www.ebay.com, www.amazon.com  www.5giay.vn và kiểm tra truy cập bình thường vào các trang Web trên
    Bật chức năng URL Filtering: Chọn Web Access Policy, trong Action Pane, chọn Configure URL Filtering
    Đánh dấu check Enable URL Filtering - Nhấn OK
    Cấu hình Access Rule: Bấm phải chuột vào Access Rule Allow Web - Chọn Properties
    Sang Tab To, trong khung Exceptions - Nhấn Add
    Chọn Shopping - Nhấn Add - Nhấn Close
    Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Sang máy DC kiểm tra không truy cập được vào các trang www.ebay.com và www.amazon.com vì các trang Web này thuộc chủ đề Shopping
    Tuy nhiên trang www.5giay.vn vẫn có thể truy cập bình thường do TMG không đưa trang này vào chủ đề Shopping (cũng có thể do TMG không biết đến trang Web này)
    Do đó nếu muốn cấm trang www.5giay.vn bạn cần bổ sung trang Web này vào chủ đề Shopping bằng cách chọn Web Access Policy - Configure URL Category Overrides
    Nhấn Add
    Bổ sung URL pattern 5giay.vn/* vào category Shopping - Nhấn OK
    Tương tự bạn bổ sung URL pattern www.5giay.vn/* vào chủ đề Shopping. Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Sang máy DC kiểm tra không truy cập vào trang www.5giay.vn nữa
    2- Malware Inspection
    Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.
    Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE
    Chọn DOWNLOAD
    Chọn File eicar.com trong khung Download area using the standard protocol http
    Nhấn Save
    Kiểm tra việc download hoàn toàn bình thường
    Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Triên tiên bạn cần kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)
    Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau(lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd
    Chọn Define deployment options
    Chọn Use the Microsoft Update service to check for updates - Nhấn Next
    Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next
    Chấp nhận các thông số mặc định - Nhấn Next
    Chọn No, I don't want to participate - Nhấn Next
    Chọn None. No information is send to Microsoft - Nhấn Next
    Nhấn Finish
    Chọn Update Center - Bấm phải chuột Malware Inspection - Chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn
    Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy - Bấm phải chuột vào Access Rule Allow Web - Chọn Properties
    Sang Tab Malware Inspection - Đánh dấu check Inspect content downloaded from Web servers to clients - Nhấn OKsau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Sang máy DC, kiểm tra bằng cách download lại file eicar.com
    Bạn sẽ nhận thông báo lỗi như hình dưới cho biết file này có chứa malware và đã bị chặn
    3- HTTPS Inspection
    HTTPS Inspection là chức năng tương tự Malware Inspection nhưng cho phép chặn Malware được download bằng giao thức HTTPS. Trước khi cấu hình, sang máy DC cho download file eicar.comtrong khung Download area using the secure, SSL enabled protocol https
    Nhấn Save
    Kiểm tra việc download hoàn toàn bình thường mặc dù trước đó tôi đã cấu hình chức năng Malware Inspection
    Tiếp theo tôi sẽ cấu hình HTTPS Inspection bằng cách chọn Web Access Policy - Configure HTTPS Inspection
    Đánh dấu check Enable HTTPS Inspection - Nhấn nút Generate để phát sinh Certificate
    Nhấn nút Generate Certificate Now
    Bạn sẽ thấy TMG tự động phát sinh một Certificate cho chức năng HTTPS Inspection. Nhấn nút Install Certificate
    Nhấn Next
    Chấp nhận nơi lưu trữ Certificate mặc định - Nhấn Next
    Nhấn Finish
    Nhấn OK
    Nhấn OK
    Nhấn Close
    Nhấn HTTPS Inspection Trusted Root CA Certificate Options
    Nhấn nút Domain Administrator Credentials
    Nhập Username và Password của account domain admin - Nhấn OK
    Nhấn OK
    Nhấn OK
    Nhấn OK
    Kiểm tra Certificate bằng cách mở Certificate Console bằng lệnh CERTMGR.MSC
    Bung theo hình bên dưới và kiểm tra Certificate mới đã phát sinh
    Cập nhật policy bằng lệnh GPUPDATE /FORCE
    Sang máy DC kiểm tra bằng cách download lại file eicar.com
    Kiểm tra bạn sẽ nhận báo lỗi như hình dưới cho biết đã phát hiện và chặn file có chứa malware
    4- HTTP Filter
    HTTP filter là chưc năng cho phép lọc và chặn dựa vào nội dung của gói tin HTTP khi truy cập Web. Trên TMG có thể sử dụng chức năng này để cấm download các loại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông số signature của các ứng dụng truy cập Web như ưng dụng Chat hay Game online… Trong ví dụ này tôi sẽ cấu hình cấm download các loại file chỉ định và cấm dựa theo phương thức truy cập Web
    a. Cấm Download các loại file chỉ định
    Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP
    Sang Tab Extensions - Chọn Block specified extensions (allow all others) - Nhấn Add
    Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần mở rộng là exe, nhập .exe - Nhấn OK
    Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là EXE, bạn sẽ nhận báo lỗi như hình dưới với thông tin Source là Web filter
    b. Cấm dựa vào phương thức (method) truy cập Web
    Khi truy cập web, thông thường người dùng sẽ sử dụng một trong các phương thức truy cập phổ biến sau:
    - GET: Lấy thông tin từ server, đây là phương thức truy cập phổ biến nhất để đọc nội dung Web
    - POST: Gửi thông tin từ client lên Web Server. Đây là phương thức thường dùng của các Web Mail hay diễn đàn
    Trong ví dụ này tôi sẽ cấm truy cập bằng phương thức POST. Chọn Firewall Policy. Bấm phải chuột vào Access RuleAllow Web - Chọn Configure HTTP
    Sang Tab Methods - Chọn Block specified method (allow all others) - Nhấn Add
    Nhập phương thức cần cấm (ví dụ POST) - Nhấn OK
    Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Chuyển sang máy DC thử đang nhập vào một diễn đàn (forum) nào đó sử dụng phương thức POST. Bạn sẽ nhận báo lỗi như hình dưới
    5- Web Caching
    Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.
    Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ, trên máy DC, bạn cài đặt thêm Role Web server (IIS) bằng cách mở Server Manager. Bấm phải chuột lên Roles - ChọnAdd Roles
    Đánh dấu chọn Web Server (IIS) sau đó nhấn Next và chấp nhận tất cả các lựa chọn mặc định khi cài đặt
    Mở DNS Console, tạo một HOST (A) tên là www trỏ về IP của máy DC
    a. Enable Caching
    Mặc định TMG chưa bật chức năng Web Caching. Để sử dụng bạn cần bật tính năng này. Chọn Web Access Policy - Nhấn vào link Disabled của mục Web Caching
    Sang tab Cache Drives - Nhấn nút Configure
    Chọn ỗ đĩa tùy ý, tôi chọn đĩa C: - Nhập dung lượng tùy ý (tính bằng MB) vào ô Maximum cache size (MB) - Nhấn nútSet
    Nhấn OK
    Nhấn Apply
    Nhấn OK
    Nhấn Apply
    Chọn Save the changes and restart the services - OK
    Nhấn Apply
    Nhấn OK
    Mở ổ C: bạn sẽ thấy xuất hiện một thư mục mới tên là urlcache, mở thư mục này bạn sẽ thấy 1 file tên tên là Dir1.cdatcó dung lượng bằng với dung lượng bạn đã chỉ định ở bước trước. Đây chính là file sẽ chứa nội dung các trang Web mà TMG truy cập
    Sang máy DC kiểm tra truy cập một trang Web tùy ý (ví dụ www.yahoo.com) và đợi cho đến khi trang web này hiển thị đầy đủ nội dung và hình ảnh
    Đóng Internet Explorer, mở lại Internet Explorer và truy cập lại trang Web trên lần thứ hai, kiểm tra tốc độ lần thứ hai sẽ nhanh hơn nhiều so với khi truy cập lần đầu tiên
    Tiếp theo tôi sẽ kiểm tra Web Caching đối với các trang Web trong nội bộ. Trên máy TMG, truy cập trang Webwww.mcthub.local để trang Web này được lưu vào Cache
    Sang máy DC mở Internet Information Service (IIS) Manager
    Chọn trang Web Default Web Site - Trong Action Pane - Chọn Stop
    Sang máy TMG đóng Internet Explorer, mở Internet Explorer và truy cập lại và trang www.mcthub.local. Bạn sẽ vẫn truy cập được do đang truy cập nội dung trang web từ Cache.
    b. Content Download Job
    Content Download Job là chức năng tự động download một trang Web chỉ định vào Cache cho phép trang Web này luôn được truy cập với tốc độ tốt nhất có thể. Chọn Web Access Policy - Nhấn chuột vào link Enabled của mục Web Caching
    Sang tab Content Download - Nhấn New
    Nhập tên tùy ý - Nhấn Next
    Chọn lịch trình Download là Daily (hàng ngày) - Nhấn Next
    Trong khung Job start time: chỉ định giờ sau giờ hiện hành khoảng 5 phút - Nhấn Next
    Khung Download content from this URL: Nhập URL của trang Web cần download là http://mcthub.com - Nhấn Next
    Chấp nhận các thông số mặc định về TTL - Nhấn Next
    Nhấn Finish
    Nhấn Yes để khởi động dịch vụ
    Nhấn Apply
    Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi
    Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo và nhấn Start Job
    Sang máy DC, chờ đến thời gian mà bạn đã qui định, sau vài phút truy cập trang web http://mcthub.com để kiểm tra tốc độ truy cập







    Người viết :
    Biên soạn lại : Nino 24



    Nhập địa chỉ email vào form bên dưới để nhận được tin từ đề tài này sớm nhất
    ( Vui lòng kích hoạt email khi nhận được link kích hoạt nhé )



    Nếu thấy hay thì click vào nút follow (G+) bên dưới nhé ! Thanks !

    Nếu thấy hay thì click vào nút thích (Like) bên dưới nhé ! Thanks !
    • Nino24 Comments
    • Facebook Comments

    0 nhận xét:

    Đăng nhận xét

    Item Reviewed: Cấu hình Web Access Policy trên Forefront TMG 2010 (vi-VN) Rating: 5 Reviewed By: Long Jack
    Scroll to Top