Quản trị TMG 2010 : Access Rules (1) [Lưu Trữ] - DIỄN ĐÀN QUẢN TRỊ MẠNG MICRO$OFT AND MORE

View Full Version : Quản trị TMG 2010 : Access Rules (1)

microsoftvn

02-23-2011, 07:56 PM

Quản trị TMG 2010 : Access Rules (1)

Sau khi các bạn đã cài đặt thành công TMG 2010, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong bài viết này hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.
I. Giới thiệu :
Bài lab bao gồm các bước:
1. Kiểm tra Default Rule
2. Tạo rule truy vấn DNS để phân giải tên miền
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org
6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.
7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Chuẩn bị :
Mô hình bài lab :
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/TMG_5F00_thumb_5F00_28666B14.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/TMG_5F00_7BBB2089.png)
Bài lab bao gồm 3 máy :
- Máy DC: Windows Server 2008 R2
+ Tạo OU HCM. Trong OU HCM, tạo 2 group Manager, Staff.
+ Trong OU HCM, tạo 2 user Man1, Man2 làm thành viên của group Manager
+ Trong OU HCM, tạo 2 user Staff1, Staff2 làm thành viên của group Staff
- Máy TMG Server: Windows Server 2008 R2, TMG 2010
- Máy Client : Windows 7

III. Thực hiện:
1. Kiểm tra Default Rule
- Mặc định sau khi cài TMG 2010, chỉ có 1 access rule tên Default Rule cấm tất cả mọi traffic ra vào
- Tại máy Client, log on TechNetVietnam\Administrator, truy cập vào trang web bất kỳ, kiểm tra nhận được thông báo lỗi của TMG Server
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture001_5F00_21400B5F.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture001_5F00_thumb_5F00_0FF8E868.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture001_5F00_4EC3BBD3.png)
- Tại máy DC, Vào cmd gõ lệnh nslookup, phân giải lần lượt tên 2 trang web sau: www.technetvietnam.net (http://www.technetvietnam.net) và www.vnexpress.net (http://www.vnexpress.net) , kiểm tra phân giải thất bại
[/URL]http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture002_5F00_thumb_5F00_4CB301A9.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture002_5F00_300CD1E8.png)

2. Tạo rule truy vấn DNS để phân giải tên miền
- Tại máy TMG Server, log on TechNetVietnam\Administrator, mở TMG Server, chuột phải Firewall Policy, chọn New, chọn Access Rule

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture003_5F00_48355DA5.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture003_5F00_thumb_5F00_3B674C26.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture003_5F00_6C5D48E5.png)
- Hộp thoại Access Rule Names, đặt tên rule là: DNS Query

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture004_5F00_7817B179.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture004_5F00_thumb_5F00_33089831.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture004_5F00_6AD8DA79.png)
- Hộp thoại Rule Action, chọn Allow

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture005_5F00_012E7FBF.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture005_5F00_thumb_5F00_036F9B07.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture005_5F00_09B1DF09.png)
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture006_5F00_603D9DC8.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture006_5F00_thumb_5F00_296A6CBF.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture006_5F00_7DB27F85.png)
- Nhấn Next
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture007_5F00_1B276143.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture007_5F00_thumb_5F00_4A13C715.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture007_5F00_75BD6DD4.png)

- Hộp thoại Access Rule Sources, Add 2 Rule : Internal và Local Host
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture008_5F00_13324F92.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture008_5F00_thumb_5F00_14A02652.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture008_5F00_30A7314F.png)
- Hộp thoại Access Rule Destinaton, Add Rule: External, nhấn Next

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture009_5F00_202EC054.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture009_5F00_thumb_5F00_7109195B.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture009_5F00_0FB64F59.png)
- Hộp thoại User Sets, chọn All Users, nhấn Next

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture010_5F00_3854BB60.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture010_5F00_thumb_5F00_03E2BE68.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture010_5F00_75E4A9DA.png)
- Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về Rule lần cuối, sau đó nhấn Finish

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture011_5F00_377EE627.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture011_5F00_thumb_5F00_715500B6.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture011_5F00_10B36098.png)
- Nhấn chọn Apply, Ok

[U]Lưu ý: Sau mỗi lần tạo rule, phải chọn Apply để rule có hiệu lực

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
a. Tạo Element để định nghĩa nhóm Manager và Staff
- Trong cửa sổ TMG, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục Users, chọn New

- Hộp thoại User set name, đặt tên là Manager

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture012_5F00_38E599AA.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture012_5F00_thumb_5F00_5B2406C6.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture012_5F00_4F3B3EEF.png)
- Hộp thoại Users, nhấn Add, chọn Windows users and groups…

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture013_5F00_0854ACA3.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture013_5F00_thumb_5F00_7BCFF1CD.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture013_5F00_30F318AA.png)

microsoftvn

02-23-2011, 07:58 PM

- Add 2 users Man1 và Man2 vào hộp thoại Users
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture014_5F00_599184B1.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture014_5F00_thumb_5F00_7F732E0C.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture014_5F00_54452EB1.png)
- Trong hộp thoại Completing, chọn Finish

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture015_5F00_2AD0ED71.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture015_5F00_thumb_5F00_54BCE49E.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture015_5F00_731E3340.png)
- Tương tự, bạn tạo thêm nhóm là Staff

- Hộp thoại Users, Add 2 user Staff1 và Staff2, chọn Next

- Hộp thoại Completing the New User Set Wizard, chọn Finish
- Nhấn Apply
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture016_5F00_2C37A0F4.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture016_5F00_thumb_5F00_376F3EE7.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture016_5F00_2272397C.png)
b Tạo Access Rule:
- Chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture017_5F00_58E2EB7E.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture017_5F00_thumb_5F00_1D33F725.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture017_5F00_2F027749.png)

- Hộp thoại Rule Action, chọn Allow
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture018_5F00_0C413F8C.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture018_5F00_thumb_5F00_216580FD.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture018_5F00_29B62149.png)
- Hộp thoại Protocols, chọn All outbound traffic

(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture019_5F00_270FF649.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture019_5F00_thumb_5F00_57005DC6.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture019_5F00_68AA3295.png)
- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture020_5F00_6D23440D.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture020_5F00_thumb_5F00_7A5273CD.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture020_5F00_35731A8E.png)
- Hộp thoại Access Rule Sources, add Internal, chọn Next
(http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture021_5F00_10092720.png)http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture021_5F00_thumb_5F00_144B5552.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture021_5F00_78E03D52.png)
- Hộp thoại Access Rule Destinaton, add External, chọn Next

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture022_5F00_thumb_5F00_084BF5CF.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture022_5F00_3CE9C159.png)
- Hộp thoại User Sets, remove group All Users, và add group Manager vào, chọn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture023_5F00_thumb_5F00_396DC120.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture023_5F00_5ED7B48E.png)
- Hộp thoại Completing the New Access Rule Wizard, chọn Finish

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture024_5F00_thumb_5F00_2C988C64.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture024_5F00_247ECF5E.png)
- Nhấn chọn Apply, chọn OK

- Trên máy Client, log on TechNetVietnam\Man1, truy cập trang web bất kỳ - kiểm tra truy cập thành công

microsoftvn

02-23-2011, 07:59 PM

Quản trị TMG 2010 : Access Rules (2)

Sau khi các bạn đã cài đặt thành công TMG 2010, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong bài viết này hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

I. Giới thiệu :
Bài lab bao gồm các bước:
1. Kiểm tra Default Rule
2. Tạo rule truy vấn DNS để phân giải tên miền
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org
6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.
7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Thực hiện: (Tiếp theo)
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
a. Tạo Schedule Element
- Trong cửa sổ TMG, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Schedules, chọn New

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture026_5F00_thumb_5F00_5AAA8A71.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture026_5F00_392B5AE2.png)
- Trong ô Name, nhập tên Work Time. Bên dưới chọn từ (7h - 11h) và từ (1h – 5h)

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture027_5F00_thumb_5F00_2E901E31.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture027_5F00_111B3C74.png)
- Tương tự, tạo thêm 1 schedule là Rest Time, với thời gian là từ 11h – 1h

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture028_5F00_thumb_5F00_06829074.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture028_5F00_12EE22EC.png)

b. Tạo Element URL Sets
- Trong cửa sổ TMG, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Network Objects, nhấn New, chọn URL Set

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture029_5F00_thumb_5F00_3A4D1776.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture029_5F00_0F05EFBE.png)
- Trong hộp thoại New URL Set. Ô Name , nhập tên: Restrict Web, add các trang web mà bạn muốn cấm (Vd:http://linux.org ) chọn OK

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture031_5F00_thumb_5F00_123CF908.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture031_5F00_5BCC4705.png)
- Tương tự, bạn tạo thêm URL Set là: Allow Web và add những trang web được phép truy cập vào
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture030_5F00_thumb_5F00_1AC2E903.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture030_5F00_28929E4D.png)

c. Tạo Access Rule:

- Chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Work Time

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture032_5F00_thumb_5F00_275326D0.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture032_5F00_31188E48.png)
- Hộp thoại Rule Action, chọn Allow

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture033_5F00_thumb_5F00_14348AD5.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture033_5F00_529A4E88.png)
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add
- Nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture044_5F00_thumb_5F00_5A47D899.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture044_5F00_51C4794F.png)
- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture035_5F00_thumb_5F00_3956F6A3.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture035_5F00_5EC0EA11.png)

- Hộp thoại Access Rule Sources, add Internal
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture036_5F00_thumb_5F00_3883B21B.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture036_5F00_3DD0081B.png)
- Hộp thoại Access Rule Destinaton, nhấn Add

- Bung URL Sets, chọn Allow Web
- Nhấn Next

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture037_5F00_thumb_5F00_6C4E391D.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture037_5F00_280B4120.png)
- Hộp thoại User Sets, remove group All Users, add group Staff

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture038_5F00_thumb_5F00_12467A25.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture038_5F00_3BBABB65.png)
- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture039_5F00_thumb_5F00_7808A1B1.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture039_5F00_6CDC86B6.png)
- Chuột phải lên Rule Allow Staff on Work Time, chọn Properties

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture040_5F00_thumb_5F00_39A56EAF.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture040_5F00_6E433A39.png)

microsoftvn

02-23-2011, 08:00 PM

- Qua Tab Schedule, trong khung schedule, chọn là Work Time , Nhấn OK
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture041_5F00_thumb_5F00_3F82A2F9.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture041_5F00_5B249E3E.png)
- Trên máy Client, log on TechNetVietnam\Staff1, truy cập trang web http://technetvietnam.net (http://technetvietnam.net) trong giờ làm việc, kiểm tra truy cập thành công
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture0411_5F00_thumb_5F00_734D29FB.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture0411_5F00_75F354FB.png)

- Truy cập những trang web khác trong giờ làm việc, ví dụ: http://isaserver.org (http://isaserver.org) kiểm tra không truy cập được

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture0412_5F00_thumb_5F00_1FF87486.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture0412_5F00_229E9F86.png)

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org

- Trong cửa sổ Forefront TMG, chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Rest Time
[/URL]http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture042_5F00_thumb_5F00_753C9A0E.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture042_5F00_625AA2D5.png)
- Hộp thoại Rule Action, chọn Allow
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture043_5F00_thumb_5F00_0ABC6A1B.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture043_5F00_25C7C59A.png)
- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add

- Nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture044_5F00_thumb_5F00_39A43D61.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture044_5F00_52DF4319.png)
- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture045_5F00_thumb_5F00_564349E5.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture045_5F00_63E601AD.png)
- Hộp thoại Access Rule Sources, add Internal, nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture046_5F00_thumb_5F00_12FD6327.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture046_5F00_70E2726F.png)
- Hộp thoại Access Rule Destinaton, add External, nhấn Next

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture047_5F00_thumb_5F00_0CD8A73D.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture047_5F00_6C024F64.png)
- Hộp thoại User Sets, remove group All Users, add group Staff vào, chọn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture048_5F00_thumb_5F00_3E693634.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture048_5F00_3D3F2773.png)
- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture049_5F00_thumb_5F00_4CC9C9C8.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture049_5F00_5565227F.png)
- Chuột phải lên rule Allow Staff on Rest Time, chọn Properties

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture050_5F00_thumb_5F00_2BDB7883.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture050_5F00_69172D75.png)
- Qua Tab Schedule, trong mục Schedule, chọn Rest Time

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture051_5F00_thumb_5F00_415B488F.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture051_5F00_7A1DEC09.png)
- Qua tab To, khung Exceptions, nhấn Add

- Bung mục URL Sets, chọn Restrict Web
- Nhấn Apply, chọn OK
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture052_5F00_thumb_5F00_3DDF4856.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture052_5F00_1C0BDF3F.png)
- Trên máy DC, log on user TechNetVietnam\Staff2, truy cập trang: http://linux.org (http://linux.org) kiểm tra nhận thông báo lỗi.
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture054_5F00_thumb_5F00_281A815B.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture054_5F00_4D2DAA90.png)
- Truy cập những trang web khác (ví dụ: http://windowsecurity.com (http://windowsecurity.com) ) kiểm tra truy cập thành công
[URL="http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture053_5F00_530D6F8B.png"]http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture053_5F00_thumb_5F00_71CE7AAD.png (http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/picture053_5F00_4F009108.png)

microsoftvn

02-23-2011, 08:40 PM

Quản trị TMG 2010 : Access Rules (3)

Sau khi các bạn đã cài đặt thành công TMG 2010, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong bài viết này hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.
I. Giới thiệu :
Bài lab bao gồm các bước:
1. Kiểm tra Default Rule
2. Tạo rule truy vấn DNS để phân giải tên miền
3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế
4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh
5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org
6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.
7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Thực hiện: (Tiếp theo)

6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP
a. Tạo access rules trên TMG Server
- Trong cửa sổ Forefront TMG, chuột phải Firewall Policy, chọn New, chọn Access Rule
- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image031_5F00_44892BC6.png
- Hộp thoại Rule Action, chọn Allow
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image032_5F00_3D004D0A.png
- Hộp thoại Protocols, chọn Selected Protocol, nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn SMTP và POP3, nhấn Add
- Nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image033_5F00_10E35019.png
- Hộp thoại Access Rule Sources, Aad Internal, nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image034_5F00_078A1B96.png
- Hộp thoại Access Rule Destinaton, add External, nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image035_5F00_312598DC.png
- Hộp thoại User Sets, bạn chọn All Users
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image036_5F00_32F5EEA3.png
- Hộp thoại Completing the New Access Rule Wizard, Finish
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image037_5F00_49B7C6DD.png
- Nhấn chọn Apply, nhấn OK
b. Cấu hình Windows Live Mail và check mail : (trong vd này tôi có sử dụng email daoduyhieu@technetvietnam.com (daoduyhieu@technetvietnam.com) nằm ngoài internet)
- Log on Staff1 trên máy Client, khởi động Windows Live Mail
- Sử dụng các thông số của email để cấu hình Windows Live Mail:
Email : daoduyhieu@technetvietnam.caom (daoduyhieu@technetvietnam.caom)
SMTP/POP : mail.technetvietnam.com
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image038_5F00_393F55E2.png
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image039_5F00_2213DB64.png
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image040_5F00_03C9246E.png
- Sau đó, nhấn vào biểu tượng Send/Receive, bạn sẽ nhận được mail tải về từ ngoài internet qua giao thức POP3/SMTP
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image041_5F00_05997A35.png
7. Không cho nhân viên nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe
a. Cấm trong giờ hành chánh
- Tại máy TMG Server, trong cửa sổ Forefront TMG , chuột phải lên rule Allow Staff on Work Time, chọn Configure HTTP
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image042_5F00_0A128BAD.png
- Qua tab Signatures, nhấn Add
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image043_5F00_52CC0471.png
- Ở khung Name, nhập tên: Deny Yahoo Messenger
Khung Search in, chọn tùy chọn: Request headers
Khung HTTP Header, nhập: Host:
Khung Signature, nhập: msg.yahoo.com
chọn OK
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image044_5F00_698DDCAB.png
- Nhấn Apply, chọn OK

microsoftvn

02-23-2011, 08:40 PM

http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image045_5F00_4B4325B5.png
- Qua tab Methods, trong khung Specify the action taken for HTTP methods, chọn Block specified methods (allow all others)
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image046_5F00_7B00CE34.png
- Nhập vào những định dạng file mà bạn muốn cấm, ví dụ: .exe
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image047_5F00_71A799B1.png
- Chuột phải vào Allow Staff on Work Time, chọn Properties
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image048_5F00_3A611276.png
- Qua tab Content Types, khung This rule applies to, chọn Selected content types
- Trong khung Content Types bỏ dấu chọn ô Audio và Video (để user không nghe nhạc trực tuyến). Nhấn Apply, chọn OK
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image049_5F00_031A8B3B.png
b. Cấm trong giờ giải lao: Làm tương tự bước a trên rule Allow Staff on Rest Time
c. Kiểm tra:
- Log on Administrator trên máy Client, thử Sign in vào Yahoo Messenger, bạn sẽ không thể đăng nhập Yahoo được
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image050_5F00_4BD403FF.png
- Bạn thử download 1 file.exe bất kỳ từ trang web nào đó. (VD: http:// (http://rarlab.com)rarlab.com)
- Kiểm tra sẽ thấy download thất bại
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image051_5F00_5B0A6CCC.png
- Thử truy cập vào trang http://nhacso.net (http://nhacso.net/), kiểm tra không được nghe nhạc trực tuyến
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image052_5F00_7F9E8B01.png
8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty
a. Tạo Access Rule cho truy cập từ Internal tới Internal với All Protocol (tương tự như các bước trên)
b. Tạo URL Sets : (xem lại phần 4b)
- Add những trang web mà bạn muốn cấm vào Deny Web (Ở đây tôi sử dụng lại Retrict Web)
c. Tạo Access Rule
- Chuột phải Firewall Policy, chọn New, chọn Access Rule
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image053_5F00_1D136CBF.png
- Hộp thoại Access Rule Names, đặt tên rule là: Deny and Redirect Web
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image054_5F00_17C4860E.png
- Hộp thoại Rule Action, chọn Deny
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image055_5F00_353967CB.png
- Trong hộp thoại Protocols, chọn Selected protocols, nhấn Add
- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image056_5F00_4BFB4005.png
- Hộp thoại Access Rule Sources, Add Rule: Internal, nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image057_5F00_38DA1359.png
- Hộp thoại Access Rule Destinaton, nhấn Add.
- Bung mục URL Sets, add Deny Web
- Nhấn Next
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image058_5F00_4F9BEB93.png
- Hộp thoại User Sets, chọn All Users
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image059_5F00_18556458.png
- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image060_5F00_48130CD7.png
- Move up rule Deny and Redirect Web làm rule số 2, chọn Apply, nhấn OK
- Chuột phải vào rule Deny and Redirect Web, chọn Properties
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image061_5F00_379A9BDC.png
- Trong hộp thoại Deny and Redirect Web Properties, qua tab Action, chọn Advanced
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image062_5F00_15459714.png
- Đánh dấu check vào mục Redirect HTTP requests to this Web Page, khung bên dưới nhập vào trang web mà bạn muốn redirect về http://technetvietnam.local/canhbao.htm (http://technetvietnam.local/canhbao.htm) (Trong bài viết có hosting sẳn trang web này tại máy DC)
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image063_5F00_24E832D6.png
- Log on user TechNetVietnam\Man2 trên máy DC, truy cập vào trang web bị cấm. VD: http://linux.org (http://linux.org) sẽ tự động redirect về trang cảnh báo của công ty
http://technetvietnam.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/hieudd/clip_5F00_image064_5F00_4D869EDD.png

Tác giả: hieudao

bepond

02-24-2011, 11:35 AM

Chào Bạn,

Cái phần mềm tường lửa ISA TMG 2010 này dành cho máy Server Wìn2K8 hoạt động quản lý cũng giống như cái ISA2K4 hay ISA2K6 trên máy Server 2K3 á. Bạn có source download phần mềm TMG 2010 này không thì up lên cho mọi người học hỏi thêm với nhé. Xin cám ơn bạn nhiều.

alika

02-24-2011, 01:15 PM

MSvn đã post trong bài tổng quan rồi, mình copy lại nhé

Download Microsoft Forefront TMG 2010
- Forefront Threat Management Gateway (TMG) 2010 Standard Edition and Enterprise Edition (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd)
- Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 (SP1) (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c)