Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Điều khiển truy cập Internet Trong loạt giới thiệu cho bạn số vấn đề Access Rules việc quản trị TMG firewall Tường lửa ISA có lịch sử phát triển lâu, phiên dần nâng cấp lên nên theo thời gian tiến trình phát triển Năm 2010, phiên tường lửa ISA khơng có tính chức đáng ý, cịn mang tên – tên ISA thay TMG - Threat Management Gateway 2010 Đây thay đổi lớn mặt quan điểm tín hiệu tốt tính hiệu tiến trình phát triển bảo mật Microsoft, Microsoft hoàn toàn thay đổi cách tạo phần mềm tập trung vào vấn đề bảo mật giai đoạn phát triển Thách thức thiết lập tường lửa TMG học vấn đề Chúng ta trải qua hàng thập kỷ làm Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com việc với ISA hầu hết quản trị viên hiểu sâu chi tiết kỹ thuật kịch triển khai phức tạp Tuy nhiên có nhiều người gặp phải vấn đề truy cập cách làm việc tường lửa TMG Rất nhiều quản trị viên TMG tập trung vào tìm hiểu cách điều khiển truy cập gửi vào (cho ví dụ, để điều khiển truy cập đến Exchange SharePoint) Và lúc họ muốn biết cách điều khiển truy cập kết nối gửi Đó lý mà giới thiệu cho bạn viết này, viết tập trung vào đề Access Rules Tìm hiểu Access Rules Access Rule sử dụng để điều khiển truy cập gửi từ mạng bảo vệ tường lửa TMG Khi bạn muốn cho phép máy tính nằm phía sau kiểm sốt tường lửa TMG truy cập mạng khác (gồm có Internet), bạn cần tạo Access Rule (luật truy cập) phép kết nối Mặc định, khơng có Access Rule cho phép kết nối qua tường lửa, mặc định tường lửa TMG tường gạch vững bảo vệ cho mạng Trạng thái đóng cửa mặc định cấu hình an tồn, nhiên Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com có nghĩa bạn muốn cho phép lưu lượng qua tường lửa TMG, bạn cần phải hiểu cách Access Rule làm việc cách tạo chúng Tạo Access Rule gửi Để bắt đầu, tạo Access Rule gửi đơn giản cho phép tất người dùng truy cập Internet tất giao thức Trong phần loạt này, tìm hiểu vấn đề chi tiết Access Rules xem Access Rules có vấn đề phụ thuộc cách bạn điều chỉnh vấn đề phụ thuộc Chúng ta bắt đầu cách mở giao diện điều khiển tường lửa TMG kích nút Firewall Policy phần panel trái giao diện, thể hình bên Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Sau kích nút Firewall Policy panel trái, kích tab Tasks panel phải giao diện Ở bạn thấy số tùy chọn, đa số chúng có liên quan đến việc tạo rule tường lửa Trong ví dụ này, tạo rule truy cập phép truy cập gửi qua tường lửa Kích liên kết Create Access Rule để khởi chạy Access Rule wizard, hiển thị hình bên Hình Trong trang Welcome to the New Access Rule Wizard, đặt tên hộp văn Access Rule name Nói chung, bạn nên đặt tên có ý nghĩa cho Access Rule để có Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com thể quét sách tường lửa biết rule làm gì, đặc biệt biết mục đích mục đích rule Trong ví dụ này, đặt tên rule All Open Trong môi trường sản xuất, bạn không muốn tạo rule rule cho phép tất máy tính truy cập Internet chắn khơng phải bạn muốn có mơi trường sản xuất Hình Trong trang Rule Action, bạn có lựa chọn Allow Deny rule Lưu ý tùy chọn mặc định Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Deny, tùy chọn tốt góc độ bảo mật Chúng ta thay đổi trạng thái Deny thành Allow trước kích Next để biến trở thành rule Allow Hình Trong trang Protocols, chọn giao thức mà bạn muốn áp với rule Trong hộp sổ xuống This rule applies to, bạn có lựa chọn sau:  All outbound traffic – Sử dụng tùy chọn bạn muốn áp rule cho tất giao thức  Selected protocols – Sử dụng tùy chọn để chọn Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com số giao thức mà bạn muốn áp cho rule Đây tùy chọn chắn hầu hết số bạn cần đến  All outbound traffic except selected – Tùy chọn cho phép bạn cho phép từ chối tất giao thức ngoại trừ số giao thức mà bạn chọn Hình Nếu chọn tùy chọn thứ hai thứ ba, bạn kích nút Add để chọn giao thức mà bạn muốn áp rule cho chúng Sau kích nút Add, bạn thấy hộp thoại Add Protocols xuất Khi kích Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com vào thư mục nằm hộp thoại này, thư mục mở hiển thị cho bạn danh sách giao thức Nhóm phát triển tường lửa TMG tạo dễ dàng sử dụng cách tách biệt giao thức theo nhóm để bạn dễ dàng việc tìm giao thức mà quan tâm Kích đúp vào giao thức mà bạn muốn cho phép, chúng xuất trang Protocols danh sách Protocols Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Một tùy chọn khách bạn có trang lộ diện bạn kích nút Source Ports Thao tác bạn làm xuất hộp thoại Source Ports Ở bạn điều khiển cổng nguồn phép cho kết nối tương xứng với rule Mặc định Allow traffic from any allowed source port chọn, nhiên bạn muốn khóa cổng nguồn, Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com bạn chọn Limit access to traffic from this range of source ports sau nhập giá trị vào trường From To để rõ cổng nguồn Hình Chúng ta không chọn cổng nguồn lúc mà chọn tùy chọn All outbound traffic sau kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Network Giả sử bạn có TMG firewall có hai NIC Một giao diện kết nối với Internet giao diện External mặc định, kết nối với External Network mặc định Một NIC khác kết nối với mạng subnet khác, Internal Network mặc định Nếu subnet nằm dải 10.0.0.0.-10.0.0.255 mạng Internal Network mặc định bạn định nghĩa địa NIC kết nối với subnet “root” Internal Network mặc định Trong hình bên dưới, bạn thấy tab Networks nút Network panel bên trái giao diện TMG firewall Có mạng TMG firewall mặc định đây:  External Mạng External Network mặc định gồm có tất địa IP không nằm mạng TMG firewall khác  Internal Mạng Internal Network mặc định định nghĩa bạn cài đặt tường lửa Internal Network mặc định điển hình mạng gồm có điều khiển miền (domain controller) máy chủ DNS mà tường lửa TMG cần để thực hoạt động  Local Host Local Host Network định nghĩa địa Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com IP ràng buộc với tất giao diện mạng NIC tường lửa TMG  Quarantined VPN Clients Quarantined VPN Clients Network mạng tạo động, gồm có tất địa IP máy khách VPN cách ly  VPN Clients VPN Clients Network mạng tạo động khác gồm có địa IP tất máy khách VPN không cách ly Hình Nếu muốn có nhiều hai NIC tường lửa TMG, bạn cần phải tạo mạng để hỗ trợ NIC Lưu ý: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bạn có thêm nhiều NIC mạng tường lửa TMG, nhiên không đề cập đến kịch Để tạo mạng tường lửa TMG mới, kích liên kết Create a New Network phần panel bên phải giao diện điều khiển Thao tác làm xuất Welcome to the New Network Wizard, xem thể hình bên Trong trang này, bạn cần phải gán tên cho mạng Trong ví dụ bài, đặt tên cho mạng DMZ kích Next Hình Trong trang Network Type, bạn phải cho wizard kiểu Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com mạng mà bạn muốn tạo Đây lựa chọn mà bạn cần chọn:  Internal Network – Internal Network mạng bảo vệ tường lửa TMG Khi tạo Internal Network, bạn có số tùy chọn cấu hình cụ thể cho mạng đó, chẳng hạn thiết lập web proxy mà máy khách mạng sử dụng Chúng ta đề cập đến vấn đề sau  Perimeter Network – Mạng Perimeter Network tương tự mạng Internal Network dạng tùy chọn có sẵn cho bạn sau mạng hoàn tất Trong thực tế, khơng có khác biệt thực Perimeter Network Internal Network, định “kiểu” làm cho trở nên dễ dàng việc phân biệt mạng mà bạn cho mạng bên trong, mạng xem DMZ  VPN Site-to-Site Network – Đây kiểu mạng đặc biệt mà TMG sử dụng để kết nối hai mạng với qua Internet, sử dụng router VPN  External Network – Mạng External Network mạng khơng có tùy chọn có mạng Internal Perimeter, không coi mạng bảo vệ TMG; cho phép bạn kết nối với tài nguyên bên tổ chức, nhiên reach (với tới) qua cổng mặc định mạng External Network mặc Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com định Trong ví dụ này, tạo mạng DMZ chọn tùy chọn Perimeter Network thể hình kích Next Hình Trong trang Network Addresses, bạn cần cấu hình địa IP sử dụng để định nghĩa mạng Có nhiều địa reach trực tiếp NIC kết nối với mạng mà bạn tạo Có ba cách add địa để định nghĩa mạng: Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com  Add Adapter – Đây cách tốt cho việc add địa Nếu bạn cấu hình bảng định tuyến tường lửa TMG trước tạo mạng, tùy chọn tự động bao hàm tất địa reach NIC mạng mà bạn định nghĩa  Add Private Tùy chọn cho phép dễ dàng add địa IP riêng để định nghĩa mạng bạn  Add Range Tùy chọn cho phép bạn định dải địa IP để định nghĩa cho mạng bạn Bạn thường phải sử dụng tùy chọn chưa cấu hình bảng định tuyến tường lửa TMG; trường hợp đó, tất địa với trực tiếp NIC khơng bao hàm bạn sử dụng tùy chọn Add Adapter Trong ví dụ này, chọn NIC (Guest) (chúng đặt lại tên NIC để dễ dàng phân biệt hơn) root mạng DMZ tạo Xem thể hình Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Xem lại lựa chọn trang Completing the New Network Wizard, trang bạn thấy hình kích Finish Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Tại đây, mạng tạo xong Mặc dù vậy, khơng có nhiều thứ bạn thực lúc tạo Network Rule Tạo TMG Firewall Network Rule Mạng kết nối với mạng khác rule mạng (Network Rule) Nếu khơng có rule để kết nối mạng với mạng khác khơng có lưu lượng truyền tải mạng Khi bạn kết nối mạng với mạng khác, bạn cần phải định nghĩa mối quan hệ tuyến mạng Mối quan hệ tuyến NAT Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Route Một mối quan hệ tuyến có nghĩa gói từ mạng nguồn đến mạng đích định tuyến, giống kết nối định tuyến Nếu bạn chọn quan hệ NAT, kết nối từ mạng nguồn NAT đến mạng đích, với địa IP NIC gần với mạng đích thay cho địa IP nguồn gốc host mạng nguồn Để tạo rule mới, kích tab Network Rules nút Networks giao diện tường lửa Sau kích liên kết Create a Network Rule panel phải giao diện Trang bạn thấy Welcome to the New Network Rule Wizard, thể hình bên Đầu tiên bạn cần gán tên cho rule hộp thoại Network rule name Trong ví dụ đặt tên cho rule Internal to DMZ, rule kết nối mạng Internal Network mặc định với mạng DMZ Network Kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Trong hộp thoại Network Traffic Sources, bạn cần thiết lập mạng nguồn cho rule mạng Trong ví dụ này, chọn mạng Internal mặc định làm mạng nguồn Kích Add sau hộp thoại Add Network Entities kích đúp Internal, xem thể hình Kích Close tiếp sau kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Trong trang Network Traffic Destinations, thiết lập phía đích đến rule Trong ví dụ chúng tơi chọn mạng Guest (đó mạng DMZ Network) làm phía đích Network Rule Kích nút Add chọn DMZ Network từ danh sách Networks hộp thoại Add Network Entities, xem thể hình 8, sau kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Trong trang Network Relationship, hình 9, chọn mối quan hệ tuyến mạng nguồn đích Trong ví dụ này, chúng tơi chọn tùy chọn Route kích Next Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình Trang cuối wizard Completing the New Network Rule Wizard thể hình 10 Kiểm tra thiết lập bạn kích Finish Hình 10 Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bạn thấy rule mạng danh sách Network Rule trang Network Rules, bạn thấy hình 11 Network Rules đánh giá theo thứ thấy có đè chồng số rule bạn di chuyển rule mà bạn muốn đánh giá cao lên danh sách cách kích phải vào kích lệnh Move Up Sau rule cần chuyển nằm vị trí mong muốn, kích nút Apply để lưu cấu hình vào sách tường lửa Hình 11 Kết luận Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong giới thiệu cho bạn số khái niệm sử dụng kết nối mạng có tường lửa TMG - TMG firewall Network TMG firewall Network Rule Nếu chưa sử dụng nhiều hai NIC tường lửa TMG, bạn không cần phải nghĩ đến chủ đề Tuy nhiên định muốn nâng tường lửa TMG lên mức cao hơn, bạn cài đặt nhiều NIC tường lửa tạo mạng tường lửa TMG Có điều quan trọng cần nhớ bạn sử dụng mạng tạo rule để kết nối mạng với xong Khi mạng kết nối thơng qua rule đó, truyền thơng cho phép mạng Trong phần loạt này, giới thiệu cho bạn tùy chọn mặc định có sẵn cấu hình mạng tạo mạng Internal Perimeter ... người gặp phải vấn đề truy cập cách làm việc tường lửa TMG Rất nhiều quản trị viên TMG tập trung vào tìm hiểu cách điều khiển truy cập gửi vào (cho ví dụ, để điều khiển truy cập đến Exchange SharePoint)... biết cách điều khiển truy cập kết nối gửi Đó lý mà chúng tơi giới thiệu cho bạn viết này, viết tập trung vào đề Access Rules Tìm hiểu Access Rules Access Rule sử dụng để điều khiển truy cập gửi... muốn cho phép máy tính nằm phía sau kiểm soát tường lửa TMG truy cập mạng khác (gồm có Internet) , bạn cần tạo Access Rule (luật truy cập) phép kết nối Mặc định, khơng có Access Rule cho phép kết