Lab 2 Access-Rule TMG 2010

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. Sơ đồ và yêu cầu
1. Sơ đồ



2. Yêu cầu
- Cấu hình Firewall để
  • PC trong LAN ping ra internet được
  • Cho phép PC truy cập internet
  • Cấm PC truy cập trang vnexpress.net và nếu PC có truy cập trang vnexpress.net thì sẽ bị redirect về trang svuit.com
- Sơ đồ IP

TMG 2010internal: 10.1.1.1/24
external: 172.16.1.10/24, Gateway: 172.16.1.254
PCIP: 10.1.1.10/24, Gateway: 10.1.1.1

II. Triển khai
- Mặc định trên TMG 2010 sẽ có 1 Rule deny all tất cả các traffic nên bạn cần cấu hình các rule allow để cho phép PC truy cập các dịch vụ cần thiết
- Trên TMG 2010 cấu hình các rule sau
1. Rule Ping
- Right click lên Firewall policy --> new --> access rule. Để tạo Rule ping



- Đặt tên Rule


- Chọn hành động là cho phép (cho phép ping)



- Chọn protocol là "PING"



- Cho phép bên trong PING nên source là internal



- Ping ra internet nên destination là External



- Rule này có tác dụng với tất cả các user. Nếu bạn có triển khai AD thì bạn có set từng user or group chi tiết hơn :)


- Tạo rule xong bạn phải ấn Apply thì nó mới áp phê :)


- Dùng PC trong LAN kiểm tra bạn thấy PC ping ra internet nhưng không truy cập được web

 
2. Rule truy cập WEB
- Rule thứ 1 chỉ cho phép PC trong LAN ping ra internet được. Bây giờ chúng ta sẽ tạo thêm 1 Rule để cho phép PC có thể truy cập web ngoài internet
- Các tạo Rule tương tự như ở trên

395.jpg


404.jpg

- Các protocol thường được sử dụng để truy cập web là: DNS, HTTP và HTTPs

405.jpg


407.jpg


408.jpg


409.jpg



406.jpg


410.jpg
 
3. Rule cấm Vnexpress và redirect vnexpress về svuit.com
- Rule này ngoài chức năng cấm PC trong LAN truy cập trang vnexpress.net còn redirect các truy cập của client đến trang svuit.com nếu client truy cập trang vnexpress.net
- Đầu tiền cần tạo 1 danh sách các URL mà bạn cần filter.
- Bạn nhìn qua góc phải của chương trình TMG 2010 và làm theo trong hình

418.jpg


- Tạo danh sách các website mà bạn cần thực hiện filter

419.jpg


- Sau đó các bạn tạo 1 Access-Rule như thông thường

395.jpg



420.jpg

- Ở đây bạn chọn deny

421.jpg


422.jpg


423.jpg

- Ở phần destination thì bạn chọn URL lúc nãy bạn đã tạo

424.jpg



425.jpg

- Đến đây là xong nếu bạn apply thì PC sẽ không truy cập được trang vnexpress.net nữa. Nhưng mình muốn client truy cập trang vnexpress.net sẽ bị redirect về trang svuit.com nên mình sẽ làm thêm 1 chút nữa với cái Rule này.
- Bạn right-click lên cái Rule mà vừa tạo chọn properties

426.jpg

- Ở đây bạn điền địa chỉ website mà bạn muốn PC bị redirect về

427.jpg

- Cuối cùng là apply để Rule áp phê


428.jpg


- Bây giờ bạn thử dùng PC truy cập trang vnexpress.net bạn sẽ thấy kết quả là: Phía góc trái dưới màn hình cho thấy browser của PC đang bị tự động chuyển sang trang svuit.com mặc dù PC gõ trang vnexpress.net


404.jpg


406.jpg
 
Em có 1 cái đề như vậy:
- Cho phép truy vấn DNS từ Internal tới External
- Cho phép tất cả user truy cập từ Internal đến External với các Protocol SMTP & POP3
- Cho phép các user thuộc group Domain Admins & Nhansu truy cập tất cả dịch vụ trên Internet
- Chỉ cho phép các user thuộc group Ketoan truy cập web trong giờ nghỉ trưa (12h-13h)
- Cấm tất cả user truy cập trang http://*.zing.vn , nếu truy cập thì redirect về địa chỉ http://www.google.com.vn

Cho em hỏi là e tạo rule và sắp xếp có đúng không?

rule1: cho phép truy vấn protocol DNS từ internal ra external cho all users
rule2: cấm truy cap web protocol HTTP,HTTPS từ internal ra external cho all users
rule3: cho phép user group Domain admins & NhanSu all outbound traffic từ internal ra external cho group Domain Admins + NhanSu
rule4: cho phép group KeToan ra net thời gian protocol HTTP,HTTPS từ internal ra external cho group KeToan
rule5: rule cấm tất cả(mặc định)

e làm như vậy mà sao user các group không ra được web ạ, hay e còn thiếu rule nào nữa ạ !!!
admin chỉ dùm e với...e cảm ơn ad!!!
 
hi hns9593 ,

Nó gặp cái rule này thì còn đi được đâu nữa hả bạn :)
rule2: cấm truy cap web protocol HTTP,HTTPS từ internal ra external cho all users
 
E đã cài đặt và cấu hình hoàn tất TMG 2010 và chưa thao tác gì! Giờ e muốn tất cả các user đều được lên Net trừ một Gruop từ Domain thì làm sao ạ!? Nhờ các cao nhân hướng dẫn! E mới làm TMG lần đầu :)
 
Bạn tạo các rule theo thứ tự như sau:
Rule 1: Allow > (DNS ) _______> Internal --> External > All Users
Rule 2: Deny > (HTTP, HTTPs) > Internal --> External > "Group Domain"
Rule 3: Allow > (HTTP, HTTPs) > Internal --> External > All Users

Lưu ý: Máy cài TMG phải được Join vào Domain.
Khi cài TMG, bạn nên Join vào Domain trước rồi cài TMG sau.
 
Bạn bị lỗi là do bạn đã Join Domain, nhưng lại log on với Local User.



Bạn phải log on với Domain User.
Chọn Switch User > Other User > "SVUIT\Administrator"






TMG2010 là computer name của máy cài TMG 2010
SVUIT là netbios name của domain svuit.local

Khi log on bạn để ý dòng Log on to: XXXXXX
XXXXXX: có thể là SVUIT hoặc TMG2010
nếu là TMG2010 thì bạn đang login với Local User
nếu là SVUIT thì bạn đang login với Domain User



 
Last edited:
Rule 1: Allow > (DNS ) _______> Internal --> External > All Users
Rule 2: Deny > (HTTP, HTTPs) > Internal --> External > "Group Domain"
Rule 3: Allow > (HTTP, HTTPs) > Internal --> External > All Users
Mình đã cài và cấu hình hoàn tất. Cũng đã tạo 3 rules trên đúng ý đồ là cấm 1 Gruop lên Net! Nhưng gặp phải vấn đề là các User không nằm trong Group bị cấm lên được Net lại không lên được google.com và một số trang khác! Nhờ giúp đỡ ạ
 
Last edited:
TMG nó hoạt động với 3 cơ chế là:

Cơ chếXác thựcCấu hìnhProtocol
SecureNATKhông gửi Username để xác thựcKo cần phải cấu hình gì trên clientTất cả Protocol
Web ProxyCó gửi Username để xác thựcCấu hình proxy trên tình duyệt IE/FirefoxChỉ với HTTP, HTTPs
TMG ClientCó gửi Username để xác thựcCài TMG Client trên máy Client,
và Client phải Join Domain,
chỉ hổ trợ với Client chạy HĐH Windows
Tất cả Protocol

Khi bạn chưa cấu hình Proxy trên trình duyệt hoặc chưa cài TMG Client cho máy Client
thì nó hoạt động với cơ chế SecureNAT, với cơ chế này mặc dù client đã join domain
nhưng nó ko gửi Username để xác thực nên TMG Server ko biết hoặc nó xem đó là user anonymous
và nó cấm luôn....:p




Cấu hình để sử dụng TMG Client:
Để cài TMG Client, bạn vào máy TMG Server >> Tìm trên ổ đĩa C: hay D: gì đó
thấy thư mục Microsoft Forefront TMG > Client
Bạn sẽ thấy Source để cài TMG Client (MS_FWC.msc)

Copy file MS_FWC.msc vào máy Client và Tiến hành cài đặt, cài xong khởi động lại máy.

Log on và vào cấu hình cho TMG Client.

Đây là cấu hình mặc định, TMG Client sẽ tự động phát hiện ra máy TMG Server.
Để sử dụng dụng cách này thì cần phải có một số config trên TMG Server nữa
thì nó mới tự động phát hiện được.


Sử dụng cách cấu hình bằng tay cho nó nhanh,
nhập tên của máy TMG Server hoặc địa chỉ IP Internal của nó.


Sau khi bạn Apply thành công thì nó cũng cấu hình Proxy của trình duyệt IE/Chrome luôn cho máy Client



Và lúc này Client hoạt động với cả 3 cơ chế, là SecureNAT, Web Proxy và TMG Client.


Máy client, client1100.svuit.local, IP 10.10.10.111
User Log on: SVUIT\Administrator
Dùng Firefox, Truy cập web http://svuit.vn

Dùng IE, Truy cập web http://svuit.vn



 
Last edited:
Mình đã hiểu vấn đề! Cho mình hỏi thêm là giờ mấy máy không Join Domain và Access Point thì phài cấu hình thế nào để nó ra Net! :)
 
Cấu hình để sử dụng Web Proxy:
- Có thể sử dụng với máy chạy Windows/Linux/MacOS/Android ...
- Chỉ hổ trợ giao thức HTTP, HTTPs.
- Client ko cần phải Join Domain
- Trên Client, phải cấu hình proxy trên trình duyệt trỏ đến địa chỉ IP Internal của TMG Server
- Trên TMG Server, bật tính năng Web Proxy
- Phải có Domain User để xác thực với Proxy của TMG Server.

Dùng IE/Chrome/FireFox để truy cập web, bạn sẽ nhận được yêu cầu xác thực,
và khi bạn đóng IE/Chrome/FireFox và mở lại, bạn sẽ phải tiến hành xác thực lại từ đầu:p


Config Proxy của IE/Chrome
Run >> inetcpl.cpl











Config Proxy của FireFox
Nếu sử dụng tùy chọn “Use system proxy settings” thì nó sẽ sử dụng cấu hình proxy của IE/Chrome, bạn ko phải mất công nhập cấu hình proxy trên FireFox…






Lưu ý: Nếu Client là máy chạy hệ điều hành Windows thì bạn có thể cài TMG Client để cấu hình proxy đơn giản
và thuận tiện hơn. Có thể cấu hình và xóa cấu hình proxy một cách nhanh chóng.
 
Last edited:
Vấn đề mình đang gặp phải là các máy không Join Domain và Access Point (AP) mình đặt IP tĩnh và Gateway mình trỏ về IP card Int của máy TMG, DNS mình trỏ về DNS Server thì có thông báo là đã thông ra Net! Nhưng khi máy tính kết nối AP hoặc dùng IP tĩnh kết nối dây trực tiếp truy cập Net nó đòi chứng thực đến máy TMG (mình không cấu hình Proxy gì cả)

Như vậy các máy này dùng cơ chế SecureNAT nhưng sao lại bị chặn!?

Có hướng nào cho các máy kết nối AP và máy IP tĩnh này lên Net tự do không cần chứng thực gì không a!? Xin các ace có kinh nghiệm giúp đỡ! :)

Nếu mỗi lần dùng phone hay labtop kết nối AP hoặc máy bàn không Join Domain lên net mà cứ bị đòi chứng thực tài khoản thì hơi phiền :)
 
Hi thinhcomputer,

Bạn có thể inbox cho tụi mình skyper, yahoo.. của bạn không để hỗ trợ nhanh hơn cho bạn
 
Sơ đồ mạng 1:

Trong sơ đồ này bạn cấu hình Access Point hoạt động như là một Router,
và nó đảm nhiệm luôn chức năng cấp DHCP cho các máy Client dùng Wi-Fi,
Các client dùng Wi-Fi sẽ thuộc lớp mạng
10.20.20.0 /24
Trên TMG bạn tạo thêm một đường route về subnet
10.20.20.0 /24
(TMG > Networking > Routing > Create Network Topology Route > 10.20.20.0 Netmask 255.255.255.0 Gateway 10.10.10.253)
Nhưng với sơ đồ này thì không bảo mật, bất kỳ ai cũng có thể kết nối Wi-Fi, và truy cập trực tiếp vào mạng nội bộ.
:p

Sơ đồ mạng 2:

Trong sơ đồ này bạn cấu hình Access Point hoạt động như là một Repeater,
và nó đảm nhiệm luôn chức năng cấp DHCP cho các máy Client dùng Wi-Fi,
Các client dùng Wi-Fi sẽ thuộc lớp mạng
10.20.20.0 /24
Trên TMG bạn bổ xung subnet
10.20.20.0 /24 vào Internal Network
(
TMG > Networking > Networks > Internal > Address > Add Range 10.20.20.0/24 )
Với sơ đồ này thì sẽ bảo mật tốt hơn cho hệ thống mạng của bạn.
:p


Rule mẫu:

Cách 1:
Rule 1: Allow > (DNS)________-> Internal __________> External > All Users
Rule 2: Deny > (HTTP, HTTPs) >
Subnet 10.10.10.0/24 > External > "Domain User"
Rule 3: Allow > (HTTP, HTTPs) > Internal __________> External > All Users

Cách 2:
Rule 1: Allow > (DNS) ________> Internal ____________> External > All Users
Rule 2: Allow > (HTTP, HTTPs) >
Subnet 10.20.20.20/24 > External > All Users
Rule 3: Deny > (HTTP, HTTPs) >
Subnet 10.10.10.0/24 _> External > "Domain User"
Rule 4: Allow > (HTTP, HTTPs) > Subnet 10.10.10.0/24 _> External > All Users


 
Last edited:


Đây là đề tài tiểu luận của em ạ, xin cho em hỏi.
E có các rule như bên dưới

1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn –Web Filter
2.
Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.

3. Tạo access rule cho phép các nhân viên thuộc phòng ban còn lại được truy cập internet

Em làm và test với các rule All User đều OK, nhưng khi làm rule đối với Group Nhan_Vien thì không còn đúng nữa, Group Nhan_Vien và các All User còn lại cũng không thể nào ra NET.
Đã thử thay WEB bằng DNS với các rule như trên vẫn không được, vậy xin cho em hỏi bài của em sai gì ạ? Em cám ơn
 
Last edited:
hi daidong812,
Bạn có thể show thêm các thông tin cho mình được không ? Cảm ơn bạn!

1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn –Web Filter

Cho mình em phần WEB Filter của bạn nhé

2. Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.
Cho mình xem phần Work Time của bạn nhé

2. Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.
Group này bạn lấy trong AD hay ở đâu vầy ? AD và TMG có cài chung hay cài riêng ?
 
Rất cám ơn anh đã support em.
1. Phần Web Filter


2. Work Times


3. Group này lấy trong AD. AD Và TMG cài riêng ạ
ĐÂY LÀ ẢNH MÁY LÀM AD +DC
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu