Microsoft Forefront TMG - Part 3 - Access Rule01

Như vậy chúng ta đã hoàn tất các bước cài đặt Forefront TMG và cấu hình cho tất cả các máy từ Internal Network có thểtruy cập Forefront TMG (Local Host) bằng Firewall Client. Và như chúng đã biết sau khi cài đặt xong Forefront TMG lậptức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network khôngthể truy cập được ra ngoài (mạng Internet) và ngược lại.
Nội dung trích xuất từ tài liệu:
Microsoft Forefront TMG - Part 3 - Access Rule01 “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ T HUẬTMicrosoft Forefront TMG - Part 3 - Access RuleNhư vậy chúng ta đã hoàn tất các bước cài đặt Forefront TMG và cấu hình cho tất cả các máy từ Internal Network có thểtruy cập Forefront TMG (Local Host) bằng Firewall Client. Và như chúng đã biết sau khi cài đặt xong Forefront TMG lậptức ngăn cách giữa Internal Network và External Network bởi chính nó, khi đó các máy trong Internal Network khôngthể truy cập được ra ngoài (mạng Internet) và ngược lại. Hay nói một cách khác Forefront TMG đã khóa tất cả mọi Portra vào hệ thống.Như vậy trong bài này chúng ta sẽ tìm hiểu cách thức mở các Port để có thể truy cập Internet. Tuy nhiên chúng ta khôngmở một cách tùy tiện các Port này mà chỉ mở khi nào thực sự cần thiết mà thôi.Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.netCấu hình IP các máy như sau:Máy Đặc tính PC01 PC02Tên FTMG.gccom.net server.gccom.net IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Card Lan Default 192.168.1.1 gateway Preferred DNS IP Address 172.16.2.1 172.16.2.2 Subnet Mask 255.255.255.0 255.255.255.0Card Cross Default 172.16.2.1 gateway Preferred DNS 172.16.2.2 172.16.2.2Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông quaSwitchCard Cross: nối trực tiếp các cặp máy PC01 với PC02- Card Lan 192.168.1.2/24 là Card nối vào Router ADSL để ra Internet- Máy PC01 chính là máy Forefront TMG đã Join vào domain- Máy PC02 đóng vừa đóng vai trò là máy DC Server vừa là máy Client thuộc mạng 172.16.2.0/24Tại máy PC02 bật Active Directory Users and Computers lên và tạo một Group là Kinh Doanh và một User làgccom1. Tiến hành Add gccom1 vào Group Kinh Doanh 1 of 25Đầu tiên để các máy trong Internal Network có thể truy cập được Local Host và ngược lại ta phải tạo một Access Rule(tương tự đã làm ờ bài Installation) và trong bài này tôi đặt tên cho Rule này là Internal VS Local HostChọn Allow 2 of 25Chọn tiếp All outbound trafficTrong Access Rule Sources chọn 2 thuộc tính là Internal và Local HostVì cho đơn giản trong bài học tôi chọn luôn Local Host tuy nhiên trên thực tế vì lý do bảo mật chúng ta không chọn LocalHost mà chỉ chọn duy nhất Internal mà thôi. Nhằm tránh tình trạng các máy trong Intrenal Network truy cập trực tiếplên máy Forefront TMGTương tự trong Access Rule Destinations chọn 2 thuộc tính là Internal và Local Host 3 of 25Trong User Sets chọn All UserMàn hình Rule Internal VS Local Host sau khi được tạo xong như vậy với Rule này chúng ta có thể hiểu như sau:Đồng ý cho tất cả các giao thức (mọi Port) từ Internal sang Local Host và ngược lại, quyền này được gán lên mọi Usercó trong mạng InternalTiếp theo để các máy trong Internal Network truy cập ra Internet được bằng domain name của một trang Web nào đó vídụ như google.com.vn chẳng hạn thì đòi hỏi phải có một DNS Server nào đó phân giải giúp ta tên miền này, mà trongnày chính là DNS Server của nhà cung cấp dịch vụ ISP mà ta đang sử dụngNhư vậy sẽ tạo tiếp một Access Rule có thuộc tính sao cho các máy trong Internal Network có quyền truy vấn đến cácDNS Server bên ngoài và giả sử tôi đặt tên cho Rule này là DNS Query 4 of 25Tại cửa sổ Protocol ta không chọn All outbound traffic nữa mà chỉ mở duy nhất một Port 53 để truy vấn DNS mà thôinên ta giữ nguyên chế độ Selected protocols chọn AddNhấp chọn DNS trong Folder Common Protocols 5 of 25Trong Access Rule Sources chọn duy nhất 1 thuộc tính là InternalTương tự trong Access Rule Destinations chọn duy nhất 1 thuộc tính là ExternalTrong User Sets chọn All UserNhư vậy với Rule DNS Query này chúng ta có thể hiểu như sau:Đồng ý cho giao thức DNS (duy nhất Port 53) theo một chiều từ Internal sang External, quyền này được gán lên mọiUser có trong mạng InternalNhư vậy khi các máy trong Internal Network truy cập một trang web nào đó đầu tiên nó sẽ hỏi DNS Server của hệ thốngchúng ta (tức là PC02) và tất nhiên DNS Server chúng ta không thể hiểu được Domain name này và ngay lập tức DNSServer này sẽ hỏi tiếp các DNS Server bên ngoài nhờ ...