I- GIỚI THIỆU

Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall tiếp theo của các phiên bản Internet Security and Acceleration (ISA) trước đó của Micrososoft. Trên TMG cottom fiji-content-fragment-bottom">

DC

TMGSERVER

Internal Card

IP Address: 192.168.1.2

Subnet Mask: 255.255.255.0

Default Gateway: 192.168.1.1

DNS Server: 172.0.0.1

IP Address: 192.168.1.1

Subnet Mask: 255.255.255.0

Default Gateway: để trống

DNS Server: 192.168.1.2

External Card

IP Address: 172.16.0.10

Subnet Mask: 255.255.0.0

Default Gateway: IP của Router ADSL

DNS Server:

Bài LAB gồm các bước chính sau đây

1- URL Filtering

2- Malware Inspection

3- HTTPS Inspection

4- HTTP Filter

5- Web Caching

Chuẩn bị: trước khi thực hiện, bạn cần tạo các Access Rule cho phép truy cập trong mạng nội bộ, cho phép phân giải bằng DNS và cho phép truy cập Web bằng HTTPS và HTTPS như hình bên dưới

1- URL Filtering

URL Filtering là chức năng cho phép hay cấm các trang Web dựa theo chủ đề (category). Trong ví dụ này tôi sẽ cấu hình cấm truy cập các trang Web mua bán (Shopping). Trước khi thực hiện, trên máy DC bạn thử truy cập các trang Web mua bán bao gồm www.ebay.com, www.amazon.com www.5giay.vn và kiểm tra truy cập bình thường vào các trang Web trên

Bật chức năng URL Filtering: Chọn Web Access Policy, trong Action Pane, chọn Configure URL Filtering

Đánh dấu check Enable URL Filtering - Nhấn OK

Cấu hình Access Rule: Bấm phải chuột vào Access Rule Allow Web - Chọn Properties

Sang Tab To, trong khung Exceptions - Nhấn Add

Chọn Shopping - Nhấn Add - Nhấn Close

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC kiểm tra không truy cập được vào các trang www.ebay.comwww.amazon.com vì các trang Web này thuộc chủ đề Shopping

Tuy nhiên trang www.5giay.vn vẫn có thể truy cập bình thường do TMG không đưa trang này vào chủ đề Shopping (cũng có thể do TMG không biết đến trang Web này)

Do đó nếu muốn cấm trang www.5giay.vn bạn cần bổ sung trang Web này vào chủ đề Shopping bằng cách chọn Web Access Policy - Configure URL Category Overrides

Nhấn Add

Bổ sung URL pattern 5giay.vn/* vào category Shopping - Nhấn OK

Tuy nhiên trang www.5giay.vn

Tương tự bạn bổ sung URL pattern www.5giay.vn/* vào chủ đề Shopping. Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC kiểm tra không truy cập vào trang www.5giay.vn nữa

2- Malware Inspection

Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.
Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE

Chọn DOWNLOAD

Chọn File eicar.com trong khung Download area using the standard protocol http

Nhấn Save

Kiểm tra việc download hoàn toàn bình thường

Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Triên tiên bạn cần kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)

Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau (lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd

Chọn Define deployment options

Chọn Use the Microsoft Update service to check for updates - Nhấn Next

Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next

Chấp nhận các thông số mặc định - Nhấn Next

Chọn No, I don't want to participate - Nhấn Next

Chọn None. No information is send to Microsoft - Nhấn Next

Nhấn Finish

Chọn Update Center - Bấm phải chuột Malware Inspection - Chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn

Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy - Bấm phải chuột vào Access Rule Allow Web - Chọn Properties

Sang Tab Malware Inspection - Đánh dấu check Inspect content downloaded from Web servers to clients - Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC, kiểm tra bằng cách download lại file eicar.com

Bạn sẽ nhận thông báo lỗi như hình dưới cho biết file này có chứa malware và đã bị chặn

3- HTTPS Inspection

HTTPS Inspection là chức năng tương tự Malware Inspection nhưng cho phép chặn Malware được download bằng giao thức HTTPS. Trước khi cấu hình, sang máy DC cho download file eicar.comtrong khung Download area using the secure, SSL enabled protocol https

Nhấn Save

Kiểm tra việc download hoàn toàn bình thường mặc dù trước đó tôi đã cấu hình chức năng Malware Inspection

Tiếp theo tôi sẽ cấu hình HTTPS Inspection bằng cách chọn Web Access Policy - Configure HTTPS Inspection

Đánh dấu check Enable HTTPS Inspection - Nhấn nút Generate để phát sinh Certificate

Nhấn nút Generate Certificate Now

Bạn sẽ thấy TMG tự động phát sinh một Certificate cho chức năng HTTPS Inspection. Nhấn nút Install Certificate

Nhấn Next

Chấp nhận nơi lưu trữ Certificate mặc định - Nhấn Next

Nhấn Finish

Nhấn OK

Nhấn OK

Nhấn Close

Nhấn HTTPS Inspection Trusted Root CA Certificate Options

Chấp nhận nơi lưu trữ Certificate mặc định - Nhấn Next

Nhấn Finish

Nhấn OK

Nhấn nút Domain Administrator Credentials

Nhập Username và Password của account domain admin - Nhấn OK

Nhấn OK

Nhấn OK

Nhấn OK

Kiểm tra Certificate bằng cách mở Certificate Console bằng lệnh CERTMGR.MSC

Bung theo hình bên dưới và kiểm tra Certificate mới đã phát sinh

Cập nhật policy bằng lệnh GPUPDATE /FORCE

Sang máy DC kiểm tra bằng cách download lại file eicar.com

Kiểm tra bạn sẽ nhận báo lỗi như hình dưới cho biết đã phát hiện và chặn file có chứa malware

4- HTTP Filter

HTTP filter là chưc năng cho phép lọc và chặn dựa vào nội dung của gói tin HTTP khi truy cập Web. Trên TMG có thể sử dụng chức năng này để cấm download các loại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông số signature của các ứng dụng truy cập Web như ưng dụng Chat hay Game online… Trong ví dụ này tôi sẽ cấu hình cấm download các loại file chỉ định và cấm dựa theo phương thức truy cập Web

a. Cấm Download các loại file chỉ định

Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP

Sang Tab Extensions - Chọn Block specified extensions (allow all others) - Nhấn Add

Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần mở rộng là exe, nhập .exe - Nhấn OK

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là EXE, bạn sẽ nhận báo lỗi như hình dưới với thông tin SourceWeb filter

b. Cấm dựa vào phương thức (method) truy cập Web

Khi truy cập web, thông thường người dùng sẽ sử dụng một trong các phương thức truy cập phổ biến sau:

- GET: Lấy thông tin từ server, đây là phương thức truy cập phổ biến nhất để đọc nội dung Web

- POST: Gửi thông tin từ client lên Web Server. Đây là phương thức thường dùng của các Web Mail hay diễn đàn

Trong ví dụ này tôi sẽ cấm truy cập bằng phương thức POST. Chọn Firewall Policy. Bấm phải chuột vào Access Rule Allow Web - Chọn Configure HTTP

Sang Tab Methods - Chọn Block specified method (allow all others) - Nhấn Add

Nhập phương thức cần cấm (ví dụ POST) - Nhấn OK

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Chuyển sang máy DC thử đang nhập vào một diễn đàn (forum) nào đó sử dụngem>Configure HTTP

Sang Tab Methods - Chọn Block specified method (allow all phương thức POST. Bạn sẽ nhận báo lỗi như hình dưới

5- Web Caching

Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.

Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ, trên máy DC, bạn cài đặt thêm Role Web server (IIS) bằng cách mở Server Manager. Bấm phải chuột lên Roles - ChọnAdd Roles

Đánh dấu chọn Web Server (IIS) sau đó nhấn Next và chấp nhận tất cả các lựa chọn mặc định khi cài đặt

Mở DNS Console, tạo một HOST (A) tên là www trỏ về IP của máy DC

a. Enable Caching

Mặc định TMG chưa bật chức năng Web Caching. Để sử dụng bạn cần bật tính năng này. Chọn Web Access Policy - Nhấn vào link Disabled của mục Web Caching

Sang tab Cache Drives - Nhấn nút Configure

Chọn ỗ đĩa tùy ý, tôi chọn đĩa C: - Nhập dung lượng tùy ý (tính bằng MB) vào ô Maximum cache size (MB) - Nhấn nút Set

Nhấn OK

Nhấn Apply

Nhấn OK

Nhấn Apply

Chọn Save the changes and restart the services - OK

Nhấn Apply

Nhấn OK

Mở ổ C: bạn sẽ thấy xuất hiện một thư mục mới tên là urlcache, mở thư mục này bạn sẽ thấy 1 file tên tên là Dir1.cdat có dung lượng bằng với dung lượng bạn đã chỉ định ở bước trước. Đây chính là file sẽ chứa nội dung các trang Web mà TMG truy cập

Sang máy DC kiểm tra truy cập một trang Web tùy ý (ví dụ www.yahoo.com) và đợi cho đến khi trang web này hiển thị đầy đủ nội dung và hình ảnh

Đóng Internet Explorer, mở lại Internet Explorer và truy cập lại trang Web trên lần thứ hai, kiểm tra tốc độ lần thứ hai sẽ nhanh hơn nhiều so với khi truy cập lần đầu tiên

Tiếp theo tôi sẽ kiểm tra Web Caching đối với các trang Web trong nội bộ. Trên máy TMG, truy cập trang Web www.mcthub.local để trang Web này được lưu vào Cache

Sang máy DC mở Internet Information Service (IIS) Manager

Chọn trang Web Default Web Site - Trong Action Pane - Chọn Stop

Sang máy TMG đóng Internet Explorer, mở Internet Explorer và truy cập lại và trang www.mcthub.local. Bạn sẽ vẫn truy cập được do đang truy cập nội dung trang web từ Cache.

b. Content Download Job

Content Download Job là chức năng tự động download một trang Web chỉ định vào Cache cho phép trang Web này luôn được truy cập với tốc độ tốt nhất có thể. Chọn Web Access Policy - Nhấn chuột vào link Enabled của mục Web Caching

Sang tab Content Download - Nhấn New

Nhập tên tùy ý - Nhấn Next

Chọn lịch trình Download là Daily (hàng ngày) - Nhấn Next

Trong khung Job start time: chỉ định giờ sau giờ hiện hành khoảng 5 phút - Nhấn Next

Khung Download content from this URL: Nhập URL của trang Web cần download là http://mcthub.com - Nhấn Next

Chấp nhận các thông số mặc định về TTL - Nhấn Next

Nhấn Finish

Nhấn Yes để khởi động dịch vụ

Nhấn Apply

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo và nhấn Start Job

Sang máy DC, chờ đến thời gian mà bạn đã qui định, sau vài phút truy cập trang web http://mcthub.com để kiểm tra tốc độ truy cập

Bài viết liên quan

Cấu hình Anti Malware trên Exchange Server 2013


By Đồng Phương Nam
mcthub.com