Lab 2 Access-Rule TMG 2010

I. Sơ đồ và yêu cầu
1. Sơ đồ
2. Yêu cầu
- Cấu hình Firewall để

• PC trong LAN ping ra internet được
• Cho phép PC truy cập internet
• Cấm PC truy cập trang vnexpress.net và nếu PC có truy cập trang vnexpress.net thì sẽ bị redirect về trang svuit.com

- Sơ đồ IPII. Triển khai
- Mặc định trên TMG 2010 sẽ có 1 Rule deny all tất cả các traffic nên bạn cần cấu hình các rule allow để cho phép PC truy cập các dịch vụ cần thiết
- Trên TMG 2010 cấu hình các rule sau
1. Rule Ping
- Right click lên Firewall policy --> new --> access rule. Để tạo Rule ping
- Đặt tên Rule
- Chọn hành động là cho phép (cho phép ping)
- Chọn protocol là "PING"
- Cho phép bên trong PING nên source là internal
- Ping ra internet nên destination là External

- Rule này có tác dụng với tất cả các user. Nếu bạn có triển khai AD thì bạn có set từng user or group chi tiết hơn

- Tạo rule xong bạn phải ấn Apply thì nó mới áp phê
- Dùng PC trong LAN kiểm tra bạn thấy PC ping ra internet nhưng không truy cập được web

2. Rule truy cập WEB
- Rule thứ 1 chỉ cho phép PC trong LAN ping ra internet được. Bây giờ chúng ta sẽ tạo thêm 1 Rule để cho phép PC có thể truy cập web ngoài internet
- Các tạo Rule tương tự như ở trên


- Các protocol thường được sử dụng để truy cập web là: DNS, HTTP và HTTPs

3. Rule cấm Vnexpress và redirect vnexpress về svuit.com
- Rule này ngoài chức năng cấm PC trong LAN truy cập trang vnexpress.net còn redirect các truy cập của client đến trang svuit.com nếu client truy cập trang vnexpress.net
- Đầu tiền cần tạo 1 danh sách các URL mà bạn cần filter.
- Bạn nhìn qua góc phải của chương trình TMG 2010 và làm theo trong hình
- Tạo danh sách các website mà bạn cần thực hiện filter

- Sau đó các bạn tạo 1 Access-Rule như thông thường


- Ở đây bạn chọn deny



- Ở phần destination thì bạn chọn URL lúc nãy bạn đã tạo


- Đến đây là xong nếu bạn apply thì PC sẽ không truy cập được trang vnexpress.net nữa. Nhưng mình muốn client truy cập trang vnexpress.net sẽ bị redirect về trang svuit.com nên mình sẽ làm thêm 1 chút nữa với cái Rule này.
- Bạn right-click lên cái Rule mà vừa tạo chọn properties

- Ở đây bạn điền địa chỉ website mà bạn muốn PC bị redirect về

- Cuối cùng là apply để Rule áp phê


- Bây giờ bạn thử dùng PC truy cập trang vnexpress.net bạn sẽ thấy kết quả là: Phía góc trái dưới màn hình cho thấy browser của PC đang bị tự động chuyển sang trang svuit.com mặc dù PC gõ trang vnexpress.net

Em có 1 cái đề như vậy:
- Cho phép truy vấn DNS từ Internal tới External
- Cho phép tất cả user truy cập từ Internal đến External với các Protocol SMTP & POP3
- Cho phép các user thuộc group Domain Admins & Nhansu truy cập tất cả dịch vụ trên Internet
- Chỉ cho phép các user thuộc group Ketoan truy cập web trong giờ nghỉ trưa (12h-13h)
- Cấm tất cả user truy cập trang http://*.zing.vn , nếu truy cập thì redirect về địa chỉ http://www.google.com.vn

Cho em hỏi là e tạo rule và sắp xếp có đúng không?

rule1: cho phép truy vấn protocol DNS từ internal ra external cho all users
rule2: cấm truy cap web protocol HTTP,HTTPS từ internal ra external cho all users
rule3: cho phép user group Domain admins & NhanSu all outbound traffic từ internal ra external cho group Domain Admins + NhanSu
rule4: cho phép group KeToan ra net thời gian protocol HTTP,HTTPS từ internal ra external cho group KeToan
rule5: rule cấm tất cả(mặc định)

e làm như vậy mà sao user các group không ra được web ạ, hay e còn thiếu rule nào nữa ạ !!!
admin chỉ dùm e với...e cảm ơn ad!!!

hi hns9593 ,

Nó gặp cái rule này thì còn đi được đâu nữa hả bạn

rule2: cấm truy cap web protocol HTTP,HTTPS từ internal ra external cho all users

Click to expand...

E đã cài đặt và cấu hình hoàn tất TMG 2010 và chưa thao tác gì! Giờ e muốn tất cả các user đều được lên Net trừ một Gruop từ Domain thì làm sao ạ!? Nhờ các cao nhân hướng dẫn! E mới làm TMG lần đầu

Bạn tạo các rule theo thứ tự như sau:
Rule 1: Allow > (DNS ) _______> Internal --> External > All Users
Rule 2: Deny > (HTTP, HTTPs) > Internal --> External > "Group Domain"
Rule 3: Allow > (HTTP, HTTPs) > Internal --> External > All Users

Lưu ý: Máy cài TMG phải được Join vào Domain.
Khi cài TMG, bạn nên Join vào Domain trước rồi cài TMG sau.

thanhdc said:

Khi cài TMG, bạn nên Join vào Domain trước rồi cài TMG sau.

Click to expand...

Mình Join Domain rồi cài TMG thì báo lỗi! Còn cài TMG trong lúc cài Join Domain thì không lỗi! Vậy nên làm sao bạn!?

Bạn bị lỗi là do bạn đã Join Domain, nhưng lại log on với Local User.


Bạn phải log on với Domain User.
Chọn Switch User > Other User > "SVUIT\Administrator"

​

TMG2010 là computer name của máy cài TMG 2010
SVUIT là netbios name của domain svuit.local
Khi log on bạn để ý dòng Log on to: XXXXXX
XXXXXX: có thể là SVUIT hoặc TMG2010
nếu là TMG2010 thì bạn đang login với Local User
nếu là SVUIT thì bạn đang login với Domain User

​

​

thanhdc said:

Rule 1: Allow > (DNS ) _______> Internal --> External > All Users
Rule 2: Deny > (HTTP, HTTPs) > Internal --> External > "Group Domain"
Rule 3: Allow > (HTTP, HTTPs) > Internal --> External > All Users

Click to expand...

Mình đã cài và cấu hình hoàn tất. Cũng đã tạo 3 rules trên đúng ý đồ là cấm 1 Gruop lên Net! Nhưng gặp phải vấn đề là các User không nằm trong Group bị cấm lên được Net lại không lên được google.com và một số trang khác! Nhờ giúp đỡ ạ

TMG nó hoạt động với 3 cơ chế là:

[TABLE="class: grid, width: 800"]
[TR]
[TD="align: center"]Cơ chế[/TD]
[TD="align: center"]Xác thực[/TD]
[TD="align: center"]Cấu hình[/TD]
[TD="align: center"]Protocol[/TD]
[/TR]
[TR]
[TD]SecureNAT[/TD]
[TD]Không gửi Username để xác thực[/TD]
[TD]Ko cần phải cấu hình gì trên client[/TD]
[TD]Tất cả Protocol[/TD]
[/TR]
[TR]
[TD]Web Proxy[/TD]
[TD]Có gửi Username để xác thực[/TD]
[TD]Cấu hình proxy trên tình duyệt IE/Firefox[/TD]
[TD]Chỉ với HTTP, HTTPs[/TD]
[/TR]
[TR]
[TD]TMG Client[/TD]
[TD]Có gửi Username để xác thực[/TD]
[TD]Cài TMG Client trên máy Client,
và Client phải Join Domain,
chỉ hổ trợ với Client chạy HĐH Windows[/TD]
[TD]Tất cả Protocol[/TD]
[/TR]
[/TABLE]

Khi bạn chưa cấu hình Proxy trên trình duyệt hoặc chưa cài TMG Client cho máy Client
thì nó hoạt động với cơ chế SecureNAT, với cơ chế này mặc dù client đã join domain
nhưng nó ko gửi Username để xác thực nên TMG Server ko biết hoặc nó xem đó là user anonymous
và nó cấm luôn....


Cấu hình để sử dụng TMG Client:
Để cài TMG Client, bạn vào máy TMG Server >> Tìm trên ổ đĩa C: hay D: gì đó
thấy thư mục Microsoft Forefront TMG > Client
Bạn sẽ thấy Source để cài TMG Client (MS_FWC.msc)

Copy file MS_FWC.msc vào máy Client và Tiến hành cài đặt, cài xong khởi động lại máy.

Log on và vào cấu hình cho TMG Client.

Đây là cấu hình mặc định, TMG Client sẽ tự động phát hiện ra máy TMG Server.
Để sử dụng dụng cách này thì cần phải có một số config trên TMG Server nữa
thì nó mới tự động phát hiện được.
Sử dụng cách cấu hình bằng tay cho nó nhanh,
nhập tên của máy TMG Server hoặc địa chỉ IP Internal của nó.

​

Sau khi bạn Apply thành công thì nó cũng cấu hình Proxy của trình duyệt IE/Chrome luôn cho máy ClientMáy client, client1100.svuit.local, IP 10.10.10.111
User Log on: SVUIT\Administrator
Dùng Firefox, Truy cập web http://svuit.vn
Dùng IE, Truy cập web http://svuit.vn

Mình đã hiểu vấn đề! Cho mình hỏi thêm là giờ mấy máy không Join Domain và Access Point thì phài cấu hình thế nào để nó ra Net!

Cấu hình để sử dụng Web Proxy:Config Proxy của IE/Chrome
Run >> inetcpl.cpl




Config Proxy của FireFox
Nếu sử dụng tùy chọn “Use system proxy settings” thì nó sẽ sử dụng cấu hình proxy của IE/Chrome, bạn ko phải mất công nhập cấu hình proxy trên FireFox…



Lưu ý: Nếu Client là máy chạy hệ điều hành Windows thì bạn có thể cài TMG Client để cấu hình proxy đơn giản
và thuận tiện hơn. Có thể cấu hình và xóa cấu hình proxy một cách nhanh chóng.

Vấn đề mình đang gặp phải là các máy không Join Domain và Access Point (AP) mình đặt IP tĩnh và Gateway mình trỏ về IP card Int của máy TMG, DNS mình trỏ về DNS Server thì có thông báo là đã thông ra Net! Nhưng khi máy tính kết nối AP hoặc dùng IP tĩnh kết nối dây trực tiếp truy cập Net nó đòi chứng thực đến máy TMG (mình không cấu hình Proxy gì cả)

Như vậy các máy này dùng cơ chế SecureNAT nhưng sao lại bị chặn!?

Có hướng nào cho các máy kết nối AP và máy IP tĩnh này lên Net tự do không cần chứng thực gì không a!? Xin các ace có kinh nghiệm giúp đỡ!

Nếu mỗi lần dùng phone hay labtop kết nối AP hoặc máy bàn không Join Domain lên net mà cứ bị đòi chứng thực tài khoản thì hơi phiền

Hi thinhcomputer,

Bạn có thể inbox cho tụi mình skyper, yahoo.. của bạn không để hỗ trợ nhanh hơn cho bạn

Vâng! ID Skype mình là dkvthinh_it còn ID Yahoo là thinhcomputer ạ!

Đây là đề tài tiểu luận của em ạ, xin cho em hỏi.
E có các rule như bên dưới

1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn –Web Filter
2. Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.
3. Tạo access rule cho phép các nhân viên thuộc phòng ban còn lại được truy cập internet

Em làm và test với các rule All User đều OK, nhưng khi làm rule đối với Group Nhan_Vien thì không còn đúng nữa, Group Nhan_Vien và các All User còn lại cũng không thể nào ra NET.
Đã thử thay WEB bằng DNS với các rule như trên vẫn không được, vậy xin cho em hỏi bài của em sai gì ạ? Em cám ơn

hi daidong812,
Bạn có thể show thêm các thông tin cho mình được không ? Cảm ơn bạn!

1. Cấm tất cả các nhân viên truy cập vào những website không mong muốn –Web Filter
Cho mình em phần WEB Filter của bạn nhé

2. Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.
Cho mình xem phần Work Time của bạn nhé

2. Cấm các nhân viên thuộc Group Nhan_Vien truy cập Internet trong giờ làm việc.
Group này bạn lấy trong AD hay ở đâu vầy ? AD và TMG có cài chung hay cài riêng ?

Rất cám ơn anh đã support em.
1. Phần Web Filter


2. Work Times


3. Group này lấy trong AD. AD Và TMG cài riêng ạ
ĐÂY LÀ ẢNH MÁY LÀM AD +DC