Cấu hình Edge Firewall template trên Forefront TMG Server

0
1002
Edge Firewall template là một network template cơ bản giúp kết nối mạng bên trong với Internet, và được bảo vệ bởi Forefront TMG. Để sử dụng Edge Firewall template, chúng ta sẽ làm như sau
Sau khi cài đặt xong TMG ta Mở Forefront TMG lên trong Cửa sổ Getting Started Wizard và Chọn Step 1 Configure Network Settings
image002
Click Next ở cửa sổ Welcome
image004
Chọn Network Template phù hợp với mô hình mạng của hệ thống, TMG hỗ trợ bốn Network Template cơ bản sau (có thể xem chi tiết tại đây):

Edge Firewall

Khi được triển khai như một edge Firewall, nhiệm vụ chính của TMG là hành động như một layer-2 và layer-3 tường lửa cho traffic được gửi đến và từ Internet. Ngay cả khi TMG cũng được triển khai để cung cấp cấp cao hơn, bảo vệ lớp ứng dụng (chẳng hạn như IDS, lọc URL, kiểm tra phần mềm độc hại) và như vậy, nhiệm vụ chính của TMG vẫn còn như một tường lửa kiểm tra gói stateful. Là một edge firewall, giao diện bên ngoài phải đối mặt với Internet và giao tiếp nội bộ phải đối mặt với mạng LAN được bảo vệ.

Ưu điểm lớn nhất của việc sử dụng TMG là một bức tường lửa cạnh là nó cung cấp cho TMG truy cập trực tiếp mô hình mạng được thiết kế để kiểm soát. Với một vài thiết bị bổ sung trên cùng đường mạng, TMG có khả năng tốt hơn để đánh giá và đưa ra quyết định kiểm soát thích hợp. Đây cũng là mặc định triển khai cấu hình cho UAG. Hình bên dưới minh họa cách triển khai tường lửa điển hình.

image005

3-Leg Perimeter

Triển khai 3-leg perimeter như thể hiện trong Hình bên dưới, thường được gọi là một trihomed perimeter network vì một thiết bị duy nhất. TMG trong trường hợp này có ba NIC, mỗi NIC liên quan với một khu vực an ninh mạng khác nhau, trong đó có một đoạn mạng vành đai. TMG phù hợp với nhiệm vụ này bởi vì nó kết hợp tất cả các cơ chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trong một điểm kiểm soát mạng.

Không giống như ISA 2006, TMG được giả định rằng bạn sẽ sử dụng một mối quan hệ NAT mặc định giữa mạng nội bộ và chu vi mạng trihomed phân khúc, trihomed TMG perimeter network template nhận thức được rằng các mạng lưới được định nghĩa là chu vi và nội bộ không thể có tuyến đường được xác định trước hoặc các mối quan hệ NAT. Vì lý do này, Network Setup hướng dẫn cung cấp cho bạn cơ hội để xác định các mối quan hệ như là một phần của quá trình cấu hình.

Ưu điểm của việc triển khai 3-leg perimeter tương tự như của edge firewall triển khai: TMG có quyền truy cập tự do đến lưu lượng truy cập tại tất cả các mạng.

image008

Back Firewall

Back Firewall là một biến thể của mẫu edge firewall ngoại trừ giao diện bên ngoài các bức tường lửa TMG được kết nối với một phân đoạn mạng vành đai giữa nó và giao diện nội bộ của một bức tường lửa ở thượng nguồn.

Như vậy, mục cấu hình mạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xác định các mối quan hệ mạng giữa mạng nội bộ và perimeter networks là một trong hai tuyến đường hoặc NAT. Lợi thế triển back firewall là với một thiết bị riêng biệt xử lý các quyết định traffic ở mức độ thấp, TMG có nhiều nguồn lực hơn để áp dụng cho kiểm soát lọc lưu lượng truy cập cao hơn. Hình dưới minh họa việc triển khai Back Firewall.

image009

Single-Network Adapter

NIC duy nhất thường được gọi như unihomed. Tùy chọn này cung cấp chức năng tường lửa cho máy tính mà trên đó TMG hoạt động. Giống như ISA 2006, một TMG unihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựa trên HTTP (CERN proxy hoặc Web Publishing) và dial-in VPN các khách hàng VPN. Với ISA 2006, mạng hợp lệ cho một unihomed TMG là:
– Local host mạng này bao gồm tất cả các địa chỉ IP được gán cho máy tính TMG, không chỉ là mạng 127/8.
– Internal mạng này bao gồm tất cả các địa chỉ IP không được giao để dial vào một trong các VPN client.
– VPN client mạng này bao gồm chỉ những địa chỉ đã được định nghĩa cho sử dụng bởi các quản trị viên TMG.
– Quarantined VPN client Mạng bao gồm chỉ có các địa chỉ IP định nghĩa cho sử dụng bởi VPN client không đáp ứng các yêu cầu bảo mật theo quy định cho kết nối VPN.
Một lợi thế của một triển khai một NIC, như thể hiện trong hình dưới là tài nguyên TMG có thể được dành riêng để xử lý những traffic HTTP liên quan. Một ưu điểm khác của unihomed là bạn không bao giờ cần phải ghi lại số network để hỗ trợ một unihomed TMG firewall.
image011
Trong trường hợp này ta chọn 3-Leg perimeter template để triển khai
image006
Khai báo card mạng nào được nối với hệ thống internal
image008
Khai báo card mạng nào được nối với hệ thống external
image010
Khai báo card mạng nào được nối với hệ thống Perimeter, vì các server dịch vụ dùng để public ra net ta để ở khu vực perimeter nên ta chọn Network relationship là Public
image012
Kiểm tra vài thông số và click Finish
image014
Chọn Step 2 Configure system settings
image016
Sau khi click next ở cửa sổ Welcome, ta kiểm các thông số cấu hình ở máy TMG đã đúng hay chưa.
image018
Click Finish để hoàn tất step 2
image020
Click Step 3
image022
Sau khi click next ở cửa sổ Welcome, chọn Use the Microsoft Update service to check for update, để Windows update nhận các update mới cho Forefront
image024
Click Next để Active License cho bộ lọc và engines
image026
Cấu hình thời gian để check update cho bộ lọc engine
image028
Chọn No, I don’t wani ti participate để Microsoft không thu thập các thông tin anonymous
image030
Chọn None, No information is sent to Microsoft để TMG không gửi các thông tin về các thread xảy ra trong hệ thống về cho Microsoft
image032
Click Finish để hoàn tất Step 3
image034
Bỏ dấu check dòng Run the Web Access Wizard và click Close để đóng bản Getting Started Wizard
image036
Video hướng dẫn

This site uses Akismet to reduce spam. Learn how your comment data is processed.