FOREFRONT TMG & ISA'S BLOG

Migrating from ISA Server 2006 to Forefront TMG 2010

2011-12-09T08:45:53Z

Forefront Threat Management Gateway (TMG) là phiên bản nâng cấp kế tiếp của Internet Security and Acceleration (ISA) Server được Microsoft ra mắt vào cuối năm 2009. Về cơ bản TMG Server thừa hưởng nhiều tính năng giống ISA Server nhưng mạnh mẽ hơn, hoàn thiện hơn và bổ sung nhiều tính năng mới. Bài viết này sẽ hướng dẫn bạn chuyển đổi từ ISA 2006 sang TMG 2010.

Trước khi tiến hành chuyển đổi ISA lên TMG, các bạn cần hiểu rõ các vấn đề sau :

- ISA chỉ hoạt động trên nền tảng Windows 2003 về trước, TMG chỉ hoạt động dưới nền tảng Windows 2008 về sau.

- Không thể Upgrade trực tiếp từ ISA Server lên TMG Server.

- TMG không hỗ trợ chuyển đổi phiên bản ISA Enterprise

- TMG không hỗ trợ chuyển đổi phiên bản ISA Server 2000/2004, để chuyển đổi lên TMG thì trước tiên bạn phải nâng cấp ISA Server 2000/2004 lên ISA 2006.

- ISA Server 2006 phải là một member domain. TMG không hỗ trợ chuyển đổi từ một ISA ở chế độ workgroup (stand alone pc).

- Chức năng Web Proxy Client trên ISA Server (Local Host Network) sẽ không được di chuyển sang TMG Server

- Những cấu hình Report cũng sẽ không được di chuyển.

- Những Features trên ISA Server 2006 sẽ không hoạt động trên Forefront TMG, tuy nhiên ta có thể cấu hình lại vì TMG có hỗ trợ.

- Kiểm tra tính tương thích các phần mềm của hãng thứ 3 trên ISA Server 2006 có hoạt động trên TMG Server không.

1/ Backup config trên ISA Server 2006

- Truy cập vào cửa sổ quản lý của ISA Server, trên ISA Server click chuột phải chọn Export (Back Up)

- Cửa sổ Export Wizard chọn Next.

- Trong khung Export Preferences :

+ Đánh dấu check vào Export confidential infomation và nhập mật khẩu bảo vệ file backup

+ Đánh dấu check vào Export user permission settings

- Chọn đường dẫn lưu file backup

- Kiểm tra và hoàn tất tiến trình backup.

- Tiến trình backup tiến hành.

2/ Chép file backup ra USB hoặc một phân vùng khác, Formart phân vùng chứa hệ điều hành Windows Server 2003 và tiến hành cài đặt Windows Server 2008 x64 (khuyến khích sử dụng Windows Server 2008 R2). Sau khi cài đặt xong Windows và đặt 02 IP card mạng giống như cũ thì ta tiếp tục cài đặt Forefront Threat Management Gateway (TMG) 2010. (Xem bài viết cài đặt TMG tại đây)

3/ Restore config trên Forefront TMG

- Truy cập cửa sổ quản lý Forefront TMG, trên Forefront TMG click phải chọn Import (Restore)

- Cửa sổ Import Wizzard chọn Next.

- Chọn file backup của ISA Server 2006, chọn Next

- Forefront TMG cảnh báo là file backup config ta đang sử dụng của một phiên bản cũ. Click OK

- Nhập password bảo vệ của file backup.

- Kiểm tra và hoàn tất tiến trình restore. Chọn Finish

- Tiến trình Restore bắt đầu.

- Sau khi Restore thành công, Forefront TMG có những cảnh báo mà ta đã biết từ phần giới thiệu ở trên.

- Nhấn kiểm tra các Rules và các thiết lập đã được restore, chọn Apply để thực thi.

Upgrading TMG Server 2010 Standard Edition To Enterprise Edition

2011-12-06T03:30:25Z

Bạn đã từng sử dụng ISA Server 2004/2006, việc nâng cấp từ phiển bản Standard lên phiên bản Enterprise gặp rất nhiều khó khăn. Trước tiên bạn phải backup rules và remove phiên bản ISA Standard hiện tại, sau đó cài phiên bản ISA Enterprise và restore các rules. Với TMG Server 2010 thì việc này hết sức dễ dàng, bạn chỉ cần nhập product key của phiên bản TMG Server 2010 Enterprise vào giao diện quản lý của TMG hiện là quá trình upgrade thành công.

1/ Mở TMG Server 2010 management console, click vào System bên trái.

2/ Trong mục System, nhìn mục Task bên phải, click vào Upgrade to Enterprise Edition

3/ Chọn sang tab Product ID, chọn Upgrade To Enterprise Edition ..

Nhập vào product key phiên bản TMG Server 2010 Enterprise Edition, chọn OK

Trở lại tab Product ID, bạn sẽ thấy phiên bản hiện tại là Enterprise

4/ Nhấp Apply để quá trình upgrade hoàn tất, lúc này phiên bản TMG Server 2010 của bạn đã nâng cấp từ Standard lên Enterprise.

Quản trị TMG 2010 : Access Rules (3)

2010-12-17T01:24:44Z

Sau khi các bạn đã cài đặt thành công TMG 2010, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong bài viết này hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

I. Giới thiệu :

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org

6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Thực hiện: (Tiếp theo)

6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP

a. Tạo access rules trên TMG Server

- Trong cửa sổ Forefront TMG, chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access

- Hộp thoại Rule Action, chọn Allow

- Hộp thoại Protocols, chọn Selected Protocol, nhấn Add

- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn SMTP và POP3, nhấn Add

- Nhấn Next

- Hộp thoại Access Rule Sources, Aad Internal, nhấn Next

- Hộp thoại Access Rule Destinaton, add External, nhấn Next

- Hộp thoại User Sets, bạn chọn All Users

- Hộp thoại Completing the New Access Rule Wizard, Finish

- Nhấn chọn Apply, nhấn OK

b. Cấu hình Windows Live Mail và check mail : (trong vd này tôi có sử dụng email daoduyhieu@technetvietnam.com nằm ngoài internet)
- Log on Staff1 trên máy Client, khởi động Windows Live Mail

- Sử dụng các thông số của email để cấu hình Windows Live Mail:

Email : daoduyhieu@technetvietnam.caom

SMTP/POP : mail.technetvietnam.com

- Sau đó, nhấn vào biểu tượng Send/Receive, bạn sẽ nhận được mail tải về từ ngoài internet qua giao thức POP3/SMTP

7. Không cho nhân viên nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

a. Cấm trong giờ hành chánh

- Tại máy TMG Server, trong cửa sổ Forefront TMG , chuột phải lên rule Allow Staff on Work Time, chọn Configure HTTP

- Qua tab Signatures, nhấn Add

- Ở khung Name, nhập tên: Deny Yahoo Messenger
Khung Search in, chọn tùy chọn: Request headers
Khung HTTP Header, nhập: Host:
Khung Signature, nhập: msg.yahoo.com
chọn OK

- Nhấn Apply, chọn OK

- Qua tab Methods, trong khung Specify the action taken for HTTP methods, chọn Block specified methods (allow all others)

- Nhập vào những định dạng file mà bạn muốn cấm, ví dụ: .exe

- Chuột phải vào Allow Staff on Work Time, chọn Properties

- Qua tab Content Types, khung This rule applies to, chọn Selected content types

- Trong khung Content Types bỏ dấu chọn ô Audio và Video (để user không nghe nhạc trực tuyến). Nhấn Apply, chọn OK

b. Cấm trong giờ giải lao: Làm tương tự bước a trên rule Allow Staff on Rest Time
c. Kiểm tra:
- Log on Administrator trên máy Client, thử Sign in vào Yahoo Messenger, bạn sẽ không thể đăng nhập Yahoo được

- Bạn thử download 1 file.exe bất kỳ từ trang web nào đó. (VD: http://rarlab.com)

- Kiểm tra sẽ thấy download thất bại

- Thử truy cập vào trang http://nhacso.net, kiểm tra không được nghe nhạc trực tuyến

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty
a. Tạo Access Rule cho truy cập từ Internal tới Internal với All Protocol (tương tự như các bước trên)
b. Tạo URL Sets : (xem lại phần 4b)

- Add những trang web mà bạn muốn cấm vào Deny Web (Ở đây tôi sử dụng lại Retrict Web)

c. Tạo Access Rule
- Chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: Deny and Redirect Web

- Hộp thoại Rule Action, chọn Deny

- Trong hộp thoại Protocols, chọn Selected protocols, nhấn Add

- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add

- Hộp thoại Access Rule Sources, Add Rule: Internal, nhấn Next

- Hộp thoại Access Rule Destinaton, nhấn Add.

- Bung mục URL Sets, add Deny Web

- Nhấn Next

- Hộp thoại User Sets, chọn All Users

- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish

- Move up rule Deny and Redirect Web làm rule số 2, chọn Apply, nhấn OK

- Chuột phải vào rule Deny and Redirect Web, chọn Properties

- Trong hộp thoại Deny and Redirect Web Properties, qua tab Action, chọn Advanced

- Đánh dấu check vào mục Redirect HTTP requests to this Web Page, khung bên dưới nhập vào trang web mà bạn muốn redirect về http://technetvietnam.local/canhbao.htm (Trong bài viết có hosting sẳn trang web này tại máy DC)

- Log on user TechNetVietnam\Man2 trên máy DC, truy cập vào trang web bị cấm. VD: http://linux.org sẽ tự động redirect về trang cảnh báo của công ty

Quản trị TMG 2010 : Access Rules (2)

2010-12-14T00:42:43Z

I. Giới thiệu :

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org

6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Thực hiện: (Tiếp theo)

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

a. Tạo Schedule Element

- Trong cửa sổ TMG, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Schedules, chọn New

- Trong ô Name, nhập tên Work Time. Bên dưới chọn từ (7h - 11h) và từ (1h – 5h)

- Tương tự, tạo thêm 1 schedule là Rest Time, với thời gian là từ 11h – 1h

b. Tạo Element URL Sets

- Trong cửa sổ TMG, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Network Objects, nhấn New, chọn URL Set

- Trong hộp thoại New URL Set. Ô Name , nhập tên: Restrict Web, add các trang web mà bạn muốn cấm (Vd:http://linux.org ) chọn OK

- Tương tự, bạn tạo thêm URL Set là: Allow Web và add những trang web được phép truy cập vào

c. Tạo Access Rule:

- Chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Work Time

- Hộp thoại Rule Action, chọn Allow

- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add

- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add

- Nhấn Next

- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next

- Hộp thoại Access Rule Sources, add Internal

- Hộp thoại Access Rule Destinaton, nhấn Add

- Bung URL Sets, chọn Allow Web

- Nhấn Next

- Hộp thoại User Sets, remove group All Users, add group Staff

- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish

- Chuột phải lên Rule Allow Staff on Work Time, chọn Properties

- Qua Tab Schedule, trong khung schedule, chọn là Work Time , Nhấn OK

- Trên máy Client, log on TechNetVietnam\Staff1, truy cập trang web http://technetvietnam.net trong giờ làm việc, kiểm tra truy cập thành công

- Truy cập những trang web khác trong giờ làm việc, ví dụ: http://isaserver.org kiểm tra không truy cập được

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org

- Trong cửa sổ Forefront TMG, chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: Allow Staff on Rest Time

- Hộp thoại Rule Action, chọn Allow

- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add

- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add

- Nhấn Next

- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next

- Hộp thoại Access Rule Sources, add Internal, nhấn Next

- Hộp thoại Access Rule Destinaton, add External, nhấn Next

- Hộp thoại User Sets, remove group All Users, add group Staff vào, chọn Next

- Hộp thoại Completing the New Access Rule Wizard, nhấn Finish

- Chuột phải lên rule Allow Staff on Rest Time, chọn Properties

- Qua Tab Schedule, trong mục Schedule, chọn Rest Time

- Qua tab To, khung Exceptions, nhấn Add

- Bung mục URL Sets, chọn Restrict Web
- Nhấn Apply, chọn OK

- Trên máy DC, log on user TechNetVietnam\Staff2, truy cập trang: http://linux.org kiểm tra nhận thông báo lỗi.

- Truy cập những trang web khác (ví dụ: http://windowsecurity.com ) kiểm tra truy cập thành công

Quản trị TMG 2010 : Access Rules (1)

2010-12-13T07:20:00Z

I. Giới thiệu :

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang linux.org

6. Tạo rule cho phép user có thể kết nối mail ngoài internet bằng Windows Live Mail với giao thức POP3/SMTP.

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh cáo của công ty

II. Chuẩn bị :

Mô hình bài lab :

Bài lab bao gồm 3 máy :

- Máy DC: Windows Server 2008 R2

+ Tạo OU HCM. Trong OU HCM, tạo 2 group Manager, Staff.

+ Trong OU HCM, tạo 2 user Man1, Man2 làm thành viên của group Manager

+ Trong OU HCM, tạo 2 user Staff1, Staff2 làm thành viên của group Staff

- Máy TMG Server: Windows Server 2008 R2, TMG 2010

- Máy Client : Windows 7

III. Thực hiện:

1. Kiểm tra Default Rule

- Mặc định sau khi cài TMG 2010, chỉ có 1 access rule tên Default Rule cấm tất cả mọi traffic ra vào

- Tại máy Client, log on TechNetVietnam\Administrator, truy cập vào trang web bất kỳ, kiểm tra nhận được thông báo lỗi của TMG Server

- Tại máy DC, Vào cmd gõ lệnh nslookup, phân giải lần lượt tên 2 trang web sau: www.technetvietnam.net và www.vnexpress.net , kiểm tra phân giải thất bại

2. Tạo rule truy vấn DNS để phân giải tên miền

- Tại máy TMG Server, log on TechNetVietnam\Administrator, mở TMG Server, chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: DNS Query

- Hộp thoại Rule Action, chọn Allow

- Hộp thoại Protocols, chọn Selected Protocols và nhấn Add

- Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add

- Nhấn Next

- Hộp thoại Access Rule Sources, Add 2 Rule : Internal và Local Host

- Hộp thoại Access Rule Destinaton, Add Rule: External, nhấn Next

- Hộp thoại User Sets, chọn All Users, nhấn Next

- Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về Rule lần cuối, sau đó nhấn Finish

- Nhấn chọn Apply, Ok

Lưu ý: Sau mỗi lần tạo rule, phải chọn Apply để rule có hiệu lực

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

a. Tạo Element để định nghĩa nhóm Manager và Staff

- Trong cửa sổ TMG, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục Users, chọn New

- Hộp thoại User set name, đặt tên là Manager

- Hộp thoại Users, nhấn Add, chọn Windows users and groups…

- Add 2 users Man1 và Man2 vào hộp thoại Users

- Trong hộp thoại Completing, chọn Finish

- Tương tự, bạn tạo thêm nhóm là Staff

- Hộp thoại Users, Add 2 user Staff1 và Staff2, chọn Next

- Hộp thoại Completing the New User Set Wizard, chọn Finish

- Nhấn Apply

b Tạo Access Rule:

- Chuột phải Firewall Policy, chọn New, chọn Access Rule

- Hộp thoại Access Rule Names, đặt tên rule là: Allow Manager – Full Access

- Hộp thoại Rule Action, chọn Allow

- Hộp thoại Protocols, chọn All outbound traffic

- Hộp thoại Mailware Inspection chọn Enable mailware inspection for this rule, chọn Next

- Hộp thoại Access Rule Sources, add Internal, chọn Next

- Hộp thoại Access Rule Destinaton, add External, chọn Next

- Hộp thoại User Sets, remove group All Users, và add group Manager vào, chọn Next

- Hộp thoại Completing the New Access Rule Wizard, chọn Finish

- Nhấn chọn Apply, chọn OK

- Trên máy Client, log on TechNetVietnam\Man1, truy cập trang web: http://technetvietnam.net

kiểm tra truy cập thành công

Cài đặt Forefront Threat Management Gateway (TMG) 2010 - Phần III: Cấu hình Auto Discovery & triển khai Forefront TMG Client

2010-12-09T03:44:11Z

Phần III: Cấu hình Auto Discovery & triển khai Forefront TMG Client

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:

Với các đặc điểm trong bảng so sánh trên, chúng ta thấy rõ ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống Forefront TMG 2010 chúng ta nên cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server, trong phần III chúng tôi sẽ trình bày cách thức cấu hình chức năng Auto Discovery trên Forefront TMG 2010

Lưu ý: Để thực hiện Phần III các bạn phải hoàn tất các bước ở Phần I: Tổng quan Forefront TMG 2010

1. Bật chức năng Auto Discovery trên Forefront TMG Server

- Trên TMG Server, logon TECHNETVIETNAM\Administrator, mở Forefront TMG Management, vào Networking

- Trong cửa sổ giữa, qua tab Network, chuột phải Internal chọn Properties

- Trong hộp thoại Internal Properties, qua tab Auto Discovery, đánh dấu chọn vào ô Publish automatic discovery information for this network, chọn OK

- Trong cửa sổ Forefront TMG, chọn Apply

-Trong hộp thoại Saving Configuration Changes, chọn OK

5. Cấu hình Auto Discovery

Có 3 cách cấu hình Auto Discovery:

- Cấu hình Auto Discovery bằng Alias record trên DNS Server

- Cấu hình Auto Discovery bằng DHCP Option

- Cấu hình Auto Discovery bằng Active Directory

Cách 1: Cấu hình Auto Discovery bằng Alias record trên DNS Server

- Trên DNS Server (Server02), mở DNS Management, bung Forward Lookup Zones, chuột phải trên zone technetvietnam.local chọn New Alias (CNAME)

-Trong hộp thoại New Resource Record, khai báo các thông tin như trong hình bên dưới, chọn OK (TMG.technetvietnam.local là tên của máy TMG Server)

Vì trên Windows Server 2008 R2, trong danh sách Global Query Block List cấm phân giải tên WPAD nên chúng ta phải làm hành động xóa danh sách Global Query Block List hiện thời.

- Để kiểm tra danh sách Global Query Block List hiện thời các bạn sử dụng lệnh: dnscmd /info /globalqueryblocklist

- Để xóa danh sách Global Query Block List hiện thời các bạn sử dụng lệnh: dnscmd /config /globalqueryblocklist

- Sử dụng lệnh nslookup kiểm tra phân giải thành công alias WPAD.technetvietnam.local

Cách 2: Cấu hình Auto Discovery bằng DHCP Option

Thực hiện tại DHCP Server

- Mở công cụ quản lý DHCP, chuột phải IPv4 chọn Set Predefined Options

-Trong hộp thoại Predefined Options and Values, chọn Add để tạo 1 DHCP Option mới

-Trong hộp thoại Option Type, khai báo các giá trị như trong hình bên dưới, chọn OK

-Trong hộp thoại Predefined Options and Values, nhập http://TMG.technetvietnam.local:8080/wpad.dat vào ô String, chọn OK

(TMG.technetvietnam.local là tên của máy TMG Server)

-Trong cửa sổ DHCP,bung Scope Internal, chuột phải Server Options chọn Configure Options

-Trong hộp thoại Server Option, đánh dấu chọn ô 252 WPAD, chọn OK

- Trong Server Option, kiểm tra có option 252 WPAD

Cách 3: Cấu hình Auto Discovery bằng Active Directory

Thực hiện tại TMG Server

- Download AdConfigPack.exe , chạy file AdConfigPack.exe để cài đặt

-Trong hộp thoại Welcome, chọn Next

-Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

- Hộp thoại Location to Save Files, để đường dẫn mặc định, chọn Next, chọn Finish

- Mở Command Line, chuyển qua đường dẫn C:\Program Files (x86)\Microsoft TMG\AdConfig, gõ lệnh

TMGAdConfig.exe add -default -type winsock -url http://TMG.technetvietnam.local:8080/wspad.dat -f

(TMG.technetvietnam.local là tên của máy TMG Server)

6. Cài đặt Forefront TMG Client

Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay.

- Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file MS_FWC.msi để cài đặt

- Trong hộp thoại Welcome, chọn Next

- Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

- Hộp thoại Destination Folder, giữ nguyên đường dẫn mặc định, chọn Next

- Trong hộp thoại, Forefront TMG Computer Selection chọn:

+ Connect to this Forefront TMG computer để khai báo TMG Server bằng tay

+ Automatically detect the appropriate Forefront TMG computer để TMG Client tự động dò và kết nối TMG Server

Vì chúng ta đã cấu hình Auto Discovery nên lúc này chúng ta chọn chế độ Automatically detect the appropriate Forefront TMG computer

- Hộp thoại Ready to Install the Program, chọn Install

- Hộp thoại Install Wizard Completed, chọn Finish

- Mở Forefront TMG Client, qua tab Setting, kiểm traTMG Client kết nối đến TMG Server thành công, chọn Advanced

-Trong hộp thoại Advanced Automatic Detection, kiểm tra chúng ta đang sử dụng cả 3 cơ chế Auto Discovery

7. Kiểm tra truy cập Internet

- Trên máy TMG Server, mở Forefront TMG Management, chuột phải Firewall Policy bung New, chọn Access Rule

-Trong hộp thoại Welcome, đặt tên cho rule là Test : Internet outgoing , chọn Next

- Hộp thoại, Rule Action. chọn Allow, chọn Next

-Hộp thoại Protocol, chọn All outbound traffic, chọn Next

-Hộp thoại malware Inspection, chọn Do not enable malware inspection for this rule, chọn Next

- Hộp thoại Access Rule Source, add Internal & Local Host vào, chọn Next

- Hộp thoại Access Rule Destinations, add External vào, chọn Next

-Hộp thoại User Sets, để mặc định, chọn Next

-Hộp thoại Completing, chọn Finish

- Trong cửa sổ Forefront TMG chọn Apply, chọn OK

- Kiểm tra tất cả các máy truy cập Internet thành công

Cài đặt Forefront Threat Management Gateway (TMG) 2010 - Phần II: Cài đặt Forefront TMG Server

2010-12-08T00:50:39Z

Phần II: Cài đặt Forefront TMG Server

I. Mô hình:

II. Chuẩn bị:

Trong mô hình lab sử dụng 02 máy Windows Server 2008 R2 và 01 máy Windows 7

- TMG làm chức năng TMG Server (TMG.technetvietnam.local)

- PDC làm chức năng DC, DNS Server (PDC.technetvietnam.local)

- WIN7 làm chứng năng client (WIN7.technetvietnam.local)

Thiết lập TCP/IP cho 2 máy như trong bảng sau:

Interface\Server	PDC	TMG Server	WIN7
LAN	IP : 172.16.1.2 GW : 172.16.1.1 DNS : 172.16.1.2	IP : 172.16.1.1 GW : DNS : 172.16.1.2	IP : 172.16.1.11 GW : 172.16.1.1 DNS : 172.16.1.2
WAN		IP : 192.168.1.2 GW : 192.168.1.1 (DSL Router) DNS :

- Cấu hình PDC làm Domain Controller & DNS Server của domain TECHNETVIETNAM.LOCAL

- Join TMG & WIN7 vào domain TECHNETVIETNAM.LOCAL

III. Thực hiện:

1. Thực hiện Windows Update

Chạy Windows Update để cài đặt các bản cập nhật & bản vá lỗi cần thiết trước khi cài đặt Forefront TMG Server

- Trên TMG Server, logon TECHNETVIETNAM\Administrator, chay file autorun.hta trong source cài đặt Forefront TMG 2010

- Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Windows Update

- Sau khi update thành công, chọn Install updates

- Trong hộp thoại Windows Update, chọn I accept the license terms, chọn Finish

- Sau khi cài đặt Windows Update thành công, chọn Restart now

2. Chạy Preparation Tool

Chạy Preparation Tool để cài đặt các Roles & Features cần thiết cho Forefront TMG Server

-Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Preparation Tool

-Trong hộp thoại Welcome, chọn Next

- Trong hộp thoại License Agreement, đánh dấu chọn I accept the terms of the License Agreements, chọn Next

- Trong hộp thoại Installation Type, chọn Forefront TMG services and Management, chọn Next

- Sau khi cài đặt thành công, chọn Finish

3.Cài đặt Forefront TMG Server

- Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Installation Wizard

- Trong hộp thoại Welcome, chọn Next

- Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

- Trong hộp thoại Customer Information, khai báo Product Serial Number, chọn Next

- Trong hộp thoại Setup Scenarios, chọn Forefront TMG services and Management

- Trong hộp thoại Installation Path, khai báo đường dẫn cài đặt, chọn Next

- Trong hộp thoại Define Internal Network, chọn Add để khai báo subnet sử dụng trong hệ thống nội bộ

- Trong hộp thoại Address, chọn Add Adapter...

- Trong hộp thoại Select Network Adapters, đánh dấu chọn card LAN (Card LAN là card mạng kết nối và nội bộ), chọn OK

- Trong hộp thoại Define Internal Network, kiểm tra subnet nội bộ là 172.16.1.0-172.16.1.255, chọn Next

- Trong hộp thoại Services Warning, chọn Next

- Trong hộp thoại Ready to Install the Program, chọn Install

- Sau khi cài đặt thành công,chọn Finish

- Vào Start\All Programs\Microsoft Forefront TMG Management, mở Forefront TMG Management

- Trong hộp thoại Getting Started Wizard, chọn Configure network settings

-Trong hộp thoại Welcome, chọn Next

- Trong hộp thoại Network Template Selection, chọn Edge firewall, chọn Next

- Để chỉ định card mạng kết nối vào nội bộ, trong hộp thoại Local Area Network (LAN) Setting, chọn card LAN, chọn Next

- Để chỉ định card mạng kết nối ra Internet,trong hộp thoại Internet Settings, chọn card EXT, chọn Next, chọn Finish

- Trong hộp thoại Getting Started Wizard, chọn Configure system settings

- Trong hộp thoại Welcome, chọn Next

- Trong hộp thoại Host Identification, bảo đảm khai báo đúng thông tin của máy TMG Server như trong hình bên dưới, chọn Nex, chọn Finish

- Trong hộp thoại Getting Started Wizard, chọn Define deployment options

- Hộp thoại Welcome, chọn Next

-Trong hộp thoại Microsoft Update Setting, chọn use the Microsoft Update service to check for updates, chọn Next

-Trong hộp thoại Forefront TMG Protection Features Setting, khai báo License cho NIS & Web Protection như hình bên dưới, đánh dấu chọn Enable Mailware Inspection & Enable URL Filtering, chọn Next

- Hộp thoại NIS Sgnature Update Settings, giữ nguyên cấu hình mặc định, chọn Next

- Hộp thoại Customer Feedback, chọn No, I don't want to participate, chọn Next

- Hộp thoại Microsoft Telemetry Reporting Service, chọn chế độ Basic, chọn Next & Finish

- Trong hộp thoại Getting Started Wizard, bỏ dấu chọn Run the Web Access wizard, chọn Close

- Kiểm tra cài đặt Forefront TMG Server thành công

4. Cài Service Pack 1 cho TMG 2010

Download : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c

Cài đặt Forefront Threat Management Gateway (TMG) 2010 - Phần I: Tổng quan Forefront TMG 2010

2010-12-07T03:04:00Z

Forefront Threat Management Gateway (TMG) 2010 là phiên bản "Firewall" mới của Microsoft thay thế cho sản phẩm ISA Server 2006. Với những tính năng bảo mật hệ thống được nâng cao đáng kể, các bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) & các mối đe dọa khác.

Bài viết bao gồm 3 phần:

Phần I: Tổng quan Forefront TMG 2010

Phần II: Cài đặt Forefront TMG Server

Phần III: Cấu hình Auto Discovery & triển khai Forefront TMG Client

-------------

Phần I: Tổng quan Forefront TMG 2010

A. Các chức năng chính của Forefront TMG 2010

B. Các tính năng nổi trội của Forefront TMG 2010

Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG

ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền internet

Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web

URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat...

HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate

E-mail protection subscription service: tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange

Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật

Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN

Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP

Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit

C. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010

D. Bảng so sánh 2 phiên bản Forefront TMG Standard & Enterprise

E. Các yêu cầu phần cứng khi cài đặt ForeFront TMG

F. Các yêu cầu phần mềm khi cài đặt ForeFront TMG

- Windows Roles and Features
+ Network Policy and Access Server
+ Active Directory Lightweight Directory Services (ADLDS)
+ Network Load Balancing (NLB)

- Microsoft® .NET 3.5 Framework SP1

- Windows Web Services API

G. Download Microsoft Forefront TMG 2010

- Forefront Threat Management Gateway (TMG) 2010 Standard Edition and Enterprise Edition

- Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 (SP1)

Tool check Hyper V – SecurAble

2010-12-07T02:52:09Z

Windows IT Pro mới giới thiệu tool check Hyper V, có lẽ sẽ chính xác hơn các tool khác trước đây.

SecurAble probes the system's processor to determine the presence, absence and operational status of three modern processor features:

64-bit instruction extensions,
Hardware support for detecting and preventing
the execution of code in program data areas, ... and
Hardware support for system resource “virtualization.”

Download : http://www.grc.com/files/securable.exe