MICROSOFT FORFRONT
Như vậy với Rule Web Group KD này ta có thể hiểu như sau:
Đồng ý cho các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Allow
Web, quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal
Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cách Double click lên Rule Web Group KD và chọn Tab
Schedule
Nhấp New để tạo một Schedule mới và đặt tên là Set Times
Tiếp tục chọn Active như hình bên dưới
13 of 25
Màn hình sau khi hoàn tất
Như vậy với tùy chọn này các User thuộc Group Kinh Doanh chỉ được truy cập các trang Web thuộc danh sách Allow
Web vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ 2->thứ 6 mà thôi
Bây giờ tại máy PC02 tôi đăng nhập với user gccom1 và tiến hành test thử xem thế nào.
Đầu tiên tôi vào trang Web kythuatvien.com sẽ nhận thấy thông báo từ FTMG là "Forefront TMG đã từ chối yêu cầu
này", vì gccom1 thuộc Group Kinh Doanh và truy cập trang Web không nằm trong danh sách Allow Web
14 of 25 Tuy nhiên nếu tôi truy cập các trang gccom.net & google.com.vn thì rất tốt vì các trang này thuộc danh sách Allow
Web
Logoff gccom1 và Logon lại với Administrator sẽ thấy không truy cập được bất cứ trang Web nào
15 of 25
12 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2373 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Microsoft forfront, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Như vậy với Rule Web Group KD này ta có thể hiểu như sau:
Đồng ý cho các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Allow
Web, quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal
Tiếp theo ta cần giới hạn thời gian sử dụng của Group này bằng cách Double click lên Rule Web Group KD và chọn Tab
Schedule
Nhấp New để tạo một Schedule mới và đặt tên là Set Times
Tiếp tục chọn Active như hình bên dưới
13 of 25
Màn hình sau khi hoàn tất
Như vậy với tùy chọn này các User thuộc Group Kinh Doanh chỉ được truy cập các trang Web thuộc danh sách Allow
Web vào cột mốc thời gian là từ 8h->12h & 14h->18h của các ngày thứ 2->thứ 6 mà thôi
Bây giờ tại máy PC02 tôi đăng nhập với user gccom1 và tiến hành test thử xem thế nào.
Đầu tiên tôi vào trang Web kythuatvien.com sẽ nhận thấy thông báo từ FTMG là "Forefront TMG đã từ chối yêu cầu
này", vì gccom1 thuộc Group Kinh Doanh và truy cập trang Web không nằm trong danh sách Allow Web
14 of 25
Tuy nhiên nếu tôi truy cập các trang gccom.net & google.com.vn thì rất tốt vì các trang này thuộc danh sách Allow
Web
Logoff gccom1 và Logon lại với Administrator sẽ thấy không truy cập được bất cứ trang Web nào
15 of 25
Điều này hiển nhiên vì cho đến thời điểm này ta chỉ cho phép các User thuộc Group Kinh Doanh truy cập Web mà thôi còn
với các User khác thì vẫn chưa được phép.
Như vậy tôi sẽ tạo một Rule mới sao cho các Users thuộc Group Sep sẽ truy cập được mọi trang Web và mọi giao thức
Tại Active Directory Users and Computers tạo một Group là Sep. Tiến hành Add Administrator vào Group Sep
Tại PC01 bật Forefront TMG lên tạo tiếp một Access Rule mới đặt tên là Sep
Và có thuộc tính như sau:
Rule Action: Allow
Protocol: All outbound traffic
Access Rule Sources: Internal
16 of 25
Access Rule Destinations: External
User Sets: Group Sep
(Thao tác tương tự như tạo Web Group KD)
Màn hình sau khi hoàn tất
Như vậy với Rule Sep này ta có thể hiểu như sau:
Đồng ý cho mọi giao thức (tất cả các Port) theo một chiều từ Internal sang danh sách External, quyền này được gán lên
mọi User có trong Group Sep của mạng Internal
Tại máy PC02 Logon với Administrator sẽ thấy truy cập được mọi trang Web
17 of 25
Vậy là từ nãy đến giờ ta chỉ tìm hiểu về các thức tạo các Rule nhưng với Action là Allow mà thôi bây giờ ta sẽ tạo các
Rule nhưng với Action là Deny
Tạo một Access Rule mới với tên là Cam KD truy cap Web den
Tại Rule Action không chọn Allow nữa mà chọn Deny
18 of 25
Tại cửa sổ Protocol ta chỉ mở 3 Port là Port 80,Port 443,Port 21 để truy cập các dịch vụ HTTP, HTTPS, FTP mà thôi.
Trong Access Rule Sources chọn duy nhất 1 thuộc tính là Internal
Tiếp đến trong Access Rule Destinations ta không chọn thuộc tính là External mà tạo một URL Set mới đặt tên là Deny
Web
Và tạo một danh sách các trang Web mà bạn cấm các User truy cập vào đây trong ví dụ này giả sử tôi định nghĩa trang
sexviet.com là Web đen và tôi muốn ngăn chặn nó.
Trong User Sets chọn Group KD
Màn hình sau khi hoàn tất
19 of 25
Như vậy với Rule Cam KD truy cap Web den này ta có thể hiểu như sau:
Ngăn cấm các giao thức HTTP, HTTPS, FTP (các Port 80,443,21) theo một chiều từ Internal sang danh sách Deny Web,
quyền này được gán lên mọi User có trong Group Kinh Doanh của mạng Internal
Như vậy đến đây ta nhận thấy có sự mâu thuẫn trong Group Kinh Doanh:
- Bị cấm truy cập trang google.com.vn trong Rule Cam KD truy cap Web den
- Được phép truy cập trang google.com.vn trong Rule Web Group KD
Tuy nhiên trong Forefront TMG các Rule nào có thuộc tính Order càng nhỏ thì được ưu tiên cao hơn hay nói cách khác
các Rule nào nằm trên sẽ được ưu tiên hơn là các Rule nằm bên dưới.
Như vậy trong này do Rule Cam KD truy cap Web den có độ ưu tiên cao hơn Rule Web Group KD nên các Users trong
Group Kinh Doanh sẽ không truy cập được trang google.com.vn
Bạn có thể thay đổi thứ tự các Rule này bằng cách chọn Move up/Move down, trên thực tế ngoài Rule DNS Query được
nằm trên cùng các Rule Deny ta nên cho quyền được ưu tiên cao hơn các Rule Allow
Tại máy PC02 Logon vào gccom1 sẽ thấy không thể truy cập trang sexviet.com được nữa
20 of 25
Màn hình Web Browser sẽ hiện lên trang Web thông báo từ Forefront TMG cho biết nội dung mà bạn không thể truy cập
Web được. Tuy nhiên trang này chỉ có các chuyên viên IT thì mới hiểu là gì, trên thực tế với người dùng bình thường họ
không biết là chúng ta đã ngăn cấm việc truy cập này.
Như vậy để cho đơn giản hơn khi người dùng truy cập những trang Web cấm ta nên Redirect đến một trang Web khác mà
nội dung sẽ thông báo chi tiết hơn cho người dùng hiểu rõ vấn đề.
Giả sử tại máy PC01 tôi đã cài IIS và tạo một trang Web Default có nội dung như hình bên dưới
Trở lại màn hình Forefront TMG nhấp phải vào Rule Cam KD truy cap Web den và chọn Properties
21 of 25
Chọn tiếp Tab Action -> Deny
Nhấp chọn Redirect HTTP requests to this Web page và nhập địa chỉ máy Forefront TMG vào
Trở lại máy PC02 Logon với gccom1 và truy cập lại trang google.com.vn sẽ thấy Web Browser không hiển thị trang báo
lỗi mặc định của Forefront TMG nữa mà đã tự chuyển về trang Web mà ta tạo lúc nãy
Tiếp theo ta sẽ Modify Rule Sep sao cho các User trong Group Sep được phép truy cập mọi trang Web (đã làm lúc nãy)
nhưng không được xem ảnh, video, file... mà chỉ được xem văn bản Text thuần túy mà thôi.
Tại PC01 nhấp phải vào Rule Sep chọn Properties
22 of 25
Chọn Tab Content types
Chọn tiếp Selected content types và chọn 3 tùy chọn trong này là:
- Documents
- HTML Documents
- Text
Màn hình sau khi hoàn tất
23 of 25
Trở lại PC02 Logon với Administrator vào một trang Web tùy ý sẽ thấy hình ảnh, video... không được hiển thị mà chỉ có
thuần túy Text mà thôi
24 of 25
Các file đính kèm theo tài liệu này:
- Microsoft forfront.pdf