1. “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT
Microsoft Forefront TMG - Part 2 - Secure NAT - Proxy - Firewall Client
Ở bài trước chúng ta đã hoàn tất việc cài đặt Forefront TMG trong bài này chúng ta sẽ tìm hiểu về các giao thức truyền tải mà
Forefront TMG tương tác các máy trong Internal Network
Để cho đơn giản tôi sử dụng mô hình 2 máy và mạng tôi đã lên Domain là gccom.net trong đó:
- PC01 là máy Windows Server 2008 sẽ cài đặt Forefront TMG đã Join vào Domain
- PC02 vừa là máy DC Server 2008 vừa đóng vai trò là máy Client để Test
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên ftmg.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Sau khi cài đặt FTMG thành công bạn vào máy PC02 ping thử IP máy PC01 & IP mạng ngoài sẽ thấy không thể Ping được
Tuy nhiên với máy FTMG thì ping rất tốt
1 of 16

2. Như vậy ngay sau quá trình cài đặt FTMG sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta (172.16.2.0/24)
Bây giờ tôi sẽ tiến hành cấu hình FTMG sao cho các máy trong mạng có thể thấy được nhau. Với Forefront TMG chúng ta có 3
giải pháp để các máy trong mạng 172.16.2.0/24 truy cập được Internet:
Dạng Ưu điểm Nhược điểm
Secure NAT
Kiểm soát được tất cả mọi
Port ra vào hệ thống
Không kiểm soát được User,
trang web...
Proxy
Kiểm soát được mọi User,
trang web...
Chỉ kiểm soát được các Port
443,80,21
Firewall Client
Kiểm soát được tất cả mọi
Port ra vào hệ thống
Kiểm soát được mọi User,
trang web...
Chỉ hỗ trợ các hệ điều hành
Windows
1/ Secure NAT
Bạn vào Start -> Programs -> Microsoft Forefront TMG -> Forefront TMG Management -> Forefront TMG
Trong màn hình chính của chương trình Forefront TMG nhấp phải vào Firewall Policy chọn New -> Access Rule
2 of 16

3. Đặt tên cho Rule này ví dụ là Internal VS Local Host
Trong Rule Action chọn Allow
Trong Protocol bạn chọn All outbound traffic và nhấp Next
3 of 16

4. Tại cửa sổ Malware Inspection bạn nhấp chọn Enable malware inspection for this rule để áp đặt chế độ bảo vệ khỏi virus,
malware cho từng Rule
Đây là một tính năng mới trong Forefront TMG
Tại Access Rule Sources nhấp Add
Chọn Internal, Local Host trong thư mục Networks
4 of 16

5. Màn hình sau khi hoàn tất
Tại Access Rule Destinations Add Internal, Local Host vào
Nhấp Next
5 of 16

6. Trong Filrewall Policy ta thấy xuất hiện Rule Internal VS Local Host mới được tạo nhấp Apply để thực thi Rule này
Bây giờ tại máy PC02 bật DNS lên bạn sẽ thấy xuất hiện thêm Host (A) của FTMG
Ra Command DOS ping thử máy FTMG thấy rất tốt
6 of 16

7. Tuy nhiên trên thực tế người ta không tạo Rule này mà sử dụng Remote Management Computers có sẵn của FTMG
Tại Firewall Policy tôi xóa Rule Internal đi và chọn Tab Toolbox bên phải, chọn tiếp Computer Sets -> Remote
Management Computers
Trong màn hình Remote Management Computers Properties nhấp Add:
Computer: chỉ tác động duy nhất lên một máy nào đó
Address Range: chỉ tác động lên một dãy IP nào đó
Subnet: tác động lên nguyên cả Subnet
7 of 16

8. Mặc định trong Remote Management Computers Properties, FTMG chỉ Add các IP của chính mình mà thôi vì vậy ta phải
Add thêm các IP hoặc Network mới
Trong ví dụ này tôi sẽ tác động lên nguyên Subnet là 172.16.2.0/24 nên tại đây tôi chọn Subnet
Đặt tên cho Rule này là Subnet 172.16.2.0/24 và nhập nguyên Subnet là 172.16.2.0/24 vào sau đó nhấp OK
Tại máy PC02 ra Command DOS ping thử máy FTMG thấy rất tốt
8 of 16

9. Như vậy đến đây các máy trong mạng LAN có thể ping thấy nhau nhưng các máy này không thể ra Internet được ngoại trừ
máy Forefront TMG vì Rule mà ta vừa tạo chỉ cho phép truy cập qua lại với nhau giữa các máy trong Internal & Local Host
mà thôi.
Vì vậy để các máy trong Internal có thể truy cập được Internet tại đây bạn phải Add thêm một Rule nữa tương tự với Rule
Internal với thuộc tính như sau:
Tại Access Rule Sources Add Internal, Local Host vào
Tại Access Rule Destinations Add External vào
9 of 16

10. Thử truy cập Internet từ các máy Client thấy rất tốt
2/ Proxy
Với cách cấu hình cho các máy truy cập được Internet thông qua Proxy ta phải cấu hình lại IP của mạng chúng ta
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên ftmg.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS 203.162.4.191
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
Preferred DNS 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings
Nhập IP của máy PC01 vào ô Address và Port là 8080
10 of 16

11. Trở lại IE truy cập thử Internet thấy rất tốt
3/ Firewall Client
Với Firewall Client bạn sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt
một công cụ Firewall Client cho tất cả các máy tính trong mạng phần mềm này có kèm theo trong bộ cài đặt Forefront TMG.
Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên FTMG.gccom.net server.gccom.net
Card Lan
IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default
gateway
192.168.1.1
Preferred DNS
Card Cross
IP Address 172.16.2.1 172.16.2.2
Subnet Mask 255.255.255.0 255.255.255.0
Default
gateway
172.16.2.1
Preferred DNS 172.16.2.2 172.16.2.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua
Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
Tại máy PC02 chọn thư mục Client trong Folder cài đặt Forefront TMG nhấp chọn Setup.exe để cài đặt
11 of 16

12. Tại cửa sổ ISA Server Computer Selection bạn chọn Connect to this ISA Server computer và nhập IP của máy Forefront
TMG
Sau khi quá trình cài đặt hoàn tất bạn thấy tại System tray của các máy Client xuất hiện Icon của Firewall Client
Tại máy PC02 mở Internet Explorer -> Tools -> Intrenet Options chọn tiếp Tab Connections
Nhấp chọn LAN Settings sẽ thấy Windows tự động chèn các giá trị này vào đây mà ta không cần phải nhập thủ công như làm
tại Proxy
12 of 16

13. Trở lại IE truy cập thử Internet thấy rất tốt
Đến đây chúng ta đã hoàn tất quá trình cài đặt FTMG và cấu hình cho các máy trong mạng có thể ra được Internet.
Và mọi công việc trên máy FTMG coi như xong, nếu bạn có nhu cầu truy cập FTMG để chỉnh sửa gì thêm trên thực tế bạn phải
hạn chế đến mức tối đa việc ngồi làm việc trực tiếp trên máy cài Forefront TMG mà dùng một máy Client bất kỳ cài công cụ
Forefront TMG Management để quản lý FTMG mà thôi.
Tại máy Client bạn Logon vào User Administrator của máy và chạy chương trình Setup Forefront TMG lên chọn Install
Forefront TMG
Trong màn hình Setup Scenarios bạn chỉ chọn Install Forefront Threat Management Gateway Management only mà thôi
chọn tiếp Next để cài đặt
13 of 16

14. Màn hình Component Selection nhấp Next
Sau khi cài đặt hoàn tất , tiếp đến chạy Forefront TMG Management tại máy Client lên nhấp phải vào Microsoft Forefront
Threat Management Gateway và chọn Connect to
14 of 16

15. Nhập IP hoặc tên Domain của máy Forefront TMG vào
Giữ nguyên giá trị mặc định trong màn hình Forefront TMG Credentials
15 of 16

16. Đến đây Forefront TMG Management sẽ hiển thị các công cụ y như trên máy Forefront TMG cho bạn quản lý
OK mình vừa trình bày xong phần Secure NAT - Proxy - Firewall Client - Microsoft Forefront Threat Management Gateway trong
70-557 của MCSA.
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học
Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
16 of 16