1 / 48

Lecture TMG

Lecture TMG. วิทยากร : สุวิทย์ สายพันธ์ Instructor: Suwit Saiphan. TMG Firewall Internal network (192.168.0.x) External network (202.44.33.x). 11. WEB. 3. AD / Web. FTP. 192.168.0.253. 12. 2. NPS Radius. 4. DNS. 1. DNS. 192.168.0.250. TMG. 5. 9. C1 ( SecureNAT ). 7.

olina
Download Presentation

Lecture TMG

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Lecture TMG วิทยากร: สุวิทย์ สายพันธ์ Instructor: Suwit Saiphan

  2. TMG FirewallInternal network (192.168.0.x)External network (202.44.33.x) 11 WEB 3 AD / Web FTP 192.168.0.253 12 2 NPS Radius 4 DNS 1 DNS 192.168.0.250 TMG 5 9 C1 (SecureNAT) 7 C1 Access Rule 6 10 C2 (WebProxy) 8 C2 Access Rule

  3. Prepare Network • เครื่อง TMG • Windows Server 2008 R2 Enterprise Edition 1. Set IP Address ของ Network Card ทั้งสอง • External IP: 202.44.33.x • GW: ไม่ต้องใส่ • DNS: 202.44.33.200 2. Internal: 192.168.0.x • GW: ไม่ต้องใส่ • DNS: ไม่ต้องใส่ 3. ทดสอบการ Ping C:\> ping <IP ของ WEB External> C:\> ping <IP ของ AD Internal> C:\> ping <IP ของ Client Internal>

  4. Prepare Network • เครื่อง AD (Notebook) • Windows Server 2008 R2 Enterprise Edition 1. Set IP Address ของ Network Card • IP: 192.168.0.x • GW: IP ของ TMG (Internal) • DNS: ไม่ต้องใส่ 2. ทดสอบการ Ping C:\> ping <IP ของ TMG Internal>

  5. Prepare Network • เครื่อง Client (Notebook) • Windows XP / 7 1. Set IP Address ของ Network Card • IP: 192.168.0.x • GW: IP ของ TMG (Internal) • DNS: ไม่ต้องใส่ 2. ทดสอบการ Ping C:\> ping <IP ของ TMG Internal> C:\> ping <IP ของ AD Internal>

  6. ผลการ Ping • แสดงว่า เครื่องปลายทางมีอยู่จริง Network • ใช้งานได้ • แต่เครื่องนี้ทำการบล็อกการ Ping ไว้

  7. ผลการ Ping • แสดงว่า เครื่องปลายทางมีอยู่จริง Network • ใช้งานได้เป็นปกติ

  8. ผลการ Ping • แสดงว่า เครื่องปลายทางไม่มี • แสดงว่า เครื่องปลายทางมี แต่ไม่เปิดเครื่อง • แสดงว่า เครื่องปลายทางมี แต่สาย Network ไม่ได้เชื่อมต่อ

  9. Prepare ชื่อเครื่อง • เครื่อง TMG • Rename ชื่อเครื่องเป็น TMGxxx • (Restart เครื่อง ) • เช็คการเชื่อมต่ออินเตอร์เน็ตของ Interface ที่เป็น 202.44.33.0

  10. ติดตั้ง TMG • เครื่อง TMG • ใส่แผ่นติดตั้ง TMG • Run Preparation Tool • Run Installation Wizard • Configuration Wizard • Enable Remote Desktop ในตัว TMG

  11. อธิบายส่วนประกอบต่างๆใน TMG Management • Dashboard • Monitoring • Firewall Policies • Networking • System • Log & Report • Trouble Shooting

  12. สร้างบัญชีรายชื่อบนเครื่อง TMG • User01 / password • User02 / password • User03 / password

  13. SecureNAT Client • Run บน OS อะไรก็ได้ (Windows / Linux / Mac) • ต้องกำหนดค่า Default Gateway มาที่ IP ของ TMG WebProxy Client • Run OS อะไรก็ได้ (Windows / Linux / Mac) • ไม่จำเป็นต้องกำหนดค่า Gateway มาที่ IP ของ TMG • ต้องกำหนดค่า Proxy Setting ใน Browser 192.168.0.x / 8080

  14. TMG Client • Run บน Windows เท่านั้น • ไม่จำเป็นต้องกำหนดค่า Gateway มาที่ IP ของ TMG • จะมีการ Configure Web Browser ให้อัตโนมัติ • จะมีการ Authentication User

  15. สร้าง Firewall Policies • Allow Internal  External ใช้ Protocol HTTP  All Users • Allow Internal  External ใช้ Protocol HTTP  กำหนด User Set / Exceptions • Allow Internal  External ใช้ Protocol FTP  All Users 4. Allow Internal  DNS Server ใช้ Protocol DNS  All Users

  16. เตรียมเครื่อง AD / DNS / WebServer AD • เครื่อง AD • Windows Server 2008 R2 • Promote AD (DemoXX.com) • ตรวจเช็คเรื่อง Network Setting • IP: 192.168.0.X • GW: 192.168.0.X (IP ของ TMG) • DNS: 192.168.0.X (IP ของตัวเอง – 127.0.0.1) • Forwarder: 202.44.33.200 TMG DNS 192.168.1.100

  17. การคอนฟิกให้ Authen ผ่าน NPS • Configure ที่เครื่อง AppServer(NPS/AD) - Add Role AD (Active Directory Service) - DCPromo.exe - Add Users / Group - Add Role Network Policies Service - เปิดไปที่ Network Policies Service - กำหนด RADIUS Client (IP ของ TMG) - กำหนด Network Policies (User Group) - กำหนด การ Authentication (Unencrypted) - กำหนด Shared secret key/password

  18. การคอนฟิกให้ Authen ผ่าน NPS 2. Configure ที่เครื่อง TMG (RADIUS Client) - Networking  Networks - เลือกที่ Internal  Double Click เปิดการคอนฟิก - เลือกที่ Web Proxy  Authentication - เลือก Method (RADIUS) - เลือก Select Domain (ใส่ domain name) xxxx.com / xxxx.go.th - เลือก RADIUS Server (IP ของ AppServer/NPS) - กำหนด Shared secret key/password ให้ตรงกับที่ NPS

  19. การคอนฟิกให้ Authen ผ่าน NPS 2. Configure ที่เครื่อง TMG (Access Rule) - Firewall Policies - New Access Rule (Copy ก็ได้) - กำหนด User namespace ชี้ไปที่ RADIUS (NPS) โดยเลือกให้เป็น All user in namespace 3. ทดสอบการ Authen ผ่าน RADIUS Server - เครื่อง Client  Web browser  ชี้ค่า Proxy Server ไปที่ TMG (Port 8080) - Popup ให้ใส่ User/Password username@domainname.xxx password

  20. การคอนฟิก DNS ภายใน • เครื่อง AppServ(DNS Role) • กำหนดให้ DNS Forward Queries ไปยัง External DNS • กำหนด IP address ของ External DNS • กำหนด Gateway ชี้ไปที่ IP ของ TMG (Internal) • กำหนด DNS ไปที่ 127.0.0.1 • เครื่อง Client • กำหนดให้ชี้ DNS ไปที่ Internal DNS (AppServ/DNS) • กำหนด Gateway ชี้ไปที่ IP ของ TMG(Internal) • เครื่อง TMG • สร้าง Access Rule ที่ Allow Protocol (DNS/DNS Server) • จาก Internal DNS(192.168.0.x)  External DNS • Condition (All Users)

  21. การทำ Web Publishing • เครื่อง AppServer (WebSever) - Network setting (Internal IP/GW/DNS) - Add Role (WebServer-IIS) - Add Role Services (ตามใจชอบ) - Configure IIS (ทำ Web page) File  default.htm <HTML> <Title>This is my web site</Title> <Body>Hello, this is my web site</Body> </HTML> - ทำการทดสอบใช้ WebBrowser ที่เครื่อง Webserver / TMG http://<ip ของ webserver internal>

  22. การทำ Web Publishing 2. เครื่อง TMG (FirewallWeb Publishing) - Network setting (Internal IP/GW/DNS) - สร้าง Access Rules  Web Publishing - No authentication 3. เครื่อง Client (202.44.33.x) IP: 202.44.33.x (x ตัวเลขเดิม) Mask: 255.255.255.0 GW: 202.44.33.x (IP ของ TMG External) DNS: 202.44.33.200 - Edit C:\windows\system32\drivers\etc\hosts 202.44.33.xxx www.demoXXX.com - Web browser ให้เอาค่า Proxy Setting ออก - หากใช้ Client remote ไป TMG ให้เพิ่ม system policy อนุญาตให้ Client สามารถ RD - โดยใส่เป็น IP External ของเครื่อง Client

  23. การบล็อก URL และ Domain • เครื่อง TMG • บล็อก URL • สร้าง URL Set • http://www.bad.com/* • บล็อก Domain • สร้าง Domain Name Set • *.bad.com กำหนดค่า URL Set / Domain Set ไว้ที่ Exception (To)

  24. การกำหนด Content Type (HTTP) • ที่ตำแหน่งของ Access Rule HTTP • เลือกไปที่ Tab-Content Type • All Content Type • Select Specified type • Application • Image • Audio… • ต้องการเลือกให้เช็คถูกหน้ารายการที่ต้องการ

  25. การกำหนด Logging และ Reporting • Logging • เก็บไว้ที่ Database (Local DB/External DB) • เก็บไว้ที่ File (C:\Program File\TMG\Logs) • Filtering เพื่อกรองข้อมูลในการดู Log • Reporting • เป็นการดึงข้อมูลจาก Logging ใน DB มาทำการสร้างเป็น Report ในรูปแบบของ HTML • Create One-Time Report • Create Recurring Report Job

  26. Export / Import Policies • Export Policies เพื่อ backup policies • Import Policies เพื่อ restore policies

  27. เครื่อง Windows 7 InDNS FW ExDNS • Network: 10.10.1.x • GW: 10.10.1.x (IP ของ TMG) • DNS: เลือกอันใดอันหนึ่ง 1. 10.10.1.x (DNS InternalForwarder) 2. 192.168.1.100 • DNS Internal –> Enable Forwarder: 192.168.1.100 • สร้าง Access Rule ที่อนุญาตให้ DNS ออกไปยัง ExternalDNS • c:\nslookup www.google.com

  28. เครื่อง Windows 7 - SecureNAT 192.168.1.x (11-40) TMGxxx 192.168.1.100 10.10.1.x (11-40) Clientxxx (Win7) HTTP ให้ลบ Proxy Setting ออก ใน Browser ที่ใช้งาน Client IP Setting - SecureNAT 10.10.1.x (41-71) 255.0.0.0 GW: 10.10.1.x (IP ของ TMG Internal) DNS: 10.10.1.x (IP ของ TMG Internal, DNS role, Forworder (192.168.1.100)

  29. เครื่อง Windows 7 - WebProxyClient 192.168.1.x (11-40) TMGxxx 192.168.1.100 10.10.1.x (11-40) Clientxxx (Win7) HTTP Client IP Setting – WebProxyClient 10.10.1.x (41-71) 255.0.0.0 GW: 10.10.1.x (IP ของ TMG Internal) Browser Setting (IE-Internet Option) Proxy Server – IP ของ TMG (10.10.1.x) – Port 8080 Browse Internet Popup – Username/Password

  30. ให้ C1,C2 ออกไปใช้งาน HTTP,FTP ได้ผ่าน TMG Firewallโดย Internal network (192.168.0.x)External network (202.44.33.x) 12 3 AD / Web DNS 4 2 1 DNS TMG 5 9 C1 (SecureNAT) 11 7 C1 Access Rule 6 10 C2 (WebProxy) 8 C2 Access Rule

  31. Final Workshop • ต้องการอนุญาตผ่าน Firewall ไปใช้งาน Web site ข้างนอกโดยมีเงื่อนไขต่อไปนี้ 1.1 อนุญาตเฉพาะกลุ่มผู้ใช้ที่ชื่อ Students ใน Active Directory 1.2 โดยมีรายชื่อผู้ใช้คือ s_somchai, s_somying 1.3 ไม่อนุญาตกลุ่มผู้ใช้ที่ชื่อ Exceptions ใน AD 1.4 โดยมีรายชื่อผู้ใช้คือ s_somwang, s_sombat 1.5 กำหนดช่วงเวลาที่ใช้งานใน TMG เฉพาะเวลา 0800-1700 น. 1.6 ไม่อนุญาตเข้าใช้ URL (www.adaults.com) 1.7 ไม่อนุญาตใช้งานใน Domain (expections.com) ทุก servers 1.8 ให้ใช้ DNS ภายในเท่านั้น ที่ออกไปใช้งานผ่าน Firewall

  32. 1.1 สร้าง Group Student บน AD

  33. 1.2 สร้าง Users ใน Group Students

  34. 1.3 สร้าง Group Exceptions ใน AD

  35. 1.4 สร้าง Users ใน Group Exceptions

  36. 1. สร้าง Access Rule ที่ Firewall

  37. 1. สร้าง Access Rule ที่ Firewall

  38. 1. กำหนด User Group ใน RADIUS

  39. 1. กำหนด Authentication Method

  40. 1. กำหนด Encryption Method

  41. 1.5 กำหนดช่วงเวลาใช้งาน

  42. 1.6 Block URL

  43. 1.7 Block Domain

  44. 1.8 Allow เฉพาะ DNS (Internal) สามารถไปยัง DNS (External)

  45. 1.8 Allow เฉพาะ DNS (Internal) สามารถไปยัง DNS (External)

  46. 1.8 Allow เฉพาะ DNS (Internal) สามารถไปยัง DNS (External)

  47. 1.8 Allow เฉพาะ DNS (Internal) สามารถไปยัง DNS (External)

  48. ทดสอบที่เครื่อง Client • กำหนดค่า Web Browser  Proxy Server • ให้ชี้ TMG (Firewall) • http://www.hello.com  สามารถเข้าได้ • http://www.adaults.com  ไม่สามารถเข้าได้ • http://www.exceptions.com  ไม่สามารถเข้าได้ • User: s_somchai, s_somying  สามารถใช้ได้ • User: s_somwany, s_sombat  ไม่สามารถใช้ได้ • 0800-1700 จะสามารถใช้งานได้

More Related