Cài đặt và cấu hình TMG theo kiểu 3-Leg

TMG là thế hệ kế tiếp của phần mềm bảo mật quen thuộc ISA. TMG hỗ trợ nhiều mô hình kiến trúc bảo mật Edge Firewall, 3-Leg Perimetre, Back-to-Back,… Hôm nay, tôi giớI thiệu cho các bạn mô hình 3-Leg Perimeter.

Chúng ta sẽ đặt ra một ngữ cảnh để thực tập:

Tại công ty Contoso có mô hình mạng như sau:

image

Chuẩn bị phần cứng thử nghiệm.

Các bạn chuẩn bị một con Server (HOST):

CPU Support VT/ AMD-V (Hỗ trợ công nghệ ảo hóa)
RAM 8GB
HDD 160GB
NIC 1GB
OS
  • WINDOWS SERVER 2008 R2:
    Cài OS, Add Hyper-V Role.
  • Update windows
  • Vào Hyper-V Manager: tạo 3 Virtual Network Internal, DMZ, ISP (loạI Internal), External (LoạI External)

 

Lần lượt tạo các máy ảo theo danh sách sau:

VM Name Server Name OS Name RAM NIC NAME ROLE
DC1 DC1 Windows Server 2003 R2 512 Internal Domain Controller, DNS
SQL1 SQL1 Windows Server 2003 R2 1024 Internal Database Server
̣(DC Memeber)
EX-BACK EX-BACK Windows Server 2008 R2 1024 Internal Exchange Server: HUB+CAS+MB
(DC Member)
TMG TMG Windows Server 2008 R2 2048 Internal,DMZ,EXTERNAL Firewall
(DC Member)
WEB1 WEB1 Windows Server 2003 R2 1024 DMZ SHAREPOINT
(DC Memeber)
EX-EDGE EX-EDGE Windows Server 2008 R2 1024 DMZ EXCHANGE EDGE
(WORKGROUP)
ISP-SIM ISP-SIM Windows Server 2003 R2 ̀512 External, ISP ISP Simulator
Client1 Client1 Windows XP SP3 256 ISP Client Test

 

Địa chỉ IP của các Server:

INTERNAL PERIMETER (DMZ)
DC1
IP: 10.0.0.2/24
GW:10.0.0.1
DNS:10.0.0.2
SQL
IP: 10.0.0.4/24
GW:10.0.0.1
DNS:10.0.0.2
WEB
IP: 10.0.1.4/24
GW:10.0.1.1
DNS:10.0.0.2
EX-EDGE
IP: 10.0.1.5/24
GW:10.0.1.1
DNS:10.0.0.2

Địa chỉ con TMG:

INTERNAL DMZ EXTERNAL
IP: 10.0.0.1/24
GW:
DNS:10.0.0.2
IP: 10.0.1.1/24
GW:
DNS:10.0.0.2
IP: 192.168.1.1
GW:192.168.1.254
DNS:192.168.1.254

Địa chỉ IP của con ISP-SIM

EXTERNAL ISP
IP: 192.168.1.254
GW: 192.168.1.1
DNS:
IP: 172.16.0.1
GW:
DNS: 172.16.0.1

A – CÀI ĐẶT VÀ CẤU HÌNH TMG

Tải TMG Eval về máy HOST, và Build thành file TMG.iso (các bạn có thể dùng tiện ích Do-ISO)

Các bạn Mount file TMG.iso vào máy TMG. Tến hành càI đặt TMG:

Tại màn hình đầu tiên:

image

Các bạn chọn ‘Run Preparaion Tool’, nó sẽ tự add và config các phần liên quan trước khi cài đặt.

imageimage

Sau khi xong, các bạn chọn ‘Run Installation Wizard’ để bắt đầu quá trình càI đặt TMG:

image

Các bạn chọn như trên màn hình, làm theo các bước, cho đến:

image

Các bạn chọn card Internal, quá trình càI đặt mắt khoảng 15 phút.

Sau khi càI đặt xong, tạI màn hình chính của TMG:

image

Các bạn chọn: Launch Getting Started Wizard

image

Các bạn chọn: Configure network settings

image

Nhấn Next:

image

Chọn kiểu 3–Leg perimeter, nhấn Next

image

Chọn Card nốI vào mạng Internal, nhấn Next

image

Chọn card nốI ra Internet, nhấn Next

image

Chọn card nốI vào vùng DMZ, và ở bước này tôi chọn Private vì lý do vùng DMZ dùng IP private., nhấn Next

image

Các nhấn Finish. Sau khi xong, bạn sẽ quay về màn hình sau:

image

Các bạn chọn ‘Configure system settings’

image

Nhấn Next

image

Nhấn Next

image

Và nhấn Finish. Bạn sẽ quay về màn hình sau để tiếp tục:

image

Nhấn vào ‘Define deployment options”

image

image

image

image

image

image

image

Các bạn đớI giây lát, và sau cùng bạn sẽ thấy màn hình config wizard hoàn tất như sau:

image

Nhấn Close, để kết thúc quá trình configure.

B – TẠO RULE

Bây giờ tiến hành tạo các Rule:

1. Tạo Rule cho phép WEB (vùng DMZ) có thể Join vào Domain trong vùng Internal:

Name

Intradomain Communications

Action

Allow

Protocols

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

DNS

Kerberos-Adm(UDP)

Kerberos-Sec(TCP)

Kerberos-Sec(UDP)

LDAP

LDAP (UDP)

LDAP GC (Global Catalog)

RPC (all interfaces)

NTP (UDP)

Ping

From

Perimeter

To

Internal

Users

All

Schedule

Always

Content Types

All content types

Join máy WEB vào Domain, chuẩn bị càI SharePoint. (Tiến hành Join domain như bình thường)

2. Tạo Rule cho phép WEB có thể truy cập vào SQL trong vùng Internal:

Name

Intradomain Communications

Action

Allow

Protocols

Microsoft SQL Server
Microsoft SQL (TCP)
Microsoft SQL (UDP)

From

WEB Server

(Bạn định nghĩa một Network Object:

Name: WEB server

IP: 10.0.1.4)

To

SQL Server

(Bạn định nghĩa một Network Object:

Name: SQL server

IP: 10.0.0.4)

Users

All

Schedule

Always

Content Types

All content types

Màn hình TMG sẽ tương tự như sau:

image

C – CÀI ĐẶT VÀ CẤU HÌNH SHAREPOINT TRÊN CON WEB SERVER

Để đơn giản, chúng ta sẽ càI đặt WSS 3.0 theo cơ chế Farm vớI back-end Database là con SQL server trong vùng Internal.

1. CàI đặt WSS 3.0:

Các bạn tải WSS 3.0 tại đây: download (106MB)

CàI đặt:

image

Chọn Advanced

image

Chọn Web Front-End, nhấn Install Now

image

image

2. Cấu hình:

image

image

Tùy chọn này sẽ kết nốI vào SQL server bên trong để tạo Farm

image

Cung cấp thông tin của SQL server và tàI khoản có quyền tạo database trên SQL server, nhấn Next

image

image

image

image

Nhấn Finish. Xong quá trình configure SharePoint Farm.

3. Tạo một Site để chuẩn bị Publish

image

image

Chọn ‘Create a new web application’ và làm theo các bước tuần tự để tạo.

image

4. Hiệu chỉnh tên cho site để chuẩn bị Publish

Cửa sổ Central Administration –> Operations chọn Alternate Acces mappings

image

Chọn tiếp ‘Edit Public URLs’

image

Trong mục Internet gõ vào http://www.contoso.com, nhấn Save.

image

D – PUBLISHING SHAREPOINT TRÊN CON WEB SERVER

image

image

image

image

image

image

image

image

image

image

image

image

image

image

image

image

image

Test Rule sẽ báo lỗI, chúng ta hiệu chỉnh lạI WEB Listener:

image

image

Bây giờ Test Rule lạI bạn sẽ thấy OK

image

̀̀5. Thử truy cập từ một máy Client trên Internet

  • Cấu hình máy ISP Server:
Bước NộI dung
1 Cài đặt DNS:
Tạo FLZ: contoso.com
Tạo A Host record: www trỏ về IP 192.168.1.1 (IP ngoàI của TMG1)
Tạo RLZ:
192.168.1.1 –> www.contoso.com
2 CàI đặt DHCP
3 Cài đặt Routing and Remote Access
image
image
  • KhởI động máy Client1, kiểm tra đã nhận được IP từ DHCP của ISP

E – CÀI ĐẶT VÀ CẪU HÌNH EXCHANGE SERVER

F – PUBLISHING OWA

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

w

Connecting to %s

%d bloggers like this: