درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
محمد نصیری
امتیاز: 612546
رتبه:1
376
1847
842
11327
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت هفتم – ایجاد کردن یک Web Access Rule

تاریخ 63 ماه قبل
نظرات 9
بازدیدها 2975
تا این لحظه شما با پیکربندی تنظیمات مربوط به Secure NAT و Web Proxy و حتی TMG Firewall Client از سمت سرور آشنا شدید . اما همه این تنظیمات بدون نوشتن Rule برای دسترسی به اینترنت بی فایده است ، این تنظیمات هیچ ارتباطی با نحوه عبور ترافیک از فایروال ندارند و نحوه گذر کردن ترافیک در فایروال TMG توسط Firewall Access Rule ها یا قوانین دسترسی فایروال تعیین می شود. این قوانین از نظر تئوری در همه فایروال های دنیا یکسان است اما از لحاظ پیاده سازی ممکن است در هر فایروالی متفاوت باشند ، در این آموزش به روش ایجاد کردن Access Rule در TMG 2010 می پردازیم . بصورت کلی یک Access Rule یا یک Firewall Rule تابع قوانین زیر می باشد :

  1. نام Access Rule ( یک اسم که هویت Rule را برای کاربر نمایش می دهد و اصلا برای سیستم مهم نیست )
  2. عکس العمل یا Action ( فعالیتی که فایروال در قبال ترافیک انجام می دهد که یا Allow است یا Deny )
  3. نوع پروتکل یا Protocol ( نوع ترافیکی که از فایروال رد و بدل می شود را نمایش می دهد )
  4. مبدا یا Source ( محلی که ترافیک از آن به سمت فایروال ارسال می شود )
  5. مقصد یا Destination ( محلی که ترافیک به سمت آن ارسال می شود )
  6. کاربران یا Users ( تعیین اینکه چه کسانی قادر به عبور دادن ترافیک از فایروال هستند)
  7. زمان یا Time ( تعیین اینکه ترافیک عبوری در این Rule در چه زمانی حق عبور از این فایروال را دارد )

آموزش ایجاد کردن Access Rule در فایروال TMG 2010


1-حالا که کمی با مفهوم Rule آشنا شدید به سراغ ایجاد کردن Rule در TMG می رویم ، برای اینکار شما بعد از اینکه مشابه تصویر زیر وارد کنسول TMG شدید از قسمت چپ تصویر بر روی گزینه Web Access Policy که به معنی سیاست دسترسی به وب است ( خیلی بی معنی میشه ترجمش همون بهتر از فارسی استفاده نکنیم ) ، همانطور که در وسط تصویر مشاهده می کنید Rule پیشفرض این مجموعه همه ترافیک را Deny کرده است و هیچ ترافیکی فعلا از TMG عبور نمی کند ، برای ایجاد یک Access Rule کافیست از قسمت Tasks در سمت راست تصویر که با رنگ قرمز مشخص شده است بر روی Create Access Rule کلیک کنید :

نحوه ایجاد Rule در فایروال TMG 2010


2-گام بعدی همانطور که در تصویر زیر مشاهده می کنید انتخاب یک اسم مناسب برای این Access Rule است . توجه داشته باشید که اسم برای کاربر مدیر سیستم مهم است نه برای نرم افزار فایروال ، نرم افزار فایروال TMG هیچ درکی از اسامی ندارد و این نامگذاری صرفا برای به وجود آمدن یک درک مفهومی کلی از Rule هایی است که در این فایروال نوشته شده اند. بعضا ممکن است در یک فایروال چندین و چند Access Rule وجود داشته باشد و تمایز بین آنها برای کاربر سخت باشد. در اینجا ما می خواهیم اجازه دسترسی به کاربران شبکه داخلی به شبکه اینترنت که همان شبکه خارجی است را بدهیم بنابراین اسم Rule را Allow Access From Internal To External می گذاریم. بر روی Next کلیک کنید.

نامگذاری Web Access Rule ها در فایروال TMG 2010


3-صفحه بعدی به عنوان Rule Action است بدین معنا که فایروال قرار است در قبال ترافیکی که این Rule تعیین می کند چه اقدامی انجام دهد ، ترافیک را مسدود کند یا Deny و یا اینکه اجازه عبور به ترافیک را بدهد که Allow می شود . در سناریوی ما می خواهیم به یک کاربر خاص اجازه دسترسی به اینترنت از طریق پروکسی سرور را بدهیم بنابراین گزینه ما Allow خواهد بود. اما برای من همیشه جای سئوال بوده است که قانون در همه فایروال ها یکی است و همه فایروال ها باید همه پورت ها و ترافیک ها را غیر از ترافیکی که نیاز است مسدود یا Block کنند ، خوب منطقی نیست که بگوییم همه پورت ها باز باشد اما فقط این ترافیک بسته باشد ! خوب بنده نمی خواهم این منطق را زیر سئوال ببرم اما خوب بد نیست که بدانید. در اینجا بعد از انتخاب Allow بر روی Next کلیک کنید.

Action فایروال TMG در Web Access Policy


4-تصویری که در پایین مشاهده می کنید در واقع نوع ترافیکی که قرار است این Rule به آن اعمال شود را تعیین می کند. قاعدتا در شبکه های کامپیوتری نوع ترافیک بر اساس نوع پروتکل شبکه ای که این ترافیک استفاده می کند تعیین می شود و شما می توانید با کوچکترین پروتکل های موجود در شبکه که بصورت لیست شده در TMG وجود دارند اینکار را انجام دهید. ما در اینجا می خواهیم کلیه پروتکل های شبکه بتوانند از اینترنت استفاده کنند و به همین دلیل گزینه All outbound traffic را انتخاب می کنیم تا به همه پروتکل ها اجازه استفاده از اینترنت را بدهد.

تعیین نوع ترافیک عبوری از فایروال TMG در Web Access Policy


5-اگر در همان تصویر بالا بر روی گزینه Ports کلیک کنید با تصویر زیر مواجه خواهید شد. در این قسمت شما می توانید Source Ports را مشخص کنید. Source Ports به معنای پورت های مبدا می باشد. شما می توانید به TMG بگویید که در صورتیکه ترافیک ورودی به TMG از این آدرسهای مبدا باشد اجازه عبور از فایروال را داشته باشد و در صورتیکه جزوی از این آدرس های مبدا نباشد اجازه عبور نخواهد داشت. شما می توانید هم پورت ها را بصورت تکی معرفی کنید و هم اینکه بصورت محدوده ای از پورت ها مشخص کنید. فعلا ما قصد محدود کردن ترافیک از طریق آدرس های مبدا را نداریم بنابراین بر روی OK در صفحه Source Ports کلیک می کنیم.

تعیین آدرس ها و پورت های مبدا در TMG 2010 در قسمت Source Ports


6-برای اینکه مطمئن شوید TMG برای شما لیستی از پروتکل های قابل استفاده را ز قبل تهیه کرده است در قسمت This rule applies to گزینه Selected Protocols را انتخاب کنید ، در همین حین دکمه Add فعال می شود ، بر روی آن کلیک کنید تا تصویر زیر را مشاهده کنید. در این قسمت شما می توانید پروتکلی که قصد اضافه کردن به Rule را دارید را انتخاب کنید البته در شرایطی که Rule های سرسختانه ای مد نظر شما باشد . تصویر زیر فقط جهت نشان دادن این موضوع به شما می باشد ، Close را کلیک کنید و بر روی Next کلیک کنید .

تعیین نوع پروتکل های عبوری از فایروال TMG در Web Access Wizard


7-صفحه بعدی در خصوص فعال بودن سرویس شناسایی بدافزارهای موجود در ترافیک ورودی و خروجی یا Malware inspection می باشد. همانطور که قبلا هم اشاره کردیم با توجه به سرعت محدود اینترنت ایران معمولا این گزینه را غیر فعال می کنیم هر چند که هسته اصلی این قابلیت باید در کنسول TMG فعال باشد تا شما بتوانید در این Rule از آن استفاده کنید ، در هر صورت در این قسمت بر روی گزینه Do not enable malware inspection for this rule مشابه تصویر زیر کلیک می کنیم و بر روی Next کلیک می کنیم.

فعال کردن Malware Inspection در فایروال TMG 2010


8-تصویر بعدی از شما مبدا یا Source ترافیک را می خواهد که ما آن را به شکل From یعنی از می شناسیم . به معنی اینکه ترافیک ورودی از چه مبدا ای وارد این سرور می شود. برای اینکه بتوانید براحتی با این Rule کار کنید کافیست بر روی دکمه Add کلیک کنید تا بصورت خودکار و طبقه بندی شده TMG به شما شبکه هایی که شناسایی شده اند را نمایش دهد، اگر به خاطر داشته باشید در همان ابتدای این سری آموزشی شبکه های Internal و External را به TMG معرفی کردیم. با توجه به اینکه ترافیک ما می خواهد از شبکه داخلی به سمت شبکه خارجی برود در اینجا به عنوان آدرس مبدا از قسمت Networks گزینه Internal را انتخاب کرده و بر روی Add کلیک کرده و سپس مشابه شکل زیر Next را بزنید.

تعیین مبدا عبور ترافیک یا From در فایروال TMG 2010


9-صفحه بعدی از شما مقصد ترافیک یا Destination را می خواهد که ما آن را به شکل به یا TO می شناسیم . به معنی اینکه ترافیک وارد شده از مبدا قرار است به چه سمتی هدایت شود و به کدام سمت باید مسیریابی شود . این قسمت نیز بسیار ساده است کافیست بر روی دکمه Add کلیک کنید و مطابق تصویر زیر مقصد ترافیک که در اینجا شبکه خارجی است را انتخاب کنیم ، در اینجا با توجه به سناریوی موجود بر روی External کلیک می کنیم ، سپس گزینه Add را زده و بر روی Next کلیک می کنیم.

تعیین مقصد عبور ترافیک از فایروال TMG 2010 در قسمت TO


10-صفحه بعد از ما کاربرانی که اجازه استفاده از این Rule را دارند مشخص می کند. دقت کنید که وجود کاربر صرفا در Web Proxy و Firewall Client معنی دارد و در حالت Secure NAT ما چیزی به نام کاربر نداریم زیرا درکی از کاربر در این حالت وجود ندارد. اگر در این قسمت دستکاری انجام ندهید و بر روی Next کلیک کنید ، در حالت پیشفرض گزینه All Users قرار دارد که تمامی کاربران را شامل می شود ، در این حالت شما Secure NAT راه اندازی کرده اید ، اما اگر می خواهید کاربران خاصی را اجازه دسترسی بدهید بر روی دکمه Add کلیک کنید.

مشخص کردن کاربران پروکسی سرور در tmg 2010


11-با توجه به اینکه ما می خواهیم کاربر خاصی را برای این موضوع تعیین کنیم بر روی گزینه New کلیک می کنیم و تصویر زیر مشاهده می شود . در اینجا شما با یک ویزارد مواجه می شوید که در آن شما می توانید برای TMG یک مجموعه کاربر یا یک گروه ویندوزی یا غیر ویندوزی و ... را تعیین کنید. ما در اینجا می خواهیم کاربری به نام Unity که بر روی همین سرور TMG بصورت Local اضافه شده است را اضافه کنیم ، ترجیحا برای اینکه درک بهتری از گروه ایجاد شده داشته باشیم یک نام مناسب نیز به این گروه می دهیم ، با توجه به اینکه در سناریو ما کاربران قرار است از پروکسی سرور استفاده کنند در قسمت خالی ITPRO Proxy Users را نوشته و بر روی Next کلیک می کنیم.

مشخص کردن کاربران پروکسی سرور در tmg 2010


12-همانطور که تصویر زیر مشاهده می کنید برای اضافه کردن کاربران به این گروه از قسمت Add گزینه Windows Users and Groups را انتخاب می کنیم ، شما می توانید از محل های مختلفی کاربران خود را اضافه کنید از جمله اینکه می توانید از یک Directory Service مثل LDAP یا یک RADIUS سرور برای اضافه کردن کاربران استفاده کنید ، با توجه به اینکه کاربران ما در ویندوز تعریف شده اند در این قسمت بر روی Windows Users and Groups کلیک می کنیم.

مشخص کردن کاربران پروکسی سرور در tmg 2010


13-بعد از اینکه کاربر یا گروه مورد نظر خود را پیدا کردید آن را انتخاب کنید و به لیست ویزارد اضافه کنید و Next و سپس Finish را بزنید. همانطور که در تصاویر زیر نیز مشاهده می کنید ابتدا یک گروه در لیست گروه های TMG به همان اسمی که در ابتدای ویزارد تعیین کردیم اضافه می شود ، کافیست آن را انتخاب کرده و بر روی Add کلیک کنیم و بعد وارد ادامه ویزارد ایجاد Web Access Rule می شویم با این تفاوت که اینبار ما کاربر خاصی را اضافه کرده ایم ، ترجیحا در چنین مواقعی گروه All Users را Remove کنید تا در لیست کاربران وجود نداشته باشد ، با وجود این گروه Rule شما رسما بلا استفاده خواهد بود. در ادامه ویزارد بر روی Next کلیک کنید.

مشخص کردن کاربران پروکسی سرور در tmg 2010


مشخص کردن کاربران پروکسی سرور در tmg 2010


مشخص کردن کاربران پروکسی سرور در tmg 2010


14-همانطور که در تصویر زیر نیز مشاهده می کنید خلاصه ای از کلیه عملیاتی که در ویزارد Web Access Rule انجام شده است به شما نمایش داده می شود ، بد نیست یک مرور کلی بر روی این خلاصه داشته باشید تا در صورت مشکل بتوانید آن را تصحیح کنید. سپس بر روی دکمه finish کلیک کنید تا Web Access Rule شما به درستی ایجاد شود.

روش اضافه کردن Rule در فایروال TMG 2010


15-مجددا به قسمت Web Access Policy موجود در کنسول TMG بروید ، همانطور که مشاهده می کنید Rule شما ایجاد شده است و بالاتر از Rule پیشفرض با اولویت بالاتری در فایروال مستقر شده است ، اما هنوز Rule ما اعمال نشده است ، برای اینکه Rule را اعمال کنید بر روی دکمه Apply کلیک کنید ، توضیحاتی در خصوص کاری که این Rule انجام می شود در قسمت Description قرار بدهید و مجددا Apply را کلیک کنید ، البته الزامی برای وارد کردن توضیحات وجود ندارد اما خیلی منظم کار شما انجام می شود. در نهایت Rule شما ایجاد شده است و آماده به کار می باشد.

مشاهده Web Access Rule ها و اضافه کردن Rule در TMG 2010


خلاصه


خوب در این آموزش شما با نجوه ایجاد کردن یک Web Access Rule در فایروال TMG آشنا شدید ، این ویزارد نصب برای همه کارهای دیگر در TMG نیز استفاده می شود پس یاد بگیرید که به درستی از آن استفاده کنید. در این آموزش شما می توانید براحتی تنظیمات مربوط به Seucre NAT و Web Proxy را انجام دهید. حالا شبکه شما اینترنت دارد و آن هم از نوع پروکسی ، کافیست در آدرس پروکسی سروری که در سمت کلاینت شبکه قرار می دهید آدرس سرور به همراه شماره پورت 8080 را بدهید و بعد از وارد کردن رمز عبور و نام کاربری معتبر در Rule فایروال به اینترنت دسترسی پیدا کنید ، امیدوارم مورد توجه شما دوستان قرار گرفته باشد ، بی صبرانه منتظر انتقادات و پیشنهادات شما در خصوص این سری آموزش ها هستم. ITPRO باشید.

نویسنده : محمد نصیری
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
برچسب ها
ردیف عنوان
1 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت اول - معرفی توپولوژی ها
2 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت دوم – نصب TMG
3 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت سوم–انواع اشتراک گذاری اینترنت
4 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت چهارم - پیکربندی اولیه
5 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت پنجم – راه اندازی پروکسی سرور
6 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت ششم – راه اندازی پروکسی سرور
7 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت هفتم – ایجاد کردن یک Web Access Rule
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • با سلام و تشکر از استاد عزیز....
    این بخش ، قسمت اخر آموزش TMG بود؟
  • قرار بود نباشه اما فعلا قسمت آخری که در وب سایت قرار داده همین هست .
  • با سلام
    ممنون از مقاله های خوبتون
    یک سوال داشتم
    روی کاینتها https باز میشه اما روی خود سرور TMG سایتهای https باز نمیشه ، برای رفع مشکل چکار کنم؟

    با تشکر
  • لطفا از گزینه سوال بپرسید استفاده کنید
  • بابت این مجموعه آموزشی از شما سپاس گذارم .
  • با سلام خدمت شما و تشکر ازتون
    آیا در این سری آموزش نحوه اکانتیگ و نحوه ی حجم اختصاص دادن اینترنت و تنظیم پهنای باند برای هر یوزر و خلاصه اکانتینگ اینترنت برای کاربران (کاربرای اکتیو دایرکتوری) هم توضیح داده شده؟
  • نحوه اتصال به دومین گفته شده با توجه به اینکه سیستم باید عضو دومین باشه اما توصیه نمیشه اینکار چون قابل اعتماد نیست .
  • ""سیستم باید عضو دومین باشه اما توصیه نمیشه اینکار چون قابل اعتماد نیست ""
    این قسمت رو متوجه نشدم جناب مهندس نصیری
    شایدم منظور سوالمو بد رسوندم!!
    منظورم اینه که در نرم افزار tmg میشه و در این سری از آموزش ها این آموزش هم داده شده که برای هر یوزر محدودیت اینترنت قرار داد که بعوان مثال یوزر X بتونه در روز 50 مگ استفاده کنه و ....؟
  • بله ... تست حجم و مصرف هم گرفته شده

برای ارسال نظر ابتدا به سایت وارد شوید