firewall microsoft forefront tmg 2010
TRANSCRIPT
FIREWALL
MICROSOFT FOREFRONT TMG 2010
JULIAN CASTAÑEDA
GESTION DE REDES DE DATOS
455596
INSTRUCTORA
ISABEL CRISTINA YEPES
SENA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
MEDELLIN
2014
INTRODUCCION
La seguridad en las redes de datos se ha vuelto una polémica buscando la
manera de lograr una red 100% segura, lo que es imposible, pero existen varios
métodos para aumentar la seguridad casi hasta un 99%, uno de los más comunes
es la intervención de servidor firewall que solo nos permitirá las conexiones que
deseemos dejándonos filtrar por protocolos, ip etc.
TOPOLOGIA
REGLAS:
LAN a DMZ: ICMP, DNS, HTTP & FTP.
LAN a INTERNET: ICMP, DNS, HTTP & FTP.
DMZ a INTERNET: HTTP, FTP & DNS.
DMZ a LAN: Nada
INTERNET a DMZ: HTTP & DNS.
INTERNT a LAN: Nada
INSTALACION Y CONFIGURACION DE FOREFRONT TMG 2010
Iniciamos ejecutando la herramienta de preparación.
Damos click en Next.
Aceptamos lo términos de licencia y damos click en Next.
Seleccionamos la opción de la imagen y damos click en Next.
Esperamos mientras se instalan las características requeridas.
Cuando termine, damos click en Finish para iniciar el Asistente de instalación.
Damos click en Siguiente.
Aceptamos los términos de contrato de licencia y damos click en Siguiente.
Agregamos el nombre de usuario y nuestra organización, damos click en
Siguiente.
Seleccionamos la carpeta donde lo deseamos instalar y damos click en Siguiente.
A continuación damos click en Agregar…
Seleccionamos Agregar adaptador…
Allí seleccionamos las interfaces que vamos a utilizar.
Vemos que se agregaron correctamente, damos click en Aceptar.
Damos click en Siguiente.
Iniciamos la instalación de Forefront TMG dando click en Instalar.
Esperamos un buen rato mientras se instala…..
Al finalizar la instalación, marcamos la casilla y damos click en Finalizar.
Si nos aparece el siguiente mensaje…
Significa que tenemos una versión de internet Explorer que no es compatible con
la aplicación, para continuar vamos a Panel de control, Programas, Ver
Actualizaciones instaladas…
Alli buscamos Internet Explorer N, damos click derecho y desinstalar.
Seleccionamos Yes
Y reiniciamos.
Despues de reiniciar, abrimos el administrador de Forefront y nos aparecerá el
siguiente asistente, damos click en Configurar opciones de red.
Y se nos inicia el siguiente asistente, damos click en Next
Aca seleccionamos nuestra topología, en este caso Perimetral de 3 secciones.
Alli seleccionamos nuestro adaptador LAN y agregamos la IP si es necesario,
damos click en Next.
Aca seleccionamos el adaptador conectado a la red WAN, agregamos la IP si es
necesario y damos click en Next.
Por ultimo seleccionamos el adaptador conectado a la DMZ, según el caso
seleccionamos si tiene una IP publica o privada.
Al finalizar damos click en Finish.
Ahora vamos a la opción 2, Configurar opciones del sistema.
Comenzamos, damos click en Next.
Cambiamos el nombre del equipo y lo agregamos al dominio si deseamos, en este
caso lo dejamos por defecto, damos click en Next.
Al finalizar damos click en Finish.
Y se inicia el otro asistente, damos click en Next.
Si desean usan el servicio de actualizaciones, en caso le decimos que no y damos
click en Next.
Continuamos dando click en Yes.
Aca dejamos todo por defecto y damos click en Next.
Si desea participar en el programa de Microsoft damos click en Si, en este caso le
decimos que no deseamos participar.
Seleccionamos Ninguno y damos click en Next.
Al finalizar este asistente de implementación, damos click en Finish.
Al finalizar nos aseguramos de tener marcada la casilla de la esquina inferior
izquierda y damos click en Cerrar.
A continuación se iniciara otro asistente de Directivas de acceso web.
Depende de nuestras necesidades seleccionamos una opción, en este caso le
decimos que no.
Como no deseamos bloquear nada lo dejamos por defecto y damos click en Next.
Si deseamos inspeccionar el malware le decimos que si, en este caso le decimos
que No, y damos click en Next.
Según las necesidades seleccionamos la apropiada y damos click en Next.
Aca agregamos la caché que deseemos, damos click en Apply y Ok.
Damos click en Next.
Al finalizar el asistente damos click en Finish.
Vamos al Forefront y damos click en Aplicar.
Nos aparecerá el siguiente mensaje, seleccionamos la opción dos y damos click
en Aceptar.
Según la topología la LAN debe tener acceso al protocolo HTTP, HTTPS, DNS, I
CMP & FTP del servidor de la DMZ y de INTERNET.
Vemos que la primera regla solo permite HTTP & HTTPS de LAN a DMZ e
INTERNET, vamos a modificarla de tal manera que nos permite todos los
protocolos que necesitamos.
Para esto vamos a la regla, la seleccionamos, damos click derecho y propiedades.
Damos click en Agregar.
Desplegamos la que dice Todos los protocolos, allí buscamos y agregamos los
que necesitamos y damos click en cerrar.( HTTP, HTTPS; DNS, FTP, ICMP (ICMP
lo encontramos como PING)).
Damos click en Apply y Ok.
Para crear la regla que permite a la red DMZ salir a Internet solo con los
protocolos HTTP,DNS
Se inicia el asistente, agregamos el nombre de la regla y damos click en Next.
Seleccionamos permitir y damos click en Next.
Igual que la anterior regla damos click en agregar seleccionamos los protocolos
necesarios y damos click en Next.
Seleccionamos la opción que dice que no y damos click en Next.
Ahora vamos a seleccionar el origen de los paquetes que vamos a permitir, para
esto vamos a Agregar.
Damos click en Agregar y seleccionamos la red perimetral, la agregamos y damos
click en Next.
Como seleccionamos el origen vamos a seleccionar el destino de los paquetes
que es la red Externa.
Damos click en Next.
Lo dejamos por defecto y damos click en Next.
Al finalizar el asistente damos click en Finish.
´
Ahora vamos a publicar nuestro servidor web (HTTP), para esto vamos al menu de
la derecha, y seleccionamos Publicar sitio web.
Agregamos el nombre de la regla y damos click en Next.
Seleccionamos permitir y damos click en
Seleccionamos la primera opción y damos click en en Next.
Seleccionamos la segunda opción y damos click en Next.
Agregamos el dominio y damos click en Next.
Lo dejamos por defecto y damos click en Next.
Agregamos el dominio donde dice nombre público y damos click en Next.
Agregamos una nueva escucha de sitio web, damos click en Nueva.
Se inicia el asistente de la escucha web, agregamos el nombre y damos click en
Next.
Marcamos la segunda opción y damos click en Next.
Agregamos la opción que dice todas las redes y damos click e Next.
Buscamos la opción Sin autenticación y damos click en Next.
Click en Next.
Al finalizar el asistente para crear la escucha web damos click en Finish.
Ahora seleccionamos la escucha web que acabamos de crear y damos click en
Next.
Seleccionamos la opción que se muestra en la imagen y damos click en Next.
Lo dejamos por defecto y damos click en Next.
Al finalizar el asistente damos click en Finish.
Ahora vamos a publicar el servidor de dominio (DNS)
Agregamos el nombre de la política y dar click en Next.
Allí agregamos la IP del servidor que vamos a publicar.
Seleccionamos el protocolo. (DNS)
Acá seleccionamos la externa y las otras si lo deseamos.
Al finalizar el asistente damos click en Next.
Luego de haber creado las reglas necesarias damos click en Aplicar para aplicar
todos los cambios que hemos realizado
Aceptar…
Aceptar
Ahora crearemos una regla de NAT, para esto vamos a Redes.
Recordemos que el NATEO lo haremos para que accedan a nuestro servidor por
la IP publica del Firewall.
Y vamos a la pestaña Reglas de red.
Vamos al menú derecho y seleccionamos la opción Crear una regla de red.
Se inicia el asistente, agregamos el nombre y damos click en Next.
Agregamos como origen la red perimetral (DMZ).
Y como destino la red Exterior (INTERNET)
Seleccionamos la opción de Traducción de direcciones de red (NAT) y damos click
en Next.
Seleccionamos la segunda opción y seleccionamos la IP del adaptador conectado
a la WAN.
Al finalizar el asistente damos click en Finish.
Seleccionamos la regla, vamos al menú de la derecha y damos click en Subir las
reglas seleccionadas.
Hasta que quede en el segundo lugar ya que el orden influye en su función.
Al final las reglas nos deben quedar así.