Suite de la découverte de la beta 3 de Forefront Threat Management Gateway (TMG) avec cette fois-ci l’utilisation de l’assistant de création des stratégies d’accès Web (Web Access Policy Wizard)

Celui-ci est d’ailleurs proposé une fois la configuration initiale effectuée (cf. post précédent : http://blogs.technet.com/stanislas/archive/2009/06/23/installation-de-forefront-tmg-beta-3-en-images.aspx)

OK, l’assistant est là pour vous aider à créer des règles basiques d’accès Web avec des fonctions d’inspection du contenu (antivirus HTTP), de filtrage de contenu (URL Filtering), de cache (ça c’est une fonction historique depuis Proxy Server) voire d’inspection des flux sortants HTTPS

L’assistant propose la création d’une règle de blocage des accès Web vers une liste de catégories de sites sans rapport direct avec la majorité des besoins d’accès Internet pour les employés des entreprises.

Dans les catégories proposées par défaut, on trouve des catégories assez classiques : haine raciale, drogue, pornographie…

L’assistant propose ensuite de faire l’analyse anti-virale du contenu téléchargé sur HTTP

Ensuite l’assistant permet de choisir si on autorise ou pas les utilisateurs de l’entreprise à accéder à Internet sur des sites sécurisés (HTTPS). En général c’est assez rare de bloquer complètement les accès en HTTPS. Aussi, il est possible (recommandé) d’autoriser ces accès mais avec une grosse nouveauté : la possibilité d’inspecter les flux sortants HTTPS

Ici, il faut choisir si on souhaite notifier ou pas les utilisateurs de l’inspection de leur connexions HTTPS. Attention pour cela, il faut que le poste client ait le client Firewall de Forefront TMG installé

Le serveur Forefront TMG va agir ici comme un “Man-in-the-Middle” et va générer à la volée des certificats pour les présenter aux postes clients. Il va donc agir comme une petite “autorité de certification” et nécessite donc d’être trusté par les postes clients. Dans cet exemple, j’ai choisi un certificat autogénéré par Forefront TMG qui doit être déployé sur les postes. Dans la vraie vie (= dans un environnement de production), je recommande très très fortement l’usage d’un certificat émis par une autorité de certification interne et trustée par l’ensemble des postes de l’entreprise.

Comme dans ISA Server 2004/2006, il est possible d’activer ou pas les fonctionnalités de cache. Dans ce cas, il faut définir la taille et l’emplacement des fichiers de cache sur la machine

Pour l’exemple j’ai créé ici un cache de 10 Mo (c’est vraiment pour l’exemple :-))

L’assistant est maintenant terminé, on clique sur Finish avant de confirmer l’application des règles générées par l’assistant

On clique sur Apply pour appliquer les nouvelles règles d’accès Web générées par l’assistant

Là c’est comme pour les versions antérieures (ISA 2004/2006), la modification des propriétés du cache implique un redémarrage du service Firewall

L

Voilà la configuration a été mise à jour dans le serveur ADAM local, reste à vérifier que le firewall est bien synchronisé avec cet annuaire LDAP

C’est vert donc tout va bien :-)

Les règles générées par l’assistant sont visibles dans la branche “Web Access Policy” mais aussi dans la branche “Firewall Policy” sous la forme de plusieurs règles regroupés dans un groupe de règles (ça c’est nouveau dans Forefront TMG).

A bientôt pour la suite :-)