Bloqueando acesso a sites baseado em categorias no Forefront TMG 2010

Introduo Neste tutorial irei mostrar com criar uma regra no Forefront TMG 2010 bloqueando acesso a sites baseados na URL Categories. Com a nova funcionalidade URL Filter, o TMG agora possui um dos sonhos mais antigos dos administradores do ISA Server, o TMG agora possui uma categoria de URLs e um filtro de acesso web mais refinado, a guia Access Policy trata exclusivamente deste novo recurso de filtro de contedo. 1. Conhecendo a guia Web Access Policy: Quando voc abre a console de gerenciamento do Forefront TMG, existem vrias guias uma delas que mostrarei aqui a Web Access Policy, o lugar onde configuramos toda parte de URL Filter (filtro de acesso web). Para quem ainda no est familiarizado com ferramentas de controle de contedo pode ter como ideia algumas solues existentes no mercado, tipo: SurfControl, DansGuardian(usado DansGuardian no Squid) entre outros concorrentes. Pois , agora o Forefront TMG possui esta funcionalidade, porm o funcionamento diferente das demais. A figura abaixo mostra guia Web Access Policy indicando duas opes onde voc pode criar as regras de acesso web, com algumas diferenas entre elas:

Neste tutorial utilizei a opo Create Access Rule para criao da regra, porm as duas opes podem ser usadas para criar uma regra de Web Access Policy: Configure Web Acess Policy: Ele lhe dar vrias opes de configurao para regra a ser criada como mostra a figura abaixo:

Create Access Rule: Esta opo a forma mais convencional usada pra criar a regra de acesso web, lembra muito uma criao de regra usada na guia Firewall Policy. Esta ser a opo que usarei neste tutorial. Criando a regra bloqueando acesso as URL Categories 1. Com o console de gerenciamento do Forefront aberta, clique em Web Access Policy >> Tasks (lado direito da Console) >> Create Access Rule. D um nome a regra a ser criada e clique em Next para continuar:

2. Em New Access Rule Wizard ser necessrio definir a ao da regra que estamos criando, como o objetivo aqui criar uma regra negando acesso, ento escolha esc Deny e clique em Next para continuar:

3. Neste passo pra quem est acostumado criar uma rega liberando acesso apenas web (HTTP/HTTPS) no ISA Server 2004/2006 ir notar uma diferena na verso Forefront TMG criando uma regra usando a guia Web Access Polocy, a diferena que ele j adiciona pra voc os protocolos referente a navegao que HTTP/HTTPS. Como o nosso caso, usaremos a sugesto e clique em Next para continuar:

4. Agora neste passo iremos definir a origem do trafego originado originado em que se aplicar esta regra. Clique em Add e selecione a origem, no exemplo usei Internal (toda rede interna), clique em Next para continuar:

5. Agora iremos definir quais sero as categorias que iremos bloquear o acesso: 1. Na tela Access Rule Destinations clique em Add. 2. Em seguida o menu Add Network Entities ser apresentado, navegue entre as opes e expanda URL Categories e escolha quais sero as categorias a serem bloqueadas. bloqueadas

3. Clique em Close para fechar. 4. Ciente das categorias escolhidas, clique em Next para continuar.

6. Neste passo iremos dizer a quem se aplica esta regra, no meu exemplo eu defini que a regra ser aplicada a todos os usurios da minha rede, ento mantive o padro do Wizard. Clique em Next para continuar:

7. Na prxima tela ser apresentado um resumo da regra que criamos, clique em Finish para concluir. 8. Agora iremos aplicar as configuraes da regra que acabamos de criar no Forefront TMG, clique em Apply para salvar:

Figura 9: Aplicando as configuraes no Forefront TMG.

9. Em Configuration Change Description voc pode optar por descrever as mudanas que voc acabou de realizar no TMG, esta funo interessante quando se tem mais de um administrador gerenciando o seu TMG na rede, e, tambm no deixa de ser uma forma de documentar. Clique em Apply para continuar:

10. Na prxima tela clique em OK para finalizar. Criando a regra permitindo o acesso a internet Neste tutorial eu tambm criei uma regra que permite o acesso a internet, mais a regra foi posicionada abaixo da regra que nega acesso as categorias proibidas que configurei nos passos acima. Para criar a regra permitindo o acesso internet basicamente o mesmo processo. 1. Eu nomeei a regra que libera acesso a internet como Libera acesso a web. 2. Em rule action ao invs de deny eu escolhi a opo Allow. 3. Neste passo ir aparecer uma tela que no foi apresentada nos passos acima, a de habilitar ou no a funo de Malware Inspection, no meu exemplo eu no habilitei. 4. Na tela Access Rule Destination eu defini que o trafico destinado era a External (internet). 5. Em Users Set utilizei o mesmo, All Users. Abaixo a figura mostra as duas regras que criei e posicionamento posicionam delas:

A figura abaixo mostra o menu das categorias que fica em URL Categories da guia Toolbox:

Concluso Neste tutorial mostrei como criar uma regra bloqueando o acesso internet baseado em categorias de url existentes no Forefront TMG (URL Categories) e criando outra regra permitindo o acesso internet. Lembre-se se de tomar cuidado com o posicionamento das regras que so criadas.