Cấu hình Web Proxy Chaining trong Forefront TMG 2010 – Phần 1 | Cau hinh Web Proxy Chaining trong Forefront TMG 2010 – Phan 1 - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

17-09-2010, 10:29 AM

Cấu hình Web Proxy Chaining trong Forefront TMG 2010 – Phần 1

Chia sẻ

– Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một kịch bản triển khai điển hình và cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010.

Web proxy chaining là một cách hiệu quả cho việc phân phối lưu lượng web proxy trong tổ chức, góp phần làm giảm băng thông tiêu tốn trên các liên kết WAN tốc độ thấp, giảm việc sử dụng tài nguyên trên các máy chủ proxy tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị viên site ở xa. Web proxy chaining là một cấu hình mà ở đó một proxy server (được gọi là downstream proxy server) được cấu hình để chuyển tiếp các yêu cầu đến một proxy server khác (được gọi là upstream proxy server) thay vì lấy lại các nội dung trực tiếp từ Internet. Downstream proxy server có thể hoặc không có kết nối trực tiếp với Internet. Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010.
Web Proxy Chaining
Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ là web proxy chaining chỉ áp với lưu lượng được xử lý bởi web proxy filter; có nghĩa lưu lượng được tạo bởi các máy khách web proxy client. Web proxy chaining không có ảnh hưởng đối với TMG Firewall Client hoặc lưu lượng SecureNET. Để lợi dụng được các tính năng của web proxy chaining có trong TMG, chúng ta cần cấu hình các máy khách sử dụng proxy server, có thể bằng cách nhập proxy server thủ công hay sử dụng một trong các tùy chọn cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách nhóm, hoặc bằng cách triển khai TMG Firewall Client với các thiết lập proxy server đã được cấu hình thích hợp.
Cấu hình
Một kịch bản triển khai chung cho web proxy chaining là khi một proxy server (hoặc mảng) được đặt tại văn phòng chính, một proxy server khác (hoặc mảng) được đặt tại văn phòng chi nhánh ở xa (xem trong bản đồ bên dưới). Người dùng tại văn phòng chính được cấu hình để sử dụng proxy server chính cho việc truy cập Internet. Người dùng tại văn phòng chi nhánh được cấu hình để sử dụng proxy server cục bộ của họ, đây là các proxy server được cấu hình để chuyển tiếp các yêu cầu đến upstream proxy server nằm tại văn phòng chính.

Hình 1

Web proxy chaining được kích hoạt bằng cách tạo các web chaining rule. Các rule này sẽ xác định cách tường lửa định tuyến các yêu cầu web proxy ra sao khi cho phép chúng. Để cấu hình web proxy chaining trong kịch bản cơ bản này, bạn hãy mở TMG management console trên downstream proxy server và kích nút Networking trong cây giao diện điều khiển.

Hình 2

Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau đó trong panel Tasks chọn Create New Web Chaining Rule.

Hình 3

Khi New Web Chaining Rule Wizard mở, hãy đặt tên cho web chaining rule mới.

Hình 4

Chọn Web Chaining Rule Destination thích hợp. Chúng ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp tất cả các yêu cầu cho Internet bằng cách chọn mạng External.

Hình 5

Chọn tùy chọn để chuyển thướng các yêu cầu đến máy chủ upstream đã được chỉ định.

Hình 6

Chỉ định địa chỉ IP, hostname hoặc FQDN của upstream proxy server. Trừ khi bạn đã thay đổi các cổng lắng nghe web proxy trên upstream proxy server bằng không sẽ không cần thay đổi các cổng mặc định được liệt ở đây. Để tùy chọn Apply malware inspection to Web content received from or sent to an upstream proxy được kiểm chỉ khi upstream proxy server không thực hiện hành động thanh tra malware, vì sự thanh tra malware không được hỗ trợ trên cả downstream proxy server và upstream proxy server tại cùng một thời điểm. Lựa chọn để quét virus và malware là do bạn. Nếu bạn chọn quét trên máy chủ upstream proxy server thì bạn có thể ngăn chặn các phần mềm mã độc xâm nhập vào mạng. Nếu upstream proxy server đang tổng hợp một số lượng lớn các yêu cầu cho downstream proxy server thì tải trọng sẽ tăng đáng kể và có thể làm quá tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng trễ. Trong trường hợp này, việc quét trên máy chủ downstream sẽ giúp bạn phân phối được tải trọng, giảm được sự tiêu tốn về tài nguyên trên các máy chủ upstream.

Hình 7

Chọn backup action thích hợp cho môi trường của bạn. Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn có thể chọn tùy chọn để lấy lại các yêu cầu trực tiếp từ một đích nào đó (retrieve requests directly from the specified destination). Nếu có một proxy server (hoặc mảng) ở trong một địa điểm khác có thể được sử dụng làm máy chủ upstream, khi đó bạn có thể chọn tùy chọn định tuyến các yêu cầu đến máy chủ upstream (route requests to an upstream server) (sẽ có các nhắc nhở về thông tin bổ sung). Nếu máy chủ downstream không có các tuyến thay thế (hoặc không được phép sử dụng cho chính sách bảo mật công ty), hãy chọn tùy chọn mặc định là ignore requests.

Hình 8

Rule mới lúc này sẽ xuất hiện trong danh sách. Các Web chaining rule sẽ được xử lý theo thứ tự, vì vậy rule mới của chúng ta được đặt trước rule mặc định. Mặc dù đã tạo một rule mới ở đây nhưng chúng ta hoàn toàn có thể thay đổi rule mặc định để cung cấp các kết quả tương tự.

Hình 9

Lưu ý: Một vấn đề quan trọng cần phải nhớ rằng các rule truy cập phải được đặt thích hợp trên máy chủ downstream và upstream để tạo điều kiện thuận lợi cho việc truy cập web.
Các hạn chế kết nối
Trong nhiều trường hợp, việc kích hoạt web proxy chaining có thể làm cho máy chủ downstream vượt quá các hạn chế kết nối được thi hành bởi các thiết lập chống tràn trên máy chủ upstream. Các máy chủ upstream sẽ nhận các yêu cầu kết nối đến từ một host nào đó (máy chủ downstream) thay vì mỗi máy khách riêng lẻ. Nếu máy chủ downstream tổng hợp các yêu cầu cho một số lượng lớn các máy khách thì chúng ta cần phải thay đổi các hạn chế kết nối mặc định trên máy chủ upstream. Điều này có thể được cấu hình bằng cách add thêm các máy chủ downstream vào danh sách IP exception, đúng hơn là thay đổi các han chế mặc định cho tất cả các host. Bạn sẽ tìm thấy các thiết lập chống tràn trong giao diện quản lý TMG bằng cách kích Intrusion Prevention System trong cây giao diện, kích Configure Flood Mitigation Settings trong cửa sổ chính và sau đó chọn tab IP Exceptions và tạo một tập máy tính có chứa các máy chủ downstream của bạn.

Hình 10

Kết luận
Phụ thuộc vào các yêu cầu cụ thể của bạn, cấu hình web proxy chaining có thể tương đối đơn giản (như được thảo luận ở đây) hoặc có thể khá phức tạp. Ví dụ được phác thảo ở trên giả định rằng tất cả lưu lượng sẽ được định tuyến đến m áy chủ upstream proxy, và không có yêu cầu nhận thực. Trong nhiều trường hợp, downstream proxy sẽ có một kết nối trực tiếp đến Internet và chỉ một số lưu lượng được định tuyến đến máy chủ upstream proxy. Thông thường máy chủ upstream proxy cũng yêu cầu nhận thực, vì vậy sẽ yêu cầu thêm các kế hoạch và cấu hình bổ sung. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về một số kịch bản triển khai chi tiết hơn như vậy.

Theo: qtm, isaserver

17-09-2010, 10:29 AM	#1
hoctinhoc Guest Trả Lời: n/a	Cấu hình Web Proxy Chaining trong Forefront TMG 2010 – Phần 1 Cấu hình Web Proxy Chaining trong Forefront TMG 2010 – Phần 1 Chia sẻ – Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một kịch bản triển khai điển hình và cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010. Web proxy chaining là một cách hiệu quả cho việc phân phối lưu lượng web proxy trong tổ chức, góp phần làm giảm băng thông tiêu tốn trên các liên kết WAN tốc độ thấp, giảm việc sử dụng tài nguyên trên các máy chủ proxy tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị viên site ở xa. Web proxy chaining là một cấu hình mà ở đó một proxy server (được gọi là downstream proxy server) được cấu hình để chuyển tiếp các yêu cầu đến một proxy server khác (được gọi là upstream proxy server) thay vì lấy lại các nội dung trực tiếp từ Internet. Downstream proxy server có thể hoặc không có kết nối trực tiếp với Internet. Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010. Web Proxy Chaining Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ là web proxy chaining chỉ áp với lưu lượng được xử lý bởi web proxy filter; có nghĩa lưu lượng được tạo bởi các máy khách web proxy client. Web proxy chaining không có ảnh hưởng đối với TMG Firewall Client hoặc lưu lượng SecureNET. Để lợi dụng được các tính năng của web proxy chaining có trong TMG, chúng ta cần cấu hình các máy khách sử dụng proxy server, có thể bằng cách nhập proxy server thủ công hay sử dụng một trong các tùy chọn cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách nhóm, hoặc bằng cách triển khai TMG Firewall Client với các thiết lập proxy server đã được cấu hình thích hợp. Cấu hình Một kịch bản triển khai chung cho web proxy chaining là khi một proxy server (hoặc mảng) được đặt tại văn phòng chính, một proxy server khác (hoặc mảng) được đặt tại văn phòng chi nhánh ở xa (xem trong bản đồ bên dưới). Người dùng tại văn phòng chính được cấu hình để sử dụng proxy server chính cho việc truy cập Internet. Người dùng tại văn phòng chi nhánh được cấu hình để sử dụng proxy server cục bộ của họ, đây là các proxy server được cấu hình để chuyển tiếp các yêu cầu đến upstream proxy server nằm tại văn phòng chính. Hình 1 Web proxy chaining được kích hoạt bằng cách tạo các web chaining rule. Các rule này sẽ xác định cách tường lửa định tuyến các yêu cầu web proxy ra sao khi cho phép chúng. Để cấu hình web proxy chaining trong kịch bản cơ bản này, bạn hãy mở TMG management console trên downstream proxy server và kích nút Networking trong cây giao diện điều khiển. Hình 2 Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau đó trong panel Tasks chọn Create New Web Chaining Rule. Hình 3 Khi New Web Chaining Rule Wizard mở, hãy đặt tên cho web chaining rule mới. Hình 4 Chọn Web Chaining Rule Destination thích hợp. Chúng ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp tất cả các yêu cầu cho Internet bằng cách chọn mạng External. Hình 5 Chọn tùy chọn để chuyển thướng các yêu cầu đến máy chủ upstream đã được chỉ định. Hình 6 Chỉ định địa chỉ IP, hostname hoặc FQDN của upstream proxy server. Trừ khi bạn đã thay đổi các cổng lắng nghe web proxy trên upstream proxy server bằng không sẽ không cần thay đổi các cổng mặc định được liệt ở đây. Để tùy chọn Apply malware inspection to Web content received from or sent to an upstream proxy được kiểm chỉ khi upstream proxy server không thực hiện hành động thanh tra malware, vì sự thanh tra malware không được hỗ trợ trên cả downstream proxy server và upstream proxy server tại cùng một thời điểm. Lựa chọn để quét virus và malware là do bạn. Nếu bạn chọn quét trên máy chủ upstream proxy server thì bạn có thể ngăn chặn các phần mềm mã độc xâm nhập vào mạng. Nếu upstream proxy server đang tổng hợp một số lượng lớn các yêu cầu cho downstream proxy server thì tải trọng sẽ tăng đáng kể và có thể làm quá tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng trễ. Trong trường hợp này, việc quét trên máy chủ downstream sẽ giúp bạn phân phối được tải trọng, giảm được sự tiêu tốn về tài nguyên trên các máy chủ upstream. Hình 7 Chọn backup action thích hợp cho môi trường của bạn. Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn có thể chọn tùy chọn để lấy lại các yêu cầu trực tiếp từ một đích nào đó (retrieve requests directly from the specified destination). Nếu có một proxy server (hoặc mảng) ở trong một địa điểm khác có thể được sử dụng làm máy chủ upstream, khi đó bạn có thể chọn tùy chọn định tuyến các yêu cầu đến máy chủ upstream (route requests to an upstream server) (sẽ có các nhắc nhở về thông tin bổ sung). Nếu máy chủ downstream không có các tuyến thay thế (hoặc không được phép sử dụng cho chính sách bảo mật công ty), hãy chọn tùy chọn mặc định là ignore requests. Hình 8 Rule mới lúc này sẽ xuất hiện trong danh sách. Các Web chaining rule sẽ được xử lý theo thứ tự, vì vậy rule mới của chúng ta được đặt trước rule mặc định. Mặc dù đã tạo một rule mới ở đây nhưng chúng ta hoàn toàn có thể thay đổi rule mặc định để cung cấp các kết quả tương tự. Hình 9 Lưu ý: Một vấn đề quan trọng cần phải nhớ rằng các rule truy cập phải được đặt thích hợp trên máy chủ downstream và upstream để tạo điều kiện thuận lợi cho việc truy cập web. Các hạn chế kết nối Trong nhiều trường hợp, việc kích hoạt web proxy chaining có thể làm cho máy chủ downstream vượt quá các hạn chế kết nối được thi hành bởi các thiết lập chống tràn trên máy chủ upstream. Các máy chủ upstream sẽ nhận các yêu cầu kết nối đến từ một host nào đó (máy chủ downstream) thay vì mỗi máy khách riêng lẻ. Nếu máy chủ downstream tổng hợp các yêu cầu cho một số lượng lớn các máy khách thì chúng ta cần phải thay đổi các hạn chế kết nối mặc định trên máy chủ upstream. Điều này có thể được cấu hình bằng cách add thêm các máy chủ downstream vào danh sách IP exception, đúng hơn là thay đổi các han chế mặc định cho tất cả các host. Bạn sẽ tìm thấy các thiết lập chống tràn trong giao diện quản lý TMG bằng cách kích Intrusion Prevention System trong cây giao diện, kích Configure Flood Mitigation Settings trong cửa sổ chính và sau đó chọn tab IP Exceptions và tạo một tập máy tính có chứa các máy chủ downstream của bạn. Hình 10 Kết luận Phụ thuộc vào các yêu cầu cụ thể của bạn, cấu hình web proxy chaining có thể tương đối đơn giản (như được thảo luận ở đây) hoặc có thể khá phức tạp. Ví dụ được phác thảo ở trên giả định rằng tất cả lưu lượng sẽ được định tuyến đến m áy chủ upstream proxy, và không có yêu cầu nhận thực. Trong nhiều trường hợp, downstream proxy sẽ có một kết nối trực tiếp đến Internet và chỉ một số lưu lượng được định tuyến đến máy chủ upstream proxy. Thông thường máy chủ upstream proxy cũng yêu cầu nhận thực, vì vậy sẽ yêu cầu thêm các kế hoạch và cấu hình bổ sung. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về một số kịch bản triển khai chi tiết hơn như vậy. Theo: qtm, isaserver

Chia Sẽ Kinh Nghiệm Về IT