1. Trang chủ >
  2. Công nghệ thông tin >
  3. Quản trị mạng >

SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )


TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Vấn đề là đôi khi khách hàng ở sau một edge firewall chỉ cho phép HTTP và HTTPS

outbound traffic, như thể hiện trong Hình II.4.1.1. Điều này thường làm thất vọng người

dùng cuối bởi vì khi đi PPTP hoặc L2TP/IPsec kết nối bị từ chối. Vì vậy, thuật ngữ “truy

cập từ bất cứ nơi nào” thực sự không áp dụng khi nói về kết nối lớp mạng VPN.



Hình II.4.1.1 Thực hiện kết nối VPN với UAG



Hình II.4.1.1 cho thấy rằng công nghệ SSL VPN không bị các vấn đề kết nối vốn có

trong các kết nối lớp mạng VPN. Con số này cho thấy một Edge Firewall chỉ cho phép

HTTP và HTTPS mới đi ra bên ngoài và hai phía sau tường lửa này. Các khách hàng

bằng cách sử dụng một truyền thống VPN (chẳng hạn như PPTP) để kết nối với máy

chủ VPN bị chặn bởi các tường lửa, trong khi các máy khách SSL VPN là không. Điều

này minh họa sự linh hoạt lớn hơn công nghệ SSL VPN, cho phép truy cập tăng cường

an ninh mà không cần phải đối phó với các vấn đề kết nối có thể được áp đặt bởi các

hạn chế. SSL VPN làm cho các máy trạm khách hàng từ xa dễ dàng kết nối với cổng

thông tin HTTPS và từ kết nối với các nguồn tài nguyên nội bộ (máy chủ, máy trạm) và

như vậy từ một số địa điểm khác nhau mà không cần phải lo lắng về các vấn đề kết nối

đã được phổ biến gặp phải trong quá khứ.

Công nghệ SSL VPN là một chuẩn cho phép truy cập từ xa. Server 2008 cho phép bạn

cấu hình RRAS như một máy chủ SSL VPN bằng cách sử dụng Secure Socket Tunneling

Protocol (SSTP) VPN mới.

4.2.Những điểm mới trong UAG

Trong khi IAG là một giải pháp thiết bị, UAG mở rộng này cung cấp với một phần mềm,

máy chủ triển khai tùy chọn cài đặt. UAG sẽ cung cấp cho bạn hai lựa chọn: cài đặt sẵn

phiên bản của UAG trên một thiết bị phần cứng OEM và một tập tin tải về. Bạn có thể

triển khai UAG trong một môi trường ảo, bằng cách sử dụng Microsoft Hyper-V hay

SVVP (Server Virtualization Validation Program).



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 29



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Cách tốt nhất để hiểu sự khác biệt giữa IAG và UAG là thông qua một so sánh ngắn gọn

của hai sản phẩm, như minh họa trong bảng dưới.



Bảng II.4.2.1 so sánh tính năng giữa IAG và UAG



Các tính năng mới làm nên một sự khác biệt lớn khi so sánh IAG với UAG bao gồm:









UAG Native 64-bit sẽ được gửi trong một phiên bản 64-bit.

Tích hợp với Network Access Protection (NAP) tích hợp này cung cấp thêm một

lớp bảo vệ để truy cập mạng nội bộ của các thiết bị đầu cuối không có bảo đảm.

Web tính năng cân bằng tải tính năng này cho phép bạn publish một Farm của

các máy chủ Web và phân phối các yêu cầu đồng đều giữa các máy chủ. Đây là

một cải tiến quan trọng trong mà bạn không cần phải mua các thiết bị cân bằng

tải riêng biệt để đạt được nhiệm vụ này.



4.3.Thiết kế mạng bảo vệ

4.3.1. Triển khai UAG

UAG được thiết kế để cung cấp sau đây:















Truy cập vào các ứng dụng của bạn từ Internet

Hỗ trợ cơ chế single sign-on (SSO)

Gia tăng trust của người sử dụng và máy tính của người dùng

Gia tăng nhận thức về ứng dụng và kiểm soát tăng cường hơn hành vi ứng dụng

Một dải rộng các nhà cung cấp dịch vụ xác thực

SSL VPN truy cập từ xa



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 30



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



UAG cho phép các mạng phục vụ nhu cầu của người sử dụng điện thoại di động để truy

cập nguồn lực công ty từ các địa điểm có kết nối Internet, trong khi đồng thời đáp ứng

yêu cầu của công ty cần phải kiểm soát truy cập dựa trên một định nghĩa của sự tin cậy

và an ninh cho người dùng kết nối và máy tính.

UAG được thiết kế và thử nghiệm để hoạt động như cổng vào Internet-Facing. Đặt một

tường lửa giữa UAG và Internet có thể gây ra vấn đề không thể được giải quyết được

bằng cách thay đổi cấu hình UAG. Vì UAG lợi dụng các chức năng tường lửa của TMG.

UAG cũng có thể tận dụng lợi thế của mô hình đa mạng TMG để publish ứng dụng có

thể được phân lập từ các mạng khác. Điều này cho phép bạn tăng tổng thể mức độ bảo

mật của bạn bằng cách thực hiện một mô hình an ninh mạng nhiều lớp.

4.3.2. Triển khai TMG?

TMG được thiết kế để phục vụ triển khai yêu cầu bảo mật có thể bao gồm:













Proxy và firewall ở cấp ứng dụng chung

Đơn giản hoá việc truy cập vào dịch vụ ứng dụng, chẳng hạn như SMTP, POP3,

và giao thức khác

Đánh giá sự tin cậy của máy tính khách hàng

Được bảo vệ truy cập Internet và mạng nội bộ

SSTP, PPTP, và L2TP/IPsec kết nối VPN



Không giống như UAG, TMG được thiết kế để phục vụ nhu cầu lớn hơn đối với cả bên

ngoài và ứng dụng truy cập nội bộ. Hình II.4.3.2.1 thể hiện những tính năng mới trong

TMG và UAG.



Hình II.4.3.2.1 Những tính năng trong TMG và UAG



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 31



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Không giống như TMG, bạn có thể triển khai gần như bất cứ nơi nào trên mạng nội bộ,

UAG đã được cụ thể thiết kế để làm một mạng thiết bị cạnh. Tuy nhiên, trong một số

trường hợp chính sách gây khó khăn cho bạn đặt IAG trên các cạnh của mạng. như thể

hiện trong hình II.4.3.2.2, nếu chính sách mạng của bạn yêu cầu một bức tường lửa

cạnh ở mặt trước của UAG, bạn sẽ phải cho phép inbound TCP cổng 443 (HTTPS) đến

UAG.



Hình II.4.3.2.2 Ví dụ thiết lập UAG trong mạng Back End



Mặt khác, TMG được thiết kế để hoạt động trong bất kỳ của bốn mạng thiết kế cơ bản

(và nhiều biến thể trên các chủ đề này):











Edge firewall

3-leg perimeter firewall

Back firewall

Single NIC Web proxy server



4.3.2.1.



Edge Firewall



Khi được triển khai như một edge Firewall, nhiệm vụ chính của TMG là hành động

như một layer-2 và layer-3 tường lửa cho traffic được gửi đến và từ Internet. Ngay

cả khi TMG cũng được triển khai để cung cấp cấp cao hơn, bảo vệ lớp ứng dụng

(chẳng hạn như IDS, lọc URL, kiểm tra phần mềm độc hại) và như vậy, nhiệm vụ

chính của TMG vẫn còn như một tường lửa kiểm tra gói stateful. Là một edge

firewall, giao diện bên ngoài phải đối mặt với Internet và giao tiếp nội bộ phải đối

mặt với mạng LAN được bảo vệ. Ưu điểm lớn nhất của việc sử dụng TMG là một bức

tường lửa cạnh là nó cung cấp cho TMG truy cập trực tiếp mô hình mạng được thiết

kế để kiểm soát. Với một vài thiết bị bổ sung trong con đường mạng, TMG có khả

năng tốt hơn để đánh giá và đưa ra quyết định kiểm soát thích hợp. Đây cũng là

mặc định triển khai cấu hình cho UAG. Hình II.4.3.2.1.1 minh họa một triển khai

tường lửa điển hình.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 32



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.4.3.2.1.1 Mô hình Edge Firewall



4.3.2.2.



3-Leg perimeter



Triển khai 3-Leg Perimeter như thể hiện trong Hình II.4.3.2.2.1, thường được gọi là

một Trihomed Perimeter Network vì một thiết bị duy nhất. TMG trong trường hợp

này có ba NIC, mỗi NIC liên quan với một khu vực an ninh mạng khác nhau, trong

đó có một đoạn mạng vành đai. TMG phù hợp với nhiệm vụ này bởi vì nó kết hợp

tất cả các cơ chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trong

một điểm kiểm soát mạng.

Không giống như ISA 2006, TMG được giả định rằng bạn sẽ sử dụng một mối quan

hệ NAT mặc định giữa mạng nội bộ và chu vi mạng Trihomed, Trihomed TMG

Perimeter Network Template nhận thức được rằng các mạng lưới được định nghĩa là

chu vi và nội bộ không thể có tuyến đường được xác định trước hoặc các mối quan

hệ NAT. Vì lý do này, Network Setup hướng dẫn cung cấp cho bạn cơ hội để xác

định các mối quan hệ như là một phần của quá trình cấu hình. Ưu điểm của việc

triển khai 3-Leg Perimeter tương tự như triển khai Edge Firewall: TMG có quyền truy

cập tự do đến lưu lượng truy cập tại tất cả các mạng.



Hình II.4.3.2.2.1 Mô hình mạng 3-Leg Perimeter



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 33



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



4.3.2.3.



Back Firewall



Back Firewall là một biến thể của mẫu Edge Firewall ngoại trừ giao diện bên ngoài

các bức tường lửa TMG được kết nối với một phân đoạn mạng vành đai giữa nó và

giao diện nội bộ của một bức tường lửa ở thượng nguồn. Như vậy, mục cấu hình

mạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xác định các mối

quan hệ mạng giữa mạng nội bộ và Perimeter Networks là một trong hai tuyến

đường hoặc NAT. Lợi thế triển Back Firewall là với một thiết bị riêng biệt xử lý các

quyết định traffic ở mức độ thấp, TMG có nhiều nguồn lực hơn để áp dụng cho kiểm

soát lọc lưu lượng truy cập cao hơn. Hình II.4.3.2.3.1 minh họa việc triển khai Back

Firewall.



Hình II.4.3.2.3.1 Mô hình mạng Back Firewall



4.3.2.4.



Single-NIC



NIC duy nhất thường được gọi như Unihomed. Tùy chọn này cung cấp chức năng

tường lửa cho máy tính mà trên đó TMG hoạt động. Giống như ISA 2006, một TMG

Unihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựa trên HTTP (CERN

proxy hoặc Web Publishing) và dial-in VPN các khách hàng VPN. Với ISA 2006, mạng

hợp lệ cho một Unihomed TMG là:











Local host mạng này bao gồm tất cả các địa chỉ IP được gán cho máy tính

TMG, không chỉ là mạng 127/8.

Internal Network bao gồm tất cả các địa chỉ IP không được giao để dial

vào một trong các VPN Client.

VPN client mạng này bao gồm chỉ những địa chỉ đã được định nghĩa cho sử

dụng bởi các quản trị viên TMG.

Quarantined VPN Client Mạng bao gồm chỉ có các địa chỉ IP định nghĩa

cho sử dụng bởi VPN client không đáp ứng các yêu cầu bảo mật theo quy

định cho kết nối VPN.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 34



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Một lợi thế của triển khai Single NIC, như thể hiện trong hình II.4.3.2.4.1 là tài

nguyên TMG có thể được dành riêng để xử lý những traffic HTTP liên quan. Một ưu

điểm khác của Unihomed là bạn không bao giờ cần phải ghi lại số Network để hỗ

trợ một Unihomed TMG Firewall.



Hình II.4.3.2.4.1 Mô hình mạng Single NIC



UAG Forefront là một cổng SSL VPN giúp bạn an toàn hơn khi truy cập bất cứ nơi nào

cho người dùng của bạn. UAG SSL VPN server có lợi thế hơn RRAS mạng cấp VPN server: Nó

không bị ảnh hưởng từ các vấn đề kết nối vì hạn chế tường lửa. Ngoài ra, UAG SSL VPN

gateway cho phép bạn cấu hình mạnh mẽ các chính sách kiểm soát truy cập khách hàng các

mức độ tin tưởng cho phép các mức độ truy cập dựa trên cấu hình bảo mật đánh giá của họ.

Một UAG SSL VPN gateway và các bức tường lửa TMG có thể tồn tại trên cùng một

mạng. Cả hai UAG SSL VPN và tường lửa TMG được thiết kế để được thiết bị bảo mật. Sự kết

hợp của cổng UAG SSL VPN và tường lửa TMG có thể cung cấp nhiều lớp bảo vệ cho mạng

của bạn.

5. YÊU CẦU HỆ THỐNG

5.1.Yêu cầu phần cứng:

Yêu cầu tối thiểu cho TMG 2010 là:

Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM

với Service Pack 2 (SP2) hoặc R2.

2 GB bộ nhớ RAM

Một CPU lõi kép

Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS

150 MB đĩa cứng không gian

ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp với mạng nội

bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa)

 Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối.













_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 35



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Đây là những yêu cầu tối thiểu. Chúng không được khuyến cáo làm việc tốt nhất như

tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầu cho các ổ đĩa bổ

sung không gian cho các file log, bộ nhớ đệm Web, và các hoạt động TMG quan trọng khác.

Trong các tình huống có một số lượng lớn người dùng kết nối thông qua TMG cho Web proxy

hoặc truy cập từ xa VPN, yêu cầu bộ nhớ có thể tăng lên chóng mặt. Tương tự như vậy, yêu

cầu không gian đĩa có thể lớn hơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ

đệm Web TMG.

Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duy nhất với hai

hoặc nhiều phân vùng hợp lý. Ở mức tối thiểu, tất cả các thành phần có thể được cài đặt

trên cùng một phân vùng. Tuy nhiên, tùy thuộc vào vai trò của TMG, và để đảm bảo rằng đĩa

không đầy nhanh chóng, thư mục tập tin file log và bộ nhớ cache có thể được lưu trữ trên ổ

đĩa vật lý riêng biệt.

5.2.Yêu cầu Phần mềm

TMG phải được cài đặt trên một ấn bản 64-bit của Windows Server 2008. Bạn không thể cài

đặt TMG trên một phiên bản 32-bit của Windows Server 2008.

Bạn nên cập nhật các hệ điều hành Windows Server 2008 bằng cách sử dụng Windows

Update hoặc cơ chế cập nhật ưa thích của bạn trước khi cài đặt phần mềm TMG. Điều này

giúp đảm bảo rằng các tính năng TMG sẽ làm việc với các thành phần hệ thống đã cập nhật

và giảm bề mặt tấn công tổng thể trước khi cài đặt phần mềm TMG.

Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó được cài đặt như

sau:

The Active Directory Lightweight Directory Services Server Role

The Network Policy and Access Services Server Role

Windows Powershell 1.0

The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 )

Microsoft SQL Express (Microsoft Forefront TMG logging instance)

Microsoft SQL Express (Microsoft Forefront TMG reporting instance)

Microsoft SQL Server backward compatibility

Microsoft SQL Server Native Client

• Microsoft SQL Server Setup Support Files

• Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer

 Microsoft Office 2003 Web Components (như là một phần của bản cài đặt SQL

Server Express)



















Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008. Bạn không nên sửa đổi giá

trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để sử dụng cổng TCP 8008. Khi

TMG được gỡ bỏ, IIS Server và các thành phần Office Web thì không được gỡ bỏ. Bạn phải

loại bỏ các thành phần này một cách thủ công.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 36



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.docx) (249 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×