YÊU CẦU HỆ THỐNG

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Đây là những yêu cầu tối thiểu. Chúng không được khuyến cáo làm việc tốt nhất như

tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầu cho các ổ đĩa bổ

sung không gian cho các file log, bộ nhớ đệm Web, và các hoạt động TMG quan trọng khác.

Trong các tình huống có một số lượng lớn người dùng kết nối thông qua TMG cho Web proxy

hoặc truy cập từ xa VPN, yêu cầu bộ nhớ có thể tăng lên chóng mặt. Tương tự như vậy, yêu

cầu không gian đĩa có thể lớn hơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ

đệm Web TMG.

Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duy nhất với hai

hoặc nhiều phân vùng hợp lý. Ở mức tối thiểu, tất cả các thành phần có thể được cài đặt

trên cùng một phân vùng. Tuy nhiên, tùy thuộc vào vai trò của TMG, và để đảm bảo rằng đĩa

không đầy nhanh chóng, thư mục tập tin file log và bộ nhớ cache có thể được lưu trữ trên ổ

đĩa vật lý riêng biệt.

5.2.Yêu cầu Phần mềm

TMG phải được cài đặt trên một ấn bản 64-bit của Windows Server 2008. Bạn không thể cài

đặt TMG trên một phiên bản 32-bit của Windows Server 2008.

Bạn nên cập nhật các hệ điều hành Windows Server 2008 bằng cách sử dụng Windows

Update hoặc cơ chế cập nhật ưa thích của bạn trước khi cài đặt phần mềm TMG. Điều này

giúp đảm bảo rằng các tính năng TMG sẽ làm việc với các thành phần hệ thống đã cập nhật

và giảm bề mặt tấn công tổng thể trước khi cài đặt phần mềm TMG.

Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó được cài đặt như

sau:

The Active Directory Lightweight Directory Services Server Role

The Network Policy and Access Services Server Role

Windows Powershell 1.0

The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 )

Microsoft SQL Express (Microsoft Forefront TMG logging instance)

Microsoft SQL Express (Microsoft Forefront TMG reporting instance)

Microsoft SQL Server backward compatibility

Microsoft SQL Server Native Client

• Microsoft SQL Server Setup Support Files

• Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer

 Microsoft Office 2003 Web Components (như là một phần của bản cài đặt SQL

Server Express)



















Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008. Bạn không nên sửa đổi giá

trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để sử dụng cổng TCP 8008. Khi

TMG được gỡ bỏ, IIS Server và các thành phần Office Web thì không được gỡ bỏ. Bạn phải

loại bỏ các thành phần này một cách thủ công.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 36



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



5.3.Hạ tầng mạng

Hiệu suất TMG bị ảnh hưởng bởi cơ sở hạ tầng mạng nơi mà nó hoạt động. Nếu bất kỳ

thành phần cơ sở hạ tầng mạng nào thực hiện ít hơn so với hiệu quả tối ưu, TMG sẽ cố

gắng để bù đắp thông qua việc sử dụng lưu lượng truy cập đệm (backlog) cơ chế được xây

dựng trong TMG. Bạn cần phải giải quyết một số vấn đề khi thiết kế triển khai TMG của

bạn, tất cả các điều này có thể có một tác động đáng kể trên hiệu suất TMG, ổn định và an

ninh:

•

•

•



Phân giải tên

Xác thực

Thiết bị kiểm soát giao thông (IDS và IPS)



5.3.1. Tên phân giải

TMG phụ thuộc nhiều vào hoạt động phân giải tên và một DNS hỗ trợ cơ sở hạ tầng.

Khi chính sách TMG đề cập tới các điểm đến như tên (thường là các trường hợp cho lưu

lượng truy cập HTTP), TMG phải thực hiện tên và phân giải địa chỉ IP để đảm bảo rằng

các quy tắc có thể được đánh giá cho cả hai trường hợp (địa chỉ IP hoặc tên dựa trên

yêu cầu). Mặc dù TMG duy trì bộ nhớ cache tên riêng của mình để cải thiện tên và tra

cứu hiệu suất địa chỉ IP, TMG phải phụ thuộc vào Windows để thực hiện các tên ban

đầu hoặc phân giải địa chỉ IP. Như vậy, hiệu quả sử dụng lưu lượng truy cập tỷ lệ thuận

với hiệu quả cơ chế phân giải tên của Windows.

Windows cấu hình phân giải tên TMG phụ thuộc vào cơ chế phân giải tên Windows. Bởi

vì Windows được thiết kế để được triển khai trong cấu hình nhiều mạng. Vì phần lớn các

lưu lượng truy cập xử lý bởi TMG HTTP-based và dành cho Internet, Windows được cấu

hình như một NetBIOS mặc định. Điều này có nghĩa là nếu Windows có sẵn dịch vụ DNS

và WINS cho nó và các truy vấn DNS và WINS không cung cấp thành công hoặc phản

ứng thất bại, Windows sẽ rơi trở lại chương trình broadcast tên NetBIOS. Các điểm sau

đây ảnh hưởng đến việc triển khai TMG:

•

•

•

•



Phần lớn yêu cầu phân giải tên TMG cho máy chủ Internet.

Phân giải ngược Internet có xu hướng thất bại bởi vì ít quan tâm cập nhật

Reverse Lookup Zones.

Chương trình broadcast NetBIOS là cơ chế dự phòng mặc định.

TMG broadcast lưu lượng truy cập theo mặc định.



Bởi vì broadcast lưu lượng truy cập không phải là chức năng trên Internet và bởi vì TMG

broadcast lưu lượng truy cập bằng cách mặc định nên NetBIOS broadcast sẽ thất bại. Vì

cơ chế hoạt động của NetBIOS broadcast, nó có thể mất đến một phút để báo cáo thất

bại, gây ra sự chậm trễ hay thất bại rất cao để xử lý traffic TMG. Bởi TMG cũng ghi nhật

ký các gói dữ liệu broadcast, thêm chi phí xử lý phát sinh cho lưu lượng truy cập đã gây

ra sự chậm trễ xử lý lưu lượng.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 37



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Cách tốt nhất để ngăn chặn lưu lượng Broadcast đến NetBIOS (và cải thiện đáng kể

hiệu suất TMG) là cấu hình Windows như một máy chủ peer-node bằng cách sử dụng

sau đây để đăng ký giá trị:

Đường dẫn:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

Tên: NodeType

Type: REG_DWORD

Giá trị: 2

Bởi vì sự thay đổi này ảnh hưởng đến một thành phần Windows mạng kernel-mode

(NetBIOS trên TCP/IP), nó không có hiệu lực cho đến khi máy tính khởi động lại.

5.3.2. Xác thực

Một trong những lợi ích chính của việc triển khai TMG là khả năng để kiểm soát lưu

lượng truy cập dựa trên bối cảnh người dùng. Bởi vì tất cả các yêu cầu người dùng đã

gửi ban đầu mà không có thông tin này, TMG phải yêu cầu các thông tin và sau đó

tham khảo những thông tin quan trọng để một nhà cung cấp dịch vụ xác thực cho xác

nhận. Sự chậm trễ hoặc lỗi gặp phải trong quá trình xác thực cũng ảnh hưởng xấu đến

TMG thực hiện. Bạn nên hiểu các điểm sau đây về xác thực cho TMG:

•



•



•



Windows Authentication - Trong một môi trường nơi TMG phải xác thực yêu

cầu bằng cách sử dụng các thông tin quan trọng của Windows, TMG phải sử

dụng các phương pháp xác thực Windows. Nếu các tài khoản người sử dụng là

một phần của một cấu trúc miền, TMG phải là thành viên của cùng một miền

hoặc một miền tin tưởng. Nếu không, các tài khoản người dùng phải được phản

ánh trong TMG - cơ sở dữ liệu local của SAM.

Non-Windows Authentication - Để chứng thực lưu lượng truy cập, Web

Proxy tìm nguồn cung ứng từ một mạng được bảo vệ nghe (thường gọi là

outbound traffic Web proxy), TMG có thể xác thực người dùng dựa trên

Windows hoặc RADIUS. Khi TMG sử dụng RADIUS xác thực, yêu cầu xác thực

từ TMG cho người dùng được xem như HTTP cơ bản.

Xác thực tải - Đối với Windows xác thực, thường một tên miền điều khiển. Đối

với Windows không xác thực, có thể được RADIUS hoặc đăng nhập máy chủ

LDAP dựa trên thư mục. Nếu thông tin không đáp ứng nhanh chóng, yêu cầu kết

quả tồn đọng sẽ làm suy yếu hiệu suất TMG và tạo ra một trải nghiệm người

dùng không thể chấp nhận được thường được diễn tả như "Internet là hết sức

chậm".



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 38



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



5.4.Triển khai trong các môi trường ảo

TMG hỗ trợ trong các môi trường ảo. Khi lập kế hoạch triển khai như vậy, bạn phải xem xét

an ninh, chức năng, và các vấn đề quản lý để triển khai ảo hóa.

•



•



•



Network - Bởi vì mạng lưới thiết kế thường sử dụng trong môi trường ảo hóa, lưu

lượng mạng ảo thường là vô hình đối với việc giám sát mạng vật lý và hệ thống

quản lý.

Performance - Bởi vì tất cả các máy chủ trong một môi trường ảo đang chia sẻ các

nguồn tài nguyên của máy chủ, hiệu suất của một ứng dụng là không đáp được tính

chất hiệu suất của triển khai vật lý. Do thay đổi thời gian vốn có trong một máy chủ

ảo hóa, theo dõi hiệu suất của một máy chủ ảo hóa sử dụng thời gian riêng của

mình dựa trên bộ đếm hiệu suất có thể không chính xác.

Security - Nghiêm ngặt kiểm soát truy cập, chính sách quản lý thay đổi và thủ tục

máy chủ ảo và các máy ảo là tối quan trọng để đảm bảo an toàn triển khai ảo. Điều

này đặc biệt đúng trong trường hợp của Virtual Edge hoặc mạng vành đai, chẳng

hạn như những nơi TMG sẽ hoạt động.



6. PHÂN TÍCH YÊU CẦU MẠNG

Để kiểm soát tốt hơn mạng của bạn, bạn nên biết các ứng dụng đang chạy và giao thức họ

sử dụng, điều này cho phép bạn để tạo ra hồ sơ lưu lượng truy cập của bạn. Bằng việc xác

định các ứng dụng, xác định những người sở hữu các ứng dụng, và xác định các giao thức

và cấu trúc liên kết mạng, bạn có thể xác định tốt hơn nơi TMG nên được cài đặt và những

nguyên tắc mà bạn cần để tạo ra. Xác định địa chỉ IP trên mạng của bạn là một yếu tố

quan trọng cần được lưu lại trước khi cài đặt TMG. Trước khi bạn bắt đầu triển khai kích

thước TMG, bạn cần phải hiểu mạng và các mẫu lưu lượng truy cập mà TMG sẽ được yêu

cầu hỗ trợ. Điều này liên quan đến một vài bước, mỗi trong số đó có thể yêu cầu các chu kỳ

lặp đi lặp lại kiểm tra và phân tích.

7. XÁC ĐỊNH HỒ SƠ TRAFFIC

Một Hồ Sơ Traffic là một bản đồ của các giao thức ứng dụng được sử dụng trong hệ thống

của bạn. Có thể bao gồm các giao thức đơn giản như Simple Mail Transfer Protocol (SMTP)

hoặc các giao thức phức tạp như Remote Procedure Call (RPC) hoặc Distributed Component

Object Model (DCOM). Có lẽ điều khó khăn nhất cho bất kỳ mạng hoặc tường lửa cho quản

trị viên để xác định và duy trì một danh sách chính xác, đáng tin cậy của thông tin giao

thông mạng lưới của mình. Các bản đồ sau đây sẽ cung cấp các khối xây dựng của cách suy

nghĩ thông qua việc triển khai TMG của bạn về lưu lượng mạng và các giao thức, đôi khi gọi

tắt là hồ sơ lưu lượng truy cập mạng của bạn. Để xác định hồ sơ lưu lượng truy cập mạng

của bạn, bạn sẽ thực hiện các loại sau đây của bản đồ:

 lập bản đồ mạng

 lập bản đồ ứng dụng

 lập bản đồ giao thức

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 39



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



7.1.Bản đồ mạng

Điều đầu tiên bạn phải làm là đạt được một sự hiểu biết tốt hơn về cơ sở hạ tầng mạng sẽ

được phục vụ bởi TMG. Ví dụ: công ty của bạn có thể là một tổ chức phân phối, với đa số

của bạn văn phòng tại Houston và các văn phòng vệ tinh ở London, Eilat, và Buenos Aires.

Bạn cần phải có một sự hiểu biết rõ ràng của các mạng này được kết nối, cũng như bất kỳ

tuyến đường sao lưu hoặc chia định tuyến cơ sở hạ tầng. Đặc biệt, TMG có thể không xử lý

được phân chia định tuyến. Hình II.7.1.1 là một ví dụ của một bản đồ mạng đơn giản.



Hình II.7.1.1 Ví dụ về bảng đồ mạng



Một đánh giá của các mạng trong Hình II.7.1.1 cho thấy rằng TMG nên được đặt gần các

tuyến đường phục vụ mỗi vị trí địa lý. Những gì bạn phải xem xét triển khai làm thế nào để

xử lý các trường hợp không thể tránh khỏi khi TMG không có sẵn. Ví dụ, nếu người sử

dụng ở Buenos Aires truy vấn proxy local của họ để truy cập Internet và proxy đó không

có, họ nên được chuyển proxy gần nhất tiếp theo là một đường dẫn sao lưu.

7.2.Bản đồ ứng dụng

Sau khi bạn đã xác định cơ sở hạ tầng mạng, bạn sử dụng nó để giúp xác định bản đồ ứng

dụng cho tổ chức của bạn. Bởi vì dịch vụ line-of-business có nhiều khả năng được tập

trung, bạn cần phải xem xét liệu bạn có thể triển khai TMG để giúp quản lý tải giao thông

cho những ứng dụng hoặc giúp cải thiện an ninh của những ứng dụng tương tự. Tại thời

điểm này bạn không nên ánh xạ các giao thức mạng được sử dụng bởi các ứng dụng

này.Bởi vì nhiều ứng dụng nội bộ có xu hướng dựa trên web hoặc hỗ trợ truy cập dựa trên

giao thức HTTP (ví dụ, Microsoft Exchange Server và Microsoft Office SharePoint Server),

bạn có thể sử dụng TMG cung cấp bảo mật để truy cập nội bộ cũng như bên ngoài đến các

ứng dụng bằng cách tạo ra một cấu trúc mạng mà tất cả các yêu cầu của người dùng cho

các ứng dụng đều thông qua TMG.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 40