Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đây là những yêu cầu tối thiểu. Chúng không được khuyến cáo làm việc tốt nhất như
tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầu cho các ổ đĩa bổ
sung không gian cho các file log, bộ nhớ đệm Web, và các hoạt động TMG quan trọng khác.
Trong các tình huống có một số lượng lớn người dùng kết nối thông qua TMG cho Web proxy
hoặc truy cập từ xa VPN, yêu cầu bộ nhớ có thể tăng lên chóng mặt. Tương tự như vậy, yêu
cầu không gian đĩa có thể lớn hơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ
đệm Web TMG.
Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duy nhất với hai
hoặc nhiều phân vùng hợp lý. Ở mức tối thiểu, tất cả các thành phần có thể được cài đặt
trên cùng một phân vùng. Tuy nhiên, tùy thuộc vào vai trò của TMG, và để đảm bảo rằng đĩa
không đầy nhanh chóng, thư mục tập tin file log và bộ nhớ cache có thể được lưu trữ trên ổ
đĩa vật lý riêng biệt.
5.2.Yêu cầu Phần mềm
TMG phải được cài đặt trên một ấn bản 64-bit của Windows Server 2008. Bạn không thể cài
đặt TMG trên một phiên bản 32-bit của Windows Server 2008.
Bạn nên cập nhật các hệ điều hành Windows Server 2008 bằng cách sử dụng Windows
Update hoặc cơ chế cập nhật ưa thích của bạn trước khi cài đặt phần mềm TMG. Điều này
giúp đảm bảo rằng các tính năng TMG sẽ làm việc với các thành phần hệ thống đã cập nhật
và giảm bề mặt tấn công tổng thể trước khi cài đặt phần mềm TMG.
Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó được cài đặt như
sau:
The Active Directory Lightweight Directory Services Server Role
The Network Policy and Access Services Server Role
Windows Powershell 1.0
The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 )
Microsoft SQL Express (Microsoft Forefront TMG logging instance)
Microsoft SQL Express (Microsoft Forefront TMG reporting instance)
Microsoft SQL Server backward compatibility
Microsoft SQL Server Native Client
• Microsoft SQL Server Setup Support Files
• Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer
Microsoft Office 2003 Web Components (như là một phần của bản cài đặt SQL
Server Express)
Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008. Bạn không nên sửa đổi giá
trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để sử dụng cổng TCP 8008. Khi
TMG được gỡ bỏ, IIS Server và các thành phần Office Web thì không được gỡ bỏ. Bạn phải
loại bỏ các thành phần này một cách thủ công.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 36
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5.3.Hạ tầng mạng
Hiệu suất TMG bị ảnh hưởng bởi cơ sở hạ tầng mạng nơi mà nó hoạt động. Nếu bất kỳ
thành phần cơ sở hạ tầng mạng nào thực hiện ít hơn so với hiệu quả tối ưu, TMG sẽ cố
gắng để bù đắp thông qua việc sử dụng lưu lượng truy cập đệm (backlog) cơ chế được xây
dựng trong TMG. Bạn cần phải giải quyết một số vấn đề khi thiết kế triển khai TMG của
bạn, tất cả các điều này có thể có một tác động đáng kể trên hiệu suất TMG, ổn định và an
ninh:
•
•
•
Phân giải tên
Xác thực
Thiết bị kiểm soát giao thông (IDS và IPS)
5.3.1. Tên phân giải
TMG phụ thuộc nhiều vào hoạt động phân giải tên và một DNS hỗ trợ cơ sở hạ tầng.
Khi chính sách TMG đề cập tới các điểm đến như tên (thường là các trường hợp cho lưu
lượng truy cập HTTP), TMG phải thực hiện tên và phân giải địa chỉ IP để đảm bảo rằng
các quy tắc có thể được đánh giá cho cả hai trường hợp (địa chỉ IP hoặc tên dựa trên
yêu cầu). Mặc dù TMG duy trì bộ nhớ cache tên riêng của mình để cải thiện tên và tra
cứu hiệu suất địa chỉ IP, TMG phải phụ thuộc vào Windows để thực hiện các tên ban
đầu hoặc phân giải địa chỉ IP. Như vậy, hiệu quả sử dụng lưu lượng truy cập tỷ lệ thuận
với hiệu quả cơ chế phân giải tên của Windows.
Windows cấu hình phân giải tên TMG phụ thuộc vào cơ chế phân giải tên Windows. Bởi
vì Windows được thiết kế để được triển khai trong cấu hình nhiều mạng. Vì phần lớn các
lưu lượng truy cập xử lý bởi TMG HTTP-based và dành cho Internet, Windows được cấu
hình như một NetBIOS mặc định. Điều này có nghĩa là nếu Windows có sẵn dịch vụ DNS
và WINS cho nó và các truy vấn DNS và WINS không cung cấp thành công hoặc phản
ứng thất bại, Windows sẽ rơi trở lại chương trình broadcast tên NetBIOS. Các điểm sau
đây ảnh hưởng đến việc triển khai TMG:
•
•
•
•
Phần lớn yêu cầu phân giải tên TMG cho máy chủ Internet.
Phân giải ngược Internet có xu hướng thất bại bởi vì ít quan tâm cập nhật
Reverse Lookup Zones.
Chương trình broadcast NetBIOS là cơ chế dự phòng mặc định.
TMG broadcast lưu lượng truy cập theo mặc định.
Bởi vì broadcast lưu lượng truy cập không phải là chức năng trên Internet và bởi vì TMG
broadcast lưu lượng truy cập bằng cách mặc định nên NetBIOS broadcast sẽ thất bại. Vì
cơ chế hoạt động của NetBIOS broadcast, nó có thể mất đến một phút để báo cáo thất
bại, gây ra sự chậm trễ hay thất bại rất cao để xử lý traffic TMG. Bởi TMG cũng ghi nhật
ký các gói dữ liệu broadcast, thêm chi phí xử lý phát sinh cho lưu lượng truy cập đã gây
ra sự chậm trễ xử lý lưu lượng.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 37
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Cách tốt nhất để ngăn chặn lưu lượng Broadcast đến NetBIOS (và cải thiện đáng kể
hiệu suất TMG) là cấu hình Windows như một máy chủ peer-node bằng cách sử dụng
sau đây để đăng ký giá trị:
Đường dẫn:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
Tên: NodeType
Type: REG_DWORD
Giá trị: 2
Bởi vì sự thay đổi này ảnh hưởng đến một thành phần Windows mạng kernel-mode
(NetBIOS trên TCP/IP), nó không có hiệu lực cho đến khi máy tính khởi động lại.
5.3.2. Xác thực
Một trong những lợi ích chính của việc triển khai TMG là khả năng để kiểm soát lưu
lượng truy cập dựa trên bối cảnh người dùng. Bởi vì tất cả các yêu cầu người dùng đã
gửi ban đầu mà không có thông tin này, TMG phải yêu cầu các thông tin và sau đó
tham khảo những thông tin quan trọng để một nhà cung cấp dịch vụ xác thực cho xác
nhận. Sự chậm trễ hoặc lỗi gặp phải trong quá trình xác thực cũng ảnh hưởng xấu đến
TMG thực hiện. Bạn nên hiểu các điểm sau đây về xác thực cho TMG:
•
•
•
Windows Authentication - Trong một môi trường nơi TMG phải xác thực yêu
cầu bằng cách sử dụng các thông tin quan trọng của Windows, TMG phải sử
dụng các phương pháp xác thực Windows. Nếu các tài khoản người sử dụng là
một phần của một cấu trúc miền, TMG phải là thành viên của cùng một miền
hoặc một miền tin tưởng. Nếu không, các tài khoản người dùng phải được phản
ánh trong TMG - cơ sở dữ liệu local của SAM.
Non-Windows Authentication - Để chứng thực lưu lượng truy cập, Web
Proxy tìm nguồn cung ứng từ một mạng được bảo vệ nghe (thường gọi là
outbound traffic Web proxy), TMG có thể xác thực người dùng dựa trên
Windows hoặc RADIUS. Khi TMG sử dụng RADIUS xác thực, yêu cầu xác thực
từ TMG cho người dùng được xem như HTTP cơ bản.
Xác thực tải - Đối với Windows xác thực, thường một tên miền điều khiển. Đối
với Windows không xác thực, có thể được RADIUS hoặc đăng nhập máy chủ
LDAP dựa trên thư mục. Nếu thông tin không đáp ứng nhanh chóng, yêu cầu kết
quả tồn đọng sẽ làm suy yếu hiệu suất TMG và tạo ra một trải nghiệm người
dùng không thể chấp nhận được thường được diễn tả như "Internet là hết sức
chậm".
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 38
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5.4.Triển khai trong các môi trường ảo
TMG hỗ trợ trong các môi trường ảo. Khi lập kế hoạch triển khai như vậy, bạn phải xem xét
an ninh, chức năng, và các vấn đề quản lý để triển khai ảo hóa.
•
•
•
Network - Bởi vì mạng lưới thiết kế thường sử dụng trong môi trường ảo hóa, lưu
lượng mạng ảo thường là vô hình đối với việc giám sát mạng vật lý và hệ thống
quản lý.
Performance - Bởi vì tất cả các máy chủ trong một môi trường ảo đang chia sẻ các
nguồn tài nguyên của máy chủ, hiệu suất của một ứng dụng là không đáp được tính
chất hiệu suất của triển khai vật lý. Do thay đổi thời gian vốn có trong một máy chủ
ảo hóa, theo dõi hiệu suất của một máy chủ ảo hóa sử dụng thời gian riêng của
mình dựa trên bộ đếm hiệu suất có thể không chính xác.
Security - Nghiêm ngặt kiểm soát truy cập, chính sách quản lý thay đổi và thủ tục
máy chủ ảo và các máy ảo là tối quan trọng để đảm bảo an toàn triển khai ảo. Điều
này đặc biệt đúng trong trường hợp của Virtual Edge hoặc mạng vành đai, chẳng
hạn như những nơi TMG sẽ hoạt động.
6. PHÂN TÍCH YÊU CẦU MẠNG
Để kiểm soát tốt hơn mạng của bạn, bạn nên biết các ứng dụng đang chạy và giao thức họ
sử dụng, điều này cho phép bạn để tạo ra hồ sơ lưu lượng truy cập của bạn. Bằng việc xác
định các ứng dụng, xác định những người sở hữu các ứng dụng, và xác định các giao thức
và cấu trúc liên kết mạng, bạn có thể xác định tốt hơn nơi TMG nên được cài đặt và những
nguyên tắc mà bạn cần để tạo ra. Xác định địa chỉ IP trên mạng của bạn là một yếu tố
quan trọng cần được lưu lại trước khi cài đặt TMG. Trước khi bạn bắt đầu triển khai kích
thước TMG, bạn cần phải hiểu mạng và các mẫu lưu lượng truy cập mà TMG sẽ được yêu
cầu hỗ trợ. Điều này liên quan đến một vài bước, mỗi trong số đó có thể yêu cầu các chu kỳ
lặp đi lặp lại kiểm tra và phân tích.
7. XÁC ĐỊNH HỒ SƠ TRAFFIC
Một Hồ Sơ Traffic là một bản đồ của các giao thức ứng dụng được sử dụng trong hệ thống
của bạn. Có thể bao gồm các giao thức đơn giản như Simple Mail Transfer Protocol (SMTP)
hoặc các giao thức phức tạp như Remote Procedure Call (RPC) hoặc Distributed Component
Object Model (DCOM). Có lẽ điều khó khăn nhất cho bất kỳ mạng hoặc tường lửa cho quản
trị viên để xác định và duy trì một danh sách chính xác, đáng tin cậy của thông tin giao
thông mạng lưới của mình. Các bản đồ sau đây sẽ cung cấp các khối xây dựng của cách suy
nghĩ thông qua việc triển khai TMG của bạn về lưu lượng mạng và các giao thức, đôi khi gọi
tắt là hồ sơ lưu lượng truy cập mạng của bạn. Để xác định hồ sơ lưu lượng truy cập mạng
của bạn, bạn sẽ thực hiện các loại sau đây của bản đồ:
lập bản đồ mạng
lập bản đồ ứng dụng
lập bản đồ giao thức
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 39
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
7.1.Bản đồ mạng
Điều đầu tiên bạn phải làm là đạt được một sự hiểu biết tốt hơn về cơ sở hạ tầng mạng sẽ
được phục vụ bởi TMG. Ví dụ: công ty của bạn có thể là một tổ chức phân phối, với đa số
của bạn văn phòng tại Houston và các văn phòng vệ tinh ở London, Eilat, và Buenos Aires.
Bạn cần phải có một sự hiểu biết rõ ràng của các mạng này được kết nối, cũng như bất kỳ
tuyến đường sao lưu hoặc chia định tuyến cơ sở hạ tầng. Đặc biệt, TMG có thể không xử lý
được phân chia định tuyến. Hình II.7.1.1 là một ví dụ của một bản đồ mạng đơn giản.
Hình II.7.1.1 Ví dụ về bảng đồ mạng
Một đánh giá của các mạng trong Hình II.7.1.1 cho thấy rằng TMG nên được đặt gần các
tuyến đường phục vụ mỗi vị trí địa lý. Những gì bạn phải xem xét triển khai làm thế nào để
xử lý các trường hợp không thể tránh khỏi khi TMG không có sẵn. Ví dụ, nếu người sử
dụng ở Buenos Aires truy vấn proxy local của họ để truy cập Internet và proxy đó không
có, họ nên được chuyển proxy gần nhất tiếp theo là một đường dẫn sao lưu.
7.2.Bản đồ ứng dụng
Sau khi bạn đã xác định cơ sở hạ tầng mạng, bạn sử dụng nó để giúp xác định bản đồ ứng
dụng cho tổ chức của bạn. Bởi vì dịch vụ line-of-business có nhiều khả năng được tập
trung, bạn cần phải xem xét liệu bạn có thể triển khai TMG để giúp quản lý tải giao thông
cho những ứng dụng hoặc giúp cải thiện an ninh của những ứng dụng tương tự. Tại thời
điểm này bạn không nên ánh xạ các giao thức mạng được sử dụng bởi các ứng dụng
này.Bởi vì nhiều ứng dụng nội bộ có xu hướng dựa trên web hoặc hỗ trợ truy cập dựa trên
giao thức HTTP (ví dụ, Microsoft Exchange Server và Microsoft Office SharePoint Server),
bạn có thể sử dụng TMG cung cấp bảo mật để truy cập nội bộ cũng như bên ngoài đến các
ứng dụng bằng cách tạo ra một cấu trúc mạng mà tất cả các yêu cầu của người dùng cho
các ứng dụng đều thông qua TMG.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 40