Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
7.1.Bản đồ mạng
Điều đầu tiên bạn phải làm là đạt được một sự hiểu biết tốt hơn về cơ sở hạ tầng mạng sẽ
được phục vụ bởi TMG. Ví dụ: công ty của bạn có thể là một tổ chức phân phối, với đa số
của bạn văn phòng tại Houston và các văn phòng vệ tinh ở London, Eilat, và Buenos Aires.
Bạn cần phải có một sự hiểu biết rõ ràng của các mạng này được kết nối, cũng như bất kỳ
tuyến đường sao lưu hoặc chia định tuyến cơ sở hạ tầng. Đặc biệt, TMG có thể không xử lý
được phân chia định tuyến. Hình II.7.1.1 là một ví dụ của một bản đồ mạng đơn giản.
Hình II.7.1.1 Ví dụ về bảng đồ mạng
Một đánh giá của các mạng trong Hình II.7.1.1 cho thấy rằng TMG nên được đặt gần các
tuyến đường phục vụ mỗi vị trí địa lý. Những gì bạn phải xem xét triển khai làm thế nào để
xử lý các trường hợp không thể tránh khỏi khi TMG không có sẵn. Ví dụ, nếu người sử
dụng ở Buenos Aires truy vấn proxy local của họ để truy cập Internet và proxy đó không
có, họ nên được chuyển proxy gần nhất tiếp theo là một đường dẫn sao lưu.
7.2.Bản đồ ứng dụng
Sau khi bạn đã xác định cơ sở hạ tầng mạng, bạn sử dụng nó để giúp xác định bản đồ ứng
dụng cho tổ chức của bạn. Bởi vì dịch vụ line-of-business có nhiều khả năng được tập
trung, bạn cần phải xem xét liệu bạn có thể triển khai TMG để giúp quản lý tải giao thông
cho những ứng dụng hoặc giúp cải thiện an ninh của những ứng dụng tương tự. Tại thời
điểm này bạn không nên ánh xạ các giao thức mạng được sử dụng bởi các ứng dụng
này.Bởi vì nhiều ứng dụng nội bộ có xu hướng dựa trên web hoặc hỗ trợ truy cập dựa trên
giao thức HTTP (ví dụ, Microsoft Exchange Server và Microsoft Office SharePoint Server),
bạn có thể sử dụng TMG cung cấp bảo mật để truy cập nội bộ cũng như bên ngoài đến các
ứng dụng bằng cách tạo ra một cấu trúc mạng mà tất cả các yêu cầu của người dùng cho
các ứng dụng đều thông qua TMG.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 40
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Một điểm quan trọng ở đây là để xác định trường hợp các máy khách và máy chủ
giao tiếp qua Internet chứ không phải bằng cách sử dụng cấu trúc mạng riêng của bạn. Bảng
bản đồ ứng dụng cung cấp một ví dụ về một bảng vẽ bản đồ ứng dụng. Bản đồ này cung cấp
các dữ liệu cơ bản mà từ đó bạn sẽ xây dựng các phần tiếp theo của giao thông tin cá nhân
của bản đồ giao thức. Một khi bạn đã hài lòng với nội dung bản đồ ứng dụng, bạn nên lưu
trữ một nơi nào đó an toàn và thiết lập một lịch trình cho nhóm của bạn để xem xét và cập
nhật nó thường xuyên. Điều này đặc biệt đúng nếu tổ chức của bạn thay đổi ứng dụng
thường xuyên để nâng cấp hoặc chuyển đổi ứng dụng.
Hình II.7.2.1 Bảng đồ ứng dung mạng
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 41
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.7.2.2 Bản đồ giao thức mạng
Hình II.7.2.3 Bản đồ giao thức mạng (2)
1. Dyn = 1025-65535 trên win server 2k3 trờ về trước; 49152-65536 Dành cho Vista trở
lên
2. Nego = cổng kết nối được thiết lập giữa Client/Server
3. Chỉ cần thiết nếu server cấu hình dịch vụ LDAP-SSL
4. RFC chỉ định NTP client sử dụng nguồn UDP:123, nhưng Windows thường sử dụng
cổng động
5. Kết nối thứ 2 transport/protocols được thỏa thuận trong kênh điề khiển theo ứng
dụng của Client Winsock
6. FWM dược dùng bởi OEM để cung cấp sự quản lý của ISA server ko cần thông qua
MMC
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 42
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
7. Việc quản lý từ xa của ISA Server sử dụng ISA Managerment MMC. Liên quan đến
việc dùng cấu trúc RPC để giám sát trạng thái dịch vụ ISA
8. Việc cài đặt ISA server tạo ra một kết nối SMB tới CSS để chứng thực thồng qua lựa
chọn của user
Sau khi cơ sở hạ tầng mạng và các bản đồ ứng dụng được định nghĩa, bạn cần phải xác
định giao thức được sử dụng trên mạng của bạn. Hai giao thức phức và tạp khó khăn để
lập bản đồ chính xác là RPC và DCOM. Thông thường, cả hai đều bắt đầu với một kết nối
đến máy chủ RPC Endpoint Mapper tại cổng TCP 135. Tiếp theo là kết nối đến máy chủ của
ứng dụng lắng nghe cổng. Sự phức tạp này làm cho RPC và DCOM khó theo dõi và khó
khăn như nhau để vượt qua trên một bức tường lửa. TMG bao gồm một bộ lọc ứng dụng
mà hiểu Giao thức RPC, nhưng vì việc ký kết gói và mã hóa được sử dụng trong hầu hết
các DCOM truyền thông, TMG không thể hỗ trợ DCOM qua nó. Phức tạp hơn, các giao thức
đàm phán hỗ trợ ứng dụng các bộ lọc TMG bao gồm FTP, TFTP, SIP, Media Streaming
(RTSP, MMS), và PPTP. Hình II.7.2.4 minh họa ứng dụng các bộ lọc được cung cấp với
TMG.
Hình II.7.2.4 Bộ lọc ứng dụng trong TMG
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 43
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
8. GIẢI QUYẾT CÁC MẠNG PHỨC TẠP
Trong nhiều trường hợp, tường lửa thực sự phục vụ lưu lượng truy cập và từ các mạng mà
không phải là local firewall. Một ví dụ cấu trúc liên kết mạng như vậy hiển thị trong Hình
II.8.1.
Trong sơ đồ này, TMG phục vụ các host trong ba mạng: Houston, hoạt động trong subnet
192.168.1.0/24; Buenos Aires, hoạt động trong subnet 192.168.2.0/24 và London, hoạt
động trong subnet 192.168.3.0/24. Tất cả các văn phòng chi nhánh đang sử dụng TMG
(nằm trong trụ sở chính) là Web proxy, vì ví dụ này, cơ quan duy nhất có kết nối Internet
trực tiếp là chính văn phòng tại Houston.
Giống như ISA Server, TMG xác định mạng lưới dựa trên các địa chỉ nằm phía sau cụ thể
giao diện mạng. Hình II.8.1, các địa chỉ trong ba ID mạng khác nhau được đặt phía sau NIC
duy nhất trong TMG trong văn phòng Houston. Bạn sẽ sử dụng tất cả các địa chỉ này khi
xác định mạng TMG nằm phía sau NIC.
Hình II.8.1 Mô hình liên kế nhiều mạng
9. DNS TRONG TMG
TMG dựa trên Windows để phân giải tên và do đó bất kỳ sai lầm nào do cấu hình ở độ phân
giải tên Windows sẽ ảnh hưởng xấu đến TMG.
9.1.Hệ thống giải quyết tên phân giải như thế nào ?
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 44
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Windows phân giải tên sử dụng DNS như là phương pháp ưa thích của phân giải tên, tuy
nhiên, nếu tên không thể được giải quyết bằng DNS, hệ điều hành sẽ cố gắng để thực hiện
một NetBIOS phân giải tên. Đối với độ phân giải tên NetBIOS, hai phương pháp có thể được
sử dụng để giải quyết một tên: Windows Internet Name Service (WINS) và broadcast. Nếu
mạng của bạn không có một máy chủ WINS, Windows sẽ cố gắng để giải quyết các tên
bằng cách gửi một broadcast cho NetBIOS (phần tên máy chủ của tên miền đầy đủ, hoặc
FQDN). Ví dụ, khi bạn chạy các lệnh ping srv1.contoso.com, Windows sẽ cố gắng mặc định
các bước:
1) Kiểm tra xem tên máy chủ local giống như tên nó để giải quyết (Srv1).
2) Kiểm tra xem các tập tin local HOSTS có tên này không.
3) Truy vấn DNS server đầu tiên trong ngăn xếp TCP/IP.
Các điều hành sẽ gửi một truy vấn đến máy chủ đầu tiên của bộ chuyển đổi danh sách
tìm kiếm đó là lý do tại sao nó quan trọng phải có bộ chuyển đổi nội bộ ở phía trên của
danh sách và chờ đợi 1 giây cho một phản ứng. Nếu hệ thống điều hành không
nhận được một phản ứng từ máy chủ đầu tiên trong vòng một giây, nó sẽ gửi truy vấn
đến DNS đầu tiên máy chủ trên tất cả các bộ điều hợp và chờ đợi hai giây cho một phản
ứng. Quá trình này lặp đi lặp lại trong chu kỳ của hai, bốn và tám giây tương ứng.
Nếu Windows nhận được một phản ứng tích cực từ các máy chủ DNS, nó dừng lại truy
vấn cho tên, cho biết thêm các phản ứng vào bộ nhớ cache DNS, và trả về đáp ứng cho
người dùng. Quan trọng là Bạn có thể theo dõi số lượng thất bại phân giải tên bằng
cách mở Performance Monitor, thêm các đối tượng dịch vụ Microsoft Firewall, và giám
sát Failed DNS Resolutions Counter.
4) Thực hiện phân giải tên NetBIOS nếu kết hợp không được tìm thấy.
Windows sử dụng phân giải tên NetBIOS nếu mọi nỗ lực để giải quyết tên máy chủ DNS
sai. Windows tương thích với RFC 1001 và 1002, trong đó xác định dịch vụ NetBIOS cho
TCP và UDP. Một trong những cách thức mà hệ điều hành tương thích bằng cách thiết
lập các loại nút. Mặc định, Windows sử dụng loại broadcast node (BNode), tuy nhiên,
thiết lập này có thể được thay đổi trong registry. Các giá trị có thể là:
•
•
•
Peer Node Type (PNode) Gửi một truy vấn trực tiếp đến một máy chủ tên
NetBIOS (Ví dụ, WINS).
Mixed Node Type (MNode) Gửi một gói tin broadcast đầu tiên và nếu không
giải quyết được tên, nó sẽ gửi một truy vấn trực tiếp đến máy chủ tên NetBIOS
(WINS). Đây cũng được gọi là B+P (BNode+PNode).
Hybrid Node Type (HNode) Gửi một truy vấn trực tiếp với tên NetBIOS máy
chủ và nếu nó không giải quyết được, sẽ gửi một gói tin broadcast. Điều này còn
được gọi là P+B.
5) Nếu Hybrid Node Type được sử dụng, quá trình phân giải tên vẫn được tiếp tục theo
cách sau đây:
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 45