Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
•
•
•
ProxyEnable Nếu giá trị DWORD là 0, trình duyệt cần truy cập vào Internet trực
tiếp. Nếu giá trị là 1, các trình duyệt đang sử dụng một proxy để truy cập Internet.
ProxyServer giá trị REG_SZ này quy định cụ thể tên và cổng được sử dụng máy
chủ Proxy.
ProxyOverride Sử dụng giá trị REG_SZ để quản lý các địa chỉ địa phương và không
nên vượt qua máy chủ Proxy.
INTERNET_OPEN_TYPE_DIRECT, có nghĩa là các ứng dụng sẽ không sử dụng một Web
proxy và sẽ truy cập Internet trực tiếp. Ứng dụng cũng có thể sử dụng các thiết lập
registry
hiện
tại
cho
proxy
bằng
cách
sử
dụng
loại
truy
cập
INTERNET_OPEN_TYPE_PRECONFIG.
Hình II.12.1.1 Thiết lập proxy cho Internet Explorer
12.2.
Web Proxy Client làm việc như thế nào?
Nhiều ứng dụng có thể hoạt động như một máy khách Web proxy. Tuy nhiên, trình duyệt
Web là thường sử dụng ứng dụng cấu hình để làm như vậy. Ví dụ sau đây sử dụng một
trình duyệt Web để chứng minh làm thế nào một client Web proxy sẽ gửi một yêu cầu HTTP
đến TMG. Trong ví dụ này, các trình duyệt Web được cấu hình để sử dụng TMG như là một
Proxy Web và người dùng truy cập http://www.contoso.com.
Client gửi một HTTP GET yêu cầu TMG trên các cổng lắng nghe client Web proxy yêu cầu.
Theo mặc định, TMG được cấu hình để cho phép các kết nối client Web proxy trên TCP
cổng 8080. Sau khi TMG nhận được các kết nối từ máy khách Web Proxy, Microsoft Firewall
kiểm tra quy tắc truy cập để xác định những quy tắc áp dụng cho HTTP được xác định
trước giao thức định nghĩa (port 80). Điều này xác định xem yêu cầu được cho phép hoặc bị
từ chối từ nguồn đến các máy chủ đích.
Trong khi thực hiện việc kiểm tra dịch vụ Firewall thực hiện phân giải tên DNS để xác định
xem một quy tắc dựa trên địa chỉ IP này áp dụng cho yêu cầu. Nếu yêu cầu là được cho
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 57
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
phép, Firewall chuyển tiếp dịch vụ yêu cầu đến bộ lọc Web Proxy, kết nối đến máy chủ đích
trên cổng quy định trong URL (mặc định cổng 80).
Nếu cần thiết, TMG cũng sẽ yêu cầu client cho các thông tin bằng cách sử dụng HTTP
xác thực (NTLM, Negotiate, Basic, Digest, Kerberos)
TMG thực hiện lọc lớp ứng dụng cho các yêu cầu HTTP từ các client Web Proxy. Hình
II.12.2.1 cho thấy các thành phần cốt lõi được sử dụng bởi TMG cho yêu cầu này.
Hình II.12.2.1 Thành phần cốt lõi của TMG trong xử lý HTTP request từ web proxy client
Trình tự sau đây được sử dụng khi một client Web proxy yêu cầu một nguồn tài nguyên
HTTP. Tuy nhiên, nếu người dùng đang sử dụng giao thức HTTPS (HTTP trên SSL) trong
một URL, trình tự là hơi khác nhau. Bất kỳ trình duyệt Web CERN tuân thủ bắt đầu yêu cầu
kết nối SSL bằng cách gửi HTTP CONNECT (CONNECT host_name: cổng HTTP/1.1), tiếp
theo là các bước sau:
1) Trình duyệt sẽ gửi một yêu cầu HTTP CONNECT đến Web Listener TMG proxy.
2) Các dịch vụ kiểm tra chính sách để xác định xem yêu cầu có thể được gửi từ nguồn
(client) đến các điểm đến (Web Server) sử dụng giao thức HTTP.
3) Giả sử rằng yêu cầu là được cho phép, Firewall chuyển tiếp dịch vụ yêu cầu bộ lọc
Web Proxy.
4) Các bộ lọc Web Proxy xác định liệu các port quy định trong yêu cầu CONNECT được
bao gồm trong một phạm vi cổng đường hầm được xác định trong TMG. (Theo mặc
định, chỉ có TCP port 443 cho phép các kết nối SSL). Nếu số cổng yêu cầu của client
được cho phép, bộ lọc Web Proxy kết nối với các máy chủ đích trên cổng đó.
5) Yêu cầu được gửi đến các máy chủ đích.
6) Khi hoạt động này thành công, TMG phản ứng với một mã trạng thái HTTP 200 để
thông báo cho client biết kết nối đã được thiết lập.
Sau đó TMG đi vào chế độ đường ngầm để tiến hành bắt tay SSL giữa các Clients và máy
chủ đích. Hình II.12.2.2 minh họa các bước sau.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 58
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1 HTTP request từ web proxy client đến TMG
Theo mặc định chỉ có hai cổng được cho phép bởi TMG cho SSL đường hầm: cổng
TCP 443 và cổng TCP 593.
12.3.
Cấu hình Server-Side
Theo mặc định, TMG đã cho phép truy cập cho Web Proxy Client nằm trên mạng nội bộ
mặc định. Cổng mặc định lắng nghe là TCP cổng 8080. Bạn có thể xác nhận điều này bằng
cách làm theo các bước sau:
1) Mở Forefront TMG Management Console.
2) Mở rộng nút Forefront TMG (Name Server) trong khung bên trái.
3) Nhấp vào nút mạng ở khung bên trái và sau đó nhấp vào tab mạng ở giữa cửa sổ.
Nhấp vào mạng nội bộ.
4) Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.
5) Trong hộp thoại Internal Properties, nhấn vào tab Web Proxy.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 59
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.12.3.1 Cấu hình web proxy trong TMG
12.4.
Sử dụng Web Proxy Client
Bảng II.12.4.1 thống kê nhu cầu với TMG client
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 60
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Mặc dù sử dụng cấu hình Web proxy máy khách có nhiều ưu điểm song nó cũng có một số
hạn chế. Các hạn chế chính là hỗ trợ giao thức. Web Proxy Client hỗ trợ các giao thức sau
đây: Hypertext Transfer Protocol (HTTP), HTTP qua SSL (HTTPS), File Transfer Protocol
(FTP) để yêu cầu tải về (Máy vi tính cấu hình là Web proxy client không hỗ trợ upload) Điều
này có nghĩa rằng nếu bạn cần truy cập vào một ứng dụng sử dụng Winsock, Web Proxy
Client sẽ không làm việc cho yêu cầu đó.
12.5.
SecureNET Clients
Bất kỳ máy tính với một chồng mạng TCP/IP có thể được cấu hình như một client
SecureNET. Yêu cầu duy nhất là cấu hình cổng mặc định để định tuyến tất cả lưu lượng
truy cập đến Internet thông qua TMG. Lưu lượng truy cập có thể được chuyển thông qua
một bộ định tuyến nếu máy tính có subnet khác với TMG.
Đối với TMG hỗ trợ client SecureNET, nó cần ít nhất hai card mạng. SecureNET Client tham
gia vào một trong hai loại mạng:
•
Mạng đơn giản - trong cấu hình được hiển thị trong hình II.12.5.1, client và TMG
là trên cùng một mạng con, và tất cả những gì cần phải được cấu hình trên máy
khách là gateway mặc định địa chỉ IP trên giao diện mạng nội bộ của TMG.
Hình II.12.5.1 Mô hình mạng đơn giản
•
Mạng phức tạp - trong cấu hình được hiển thị trong Hình II.12.5.2, TMG và
SecureNET Client được đặt trên các mạng con khác nhau, với một hoặc nhiều bộ
định tuyến ngăn cách các SecureNET Client từ TMG. Trong mạng này, các bộ định
tuyến trong chuỗi giữa client và TMG cần phải có cổng mặc định của nó chỉ đến địa
chỉ IP nội bộ của TMG.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 61
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.12.5.2 Mô hình mạng phức tạp
12.6.
SecureNet Client làm việc như thế nào?
Các dịch vụ Firewall xử lý các yêu cầu từ SecureNET Client. Giao thông SecureNET nhận
được NDIS TMG Miniport, thông qua các bộ lọc gói tin, và sau đó thông qua các dịch vụ
Firewall để xác định xem yêu cầu được cho phép hoặc bị từ chối. Tại thời điểm này, các
dịch vụ Firewall xác định xem các yêu cầu nên được lưu trữ hay những nội dung cần được
trả lại từ bộ nhớ cache. Nếu chính sách TMG cho phép lưu lượng truy cập này, nó được
thông qua gói lọc TMG, nơi mà bản gốc SecureNET IP của client được thay thế bằng một
địa chỉ IP bên ngoài.
Name resolution for SecureNet Clients
Hình II.12.6.1 Loopback DNS
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 62
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
1) Các client SecureNET sẽ gửi một yêu cầu truy vấn DNS đến máy chủ DNS để giải quyết
tên Web của máy chủ.
2) Các máy chủ DNS trả lời với địa chỉ IP của TMG bên ngoài.
3) SecureNET chuyển tiếp yêu cầu client đến địa chỉ IP nội bộ của TMG.
4) Yêu cầu vòng trở lại từ địa chỉ IP TMG bên ngoài chỉ IP nội bộ của TMG.
5) TMG chuyển tiếp yêu cầu đến máy chủ Web nội bộ.
Bạn có thể tránh tình hình Loopback bằng cách sử dụng một cơ sở hạ tầng DNS phân chia
hoặc bằng cách bảo đảm rằng máy chủ DNS mà client SecureNET được cấu hình để sử
dụng giải quyết tên của máy chủ Web Publish đến địa chỉ IP nội bộ của máy chủ web riêng
của mình. Vì vậy yêu cầu đi trực tiếp đến máy chủ Web thay vì được định tuyến thông qua
TMG.
12.7.
SecureNet Client advantages
Các client SecureNET là lựa chọn duy nhất của bạn để hỗ trợ các giao thức không phải Web
cho Non-Windows Client. Vấn đề là TMG client không được hỗ trợ client không phải
Windows. Như vậy, client SecureNET là lựa chọn duy nhất của bạn hỗ trợ giao thức web
cho client không phải là Windows. Các client SecureNET là loại client duy nhất có hỗ trợ
giao thức Non-TCP/UDP. Hai các giao thức Non-TCP/UDP phổ biến nhất được sử dụng bởi
các quản trị viên TMG là ICMP và PPTP. PPTP sử dụng một sự kết hợp của cổng TCP 1743
và Generic Routing Encapsulation (GRE), trong đó sử dụng giao thức IP 47. ICMP và GRE
thay thế UDP hoặc TCP như trong phần giao thức vận chuyển của mạng stack và do đó
không thể bị chặn và đánh giá bởi phần mềm máy khách TMG.
12.8.
SecureNet Client Disadvantages
Nhược điểm lớn nhất của client SecureNET là không có khả năng để xác thực đến TMG.
TCP/IP lớp 4 (mô hình OSI) không cung cấp xác thực người dùng và đòi hỏi một thành
phần ứng dụng để gửi thông tin người dùng. Không giống như các TMG client hoặc proxy
Web client có khả năng gửi thông tin người dùng, SecureNET client không thể thực thi các
quy tắc dựa trên người dùng hoặc nhóm. Cách duy nhất để cung cấp hạn chế truy cập cho
các client SecureNET là thiết lập các quy tắc dựa trên địa chỉ IP nguồn và địa chỉ IP đích và
domains. SecureNET client yêu cầu bộ lọc ứng dụng TMG để hỗ trợ các giao thức phức tạp
(giao thức đòi hỏi phải có nhiều kết nối chính hoặc thứ cấp).
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 63
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.12.8.1 Ưu và nhược điểm của SecureNET Client
12.9.
Forefront TMG Client
Hình II.12.9.1 cho thấy tab Forefront TMG client trong hộp thoại Default Internal Network
Properties.
Hình II.12.9.1 Forefront TMG Client tab
Nhập tên vào trường Forefront TMG name or IP address để TMG xác định các thiết lập này.
Nếu không, TMGC sẽ không thể để kết nối với TMG. Ngoài ra, bạn có thể nhập địa chỉ IP
được sử dụng bởi TMG trong mạng này để tránh các vấn đề phân giải tên.
Hình II.12.9.2 cung cấp một ví dụ về hộp thoại TMG Forefront Client Settings.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 64
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II 12.9.2 Forefront TMG Client Setting
TMG Client Authentication sử dụng một trong hai cơ chế xác thực:
•
•
Nếu TMGC là một thành viên không thuộc domain, NTLM SSPI được sử dụng.
Nếu TMGC và TMG là trong các domain tin cậy, Kerberos SSPI được sử dụng.
Bảng II.12.9.1 Độ ưu tiên khi lựa chọn TMG client
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 65
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bảng II.12.9.2 Những phiên bản Client phù hợp với từng nhu cầu
SECURE NAT
FIREWALL
CLIENT
WEB PROXY
Không cần cài đặt ứng
dụng nào
Không cần cài đặt
ứng dụng
Khai báo Default gateway
định tuyến đến Internal
của TMG
Khai báo tên hoặc IP
và port 8080 cho
Proxy Server
Hệ Điều
Hành
Hỗ trợ TCP/IP
Hỗ trợ trình duyệt
web
windows
Giao Thức
Các giao thức Multiconnections nếu TMG kích
hoạt application filter
tương ứng
HTTP, HTTPS, FTP &
FTPS
Mọi giao thức
Chứng Thực
Không
Có
Có
Cài Đặt
Cài đặt chương
trình Firewall
Client
Bảng II.12.9.3 So sánh những tính năng giữa SecureNAT, Web Porxy và Firewall Client
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 66
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
13.GIAO DIỆN TMG
13.1.
TMG 2010
Hình II.13.1.1 cho thấy TMG chính 2010 giao diện điều khiển.
Hình 2 II.13.1.1 Giao diện chính của TMG 2010
Các khung bên trái cho thấy các nút đã được thêm vào hoặc sửa đổi từ TMG MBE, đó là:
•
•
•
•
E-Mail Policy tùy chọn này cho phép bạn cấu hình bảo vệ SMTP "Tăng cường bảo
vệ E-Mail".
Intrusion Prevention System Ở đây bạn có thể cấu hình bảo vệ mạng "Mạng lưới
kiểm tra hệ thống."
Remote Access Policy (VPN) tùy chọn này được gọi là Virtual Private Network
(VPN), cho phép truy cập từ xa thông qua TMG.
Logs & Reports đây không phải là một tùy chọn mới. Hình II.13.1.2 so sánh TMG
MBE và TMG 2010.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 67