1. Trang chủ >
  2. Công nghệ thông tin >
  3. Quản trị mạng >

CÁC LOẠI TMG CLIENT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )


TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867











ProxyEnable Nếu giá trị DWORD là 0, trình duyệt cần truy cập vào Internet trực

tiếp. Nếu giá trị là 1, các trình duyệt đang sử dụng một proxy để truy cập Internet.

ProxyServer giá trị REG_SZ này quy định cụ thể tên và cổng được sử dụng máy

chủ Proxy.

ProxyOverride Sử dụng giá trị REG_SZ để quản lý các địa chỉ địa phương và không

nên vượt qua máy chủ Proxy.



INTERNET_OPEN_TYPE_DIRECT, có nghĩa là các ứng dụng sẽ không sử dụng một Web

proxy và sẽ truy cập Internet trực tiếp. Ứng dụng cũng có thể sử dụng các thiết lập

registry

hiện

tại

cho

proxy

bằng

cách

sử

dụng

loại

truy

cập

INTERNET_OPEN_TYPE_PRECONFIG.



Hình II.12.1.1 Thiết lập proxy cho Internet Explorer



12.2.



Web Proxy Client làm việc như thế nào?



Nhiều ứng dụng có thể hoạt động như một máy khách Web proxy. Tuy nhiên, trình duyệt

Web là thường sử dụng ứng dụng cấu hình để làm như vậy. Ví dụ sau đây sử dụng một

trình duyệt Web để chứng minh làm thế nào một client Web proxy sẽ gửi một yêu cầu HTTP

đến TMG. Trong ví dụ này, các trình duyệt Web được cấu hình để sử dụng TMG như là một

Proxy Web và người dùng truy cập http://www.contoso.com.

Client gửi một HTTP GET yêu cầu TMG trên các cổng lắng nghe client Web proxy yêu cầu.

Theo mặc định, TMG được cấu hình để cho phép các kết nối client Web proxy trên TCP

cổng 8080. Sau khi TMG nhận được các kết nối từ máy khách Web Proxy, Microsoft Firewall

kiểm tra quy tắc truy cập để xác định những quy tắc áp dụng cho HTTP được xác định

trước giao thức định nghĩa (port 80). Điều này xác định xem yêu cầu được cho phép hoặc bị

từ chối từ nguồn đến các máy chủ đích.

Trong khi thực hiện việc kiểm tra dịch vụ Firewall thực hiện phân giải tên DNS để xác định

xem một quy tắc dựa trên địa chỉ IP này áp dụng cho yêu cầu. Nếu yêu cầu là được cho

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 57



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



phép, Firewall chuyển tiếp dịch vụ yêu cầu đến bộ lọc Web Proxy, kết nối đến máy chủ đích

trên cổng quy định trong URL (mặc định cổng 80).

Nếu cần thiết, TMG cũng sẽ yêu cầu client cho các thông tin bằng cách sử dụng HTTP

xác thực (NTLM, Negotiate, Basic, Digest, Kerberos)

TMG thực hiện lọc lớp ứng dụng cho các yêu cầu HTTP từ các client Web Proxy. Hình

II.12.2.1 cho thấy các thành phần cốt lõi được sử dụng bởi TMG cho yêu cầu này.



Hình II.12.2.1 Thành phần cốt lõi của TMG trong xử lý HTTP request từ web proxy client



Trình tự sau đây được sử dụng khi một client Web proxy yêu cầu một nguồn tài nguyên

HTTP. Tuy nhiên, nếu người dùng đang sử dụng giao thức HTTPS (HTTP trên SSL) trong

một URL, trình tự là hơi khác nhau. Bất kỳ trình duyệt Web CERN tuân thủ bắt đầu yêu cầu

kết nối SSL bằng cách gửi HTTP CONNECT (CONNECT host_name: cổng HTTP/1.1), tiếp

theo là các bước sau:

1) Trình duyệt sẽ gửi một yêu cầu HTTP CONNECT đến Web Listener TMG proxy.

2) Các dịch vụ kiểm tra chính sách để xác định xem yêu cầu có thể được gửi từ nguồn

(client) đến các điểm đến (Web Server) sử dụng giao thức HTTP.

3) Giả sử rằng yêu cầu là được cho phép, Firewall chuyển tiếp dịch vụ yêu cầu bộ lọc

Web Proxy.

4) Các bộ lọc Web Proxy xác định liệu các port quy định trong yêu cầu CONNECT được

bao gồm trong một phạm vi cổng đường hầm được xác định trong TMG. (Theo mặc

định, chỉ có TCP port 443 cho phép các kết nối SSL). Nếu số cổng yêu cầu của client

được cho phép, bộ lọc Web Proxy kết nối với các máy chủ đích trên cổng đó.

5) Yêu cầu được gửi đến các máy chủ đích.

6) Khi hoạt động này thành công, TMG phản ứng với một mã trạng thái HTTP 200 để

thông báo cho client biết kết nối đã được thiết lập.

Sau đó TMG đi vào chế độ đường ngầm để tiến hành bắt tay SSL giữa các Clients và máy

chủ đích. Hình II.12.2.2 minh họa các bước sau.

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 58



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình 1 HTTP request từ web proxy client đến TMG



Theo mặc định chỉ có hai cổng được cho phép bởi TMG cho SSL đường hầm: cổng

TCP 443 và cổng TCP 593.

12.3.



Cấu hình Server-Side



Theo mặc định, TMG đã cho phép truy cập cho Web Proxy Client nằm trên mạng nội bộ

mặc định. Cổng mặc định lắng nghe là TCP cổng 8080. Bạn có thể xác nhận điều này bằng

cách làm theo các bước sau:

1) Mở Forefront TMG Management Console.

2) Mở rộng nút Forefront TMG (Name Server) trong khung bên trái.

3) Nhấp vào nút mạng ở khung bên trái và sau đó nhấp vào tab mạng ở giữa cửa sổ.

Nhấp vào mạng nội bộ.

4) Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.

5) Trong hộp thoại Internal Properties, nhấn vào tab Web Proxy.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 59



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.12.3.1 Cấu hình web proxy trong TMG



12.4.



Sử dụng Web Proxy Client



Bảng II.12.4.1 thống kê nhu cầu với TMG client



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 60



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Mặc dù sử dụng cấu hình Web proxy máy khách có nhiều ưu điểm song nó cũng có một số

hạn chế. Các hạn chế chính là hỗ trợ giao thức. Web Proxy Client hỗ trợ các giao thức sau

đây: Hypertext Transfer Protocol (HTTP), HTTP qua SSL (HTTPS), File Transfer Protocol

(FTP) để yêu cầu tải về (Máy vi tính cấu hình là Web proxy client không hỗ trợ upload) Điều

này có nghĩa rằng nếu bạn cần truy cập vào một ứng dụng sử dụng Winsock, Web Proxy

Client sẽ không làm việc cho yêu cầu đó.

12.5.



SecureNET Clients



Bất kỳ máy tính với một chồng mạng TCP/IP có thể được cấu hình như một client

SecureNET. Yêu cầu duy nhất là cấu hình cổng mặc định để định tuyến tất cả lưu lượng

truy cập đến Internet thông qua TMG. Lưu lượng truy cập có thể được chuyển thông qua

một bộ định tuyến nếu máy tính có subnet khác với TMG.

Đối với TMG hỗ trợ client SecureNET, nó cần ít nhất hai card mạng. SecureNET Client tham

gia vào một trong hai loại mạng:





Mạng đơn giản - trong cấu hình được hiển thị trong hình II.12.5.1, client và TMG

là trên cùng một mạng con, và tất cả những gì cần phải được cấu hình trên máy

khách là gateway mặc định địa chỉ IP trên giao diện mạng nội bộ của TMG.



Hình II.12.5.1 Mô hình mạng đơn giản







Mạng phức tạp - trong cấu hình được hiển thị trong Hình II.12.5.2, TMG và

SecureNET Client được đặt trên các mạng con khác nhau, với một hoặc nhiều bộ

định tuyến ngăn cách các SecureNET Client từ TMG. Trong mạng này, các bộ định

tuyến trong chuỗi giữa client và TMG cần phải có cổng mặc định của nó chỉ đến địa

chỉ IP nội bộ của TMG.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 61



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.12.5.2 Mô hình mạng phức tạp



12.6.



SecureNet Client làm việc như thế nào?



Các dịch vụ Firewall xử lý các yêu cầu từ SecureNET Client. Giao thông SecureNET nhận

được NDIS TMG Miniport, thông qua các bộ lọc gói tin, và sau đó thông qua các dịch vụ

Firewall để xác định xem yêu cầu được cho phép hoặc bị từ chối. Tại thời điểm này, các

dịch vụ Firewall xác định xem các yêu cầu nên được lưu trữ hay những nội dung cần được

trả lại từ bộ nhớ cache. Nếu chính sách TMG cho phép lưu lượng truy cập này, nó được

thông qua gói lọc TMG, nơi mà bản gốc SecureNET IP của client được thay thế bằng một

địa chỉ IP bên ngoài.

Name resolution for SecureNet Clients



Hình II.12.6.1 Loopback DNS



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 62



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



1) Các client SecureNET sẽ gửi một yêu cầu truy vấn DNS đến máy chủ DNS để giải quyết

tên Web của máy chủ.

2) Các máy chủ DNS trả lời với địa chỉ IP của TMG bên ngoài.

3) SecureNET chuyển tiếp yêu cầu client đến địa chỉ IP nội bộ của TMG.

4) Yêu cầu vòng trở lại từ địa chỉ IP TMG bên ngoài chỉ IP nội bộ của TMG.

5) TMG chuyển tiếp yêu cầu đến máy chủ Web nội bộ.

Bạn có thể tránh tình hình Loopback bằng cách sử dụng một cơ sở hạ tầng DNS phân chia

hoặc bằng cách bảo đảm rằng máy chủ DNS mà client SecureNET được cấu hình để sử

dụng giải quyết tên của máy chủ Web Publish đến địa chỉ IP nội bộ của máy chủ web riêng

của mình. Vì vậy yêu cầu đi trực tiếp đến máy chủ Web thay vì được định tuyến thông qua

TMG.

12.7.



SecureNet Client advantages



Các client SecureNET là lựa chọn duy nhất của bạn để hỗ trợ các giao thức không phải Web

cho Non-Windows Client. Vấn đề là TMG client không được hỗ trợ client không phải

Windows. Như vậy, client SecureNET là lựa chọn duy nhất của bạn hỗ trợ giao thức web

cho client không phải là Windows. Các client SecureNET là loại client duy nhất có hỗ trợ

giao thức Non-TCP/UDP. Hai các giao thức Non-TCP/UDP phổ biến nhất được sử dụng bởi

các quản trị viên TMG là ICMP và PPTP. PPTP sử dụng một sự kết hợp của cổng TCP 1743

và Generic Routing Encapsulation (GRE), trong đó sử dụng giao thức IP 47. ICMP và GRE

thay thế UDP hoặc TCP như trong phần giao thức vận chuyển của mạng stack và do đó

không thể bị chặn và đánh giá bởi phần mềm máy khách TMG.

12.8.



SecureNet Client Disadvantages



Nhược điểm lớn nhất của client SecureNET là không có khả năng để xác thực đến TMG.

TCP/IP lớp 4 (mô hình OSI) không cung cấp xác thực người dùng và đòi hỏi một thành

phần ứng dụng để gửi thông tin người dùng. Không giống như các TMG client hoặc proxy

Web client có khả năng gửi thông tin người dùng, SecureNET client không thể thực thi các

quy tắc dựa trên người dùng hoặc nhóm. Cách duy nhất để cung cấp hạn chế truy cập cho

các client SecureNET là thiết lập các quy tắc dựa trên địa chỉ IP nguồn và địa chỉ IP đích và

domains. SecureNET client yêu cầu bộ lọc ứng dụng TMG để hỗ trợ các giao thức phức tạp

(giao thức đòi hỏi phải có nhiều kết nối chính hoặc thứ cấp).



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 63



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.12.8.1 Ưu và nhược điểm của SecureNET Client



12.9.



Forefront TMG Client



Hình II.12.9.1 cho thấy tab Forefront TMG client trong hộp thoại Default Internal Network

Properties.



Hình II.12.9.1 Forefront TMG Client tab



Nhập tên vào trường Forefront TMG name or IP address để TMG xác định các thiết lập này.

Nếu không, TMGC sẽ không thể để kết nối với TMG. Ngoài ra, bạn có thể nhập địa chỉ IP

được sử dụng bởi TMG trong mạng này để tránh các vấn đề phân giải tên.

Hình II.12.9.2 cung cấp một ví dụ về hộp thoại TMG Forefront Client Settings.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 64



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II 12.9.2 Forefront TMG Client Setting



TMG Client Authentication sử dụng một trong hai cơ chế xác thực:







Nếu TMGC là một thành viên không thuộc domain, NTLM SSPI được sử dụng.

Nếu TMGC và TMG là trong các domain tin cậy, Kerberos SSPI được sử dụng.



Bảng II.12.9.1 Độ ưu tiên khi lựa chọn TMG client



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 65



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Bảng II.12.9.2 Những phiên bản Client phù hợp với từng nhu cầu



SECURE NAT



FIREWALL

CLIENT



WEB PROXY



Không cần cài đặt ứng

dụng nào



Không cần cài đặt

ứng dụng



Khai báo Default gateway

định tuyến đến Internal

của TMG



Khai báo tên hoặc IP

và port 8080 cho

Proxy Server



Hệ Điều

Hành



Hỗ trợ TCP/IP



Hỗ trợ trình duyệt

web



windows



Giao Thức



Các giao thức Multiconnections nếu TMG kích

hoạt application filter

tương ứng



HTTP, HTTPS, FTP &

FTPS



Mọi giao thức



Chứng Thực



Không











Cài Đặt



Cài đặt chương

trình Firewall

Client



Bảng II.12.9.3 So sánh những tính năng giữa SecureNAT, Web Porxy và Firewall Client



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 66



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



13.GIAO DIỆN TMG

13.1.



TMG 2010



Hình II.13.1.1 cho thấy TMG chính 2010 giao diện điều khiển.



Hình 2 II.13.1.1 Giao diện chính của TMG 2010



Các khung bên trái cho thấy các nút đã được thêm vào hoặc sửa đổi từ TMG MBE, đó là:











E-Mail Policy tùy chọn này cho phép bạn cấu hình bảo vệ SMTP "Tăng cường bảo

vệ E-Mail".

Intrusion Prevention System Ở đây bạn có thể cấu hình bảo vệ mạng "Mạng lưới

kiểm tra hệ thống."

Remote Access Policy (VPN) tùy chọn này được gọi là Virtual Private Network

(VPN), cho phép truy cập từ xa thông qua TMG.

Logs & Reports đây không phải là một tùy chọn mới. Hình II.13.1.2 so sánh TMG

MBE và TMG 2010.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 67



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.docx) (249 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×