Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
15.2.
NAT Relationships
Một mối quan hệ NAT thông báo TMG rằng nó phải áp dụng chỉnh sửa địa chỉ IP cho traffic
mạng khi nó đi giữa các máy chủ.
Một mối quan hệ NAT định nghĩa một mối quan hệ một chiều traffic qua TMG, có nghĩa là,
địa chỉ IP đại diện cho các máy chủ ở phía nguồn của mối quan hệ sẽ luôn luôn được thay
đổi. Các hành vi cho các địa chỉ IP máy chủ ở phía đích của mối quan hệ phụ thuộc vào loại
quy tắc tường lửa được sử dụng để xử lý lưu lượng truy cập. Bạn có thể xác định hai hình
thức NAT:
•
•
Full-NAT Trong trường hợp này, địa chỉ đích là thay đổi để phù hợp với địa chỉ IP
các máy chủ được công bố và địa chỉ IP nguồn được thay đổi để phản ánh TMG mặc
định địa chỉ IP trong mạng có liên quan.
Half-NAT Trong trường hợp này, chỉ có địa chỉ đích là thay đổi để phù hợp với địa
chỉ IP các máy chủ Publish. Các địa chỉ nguồn không thay đổi.
Hình II.15.2.1 và loại qui tắc danh sách sau minh họa cho hành vi lưu lượng truy cập khác
nhau trên toàn một mối quan hệ NAT.
Hình II.15.2.1 NAT Relationships
•
•
Access Rules Các địa chỉ IP cho các máy chủ trong mạng đích sẽ vẫn không
thay đổi cho tất cả lưu lượng truy cập. Địa chỉ IP cho các máy chủ trong mạng
nguồn sẽ được thay đổi theo cấu hình mạng quy tắc mối quan hệ.
Publishing Rules địa chỉ IP cho các máy chủ trong mạng đích sẽ được thay
đổi theo các thiết lập được minh họa trong hình II.15.2.2 và II.15.2.3.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 80
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.15.2.2 Half NAT publishing (default)
Hình II.15.2.3 Full NAT publishing
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 81
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.15.2.4 mô tả các tùy chọn mặc định cho bất kỳ quy tắc mạng NAT
Hình II.15.2.4 Lựa chọn địa chỉ NAT mặc định
TMG cung cấp ba sự lựa chọn cho hành vi này:
Luôn luôn sử dụng địa chỉ IP mặc định tùy chọn này gây ra TMG hành vi ứng xử giống như
ISA 2006. Lưu lượng có nguồn gốc từ mạng nguồn được sử dụng trong quy tắc này sẽ
được nhận trong các mạng đích với một địa chỉ IP nguồn đại diện mặc định của TMG Địa
chỉ IP trong mạng đích. Hình II.15.2.5 minh họa hành vi này bằng cách sử dụng
192.168.0.1 là địa chỉ IP mặc định TMG.
Hình II.15.2.5 Default NAT
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 82
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Sử dụng địa chỉ IP được lựa chọn tùy chọn này sẽ cấu hình tường lửa TMG hoặc proxy
hoặc một mảng TMG kích hoạt NLB sử dụng một địa chỉ IP (IP ảo cho các cụm NLB) để đại
diện cho traffic có nguồn gốc từ mạng nguồn. Hình 90 minh họa điều này hành vi cho một
mảng TMG NLB cho phép sử dụng 192.168.0.3 là địa chỉ IP ảo.
Hình II.15.2.6 Single-IP (NLB) NAT
Sử dụng địa chỉ IP được lựa chọn cho mỗi mạng tùy chọn này gây ra TMG sử dụng một địa
chỉ IP duy nhất cho mỗi TMG tường lửa hoặc proxy trong một mảng để đại diện cho lưu
lượng truy cập có nguồn gốc từ mạng nguồn. Hình 91 minh họa hành vi này.
Hình II.15.2.7 IP riêng cho mỗi máy chủ NAT
15.3.
Mạng Rules
Thứ tự các quy tắc mạng là rất quan trọng để sửa chữa đánh giá lưu lượng truy cập của
TMG. Hình II.15.3.1 minh họa quy tắc mạng mặc định tạo ra cho Edge Firewall.
Hình II.15.3.1 Default Network Rules for Edge Deployment
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 83
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Tất cả các quy tắc mạng hoạt động trong bối cảnh của các đối tượng mạng. Điều này có
thể bao gồm hầu hết các tiêu chí gọi chung trong chính sách tường lửa như là các đối
tượng mạng. Khi bạn chạy Rule Network Wizard, bạn có thể lựa chọn một tập hợp đối
tượng network của chính sách Firewall, như thể hiện trong hình II.15.3.2.
Hình 5 II.15.3.2 Network Entities selection dialog box
15.4.
Built-In Mạng
Khi bạn cài đặt TMG, bạn được yêu cầu xác định mạng nội bộ của bạn. Sau khi cài đặt TMG
bạn sẽ nhận thấy rằng một số mạng đã được xây dựng trên tab Networks. Các mạng này
khác nhau tùy thuộc vào mẫu mạng áp dụng. Trước khi chúng tôi thảo luận về các mạng
lưới được tạo ra trong khi cài đặt, chúng ta hãy nhìn vào những gì mỗi mạng được xây
dựng đại diện.
•
•
•
•
•
•
Local Host bao gồm bất kỳ địa chỉ IP được sử dụng bởi máy tính mà TMG được cài
đặt.
Internal Network mạng này được tạo ra trong quá trình cài đặt và định nghĩa một
mạng bao gồm các địa chỉ được sử dụng bởi một tập hợp các Clients bảo vệ và kiểm
soát bởi chính sách TMG
VPN Clients Network Mạng lưới bao gồm tất cả các địa chỉ IP được gán với VPN
client kết nối với máy tính TMG. Nếu định tuyến và dịch vụ truy cập từ xa trên TMG
được thiết lập để phân bổ địa chỉ cho client từ một DHCP máy chủ, network này là
năng động và địa chỉ được tự động thêm vào và loại bỏ khi các client VPN kết nối và
ngắt kết nối.
Quarantined VPN Clients Network Mạng này bao gồm tất cả các địa chỉ IP được
VPN client cách ly và có thể truy cập hạn chế. Có nghĩa là một mạng Dynamic dựa
trên các máy tính được cách ly và địa chỉ được thêm vào và loại bỏ như các Clients
VPN được thêm vào hoặc gỡ bỏ từ danh sách cách ly.
Perimeter mạng này bao gồm các địa chỉ IP của mạng Perimeter của bạn. Bạn có
thể tạo ra nhiều mạng Perimeter miễn là bạn có một giao diện vật lý trên TMG phạm
vi cùng một địa chỉ.
External mạng bên ngoài này bao gồm tất cả các địa chỉ IP không được định nghĩa
trong bất kỳ các mạng khác.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 84
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình Bảng II.15.4.1 Thông tin tóm tắt các mạng liên kết
Hình II.15.4.1 Giao diện điều khiển lớp mạng
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 85
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
15.5.
Cấu hình mạng được bảo vệ của bạn
Tất cả các mạng sau TMG được biết đến như mạng lưới bảo vệ. Hình II.15.5.1 cho thấy một
ví dụ về các lớp mạng và phân loại.
Hình II.15.5.1 Mô hình các lớp mạng được bảo vệ
Sau khi chạy Getting Started Wizard và truy cập Web Wizard, bạn đã sẵn sàng để sử dụng
TMG. Tuy nhiên, bạn có thể cấu hình một số tùy chọn bổ sung sau đó. Để truy cập vào lựa
chọn cho mạng lưới bảo vệ nội bộ, thực hiện theo các bước sau:
1. Trên máy tính TMG, mở Forefront TMG Management Console.
2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.
3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp vào
Internal Tab ở trong giữa Panel.
4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải và bạn sẽ thấy một hộp
thoại tương tự một hiển thị trong hình II.15.5.2.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 86
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình II.15.5.2 Internal Properties dialog box
15.6.
Chứng thực Traffic từ mạng được bảo vệ
Để truy cập vào tùy chọn xác thực cho mạng nội bộ mặc định trong Web proxy, hãy làm
theo các bước sau:
1. Trên máy tính TMG, mở Forefront TMG Management Console.
2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.
3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp
vào Internal tab trong panel giữa.
4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.
5. Nhấp vào tab Web Proxy và sau đó nhấp vào nút xác thực. Bạn sẽ thấy một hộp
thoại tương tự như thể hiện trong hình II.15.6.1.
Hình II.15.6.1 Tùy chọn xác thực cho mạng nội bộ
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 87
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
16.CÂN BẰNG TẢI
16.1.
ISP Redundancy là gì?
ISP Redundancy là một tính năng trong TMG cung cấp tính sẵn sàng cao hoặc chia sẻ tải
trọng của kết nối Internet bằng cách sử dụng của hai link ISP. Tính năng này đảm bảo rằng
nếu link ISP chính bị down, TMG sẽ di chuyển tất cả các kết nối khách hàng đến link ISP
thứ cấp. Sau khi link ISP chính là trở lại, TMG di chuyển tất cả các kết nối trở lại link ISP
chính, như thể hiện trong hình II.16.1.1. Có hai kịch bản khác nhau trong ISP-R:
•
•
ISP Failover Trong kịch bản này bạn có thể cấu hình chuyển đổi dự phòng từ một
link ISP chính một link ISP thứ. Các link ISP thứ cấp hoặc dự phòng chỉ được sử
dụng khi chính là không có. Điều này đặc biệt hữu ích khi bạn đã trả tiền cho lưu
lượng truy cập kết nối như là một bản sao lưu, được sử dụng chỉ khi các ISP link là
down. ISP Failover không cung cấp khả năng cân bằng tải.
ISP Load Balancing Trong kịch bản này, bạn có thể cấu hình cân bằng tải giữa hai
ISP link để lưu lượng truy cập có thể được cân bằng giữa chúng. ISP Load Balancing
cho phép bạn sử dụng tất cả các ISP có sẵn băng thông cũng như cung cấp khả
năng chuyển đổi dự phòng ISP. Với cân bằng tải ISP, bạn có thể cung cấp cho mỗi
ISP sử dụng điều khiển giao thông bằng cách xác định một tỷ lệ trọng lượng tương
đối để mỗi ISP kết nối.
Hình II.16.1.1 Tính năng ISP redundancy trong TMG
16.2.
Enabling ISP-R
Bạn cho phép ISP-R thông qua các link có sẵn trên tab Nhiệm vụ khi các nút mạng chọn
trong khung bên trái để cấu hình, như thể hiện trong hình II.16.2.1.
Hình II.16.2.1 Cấu hình ISP redundancy
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 88
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
16.3.
NLB Kiến trúc
NLB hoạt động như một trình điều khiển NDIS để nó có thể xử lý lưu lượng truy cập trước
khi giao thức TCP/IP nhìn thấy nó. Mỗi nút là một phần của một cụm NLB có một địa chỉ IP
duy nhất, được biết đến như là địa chỉ IP chuyên dụng (DIP) địa chỉ. Tất cả các nút trong
một dãy NLB chia sẻ một tập hợp các địa chỉ IP phổ biến, được gọi là địa chỉ IP ảo (VIP).
Hình II.16.3.1 cho thấy sơ đồ kiến trúc cơ bản cho NLB.
Hình II.16.3.1 Kiến trúc cơ bản của NLB
NLB có ba chế độ hoạt động, được sử dụng để xác định NLB sẽ giao tiếp với khách hàng và
giữa các nút trong dãy NLB. Ba chế độ unicast, multicast, và multicast với IGMP. Bất kể chế
độ, các địa chỉ MAC trong giao thông để lại một máy chủ lưu trữ trong mảng NLB được
thiết lập để giá trị như nhau trên tất cả các nút. NLB trên TMG có thể hoạt động trong chế
độ tích hợp và không tích hợp. Khi bạn kích hoạt NLB tích hợp mặc định chế độ hoạt động
là unicast. Trong chế độ unicast, các gói dữ liệu được cung cấp song song với tất cả các
nút và sau đó các bộ lọc điều khiển NLB ra các gói tin không có ý định để được xử lý bởi
một nút cụ thể. NLB cũng hỗ trợ chế độ multicast, có thêm một truy cập MAC multicast để
bộ điều hợp của nút trên tất cả các máy chủ này là một phần của cụm NLB. Mặc dù tất cả
các nút sẽ chia sẻ một phổ biến địa chỉ MAC multicast, các nút cũng giữ lại địa chỉ MAC gốc
của chúng.
Hình II.16.3.2 Sự khác biệt giữa MAC unicast và multicast
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 89
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
16.4.
Sử dụng TMG Management Console
Bạn có thể xem trạng thái của các dịch vụ NLB trong mảng địa phương hoặc một thành viên
khác của mảng trên tab vào nút Monitoring trong phần panel bên trái của giao diện điều
khiển. Trong Console TMG, Giám sát từ tab Services, bạn có thể xem các tùy chọn được
hiển thị Hình II.16.4.1. Bạn có thể sử dụng các tùy chọn trong một số tình huống xử lý sự
cố, chẳng hạn như những người thể hiện trong hình II.16.4.2.
Hình II.16.4.1 Tùy chọn kiểm soát NLB
Hình II.16.4.2 Ý nghĩa các tùy chọn kiểm soát NBL
Bạn có thể sử dụng các tùy chọn này khi bạn muốn để cô lập các nút NLB là có vấn đề
hoặc bạn muốn để buộc người dùng phải kết nối với một thành viên NLB khác nhau. Khi
TMG phát hiện cấu hình sai sót trong NLB hoặc không thống nhất giữa các thành viên NLB
được hiển thị trong tab Alerts. Bạn có thể sử dụng những cảnh báo để xác định các vấn đề
có thể xảy ra và bắt đầu xử lý sự cố chúng. Hình II.16.4.3 cho thấy một ví dụ về nhiều mục
trên tab Alerts NLB dịch vụ.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp
Trang 90