Web proxy chaining là một cấu hình mà ở đó một proxy server được gọi là downstream proxy server được cấu hình để chuyển tiếp các yêu cầu đến một proxy server khác được gọi là upstream p
Trang 1Cấu hình Web Proxy Chaining trong Forefront TMG
2010
Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một kịch bản triển khai điển hình và cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010
Web proxy chaining là một cách hiệu quả cho việc phân phối lưu lượng web proxy trong tổ chức, góp phần làm
giảm băng thông tiêu tốn trên các liên kết WAN tốc độ
thấp, giảm việc sử dụng tài nguyên trên các máy chủ proxy tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị viên site ở xa Web proxy chaining là một cấu hình mà ở
đó một proxy server (được gọi là downstream proxy
server) được cấu hình để chuyển tiếp các yêu cầu đến một
proxy server khác (được gọi là upstream proxy server) thay
vì lấy lại các nội dung trực tiếp từ Internet Downstream proxy server có thể hoặc không có kết nối trực tiếp với
Trang 2Internet Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010
Web Proxy Chaining
Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ
là web proxy chaining chỉ áp với lưu lượng được xử lý bởi web proxy filter; có nghĩa lưu lượng được tạo bởi các máy khách web proxy client Web proxy chaining không có ảnh hưởng đối với TMG Firewall Client hoặc lưu lượng
SecureNET Để lợi dụng được các tính năng của web
proxy chaining có trong TMG, chúng ta cần cấu hình các máy khách sử dụng proxy server, có thể bằng cách nhập proxy server thủ công hay sử dụng một trong các tùy chọn cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách nhóm, hoặc bằng cách triển khai TMG Firewall Client với các thiết lập proxy server đã được cấu hình thích hợp
Trang 3Cấu hình
Một kịch bản triển khai chung cho web proxy chaining là khi một proxy server (hoặc mảng) được đặt tại văn phòng chính, một proxy server khác (hoặc mảng) được đặt tại văn phòng chi nhánh ở xa (xem trong bản đồ bên dưới) Người dùng tại văn phòng chính được cấu hình để sử dụng proxy server chính cho việc truy cập Internet Người dùng tại văn phòng chi nhánh được cấu hình để sử dụng proxy server cục bộ của họ, đây là các proxy server được cấu hình để chuyển tiếp các yêu cầu đến upstream proxy server nằm tại văn phòng chính
Trang 4Hình 1
Web proxy chaining được kích hoạt bằng cách tạo các web chaining rule Các rule này sẽ xác định cách tường lửa
định tuyến các yêu cầu web proxy ra sao khi cho phép
chúng Để cấu hình web proxy chaining trong kịch bản cơ bản này, bạn hãy mở TMG management console trên
downstream proxy server và kích nút Networking trong
Trang 5cây giao diện điều khiển
Hình 2
Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau
đó trong panel Tasks chọn Create New Web Chaining Rule
Trang 6Hình 3
Khi New Web Chaining Rule Wizard mở, hãy đặt tên
cho web chaining rule mới
Hình 4
Chọn Web Chaining Rule Destination thích hợp Chúng
ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp tất cả các yêu cầu cho Internet bằng cách chọn mạng
Trang 7External
Hình 5
Chọn tùy chọn để chuyển thướng các yêu cầu đến
máy chủ upstream đã được chỉ định
Trang 8Hình 6 Chỉ định địa chỉ IP, hostname hoặc FQDN của
upstream proxy server Trừ khi bạn đã thay đổi các cổng lắng nghe web proxy trên upstream proxy
server bằng không sẽ không cần thay đổi các cổng
mặc định được liệt ở đây Để tùy chọn Apply
malware inspection to Web content received from
or sent to an upstream proxy được kiểm chỉ khi
upstream proxy server không thực hiện hành động
Trang 9thanh tra malware, vì sự thanh tra malware không
được hỗ trợ trên cả downstream proxy server và
upstream proxy server tại cùng một thời điểm Lựa chọn để quét virus và malware là do bạn Nếu bạn chọn quét trên máy chủ upstream proxy server thì bạn
có thể ngăn chặn các phần mềm mã độc xâm nhập vào mạng Nếu upstream proxy server đang tổng hợp một số lượng lớn các yêu cầu cho downstream proxy server thì tải trọng sẽ tăng đáng kể và có thể làm quá tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng trễ Trong trường hợp này, việc quét trên máy chủ downstream sẽ giúp bạn phân phối được tải trọng, giảm được sự tiêu tốn về tài nguyên trên các máy chủ upstream
Trang 10Hình 7
Chọn backup action thích hợp cho môi trường của
bạn Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn có thể chọn tùy chọn để lấy lại các
yêu cầu trực tiếp từ một đích nào đó (retrieve
requests directly from the specified destination)
Nếu có một proxy server (hoặc mảng) ở trong một địa điểm khác có thể được sử dụng làm máy chủ
upstream, khi đó bạn có thể chọn tùy chọn định tuyến
Trang 11các yêu cầu đến máy chủ upstream (route requests
to an upstream server) (sẽ có các nhắc nhở về thông
tin bổ sung) Nếu máy chủ downstream không có các tuyến thay thế (hoặc không được phép sử dụng cho chính sách bảo mật công ty), hãy chọn tùy chọn mặc
định là ignore requests
Hình 8 Rule mới lúc này sẽ xuất hiện trong danh sách Các Web chaining rule sẽ được xử lý theo thứ tự, vì vậy
Trang 12rule mới của chúng ta được đặt trước rule mặc định Mặc dù đã tạo một rule mới ở đây nhưng chúng ta hoàn toàn có thể thay đổi rule mặc định để cung cấp các kết quả tương tự
Hình 9
Lưu ý: Một vấn đề quan trọng cần phải nhớ rằng các
rule truy cập phải được đặt thích hợp trên máy chủ downstream và upstream để tạo điều kiện thuận lợi cho việc truy cập web
Các hạn chế kết nối
Trong nhiều trường hợp, việc kích hoạt web proxy chaining có thể làm cho máy chủ downstream vượt quá các hạn chế kết nối được thi hành bởi các thiết lập chống tràn trên máy chủ upstream Các máy chủ upstream sẽ nhận các yêu cầu kết nối đến từ một host
Trang 13nào đó (máy chủ downstream) thay vì mỗi máy khách riêng lẻ Nếu máy chủ downstream tổng hợp các yêu cầu cho một số lượng lớn các máy khách thì chúng ta cần phải thay đổi các hạn chế kết nối mặc định trên máy chủ upstream Điều này có thể được cấu hình bằng cách add thêm các máy chủ downstream vào danh sách IP exception, đúng hơn là thay đổi các han chế mặc định cho tất cả các host Bạn sẽ tìm thấy các thiết lập chống tràn trong giao diện quản lý TMG
bằng cách kích Intrusion Prevention System trong cây giao diện, kích Configure Flood Mitigation
Settings trong cửa sổ chính và sau đó chọn tab IP Exceptions và tạo một tập máy tính có chứa các máy
chủ downstream của bạn
Trang 14Hình 10
Kết luận
Phụ thuộc vào các yêu cầu cụ thể của bạn, cấu hình web proxy chaining có thể tương đối đơn giản (như được thảo luận ở đây) hoặc có thể khá phức tạp Ví
dụ được phác thảo ở trên giả định rằng tất cả lưu lượng sẽ được định tuyến đến m áy chủ upstream proxy, và không có yêu cầu nhận thực Trong nhiều
Trang 15trường hợp, downstream proxy sẽ có một kết nối trực tiếp đến Internet và chỉ một số lưu lượng được định tuyến đến máy chủ upstream proxy Thông thường máy chủ upstream proxy cũng yêu cầu nhận thực, vì vậy sẽ yêu cầu thêm các kế hoạch và cấu hình bổ
sung Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về một số kịch bản triển khai chi tiết hơn như vậy
