Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Template, cách tạo các mạng bổ sung và cách tùy chỉnh các thiết lập mạng Forefront TMG.. Forefront TMG hỗ
Trang 1Microsoft Forefront TMG – Sử dụng Network Template
Trang 2Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Template, cách tạo các mạng bổ sung và cách tùy chỉnh các thiết lập mạng Forefront TMG.
Bắt đầu
Forefront TMG sử dụng một khái niệm “multi networking” Để định nghĩa
topo mạng của bạn, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG Sau khi đã tất cả các mạng cần thiết; chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các rule mạng Forefront TMG hỗ trợ hai kiểu rule mạng đó là:
Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng,
kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng
NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai
mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của adapter mạng tương ứng
Sau khi đã tạo các mạng và các rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối lưu lượng giữa các mạng được kết nối
Network template
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (network template) để cho phép tạo các kịch bản Firewall điển hình Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất cả những gì bạn cần thực hiện là khởi chạy Getting Started Wizard trong giao diện quản lý TMG Management Hình dưới đây thể hiện vị trí Launch Getting Started Wizard
Trang 3Hình 1: Getting Started Wizard của Forefront TMG
Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn network template cần thiết Forefront TMG cung cấp cho bạn tới 4 network template:
• Edge Firewall
• 3-Leg perimeter
• Back firewall
• Single network Adapter
Edge Firewall
Edge Firewall template là một network template cũ và kết nối mạng bên trong với Internet, được bảo vệ bởi Forefront TMG Một Edge Firewall template điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server
3-Leg Perimeter
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network Perimeter
Trang 4Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc WLAN network Một 3-Leg Perimeter
Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực” Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau
Backfirewall
Back Firewall template có thể được sử dụng bởi Forefront TMG
Administrator, khi Forefront TMG được đặt phía sau Front Firewall Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall
Lưu ý: Forefront TMG không có Front Firewall network template đi kèm
Single Network Adapter
Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có Nó chỉ có các tính năng dưới đây:
• Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các
download
• Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty
• Web publishing để bảo vệ các máy chủ FTP và published Web
• Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007)
Trang 5Hình 2: Phần Network Template
Bước tiếp theo, chọn adapter mạng sẽ được sử dụng cho network template này Trong ví dụ này, chúng tôi đã sư dụng Edge Firewall template để bạn phải chọn adapter mạng nào kết nối với LAN và adapter mạng nào kết nối với mạng bên ngoài (mạng không tin cậy)
Trang 6Hình 3: Chọn adapter mạng
Trong Forefront TMG, hiện bạn có thể chỉ định các tuyến mạng bổ sung với
UI mà không phải sử dụng lệnh Route add từ dòng lệnh Hình dưới đây hiển
thị các mạng mặc định được tạo bởi quá trình cài đặt Microsoft Forefront TMG Chỉ có các mạng bên trong mới có tùy chọn cấu hình dải địa chỉ IP
Hình 4: Các mạng Forefront TMG
Forefront TMG có một số rule mạng đi kèm, đây là các rule định nghĩa mối quan hệ giữa các mạng với nhau
Trang 7Hình 5: Các rule mạng
Một vấn đề mới nữa trong Microsoft Forefront TMG là khả năng định nghĩa một số thiết lập network adapter cơ bản như địa chỉ IP, Default Gateway và,…
Hình 6: Forefront TMG Network Adapter
Hình dưới dây hiển thị các tùy chọn cấu hình cho network adapter
Trang 8Hình 7: Trang thuộc tính địa chỉ IP
Với Forefront TMG, bạn hoàn toàn có thể tạo các tuyến mạng mới qua giao diện TMG Management
Trang 9Hình 8: Các tuyến mạng
Hình bên dưới hiển thị một ví dụ việc tạo tuyến cho một mạng mới
Hình 9: Tạo một tuyến mới
Trang 10Các mạng mới trong TMG
Hoàn toàn có thể tạo các mạng bổ sung trong Forefront TMG Forefront TMG có một wizard cho việc tạo các mạng mới
Hình 10: Forefront TMG – Tạo mạng mới
Các mạng mới có thể được tạo cho các vùng khác nhau Cho ví dụ, hoàn toàn có thể tạo một mạng mới cho một DMZ bổ sung trên Microsoft Forefront TMG
Trang 11Hình 11: Forefront TMG – Chỉ định kiểu mạng
Chỉ định dải địa chỉ IP cho mạng mới
Hình 12: Forefront TMG – Dải địa chỉ IP
Trang 12Sau khi tạo xong một mạng mới, bạn phải liên kết mạng mới với rule mạng đang tồn tại hoặc có thể tạo một quan hệ mới từ kiểu Route hoặc NAT
Export và import các định nghĩa mạng
Hoàn toàn có thể export các mạng Forefront TMG hoặc các thiết lập mạng vào một file XML nào đó bằng tính năng import và export của Forefront TMG
Hình 13: Forefront TMG – Export và import các định nghĩa mạng
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu cho các bạn những kiến thức tổng quan về cách sử dụng các mạng, các network template và các rule trong Forefront TMG để tạo cho bạn một topo mạng Như những gì các bạn thấy qua bài, chúng ta hoàn toàn có thể dễ dàng tạo topo mạng với sự trợ giúp của các network template Forefront TMG có một số cải tiến khá hữu dụng có liên quan đến cấu hình mạng Nó là một tính năng tuyệt vời và cho phép các quản trị viên TMG có thể tạo các tuyến mạng qua TMG Management
console và có thể cấu hình một số thiết lập địa chỉ IP cơ bản với TMG
console Hầu hết các thiết lập khác được duy trì không thay đổi so với
Microsoft ISA Server 2006
