Hướng dẫn cấu hình giới hạn băng thông trong tmg
Chia sẻ – Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một kịch bản triển khai điển hình và cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010. Web proxy chaining là một cách hiệu quả cho việc phân phối lưu lượng web proxy trong tổ chức, góp phần làm giảm băng thông tiêu tốn trên các liên kết WAN tốc độ thấp, giảm việc sử dụng tài nguyên trên các máy chủ proxy tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị viên site ở xa. Web proxy chaining là một cấu hình mà ở đó một proxy server (được gọi là downstream proxy server) được cấu hình để chuyển tiếp các yêu cầu đến một proxy server khác (được gọi là upstream proxy server) thay vì lấy lại các nội dung trực tiếp từ Internet. Downstream proxy server có thể hoặc không có kết nối trực tiếp với Internet. Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010. Web Proxy Chaining Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ là web proxy chaining chỉ áp với lưu lượng được xử lý bởi web proxy filter; có nghĩa lưu lượng được tạo bởi các máy khách web proxy client. Web proxy chaining không có ảnh hưởng đối với TMG Firewall Client hoặc lưu lượng SecureNET. Để lợi dụng được các tính năng của web proxy chaining có trong TMG, chúng ta cần cấu hình các máy khách sử dụng proxy server, có thể bằng cách nhập proxy server thủ công hay sử dụng một trong các tùy chọn cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách nhóm, hoặc bằng cách triển khai TMG Firewall Client với các thiết lập proxy server đã được cấu hình thích hợp. Cấu hình Một kịch bản triển khai chung cho web proxy chaining là khi một proxy server (hoặc mảng) được đặt tại văn phòng chính, một proxy server khác (hoặc mảng) được đặt tại văn phòng chi nhánh ở xa (xem trong bản đồ bên dưới). Người dùng tại văn phòng chính được cấu hình để sử dụng proxy server chính cho việc truy cập Internet. Người dùng tại văn phòng chi nhánh được cấu hình để sử dụng proxy server cục bộ của họ, đây là các proxy server được cấu hình để chuyển tiếp các yêu cầu đến upstream proxy server nằm tại văn phòng chính. Hình 1Web proxy chaining được kích hoạt bằng cách tạo các web chaining rule. Các rule này sẽ xác định cách tường lửa định tuyến các yêu cầu web proxy ra sao khi cho phép chúng. Để cấu hình web proxy chaining trong kịch bản cơ bản này, bạn hãy mở TMG management console trên downstream proxy server và kích nút Networking trong cây giao diện điều khiển. Hình 2Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau đó trong panel Tasks chọn Create New Web Chaining Rule. Hình 3Khi New Web Chaining Rule Wizard mở, hãy đặt tên cho web chaining rule mới. Chọn Web Chaining Rule Destination thích hợp. Chúng ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp tất cả các yêu cầu cho Internet bằng cách chọn mạng External. Hình 5Chọn tùy chọn để chuyển thướng các yêu cầu đến máy chủ upstream đã được chỉ định. Hình 6Chỉ định địa chỉ IP, hostname hoặc FQDN của upstream proxy server. Trừ khi bạn đã thay đổi các cổng lắng nghe web proxy trên upstream proxy server bằng không sẽ không cần thay đổi các cổng mặc định được liệt ở đây. Để tùy chọn Apply malware inspection to Web content received from or sent to an upstream proxy được kiểm chỉ khi upstream proxy server không thực hiện hành động thanh tra malware, vì sự thanh tra malware không được hỗ trợ trên cả downstream proxy server và upstream proxy server tại cùng một thời điểm. Lựa chọn để quét virus và malware là do bạn. Nếu bạn chọn quét trên máy chủ upstream proxy server thì bạn có thể ngăn chặn các phần mềm mã độc xâm nhập vào mạng. Nếu upstream proxy server đang tổng hợp một số lượng lớn các yêu cầu cho downstream proxy server thì tải trọng sẽ tăng đáng kể và có thể làm quá tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng trễ. Trong trường hợp này, việc quét trên máy chủ downstream sẽ giúp bạn phân phối được tải trọng, giảm được sự tiêu tốn về tài nguyên trên các máy chủ upstream. Chọn backup action thích hợp cho môi trường của bạn. Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn có thể chọn tùy chọn để lấy lại các yêu cầu trực tiếp từ một đích nào đó (retrieve requests directly from the specified destination). Nếu có một proxy server (hoặc mảng) ở trong một địa điểm khác có thể được sử dụng làm máy chủ upstream, khi đó bạn có thể chọn tùy chọn định tuyến các yêu cầu đến máy chủ upstream (route requests to an upstream server) (sẽ có các nhắc nhở về thông tin bổ sung). Nếu máy chủ downstream không có các tuyến thay thế (hoặc không được phép sử dụng cho chính sách bảo mật công ty), hãy chọn tùy chọn mặc định là ignore requests. Hình 8Rule mới lúc này sẽ xuất hiện trong danh sách. Các Web chaining rule sẽ được xử lý theo thứ tự, vì vậy rule mới của chúng ta được đặt trước rule mặc định. Mặc dù đã tạo một rule mới ở đây nhưng chúng ta hoàn toàn có thể thay đổi rule mặc định để cung cấp các kết quả tương tự. |