Hướng dẫn cấu hình giới hạn băng thông trong tmg

• 1. ACCESS RULE TRÊN FIREWALL TMG 2010 TIỂU LUẬN MÔN AN NINH MẠNG
• 2. Khái niệm Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. 2. Chức năng  Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.  Kiểm soát nội dung thông tin lưu chuyển trên mạng  Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
• 3. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.  Kiểm soát người sử dụng và việc truy cập của người sử dụng.  Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. 3. Phân loại  Firewall cứng: firewall được tích hợp trực tiếp lên phần cứng (như Router Cisco, Check point, Planet, Juniper…).  Firewall mềm: là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall.
• 4. truy cập)  Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng được bảo vệ bởi Firewall.  Khi muốn cho phép một máy tính nằm phía sau sự kiểm soát của Firewall truy cập một mạng khác (gồm có Internet), cần tạo một Access Rule để cho phép kết nối đó.
• 5. Microsoft Forefront Threat Management Gateway, gọi tắt là TMG hoặc TMG Firewall.  Là router mạng, firewall, chương trình diệt virus, VPN server, web cache của Microsoft.  Chạy trên Window Server và làm việc bằng cách kiểm soát toàn bộ lưu lượng mạng đi qua nó.
• 6. chức năng chính của TMG Firewall 2010:  Firewall  Secure Web Gateway  Secure E-mail Relay  Remote Access Gateway  ISP Link Redundancy  Enhanced Voice Over IP  Intrustion Prevention  Web Anti-Malware  HTTPS Inspection  Network Inspection System (NIS)  Network Access Protection (NAP) Integration  Security Socket Tunneling Protocol (SSTP) Integration  URL Filtering…
• 7. Firewall 2010 192.168.1.0/24 192.168.1.1 192.168.100.1 192.168.1.3 192.168.1.2 INTEXT Mô hình triển khai
• 8. các Rule trên TMG 2010:  Cho phép các máy trong mạng Lan kết nối được với nhau.  Cho phép các máy trong mạng Lan kết nối Internet.  Truy vấn DNS để phân giải tên miền.  Cho phép các User thuộc nhóm Manager truy cập internet không hạn chế.  Cho phép các User thuộc nhóm Admin chỉ được phép truy cập 1 số trang Web trong giờ hành chính.  Không cho các User nghe nhạc trực tuyến, downloads.  Cấm truy cập 1 số trang Web, nếu truy cập sẽ tự động chuyển đến trang khác…
• 9.
• 10. Minh Khôi Phan Khánh Toàn N12DCCN114 N12DCCN140

Chia sẻ

– Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một kịch bản triển khai điển hình và cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010.

Web proxy chaining là một cách hiệu quả cho việc phân phối lưu lượng web proxy trong tổ chức, góp phần làm giảm băng thông tiêu tốn trên các liên kết WAN tốc độ thấp, giảm việc sử dụng tài nguyên trên các máy chủ proxy tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị viên site ở xa. Web proxy chaining là một cấu hình mà ở đó một proxy server (được gọi là downstream proxy server) được cấu hình để chuyển tiếp các yêu cầu đến một proxy server khác (được gọi là upstream proxy server) thay vì lấy lại các nội dung trực tiếp từ Internet. Downstream proxy server có thể hoặc không có kết nối trực tiếp với Internet. Trong phần đầu tiên của loạt bài gồm có hai phần này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình web proxy chaining trong Forefront Threat Management Gateway (TMG) 2010.

Web Proxy Chaining Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ là web proxy chaining chỉ áp với lưu lượng được xử lý bởi web proxy filter; có nghĩa lưu lượng được tạo bởi các máy khách web proxy client. Web proxy chaining không có ảnh hưởng đối với TMG Firewall Client hoặc lưu lượng SecureNET. Để lợi dụng được các tính năng của web proxy chaining có trong TMG, chúng ta cần cấu hình các máy khách sử dụng proxy server, có thể bằng cách nhập proxy server thủ công hay sử dụng một trong các tùy chọn cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách nhóm, hoặc bằng cách triển khai TMG Firewall Client với các thiết lập proxy server đã được cấu hình thích hợp. Cấu hình Một kịch bản triển khai chung cho web proxy chaining là khi một proxy server (hoặc mảng) được đặt tại văn phòng chính, một proxy server khác (hoặc mảng) được đặt tại văn phòng chi nhánh ở xa (xem trong bản đồ bên dưới). Người dùng tại văn phòng chính được cấu hình để sử dụng proxy server chính cho việc truy cập Internet. Người dùng tại văn phòng chi nhánh được cấu hình để sử dụng proxy server cục bộ của họ, đây là các proxy server được cấu hình để chuyển tiếp các yêu cầu đến upstream proxy server nằm tại văn phòng chính.

Hình 1

Web proxy chaining được kích hoạt bằng cách tạo các web chaining rule. Các rule này sẽ xác định cách tường lửa định tuyến các yêu cầu web proxy ra sao khi cho phép chúng. Để cấu hình web proxy chaining trong kịch bản cơ bản này, bạn hãy mở TMG management console trên downstream proxy server và kích nút Networking trong cây giao diện điều khiển.

Hình 2

Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau đó trong panel Tasks chọn Create New Web Chaining Rule.

Hình 3

Khi New Web Chaining Rule Wizard mở, hãy đặt tên cho web chaining rule mới.

Hình 4

Chọn Web Chaining Rule Destination thích hợp. Chúng ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp tất cả các yêu cầu cho Internet bằng cách chọn mạng External.

Hình 5Chọn tùy chọn để chuyển thướng các yêu cầu đến máy chủ upstream đã được chỉ định.

Hình 6

Chỉ định địa chỉ IP, hostname hoặc FQDN của upstream proxy server. Trừ khi bạn đã thay đổi các cổng lắng nghe web proxy trên upstream proxy server bằng không sẽ không cần thay đổi các cổng mặc định được liệt ở đây. Để tùy chọn Apply malware inspection to Web content received from or sent to an upstream proxy được kiểm chỉ khi upstream proxy server không thực hiện hành động thanh tra malware, vì sự thanh tra malware không được hỗ trợ trên cả downstream proxy server và upstream proxy server tại cùng một thời điểm. Lựa chọn để quét virus và malware là do bạn. Nếu bạn chọn quét trên máy chủ upstream proxy server thì bạn có thể ngăn chặn các phần mềm mã độc xâm nhập vào mạng. Nếu upstream proxy server đang tổng hợp một số lượng lớn các yêu cầu cho downstream proxy server thì tải trọng sẽ tăng đáng kể và có thể làm quá tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng trễ. Trong trường hợp này, việc quét trên máy chủ downstream sẽ giúp bạn phân phối được tải trọng, giảm được sự tiêu tốn về tài nguyên trên các máy chủ upstream.

Hình 7

Chọn backup action thích hợp cho môi trường của bạn. Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn có thể chọn tùy chọn để lấy lại các yêu cầu trực tiếp từ một đích nào đó (retrieve requests directly from the specified destination). Nếu có một proxy server (hoặc mảng) ở trong một địa điểm khác có thể được sử dụng làm máy chủ upstream, khi đó bạn có thể chọn tùy chọn định tuyến các yêu cầu đến máy chủ upstream (route requests to an upstream server) (sẽ có các nhắc nhở về thông tin bổ sung). Nếu máy chủ downstream không có các tuyến thay thế (hoặc không được phép sử dụng cho chính sách bảo mật công ty), hãy chọn tùy chọn mặc định là ignore requests.

Hình 8

Rule mới lúc này sẽ xuất hiện trong danh sách. Các Web chaining rule sẽ được xử lý theo thứ tự, vì vậy rule mới của chúng ta được đặt trước rule mặc định. Mặc dù đã tạo một rule mới ở đây nhưng chúng ta hoàn toàn có thể thay đổi rule mặc định để cung cấp các kết quả tương tự.