Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1 Quản trị mạng – Trong phần này chúng tôi s ẽ giới thiệu cho các bạn một số hệ số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG. Tường lửa Forefront Threat Management Gateway (TMG) 2010 là m ột cổng bảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng v à l ớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanh tra lưu lượng lớn ứng dụng, xác thực người dùng, cho phép điều khiển dựa tr ên danh tiếng và thanh tra truyền thông HTTPS. Các tính năng nâng cao n ày tiêu tốn rất nhiều tài nguyên và có thể cản trở thông lượng và làm ch ậm nếu hệ thống được cấu hình không đúng hoặc được kích thư ớc không thích hợp. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề chung có th ể dẫn đến tình trạng nghèo hiệu suất và bên cạnh đó là một số cách cải thiện v à tối ưu giải pháp. Cấu hình phần cứng Trước khi bắt đầu bất cứ thảo luận nào về tường lửa TMG và hi ệu suất, một điều quan trọng cần lưu ý đó là phần cứng nằm bên dưới đ ối với nhiệm vụ hỗ trợ của TMG trong vai trò mà nó được triển khai. Cách tốt nhất l à chúng ta nên sử dụng phần cứng lớp máy chủ chất lượng cao hoặc thiết bị bảo mật chuy ên dụng. Để có kết quả tốt nhất, phần cứng cần phải được kích thư ớc đúng cách cho môi trường của nó và có lư ợng tải thích hợp. Tính năng thanh tra lớp ứng dụng và lớp mạng nâng cao của TMG có thể lạm dụng đáng kể tài nguyên ph ụ thuộc vào hệ thống, vì vậy để có đư ợc sức mạnh xử lý thỏa đáng, bộ nhớ, dung lượng ổ đĩa và mạng chính là điều quan tr ọng mang tính nền tảng đối với sự ổn định và hiệu suất cao của giải pháp. Việc xác định được dung lượng phần cứng yêu cầu là bao nhiêu cho m ột thực thi cụ thể là hết sức khó khăn, nguyên nhân là m ỗi một triển khai mang tính duy nhất và có nhiều hệ số phụ thuộc. Để hỗ trợ việc xác định các yêu c ầu về phần cứng, Microsoft đã giới thiệu công cụ Forefront TMG Capacity P lanning Tool. Công cụ này cho phép bạn có thể nhập vào các chi ti ết cụ thể về môi trường của mình còn lại nó sẽ cung cấp lời khuyên v ề các chi tiết kỹ thuật phần cứng bằng cách dựa trên số lượng người dùng mong đợi và băng thông mà b ạn có cũng như các tính năng bảo vệ sẽ được sử dụng. Cần có một kế hoạch d ư thừa đối với CPU và bộ nhớ để bảo đảm có được hiệu suất tốt nhất, đây cũng l à biện pháp dự phòng trong các trường hợp cần mở rộng sau này. Các dịch vụ cơ sở hạ tầng Tường lửa TMG dựa phần lớn vào việc hỗ trợ các dịch vụ cơ s ở hạ tầng để thực hiện các nhiệm vụ của nó. Hiệu suất tổng thể của giải pháp phụ thuộc v ào cách các dịch vụ chẳng hạn như Active Directory và DNS hoạt động tốt nh ư thế nào. Nếu tồn tại các vấn đề với Active Directory hay DNS sẽ không có cách nào điều khiển TMG để khắc phục đư ợc vấn đề hiệu suất. Tuy có nhiều thứ có thể đi sai lệnh đối với Active Directory hoặc DNS nhưng chúng tôi s ẽ không cung cấp một danh sách toàn diện những vấn đề mà chỉ nêu m ột số vấn đề chung có thể làm giảm đáng kể hiệu suất của TMG đó là: Kết nối mạng – Hiệu suất có thể bị ảnh hưởng khá tiêu cực nếu tư ờng lửa TMG không có k ết nối mạng tin cậy với Active Directory hoặc DNS. TMG cần phải được kết nối tốt với các dịch vụ này; lý tưởng khi chúng đư ợc đặt trong cùng vị trí vật lý và có k ết nối tốc độ gigabit. Cần bảo đảm tất cả các thiết bị trung gian như router, switch,… đều làm việc tốt và không có xu ất hiện dấu hiệu lỗi. Cấu hình site Active Directory – Đôi khi hiệu suất nghèo cũng có thể do tư ờng lửa TMG thực hiện xác thực các domain controller định vị trong các vùng đ ịa lý khác nhau. Điều này bị gây ra bởi cách cấu h ình các site Active Directory không đúng. Do đó c ần bảo đảm rằng các Active Directory IP subnet phải được định nghĩa đúng và site Active Directory được cấu hình có ch ứa các domain controller nằm cùng với tường lửa TMG. N ối mạng Ở mức thấp nhất, TMG là một tư ờng lửa định tuyến có tác dụng phân phối dữ liệu từ một giao diện này tới giao diện khác nếu chính sách cho phép. Như v ậy cấu hình mạng đóng vai trò quan tr ọng trong vấn đề hiệu suất của hệ thống. Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lư ợng cũng như hiệu suất mạng: Tốc độ cổng và chế độ song công – L ỗi tốc độ cổng hoặc thiết lập song công (duplex) sẽ làm gi ảm hiệu suất mạng một cách khủng khiếp. Để hoạt động đúng, các thiết lập này phải giống như t ại các kết nối. Điều đó có nghĩa rằng nếu bạn thực hiện cấu hình thủ công các thiết lập trên giao diện m ạng của tường lửa TMG thì bạn cũng phải thực hiện thiết lập như vậy tr ên switch mà nó được kết nối đến. Nếu switch mà nó kết nối đến là m ột switch tự do, bạn cũng phải đặt các thiết lập của giao diện mạng tường lửa TMG ở chế độ auto- negotiate (tự đồng điều đình). Bạn không thể cấu hình một phía này th ủ công và phía kia để tự động. Dù bất cứ tình huống nào cũng không nên s ử dụng hub trong môi trường sản xuất. Cấu hình DNS/ Thứ tự liên kết giao diện mạng – Đây là m ột trong những lỗi cấu hình hay gặp nhất và có thể gây nên tình trạng kém hiệu suất phân giải t ên cũng như hiện tượng xác thực không tin cậy. Các máy chủ DNS cần đư ợc cấu hình chỉ trên giao diện mạng bên trong. Thêm vào đó, về cơ b ản giao diện mạng bên trong trên nhiều tường lửa cần được cấu hình trư ớc trong danh sách thứ tự các giao diện mạng. Các đoạn mạng được cách ly – Một ý tư ởng tuyệt vời khi đặt các giao diện mạng của tường lửa TMG trong các đoạn mạng cách ly bất cứ khi nào có th ể. Bằng cách này chúng ta có thể cải thiện được cả hai vấn đề hiệu suất và b ảo mật, làm giảm rủi ro của kiểu tấn công ARP cache poisoning và làm cho m ạng trở nên khó bị phát hiện hơn. Nếu Network Load Balancing (NLB) đư ợc kích hoạt thì điều này thậm chí còn quan trọng hơn. M ặc định, NLB sẽ quảng bá các thông tin đồng bộ để tất cả các host trên đoạn mạng có thể thấy. Các tư ờng lửa TMG được cấu hình trong các đoạn mạng cách ly sẽ hạn chế đư ợc sự quảng bá, nó sẽ chỉ quảng bá cho các host yêu cầu nó. Cấu hình tường lửa phía sau –Tường lửa TMG không phải là một cấu hình tối ưu dưới dạng bảo mật và hi ệu suất. Các host bị lộ diện trực tiếp với Internet đều được bảo vệ bằng các bộ quét và kiểm tra. Việc cấu hình tư ờng lửa TMG như một tường lửa phía sau cho tường lả khác có thể giảm số lư ợng tạp nhiễu mà nó phải xử lý. Cho ví dụ, một Cisco ASA tại network edge được cấu h ình cho phép chỉ các giao thức mà TMG sẽ xử lý sẽ giải phóng được rất nhiều t ài nguyên để thực hiện hành động xác thực và thanh tra lưu lư ợng lớp ứng dụng nâng cao. Một lợi ích nữa ở đây là giảm được sự “ô nhiễm” bản ghi, l àm cho dữ liệu bản ghi trở nên trong sáng và dễ hiểu hơn, dễ nhận biết các lưu lư ợng bất thường. Máy khách Web Proxy – Việc cấu h ình các máy khách làm máy khách Web Proxy mang lại khá nhiều lợi ích về hiệu suất, mặc dù nhiều quản trị vi ên thích cấu hình máy khách SecureNAT vì nó không yêu c ầu thay đổi phần mềm client. Các máy khách SecureNAT về cơ bản sẽ tiêu tốn lượng t ài nguyên trên tường lửa TMG nhiều hơn so với các máy khách Web Proxy v ì máy khách Web Proxy sẽ thiết lập ít kết nối TCP đến các b ộ lắng nghe web proxy của tường lửa TMG nhằm lấy lại nội dung web hơn. Cho ví d ụ, khi kết nối đến một trang web phổ biến nào đó (trong ví dụ n ày là espn.com), máy khách SecureNAT đã thiết lập 31 kết nối TCP để hiển thị trang chính. Trong khi đó nếu cấu hình một Web Proxy client thì chỉ có 6 kết nối TCP đư ợc yêu cầu để hiển thị cùng trang đó. Do đó nếu bạn có hàng nghìn người dùng, việc tăng số lư ợng các kết nối TCP này sẽ giải hưởng rất lớn đến hiệu suất CPU. Kết luận Quả thực có vô số hệ số có thể ảnh hưởng đến sự ổn định và hiệu suất tư ờng lửa TMG. Trong bài này, chúng tôi đ ẫ giới thiệu cho các bạn tầm quan trọng của việc có các dịch vụ cơ sở hạ tầng khỏe mạnh chẳng hạn nh ư Active Directory và DNS. Chúng ta đã thiết lập tường lửa TMG được kết nối tốt v ới các dịch vụ này, bên cạnh đó cần phải cấu h ình site và Active Directory IP subnet được thiết lập đúng cách. Chúng ta cũng xem xét đến việc cấu hình k ết nối mạng và cách thực hiện tốt nhất giúp cải thiện thông lư ợng mạng. Các thiết lập mạng được cấu hình đúng cách chẳng hạn như tốc độ cổng và ch ế độ song công, cấu hình máy chủ DNS, thứ tự liên kết giao diện mạng,… là nh ững vấn đề quan trọng trong việc tối ưu thông lượng. Việc sắp đặt tường lửa và c ấu hình máy khách cũng ảnh hưởng rõ rệt đến việc sử dụng tài nguyên và hi ệu suất của hệ thống. Trong phần tiếp theo của loạt bài, chúng tôi s ẽ giới thiệu tiếp cho các bạn một số cách khác có thể giúp tối ưu trên tường lửa TMG. Văn Linh (Theo Isaserver) . Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1 Quản trị mạng – Trong phần này chúng tôi s ẽ giới thiệu cho các bạn một số hệ số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG. . giảm đáng kể hiệu suất của TMG đó là: Kết nối mạng – Hiệu suất có thể bị ảnh hưởng khá tiêu cực nếu tư ờng lửa TMG không có k ết nối mạng tin cậy với Active Directory hoặc DNS. TMG cần phải. tr ọng trong vấn đề hiệu suất của hệ thống. Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lư ợng cũng như hiệu suất mạng: Tốc độ cổng và chế độ song công – L ỗi tốc độ cổng