Đôi điều về SecureNAT client & Web proxy client Trang 1/ 4 Hiệu năng hoạt động của ISA server không chỉ phụ thuộc vào các cấu hình của riêng nó mà còn chịu ảnh hưởng từ cách cấu hình của các máy khác trong hệ thống mạng - các ISA client ISA Client là gì? Theo quan niệm thông thường, client là máy tính gửi yêu cầu cung cấp dữ liệu đến server, server thu thập dữ liệu và gửi đáp ứng cho client. Quan hệ client - server phụ thuộc vào phần mềm được cài đặt trên client để giúp nó giao tiếp được với một dịch vụ nhất định tại server. Tuy nhiên, khái niệm ISA client - ISA server lại hoàn toàn khác. ISA client không nhất thiết phải được cài đặt một ứng dụng cụ thể nào và ứng dụng trên ISA client cũng không nhất thiết phải kết nối trực tiếp đến ISA server. Nói ngắn gọn và cụ thể hơn, bất cứ máy tính nào kết nối đến tài nguyên mà nó cần dùng bằng cách thông qua ISA đều được xem là ISA client. Theo quan niệm nêu trên, ISA client sẽ thuộc về 1 trong 3 loại: - SecureNAT client. - Web Proxy client. - Firewal client. Một máy tính duy nhất có thể được cấu hình để hoạt động theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy Windows XP có thể được cấu hình thành cả 3 loại client. 1 máy Linux có thể được cấu hình thành Web Proxy client và Firewal client. Chọn lựa loại ISA client thích hợp nhất đôi khi lại là một bài toán không dễ. Với mong muốn hỗ trợ phần nào cho các vị quản trị viên, bài viết này trình bày một vài vấn đề đôi khi ít được chú ý trong quá trình triển khai SecureNAT client và Web proxy client . 1. SecureNAT client: - Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan tâm là Default Gateway. Phải khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết bị định tuyến (router) nội bộ. - Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP - Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng - Không thể chứng thực người dùng Để hiểu cách cấu hình SecureNAT client, xin ví dụ 2 hệ thống mạng, tạm gọi là mạng đơn giản và mạng phức tạp Mạng đơn giản Đôi điều về SecureNAT client & Web proxy client Trang 2/ 4 Hệ mạng chỉ có 01 network ID và không có router nội bộ. Default gateway của các client là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server là router và NAT server. Mạng phức tạp: Hệ mạng gồm 03 network ID và 01 router nội bộ. Default gateway của các client là địa chỉ IP của router. Router được cấu hình default route là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server cũng là router và NAT server. Đôi điều về SecureNAT client & Web proxy client Trang 3/ 4 Một số ưu điểm: - Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng cơ sở hạ tầng mạng. - Triển khai trên các client không dùng hệ điều hành Windows. - Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh ping hoặc tracert ) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal) Một số hạn chế:: Hạn chế thứ nhất: SecureNAT client không có ứng dụng thực hiện việc gửi username và password đến firewall service trên ISA server, vì thế ISA không thể chứng thực user đối với thông tin phát sinh từ SecureNAt client và tất nhiên cũng không thể ghi nhận (log) các thông tin truy cập liên quan đến user. Hạn chế thứ hai: Client không thể dùng các protocol đa kết nối (multi connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp. Ví dụ FTP là 1 protocol đa kết nối: FTP client khởi tạo kết nối đến port TCP 20 của FTP server để tạo 01 kênh điều khiển (control chanel). FTP Client và FTP server sẽ dùng kênh điều khiển này để thương thảo số port mà FTP client dùng để nhận thông tin. Sau đó, FTP server truyền dữ liệu từ port TCP 21 đến port đã thương thảo của FTP client. Kết nối thứ hai này mới là kết nối chủ yếu và có các port không hề liên quan gì đến các port của kết nối phát sinh từ FTP client trước đó. Tuy vậy, ISA tích hợp sẵn bộ lọc FTP và SecureNAT client có khả năng truy cập dùng FTP thông qua ISA server. SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng đa truyền thông (multi media: voice, video ) vì hầu hết các ứng dụng này đều dùng đa kết nối. Chỉ có 01 ngoại lệ duy nhất là nếu các ứng dụng này được thiết kế để hoạt động với proxy SOCKS 4 thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ có khả năng hỗ trợ. Hạn chế thứ ba: Client chỉ có thể dùng các protocol mà ISA server có thể nhận diện thông qua bảng mô tả trên ISA server. Khi 01 access rule cho phép SecureNAT client được truy cập bằng "All outbound traffic" thì không có nghĩa là mọi protocol. "All outbound traffic" đối với SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA server mà thôi. Vì vậy, chỉ nên dùng SecureNAT client khi: - Publish server ra internet - Không thể triển khai cài đặt Firewall client hoặc cần các ứng dụng ngoài khả năng đáp ứng của Web proxy. - Client cần dùng protocol ICMP hoặc PPTP. Vấn đề DNS đối với SecureNAT client: SecureNAT client phân giải DNS name bằng cách truy vấn DNS server được khai báo trong TCP / IP properties. Có thể quan sát lại hai mô hình mạng bên trên để rút ra công thức cấu hình. Ở mô hình mạng đơn giản, client được cấu hình truy vấn DSN của ISP vì hệ mạng nội bộ không có DNS server. Ở mô hình mạng phức tạp, client được cấu hình truy vấn DSN nội bộ nhằm đảm bào khả năng phân giải tên nội bộ cũng như tên ngoài thế giới internet. 2. Web proxy client: - Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server của trình duyêt web. - Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web - Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS - Có thể chứng thực người dùng Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web Đôi điều về SecureNAT client & Web proxy client Trang 4/ 4 proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger (chat) hoặc trình duyệt mail. Khi SecureNAT hoặc Firewall client truy cập web, yêu cầu được chuyển đến firewall service trên ISA. Firewall service lại chuyển yêu cầu đến bộ lọc web proxy. Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt. Khi Web proxy client dùng trình duyệt web để tải dữ liệu về từ FTP server, ví dụ: ftp://ftp.nhatnghe.com, trình duyệt web sẽ triển khai một HTTP tunnel (đường hầm HTTP) chứ không dùng trực tiếp FTP. Web proxy client đóng gói yêu cầu FTP với 1 header HTTP có địa chỉ mục tiêu là địa chỉ card internal của ISA và port mục tiêu là TCP 8080. Khi tiếp nhận yêu cầu này, ISA 2006 sẽ tah1o phần HTTP header và chuyển gói tin yêu cầu ftp đến server ftp.nhatnghe.com. Khi dùng web proxy cho kết nối ftp, client chỉ có thể tải xuống (download). Để có thể tải lên (upload), client phải được cấu hình là SecureNAT hoặc Firewall client Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client. Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập web tại một thời điểm: Mở Properties của network chứa Web proxy client (thường là network Internal) > tab Web Proxy > Advanced. > chọn Maximum và nhập số kết nối đồng thời tối đa. Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối. . tính có trình duyệt web được cấu hình dùng ISA server làm web Đôi điều về SecureNAT client & Web proxy client Trang 4/ 4 proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng. Để hiểu cách cấu hình SecureNAT client, xin ví dụ 2 hệ thống mạng, tạm gọi là mạng đơn giản và mạng phức tạp Mạng đơn giản Đôi điều về SecureNAT client & Web proxy client Trang 2/ 4 . bộ lọc web proxy. Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt. Khi Web proxy client