Web Proxy Chaining Forefront TMG 2010 http://expressmagazine.net/development/2487/web-proxy-chaining-trong-forefront-tmg-2010 Web Proxy Chaining Forefront TMG 2010 JAN 24 • Posted by: vu hoang • Bình luận Web Proxy Chaining Forefront TMG 2010 Web proxy chaining cách hiệu cho việc phân phối lưu lượng web proxy tổ chức, góp phần làm giảm băng thông tiêu tốn liên kết WAN tốc độ thấp, giảm việc sử dụng tài nguyên máy chủ proxy văn phòng chính, ủy thác quản trị cho quản trị viên site xa Web proxy chaining cấu hình mà proxy server (được gọi downstream proxy server) cấu hình để chuyển tiếp yêu cầu đến proxy server khác (được gọi upstream proxy server) thay lấy lại nội dung trực tiếp từ Internet Downstream proxy server kết nối trực tiếp với Internet Trong phần loạt gồm có hai phần này, xem xét kịch triển khai giới thiệu cho bạn cách cấu hình web proxy chaining Forefront Threat Management Gateway (TMG) 2010 Web Proxy Chaining Trước tiếp tục, vấn đề quan trọng cần làm rõ web proxy chaining áp với lưu lượng xử lý web proxy filter; có nghĩa lưu lượng tạo máy khách web proxy client Web proxy chaining ảnh hưởng TMG Firewall Client lưu lượng SecureNET Để lợi dụng tính web proxy chaining có TMG, cần cấu hình máy khách sử dụng proxy server, cách nhập proxy server thủ công hay sử dụng tùy chọn cấu hình tự động (DNS DHCP), sử dụng sách nhóm, cách triển khai TMG Firewall Client với thiết lập proxy server cấu hình thích hợp Cấu hình Một kịch triển khai chung cho web proxy chaining proxy server (hoặc mảng) đặt văn phòng chính, proxy server khác (hoặc mảng) đặt văn phòng chi nhánh xa (xem đồ bên dưới) Người dùng văn phòng cấu hình để sử dụng proxy server cho việc truy cập Internet Người dùng văn phòng chi nhánh cấu hình để sử dụng proxy server cục họ, proxy server cấu hình để chuyển tiếp yêu cầu đến upstream proxy server nằm văn phòng Hình Web proxy chaining kích hoạt cách tạo web chaining rule Các rule xác định cách tường lửa định tuyến yêu cầu web proxy cho phép chúng Để cấu hình web proxy chaining kịch này, bạn mở TMG management console downstream proxy server kích nút Networking giao diện điều khiển Hình Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau panel Tasks chọn Create New Web Chaining Rule Hình Khi New Web Chaining Rule Wizard mở, đặt tên cho web chaining rule Hình Chọn Web Chaining Rule Destination thích hợp Chúng ta không bị hạn chế tùy chọn đây, nhiên với mục đích minh chứng, chọn chuyển tiếp tất yêu cầu cho Internet cách chọn mạng External Hình Chọn tùy chọn để chuyển thướng yêu cầu đến máy chủ upstream định Hình Chỉ định địa IP, hostname FQDN upstream proxy server Trừ bạn thay đổi cổng lắng nghe web proxy upstream proxy server không không cần thay đổi cổng mặc định liệt Để tùy chọn Apply malware inspection to Web content received from or sent to an upstream proxyđược kiểm upstream proxy server không thực hành động tra malware, tra malware không hỗ trợ downstream proxy server upstream proxy server thời điểm Lựa chọn để quét virus malware bạn Nếu bạn chọn quét máy chủ upstream proxy server bạn ngăn chặn phần mềm mã độc xâm nhập vào mạng Nếu upstream proxy server tổng hợp số lượng lớn yêu cầu cho downstream proxy server tải trọng tăng đáng kể làm tải CPU hiệu suất đĩa, vấn đề dẫn đến tượng trễ Trong trường hợp này, việc quét máy chủ downstream giúp bạn phân phối tải trọng, giảm tiêu tốn tài nguyên máy chủ upstream Hình Chọn backup action thích hợp cho môi trường bạn Nếu máy chủ downstream có kết nối trực tiếp với Internet, bạn chọn tùy chọn để lấy lại yêu cầu trực tiếp từ đích (retrieve requests directly from the specified destination) Nếu có proxy server (hoặc mảng) địa điểm khác sử dụng làm máy chủ upstream, bạn chọn tùy chọn định tuyến yêu cầu đến máy chủ upstream (route requests to an upstream server) (sẽ có nhắc nhở thông tin bổ sung) Nếu máy chủ downstream tuyến thay (hoặc không phép sử dụng cho sách bảo mật công ty), chọn tùy chọn mặc định ignore requests Hình Rule lúc xuất danh sách Các Web chaining rule xử lý theo thứ tự, rule đặt trước rule mặc định Mặc dù tạo rule hoàn toàn thay đổi rule mặc định để cung cấp kết tương tự Hình Lưu ý: Một vấn đề quan trọng cần phải nhớ rule truy cập phải đặt thích hợp máy chủ downstream upstream để tạo điều kiện thuận lợi cho việc truy cập web Các hạn chế kết nối Trong nhiều trường hợp, việc kích hoạt web proxy chaining làm cho máy chủ downstream vượt hạn chế kết nối thi hành thiết lập chống tràn máy chủ upstream Các máy chủ upstream nhận yêu cầu kết nối đến từ host (máy chủ downstream) thay máy khách riêng lẻ Nếu máy chủ downstream tổng hợp yêu cầu cho số lượng lớn máy khách cần phải thay đổi hạn chế kết nối mặc định máy chủ upstream Điều cấu hình cách add thêm máy chủ downstream vào danh sách IP exception, thay đổi han chế mặc định cho tất host Bạn tìm thấy thiết lập chống tràn giao diện quản lý TMG cách kíchIntrusion Prevention System giao diện, kích Configure Flood Mitigation Settings cửa sổ sau chọn tab IP Exceptions tạo tập máy tính có chứa máy chủ downstream bạn Hình 10 Kết luận Phụ thuộc vào yêu cầu cụ thể bạn, cấu hình web proxy chaining tương đối đơn giản (như thảo luận đây) phức tạp Ví dụ phác thảo giả định tất lưu lượng định tuyến đến m áy chủ upstream proxy, yêu cầu nhận thực Trong nhiều trường hợp, downstream proxy có kết nối trực tiếp đến Internet số lưu lượng định tuyến đến máy chủ upstream proxy Thông thường máy chủ upstream proxy yêu cầu nhận thực, yêu cầu thêm kế hoạch cấu hình bổ sung Trong phần hai loạt này, giới thiệu cho bạn số kịch triển khai chi tiết Văn Linh (Theo Isaserver) Bài chuyên m ục • • • • • • • • • • Tự động hóa lệnh TELNET sử dụng VB Script Những mẹo bảo vệ mạng ảo client Tìm hiểu WinRM & WinRS Kết nối Windows XP từ Windows Vista Hướng dẫn cấu hình Windows Server 2008 DHCP Server Khắc phục cố kết nối mạng- phần Khắc phục cố kết nối mạng- phần Khắc phục cố kết nối mạng- phần Khắc phục cố kết nối mạng- phần Khắc phục cố cấu hình mạng với Wireshark (Ethereal) ... cấu hình web proxy chaining Forefront Threat Management Gateway (TMG) 2010 Web Proxy Chaining Trước tiếp tục, vấn đề quan trọng cần làm rõ web proxy chaining áp với lưu lượng xử lý web proxy filter;... khách web proxy client Web proxy chaining ảnh hưởng TMG Firewall Client lưu lượng SecureNET Để lợi dụng tính web proxy chaining có TMG, cần cấu hình máy khách sử dụng proxy server, cách nhập proxy. .. Hình Web proxy chaining kích hoạt cách tạo web chaining rule Các rule xác định cách tường lửa định tuyến yêu cầu web proxy cho phép chúng Để cấu hình web proxy chaining kịch này, bạn mở TMG management