Microsoft Forefront TMG – Sử dụng Network Template Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Template, cách tạo các mạng bổ sung và cách tùy chỉnh các thiết lập mạng Forefront TMG. Bắt đầu Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng của bạn, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết; chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các rule mạng. Forefront TMG hỗ trợ hai kiểu rule mạng đó là: Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng. NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của adapter mạng tương ứng. Sau khi đã tạo các mạng và các rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối lưu lượng giữa các mạng được kết nối. Network template Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (network template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện là khởi chạy Getting Started Wizard trong giao diện quản lý TMG Management. Hình dưới đây thể hiện vị trí Launch Getting Started Wizard. Hình 1: Getting Started Wizard của Forefront TMG Cấu hình các thiết lập mạng Launch Getting Started Wizard cho phép bạn chọn network template cần thiết. Forefront TMG cung cấp cho bạn tới 4 network template: • Edge Firewall • 3-Leg perimeter • Back firewall • Single network Adapter Edge Firewall Edge Firewall template là một network template cũ và kết nối mạng bên trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. 3-Leg Perimeter 3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau. Backfirewall Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall. Lưu ý: Forefront TMG không có Front Firewall network template đi kèm Single Network Adapter Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây: • Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download. • Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty. • Web publishing để bảo vệ các máy chủ FTP và published Web • Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007). Hình 2: Phần Network Template Bước tiếp theo, chọn adapter mạng sẽ được sử dụng cho network template này. Trong ví dụ này, chúng tôi đã sư dụng Edge Firewall template để bạn phải chọn adapter mạng nào kết nối với LAN và adapter mạng nào kết nối với mạng bên ngoài (mạng không tin cậy). Hình 3: Chọn adapter mạng Trong Forefront TMG, hiện bạn có thể chỉ định các tuyến mạng bổ sung với UI mà không phải sử dụng lệnh Route add từ dòng lệnh. Hình dưới đây hiển thị các mạng mặc định được tạo bởi quá trình cài đặt Microsoft Forefront TMG. Chỉ có các mạng bên trong mới có tùy chọn cấu hình dải địa chỉ IP. Hình 4: Các mạng Forefront TMG Forefront TMG có một số rule mạng đi kèm, đây là các rule định nghĩa mối quan hệ giữa các mạng với nhau. Hình 5: Các rule mạng Một vấn đề mới nữa trong Microsoft Forefront TMG là khả năng định nghĩa một số thiết lập network adapter cơ bản như địa chỉ IP, Default Gateway và,… Hình 6: Forefront TMG Network Adapter Hình dưới dây hiển thị các tùy chọn cấu hình cho network adapter. Hình 7: Trang thuộc tính địa chỉ IP Với Forefront TMG, bạn hoàn toàn có thể tạo các tuyến mạng mới qua giao diện TMG Management. Hình 8: Các tuyến mạng Hình bên dưới hiển thị một ví dụ việc tạo tuyến cho một mạng mới. Hình 9: Tạo một tuyến mới Các mạng mới trong TMG Hoàn toàn có thể tạo các mạng bổ sung trong Forefront TMG. Forefront TMG có một wizard cho việc tạo các mạng mới. Hình 10: Forefront TMG – Tạo mạng mới Các mạng mới có thể được tạo cho các vùng khác nhau. Cho ví dụ, hoàn toàn có thể tạo một mạng mới cho một DMZ bổ sung trên Microsoft Forefront TMG. [...]... của Forefront TMG Hình 13: Forefront TMG – Export và import các định nghĩa mạng Kết luận Trong bài viết này, chúng tôi đã giới thiệu cho các bạn những kiến thức tổng quan về cách sử dụng các mạng, các network template và các rule trong Forefront TMG để tạo cho bạn một topo mạng Như những gì các bạn thấy qua bài, chúng ta hoàn toàn có thể dễ dàng tạo topo mạng với sự trợ giúp của các network template Forefront. ..Hình 11: Forefront TMG – Chỉ định kiểu mạng Chỉ định dải địa chỉ IP cho mạng mới Hình 12: Forefront TMG – Dải địa chỉ IP Sau khi tạo xong một mạng mới, bạn phải liên kết mạng mới với rule mạng đang tồn tại hoặc có thể tạo một quan hệ mới từ kiểu Route hoặc NAT Export và import các định nghĩa mạng Hoàn toàn có thể export các mạng Forefront TMG hoặc các thiết lập mạng vào một... trợ giúp của các network template Forefront TMG có một số cải tiến khá hữu dụng có liên quan đến cấu hình mạng Nó là một tính năng tuyệt vời và cho phép các quản trị viên TMG có thể tạo các tuyến mạng qua TMG Management console và có thể cấu hình một số thiết lập địa chỉ IP cơ bản với TMG console Hầu hết các thiết lập khác được duy trì không thay đổi so với Microsoft ISA Server 2006 . Microsoft Forefront TMG – Sử dụng Network Template Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng Network Template, . sung trên Microsoft Forefront TMG. Hình 11: Forefront TMG – Chỉ định kiểu mạng Chỉ định dải địa chỉ IP cho mạng mới. Hình 12: Forefront TMG – Dải địa