Các mô hình Firewall

0
732

Có rất nhiều mô hình Firewall để ta có thể lựa chọn, tuy nhiên việc lựa chọn mô hình phù hợp để triển khai hệ thống Firewall là một việc hết sức quan trọng.

Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các rule mạng. Forefront TMG hỗ trợ hai kiểu rule mạng đó là:

– Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.

– NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của adapter mạng tương ứng.

Sau khi đã tạo các mạng và các rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối lưu lượng giữa các mạng được kết nối. oktot.com sẽ giới thiệu về rule ở các bài viết tiếp theo.

Network template

Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (network template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện là khởi chạy Getting Started Wizard trong giao diện quản lý TMG Management. Hình dưới đây thể hiện vị trí Launch Getting Started Wizard.
image002
Giao diện quản lý của Forefront TMG Managerment

Network setup wizard

Launch Getting Started Wizard cho phép bạn chọn network template cần thiết. Forefront TMG cung cấp cho bạn tới 4 network template:
– Edge Firewall
– 3-Leg perimeter
– Back firewall
– Single network Adapter

Edge Firewall

image005
Edge Firewall template là một network template cơ bản giúp kết nối mạng bên trong với Internet, và được bảo vệ bởi Forefront TMG. Để sử dụng Edge Firewall template yêu cầu tối thiểu phải có hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và một trong những tùy chọn được sử dụng phổ biến nhất. Điều này sẽ tạo ra một mạng nội bộ phân cách với mạng bên ngoài thông qua TMG.

   3-Leg Perimeter 

image008

3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network.

Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc Mail Server. Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.

Back Firewall

image009

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoặc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ.

Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall.

Single-Network Adapter

image011

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là nó được sử dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây:

– Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
– Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
– Web publishing để bảo vệ các máy chủ FTP và published Web
– Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007).

Không giống như ISA Server 2006 hướng dẫn Network Template, TMG Network Setup Wizard còn cho phép bạn xác định các thiết lập IP cho NIC. Một cải tiến khác trên ISA Server 2006 Network Template Wizard, là khi bạn chọn 3-Leg hoặc Back Firewall. Trong những trường hợp này, Network Setup Wizard cung cấp cho bạn khả năng lựa chọn các mối quan hệ mạng NAT hoặc Route. Đây là một cải tiến lớn, trên ISA Server 2006 Mẫu Wizard trong không có giả định về mối quan hệ này.

Xem thêm bài viết Hướng dẫn cài đặt TMG

LEAVE A REPLY