Hướng dẫn cấu hình máy trạm ra net trong TMG

0
846

Trong bài viết trước oktot.com đã hướng dẫn các bạn cài đặt Forefront TMG Server cũng như triển khai Cấu hình Edge Firewall template trên Forefront TMG Server. Tuy nhiên mặc định sau khi cài đặt xong TMG sẽ khóa mọi traffic ra vào hệ thống mạng, và các máy trạm sẽ không truy cập ra ngoài Internet được mặc dù đã được cấu hình Rule cho phép truy cập. Hôm nay oktot sẽ hướng dẫn bạn các giải pháp để giải quyết vấn đề này.

Mặc định TMG cung cấp 3 giải pháp để các máy trong mạng Internal (LAN) ra vùng External (Internet).

  • SecureNAT Client
  • Web Proxy Client
  • Firewall Client

Giới thiệu về Secure NAT

Khái niệm Secure NAT

  • Chính là một LAT host (Client có cấu hình IP address bên trong Mạng nội bộ).
  • Trong một Mạng đơn giản thì SecureNAT Client có đường định tuyến duy nhất (default route / default gateway) ra Internet là qua TMG server, và nhận Default Gateway chính là IP address của TMG server Internal NIC.
  • Trong một Mạng phức tạp, Secure NAT Clients sẽ nhận Default Gateway là các Interface của Router đứng phía sau TMG server, và nhiệm vụ của các Router này là chỉ đường đến Internal Interface trên TMG.

image003

Ưu và nhược điểm của Secure NAT

  • Ưu điểm
    • NAT dễ cài đặt và vận hành, dường như không phải làm gì ngoài việc cấu hình tham số default gateway tới Server NAT.
    • Hỗ trợ các ứng dụng “non-TCP/UDP” như ICMP (Client cần dùng lệnh ping hoặc tracert…) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet – loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal)
  • Nhược điểm
    • NAT không có tính năng cache.
    • Đối với NAT việc cho phép thiết đặt các chính sách tới người dùng là rất hạn chế.
    • Không bảo mật

Cấu hình Secure NAT

Tại máy Client trỏ Default gateway về Card Internal (LAN) máy Forefront TMG

image005

Kiểm tra kết quả ra Internet thành công

image007

Giới thiệu về Proxy

Khái niệm Proxy

  • Tên gọi khác: Application Proxy hoặc Application-level Gateway
  • Proxy là một Internet server làm nhiệm vụ chuyển tiếp và kiểm soát thông tin tạo sự an toàn cho việc truy cập Internet của các máy khách.
  • Proxy theo dõi và làm việc trên dữ liệu của gói dữ liệu IP
  • Proxy chặn các yêu cầu từ các máy tính trong mạng nội bộ (internal network) và chuyển các yêu cầu đó đến máy tính đích trên mạng Internet

Các loại Proxy

  • Dạng kết nối trực tiếp: Người dùng (Client) gởi yêu cầu trực tiếp tới Proxy Server. Server giao tiếp với Internet Server để thực thi và trả kết quả về lại Client.
  • Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client tại máy của họ. Khi có yêu cầu giao tiếp với Internet Server, Proxy Client gởi tới Proxy Server.
  • Transparent Proxy: Một loại Proxy phát triển gần đây, là sự kết hợp giữa Gateway và Proxy Server. Những packets đi vào Gateway tự động được đổi hướng đến Proxy Server. Proxy Server giao tiếp với Internet Server để thực thi
  • Trạm cài đặt Proxy gọi là Proxy server. Proxy hay trạm cài đặt Proxy có địa chỉ IP và một cổng truy cập cố định

Ví dụ: 124.456.789.123:80 Địa chỉ IP của proxy trong ví dụ là 124.456.789.123 và cổng truy cập là 80.

image009Vai trò của Proxy

  • Che dấu các máy nội bộ: Che dấu các máy nội bộ khỏi các người dùng bên ngoài muốn tìm cách truy cập vào các máy bên trong mạng nội bộ
  • Block URL: Ngăn chặn các người dùng truy cập các website có nội dung không hợp lệ được thiết lập bởi người quản trị
  • Block và Filter Content: Kiểm tra nội dung của gói tin và ngăn chặn nếu nội dung “độc hại”

Tại sao cần dùng Proxy ?

  • Dịch vụ Proxy được triển khai nhằm mục đích phục vụ các kết nối từ các máy tính bên trong mạng dùng riêng ra Internet.
  • Khi đăng ký sử dụng dịch vụ Internet tới nhà cung cấp dịch vụ, khách hàng sẽ được cấp hữu hạn số lượng các địa chỉ IP từ nhà cung cấp, số lượng IP nhận được không đủ để cấp cho các máy tính trạm.
  • Mặt khác với nhu cầu kết nối mạng dùng riêng ra Internet mà không muốn thay đổi cấu trúc mạng hiện tại đồng thời muốn ra tăng khả năng thi hành của mạng qua một kết nối Internet duy nhất và muốn kiểm soát tất cả các thông tin vào ra, muốn cấp quyền và ghi lại các thông tin truy cập của người sử dụng…

Những bất lợi khi dùng Proxy

  • Các phần mềm Proxy thường hỗ trợ tốt cho các dịch vụ Internet lâu đời và phổ biến như: FTP, telnet, HTTP nhưng đối với các dich vụ ít phổ biến và mới thì khó tìm.
  • Luôn có một khoảng cách giữa việc giới thiệu một dịch vụ và sự sẵn sàng hỗ trợ proxy cho nó mức độ tùy vào việc dịch vụ này được thiết kế hỗ trợ cho Proxy ra sao. Điều này gây khó khăn cho một website muốn đưa ra một dịch vụ mới ngay lập tức. Trước khi có một phần mềm proxy thích hợp, một hệ thống mà cần những dịch vụ mới sẽ phải đặt bên ngoài firewall, tạo ra một lỗ hổng bảo mật.
  • Bạn có thể cần một Proxy server cho từng giao thức, bởi vì proxy phải hiểu nó để xác định những gì được phép và không được phép. Việc cài đặt và cấu hình tất cả các proxy sẽ tốn nhiều công sức. Thông thường những proxy server dễ cấu hình thì sẽ mất tính linh hoạt, bởi lẽ chúng sẽ tạo ra những điều giả sử sẵn về cách làm thế nào để hoạt động, mà điều này thì thường không phù hợp với một site.
  • Các dịch vụ Proxy không bảo vệ bạn khỏi tất cả điểm yếu kém của giao thức: như là một giải pháp bảo mật, proxy dựa vào khả năng xác định những hoạt động nào trong một giao thức là an toàn. Không phải tất cả các giao thức cung cấp các cách dễ dàng để làm HTTP được thiết kế để hoạt động với Proxy server, nhưng nó còn được thiết kế để dễ mở rộng, và nó đạt được mục đích này bằng cách truyền dữ liệu sẽ được thực thi.

Cấu hình Web Proxy

Không cần điền Default gateway

image015

Trước khi cấu hình Web proxy  -> Không truy cập được Internet

image017

Để cấu hình, Vào Tools  -> Internet Options

image019

   Tab Connections -> Lan settings

image020

   Nhập vào địa chỉ của máy Forefont TMG & Port

image021

Kết quả ra Internet thành công

image007

Giới thiệu Firewall Client (xem tiếp trang sau)

LEAVE A REPLY