Điều khiển truy cập Internet – Phần 4: TMG Network và Network Rule

Quản trị mạngTrong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số khái niệm được sử dụng trong mạng có tường lửa TMG firewall - TMG firewall Network và TMG firewall Network Rule.

Trong loạt bài giới thiệu những vấn đề cơ bản của tường lửa TMG, chúng tôi đã giới thiệu cho các bạn về các rule truy cập và các rule cho web publishing. Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn về các mạng TMG và các rule mạng. Tường lửa TMG chắc chắn là một trong những tường lửa trực quan hơn. Bạn không cần phải nhớ các câu lệnh mà thay vào đó là sử dụng giao diện người dùng có thiết kế khá chuyên nghiệp.

Tạo một TMG Firewall Network

Mô hình kết nối mạng có tường lửa TMG dựa trên khái niệm TMG firewall “Network”, với chữ N viết hoa. Một TMG firewall Network là một bộ sưu tập các địa chỉ IPv4 không thuộc về bất cứ TMG firewall Network nào khác. NIC kết nối chính tường lửa TMG với các địa chỉ IP đó được coi là “root” của TMG firewall Network.

Giả sử rằng bạn có một TMG firewall có hai NIC. Một giao diện được kết nối với Internet và đó là giao diện External mặc định, nó được kết nối với External Network mặc định. Một NIC khác được kết nối với một mạng subnet khác, đó là Internal Network mặc định. Nếu subnet nằm trong dải 10.0.0.0.-10.0.0.255 thì mạng Internal Network mặc định của bạn được định nghĩa bằng các địa chỉ đó và NIC kết nối với subnet đó là “root” của Internal Network mặc định.

Trong hình 1 bên dưới, bạn có thể thấy tab Networks trong nút Network ở panel bên trái của giao diện TMG firewall. Có 5 mạng TMG firewall mặc định ở đây:

  • External. Mạng External Network mặc định gồm có tất cả các địa chỉ IP không nằm trong mạng TMG firewall khác.
  • Internal. Mạng Internal Network mặc định được định nghĩa khi bạn cài đặt tường lửa. Internal Network mặc định điển hình là một mạng gồm có các bộ điều khiển miền (domain controller) hoặc máy chủ DNS mà tường lửa TMG cần để thực hiện các hoạt động cơ bản.
  • Local Host. Local Host Network được định nghĩa bởi các địa chỉ IP ràng buộc với tất cả giao diện mạng trên các NIC của tường lửa TMG.
  • Quarantined VPN Clients. Quarantined VPN Clients Network là một mạng được tạo động, gồm có tất cả các địa chỉ IP của máy khách VPN hiện đang được cách ly.
  • VPN Clients. VPN Clients Network là một mạng được tạo động khác gồm có các địa chỉ IP của tất cả các máy khách VPN hiện không được cách ly.

Hình 1

Nếu muốn có nhiều hơn hai NIC trong một tường lửa TMG, bạn cần phải tạo các mạng mới để hỗ trợ các NIC này.

Lưu ý:

Bạn có thể có thêm nhiều NIC trên cùng một mạng tường lửa TMG, tuy nhiên chúng ta sẽ không đề cập đến kịch bản đó trong bài này.

Để tạo một mạng tường lửa TMG mới, hãy kích liên kết Create a New Network trong phần panel bên phải của giao diện điều khiển. Thao tác này sẽ làm xuất hiện Welcome to the New Network Wizard, xem thể hiện trong hình 2 bên dưới. Trong trang này, bạn cần phải gán tên cho mạng. Trong ví dụ trong bài, chúng tôi đã đặt tên cho mạng là DMZ và kích Next.


Hình 2

Trong trang Network Type, bạn phải chỉ cho wizard về kiểu mạng mà bạn muốn tạo. Đây là các lựa chọn mà bạn cần chọn:

  • Internal Network – Internal Network là một mạng được bảo vệ bởi tường lửa TMG. Khi tạo một Internal Network, bạn sẽ có một số tùy chọn cấu hình cụ thể cho mạng đó, chẳng hạn như các thiết lập web proxy mà các máy khách trên mạng sử dụng. Chúng ta sẽ đề cập đến vấn đề này sau.
  • Perimeter Network – Mạng Perimeter Network cũng tương tự như mạng Internal Network dưới dạng các tùy chọn có sẵn cho bạn sau khi mạng được hoàn tất. Trong thực tế, không có sự khác biệt trong thực hiện giữa Perimeter Network và Internal Network, chỉ định “kiểu” làm cho nó trở nên dễ dàng hơn trong việc phân biệt mạng nào mà bạn cho là mạng bên trong, mạng nào được xem là DMZ.
  • VPN Site-to-Site Network – Đây là kiểu mạng đặc biệt mà TMG sử dụng để kết nối hai mạng với nhau qua Internet, sử dụng các router VPN.
  • External Network – Mạng External Network là một mạng không có các tùy chọn có trong các mạng Internal và Perimeter, và không được coi như một mạng được bảo vệ bởi TMG; nó cho phép bạn kết nối với các tài nguyên bên ngoài tổ chức, tuy nhiên không thể reach (với tới) qua cổng mặc định trên mạng External Network mặc định.

Trong ví dụ này, chúng ta sẽ tạo một mạng DMZ vì vậy hãy chọn tùy chọn Perimeter Network như thể hiện trong hình 3 và kích Next.


Hình 3

Trong trang Network Addresses, bạn cần cấu hình các địa chỉ IP được sử dụng để định nghĩa mạng. Có nhiều địa chỉ có thể reach trực tiếp bởi NIC kết nối với mạng mà bạn đang tạo. Có ba cách có thể add địa chỉ để định nghĩa một mạng:

  • Add Adapter – Đây là cách tốt nhất cho việc add địa chỉ. Nếu bạn cấu hình bảng định tuyến trên tường lửa TMG trước khi tạo mạng, tùy chọn này sẽ tự động bao hàm tất cả các địa chỉ có thể reach bởi NIC trên mạng mà bạn đang định nghĩa.
  • Add Private. Tùy chọn này cho phép dễ dàng add một bộ các địa chỉ IP riêng để định nghĩa một mạng mới của bạn.
  • Add Range. Tùy chọn này cho phép bạn chỉ định một dải địa chỉ IP nào đó để định nghĩa cho mạng của bạn. Bạn thường phải sử dụng tùy chọn này nếu chưa cấu hình bảng định tuyến trên tường lửa TMG; trong trường hợp đó, tất cả địa chỉ có thể với trực tiếp bởi NIC đều không được bao hàm khi bạn sử dụng tùy chọn Add Adapter.

Trong ví dụ này, chúng ta sẽ chọn NIC (Guest) (chúng tôi đã đặt lại tên các NIC để dễ dàng phân biệt hơn) là root của mạng DMZ đang tạo. Xem thể hiện trong hình 4.


Hình 4

Xem lại các lựa chọn trên trang Completing the New Network Wizard, trang bạn có thể thấy trong hình 5 và kích Finish.


Hình 5

Tại đây, mạng mới đã được tạo xong. Mặc dù vậy, không có nhiều thứ bạn thực hiện lúc này cho tới khi tạo một Network Rule.


Tạo một TMG Firewall Network Rule

Mạng được kết nối với các mạng khác bằng các rule mạng (Network Rule). Nếu không có rule nào để kết nối một mạng với một mạng khác sẽ không có lưu lượng truyền tải giữa các mạng. Khi bạn kết nối một mạng với một mạng khác, bạn cần phải định nghĩa mối quan hệ tuyến giữa các mạng. Mối quan hệ tuyến có thể là NAT hoặc có thể là Route. Một mối quan hệ tuyến có nghĩa rằng các gói từ một mạng nguồn nào đó đến một mạng đích sẽ được định tuyến, giống như bất cứ một kết nối được định tuyến nào. Nếu bạn chọn quan hệ NAT, các kết nối từ mạng nguồn sẽ được NAT đến mạng đích, với địa chỉ IP chính trên NIC gần nhất với mạng đích thay cho địa chỉ IP nguồn gốc của host trên mạng nguồn.

Để tạo một rule mới, kích tab Network Rules trong nút Networks trong giao diện tường lửa. Sau đó kích liên kết Create a Network Rule trong panel phải của giao diện. Trang đầu tiên bạn thấy sẽ là Welcome to the New Network Rule Wizard, như những gì thể hiện trong hình 6 bên dưới. Đầu tiên bạn cần gán tên cho rule trong hộp thoại Network rule name. Trong ví dụ này chúng tôi đã đặt tên cho rule là Internal to DMZ, đây là rule sẽ kết nối mạng Internal Network mặc định với mạng DMZ Network mới. Kích Next.


Hình 6

Trong hộp thoại Network Traffic Sources, bạn cần thiết lập mạng nguồn cho rule mạng. Trong ví dụ này, chúng tôi đã chọn mạng Internal mặc định làm mạng nguồn. Kích Add và sau đó trong hộp thoại Add Network Entities kích đúp Internal, xem thể hiện trong hình 7. Kích Close và tiếp sau đó kích Next.


Hình 7

Trong trang Network Traffic Destinations, thiết lập phía đích đến của rule. Trong ví dụ này chúng tôi đã chọn mạng Guest (đó là một mạng DMZ Network) làm phía đích của Network Rule. Kích nút Add và chọn DMZ Network từ danh sách Networks trong hộp thoại Add Network Entities, xem thể hiện trong hình 8, sau đó kích Next.


Hình 8

Trong trang Network Relationship, hình 9, chọn mối quan hệ tuyến giữa mạng nguồn và đích. Trong ví dụ này, chúng tôi đã chọn tùy chọn Route và kích Next.


Hình 9

Trang cuối cùng của wizard là Completing the New Network Rule Wizard như thể hiện trong hình 10. Kiểm tra các thiết lập của bạn và kích Finish.


Hình 10

Bạn có thể thấy rule mạng mới trong danh sách Network Rule trong trang Network Rules, như những gì bạn thấy trong hình 11. Network Rules được đánh giá theo thứ tự - vì vậy nếu thấy có sự đè chồng trong một số rule bạn có thể di chuyển rule mà bạn muốn được đánh giá cao hơn lên trên trong danh sách bằng cách kích phải vào nó và kích lệnh Move Up. Sau khi rule cần chuyển đã nằm ở vị trí mong muốn, hãy kích nút Apply để lưu cấu hình vào chính sách tường lửa.


Hình 11

Kết luận

Trong bài này chúng tôi đã giới thiệu được cho các bạn một số khái niệm cơ bản được sử dụng trong kết nối mạng có tường lửa TMG - TMG firewall Network và TMG firewall Network Rule. Nếu chưa từng sử dụng nhiều hơn hai NIC trong một tường lửa TMG, bạn sẽ không bao giờ cần phải nghĩ đến chủ đề này. Tuy nhiên nếu quyết định muốn nâng tường lửa TMG lên mức cao hơn, bạn có thể cài đặt nhiều NIC trong tường lửa và tạo các mạng tường lửa TMG mới. Có một điều quan trọng cần nhớ ở đây là bạn không thể sử dụng các mạng đó cho tới khi tạo rule để kết nối các mạng đó với nhau xong. Khi các mạng được kết nối thông qua rule nào đó, sự truyền thông sẽ được cho phép giữa các mạng này.

Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các tùy chọn mặc định có sẵn trong cấu hình mạng khi tạo một mạng Internal hoặc Perimeter.

Thứ Ba, 02/11/2010 12:39
31 👨 7.728
0 Bình luận
Sắp xếp theo