Điều khiển truy cập Internet: Giới thiệu về TMG Access Rule – Phần 3

Quản trị mạng – Trong phần ba của loạt bài giới thiệu về TMG Access Rule, chúng tôi sẽ giới thiệu cho các bạn những vấn đề cơ bản về Web Publishing Rule.

[#RelatedNews(8)#]

Web publishing là một thuật ngữ mà chúng ta sử dụng trong việc reverse proxy các website để người dùng bên ngoài có thể truy cập vào các website nằm bên trong tường lửa TMG. Lưu ý rằng có hai cách bạn có thể cho phép người dùng bên ngoài có thể sử dụng các website: web publishing và server publishing. Web publishing cho phép tường lửa TMG hành động như một reverse proxy, trong khi đó server publishing lại cung cấp các máy chủ web thông qua reverse NAT. Trong hai phương pháp này thì Web publishing là phương pháp được ưa thích hơn, với phương pháp này bạn có thể sử dụng ưu điểm của phương pháp tiền nhận thực và nhiều tính năng khác không có sẵn qua reverse NAT.

Để giới thiệu cho các bạn quá trình web publishing, chúng ta hãy bắt đầu bằng cách publish một HTTP site đơn giản nằm phía sau tường lửa TMG. Site cơ bản này không yêu cầu SSL và cũng không yêu cầu nhận thực. Về sau, chúng ta sẽ đi xem xét một số ví dụ phức tạp hơn, trong đó bạn có thể sử dụng SSL và nhận thực.

Để bắt đầu, hãy kích nút Firewall Policy trong panel bên trái của giao diện điều khiển TMG firewall, như thể hiện trong hình 1 bên dưới.


Hình 1

Trong panel bên phải của giao diện, kích Tasks Tab. Sau đó trên Tasks Tab, kích liên kết Publish Web Sites được thể hiện như trong hình 2 bên dưới.


Hình 2

Thao tác này sẽ làm xuất hiện trang Welcome to the New Web Publishing Rule Wizard. Trên trang này, hiển thị trong hình 3, bạn cần đặt tên cho rule. Trong hộp văn bản Web publishing rule name, lấy ví dụ, chúng ta nhập vào tên HTTP Web Server và sau đó kích Next.


Hình 3

Trong trang Select Rule Action, như thể hiện trong hình 4, bạn có thể cấu hình rule là Allow hoặc Deny cho kết nối. Trong ví dụ này, chúng ta sẽ chọn Allow. Tùy chọn Deny được sử dụng cho các trường hợp sử dụng đặc biệt; bạn cũng có thể tạo các rule web publishing để cho phép các kết nối đến một website nào đó nằm phía sau tường lửa TMG.


Hình 4

Trong trang Publishing Type, như thể hiện trong hình 5, bạn chọn một trong số ba kịch bản tương ứng với môi trường máy chủ web của mình. Trong ví dụ này, do muốn publish một web server nằm phía sau tường lửa TMG, vì vậy chúng ta chọn tùy chọn Publishing a single Web site or load balancer và kích Next.


Hình 5

Trong trang Server Connection Security, thể hiện trong hình 6, bạn phải chọn xem tường lửa TMG có cần sử dụng SSL để kết nối với máy chủ web hay không. Trong kịch bản này, chúng ta không yêu cầu SSL giữa tường lửa TMG và máy chủ web, vì vậy hãy chọn tùy chọn Use non-secured connections to connect the published Web server or server farm.

Cần nhớ rằng để kết nối an toàn nhất, bạn nên sử dụng SSL.


Hình 6


Trong trang Internal Publishing Details, hiển thị trong hình 7, bạn sẽ được yêu cầu định nghĩa tên máy chủ trong mạng nội bộ. Trong ví dụ này, chúng ta nhập vào Fully Qualified Domain Name (FQDN) của máy chủ trong mạng nội bộ đang hosting website, đó là dc1.msfirewall.org. Bạn cũng có tùy chọn kích hoạt hộp kiểm Use a computer name or IP address to connect to the published server, sau đó nhập vào tên hoặc địa chỉ IP khác của máy chủ. Tùy chọn này cho phép tường lửa TMG tìm máy chủ nếu nó đang sử dụng một tên khác không giống tên bạn nhập trong hộp Internal site name. Sau khi nhập vào các thông tin này, kích Next.


Hình 7

Trong trang Internal Publishing Details, hiển thị trong hình 8, bạn có thể nhập vào đường dẫn để hạn chế người dùng truy cập vào một file hoặc thư mục nào đó trên máy chủ web. Trong ví dụ này, do muốn cho phép truy cập toàn bộ site nên chúng ta không nhập đường dẫn nào ở đây. Sau khi thực hiện xong các lựa chọn ở đây, kích Next.


Hình 8

Trên trang Public Name Details, hình 9, nhập vào tên của website mà người dùng sẽ truy cập. Đây là tên mà người dùng sử dụng để truy cập site. Để thực hiện điều này, chọn tùy chọn This domain name (type below) từ danh sách sổ xuống Accept requests for. Sau khi chọn tùy chọn đó, nhập vào tên mà người dùng sẽ truy cập site trong hộp văn bản Public name. Trong ví dụ này, người dùng sẽ sử dụng tên www.msfirewall.org để truy cập site, vì vậy chúng ta sẽ nhập tên đó vào hộp văn bản. Tiếp nữa, chúng ta sẽ có tùy chọn nhập vào đường dẫn, tuy nhiên chúng ta không thực hiện công việc đó mà hãy kích Next.


Hình 9

Trong trang Select Web Listener, hình 10, chọn bộ lắng nghe web listener sẽ được sử dụng để chấp nhận các kết nối từ người dùng bên ngoài để truy cập vào website. Trong ví dụ của chúng tôi, chưa có bộ lắng nghe nào được thiết lập, vì vậy không có lựa chọn nào trong hộp chọn sổ xuống. Để tạo một bộ lắng nghe HTTP web listener mới, kích nút New.


Hình 10

Thao tác này sẽ làm xuất hiện trang Welcome to the New Web Listener Wizard, hình 11. Ở đây chúng ta nhập tên cho bộ lắng nghe web listener trong hộp văn bản Web listener name (chúng ta sẽ sử dụng tên HTTP Listener) và sau đó kích Next.


Hình 11

Trong trang Client Connection Security, hình 2, bạn phải chỉ định muốn hay không muốn sử dụng SSL để kết nối với tường lửa TMG. Trong ví dụ này, chúng ta muốn publish một site HTTP đơn giản, do đó hãy chọn Do not require SSL secured connection with clients và kích Next.


Hình 12


Trong trang Web Listener IP Addresses, hình 13, chọn mạng mà bạn muốn tường lửa TMG chấp nhận các kết nối đến website. Trong hầu hết các trường hợp, khi publish một website cho người dùng bên ngoài, bạn nên chọn mạng External mặc định để chấp nhận các kết nối gửi đến. Nếu bạn có nhiều địa chỉ IP được ràng buộc với giao diện ngoài, bạn có thể kích Select IP Addresses và sau đó chọn địa chỉ IP cụ thể mà bạn muốn chấp nhận các kết nối; trong hầu hết các trường hợp, bạn nên thực hiện điều này thay vì chấp nhận các kết nối trên tất cả địa chỉ IP có thể được cấu hình trên giao diện ngoài của tường lửa TMG. Trong ví dụ này, chúng ta chỉ có một địa chỉ IP trên giao diện ngoài, tuy nhiên chúng ta sẽ chọn một địa chỉ IP cụ thể đó trong trường hợp cần add thêm nhiều địa chỉ IP vào giao diện ngoài trong tương lai.


Hình 13

Trong trang Authentication Settings, hình 4, chọn kiểu thông tin sẽ được sử dụng để kết nối tới tường lửa TMG nhằm truy cập site. Kiểu nhận thực này thường được gọi là tiền nhận thực vì người dùng nhận thực với tường lửa TMG trước khi nhận thực với máy chủ web. Trong ví dụ này, chúng ta không yêu cầu nhận thực vì vậy hãy chọn tùy chọn No Authentication và kích Next.


Hình 14

Trong trang Single Sign On Settings, hình 15, bạn có thể cấu hình bộ lắng nghe web listener để hỗ trợ cơ chế đăng nhập một lần (single sign-on) cho tất cả các site được publish qua bộ lắng nghe này. Mặc dù vậy, để cơ chế đăng nhập một lần làm việc, người dùng phải đăng nhập. Do chúng ta không yêu cầu nhận thực trong ví dụ này do đó cơ chế đăng nhập là không cần thiết, vậy hãy chuyển sang phần tiếp theo bằng cách kích Next.


Hình 15

Sau khi kích Next bạn sẽ thấy xuất hiện trong cuối cùng của web listener wizard, hình 16. Ở đây chúng ta sẽ xem xét lại các thiết lập trên trang Completing the New Web Listener Wizard và kích Finish.


Hình 16

Giờ đây chúng ta hãy quay trở về wizard gốc. web listener mới lúc này sẽ xuất hiện trong trang Select Web Listener như được thể hiện trong hình 17, ở đây bạn có thể thấy một số thông tin chi tiết về Web Listener. Có một số tùy chọn bổ sung để bạn có thể cấu hình trên web listener. Ngoài ra bạn có thể truy cập chúng bằng cách kích nút Edit. Chúng tôi sẽ giới thiệu về vấn đề này trong phần sau. Còn giờ đây, chúng ta hãy tiếp tục bằng cách kích Next.


Hình 17

Trong trang Authentication Delegation, hình 18, bạn cấu hình cách TMG firewall ủy nhiệm chứng chỉ cho website đã được publish. Điều này có nghĩa người dùng sẽ chỉ cần nhận thực một lần với tường lửa TMG. Trong ví dụ này, chúng ta không yêu cầu nhận thực, do đó không có lý do gì để ủy nhiệm các tiêu chuẩn, chúng ta sẽ chọn tùy chọn No delegation, and client cannot authenticate directly và kích Next.


Hình 18


Trong trang User Sets, hình 19, chọn người dùng hoặc nhóm người dùng được phép truy cập vào website đã được publish. Để kích hoạt tùy chọn này, bạn phải yêu cầu người dùng nhận thực để họ sẽ được nhận dạng. Do không yêu cầu nhận thực trong ví dụ này nên chúng ta sẽ sử dụng nhóm mặc định, đó là All Users. Trong ngữ cảnh của TMG firewall, “all users” không có nghĩa là tất cả người dùng đã được nhận thực; nó có nghĩa là người dùng nặc danh – vì vậy khi cho phép truy cập “all users”, bạn đang cho phép người dùng không nhận thực có thể truy cập site.


Hình 19

Chúng ta sẽ đánh giá lại các thiết lập trong trang Completing the New Web Publishing Rule Wizard như được hiển thị trong hình 20, sau đó kích nút Test Rule.


Hình 20

Nút Test Rule cho phép bạn thấy liệu website có thể truy cập từ TMG firewall hay không. Như những gì bạn có thể thấy trong hình 21 bên dưới, khi kích nút Test Rule, TMG sẽ cố gắng kết nối với máy chủ web bằng kết nối HTTP và nó thực hiện hành động ping đường dẫn (PathPing) đến máy chủ web. Như những gì trong hình, tường lửa TMG đã có thể kết nối đến máy chủ web và PathPing đã diễn ra thành công.


Hình 21

Lúc này bạn có thể thấy rule mới trong danh sách các rule tường lửa. Để kích hoạt rule, bạn phải kích nút Apply, như thể hiện trong hình 22 bên dưới.


Hình 22

Hộp thoại Configuration Change Description, như thể hiện trong hình 23, bạn có thể nhập vào bình luận về thay đổi mà mình đã thực hiện trong chính sách tường lửa. Tường lửa TMG sẽ lưu các thông tin này để bạn có thể sử dụng nó như một phần của hệ thống quản lý thay đổi, mục đích hỗ trợ cho việc khắc phục sự cố sau này. Sử dụng hộp thoại này, bạn cũng có thể export cấu hình tường lửa để có thể khôi phục cấu hình về điểm trước khi thực hiện thay đổi. Kích Apply để lưu các thay đổi.


Hình 23

Cấu hình lúc này sẽ được lưu và bạn có thể thấy các kết quả trong hộp thoại Saving Configuration Changes, hình 24. Lưu ý rằng các kết nối khách đang tồn tại sẽ được đánh giá lại theo chính sách mới. Đây là điểm mới đối với tường lửa TMG – với tường lửa ISA, chính sách tường lửa chỉ được áp với các kết nối mới.


Hình 24

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho các bạn một số cơ bản của việc web publishing với TMG. Trong phần, chúng ta đã tạo một web publishing rule, một bộ lắng nghe HTTP web listener đơn giản. Cuối phần tạo rule, chúng ta đã sử dụng nút test để xác định xem website có khả năng reachable hay không. Trong phần tiếp theo của loạt bài này, chúng ta sẽ tạo một SSL web site có yêu cầu nhận thực. Trong phần đó, bạn sẽ biết một số tùy chọn nâng cao khi tạo các web publishing rule.

Thứ Ba, 28/09/2010 10:47
51 👨 3.996
0 Bình luận
Sắp xếp theo