Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số kiến thức cơ bản và cách cài đặt Microsoft Threat Management Gateway 2010 EE RTM.
Giới thiệu
Giai đoạn đầu tiên chính là giai đoạn lập kế hoạch, đây là giai đoạn mà bạn cần phải xác định những yêu cầu về phần cứng, vai trò của tường lửa TMG firewall sẽ thể hiện trong mạng. Mặc dù vậy, nếu bạn là người hoàn toàn mới với TMG firewall, chắc chắn bạn sẽ muốn cài đặt nó và thấy nó như thế nào. Việc lên kế hoạch triển khai có thể xảy ra sau nếu bạn quyết định như vậy. Chính vì vậy trong bài viết này (phần đầu của loạt bài gồm hai phần), chúng tôi sẽ giới thiệu cho các bạn toàn bộ quá trình cài đặt và chỉ ra những vấn đề mà bạn có thể bắt gặp trong quá trình thực hiện cài đặt.
Bắt đầu
Bước đầu tiên trước khi cài đặt là bảo đảm bạn có đủ các yêu cầu tối thiểu về phần cứng, bạn có thể tham khảo liên kết tại đây.
Có thể có nhiều bạn muốn thực hiện cài đặt lần đầu cho việc test và đánh giá là chính. Chính vì vậy chúng tôi sẽ cài đặt phát hành RTM của TMG firewall trong máy ảo, VM sẽ có hai giao diện mạng:
- Một giao diện ngoài, giao diện được bắc cầu với mạng sản xuất để cho phép nó kết nối đến Internet, và
- Giao diện trong chỉ cho phép nó kết nối đến các máy ảo khác.
Trong ví dụ này, máy ảo còn lại là một domain controller và TMG firewall nằm trong cùng miền với domain controller.
Đây là một cài đặt hoàn toàn đơn giản. Chỉ có một thứ mà chúng ta thực hiện với mục đích nâng cao là join máy ảo TMG vào miền và sau đó cài đặt Windows Updates. Trong hướng dẫn chúng tôi không cài đặt bất cứ thành phần Exchange hoặc phần mềm khác nào. Mục đích ở đây là thực hiện những gì mà hầu hết các quản trị viên sẽ thực hiện – cài đặt phần mềm sau đó làm cho nó thực hiện những công việc cần thiết khi tìm hiểu thêm về một sản phẩm.
Lưu ý: Một thứ mà bạn nên biết trước khi chúng tôi bắt đầu là cấu hình DNS trên các NIC của máy ảo TMG. Do bạn có thể không có máy chủ DNS ngoài trên NIC của tường lửa, vì vậy chúng tôi đã cấu hình giao diện ngoài mà không có thiết lập máy chủ DNS, giao diện trong với địa chỉ IP của máy chủ DNS bên trong, cũng là một domain controller. Cách thức tiến hành này có thể gây ra một số vấn đề mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau của loạt bài.
Đây là một sơ đồ mạng đơn giản về những gì chúng tôi đã thực hiện vào lúc này và cho phần này:
Sơ đồ 1
Bước đầu tiên là download phiên bản đánh giá phần mềm. Tại thời điểm này, TMG không có sẵn trên MSDN, tuy nhiên bạn có thể download phiên bản đánh giá tại đây.
Sau khi đã download được phiên bản đánh giá, hãy kích đúp vào nó và giải phóng các file. Sau khi các file được giải phóng, bạn sẽ thấy trang Welcome to Microsoft Forefront TMG. Trang chào mừng này có đôi chút khác biệt so với những gì bạn thấy với ISA firewall và nó gồm có một số tùy chọn khác. Lưu ý phần Prepare and Install –bạn có thể chạy Windows Updates từ trang cài đặt. Trong ví dụ chúng tôi đã thực hiện điều này từ trước, vì vậy ở đây chúng ta không cần thực hiện vào lúc này. Một tùy chọn mới khác, Run Preparation Tool, là một tùy chọn mà chúng ta sẽ sử dụng. Hãy kích vào tùy chọn này.
Hình 1
Chắc chắn rằng các chuyên gia phát triển TMG đã có những màn hình cỡ lớn khi họ tạo giao diện này. Các hộp thoại ở đây rất lớn. Điều này thực sự đều tốt cho cả phía người dùng và phía các chuyên gia phát triển.
Trong trang Welcome to the Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG), kích Next.
Hình 2
Trong trang License Agreement, hãy tích dấu kiểm vào hộp kiểm I accept the terms of the License Agreements, sau đó kích Next. Ở đây bạn sẽ phải chấp nhận các thỏa thuận đăng ký cho Microsoft Chart Controls for Microsoft .NET Framework 3.5 and 3.5 SP1 và Microsoft Windows Installer 4.5.
Hình 3
Trong trang Installation Type, bạn có ba tùy chọn:
- Forefront TMG services and Management
- Forefront TMG Management only
- Enterprise Management Server (EMS) for centralized array management
TMG mới cho bạn làm việc dễ dàng hơn với TMG EE, tương phản với sự phức tạp của quản lý EE với ISA firewall. Điều này là vì chúng ta sẽ cài đặt EE trong loạt bài này – để thể hiện rằng bạn có thể cài đặt EE một cách dễ dàng. Sau đó chúng ta sẽ tạo một mảng standalone và hủy bỏ mảng standalone này và tạo một mảng enterprise. Nghe có vẻ khá thú vị nhưng trước tiên chúng ta cần phải nắm được những vấn đề cơ bản và chọn tùy chọn Forefront TMG services and Management. Kích Next.
Hình 4
Trong trang Preparing System, bạn sẽ thấy tiến trình cài đặt cho phần mềm tiên quyết.
Hình 5
Trang Preparation Complete thể hiện rằng phần mềm tiên quyết đã được cài đặt thành công.
Hình 6
Lúc này màn hình chào Welcome to the Installation Wizard for Forefront TMG Enterprise sẽ xuất hiện. Kích Next để cài đặt TMG EE.
Hình 7
Trong trang License Agreement, chọn tùy chọn I accept the terms in the license agreement và kích Next.
Hình 8
Nhập vào các thông tin khách hàng (tên người dùng, tổ chức và số sản phẩm) trong trang Customer Information và kích Next.
Hình 9
Trong trang Installation Path, bạn có thể sử dụng đường dẫn mặc định hoặc chọn đường dẫn riêng để chỉ định nơi muốn cài đặt các file của TMG firewall. Trong ví dụ này, chúng ta sẽ sử dụng đường dẫn mặc định và kích Next.
Hình 10
Ở đây bạn sẽ gặp trang Define Internal Network. Với TMG firewall, cũng như với ISA firewall, Internal Network mặc định là nơi các dịch vụ cơ sở hạ tầng lõi của bạn được chứa; chúng gồm có Active Directory, DNS, DHCP và WINS. Bạn có thể thay đổi định nghĩa này về sau nếu thích, tuy nheien chúng ta cần phải có khả năng truy cập vào các tài nguyên này trong quá trình cài đặt, vì vậy phải định nghĩa Internal Network mặc định vào lúc này.
Kích nút Add trong trang Define Internal Network. Khi đó bạn sẽ bắt gặp hộp thoại Addresses. Có một vài cách để bổ sung các địa chỉ cho Internal Network mặc định, tuy nhiên phương pháp ưa thích mà chúng tôi thực hiện là sử dụng phương pháp Add Adapter. Kích Add Adapter.
Hình 11
Trong hộp thoại Select Network Adapters, chọn LAN NIC (hoặc bất cứ một tên nào đó mà bạn đã định nghĩa cho NIC đó), sau đó tích dấu kiểm vào hộp chọn cho NIC đó. Bảo đảm rằng các thông tin trong phần Network adapter details phản ánh đúng các chi tiết của NIC mà bạn đã chọn. Tiếp đến kích OK.
Hình 12
Các địa chỉ có liên quan đến NIC bên trong lúc này sẽ xuất hiện trong hộp văn bản Addresses. Các địa chỉ được dựa trên các entry bảng định tuyến trên tường lửa – n ếu bạn chưa cấu hình các entry bảng định tuyến trên tường lửa thì các địa chỉ này có thể không chính xác một cách toàn bộ, tuy nhiên vấn đề này có thể khắc phục được về sau.
Hình 13
Kích Next trong trang Define Internal Network.
Hình 14
Như quá trình cài đặt ISA firewall, một số dịch vụ sẽ cần khởi động lại hoặc vô hiệu hóa khi bạn cài đặt TMG firewall. Trong trường hợp này, các dịch vụ đó gồm có:
- SNMP service
- IIS Admin service
- WWW Publishing Service
- Microsoft Operations Manager Service
Lưu ý: TMG không nói rằng chúng hiện đã được cài đặt – nó chỉ cho bạn biết rằng chúng đã được cài đặt hay chưa, hay chúng sẽ bị vô hiệu hóa hoặc khởi động lại.
Kích Next.
Hình 15
Kích Install trong trang Ready to Install the Program.
Hình 16
Thanh bar tiến trình sẽ thể hiện cho bạn biết tiến trình cài đặt.
Hình 17
Một hộp thoại khác sẽ xuất hiện và cung cấp cho bạn các thông tin chi tiết hơn. Lưu ý rằng đây chỉ là các số ước lượng.
Hình 18
Lúc này khi Installation Wizard hoàn tất, bạn có thể nghĩ mình đã kết thúc. Trước đây, với ISA firewall cũ thì đúng là như vậy nhưng giờ đây bạn vẫn cần thực hiện bước tiếp theo là vào giao diện ISA firewall và cấu hình Networks, Access Rules cũng như các thành phần khác để chúng có thể làm việc.
Nếu bạn chọn Launch Forefront TMG Management khi wizard đóng thì khi đó sẽ có ba wizard khác có thể được khởi chạy ở cuối quá trình cài đặt. Chúng tôi sẽ giới thiệu cho các ban về các wizard này trong phần tiếp theo.
Hình 19
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về việc cài đặt tường lửa TMG 2010 EE mới trong một cấu hình đơn giản. Chỉ có các thiết lập trên máy ảo là các thiết lập DNS, máy ảo này đã được join vào miền trước khi cài đặt phần mềm tường lửa. Tiếp đến chúng ta đã khởi chạy các quá trình cài đặt, cấu hình Internal Network mặc định và cho phép cài đặt hoàn tất. Trong phần tiếp theo của loạt bài gồm hai phần này, chúng tôi sẽ hoàn tất quá trình cài đặt tường lửa bằng cách giới thiệu tiếp cho các bạn về ba wizard mới được bổ sung thêm trong Getting Started Wizard.