Quản trị mạng – Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn về số thành phần trong quá trình cài đặt, cụ thể hơn là giới thiệu chi tiết về Getting Started Wizard mới của TMG 2010 RTM.
Hướng dẫn cài đặt TMG 2010 RTM - Phần 1
Trong phần 1 của loạt bài này, chúng tôi đã bắt đầu cùng các bạn thực hiện cài đặt TMG Enterprise Edition qua một cài đặt đơn giản. Hầu hết những gì bạn thấy cho đến đây đều rất giống với trải nghiệm cài đặt mà bạn có với ISA Server qua hàng thập kỷ qua. Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn một số thành phần mới trong quá trình cài đặt, đây là những điểm khác biệt, đặc biệt là Getting Started Wizard mới.
Chúng ta hãy tiếp tục những gì đã có trong phần 1. Tại đây, bạn sẽ thấy trang Getting Started Wizard, phần đầu tiên quả quá trình này là cấu hình các thiết lập mạng. Kích liên kết Configure network settings.
Lưu ý ở phía dưới trang, nếu bạn cần import cấu hình ISA 2006 của mình vào TMG, khi đó hãy thực hiện trước khi chạy Getting Started Wizard. Chúng tôi sẽ nói về việc chuyển các thiết lập cấu hình tường lửa ISA sang TMG trong một bài khác, còn trong bài này chúng ta sẽ không đề cập đến vấn đề này.
Hình 1
Cũng cần lưu ý thêm rằng, bạn có thể nhận được sự trợ giúp trong Getting Started Wizard bằng cách kích liên kết Help about the Getting Started Wizard ở phần dưới trang.
Kích Next trong trang Welcome to the Network Setup Wizard.
Hình 2
Trong trang Network Template Selection, bạn có đến 4 tùy chọn để chọn:
- Edge Firewall – Đây là tùy chọn mặc định và là tùy chọn được sử dụng trong đa số các trường hợp. Tùy chọn này sẽ tạo một Internal Network và một External Network mặc định.
- 3-Leg perimeter – Tùy chọn này cho phép bạn cấu hình một đoạn trihomed DMZ. Lý do nó không xuất hiện như một tùy chọn trong hình bên dưới là vì cần đến tối thiểu ba NIC cho tùy chọn này để nó có thể làm việc. Khi chọn tùy chọn này, TMG Firewall Network sẽ được tạo bởi đoạn DMZ và các luật cho mạng (Network Rules) sẽ được tạo một cách tự động cho bạn.
- Back firewall – Tùy chọn này được sử dụng khi bạn có tường lửa khác, chẳng hạn như tường lửa TMG khác, tường lửa ISA khác hoặc tường lửa của hãng thứ ba nào đó. Một TMG Firewall Network vành đai sẽ được tạo tự động cũng như một Internal Network mặc định.
- Single network adapter – Tùy chọn này được sử dụng khi bạn có một NIC được cài đặt trên tường lửa TMG. Điều này chỉ được sử dụng khi tường lửa được sử dụng làm Web proxy server. Cấu hình này không hỗ trợ bất cứ giao thức nào ngoài HTTP, HTTPS và FTP. Tuy nhiên nó hỗ trợ các VPN truy cập xa.
Trong ví dụ này, chúng ta chọn tùy chọn Edge firewall và kích Next.
Hình 3
Trong trang Local Area Network (LAN) Settings, cấu hình địa chỉ IP của giao diện bên trong. Nếu đã cấu hình giao diện, bạn sẽ thấy các thiết lập ở đây và có thể thay đổi các thiết lập trong trang này. Trong phần Specify additional network topology routes, có thể kích nút Add và bổ sung các bảng định tuyến.
Sau khi cấu hình các thiết lập giao diện bên trong, kích Next.
Hình 4
Trong trang Internet Settings, cấu hình các thiết lập địa chỉ IP trên giao diện ngoài. Lưu ý rằng bạn có tùy chọn để thiết lập các entry tĩnh hoặc sử dụng DHCP. Chọn NIC thích hợp và sau đó chọn các thiết lập để làm việc. Kích Next.
Hình 5
Đó là tất cả những gì trong Network Setup Wizard. Xem lại các thiết lập của bạn trên trang Completing the Network Setup Wizard và kích Finish.
Hình 6
Bước tiếp theo là Configure system settings wizard. Kích liên kết Configure system settings để bắt đầu thực hiện.
Hình 7
Kích Next trong trang Welcome to the System Configuration Wizard.
Hình 8
Một vài tùy chọn cấu hình có trong trang Host Identification:
- Computer name – Với tùy chọn này, bạn có thể kích nút Change để thay đổi tên máy tính. Thao tác này sẽ yêu cầu khởi động lại máy tính.
- Member of - Với tùy chọn này, bạn có thể tạo tường lửa TMG là thành viên của Windows domain hoặc Workgroup. Trong hầu hết các trường hợp, TMG firewall cần được tạo là một thành viên của miền để bạn có mức bảo mật cao nhất cho tường lửa. Cũng cần khởi động lại máy tính sau khi thay đổi thành viên miền hay workgroup.
- Primary DNS Suffix - Với tùy chọn này, bạn có thể thay đổi hậu tố DNS chính được sử dụng bởi TMG firewall. Hậu tố này được sử dụng bởi tường lửa để nối thêm một hậu tố vào các truy vấn tên nhãn mà tường lửa cần thực hiện. Nếu TMG firewall là một thành viên miền, nó sẽ tự động chọn tên miền Active Directory làm hậu tố DNS chính.
Ở phía dưới của trang, bạn sẽ thấy tên máy đầy đủ của TMG firewall sau khi đã thực hiện các thay đổi ở đây. Nhìn chung, chúng ta nên nắm được các nhiệm vụ cấu hình này trước khi bắt đầu cài đặt TMG firewall. Mặc dù vậy nếu quên, bạn vẫn có thể nắm lại các nhiệm vụ này bằng cách sử dụng System Configuration Wizard.
Kích Next.
Hình 9
Đó là một wizard khá ngắn. Đọc các thông tin trong trang Completing the System Configuration Wizard để xác nhận rằng nó là đúng, sau đó kích Finish. Lưu ý rằng nếu bạn thay đổi miền, workgroup hoặc tên máy thì máy tính sẽ khởi động lại trước khi bạn chuyển sang các bước kế sau.
Hình 10
Bước thứ ba của Getting Started Wizard là định nghĩa các tùy chọn triển khai. Kích liên kết Define deployment options.
Hình 11
Kích Next vào liên kết Welcome to the Deployment Wizard.
Hình 12
Thứ đầu tiên mà Deployment Wizard muốn bạn thực hiện là chọn các tùy chọn Microsoft Update Setup. Ở đây bạn có ba sự lựa chọn:
- Use the Microsoft Update service to check for updates (recommended) – Tùy chọn này là tùy chọn sử dụng dịch vụ nâng cấp của Microsoft trên Internet để thực hiện việc nâng cấp cho tường lửa cũng như các chữ ký NIS và anti-malware. Đây là tùy chọn tốt nhất cho đa số các trường hợp.
- I do not want to use the Microsoft Update service – Sử dụng tùy chọn này nếu công ty của bạn có chính sách thích hợp ở nơi bạn không được cho là sử dụng Microsoft Update để tự động hóa việc nâng cấp cho tường lửa. Bạn có thể sử dụng tùy chọn này nếu lo lắng về việc cài đặt các nâng cấp và hợp lệ hóa chúng trước khi cài đặt chúng trên tường lửa hoặc các mảng tưởng lừa.
Lưu ý rằng nếu máy tính không được kết nối Internet, bước này có thể sẽ rất nhiều thời gian hơn, vì khi đó tường lửa sẽ thử nhiều cố gắng để kết nối đến Internet Microsoft Update Services. Điều này nghe có vẻ khá thừa vì tường lửa của bạn tường có thể kết nối Internet, tuy nhiên nếu bạn không cấu hình TMG firewall để sử dụng máy chủ DNS ngoài thì TMG firewall không có cách nào có thể phân định được tên của các máy chủ Internet Microsoft Update.
Bạn có thể cấu hình giao diện bên trong để sử dụng máy chủ DNS trong, tuy nhiên TMG firewall sẽ vẫn không thể sử dụng máy chủ DNS vì bạn không có Access Rule thích hợp để cho phép các truy cập gửi đi từ các máy DNS bên trong đến các máy chủ DNS ngoài. Bạn cần phân giải tên host Internet, tuy nhiên bạn sẽ vẫn không thể nhận được giao diện cấu hình để làm cho các máy chủ DNS đó có sẵn.
Có thể trong tương lai, trong một gói dịch vụ bổ sung, chúng ta sẽ tạo một DNS rule tạm thời trong quá trình cài đặt để cho phép các máy chủ DNS bên trong giải quyết được vấn đề tên host public. Cho tới khi đó, chúng ta sẽ chỉ phải đợi một chút ở giai đoạn cài đặt này.
Hình 13
Trong trang Forefront TMG Protection Features Settings bạn có vài tùy chọn:
- Network Inspection System (NIS) - Ở tùy chọn này, bạn có thể kích hoạt đăng ký bổ sung hoặc không kích hoạt nó. Không cần đăng ký chữ ký NIS – tất cả các copy của TMG firewall đều cho phép bạn sử dụng NIS.
- Web Protection - Ở tùy chọn này, bạn có thể kích hoạt đăng ký đánh giá và cho phép bảo vệ web (Web protection). Bên cạnh đó cũng có thể nhập vào các chi tiết đăng ký nếu bạn đã đăng ký tính năng này rồi. Tại thời điểm này, các thông tin chi tiết về cách đăng ký các nâng cấp bảo vệ web vẫn chưa rõ ràng.
- Enable Malware Inspection – Nếu bạn kích hoạt tùy chọn này, TMG firewall sẽ có thể kiểm tra các kết nối Web (HTTP/HTTPS) về vấn đề malware. Lưu ý rằng chỉ có các kết nối Web mới được thanh tra – tính năng này không thanh tra các giao thức khác như NNTP, SSH,…
- Enable URL Filtering – Tùy chọn này sẽ bật các tính năng URL Filtering của TMG firewall và cho phép bạn cấu hình các site hoặc các hạng mục site mà bạn muốn khóa truy cập, bằng cách sử dụng Access Rules.
Lưu ý cách dịch vụ URL Filtering làm việc. TMG firewall không download toàn bộ cơ sở dữ liệu mà thay vào đó nó sẽ gửi chuỗi URL đến Microsoft Reputation Service qua một kết nối SSL để nhận kết quả hạng mục và sử dụng kết quả đó để đánh giá yêu cầu kết nối.
Hình 14
Trong trang NIS Signature Update Settings, bạn cũng có vài tùy chọn:
- Select automatic definition update action – Bạn có thể kiểm tra và cài đặt các tùy chọn này, hoặc kiểm tra và download, hoặc không kiểm tra. Trong hầu hết các trường hợp, bạn sẽ thích tự động kiểm tra các chữ ký NIS và cài đặt chúng tự động.
- Automatic polling frequency – Microsoft đã có một số nghiên cứu để đưa các chữ ký vào bảo vệ mạng của bạn. Để lợi dụng được vấn đề này, bạn có thể thăm dò các máy chủ Microsoft thường xuyên để nhận được bảo vệ mới nhất. Khoảng thời gian mặc định là 15 phút, tuy nhiên bạn có thể thay đổi giá trị này nếu muốn.
- Trigger an alert if no updates are installed after this number of days – Thiết lập này cho phép bạn nhận một cảnh báo nếu các nâng cấp không xảy ra sau một số ngày nào đó.
- New Signature Set Configuration – Tùy chọn này cho phép bạn thiết lập một chính sách đáp trả mặc định cho các chữ ký mới. Thiết lập mặc định thường là thiết lập tốt nhất, đó là Microsoft default policy (recommended).
Kích Next.
Hình 15
Trong trang Customer Feedback, bạn có một tùy chọn để gia nhập chương trình Microsoft Customer Experience Improvement Program. Bạn nên thực hành trong chương trình này. Nó cho phép Microsoft có thể tìm ra cách bạn sử dụng TMG firewall và giúp đỡ họ tập trung vào việc làm cho sản phẩm của họ trở nên tốt hơn dựa vào cách người dùng sử dụng chúng. Trong ví dụ này, chúng tôi chọn tùy chọn Yes, I am willing to participate anonymously in the Customer Experience Improvement Program và kích Next.
Hình 16
Trong trang Microsoft Telemetry Reporting Service, bạn có thể trợ giúp Microsoft và các nhà sản xuất TMG firewall khác bằng cách cung cấp các thông tin về malware và các tấn công khác vào mạng của bạn với Microsoft. Trừ khi bạn có một lý do nào đó cho việc không thực hiện trợ giúp này, nếu không bạn nên chọn tùy chọn Advanced. Điều này sẽ làm cho thành phần chống malware trở nên hiệu quả hơn và kết quả là các mạng sẽ được an toàn hơn. Mặc dù vậy, khi chọn tùy chọn nâng cao, ngoài việc bổ sung thêm các thông tin cơ bản đang được gửi đến Microsoft, các thông tin về các mối tấn công hiểm họa sẽ được gửi chi tiết hơn, chẳng hạn như các mẫu lưu lượng và chuỗi URL đầy đủ. Các thông tin bổ sung này có thể cung cấp cho Microsoft nhiều sự trợ giúp trong việc phân tích và loại trừ các tấn công.
Trong ví dụ này chúng tôi sẽ chọn tùy chọn Advanced và kích Next.
Hình 17
Đó là một wizard khá dài! Trong trang Completing the Deployment Wizard, đọc các thông tin về sựa lựa chọn mà bạn đã thực hiện để xác nhận rằng chúng là đúng, sau đó kích Finish.
Hình 18
Tại đây, mọi thứ dường như đã kết thức. Như đã đề cập trước, chúng tôi nghi ngờ vấn đề là TMG firewall không thể phân giải các tên host mà nó cần có để download các nâng cấp về anti-malware và các dịch vụ NIS. Đây là vấn đề có liên quan đến sự thực là bạn không muốn đặt địa chỉ máy chủ DNS ngoài trên bất cứ NIC của TMG firewall nào – nhưng trong quá trình cài đặt, vấn đề này có thể được yêu cầu. Mặc dù vậy, nó cũng có thể gây ra các vấn đề với truyền thông Active Directory. Vấn đề có thể được giải quyết sau bằng cách tạo một Access Rule để cho phép các máy chủ DNS trong có thể truy cập Internet, kiểu truy cập phụ thuộc vào cách bạn cấu hình các máy chủ DNS trong để phân định tên host – có thể thông qua sự đệ quy hoặc bộ chuyển tiếp.
Tại đây chúng ta đã thực hiện xong với Getting Started Wizard. Bạn sẽ nhận được thông báo ở phần cuối của trang là You have successfully completed all the steps of the Getting Started Wizard. You are now ready to define Web Access policy for your organization. Với các quản trị viên ISA firewall, tính năng Web Access Policy có thể hơi lộn xộn đôi chút – vì chính sách này tạo các Access Rule và nhóm chúng vào một Web Access Policy.
Hình 19
Vậy chúng ta đã thực hiện như thế nào? Chúng tôi mong đợi rằng sau khi cài đặt tường lửa, tab Alerts sẽ thông báo cho chúng ta rằng các dịch vụ đã được bắt đầu – có khá nhiều thời gian cho chúng ta thực hiện với việc cấu hình sau đây. Kết quả là gì?
Hình 20
Cái gì hiện lên? Không có bộ bản đồ hóa điểm cuối, và chúng tôi cũng đã không cố gắng bản đồ hóa một điểm cuối và điều gì sẽ xảy ra nếu thực hiện, chúng ta sẽ tôi sẽ không biết điểm cuối nào sẽ được bản đổ đến. Tôi thấy sự việc đôi khi liên quan đến các vấn đề phân giải tên, vì vậy có thể phát hành DNS mà tôi đã nói ở trên có thể liên quan đến điều này. Vấn đề thanh tra malware hầu hết là do các vấn đề DNS, vì vậy không nên lo lắng về điều đó. Chúng ta hãy khởi động lại tường lửa và xem liệu có thứ gì xảy ra hay không.
Kết quả tốt hơn một chút. Cảnh báo WFP Filter Conflict Detected là một cảnh báo “thường”, nó là một cảnh báo sai mà bạn có thể bỏ qua. Không chắc tại sao cảnh báo Malware Inspection Currently Unavailable nằm ở đây, tuy nhiên nó có thể do máy tính không chạy đủ lâu để download các nâng cấp.
Hình 21
Kết luận
Trong loạt bài gồm có hai phần này, chúng tôi đã giới thiệu được cho các bạn trải nghiệm cài đặt TMG firewall. Trong phần 1 chúng ta đã thấy những gì xuất hiện trong quá trình cài đặt là rất giống với việc cài đặt ISA firewall. Mặc dù vậy trong phần 2, chúng tôi đã giới thiệu kỹ cho các bạn về Getting Started Wizard, đây là tất những những gì được cho là mới đối với TMG firewall, trong đó phải kể đến là ba wizard nhỏ bên trong Getting Started Wizard và cài đặt thành công TMG firewall.