Quản trị mạng – Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số hệ số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG.
Tường lửa Forefront Threat Management Gateway (TMG) 2010 là một cổng bảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng và lớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanh tra lưu lượng lớn ứng dụng, xác thực người dùng, cho phép điều khiển dựa trên danh tiếng và thanh tra truyền thông HTTPS. Các tính năng nâng cao này tiêu tốn rất nhiều tài nguyên và có thể cản trở thông lượng và làm chậm nếu hệ thống được cấu hình không đúng hoặc được kích thước không thích hợp. Trong bài này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề chung có thể dẫn đến tình trạng nghèo hiệu suất và bên cạnh đó là một số cách cải thiện và tối ưu giải pháp.
Cấu hình phần cứng
Trước khi bắt đầu bất cứ thảo luận nào về tường lửa TMG và hiệu suất, một điều quan trọng cần lưu ý đó là phần cứng nằm bên dưới đối với nhiệm vụ hỗ trợ của TMG trong vai trò mà nó được triển khai. Cách tốt nhất là chúng ta nên sử dụng phần cứng lớp máy chủ chất lượng cao hoặc thiết bị bảo mật chuyên dụng. Để có kết quả tốt nhất, phần cứng cần phải được kích thước đúng cách cho môi trường của nó và có lượng tải thích hợp. Tính năng thanh tra lớp ứng dụng và lớp mạng nâng cao của TMG có thể lạm dụng đáng kể tài nguyên phụ thuộc vào hệ thống, vì vậy để có được sức mạnh xử lý thỏa đáng, bộ nhớ, dung lượng ổ đĩa và mạng chính là điều quan trọng mang tính nền tảng đối với sự ổn định và hiệu suất cao của giải pháp.
Việc xác định được dung lượng phần cứng yêu cầu là bao nhiêu cho một thực thi cụ thể là hết sức khó khăn, nguyên nhân là mỗi một triển khai mang tính duy nhất và có nhiều hệ số phụ thuộc. Để hỗ trợ việc xác định các yêu cầu về phần cứng, Microsoft đã giới thiệu công cụ Forefront TMG Capacity Planning Tool. Công cụ này cho phép bạn có thể nhập vào các chi tiết cụ thể về môi trường của mình còn lại nó sẽ cung cấp lời khuyên về các chi tiết kỹ thuật phần cứng bằng cách dựa trên số lượng người dùng mong đợi và băng thông mà bạn có cũng như các tính năng bảo vệ sẽ được sử dụng. Cần có một kế hoạch dư thừa đối với CPU và bộ nhớ để bảo đảm có được hiệu suất tốt nhất, đây cũng là biện pháp dự phòng trong các trường hợp cần mở rộng sau này.
Các dịch vụ cơ sở hạ tầng
Tường lửa TMG dựa phần lớn vào việc hỗ trợ các dịch vụ cơ sở hạ tầng để thực hiện các nhiệm vụ của nó. Hiệu suất tổng thể của giải pháp phụ thuộc vào cách các dịch vụ chẳng hạn như Active Directory và DNS hoạt động tốt như thế nào. Nếu tồn tại các vấn đề với Active Directory hay DNS sẽ không có cách nào điều khiển TMG để khắc phục được vấn đề hiệu suất. Tuy có nhiều thứ có thể đi sai lệnh đối với Active Directory hoặc DNS nhưng chúng tôi sẽ không cung cấp một danh sách toàn diện những vấn đề mà chỉ nêu một số vấn đề chung có thể làm giảm đáng kể hiệu suất của TMG đó là:
Kết nối mạng – Hiệu suất có thể bị ảnh hưởng khá tiêu cực nếu tường lửa TMG không có kết nối mạng tin cậy với Active Directory hoặc DNS. TMG cần phải được kết nối tốt với các dịch vụ này; lý tưởng khi chúng được đặt trong cùng vị trí vật lý và có kết nối tốc độ gigabit. Cần bảo đảm tất cả các thiết bị trung gian như router, switch,… đều làm việc tốt và không có xuất hiện dấu hiệu lỗi.
Cấu hình site Active Directory – Đôi khi hiệu suất nghèo cũng có thể do tường lửa TMG thực hiện xác thực các domain controller định vị trong các vùng địa lý khác nhau. Điều này bị gây ra bởi cách cấu hình các site Active Directory không đúng. Do đó cần bảo đảm rằng các Active Directory IP subnet phải được định nghĩa đúng và site Active Directory được cấu hình có chứa các domain controller nằm cùng với tường lửa TMG.
Nối mạng
Ở mức thấp nhất, TMG là một tường lửa định tuyến có tác dụng phân phối dữ liệu từ một giao diện này tới giao diện khác nếu chính sách cho phép. Như vậy cấu hình mạng đóng vai trò quan trọng trong vấn đề hiệu suất của hệ thống. Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lượng cũng như hiệu suất mạng:
Tốc độ cổng và chế độ song công – Lỗi tốc độ cổng hoặc thiết lập song công (duplex) sẽ làm giảm hiệu suất mạng một cách khủng khiếp. Để hoạt động đúng, các thiết lập này phải giống như tại các kết nối. Điều đó có nghĩa rằng nếu bạn thực hiện cấu hình thủ công các thiết lập trên giao diện mạng của tường lửa TMG thì bạn cũng phải thực hiện thiết lập như vậy trên switch mà nó được kết nối đến. Nếu switch mà nó kết nối đến là một switch tự do, bạn cũng phải đặt các thiết lập của giao diện mạng tường lửa TMG ở chế độ auto-negotiate (tự đồng điều đình). Bạn không thể cấu hình một phía này thủ công và phía kia để tự động. Dù bất cứ tình huống nào cũng không nên sử dụng hub trong môi trường sản xuất.
Cấu hình DNS/ Thứ tự liên kết giao diện mạng – Đây là một trong những lỗi cấu hình hay gặp nhất và có thể gây nên tình trạng kém hiệu suất phân giải tên cũng như hiện tượng xác thực không tin cậy. Các máy chủ DNS cần được cấu hình chỉ trên giao diện mạng bên trong. Thêm vào đó, về cơ bản giao diện mạng bên trong trên nhiều tường lửa cần được cấu hình trước trong danh sách thứ tự các giao diện mạng.
Các đoạn mạng được cách ly – Một ý tưởng tuyệt vời khi đặt các giao diện mạng của tường lửa TMG trong các đoạn mạng cách ly bất cứ khi nào có thể. Bằng cách này chúng ta có thể cải thiện được cả hai vấn đề hiệu suất và bảo mật, làm giảm rủi ro của kiểu tấn công ARP cache poisoning và làm cho mạng trở nên khó bị phát hiện hơn. Nếu Network Load Balancing (NLB) được kích hoạt thì điều này thậm chí còn quan trọng hơn. Mặc định, NLB sẽ quảng bá các thông tin đồng bộ để tất cả các host trên đoạn mạng có thể thấy. Các tường lửa TMG được cấu hình trong các đoạn mạng cách ly sẽ hạn chế được sự quảng bá, nó sẽ chỉ quảng bá cho các host yêu cầu nó.
Cấu hình tường lửa phía sau –Tường lửa TMG không phải là một cấu hình tối ưu dưới dạng bảo mật và hiệu suất. Các host bị lộ diện trực tiếp với Internet đều được bảo vệ bằng các bộ quét và kiểm tra. Việc cấu hình tường lửa TMG như một tường lửa phía sau cho tường lả khác có thể giảm số lượng tạp nhiễu mà nó phải xử lý. Cho ví dụ, một Cisco ASA tại network edge được cấu hình cho phép chỉ các giao thức mà TMG sẽ xử lý sẽ giải phóng được rất nhiều tài nguyên để thực hiện hành động xác thực và thanh tra lưu lượng lớp ứng dụng nâng cao. Một lợi ích nữa ở đây là giảm được sự “ô nhiễm” bản ghi, làm cho dữ liệu bản ghi trở nên trong sáng và dễ hiểu hơn, dễ nhận biết các lưu lượng bất thường.
Máy khách Web Proxy – Việc cấu hình các máy khách làm máy khách Web Proxy mang lại khá nhiều lợi ích về hiệu suất, mặc dù nhiều quản trị viên thích cấu hình máy khách SecureNAT vì nó không yêu cầu thay đổi phần mềm client. Các máy khách SecureNAT về cơ bản sẽ tiêu tốn lượng tài nguyên trên tường lửa TMG nhiều hơn so với các máy khách Web Proxy vì máy khách Web Proxy sẽ thiết lập ít kết nối TCP đến các bộ lắng nghe web proxy của tường lửa TMG nhằm lấy lại nội dung web hơn. Cho ví dụ, khi kết nối đến một trang web phổ biến nào đó (trong ví dụ này là espn.com), máy khách SecureNAT đã thiết lập 31 kết nối TCP để hiển thị trang chính.
Trong khi đó nếu cấu hình một Web Proxy client thì chỉ có 6 kết nối TCP được yêu cầu để hiển thị cùng trang đó.
Do đó nếu bạn có hàng nghìn người dùng, việc tăng số lượng các kết nối TCP này sẽ giải hưởng rất lớn đến hiệu suất CPU.
Kết luận
Quả thực có vô số hệ số có thể ảnh hưởng đến sự ổn định và hiệu suất tường lửa TMG. Trong bài này, chúng tôi đẫ giới thiệu cho các bạn tầm quan trọng của việc có các dịch vụ cơ sở hạ tầng khỏe mạnh chẳng hạn như Active Directory và DNS. Chúng ta đã thiết lập tường lửa TMG được kết nối tốt với các dịch vụ này, bên cạnh đó cần phải cấu hình site và Active Directory IP subnet được thiết lập đúng cách. Chúng ta cũng xem xét đến việc cấu hình kết nối mạng và cách thực hiện tốt nhất giúp cải thiện thông lượng mạng. Các thiết lập mạng được cấu hình đúng cách chẳng hạn như tốc độ cổng và chế độ song công, cấu hình máy chủ DNS, thứ tự liên kết giao diện mạng,… là những vấn đề quan trọng trong việc tối ưu thông lượng. Việc sắp đặt tường lửa và cấu hình máy khách cũng ảnh hưởng rõ rệt đến việc sử dụng tài nguyên và hiệu suất của hệ thống. Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu tiếp cho các bạn một số cách khác có thể giúp tối ưu trên tường lửa TMG.