Cài đặt và cấu hình Forefront TMG Client

Quản trị mạng - Một trong những tính năng đáng chú ý của Forefront TMG là khả năng hỗ trợ cho nhiều loại máy trạm được sử dụng để kết nối tới Forefront TMG Firewall. Một trong số đó là máy trạm Microsoft Forefront TMG, được biết đến như một máy trạm Winsock cho các hệ điều hành Windows. Sử dụng TMG Client có một số ưu thế so với những máy trạm khác (như Web proxy và Secure NAT).

TMG Client có thể được cài đặt trên máy trạm Windows và một vài hệ điều hành dành cho máy chủ được bảo mật bằng Forefront TMG 2010. Forefront TMG Client cung cấp thông báo kiểm tra HTTPS (được sử dụng với TMG2010), khả năng tìm kiếm tự động, khả năng bảo mật tăng cường, hỗ trợ ứng dụng, và kiểm soát truy cập cho các máy trạm. Khi một máy trạm sử dụng Forefront TMG Client thực hiện một yêu cầu tới Firewall, yêu cầu này sẽ được gửi tới máy tính Forefront TMG 2010 để xử lý. Chúng ta không cần phải sử dụng đến bất kì cấu trúc chuyển đổi nào vì đã có tiến trình Winsock. Forefront TMG Client sẽ gửi thông tin của người dùng kèm với mỗi yêu cầu để giúp tạo một Firewall Policy trên máy chủ Forefront TMG 2010 với những Rule sử dụng các giấy phép thẩm định quyền được máy trạm đó chuyển tiếp mà chỉ sử dụng lưu lượng UDP và TCP. Với các giao thức khác, chúng ta phải sử dụng kết nối máy trạm Secure NAT.

Ngoài những tính năng chuẩn của máy trạm Firewall, TMG Client còn hỗ trợ:
  • Thông báo kiểm tra HTTPS
  • Hỗ trợ AD Marker
Những tính năng chuẩn của TMG Client
  • Hỗ trợ những Firewall Policy nền tảng người dùng hay nhóm người dùng cho giao thức UDP và TCP nền tảng Web proxy và Web.
  • Hỗ trợ cho các giao thức phức tạp mà không yêu cầu sử dụng bộ lọc ứng dụng TMG.
  • Đơn giản hóa cấu hình điều hướng cho những hệ thống lớn.
  • Tự động tìm kiếm thông tin TMG dựa trên các cài đặt của máy chủ DHCP và DNS.
Yêu cầu hệ thống

TMG Client có một số yêu cầu sau với hệ thống:

1. Sử dụng các hệ điều hành hỗ trợ, gồm: Windows 7, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP.

2. Sử dụng những phiên bản Forefront TMG và ISA Server hỗ trợ, gồm: ISA Server 2004 Standard Edition, ISA Server 2004 Enterprise Edition, ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition, Forefront TMG MBE (Medium Business Edition), Forefront TMG 2010 Standard Edition, Forefront TMG 2010 Enterprise Edition.



Hình 1: Khả năng hỗ trợ của hệ điều hành.


Hình 2: Khả năng tương thích của máy trạm và máy chủ.

Những cài đặt của TMG Client trên máy chủ TMG


Chỉ có một số cài đặt trên máy chủ Forefront TMG đảm trách cấu hình cho hành vi của Forefront TMG Client. Trước tiên chúng ta có thể kích hoạt hỗ trợ cho TMG Client trong mạng nội bộ trên máy chủ TMG như trong hình 1.


Hình 3: Những cài đặt của máy trạm TMG trên máy chủ TMG.





Sau khi kích hoạt hỗ trợ cho TMG Client (mặc định sau khi thực hiện một tiến trình cài đặt TMG thông thường), chúng ta cũng có thể tự động hóa quá trình cấu hình Web Browser cho những máy trạm này. Trong khi đang thực hiện cập nhật TMG Client hay khi dịch vụ đang khởi chạy, Web Browser sẽ được cấu hình các cài đặt trong TMG Management Console.

Trong vùng Application Settings của TMG Client trong TMG Console, chúng ta có thể kích hoạt hay hủy bỏ một số cài đặt phụ thuộc của ứng dụng.


Hình 4: Các cài đặt của TMG Client.

AD Marker

Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của máy chủ TMG được thực hiện trên các máy trạm TMG. Không giống như những phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu trong Active Directory để kiểm tra máy chủ TMG tương ứng. TMG Client sẽ sử dụng LDAP để kiểm những thông tin cần thiết trong Active Directory.

Lưu ý:

Nếu không tìm thấy AD Marker, TMG Client sẽ không chuyển sang tiến trình kiểm tra tự động truyền thống qua DHCP và DNS vì lí do bảo mật. Làm như vậy để giảm thiểu nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn. Nếu một kết nối tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG Client sẽ chuyển sang DHCP và DNS.

Công cụ TMGADConfig

Để thiết lập cấu hình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG AD Config tại đây (lựa chọn file tải là AdConfigPack.exe). Sau khi tải công cụ này về, chúng ta có thể cài đặt trên máy chủ TMG, sau đó chạy lệnh có cú pháp như sau để đăng ký AD Marker:
Tmgadconfig add –default –type winsock –url http://nameoftmgserver.domain.tld:8080/wspad.dat
Chúng ta cũng có thể gỡ bỏ AD Marker bằng công cụ TMGADConfig nếu chúng ta không cần sử dụng đến những hỗ trợ của AD Marker.

Cài đặt TMG Client

Trước tiên chúng ta cần tải TMG Client tại đây.

Sau khi file cài đặt đã được tải về, click đúp vào file này để khởi chạy wizard cài đặt rồi làm theo hướng dẫn.


Hình 5: Cài đặt TMG Client.

Trong khi cài đặt chúng ta có thể chỉ định đường dẫn riêng hoặc sử dụng đường dẫn mặc định của TMG Client. Sau khi tiến trình cài đặt kết thúc chúng ta có thể thiết lập lại cài đặt cho cơ chế tìm kiếm của máy trạm TMG bằng công cụ cấu hình TMG Client trong bảng tác vụ của máy trạm này.


Hình 6: Lựa chọn máy chủ TMG mà máy trạm TMG sẽ kết nối tới.





Tiến trình tìm kiếm tự động nâng cao

Nếu muốn hiệu chỉnh hành vi của tiến trình tiếm kiếm tự động, chúng ta có thể sử dụng hai tùy chọn mới để xác định phương pháp được áp dụng cho tiến trình này.


Hình 7: Tùy chọn nâng cao của tiến trình tìm kiếm tự động.

Thông báo kiểm tra HTTPS

Microsoft Forefront TMG có một tính năng mới giúp kiểm tra lưu lượng HTTPS cho các kết nối đi của máy trạm. Để thông báo cho người dùng về tiến trình này, máy trạm TMG có thể được cấu hình để thông báo cho người dùng biết rằng kết nối HTTPS đi sẽ được kiểm tra nếu họ muốn thực hiện tiến trình này. Quản trị viên TMG cũng có thể tắt bỏ hoàn toàn những thông báo này trên máy chủ TMG, hay hủy bỏ thủ công trên các máy trạm.


Hình 8: Secure Connection Inspection.

Nếu tiến trình kiểm tra HTTPS đi được kích hoạt, và cài đặt thông để thông báo cho người dùng nếu tiến trình kiểm tra HTTPS được sử dụng cũng đã được kích hoạt thì những người dùng đã cài đặt Forefront TMG Client sẽ nhận được thông báo có nội dung như trong hình 7.


Hình 9: Thông báo của Secure Connection Inspection.

Kết luận

Trong bài viết này chúng ta đã khái quát về tiến trình cấu hình và cài đặt, và một số tính năng của Microsoft Forefront TMG Client. Những cài đặt chi tiết của TMG Client không được nhắc đến trong bài viết này, vì trong phiên bản mới nhất này các cài đặt không có gì khác biệt so với các phiên bản trước.
Thứ Hai, 07/12/2009 11:32
53 👨 6.355
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp