Cấu hình Web Proxy Chaining trong Forefront TMG
2010


Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn
một kịch bản triển khai điển hình và cách cấu h
ình web
proxy chaining trong Forefront Threat Management
Gateway (TMG) 2010.
Web proxy chaining là một cách hiệu quả cho việc phân
phối lưu lượng web proxy trong tổ chức, góp phần làm
giảm băng thông tiêu tốn trên các liên kết WAN tốc độ
thấp, giảm việc sử dụng tài nguyên trên các máy ch
ủ proxy
tại văn phòng chính, hoặc ủy thác quản trị cho các quản trị
viên site ở xa. Web proxy chaining là một cấu hình mà ở
đó một proxy server (được gọi là downstream proxy
server) được cấu hình để chuyển tiếp các yêu cầu đến một
proxy server khác (được gọi là upstream
proxy server) thay
vì lấy lại các nội dung trực tiếp từ Internet. Downstream
proxy server có thể hoặc không có kết nối trực tiếp với
Simpo PDF Merge and Split Unregistered Version -
Internet. Trong phần đầu tiên của loạt bài gồm có hai phần
này, chúng ta hãy cùng nhau đi xem xét một kịch bản triển
khai và chúng tôi sẽ giới thiệu cho các bạn cách cấu hình
web proxy chaining trong Forefront Threat Management
Gateway (TMG) 2010.
Web Proxy Chaining
Trước khi tiếp tục, một vấn đề quan trọng cần được làm rõ
là web proxy chaining chỉ áp với lưu lượng được xử lý bởi

web proxy filter; có nghĩa lưu lượng được tạo bởi các máy
khách web proxy client. Web proxy chaining không có
ảnh
hưởng đối với TMG Firewall Client hoặc lưu lượng
SecureNET. Để lợi dụng được các tính năng của web
proxy chaining có trong TMG, chúng ta cần cấu hình các
máy khách sử dụng proxy server, có thể bằng cách nhập
proxy server thủ công hay sử dụng một trong các tùy chọn
cấu hình tự động (DNS hoặc DHCP), sử dụng chính sách
nhóm, hoặc bằng cách triển khai TMG Firewall Client với
các thiết lập proxy server đã được cấu hình thích hợp.
Simpo PDF Merge and Split Unregistered Version -
Cấu hình
Một kịch bản triển khai chung cho web proxy chaining là
khi một proxy server (hoặc mảng) được đặt tại văn phòng
chính, một proxy server khác (hoặc mảng) đư
ợc đặt tại văn
phòng chi nhánh ở xa (xem trong bản đồ bên dưới). Người
dùng tại văn phòng chính được cấu hình để sử dụng proxy
server chính cho việc truy cập Internet. Người dùng t
ại văn
phòng chi nhánh được cấu hình để sử dụng proxy server
cục bộ của họ, đây là các proxy server được cấu hình để
chuyển tiếp các yêu c
ầu đến upstream proxy server nằm tại
văn phòng chính.
Simpo PDF Merge and Split Unregistered Version -

Hình 1
Web proxy chaining được kích hoạt bằng cách tạo các web

chaining rule. Các rule này sẽ xác định cách tường lửa
định tuyến các yêu cầu web proxy ra sao khi cho phép
chúng. Để cấu hình web proxy chaining trong kịch bản cơ
bản này, bạn hãy mở TMG management console trên
downstream proxy server và kích nút Networking trong
Simpo PDF Merge and Split Unregistered Version -
cây giao diện điều khiển.

Hình 2
Hình 2: Trong cửa sổ chính, chọn tab Web Chaining, sau
đó trong panel Tasks chọn Create New Web Chaining
Rule.

Simpo PDF Merge and Split Unregistered Version -
Hình 3
Khi New Web Chaining Rule Wizard mở, hãy đặt tên
cho web chaining rule mới.

Hình 4
Chọn Web Chaining Rule Destination thích hợp. Chúng
ta hầu như không bị hạn chế các tùy chọn ở đây, tuy nhiên
với mục đích minh chứng, chúng tôi chỉ chọn chuyển tiếp
tất cả các yêu cầu cho Internet bằng cách chọn mạng
Simpo PDF Merge and Split Unregistered Version -
External.

Hình 5

Chọn tùy chọn để chuyển thướng các yêu cầu đến
máy chủ upstream đã được chỉ định.

Simpo PDF Merge and Split Unregistered Version -

Hình 6
Chỉ định địa chỉ IP, hostname hoặc FQDN của
upstream proxy server. Trừ khi bạn đã thay đổi các
cổng lắng nghe web proxy trên upstream proxy
server bằng không sẽ không cần thay đổi các cổng
mặc định được liệt ở đây. Để tùy chọn Apply
malware inspection to Web content received from
or sent to an upstream proxy được kiểm chỉ khi
upstream proxy server không thực hiện hành động
Simpo PDF Merge and Split Unregistered Version -
thanh tra malware, vì sự thanh tra malware không
được hỗ trợ trên cả downstream proxy server và
upstream proxy server tại cùng một thời điểm. Lựa
chọn để quét virus và malware là do bạn. Nếu bạn
chọn quét trên máy chủ upstream proxy server thì bạn
có thể ngăn chặn các phần mềm mã độc xâm nhập
vào mạng. Nếu upstream proxy server đang tổng hợp
một số lượng lớn các yêu cầu cho downstream proxy
server thì tải trọng sẽ tăng đáng kể và có thể làm quá
tải CPU và hiệu suất đĩa, vấn đề dẫn đến hiện tượng
trễ. Trong trường hợp này, việc quét trên máy chủ
downstream sẽ giúp bạn phân phối được tải trọng,
giảm được sự tiêu tốn về tài nguyên trên các máy chủ
upstream.
Simpo PDF Merge and Split Unregistered Version -

Hình 7
Chọn backup action thích hợp cho môi trường của

bạn. Nếu máy chủ downstream có kết nối trực tiếp
với Internet, bạn có thể chọn tùy chọn để lấy lại các
yêu cầu trực tiếp từ một đích nào đó (retrieve
requests directly from the specified destination).
Nếu có một proxy server (hoặc mảng) ở trong một
địa điểm khác có thể được sử dụng làm máy chủ
upstream, khi đó bạn có thể chọn tùy chọn định tuyến
Simpo PDF Merge and Split Unregistered Version -
các yêu cầu đến máy chủ upstream (route requests
to an upstream server) (sẽ có các nhắc nhở về thông
tin bổ sung). Nếu máy chủ downstream không có các
tuyến thay thế (hoặc không được phép sử dụng cho
chính sách bảo mật công ty), hãy chọn tùy chọn mặc
định là ignore requests.

Hình 8
Rule mới lúc này sẽ xuất hiện trong danh sách. Các
Web chaining rule sẽ được xử lý theo thứ tự, vì vậy
Simpo PDF Merge and Split Unregistered Version -
rule mới của chúng ta được đặt trước rule mặc định.
Mặc dù đã tạo một rule mới ở đây nhưng chúng ta
hoàn toàn có thể thay đổi rule mặc định để cung cấp
các kết quả tương tự.

Hình 9
Lưu ý: Một vấn đề quan trọng cần phải nhớ rằng các
rule truy cập phải được đặt thích hợp trên máy chủ
downstream và upstream để tạo điều kiện thuận lợi
cho việc truy cập web.
Các hạn chế kết nối

Trong nhiều trường hợp, việc kích hoạt web proxy
chaining có thể làm cho máy chủ downstream vượt
quá các hạn chế kết nối được thi hành bởi các thiết
lập chống tràn trên máy chủ upstream. Các máy chủ
upstream sẽ nhận các yêu cầu kết nối đến từ một host
Simpo PDF Merge and Split Unregistered Version -
nào đó (máy chủ downstream) thay vì mỗi máy khách
riêng lẻ. Nếu máy chủ downstream tổng hợp các yêu
cầu cho một số lượng lớn các máy khách thì chúng ta
cần phải thay đổi các hạn chế kết nối mặc định trên
máy chủ upstream. Điều này có thể được cấu hình
bằng cách add thêm các máy chủ downstream vào
danh sách IP exception, đúng hơn là thay đổi các han
chế mặc định cho tất cả các host. Bạn sẽ tìm thấy các
thiết lập chống tràn trong giao diện quản lý TMG
bằng cách kích Intrusion Prevention System trong
cây giao diện, kích Configure Flood Mitigation
Settings trong cửa sổ chính và sau đó chọn tab IP
Exceptions và tạo một tập máy tính có chứa các máy
chủ downstream của bạn.
Simpo PDF Merge and Split Unregistered Version -

Hình 10
Kết luận
Phụ thuộc vào các yêu cầu cụ thể của bạn, cấu hình
web proxy chaining có thể tương đối đơn giản (như
được thảo luận ở đây) hoặc có thể khá phức tạp. Ví
dụ được phác thảo ở trên giả định rằng tất cả lưu
lượng sẽ được định tuyến đến m áy chủ upstream
proxy, và không có yêu cầu nhận thực. Trong nhiều

Simpo PDF Merge and Split Unregistered Version -
trường hợp, downstream proxy sẽ có một kết nối trực
tiếp đến Internet và chỉ một số lưu lượng được định
tuyến đến máy chủ upstream proxy. Thông thường
máy chủ upstream proxy cũng yêu cầu nhận thực, vì
vậy sẽ yêu cầu thêm các kế hoạch và cấu hình bổ
sung. Trong phần hai của loạt bài này, chúng tôi sẽ
giới thiệu cho các bạn về một số kịch bản triển khai
chi tiết hơn như vậy.

Simpo PDF Merge and Split Unregistered Version -