Cấu hình One-to-One NAT bằng TMG 2010 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (364.97 KB, 9 trang )
Cấu hình One-to-One NAT bằng TMG 2010
Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách
cấu hình một one-to-one NAT Rule cho host bên trong.
Microsoft Forefront Threat Management Gateway (TMG) 2010
có rất nhiều tính năng nâng cao như lọc URL, bảo vệ chống mã
độc, Network Inspection System (NIS), thanh tra HTTPS, ISP
dự phòng gây nhiều chú ý. Tuy nhiên bên dưới các tính năng
này còn có r
ất nhiều tính năng quan trọng khác, một trong số cần
phải giới thiệu thêm trong số này chính là Enhanced NAT (E-
NAT).
Cấu hình One-to-One NAT
E-NAT cho phép bạn có thể chuyển tiếp địa chỉ IP theo theo
dạng many-to-one hoặc one-to-one, như một số tường lửa
(Cisco, Checkpoint, ) đã có. Tuy nhiên việc cấu hình one-to-one
NAT trong TMG không đơn giản chút nào. Nếu quen làm việc
với các tường lửa của Cisco và Checkpoint thì chắc chắn bạn sẽ
muốn có tab NAT rule trong giao diện quản lý TMG và nút
Networking. Tuy nhiên có vấn đề là những thứ này lại thực sự
không có ở đây.
Trong TMG, bạn tạo một one-to-one NAT Rule bằng cách tạo
một Network Rule. Giả sử chúng ta muốn chuyển tiếp tất cả l
ưu
lượng đến từ một host bên trong nào đó đến một địa chỉ IP được
gán cho giao diện mạng bên ngoài của tường lửa TMG (không
phải là địa chỉ IP mặc định cho giao diện). Để thực hiện, mở
giao diện điều khiển TMG và chọn nút Networking trong menu
điều hướng. Chọn tab Network Rules trong cửa sổ điều khiển
trung tâm, sau đó kích Create a Network Rule trong panel
Tasks. Đặt tên mô tả cho Rule và chọn Next.
Hình 1
Chỉ định nguồn của lưu lượng mà bạn muốn chuyển tiếp. Trong
ví dụ này, chúng tôi đã chọn một máy chủ riêng, tuy nhiên bạn
có thể chọn các mạng, tập các mạng, tập các máy tính, dải địa
chỉ cũng như các subnet. Điều này cho phép chúng ta có được
khả năng linh hoạt cao khi thiết lập mối quan hệ NAT trong
TMG.
Hình 2
Chỉ định đích mà muốn áp dụng Rule này. Trong ví d
ụ chúng tôi
chọn mạng ngoài External vì muốn chuyển tiếp lưu lượng gửi đi
từ máy chủ sử dụng rule này. Ở đây bạn có thể chọn rất nhiều
lựa chọn, điều đó cũng cho phép bạn có được sự điều khiển khá
tinh đối với việc chuyển tiếp địa chỉ.
Hình 3
Chọn tùy chọn Network Address Translation (NAT).
Hình 4
Chọn tùy chọn Use the specified IP address và chọn địa chỉ IP
từ danh sách có sẵn.
Lưu ý:
Các địa chỉ IP này phải được gán cho giao diện mạng trước để
tạo rule, bằng không chúng sẽ không xuất hiện trong danh sách
này.
Hình 5
Bạn cũng có thể chọn tùy chọn Use multiple IP addresses, tùy
chọn cho phép bạn chọn thêm địa chỉ IP nữa cho rule (tạo sự
hữu dụng cho các mảng doanh nghiệp khi NLB không đư
ợc kích
hoạt).
Hình 6
Hình 7
Một điều quan trọng nữa mà bạn cần biết là các rule mạng,
giống như các rule chính sách tường lửa, chúng được xử lý theo
thứ tự. Để hoạt động đúng cách, các rule cụ thể hơn c
ần phải đặt
trước các rule khác. Trong ví dụ trong bài, rule cụ thể ở đây
đang định nghĩa mối quan hệ NAT giữa toàn bộ mạng bên trong
Internal (có host là một trong số các thành viên) và mạng bên
ngoài External. Sau khi wizard hoàn tất và trư
ớc khi áp dụng cấu
hình, cần bảo đảm rằng rule mạng mới này phải xuất hiện trước
rule Internet Access.
Hình 8
Khi đã cấu hình, các lưu lượng đư
ợc tạo từ host mail.celestix.net
được dự định cho mạng bên ngoài External sẽ khớp với rule số
3, trong rule này mối quan hệ mạng được dự định là NAT, địa
chỉ NAT là được định nghĩa rõ ràng là 10.0.0.2
E-NAT và ISP dự phòng
Khi cấu hình -NAT trên tường lửa TMG được cấu hình sử dụng
ISP dự phòng (ISP-R), việc chuyển tiếp địa chỉ có thể làm việc
không như mong đợi. Khi được cấu hình, các rule E-NAT sẽ
chiếm quyền ưu tiên và ghi đè lên các quyết định định tuyến
được tạo bởi ISP-R. Cần bảo đảm có một kế hoạch cẩn thận khi
thực hiện cả hai kỹ thuật này.
