Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách máy khách Web Proxy cung cấp những thuận lợi khác biệt trong bảo mật và hiệu suất khi truy cập TMG web proxy server. Trong Forefront Threat Management Gateway (TMG) 2010, có ba kiểu máy khách - SecureNAT, Web Proxy và TMG Firewall. Máy khách truy cập tài nguyên thông qua TMG firewall có thể là bất cứ máy khách nào trong số trên hoặc có thể là cả ba vì chúng không loại trừ lẫn nhau. Mặc dù vậy mỗi kiểu máy khách đều có những ưu điểm và nhược điểm riêng. Nhiều chuyên gia mạng chọn máy khách SecureNAT khi thiết kế triển khai TMG firewall vì chúng dễ cấu hình. Tất cả những gì được yêu cầu là tạo một thay đổi đối với gateway mặc định của máy trạm và bảng định tuyến trong mạng. Mặc dù máy khách SecureNAT dễ cấu hình, nhưng chúng cũng có một số hạn chế nghiêm trọng trong bảo mật và hiệu suất. Không thể xác thực vì chúng không có cơ chế xác thực trong các gói IP. Thêm vào đó, máy khách SecureNAT cũng tiêu tốn rất nhiều tài nguyên hệ thống, làm giảm lưu lượng một TMG firewall có thể xử lý. Từ góc nhìn bảo mật và hiệu suất, máy khách Web Proxy là một lựa chọn lý tưởng. Khi các máy khách được cấu hình để sử dụng TMG firewall như một web proxy server, chúng sẽ giúp tăng khả năng xác thực người dùng và giảm được nhu cầu tài nguyên hệ thống trên tường lửa. Tuy nhiên nhược điểm ở đây là yêu cầu thay đổi cấu hình máy khách. Cấu mình máy khách Web ProxyTuy nhiên việc cấu hình một máy khách Web Proxy rất đơn giản. Có thể sử dụng Internet Explorer để thực hiện điều đó, mở trình duyệt web và từ menu, chọn <>Tools/Internet Options/Connections/LAN Settings. Tích tùy chọn <>Use a proxy server for your LAN và nhập vào hostname hay địa chỉ IP của TMG proxy, sau đó chỉ định cổng được cấu hình web proxy listener (mặc định là cổng 8080).
Khi hoàn toàn việc cấu hình, trình duyệt sẽ gửi một yêu cầu trực tiếp đến web proxy server được chỉ định. Với cấu hình máy khách này, chúng ta có thể xác thực người dùng và nhóm người dùng, giảm được tải trọng trên TMG firewall. Cấu hình máy khách và Automatic Web Proxy DiscoveryViệc cấu hình thủ công các thiết lập web proxy trên mỗi máy khách có thể tiêu tốn nhiều thời gian và công sức nếu tổ chức có số lượng máy khách. Trong hầu hết các trường hợp, bạn cần phải sử dụng phương pháp khác để thực hiện hiệu quả hơn cũng như khả năng cấu hình tự động. Giải pháp ở đây là sử dụng <>Web Proxy Auto Discovery (WPAD). WPAD là phương pháp mà ở đó máy khách Web Proxy sẽ tìm proxy server mà không yêu cầu cấu hình thủ công. Hầu hết các trình duyệt web hiện hành đều được cấu hình cho phép tự động phát hiện proxy mặc định.
WPAD có thể được cấu hình bằng sử dụng một trong hai cơ chế - DNS hoặc DHCP. Khi máy khách Web Proxy được cấu hình để tự động phát hiện proxy server, nó sẽ cố gắng tìm ra web proxy server trước bằng cách tìm kiếm option 252 trong thiết lập nhận được từ DHCP server, sau đó bằng cách truy vấn DNS để tìm host có tên WPAD như thể hiện trong công cụ giám sát mạng bên dưới.
Khi máy khách tìm ra proxy server, nó sẽ kết nối và lấy về kịch bản cấu hình tự động, một file có tên WPAD.DAT, từ TMG firewall tại địa chỉ IP mà WPAD phân giải. Kịch bản cấu hình tự động này sẽ có thông tin về các proxy server được cấu hình và cách xử lý yêu cầu. Thông tin chứa trong kịch bản này được xây dựng động từ thiết lập web proxy và cấu hình mạng thiết lập trong TMG management console. Kịch bản cấu hình không cư trú trên hệ thống file của TMG firewall. Nó chỉ được lưu trong bộ nhớ và được nâng cấp động bất cứ khi nào quản trị viên tạo thay đổi đối với cấu hình TMG firewall. Kích hoạt Auto DiscoveryĐể kích hoạt chế độ tự động tìm kiếm proxy, mở TMG management console, chọn nút the <>Web Access Policy trong cây giao diện, sau đó kích liên kết <>Configure Web Proxy trong panel nhiệm vụ.
Chọn tab <>Auto Discovery và tích hộp kiểm bên cạnh <>Publish automatic discovery information for this network. Nếu có kế hoạch sử dụng DNS cho WPAD, bạn phải để cổng mặc định là 80. Cổng mặc định này có thể bị thay đổi nếu sử dụng DHCP cho WPAD.
|