Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Firewall
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Firewall Các vấn đề liên quan đến hệ thống Firewall.
Người Quản Trị : Chung Tấn Lộc, Nguyễn Xuân Hoàn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #31  
Old 29-03-2012, 21:06
tieutu8x tieutu8x vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Mar 2012
Tuổi: 35
Bài gởi: 4
Thanks: 1
Thanked 0 Times in 0 Posts
ai vào được mạng thì join vào group có thể truy cập inter và những người gữi mail join vào group gữi mai và đặt các rule tương ứng trong ía 50 người chắc join tay được nhỉ
Trả Lời Với Trích Dẫn
  #32  
Old 29-05-2012, 12:56
huyhoang8344 huyhoang8344 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Mar 2007
Bài gởi: 149
Thanks: 34
Thanked 11 Times in 10 Posts
Smile

Trích:
Nguyên văn bởi suthuc View Post
Hình như khi client dùng web proxy thì 1 số dịch vụ như voice chat, webcam chat sẽ không dùng được? (với YM).
đúng

Còn về ISA firewall client thì nó kết hợp cà secure NAT và proxy nên có đầy đủ ưu và nhược điểm cùa 2 loại trên. Bât tiện ở chỗ bạn phải set up ISA Firewall client cho máy client.
đúng.

Hiện H đang setup 1 hệ thống gồm nhiều máy laptop và desktop. User dùng laptop đa số là sếp thường đi công tác và họ cũng chẳng biết hoặc không cần biết việc chỉnh proxy hoặc IP khi đi ra ngoài công ty. Vì vậy Hoàng dùng DHCP cho hệ thống và rerservation ip cho những máy laptop, còn desktop thì dùng IP tĩnh, ISA thì dùng secure NAT. Hệ thống đã đi vào hoạt động nhưng việc bảo trì khá rắc rối (do máy tính thường đổi từ phòng này sang phòng khác, ứng với mỗi phòng là 1 policy firewall khác nhau và 1 dải ip khác nhau). Không biết mọi người có giải pháp nào tốt hơn ?

1/các client cũng xài IP động cho khỏe
2/ có thể cho mỗi phòng 1 network (tùy theo số lượng phòng nhiều hay ít)
3/ có thể quản lý theo user thì khỏi phải chia nhiều network
mình có chút thắc mắc về TMG

1. Khi sử dụng firewall client thì user sẽ được/bị các ưu điểm/ nhược điểm của web proxy và Secure Nat? Có nghĩ là khi cần chứng thực thì nó sẽ hoạt động web proxy còn khi ko chứng thực thì chạy theo default gateway??

vậy thực chất firewall client chỉ là 1 chương trình chọn lựa cho end user khi truy cập đến lớp mạng khác??

2. Khi câú hình auto discovery thông qua DNS hoặc DHCP thì các trình duyệt web sẽ tự động nhận proxy,ko cần phải làm manually cho từng máy? vậy khi ra ngoài user sẽ tự động bypass proxy này phải ko? Cấu hình proxy này là transparent hay user có thể thấy được trong phần proxy của IE vì mình không muốn user thấy phần này (có 1 số user là local admin nên có thể thay đổi được proxy)

3. Giả sử, mình chỉ cho 10 user (join domain hết toàn bộ) được phép chat yahoo hoặc skype. Do đòi hỏi chứng thực user nên phải sử dụng web proxy---> vào yahoo để trỏ proxy về isa hoặc lấy cấu hình proxy của IE. Ở đây là 10 user thôi thì còn chỉnh được, chứ 100 user thì sao ah?

4. sau khi user kết nối VPN thành công, muốn user VPN đó ra được internet thì cần phải tạo rule để những user vpn có thể truy cập hay TMG/ISA sẽ xem như user đó đang trong local network và apply các rule bình thường?
Thanks rất nhiều
Trả Lời Với Trích Dẫn
  #33  
Old 02-09-2013, 01:23
manh12a3 manh12a3 vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Jun 2009
Tuổi: 29
Bài gởi: 36
Thanks: 2
Thanked 2 Times in 2 Posts
mô hình hay! làm lab và áp dụng thực tế đc
Trả Lời Với Trích Dẫn
  #34  
Old 11-11-2013, 22:55
tuonghn tuonghn vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Oct 2013
Tuổi: 27
Bài gởi: 48
Thanks: 10
Thanked 3 Times in 3 Posts
Trích:
3. Giả sử, mình chỉ cho 10 user (join domain hết toàn bộ) được phép chat yahoo hoặc skype. Do đòi hỏi chứng thực user nên phải sử dụng web proxy---> vào yahoo để trỏ proxy về isa hoặc lấy cấu hình proxy của IE. Ở đây là 10 user thôi thì còn chỉnh được, chứ 100 user thì sao ah?
10 user có quá nhiều cho 1 domain không vậy?
Trả Lời Với Trích Dẫn
  #35  
Old 21-05-2015, 16:15
giathai225 giathai225 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Jan 2011
Tuổi: 35
Bài gởi: 8
Thanks: 8
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi lmh View Post
Hiệu năng hoạt động của ISA server không chỉ phụ thuộc vào các cấu hình của riêng nó mà còn chịu ảnh hưởng từ cách cấu hình của các máy khác trong hệ thống mạng - các ISA client -.

ISA Client là gì?

Theo quan niệm thông thường, client là máy tính gửi yêu cầu cung cấp dữ liệu đến server, server thu thập dữ liệu và gửi đáp ứng cho client. Quan hệ client - server phụ thuộc vào phần mềm được cài đặt trên client để giúp nó giao tiếp được với một dịch vụ nhất định tại server.

Tuy nhiên, khái niệm ISA client - ISA server lại hoàn toàn khác. ISA client không nhất thiết phải được cài đặt một ứng dụng cụ thể nào và ứng dụng trên ISA client cũng không nhất thiết phải kết nối trực tiếp đến ISA server. Nói ngắn gọn và cụ thể hơn, bất cứ máy tính nào kết nối đến tài nguyên mà nó cần dùng bằng cách thông qua ISA đều được xem là ISA client.

Theo quan niệm nêu trên, ISA client sẽ thuộc về 1 trong 3 loại:
- SecureNAT client.
- Web Proxy client.
- Firewal client.

Một máy tính duy nhất có thể được cấu hình để hoạt động theo 1 hoặc nhiều loại ISA client. Ví dụ, 1 máy Windows XP có thể được cấu hình thành cả 3 loại client. 1 máy Linux có thể được cấu hình thành Web Proxy client và Firewal client.

Chọn lựa loại ISA client thích hợp nhất đôi khi lại là một bài toán không dễ. Với mong muốn hỗ trợ phần nào cho các vị quản trị viên, bài viết này trình bày một vài vấn đề đôi khi ít được chú ý trong quá trình triển khai SecureNAT client và Web proxy client .

1. SecureNAT client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Thông số duy nhất cần quan tâm là Default Gateway. Phải khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server. Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết bị định tuyến (router) nội bộ.
- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP
- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng
- Không thể chứng thực người dùng

Để hiểu cách cấu hình SecureNAT client, xin ví dụ 2 hệ thống mạng, tạm gọi là mạng đơn giản và mạng phức tạp
Mạng đơn giản



Hệ mạng chỉ có 01 network ID và không có router nội bộ. Default gateway của các client là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server là router và NAT server.

Mạng phức tạp:



Hệ mạng gồm 03 network ID và 01 router nội bộ. Default gateway của các client là địa chỉ IP của router. Router được cấu hình default route là địa chỉ IP của card trong (internal interface) của ISA server. Thực chất hoạt động của ISA server cũng là router và NAT server.

Một số ưu điểm:
- Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng cơ sở hạ tầng mạng.
- Triển khai trên các client không dùng hệ điều hành Windows.
- Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh ping hoặc tracert...) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal)

Một số hạn chế::
Hạn chế thứ nhất: SecureNAT client không có ứng dụng thực hiện việc gửi username và password đến firewall service trên ISA server, vì thế ISA không thể chứng thực user đối với thông tin phát sinh từ SecureNAt client và tất nhiên cũng không thể ghi nhận (log) các thông tin truy cập liên quan đến user.
Hạn chế thứ hai: Client không thể dùng các protocol đa kết nối (multi connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp.
Ví dụ FTP là 1 protocol đa kết nối: FTP client khởi tạo kết nối đến port TCP 20 của FTP server để tạo 01 kênh điều khiển (control chanel). FTP Client và FTP server sẽ dùng kênh điều khiển này để thương thảo số port mà FTP client dùng để nhận thông tin. Sau đó, FTP server truyền dữ liệu từ port TCP 21 đến port đã thương thảo của FTP client. Kết nối thứ hai này mới là kết nối chủ yếu và có các port không hề liên quan gì đến các port của kết nối phát sinh từ FTP client trước đó. Tuy vậy, ISA tích hợp sẵn bộ lọc FTP và SecureNAT client có khả năng truy cập dùng FTP thông qua ISA server.
SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng đa truyền thông (multi media: voice, video...) vì hầu hết các ứng dụng này đều dùng đa kết nối. Chỉ có 01 ngoại lệ duy nhất là nếu các ứng dụng này được thiết kế để hoạt động với proxy SOCKS 4 thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ có khả năng hỗ trợ.
Hạn chế thứ ba: Client chỉ có thể dùng các protocol mà ISA server có thể nhận diện thông qua bảng mô tả trên ISA server. Khi 01 access rule cho phép SecureNAT client được truy cập bằng "All outbound traffic" thì không có nghĩa là mọi protocol. "All outbound traffic" đối với SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA server mà thôi.
Vì vậy, chỉ nên dùng SecureNAT client khi:
- Publish server ra internet
- Không thể triển khai cài đặt Firewall client hoặc cần các ứng dụng ngoài khả năng đáp ứng của Web proxy.
- Client cần dùng protocol ICMP hoặc PPTP.

Vấn đề DNS đối với SecureNAT client:
SecureNAT client phân giải DNS name bằng cách truy vấn DNS server được khai báo trong TCP / IP properties. Có thể quan sát lại hai mô hình mạng bên trên để rút ra công thức cấu hình. Ở mô hình mạng đơn giản, client được cấu hình truy vấn DSN của ISP vì hệ mạng nội bộ không có DNS server. Ở mô hình mạng phức tạp, client được cấu hình truy vấn DSN nội bộ nhằm đảm bào khả năng phân giải tên nội bộ cũng như tên ngoài thế giới internet.

2. Web proxy client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả. Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server của trình duyêt web.
- Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web
- Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS
- Có thể chứng thực người dùng

Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web proxy server. Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger (chat) hoặc trình duyệt mail.

Khi SecureNAT hoặc Firewall client truy cập web, yêu cầu được chuyển đến firewall service trên ISA. Firewall service lại chuyển yêu cầu đến bộ lọc web proxy. Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt.

Khi Web proxy client dùng trình duyệt web để tải dữ liệu về từ FTP server, ví dụ: ftp://ftp.nhatnghe.com, trình duyệt web sẽ triển khai một HTTP tunnel (đường hầm HTTP) chứ không dùng trực tiếp FTP. Web proxy client đóng gói yêu cầu FTP với 1 header HTTP có địa chỉ mục tiêu là địa chỉ card internal của ISA và port mục tiêu là TCP 8080. Khi tiếp nhận yêu cầu này, ISA 2006 sẽ tah1o phần HTTP header và chuyển gói tin yêu cầu ftp đến server ftp.nhatnghe.com.
Khi dùng web proxy cho kết nối ftp, client chỉ có thể tải xuống (download). Để có thể tải lên (upload), client phải được cấu hình là SecureNAT hoặc Firewall client

Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client. Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập web tại một thời điểm: Mở Properties của network chứa Web proxy client (thường là network Internal) > tab Web Proxy > Advanced. > chọn Maximum và nhập số kết nối đồng thời tối đa. Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối.

Xin hẹn một bài khác về Firewall client.
Cảm ơn quý vị đã xem!
Thầy ơi!
em có trouble với ISA server,, em co post trên diễn đàn nhưng chưa có giải pháp hiệu quả. thầy giúp em với ạ. thanks thầy.
http://www.nhatnghe.com/forum/showthread.php?t=814652
Trả Lời Với Trích Dẫn
  #36  
Old 20-04-2016, 19:19
ntduy267 ntduy267 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Apr 2016
Tuổi: 29
Bài gởi: 2
Thanks: 5
Thanked 0 Times in 0 Posts
Thầy ơi ! ở bài lab 6 trong top 10 kho lab Nhất Nghệ
1.em cấu hình hết và hiện tại thì khi cài isa client trên 3 subnet VIP,USER,SERVER thì ko detect được isa server.
2. isa server có cần phải join domain ko ạ ?
Trả Lời Với Trích Dẫn
  #37  
Old 20-04-2016, 22:22
vietthai23 vietthai23 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Sep 2012
Tuổi: 28
Bài gởi: 897
Thanks: 190
Thanked 161 Times in 154 Posts
Trích:
Nguyên văn bởi ntduy267 View Post
Thầy ơi ! ở bài lab 6 trong top 10 kho lab Nhất Nghệ
1.em cấu hình hết và hiện tại thì khi cài isa client trên 3 subnet VIP,USER,SERVER thì ko detect được isa server.
2. isa server có cần phải join domain ko ạ ?
isa join domain thì việc chứng thực người dùng tiện hơn và khả năng là xuất báo cáo cũng dễ hơn.
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Không cài SecureNAT client được. tidanguyen Firewall 1 15-06-2008 23:51
sử dụng surfcontrol cho secureNAT client newbie_net Firewall 1 11-03-2008 22:04
khi trỏ vào proxy thì client không cần DNS? sfone_vn2007 [ LINUX ] Thảo luận chung 2 13-12-2007 09:30
SecureNat và Firewall Client trong ISA 25minutesit Firewall 7 19-11-2007 21:29
Proxy client nqduy Firewall 2 03-10-2007 18:22



Múi giờ GMT +7. Hiện tại là 19:11
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger