Để có thể hiểu rõ hơn cơ chế làm việc trong các firewall. Hôm nay sinhvientot.net sẽ gởi đến các bạn một số khái niệm cơ bản đó là; Route Relationships và NAT Relationships. Nào chúng ta cùng làm rõ chúng 🙂
Route Relationships
Các yêu cầu của client từ mạng nguồn (Source network) được định tuyến trực tiếp tới mạng đích (Destination network) và ngược lại (bidirectional).
Các trường địa chỉ IP như là traffic đi giữa nguồn và máy chủ đích. TMG cư xử giống như một bộ định tuyến mạng cơ bản. Hình 01 bên dưới sẽ mô tả lưu lượng traffic cơ bản trong một mối quan hệ Route.
Hình 01: Route relationships
NAT Relationships
Network Address Translation (NAT): TMG server sẽ thay thế địa chỉ IP của client trong mạng nguồn bằng địa chỉ IP của nó đối với các gói dữ liệu đi từ trong mạng nguồn tới mạng đích (directional).
Một mối quan hệ NAT thông báo TMG rằng, nó phải áp dụng chỉnh sửa địa chỉ IP cho traffic mạng khi nó đi giữa các máy chủ.
Một mối quan hệ NAT định nghĩa một mối quan hệ một chiều traffic qua TMG, có nghĩa là, địa chỉ IP đại diện cho các máy chủ ở phía nguồn của mối quan hệ sẽ luôn luôn được thay đổi. Các hành vi cho các địa chỉ IP máy chủ ở phía đích của mối quan hệ phụ thuộc vào loại quy tắc tường lửa được sử dụng để xử lý lưu lượng truy cập. Bạn có thể xác định hai hình thức NAT:
- Full-NAT Trong trường hợp này, địa chỉ đích sẽ thay đổi để phù hợp với địa chỉ IP các máy chủ được công bố và địa chỉ IP nguồn được thay đổi để phản ánh địa chỉ IP TMG mặc định trong mạng có liên quan.
- Half-NAT Trong trường hợp này, chỉ có địa chỉ đích là thay đổi để phù hợp với địa chỉ IP các máy chủ Publish. Các địa chỉ nguồn không thay đổi.
Hình 02 minh họa cho hành vi lưu lượng truy cập khác nhau trên toàn một mối quan hệ NAT.
Hình 02: Route relationships
- Access Rules Các địa chỉ IP cho các máy chủ trong mạng đích sẽ vẫn không thay đổi cho tất cả lưu lượng truy cập. Địa chỉ IP cho các máy chủ trong mạng nguồn sẽ được thay đổi theo cấu hình mạng quy tắc mối quan hệ.
- Publishing Rules địa chỉ IP cho các máy chủ trong mạng đích sẽ được thay đổi theo các thiết lập được minh họa trong hình 03 và 04.
Hình 03: Half-NAT publishing (mặc định)
Hình 04: Full-Nat Publishing
Hình 05 mô tả các tùy chọn mặc định cho bất kỳ quy tắc mạng NAT
Hình 05: Mặc định địa chỉ NAT lựa chọn
TMG cung cấp ba sự lựa chọn cho hành vi này:
Luôn luôn sử dụng địa chỉ IP mặc định tùy chọn này gây ra TMG hành vi ứng xử giống như ISA 2006. Lưu lượng có nguồn gốc từ mạng nguồn được sử dụng trong quy tắc này sẽ được nhận trong các mạng đích với một địa chỉ IP nguồn đại diện mặc định của TMG Địa chỉ IP trong mạng đích. Hình 06 minh họa hành vi này bằng cách sử dụng 192.168.0.1 là địa chỉ IP mặc định TMG.
Hình 06: Mặc định hành vi của NAT
Sử dụng địa chỉ IP được lựa chọn, tùy chọn này sẽ cấu hình tường lửa TMG hoặc proxy hoặc một mảng TMG kích hoạt NLB sử dụng một địa chỉ IP (IP ảo cho các cụm NLB) để đại diện cho traffic có nguồn gốc từ mạng nguồn. Hình 07 minh họa điều này hành vi cho một mảng TMG NLB cho phép sử dụng 192.168.0.3 là địa chỉ IP ảo.
Hình 07: Single-IP (NLB) đi NAT
Sử dụng địa chỉ IP được lựa chọn cho mỗi mạng, tùy chọn này TMG sử dụng một địa chỉ IP duy nhất cho mỗi TMG tường lửa hoặc proxy trong một mảng để đại diện cho lưu lượng truy cập có nguồn gốc từ mạng nguồn. Hình 08 minh họa hành vi này.
Hình 08: IP cho mỗi máy chủ đi NAT
Xem thêm:
Trong bài viết này không có hướng dẫn cách định tuyến cho TMG. ad có thể hướng dẫ em định tuyến TMG tới windows server 2008 được k ạ. Em cảm ơn
là sao nhỉ, không hiểu định tuyến gì ?
Cho e xin zalo để e gửi mô hình qua cho dễ ạ. Ad giúp e được k
bạn gởi qua fb được mà!