Route và NAT trong TMG

4
1188

Để có thể hiểu rõ hơn cơ chế làm việc trong các firewall. Hôm nay sinhvientot.net sẽ gởi đến các bạn một số khái niệm cơ bản đó là; Route Relationships và NAT Relationships. Nào chúng ta cùng làm rõ chúng 🙂

Route Relationships

Các yêu cầu của client từ mạng nguồn (Source network) được định tuyến trực tiếp tới mạng đích (Destination network) và ngược lại (bidirectional).

Các trường địa chỉ IP như là traffic đi giữa nguồn và máy chủ đích. TMG cư xử giống như một bộ định tuyến mạng cơ bản. Hình 01 bên dưới sẽ mô tả lưu lượng traffic cơ bản trong một mối quan hệ Route.

Route

Hình 01: Route relationships

NAT Relationships

Network Address Translation (NAT): TMG server sẽ thay thế địa chỉ IP của client trong mạng nguồn bằng địa chỉ IP của nó đối với các gói dữ liệu đi từ trong mạng nguồn tới mạng đích (directional).
Một mối quan hệ NAT thông báo TMG rằng, nó phải áp dụng chỉnh sửa địa chỉ IP cho traffic mạng khi nó đi giữa các máy chủ.

Một mối quan hệ NAT định nghĩa một mối quan hệ một chiều traffic qua TMG, có nghĩa là, địa chỉ IP đại diện cho các máy chủ ở phía nguồn của mối quan hệ sẽ luôn luôn được thay đổi. Các hành vi cho các địa chỉ IP máy chủ ở phía đích của mối quan hệ phụ thuộc vào loại quy tắc tường lửa được sử dụng để xử lý lưu lượng truy cập. Bạn có thể xác định hai hình thức NAT:

  • Full-NAT Trong trường hợp này, địa chỉ đích sẽ thay đổi để phù hợp với địa chỉ IP các máy chủ được công bố và địa chỉ IP nguồn được thay đổi để phản ánh địa chỉ IP TMG mặc định trong mạng có liên quan.
  • Half-NAT Trong trường hợp này, chỉ có địa chỉ đích là thay đổi để phù hợp với địa chỉ IP các máy chủ Publish. Các địa chỉ nguồn không thay đổi.

Hình 02 minh họa cho hành vi lưu lượng truy cập khác nhau trên toàn một mối quan hệ NAT.

NAT

Hình 02: Route relationships

  • Access Rules Các địa chỉ IP cho các máy chủ trong mạng đích sẽ vẫn không thay đổi cho tất cả lưu lượng truy cập. Địa chỉ IP cho các máy chủ trong mạng nguồn sẽ được thay đổi theo cấu hình mạng quy tắc mối quan hệ.
  • Publishing Rules địa chỉ IP cho các máy chủ trong mạng đích sẽ được thay đổi theo các thiết lập được minh họa trong hình 03 và 04.

image006

Hình 03: Half-NAT publishing (mặc định)

image008

Hình 04: Full-Nat Publishing

Hình 05 mô tả các tùy chọn mặc định cho bất kỳ quy tắc mạng NAT

image010

Hình 05: Mặc định địa chỉ NAT lựa chọn

TMG cung cấp ba sự lựa chọn cho hành vi này:

Luôn luôn sử dụng địa chỉ IP mặc định tùy chọn này gây ra TMG hành vi ứng xử giống như ISA 2006. Lưu lượng có nguồn gốc từ mạng nguồn được sử dụng trong quy tắc này sẽ được nhận trong các mạng đích với một địa chỉ IP nguồn đại diện mặc định của TMG Địa chỉ IP trong mạng đích. Hình 06 minh họa hành vi này bằng cách sử dụng 192.168.0.1 là địa chỉ IP mặc định TMG.

image012

Hình 06: Mặc định hành vi của NAT

Sử dụng địa chỉ IP được lựa chọn, tùy chọn này sẽ cấu hình tường lửa TMG hoặc proxy hoặc một mảng TMG kích hoạt NLB sử dụng một địa chỉ IP (IP ảo cho các cụm NLB) để đại diện cho traffic có nguồn gốc từ mạng nguồn. Hình 07 minh họa điều này hành vi cho một mảng TMG NLB cho phép sử dụng 192.168.0.3 là địa chỉ IP ảo.

image013

Hình 07: Single-IP (NLB) đi NAT

Sử dụng địa chỉ IP được lựa chọn cho mỗi mạng, tùy chọn này TMG sử dụng một địa chỉ IP duy nhất cho mỗi TMG tường lửa hoặc proxy trong một mảng để đại diện cho lưu lượng truy cập có nguồn gốc từ mạng nguồn. Hình 08 minh họa hành vi này.

image015

Hình 08: IP cho mỗi máy chủ đi NAT

Xem thêm:

4 COMMENTS

This site uses Akismet to reduce spam. Learn how your comment data is processed.