Tìm hiểu Cấu hình One-to-One NAT bằng TMG 2010

Cấu hình One-to-One NAT bằng TMG 2010Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách cấu hình một one-to-one NAT Rule cho host bên trong. Microsoft Forefront Threat Management Gateway (TMG) 2010 có rất nhiều tính năng nâng cao như lọc URL, bảo vệ chống mã độc, Network Inspection System (NIS), thanh tra HTTPS, ISP dự phòng gây nhiều chú ý. Tuy nhiên bên dưới các tính năng này còn có rất nhiều tính năng quan trọng khác, một trong số cần phải giới thiệu thêm trong số này chính là Enhanced NAT (ENAT)....
Nội dung trích xuất từ tài liệu:
Tìm hiểu Cấu hình One-to-One NAT bằng TMG 2010 Cấu hình One-to-One NAT bằng TMG 2010Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cáchcấu hình một one-to-one NAT Rule cho host bên trong.Microsoft Forefront Threat Management Gateway (TMG) 2010có rất nhiều tính năng nâng cao như lọc URL, bảo vệ chống mãđộc, Network Inspection System (NIS), thanh tra HTTPS, ISPdự phòng gây nhiều chú ý. Tuy nhiên bên dưới các tính năngnày còn có rất nhiều tính năng quan trọng khác, một trong số cầnphải giới thiệu thêm trong số này chính là Enhanced NAT (E-NAT).Cấu hình One-to-One NATE-NAT cho phép bạn có thể chuyển tiếp địa chỉ IP theo theodạng many-to-one hoặc one-to-one, như một số tường lửa(Cisco, Checkpoint,..) đã có. Tuy nhiên việc cấu hình one-to-oneNAT trong TMG không đơn giản chút nào. Nếu quen làm việcvới các tường lửa của Cisco và Checkpoint thì chắc chắn bạn sẽmuốn có tab NAT rule trong giao diện quản lý TMG và nútNetworking. Tuy nhiên có vấn đề là những thứ này lại thực sựkhông có ở đây.Trong TMG, bạn tạo một one-to-one NAT Rule bằng cách tạomột Network Rule. Giả sử chúng ta muốn chuyển tiếp tất cả lưulượng đến từ một host bên trong nào đó đến một địa chỉ IP đượcgán cho giao diện mạng bên ngoài của tường lửa TMG (khôngphải là địa chỉ IP mặc định cho giao diện). Để thực hiện, mởgiao diện điều khiển TMG và chọn nút Networking trong menuđiều hướng. Chọn tab Network Rules trong cửa sổ điều khiểntrung tâm, sau đó kích Create a Network Rule trong panelTasks. Đặt tên mô tả cho Rule và chọn Next.Hình 1Chỉ định nguồn của lưu lượng mà bạn muốn chuyển tiếp. Trongví dụ này, chúng tôi đã chọn một máy chủ riêng, tuy nhiên bạncó thể chọn các mạng, tập các mạng, tập các máy tính, dải địachỉ cũng như các subnet. Điều này cho phép chúng ta có đượckhả năng linh hoạt cao khi thiết lập mối quan hệ NAT trongTMG.Hình 2Chỉ định đích mà muốn áp dụng Rule này. Trong ví dụ chúng tôichọn mạng ngoài External vì muốn chuyển tiếp lưu lượng gửi đitừ máy chủ sử dụng rule này. Ở đây bạn có thể chọn rất nhiềulựa chọn, điều đó cũng cho phép bạn có được sự điều khiển khátinh đối với việc chuyển tiếp địa chỉ.Hình 3Chọn tùy chọn Network Address Translation (NAT).Hình 4Chọn tùy chọn Use the specified IP address và chọn địa chỉ IPtừ danh sách có sẵn.Lưu ý:Các địa chỉ IP này phải được gán cho giao diện mạng trước đểtạo rule, bằng không chúng sẽ không xuất hiện trong danh sáchnày.Hình 5Bạn cũng có thể chọn tùy chọn Use multiple IP addresses, tùychọn cho phép bạn chọn thêm địa chỉ IP nữa cho rule (tạo sựhữu dụng cho các mảng doanh nghiệp khi NLB không được kíchhoạt).Hình 6Hình 7Một điều quan trọng nữa mà bạn cần biết là các rule mạng,giống như các rule chính sách tường lửa, chúng được xử lý theothứ tự. Để hoạt động đúng cách, các rule cụ thể hơn cần phải đặttrước các rule khác. Trong ví dụ trong bài, rule cụ thể ở đâyđang định nghĩa mối quan hệ NAT giữa toàn bộ mạng bên trongInternal (có host là một trong số các thành viên) và mạng bênngoài External. Sau khi wizard hoàn tất và trước khi áp dụng cấuhình, cần bảo đảm rằng rule mạng mới này phải xuất hiện trướcrule Internet Access.Hình 8Khi đã cấu hình, các lưu lượng được tạo từ host mail.celestix.netđược dự định cho mạng bên ngoài External sẽ khớp với rule số3, trong rule này mối quan hệ mạng được dự định là NAT, địachỉ NAT là được định nghĩa rõ ràng là 10.0.0.2E-NAT và ISP dự phòngKhi cấu hình -NAT trên tường lửa TMG được cấu hình sử dụngISP dự phòng (ISP-R), việc chuyển tiếp địa chỉ có thể làm việckhông như mong đợi. Khi được cấu hình, các rule E-NAT sẽchiếm quyền ưu tiên và ghi đè lên các quyết định định tuyếnđược tạo bởi ISP-R. Cần bảo đảm có một kế hoạch cẩn thận khithực hiện cả hai kỹ thuật này.