در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش گام به گام راه اندازی فایروال TMG قسمت 5 : پروکسی سرور

در آموزش های قبلی تا حدودی با مفاهیم TMG آشنا شدید و قرار بر این شد که در ادامه آموزش ها راه اندازی پروکسی سرور در شبکه داخلی با استفاده از TMG به همراه نحوه اضافه کردن Rule در این فایروال را آموزش بدهیم. در این مقاله شما با شیوه راه اندازی پروکسی سرور در فایروال TMG 2010 آشنا خواهید شد که اکثرا به عنوان Web Proxy شناخته می شود. با استفاده از قابلیت Web Proxy در TMG همانطور که قبلا هم اشاره شده است شما می توانید به کامپیوترهای Client این اجازه را بدهید که بتوانند از طریق پروتکل های HTTP ، HTTPS و HTTP-Tunneled و FTP بتوانند به اینترنت دسترسی پیدا کنند.

با همین تفاسیر می توان متوجه شد که قابلیت Web Proxy در TMG از پروتکل های بسیار محدودی پشتیبانی می کند. در مقابل روش های Secure NAT و TMG Client یا همان Firewall Client ها از پروتکل های بسیاری پشتیبانی می کنند. نکته بسیار مثبت در خصوص استفاده از Web Proxy در مقابل Secure NAT و Firewall Client این است که نیازی به نصب هیچگونه نرم افزاری بر روی سیستم کلاینت نمی باشد و از طرفی شما می توانید کاربران خود را بر اساس نام کاربری مانیتور کنید.


اولین نکته ای که ممکن است شما را درگیر کند این است که تصور کنید راه اندازی Web Proxy در TMG مانند Secure NAT ساده است ، در واقع اینچنین نیست ، در راه اندازی Web Proxy پیچیدگی هایی وجود دارد که همیشه باید در هنگام راه اندازی در نظر گرفته باشد و با آنها آشنا باشید تا TMG شما دچار اختلال نشود.شاید واژه پیچیدگی کمی تامل برانگیز باشد اما به هر حال از نظر کاربر کمترین پیچیدگی را همین Web Proxy دارد.

در خصوص امکاناتی که این روش به شما ارائه می دهد و همچنین قابلیت های آن می توانید در ادامه مطلب مواردی را مشاهده کنید ، قطعا در همین مقاله شیوه راه اندازی این سرویس را نیز آموزش خواهیم داد اما با توجه به گسترده بودن موضوع ، این آموزش را به دو قسمت اول و دوم تقسیم بندی می کنیم.شما چه در طراحی فایروال خود از حالت Multi-Homed استفاده کنید و یا اینکه از توپولوژی Single-NIC استفاده کنید می توانید همیشه از TMG به عنوان یک Proxy Server یا Reverse Proxy Server استفاده کنید. بنابراین زمانیکه شما می خواهید Web Proxy را برای کلاینت های خود فعال کنید چندان تقاوتی ندارد که از چه توپولوژی ای استفاده می کنید ، در این سناریو ما طبق روال گذشته توپولوژی Edge Firewall را اجرا خواهیم کرد که در آن یک دست فایروال شما به شبکه داخلی و دست دیگر در شبکه اینترنت قرار دارد.


انجام تنظیمات Web Proxy Client بر روی فایروال TMG

خوب همانطور که قبلا هم اشاره کردیم این قسمت اول از آموزش راه اندازی پروکسی سرور در TMG می باشد. در این مقاله ما بر طبق مثال قبلی یک فایروال TMG داریم که یکی از کارت شبکه های آن به شبکه داخلی و یکی دیگر به شبکه اینترنت متصل شده است و در حالت front-end در یک محیط عملیاتی مشغول سرویس دهی می باشد. در اولین مرحله پیکربندی هایی که باید در روی سرور انجام شود را با هم انجام می دهیم و در مقاله بندی تنظیمات سمت کلاینت ها را نیز با هم انجام خواهیم داد. برای شروع پیکربندی Web Proxy در TMG کافیست وارد کنسول مدیریتی TMG شوید و همانطور که در تصویر زیر مشاهده می کنید بر روی قسمت Web Access Policy کلیک کنید.

آموزش راه اندازی پروکسی سرور در TMG 2010


بعد از اینکه بر روی Web Access Policy کلیک کردید در قسمت Task در سمت راست تصویر گزینه ای به نام Related Tasks را مشاهده می کنید ، از این قسمت همانطور که در شکل زیر نیز مشاهده می کنید بر روی Configure Web Proxy کلیک کنید.

آموزش راه اندازی پروکسی سرور در TMG 2010


بعد از اینکه بر روی Configure Web Proxy کلیک کردید کادر Internal Properties به شما نمایش داده می شود. این در واقع همان کادری است که اگر شما از کنسول اصلی TMG به قسمت Networking بروید و بر روی Internal راست کلیک و Properties بگیرید به شما نمایش داده می شود. به این موضوع توجه کنید که اگر چندین کارت شبکه داخلی دارید که به عنوان شبکه های مجزا به TMG معرفی شده اند و در قسمت Networking وجود دارند باید تنظیمات Web Proxy را بر روی تک تک آنها انجام دهید ، هر چند در این سناریو ما فقط یک شبکه داخلی داریم و از همان هم Properties می گیریم . حالا کمی در خصوص Tab های مختلفی که در این کادر مشاهده می کنید صحبت خواهیم کرد. البته Tab هایی که قطعا مربوط به تنظیمات پروکسی سرور هستند بیشتر مد نظر هستند.

کاربرد تب General در تنظیمات شبکه TMG

اولین Tab ای که در قسمت Internal Properties مشاهده می کنید General است. چیز خاصی در خصوص این تب وجود ندارد فقط در قسمت Name شما نام شبکه را مشاهده می کنید و در قسمت Description ( Optional) هم توضیحات مربوط به این شبکه را مطابق شکل زیر مشاهده می کنید.

اگر می خواهید می توانید توضیحات بیشتری در خصوص این شبکه در قسمت توضیحات وارد کنید. در سناریویی که ما داریم تنها دو کارت شبکه وجود دارد و چندان پیچیدگی خاصی وجود ندارد که نیاز به توضیحات باشد اما در طراحی هایی که در انها DMZ وجود دارد بهتر است کمی در خصوص کارت شبکه ها و شبکه های مختلف توضیحاتی نوشته شود که هر چند همه اینها فقط برای درک ظاهری توپولوژی فایروال برای مدیر آن است نه برای سیستم که درکی از توضیحات ندارد.


آموزش راه اندازی پروکسی سرور در TMG 2010


کاربرد تب Addresses در تنظیمات شبکه TMG

حالا بر روی تب Addresses کلیک کنید. در این تب شما می توانید تمامی آدرس های IP ای که حق دارند به منابع موجود در TMG متصل شوند و از طریق کارت شبکه ای که برای آنها تعیین شده است به منابع اینترنت دسترسی پیدا کنند را تعیین می کنید. اگر آدرس IP ای در این قسمت برای TMG تعریف نشده باشد و بخواهد از طریق TMG به اینترنت متصل شود به عنوان یک آدرس جعلی در شبکه شناسایی شده و ارتباط آن با TMG بسته یا Drop می شود. بهترین گزینه برای انجام تنظیمات این قسمت استفاده از دکمه Add Adapter در قسمت سمت راست تصویر زیر می باشد.

زمانیکه این دکمه را انتخاب می کنید شما می توانید براحتی کارت شبکه ای که به شبکه داخلی TMG متصل شده است را انتخاب کنید ، بعد از انتخاب کارت شبکه مشاهده می کنید که TMG بصورت خودکار محدوده آدرس دهی که در آن کارت شبکه وجود دارد را محاسبه کرده و به شما نمایش می دهد. بصورت پیشفرض TMG هر محدوده آدرس دهی که در کارت شبکه داخلی شما وجود داشته باشد را در این قسمت به شما نشان داده و به لیست Addresses اضافه می کند علاوه بر این اگر شما عملیات Subnetting بر روی شبکه داخلی و محدوده IP خود انجام داده باشد TMG این موضوع را درک کرده و Net ID مربوط به آن محدوده آدرس دهی را پشتیبانی می کند.

تمامی آدرس هایی که در Routing Table خود TMG وجود دارد نیز شامل لیست Addresses خواهد بود. این تب بصورت مستقیم به تنظیمات Web Proxy شما ارتباطی ندارد اما اگر تنظیمات Web Proxy Client ها انجام شود و پیکربندی تب Addresses به درستی انجام نشده باشد تاثیر بسیار منفی در برقراری ارتباطات Web Proxy Client ها با سرور TMG ایجاد خواهد شد ، دلیل این تاثیر این است که درخواست هایی که از طرف Web Proxy Client ها به سمت Web Proxy Listener موجود در TMG ارسال می شود به دلیل عدم وجود آدرس کلاینت در این لیست Drop شده و کلاینت ها قادر به استفاده از اینترنت نخواهند بود.


کاربرد تب Addresses در تنظیمات فایروال TMG 2010


کاربرد تب Domains در تنظیمات شبکه TMG

بر روی تب Domains کلیک کنید ، تصویری مشابه آنچه در پایین می بینید به شما نمایش داده می شود. در این تب شما نام دامین هایی که در این شبکه قرار دارند را برای TMG مشخص می کنید. کلاینت هایی که از firewall client استفاده می کنند برای برقراری ارتباط با دامین هایی که در این تب قرار می گیرند دیگر از TMG Client استفاده نخواهند کرد. این تب بصورت ویژه برای استفاده توسط Firewall Client ها ایجاد شده است.

به هر حال بعدا که در خصوص تب Web Browser صحبت کردیم متوجه می شویکه ما می توانیم از لیست دامنه هایی که در این تب اضافه شده است برای پیکربندی Web Proxy Client ها نیز استفاده کنیم. شاید برای شما جالب باشد که بدانید واقعا چه اتفاقی رخ می دهد زمانیکه شما یک نام دامین را در این تب اضافه می کنید ! فرض کنید که یک کلاینت می خواهد به منابع دامین itpro.local دسترسی پیدا کند و این کلاینت در شبکه داخلی یا Internal ما قرار گرفته است. اگر این دامین در این لیست قرار گرفته باشد ، Firewall Client درخواست کلاینت را به سمت TMG مسیریابی یا Route نمی کند و درخواست از طریق Firewall Client در اصطلاح Ignore می شود.

در عوض ارتباط بصورت خودکار و مستقیم به سمت سرور مقصد هدایت خواهد شد. اگر سرور مقصد در همان شبکه قرار داشته باشد ارتباط بصورت مستقیم با همان سرور برقرار خواهد شد ، اگر سرور در شبکه دیگری قرار گرفته باشد ، با استفاده از Route تعریف شده در TMG Firewall یا هر روتر دیگری که در شبکه وجود دارد به سمت مقصد هدایت خواهد شد ، اگر کلاینت شما در حالت Secure NAT قرار گرفته باشد ، فایروال TMG به عنوان روتر یا Gateway عمل می کند و درخواست را مسیریابی می کند. توجه کنید که نکته کلیدی در اینجاست که اگر نام دامینی در این قسمت تعریف شود Firewall Client دیگر درخواست هایی که به سمت این دامین ارسال می شوند را پاسخگویی نمی کند.


کاربرد تب Domains در تنظیمات فایروال TMG 2010


خلاصه

در این قسمت از مقاله با تنظیمات اولیه و مقدماتی که برای راه اندازی Web Proxy در TMG نیاز است آشنا شدیم ، توجه کنید که این تنظیمات هنوز بصورت ویژه برای راه اندازی پروکسی سرور استفاده نمی شوند بلکه برای TMG Firewall Client نیز همین تنظیمات بایستی انجام شود ، بنابراین با یک تیر دو نشان می زنیم . تنظیماتی که در سمت سرور انجام می شود را با معرفی تب های Domains ، Details و Addresses شروع کردیم و در مقاله بعدی به امید خدا تب های Web Browser و Auto Discovery و چندین مورد دیگر را با همدیگر مرور خواهیم کرد ، امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید.

نویسنده : محمد نصیری
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#آموزش_راه_اندازی_proxy_server #آموزش_راه_اندازی_tmg #فایروال_tmg_مایکروسافت #آموزش_راه_اندازی_پروکسی_سرور #آموزش_tmg_2010 #تنظیمات_tmg_2010 #پروکسی_سرور #آموزش_گام_به_گام_tmg_2010
عنوان
1 آموزش گام به گام راه اندازی فایروال TMG قسمت 1 : توپولوژی ها رایگان
2 آموزش گام به گام راه اندازی فایروال TMG قسمت 2 : نصب TMG رایگان
3 آموزش گام به گام راه اندازی فایروال TMG قسمت 3 : اشتراک اینترنت رایگان
4 آموزش گام به گام راه اندازی فایروال TMG قسمت 4 : تنظیمات اولیه رایگان
5 آموزش گام به گام راه اندازی فایروال TMG قسمت 5 : پروکسی سرور رایگان
6 آموزش گام به گام راه اندازی فایروال TMG قسمت 6 : پروکسی سرور رایگان
7 آموزش گام به گام راه اندازی فایروال TMG قسمت 7 : Web Access Rule رایگان
زمان و قیمت کل 0″ 0
9 نظر
Hossein Azarkhah

با تشکر از مقاله های خوب شما

سوال خودمو قبلا مطرح کرده بودم ولی نتونستم خودم اجراش کنم

میشه تنظیمات مربوط به این عمل رو انجام بدید که وقتی کاربرها می خوان از اینترنت استفاده کنند نام کاربری و رمز عبور خواسته بشه؟

محمد نصیری

دوست عزیز در دو مقاله بعدی این مورد آموزش داده میشه ، قطعا شما برای اینکه از کاربراتون رمز و نام کاربری سئوال بشه باید پروکسی سرور راه اندازی کنید ، اما کمی تامل داشته باشید ، به امید خدا با همین کیفیت میرسیم به اون قسمت.

nasereddin_shah

سلام جناب مهندس , عرض تشکر بابت آموزش کاملتون , سوالی برای من از اول کار با TMG به وجود اومده که هنوز جوابی برای اون ندارم , ممنون میشم توضیح بدید , همونطور که میدونید TMG و Active Directory همزمان روی یک سیستم نصب نمیشه , من توضیحات ماکروسافت رو خوندم , ولی قانع کننده نبود , انتظار دارند یک سرور مختص فایروال باشه و باقی کار توسط سرور دیگه انجام بشه , با اطلاع از اینکه این مشکل راه حل هایی همچون Hiper-v و یا VMWare و سایر محصولات مجازی همردیف رو برای بالا آوردن دو سرور همزمان روی یک سیستم میسر میکنه , حداقل برای من جدا بودن این دو از هم ( TMG و AD ) مسخره به نظر میرسه ,

دوم اینکه آیا در مراحل تعریف اکانتینگ های کاربران برای دسترسی به اینترنت از طریق TMG امکان سینک شدن با AD وجود داره یا باید مجددا کاربران وارد شوند ؟؟ این کار برای شبکه های بزرگ دور از ذهن خواهد بود ....

سپاس مجدد

محمد نصیری

اولا دقت کنید که حق کاملا با مایکروسافت هست و کاری که کرده درست هست ، TMG یک فایروال و دستگاه امنیتی هست که کار اصلیش حفاظت از شبکه داخلی در اولویت هست ، مهمترین اطلاعات موجود روی شبکه داخلی اطلاعات Active Directory شما هست حالا شما می خاین اکتیودایرکتوری رو روی لبه شبکه قرار بدید که اجازه نمیشده ، از طرفی اینکار صرفا در کشورهایی مثل ایران صورت میگیره که دو زار حاضر نیستیم برای نرم افزار هزینه کنیم ، کسی که 14 میلیون تومان پول نرم افزار TMG میده مطمئن باشید برای شبکش حداقل یک سرور فیزیکی برای TMG و برای Domain Controller در نظر گرفته ، از نظر بنده و مایکروسافت منطقی نیست که در یک شبکه enterprise دو عدد سرور روی یک سیستم عامل نصب بشن باید کاملا تفکیک انجام بشه و من هم این مورد رو قبول دارم و به هیچ عنوان این عدم امکان نصب رو مسخره نمیدونم. در خصوص سئوال دومتون هم باید بگم که اگر TMG عضو اکتیودایرکتوری باشه براحتی کاربرای اکتیودایرکتوری رو شما می تونید در کنسول TMg اضافه کنید بدون مشکل در اکانتینگ استفاده کنید ، کاملا سینک هستند. اگر هم عضو نباشه باز هم میشه از طریق LDAP ارتباط برقرار کرد و به هیچ عنوان نیازی به تعریف کاربران نیست.

nasereddin_shah

ممنون از توضیح کاملتون , این قیمتی که فرمودید برای خود TMG هست یا اون قسمتی که در مقاله ذکر کردید نیاز به لایسنس داره رو میفرمایید ؟؟ چون من نصب کردم قسمت سریال نامبر TMG خودش پر بود و من چیزی وارد نکردم ، من فعلا تا این قسمت از آموزش شما جلو اومدم , جسارتا اگر سینک کردن کاربران AD رو با TMG در این مقاله نیست توضیح بفرمایید ,اگر هست که تشکر مقدم

محمد نصیری

دوست عزیز شما از محصول کرک شده استفاده می کنید ، من منظورم نمونه ارجینال بود ، قطعا سریالی که شما دارید استفاده می کنید برای یک شرکتی بوده که محصول رو خریداری کرده ، رو خودش بود فقط در حالت کرک شده هست در حالت عادی شما فقط 180 روز بصورت آزمایشی می تونید TMG رو نصب کنید . سینک کردن نیازی نیست ، شما کافیه TMG ای که راه اندازی کردین عضو دامین باشه بعد از همین سری آموزشی از قسمت آموزش ایجاد کردن Access Rule قسمت اضافه کردن کاربران رو مطالعه کنید کافیه قسمت Windows Domain رو انتخاب کنید که به کاربران Domain دسترسی پیدا کنید ، فکر می کنم آموزش بعدی باشه به لینک زیر مراجعه کنید :

ehsanyeganeh

با سلام و عرض ادب و ممنون از آموزش زیباتون. من میخوام 2010 tmg رو بر روی vps مبتنی بر ویندوز سرور 2008 نصب کنم. از سایت وطن دانلود دانلودش کردم و برطبق آموزشهایی که جناب عالی زحمت کشیده بودید قرار اده بودید نصبش کردم ولی ارتباط با اینترنت قطع شد! فکر میکنم مشکل در کانفیگ بود که موقع نصب تو مرحله ای که رنج آی پی میخواست من آداپتور داخلی رو بهش دادم. لازم بذکر ه که من برای اکانتینگ میخوام از این سرویس استفاده کنم. ممنون میشم کمکم کنید.

محمد نصیری

برای نصب روی vps شما باید دسترسی کنسولی داشته باشید نه ریموت چون بعد از نصب پورت ریموت بسته میشه

محمد نصیری

برای نصب روی vps شما باید دسترسی کنسولی داشته باشید نه ریموت چون بعد از نصب پورت ریموت بسته میشه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....