در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش گام به گام راه اندازی فایروال TMG قسمت 6 : پروکسی سرور

در قسمت های قبلی در خصوص چگونگی وارد شدن به کنسول مدیریتی TMG و همچنین انجام تنظیمات اولیه این سیستم با هم صحبت کردیم . در خصوص برخی از تنظیمات اولیه راه اندازی پروکسی سرور که در اینجا به عنوان Web Proxy Client می شناسیم صحبت کردیم و چندین Tab از تنظیمات آن را به شما نمایش دادیم و گفتیم که بسیاری از این تنظیمات با تنظیماتی که برای راه اندازی TMG Client انجام می شود یکسان است ، در ادامه در این آموزش به شما Tab های دیگر این قسمت را آموزش می دهیم و مطمئن باشید در انتهای این آموزش شما یک پروکسی سرور فعال در شبکه خواهید داشت که صرفا نیاز به ایجاد یک Rule در فایروال برای کار کردن دارد.

کاربرد تب Web Browser در تنظیمات TMG

بر روی تب Web Browser در همان تنظیمات قبلی کلیک کنید با موارد زیر مواجه خواهید شد :

  • Bypass proxy for Web servers in this network. : با انتخاب این گزینه شما به Web Proxy Client می گویید که اگر کاربر در Browser خود یک آدرس را به شکل Single Label Name وارد کرد ، یعنی اینکه به جای www.tosinso.com به شکل itpro خالی وارد کرد ، دیگر Web Proxy Client این آدرس را پردازش نمی کند در عوض کلاینت شما از TMG Firewall Client یا Secure NAT برای مدیریت این درخواست استفاده می کند. بسیاری از افراد درک درستی از این گزینه در TMG ندارند و گمان می کنند هرگاه این گزینه انتخاب شود و شما هر آدرس URL ای را وارد کنید که در شبکه داخلی یا اینترانت شما قرار داشته باشد Web Proxy Client دیگر با آن درخواست کاری ندارد که این برداشت درستی نیست.

  • Directly access computers specified in the Domains tab : این گزینه در واقع یک نوع Backward Compatibility از نرم افزار قبلی مایکروسافت به نام ISA Server است و با معرفی قابلیت Direct Access در ویندوز سون و ویندوز سرور 2008 دیگر از این گزینه استفاده خاصی نمی شود. اگر این گزینه را انتخاب کنید ، یعنی پیکربندی های Web Proxy Client برای لیست دامین هایی که در تب Domains تعریف شده است اعمال نشود و در واقع Web Proxy دیگر کاری با اسامی موجود در این لیست نداشته و درخواست کاربر بصورت مستقیم به سرور مربوطه هدایت خواهد شد. تب Domains در واقع برای پیکربندی های مربوط به Firewall Client استفاده می شود اما گزینه فوق بصورت ویژه به شما اجازه اعمال تغییرات در تنظیمات Web Proxy را نیز می دهد.

  • Directly access computers specified in the Addresses tab : زمانیکه شما این گزینه را انتخاب می کنید به محض اینکه Web Proxy Client تشخیص دهد که شما با یکی از آدرس هایی کار دارید که در Address List هایی که در TMG تعریف شده اند وجود دارد دیگر این درخواست را پردازش نمی کند و تشخیص می دهد که این آدرس در شبکه داخلی وجود داشته و نیازی به انجام و ارسال درخواست توسط Web Proxy Service وجود ندارد. اگر به خاطر داشته باشید در Addresses لیست آدرس های IP ای که در شبکه خاصی قرار دارد را برای TMG مشخص می کردیم و با استفاده از این روش شما به TMG می گویید که در صورتیکه یک آدرس IP خاص به آدرسی در همان شبکه می خواهد متصل شود دیگر از Web Proxy برای متصل کردن آنها استفاده نکن و سرویس آن را برای این آدرس IP غیر فعال کن .

  • Directly access these servers or domains : با انتخاب این گزینه شما می توانید لیستی از سرورهایی که خودتان می شناسید را بصورت دستی وارد کنید و همان شرایطی که برای قسمت Domains به وجود می آید را برای این لیست سرورها نیز ایجاد کنید. معمولا سرورهایی که درون DMZ قرار می گیرند را می توانید از این طریق به TMG معرفی کنید.

اما آخرین گزینه بسیار جالب است که به شکل If Forefront TMG is unavailable, use this backup route to connect to the internet است می باشد بدین معنی که اگر TMG شما در دسترس نبود از این مسیر پشتیبان برای برقراری ارتباط با اینترنت استفاده کن ، در اینجا دو گزینه وجود دارد که ترتیب موارد زیر می باشد :

  • Direct access : اصلا به اسم این گزینه توجهی نکنید ، این گزینه به این معنی نیست که Web Proxy Client از قابلیت direct Access برای دسترسی به اینترنت استفاده کند. بلکه به این معناست که Web Proxy Client در صورت عدم امکان برقراری ارتباط با TMG بصورت خودکار درخواست های سیستم را از طریق Web Proxy Service پردازش نمی کند و مستقیما به اینترنت دسترسی پیدا می کند. اگر کلاینت به گونه ای پیکربندی شده است که از Firewall Client برای استفاده از اینترنت استفاده می کند ، سیستم سعی می کند که از این نرم افزار برای برقراری ارتباط با اینترنت استفاده کند و در غیر اینصورت از قابلیت Secure NAT استفاده می کند و در غیر اینصورت تلفن های واحد فناوری اطلاعات سازمان ITPRO به صدا در می آیند که ایهالناس اینترنت چرا قطعه ؟ این واحد IT چه غلطی می کنه !!! نکته کلیدی در اینجا این است که دیگر فایروال TMG در دسترس نیست و در این حالت Web Proxy Client هر روش دیگری را که بتواند از طریق آن به اینترنت دسترسی پیدا کند را تست می کند.

  • Alternative Forefront TMG : زمانیکه شما این گزینه را انتخاب می کنید در واقع به Web Proxy Client می گویید که می تواند در صورت لزوم می تواند از یک فایروال TMG دیگر به عنوان Web Proxy Server استفاده کند. با انتخاب این گزینه شما باید یک آدرس FQDN از سرور مقصد TMG یا آدرس Firewall Array را معرفی کنید. بعد از انجام اینکار Web Proxy Client دنبال راه های جانبی اتصال به Web Proxy Server نیز می گردد و شما یک TMG دیگر را به عنوان سرور به کلاینت ها معرفی می کنید.

همانطور که در تصویر زیر مشاهده می کنید امکانات مختلفی که در تب Web Browser وجود دارد که ما به ترتیب آنها را به شما معرفی کردیم ، شیوه آموزشی Unity به این شکل است که مباحث را بصورت کاملا تئوری ابتدا به شما آموزش خواهیم داد و سپس بحث عملی را با هم یاد می گیریم . کافیست به مقاله های قبلی بنده نیز مراجعه کنید. در محیط کار عملیاتی بنده به شخصه از همه این گزینه ها استفاده می کنم و امیدوارم در بخش اول این آموزش مفاهیم کلی این Check Box های به ظاهر ساده را به خوبی درک کرده باشید.

کاربرد تب Web Browser در تنظیمات فایروال TMG


کاربرد تب Auto Discovery در تنظیمات TMG


بر روی تب Auto Discovery کلیک کنید. در این تب شما می توانید تنظیماتی انجام دهید که اسکریپت انجام پیکربندی های خودکار Web Proxy Client ها و Firewall Client ها با استفاده از autoconfiguration script انجام شود. این اسکریپت انجام تنظیمات خودکار یا autoconfiguraation script تمامی تنظیماتی که نیاز است بر روی کلاینت های TMG Firewall Client یا Web Proxy Client انجام شود تا بتوانند به درستی با TMG Firewall ارتباط برقرار کنند را در خود دارد. توجه کنید که در این تب قابلیت شناسایی خودکار یا autodiscovery منتشر نشده است.

اگر می خواهید این تنظیمات توسط TMG Firewall منتشر شده و بصورت خودکار کلاینت ها این اسکریپت را دریافت کنند باید Check Mark مربوط به گزینه Publish automatic discovery information for this network را بزنید و از طرفی نیز شماره پورتی که اطلاعات بایستی توسط آن در شبکه منتشر شود را نیز تعیین کنید. مطمئن شوید که هیچ دستگاه یا فایروال نرم افزاری و سخت افزاری در میان راه ارتباطی شما و فایروال TMG وجود نداشته باشد که این پورت را در بین راه مسدود کند ، منظور از پورت همان شماره ای است که در قسمت the Use this port for automatic discovery requests تعیین می کنید. بصورت کلی دو روش وجود دارد که از طریق آنها TMG Firewall Client و Web Proxy Client ها اطلاعات مربوط به محل دریافت اسکریپت تنظیمات خودکار را دریافت می کنند :


  • گرفتن Query از سرویس DNS برای بدست آوردن نام WPAD
  • دریافت اطلاعات مربوط به سرور WPAD با استفاده از Option های موجود در DHCP Server

منظور از WPAD در تنظیمات Auto Discovery موجود در فایروال TMG چیست ؟


منظور از WPAD چیست ؟ فکر می کنم تا این لحظه متوجه شده باشید که WPAD مخفف Web Proxy Auto Discovery یا شناسایی خودکار پروکسی سرور است. زمانیکه می خواهید برای انتشار autoconfiguration script شماره پورت بدهید به هشدار هایی که داده می شود حتما توجه کند. اگر شما محل قرار گیری autoconfiguration script را DNS در نظر گرفته اید بنابراین حتما از پورت شماره 80 استفاده کنید. اگر می خواهید اینکار را با استفاده از Option های DHCP انجام دهید انعطاف پذیری زیادی دارید و می توانید هر شماره پورتی که مد نظر دارید را انتخاب کنید. به یک نکته دیگر هم توجه داشته باشید که فایروال TMG شما درست است که autoconfiguration script را در اختیار کلاینت ها از طریق پورت 80 قرار می دهد اما به هیچ عنوان یک وب سرور نیست و فقط به درخواستی از این نوع پاسخ می دهد.

کاربرد تب Auto Discovery در تنظیمات فایروال TMG


توجه کنید همانطور که در تصویر بالا نیز اشاره شده است برای اینکه TMG Firewall Client ها نیز بتوانند تنظیمات خودکار را از TMG دریافت کنند بایستی در تب Forefront TMG Client قابلیت Automatic Detection فعال شود. این ترجمه فارسی جمله To configure Forefront TMG Client [Firewall client] computers to use automatic discovery, enable automatic detection for settings on the Forefront TMG Client tab می باشد که در نهایت به شما می گوید که برای فعال کردن این پیکربندی باید به تب Forefront TMG Client بروید.

کاربرد تب Forefront TMG Client در تنظیمات TMG


بر روی تب forefront TMG Client کلیک کنید. همانطور که از نام این قسمت هم پیداست تنظیمات Firewall Client در این قسمت انجام می شود. شما برای فعال کردن یا عدم فعالیت قابلیت Firewall Client فقط کافیست گزینه Enable Forefront TMG Client Support for this network را انتخاب کنید و یا آن را غیر فعال کنید. به هر حال شما می توانید علاوه بر این قسمت پیکربندی های مربوط به Firewall Client را بصورت دستی بر روی Web Browser تک تک کلاینت هایی که از Firewall Client استفاده می کنند نیز انجام دهید. خوب اگر به تصویر زیر نگاه کنید در قسمت Client Computer Web Browser Configuration یا پیکربندی Web Browser کلاینت ها به گزینه های زیر برخورد می کنید :

  • Automatically detect settings : با انتخاب این گزینه شما به Firewall Client و کامپیوتری که بر روی آن نصب شده است می گویید که تنظیمات و پیکربندی های مربوط به Web Browser را بصورت خودکار با استفاده از قابلیت autodiscovery از طریق سرویس های DNS و DHCP دریافت کند و اگر WPAD در دسترس نبود بصورت خودکار Web Proxy به حالت direct access در می آید یعنی کلاینت دیگر از Web Proxy برای برقراری ارتباط با اینترنت استفاده نمی کند و به دنبال هر روش دیگری برای برقراری ارتباط با اینترنت می گردد.

  • Use automatic configuration script : زمانیکه این گزینه را انتخاب می کنید ، تنظیمات Web Browser موجود بر روی کلاینتی که از Firewall Client استفاده می کند بر اساس آدرس URL ای انجام می شود که در قسمت Use default URL یا Use Custom URL وجود دارد. آدرس URL پیشفرض یا همان Default URL شامل آدرسی است که شما در قسمت بالاتر به عنوان Forefront TMG name or IP address وارد کرده اید. بصورت پیشفرض این قسمت یک اسم NetBIOS ای یا Single Name ای می باشد ، اما به شما پیشنهاد می کنیم که در این قسمت ترجیحا از ساختار FQDN مربوط به نام سرور استفاده کنید. طبیعی است که در قسمت Custom URL شما می توانید یک URL قرار دهید که که مثل URL پیشفرض نیست. معمولا زمانیکه این اسکریپت بر روی یک سرور دیگر است یا اینکه می خواهید دو قالب اسمی متفاوت در قسمت autoconfiguration و IP Address داشته باشید از این قسمت استفاده می شود. تنظیمات خودکار پروکسی سرور از طریق یک فایل با پسوند .pac انجام می شود که در وقاع این URL به این فایل اشاره می کند.

  • Use a Web proxy server : با انتخاب این گزینه شما به کامپیوتری که دارای Firewall Client است می گویید که برای Web Browser خود از پروکسی سروری استفاده کند که در این قسمت مشخص می شود. به این موضوع توجه کنید که این گزینه باعث می شود که Web Browser شما به عنوان یک Web Proxy Client برای فایروال TMG عمل کند و طبیعتا محدودیت های پروکسی کلاینت را خواهد داشت ، با انتخاب این گزینه Web Browser کلاینت دیگر قادر به استفاده از autoconfiguration اسکریپت نخواهد بود.

معمولا بهترین گزینه استفاده از Automatically detect settings است. زمانیکه شما از autoconfiguration استفاده می کنید کلاینت در ابتدا به دنبال پیدا کردن تنظیمات از طریق WPAD و سرویس DNS و DHCP می رود و اگر توانست به این سرویس ها متصل شود autoconfiguration script را اجرا و پیکربندی سیستم را انجام می دهد و اگر نتوانست پیدا کند به حالت direct access در می آید و به دنبال هر راه دیگری برای برقراری ارتباط با اینترنت می گردد.برای شفافیت بیشتر به این موضوع توجه کنید که اگر شما گزینه Use automatic configuration script یا گزینه Use a Web proxy server را انتخاب کنید و Web Browser موجود در کلاینت نتواند به سرور دسترسی پیدا کند و سرور پاسخی ندهد ، کلاینت شما دیگر به دنبال روش دیگری برای دسترسی به اینترنت نخواهد رفت .

کاربرد تب Forefront TMG Client در تنظیمات فایروال TMG


کاربرد تب Web Proxy در تنظیمات TMG


بر روی تب Web Proxy کلیک کنید. در این تب شما می توانید قابلیت Proxy Server را بر روی TMG و شبکه فعال یا غیر فعال کنید. قابلیت پروکسی سرور در TMG به نام Web Proxy شناخته می شود ، بصورت پیشفرض این قابلیت بر روی شبکه های Internal و Perimeter در شبکه های TMG فعال هستند. شما می توانید با انتخاب گزینه Enable Web Proxy client connections for this network این قابلیت را فعال و با با برداشتن تیک این قسمت این قابلیت را غیر فعال کنید. گزینه Enable HTTP بصورت پیشفرض انتخاب شده است. پورت پیشفرضی که برای اینکار تعیین شده است TCP 8080 است اما شما می توانید به هر نحوی که دوست دارید این شماره پورت را تعیین کنید.

توجه کنید که قسمتی به عنوان SSL در این قسمت وجود دارد. شاید گمان کنید که TMG این قابلیت را به شما می دهد که بتوانید به وسیله پورت SSL پروکسی سرور راه اندازی کنید و به آن متصل شوید ، البته اگر اینطور بود خیلی لذت بخش بود اما این قسمت هیچ ربطی به این قضیه ندارد. زمانیکه شما گزینه Enable SSL را انتخاب می کنید شما به TMG می گویید که می تواند به عنوان یک Web Proxy Client برای یک TMG دیگر عمل کند ، این تنظیمات زمانی انجام می شود که شما دو عدد TMG دارید که یکی به کلاینت های شما نزدیک است و دیگری به اینترنت متصل است ، شما با استفاده از این گزینه ارتباط بین این دو پروکسی سرور را از طریق پورت SSL برقرار می کنید.

به این سناریو در اصطلاح فایروال Web Proxy Chaining یا Web Chaining هم گفت می شود. همچنین شما می توانید شیوه احراز هویت کاربران را نیز در این قسمت تعیین کنید ، احراز هویت یا همان Authentication توسط Web Listener ای انجام می شود که ارتباط شما با TMG را برقرار می کند. بصورت پیشفرض این حالت بر روی Integrated قرار دارد . شما می توانید بر اساس نیاز هر نوع روش احراز هویت دیگری را نیز تعیین کنید.


کاربرد تب Web Proxy در تنظیمات فایروال TMG 2010


کاربرد تب CARP در تنظیمات TMG


بر روی تب CARP کلیک کنید. CARP مخفف کلمه Cache Array Routing Protocol می باشد . با استفاده از این قابلیت شما به سرور TMG در یک Array می گویید که در صورتیکه چندین آدرس IP برای عملیات NAT وجود دارد ، تا پایان یک Session ای که کلاینت از مبدا به مقصد ایجاد کرده است آدرس IP وی را عوض نکند. برای تنظیمات Web Proxy این عمل فعلا چندان کاربردی ندارد و فقط دانستن همین موضوع کفایت می کند.

کاربرد تب CARP در تنظیمات Web Proxy Client در فایروال TMG 2010


کاربرد تب NLB در تنظیمات TMG


بر روی تب NLB کلیک کنید ، همانطور که از نامش پیداست NLB مخفف کلمه Network Load Balancing است و زمانی استفاده می شود که شما بخواهید سرور های Load Balace داشته باشید تا در صورت قطع شدن یکی از ارتباطات سرورها با اینترنت سرور دیگر وارد کار عملیاتی شود و شما قطعی نداشته باشید. برای راه اندازی پروکسی سرور تنظیمات آن این تب کمکی به شما نخواهد کرد و به امید خدا در یک سری مقاله در خصوص شیوه راه اندازی NLB در فایروال TMG با هم صحبت خواهیم کرد.

کاربرد تب NLB در تنظیمات فایروال TMG 2010


خلاصه


در این دو آموزش به شما نحوه انجام دادن و پیکربندی های مربوط به پروکسی سرور در TMG را آموزش دادیم و شما دیگر تمامی تب های اصلی در راه اندازی این سرویس را دیده اید. اکثر این تنظیمات برای پیکربندی TMG Firewall Client هم یکسان است و شما می توانید مطمئن باشید که الان TMG firewall Client شما هم با همین تنظیمات کار می کند. اما یک نکته باقی می ماند ، همه این تنظیمات زمانی کار می کند که شما Rule استفاده از پروکسی را در TMG اضافه کنید در غیر اینصورت خود TMG اجازه عبور ترافیک را نمی دهد ، ما در این پیکربندی ها صحبتی از Rule و قوانین ترافیکی نکردیم .در آموزش بعدی در این خصوص صحبت خواهیم کرد ، امیدوارم مورد توجه شما دوستان قرار گرفته باشد ، اگر سئوال یا ابهامی در خصوص آموزش ها وجود دارد خوشحال می شوم که در ادامه همین مطلب ابهام را عنوان کنید. ITPRO باشید.

نویسنده : محمد نصیری
منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#آموزش_تصویری_نصب_tmg_2010 #راه_اندازی_پروکسی_سرور_با_tmg #آموزش_راه_اندازی_tmg #آموزش_راه_اندازی_پروکسی_سرور #firewall_client_در_tmg #آموزش_tmg_2010 #ّfirewall_client_یا_tmg_client_چیست #آموزش_تصویری_نصب_و_راه_اندازی_tmg_2010
عنوان
1 آموزش گام به گام راه اندازی فایروال TMG قسمت 1 : توپولوژی ها رایگان
2 آموزش گام به گام راه اندازی فایروال TMG قسمت 2 : نصب TMG رایگان
3 آموزش گام به گام راه اندازی فایروال TMG قسمت 3 : اشتراک اینترنت رایگان
4 آموزش گام به گام راه اندازی فایروال TMG قسمت 4 : تنظیمات اولیه رایگان
5 آموزش گام به گام راه اندازی فایروال TMG قسمت 5 : پروکسی سرور رایگان
6 آموزش گام به گام راه اندازی فایروال TMG قسمت 6 : پروکسی سرور رایگان
7 آموزش گام به گام راه اندازی فایروال TMG قسمت 7 : Web Access Rule رایگان
زمان و قیمت کل 0″ 0
3 نظر
عزیزاله بندزن

عالی بود مهندس.

hosein dk

ممنون خیلی عالی بود

جمشید بهتری

مهندس من در tmg پروکسی راه انداختم برا اینکه همکاران و دانشجویان با یوزر وارد بشن اما در هنگام استفاده از اتوماسیون اداری (اسمش دیدگاه)در زمان ثبت نامه یه میخوان با ارور روبه رو میشوند من همه دسترسی ها رو دادم اما متاسفانه ارور میده

این همون ارور هست
این هم رول هایی که تعریف کردم
در حالت اجرای tmg بدون پروکسی هیچ خطایی نمیده... واقعا هر چه گشتم کسی نتونسته کمکم کنه اگه ممکنه راهنماییم کنه

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....