درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت پنجم – راه اندازی پروکسی سرور

9 نظرات

در آموزش های قبلی تا حدودی با مفاهیم TMG آشنا شدید و قرار بر این شد که در ادامه آموزش ها راه اندازی پروکسی سرور در شبکه داخلی با استفاده از TMG به همراه نحوه اضافه کردن Rule در این فایروال را آموزش بدهیم. در این مقاله شما با شیوه راه اندازی پروکسی سرور در فایروال TMG 2010 آشنا خواهید شد که اکثرا به عنوان Web Proxy شناخته می شود. با استفاده از قابلیت Web Proxy در TMG همانطور که قبلا هم اشاره شده است شما می توانید به کامپیوترهای Client این اجازه را بدهید که بتوانند از طریق پروتکل های HTTP ، HTTPS و HTTP-Tunneled و FTP بتوانند به اینترنت دسترسی پیدا کنند. با همین تفاسیر می توان متوجه شد که قابلیت Web Proxy در TMG از پروتکل های بسیار محدودی پشتیبانی می کند. در مقابل روش های Secure NAT و TMG Client یا همان Firewall Client ها از پروتکل های بسیاری پشتیبانی می کنند. نکته بسیار مثبت در خصوص استفاده از Web Proxy در مقابل Secure NAT و Firewall Client این است که نیازی به نصب هیچگونه نرم افزاری بر روی سیستم کلاینت نمی باشد و از طرفی شما می توانید کاربران خود را بر اساس نام کاربری مانیتور کنید.



اولین نکته ای که ممکن است شما را درگیر کند این است که تصور کنید راه اندازی Web Proxy در TMG مانند Secure NAT ساده است ، در واقع اینچنین نیست ، در راه اندازی Web Proxy پیچیدگی هایی وجود دارد که همیشه باید در هنگام راه اندازی در نظر گرفته باشد و با آنها آشنا باشید تا TMG شما دچار اختلال نشود.شاید واژه پیچیدگی کمی تامل برانگیز باشد اما به هر حال از نظر کاربر کمترین پیچیدگی را همین Web Proxy دارد. در خصوص امکاناتی که این روش به شما ارائه می دهد و همچنین قابلیت های آن می توانید در ادامه مطلب مواردی را مشاهده کنید ، قطعا در همین مقاله شیوه راه اندازی این سرویس را نیز آموزش خواهیم داد اما با توجه به گسترده بودن موضوع ، این آموزش را به دو قسمت اول و دوم تقسیم بندی می کنیم.شما چه در طراحی فایروال خود از حالت Multi-Homed استفاده کنید و یا اینکه از توپولوژی Single-NIC استفاده کنید می توانید همیشه از TMG به عنوان یک Proxy Server یا Reverse Proxy Server استفاده کنید. بنابراین زمانیکه شما می خواهید Web Proxy را برای کلاینت های خود فعال کنید چندان تقاوتی ندارد که از چه توپولوژی ای استفاده می کنید ، در این سناریو ما طبق روال گذشته توپولوژی Edge Firewall را اجرا خواهیم کرد که در آن یک دست فایروال شما به شبکه داخلی و دست دیگر در شبکه اینترنت قرار دارد.



انجام تنظیمات Web Proxy Client بر روی فایروال TMG


خوب همانطور که قبلا هم اشاره کردیم این قسمت اول از آموزش راه اندازی پروکسی سرور در TMG می باشد. در این مقاله ما بر طبق مثال قبلی یک فایروال TMG داریم که یکی از کارت شبکه های آن به شبکه داخلی و یکی دیگر به شبکه اینترنت متصل شده است و در حالت front-end در یک محیط عملیاتی مشغول سرویس دهی می باشد. در اولین مرحله پیکربندی هایی که باید در روی سرور انجام شود را با هم انجام می دهیم و در مقاله بندی تنظیمات سمت کلاینت ها را نیز با هم انجام خواهیم داد. برای شروع پیکربندی Web Proxy در TMG کافیست وارد کنسول مدیریتی TMG شوید و همانطور که در تصویر زیر مشاهده می کنید بر روی قسمت Web Access Policy کلیک کنید.



آموزش راه اندازی پروکسی سرور در TMG 2010



بعد از اینکه بر روی Web Access Policy کلیک کردید در قسمت Task در سمت راست تصویر گزینه ای به نام Related Tasks را مشاهده می کنید ، از این قسمت همانطور که در شکل زیر نیز مشاهده می کنید بر روی Configure Web Proxy کلیک کنید.



آموزش راه اندازی پروکسی سرور در TMG 2010



بعد از اینکه بر روی Configure Web Proxy کلیک کردید کادر Internal Properties به شما نمایش داده می شود. این در واقع همان کادری است که اگر شما از کنسول اصلی TMG به قسمت Networking بروید و بر روی Internal راست کلیک و Properties بگیرید به شما نمایش داده می شود. به این موضوع توجه کنید که اگر چندین کارت شبکه داخلی دارید که به عنوان شبکه های مجزا به TMG معرفی شده اند و در قسمت Networking وجود دارند باید تنظیمات Web Proxy را بر روی تک تک آنها انجام دهید ، هر چند در این سناریو ما فقط یک شبکه داخلی داریم و از همان هم Properties می گیریم . حالا کمی در خصوص Tab های مختلفی که در این کادر مشاهده می کنید صحبت خواهیم کرد. البته Tab هایی که قطعا مربوط به تنظیمات پروکسی سرور هستند بیشتر مد نظر هستند.



کاربرد تب General در تنظیمات شبکه TMG


اولین Tab ای که در قسمت Internal Properties مشاهده می کنید General است. چیز خاصی در خصوص این تب وجود ندارد فقط در قسمت Name شما نام شبکه را مشاهده می کنید و در قسمت Description ( Optional) هم توضیحات مربوط به این شبکه را مطابق شکل زیر مشاهده می کنید. اگر می خواهید می توانید توضیحات بیشتری در خصوص این شبکه در قسمت توضیحات وارد کنید. در سناریویی که ما داریم تنها دو کارت شبکه وجود دارد و چندان پیچیدگی خاصی وجود ندارد که نیاز به توضیحات باشد اما در طراحی هایی که در انها DMZ وجود دارد بهتر است کمی در خصوص کارت شبکه ها و شبکه های مختلف توضیحاتی نوشته شود که هر چند همه اینها فقط برای درک ظاهری توپولوژی فایروال برای مدیر آن است نه برای سیستم که درکی از توضیحات ندارد.



آموزش راه اندازی پروکسی سرور در TMG 2010



کاربرد تب Addresses در تنظیمات شبکه TMG


حالا بر روی تب Addresses کلیک کنید. در این تب شما می توانید تمامی آدرس های IP ای که حق دارند به منابع موجود در TMG متصل شوند و از طریق کارت شبکه ای که برای آنها تعیین شده است به منابع اینترنت دسترسی پیدا کنند را تعیین می کنید. اگر آدرس IP ای در این قسمت برای TMG تعریف نشده باشد و بخواهد از طریق TMG به اینترنت متصل شود به عنوان یک آدرس جعلی در شبکه شناسایی شده و ارتباط آن با TMG بسته یا Drop می شود. بهترین گزینه برای انجام تنظیمات این قسمت استفاده از دکمه Add Adapter در قسمت سمت راست تصویر زیر می باشد. زمانیکه این دکمه را انتخاب می کنید شما می توانید براحتی کارت شبکه ای که به شبکه داخلی TMG متصل شده است را انتخاب کنید ، بعد از انتخاب کارت شبکه مشاهده می کنید که TMG بصورت خودکار محدوده آدرس دهی که در آن کارت شبکه وجود دارد را محاسبه کرده و به شما نمایش می دهد. بصورت پیشفرض TMG هر محدوده آدرس دهی که در کارت شبکه داخلی شما وجود داشته باشد را در این قسمت به شما نشان داده و به لیست Addresses اضافه می کند علاوه بر این اگر شما عملیات Subnetting بر روی شبکه داخلی و محدوده IP خود انجام داده باشد TMG این موضوع را درک کرده و Net ID مربوط به آن محدوده آدرس دهی را پشتیبانی می کند. تمامی آدرس هایی که در Routing Table خود TMG وجود دارد نیز شامل لیست Addresses خواهد بود. این تب بصورت مستقیم به تنظیمات Web Proxy شما ارتباطی ندارد اما اگر تنظیمات Web Proxy Client ها انجام شود و پیکربندی تب Addresses به درستی انجام نشده باشد تاثیر بسیار منفی در برقراری ارتباطات Web Proxy Client ها با سرور TMG ایجاد خواهد شد ، دلیل این تاثیر این است که درخواست هایی که از طرف Web Proxy Client ها به سمت Web Proxy Listener موجود در TMG ارسال می شود به دلیل عدم وجود آدرس کلاینت در این لیست Drop شده و کلاینت ها قادر به استفاده از اینترنت نخواهند بود.



کاربرد تب Addresses در تنظیمات فایروال TMG 2010



کاربرد تب Domains در تنظیمات شبکه TMG


بر روی تب Domains کلیک کنید ، تصویری مشابه آنچه در پایین می بینید به شما نمایش داده می شود. در این تب شما نام دامین هایی که در این شبکه قرار دارند را برای TMG مشخص می کنید. کلاینت هایی که از firewall client استفاده می کنند برای برقراری ارتباط با دامین هایی که در این تب قرار می گیرند دیگر از TMG Client استفاده نخواهند کرد. این تب بصورت ویژه برای استفاده توسط Firewall Client ها ایجاد شده است. به هر حال بعدا که در خصوص تب Web Browser صحبت کردیم متوجه می شویکه ما می توانیم از لیست دامنه هایی که در این تب اضافه شده است برای پیکربندی Web Proxy Client ها نیز استفاده کنیم. شاید برای شما جالب باشد که بدانید واقعا چه اتفاقی رخ می دهد زمانیکه شما یک نام دامین را در این تب اضافه می کنید ! فرض کنید که یک کلاینت می خواهد به منابع دامین itpro.local دسترسی پیدا کند و این کلاینت در شبکه داخلی یا Internal ما قرار گرفته است. اگر این دامین در این لیست قرار گرفته باشد ، Firewall Client درخواست کلاینت را به سمت TMG مسیریابی یا Route نمی کند و درخواست از طریق Firewall Client در اصطلاح Ignore می شود. در عوض ارتباط بصورت خودکار و مستقیم به سمت سرور مقصد هدایت خواهد شد. اگر سرور مقصد در همان شبکه قرار داشته باشد ارتباط بصورت مستقیم با همان سرور برقرار خواهد شد ، اگر سرور در شبکه دیگری قرار گرفته باشد ، با استفاده از Route تعریف شده در TMG Firewall یا هر روتر دیگری که در شبکه وجود دارد به سمت مقصد هدایت خواهد شد ، اگر کلاینت شما در حالت Secure NAT قرار گرفته باشد ، فایروال TMG به عنوان روتر یا Gateway عمل می کند و درخواست را مسیریابی می کند. توجه کنید که نکته کلیدی در اینجاست که اگر نام دامینی در این قسمت تعریف شود Firewall Client دیگر درخواست هایی که به سمت این دامین ارسال می شوند را پاسخگویی نمی کند.



کاربرد تب Domains در تنظیمات فایروال TMG 2010



خلاصه


در این قسمت از مقاله با تنظیمات اولیه و مقدماتی که برای راه اندازی Web Proxy در TMG نیاز است آشنا شدیم ، توجه کنید که این تنظیمات هنوز بصورت ویژه برای راه اندازی پروکسی سرور استفاده نمی شوند بلکه برای TMG Firewall Client نیز همین تنظیمات بایستی انجام شود ، بنابراین با یک تیر دو نشان می زنیم . تنظیماتی که در سمت سرور انجام می شود را با معرفی تب های Domains ، Details و Addresses شروع کردیم و در مقاله بعدی به امید خدا تب های Web Browser و Auto Discovery و چندین مورد دیگر را با همدیگر مرور خواهیم کرد ، امیدوارم مورد توجه شما قرار گرفته باشد.

ITPRO باشید.



نویسنده : محمد نصیری


منبع : انجمن تخصصی فناوری اطلاعات ایران


هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت اول - معرفی توپولوژی ها رایگان
2 آموزش گام به گام نصب و پیکربندی فایروال Forefront TMG 2010 قسمت دوم – نصب TMG رایگان
3 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت سوم–انواع اشتراک گذاری اینترنت رایگان
4 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت چهارم - پیکربندی اولیه رایگان
5 آموزش گام به گام نصب و راه اندازی فایروال Forefront TMG 2010 قسمت پنجم – راه اندازی پروکسی سرور رایگان
6 آموزش گام به گام نصب و راه اندازی Forefront TMG 2010 قسمت ششم – راه اندازی پروکسی سرور رایگان
7 آموزش گام به گام نصب و راه اندازی Forefront TMG 2010 قسمت هفتم – ایجاد کردن یک Web Access Rule رایگان
  • با تشکر از مقاله های خوب شما


    سوال خودمو قبلا مطرح کرده بودم ولی نتونستم خودم اجراش کنم


    میشه تنظیمات مربوط به این عمل رو انجام بدید که وقتی کاربرها می خوان از اینترنت استفاده کنند نام کاربری و رمز عبور خواسته بشه؟


  • دوست عزیز در دو مقاله بعدی این مورد آموزش داده میشه ، قطعا شما برای اینکه از کاربراتون رمز و نام کاربری سئوال بشه باید پروکسی سرور راه اندازی کنید ، اما کمی تامل داشته باشید ، به امید خدا با همین کیفیت میرسیم به اون قسمت.


  • سلام جناب مهندس , عرض تشکر بابت آموزش کاملتون , سوالی برای من از اول کار با TMG به وجود اومده که هنوز جوابی برای اون ندارم , ممنون میشم توضیح بدید , همونطور که میدونید TMG و Active Directory همزمان روی یک سیستم نصب نمیشه , من توضیحات ماکروسافت رو خوندم , ولی قانع کننده نبود , انتظار دارند یک سرور مختص فایروال باشه و باقی کار توسط سرور دیگه انجام بشه , با اطلاع از اینکه این مشکل راه حل هایی همچون Hiper-v و یا VMWare و سایر محصولات مجازی همردیف رو برای بالا آوردن دو سرور همزمان روی یک سیستم میسر میکنه , حداقل برای من جدا بودن این دو از هم ( TMG و AD ) مسخره به نظر میرسه ,


    دوم اینکه آیا در مراحل تعریف اکانتینگ های کاربران برای دسترسی به اینترنت از طریق TMG امکان سینک شدن با AD وجود داره یا باید مجددا کاربران وارد شوند ؟؟ این کار برای شبکه های بزرگ دور از ذهن خواهد بود ....


    سپاس مجدد


  • اولا دقت کنید که حق کاملا با مایکروسافت هست و کاری که کرده درست هست ، TMG یک فایروال و دستگاه امنیتی هست که کار اصلیش حفاظت از شبکه داخلی در اولویت هست ، مهمترین اطلاعات موجود روی شبکه داخلی اطلاعات Active Directory شما هست حالا شما می خاین اکتیودایرکتوری رو روی لبه شبکه قرار بدید که اجازه نمیشده ، از طرفی اینکار صرفا در کشورهایی مثل ایران صورت میگیره که دو زار حاضر نیستیم برای نرم افزار هزینه کنیم ، کسی که 14 میلیون تومان پول نرم افزار TMG میده مطمئن باشید برای شبکش حداقل یک سرور فیزیکی برای TMG و برای Domain Controller در نظر گرفته ، از نظر بنده و مایکروسافت منطقی نیست که در یک شبکه enterprise دو عدد سرور روی یک سیستم عامل نصب بشن باید کاملا تفکیک انجام بشه و من هم این مورد رو قبول دارم و به هیچ عنوان این عدم امکان نصب رو مسخره نمیدونم. در خصوص سئوال دومتون هم باید بگم که اگر TMG عضو اکتیودایرکتوری باشه براحتی کاربرای اکتیودایرکتوری رو شما می تونید در کنسول TMg اضافه کنید بدون مشکل در اکانتینگ استفاده کنید ، کاملا سینک هستند. اگر هم عضو نباشه باز هم میشه از طریق LDAP ارتباط برقرار کرد و به هیچ عنوان نیازی به تعریف کاربران نیست.


  • ممنون از توضیح کاملتون , این قیمتی که فرمودید برای خود TMG هست یا اون قسمتی که در مقاله ذکر کردید نیاز به لایسنس داره رو میفرمایید ؟؟ چون من نصب کردم قسمت سریال نامبر TMG خودش پر بود و من چیزی وارد نکردم ، من فعلا تا این قسمت از آموزش شما جلو اومدم , جسارتا اگر سینک کردن کاربران AD رو با TMG در این مقاله نیست توضیح بفرمایید ,اگر هست که تشکر مقدم


  • دوست عزیز شما از محصول کرک شده استفاده می کنید ، من منظورم نمونه ارجینال بود ، قطعا سریالی که شما دارید استفاده می کنید برای یک شرکتی بوده که محصول رو خریداری کرده ، رو خودش بود فقط در حالت کرک شده هست در حالت عادی شما فقط 180 روز بصورت آزمایشی می تونید TMG رو نصب کنید . سینک کردن نیازی نیست ، شما کافیه TMG ای که راه اندازی کردین عضو دامین باشه بعد از همین سری آموزشی از قسمت آموزش ایجاد کردن Access Rule قسمت اضافه کردن کاربران رو مطالعه کنید کافیه قسمت Windows Domain رو انتخاب کنید که به کاربران Domain دسترسی پیدا کنید ، فکر می کنم آموزش بعدی باشه به لینک زیر مراجعه کنید :


  • با سلام و عرض ادب و ممنون از آموزش زیباتون. من میخوام 2010 tmg رو بر روی vps مبتنی بر ویندوز سرور 2008 نصب کنم. از سایت وطن دانلود دانلودش کردم و برطبق آموزشهایی که جناب عالی زحمت کشیده بودید قرار اده بودید نصبش کردم ولی ارتباط با اینترنت قطع شد! فکر میکنم مشکل در کانفیگ بود که موقع نصب تو مرحله ای که رنج آی پی میخواست من آداپتور داخلی رو بهش دادم. لازم بذکر ه که من برای اکانتینگ میخوام از این سرویس استفاده کنم. ممنون میشم کمکم کنید.


  • برای نصب روی vps شما باید دسترسی کنسولی داشته باشید نه ریموت چون بعد از نصب پورت ریموت بسته میشه


  • برای نصب روی vps شما باید دسترسی کنسولی داشته باشید نه ریموت چون بعد از نصب پورت ریموت بسته میشه


برای ارسال نظر ابتدا به سایت وارد شوید

arrow