محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آموزش گام به گام راه اندازی فایروال TMG

در این مطلب با نحوه راه اندازی فایروال TMG به صورت کاملاً گام به گام آشنا خواهیم شد و همچنین و به بررسی مفاهیم این فایروال خواهیم پرداخت.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

توپولوژی ها

مایکروسافت سالهاست در زمینه تولید و توسعه فایروال در لایه نرم افزار فعالیت دارد و از روزی که بنده خاطرم هست محصول فایروال خود را به نام ISA یا Internet Security and Acceleration به بازار ارائه می کرد. بنده با این محصول از سال 2000 تا کنون آشنایی دارم و در طول این مدت باید بگویم هسته اصلی این نرم افزار چندان تغییر اساسی نداشته است و شاید بگوییم با ارائه شدن ISA Server 2004 محصولات بعدی دیگر تحول اساسی در هسته خود ندیدند و فقط چندین قابلیت و امکانات جدید به این محصول اضافه شد.

هر چند که این محصول را به عنوان یک محصول قابل اطمینان در شبکه نمی توانم مطرح کنم و یک راهکار سازمانی واقعی از نظر بنده نیست ما به هر حال در سطوح SOHO با توجه به دارا بودن رابط کاربری ساده بسیار مناسب است ، مایکروسافت بعد از محصول ISA Server 2006 دیگر محصول خود را به عنوان ISA معرفی نکرد و با انجام دادن یک سری تغییرات اساسی و اضافه کردن امکانات جدید به این محصول نامش را به TMG یا Threat Management Gateway تغییر داد. سرعت بخشیدن و امنیت اینترنتی به دروازه مدیریت تهدیدات تبدیل شد ، این همان تغییری بود که در اسم این محصول ایجاد شد.

اما ساختار کاری و محیط مدیریتی آن چندان تغییری نکرده بود ، افرادی که با ISA Server های قدیمی کار کرده باشند براحتی با کنسول مدیریتی این محصول ارتباط برقرار می کنند . هنوزم هم اگر از بنده بپرسید برای مطالعه این محصول چه کتابی را بخوانم ، به شما می گویم کتاب ISA Server 2004 را از انتشارات MSPress مطالعه کنید که در این خصوص کاملترین کتاب است.


اما چه تغییراتی در اساس کار این محصول ایجاد شده است ؟ ISA Server در سال 2006 حجمی بالغ بر 60 مگابایت داشت اما TMG حداقل 1 گیگابایت فضا می گیرد ! خارج از بحث زیاد شدن حجم نرم افزار چه تغییری در این محصول ایجاد شده است که اینچنین باعث افزایش حجم آن شده است ؟ در واقع مایکروسافت با ارائه کردن TMG یک UTM نرم افزاری به بازار ارائه داد ، با رویکرد اینکه UTM یک سیستم مدیریت یکپارچه تهدیدات است TMG نیز تا حدودی همینکار را انجام می دهد ، بدون شک هسته اصلی TMG همان ISA Server است اما یک محصول کامل برای تهدیدات شبکه به شمار می رود.

ISA Server صرفا یک فایروال بود و شاید قابلیت های تدافعی مناسبی برای کدهای مخرب و تهدیدات داخلی و خارجی شبکه را فراهم نمی کرد اما به عنوان یک فایروال در نوع خود خوب عمل می کرد . TMG می تواند علاوه بر تشخیص کدهای مخرب ، بسیاری از تهدیدات معمول شبکه را نیز شناسایی کند و می تواند از هر دو جنبه داخلی و خارجی از شبکه شما محافظت کند. TMG که در اینجا ما می توانیم به Forefront نیز از آن نام ببریم قابلیت های زیادی در حوزه مدیریت امنیت و حفاظت از شبکه در مقایسه با ISA در خود اضافه کرده است.

این محصول در دو نسخه Standard و Enterprise در دسترس قرار دارد که هر کدام دارای امکانات خاص خود می باشند . در نسخه استاندارد این محصول شما امکاناتی مثل Array ، NLB و CARP را ندارید اما در نسخه Enterprise تمامی این امکانات وجود دارد . توجه کنید که TMG توانایی محافظت از ایمیل سرور شما را دارد که معمولا همان Exchange Server مایکروسافت است اما این محافظت را صرفا برای Exchange server هایی انجام می دهد که دارای لایسنس معتبر هستند. در TMG 2010 امکانات زیر به قابلیت های TMG اضافه شده اند :


  • Malware inspection : امکان واکاوی ترافیک برای تشخیص بدافزارها
  • URL filtering : امکان اعمال فیلترینگ برای آدرس های URL تعریف شده
  • HTTP filtering : امکان اعمال فیلترینگ محتوا بر اساس پروتکل HTTP
  • HTTPS inspection : امکان مانتیورینگ و پایش اطلاعات ترافیک ارسالی رو پروتکل SSL
  • E-mail protection : امکان محافظت از ایمیل های سازمانی و سرورهای ایمیل
  • Network Inspection Systems) NIS ) : امکان تشخیص حملاتی که به حفره های امنیتی نرم افزارهای مایکروسافت انجام می شوند
  • Intrusion detection and prevention : امکان تشخیص نفوذ و جلوگیری از نفوذ بر اساس متدولوژی های متداول حمله و دفاع
  • Secure routing and VPN : امکان ایجاد VPN سرور امن و مسیریابی امن


توپولوژی ها یا همبندی های مختلف در راه اندازی TMG 2010

توپولوژی یا همبندی شیوه متصل شدن اجزای مختلف شبکه را به هم مشخص می کند ، در نرم افزار TMG نیز مشابه محصولات گذشته شما دارای یک سری توپولوژی های پیاده سازی هستید که بر اساس آن تعیین می کنید نرم افزار TMG با چه تعداد کارت شبکه و شبکه و در کجای طراحی شبکه شما قرار می گیرد. بصورت کلی شما در TMG چهار حالت مختلف توپولوژی دارید که هر یک بصورت خلاصه در ادامه تشریح شده اند و شما بر اساس نیاز خود از آنها استفاده می کنید :

1-توپولوژی دیوار آتش لبه شبکه یا Edge Firewall : هر جا اسمی از لبه یا Edge شنیدید یعنی اینکه دستگاه یا نرم افزار مورد نظر در نقطه ای از شبکه قرار می گیرد که بعد از آن قطعا شبکه خارجی یا عمومی یا اینترنت قرار دارد . در این نوع توپولوژی همانطور که در شکل زیر مشاهده می کنید ، Forefront TMG در لایه لبه شبکه یا Edge قرار می گیرد و شبکه داخلی ما یا Internal Network را به شبکه خارجی ما یا External Network که معمولا اینترنت است متصل می کند. در بیشتر مواقع در شبکه های امروزی از همین توپولوژی ساده استفاده می شود و بعد از TMG شبکه اینترنت قرار دارد. توجه کنید که در اینجا به سرور TMG به عنوان Local Host اشاره می شود. در این حالت TMG شما حداقل دارای دو عدد کارت شبکه می باشد ، یکی به شبکه داخلی شما متصل می شود و دیگری به شبکه اینترنت متصل می شود.

توپولوژی Edge یا لبه در فایروال TMG



2-توپولوژی 3 پایه پیرامونی یا 3 Leg Perimeter : هر جا اسمی از 3 Leg یا سه پایه در ساختارهای شبکه و فایروال شنیدید یعنی محیطی ایزوله از شبکه داخلی و شبکه خارجی به نام DMZ در شبکه شما وجود دارد که رابط میان شبکه داخلی شما و شبکه خارجی شما می باشد. در این ساختار فایروال TMG شما دارای سه کارت شبکه می باشد ، یکی از آنها به شبکه داخلی ، یکی از آنها به شبکه خارجی و یکی از آنها به شبکه پیرامونی یا میانی که به عنوان perimeter هم شناخته می شود متصل می شود ، این شبکه باعث بالا رفتن امنیت شبکه داخلی شما می شود زیرا امکان برقراری ارتباط مستقیم شبکه داخلی با شبکه خارجی را ایجاد نمی کند. برای دریافت کردن اطلاعات بیشتر در خصوص ساختار های DMZ می توانید به مقاله خودم در این زمینه در این لینک مراجعه کنید. البته خود ساختار DMZ نیز دارای طراحی های مختلفی می باشد که ساده ترین حالت آن همین حالت سه کارت شبکه بر روی یک TMG فایروال است.

توپولوژی سه پایه یا 3 Leg در فایروال TMG



3-دیواره آتش پشتی یا دیواره آتش جلویی Back Firewall و Front Firewall : این توپولوژی هم به نوعی یکی از طراحی های DMZ می باشد که در آن دو فایروال وجود دارد ، یکی از فایروال های شبکه داخلی را به شبکه perimeter متصل می کند و فایروال بعدی شبکه perimeter را به شبکه اینترنت یا خارجی متصل می کند ، در این حالت به فایروال متصل به شبکه داخلی که در پشت دیواره دفاعی قرار دارد Back Firewall یا دیواره آتش پشتی و به فایروالی که به شبکه اینترنت متصل می شود Front Firewall یا شبکه جلویی گفته می شود.

توپولوژی Back Firewall در TMG



توپولوژی Front Firewall در TMG



4-توپولوژی تک کارت شبکه ای یا Single Network Adapter : در این نوع توپولوژی شما از حداقل امکاناتی که TMG در اختیار شما قرار می دهد می توانید استفاده کنید. در این توپولوژی Forefront TMG فقط یک کارت شبکه دارد که یا به شبکه داخلی متصل شده است و یا به شبکه perimeter ، معمولا چنین توپولوژی زمانی استفاده می شود که Forefront TMG شما یا در شبکه داخلی سازمانی شما قرار دارد و یا در شبکه perimeter و یک فایروال دیگر به عنوان فایروال اصلی سازمان برای ارتباط با بیرون شبکه مورد استفاده قرار می گیرد و در لبه شبکه قرار دارد ، در واقع این فایروال اصلی است که شبکه را از دسترسی غیرمجاز محافظت می کند . برای مثال در یک سازمان Forefront TMG در نقش یک پروکسی سرور کار می کند و آدرس این TMG فقط از طریق مسیریاب یا روتر لبه شبکه اجازه داشتن اینترنت را دارد ، در چنین مواقعی این روتر است که واقعا شبکه شما را محافظت می کند. با نگاه کردن به تصویر زیر متوجه ساختار کلی این توپولوژی خواهید شد.

توپولوژی تک کارت شبکه در فایروال TMG



اما همانطور که عنوان کردیم استفاده از این توپولوژی به ندرت انجام می شود ، در این حالت قابلیت هایی که ما می توانیم از آنها در قالب TMG استفاده کنیم بسیار محدود می شود ، در این حالت شما از قابلیت هایی همچون پروکسی برای پروتکل های HTTP و HTTPS و پروکسی برای دانلود FTP ، قابلیت Cache برای پروکسی های FTP ، قابلیت انتشار وب یا Web Publishing برای نرم افزارهایی مثل شیرپوینت و Outlook Web Access و امثالم و در نهایت VPN سرور را خواهید داشت اما در همین حین شما امکاناتی همچون Server Publishing و VPN از نوع سایت به سایت ، قابلیت Secure NAT و استفاده از Forefront TMG Client را نخواهید داشت ، همچنین در ایجاد Rule های این سرور شما دیگر نمی توانید آدرس های خارجی را تعیین کنید و همانطور که مشاهده می کنید محدودیت های زیادی در آنالیز و گزارش گیری از ترافیک شبکه شما در این توپولوژی وجود دارد .

البته ما یک توپولوژی دیگر نیز داریم که اسم این توپولوژی Unity Fantasy است ، در این حالت شما یک سرور TMG دارید که اصلا کارت شبکه ای ندارد ، نصب نمی شود و هیچ کاری هم انجام نمی دهد ، فقط برای خنده است ، این توپولوژی برای خنده در بسیاری از سازمان های ما قابل پیاده سازی می باشد ، برای مثال شما وارد یک سازمان دولتی می شوید و سئوال می کنید که آیا در شبکه شما فایروال TMG وجود دارد ؟ پاسخ بله است !! اما در کجای شبکه وجود دارد ؟ در اینجاست که شما با یک DVD مواجه می شوید که فایل نصب TMG در آن قرار دارد و این به نظر آنها وجود داشتن TMG در شبکه است !! حرف دروغی هم نیست ... وجود دارد در قالب DVD ...


تا اینجا با امکانات اولیه و توپولوژی های پیاده سازی Forefront TMG 2010 آشنا شدید ، در آموزش بعدی به شما می گوییم که نیازمندی های اولیه نصب و راه اندازی این سرور چیست و چگونه می توانیم این سرور را در مجموعه خود نصب و راه اندازی کنیم ، در آموزش بعدی سناریو یا بهتر بگوییم توپولوژی مورد استفاده ما Edge Firewall خواهد بود

نصب TMG

در این مقاله همانطور که قول داده بودیم توپولوژی فایروال لبه یا Edge Firewall را می خواهیم در محیط لابراتوار نصب و راه اندازی کنیم. برای نصب کردن این فایروال شما به یک سری از نیازمندی های سخت افزاری اولیه بر روی سرور نیازمند هستید. البته نیازمندی های سخت افزاری برای این نرم افزار بستگی به تعداد کاربران و ساختار پیاده سازی شما دارد که در اینجا با توجه به اینکه در محیط لابراتوار قرار داریم از حداقل منابع استفاده می کنیم.

یکی از نکات اصلی که بایستی برای این فایروال در نظر بگیرید این است که برای دریافت بهترین کارایی و سرعت از این نرم افزار بایستی قدرت پردازشی و همچنین حافظه RAM مناسبی به این نرم افزار اختصاص بدهید ، در غیر اینصورت در محیط واقعی کار حتما دچار کاهش کارایی این سیستم و کندی اینترنت خواهید شد. در این سناریو شما به سخت افزارهای زیر نیاز دارید :


  1. پردازنده های اینتل یا AMD حداقل دو هسته ای ( چهار هسته ای و I7 پیشنهاد می شود )
  2. تکنولوژی های AMD-V و Intel-VT در BIOS سخت افزار شما بایستی فعال شده باشند
  3. حداقل برای یک محیط سازمانی 8 گیگابایت حافظه RAM نیاز است
  4. هارد دیسک : 50 گیگابایت به عنوان درایو سیستم ، 150 گیگا بایت برای لاگ برداری و 60 تا 100 گیگابایت فضا برای Caching
  5. ایجاد کردن RAID Level 5 برای سرور پیشنهاد می شود
  6. بسته به نوع سناریو حداقل دو عدد کارت شبکه NIC
  7. Forefront TMG 2010 دارای معماری 64 بیتی است


خوب این از نیازمندی های سخت افزاری ، اما برای نصب TMG 2010 شما بایستی یک سری نیازمندی های نرم افزاری و سیستمی را نیز از قبل داشته باشید تا بتوانید این نرم افزار را نصب کنید ، قبل از اینکه به سراغ نصب TMG 2010 بروید تمامی نیازمندی های زیر را نصب کنید ، این نیازمندی ها و قابلیت های نرم افزاری به شکل زیر می باشند :

  • Windows Server 2008 SP2 64 bit or Windows Server 2008 R2
  • Microsoft .NET Framework 3.5 SP1
  • Windows Web Services API
  • Network Policy Server.
  • Routing and Remote Access Services.
  • Active Directory Lightweight Directory Services Tools.
  • Network Load Balancing Tools.
  • Windows Power Shell
  • Windows Installer 4.5


نکته بسیار مهم در اینجاست که هیچگاه بر روی سرور TMG 2010 خود آنتی ویروس و نرم افزارهای مشابه فایروال و ضد بدافزار از هر گونه نصب نکنید. سرور فایروال TMG شما بایستی یک سرور اختصاصی باشد که صرفا برای اینکار استفاده می شود . بعد از نصب سیستم عامل تمامی سرویس های غیر ضروری را غیرفعال کنید و نرم افزار اضافی بر روی سیستم نصب نکنید.

اگر در مجموعه خود یک Enterprise CA دارید یک Machine Certificate نیز از Root CA Authority دریافت کنید و قبل از نصب TMG آنرا بر روی سیستم نصب کنید . این Certificate می تواند بعد ها در قابلیت هایی که می خواهیم بر روی TMG داشته باشیم تاثیر داشته باشد . توجه کنید که TMG شما بایستی عضوی از دامین موجود در مجموعه شما باشد ، اگر در خصوص نصب و راه اندازی CA می خواهید اطلاعات بیشتری بدست بیاورید می توانید به دو مقاله زیر از خودم که در این خصوص نوشته ام مراجعه کنید :

شرح سناریو نصب TMG 2010

در این سناریو بر روی سرور ما دو عدد کارت شبکه وجود دارد که یکی از آنها به شبکه داخلی یا Internal ما متصل می شود و آدرس IP ای به شکل 192.168.1.254 با Subnet mask ای به شکل 255.255.255.0 دریافت می کند که بصورت دستی بر روی کارت شبکه داخلی TMG پیکربندی می شود. کارت شبکه دیگر به شبکه اینترنت متصل است که دارای آدرس IP ای به شکل 91.98.11.12 می باشد این آدرس نیز بصورت دستی یا بصورت خودکار از طریق DSL Router دریافت می شود .

به یک نکته دقت داشته باشید ، مهم این نیست که حتما کارت شبکه شما مستقیما به اینترنت متصل شده باشد ، ممکن است این کارت شبکه به یک DSL Router یا یک مودم وایمکس یا دستگاه رادیویی متصل شده باشد ، حتی می تواند آدرس IP Invalid داشته باشد ، مهم این است که شما در این لینک ارتباطی خارجی یا External به اینترنت دسترسی داشته باشید. شماتیک کلی سناریو را می توانید در تصویر زیر مشاهده کنید ، تنظیمات کارت های شبکه نیز در ادامه نمایش داده شده است ، برای راحتی کار کارت شبکه های خود را نامگذاری کنید تا به شکل Internal و External نمایش داده شوند .


سناریوی نصب و راه اندازی TMG 2010 بر روی سرور 2008



آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



همانطور که در تصویر بالا مشاهده می کنید کارت شبکه ها بصورت ITPRO-Internal به عنوان شبکه داخلی و ITPRO-External به عنوان شبکه خارجی نامگذاری شده اند. حالا نوبت به نصب TMG می رسد. DVD نصب TMG 2010 که در اینجا ما نسخه Enterprise آنرا استفاده می کنیم را درون دستگاه قرار دهید و منتظر باشید تا Splash Screen یا صفحه اول نصب TMG بصورت Autorun مشابه شکل زیر نمایش داده شود.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



در تصویر بالا موارد زیادی وجود دارد که هر کدام به نوبه خود کاری انجام می دهند ، مورادی که در Before You Start قرار دارند به شما آموزش های نصب و پیکربندی TMG و همچنین نکاتی که بایستی در هنگام نصب و استفاده این نرم افزار در نظر داشته باشید را به شما نشان می دهد که البته بیشتر در قالب وب و قطعا به زبان انگلیسی می باشند. در قسمت Prepare and Install سه گزینه وجود دارد که اولین گزینه که به شکل Run Windows Update است برای شما در صورت اتصال به اینترنت آخرین بسته های بروز رسانی سیستم عامل ویندوز را دانلود و نصب می کند ، دومین گزینه که به عنوان Run Preparation Tool مشاهده می شود برای شما مواردی که عنوان کردیم به عنوان پیشنیاز های نصب TMG بایستی بر روی سیستم نصب شوند را بصورت خودکار برای شما نصب و پیکربندی می کند .

ترجیحا در هنگام استفاده از این گزینه مطمئن شوید که اتصال شما به اینترنت برقرار است زیرا برخی از موراد را از اینترنت دانلود و نصب می کند ، گزینه سوم که به Run Installation Wizard معروف است همانطور که از نامش پیداست ویزارد نصب نرم افزار TMG را برای شما باز می کند. قسمت سوم که Additional Options یا امکانات جانبی می باشد یک لینک برای وارد شدن به وب سایت پشتیبانی نرم افزار TMG و همچنین نرم افزار جانبی محافظت از Exchange Server 2010 را در خود دارد که در این صفحه شما گزینه Run Preparation Tool را انتخاب کنید و بر روی آن کلیک کنید ، با تصویر زیر مواجه خواهید شد.


آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



همانطور که در تصویر بالا مشاهده می کنید در این ویزارد امکانات و قابلیت هایی که بایستی برای نصب TMG 2010 بر روی سیستم شما تنظیم شده باشد بررسی و در صورت نیاز نصب و پیکربندی می شود ، اینکه چه موارد و امکاناتی بایستی بر روی این سیستم عامل نصب شوند کاملا بستگی به سناریویی دارد که شما قصد راه اندازی آن در سازمان را دارید ، ترجیحا در این قسمت ارتباط خود را با اینترنت داشته باشید تا در صورت نیاز بسته مورد نظر از اینترنت دانلود و نصب شود ، ممکن است در برخی اوقات بعد از اجرای این ویزارد یک Restart برای سیستم ضروری باشد ، بر روی Next کلیک کنید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



تصویر بالا بحث License مرتبط با نرم افزارهای جانبی و امکاناتی است که بایستی برای نصب TMG آنها را بر روی سیستم خود داشته باشید همانطور که در لحظه اول مشاهده می کنید Windows Installer و .Net Framework جزو این موارد هستند ، با توجه به اینکه کار دیگری نمی توانیم انجام دهیم گزینه I accept the terms of the License Agreements را انتخاب و بر روی Next کلیک می کنیم.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



در تصویر بالا انواع روش های نصب TMG 2010 به شما نمایش داده شده است ، بصورت کلی سه روش نصب یا بهتر بگوییم سه گزینه نصب برای TMG وجود دارد. در ابتدا توجه کنید که TMG به سه قسمت مختلف در نصب تقسیم بندی می شود ، نصب کنسول مدیریتی ، نصب کنسول مدیریتی به همراه سرویس های TMG و نصب کنسول مدیریتی EMS ، زمانیکه شما گزینه اول را انتخاب کنید که به اسم Forefront TMG Services and Management است ، هم سرویس ها و هم کنسول مدیریتی TMG بصورت یکجا بر روی این کامپیوتر نصب می شود و شما از طریق کنسول بصورت محلی می توانید TMG را مدیریت کنید.

گزینه دوم که Forefront TMG Management Only است صرفا کنسول مدیریتی TMG را بر روی این سیستم نصب می کند و بعد از نصب شما می توانید به TMG های دیگری که در مجموعه شما نصب شده اند بصورت ریموت متصل شوید و آنها را از این طریق مدیریت کنید. قسمت سوم یا EMS for centralized array management به شما این امکان را می دهد که TMG هایی که بصورت زنجیره ای به هم متصل شده اند که در این بحث نمی گنجد را از طریق نصب کنسول در اینجا مدیریت کنید. در حال حاضر ما گزینه اول که Forefront TMG services and management می باشد را انتخاب کرده و Next را می زنیم تا به مراحل آماده سازی کامپیوتر وارد شویم .


آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



بعد از اینکه تمامی مراحل نصب و پیکربندی پیشنیازها بر اساس نوع نصب یا Installation Type تمام شد شما با تصویر بالا مواجه خواهید شد ، گزینه Launch Forefront TMG Installation Wizard بصورت پیشفرض انتخاب نشده است ، با انتخاب این گزینه بعد از فشردن کلید Finish به ویزارد اصلی نصب نرم افزار TMG وارد می شوید ، اگر نیاز به Restart کردن سیستم بود می توانید بعد از بالا آمدن سیستم مجددا Splash Screen را انتخاب کنید و اینبار Installation Wizard را انتخاب کنید. در اینجا بر روی گزینه Finish کلیک کنید تا ویزارد نصب TMG مشابه شکل پایین به شما نمایش داده شود.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



همانطور که در تصویر بالا مشاهده می کنید ، ویزارد نصب آماده انجام فرآیندهای نصب است و هر کدام از فعالیت هایی که بایستی انجام شوند را بصورت تفکیک شده طبقه بندی کرده است و یک میانگین زمانی هم برای نصب آنها در نظر گرفته است. این فعالیت ها به سه قسمت اجزای اصلی و بنیادی TMG که Core Components هستند ، اجزای اضافه و علاوه بر برنامه TMG که Additional Component هستند و در نهایت آماده سازی سرویس ها جهت ارائه سرویس یا system initialization می باشد. توجه کنید که بایستی کمی صبر کنید تا Windows Installer ویزارد نصب را بصورت کامل به شما نمایش دهد در این هنگام شما با Preparing to install مواجه می شوید ، سه گزینه عنوان شده در تمامی طول فرآیند نصب در کنار شما خواهند بود و شما می توانید مراحل نصب را در آنجا صورت کامل مشاهده کنید. بعد از چند ثانیه با تصویر زیر مواجه می شوید که ویزارد اصلی نصب TMG می باشد.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



تصویر بالا اولین تصویری است که در زمان اجرای ویزارد نصب TMG مشاهده خواهید کرد ، همانطور که مشخص است با استفاده از این ویزارد شما TMG را بر روی این کامپیوتر نصب می کنید ، هشداری در این قسمت مشاهده می کنید که در خصوص قوانین استفاده از این نرم افزار و قانون کپی رایتی که بر روی آن وجود دارد تاکید دارد . با توجه به اینکه ما در ایران برای همه نرم افزارها ارزش قائل هستیم و همه چیز ما درست و حسابی است در زمینه خرید و عرضه نرم افزار این هشدار را جدی میگیریم و بر روی Next کلیک می کنیم.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



تصویر بالا وجدان نامه ای برای ما است که در آن توضیح داده شده است که دوست عزیز شما اگر از این نرم افزار بصورت قانونی استفاده می کنید و آن را به دوستان و اقوام خود هدیه نمی دهید و بر روی DVD کپی نمی کنید و سایر مسائل مرتبطه و از همه مهمتر برای آن پول داده اید قوانین را با انتخاب گزینه I accept the terms in the License Agreement قبول کنید و ادامه دهید ، با توجه به اینکه بنده 2 هزار تومان بابت خرید این DVD هزینه کرده ام بنابراین گزینه پیشفرض را انتخاب کرده و بر روی Next کلیک می کنم.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



در تصویر بالا اطلاعات مشتری یا Customer Information از شما سئوال می شود که به ترتیب مواردی مثل نام کاربری یا User Name می باشد و نام سازمان یا Organization و سریال محصولی که شما خرید کرده اید. در اینجا همانطور که مشاهده می کنید نام کاربری را Unity و Organization را ITPRO.IR انتخاب می کنیم که انجمن تخصصی فناوری اطلاعات ایران می باشد. فقط با توجه به اینکه در وب سایت ما قرار دادن هر گونه کرک و سریال نرم افزارها ممنوع می باشد ما نیز به این قانون احترام قائل می شویم و سریال نامبر را از تصاویر حذف می کنیم و بر روی Next کلیک می کنیم.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



در تصویر بالا شما مسیر نصب فایل های نرم افزار TMG روی کامپیوتر را تعیین می کنید ، معمولا نیازی نیست تغییر خاصی در این مرحله انجام شود اما همانطور که در ابتدای آموزش نیز عنوان کردیم حتما از هارد دیسک های RAID شده استفاده کنید تا سرعت این نرم افزار بهینه تر شود ، بر روی Next کلیک کنید و به مرحله بعدی بروید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



مرحله بعدی که در تصویر بالا مشاهده می کنید تعیین کردن کارت شبکه یا بهتر بگوییم شبکه داخلی یا Internal Network شما برای TMG است. به یک نکته دقت کنید که TMG یک فایروال است و وظیفه یک فایروال قبل از هر چیزی حفاظت از شبکه داخلی است و به همین دلیل از شما شبکه داخلی را سئوال می کند ، این سئوال را در خصوص شبکه خارجی از شما نمی کند ، هر چیزی که داخلی است بایستی محافظت شود و هر چیزی که خارجی است بایستی از شبکه داخلی جدا شود. با انتخاب گزینه Add شما می توانید مشابه تصویر پایین شبکه داخلی خود را به TMG معرفی کنید ، بر روی Add کلیک کنید تا تصویر زیر را مشاهده کنید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



شما به چند روش می توانید شبکه داخلی خود را به TMG معرفی کنید که در تصویر بالا به خوبی مشخص است ، ساده ترین کار انتخاب کردن شبکه داخلی با استفاده از کارت شبکه یا NIC Adapter است ، برای اینکار کافیست گزینه Add Adapter را انتخاب کنید ، هر چند شما می توانید با استفاده از معرفی محدوده یا Address Range هم این شبکه را مشخص کنید اما در اینجا کافیست همان کارت شبکه را انتخاب کنید ، بر روی دکمه Add Adapter کلیک کنید تا با تصویر زیر مواجه شوید .

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



بعد از کلیک کردن بر روی گزینه Add Adapter تصویر بالا به شما نمایش داده می شود که تمامی کارت شبکه های شما و Connection های مختلف موجود بر روی این سیستم به نمایش در می آید. همانطور که مشاهده می کنید نامگذاری کارت های شبکه در ابتدای فرآیند نصب به شما در انتخاب شبکه داخلی بسیار کمک می کنید ، در اینجا شما براحتی کافیست ITPRO-Internal را انتخاب کنید و محدوده IP مربوط به آن را در تصویر پایین با جزئیان ببینید . در اینجا بعد از تیک زدن Internal بر روی OK کلیک کنید و مجددا بر روی OK کلیک کنید تا با تصویر زیر مواجه شوید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



بعد از اینکه OK را دو باز زدید تصویر خالی ای که در مراحل قبل مشاهده کرده بودید اینک دارای یک آدرس شبکه داخلی می باشد که محدوده آدرس دهی آن مشخص شده است ، دیگر کار خاصی نیاز نیست فقط بر روی گزینه Next کلیک کنید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



تصویر بعدی به شما یک هشدار می دهد که در هنگام نصب این نرم افزار یک سری سرویس ها مجبور هستند که یا Restart شوند یا اینکه بصورت کلی غیرفعال یا Stop شوند. در اینجا سرویس های زیر قطعا در صورت وجود بر روی سیستم شما Restart خواهند شد و سرویس Routing and Remote Access Service که آن را به نام RRAS می شناسیم بصورت کلی Stop می شود ، لیست این سرویس ها به شکل زیر است :

  • SNMP Service
  • IIS Admin Service
  • World Wide Web Publishing Service
  • Microsoft Operations Manager Service


بعد از اینکه متوجه شدید چه تغییراتی قرار است بر روی سرور ایجاد شود بر روی Next کلیک کنید.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



در نهایت تمامی تنظیماتی که قرار بود در هنگام نصب TMG انجام شود ، انجام شد و شما با کلیک کردن بر روی گزینه Install فرآیند نصب این نرم افزار را تا آخرین مرحله مشاهده خواهید کرد ، این فرآیند کمی زمانگیر است و ما نیز نمی خواهیم تمامی مواردی که در این هنگام انجام می شود را بررسی کنیم ، در نهایت بعد از نصب کامل TMG 2010 با تصویر زیر مواجه خواهید شد.

آموزش تصویری نصب و راه اندازی TMG 2010 بر روی سرور 2008



نصب TMG 2010 با موفقیت انجام شده است اما هنوز هیچگونه تنظیمات و پیکربندی بر روی این نرم افزار انجام نشده است و شما هیچ استفاده خاصی نمی توانید از این محصول در حال حاظر داشته باشید. بصورت پیشفرض یک Rule در این فایروال تعریف شده است که در صورت نصب پیشفرض تمامی ترافیک ورودی و خروجی به این فایروال بسته یا Block خواهد شد.

TMG شما نصب شد اما برای اعمال تغییرات در Rule ها و ایجاد Rule جدید برای استفاده کردن از اینترنت بایستی وارد کنسول مدیریتی TMG بشوید که در اینجا با کلیک کردن بر روی گزینه Launch Forefront TMG Management و تیک زدن آن و انتخاب گزینه Finish وارد این کنسول خواهید شد. هنوز چند تنظیم اساسی برای به اشتراک گذاری اینترنت در TMG باقی مانده است که در آموزش بعدی به شما نحوه استفاده از کنسول TMG و اضافه کردن Rule ها و راه اندازی Proxy Server داخلی را آموزش خواهیم داد

اشتراک اینترنت

در قسمت اول این سری آموزشی در خصوص انواع توپولوژی های موجود در راه اندازی فایروال TMG 2010 صحبت کردیم و در قسمت دوم نیز با توجه به انتخاب توپولوژی نوع Edge Firewall نرم افزار TMG 2010 را با موفقیت نصب کردیم . در این مقاله شما را با انواع روش های اشتراک گذاری اینترنت در شبکه با استفاده از TMG آشنا می کنیم. توجه کنید که به اشتراک گذاری اینترنت در TMG یکی از اصلی ترین امکاناتی است که در این فایروال می باشد و تقریبا همه افرادی که از TMG استفاده می کند.

با هدف اشتراک گذاری اینترنت از آن استفاده می کنند تا اینکه بخواهند از سایر امکانات موجود در آن استفاده کنند ، به هر حال بایستی در اینجا عنوان کنیم که اشتراک گذاری اینترنت در TMG به همین سادگی ها هم نیست ، شما در نرم افزار TMG 2010 سه روش مختلف اشتراک گذاری اینترنت خواهید داشت که هر کدام محدودیت ها و مزایای خاص خودشان را دارند ، قبل از اینکه به سراغ راه اندازی هر گونه سیستم اشتراک اینترنت برویم این سه روش را به شما معرفی می کنیم :


1-Secure NAT یا SNAT

در این حالت دقیقا شما یک ساختار NAT برای به اشتراک گذاری اینترنت دارید ، در حالت NAT شما دقیقا مشابه آنچه در شبکه به عنوان ICS می شناسید به هر یک از کامپیوترهای خود در شبکه یک آدرس Gateway می دهید که همین آدرس به آنها اجازه می دهد بتوانند از اینترنت استفاده کنند. دقت کنید که آدرس Default Gateway ای که بر روی کلاینت ها قرار می گیرد ممکن است آدرس یک فایروال TMG باشد یا اینکه آدرس یک روتر باشد که بر روی آن Routing برای اینترنت فعال شده باشد.

نکته کلیدی در خصوص استفاده از حالت Secure NAT این است که وابسته به ساختار مسیریابی TMG شما می باشد. نکته اصلی در خصوص حالت Secure NAT در این است که در حالت NAT شما قابلیت احراز هویت ندارید ، در واقع NAT به دلیل اینکه در لایه سوم از مدل OSI کار می کند قادر به شناسایی و احراز هویت کاربران نیست و به همین دلیل تنها محدودیت هایی که شما می توانید بر روی فایروال TMG خود در شبکه قرار بدهید بر اساس آدرس IP و نام کامپیوترهایی است که در آن شبکه وجود دارند. شما در این حالت برای مانیتورینگ فقط می توانید بر حسب آدرس های IP تحلیل خود را انجام دهید و خبری از کاربر در این حالت نیست . برای کسب اطلاعات بیشتر در خصوص ساختار NAT به این مقاله مراجعه کنید.


معرفی قابلیت Secure NAT در TMG 2010



2-Web Proxy یا Proxy Server


در این حالت شما برای برقراری ارتباط با TMG firewall از Proxy استفاده می کنید. شما در این حالت قابلیت Web Proxy را در سرور TMG فعال میکنید و کلاینت ها با وارد کردن این آدرس Proxy در شبکه و وارد کردن نام کاربری و رمز عبور معتبر می توانند از اینترنت استفاده کنند. در مقایسه با حالت های Secure NAT و Firewall Client یا TMG Client این روش از پروتکل های محدودتری پشتیبانی می کند و بیشتر برای مصارف وبگردی استفاده می شود. در این روش کامپیوترهای کلاینت می توانند از پروتکل های HTTP ، HTTPS ، HTTP-Tunneled و برخی ارتباطات FTP استفاده کنند و ممکن است در بسیاری از ارتباطات دیگر امکان برقراری ارتباط را نداشته باشند.

نکته مثبت در خصوص استفاده از روش Web Proxy این است که دیگر نیازی به تنظیم کردن آدرس Gateway و یا نصب نرم افزار TMG بر روی کلاینت نمی باشد و فقط با وارد کردن آدرس Proxy شما می توانید به سرور متصل شوید. به محض اینکه شما در تنظیمات مرورگر خود آدرس Proxy Server را وارد کنید شما برای TMG به عنوان یک Web Proxy Client شناخته می شوید . زمانیکه کلاینت شما درخواست استفاده از وب را داشته باشد کلیه ترافیک های HTTP و پروتکل هایی که عنوان کردیم برای TMG Firewall ارسال می شوند ، دریافت اطلاعات Web Proxy Client ها در TMG توسط Web Proxy Listener انجام می شود.

TMG در این حالت درخواست شما را به اینترنت ارسال کرده و پاسخ را به سمت شما هدایت می کند. توجه کنید که در این حالت امکان احراز هویت وجود دارد و شما می توانید کاربران خود را از نظر میزان پهنای باند مصرفی و ترافیک مورد استفاده دقیقا تجزیه و تحلیل کنید. نکته مهم دیگر در خصوص این سرویس این است که کلیه ترافیک دریافتی از کلاینت ها از هر پورتی که ارسال شود فقط در پورتی دریافت و تبدیل می شود که در تنظیمات TMG Web Proxy Listener تعیین شده است و به همین دلیل نرم افزارهایی که استفاده از Proxy را پشتیبانی نمی کنند قادر به استفاده از اینترنت نخواهند بود که همین مورد می تواند باعث بروز مشکلاتی برای برخی نرم افزارهای شبکه شود. بصورت پیشفرض پورت مورد استفاده در TMG Web Proxy شماره 8080 است که می توانید آن را بصورت دستی تعیین کنید. توجه کنید که Web Proxy در واقع همان NAT است با این تفاوت که قابلیت احراز هویت دارد.


راه اندازی پروکسی سرور در TMG 2010 مفهوم Web Proxy در TMG



3-TMG Client یا Firewall Client

در این حالت برای برقراری ارتباط با TMG از یک نرم افزار کلاینت که به Agent هم معروف است استفاده می کنیم. به این نرم افزار از سالها پیش firewall Client می گویند اما با ارائه شده TMG به آن TMG Client هم می گویند ، در هر صورت روش کار هر دوی این نرم افزارها یکی است . این نرم افزار در واقع یک Winsock Proxy می باشد . زمانیکه یک سیستم به گونه ای تنظیم می شود که از Firewall Client استفاده کند تمامی درخواست هایی که برای ارتباطات خارجی می باشد از طریق Winsock یا همان TMG Client به سمت TMG ارسال می شوند.

فرآیند Name Resolution را در این حالت بصورت کلی خود TMG انجام می دهد و سپس درخواست کلاینت را به سمت مقصد اینترنتی هدایت می کند. نکته قشنگ در خصوص استفاده از TMG Client این است که شما الزامی در استفاده از آدرس Default Gateway در این حالت ندارید و براحتی می توانید با نصب TMG Client در صورتیکه TMG در محدوده دسترسی محلی شبکه قرار داشته باشد بصورت خودکار سرور TMG را پیدا کنید.

TMG Client همه پروتکل ها را پشتیبانی می کند ، حتی اگر پروتکلی دلخواه ایجاد کرده باشید از طریق این روش می تواند به اینترنت دسترسی پیدا کند ، یک نکته مهم در خصوص این نرم افزار و روش اشتراک گذاری اینترنت در این است که به ازای هر Session یا Connection ای که توسط نرم افزارهای موجود روی سیستم ما ایجاد می شود در TMG Firewall یک Session با شماره پورت همان نرم افزار ایجاد می شود و با این روش محدودیت های استفاده از نرم افزارها در اینترنت نیز از بین می رود. از طرفی شما با استفاده از TMG Client قادر خواهید بود عملیات احراز هویت و اکانتینگ را در شبکه داشته باشید و گزارش های خود را بر اساس نام کاربری موجود برای کاربران دریافت کنید.


مفهوم Firewall Client یا TMg Client در TMG 2010



خوب در این مقاله شما با انواع روش های اشتراگ گذاری اینترنت با استفاده از فایروال TMG 2010 آشنا شدید ، البته پیکربندی هر یک از این موارد برای خود یک مقاله جداگانه می باشد و صرفا هدف ما در این مقاله معرفی مفهوم کلی این روش ها بود. به یک نکته در تنظیمات TMG باید خوب توجه کنید که به محض اینکه شما این نرم افزار را بر روی سرور نصب می کنید Rule پیشفرض این سیستم کلیه ترافیک عبوری را Block یا مسدود می کند و تا زمانیکه شما تنظیمات مربوطه را انجام ندهید نمی تواند از TMG استفاده کنید. در واقع این نرم افزار برخلاف تصوری که می شود به محض اینکه نصب شود کار نمی کند و بایستی پیکربندی شود که هر یک از روش های بالا در کنار نوشتن یک Rule در Policy های TMG قادر به ارائه سرویس می باشد. در مقالات بعدی بصورت گام به گام هر یک از روش های بالا را با هم پیاده سازی خواهیم کرد.

تنظیمات اولیه

تا این مرحله از آموزش شما با انواع توپولوژی های موجود برای راه اندازی TMG آشنا شدید ، در مرحله دوم آموزش با هم TMG را با استفاده از توپولوژی Edge Firewall نصب کردیم و در نهایت در قسمت سوم این سری آموزشی به معرفی روش های به اشتراک گذاری اینترنت در TMG اشاره ای داشتیم. همانطور که قول دادیم در این مقاله قرار بر این شد که ما برای به اشتراک گذاشتن اینترنت روش Secure NAT را راه اندازی و ارائه کنیم .

دقت داشته باشید که در حالت پیشفرض بعد از نصب TMG طبق نکته ای که در مقاله قبلی اشاره کردیم ، تمامی ترافیک ورودی و خروجی به TMG با استفاده از یک Rule پیشفرض مسدود یا block می شود ، برای راه اندازی Secure NAT دو روش وجود دارد ، ابتدا اینکه وارد کنسول مدیریتی TMG شوید و با استفاده از قسمت Web Access Policies یک Rule اضافه کنید ، اما شما هنوز یاد نگرفته اید که چگونه Rule اضافه کنید بنابراین ما فعلا با استفاده از Wizard ای که بعد از نصب TMG در اختیار ما قرار می گیرد این قابلیت را فعال می کنیم و پس از یادگیری چگونه اضافه کردن Rule ها روش بعدی را نیز انجام خواهیم داد.


در ادامه آموزش قبلی پس از اینکه شما TMG را نصب کردید و کنسول آن را باز کردید با تصویر زیر مواجه می شوید که به شما یک Wizard می دهد که بصورت گام به گام می توانید تا حدود زیادی تنظیمات و پیکربندی های اولیه TMG را انجام دهید. این تنظیمات چیزهایی مثل معرفی شبکه داخلی و خارجی ، معرفی قابلیت های حفاظت از شبکه مانند Anti-Malware ، قوانین مسیریابی ، تنظیمات آدرس IP و بسیاری دیگر از موارد می باشد که براحتی قابل انجام است ، توجه کنید که شما می توانید براحتی این صفحه را ببندید و در کنسول مدیریتی TMG همه این کارها را انجام دهید اما پیشنهاد می کنم از این روش استفاده کنید چون بسیاری از قابلیت های اساسی را براحتی می توانید مشخص کنید. بعد از اینکه این Wizard را تمام کردید بصورت خودکار Secure NAT شما راه اندازی می شود و کاربران شما می توانند از اینترنتی که TMG در اختیار آنها قرار می دهد استفاده کنند. حال به سراغ ویزار پایین می رویم :

1-در صفحه ای که بعد از نصب TMG در پایین مشاهده می کنید به شما گفته شده است که طبق مراحلی که بصورت گام به گام مشخص شده اند جلو بروید . بصورت کلی این مراحل به سه قسمت تقسیم شده اند که بایستی به ترتیب انجام شوند ، در اولین مرحله گزینه Configure network settings را برای انجام تنظیمات شبکه برای TMG انتخاب می کنیم ، سایر موراد در این حالت غیر فعال هستند ، در پایین تصویر هشداری مشاهده می کنید که به شما می گوید در صورتیکه می خواهیدی تنظیمات فایروال قدیمی مایروسافت یا همان ISA Server را در این TMG استفاده کنید قطعا از این Wizard بایستی استفاده کنید. Configure network Settings را انتخاب کنید ، صورت خودکار به صفحه بعد خواهید رفت.

آموزش Share کردن اینترنت در TMG 2010



2-تصویر زیر خوش آمد گویی TMG برای ورود به Wizard پیکربندی اولیه تنظیمات شبکه این فایروال است. در اینجا به شما اعلام شده است که با استفاده از این Wizard شما می توانید تنظیمات شبکه ای را مثل تنظیمات آدرس IP ، رابطه های شبکه که هر کارت شبکه به کدام شبکه متصل شده است ، قوانین مسیریابی یا Routing Rules را انجام دهید ، همینجا به شما اعلام می شود که این فقط تنظیمات اولیه است و برای انجام تنظیمات پیشرفته شما بایستی از کنسول اصلی TMG استفاده کنید. بر روی Next کلیک کنید .

آموزش Share کردن اینترنت در TMG 2010



3-همانطور که در تصویر زیر مشاهده می کنید در اینجا نوع توپولوژی مورد استفاده در TMG از شما سئوال می شود ، به دلیل اینکه شما فقط دو کارت شبکه بر روی سیستم خود دارید قابلیت سه پایه یا 3-Leg غیر فعال می باشد. در این سناریو ما توپولوژی Edge firewall را انتخاب کرده ایم که یک کارت شبکه به اینترنت و کارت شبکه دیگر به شبکه داخلی متصل می شود. این توپولوژی در ادامه قوانین یا Rule های فایروال شما را تعیین می کند. Edge firewall را انتخاب کرده و Next را بزنید.

آموزش Share کردن اینترنت در TMG 2010



4-در ادامه با تصویر زیر مواجه می شوید که از شما کارت شبکه داخلی را که به شبکه LAN متصل است را نمایش می دهد ، بصورت خودکار بعد از انتخاب کردن شبکه داخلی که در اینجا با توجه به نامگذاری قبلی به شکل ITPRO-Internal معروف است ، محدوده آدرس IP که در این کارت شبکه وجود دارد بصورت خودکار به شما نمایش داده می شود ، شما می توانید در ادامه با استفاده از گزینه Add سایر محدوده آدرس های IP موجود در شبکه را نیز به این محدوده اضافه کنید. بعد از اینکه این کارها را انجام دادید بر روی Next کلیک کنید.

آموزش Share کردن اینترنت در TMG 2010



5-در ادامه از شما کارت شبکه ای که در آن اینترنت وجود دارد را مشخص می کنید که در اینجا ما به نام ITPRO-External آنرا معرفی کرده ایم ، مشابه آنچه در تصویر قبلی مشاهده کردید لیست آدرس های IP شبکه مورد نظر به شما نمایش داده می شود با توجه به اینکه در کارت شبکه خارجی ما یک DSL Modem قرار دارد که بر روی آن DHCP Server وجود دارد و ما گزینه Obtain an IP address automatically را انتخاب کرده ایم محدوده آدرس 192.168.0.0 برای آن تعیین شده است ، بر روی Next کلیک کنید تا به مرحله بعدی برویم.

آموزش Share کردن اینترنت در TMG 2010



6-اگر حالت Automatic را انتخاب کنید ویزارد بصورت پیشفرض یک Rule در TMG در قسمت System Rules ایجاد می کند تا کارت شبکه خارجی بتواند درخواست های DHCP خود را ارسال و دریافت کند ، این موضوع برای امنیت بیشتر سرور شما می باشد اگر شما این آدرس را بصورت دستی تنظیم کنید طبیعی است که از امنیت بیشتری برخوردار خواهد بود. برای ادامه ماجرا بر روی OK کلیک کنید.

آموزش Share کردن اینترنت در TMG 2010



7-در ادامه خلاصه ای از تنظیمات شبکه ای که بر روی سرور شما انجام شده است را مشاهده خواهید کرد ، بر روی دکمه finish کلیک کنید تا تنظیمات انجام شده بصورت کامل اجرا شود.

آموزش Share کردن اینترنت در TMG 2010



8-بعد از اینکه دکمه Finish را زدید با تصویر زیر مواجه می شوید که به شما می گوید قسمت اول تنظیمات شبکه شما به درستی انجام شده است و شما می توانید به مرحله بعدی که Configure system settings است برسید در این حالت تنظیمات مربوط به خود سیستم TMG انجام می شود بر روی آن کلیک می کنیم تا تصویر دوم نمایش داده شود ، توجه کنید که این مراحل بایستی به ترتیب انجام شود. در تصویر دوم از همین قسمت بر روی Next کلیک کنید.

آموزش Share کردن اینترنت در TMG 2010



آموزش Share کردن اینترنت در TMG 2010



9-بعد از اینکه در تصویر قبلی بر روی Next کلیک کردید ، با تصویر زیر مواجه می شوید ، در این قسمت شما در وهله اول بایستی نام کامپیوتری که به عنوان سرور TMG در شبکه شما فعالیت می کند را مشخص کنید که در اینجا بصورت پیشفرض ITPRO-TMG انتخاب شده است ، در قسمت Member Of شما تعیین می کنید که سرور شما عضو یک شبکه اکتیودایرکتوری است یا عضوی یک شبکه Workgroup که در اینجا با توجه به پایلوت بودن سناریو در اینجا ما Workgroup داریم شما اگر در شبکه دامین قرار دارید می توانید با انتخاب Change نام Domain خود را انتخاب کنید ، در انتها نیز شما پسوند DNS شبکه دامین خود را مشخص میکنید. بر روی Next کلیک کنید تا به صفحه بعدی ارجاع داده شوید.

آموزش تصویری و گام به گام Forefront TMG 2010



10-بعد از اینکه بر روی Next در تصویر بالا کلیک کردید خلاصه ای از موارد انجام شده به شما نمایش داده می شود که شما در اینجا بر روی Finish کلیک می کنید ، به محض اینکه finish را بزنید مجددا تصویر ویزارد اولیه را مشاهده خواهید کرد که دو مرحله کامل شده دارد و یک مرحله باقیمانده ، اینبار مشابه تصویرهای پایین بر روی آخرین گزینه که Define deployment options است کلیک می کنیم که تنظیمات مربوط به بروزرسانی و Update بسته های امنیتی TMG را انجام می دهد.

آموزش تصویری و گام به گام Forefront TMG 2010



11-توجه کنید که اگر قصد بروز رسانی از نرم افزار ISA Server 2006 به TMG را دارید حتما باید از این ویزارد استفاده کنید.

آموزش تصویری و گام به گام Forefront TMG 2010



آموزش تصویری و گام به گام Forefront TMG 2010



12-بعد از اینکه در تصویر بالا بر روی Next کلیک کردید از شما شیوه بروز رسانی بسته های امنیتی TMG سئوال می شود که من در اینجا گزینه دوم را انتخاب کردم شما می توانید برای بروز رسانی گزینه اول را انتخاب کنید . بر روی Next کلیک کنید.

آموزش تصویری و گام به گام Forefront TMG 2010



13-در ادامه تنظیمات حفاظتی TMG یا Protection Feature از شما سئوال می شود ، توجه کنید که برخلاف تنظیماتی که تا کنون انجام داده اید قابلیت های حفاظتی TMG نیاز به یک لایسنس جداگانه دارد ، برای فعال سازی این قابلیت ها شما بایستی لایسنس را خریداری کرده باشید در غیر اینصورت این قابلیت برای شما غیر فعال خواهد بود . قابلیت NIS یا Network Inspection System به شما امکان شناسایی تهدیدات موجود در شبکه را در صورت ورود به TMG را می دهد.

همانطور که مشاهده می کنید سایر موارد بیشتر در زمینه لایسنس این گزینه است ، به یک نکته توجه داشته باشید ، با توجه به پهنای باند محدود اینترنتی که در ایران وجود دارد و فیلترینگی که انجام می شود اگر چنین قابلیت های حفاظتی را بر روی فایروال های خود پیاده سازی کنید معمولا سرعت اینترنت شما کاهش محسوسی خواهد داشت ، انتخاب با شماست ، امنیت بالا یا سرعت به نسبت بهتر که معمولا با توجه به حساس بودن کاربران شبکه به سرعت اینترنت فکر می کنم شما گزینه سرعت را انتخاب کنید. بر روی Next کلیک کنید.


آموزش تصویری و گام به گام Forefront TMG 2010



14-صفحه بعدی که در پایین مشاهده می کنید صفحه بازخورد از مشتریان یا Customer Feedback هست . اگر شما با ویندوز XP کار کرده باشید و سیستم عامل شما یا یکی از نرم افزارهای شما هنگ کرده باشه حتما با صفحه Send to و Don’t Send آشنایی دارید ، همیشه مایکروسافت از مشتریانش در خصوص رفتار و شیوه عمکرد نرم افزارها بازخورد دریافت می کند و بر اساس همان بازخوردها تغییرات لازم را بر روی محصولاتش انجام می دهد ، در این صفحه نیز از شما پرسیده می شود که آیا شما می خواهید به مایکروسافت جهت بهبود این محصول کمک کنید یا خیر ؟

با انتخاب گزینه Yes مایکروسافت بصورت نامحسوس و بدون به وجود آوردن اختلال در سیستم کاری شما اطلاعاتی در خصوص سخت افزار و نرم افزار شما دریافت می کند و آن را برای تحلیل برای تیم برنامه نویس TMG ارسال می کند تا مشکلات احتمالی تحلیل و بررسی شوند. در صورتیکه گزینه Yes را انتخاب کنید یک Rule بصورت سیستمی به وجود می آید که به TMG در قالب Web Proxy دسترسی اینترنتی می دهد که بتواند این مشکلات را ارسال کند. طبیعی است که دوستان عزیز ما در ایران با توجه به ارجینال نبودن محصول رقبتی برای اینکار ندارند ، هر چند معلوم نیست دقیقا چه اطلاعاتی در این قالب از TMG برای مایکروسافت ارسال می شود . در این قسمت ما گزینه No I don’t want to participate را انتخاب کرده و بر روی Next کلیک می کنیم.


آموزش تصویری و گام به گام Forefront TMG 2010



15-تصویر زیر بحث همکاری برای بهبود ساختار آنتی ویروس و ضدبدافزار مایکروسافت است که به عنوان Telemetry Report شناخته می شود ، در این تصویر مایکروسافت به شما می گوید که آیا حاضرید سیستم در صورت شناسایی بدافزار جدید ، نمونه ای از آن را برای مایکروسافت ارسال کند تا مورد بررسی قرار بگیرد و برای مقابله با آن در نسخه های بعدی راهکار ارائه دهد یا خیر؟

در اینجا دو حالت Basic و Advanced وجود دارد که در حالت Basic اطلاعاتی کلی در خصوص نوع عملکرد ، مبدا و مقصد تهدید برای مایکروسافت ارسال می شود اما در نوع Advanced علاوه بر تمامی اطلاعاتی که در Basic ارسال می شود نمونه ای از ترافیک نمونه و بسیاری دیگر از موارد مورد نیاز تحلیل تهدیدات به مایکروسافت ارسال می شود ما در اینجا گزینه سوم را که None می باشد انتخاب می کنیم تا همکاری های بین المللی خود را گسترش دهیم ، البته این جمله فقط محض طنز بود ، ترجیحا اگر از نرم افزارهای کرک شده استفاده می کنید این گزینه را انتخاب کنید و بر روی Next کلیک کنید.


آموزش تصویری و گام به گام Forefront TMG 2010



16-بعد از اینکه بر روی Next کلیک کردید در تصویر زیر خلاصه ای از مواردی که انجام داده اید را مشاهده خواهید کرد بر روی Finish کلیک کنید تا صفحه اول ویزارد را مجددا مشاهده کنید با این تفاوت که دیگر همه موارد درست شده اند و سیستم آماده ایجاد Rule برای فایروال می باشد . بر روی دکمه Finish کلیک کنید.

آموزش تصویری و گام به گام Forefront TMG 2010



17-همانطور که در تصویر زیر مشاهده می کنید تمامی سه مرحله اولیه پیکربندی TMG انجام شده است ، در اینجا یک گزینه تیک خورده است که شما را به یک ویزارد دیگر هدایت می کند ، ویزاردی که اولین Rule خودکار فایروال شما توسط آن ایجاد خواهد شد . در TMG مهمترین اصل نوع Rule هایی است که ایجاد می کنید در این قسمت به شما اعلام شده است برای تعیین Web Access Policy ها یا قوانین استفاده از وب سایت ها با استفاده از ویزارد کافیست که Run Web Access Wizard تیک خورده باشد و بر روی دکمه Close کلیک کنید تا وارد کنسول ایجاد Rule شوید.

آموزش تصویری و گام به گام Forefront TMG 2010



18-بعد از اینکه بر روی Close کلیک کردید تصویر پایین را مشاهده خواهید کرد ، این یک ویزارد است که از طریق آن شما چند کار اساسی را می توانید در TMG در بدو نصب انجام دهید از جمله این که می توانید قوانین استفاده از وب سایت ها یا Web Access Policy تعیین کنید ، شما می توانید دسترسی به یک سری وب سایت های خاص را در سازمان محدود کنید و بر اساس آدرس URL فیلترینگ محلی داشته باشید ، شما می توانید تنظیمات و پیکربندی های مربوط به شناسایی بدافزارها یا Malware Detection را انجام دهید و همچنین مواردی از قبیل HTTPS Inspection برای واکاوری محتویات SSL و همچنین تنظیمات کش سرور را نیز از طریق همین ویزارد اولیه انجام دهید ، با توجه به دانش شما در این مورد بر روی Next کلیک کنید.

آموزش تصویری و گام به گام Forefront TMG 2010



19-در تصویر زیر همانطور که اشاره شده است شما در واقع Secure NAT را بصورت ویزاردی پیکرنبدی می کنیم ، در اینجا به شما گفته می شود که یک Rule برای دسترسی کلیه کاربران شبکه داخلی به اینترنت با استفاده از این ویزارد ایجاد خواهد شد و در عین حال شما می توانید تنظیماتی برای Block کردن یک سری وب سایت های خاص را خودتان انجام دهید ، بعد از اتمام این ویزارد حتما به شما Rule ای که توسط این ویزارد ایجاد شده است را نمایش می دهیم ، فعلا ما قصد راه اندازی Secure NAT را دارید و هیچ محدودیت خاص دیگری را نمی خواهیم اعمال کنیم اما بد نیست بدانید که چه وب سایت هایی یا URL هایی بصورت ویزاردی قابل مسدود کردن هستند ، برای اینکار گزینه اول را انتخاب کنید و Next را بزنید .

آموزش تصویری و گام به گام Forefront TMG 2010



20-در تصویر زیر وب سایت ها و URL هایی که از نظر مجامع جهانی بایستی مسدود شوند را بصورت طبقه بندی شده می توانید مشاهده کنید که از این به بعد توسط TMG نیز مسدود خواهند شد ، شما می توانید در همین قسمت وب سایت آدرس خود را از قسمت Add اضافه کنید تا دسترسی به آن از طریق شبکه داخلی مسدود شود ، با توجه به اینکه ما فقط هدف معرفی این قسمت را داشتیم صرفا بر روی گزینه Next کلیک می کنیم.

آموزش تصویری و گام به گام Forefront TMG 2010



21-قسمت بعدی در تصویر زیر تنظیمات آنتی ویروس یا بهتر بگوییم Anti Malware ای است که در TMG تعبیه شده است ، شما می توانید در این قسمت به TMG بگویید که محتویات بسته های اطلاعاتی HTTP را برای پیدا کردن ویروس و Worm و انواع بدافزار اسکن کند ، که البته همانطور که قبلا هم اشاره کردیم این انتخاب شما بین سرعت و امنیت می باشد. من در این قسمت گزینه اول یا همان NO را انتخاب می کنم و بر روی Next کلیک می کنم.

آموزش تصویری و گام به گام Forefront TMG 2010



22-در ادامه شما می توانید تنظیمات HTTPS Inspection را انجام دهید. همانطور که می دانید محتویات پروتکل SSL رمزنگاری شده رد و بدل می شود و واکاوی محتویات آن برای هر فایروالی ممکن نیست ، مایکروسافت ادعا دارد که با استفاده از قابلیت HTTPS Inspection ای که در TMG تعبیه کرده است می تواند محتویات بسته های اطلاعاتی SSL را واکاوی کند و اطلاعات موجود در آن را مانیتور کند ، هر چند در آینده ای نه چندان دور بصورت مفصل در خصوص راه اندازی این سرویس صحبت خواهیم کرد.

فعلا نمی خواهیم این گزینه برای ما فعال باشد بنابراین بر روی اولین گزینه Allow users to establish HTTPS کلیک کرده و گزینه سوم را انتخاب می کنیم ، در خصوص این موارد هنوز زود است که صحبت کنیم اما خیلی خیلی توجه کنید که گزینه دوم را انتخاب نکنید زیرا با انتخاب گزینه Do not allow users to establish HTTPS دیگر هیچ فردی نمی توان به وب سایت هایی که HTTPS دارند وارد شود. موارد گفته شده را رعایت کنید و بر روی Next کلیک کنید.


آموزش تصویری و گام به گام Forefront TMG 2010



23-شما می توانید برای بالا بردن سرعت Load صفحات خود از قابلیت Caching موجود در TMG استفاده که کنید که دو زار نمی ارزد ( باور کنید ، تعارف ندارم ) ، در خصوص Caching نیز فعلا نیازی نداریم که استفاده کنیم و بعد ها در قالب یک آموزش جداگانه روش نصب و راه اندازی آن را به شما آموزش خواهیم داد ، در این قسمت تیک قسمت Enable the default caching rule را برداشته و سپس بر روی Next کلیک می کنیم.

آموزش تصویری و گام به گام Forefront TMG 2010



24-خوب در اینجا دیگر کاری باقی نمانده است ، شما خلاصه ای از کلیه تنظیمات و پیکربندی هایی که در طول این ویزارد داشته اید را مشاهده می کنید ، با کلیک کردن بر روی دکمه Finish کلیه تغییراتی که می خواهید بر روی سرور TMG بصورت پیشفرض انجام می شد ، منتظر نمانید و بر روی دکمه Finish کلیک کنید.

آموزش تصویری و گام به گام Forefront TMG 2010



25-بعد از Finish شدن ویزارد ، وارد کنسول مدیریتی TMG شده و به قسمت Web Access Policy می رویم ، همانطور که مشاهده می کنید سه عدد Rule بصورت پیشفرض وجود دارد ، یکی از این Rule ها که در انتها مشاهده می کنید Rule پیشفرض TMG است که کلیه ترافیک ورودی و خروجی به شبکه را مسدود می کند ، Rule دومی همان Rule ای است که به کاربران اینترنت می دهد و در واقع همان Rule ای است که از طریق ویزارد ایجاد شده است ، این Rule عملیات Secure NAT را انجام می دهد و در نهایت وب سایت هایی که از طریق ویزارد مسدود کردیم را نیز می توانید مشاهده کنید ، توجه کنید شما هر چه تغییر می خواهید در قوانین دسترسی به وب ایجاد کنید در این قسمت خواهد بود.

آموزش تصویری و گام به گام Forefront TMG 2010



خوب تا اینجای کار موفق شدیم اینترنت را در شبکه داخلی با استفاده از قابلیت Secure NAT ای که در ویزارد داشتیم به اشتراک بگذاریم ، کاربرانی که در شبکه کار می کنند کافیست برای استفاده از اینترنت TMG آدرس کارت شبکه داخلی TMG را به عنوان آدرسDefault Gateway خود استفاده کنند ، توجه کنید که به عنوان یک کاربر حرفه ای در TMG استفاده از ویزاد اصلا توصیه نمی شود ، شما باید بتوانید از طریق کنسول مدیریتی خود TMG اینکار را انجام دهید و قابلیت Secure NAT هم چیزی جز یک Rule ساده نیست که به همه کس اجازه عبور همه ترافیک از شبکه داخلی به شبکه خارجی TMG را می دهد ، در آموزش های بعدی شیوه ایجاد Rule در TMG و همچنین فعال کردن سایر قابلیت های به اشتراک گذاری اینترنت مثل Web Proxy و TMG Client را آموزش خواهیم داد.

پروکسی سرور

در آموزش های قبلی تا حدودی با مفاهیم TMG آشنا شدید و قرار بر این شد که در ادامه آموزش ها راه اندازی پروکسی سرور در شبکه داخلی با استفاده از TMG به همراه نحوه اضافه کردن Rule در این فایروال را آموزش بدهیم. در این مقاله شما با شیوه راه اندازی پروکسی سرور در فایروال TMG 2010 آشنا خواهید شد که اکثرا به عنوان Web Proxy شناخته می شود. با استفاده از قابلیت Web Proxy در TMG همانطور که قبلا هم اشاره شده است شما می توانید به کامپیوترهای Client این اجازه را بدهید که بتوانند از طریق پروتکل های HTTP ، HTTPS و HTTP-Tunneled و FTP بتوانند به اینترنت دسترسی پیدا کنند.

با همین تفاسیر می توان متوجه شد که قابلیت Web Proxy در TMG از پروتکل های بسیار محدودی پشتیبانی می کند. در مقابل روش های Secure NAT و TMG Client یا همان Firewall Client ها از پروتکل های بسیاری پشتیبانی می کنند. نکته بسیار مثبت در خصوص استفاده از Web Proxy در مقابل Secure NAT و Firewall Client این است که نیازی به نصب هیچگونه نرم افزاری بر روی سیستم کلاینت نمی باشد و از طرفی شما می توانید کاربران خود را بر اساس نام کاربری مانیتور کنید.


اولین نکته ای که ممکن است شما را درگیر کند این است که تصور کنید راه اندازی Web Proxy در TMG مانند Secure NAT ساده است ، در واقع اینچنین نیست ، در راه اندازی Web Proxy پیچیدگی هایی وجود دارد که همیشه باید در هنگام راه اندازی در نظر گرفته باشد و با آنها آشنا باشید تا TMG شما دچار اختلال نشود.شاید واژه پیچیدگی کمی تامل برانگیز باشد اما به هر حال از نظر کاربر کمترین پیچیدگی را همین Web Proxy دارد.

در خصوص امکاناتی که این روش به شما ارائه می دهد و همچنین قابلیت های آن می توانید در ادامه مطلب مواردی را مشاهده کنید ، قطعا در همین مقاله شیوه راه اندازی این سرویس را نیز آموزش خواهیم داد اما با توجه به گسترده بودن موضوع ، این آموزش را به دو قسمت اول و دوم تقسیم بندی می کنیم.شما چه در طراحی فایروال خود از حالت Multi-Homed استفاده کنید و یا اینکه از توپولوژی Single-NIC استفاده کنید می توانید همیشه از TMG به عنوان یک Proxy Server یا Reverse Proxy Server استفاده کنید. بنابراین زمانیکه شما می خواهید Web Proxy را برای کلاینت های خود فعال کنید چندان تقاوتی ندارد که از چه توپولوژی ای استفاده می کنید ، در این سناریو ما طبق روال گذشته توپولوژی Edge Firewall را اجرا خواهیم کرد که در آن یک دست فایروال شما به شبکه داخلی و دست دیگر در شبکه اینترنت قرار دارد.


انجام تنظیمات Web Proxy Client بر روی فایروال TMG

خوب همانطور که قبلا هم اشاره کردیم این قسمت اول از آموزش راه اندازی پروکسی سرور در TMG می باشد. در این مقاله ما بر طبق مثال قبلی یک فایروال TMG داریم که یکی از کارت شبکه های آن به شبکه داخلی و یکی دیگر به شبکه اینترنت متصل شده است و در حالت front-end در یک محیط عملیاتی مشغول سرویس دهی می باشد. در اولین مرحله پیکربندی هایی که باید در روی سرور انجام شود را با هم انجام می دهیم و در مقاله بندی تنظیمات سمت کلاینت ها را نیز با هم انجام خواهیم داد. برای شروع پیکربندی Web Proxy در TMG کافیست وارد کنسول مدیریتی TMG شوید و همانطور که در تصویر زیر مشاهده می کنید بر روی قسمت Web Access Policy کلیک کنید.

آموزش راه اندازی پروکسی سرور در TMG 2010



بعد از اینکه بر روی Web Access Policy کلیک کردید در قسمت Task در سمت راست تصویر گزینه ای به نام Related Tasks را مشاهده می کنید ، از این قسمت همانطور که در شکل زیر نیز مشاهده می کنید بر روی Configure Web Proxy کلیک کنید.

آموزش راه اندازی پروکسی سرور در TMG 2010



بعد از اینکه بر روی Configure Web Proxy کلیک کردید کادر Internal Properties به شما نمایش داده می شود. این در واقع همان کادری است که اگر شما از کنسول اصلی TMG به قسمت Networking بروید و بر روی Internal راست کلیک و Properties بگیرید به شما نمایش داده می شود. به این موضوع توجه کنید که اگر چندین کارت شبکه داخلی دارید که به عنوان شبکه های مجزا به TMG معرفی شده اند و در قسمت Networking وجود دارند باید تنظیمات Web Proxy را بر روی تک تک آنها انجام دهید ، هر چند در این سناریو ما فقط یک شبکه داخلی داریم و از همان هم Properties می گیریم . حالا کمی در خصوص Tab های مختلفی که در این کادر مشاهده می کنید صحبت خواهیم کرد. البته Tab هایی که قطعا مربوط به تنظیمات پروکسی سرور هستند بیشتر مد نظر هستند.

کاربرد تب General در تنظیمات شبکه TMG

اولین Tab ای که در قسمت Internal Properties مشاهده می کنید General است. چیز خاصی در خصوص این تب وجود ندارد فقط در قسمت Name شما نام شبکه را مشاهده می کنید و در قسمت Description ( Optional) هم توضیحات مربوط به این شبکه را مطابق شکل زیر مشاهده می کنید.

اگر می خواهید می توانید توضیحات بیشتری در خصوص این شبکه در قسمت توضیحات وارد کنید. در سناریویی که ما داریم تنها دو کارت شبکه وجود دارد و چندان پیچیدگی خاصی وجود ندارد که نیاز به توضیحات باشد اما در طراحی هایی که در انها DMZ وجود دارد بهتر است کمی در خصوص کارت شبکه ها و شبکه های مختلف توضیحاتی نوشته شود که هر چند همه اینها فقط برای درک ظاهری توپولوژی فایروال برای مدیر آن است نه برای سیستم که درکی از توضیحات ندارد.


آموزش راه اندازی پروکسی سرور در TMG 2010



کاربرد تب Addresses در تنظیمات شبکه TMG

حالا بر روی تب Addresses کلیک کنید. در این تب شما می توانید تمامی آدرس های IP ای که حق دارند به منابع موجود در TMG متصل شوند و از طریق کارت شبکه ای که برای آنها تعیین شده است به منابع اینترنت دسترسی پیدا کنند را تعیین می کنید. اگر آدرس IP ای در این قسمت برای TMG تعریف نشده باشد و بخواهد از طریق TMG به اینترنت متصل شود به عنوان یک آدرس جعلی در شبکه شناسایی شده و ارتباط آن با TMG بسته یا Drop می شود. بهترین گزینه برای انجام تنظیمات این قسمت استفاده از دکمه Add Adapter در قسمت سمت راست تصویر زیر می باشد.

زمانیکه این دکمه را انتخاب می کنید شما می توانید براحتی کارت شبکه ای که به شبکه داخلی TMG متصل شده است را انتخاب کنید ، بعد از انتخاب کارت شبکه مشاهده می کنید که TMG بصورت خودکار محدوده آدرس دهی که در آن کارت شبکه وجود دارد را محاسبه کرده و به شما نمایش می دهد. بصورت پیشفرض TMG هر محدوده آدرس دهی که در کارت شبکه داخلی شما وجود داشته باشد را در این قسمت به شما نشان داده و به لیست Addresses اضافه می کند علاوه بر این اگر شما عملیات Subnetting بر روی شبکه داخلی و محدوده IP خود انجام داده باشد TMG این موضوع را درک کرده و Net ID مربوط به آن محدوده آدرس دهی را پشتیبانی می کند.

تمامی آدرس هایی که در Routing Table خود TMG وجود دارد نیز شامل لیست Addresses خواهد بود. این تب بصورت مستقیم به تنظیمات Web Proxy شما ارتباطی ندارد اما اگر تنظیمات Web Proxy Client ها انجام شود و پیکربندی تب Addresses به درستی انجام نشده باشد تاثیر بسیار منفی در برقراری ارتباطات Web Proxy Client ها با سرور TMG ایجاد خواهد شد ، دلیل این تاثیر این است که درخواست هایی که از طرف Web Proxy Client ها به سمت Web Proxy Listener موجود در TMG ارسال می شود به دلیل عدم وجود آدرس کلاینت در این لیست Drop شده و کلاینت ها قادر به استفاده از اینترنت نخواهند بود.


کاربرد تب Addresses در تنظیمات فایروال TMG 2010



کاربرد تب Domains در تنظیمات شبکه TMG

بر روی تب Domains کلیک کنید ، تصویری مشابه آنچه در پایین می بینید به شما نمایش داده می شود. در این تب شما نام دامین هایی که در این شبکه قرار دارند را برای TMG مشخص می کنید. کلاینت هایی که از firewall client استفاده می کنند برای برقراری ارتباط با دامین هایی که در این تب قرار می گیرند دیگر از TMG Client استفاده نخواهند کرد. این تب بصورت ویژه برای استفاده توسط Firewall Client ها ایجاد شده است.

به هر حال بعدا که در خصوص تب Web Browser صحبت کردیم متوجه می شویکه ما می توانیم از لیست دامنه هایی که در این تب اضافه شده است برای پیکربندی Web Proxy Client ها نیز استفاده کنیم. شاید برای شما جالب باشد که بدانید واقعا چه اتفاقی رخ می دهد زمانیکه شما یک نام دامین را در این تب اضافه می کنید ! فرض کنید که یک کلاینت می خواهد به منابع دامین itpro.local دسترسی پیدا کند و این کلاینت در شبکه داخلی یا Internal ما قرار گرفته است. اگر این دامین در این لیست قرار گرفته باشد ، Firewall Client درخواست کلاینت را به سمت TMG مسیریابی یا Route نمی کند و درخواست از طریق Firewall Client در اصطلاح Ignore می شود.

در عوض ارتباط بصورت خودکار و مستقیم به سمت سرور مقصد هدایت خواهد شد. اگر سرور مقصد در همان شبکه قرار داشته باشد ارتباط بصورت مستقیم با همان سرور برقرار خواهد شد ، اگر سرور در شبکه دیگری قرار گرفته باشد ، با استفاده از Route تعریف شده در TMG Firewall یا هر روتر دیگری که در شبکه وجود دارد به سمت مقصد هدایت خواهد شد ، اگر کلاینت شما در حالت Secure NAT قرار گرفته باشد ، فایروال TMG به عنوان روتر یا Gateway عمل می کند و درخواست را مسیریابی می کند. توجه کنید که نکته کلیدی در اینجاست که اگر نام دامینی در این قسمت تعریف شود Firewall Client دیگر درخواست هایی که به سمت این دامین ارسال می شوند را پاسخگویی نمی کند.


کاربرد تب Domains در تنظیمات فایروال TMG 2010

خلاصه

در این قسمت از مقاله با تنظیمات اولیه و مقدماتی که برای راه اندازی Web Proxy در TMG نیاز است آشنا شدیم ، توجه کنید که این تنظیمات هنوز بصورت ویژه برای راه اندازی پروکسی سرور استفاده نمی شوند بلکه برای TMG Firewall Client نیز همین تنظیمات بایستی انجام شود ، بنابراین با یک تیر دو نشان می زنیم . تنظیماتی که در سمت سرور انجام می شود را با معرفی تب های Domains ، Details و Addresses شروع کردیم و در مقاله بعدی به امید خدا تب های Web Browser و Auto Discovery و چندین مورد دیگر را با همدیگر مرور خواهیم کرد

پروکسی سرور

در قسمت های قبلی در خصوص چگونگی وارد شدن به کنسول مدیریتی TMG و همچنین انجام تنظیمات اولیه این سیستم با هم صحبت کردیم . در خصوص برخی از تنظیمات اولیه راه اندازی پروکسی سرور که در اینجا به عنوان Web Proxy Client می شناسیم صحبت کردیم و چندین Tab از تنظیمات آن را به شما نمایش دادیم و گفتیم که بسیاری از این تنظیمات با تنظیماتی که برای راه اندازی TMG Client انجام می شود یکسان است ، در ادامه در این آموزش به شما Tab های دیگر این قسمت را آموزش می دهیم و مطمئن باشید در انتهای این آموزش شما یک پروکسی سرور فعال در شبکه خواهید داشت که صرفا نیاز به ایجاد یک Rule در فایروال برای کار کردن دارد.

کاربرد تب Web Browser در تنظیمات TMG

بر روی تب Web Browser در همان تنظیمات قبلی کلیک کنید با موارد زیر مواجه خواهید شد :

  • Bypass proxy for Web servers in this network. : با انتخاب این گزینه شما به Web Proxy Client می گویید که اگر کاربر در Browser خود یک آدرس را به شکل Single Label Name وارد کرد ، یعنی اینکه به جای www.tosinso.com به شکل itpro خالی وارد کرد ، دیگر Web Proxy Client این آدرس را پردازش نمی کند در عوض کلاینت شما از TMG Firewall Client یا Secure NAT برای مدیریت این درخواست استفاده می کند. بسیاری از افراد درک درستی از این گزینه در TMG ندارند و گمان می کنند هرگاه این گزینه انتخاب شود و شما هر آدرس URL ای را وارد کنید که در شبکه داخلی یا اینترانت شما قرار داشته باشد Web Proxy Client دیگر با آن درخواست کاری ندارد که این برداشت درستی نیست.


  • Directly access computers specified in the Domains tab : این گزینه در واقع یک نوع Backward Compatibility از نرم افزار قبلی مایکروسافت به نام ISA Server است و با معرفی قابلیت Direct Access در ویندوز سون و ویندوز سرور 2008 دیگر از این گزینه استفاده خاصی نمی شود. اگر این گزینه را انتخاب کنید ، یعنی پیکربندی های Web Proxy Client برای لیست دامین هایی که در تب Domains تعریف شده است اعمال نشود و در واقع Web Proxy دیگر کاری با اسامی موجود در این لیست نداشته و درخواست کاربر بصورت مستقیم به سرور مربوطه هدایت خواهد شد. تب Domains در واقع برای پیکربندی های مربوط به Firewall Client استفاده می شود اما گزینه فوق بصورت ویژه به شما اجازه اعمال تغییرات در تنظیمات Web Proxy را نیز می دهد.


  • Directly access computers specified in the Addresses tab : زمانیکه شما این گزینه را انتخاب می کنید به محض اینکه Web Proxy Client تشخیص دهد که شما با یکی از آدرس هایی کار دارید که در Address List هایی که در TMG تعریف شده اند وجود دارد دیگر این درخواست را پردازش نمی کند و تشخیص می دهد که این آدرس در شبکه داخلی وجود داشته و نیازی به انجام و ارسال درخواست توسط Web Proxy Service وجود ندارد. اگر به خاطر داشته باشید در Addresses لیست آدرس های IP ای که در شبکه خاصی قرار دارد را برای TMG مشخص می کردیم و با استفاده از این روش شما به TMG می گویید که در صورتیکه یک آدرس IP خاص به آدرسی در همان شبکه می خواهد متصل شود دیگر از Web Proxy برای متصل کردن آنها استفاده نکن و سرویس آن را برای این آدرس IP غیر فعال کن .


  • Directly access these servers or domains : با انتخاب این گزینه شما می توانید لیستی از سرورهایی که خودتان می شناسید را بصورت دستی وارد کنید و همان شرایطی که برای قسمت Domains به وجود می آید را برای این لیست سرورها نیز ایجاد کنید. معمولا سرورهایی که درون DMZ قرار می گیرند را می توانید از این طریق به TMG معرفی کنید.


اما آخرین گزینه بسیار جالب است که به شکل If Forefront TMG is unavailable, use this backup route to connect to the internet است می باشد بدین معنی که اگر TMG شما در دسترس نبود از این مسیر پشتیبان برای برقراری ارتباط با اینترنت استفاده کن ، در اینجا دو گزینه وجود دارد که ترتیب موارد زیر می باشد :

  • Direct access : اصلا به اسم این گزینه توجهی نکنید ، این گزینه به این معنی نیست که Web Proxy Client از قابلیت direct Access برای دسترسی به اینترنت استفاده کند. بلکه به این معناست که Web Proxy Client در صورت عدم امکان برقراری ارتباط با TMG بصورت خودکار درخواست های سیستم را از طریق Web Proxy Service پردازش نمی کند و مستقیما به اینترنت دسترسی پیدا می کند. اگر کلاینت به گونه ای پیکربندی شده است که از Firewall Client برای استفاده از اینترنت استفاده می کند ، سیستم سعی می کند که از این نرم افزار برای برقراری ارتباط با اینترنت استفاده کند و در غیر اینصورت از قابلیت Secure NAT استفاده می کند و در غیر اینصورت تلفن های واحد فناوری اطلاعات سازمان ITPRO به صدا در می آیند که ایهالناس اینترنت چرا قطعه ؟ این واحد IT چه غلطی می کنه !!! نکته کلیدی در اینجا این است که دیگر فایروال TMG در دسترس نیست و در این حالت Web Proxy Client هر روش دیگری را که بتواند از طریق آن به اینترنت دسترسی پیدا کند را تست می کند.


  • Alternative Forefront TMG : زمانیکه شما این گزینه را انتخاب می کنید در واقع به Web Proxy Client می گویید که می تواند در صورت لزوم می تواند از یک فایروال TMG دیگر به عنوان Web Proxy Server استفاده کند. با انتخاب این گزینه شما باید یک آدرس FQDN از سرور مقصد TMG یا آدرس Firewall Array را معرفی کنید. بعد از انجام اینکار Web Proxy Client دنبال راه های جانبی اتصال به Web Proxy Server نیز می گردد و شما یک TMG دیگر را به عنوان سرور به کلاینت ها معرفی می کنید.


همانطور که در تصویر زیر مشاهده می کنید امکانات مختلفی که در تب Web Browser وجود دارد که ما به ترتیب آنها را به شما معرفی کردیم ، شیوه آموزشی Unity به این شکل است که مباحث را بصورت کاملا تئوری ابتدا به شما آموزش خواهیم داد و سپس بحث عملی را با هم یاد می گیریم . کافیست به مقاله های قبلی بنده نیز مراجعه کنید. در محیط کار عملیاتی بنده به شخصه از همه این گزینه ها استفاده می کنم و امیدوارم در بخش اول این آموزش مفاهیم کلی این Check Box های به ظاهر ساده را به خوبی درک کرده باشید.

کاربرد تب Web Browser در تنظیمات فایروال TMG



کاربرد تب Auto Discovery در تنظیمات TMG


بر روی تب Auto Discovery کلیک کنید. در این تب شما می توانید تنظیماتی انجام دهید که اسکریپت انجام پیکربندی های خودکار Web Proxy Client ها و Firewall Client ها با استفاده از autoconfiguration script انجام شود. این اسکریپت انجام تنظیمات خودکار یا autoconfiguraation script تمامی تنظیماتی که نیاز است بر روی کلاینت های TMG Firewall Client یا Web Proxy Client انجام شود تا بتوانند به درستی با TMG Firewall ارتباط برقرار کنند را در خود دارد. توجه کنید که در این تب قابلیت شناسایی خودکار یا autodiscovery منتشر نشده است.

اگر می خواهید این تنظیمات توسط TMG Firewall منتشر شده و بصورت خودکار کلاینت ها این اسکریپت را دریافت کنند باید Check Mark مربوط به گزینه Publish automatic discovery information for this network را بزنید و از طرفی نیز شماره پورتی که اطلاعات بایستی توسط آن در شبکه منتشر شود را نیز تعیین کنید. مطمئن شوید که هیچ دستگاه یا فایروال نرم افزاری و سخت افزاری در میان راه ارتباطی شما و فایروال TMG وجود نداشته باشد که این پورت را در بین راه مسدود کند ، منظور از پورت همان شماره ای است که در قسمت the Use this port for automatic discovery requests تعیین می کنید. بصورت کلی دو روش وجود دارد که از طریق آنها TMG Firewall Client و Web Proxy Client ها اطلاعات مربوط به محل دریافت اسکریپت تنظیمات خودکار را دریافت می کنند :


  • گرفتن Query از سرویس DNS برای بدست آوردن نام WPAD
  • دریافت اطلاعات مربوط به سرور WPAD با استفاده از Option های موجود در DHCP Server


منظور از WPAD در تنظیمات Auto Discovery موجود در فایروال TMG چیست ؟


منظور از WPAD چیست ؟ فکر می کنم تا این لحظه متوجه شده باشید که WPAD مخفف Web Proxy Auto Discovery یا شناسایی خودکار پروکسی سرور است. زمانیکه می خواهید برای انتشار autoconfiguration script شماره پورت بدهید به هشدار هایی که داده می شود حتما توجه کند. اگر شما محل قرار گیری autoconfiguration script را DNS در نظر گرفته اید بنابراین حتما از پورت شماره 80 استفاده کنید. اگر می خواهید اینکار را با استفاده از Option های DHCP انجام دهید انعطاف پذیری زیادی دارید و می توانید هر شماره پورتی که مد نظر دارید را انتخاب کنید. به یک نکته دیگر هم توجه داشته باشید که فایروال TMG شما درست است که autoconfiguration script را در اختیار کلاینت ها از طریق پورت 80 قرار می دهد اما به هیچ عنوان یک وب سرور نیست و فقط به درخواستی از این نوع پاسخ می دهد.

کاربرد تب Auto Discovery در تنظیمات فایروال TMG



توجه کنید همانطور که در تصویر بالا نیز اشاره شده است برای اینکه TMG Firewall Client ها نیز بتوانند تنظیمات خودکار را از TMG دریافت کنند بایستی در تب Forefront TMG Client قابلیت Automatic Detection فعال شود. این ترجمه فارسی جمله To configure Forefront TMG Client [Firewall client] computers to use automatic discovery, enable automatic detection for settings on the Forefront TMG Client tab می باشد که در نهایت به شما می گوید که برای فعال کردن این پیکربندی باید به تب Forefront TMG Client بروید.

کاربرد تب Forefront TMG Client در تنظیمات TMG


بر روی تب forefront TMG Client کلیک کنید. همانطور که از نام این قسمت هم پیداست تنظیمات Firewall Client در این قسمت انجام می شود. شما برای فعال کردن یا عدم فعالیت قابلیت Firewall Client فقط کافیست گزینه Enable Forefront TMG Client Support for this network را انتخاب کنید و یا آن را غیر فعال کنید. به هر حال شما می توانید علاوه بر این قسمت پیکربندی های مربوط به Firewall Client را بصورت دستی بر روی Web Browser تک تک کلاینت هایی که از Firewall Client استفاده می کنند نیز انجام دهید. خوب اگر به تصویر زیر نگاه کنید در قسمت Client Computer Web Browser Configuration یا پیکربندی Web Browser کلاینت ها به گزینه های زیر برخورد می کنید :

  • Automatically detect settings : با انتخاب این گزینه شما به Firewall Client و کامپیوتری که بر روی آن نصب شده است می گویید که تنظیمات و پیکربندی های مربوط به Web Browser را بصورت خودکار با استفاده از قابلیت autodiscovery از طریق سرویس های DNS و DHCP دریافت کند و اگر WPAD در دسترس نبود بصورت خودکار Web Proxy به حالت direct access در می آید یعنی کلاینت دیگر از Web Proxy برای برقراری ارتباط با اینترنت استفاده نمی کند و به دنبال هر روش دیگری برای برقراری ارتباط با اینترنت می گردد.


  • Use automatic configuration script : زمانیکه این گزینه را انتخاب می کنید ، تنظیمات Web Browser موجود بر روی کلاینتی که از Firewall Client استفاده می کند بر اساس آدرس URL ای انجام می شود که در قسمت Use default URL یا Use Custom URL وجود دارد. آدرس URL پیشفرض یا همان Default URL شامل آدرسی است که شما در قسمت بالاتر به عنوان Forefront TMG name or IP address وارد کرده اید. بصورت پیشفرض این قسمت یک اسم NetBIOS ای یا Single Name ای می باشد ، اما به شما پیشنهاد می کنیم که در این قسمت ترجیحا از ساختار FQDN مربوط به نام سرور استفاده کنید. طبیعی است که در قسمت Custom URL شما می توانید یک URL قرار دهید که که مثل URL پیشفرض نیست. معمولا زمانیکه این اسکریپت بر روی یک سرور دیگر است یا اینکه می خواهید دو قالب اسمی متفاوت در قسمت autoconfiguration و IP Address داشته باشید از این قسمت استفاده می شود. تنظیمات خودکار پروکسی سرور از طریق یک فایل با پسوند .pac انجام می شود که در وقاع این URL به این فایل اشاره می کند.


  • Use a Web proxy server : با انتخاب این گزینه شما به کامپیوتری که دارای Firewall Client است می گویید که برای Web Browser خود از پروکسی سروری استفاده کند که در این قسمت مشخص می شود. به این موضوع توجه کنید که این گزینه باعث می شود که Web Browser شما به عنوان یک Web Proxy Client برای فایروال TMG عمل کند و طبیعتا محدودیت های پروکسی کلاینت را خواهد داشت ، با انتخاب این گزینه Web Browser کلاینت دیگر قادر به استفاده از autoconfiguration اسکریپت نخواهد بود.


معمولا بهترین گزینه استفاده از Automatically detect settings است. زمانیکه شما از autoconfiguration استفاده می کنید کلاینت در ابتدا به دنبال پیدا کردن تنظیمات از طریق WPAD و سرویس DNS و DHCP می رود و اگر توانست به این سرویس ها متصل شود autoconfiguration script را اجرا و پیکربندی سیستم را انجام می دهد و اگر نتوانست پیدا کند به حالت direct access در می آید و به دنبال هر راه دیگری برای برقراری ارتباط با اینترنت می گردد.برای شفافیت بیشتر به این موضوع توجه کنید که اگر شما گزینه Use automatic configuration script یا گزینه Use a Web proxy server را انتخاب کنید و Web Browser موجود در کلاینت نتواند به سرور دسترسی پیدا کند و سرور پاسخی ندهد ، کلاینت شما دیگر به دنبال روش دیگری برای دسترسی به اینترنت نخواهد رفت .

کاربرد تب Forefront TMG Client در تنظیمات فایروال TMG



کاربرد تب Web Proxy در تنظیمات TMG


بر روی تب Web Proxy کلیک کنید. در این تب شما می توانید قابلیت Proxy Server را بر روی TMG و شبکه فعال یا غیر فعال کنید. قابلیت پروکسی سرور در TMG به نام Web Proxy شناخته می شود ، بصورت پیشفرض این قابلیت بر روی شبکه های Internal و Perimeter در شبکه های TMG فعال هستند. شما می توانید با انتخاب گزینه Enable Web Proxy client connections for this network این قابلیت را فعال و با با برداشتن تیک این قسمت این قابلیت را غیر فعال کنید. گزینه Enable HTTP بصورت پیشفرض انتخاب شده است. پورت پیشفرضی که برای اینکار تعیین شده است TCP 8080 است اما شما می توانید به هر نحوی که دوست دارید این شماره پورت را تعیین کنید.

توجه کنید که قسمتی به عنوان SSL در این قسمت وجود دارد. شاید گمان کنید که TMG این قابلیت را به شما می دهد که بتوانید به وسیله پورت SSL پروکسی سرور راه اندازی کنید و به آن متصل شوید ، البته اگر اینطور بود خیلی لذت بخش بود اما این قسمت هیچ ربطی به این قضیه ندارد. زمانیکه شما گزینه Enable SSL را انتخاب می کنید شما به TMG می گویید که می تواند به عنوان یک Web Proxy Client برای یک TMG دیگر عمل کند ، این تنظیمات زمانی انجام می شود که شما دو عدد TMG دارید که یکی به کلاینت های شما نزدیک است و دیگری به اینترنت متصل است ، شما با استفاده از این گزینه ارتباط بین این دو پروکسی سرور را از طریق پورت SSL برقرار می کنید.

به این سناریو در اصطلاح فایروال Web Proxy Chaining یا Web Chaining هم گفت می شود. همچنین شما می توانید شیوه احراز هویت کاربران را نیز در این قسمت تعیین کنید ، احراز هویت یا همان Authentication توسط Web Listener ای انجام می شود که ارتباط شما با TMG را برقرار می کند. بصورت پیشفرض این حالت بر روی Integrated قرار دارد . شما می توانید بر اساس نیاز هر نوع روش احراز هویت دیگری را نیز تعیین کنید.


کاربرد تب Web Proxy در تنظیمات فایروال TMG 2010

کاربرد تب CARP در تنظیمات TMG

بر روی تب CARP کلیک کنید. CARP مخفف کلمه Cache Array Routing Protocol می باشد . با استفاده از این قابلیت شما به سرور TMG در یک Array می گویید که در صورتیکه چندین آدرس IP برای عملیات NAT وجود دارد ، تا پایان یک Session ای که کلاینت از مبدا به مقصد ایجاد کرده است آدرس IP وی را عوض نکند. برای تنظیمات Web Proxy این عمل فعلا چندان کاربردی ندارد و فقط دانستن همین موضوع کفایت می کند.

کاربرد تب CARP در تنظیمات Web Proxy Client در فایروال TMG 2010

کاربرد تب NLB در تنظیمات TMG

بر روی تب NLB کلیک کنید ، همانطور که از نامش پیداست NLB مخفف کلمه Network Load Balancing است و زمانی استفاده می شود که شما بخواهید سرور های Load Balace داشته باشید تا در صورت قطع شدن یکی از ارتباطات سرورها با اینترنت سرور دیگر وارد کار عملیاتی شود و شما قطعی نداشته باشید. برای راه اندازی پروکسی سرور تنظیمات آن این تب کمکی به شما نخواهد کرد و به امید خدا در یک سری مقاله در خصوص شیوه راه اندازی NLB در فایروال TMG با هم صحبت خواهیم کرد.

کاربرد تب NLB در تنظیمات فایروال TMG 2010

خلاصه

در این دو آموزش به شما نحوه انجام دادن و پیکربندی های مربوط به پروکسی سرور در TMG را آموزش دادیم و شما دیگر تمامی تب های اصلی در راه اندازی این سرویس را دیده اید. اکثر این تنظیمات برای پیکربندی TMG Firewall Client هم یکسان است و شما می توانید مطمئن باشید که الان TMG firewall Client شما هم با همین تنظیمات کار می کند. اما یک نکته باقی می ماند ، همه این تنظیمات زمانی کار می کند که شما Rule استفاده از پروکسی را در TMG اضافه کنید در غیر اینصورت خود TMG اجازه عبور ترافیک را نمی دهد ، ما در این پیکربندی ها صحبتی از Rule و قوانین ترافیکی نکردیم .در آموزش بعدی در این خصوص صحبت خواهیم کرد ، امیدوارم مورد توجه شما دوستان قرار گرفته باشد ، اگر سئوال یا ابهامی در خصوص آموزش ها وجود دارد خوشحال می شوم که در ادامه همین مطلب ابهام را عنوان کنید

Web Access Rule

تا این لحظه شما با پیکربندی تنظیمات مربوط به Secure NAT و Web Proxy و حتی TMG Firewall Client از سمت سرور آشنا شدید . اما همه این تنظیمات بدون نوشتن Rule برای دسترسی به اینترنت بی فایده است ، این تنظیمات هیچ ارتباطی با نحوه عبور ترافیک از فایروال ندارند و نحوه گذر کردن ترافیک در فایروال TMG توسط Firewall Access Rule ها یا قوانین دسترسی فایروال تعیین می شود. این قوانین از نظر تئوری در همه فایروال های دنیا یکسان است اما از لحاظ پیاده سازی ممکن است در هر فایروالی متفاوت باشند ، در این آموزش به روش ایجاد کردن Access Rule در TMG 2010 می پردازیم . بصورت کلی یک Access Rule یا یک Firewall Rule تابع قوانین زیر می باشد :

  1. نام Access Rule ( یک اسم که هویت Rule را برای کاربر نمایش می دهد و اصلا برای سیستم مهم نیست )
  2. عکس العمل یا Action ( فعالیتی که فایروال در قبال ترافیک انجام می دهد که یا Allow است یا Deny )
  3. نوع پروتکل یا Protocol ( نوع ترافیکی که از فایروال رد و بدل می شود را نمایش می دهد )
  4. مبدا یا Source ( محلی که ترافیک از آن به سمت فایروال ارسال می شود )
  5. مقصد یا Destination ( محلی که ترافیک به سمت آن ارسال می شود )
  6. کاربران یا Users ( تعیین اینکه چه کسانی قادر به عبور دادن ترافیک از فایروال هستند)
  7. زمان یا Time ( تعیین اینکه ترافیک عبوری در این Rule در چه زمانی حق عبور از این فایروال را دارد )


آموزش ایجاد کردن Access Rule در فایروال TMG 2010

1-حالا که کمی با مفهوم Rule آشنا شدید به سراغ ایجاد کردن Rule در TMG می رویم ، برای اینکار شما بعد از اینکه مشابه تصویر زیر وارد کنسول TMG شدید از قسمت چپ تصویر بر روی گزینه Web Access Policy که به معنی سیاست دسترسی به وب است ( خیلی بی معنی میشه ترجمش همون بهتر از فارسی استفاده نکنیم ) ، همانطور که در وسط تصویر مشاهده می کنید Rule پیشفرض این مجموعه همه ترافیک را Deny کرده است و هیچ ترافیکی فعلا از TMG عبور نمی کند ، برای ایجاد یک Access Rule کافیست از قسمت Tasks در سمت راست تصویر که با رنگ قرمز مشخص شده است بر روی Create Access Rule کلیک کنید :

نحوه ایجاد Rule در فایروال TMG 2010



2-گام بعدی همانطور که در تصویر زیر مشاهده می کنید انتخاب یک اسم مناسب برای این Access Rule است . توجه داشته باشید که اسم برای کاربر مدیر سیستم مهم است نه برای نرم افزار فایروال ، نرم افزار فایروال TMG هیچ درکی از اسامی ندارد و این نامگذاری صرفا برای به وجود آمدن یک درک مفهومی کلی از Rule هایی است که در این فایروال نوشته شده اند. بعضا ممکن است در یک فایروال چندین و چند Access Rule وجود داشته باشد و تمایز بین آنها برای کاربر سخت باشد. در اینجا ما می خواهیم اجازه دسترسی به کاربران شبکه داخلی به شبکه اینترنت که همان شبکه خارجی است را بدهیم بنابراین اسم Rule را Allow Access From Internal To External می گذاریم. بر روی Next کلیک کنید.

نامگذاری Web Access Rule ها در فایروال TMG 2010



3-صفحه بعدی به عنوان Rule Action است بدین معنا که فایروال قرار است در قبال ترافیکی که این Rule تعیین می کند چه اقدامی انجام دهد ، ترافیک را مسدود کند یا Deny و یا اینکه اجازه عبور به ترافیک را بدهد که Allow می شود . در سناریوی ما می خواهیم به یک کاربر خاص اجازه دسترسی به اینترنت از طریق پروکسی سرور را بدهیم بنابراین گزینه ما Allow خواهد بود. اما برای من همیشه جای سئوال بوده است که قانون در همه فایروال ها یکی است و همه فایروال ها باید همه پورت ها و ترافیک ها را غیر از ترافیکی که نیاز است مسدود یا Block کنند ، خوب منطقی نیست که بگوییم همه پورت ها باز باشد اما فقط این ترافیک بسته باشد ! خوب بنده نمی خواهم این منطق را زیر سئوال ببرم اما خوب بد نیست که بدانید. در اینجا بعد از انتخاب Allow بر روی Next کلیک کنید.

Action فایروال TMG در Web Access Policy



4-تصویری که در پایین مشاهده می کنید در واقع نوع ترافیکی که قرار است این Rule به آن اعمال شود را تعیین می کند. قاعدتا در شبکه های کامپیوتری نوع ترافیک بر اساس نوع پروتکل شبکه ای که این ترافیک استفاده می کند تعیین می شود و شما می توانید با کوچکترین پروتکل های موجود در شبکه که بصورت لیست شده در TMG وجود دارند اینکار را انجام دهید. ما در اینجا می خواهیم کلیه پروتکل های شبکه بتوانند از اینترنت استفاده کنند و به همین دلیل گزینه All outbound traffic را انتخاب می کنیم تا به همه پروتکل ها اجازه استفاده از اینترنت را بدهد.

تعیین نوع ترافیک عبوری از فایروال TMG در Web Access Policy



5-اگر در همان تصویر بالا بر روی گزینه Ports کلیک کنید با تصویر زیر مواجه خواهید شد. در این قسمت شما می توانید Source Ports را مشخص کنید. Source Ports به معنای پورت های مبدا می باشد. شما می توانید به TMG بگویید که در صورتیکه ترافیک ورودی به TMG از این آدرسهای مبدا باشد اجازه عبور از فایروال را داشته باشد و در صورتیکه جزوی از این آدرس های مبدا نباشد اجازه عبور نخواهد داشت. شما می توانید هم پورت ها را بصورت تکی معرفی کنید و هم اینکه بصورت محدوده ای از پورت ها مشخص کنید. فعلا ما قصد محدود کردن ترافیک از طریق آدرس های مبدا را نداریم بنابراین بر روی OK در صفحه Source Ports کلیک می کنیم.

تعیین آدرس ها و پورت های مبدا در TMG 2010 در قسمت Source Ports



6-برای اینکه مطمئن شوید TMG برای شما لیستی از پروتکل های قابل استفاده را ز قبل تهیه کرده است در قسمت This rule applies to گزینه Selected Protocols را انتخاب کنید ، در همین حین دکمه Add فعال می شود ، بر روی آن کلیک کنید تا تصویر زیر را مشاهده کنید. در این قسمت شما می توانید پروتکلی که قصد اضافه کردن به Rule را دارید را انتخاب کنید البته در شرایطی که Rule های سرسختانه ای مد نظر شما باشد . تصویر زیر فقط جهت نشان دادن این موضوع به شما می باشد ، Close را کلیک کنید و بر روی Next کلیک کنید .

تعیین نوع پروتکل های عبوری از فایروال TMG در Web Access Wizard



7-صفحه بعدی در خصوص فعال بودن سرویس شناسایی بدافزارهای موجود در ترافیک ورودی و خروجی یا Malware inspection می باشد. همانطور که قبلا هم اشاره کردیم با توجه به سرعت محدود اینترنت ایران معمولا این گزینه را غیر فعال می کنیم هر چند که هسته اصلی این قابلیت باید در کنسول TMG فعال باشد تا شما بتوانید در این Rule از آن استفاده کنید ، در هر صورت در این قسمت بر روی گزینه Do not enable malware inspection for this rule مشابه تصویر زیر کلیک می کنیم و بر روی Next کلیک می کنیم.

فعال کردن Malware Inspection در فایروال TMG 2010



8-تصویر بعدی از شما مبدا یا Source ترافیک را می خواهد که ما آن را به شکل From یعنی از می شناسیم . به معنی اینکه ترافیک ورودی از چه مبدا ای وارد این سرور می شود. برای اینکه بتوانید براحتی با این Rule کار کنید کافیست بر روی دکمه Add کلیک کنید تا بصورت خودکار و طبقه بندی شده TMG به شما شبکه هایی که شناسایی شده اند را نمایش دهد، اگر به خاطر داشته باشید در همان ابتدای این سری آموزشی شبکه های Internal و External را به TMG معرفی کردیم. با توجه به اینکه ترافیک ما می خواهد از شبکه داخلی به سمت شبکه خارجی برود در اینجا به عنوان آدرس مبدا از قسمت Networks گزینه Internal را انتخاب کرده و بر روی Add کلیک کرده و سپس مشابه شکل زیر Next را بزنید.

تعیین مبدا عبور ترافیک یا From در فایروال TMG 2010



9-صفحه بعدی از شما مقصد ترافیک یا Destination را می خواهد که ما آن را به شکل به یا TO می شناسیم . به معنی اینکه ترافیک وارد شده از مبدا قرار است به چه سمتی هدایت شود و به کدام سمت باید مسیریابی شود . این قسمت نیز بسیار ساده است کافیست بر روی دکمه Add کلیک کنید و مطابق تصویر زیر مقصد ترافیک که در اینجا شبکه خارجی است را انتخاب کنیم ، در اینجا با توجه به سناریوی موجود بر روی External کلیک می کنیم ، سپس گزینه Add را زده و بر روی Next کلیک می کنیم.

تعیین مقصد عبور ترافیک از فایروال TMG 2010 در قسمت TO



10-صفحه بعد از ما کاربرانی که اجازه استفاده از این Rule را دارند مشخص می کند. دقت کنید که وجود کاربر صرفا در Web Proxy و Firewall Client معنی دارد و در حالت Secure NAT ما چیزی به نام کاربر نداریم زیرا درکی از کاربر در این حالت وجود ندارد. اگر در این قسمت دستکاری انجام ندهید و بر روی Next کلیک کنید ، در حالت پیشفرض گزینه All Users قرار دارد که تمامی کاربران را شامل می شود ، در این حالت شما Secure NAT راه اندازی کرده اید ، اما اگر می خواهید کاربران خاصی را اجازه دسترسی بدهید بر روی دکمه Add کلیک کنید.

مشخص کردن کاربران پروکسی سرور در tmg 2010



11-با توجه به اینکه ما می خواهیم کاربر خاصی را برای این موضوع تعیین کنیم بر روی گزینه New کلیک می کنیم و تصویر زیر مشاهده می شود . در اینجا شما با یک ویزارد مواجه می شوید که در آن شما می توانید برای TMG یک مجموعه کاربر یا یک گروه ویندوزی یا غیر ویندوزی و ... را تعیین کنید. ما در اینجا می خواهیم کاربری به نام Unity که بر روی همین سرور TMG بصورت Local اضافه شده است را اضافه کنیم ، ترجیحا برای اینکه درک بهتری از گروه ایجاد شده داشته باشیم یک نام مناسب نیز به این گروه می دهیم ، با توجه به اینکه در سناریو ما کاربران قرار است از پروکسی سرور استفاده کنند در قسمت خالی ITPRO Proxy Users را نوشته و بر روی Next کلیک می کنیم.

مشخص کردن کاربران پروکسی سرور در tmg 2010



12-همانطور که تصویر زیر مشاهده می کنید برای اضافه کردن کاربران به این گروه از قسمت Add گزینه Windows Users and Groups را انتخاب می کنیم ، شما می توانید از محل های مختلفی کاربران خود را اضافه کنید از جمله اینکه می توانید از یک Directory Service مثل LDAP یا یک RADIUS سرور برای اضافه کردن کاربران استفاده کنید ، با توجه به اینکه کاربران ما در ویندوز تعریف شده اند در این قسمت بر روی Windows Users and Groups کلیک می کنیم.

مشخص کردن کاربران پروکسی سرور در tmg 2010



13-بعد از اینکه کاربر یا گروه مورد نظر خود را پیدا کردید آن را انتخاب کنید و به لیست ویزارد اضافه کنید و Next و سپس Finish را بزنید. همانطور که در تصاویر زیر نیز مشاهده می کنید ابتدا یک گروه در لیست گروه های TMG به همان اسمی که در ابتدای ویزارد تعیین کردیم اضافه می شود ، کافیست آن را انتخاب کرده و بر روی Add کلیک کنیم و بعد وارد ادامه ویزارد ایجاد Web Access Rule می شویم با این تفاوت که اینبار ما کاربر خاصی را اضافه کرده ایم ، ترجیحا در چنین مواقعی گروه All Users را Remove کنید تا در لیست کاربران وجود نداشته باشد ، با وجود این گروه Rule شما رسما بلا استفاده خواهد بود. در ادامه ویزارد بر روی Next کلیک کنید.

مشخص کردن کاربران پروکسی سرور در tmg 2010



مشخص کردن کاربران پروکسی سرور در tmg 2010



مشخص کردن کاربران پروکسی سرور در tmg 2010



14-همانطور که در تصویر زیر نیز مشاهده می کنید خلاصه ای از کلیه عملیاتی که در ویزارد Web Access Rule انجام شده است به شما نمایش داده می شود ، بد نیست یک مرور کلی بر روی این خلاصه داشته باشید تا در صورت مشکل بتوانید آن را تصحیح کنید. سپس بر روی دکمه finish کلیک کنید تا Web Access Rule شما به درستی ایجاد شود.

روش اضافه کردن Rule در فایروال TMG 2010



15-مجددا به قسمت Web Access Policy موجود در کنسول TMG بروید ، همانطور که مشاهده می کنید Rule شما ایجاد شده است و بالاتر از Rule پیشفرض با اولویت بالاتری در فایروال مستقر شده است ، اما هنوز Rule ما اعمال نشده است ، برای اینکه Rule را اعمال کنید بر روی دکمه Apply کلیک کنید ، توضیحاتی در خصوص کاری که این Rule انجام می شود در قسمت Description قرار بدهید و مجددا Apply را کلیک کنید ، البته الزامی برای وارد کردن توضیحات وجود ندارد اما خیلی منظم کار شما انجام می شود. در نهایت Rule شما ایجاد شده است و آماده به کار می باشد.

مشاهده Web Access Rule ها و اضافه کردن Rule در TMG 2010



خلاصه


خوب در این آموزش شما با نجوه ایجاد کردن یک Web Access Rule در فایروال TMG آشنا شدید ، این ویزارد نصب برای همه کارهای دیگر در TMG نیز استفاده می شود پس یاد بگیرید که به درستی از آن استفاده کنید. در این آموزش شما می توانید براحتی تنظیمات مربوط به Seucre NAT و Web Proxy را انجام دهید. حالا شبکه شما اینترنت دارد و آن هم از نوع پروکسی ، کافیست در آدرس پروکسی سروری که در سمت کلاینت شبکه قرار می دهید آدرس سرور به همراه شماره پورت 8080 را بدهید و بعد از وارد کردن رمز عبور و نام کاربری معتبر در Rule فایروال به اینترنت دسترسی پیدا کنید ، امیدوارم مورد توجه شما دوستان قرار گرفته باشد ، بی صبرانه منتظر انتقادات و پیشنهادات شما در خصوص این سری آموزش ها هستم


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات