Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1
Quản trị mạng – Trong phần này chúng tôi s
ẽ giới thiệu cho các bạn một số hệ
số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG.
Tường lửa Forefront Threat Management Gateway (TMG) 2010 là m
ột cổng
bảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng v
à
l
ớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanh
tra lưu lượng lớn ứng dụng, xác thực người dùng, cho phép điều khiển dựa tr
ên
danh tiếng và thanh tra truyền thông HTTPS. Các tính năng nâng cao n
ày tiêu
tốn rất nhiều tài nguyên và có thể cản trở thông lượng và làm ch
ậm nếu hệ
thống được cấu hình không đúng hoặc được kích thư
ớc không thích hợp.
Trong bài này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề chung có th
ể
dẫn đến tình trạng nghèo hiệu suất và bên cạnh đó là một số cách cải thiện v
à
tối ưu giải pháp.
Cấu hình phần cứng
Trước khi bắt đầu bất cứ thảo luận nào về tường lửa TMG và hi
ệu suất, một
điều quan trọng cần lưu ý đó là phần cứng nằm bên dưới đ
ối với nhiệm vụ hỗ
trợ của TMG trong vai trò mà nó được triển khai. Cách tốt nhất l
à chúng ta nên
sử dụng phần cứng lớp máy chủ chất lượng cao hoặc thiết bị bảo mật chuy

ên
dụng. Để có kết quả tốt nhất, phần cứng cần phải được kích thư
ớc đúng cách
cho môi trường của nó và có lư
ợng tải thích hợp. Tính năng thanh tra lớp ứng
dụng và lớp mạng nâng cao của TMG có thể lạm dụng đáng kể tài nguyên ph
ụ
thuộc vào hệ thống, vì vậy để có đư
ợc sức mạnh xử lý thỏa đáng, bộ nhớ, dung
lượng ổ đĩa và mạng chính là điều quan tr
ọng mang tính nền tảng đối với sự ổn
định và hiệu suất cao của giải pháp.
Việc xác định được dung lượng phần cứng yêu cầu là bao nhiêu cho m
ột thực
thi cụ thể là hết sức khó khăn, nguyên nhân là m
ỗi một triển khai mang tính
duy nhất và có nhiều hệ số phụ thuộc. Để hỗ trợ việc xác định các yêu c
ầu về
phần cứng, Microsoft đã giới thiệu công cụ Forefront TMG Capacity P
lanning
Tool. Công cụ này cho phép bạn có thể nhập vào các chi ti
ết cụ thể về môi
trường của mình còn lại nó sẽ cung cấp lời khuyên v
ề các chi tiết kỹ thuật phần
cứng bằng cách dựa trên số lượng người dùng mong đợi và băng thông mà b
ạn
có cũng như các tính năng bảo vệ sẽ được sử dụng. Cần có một kế hoạch d
ư
thừa đối với CPU và bộ nhớ để bảo đảm có được hiệu suất tốt nhất, đây cũng l
à

biện pháp dự phòng trong các trường hợp cần mở rộng sau này.
Các dịch vụ cơ sở hạ tầng
Tường lửa TMG dựa phần lớn vào việc hỗ trợ các dịch vụ cơ s
ở hạ tầng để
thực hiện các nhiệm vụ của nó. Hiệu suất tổng thể của giải pháp phụ thuộc v
ào
cách các dịch vụ chẳng hạn như Active Directory và DNS hoạt động tốt nh
ư
thế nào. Nếu tồn tại các vấn đề với Active Directory hay DNS sẽ không
có
cách nào điều khiển TMG để khắc phục đư
ợc vấn đề hiệu suất. Tuy có nhiều
thứ có thể đi sai lệnh đối với Active Directory hoặc DNS nhưng chúng tôi s
ẽ
không cung cấp một danh sách toàn diện những vấn đề mà chỉ nêu m
ột số vấn
đề chung có thể làm giảm đáng kể hiệu suất của TMG đó là:
Kết nối mạng – Hiệu suất có thể bị ảnh hưởng khá tiêu cực nếu tư
ờng lửa
TMG không có k
ết nối mạng tin cậy với Active Directory hoặc DNS. TMG
cần phải được kết nối tốt với các dịch vụ này; lý tưởng khi chúng đư
ợc đặt
trong cùng vị trí vật lý và có k
ết nối tốc độ gigabit. Cần bảo đảm tất cả các
thiết bị trung gian như router, switch,… đều làm việc tốt và không có xu
ất hiện
dấu hiệu lỗi.
Cấu hình site Active Directory – Đôi khi hiệu suất nghèo cũng có thể do tư
ờng

lửa TMG thực hiện xác thực các domain controller định vị trong các vùng đ
ịa
lý khác nhau. Điều này bị gây ra bởi cách cấu h
ình các site Active Directory
không đúng. Do đó c
ần bảo đảm rằng các Active Directory IP subnet phải
được định nghĩa đúng và site Active Directory được cấu hình có ch
ứa các
domain controller nằm cùng với tường lửa TMG.
N
ối mạng
Ở mức thấp nhất, TMG là một tư
ờng lửa định tuyến có tác dụng phân phối dữ
liệu từ một giao diện này tới giao diện khác nếu chính sách cho phép. Như v
ậy
cấu hình mạng đóng vai trò quan tr
ọng trong vấn đề hiệu suất của hệ thống.
Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lư
ợng
cũng như hiệu suất mạng:
Tốc độ cổng và chế độ song công – L
ỗi tốc độ cổng hoặc thiết lập song công
(duplex) sẽ làm gi
ảm hiệu suất mạng một cách khủng khiếp. Để hoạt động
đúng, các thiết lập này phải giống như t
ại các kết nối. Điều đó có nghĩa rằng
nếu bạn thực hiện cấu hình thủ công các thiết lập trên giao diện m
ạng của
tường lửa TMG thì bạn cũng phải thực hiện thiết lập như vậy tr
ên switch mà

nó được kết nối đến. Nếu switch mà nó kết nối đến là m
ột switch tự do, bạn
cũng phải đặt các thiết lập của giao diện mạng tường lửa TMG ở chế độ auto-
negotiate (tự đồng điều đình). Bạn không thể cấu hình một phía này th
ủ công
và phía kia để tự động. Dù bất cứ tình huống nào cũng không nên s
ử dụng hub
trong môi trường sản xuất.
Cấu hình DNS/ Thứ tự liên kết giao diện mạng – Đây là m
ột trong những lỗi
cấu hình hay gặp nhất và có thể gây nên tình trạng kém hiệu suất phân giải t
ên
cũng như hiện tượng xác thực không tin cậy. Các máy chủ DNS cần đư
ợc cấu
hình chỉ trên giao diện mạng bên trong. Thêm vào đó, về cơ b
ản giao diện
mạng bên trong trên nhiều tường lửa cần được cấu hình trư
ớc trong danh sách
thứ tự các giao diện mạng.
Các đoạn mạng được cách ly – Một ý tư
ởng tuyệt vời khi đặt các giao diện
mạng của tường lửa TMG trong các đoạn mạng cách ly bất cứ khi nào có th
ể.
Bằng cách này chúng ta có thể cải thiện được cả hai vấn đề hiệu suất và b
ảo
mật, làm giảm rủi ro của kiểu tấn công ARP cache poisoning và làm cho m
ạng
trở nên khó bị phát hiện hơn. Nếu Network Load Balancing (NLB) đư
ợc kích
hoạt thì điều này thậm chí còn quan trọng hơn. M

ặc định, NLB sẽ quảng bá các
thông tin đồng bộ để tất cả các host trên đoạn mạng có thể thấy. Các tư
ờng lửa
TMG được cấu hình trong các đoạn mạng cách ly sẽ hạn chế đư
ợc sự quảng
bá, nó sẽ chỉ quảng bá cho các host yêu cầu nó.
Cấu hình tường lửa phía sau –Tường lửa TMG không phải là một cấu hình tối
ưu dưới dạng bảo mật và hi
ệu suất. Các host bị lộ diện trực tiếp với Internet
đều được bảo vệ bằng các bộ quét và kiểm tra. Việc cấu hình tư
ờng lửa TMG
như một tường lửa phía sau cho tường lả khác có thể giảm số lư
ợng tạp nhiễu
mà nó phải xử lý. Cho ví dụ, một Cisco ASA tại network edge được cấu h
ình
cho phép chỉ các giao thức mà TMG sẽ xử lý sẽ giải phóng được rất nhiều t
ài
nguyên để thực hiện hành động xác thực và thanh tra lưu lư
ợng lớp ứng dụng
nâng cao. Một lợi ích nữa ở đây là giảm được sự “ô nhiễm” bản ghi, l
àm cho
dữ liệu bản ghi trở nên trong sáng và dễ hiểu hơn, dễ nhận biết các lưu lư
ợng
bất thường.
Máy khách Web Proxy – Việc cấu h
ình các máy khách làm máy khách Web
Proxy mang lại khá nhiều lợi ích về hiệu suất, mặc dù nhiều quản trị vi
ên thích
cấu hình máy khách SecureNAT vì nó không yêu c
ầu thay đổi phần mềm

client. Các máy khách SecureNAT về cơ bản sẽ tiêu tốn lượng t
ài nguyên trên
tường lửa TMG nhiều hơn so với các máy khách Web Proxy v
ì máy khách
Web Proxy sẽ thiết lập ít kết nối TCP đến các b
ộ lắng nghe web proxy của
tường lửa TMG nhằm lấy lại nội dung web hơn. Cho ví d
ụ, khi kết nối đến một
trang web phổ biến nào đó (trong ví dụ n
ày là espn.com), máy khách
SecureNAT đã thiết lập 31 kết nối TCP để hiển thị trang chính.

Trong khi đó nếu cấu hình một Web Proxy client thì chỉ có 6 kết nối TCP đư
ợc
yêu cầu để hiển thị cùng trang đó.

Do đó nếu bạn có hàng nghìn người dùng, việc tăng số lư
ợng các kết nối TCP
này sẽ giải hưởng rất lớn đến hiệu suất CPU.
Kết luận
Quả thực có vô số hệ số có thể ảnh hưởng đến sự ổn định và hiệu suất tư
ờng
lửa TMG. Trong bài này, chúng tôi đ
ẫ giới thiệu cho các bạn tầm quan trọng
của việc có các dịch vụ cơ sở hạ tầng khỏe mạnh chẳng hạn nh
ư Active
Directory và DNS. Chúng ta đã thiết lập tường lửa TMG được kết nối tốt v
ới
các dịch vụ này, bên cạnh đó cần phải cấu h
ình site và Active Directory IP

subnet được thiết lập đúng cách. Chúng ta cũng xem xét đến việc cấu hình k
ết
nối mạng và cách thực hiện tốt nhất giúp cải thiện thông lư
ợng mạng. Các thiết
lập mạng được cấu hình đúng cách chẳng hạn như tốc độ cổng và ch
ế độ song
công, cấu hình máy chủ DNS, thứ tự liên kết giao diện mạng,… là nh
ững vấn
đề quan trọng trong việc tối ưu thông lượng. Việc sắp đặt tường lửa và c
ấu
hình máy khách cũng ảnh hưởng rõ rệt đến việc sử dụng tài nguyên và hi
ệu
suất của hệ thống. Trong phần tiếp theo của loạt bài, chúng tôi s
ẽ giới thiệu
tiếp cho các bạn một số cách khác có thể giúp tối ưu trên tường lửa TMG.

Văn Linh (Theo Isaserver)