Tải bản đầy đủ (.pdf) (67 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Tìm hiểu và triển khai forefront tmg 2010

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.98 MB, 67 trang )

ĐỀ CƯƠNG THỰC HIỆN ĐỒ ÁN 5
Nhóm: 03

Tìm hiểu và triển khai
FOREFRONT TMG 2010 cho công ty
TNHH Mai Lan
Tên đồ án:

1


PHẦN 1:MỞ ĐẦU
1.1. Lý do chọn đề tài
Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu
hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công
nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của các ngành
khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát
triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện
thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng
là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không
gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật
được triển khai với nhiều hình thức nhằm giữ tồn vẹn thơng tin của doanh nghiệp được
ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối
mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng
dụng bảo vệ mạng theo mơ hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng
Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là
tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ
thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tơi đã chọn và cùng


thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này
và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management
Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự
Forefront TMG chính là phiên bản tích hợp của:
 Internet Security and Acceleration Server (ISA)
 Forefront Client Security
 Forefront Security for Exchange Server
 Forefront Security for SharePoint
Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên
nên Forefront TMG có khả năng:
 Bảo vệ hệ thống đa dạng hơn
 Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management 2010
đã sớm khẳng định được vị thế của mình. Rõ nét là đang được nhiều doanh nghiệp tìm

2


hiểu và áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp
mình.
1.2. Đối tượng nghiên cứu
Nhóm tập trung đi sâu vào nghiên cứu:
 Firewall
 Forefront TMG 2010
1.3. Phạm vi nghiên cứu
 Công ty TNHH Mai Lan
 Các cơng ty vừa và nhỏ khác
1.4. Mục đích nghiên cứu
1.5. Cấu trúc báo cáo

Báo cáo gồm các nội dung sau:
Phần 1: Mở đầu
1.1.

Lý do chọn đề tài

1.2.

Đối tượng nghiên cứu

1.3.

Phạm vi ứng dụng

1.4.

Mục đích nghiên cứu

1.5.

Cấu trúc báo cáo

Phần 2: Nội dung
Chương 1. Tổng quan về Firewall
1.1.

Khái niệm Firewall

1.2.


Chức năng của Firewall

1.3.

Nguyên lý hoạt động của firewall

1.4.

Phân loại Firewall

1.5.

Những hạn chế của firewall

Chương 2. Tổng quan về Forefront TMG 2010
2.1.

Lịch sử phát triển của TMG 2010

2.2.

Các mơ hình Firewall( Forefront TMG 2010)

2.3.

Tính năng của Forefront TMG 2010

Chương 3. Triển khai ForeFront TMG 2010 cho công ty TNHH Mai Lan
3.1.


Khảo sát yêu cầu của công ty
3.1.1. Sơ đồ hệ thống mạng hiện tại
3.1.2. Yêu cầu của công ty

3


3.2.

Phân tích yêu cầu và giải pháp

3.3.

Triển khai
3.3.1. Các yêu cầu phần cứng khi cài đặt Forefront TMG 2010
3.3.2. Các yêu cầu phần mềm khi cài đặt Forefront TMG 2010
3.3.3. Cài đặt ForeFront TMG 2010
3.3.4. Triển khai dịch vụ cho hệ thống
3.3.4.1 Cấu hình các Access Rule
Web Access
DNS Query
Malware Inspection
HTTPS Inspection
3.3.4.2. Cấu hình network ispection system (NIS)
3.3.4.3. Bảo mật hệ điều hành với forefront client security
3.3.4.4. Bảo mật máy chủ Exchange
3.3.4.5. Cấu hình ISP Redundancy (Load balancing)
3.3.4.6. Cấu hình forefront unifiel access gateway 2010
3.3.4.7. Cấu hình Intrusion Detection
3.3.4.8. Thực hiện backup và restore

3.3.5. Demo trên mơ hình giải lập

Phần 3 Tổng kết
1.1.

Kết quả đạt được

1.2.

Ưu nhược điểm của hệ thống

1.3.

Hướng phát triển

Danh mục tham khảo

4


PHẦN 2: NỘI DUNG
CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL
1.1.

Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng

có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng khơng tin tưởng (Untrusted network).

Hình 1.1: Mơ hình firewall
Thơng thường Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trị chính là bảo mật thơng tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Hệ thống Firewall thường bao gồm cả phần cứng và phần mềm nhưng thường là
cả hai. Về mặt cứng thì firewall có chức năng giống một router, có cho phép hiển thị
các địa chỉ IP đang kết nối qua nó. Điều này cho phép bạn xác định được các địa chỉ
nào được phép và các địa chỉ IP nào không được phép kết nối.
Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt đối xử
hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn.
Nếu máy tính của bạn khơng được bảo vệ, khi kết nối Internet, tất cả các giao
thông ra vào mạng đều được cho phép, vì thế hacker, Trojan, virus có thể truy cập và
lấy cắp thơng tin cá nhân trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn cơng
file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính của bạn để tấn cơng một

5


máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể
giúp bạn thốt khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn.
1.2.

Chức năng của Firewall

Chức năng chính của Firewall là kiểm sốt luồng thơng tin giữa mạng cần bảo
vệ (Trusted Network) và Internet thơng qua các chính sách truy nhập đã được thiết lập.

 Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào
trong.


Kiểm soát đại chỉ truy nhập và dịch vụ sử dụng.



Kiểm soát người sử dụng và việc truy nhập của người sử dụng.



Kiểm sốt nội dung thơng tin lưu chuyển trên mạng.



Ngăn ngừa khả năng tấn cơng từ các mạng ngồi.

Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát
hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ
mạng. Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộ
giao tiếp với mạng bên ngoài và ngược lại.
1.3.

Thành phần cơ bản của Firewall và nguyên lý hoạt động

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo
thuật tóan chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác
hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành
các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng,

tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các
packet và những con số địa chỉ của chúng.
Một firewall bao gồm một hay nhiều thành phần sau:
 Bộ lọc packet (packet-filtering router).
 Cổng ứng dụng (Application-level gateway hay proxy server).
 Cổng mạch(circuite level gateway).
1.3.1. Bộ lọc packet (packet-filtering router):

Hình 1.2: Packet-filtering router

6


Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra tồn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật
lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu
mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source).
• Địa chỉ IP nơi nhận ( Destination).
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …).
• Cổng TCP/UDP nơi xuất phát.
• Cổng TCP/UDP nơi nhận.
• Dạng thơng báo ICMP.
• Giao diện packet đến.
• Giao diện packet đi.
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được
chuyển qua, nếu khơng thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có
khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống
mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ
lọc không kiểm sốt được nội dụng thơng tin của packet. Các packet chuyển qua vẫn có

thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Ưu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao
gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người
sử dụng và các ứng dụng, vì vậy nó khơng u cầu sự huấn luyện đặc biệt nào cả.
Hạn chế:
Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header,
và các giá trị cụ thể có thể nhận trên mỗi trường. Khi địi hỏi vể sự lọc càng lớn, các
luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet khơng kiểm
sốt được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo
những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
1.3.2. Cổng ứng dụng (application-level getway)
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động
của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt
cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy

7


code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được cung cấp và do đó
khơng thể chuyển thơng tin qua firewall. Ngồi ra, proxy code có thể được định cấu
hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòi quản trị mạng cho là chấp
nhận được trong khi từ chối những đặc điểm khác.

Hình 1.3: Application-level getway
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì

nó được thiết kế đặt biệt để chống lại sự tấn cơng từ bên ngồi. Những biện pháp đảm
bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn
(secure version) của các phần mềm hệ thống (Operating system). Các version an toàn
này được thiết kế chuyên cho mục đích chống lại sự tấn cơng vào Operating System,
cũng như là đảm bảo sự tích hợp firewall. Chỉ những dịch vụ mà người quản trị mạng
cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ
khơng được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các
ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt
trên bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ
như user password hay smart card. Mỗi proxy được đặt cấu hình để cho phép truy
nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm
thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên tồn hệ thống. Mỗi proxy
duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thơng qua nó, mỗi sự
kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết
hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion
host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ mơt
proxy đang có vấn để.
Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.

8


Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các
dịch vụ ấy bị khố.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép
lại thơng tin về truy nhập hệ thống.

Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so
với bộ lọc packet.
Hạn chế:
Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên
máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng
ứng dụng đòi hỏi hai bớc để nối với máy chủ chứ không phải là một bớc thơi. Tuy
nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là
trong suốt, bằng cách cho phép user chỉ ra máy đích chứ khơng phải cổng ứng dụng
trên lệnh Telnet.
1.3.3. Cổng vòng (circuit-Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện
bất kỳ một hành động xử lý hay lọc packet nào.
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng.
Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự
kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi
dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên
ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall,
nó che dấu thơng tin về mạng nội bộ.

Hình 1.4: Circuit-Level Gateway
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một
bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho
những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức

9


tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy

nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo
vệ mạng nội bộ từ những sự tấn cơng bên ngồi.
1.4.

Phân loại Firewall

 Có ba loại tường lửa cơ bản tùy theo:
 Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.
 Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.
 Tường lửa có theo dõi trạng thái của truyền thông hay không.
 Phân loại theo phạm vi của các truyền trơng được lọc, có các loại sau:
 Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức
năng thông thường là lọc dữ liệu ra vào một máy tính đơn.
 Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng
đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con
trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại
này lọc tất cả truyền thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.
Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa"
trong ngành mạng máy tính.
 Khi phân loại theo các tầng giao thức nơi giao thơng dữ liệu có thể bị chặn, có ba
loại tường lửa chính:
 Tường lửa tầng mạng. Ví dụ iptables.
 Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers.
 Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại
tệp /etc/ftpaccess.
Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc
dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung
cả hai.
 Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các
kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại

tường lửa:
 Tường lửa có trạng thái (Stateful firewall)
 Tường lửa phi trạng thái (Stateless firewall)

10


1.5.

Hạn chế của firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thơng tin và
phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, firewall khơng thể chống lại một cuộc tấn cơng từ một
đường dial-up, hoặc sự dị rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall
vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall khơng thể làm nhiệm vụ rà qt virus trên
các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus
mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

11



CHƯƠNG 2: TỔNG QUAN VỀ FOREFRONT TMG 2010
2.1.

Tổng quan về Forefront TMG 2010

Hình 2.1. Forefront Threat Managerment Gateway
Theo ơng Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất
cả các tổ chức và thậm chí là cá nhân trên toàn cầu đang phải đối mặt với một nguy cơ
chung từ malware có khả năng xâm nhập và đánh cắp dữ liệu.
Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểm của nó. Đối với
những người sử dụng máy tính thơng thường, giới tin tặc thường nhắm đến các thông tin
cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, số thẻ tín dụng, tài liệu riêng tư… ở
các tổ chức lớn hơn như doanh nghiệp nhỏ, tập đồn thậm chí là cơ quan chính phủ, việc
rị rỉ thơng tin về tài liệu nội bộ cơng ty, tình hình tài chính, an ninh quốc gia… có thể gây
ra tổn thất to lớn về mặt kinh tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các
dòng malware như trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật
mã và các trojan gián điệp. Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt
87% trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%.
Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông Nam
Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec, năm
2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu hướng tấn công chính của
năm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên và tinh vi hơn rất nhiều. Đó là tấn
cơng có mục tiêu tiếp tục nở rộ, dùng mạng xã hội và kỹ thuật xã hội để xâm nhập vào hệ
thống, tăng mạnh các gói cơng cụ tấn cơng, tin tặc ln ẩn mình và tìm kiếm cơ hội tấn
công, các mối nguy hại từ thiết bị di động tăng mạnh.

12


Hình 2.2: Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại.

Do đó, các hệ thống mạng doanh nghiệp trên tồn cầu đều cấp thiết tìm giải pháp
bảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn cơng từ Internet. Song song đó có
rất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị
hỗ trợ cho việc an ninh hệ thống mạng. Trong số đó, cơng ty phần mềm hàng đầu thế giới
Microsoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010,
một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet
Security Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn
chặn tấn cơng và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft
Forefront TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server
2006, Forefront Client Security, Forefront Security for Exchange Server và Forefront
Security for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
 Bảo vệ hệ thống đa dạng và hoàn thiện.
 Phát hiện virus, malware và ngăn chặn tấn công.
 Giao diện quản lý thân thiện, dễ dàng.
 Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là
chương trình chun về bảo mật hệ thống mạng. Mọi thơng tin ra vào hệ thống của chúng
ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.Microsoft Forefront TMG 2010
cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng
Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa
khác. Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng
được tích hợp vào một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức

13


tạp của việc bảo mật web. Hay nói cách khác khi dựng Forefront TMG lên mơ hình mạng
của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta
Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy

Forefront TMG
External Network - là mạng Internet, như vậy mạng Internet được xem như là một phần
trong mơ hình Forefront TMG mà thơi

Hình 2.3: Mơ hình tổng quan 3 lớp mạng của firewall.
2.2.

Lịch sử phát triển của TMG 2010

2.2.1. Lịch sử phát triển

Hình 2.4: Sự phát triển của Forefront Thread Management Gateway 2010.
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004,
ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó
như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ
trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế
để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008
chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront
Threat Management Gateway 2010.

14


2.2.2.

Quá trình phát triển

Quá trình phát triển của Microsoft Forefront TMG 2010 đã trải qua các giai đoạn:
 1/1997 - Microsoft Proxy Serverv1.0 (Catapult)
 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server

2000)
 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server
2004)
 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server
2006)
 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010)

Hình 2.4: Sơ đồ phát triển của Forefront TMG 2010.
2.3.

Mơ hình ForeFront TMG 2010

Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng,
đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần
thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network
rule. Forefront TMG hỗ trợ hai kiểu network rule đó là:
 Route: Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu
thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.

15


 NAT: Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng,
kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP
của network adapter tương ứng.
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho
tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
2.3.1. Network Template
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế

sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hồn tồn
có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện
là chạy Getting Started Wizard trong giao diện quản lý TMG Management.

Hình 2.5: Network setup wizard.
2.3.2. Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để
cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:
 Edge Firewall
 3-Leg perimeter
 Back firewall
 Single network Adapter

16


2.3.2.1. Edge Firewall

Hình 2.6: Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên trong với
Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template điển hình yêu cầu
tối thiểu hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và
một trong những sử dụng trong đa số trường hợp. Điều này sẽ tạo ra một mạng nội bộ
mặc định và một mặc định ngồi mạng.
2.3.2.2. 3-Leg perimeter

Hình 2.7: 3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network
adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với
mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng

được gọi là Perimeter Network. Perimeter Network gồm có các dịch vụ, nên cần có thể
truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình
trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter

17


Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó khơng phải là một DMZ
“đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.
2.3.2.3. Back Firewall

Hình 2.8: Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức
tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG,
một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng
nội bộ.Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi
Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong
đối với việc truy cập từ DMZ và mạng bên ngồi, nó có thể điều khiển lưu lượng được
phép từ các máy tính trong DMZvà từ Front Firewall.
2.3.2.4. Single network Adapter

Hình 2.9: Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa
TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một máy
chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP,
HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront TMG server với
chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều
dịch vụ theo đó mà khơng có. Nó chỉ có các tính năng dưới đây:


18


 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP
(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
 publishing để bảo vệ các máy chủ FTP và published Web
 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là
Outlook Anywhere trong Exchange Server 2007).
2.4.
2.4.1.

Tính năng của Forefront TMG 2010
Giới thiệu Forefront TMG

Microsoft Forefront Threat Management(TMG) 2010 là một tường lửa có lớp ứng
dụng thơng minh và khả năng chống phần mềm độc hại có thể được sử dụng để xác định
và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại. Forefront TMG là kế
thừa cho MicrosoftISA Server và bao gồm tất cả các chức năng ISA Server đồng thời
nâng cao khả năng sử dụng, bảo mật, và chức năng.
Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộ
sản phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngồi,
chẳng hạn như những người tạo ra bởi các host trên mạng được bảo vệ; UAG chủ yếu là
nhắm mục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePoint
hoặc Exchange, Web Publishing.
Hai phiên bản của TMG là:
 TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc
lập hoặc với Windows Essential Bussiness Server (EBS).1
 TMG 2010 cho tất cả các triển khai khác.


19


Bảng 2.10: So sánh các tính năng của TMG MBE và TMG FULL
2.4.2.

Giao diện quản lý của Forefront TMG 2010

Forefront TMG Management Console được tổ chức lại để đơn giản hóa trongcấu hình
và giám sát. Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàng
truy cập hơn trong tab Task. Ví dụ, nhữngđiều khiển ở bên tráigiao diện của ISA Server
2004 và ISA 2006 được bỏ bớt,và các chức năng liên quan đó được nhóm lại bên trong
tab Task.

Hình 2.11: Giao diện quản lý của Forefront TMG

20


Hình 2.12: Giao diện quản lý của ISA 2006
2.4.3. Các tính năng của Forefront TMG 2010
 Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit:
Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nêncần thiết phải
cócác thiết bị để xử lý lưu lượng truy cập nhanh. ISA Server là một "phần mềm" tường
lửa dựa trên hệ điều hànhWindows. Một hạn chế được biết đến của ISA Server là nó
khơng thể được cài đặt trên một nền tảng 64-bit. TMG khơng có giới hạn này, bạn phải
cài đặt chúng trên hệđiều hành 64-bit. Windows Server 2008 và Windows EBS cũng hỗ
trợ môi trường 64-bit. Với việc giới thiệu hỗ trợ 64-bit, tường lửa TMG có thể sử dụng
hơn 4 gigabyte (GB) bộ nhớ RAM.
 Hỗ trợ Web Antivirus và Anti-Malware

Tường lửa TMG có thể phát hiện và cơ lập nội dung độc hại trong luồng thơng tin
HTTP trước khi nó đến đến khách hàng. Tính năng này cung cấp thêm lớp bảo vệ và tăng
cường an ninh cho tất cả các host trên mạng được bảo vệ bởi TMG.
Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa người dùng và
máy chủ Web. Nội dung của luồng dữ liệunày được lưu trữ trong bộ nhớ hoặc trên đĩa,
tùy thuộc vào kích thước của nội dung. MPEngine TMG (Microsoft Malware Protection
Engine) quét nội dung trước khi nó được phân phối cho người dùng.
Để hiểu rõ hơn quá trình này, hìnhII.3.1 minh họa làm thế nào các yêu cầu từ người
dùnglấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua để MPEngine và
cuối cùng, trả lại cho người dùng sau khi xử lý.

21


Hình 2.13: MPEngine và các bước xử lý
Hình 2.13 minh họa các bước sau:
1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.
2) Yêu cầu được chuyển tiếp từ TMG đến Web Server.
3) Các phản hồi từ máy chủ Web được trả lại cho TMG.
4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.
5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm
tra.
6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa
hoặc bộ nhớ, tùy thuộc vào kích thước.
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.
8) Bộ lọc gửi nội dung đếnEdge Malware Protection (EMP) Máy quét để kiểm tra.
9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.
10) Dữ liệu được gửi đến xử lý đích.
11) Việc xử lý đích lấy nội dung tích lũy.
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.

13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người
dùng.
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích
lũynội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó

22


kiểm tranội dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG
chuyểntập tin đến người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin
mất hơn 10 giây, TMGsẽgửi một trang tiến độ HTML cho người dùngthể hiện tiến
trình tải về hoặc cho thấy một phản ứng trickled tùy thuộc vào loại nội dung được tải
về. Một phản ứng trickled là cùng một loại phản ứng người ta sẽ thấy khi sao chép tập
tin từ một thư mục khác.

Hình 2.14: Quản lý down load với Forefront TMG
 Giao diện người dùng,quản lý và báo cáo nâng cao
TMG có các cơng cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS
có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định
nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng,một dịch vụ Web có thể lập trình giao
diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệuvà trong trường hợp của SRS
2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do này. IIS
cũng được u cầu cho Windows EBS quản lý báo cáo từ xa. IIS khơng phải là một vai
trị cần thiết cho TMG 2010.2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc
hại, lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thơng tin khơng có sẵn
trong các phiên bản trước của các bức tường lửa. Khi Forefront Protection Manager 2010

(FPM) được khởi động, TMG 2010 sẽ tích hợp hồn tồn với FPM cung cấp một giải

23


pháp bảo vệ end-to-end. Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện báo
cáo FPM.
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra
báo cáo vàquản lý.
Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho
Windows Essential Business Server và TMG 2010.

Bảng 2.15: So sánh chức năng trong TMG MBE và TMG 2010
 URL Filtering
Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử dụng lọc
URL, bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra một
nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của cơng ty.
Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc
hại. Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chính
sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang
web bị từ chối. Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép người
sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận được
một thơng báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo
chính sách cơng ty. Thơng báo HTML có thể được cấu hình trên TMG.
 HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động
từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trị quan trọng
trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa trên
các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS. Khi

một người dung yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ máy
chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong cách này
tất cả lưu lượng HTTPS có thể đượcTMG kiểm tra trước khi nó được thơng qua giữa máy
khách và máy chủ.

24


 Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống
phần mềm độc hại.
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử
dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các
giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho
một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngồi. Mục đích các tuyến
đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và Internet,
giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ dàng hơn
để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV) quét trên các
tuyến đường SMTP.
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy
cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-mail.
 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có
thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết bị
bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution Detection
System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm sốt truy cập,
tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động đáng ngờ, nhưng
cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho phép được lựa chọn
con đường đi qua.
TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS. TMG

2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×