TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
XÂY DỰNG GIẢI PHÁP BẢO MẬT DỰA TRÊN NỀN TẢNG
ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010
CHO CÔNG TY CỖ PHẦN THƯƠNG MẠI DỊCH VỤ
D.M.A COMPUTER TECHNOLOGY
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 1
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
LỜI CẢM ƠN
gày nay chúng ta có thể nói rằng công nghệ thông tin là một thành phần không thể
thiếu trong sự phát triển của xã hội bởi những tính năng và khả năng ưu việt mà nó
mang lại tiêu biểu là sự phát triển của mạng diện rộng đã tạo nên cuộc cách mạng
mới về công nghệ trong sự phát triển của xã hội. Bên cạnh mặt tích cực đó luôn là
sự xuất hiện của tiêu cực, nhiều tin tặc đã lợi dụng sự phát triển của hệ thống mạng mà chống
phá sự phát triển của các doanh nghiệp và chính phủ. Chính vì thế nhiều buổi chuyên đề, hội
thảo về mạng – bảo mật đã được triển khai nhằm tìm ra những giải pháp tối ưu để bảo vệ cho
các hệ thống mạng trên. Trong đề tài này chúng tôi xin giới thiệu một giải pháp bảo mật cho
mạng doanh nghiệp dựa trên những kiến thức đã học và những kiến thức tìm hiểu nâng cao.
Chúng tôi xin được đưa ra những giải pháp bảo mật dựa trên nền tảng tường lửa mềm của
Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG) 2010 cho công ty Cổ Phần
Thương Mại Dịch Vụ D.M.A Computer Technology.
N
Để hoàn thành tốt đề tài này chúng tôi xin chân thành cảm ơn ban lãnh đạo Trường Cao Đẳng
Nghề CNTT Ispace cùng tất cả các giảng viên đã tạo điều kiện thuận lợi và nhiệt tình giảng dạy
cho chúng tôi trong suốt thời gian học vừa qua để chúng tôi có thể học tập tốt và đạt được kết

quả như ngày hôm nay. Chúng tôi cũng xin chân thành gửi lời cảm ơn đến thầy Nguyễn Siêu
Đẳng đã tận tình hướng dẫn cho chúng tôi về đề tài và đồng thời chúng tôi cũng xin gửi lời
cảm ơn đến các bạn thành viên ở một số webiste và diễn đàn đã cung cấp thêm một số thống
tin hữu ích cho chúng tôi thực hiện tốt đề tài này.
Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi những sai sót.
Nhóm chúng tôi kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để chúng tôi
cũng cố, bổ sung và hoàn thiện thêm kiến thức cho mình.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 2
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Trân Trọng.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 3
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
LỜI NÓI ĐẦU
hững năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu
hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành
công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của
các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn
Thông – Tin Học.
N
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển
mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi
cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng là thách thức to

lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật
được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời.
ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được
cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng
theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm
khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng
doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận - ứng
dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và
chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway
(Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG
chính là phiên bản tích hợp của:
 Internet Security and Acceleration Server (ISA)
 Forefront Client Security
 Forefront Security for Exchange Server
 Forefront Security for SharePoint
Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên nên
Forefront TMG có khả năng:
 Bảo vệ hệ thống đa dạng hơn
 Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management Gateway 2010
đã sớm khẳng định được vị thế của mình. Rõ nét là đang được nhiều doanh nghiệp tìm hiểu và
áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp mình.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 4
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA DOANH NGHIỆP






















_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 5
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN






















_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 6
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
MỤC LỤC

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 7
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
I. GIỚI THIỆU TỔNG QUAN
1. TỔNG QUAN VỀ FOREFRONT TMG 2010
Hình I.1.1 - Forefront Threat Managerment Gateway
heo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất
cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một nguy cơ
chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu.T
Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểm của nó. Đối với
những người sử dụng máy tính thông thường, giới tin tặc thường nhắm đến các thông tin
cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, số thẻ tín dụng, tài liệu riêng tư… ở
các tổ chức lớn hơn như doanh nghiệp nhỏ, tập đoàn thậm chí là cơ quan chính phủ, việc
rò rỉ thông tin về tài liệu nội bộ công ty, tình hình tài chính, an ninh quốc gia… có thể gây
ra tổn thất to lớn về mặt kinh tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các
dòng malware như trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật
mã và các trojan gián điệp. Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt
87% trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%.
Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông Nam Á, phụ
trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec, năm 2011 tình
hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu hướng tấn công chính của năm 2010
nhưng mức độ lớn hơn, độ phức tạp tăng lên và tinh vi hơn rất nhiều. Đó là tấn công có
mục tiêu tiếp tục nở rộ, dùng mạng xã hội và kỹ thuật xã hội để xâm nhập vào hệ thống,
tăng mạnh các gói công cụ tấn công, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, các
mối nguy hại từ thiết bị di động tăng mạnh.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 8

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình I.1.2 - Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại
Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải pháp bảo mật,
ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet. Song song đó có rất nhiều
công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị hỗ trợ
cho việc an ninh hệ thống mạng. Trong số đó, công ty phần mềm hàng đầu thế giới
Microsoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010, một
thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security
Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn
công và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG
2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client
Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó
cung cấp các đặc điểm nổi bật về bảo mật như:
 Bảo vệ hệ thống đa dạng và hoàn thiện.
 Phát hiện virus, malware và ngăn chặn tấn công.
 Giao diện quản lý thân thiện và dễ dàng.
 Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình
chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải
qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront TMG 2010 cho phép thiết
lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh
doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp
nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào
một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật
web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được
chia ra làm 3 phần riêng biệt:
_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 9
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
• Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta
• Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là
máy Forefront TMG
• External Network - là mạng Internet, như vậy mạng Internet được xem như là
một phần trong mô hình Forefront TMG mà thôi
Hình I.1.3 - Mô hình tổng quan 3 lớp mạng của tường lửa
2. LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010
2.1.Lịch sử
Hình I.2.1.1 - Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006
nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như:
Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các
hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế để cài đặt
một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ
phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat
Management Gateway 2010.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 10
M s Pr o x y S er v e r v 1 . 0 ( C a t a p u l t)
M s I S A 2 0 0 0
M s I S A 2 0 0 4
M S I S A 2 0 0 6
M S Fo r e f r o n t T M G 2 0 1 0
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.Quá trình phát triển:
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:
 1/1997 - Microsoft Proxy Server v1.0 (Catapult)
 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server
2000)
 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server
2004)
 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server
2006)
 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010)
Hình I.2.2.1 - Sơ đồ phát triển của Forefront TMG 2010
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 11
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3. PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010
Hình I.3.1 - Thông tin prices và licenses của các phiên bản Forefront
Hình I.3.2 - Thông tin Price và Licenses của Windows Server 2008
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 12
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4. CÁC TÍNH NĂNG CỦA TMG 2010

4.1.Các chức năng chính
Hình I.4.1.1 - Các tính năng chính trong Forefront TMG 2010
4.2.Các tính năng nổi bật của TMG 2010
Hình I.4.2.1 Những Tính năng nổi bật của Forefront TMG 2010
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 13
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
• Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG.
• ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền
internet.
• Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa khác khi
truy cập web.
• URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh sách phân
loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
• HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
• E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010
for Exchange Server & Exchange Edge Transport Server để kiểm soát virus,
malware, spam e-mail trong hệ thống Mail Exchange
• Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ
hổng bảo mật
• Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra
tình trạng an toàn của các client trước khi cho phép client kết nối VPN
• Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTP
• Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server 2008 &
Windows Server 2008 R2 64-bit
Bảng I.4.2.1 So sánh các tính năng trong Forefront TMG Standard và Enterprise

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 14
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bảng I.4.2.2 So sánh các tính năng giữa ISA 2006 và Forefront TMG
4.3.System Requirement
Bảng I.4.3.1 Yêu cầu cài đặt
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 15
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5. CÁC MÔ HÌNH FIREWALL
Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu
tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết,
chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule.
Forefront TMG hỗ trợ hai kiểu network rule đó là:
• Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu
thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
• NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng,
kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP
của network adapter tương ứng.
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường
lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
5.1.Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn
(Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có

thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực
hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management.
Hình I.5.1.1 Network setup wizard
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 16
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5.2.Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để cấu
hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:
 Edge Firewall
 3-Leg perimeter
 Back firewall
 Single network Adapter
5.2.1. Edge Firewall
Hình I.5.2.1.1 Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên trong với
Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template điển hình yêu cầu
tối thiểu hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và
một trong những sử dụng trong đa số trường hợp. Điều này sẽ tạo ra một mạng nội bộ
mặc định và một mặc định ngoài mạng.
5.2.2. 3-Leg Perimeter
Hình I.5.2.2.1 3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network
adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với
mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng
được gọi là Perimeter Network. Perimeter Network gồm có các dịch vụ, nên cần có thể
truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình

_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 17
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter
Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích
thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.
5.2.3. Back Firewall
Hình I.5.2.3.1 Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức
tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG,
một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng
nội bộ. Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator,
khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên
trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng
được phép từ các máy tính trong DMZvà từ Front Firewall.
5.2.4. Single Network Adapter
Hình I.5.2.4.1 Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa
TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một
máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP,
HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ
một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều
dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây:
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 18
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP
(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
 Web publishing để bảo vệ các máy chủ FTP và published Web
 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là
Outlook Anywhere trong Exchange Server 2007).
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 19
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
II. NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010
1. GIỚI THIÊU TMG
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có lớp ứng dụng
thông minh và khả năng chống phần mềm độc hại có thể được sử dụng để xác định và
giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại. Forefront TMG là kế thừa cho
Microsoft ISA Server và bao gồm tất cả các chức năng ISA Server đồng thời nâng cao khả
năng sử dụng, bảo mật, và chức năng.
Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộ sản
phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngoài, chẳng
hạn như những người tạo ra bởi các host trên mạng được bảo vệ; UAG chủ yếu là nhắm
mục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePoint hoặc
Exchange, Web Publishing.
Hai phiên bản của TMG là:
• TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc
lập hoặc với Windows Essential Bussiness Server (EBS).

1
• TMG 2010 cho tất cả các triển khai khác.
Bảng II.1.1 So sánh các tính năng của TMG MBE và TMG FULL
1* TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008. TMG 2010 được phát hành vào cuối năm 2009.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 20
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2. GIAO DIỆN QUẢN LÝ
Forefront TMG Management Console được tổ chức lại để đơn giản hóa trong cấu hình và
giám sát. Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàng truy
cập hơn trong tab Task. Ví dụ, những điều khiển ở bên trái giao diện của ISA Server 2004
và ISA 2006 được bỏ bớt, và các chức năng liên quan đó được nhóm lại bên trong tab Task.
Hình II.2.1 Giao diện quản lý của Forefront TMG
Hình II.2.2 Giao diện quản lý của ISA 2006
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 21
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3. CÁC TÍNH NĂNG MỚI
 Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit
Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cần thiết phải có
các thiết bị để xử lý lưu lượng truy cập nhanh. ISA Server là một "phần mềm" tường lửa
dựa trên hệ điều hành Windows. Một hạn chế được biết đến của ISA Server là nó không
thể được cài đặt trên một nền tảng 64-bit. TMG không có giới hạn này, bạn phải cài đặt
chúng trên hệ điều hành 64-bit. Windows Server 2008 và Windows EBS cũng hỗ trợ môi

trường 64-bit. Với việc giới thiệu hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4
gigabyte (GB) bộ nhớ RAM.
 Hỗ trợ Web Antivirus và Anti-Malware
Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồng thông tin HTTP
trước khi nó đến đến khách hàng. Tính năng này cung cấp thêm lớp bảo vệ và tăng
cường an ninh cho tất cả các host trên mạng được bảo vệ bởi TMG.
Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa người dùng và máy
chủ Web. Nội dung của luồng dữ liệu này được lưu trữ trong bộ nhớ hoặc trên đĩa, tùy
thuộc vào kích thước của nội dung. MPEngine TMG (Microsoft Malware Protection
Engine) quét nội dung trước khi nó được phân phối cho người dùng.
Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu từ người
dùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua để MPEngine và
cuối cùng, trả lại cho người dùng sau khi xử lý.
Hình II.3.1 MPEngine và các bước xử lý
Hình II.3.1 minh họa các bước sau:
1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.
2) Yêu cầu được chuyển tiếp từ TMG đến Web Server.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 22
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3) Các phản hồi từ máy chủ Web được trả lại cho TMG.
4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.
5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm tra.
6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa hoặc
bộ nhớ, tùy thuộc vào kích thước.
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.
8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra.

9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.
10) Dữ liệu được gửi đến xử lý đích.
11) Việc xử lý đích lấy nội dung tích lũy.
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nội
dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nội
dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đến
người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽ
gửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy một
phản ứng trickled tùy thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng
một loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.
Hình II.3.2 Quản lý down load với Forefront TMG
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 23
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
 Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS có
thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định
nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trình
giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp của
SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do
này. IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa. IIS không phải là
một vai trò cần thiết cho TMG 2010.

2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc hại,
lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thông tin không có sẵn trong
các phiên bản trước của các bức tường lửa. Khi Forefront Protection Manager 2010
(FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giải
pháp bảo vệ end-to-end. Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện
báo cáo FPM.
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra báo
cáo và quản lý.
Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho Windows
Essential Business Server và TMG 2010.
Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010
 URL Filtering
Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử dụng lọc URL,
bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra một
nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty.
Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc hại.
Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chính
sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang
2* SRS-kích hoạt mặc định của IIS lắng nghe trên cổng TCP 8008 và không phải trên TCP cổng 80 để cung cấp một bề mặt tấn
công thấp hơn.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 24
TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
web bị từ chối. Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép
người sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận được

một thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo
chính sách công ty. Thông báo HTML có thể được cấu hình trên TMG.
 HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động
từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan trọng
trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa
trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS.
Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ
máy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong
cách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thông
qua giữa máy khách và máy chủ.
 Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phần
mềm độc hại.
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử
dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các
giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho
một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài. Mục đích các tuyến
đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và
Internet, giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ
dàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV)
quét trên các tuyến đường SMTP.
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy
cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-
mail.
 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có
thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết
bị bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution
Detection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát

truy cập, tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động
đáng ngờ, nhưng cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho
phép được lựa chọn con đường đi qua.
_____________________________________________________________________________________
Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 25