NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
LỜI CẢM ƠN
Em xin được gửi lời cảm ơn sâu sắc đến toàn thể quý Thầy Cô khoa Điện- Điện
tử viễn thông trường Đại học giao thông vận tải TP. Hồ Chí Minh nói chung và
Quý Thầy Cô ngành Truyền thông và mạng máy tính nói riêng đã tận tình giúp đỡ
và truyền đạt những kiến thức quý báu trong thời gian học tập và rèn luyện tại
trường.
Em xin chân thành cảm ơn đến thầy Trần Kim Tân, giáo viên hướng dẫn đã tận
tình chỉ bảo, hướng dẫn, tạo mọi điều kiện thuận lợi để em hoàn thành tốt bài báo
cáo này.
Em xin chân thành cảm ơn đến ban giám đốc Trung tâm đào tạo chuyên gia
mạng quốc tế NewStar , thầy Võ Văn Nhân cùng toàn thể cô chú, anh chị em
trong trung tâm đã tận tình giúp đỡ, hướng dẫn, truyền đạy và tạo mọi điều kiện
thuận lợi để em có thể hòa nhập vào môi trường thực tế, nhờ vậy em có thể hoàn
thành tốt bài báo cáo thực tập này.
Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi những
sai sót. Em kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để em
củng cố, bổ sung và hoàn thiện thêm kiến thức cho mình.
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN
Họ tên sinh viên: Lê Quang Hoàng Diệp MSSV:1051150009
Lớp : KM10 Khóa: 2010-2014
Thời gian thực tập: 20/2/2013 đến 30/3/2014
Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR.
(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)
Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010
Cán bộ hướng dẫn: Võ Văn Nhân
Nhận xét:
……………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………

………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm:……………
Tp.HCM, ngày….tháng……năm 2014
Cán bộ hướng dẫn

Võ Văn Nhân
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
NHẬN XÉT KẾT QUẢ THỰC TẬP CHUYÊN MÔN
Họ tên sinh viên: Lê Quang Hoàng Diệp MSSV:1051150009
Lớp : KM10 Khóa: 2010-2014
Thời gian thực tập: 20/2/2013 đến 30/3/2014
Đơn vị thực tập: Trung tâm đào tạo quốc tế NEWSTAR.
(240 Võ Văn Ngân, phường Bình Thọ, quận Thủ Đức)
Đề tài: Nghiên cứu triển khai hệ thống tường lửa FOREFRONT TMG 2010
Giáo viên hướng dẫn: Trần Kim Tâm
Nhận xét:

……………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm:………………
Tp.HCM, ngày….tháng……năm 2014
Giáo viên hướng dẫn
Trần Kim Tâm
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
MỤC LỤC
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
LỜI MỞ ĐẦU
Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu
hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành
công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của
các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông

– Tin Học.
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề
phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo
điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy
nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và
phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng
bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh
nghiệp được ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần
cứng kết nối mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity
Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói
tin, … được cung cấp bởi hãng Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống
mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng
bảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã
chọn và cùng thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật
mạng doanh nghiệp.
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương
trình này và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat
Management Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phía
Microsoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:
 Internet Security and Acceleration Server (ISA)
 Forefront Client Security
 Forefront Security for Exchange Server
 Forefront Security for SharePoint
LÊ QUANG HOÀNG DIỆP
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
TÓM TẮT NỘI DUNG
Bài báo cáo gồm 2 phần:
PHẦN 1: Giới thiệu về trung tâm newstar

PHẦN 2: Nghiên cứu và triển khai hệ thống giải pháp bảo mật dựa trên nền tảng ứng
dụng Microsoft Forefront TMG 2010
LÊ QUANG HOÀNG DIỆP
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
PHẦN 1: GIỚI THIỆU TỔNG QUÁT VỀ TRUNG TÂM ĐÀO TẠO
CHUYÊN GIA MẠNG QUỐC TẾ NEWSTAR
1. GIỚI THIỆU VỀ TRUNG TÂM NEWSTAR
1.1. Lịch sử hình thành:
Đúng với câu slogan “ Sẽ chia kiến thức - Vững bước thành công ”, trong 5
năm hoạt động, NewStar luôn luôn khát vọng sẻ chia kiến thức của mình cho tất
cả các học viên theo học tại NewStar nói riêng và cộng đồng IT nói chung, chắp
cánh cho những ước mơ bay cao và bay xa. Đây cũng là thông điệp mà trung tâm
muốn gởi đến ban lãnh đạo và các bạn học viên cùng toàn thể đội ngũ nhân viên
của trung tâm.
Thành lập vào 01/10/2008 đến này là tròn 5 năm, trải qua một chặng đường
chưa phải là dài nhưng đã đánh dấu bước phát triển đáng ghi nhớ của trung tâm
đào tạo chuyên gia mạng quốc tế NewStar. Khởi đầu từ ước muốn tạo một môi
trường học tập, thực hành tốt nhất cho tất cả cộng đồng IT nói chung và các bạn
sinh viên công nghệ thông tin nói riêng, đặc biệt là trong lĩnh vực Network, đến
nay trung tâm đào tạo mạng NewStar đã không ngừng đầu tư xây dựng cơ sở vật
chất, nâng cao chất lượng giảng viên để luôn luôn đảm bảo được chất lượng đào
tạo tốt nhất cho tất cả học viên. Với sự tin tưởng vào đường lối phát triển của nhà
nước, Ban Lãnh đạo trung tâm – những người mở đường nhiệt huyết, có tầm
nhìn thông suốt đã và đang lèo lái con tàu lớn NewStar vững bước tiến trong
tương lai.
1.2. Thành tựu đạt được
5 năm, hành trình vươn ra biển lớn với mong muốn đưa trung tâm trở thành
một trung tâm đào tạo tin học nói chung và đào tạo mạng nói riêng mang đẳng
cấp quốc tế, NewStar luôn có các chiến lược nâng cao chất lượng dạy và học của
trung tâm, hàng năm trung tâm đầu tư trang bị và nâng cấp các thiết bị dạy học

và thực hành mới nhất như máy tính cấu hình cao, router, switch … để đáp ứng
nhu cầu thực hành cho học viên giúp học viên nắm bắt được công nghệ. Đội ngũ
giảng viên không ngừng được trau dồi kiến thức, học tập không ngừng, nâng cao
kỹ năng sư phạm nhằm đảm bảo chất lượng giảng dạy tốt nhất, NewStar cũng tự
hào có số lượng giảng viên đạt chứng chỉ CCIE, CCSI nhiều nhất. Hàng năm
trung tâm đã đào tạo ra hàng ngàn lượt học viên với nền tảng kiến thức vững
chắc được trung tâm cấp chứng chỉ kết thúc khóa học đảm bảo cho học viên có
thể tìm kiếm một công việc tốt trong lĩnh vực công nghệ thông tin.
Ngoài công tác đào tạo chính cho sinh viên, hàng năm trung tâm cũng tự
hào được các cá nhân, doanh nghiệp lớn của nhà nước và tư nhân mời đến đào
tạo cho đội ngũ nhân viên kỹ thuật của mình. Đơn cử là: Trung tâm tích hợp dữ
liệu tỉnh Bình Thuận, Sở thông tin và truyền thông tỉnh Tây Ninh, …Được sự tin
tưởng đồng thời với đó là sự gắn bó của trung tâm với các trường đại học, cao
đẳng trên địa bàn thành phố, NewStar cũng thường xuyên được là khách mời,
nhà tài trợ đồng hành tổ chức thành công các sự kiện như: chào đón tân sinh viên
LÊ QUANG HOÀNG DIỆP 7

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
tại đại học Sư phạm kỹ thuật, đại học Nông lâm, đại học Tài nguyên & Môi
trường TP.HCM, cao đẳng Công nghệ thông tin đại học Bưu chính viễn thông,
cao đẳng Công thương, hội thảo “Giải pháp mạng không dây” tại đại học Hutech,
…
Với sự phát triển không ngừng của công nghệ, nhằm nắm bắt xu hướng
công nghệ mới. Trung tâm đã thành lập ra nhóm dự án công nghệ cao dành cho
các bạn học viên tâm huyết, tạo điều kiện cho các bạn trau dồi kiến thức, kỹ năng
làm việc thực tế, có cơ hội làm việc cùng các chuyên gia. Thông qua các chuyên
đề công nghệ như: Ảo hóa, bảo mật, công nghệ đám mây, … và thực hành tại dự
án cụ thể tại các công ty, doanh nghiệp lớn.
Cuối tháng 10/2013 NewStar đã có một bước chuyển mình lớn khi trung
tâm chuyển sang cơ sở mới được đầu tư trang thiết bị hiện đại hơn tại số 240 Võ

Văn Ngân-P.Bình Thọ-Q.Thủ Đức-TP.HCM.
1.3. Hệ thống mạng của trung tâm
Trung tâm bao gồm: switch,router, isa. Hệ thống liên kết 6 phòng lab (mỗi
phòng có 18 máy tính) và một số phòng hành chính.
Trung tâm có 6 phòng học hiện đại đạt tiêu chuẩn quốc tế, 1 hội trường với
sức chứa 200 người dành cho các hoạt động ngoại khóa. Đặc biệt trung tâm cũng
đã trang bị thêm một số lượng lớn máy tính cấu hình cao, Route, Switch, Server
phục vụ nhu cầu thực hành và làm Lab cho học viên.
LÊ QUANG HOÀNG DIỆP 8

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
PHẦN 2:TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA
FOREFRONT TMG 2010
1 TỔNG QUAN VỀ FOREFRONT TMG 2010
Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky
Lab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với
một nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu.
Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểm
của nó. Đối với những người sử dụng máy tính thông thường, giới tin tặc thường
nhắm đến các thông tin cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, số
thẻ tín dụng, tài liệu riêng tư… ở các tổ chức lớn hơn như doanh nghiệp nhỏ, tập
đoàn thậm chí là cơ quan chính phủ, việc rò rỉ thông tin về tài liệu nội bộ công ty,
tình hình tài chính, an ninh quốc gia… có thể gây ra tổn thất to lớn về mặt kinh
tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các dòng malware như
trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật mã và các
trojan gián điệp. Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt 87%
trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%.
Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông
Nam Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của
Symantec, năm 2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu

hướng tấn công chính của năm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên
và tinh vi hơn rất nhiều. Đó là tấn công có mục tiêu tiếp tục nở rộ, dùng mạng xã
hội và kỹ thuật xã hội để xâm nhập vào hệ thống, tăng mạnh các gói công cụ tấn
công, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, các mối nguy hại từ thiết
bị di động tăng mạnh.
Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại
Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải
pháp bảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet. Song
LÊ QUANG HOÀNG DIỆP 9

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
song đó có rất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp,
sản phẩm và thiết bị hỗ trợ cho việc an ninh hệ thống mạng. Trong số đó, công ty
phần mềm hàng đầu thế giới Microsoft đã trình làng Microsoft Forefront Threat
Management Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửa
phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích
hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã
độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG 2010 chính
là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client
Security, Forefront Security for Exchange Server và Forefront Security for
Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
 Bảo vệ hệ thống đa dạng và hoàn thiện.
 Phát hiện virus, malware và ngăn chặn tấn công.
 Giao diện quản lý thân thiện và dễ dàng.
 Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa
(Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra
vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.
Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,
các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo

ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo
vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một,
(TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo
mật web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của
chúng ta sẽ được chia ra làm 3 phần riêng biệt:
• Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta
• Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính
là máy Forefront TMG
• External Network - là mạng Internet, như vậy mạng Internet được xem như là
một phần trong mô hình Forefront TMG mà thôi
Mô hình tổng quan 3 lớp mạng của tường lửa
LÊ QUANG HOÀNG DIỆP 10

M s Pr o x y S e r v e r v 1 .0 ( C a t a p ul t )
M s IS A 20 0 0
M s IS A 20 0 4
M S I S A 2 0 0 6
M S Fo ref ro nt T M G 2 0 1 0
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010
1 Lịch sử
Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là
ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ
điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server
2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:
Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ
điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng
đến một software mới của Microsoft đó là Microsoft forefront Threat
Management Gateway 2010.

2 Quá trình phát triển
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn
phát triển sau:
 1/1997 - Microsoft Proxy Server v1.0 (Catapult)
 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000)
 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004)
 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA
Server 2006)
 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010)
Sơ đồ phát triển của Forefront TMG 2010
LÊ QUANG HOÀNG DIỆP 11

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
3 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010
Produ
ction
Licenses
Forefront
TMG 2010
Standard Edition
Forefront
TMG 2010
Enterprise
Edition
Forefront
TMG 2010
Enterprise

Edition 25-
processor pack
Forefront
TMG Web
Protection
Service
Price
$1,499 per
processor
$ 5,9999 per
processor
$ 75,000 for
25 processor
$ 12,00 per
user or device,
annually
4 CÁC TÍNH NĂNG CỦA TMG 2010
1 Các chức năng chính
2 Các tính năng nổi bật của TMG 2010
Những Tính năng nổi bật của Forefront TMG 2010
Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua
TMG.
• ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều
đường truyền internet.
LÊ QUANG HOÀNG DIỆP 12

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
• Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa khác
khi truy cập web.
• URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh sách

phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
• HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
• E-mail Protection Subscription Service - Tích hợp với Forefront Protection
2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát
virus, malware, spam e-mail trong hệ thống Mail Exchange
• Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào
lỗ hổng bảo mật
• Network Access Protection (NAP) Integration - Tích hợp với NAP để
kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối
VPN
• Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-
SSTP
• Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server 2008
& Windows Server 2008 R2 64-bit
 So sánh các tính năng trong Forefront TMG Standard và Enterprise
Standard Edition Enterprice Edition
Number of CPUs Up to 4 CPUs unlimited
Array/NLB/CAR
P support
x √
Enterprise
management
x Yes,with added
ability for EMS to
manage to SEs
Publishing √ √
VPN support √ √
Forward
proxy/cache,

compression
√ √
Network IPS
(NIS)
√ √
E-mail protection Requires Microsoft Exchange Server License (Server
+CALs) and installation by the admin
 So sánh các tính năng giữa ISA 2006 và Forefront TMG
Tính năng ISA Forefront
LÊ QUANG HOÀNG DIỆP 13

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
2006 TMG
Network layer firewall √ √
Application layer firewall √ √
Internet access protection (proxy) √ √
Basic OWA and SharePoint publishing √ √
Exchange publishing ( RPC over HTTP) √ √
IPSec VPN (remote and site-to-site) √ √
Web caching, HTTP compression √ √
Windows Server 2008 R2, 64-bit(only) √ New
Web antivirus, antimalware √ New
URL filtering √ New
E-mail antimalware, antispam √ New
Network intrusion prevention √ New
Enhanced UI, management, reporting √ New
3 Yêu cầu cài đặt
System
Compoment
Minimum Requirements Recommended

Requirements
Operating
System
Windows Server 2008
SP2 (64-bit) or Windows
Server 2008 R2
Windows Server 2008
SP2 (64-bit) or Windows
Server 2008 R2
Processor Type 64-bit 64-bit
Processor Cores 2 4
Memory 2GB 4GB
Disk Space 2.5 GB of available
hard disk space.
2.5 GB of available
hard disk space.
Disks Một phân vùng đĩa
cứng cục bộ được định dạng
với hệ thống tập tin NTFS
Hai phân vùng đĩa cứng
cục bộ được định dạng với
hệ thống tập tin NTFS. Một
đĩa cho hệ thống và TMG
logging, một cho bộ nhớ
đệm và kiểm tra phần mềm
độc hại
Network Một card mạng tương
thích với hệ điều hành máy
tính và truyền thông với
mạng nội bộ

Một bộ chuyển đổi
mạng bổ sung cho mỗi mạng
kết nối với máy chủ
Một card mạng tương
thích với hệ điều hành máy
tính và truyền thông với
mạng nội bộ
Một bộ chuyển đổi
mạng bổ sung cho mỗi mạng
kết nối với máy chủ
LÊ QUANG HOÀNG DIỆP 14

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
Forefront TMG. Forefront TMG.
5 CÁC MÔ HÌNH FIREWALL
Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa
topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã
tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với
nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu network rule đó
là:
• Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu
thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
• NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai
mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa
chỉ IP của network adapter tương ứng.
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các
rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
1.1. Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu
được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển

hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất
cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện
quản lý TMG Management.
LÊ QUANG HOÀNG DIỆP 15

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
Network setup wizard
1.2. Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template
cần thiết để cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:
 Edge Firewall
 3-Leg perimeter
 Back firewall
 Single network Adapter
1.2.1. Edge Firewall
LÊ QUANG HOÀNG DIỆP 16

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên
trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template
điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. Đây
là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp. Điều
này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng.
1.2.2.3-Leg Perimeter
3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều
network adapter. Một network adapter kết nối mạng bên trong, một network
adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ
(Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network

gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ
bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS
Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được
gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ
đích thực chính là vùng giữa hai Firewall khác nhau.
1.2.3.Back Firewall
LÊ QUANG HOÀNG DIỆP 17

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như
một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức
tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng
như một mặc định mạng nội bộ. Back Firewall template có thể được sử dụng bởi
Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front
Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ
và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính
trong DMZvà từ Front Firewall.
1.2.4. Single Network Adapter
Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các
bức tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có
được sử dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ
giao thức khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront TMG
server với chỉ một giao diện mạng không thể được sử dụng như một Firewall
thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới
đây:
LÊ QUANG HOÀNG DIỆP 18


NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP
(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
 Web publishing để bảo vệ các máy chủ FTP và published Web
 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi
là Outlook Anywhere trong Exchange Server 2007).
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có
lớp ứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sử
dụng để xác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại.
Forefront TMG là kế thừa cho Microsoft ISA Server và bao gồm tất cả các chức
năng ISA Server đồng thời nâng cao khả năng sử dụng, bảo mật, và chức năng.
Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung
mới cho bộ sản phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các
tình huống bên ngoài, chẳng hạn như những người tạo ra bởi các host trên mạng
được bảo vệ; UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, như
trong trường hợp Microsoft SharePoint hoặc Exchange, Web Publishing.
Hai phiên bản của TMG là:
• TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản
độc lập hoặc với Windows Essential Bussiness Server (EBS).
1
• TMG 2010 cho tất cả các triển khai khác.
TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008.
TMG 2010 được phát hành vào cuối năm 2009.
1
LÊ QUANG HOÀNG DIỆP 19

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
ĐẶC ĐIỂM T
MG

MBE
T
MG
FULL
Windows Server 2008x64** x x
Windows Filtering Platform (WFP)
Integration
x x
Web Proxy anti-malware x x
Web Access Policy x x
Enhanced management x x
SQL Reporting Services x x
SSTP VPN and NAP x
ISP Load-balacing and sharing x
NAT Enhancements x
E-Mail anti-malware x
Subscription URL Filtering x
*TMG MBE run as 32-bit processes
So sánh các tính năng của TMG MBE và TMG FULL
Forefront TMG Management Console được tổ chức lại để đơn giản hóa
trong cấu hình và giám sát. Nhiều điều khiển định hướng nhiệm vụ được chuyển
đến gần hơn và dễ dàng truy cập hơn trong tab Task.
Giao diện quản lý của Forefront TMG
2. CÁC TÍNH NĂNG MỚI
LÊ QUANG HOÀNG DIỆP 20

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
 Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit
Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cần
thiết phải có các thiết bị để xử lý lưu lượng truy cập nhanh. ISA Server là một

"phần mềm" tường lửa dựa trên hệ điều hành Windows. Một hạn chế được biết
đến của ISA Server là nó không thể được cài đặt trên một nền tảng 64-bit. TMG
không có giới hạn này, bạn phải cài đặt chúng trên hệ điều hành 64-bit. Windows
Server 2008 và Windows EBS cũng hỗ trợ môi trường 64-bit. Với việc giới thiệu
hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4 gigabyte (GB) bộ nhớ RAM.
 Hỗ trợ Web Antivirus và Anti-Malware
Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồng
thông tin HTTP trước khi nó đến đến khách hàng. Tính năng này cung cấp thêm
lớp bảo vệ và tăng cường an ninh cho tất cả các host trên mạng được bảo vệ bởi
TMG.
Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa
người dùng và máy chủ Web. Nội dung của luồng dữ liệu này được lưu trữ trong
bộ nhớ hoặc trên đĩa, tùy thuộc vào kích thước của nội dung. MPEngine TMG
(Microsoft Malware Protection Engine) quét nội dung trước khi nó được phân
phối cho người dùng.
Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu
từ người dùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua
để MPEngine và cuối cùng, trả lại cho người dùng sau khi xử lý.
MPEngine và các bước xử lý
Minh họa các bước sau:
1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.
LÊ QUANG HOÀNG DIỆP 21

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
2) Yêu cầu được chuyển tiếp từ TMG đến Web Server.
3) Các phản hồi từ máy chủ Web được trả lại cho TMG.
4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.
5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi
kiểm tra.
6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa

hoặc
bộ nhớ, tùy thuộc vào kích thước.
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.
8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra.
9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.
10) Dữ liệu được gửi đến xử lý đích.
11) Việc xử lý đích lấy nội dung tích lũy.
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người
dùng.
15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG
tích lũy nội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về,
và sau đó kiểm tra nội dung. Nếu nội dung được tải về và kiểm tra trong vòng 10
giây, TMG chuyển tập tin đến người dùng cuối. Nếu nội dung được tải về và
kiểm tra các tập tin mất hơn 10 giây, TMG sẽ gửi một trang tiến độ HTML cho
người dùng thể hiện tiến trình tải về hoặc cho thấy một phản ứng trickled tùy
thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng một loại phản
ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.
 Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services
(SRS). SRS có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo
cáo thiết kế và định nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch
vụ Web có thể lập trình giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ
liệu và trong trường hợp của SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS
yêu cầu trên máy tính TMG vì lý do này. IIS cũng được yêu cầu cho Windows
LÊ QUANG HOÀNG DIỆP 22


NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
EBS quản lý báo cáo từ xa. IIS không phải là một vai trò cần thiết cho TMG
2010.
2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần
mềm độc hại, lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thông
tin không có sẵn trong các phiên bản trước của các bức tường lửa. Khi Forefront
Protection Manager 2010 (FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn
toàn với FPM cung cấp một giải pháp bảo vệ end-to-end. Báo cáo TMG có thể
được xem hoặc kiểm soát từ giao diện báo cáo FPM.
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện
việc tạo ra báo cáo và quản lý.
 URL Filtering
Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử
dụng lọc URL, bạn có thể ngăn chặn truy cập của người dùng vào các trang web
có thể gây ra một nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của
công ty.
Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần
mềm độc hại. Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép
hoặc từ chối chính sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ
chối thông báo cho các trang web bị từ chối. Bạn có thể cấu hình các quy tắc từ
chối để có thể miễn trừ cho phép người sử dụng truy cập vào các trang web này
nếu có điều kiện nhất định.
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó
nhận được một thông báo HTML mà bạn cấm truy cập vào website để vào trang
web bị cấm theo chính sách công ty. Thông báo HTML có thể được cấu hình trên
TMG.
 HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên
khởi động

từ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan
trọng trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ
Web dựa trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang
web khác HTTPS. Khi một người dùng yêu cầu một trang an toàn trên Internet,
TMG chặn các phản hồi từ máy chủ Web, tạo ra một giấy chứng nhận cùng tên
và gửi lại cho người dùng. Trong cách này tất cả lưu lượng HTTPS có thể được
TMG kiểm tra trước khi nó được thông qua giữa máy khách và máy chủ.
 Hỗ trợ E-Mail Anti-Malware và Anti-Spam
2
LÊ QUANG HOÀNG DIỆP 23

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng
chống phần mềm độc hại.
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra
bằng cách sử dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người
dùng. Đối với các giao thức SMTP, bạn có thể xác định một con đường SMTP, là
một thực thể đại diện cho một liên kết giữa TMG và nội bộ hoặc các máy chủ thư
bên ngoài. Mục đích các tuyến đường SMTP là để đơn giản hóa cấu hình và cung
cấp một liên kết giữa TMG và Internet, giữa TMG và published mail server. Giao
diện người dùng mới làm cho nó dễ dàng hơn để quản lý cấu hình published mail
server, bạn chỉ cho phép antivirus (AV) quét trên các tuyến đường SMTP.
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu
lượng truy cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc
được gửi qua e-mail.
 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là
bởi vì nó có thể được sử dụng như một biện pháp chủ động để phát hiện xâm
nhập. IPS là một thiết bị bảo vệ hệ thống. Một IPS thường được coi là một phần
mở rộng của Intrution Detection System (IDS), nhưng cũng có thể được xem như

là một hình thức kiểm soát truy cập, tương tự như một lớp ứng dụng tường lửa
không chỉ phát hiện hoạt động đáng ngờ, nhưng cũng có các biện pháp phòng
ngừa để ngăn chặn xâm nhập và cho phép được lựa chọn con đường đi qua.
TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS.
TMG 2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc
LÊ QUANG HOÀNG DIỆP 24

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA FOREFRONT TMG 2010 GVHD: TRẦN KIM TÂM
hại.
Giao diện Intrusion Prevention System (IPS)
 The Session Initiation Protocol (SIP) Filter
Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm
thanh
và video thông qua các bức tường lửa TMG và cũng cho phép người dùng
chuyển các tập tin và chia sẻ ứng dụng.
 TFTP Filter
TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter. TFTP thường
được sử dụng bởi BootP client để tải về một hệ điều hành. Ngoài ra, do nhiều
Voice Over IP (VoIP)
điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMG
cung cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách
sử dụng bộ lọc TFTP. Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới
được triển khai. TFTP là một truyền tập tin giao thức tương tự như File Transfer
Protocol (FTP), nhưng hoạt động khá khác nhau một chút và sử dụng khác nhau.
Bởi vì ISA Server thường được dùng để cô lập mạng lưới của nhau và không
hiểu làm thế nào để quản lý TFTP Communications, nên việc triển khai tự động
của Windows và bằng ảnh đĩa thường bị thất bại. TMG giải quyết vấn đề này
bằng cách thêm một bộ lọc TFTP để cung cấp sự quản lý tốt hơn và an toàn hơn.
 Network Functionality Enhancements (Cải tiến chức năng mạng)
LÊ QUANG HOÀNG DIỆP 25