BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRƯỜNG CĐ CNTT HỮU NGHỊ VIÊT – HÀN
KHOA KHOA HỌC MÁY TÍNH

ĐỒ ÁN MÔN INTERNET
VÀ DỊCH VỤ
THIẾT LẬP CÁC ACCESS RULE ĐỂ BẢO
MẬT TRÊN TMG FIREWALL 2010
SINH VIÊN THỰC HIỆN : Đặng Quang Trung
Phạm Quốc Vũ
Đinh Đức Tin
GIÁO VIÊN HƯỚNG DẪN : Lê Tự Thanh
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
KHOÁ HỌC: 2006 – 2009
NHẬN XÉT CỦA GIÁO VIÊN

Đà Nẵng, ngày …… tháng …… năm 2011
GIÁO VIÊN
GVHD: Lê Tự Thanh Trang 2
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
LỜI NÓI ĐẦU
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ
không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ
thông tin.
Sự phát triển của internet cho phép chúng ta truy cập tới mọi nơi trên thế giới
thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông
tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm
nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. chính vì thế mà khái niệm
“Firewall” đã ra đời để giải quyết vấn đề này. Firewall có thể bảo mật cho 1 máy tính
riêng lẻ cũng như 1 hệ thống máy tính trong 1 công ty lớn.
Trong một hệ thống Firewall lớn, nhằm mục đích đảm bảo hiệu xuất làm việc
mà chúng ta phải phân quyền cho các máy tính. Đề tài “ Thiết lập Access Rule để bảo
mật trên TMG Firewall 2010” sẽ đưa ra các biện pháp để phân quyền tốt nhất trên 1 hệ
thống Firewall lớn qua sản phẩm Firewall của Microsoft là TMG 2010.
Xin chân thành cảm ơn thầy LÊ TỰ THANH đã hướng dẫn Nhóm hoàn thành
đồ án của mình.
GVHD: Lê Tự Thanh Trang 3
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A

Mục Lục
LỜI NÓI ĐẦU 3
CHƯƠNG I: TƯỜNG LỬA 5
1.1 Khái niệm tường lửa 5
1.1.1 Firewall cứng 5
1.1.2 Firewall mềm 6
Chương II:Lịch sử phát triển của TMG Firewall 2010 7
2.1 Lịch sử và phát triển 7
Chương III: ACCESS RULE 9
Chương IV:Kết Luận 34
GVHD: Lê Tự Thanh Trang 4
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
CHƯƠNG I: TƯỜNG LỬA
1.1 Khái niệm tường lửa
Tường lửa (Firewall) hiểu một cách chung nhất, là cơ cấu để bảo vệ một mạng
máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác. Firewall
bao gồm các cơ cấu nhằm:
− Ngăn chặn truy nhập bất hợp pháp.
− Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể
yêu cầu truy nhập.
Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần
cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính … Tường lửa
có thể được xác định như là một tập hợp các cấu kiện đặt giữa hai mạng.
Nhìn chung bức tường lửa có những thuộc tính sau :
- Thông tin giao lưu được theo hai chiều.
- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua.
Nhìn chung, Firewall có thể bảo vệ hệ thống máy tính chống lại những kẻ đột nhập
qua khả năng ngăn chặn những phiên làm việc từ xa (remote login).
Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi
cho phép người sử dụng hợp pháp được truy nhập tự do mạng bên ngoài.

Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là
“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi
cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … Firewall có thể phục vụ
như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo
khả năng bị tấn công trước khi cuộc tấn công xẩy ra.
1.1.1 Firewall cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với
Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là
không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc
biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ
định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho
toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với
Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys
() và NetGear (). Tính năng Firewall
GVHD: Lê Tự Thanh Trang 5
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định
tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.
1.1.2 Firewall mềm
Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng
Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall
phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC
Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1, ISA Firewall 2010(phiên bản cũ là
ISA firewall 2006), …) và bạn có thể tải về từ mạng Internet.
So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là
khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.
Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần
cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall

phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn
được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào.
Trong đề tài sẽ sử dụng Firewall mềm là TMG Firewall.
GVHD: Lê Tự Thanh Trang 6
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Chương II:Lịch sử phát triển của TMG Firewall 2010
2.1 Lịch sử và phát triển
Microsoft Forefront Threat Management Gateway (TMG) 2010 là phiên bản
"Firewall" mới của Microsoft được phát hành để thay thế cho phiên bản cũ là ISA
Server 2006.
Phát hành ngày 17 tháng 11 năm 2009, sau đó ngày 23 tháng 6 năm 2010 là Service
Pack 1.
Các phiên bản đã phát hành:
- Microsoft Forefront TMG 2010 Standard Edition.
- Microsoft Forefront TMG 2010 Enterprise Edition.
2.2 Các chức năng chính.
1. Firewall : Kiểm soát các gói tin truy cập từ nội bộ ra Internet &
ngược lại.
- Secure Web Gateway : Bảo vệ người dùng khỏi các mối đe dọa khi truy cập
Web.
- Secure E-mail Relay : Bảo vệ người dùng khỏi các mối đe dọa của E-mail độc
hại.
- Remote Access Gateway : Hỗ trợ người dùng truy cập từ xa các dịch vụ & tài
nguyên trong nội bộ.
- ISP Link Redundancy : Hỗ trợ tải & dự phòng cho nhiều đường truyền Internet
- Enhanced Voice Over IP : Cho phép kết nối & sử dụng VoIP thông qua TMG.
- Intrustion Prevention : Phòng chống các cuộc tấn công & xâm nhập từ bên
ngoài.
- Web Anti-Malware : quét virus, phần mềm độc hại & các mối đe dọa khác khi
truy cập web.

- HTTPS Inspection : kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
- E-mail protection subscription service: tích hợp với Forefront Protection 2010
for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses,
malware, spam e-mail trong hệ thống Mail Exchange.
- Network Inspection System (NIS) : ngăn chặn các cuộc tấn công dựa vào lỗ
hổng bảo mật.
- Network Access Protection (NAP) Integration : tích hợp với NAP để kiểm tra
tình trạng an toàn của các client trước khi cho phép client kết nối VPN.
- Security Socket Tunneling Protocol (SSTP) Integration : Hỗ trợ VPN-SSTP.
- Windows Server 2008 with 64-bit support : Hỗ trợ Windows Server 2008 &
Windows Server 2008 R2 64-bit.
- URL Filtering : cho phép hoặc cấm truy cập các trang web theo danh sách phân
loại nội dung sẵn có như: web đen, chat,….
Với những tính năng bảo mật hệ thống được nâng cao hơn nhiều so với ISA
Server 2006, bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet
GVHD: Lê Tự Thanh Trang 7
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại các mối đe dọa
khác.
Trong đề tài ứng dụng chức năng URL Filtering của TMG Firewall.
2.3 So sánh với phiên bản trước.
Chức Năng ISA
Firewall
2006
TMG
Firewall
2010
Kiểm soát các gói tin truy cập từ nội bộ ra Internet & ngược
lại.

X X
Bảo vệ người dùng khỏi các mối đe dọa khi truy cập Web. X X
Bảo vệ người dùng khỏi các mối đe dọa của E-mail độc hại. X X
Hỗ trợ người dùng truy cập từ xa các dịch vụ & tài nguyên
trong nội bộ.
X X
Hỗ trợ tải & dự phòng cho nhiều đường truyền Internet X X
Phòng chống các cuộc tấn công & xâm nhập từ bên ngoài X
Cho phép kết nối & sử dụng VoIP thông qua TMG. X
Kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL
Certificate.
X
Tích hợp với Forefront Protection 2010 for Exchange Server
& Exchange Edge Transport Server để kiểm soát viruses,
malware, spam e-mail trong hệ thống Mail Exchange.
X
Hỗ trợ Windows Server 2008 & Windows Server 2008 R2
64-bit.
X
Tích hợp với NAP để kiểm tra tình trạng an toàn của các
client trước khi cho phép client kết nối VPN.
X
Hỗ trợ VPN-SSTP X
Cho phép hoặc cấm truy cập các trang web theo danh sách
phân loại nội dung sẵn có như: web đen, chat,….
X
GVHD: Lê Tự Thanh Trang 8
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Chương III: ACCESS RULE

Access Rule (luật truy cập) được sử dụng để điều khiển truy cập gửi ra từ một
mạng được bảo vệ bởi Firewall. Khi bạn muốn cho phép một máy tính nằm phía sau
sự kiểm soát của Firewall truy cập một mạng khác (gồm có Internet), bạn cần tạo một
Access Rule để cho phép kết nối đó.
Mặc định, không có Access Rule nào cho phép các kết nối qua Firewall , vì vậy
trạng thái mặc định Firewall là một bức tường vững chắc bảo vệ cho mạng. Trạng thái
đóng cửa mặc định này là một cấu hình an toàn, tuy nhiên nó cũng có nghĩa là nếu
muốn cho phép lưu lượng qua Firewall,chúng ta cần phải thiết lập Access Rules để
giới hạn các quyền truy cập cho những người dùng khác nhau.
GVHD: Lê Tự Thanh Trang 9
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
CHƯƠNG VI :Cài đặt TMG Firewall 2010
4.1 Mô hình triển khai TMG 2010 để bảo mật hệ thống mạng
Bảng 3.1 Mô hình triển khai TMG 2010
Chuẩn bị : Trong mô hình lab sử dụng 2 máy Windows Server 2008 R2
 Server01 làm chức năng TMG Server (quangtrung.c3nhom9.edu.vn)
 Server02 làm chức năng DC, DNS Server & Client
(quocvu.c3nhom9.edu.vn)
 Máy Client : Win7 ( ductin.c3nhom9.edu.vn )
GVHD: Lê Tự Thanh Trang 10
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A

Interface\ ServerServer01 (TMG Server)
Server02
(DC/DNS)
Client Win7
INT
IP: 192.168.1.100
GW:
DNS: 192.168.1.200

IP: 192.168.1.200
GW:192.168.1.10
0
DNS:192.168.1.20
0
IP : 192.168.1.150
GW : 192.168.1.100
DNS : 192.168.1.200
EXT
IP: 10.21.19.10
GW: 10.21.1.1 (DSL
Router)


Yêu cầu máy cài đặt :
Cấu hình tối thiểu Cấu hình đề nghị
Processor 2 core ( 1 CPU x dual
core ) 64-bit
processor
4 core ( 2 CPU x dual core or 1
CPU x quad core ) 64-bit processor
Ram 2Gb 4Gb
Dung lượng
đĩa cứng
còn trống
2.5Gb 2.5Gb
Đĩa cứng Ổ đĩa cục bộ phân vùng NTFS
Network 2 card mạng : 1 liên kết mạng Lan và 1 đi ra internet
Hệ điều
hành

Windown Server 2008 R2, 64 bit
GVHD: Lê Tự Thanh Trang 11
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Cấu hình Server02 làm Domain Controller & DNS Server của domain
c3nhom9.edu.vn
Join máy Server1 vào domain c3nhom9.edu.vn
Join máy client vào domain c3nhom9.edu.vn
4.2 Cài đặt TMG Firewall 2010
Chạy phần Phần mềm “TMG Firewall 2010”để Giải phóng các File
GVHD: Lê Tự Thanh Trang 12
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Sau khi các fille được giải phóng,sẽ thấy trang Welcome to Microsoft Forefront
TMG
Click next
Tiếp theo chọn đường dẩn cài đặt
Xong click vào next
GVHD: Lê Tự Thanh Trang 13
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Preparation Tool
Trong hộp thoại Welcome, chọn Next
GVHD: Lê Tự Thanh Trang 14
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại License Agreement, đánh dấu chọn I accept the terms of the
License Agreements, chọn Nex
Trong hộp thoại Installation Type, chọn Forefront TMG services and
Management, chọn Next
GVHD: Lê Tự Thanh Trang 15
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Sau khi cài đặt thành công, chọn Finish
Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Installation Wizard

GVHD: Lê Tự Thanh Trang 16
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Welcome, chọn Next
Trong hộp thoại License Agreement, chọn I accept the terms in the license
agreement, chọn Next
GVHD: Lê Tự Thanh Trang 17
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Customer Information, khai báo Product Serial Number, chọn
Next
Trong hộp thoại Setup Scenarios, chọn Forefront TMG services and
Management
GVHD: Lê Tự Thanh Trang 18
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Installation Path, khai báo đường dẫn cài đặt, chọn Next
Trong hộp thoại Define Internal Network, chọn Add để khai báo subnet sử dụng
trong hệ thống nội bộ
GVHD: Lê Tự Thanh Trang 19
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Address, chọn Add Adapter
Trong hộp thoại Select Network Adapters, đánh dấu chọn card INT (Card INT
là card mạng kết nối và nội bộ), chọn OK
GVHD: Lê Tự Thanh Trang 20
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Define Internal Network, kiểm tra subnet nội bộ là
172.16.21.0-172.16.21.255, chọn Next
Trong hộp thoại Services Warning, chọn Next
GVHD: Lê Tự Thanh Trang 21
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Ready to Install the Program, chọn Install
Sau khi cài đặt thành công,chọn Finish

GVHD: Lê Tự Thanh Trang 22
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Vào đường dẫn cài đặt TMG mở Forefront TMG Management
Trong hộp thoại Getting Started Wizard, chọn Configure network settings
GVHD: Lê Tự Thanh Trang 23
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Trong hộp thoại Welcome, chọn Next
Trong hộp thoại Network Template Selection, chọn Edge firewall, chọn Next
GVHD: Lê Tự Thanh Trang 24
Báo Cáo Đề tài Internet và Dịch Vụ Lớp CCMM03A
Để chỉ định card mạng kết nối vào nội bộ, trong hộp thoại Local Area Network
(LAN) Setting, chọn card INT, chọn Next
Để chỉ định card mạng kết nối ra Internet,trong hộp thoại Internet Settings,
chọn card EXT, chọn Next
Tiếp theo chọn Finish
GVHD: Lê Tự Thanh Trang 25