Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
MỤC LỤC
DANH SÁCH HÌNH ẢNH
BẢNG BIỂU
1
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
DANH SÁCH TỪ VIẾT TẮT
Từ viết tắt Từ đầy đủ Giải thích
TMG
Thread Management Gateway Tên firewall mềm TMG 2010
HTTP Hyper Text Transfer Protocol
Giao thức truyền tải siêu văn bản
DNS Domain Name System
Hệ thống phân giải tên miền
SMNP Simple Network Management
Protocol
Là một tập hợp các giao thức
mạng
SMTP Simple Mail Transfer Protocol
Giao thức truyền tải thư tín đơn
giản
NFS Network File System
Dịch vụ chia sẻ tài nguyên
TCP Transmission Control Protocol
Giao thức điều khiển truyền vận
UDP User Datagram Protocol
Giao thức mạng
ICMP Internetwork Control Message
Protocol
Là giao thức mạng thuộc
FTP File Transfer Protocol

Giao thức truyền tập tin
VPN Virtual private network
Mạng riêng ảo
NAT Network Address Translation
Dùng để phiên dịch địa chỉ IP
private sang địa chỉ IP public
IP Internet Protocol
Dải địa chỉ của máy
LAN Local Area Network
Mạng máy tính cục bộ
ISA Internet Security Aceleration
Chương trình firewall/security
do Microsoft phát triển
2
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI
1.1. Lý do chọn đề tài
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều
tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa
cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài
nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn
tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng
dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của
doanh nghiệp được ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ
tầng phần cứng kết nối mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity
Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói
tin, … được cung cấp bởi hãng Microsoft.
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống
mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng

bảo mật hệ thống mạng doanh nghiệp đó cũng chính là đề tài mà em lựa chọn và
triển khai cài đặt - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng
cho Công ty TNHH Hà Nội Computer.
1.2. Mục tiêu của đề tài
- Tìm hiểu tổng quan về TMG 2010.
- Lịch sử, quá trình phát triển của TMG 2010.
- Tính năng mới của TMG so với các phiên bản trước là ISA 2006, ISA 2004,
….
- Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh
nghiệp dựa trên mô hình mạng của doanh nghiệp.
- Tiến hành Remote Access các máy trong mô hình mạng của công ty.
1.3. Giới hạn và phạm vi của đề tài
- Tìm hiểu lý thuyết tổng quan về TMG 2010, những tính năng mới, nổi bật
hơn so với các phiên bản ISA trước đây của Microsoft .
3
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
- Đưa ra được giải pháp bảo mật cho công ty, cấu hình các luật trong TMG để
tiến hành giám sát mạng , các tài khoản người dùng trong công ty, tiến hành
mô phỏng giả lập trên môi trường máy ảo.
1.4. Nội dung thực hiện
- Tìm hiểu lý thuyết về tổng quan TMG 2010, nắm được những tính năng nổi
bật cần áp dụng cho hệ thống mạng doanh nghiệp đòi hỏi tính an toàn và bảo
mật cao.
- Nắm được các mô hình firewall, cấu hình thiết lập mạng.
- Tiến hành cài đặt trên máy ảo, nhằm mô phỏng quá trình quản lý, giám sát
bảo mật cho doanh nghiệp.
- Đưa ra nhận xét.
1.5. Phương pháp tiếp cận
- Cách tiếp cận: Nghiên cứu quản trị mạng với TMG 2010
- Sử dụng các phương pháp nghiên cứu:

o Phương pháp đọc tài liệu;
o Phương pháp phân tích mẫu;
o Phương pháp thực nghiệm;
4
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT VỀ TMG 2010
2.1. Tổng quan về Forefront TMG 2010
Hình 2-1: Forefront Threat Managerment Gateway
Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky
Lab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một
nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall)
là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống
của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft
Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người
dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm
mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo vệ liên tục được
cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, (TMG) cho phép bạn
dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật web. Hay nói cách
khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3
phần riêng biệt:
• Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta.
5
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
• Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới,
chính là máy Forefront TMG.
• External Network - là mạng Internet, như vậy mạng Internet được xem
như là một phần trong mô hình Forefront TMG mà thôi.
2.2. Lịch sử, quá trình phát triển của Forefront TMG 2010
2.2.1. Lịch sử

Hình 2-2: Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều
hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà
không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7,
Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như
Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software
mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010.
2.2.2. Quá trình phát triển:
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển
sau:
 1/1997 - Microsoft Proxy Server v1.0 (Catapult).
 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000).
 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004).
6
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA
Server 2006).
 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010).
2.3. Bảng giá của từng phiên bản Forefront TMG 2010
Bảng 2-1: Thông tin prices và licenses của các phiên bản Forefront
Bảng 2-2: Thông tin Price và Licenses của Windows Server 2008
2.4. Các tính năng của TMG 2010
• Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua
TMG.
7
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer

• ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều
đường truyền internet.
• Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa
khác khi truy cập web.
• URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh
sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua
sắm, chat
• HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để
phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL
Certificate.
• E-mail Protection Subscription Service - Tích hợp với Forefront
Protection 2010 for Exchange Server & Exchange Edge Transport Server
để kiểm soát virus, malware, spam e-mail trong hệ thống Mail Exchange.
• Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa
vào lỗ hổng bảo mật .
• Network Access Protection (NAP) Integration - Tích hợp với NAP để
kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối
VPN.
• Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-
SSTP.
• Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server
2008 & Windows Server 2008 R2 64-bit.
2.5. Các mô hình Firewall
Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa
topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất
cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau
dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu network rule đó là:
8
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
• Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai

mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
• NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa
hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn
mạng bằng địa chỉ IP của network adapter tương ứng.
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule
cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
2.5.1. Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được
thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình.
Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những
gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG
Management.
Hình 2-3: Network setup wizard
2.6. Yêu cầu hệ thống
2.6.1. Yêu cầu phần cứng:
Yêu cầu tối thiểu cho TMG 2010 là:
Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc
data center RTM với Service Pack 2 (SP2) hoặc R2.
9
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
- 2 GB bộ nhớ RAM.
- Một CPU lõi kép.
- Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS.
- 150 MB đĩa cứng không gian.
- ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp
với mạng nội bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức
năng tường lửa).
- Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối.
2.7. Malware Inspection
2.7.1. Tìm hiểu về Inspection Malware trong TMG

TMG Malware Inspection được thiết kế để phát hiện và ngăn chặn các bit
độc hại trong HTTP được gửi cho khách hàng trong các mạng được bảo vệ trước
khi các bit độc hại này có thể truy cập máy tính người dùng không nghi ngờ và lây
lang thiệt hại không thể khắc phục.
2.8. Remote Access
2.8.1. khái niệm VPN
VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ
sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số,
VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ
chức với địa điểm hoặc người sử dụng ở xa. Các giao thức VPN được sử dụng khác
nhau tùy theo khả năng của VPN client và máy chủ cũng như các yêu cầu chức
năng và an ninh của tổ chức.
Bởi vì các đường hầm VPN được định để được an toàn và đáng tin cậy, cung
cấp mã hóa mạnh mẽ và phương pháp xác thực. Ngoài ra, nó sử dụng quản lý
đường hầm để kiểm soát lưu lượng giao thông qua đường hầm. Hình 2.28 minh họa
mối quan hệ giữa các chức năng VPN.
10
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
Hình 2-4: Kết nối VPN
Thay đổi gần đây trong công nghệ khác nhau đã dẫn đến sự xuất hiện của
một phương pháp đường hầm an toàn gọi chung là SSL-VPN. Tùy thuộc vào thiết
kế sản phẩm của nhà cung cấp, họ có thể cung cấp một giải pháp VPN hạn chế hoặc
hoàn toàn. Bởi vì TMG không cung cấp một giải pháp SSL-VPN, nên chúng ta thảo
luận về những giao thức và các kịch bản đối với các công nghệ VPN cổ điển.
11
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
CHƯƠNG 3: THIẾT KẾ VÀ CÀI ĐẶT TMG 2010 CHO CÔNG TY
TNHH HÀ NỘI COMPUTER
3.1. Khảo sát nhu cầu dự án

3.1.1. Tình huống đề tài:
Công Ty TNHH Máy Tính Hà Nội Computer có 2 trụ sở tại Hà Nội
Địa chỉ: HANOICOMPUTER-LÊ THANH NGHỊ - 131 Lê Thanh Nghị - Hà
Nội
HANOICOMPUTER-THÁI HÀ - 43 Thái Hà - Hà Nội
Lĩnh vực kinh doanh:
• Thiết bị văn phòng
• Kinh doanh các mặt hàng thiết bị điện tử máy tính, PC, Lattop,….
• Cung cấp các thiết bị số: thiết bị giám sát, an ninh, bảo mật, phụ kiện,…
• Tư vấn hỗ trợ khách hàng qua mạng
Công ty TNHH Hà Nội Computer đã có sẵng hạ tầng hệ thống công nghệ
thông tin. Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu
quả trong kinh doanh.
3.1.2. Mô hình mạng logic tại trụ sở
12
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
Hình 3-1: Mô hình logic tại các trụ sở
3.1.3. Nhu cầu của công ty TNHH Hà Nội Computer:
- Tăng cường bảo mật toàn diện cho hệ thống mạng doanh nghiệp
- Hỗ trợ người dùng di động làm việc hiệu quả
- Hỗ trợ kết nối an toàn giữa các site với vpn thông qua môi trường internet
- Quản lý theo dõi các loại traffic ra vào hệ thống
- Thiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép
vào hệ thống mạng
- Lọc và ngăn chặn spam và virus cho hệ thống email
- Lọc và ngăn chặn virus mailware xâm nhập vào hệ thống mạng
3.2. Đề xuất giải pháp
- Đưa ra được giải pháp bảo mật hệ thống mạng cho công ty.
- Cấu hình được các Access Rule.
- Triển khai Remote Access.

- Tiến hành cài đặt VPN site to site.
- Cài đặt cân bằng tải.
- Bảo mật hệ thống mạng cho công ty TNHH Hà Nội Computer.
13
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
Hình 3-2: Sơ đồ lab VPN site to stie
3.3. Danh mục thiết bị
3.3.1. Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG
IBM® System® x3650M3 (7945 - L2A)
Hình 3-3: IBM® System® x3650M3 (7945 - L2A)
- Model: 7945L2A
- Kiểu máy chủ: Rack 2U
- Vi xử lý: 1 x Intel® Xeon® Six Core Processor X5660, 2.80GHz, 12M L3
- Bus hệ thống: Intel QuickPath Interconnect up to 6.4 GT/s
- Bộ nhớ: 3 x 4GB DDR3 1333 hỗ trợ ECC
- Ổ cứng: 300GB SEAGATE® SAVVIO® SAS2.0 6GB/S – Hot Swap
- Hỗ trợ raid: 0, 1, 5, 10
- Ổ đĩa quang: IBM UltraSlim Enhanced SATA DVD-ROM
14
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
- Card mạng: Integrated dual Gigabit Ethernet (2 ports standard, plus 2 ports
optional) hỗ trợ 10BASE-T, 100BASE-TX, and 1000BASE-T, RJ45
- Nguồn: 1x Power Supply 675watt HS
3.4. Thực hiện
3.4.1. Cài đặt forefront tmg 2010
Các bước cấu hình:
- Windows Server 2008 R2 Enterprise 64-bit (đã update)
- Chạy Preparation Tool để cài đặt các Roles & Features cần thiết cho
Forefront TMG Server
- Cài đặt Forefront TMG 2010

3.4.2. Cấu hình các Access Rule
- Web Access
- DNS Query
- Malware Inspection
- HPTPS Inspection
- URL filtering
3.4.3. Cấu hình VPN Site To Site
Hình 3-4: Kiểm tra kết nối VPN từ site 01 đến site 02
15
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
Hình 3-5: Kiểm tra kết nối từ client site 02 đến site 01
Kiểm tra truy cập dữ liệu
Hình 3-6: Truy cập dữ liệu từ máy site 01 sang máy site 02
16
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
Hình 3.7: Truy cập dữ liệu từ máy site 02 sang máy site 01
17
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
CHƯƠNG 4: KẾT LUẬN
4.1. Kết quả đạt được của đề tài
- Tìm hiểu được tổng quan về TMG 2010
- Tìm hiểu được các tính năng mới của TMG so với các phiên bản trước là ISA
2006, ISA 2004,….
- Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh
nghiệp dựa trên mô hình mạng của doanh nghiệp
- Tiến hành Remote Access được các máy trong mô hình mạng của công ty, cài
đặt triển khai được VPN site to site
- Cấu hình bảo mật Malware Inspection được thiết kế để phát hiện và ngăn
chặn các bit độc hại
- Cấu hình HTTPS Inspection. Nhằm mục đích cài đặt chứng chỉ nhận diện mã

độc, tránh việc các tài khoản người dùng trong Công ty truy cập, hoặc down
load các bit độc hại
- Cấu hình chính sách URL filtering, nhằm mục đích ngăn chặn các website
cấm hoặc có nội dung không lành mạnh
4.2. Hạn chế của đề tài
Do thời gian làm đồ án tốt nghiệp còn hạn chế, cũng như việc phải gấp rút
hoàn thiện đồ án tốt nghiệp, chính vì thế đề tài vẫn còn những hạn chế sau:
- Chưa cấu hình được tính năng ISP Redundancy là một tính năng trong TMG
cung cấp tính sẵn sàng cao hoặc chia sẻ tải trọng của kết nối Internet bằng
cách sử dụng của hai link ISP
- Hệ thống mới chỉ dừng lại ở mức giả lập mô phỏng các cấu hình cài đặt trên
máy ảo, chưa triển khai thực tế cho doanh nghiệp được
4.3. Hướng phát triển của đề tài
Triển khai cài đặt mở rộng phạm vi của đề tài cho Công ty, với việc đang
triển khai, cấu hình mô phỏng thực hiện trên môi trường máy ảo, chưa đưa được
vào thực tế cho Công ty. Trong thời gian tới sẽ triển khai và áp dụng thực tế cho mô
18
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
hình của Công ty, doanh nghiệp có nhu cầu muốn tang cường bảo mật cho hệ thống
mạng.
Cấu hình hoàn thiện thêm các chức năng bảo mật mạnh mẽ, an toàn hơn cho
hệ thống mạng doanh nghiệp hiện nay, hoàn thiện các chức năng còn chưa cấu hình,
triển khai được.
19
Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer
TÀI LIỆU THAM KHẢO
[1] Ngọc Bích-Tường Thụy, Quản trị mạng-Windows Server 2008. Hà Nội, Việt
Nam: Nhà xuất bản Thông Tin & Truyền Thông , 2012.
[2] Tô Thanh Hải, Triển Khai Firewall Với Microsoft ISA Server 2006. Hà Nội,
Việt Nam: Nhà xuất bản Lao động- Xã hội, 2011.

[3] Microsoft Forefront Threat Managerment Gateway (TMG) Administrator’s
Companion.
[4] Cài đặt Forefront Threat Management Gateway (TMG) 2010, <
/>management_2658.html>, xem ngày 29/09/2013.
[5] Nguyễn Thành Dương, MS TMG 2010 Lab 12 Giám Sát Mạng Với TMG 2010,
< />v=TbmDeUBxAHw&index=2&list=PLYmwYGb3wIqsc5DLyEsaNqKObySMF2Ts
y>, xem ngày 22/01/2014.
[6] Nguyễn Thành Dương, MS TMG 2010 Lab 03 Cấu Hình Web Access Policy, <
/>v=k3JEGimx2lo&index=11&list=PLYmwYGb3wIqsc5DLyEsaNqKObySMF2Tsy>
, xem ngày 22/01/2014.
20