ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG VÀ TRUYỀN THÔNG
***000***

BÁO CÁO ĐỒ ÁN
CẤU HÌNH TƯỜNG LỬA
MÔN: ỨNG DỤNG TRUYỀN THÔNG
VÀ AN NINH THÔNG TIN

SINH VIÊN THỰC HIỆN: GIÁO VIÊN HƯỚNG DẪN:
Nhóm 6: ThS. Tô Nguyễn Nhật Quang
Nguyễn Lâm 08520194
Cao Nhật Quang 08520304
Ngô Tấn Tài 08520323
Lâm Văn Tú 08520610
Thành phố Hồ Chí Minh
-14/4/2012-
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
MỤC LỤC
Page 2
2
2
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
1. GIỚI THIỆU VỀ BÀI HỌC
Trong bài này, chúng ta sẽ nghiên cứu sâu hơn về các loại tường lửa và cách cấu hình một
số loại tường lửa phổ biến hiện nay: Microsoft Forefront Threat Management Gateway 2010
(TMG), IPTables Firewall, Cisco ASA.
Bài học gồm những phần sau đây:
• Phần 1: Tìm hiểu về tường lửa.
Ta sẽ giải thích tại sao tường lửa ra đời. Các loại tường lửa phổ biến và cách

thức hoạt động chung của những loại tường lửa như thế nào. Tường lửa giúp ích
gì cho hệ thống mạng và những gì chúng không thể làm được.
• Phần 2: Cấu hình TMG.
Trong phần này ta sẽ nghiên cứu và cấu hình một phiên bản tường lửa mới
nhất của Microsoft là TMG 2010. Là phiên bản nâng cấp từ Firewall ISA 2006,
TMG có những đặc tính và những công nghệ nổi bật hơn so với Firewall ISA
2006.
• Phần 3: Khái niệm về IPTables.
Nếu ở phần 2 ta nói về một phiên bản Firewall mới nhất của Microsoft là
TMG, thì ở phần này ta sẽ nghiên cứu về một loại tường lửa được tích hợp trong
nhân của hệ điều hành Linux, đó là IPTables Firewall. IPTables được đánh giá
là loại tường lửa rất mạnh và có tốc độ xử lý nhanh hơn các loại tường lửa khác
do được ứng dụng trên giao diện dòng lệnh. Nhưng để hiểu sâu về IPTables,
người quản trị cần phải có kiến thức tốt về cách thức kết nối và xử lý gói tin. Do
vậy, việc cấu hình IPTables không phải đơn giản.
• Phần 4: Triển khai các công nghệ Firewall.
Ở phần này, ta sẽ ứng dụng Firewall vào một mô hình thực tế. Một mô hình
bảo mật với sự kết hợp giữa 2 loại tường lửa phần cứng và phần mềm, đó là
Cisco ASA và Microsoft TMG 2010. Ta sẽ tham khảo cách cấu hình Cisco ASA
và triển khai chính sách bảo mật trên hai tường lửa này.
Page 3
3
3
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
2. PHẦN 1: TÌM HIỂU VỀ TƯỜNG LỬA
2.1 TÌM HIỂU VỀ TƯỜNG LỬA
Công nghệ cơ bản của tường lửa lần đầu tiên xuất hiện trong hệ thống mạng vào đầu
những năm 1990. Khi mạng lưới interne đã phát triển và ngày càng tiến bộ thì vấn đề về
bảo mật càng được chú trọng. Bên cạnh đó các hệ thống tường lửa cũng đã phát triển, chúng
phát triển từ các gatekeeper đơn giản cho đến các công cụ bảo mật hoàn thiện để có thể làm

việc cùng với các hệ thống phát hiện xâm nhập và các chương trình quét phần mềm độc hại.
Bảo mật trở thành vấn đề lớn cho các hệ thống kêt nối với internet. Xâm nhập mạng và
các cuộc tấn công trở nên phổ biến, rủi ro là một phần không thể tránh khỏi trong hoạt động
kinh doanh của các tổ chức sử dụng hệ thống mạng. Trong một mạng lưới hiện đại, công
nghệ tường lửa là một thành phần thiết yếu cho bất kỳ một tổ chức nào đã xây dựng một mô
hình an ninh mạng. Ngay cả khi một người sử dụng máy tính tại nhà kết nối internet thông
qua các kết nối của nhà cung cấp dịch vụ internet (ISP) thì các ISP này phải thường xuyên
cài đặt phần mềm, phần cứng tường lửa để cung cấp biện pháp bảo vệ cho hệ thống người
sử dụng dịch vụ. Hầu hết trong hệ thống mạng, tường lửa là những phương châm đẩu tiên
của sự phòng ngừa tấn công mạng, và chính vì như vậy, làm việc 1 cách chắc chắn và am
hiểu về tường lửa là bản chất của hệ thống mạng lưới tiến bộ. Trong bài này, ta sẽ nghiên
cứu như thế nào để cấu hình và triển khai hai nền tảng tường lửa phổ biến: Microsoft
Forefront Threat Management Gateway 2010 (TMG) của Microsoft và IPTables của Linux.
2.1.1 Những vấn đề cơ bản của tường lửa
Cơ bản của tường lửa là gì ? Làm thế nào để chúng có thể hoạt động một cách hiệu
quả? Ta có thể xây dựng một hệ thống mạng an toàn bằng cách áp đặt những quy tắc
hoạt động của hệ thống mạng lên tường lửa qua việc cấu hình chúng. Điều này sẽ đạt
hiệu quả cao nếu trả lời được những câu hỏi sao đây:
• Tường lửa là gì?
• Điều kiện liên kết các tường lửa phổ biến hiện nay?
• Chức năng cơ bản của một tường lửa là gì?
• Address, port, protocol và service hoạt động như thế nào trên tường lửa?
• Các loại tường lửa phổ biến hiện nay?
• Xây dựng các “quy tắc” của một tường lửa như thế nào?
• Những mô hình mạng phổ biến sử dụng tường lửa?
• Tại sao phải sử dụng một tường lửa?
• Tường lửa không thể bảo vệ những gì?
Page 4
4
4

ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
2.1.2 Điều kiện bắt buộc của một tường lửa
Chúng ta đều biết rằng mạng máy tính được tạo ra từ các hệ thống đa kết nối với
những mức độ khác nhau. Liên hệ với con người, những sự tương tác hằng ngày của bạn
với những người xung quanh là một minh họa tốt nhất trong việc quản lý về các kết nối
tin cậy. Lấy ví dụ, bạn có thể tin tưởng vào người bạn tốt nhất của bạn, nhưng không thể
tin tưởng vào những người xa lạ.
Trong một môi trường mạng, sự tương tác của những khu vực này được gọi là “khu
vực được tin cậy”. Một số ví dụ phổ biến của khu vực này sẽ là local network, hệ thống
mạng nội bộ là nơi có mức độ tin cậy cao. Internet là khu vực tin tưởng ít hoặc thậm chí
là không.
Hình 1: Khu vực tin cậy riêng biệt của những tường lửa.
Thế giới mạng đã cho ra đời một loạt thuật ngữ như: Internet, Extranet, intranet và
DMZ. Chúng ta có thể dùng các thuật ngữ này để định nghĩa các khu vực tin cậy, những
vấn đề này thường thấy trong bất kỳ một môi trường mạng nào.
2.1.3 Các chức năng cơ bản của một tường lửa
Chức năng chính của tường lửa là kiểm soát các thông tin liên lạc giữa các hệ thống
với các mức độ tin cậy khác nhau. Sự kiểm soát của tường lửa cho việc truyền thông
giữa các hệ thống mạng được tin cậy, chúng cho phép ta thực thi các chính sách bảo
mật. Điều này cho phép ta tạo một mô hình kết nối mạng cơ bản dựa trên các quy tắc và
thiết lập các mức độ truy cập khác nhau dựa trên nguồn, đích đến, giao thức và các dịch
vụ truyền thông mạng.
Page 5
5
5
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Hình 2: tường lửa thực thi các quy tắc truy cập giữa các khu vực tin cậy
2.1.4 Address, Port, Protocol và Service
Tất cả các hệ thống liên lạc dựa trên Internet Protocol sẽ có một vài thuộc tính
chung. Những thuộc tính chung này sẽ cho phép tường lửa thực hiện được hầu hết các

chức năng của nó. Ở đây có 5 điểm chung cơ bản hiện diện trong mạng lưới thông tin
liên lạc thông qua Internet Protocol.
• Source address: địa chỉ nguồn của thông tin.
• Destination address: địa chỉ đích của gói tin.
• Protocol used: các giao thức ở đây có thể sẽ là TCP, UDP, ICMP, IGMP.
• Target port: cổng là một thiết bị kết nối mạng logic. Số hiệu của cổng này là một yêu
cầu mạng xác định một dịch vụ cụ thể từ một nguồn tài nguyên ở xa trên mạng (IANA
RFC quy định cụ thể về các con số của cổng).
• Service: Đây là ứng dụng dùng để cung cấp dữ liệu hoặc yêu cầu thiết thực bởi kết nối
mạng. Nói chung, dịch vụ (service) lắng nghe những yêu cầu của một cổng cụ thể trên
một giao thức cụ thể.
Page 6
6
6
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
2.2 TƯỜNG LỬA VÀ MÔ HÌNH OSI
Công nghệ tường lửa hiện nay hoạt động trên các lớp của mô hình OSI.
Hình 3: Tường lửa hoạt động tại tầng 2,3,4 và 7 trong mô hình OSI
Tường lửa thường hoạt động tại những mức độ tương ứng với các lớp của mô hình OSI,
2, 3, 4 và 7. Các chức năng mạng phổ biến là địa chỉ nguồn, đích, giao thức, cổng và dịch vụ
hoạt động trên các lớp của mô hình OSI.
• Layer 2 (Data-link) : là lớp thấp nhất có chứa địa chỉ xác định địa chỉ nguồn và đích
đến cụ thể. Tất cả những địa chỉ này là MAC (Media Access Control) và được chỉ
định bởi card mạng. Lấy ví dụ, một địa chỉ MAC của một card mạng là một ví dụ
của địa chỉ lớp 2. Đây là một trong những lớp được dùng bởi tường lửa để phân biệt
địa chỉ nguồn, địa chỉ đích cho việc kiểm soát thông tin truyền thông.
• Layer 3 (Network): là lớp đảm nhận về việc phân phối lưu lượng mạng bằng cách
cung cấp cơ chế chuyển mạch và định tuyến, tạo ra mạng ảo (các đường dẫn logic),
và truyền dữ liệu kiển point to point. Địa chỉ nguồn, địa chỉ đích, định tuyến, chuyển
tiếp, sắp xếp gói tin, xử lý lỗi, và xử lý lưu lượng được xử lý tại lớp này. Giống như

lớp 2, lớp 3 cũng được dùng bởi tường lửa để phân biệt địa chỉ nguồn , địa chỉ đích
cho việc kiểm soát các thông tin.
• Layer 4 (Transport): là lớp nhận dạng các giao thức truyền thông và các phiên trao
đổi thông tin. Đây là lớp chỉ định các giao thức vận chuyển. VD:
TCP,UDP,ICMP,v.v… Và các cổng nguồn và đích được quy định rất cụ thể. Tường
lửa có thể thực thi các giao thức và cổng thông tin từ lớp thứ 4 và dùng những giá trị
này để kiểm soát việc truyền thông mạng.
Page 7
7
7
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
• Layer 7 (Application): Hỗ trợ cả ứng dụng (dịch vụ) và các tiến trình người dùng.
Lớp này là nơi mà những thứ như các đối tác truyền thông, chứng thực, chất lượng
dịch vụ. Mọi thứ tại lớp này là những ứng dụng cụ thể. Dữ liệu sẽ được truyền đi từ
chương trình, sau đó đóng gói và truyền qua các lớp bên dưới. Tường lửa có thể sử
dụng một máy chủ lưu trữ thông tin, và quản lý thông tin thông qua nó.
2.3 CÁC LOẠI TƯỜNG LỬA PHỔ BIẾN
2.3.1 Các tường lửa lọc gói tin đơn giản
Tường lửa lọc gói tin đơn giản là loại cơ bản nhất của tường lửa. Chúng kiểm tra
việc gửi đến hoặc gửi đi các gói tin và so sánh chúng với một “quy tắc” đã thiết lập để
xác định gói tin được cho phép hoặc từ chối.
Các tường lửa lọc gói tin hoạt động tại tầng 2 và tầng 3 của mô hình OSI. Chúng
cung cấp việc kiểm soát truy cập mạng bằng cách so sánh các quy tắc thiết lập thông tin
chứa trong các gói tin như:
• Địa chỉ nguồn của gói tin là những địa chỉ IP của hệ thống gửi đi.
• Địa chỉ đích của gói tin là những địa chỉ IP của hệ thống mà các gói tin được gửi
đến.
• Các giao thức mạng được dùng để truyền thông giữa địa chỉ nguồn và địa chỉ
đích.
• Một số bộ lọc gói tin đơn giản cũng bao gồm một số đặc điểm của tầng 4 về sự

truyền thông như cổng nguồn và cổng đích của kết nối.
• Nếu tường lửa là ‘multi-home’ tới 3 hoặc nhiều phân đoạn mạng (chẳng hạn như
trong cấu hình DMZ 3 đường). Một tường lửa lọc gói cũng đọc thông tin gói tin
liên quan đến interface của tường lửa cho gói tin đích.
Hình 4: Một tường lửa lọc gói tin đơn giản hoạt động tại những tầng 2,3
của mô hình OSI.
Page 8
8
8
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
2.3.2 Tường lửa trạng thái
Những tường lửa lọc gói tin đơn giản hoạt động trên các lớp 2 và 3 của mô hình OSI.
Các tường lửa kiểm tra tình trạng gói tin thêm lớp 4 ngoài lớp 2, 3. Vì thế, chúng có thể
theo dõi các kết nối ảo một cách hợp lý, những bức tường lửa này đôi khi được gọi là
những tường lửa cấp độ Circle.
Hình 5: Các lớp trong mô hình OSI của tường lửa trạng thái
Bộ lọc gói theo trạng thái cũng sử dụng các bộ quy tắc để kiểm soát gói tin. Nhưng
chúng bổ sung thêm một vài tính năng nhằm tăng cường hiệu suất và giải quyết một vài
vấn đề của tường lửa lọc gói tin đơn giản.
Những bức tường lửa theo dõi tình trạng của tất cả các kết nối trong bảng dữ liệu
nằm bên trong bộ nhớ. Điều này cho phép tường lửa xác định một gói tin đến hoặc là
một kết nối mới hoặc là kế nối hiện đang thiết lập.
Một khi các phiên kết nối đã kết thúc hoặc hết thời gian, thì mục của nó tương ứng
với bảng trạng thái đã được loại bỏ, một số ứng dụng sẽ gửi những gói tin “keepalive”
theo chu kỳ để các tường lửa từ bỏ các kết nối ít được sử dụng.
Page 9
9
9
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Hình 6: Ví dụ về sự kết nối bảng trạng thái.

Khả năng phân biệt giữa các kết nối mới và các kết nối hiện có mang lại lợi thế cho
loại tường lửa này hơn tường lửa lọc gói tin đơn giản.
Những tường lửa kiểm tra trạng thái khắc phục một số điểm yếu của những tường
lửa lọc gói tin. Do có bảng trạng thái, các tường lửa kiểm tra trạng thái sẽ an toàn hơn so
với các tường lửa lọc gói tin đơn giản.
2.3.3 Tường lửa dựa trên ứng dụng
Tường lửa ứng dụng (Cũng có thể gọi là Proxy-Gateway) là những tường lửa tinh vi
kết hợp kiểm tra cả kiểm soát truy cập ở lớp dưới với lớp 7 trong mô hình OSI. Tường
lửa ứng dụng kiểm soát định tuyến của các gói dữ liệu giữa những khu vực tin cậy và
không tin cậy được cấu hình trên tường lửa dựa trên ứng dụng hoặc dịch vụ đang gửi
hoặc nhận các gói dữ liệu. tất cả các gói dữ liệu mạng vượt qua được tường lửa thì phải
chịu sự kiểm soát của các phần mềm ứng dụng proxy.
Hình 7: các lớp trong mô hình OSI của tường lửa ứng dụng.
Tường lửa ứng dụng có khả năng kiểm tra sâu vào các gói tin để đánh giá chính xác
những kết nối nào là cho phép và những kết nối nào là từ chối. Bằng cách đọc dữ liệu
thực tế bên trong một gói tin , ứng dụng tường lửa có thể phát hiện ra bằng việc cố gắng
xâm nhập chẳng hạn như những sự truyền thông không được phép gán mặt nạ bên trong
gói tin gửi đi trên cổng cho phép. Lấy ví dụ, ẩn những gói tin truyền thông IRC bằng
cách sử dụng port 80 để giả mạo HTTP. Các tường lửa truyền thống không thể phát hiện
ra điều này. Trong khi đó, một tường lửa ứng dụng có thể kiểm tra và từ chối các gói tin
HTTP nếu như nội dung không phù hợp với loại gói tin.
Page 10
10
10
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Tuờng lửa ứng dụng thường có khả năng yêu cầu chứng thực với mỗi user hoặc hệ
thống truyền dữ liệu đi qua tường lửa. Vì thế, loại tường lửa này có ưu điểm hơn so với
hai loại trên.
2.4 XÂY DỰNG CÁC QUY TẮC CHO TƯỜNG LỬA
Các tường lửa có thể kiểm soát được lưu lượng mạng. Khi một gói tin nhận được từ

tường lửa, nó sẽ kiểm tra các thuộc tính của gói tin qua các tầng mạng khác nhau. Sau đó,
các thông tin này sẽ được so sánh với các quy tắc đã được cấu hình trong tường lửa.Dựa trên
kết quả so sánh đó, các gói dữ liệu có thể được xử lý như sau:
• Accept (cho phép): Tường lửa cho phép các gói tin đi đến đích theo yêu cầu.
• Deny (từ chối): Tường lửa hủy bỏ các gói tin và trả về một thông báo lỗi về nguồn.
• Discard (hủy bỏ): Tường lửa hủy bỏ gói tin, nhưng không trả lại thông báo lỗi về
nguồn.
Danh sách các thuộc tính để cấu hình tường lửa :
• Source address.
• Destination address.
• Protocol.
• Source port.
• Destination port.
• TTL values.
• Originators netblock.
• Domain name of source.
• Domain name of destination.
• Authentication.
• And many other attributes.
2.5 CÁC MÔ HÌNH LIÊN KẾT PHỔ BIẾN TƯỜNG LỬA
Tường lửa có thể được cài đặt trong các mô hình mạng khác nhau. Có 3 mô hình tường
lửa chuẩn thường được sử dụng trong mạng. Chọn đúng mô hình mạng cho hệ thống là bước
thành công đầu tiên trong việc triển khai tường lửa trên hệ thống mạng.
2.5.1 Perimeter Firewall
Mô hình này đặt một tường lửa duy nhất kết nối trực tiếp giữa những hệ thống hay
mạng tin cậy và không tin cậy.
Page 11
11
11
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH

Hình 8: ví dụ về một mô hình tường lửa.
Đây là một sự lựa chọn tốt cho một mô hình mạng khi bạn cho phép kết nối Internet
từ những mạng tin cậy của bạn, nhưng không muốn cung cấp thông tin bên trong cho
người dùng từ internet.
Bạn cũng có thể cấu hình Perimeter Firewall cho phép truy cập vào một số tài
nguyên bên trong bằng cách tạo những quy tắc cho phép bên ngoài chỉ được truy cập
những nội dung này giống như mail server và web server.
Tuy nhiên, tài nguyên nội bộ phải cấu hình để cho phép truy cập từ bên ngoài. Vì
vậy mạng bên trong sẽ dễ bị tấn công. Cần tạo ra một tài nguyên cho người dụng ở khu
vực không tin tưởng.
2.5.2 Three-Legged (DMZ) Firewall Topology
Mô hình DMZ ba chân thường được dùng ở những nơi mà bạn cần đưa một tài
nguyên đến những mạng không tin cậy như là Internet. Mô hình này dùng một tường
lửa duy nhất giống như Perimeter Firewall. Tường lửa phải có thêm một card mạng để
kết nối vào vùng chứa các tài nguyên bên ngoài.
Hình 9: Mô hình tường lửa 3 chân.
Page 12
12
12
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Các mô hình tường lửa ba chân cho phép đưa các tài nguyên bên trong ra bên ngoài
trong khi vẫn ngăn chặn tất cả các truy cập vào mạng nội bộ. Trong mô hình này, các
quy tắc cấu hình khác nhau cho mạng nội bộ và DMZ. Các kết nối ở mạng nội bộ phải
được cấu hình ngăn chặn tất cả các kết nối từ bên ngoài đi vào mạng nội bộ trong khi
các kết nối ở bên DMZ được cấu hình cho phép một tài nguyên cụ thể trong DMZ từ
mạng bên ngoài.
Cấu hình này làm tăng tính bảo mật cho hệ thống mạng nội bộ của bạn bằng cách
loại bỏ việc mở tất cả các cổng đến mạng nội. Một lợi ích bảo mật bổ sung trong mô
hình này là nếu một tài nguyên cho phép truy cập từ bên ngoài thì mạng nội bộ vẫn an
toàn.

2.5.3 Chained (DMZ) Firewall Topology
Mô hình này dùng một cặp tường lửa để tạo DMZ, 2 tường lửa “đặt giữa” DMZ giữa
mạng nội bộ và mạng bên ngoài. Mô hình Chained Firewall này được cấu hình đúng thì
nó mang lại một chế độ bảo mật cấp cao cho mạng của bạn.
Hình 10: Mô hình Chained Firewall.
Mô hình này được dùng cho cả mạng nội bộ và mạng bên ngoài cần cho việc truy
cập vào tài nguyên DMZ.
Page 13
13
13
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
2.6 NHỮNG MẶT HẠN CHẾ CỦA TƯỜNG LỬA
Sau đây là những vấn đề mà tường lửa không thể bảo vệ cho hệ thống:
• Các cuộc tấn công và đe dọa từ nội bộ.
• Những người trong nội bộ phá hoại công ty hoặc những người vô đạo đức cố gắng
phá hoại hệ thống của bạn vì mục đích cá nhân.
• Các chính sách đặt mật khẩu quá yếu hoặc trình độ quản trị của người quản trị mạng
quá thấp.
• Tưởng lửa không thể chống lại các cuộc tấn công mà không đi qua tường lửa.
• Kết nối dùng chung moderm hoặc mạng không dây với những người khác.
• Không thể chống lại các cuộc tấn công vào các dịch vụ cho phép đi vào bên trong
mạng của bạn.
• Allow inbound traffic: Ở đây sẽ bao gồm các cuộc tấn công trên web và email. Khi
bạn cho phép truy cập vào một web server và web server này bị dính một lỗi mà
chưa cập nhật. Khi đó, các cuộc tấn công vào web server dựa trên những lỗi này thì
tường lửa sẽ không có tác dụng trong trường hợp này.
• Tường lửa không thể bảo vệ cho bạn tránh khỏi các phần mềm độc hại và các lỗ
hổng bảo mật trên trình duyệt web.
3. PHẦN 2: CẤU HÌNH MICROSOFT FOREFRONT THREAT
MANAGEMENT GATEWAY 2010 (TMG)

3.1 GIỚI THIỆU
Sự xuất hiện của Microsoft Forefront Threat Management Gateway 2010 (TMG)
đã mang lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các
phiên bản Microsoft ISA Server trước đây. Một trong số đó là các tính năng bảo mật
mới có trong sản phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware,
chuyển tiếp SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng
bảo vệ email. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép
nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn. Trong đồ án này, chúng
em sẽ giới thiệu một số tính năng cơ bản được ưa thích và một số cải tiến trong TMG để
có thể cho administrator triến khai từ đơn giản đến phức tạp .
Page 14
14
14
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
• Chức năng chính của Forefont TMG 2010:
Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall . Được đa số
doanh nghiệp vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình
mạng . Được phát triển dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước
đó . Tiếp nối thành công đó, Forefont TMG 2010 ra đời .
Page 15
15
15
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
• Các tính năng nổi trội của Forefont TMG 2010:
Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG
ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền
internet.
Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy
cập web.
URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại

nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
E-mail protection subscription service: tích hợp với Forefront Protection 2010 for
Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,
spam e-mail trong hệ thống Mail Exchange.
Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng
bảo mật.
Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình
trạng an toàn của các client trước khi cho phép client kết nối VPN.
Page 16
16
16
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP.
Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 &
Windows Server 2008 R2 64-bit.
• Bảng so sánh tính năng ISA Server 2006 và Forefront TMG:
• Bảng so sánh 2 phiên bản Forefont TMG Standard và Enterprise
Page 17
17
17
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
• Các yêu cầu phần cứng khi cài đặt Forefont TMG
• Các yêu cầu phần mềm khi cài đặt :
Page 18
18
18
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
- Windows Roles and Features

+ Network Policy and Access Server
+ Active Directory Lightweight Directory Services (ADLDS)
+ Network Load Balancing (NLB)
- Microsoft® .NET 3.5 Framework SP1
- Windows Web Services API
3.2 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT
3.2.1 Cài đặt Forefont TMG 2010 Server
Page 19
19
19
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Sau khi giải nén ra . Chọn Forefront
TMG Management
Page 20
20
20
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
B2 :Hộp thoại
Network Template
Selection
( Chọn các mô hình
để triển khai firewall)
: Chọn Edge firewall
 Next
B3 : Chọn Network adapter kết nối với
mạng cục bộ
B4 : Chọn Network adapter kết nối với ISP
bên ngoài
Page 21
21

21
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
B5 : Chọn Finsh để kết thúc B6 : Chọn Configure system settings
B7 : Chọn Next B8 : chọn Define deployment options
Page 22
22
22
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
B 9 : Chọn Use the Microsoft Update service
to check for updates (recommended) để
update TMG
B10 : Chọn thời gian cập nhật TMG
B11 : Chọn No, I don’t want to participate B12 : Chọn Basic hoặc Advanced
Page 23
23
23
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
B14 : Chọn Close để hoàn thành Đây là giao diện để cấu hình của Forefront TMG
3.2.2 Cấu hình để máy client đồng bộ với Forefont TMG Server
Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG
Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các
đặc điểm được so sánh trong bảng sau:
Page 24
24
24
ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TINH
Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG
Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User
account, vì vậy trong hệ thống Forefront TMG 2010 nên sẽ cấu hình cho các máy
Clients truy cập Internet bằng cơ chế Forefront TMG Client. Và để TMG Client tự động

dò & kết nối đến TMG Server bằng cách cấu hình chức năng Auto Discovery trên
Forefront TMG 2010.
• Các bước sẽ thực hiện :
Bước 1: Bật chức năng Auto Discovery tren Forefront TMG Server.
Bước 2: Cấu hình Auto Discovery.
Bước 3: Cài đặt Forefront TMG Client.
a. Bước 1: Bật chức năng Auto Discovery trên Forefront TMG Server
Auto Discovery cung cấp thông tin tự động cho Forefront TMG client và
Web Proxy client trên TMG Servet, logon vào Administrator, mở Forefront
TMG Management, vào Metworking, trong cửa sổ giữa, qua tab Network,
nhấp chuột phải vào Internal, chọn Properties. Trong hợp thoại Internal
Properties, qua tab Auto Discovery, đánh dấu chọn vào ô Publish automatic
discovery information for this network, chọn OK.
Page 25
25
25