ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG VÀ TRUYỀN THÔNG
o0o

MÔN: Xây Dựng Chuẩn Chính Sách
An Toàn Thông Tin Trong Doanh Nghiệp
TMG FOREFRONT 2010
SINH VIÊN THỰC HIỆN: GIÁO VIÊN GIẢNG DẠY:
Nguyễn Lâm 08520194 GV : Nguyễn Duy
Cao Nhật Quang 08520304
Ngô Tấn Tài 08520323
Lâm Văn Tú 08520610
Thành Phố Hồ Chí Minh
-25/04/2012-
1
Mục lục
1
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH 1
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN 1
KHOA MẠNG VÀ TRUYỀN THÔNG 1
1 Giới thiệu 3
2 DOWNLOAD và INSTALL 7
3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT 9
4 FIREWALL POLICY 17
5 WEB ACCESS POLICY 31
6 E-MAIL POLICY 36
7 MONITORING : xem hoạt động của TMG 49
8 NETWORKING 52
9 LOGS & REPORTS : 55

Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ) 55
10 REMOTE ACCESS POLICY 56
11 UPDATE CENTRER 84
12 TROUBLESHOOTING 87
13 TRIỂN KHAI MÔ HÌNH THỰC TẾ: 87
2
1 Giới thiệu
Sự xuất hiện của Microsoft Forefront Threat Management Gateway (TMG) 2010 đã mang
lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản
Microsoft ISA Server trước đây. Một trong số đó là các tính năng bảo mật mới có trong sản
phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống
phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email. Bên cạnh đó còn có vô
số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở
nên dễ dàng hơn. Trong đồ án này, chúng em sẽ giới thiệu một số tính năng cơ bản được ưa thích
và một số cải tiến trong TMG để có thể cho administrator triến khai từ đơn giản đến phức tạp .
Chức năng chính của Forefont TMG 2010
Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall . Được đa số doanh nghiệp
vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng . Được phát triển
dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó . Tiếp nối thành công đó,
Forefont TMG 2010 ra đời .
Các tính năng nổi trội của Forefont TMG 2010
3
• Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG
• ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền
internet
• Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập
web
• URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội
dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
• HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần

mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
• E-mail protection subscription service: tích hợp với Forefront Protection 2010 for
Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,
spam e-mail trong hệ thống Mail Exchange
• Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo
mật
• Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình
trạng an toàn của các client trước khi cho phép client kết nối VPN
• Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP
• Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows
Server 2008 R2 64-bit
Bảng so sánh tính năng ISA Server 2006 và Forefront TMG
4
Bảng so sánh 2 phiên bản Forefont TMG Standard và Enterprise

Các yêu cầu phần cứng khi cài đặt Forefont TMG
5
Các yêu cầu phần mềm khi cài đặt :
- Windows Role and Features
• Network Policy and Access Server
• Active Directory Lightweight Directory Services (ADLDS)
• Network Load Balancing (NLB)
- Microsoft® .NET 3.5 Framework SP1
- Windows Web Services API
6
2 DOWNLOAD và INSTALL
2.1 Download
B1:Vào trang microsoft để tìm kiếm và tải về B2:Tải bản cập nhật SP1 cho TMG
2.2 Install
B1:click vào file đã tải về sau đó chạy cập nhận

Windows
B2:cài đặt các tool cần thiết

7
B3: cài đặt services, features và management
consolse cần thiết
B4 : trong quá trình cài đặt
B4: tiến hành cài đặt phần còn lại B5: nhấn Add để khai báo dãy địa chỉ Internal
B6: quá trình cài đặt
8
3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT
3.1 Cài đặt Forefont TMG 2010 Server
B1: chọn Configure network settings B2: Hộp thoại Network Template Selection
( Chọn các mô hình để triển khai firewall) : Chọn 3-Leg
perimeter  Next
B3 : Chọn network adapter kết nối với mạng cục
bộ
B4 : Chọn network adapter kết nối với ISP bên ngoài
9
B5: Chọn network adapter kết nối với vùng
DMZ

B6: Nhấn finish để hoàn thành
B7 : Chọn Configure system settings B8: Chọn Next
10
B9 : chọn Define deployment options B10 : Chọn Use the Microsoft Update service
to check for updates (recommended) để
update TMG
B11 : Chọn thời gian cập nhật TMG
11

B12 : Chọn No, I don’t want to participate B13 : Chọn Basic hoặc Advanced
B14 : Chọn Close để hoàn thành Đây là giao diện để cấu hình của Forefront TMG
12
3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server:
Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là
Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so
sánh trong bảng sau:
Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ
trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống
Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế
Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu
hình chức năng Auto Discovery trên Forefront TMG 2010
Các bước sẽ thực hiện :
1.Bật chức năng Auto Discovery tren Forefront TMG Server
2.Cấu hình Auto Discovery
3.Cài đặt Forefront TMG Client
13
• Bật chức năng Auto Discovery trên Forefront TMG Server
B1 : bên trái chọn Network . Bên phải chọn Internal sau đó
Properties
B2 : qua tab Auto Discovery chọn check vào
Publish automatic discovery information
for this network
• Cấu hình Auto Discovery bằng Công cụ TMGADConfig
Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của
máy chủ TMG được thực hiện trên các máy trạm TMG(AD Marker). Không giống như những
phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu
trong Active Directory để kiểm tra máy chủ TMG tương ứng. TMG Client sẽ sử dụng LDAP để
kiểm tra những thông tin cần thiết trong Active Directory
Lưu ý: Nếu không tìm thấy AD Marker, TMG Client sẽ không chuyển sang tiến trình

kiểm tra tự động truyền thống qua DHCM và DNS vì lí do bảo mật. Làm như vậy để giảm thiểu
nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn. Nếu một kết nối
tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG
Client sẽ chuyển sang DHCP và DNS
Để thiết lập cấu hình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG
AD Config và cài trên máy chủ TMG, sau đó chạy lệnh trong cmd có cú pháp sau để đăng ký
AD Marker:
Tmgaddconfigadd – default –type winsock –url http://yourdomain:8080/wspad.dat
14
• Cài đặt Forefront TMG Client
Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống
thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết
này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay.
Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file
TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe
(đối với hệ điều hành 64 bit) để cài đặt
B1 : Chọn file TMG client B2 : Hộp thoại Welcome, chọn Next
15
B3 : chọn I accept the terms in the license
agreement  Next
B4 : Connect to this Forefront TMG computer :
khai báo bằng tay
Automatically detect the appropriate Forefront
TMG computer : tự động dò và kết nối với TMG
Server . Option này được chọn  Next
B5 : Chọn Automatically detect the appropriate
Forefront TMG computer  Next
B6 : Chọn Finish
16
Mở Forefront TMG Client, qua tab Setting, kiểm

traTMG Client kết nối đến TMG Server thành
công, chọn Advanced
Trong hộp thoại Advanced Automatic Detection,
kiểm tra chúng ta đang sử dụng cả 3 cơ chế Auto
Discover
4 FIREWALL POLICY
4.1 Access Rule
4.1.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1 : Firewall Policy  New  Access Rule B2 : Access rule name điền DNS Query
17
B3 : chọn Allow B4 : Chọn Add  DNS  Next
B5 : chọn Add  Internal B6 : chọn Add  External
18
B6 : chọn Next B7 : Kiểm tra tại máy domain
4.1.2 Định nghĩa Group Policy cho Firewall Policy
B1 : Firewall Pocily
 ToolboxUsers 
New
19
B2 : Hộp thoại Welcome to the New User Set
Winzard : đặt tên Giangvien
B3 : Hộp thoại Users : Add -> Windows users and
groups
B4 : Location  caonhatquang.com B5 : Chọn Next
20
B6 : Hộp thoại Completing the New User Set
Winzard - chọn Finish
4.1.3 Định nghĩa giờ làm việc
B1: Firewall
Policy

ToolboxSche
dules  New
21
B2 : Hộp thoại New schedule Name  giờ
làm việc . Thiết lập giờ làm việc  OK
4.1.4 Tạo Group trang web cho phép hay muốn cấm
B1 : Firewall
Policy
Toolbox 
Network Objects
 New Domain
Name Set
22
B2 : Hộp thoại New Domain Name Set Policy
ElementName : Allow website Add để
thêm website
4.1.5 Kiểm tra chi tiết các Access Rule đã tạo :
B1 :Chuột phải
lên rule đã tạo
 Properties
23
Tab Content Types . Tùy chọn nội dung
trang web được xem
Tab Malware Inspection coi có bật tính năng
phát hiện Malware
4.1.6 Application Filter
B1 :
Chọn
Rule cần
chỉnh 

Confitur
e HTTP
24
B2 : Tab Method  Add và thêm những
phương thức muốn cấm hay cho phép
4.1.7 Publish Web Server
B1 : Fiwall Policy  New  Web Site Publishing
Rule
B2 : đặt tên ở Web publishing rule name
25