ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG VÀ TRUYỀN THÔNG
...o0o...

MÔN: Xây Dựng Chuẩn Chính Sách
An Toàn Thông Tin Trong Doanh Nghiệp

TMG FOREFRONT 2010

Thành Phố Hồ Chí Minh
-25/04/2012-

1


Mục lục
..................................................................................................................................................... 1
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH........................................................................... 1
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN...............................................................................1
KHOA MẠNG VÀ TRUYỀN THÔNG................................................................................................ 1
1 Giới thiệu.................................................................................................................................. 3
2 DOWNLOAD và INSTALL............................................................................................................. 8
3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT..............................................................10
4 FIREWALL POLICY.................................................................................................................... 18
5 WEB ACCESS POLICY................................................................................................................ 32
6 E-MAIL POLICY......................................................................................................................... 37
7 MONITORING : xem hoạt động của TMG................................................................................. 50
8 NETWORKING......................................................................................................................... 53
9 LOGS & REPORTS :................................................................................................................... 56
Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ)....................56

10 REMOTE ACCESS POLICY........................................................................................................ 57
11 UPDATE CENTRER.................................................................................................................. 85
12 TROUBLESHOOTING.............................................................................................................. 88

2


1

Giới thiệu
Sự xuất hiện của Microsoft Forefront Threat Management Gateway (TMG) 2010 đã mang
lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản
Microsoft ISA Server trước đây. Một trong số đó là các tính năng bảo mật mới có trong sản
phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống
phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email. Bên cạnh đó còn có vô
số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở
nên dễ dàng hơn. Trong đồ án này, chúng em sẽ giới thiệu một số tính năng cơ bản được ưa thích
và một số cải tiến trong TMG để có thể cho administrator triến khai từ đơn giản đến phức tạp .

3


Chức năng chính của Forefont TMG 2010
Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall . Được đa số doanh nghiệp
vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng . Được phát triển
dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó . Tiếp nối thành công đó,
Forefont TMG 2010 ra đời .

Các tính năng nổi trội của Forefont TMG 2010


4


•
•
•
•
•
•
•
•
•
•

Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG
ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền
internet
Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập
web
URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội
dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat...
HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần
mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
E-mail protection subscription service: tích hợp với Forefront Protection 2010 for
Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,
spam e-mail trong hệ thống Mail Exchange
Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo
mật
Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình
trạng an toàn của các client trước khi cho phép client kết nối VPN

Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP
Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows
Server 2008 R2 64-bit

Bảng so sánh tính năng ISA Server 2006 và Forefront TMG

5


Bảng so sánh 2 phiên bản Forefont TMG Standard và Enterprise

Các yêu cầu phần cứng khi cài đặt Forefont TMG
6


Các yêu cầu phần mềm khi cài đặt :
-

-

Windows Role and Features
• Network Policy and Access Server
• Active Directory Lightweight Directory Services (ADLDS)
• Network Load Balancing (NLB)
Microsoft® .NET 3.5 Framework SP1
Windows Web Services API

7



2
2.1

DOWNLOAD và INSTALL
Download

B1:Vào trang microsoft để tìm kiếm và tải về

2.2

B2:Tải bản cập nhật SP1 cho TMG

Install

B1:click vào file đã tải về sau đó chạy cập nhận B2:cài đặt các tool cần thiết
Windows

8


B3: cài đặt services, features và management B4 : trong quá trình cài đặt
consolse cần thiết

B4: tiến hành cài đặt phần còn lại

B5: nhấn Add để khai báo dãy địa chỉ Internal

B6: quá trình cài đặt

9



3
3.1

CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT
Cài đặt Forefont TMG 2010 Server

B1: chọn Configure network settings

B2: Hộp thoại Network Template Selection
( Chọn các mô hình để triển khai firewall) : Chọn 3-Leg
perimeter  Next

B3 : Chọn network adapter kết nối với mạng cục B4 : Chọn network adapter kết nối với ISP bên ngoài
bộ

10


B5: Chọn network adapter kết nối với vùng B6: Nhấn finish để hoàn thành
DMZ

B7 : Chọn Configure system settings

B8: Chọn Next

11



B9 : chọn Define deployment options

B10 : Chọn Use the Microsoft Update service
to check for updates (recommended) để
update TMG

B11 : Chọn thời gian cập nhật TMG

12


B12 : Chọn No, I don’t want to participate

B14 : Chọn Close để hoàn thành

B13 : Chọn Basic hoặc Advanced

Đây là giao diện để cấu hình của Forefront TMG

13


3.2

Cấu hình để máy client đồng bộ với Forefont TMG Server:

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là
Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so
sánh trong bảng sau:


Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ
trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thống
Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế
Forefront TMG Client. Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấu
hình chức năng Auto Discovery trên Forefront TMG 2010
Các bước sẽ thực hiện :
1.Bật chức năng Auto Discovery tren Forefront TMG Server
2.Cấu hình Auto Discovery
3.Cài đặt Forefront TMG Client

14


•

Bật chức năng Auto Discovery trên Forefront TMG Server

B1 : bên trái chọn Network . Bên phải chọn Internal sau đó B2 : qua tab Auto Discovery chọn check vào
Properties
Publish automatic discovery information
for this network

•

Cấu hình Auto Discovery bằng Công cụ TMGADConfig

Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của
máy chủ TMG được thực hiện trên các máy trạm TMG(AD Marker). Không giống như những
phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu
trong Active Directory để kiểm tra máy chủ TMG tương ứng. TMG Client sẽ sử dụng LDAP để

kiểm tra những thông tin cần thiết trong Active Directory
Lưu ý: Nếu không tìm thấy AD Marker, TMG Client sẽ không chuyển sang tiến trình
kiểm tra tự động truyền thống qua DHCM và DNS vì lí do bảo mật. Làm như vậy để giảm thiểu
nguy cơ gặp phải khi tin tặc muốn khôi phục lại phương thức kém bảo mật hơn. Nếu một kết nối
tới Active Directory được thiết lập nhưng một AD Marker không được phát hiện, thì TMG
Client sẽ chuyển sang DHCP và DNS
Để thiết lập cấu hình cho AD Marker trong Active Directory, chúng ta có thể tải công cụ TMG
AD Config và cài trên máy chủ TMG, sau đó chạy lệnh trong cmd có cú pháp sau để đăng ký
AD Marker:
Tmgaddconfigadd – default –type winsock –url http://yourdomain:8080/wspad.dat
15


• Cài đặt Forefront TMG Client
Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống
thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM. Trong bài viết
này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay.
Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file
TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe
(đối với hệ điều hành 64 bit) để cài đặt

B1 : Chọn file TMG client

B2 : Hộp thoại Welcome, chọn Next

16


B3 : chọn I accept the terms in the license B4 : Connect to this Forefront TMG computer :
agreement  Next

khai báo bằng tay
Automatically detect the appropriate Forefront
TMG computer : tự động dò và kết nối với TMG
Server . Option này được chọn  Next

B5 : Chọn Automatically detect the appropriate B6 : Chọn Finish
Forefront TMG computer  Next

17


Mở Forefront TMG Client, qua tab Setting, kiểm Trong hộp thoại Advanced Automatic Detection,
traTMG Client kết nối đến TMG Server thành kiểm tra chúng ta đang sử dụng cả 3 cơ chế Auto
công, chọn Advanced
Discover

4
4.1

FIREWALL POLICY
Access Rule

4.1.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1 : Firewall Policy  New  Access Rule
B2 : Access rule name điền DNS Query

18


B3 : chọn Allow


B5 : chọn Add  Internal

B4 : Chọn Add  DNS  Next

B6 : chọn Add  External

19


B6 : chọn Next

4.1.2

B7 : Kiểm tra tại máy domain

Định nghĩa Group Policy cho Firewall Policy

B1 : Firewall Pocily
 ToolboxUsers 
New

20


B2 : Hộp thoại Welcome to the New User Set B3 : Hộp thoại Users : Add -> Windows users and
Winzard : đặt tên Giangvien
groups

B4 : Location  caonhatquang.com


B5 : Chọn Next

21


B6 : Hộp thoại Completing the New User Set
Winzard - chọn Finish

4.1.3

Định nghĩa giờ làm việc

B1:
Firewall
Policy
ToolboxSche
dules  New

22


B2 : Hộp thoại New schedule Name  giờ
làm việc . Thiết lập giờ làm việc  OK

4.1.4

Tạo Group trang web cho phép hay muốn cấm

B1 : Firewall

Policy
Toolbox

Network Objects
 New Domain
Name Set

23


B2 : Hộp thoại New Domain Name Set Policy
ElementName : Allow website Add để
thêm website

4.1.5

Kiểm tra chi tiết các Access Rule đã tạo :

B1 :Chuột phải
lên rule đã tạo
 Properties

24


Tab Content Types . Tùy chọn nội dung Tab Malware Inspection coi có bật tính năng
trang web được xem
phát hiện Malware

4.1.6


Application Filter

B1
:
Chọn
Rule cần
chỉnh 
Confitur
e HTTP

25