Tải bản đầy đủ (.docx) (79 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Báo cáo khoa học

Đề Tài Triển khai hệ thống Load Balancing với phần mềm TMG 2010

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.1 MB, 79 trang )

Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
LỜI CÁM ƠN
Chúng em xin bày tỏ lòng biết ơn đến tất cả quý thầy cô Trường Đại Học Hùng
Vương Thành Phố Hồ Chí Minh nói chung và Khoa Công Nghệ Thông Tin nói riêng,
đã truyền đạt cho chúng em những kiến thức quý báu trong suốt bốn năm đại học.
Chúng em xin chân thành cảm ơn thầy Nguyễn Trung Thành ,các thầy cô giáo
trong khoa công nghệ thông tin đã giúp đỡ chúng em rất nhiều trong thời gian thực
hiện luận văn. Và đặc biệt chúng em xin chân thành cám ơn thầy Nguyễn Minh
Hoàng, thầy đã định hướng, hướng dẫn và giúp đỡ chúng em rất nhiều, nhờ vậy mà
chúng em đã hoàn thành được luận văn theo hướng đúng đắn nhất.
Trong thời gian làm báo cáo, do còn thiếu nhiều kinh nghiệm và gặp nhiều khó
khăn nên không tránh khỏi những sai sót , em mong các thầy cô chỉ bảo thêm giúp em
hoàn thành và đạt kết quả tốt hơn.
Một lần nữa chúng em xin chân thành cám ơn.
TP.HCM, ngày 13 tháng 2 năm 2012
Sinh viên thực hiện
Trần Thiên Vũ
Nguyễn Anh Hào

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................


.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
TP.HCM, ngày….tháng ….năm 2012
Giáo viên hướng dẫn

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.............................................................................................................................................
.............................................................................................................................................

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
.............................................................................................................................................

.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
.............................................................................................................................................
TP.HCM, ngày….tháng ….năm 2012
Giáo viên phản biện

LỜI NÓI ĐẦU
Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó đã kết nối mọi
người tới gần nhau hơn. Ngồi trước máy tính, mọi người có thể biết được thông tin
trên toàn cầu. Bên cạnh đó, Internet giúp doanh nghiệp có thể triển khai những dịch vụ

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
trực tuyến phục vụ người dùng trên toàn thế giới làm tăng lợi nhuận một cách nhanh

chóng nhưng chính vì khả năng kết nối rộng rãi như vậy mà hệ thống máy tính của
doanh nghiệp cũng như người dùng có thể bị xâm nhập vào bất kỳ lúc nào mà không
hề được biết trước. Bên cạch đó, số người sử dụng mạng Internet càng ngày càng tăng
lên một cách nhanh chóng, việc đáp ứng nhiều kết nối đến những Server dịch vụ ngày
càng trở nên cần thiết hơn bao giờ hết, đòi hỏi một phần mềm vừa có thể cân bằng tải
cho hệ thống mạng và vừa đáp ứng chức năng bảo mật cho hệ thống mạng. Nhằm giải
quyết vấn đề cấp thiết ấy Microsoft đã cho ra đời phiên bản Firewall Forefront Threat
Management Gateway (TMG) 2010 một phiên bản Firewall hoàn toàn mới, đó là sự
kết hợp giữa những tính năng hữu ích của các phiên bản ISA trước đó và những tính
năng nổi trội hoàn toàn mới, giúp khả năng bảo mật hệ thống được nâng cao hơn và
việc tích hợp hệ thống cân bằng tải Network Load Balancing dễ dàng và hiệu quả hơn.
Để tìm hiểu kỹ hơn về chức năng Network Load Balancing trong TMG 2010
cũng như những phương thức mà TMG sử dụng để bảo mật hệ thống mạng nội bộ nên
chúng em đi đến thực hiện đề tài “Triển khai hệ thống Load Balancing với phần
mềm TMG 2010”.
Trong luận văn tốt nghiệp này nhóm chúng em sử dụng TMG 2010 để triển
khai thực hiện các công việc sau:
CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI
CHƯƠNG II: TỔNG QUAN VỀ TMG 2010 VÀ CHỨC NĂNG NLB
TRONG HỆ THỐNG TMG SERVER
CHƯƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT HỆ THỐNG NLB TRONG TMG
CHƯƠNG IV: KẾT LUẬN

MỤC LỤC

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng


DANH MỤC HÌNH
Hình 1.1: Mô hình mạng xây dựng trong giai đoạn 1......................................................2
Hình 1.2: Mô hình Network Load Balancing TMG 2010 giai đoạn 2............................3
Hình 2.1: Mô hình Firewall cứng.....................................................................................4
Hình 2.2: Mô hình Firewall mềm.....................................................................................5
Hình 2.3: Một Mô hình TMG 2010..................................................................................7
Hình 2.4: So sánh sự khác biệt giữa TMG 2010 và ISA 2006.........................................8
Hình 2.5: Chức năng chính của TMG 2010.....................................................................9
Hình 2.6: Chức năng chính của Secure Web Gateway.................................................10
Hình 2.7: Quá trình tạo kết nối HTTPs tin cậy..............................................................12
Hình 2.8: Chức năng MI của TMG 2010......................................................................12
Hình 2.9: Quá trình cấp chữ ký số cho TMG.................................................................14
Hình 2.10: Bảo vệ mail Server bằng TMG.....................................................................15
Hình 2.11: Quá trình Caching của TMG........................................................................16
Hình 2.12: Mô hình Network Load Balancing ..............................................................19
Hình 2.13: Mô hình chức năng ISP Redundancy...........................................................22
Hình 2.14: Mô hình TMG sử dụng NLB và Publish Server..........................................24
Hình 3.1: Mô hình cài đặt hệ thống................................................................................26
Hình 3.2:Cấu hình máy STORAGE...............................................................................28
Hình 3.3:Tạo mảng trong EMS Server...........................................................................29
Hình 3.4:Cấu hình các máy TMG trong mảng...............................................................30
Hình 3.5:Đưa các máy TMG con vào mảng...................................................................30
Hình 3.6:Enable Network Load Bancing.......................................................................31
Hình 3.7:Cấu hình địa chỉ VIP .......................................................................................32
Hình 3.8:Kiểm tra việc nhận địa chỉ VIP của các máy TMG thành viên......................32
Hình 3.9:Test việc Load Balancing khi user ra Internet................................................33
Hình 3.10:Mô hình triển khai Firewall Client................................................................33
Hình 3.11:Bật chứ năng Auto discovery (1)..................................................................34
Hình 3.12:Cấu hình chức năng Autodiscovery (2).........................................................34

Hình 3.13:Lưu cấu hình Auto Discovery.......................................................................35
Hình 3.14:Tạo Alias trong DNS Server..........................................................................35
SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
Hình 3.15:Tạo New Record trong DNS Server..............................................................36
Hình 3.16:Xóa danh sách Global Query Block List.......................................................36
Hình 3.17:Cấu hình, cài đặt Firewall Client...................................................................37
Hình 3.18:Cấu hình ISP Redundancy trong thẻ Networking.........................................38
Hình 3.19:Khai báo đỉa chỉ IP của ISP 1........................................................................39
Hình 3.20:Khai báo đỉa chỉ IP của ISP 2........................................................................39
Hình 3.21:Điều chỉnh lưu lượng kết nối đến hệ thống...................................................40
Hình 3.22:Kiểm tra việc cấu hình ISP Redundancy qua thẻ Dashboard.......................41
Hình 3.23:Cấu hình ISP Redundancy TMGHAO 100%...............................................42
Hình 3.24:Cấu hình TMGHAO 100%............................................................................42
Hình 3.25:Lưu cấu hình cài đặt TMGHAO....................................................................43
Hình 3.26:Apply cấu hình TMGHAO............................................................................43
Hình 3.27:Kiểm tra tình trạng hoạt động của 2 TMG Server........................................44
Hình 3.28:Client truy cập Internet..................................................................................44
Hình 3.29:Kiểm tra client truy cập 100% qua máy TMGHAO.....................................45
Hình 3.30:Disconnnect máy TMGHAO.........................................................................45
Hình 3.31:Client không thể ra Internet...........................................................................46
Hình 3.32:Tạo Alias cho web Server..............................................................................46
Hình 3.33:Kiểm tra kết nối từ các máy Local đến Web Server.....................................47
Hình 3.34:Cấu hình Web Listener..................................................................................47
Hình 3.35:Chọn phương thức chứng thực khi truy cập Web Server.............................48
Hình 3.36:Cấu hình Publish Rule...................................................................................48
Hình 3.37:Chọn cách mà Web Server được Publissh trên mạng...................................49

Hình 3.38:Cấu hình chức năng URL Fitering................................................................50
Hình 3.39:Cấu hình chức năng Malware Inspection......................................................51
Hình 3.40:Tạo Schedules giờ làm việc cho các rule......................................................53
Hình 3.41:Cấm đăng nhập Yahoo bằng chữ ky của ứng dụng......................................54
Hình 3.42:Cấu hình HTTP..............................................................................................55
Hình 3.43:Thiết lập các liểu file khoá trong chức năng HTTP( 1)................................55
Hình 3.44:Thiết lập các liểu file khoá trong chức năng HTTP (2)................................56
Hình 3.45:Cấm phương thức POST qua chức năng HTTP............................................56

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
Hình 3.46:Giới hạn file download qua chức năng HTTPs.............................................57
Hình 3.47:Bật chức năng HTTPs Inspection..................................................................58
Hình 3.48:Intall Certificate trong chức năng HTTPs.....................................................58
Hình 3.49:Deploy Certificate cho domain......................................................................59
Hình 3.50:Kiểm tra Certificate.......................................................................................59
Hình 3.51:Đặt mật khẩu cho file Backup.......................................................................60
Hình 3.52:Thẻ Logs & Reports.......................................................................................61
Hình 3.53:Tab Alert trong thẻ Monitoring.....................................................................62
Hình 3.54:Tab Service trong thẻ Monitoring.................................................................62

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng


DANH MỤC CÁC TỪ VIẾT TẮT
- TMG 2010: Threa Managerment Gateway 2010
- NLB: Network Load Blancing.
- VIP: Virtual Internet Protocol Address
- NAT: Network Address Traslate.
- ISA 2006: Microsoft Internet Security and Acceleration Sever 2006
- URL: Uniform Resource Locator
- HTTP: HyperText Transfer Protocol
- HTTPs: Hypertext Transfer Protocol Secure
- MI: Malware Inspection
- VPN: Virtual Private Network
- CARP: Cache Array Routing Protocol
- IGMP: Internet Group Membership Protocol
- ISP: Internet Service Provider
- DNS: Domain Name System
- SSL: Secure Socket Layer
- PPTP: Point-to-Point Tunneling Protocol
- L2TP/IPSEC: Layer 2 Tunneling Protocol
- NIS: Network Information Service
- SMTP: Simple Mail Transfer Protocol

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng

CHƯƠNG I:
TỔNG QUAN ĐỀ TÀI
1. MỤC TIÊU ĐỀ TÀI:

-

Tìm hiểu chức năng Network Load Balancing trong TMG 2010.
Triển khai cài đặt hệ thống mạng sử dụng Network Load Balancing.
Cài đặt các chức năng khác của TMG kết hợp cùng chạy với chức năng NLB để
hoàn thiện hệ thống mạng.

2. PHẠM VI ĐỀ TÀI:
-

Nghiên cứu, thiết lập hệ thống mạng sử dụng mảng 2 TMG Server được quản lý
bởi EMS Server để làm công việc bảo mật và cân bằng hệ thống mảng.

-

Cấu hình các chức năng:
+ Netword Load Balancing.
+ ISP Redundancy.
+ Publish WebServer.
+ HTTP Filter.
+ HTTP Filter
+ HTTPs Inspection
+ URL Filtering.
+ Malware Inspection.
+ Access Rules.

3. HƯỚNG TRIỂN KHAI CỦA ĐỀ TÀI:
 Cài đặt, cấu hình chức năng Network Load Blancing trên phiên bản
TMG 2010 Enterprise chạy trên nền Window Server 2008 R2.
 Khi quá trình triển khai hoàn thành phần mềm phải đạt những yêu cầu

sau:
+ Client truy cập ra Internet phải được Load Blancing.
+ Khi một Server bị mất kết nối thì những kết nối ra Internet phải
chuyển sang Server khác.
+ Cài đặt hệ thống sử dụng 2 đường ISP

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 9


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
+ Bảo đảm việc sử dụng Internet phải Load Balancing thông qua
cả 2 ISP với lưu lượng được định sẵn. Khi một đường ISP có sự cố thì
đảm bảo mọi kết nối sẽ chuyển qua ISP còn lại.
+ Bảo đảm các chức năng khác đã cài đặt phải hoạt động ổn định
với chức năng NLB.
+ Backup và theo dõi hoạt động hệ thống
+ Hạn chế những lỗi phát sinh trong quá trình hoạt động.
4. NHỮNG CÔNG VIỆC ĐÃ LÀM ĐƯỢC QUA 2 GIAI ĐOẠN
4.1. Giai đoạn hướng nghiệp
-

Trong giai đoạn 1 (hướng nghiệp) kéo dài 3 tháng nhóm đã hoàn thành được
những phần sau:
+ Tìm hiểu tổng quan về Firewall.
+ Tìm hiểu sâu về TMG cũng như những chức năng của TMG 2010.
+ Xây dựng một hệ thống mạng đơn giản để làm quen và thử nghiệm những
chức năng của TMG 2010 bao gồm một máy domain, 1 máy TMG Server, và

một máy ảo client XP. Các chức năng được cấu hình demo trong giai đoạn này
là: Access Rules, ỦL Filtering, HTTP Filter, HTTPs Inspection, Malware
Inspection, Caching, Monitering, Intrustion Detection.

Hình 1. 1: Mô hình mạng xây dựng trong giai đoạn 1

4.2. Giai đoạn tốt nghiệp
-

T rong giai đoạn 2 (tốt nghiệp) nhóm đã tìm hiểu xây dựng mộ hệ thống mạng doanh
nghiệp áp dụng mô hình Network Load Balancing của TMG 2010 với mô hình:

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 10


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng

Hình 1. 2: Mô hình Network Load Balancing TMG 2010 giai đoạn 2

Mô hình này tích hợp 2 TMG Server được quản lý bởi 1 EMS Server và nhờ
sự san tải trên hệ thống nhiều TMG Server hệ thống của bạn sẽ hoạt động ổn định và
cân bằng hơn. Những công việc đã hoàn thành ở giai đoạn 2:
-

Thiết lập, cấu hình hệ thống Network Load Balancing với hệ thống 2 máy TMG

-


Server để cân bằng tại hệ thống mạng nội bộ.
Thực hiện việc Network Load Balancing qua 2 đường mạng ISP để phân chia

-

lưu lượng
Publish Web Server thông qua hệ thống NLB.
Cài đặt các chức năng hỗ trợ cùng với hệ thống NLB.
+ Access Rule.
+ URL Filtering.
+ HTTP Filter

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 11


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng

CHƯƠNG II:
TỔNG QUAN VỀ TMG 2010 VÀ
CHỨC NĂNG NBL TRONG HỆ THỐNG TMG SERVER

1. KHÁI NIỆM FIREWALL:
1.1. Firewall là gì?
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không
mong muốn vào hệ thống.

Thông thường Firewall được đặt giữa mạng bên trong (LAN/Intranet) của một
công ty, tổ chức và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy
nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong
(LAN/Intranet) tới một số địa chỉ nhất định trên Internet.
1.2. Các lựa chọn firewall:
Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall
phần cứng và Firewall phần mềm.
1.2.1. Firewall phần cứng
Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với
Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là
không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.

Hình 2. 1: Mô hình Firewall cứng

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 12


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
* Ưu điểm:
- Tối ưu hóa cho một công việc nên ổn định và tin cậy cao.
* Nhược điểm:
-

Ít có khả năng linh động và khó nâng cấp.

1.2.2. Firewall phần mềm
-


Là những Firewall được cài đặt trên Server.

Hình 2. 2:Mô hình Firewall mềm

* Ưu điểm:
- Linh hoạt và dễ nâng cấp
* Nhược điểm:
-

Phụ thuộc nhiều vào hệ điều hành và software.

-

Có thể gây xung đột với hệ thống đang vận hành.

2. CHỨC NĂNG CỦA FIREWALL
Chức năng chính của Firewall là kiểm soát và thiết lập cơ chế điều khiển dòng
thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập,
cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
* Nhiệm vụ của Firewall:
- Bảo vệ tài nguyên hệ thống.
- Nâng cao khả năng bảo mật hệ thống.

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Trang 13


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
- Chống lại sự tấn công của Hacker như: dò mật khẩu, tạo thông tin giả để lấy
cắp thông tin của hệ thống.
- Chống lại việc tấn công lợi dụng những lỗ hổng ứng dụng trên hệ điều hành.
- Thiết lập kết nối tin cậy cho các user truy cập từ xa.
- Hạn chế lỗi chủ quan do con người với việc hạn chế những thao tác của các
client khi truy cập Internet.
3. HẠN CHẾ CỦA FIREWALL
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn một
phần sự xâm nhập của những nguồn thông tin không mong muốn.
Một hạn chế khác của Firewall là các virus máy tính. Firewall không thể làm
nhiệm vụ rà quét tất cả các loại virus trên các dữ liệu được chuyển qua nó, nó do tốc
độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa
dữ liệu, thoát khỏi khả năng kiểm soát của Firewall.
Firewall chỉ kiểm soát được những luồng thông tin giao tiếp giữa 2 môi trường
Internet và mạng nội bộ còn khi kẻ tấn công nằm ngay trong hệ thống mạng thì
Firewall không thể quản lý . Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp
dụng rộng rãi.
4. GIỚI THIỆU CHUNG VÈ THEAR MANAGERMENT GATEWAY 2010
4.1. Sự ra đời của TMG 2010
Tháng 11 năm 2009 Microsoft chính thức cho ra mắt Threat Managerment
Gateway 2010, một phiên bản Firewall mềm hoàn toàn mới với những cải tiến vượt
trội để thay thế cho phiên bản đàn anh trước đó là ISA Server 2006.
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có lớp
ứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sử dụng để

xác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại. Forefront
TMG kế thừa cho Microsoft ISA Server với các tính năng nâng cao hơn giúp hệ thống
mạng người dùng an toàn và bảo mật hơn .

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 14


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng

Hình 2. 3:Một Mô hình TMG 2010

1.1. Các phiên bản TMG 2010
Microsoft cho ra mắt 2 phiên bản TMG 2010 là:
+ Forefont TMG 2010 Standard Edition
+ Forefont TMG 2010 Enterprise Edition
Mặc dù nhu cầu triển khai trên các cơ sở hạ tầng mạng khác nhau, cả hai phiên
bản bao gồm các tính năng giống nhau và có cùng một bảo vệ và khả năng kiểm soát
truy cập. Chúng khác nhau cơ bản ở:
+ Giá thành bản quyền.
+ Phiên bản Enterprise hỗ trợ tạo ra mảng nhiều Firewall Server giúp quản lý
hiệu quả hơn.
+ Phiên bản Enterprise hỗ trợ tính năng Network Load Blancing giúp cân bẳng
và giảm tải cho hệ thống mạng
+ Phiên bản Enterprise có hỗ trợ quản lý dành cho doanh nghiệp con Standard
thì không.

1.2. Sự khác biệt của TMG 2010 và ISA 2006

Tính năng

ISA Server 2006

Forefront TMG

Network layer firewall

X

X

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 15


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
Application layer firewall

X

X

Internet access protection (proxy)

X

X


X

X

HTTP)

X

X

IPSec VPN (remote and site-to-site)

X

X

Web caching, HTTP compression

X

X

Basic OWA and SharePoint
publishing
Exchange publishing (RPC over

Windows Server 2008 R2, 64-bit
(only)


X New

Web antivirus, antimalware

X New

URL filtering

X New

E-mail antimalware, antispam

X New

Network intrusion prevention

X New

Enhanced UI, management,
reporting

X New
Hình 2. 4:So sánh sự khác biệt giữa TMG 2010 và ISA 2006

1.3. Vì sao nên thay thế hệ thống tường lửa ISA 2006 bằng hệ thống TMG 2010
Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành
ISA Server 2006 cách đây gần sáu năm. ISA là một lợi thế cho giải pháp tường lửa,
proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ Web tiên tiến và cần thiết để
bảo vệ người dùng của chúng ta từ các cuộc tấn công trên mạng Internet ngày nay. Với
việc phát hành Forefront Threat Management Gateway (TMG) 2010 đã mang lại

những lợi thế mới:
+ Ứng dụng TMG là 64 bit
+ TMG chạy trên hệ điều hành mạnh mẽ Windows Server 2008 SP2 và R2

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 16


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
+ TMG 2010 cung cấp nhiều tính năng mới giúp việc bảo vệ mạng nội bộ, bảo
vệ Web, Email được nâng cao hơn rất nhiều và bên cạn đó là kết nối VPN một cách
thông minh và bảo mật.
5. NHỮNG CHỨC NĂNG CHÍNH CỦA TMG 2010

Hình 2. 5:Chức năng chính của TMG 2010

5.1. Firewall:
5.1.1.

Enhance NAT (NAT nâng cao)
NAT (Network Address Translate) là chức năng dịch địa chỉ IP khi các Client
giao tiếp với một mạng khác. TMG 2010 cung cấp một chức năng NAT cải tiến
(Enhance NAT) cho phép chuyển tiếp địa chỉ IP nguồn theo dạng many-toone hoặc one-to-one, như một số tường lửa (Cisco, Checkpoint,..) khi bạn NAT giao
thông giữa 2 mạng.
SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 17



Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
5.1.2.

GVHD: Ts. Nguyễn Minh Hoàng
Voice Over IP
Tính năng này cho phép kết nối & sử dụng VoIP thông qua TMG. Voice Over
IP quản lý lưu lượng sử dụng những cuộc gọi thoại hoặc video giữa các mạng nội bộ
hoạng mạng nội bộ và mạng Internet.
5.1.3. Access Rule
Giống như ISA 2006, TMG cho phép người quản trị có thể tạo các rule để quản
lý, phân quyền việc truy cập và sử dụng internet của Client thông qua các protocol
được định sẵn.Với tính năng này việc quản lý nhân viên trở nên dễ dàng hơn, mặt khác
còn tránh được việc truy cập lén lút khi hết thời gian làm việc.
5.2. Secure Web Gateway
TMG 2010 có những cải tiến vượt trội trong tính năng bảo vệ người dung khi
truy cập Web so với ISA 2006, cung cấp một môi trường làm việc an toàn và hiện
đại.

Hình 2. 6:Chức năng chính của Secure Web Gateway

5.2.1. URL Filtering
URL (Uniform Resource Locator) dùng để chỉ tài nguyên thống nhất trên
Internet. Có thể hiểu URL là những đường dẫn đến nơi chứa những loại tài nguyên
khác nhau trên internet. URL thường gồm 5 phần chính: tên giao thức, dịch vụ World
Wide Web (www), tên miền, cổng và phần phụ. VD: .
Ở chức năng này TMG 2010 cung cấp một bộ lọc URL cho phep từ chối các
truy cập đến những URL bị cấm (VD:khiêu dâm, cá độ….) dựa trên nguyên tác phân
loại các URL từ cơ sở dữ liệu của MRS (Microsoft Reputation Service).
SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Trang 18


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
Khi client gửi yêu cầu truy cập website, TMG sẽ truy vấn đến MRS để xác định
phân loại của trang web này. Nếu trang web này nằm các loại URL mà rule cho phép
đi thì có quyền truy cập. Còn nếu không thì TMG sẽ gửi thông báo từ chối truy cập
người dùng.
5.2.2. HTTP Filter
Chức năng này kiểm soát nội dung những luồng dữ liệu HTTP, mục đích bao
gồm các thao tác dung Signature để cấm các ứng dụng HTTP, cấm download file, cấm
các phương thức truy cập web.
5.2.3. HTTPs Ispection
HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa”. HTTPS cung cấp
mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất
gần như vô dụng. Inspection HTTPS là một tính năng mới mạnh mẽ của Forefront
TMG Firewall. Nó có thể phân tích được SSL mà trong nhiều năm đã được sử dụng
như là một kẽ hở của kẻ tấn công và người sử dụng độc hại để tránh bị phát hiện.
Inspection HTTPS mở rộng khả năng bảo vệ của TMG Firewall, cung cấp bảo vệ hoàn
toàn khỏi các cuộc tấn công dựa trên web.

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 19


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng


Hình 2. 7:Quá trình tạo kết nối HTTPs tin cậy

5.2.4. Malware Inspection
Chức năng của Malware Inspection là phát hiện và ngăn chặn các loại mã độc
được cấy vào HTTP Stream , khi client truy cập vào các trang web đã được cài mã độc
sẽ len lõi vào hệ thống mạng, điều này sẽ gây hại không nhỏ cho hệ thống và tác hại
xấu nhất có thể xảy ra là hệ thống của bạn sẽ phải ngừng hoạt động . Chính vì thế,
Malware inspection (MI) thực sự là một tính năng hữu dụng để loại bỏ mối lo ngại
này.

Hình 2. 8: Chức năng MI của TMG 2010

5.3.

Remote Access Gateway

5.3.1. Kết nối VPN
ISA 2006 cho phép kết nối VPN qua 2 protocol PPTP và L2TP/IPSEC hoạt
động tương đối hiệu quả nhưng trong một số trường hợp client không thể kết nối vào
hệ thống. Đặt trường hợp khi nhân viên doanh nghiệp đi gặp đối tác tại một số môi
trường mạng chỉ hỗ trợ mở các port truy cập Web là 80, 443 thì không có cách nào để
chứng thực user khi kết nối VPN vào ISA.
TMG 2010 ra đời đã giải quyết vấn đề này, ngoài các protocol PPTP,
L2TP/IPSEC TMG còn hỗ trợ protocol Secure Socket Tunneling Protocol (SSTP)
SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 20



Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
giao thức đường hầm an toàn. SSTP là một đường hầm VPN, SSTP thực hiện điều này
bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các kết nối VPN có thể đi qua
các firewall, NAT và server web proxy thường được cấu hình.Bởi vì kết nối HTTPs
(TCP 443) thường được sử dụng để truy cập các site Internet được bảo vệ như các web
site thương mại,do đó HTTPs thường được mở trong các firewall và có thể đi qua các
Proxy web, router NAT.
5.4. Intrusion Prevention
5.4.1. Monitering
Chức năng Moriterning cho phép giám sát và theo dõi những traffic trong hệ
thống kiểm tra các hoạt động của các server thiết lập báo cáo, và cảnh báo khi phát
hiện bất thường.
5.4.2. Intrusion prevention system
Chức năng Intrusion prevention system (Hệ thống phòng chống mối nguy
hiểm): bằng việc thanh tra gói tin ở mức thấp TMG phát hiện và ngăn chặn các hành vi
xâm nhập đã được định nghĩa sẵn trong Microsoft ISA Server

5.4.3. Network Inspection System

Hình 1. 3:
Hình 1. 4:
Hình 2. 9:Qúa trình cấp chữ ký số cho TMG

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 21


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010

GVHD: Ts. Nguyễn Minh Hoàng
Network Inspection System (NIS) là một hệ thống phát hiện và ngăn chặn xâm
nhập hoàn toàn mới, nó được giới thiệu lần đầu tiên trong Forefront Threat
Management Gateway (TMG) 2010. NIS hoạt động dựa trên chữ ký số. Các chữ ký
này được phát triển bởi Microsoft Malware Protection Center (MMPC).
Khi lỗ hổng trong hệ điều hành và ứng dụng của Microsoft được phát hiện thì
MMPC sẽ cung cấp 1 tập chữ ký số cho NIS (miễn phí).
Trong lúc chờ đợi cập nhật bản vá lỗi của nhà cung cấp, NIS sẽ thực hiện việc
thanh tra giao thức mạng (DNS,HTTP,POP3,SMTP…) bằng cách sử dụng tập chữ ký
số đã cài đặt. Khi phát hiện tấn công nếu có sự trùng khớp ở tập chữ ký số thì NIS sẽ
đưa ra hành động dựa theo chính sách đã được thiết lập sẵn (khóa hoặc phát hiện và
đưa ra cảnh báo).
5.5. E – mail Protection
Microsoft Forefront TMG 2010 là tường lửa đầu tiên của Microsoft tích hợp
các chức năng proxy SMTP, Anti-virus, Anti-Spam. Nhờ đó, TMG có thể quét và lọc
những e-mail spam gửi vào hệ thống, lọc những e-mail có nội dung bị cấm và hỗ trợ
anti-virus tránh việc phán tán virus trong hệ thống. Nhờ những cải tiến của TMG mà
các máy chủ mail Server an toàn hơn và không bị lạm dụng trở thành 1 SMTP Relay
công cộng.

Hình 2. 10:

Bảo vệ mail Server bằng TMG

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 22


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010

GVHD: Ts. Nguyễn Minh Hoàng
TMG cung cấp 3 chức năng để bảo vệ hệ thống Mail Server là:
+ E-mail Policy
+ Spam Filtering
+ Virus and Content Filtering (Anti Virus và lọc nội dung)

5.6. Một số chức năng khác
5.6.1. Troubleshooting
Một trong số những tính năng cải tiến dễ nhận biết nhất trong TMG firewall
hơn những gì đã có trong ISA 2006 firewall, là phần Troubleshooting – trong cửa sổ
làm việc bên trái của bảng điều khiển TMG firewall. Đây là công cụ đi kèm với TMG
firewall có chức năng theo dõi, cảnh báo và khắc phục sự cố một số vấn đề thường
xuyên xảy ra với chính TMG firewall.
5.6.2. Caching
Mỗi khi các client truy cập vào một trang web để lấy thông tin thì truy vấn sẽ
tới firewall, sau đó mới ra ngoài. Khi nhu cầu truy cập đến một số trang web của client
quá nhiều mà băng thông lại bị hạn chế sẽ dẫn đến cảm giác khó chịu khi chờ đợi quá
trình truy cập của các client điều này ảnh hưởng không nhỏ đến năng suất làm việc của
nhân viên.
Để giải quyết vấn đề này, trên TMG, Microsoft đã đưa ra một giải pháp giúp cải
thiện hiệu suất truy cập, giảm những traffic cùng lúc, giảm tải cho firewall, đó là Web
Caching.

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 23


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng


Hình 2. 11:

Quá trình Caching của TMG

6. CÁC LOẠI FIREWALL CLIENT
TMG 2010 cung cấp 3 cơ chế để các Clients trong nội bộ truy cập internet
thông qua Forefront TMG Server là Secure NAT Client, Web Proxy Client
& Forefront TMG Client với các đặc điểm được so sánh trong bảng sau:
Dạng
Secure NAT

Ưu điểm
Kiểm soát được tất cả mọi Port ra vào

Nhược điểm
Không kiểm soát được User,

hệ thống, không cần cài đặt phần mềm trang web…
chỉ cần trỏ DefaultGateway
Proxy

Kiểm soát được mọi User, trang

Chỉ kiểm soát được các Port

web…, không cần cài đặt chỉ cần khai 443,80,21
báo proxy server trong các trình duyệt
web
Firewall Client Kiểm soát được tất cả mọi Port ra vào

hệ thốngKiểm soát được mọi User,

Chỉ hỗ trợ các hệ điều hành
Windows, phải cài đặt phần

trang web…
mềm
Bảng so sánh các loại Firewall client của TMG2010
6.1.

Secure NAT:
Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default
Gateway là địa chỉ card mạng trong của TMG là được hoặc chúng ta có thể cấp phát
thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương
pháp này là Client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành
không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng
dụng trên internet thông qua TMG. Tuy nhiên có một bất lợi là các SecureNAT client
không gởi được những thông tin chứng thực gồm Username & Password cho Firewall
được, vì vậy nếu như quản trị viên triển khai dịch vụ kiểm sóat truy cập theo domain
user đòi hỏi phải có username&password thì các SecureNAT Client không ứng dụng

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào

Trang 24


Đề Tài: Triển khai hệ thống Load Balancing với phần mềm TMG 2010
GVHD: Ts. Nguyễn Minh Hoàng
được. Ngòai ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client
này

6.2. Web Proxy Client
Như chúng ta biết ngòai chức năng bảo mật thì TMG còn có chức năng Cache
dùng để lưu trữ các trang Web thường được truy cập trên RAM hoặc trên đĩa cứng
nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao
thức HTTP / HTTPs, FTP (upload/download), điều này có nghĩa là User sẽ không lấy
mail với Outlook hay sử dụng các ứng dụng khác. Để sử dụng Web Proxy, các máy
tính Client phải cấu hình trong trình duyệt Web bằng cách mở Internet Explore chọn
Tools - > Internet Options chọn tab Connections - > LAN Settings và nhập vào địa chỉ
của Proxy server
6.3. Firewall Client
Nếu muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ User phải log-in domain
mới truy cập được Internet thì giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client
cho các máy tính này. Thông thường khi cài đặt TMG Server các bạn sẽ cài dịch vụ
Firewall Client, sau đó trên TMG server mở system policy cho phép truy cập tài
nguyên chia sẽ và máy tính Client chỉ cần kết nối đến TMG Server theo địa chỉ IP nội
bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client . Phương pháp
này cung cấp các tính năng nâng cao dưới đây cho máy khách Windows:
+ Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riêng
lẻ cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP.
+ Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản ghi
của tường lửa ISA.
+ Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp
có yêu cầu đến kết nối thứ cấp.
+ Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính.
+ Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cần
sự hỗ trợ của bộ lọc ứng dụng.
+ Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa máy khách.

SVTH: Trần Thiên Vũ - Nguyễn Anh Hào


Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×