Nghiên cứu và triển khai hệ thống tường lửa FOREFRONT TMG 2010
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.64 MB, 42 trang )
ĐAHK
FOREFRONT TMG
LỜI CẢM ƠN
Sau thời gian hơn một năm học tập, được sự chỉ dẫn nhiệt tình, cũng như
giúp đỡ của quý thầy cô trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc
biệt là các thầy cô Khoa Công Nghệ Thông Tin, cùng với thời gian ba tháng nghiên
cứu học tập tại nhà, em đã học được những bài học kinh nghiệm quý báu giúp ích
cho bản thân, để nay em có thể hoàn thành đề tài nghiên cứu và triển khai hệ thống
tường lửa Forefront TMG 2010. Em xin chân thành cảm ơn sự giúp đỡ nhiệt tình
của các thầy, cô khoa Công Nghệ Thông Tin trường Cao Đẳng Công Nghệ Và Quản
Trị SONADEZI, đặc biệt em xin gửi lời biết ơn sâu sắc đến thầy Huỳnh Phước Danh
đã trực tiếp hướng dẫn em trong suốt thời gian làm đề tài.
Tuy nhiên, do còn hạn hẹp về kiến thức và thời gian nên đề tài đồ án khó
tránh được những sai sót, khuyết điểm. Em rất mong nhận được sự đóng góp ý kiến
của thầy, cô khoa Công Nghệ Thông Tin.
Cuối cùng em xin kính chúc quý thầy cô khoa Công Nghệ Thông Tin, thầy
Huỳnh Phước Danh dồi dào sức khỏe và luôn thành công trong công việc. Em xin
chân thành cảm ơn!.
Sinh viên thực hiện
Nguyễn Minh Tiến
GVHD: HUỲNH PHƯỚC DANH
1
ĐAHK
FOREFRONT TMG
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Biên hòa, ngày..., tháng..., năm 2015
Giáo viên hướng dẫn
(Ký và ghi rõ họ tên)
GVHD: HUỲNH PHƯỚC DANH
2
ĐAHK
FOREFRONT TMG
DANH MỤC HÌNH
DANH MỤC BẢNG
DANH MỤC CÁC CHỮ VIẾT TẮT
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ADLDS: Active Directory Lightweight Directory Services
ADSL: Asymmetric Digital Subscriber Line
API: Application Programming Interface
CPU: Central Processing Unit
DNS: Domain Name System
HDD: Hard Disk Drive
HTTPS: Hypertext Transfer Protocol Secure
IP: Internet Protocol
ISA: Internet Security and Acceleration
ISP: Internet Service Provider
LAN: Local Area Network
NAP: Network Access Protection
NAT: Network Address Translation
NDIS: Network Driver Interface Specification
NIC: Network interface controller
NIS: Network Information Service
NLB: Network Load Balancing
RDB: Remote Database
RPC: Remote Procedure Call
SIP: Session Initiation Protocol
SP1: Service Pack 1
SSL: Secure Sockets Layer
SSTP: Secure Socket Tunneling Protocol
TCP: Transmission Control Protocol
TFTP: Trivial File Transfer Protocol
TMG: Threat Management Gateway
UI: User interface
URL: Uniform Resource Locator
VLAN: Virtual Local Area Network
WAN: Wide Area Network
VPN: Virtual Private Network
GVHD: HUỲNH PHƯỚC DANH
3
ĐAHK
FOREFRONT TMG
PHẦN MỞ ĐẦU
1. Lý do chọn đề tài.
Ngày nay, máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức,
cá nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ,
quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng
thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không
được quản lý sẽ dể dàng bị tấn công, gây hậu quả nghiêm trọng.
Xác định được tầm quan trọng trong việc bảo mật hệ thống mạng của doanh
nghiệp nên em đã chọn và nghiên cứu đề tài “Nghiên cứu và triển khai hệ thống
tường lửa Forefont TMG 2010” với mục đích tìm hiểu sâu sắc về cơ chế hoạt động
của nó cũng như phát hiện ra những nhược điểm và tìm giải pháp khắc phục những
nhược điểm này để hệ thống mạng trong doanh nghiệp luôn được vận hành trơn
tru, an toàn và hạn chế sự cố sảy ra
2. Mục đích nghiên cứu.
Nghiên cứu về hệ thống filewall với Forefront TMG 2010.
Triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa
và nhỏ.
3. Đối tượng nghiên cứu.
Nghiên cứu mô hình hệ thống filewall với Forefront TMG 2010.
Nghiên cứu triển khai hệ thống filewall với Forefront TMG 2010 cho doanh
nghiệp vừa và nhỏ.
4. Phương pháp nghiên cứu.
Dưới sự hướng dẫn của giảng viên hướng dẫn.
Tìm hiểu các tài liệu liên quan về Forefront TMG 2010 và các hệ thống
filewall với Forefront TMG 2010.
Triển khai thực nghiệm trên mô hình hệ thống mạng để kiểm chứng lý thuyết
đã được nghiên cứu được.
GVHD: HUỲNH PHƯỚC DANH
4
ĐAHK
GVHD: HUỲNH PHƯỚC DANH
FOREFRONT TMG
5
ĐAHK
FOREFRONT TMG
CHƯƠNG 1: TỔNG QUAN FOREFRONT TMG 2010
1.1 Giới thiệu về Forefront TMG.
1.1.1 Giới thiệu chung.
Sự xuất hiện của Microsoft Forefront TMG 2010 đã mang lại khá nhiều điều
thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản Microsoft
ISA Server trước đây. Một trong số đó là các tính năng bảo mật mới có trong sản
phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp
SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ
email. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép
nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn.
1.1.2 Lịch sử về TMG 2010.
Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức
về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft, tuy
nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp theo
của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat
Management Gateway.
Tường lửa TMG bao gồm toàn bộ chức năng của ISA, tuy nhiên có thêm nhiều
cải tiến đáng kể trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm
chức năng tường lửa của mình.
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hổ trợ trên các thế hệ điều
hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà
không được hổ trợ trên các thế hệ điều hành mới của Microsoft như: Windows 7,
Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như
Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software
mới của Microsoft đó là Microsoft Forefront Threat Management Gateway 2010.
1.1.3 Quá trình phát triển của Forefront TMG 2010.
Quá trình phát triển của Microsoft Forefront TMG 2010 trải qua các giai
đoạn phát triển sau.
GVHD: HUỲNH PHƯỚC DANH
6
ĐAHK
FOREFRONT TMG
•
•
1-1997: Microsoft Proxy Server v1.0 (Catapult)
18-03-2001: Microsoft Internet Security and Acceleration Server 2000 (ISA
•
Server 2000)
08-09-2004: Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004)
• 17-10-2006: Microsoft Internet Security and Acceleration Server 2006 (ISA
•
Server 2006)
17-11-2009: Microsoft Forefront Threat Management Gateway 2010
(Forefront TMG 2010)
Hình 1.1: Sơ đồ phát triển của Forefront TMG 2010
1.2 Các chức năng chính của Forefront TMG 2010.
Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra bên ngoài internet và
ngược lại.
Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy
cập web.
Secure Email Relay: Bảo vệ người dùng đối với các mối đe dọa từ email độc
hại.
Remote Access Gateway: Hổ trợ người dùng truy cập từ xa để sử dụng các
dịch vụ và tài nguyên trong nội bộ.
Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên
ngoài.
1.3 Các tính năng nổi trội của Forefront TMG 2010.
GVHD: HUỲNH PHƯỚC DANH
7
ĐAHK
FOREFRONT TMG
Hình 1.2: Các tính năng của Forefront TMG 2010
Enhanced Void over IP: Cho phép kết nối & sử dụng VoIP thông qua TMG.
ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường
truyền internet.
Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác
khi truy cập web.
URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách
phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat…
HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
E-mail protection subscription service: tích hợp với Forefront Protection
2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát
viruses, malware, spam e-mail trong hệ thống Mail Exchange.
Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào
lỗ hổng bảo mật.
Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm
tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN.
Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP.
Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều
hành Windows Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác với
Windows Server 2003. Windows Server 2008 rất kén máy chủ. Nếu như Server 2003
GVHD: HUỲNH PHƯỚC DANH
8
ĐAHK
FOREFRONT TMG
ra hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt
được, hổ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc
tương tự.
Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gở rối
Troubleshooting. Chức năng này giúp cho người dùng không chuyên cũng có thể
quản trị dể dàng TMG, khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút Tiếng Anh
và Tiếng Anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không
cần đến IT chuyên nghiệp can thiệp.
1.4 Giao diện của Forefront TMG 2010.
Rule Base Search: Tính năng tìm kiếm mới có trong giao diện quản lý TMG
sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn. Nếu muốn
hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ
“DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kình lúp để thực thi tìm kiếm.
Hình 1.3: Giao diện các rule đang sử dụng giao thức DNS
Có một số cách để xây dựng các truy vấn. Ta có thể chọn tên, các cặp
name:value và cặp property:value. Để có thêm thông tin, ta có thể kích liên kết
Examples bên cạnh hộp tìm kiếm.
Web Access Policy: Nút Web Access Policy mới trong cây giao diện hiển thị
một khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG.
GVHD: HUỲNH PHƯỚC DANH
9
ĐAHK
FOREFRONT TMG
Hình 1.4: Giao diện cấu hình truy cập web
Ở đây ta có thể tạo các tuyến tĩnh (network topology routes). Không cần kết
nối đến mổi TMG firewall một cách riêng rẽ và nhập vào lệnh route từ dòng lệnh. Để
thêm vào một tuyến tĩnh, kích liên kết Create Network Topology Route trong panel
nhiệm vụ.
Hình 1.5: Giao diện một tuyến tĩnh
Ở đây bạn sẽ được nhắc nhở cho việc cấu hình các thiết lập mạng và hệ
thống, định nghĩa các tùy chọn triển khai. Nếu cần tạo những thay đổi cấu hình
đáng kể cho hệ thống hoặc định nghĩa lại các tùy chọn triển khai, bạn có thể chạy
wizard lần nữa bằng cách kích nút trên cùng trong cây giao diện sau đó chọn tab
Tasks trong panel nhiệm vụ và kích liên kết Launch Getting Started Wizard.
GVHD: HUỲNH PHƯỚC DANH
10
ĐAHK
FOREFRONT TMG
Hình 1.6: Launch Getting Started Wizard trong cây giao diện
Firewall Policy Grouping: Đây là một tính năng khác mà quản trị viên với
khối lượng lớn các rule phức tạp sẽ đánh giá cao giá trị của nó. Để tạo nhóm rule,
chọn một hoặc nhiều rule nào đó, kích phải vào số rule đã chọn, Chọn Create Group.
Hình 1.7: Giao diện tạo nhóm rule
1.5 Lý do nên chọn TMG thay ISA
Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát
hành ISA Server 2006 cách đây gần chín năm. ISA là một lợi thế tuyệt vời cho giải
pháp tường lửa, proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ web tiên
tiến và cần thiết để bảo vệ người dùng của chúng ta từ các cuộc tấn công trên mạng
internet ngày này. Với việc phát hành Forefront TMG 2010, microsoft đã cung cấp
cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo
vệ các kỹ sư an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn. Với
sự hổ trợ chủ đạo cuối cùng của ISA Server 2006 SP1 nhiều tổ chức bây giờ cuối
cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại.
GVHD: HUỲNH PHƯỚC DANH
11
ĐAHK
FOREFRONT TMG
TMG là ứng dụng 64 bit chạy trên hệ điều hành 64 bit mới nhất của Microsoft
Windows Server 2008 R2. Cũng được hỗ trợ cài đặt trên Windows Server 2008 R2.
Với sự hỗ trợ 64 bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA.
Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32 bit có nghĩa là TMG có thể
mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người
tiền nhiệm của nó
Ngoài việc truy cập vào bộ nhớ nhiều hơn, Windows Server 2008/R2 bao
gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các
cải tiến hiệu xuất đáng kể trong một số môi trường. Tăng cường kết nối mạng thế
hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive-Side
Scaling, Compound TCP và Explicit Congestion Notification. Cựu chiến binh ISA
quản trị máy chủ biết rằng một số các tính năng này, bao gồm trong các mạng
Scalable Networking Pack và sau đó được bao gồm trong SP1 cho Windows Server
2003, mâu thuẫn với ISA và đã được vô hiệu hóa. Không còn là một vấn đề với TMG
và Windows Server 2008 R2. Ngoài ra còn có cải tiến để phát hiện cổng chết và cải
tiến trong việc phát hiện lổ đen bộ định tuyến. Sự thay đổi quan trọng nhất trong
tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước. Ngoài ra,
các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để
lọc lưu lượng truy cập ở tầng hai và cung cấp hổ trợ VLAN và NIC.
Giống như tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai
nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các tính năng mới trong TMG
được tập trung vào kịch bản proxyforward, tuy nhiên để cải thiện mức độ bảo vệ
được cung cấp cho client truy cập vào tài nguyên trên Internet.
TMG hiện nay bao gồm các khả năng sau đây để bảo vệ tiên tiến.
URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến
các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử
dụng của công ty.
Web antimalware: với chức năng quét virut và phần mềm độc hại được tích hợp,
TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin. Người dùng
được bảo vệ khi tải tập tin.
GVHD: HUỲNH PHƯỚC DANH
12
ĐAHK
FOREFRONT TMG
Network Inspection System: NIS là một phát hiện xâm nhập mới với tính năng
hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức. Với
chữ ký được phát triễn bởi Microsoft Malware Protection Center và phát hành
đồng thời với các cập nhật bảo mật vào ngày thứ ba tuần thứ 2 hàng tháng, NIS
được thiết kế để ngăn chặn các lổ hổng trong phần mềm Microsoft được khai
thác từ xa.
HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa”.
HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp
ứng dụng tiên tiến nhất gần như vô dụng. TMG có khả năng chấm dứt và giải
mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ
diển ra.
Bảo vệ Email nâng cao và bảo vệ Email mở rộng: TMG có thể tích hợp mật thiết
với môi trường Exchange hiện tại của ta. TMG hổ trợ trong việc cài đặt vai trò
Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ
Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ
chống phần mềm độc hại. Những lợi thế của kịch bản triển khai này là cũng cố
hệ thống cạnh và chính sách Email đơn giản hóa bằng cách sử dụng giao diện
điều khiển quản lý TMG. Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp
cân bằng tải và khả năng chịu lổi cho việc chuyển tiếp mail an toàn
Cải tiến VPN
Cải tiến Log và Report
Triển khai tùy chọn mới
Cải tiến mạng bổ xung
Ngoài những cải tiến để tăng cường kết nối mạng của hệ thống hệ điều hành cơ
bản được nêu trước đó, TMG hiện nay bao gồm hổ trợ cho hai nhà cung cấp dịch
vụ Internet khác nhau trong một kịch bản cân bằng tải hoạch chuyển đổi dự
phòng. Thay đổi tới NAT trong TMG giờ đây cho phép người quản trị cấu hình
chính sách NAT chi tiết hơn, bao gồm cả việc thiết lập một quy tắc NAT.
SIP filter: Bảo vệ lưu lượng Voice over IP là dễ dàng hơn nhiều với việc bổ sung
của SIP bộ lọc trong TMG.
TFTP filter: Một TFTP mới làm đơn giản hóa quá trình cung cấp truy cập an
toàn tới các máy chủ TFTP.
Cải thiện trang thông báo lỗi với các dịch vụ mới nhất, xem và cảm nhận của
trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.
GVHD: HUỲNH PHƯỚC DANH
13
ĐAHK
FOREFRONT TMG
Hình 1.8: So sánh chức năng giữa ISA Server 2006 với Forefront 2010
1.6 Yêu cầu hệ thống để cài đặt Forefront TMG 2010.
1.6.1 Yêu cầu phần cứng.
Trước khi cài đặt hệ thống tường lửa cho máy server thì ta cần đọc trước những
yêu cầu phần cứng khi cài đặt:
•
•
•
Dung lượng RAM tối thiểu là 1GB
Dung lượng HDD còn ít nhất 150MB
Hệ điều hành được hổ trợ: Windows 7, Windows Server 2003, Windows
Server 2008, Windows XP, TMG không hổ trợ trên Windows server 2012.
• Forefront TMG phải chạy hệ điều hành Windows Server 64 bit và ở phiên bản
Forefront TMG Betal thì máy tính cài đặt phải là Domain Member.
Yêu cầu
Processor
Memory
Hard Disk Space
Network
Tối thiểu
2 core (1 CPU x dual
core) 64 bit processor
2 GB
2,5 GB dung lượng trống
1 card mạng cho việc kết
nối tới internal network
Đề nghị
4 core (2 CPU x dual core
or 1 CPU x quad core) 64
bit processor
4 GB
2,5 GB dung lượng trống
Mổi network kết nối tới
TMG cần có một card
mạng
Bảng 1.1: Các yêu cầu phần cứng khi cài đặt Forefront TMG
GVHD: HUỲNH PHƯỚC DANH
14
ĐAHK
FOREFRONT TMG
1.6.2 Các yêu cầu phần mềm khi cài đặt ForeFront TMG.
Windows Roles and Features.
• Network Policy and Access Server.
• Active Directory Lightweight Directory Services (ADLDS).
• Network Load Balancing (NLB).
Microsoft® .NET 3.5 Framework SP1.
Windows Web Services API.
GVHD: HUỲNH PHƯỚC DANH
15
ĐAHK
FOREFRONT TMG
CHƯƠNG 2: CÀI ĐẶT VÀ CẤU HÌNH FORREFORNT TMG 2010
2.1 Mô hình.
Hình 2.1: Mô hình mạng triển khai Forefront TMG
2.2 Giới thiệu.
Khi kết nối một hệ thông mạng nội bộ với Internet, tất yếu phát sinh nhu cầu
kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet.
Giải pháp thích hợp là sử dụng các Firewall. Bài lab này giới thiệu việc cài
đặt phần mềm Firewall của microsoft: Forefront TMG và một số cấu hình thể hiện ý
đồ quản trị.
Mô hình lab này kế thừa và phát triển từ mô hình Sever firewall TMG dùng hệ
điều hành windows sever 2008 64 bit được bố trí giữa modem ADSL và máy server
2003 đã lên domain và một số máy client khác.
2.3 Các bước triển khai.
Cài đặt tường lửa TMG
Cấu hình DNS trong TMG
Cấu hình Access Rule
Cấu hình chặn download file.
2.4 Thực hiện.
2.4.1 Cấu hình thông số IP
IP address
Subnet mask
Default gateway
DC
Internal
172.16.1.2
255.255.0.0
172.16.1.1
GVHD: HUỲNH PHƯỚC DANH
Firewall TMG
Internal
External
172.16.1.1
192.168.1.1
255.255.0.0
255.255.255.0
16
ĐAHK
FOREFRONT TMG
Preferred DNS
172.16.1.2
172.16.1.2
8.8.8.8
Bảng 2.1: Thông số địa chỉ IP cho máy firewall và máy DC
2.4.2 Cài đặt forefront TMG trên máy firewall
Để cài đặt được chương trình Forefront TMG 2010 trên máy server 2008 thì
đầu tiên ta phải cho máy server 2008 chạy các phần mềm cần thiết trong mục “Run
preparation tool”. Sau đó ta thực hiện các bước như sau:
GVHD: HUỲNH PHƯỚC DANH
17
ĐAHK
FOREFRONT TMG
Bước 1: Chọn Run Installation Wizard
Hình 2.2: Giao diện màn hình cài đặt Forefront TMG
Bước 2: Cứ để mặc định và next cho tới bước này click Add
GVHD: HUỲNH PHƯỚC DANH
18
ĐAHK
FOREFRONT TMG
Hình 2.3: Màn hình define internal network
Bước 3: Click Add Adapter để thêm vào card mạng để quản lí qua mạng
Internal
Hình 2.4: Màn hình addresses
GVHD: HUỲNH PHƯỚC DANH
19
ĐAHK
FOREFRONT TMG
Bước 4: Check vào Internal Connection -> OK-> OK -> Next -> Install
Hình 2.5: Màn hình network apdapters
Bước 5: Sau khi cài đặt TMG xong, ta chọn Configure network settings ->
Next
GVHD: HUỲNH PHƯỚC DANH
20
ĐAHK
FOREFRONT TMG
Hình 2.6: Màn hình configure network setting
Bước 6: Do máy ta cài Forefront có đến 2 card mạng, ta chọn card mạng lan
để quản lí -> Next -> OK -> Finish
GVHD: HUỲNH PHƯỚC DANH
21
ĐAHK
FOREFRONT TMG
Hình 2.7: Màn hình lan setting
Bước 7: Sau khi cấu hình xong card mạng, ta chọn Configure system settings
GVHD: HUỲNH PHƯỚC DANH
22
ĐAHK
FOREFRONT TMG
Hình 2.8: Màn hình configure system settings
Bước 8: Tới đây có 2 lựa chọn quản lí qua mô hình WORKGROUP và DOMAIN
check vào Windows domain -> Nhập vào tên domain -> OK
GVHD: HUỲNH PHƯỚC DANH
23
ĐAHK
FOREFRONT TMG
Hình 2.9: Màn hình thiết lập domain cho firewall
Bước 10: Sau khi nhập tên domain nó sẽ yêu cầu nhập tiếp user name và
password -> OK, sau đó check vào I do not want to use the Microsoft Update service
-> Next -> Yes
GVHD: HUỲNH PHƯỚC DANH
24
ĐAHK
FOREFRONT TMG
Hình 2.10: Màn hình thiết lập update cho Forefront TMG
Bước 11: Màn hình customer feedback. Check vào No, I don’t want to
participate -> Next
GVHD: HUỲNH PHƯỚC DANH
25
