Tải bản đầy đủ (.pdf) (63 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Xây dựng một số giải pháp bảo mật cho hệ thống mạng trường đh CNTTTT sử dụng microsoft forefront TMG 2010

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.95 MB, 63 trang )

LỜI CẢM ƠN
Để hoàn tất đồ án với sự cố gắng và tìm hiểu. Bản thân em trong những
tháng ngày học tập tại trường, em luôn ghi nhận những sự đóng góp giúp đỡ
nhiệt tình của những người bên cạnh mình, sự ủng hộ của thầy cô và bạn bè đã
giúp em có thêm động lực để hoàn thành đồ án, nhân đây em muốn gửi lời cảm
ơn chân thành nhất tới thầy cô và bạn bè.
Lời cảm ơn trân trọng đầu tiên em muốn dành tới cô giáo Ths.Nguyễn Thị
Duyên, người cô đã dìu dắt và hướng dẫn em trong suốt quá trình làm đồ án, sự
chỉ bảo và định hướng của cô giúp em tự tin tìm hiểu về đề tài của mình.
Em xin trân trọng cảm ơn các thầy giáo, cô giáo trong bộ môn mạng và
truyền thông, khoa công nghệ thông tin – Trường đại học Công nghệ thông tin &
truyền thông đã giúp em hoàn thành được đồ án này.
Em muốn gửi lời cảm ơn chân thành đến tập thể lớp MMT-K10A đã cùng
em đi qua những tháng ngày miệt mài học tập, cùng chia sẻ những niềm vui, nỗi
buồn, động viên em đi qua những khó khăn, để em vững bước vượt qua những
vất vả.

Thái Nguyên, ngày… tháng … năm 2016
Sinh viên thực hiện
TẠ VĂN HÙNG

1


LỜI CAM ĐOAN
Em xin cam đoan: Nội dung của đề tài đồ án tốt nghiệp với tên đề tài
“Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH
CNTT&TT sử dụng Microsoft Forefront TMG 2010” là không sao chép nội
dung từ bất kỳ bản đề tài nào không phải do em làm ra.
Những phần sử dụng tài liệu tham khảo trong bài báo cáo đã được ghi rõ
trong phần tài liệu tham khảo. Các số liệu, kết quả trình bày trong đồ án là hoàn


toàn trung thực.
Nếu sai em xin chịu mọi hình thức kỷ luật của trường Đại học Công nghệ
thông tin và truyền thông – Đại học Thái Nguyên.
Thái Nguyên, ngày… tháng … năm 2016
Sinh viên thực hiện
TẠ VĂN HÙNG

2


MỤC LỤC
LỜI CẢM ƠN .....................................................................................................1
LỜI CAM ĐOAN................................................................................................2
MỤC LỤC ..........................................................................................................3
DANH MỤC HÌNH ............................................................................................5
DANH MỤC BẢNG ...........................................................................................7
DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT............................................8
LỜI NÓI ĐẦU ....................................................................................................9
TỔNG QUAN ĐỀ TÀI......................................................................................10
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT ..................................................................12
1.1 Tổng quan về Firewall..............................................................................12
1.1.1 Khái niệm Firewall.............................................................................12
1.1.2 Chức năng chính ................................................................................12
1.1.3 Nguyên lý hoạt động của Firewall ......................................................13
1.1.4 Ưu nhược điểm của Firewall ..............................................................14
1.1.5 Những hạn chế của firewall................................................................14
1.2 Giới thiệu về Forefront TMG ...................................................................15
1.2.1 Lịch sử về TMG 2010 ........................................................................15
1.2.2 Quá trình phát triển của TMG 2010....................................................16
1.3 Các tính năng của TMG 2010...................................................................17

1.3.1 Các chức năng chính của TMG 2010..................................................17
1.3.2 Các tính năng nổi bật của TMG 2010 .................................................18
1.4 Lý do chọn TMG thay vì ISA...................................................................18
1.5 Giao diện của TMG 2010 .........................................................................22
CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG TẠI TRƯỜNG
ĐH CNTT&TT..................................................................................................24
2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT ...............................24
2.1.1 Khảo sát hiện trạng.............................................................................24
2.1.2 Mô hình mạng của trường ĐH CNTT&TT .........................................27
2.2 Phân tích hệ thống mạng của Trường ĐH CNTT&TT ..............................33

3


2.2.1 Phân tích hệ thống mạng ....................................................................33
2.2.2 Đề xuất một số giải pháp bảo mật có thể áp dụng ...............................34
2.2.3 Lựa chọn giải pháp và xây dựng quy trình bảo mật ............................35
2.3 Yêu cầu hệ thống......................................................................................37
2.3.1 Yêu cầu phần cứng.............................................................................37
2.3.2 Yêu cầu phần mềm.............................................................................38
CHƯƠNG 3: XÂY DỰNG CHƯƠNG TRÌNH DEMO.....................................39
3.1 Cài đặt forefront TMG 2010.....................................................................39
3.1.1 Yêu cầu mô phỏng cài đặt ..................................................................39
3.1.2 Cài đặt forefront TMG 2010...............................................................39
3.2 Cấu hình các Access Rule ........................................................................41
3.2.1 Web Access........................................................................................41
3.2.2 DNS Query ........................................................................................44
3.2.3 HTTPS Inspection..............................................................................46
3.2.4 Tạo rule cho phép người sử dụng Internet trong giờ làm việc .............50
3.2.5 HTTP Filter........................................................................................50

3.2.6 Tạo rule cấm các trang web có trong danh sách..................................52
3.2.7 Malware Inspection............................................................................54
3.2.8 Cấu hình network ispection system (NIS)...........................................57
3.2.9 Cấu hình Intrucsion Detection ............................................................60
KẾT LUẬN.......................................................................................................62
TÀI LIỆU THAM KHẢO .................................................................................63

4


DANH MỤC HÌNH
Hình 1.1: Mô hình tổng quan 3 lớp mạng của tường lửa ....................................16
Hình 1.2: Các chức năng chính của TMG 2010 .................................................17
Hình 1.3: Giao diện của TMG ...........................................................................22
Hình 1.4: Web Access Policy ............................................................................23
Hình 2.1: Mô hình cơ sở hạ tầng Trường ĐH CNTT&TT..................................25
Hình 2.2: Sơ đồ tổ chức của trường ĐH CNTT&TT ..........................................26
Hình 2.3: Mô hình logic tổng quát .....................................................................30
Hình 2.4: Mô hình vật lý tầng 1 nhà điều hành C1.............................................31
Hình 2.5: Mô hình vật lý tầng 2 nhà điều hành C1.............................................31
Hình 2.6: Mô hình vật lý tầng 3 nhà điều hành C1.............................................32
Hình 2.7: Mô hình vật lý tầng 4 nhà điều hành C1.............................................32
Hình 2.8: Mô hình vật lý tầng 5 nhà điều hành C1.............................................33
Hình 2.9: Triển khai TMG trên VLAN ..............................................................37
Hình 3.1: TMG yêu cầu khai báo internal network trong quá trình cài đặt .........40
Hình 3.2: Giao diện Forefront TMG ..................................................................40
Hình 3.3: Tạo mới một Access rule ...................................................................41
Hình 3.4: đặt tên cho rule mới ...........................................................................41
Hình 3.5: Thiết lập điều kiện cho rule là Allow .................................................42
Hình 3.6: Các giao thức được áp dụng cho rule .................................................42

Hình 3.7: Tùy chọn cấu hình Malware Inspection cho rule ................................43
Hình 3.8: Cấu hình source và destination network cho rule................................43
Hình 3.9: Cấu hình hoàn tất, Apply để lưu cấu hình trên Forefront ....................44
Hình 3.10: Tạo mới Access rule ........................................................................44
Hình 3.11: Chọn giao thức là DNS ....................................................................45
Hình 3.12: Cấu hình source và destination cho rule ...........................................45
Hình 3.13: Hoàn thành access DNS ...................................................................46
Hình 3.14: Bật tính năng HTTPs Inspection ......................................................46
Hình 3.15: Cấu hình cài đặt chứng chỉ nhận diện mã độc...................................47
Hình 3.16: Cài đặt chứng chỉ thành công ...........................................................47

5


Hình 3.17: Triển khai chứng chỉ trên domain.....................................................48
Hình 3.18: Triển khai chứng chi trên domain.....................................................48
Hình 3.19: Download file từ eicar.org sử dụng giao thức bảo mật .....................49
Hình 3.20: Cấm download .................................................................................49
Hình 3.21: Bật allow web internal .....................................................................50
Hình 3.22: Chọn thời gian cho phép truy cập internet ........................................50
Hình 3.23: Bật configure HTTP.........................................................................51
Hình 3.24: Kết quả khi download 1 file .exe sẽ bị cấm ......................................52
Hình 3.25: Tạo luật cấm ....................................................................................52
Hình 3.26: Chọn giao thức cấm .........................................................................53
Hình 3.27: Add trang web muốn cấm truy cập...................................................53
Hình 3.28: Kết quả trang web bị cấm.................................................................54
Hình 3.29: Bật tính năng Malware Inspection....................................................55
Hình 3.30: Thực hiện cấu hình trong mục Properties .........................................55
Hình 3.31: Các tùy chọn nâng cao của Malware Inspection với Rule Setting.....56
Hình 3.32: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa...............56

Hình 3.33: TMG thực hiện block chức năng download ngay khi phát hiện virus57
Hình 3.34: Bật tính năng NIS ............................................................................57
Hình 3.35: Thêm dãy địa chỉ ip cần giám sát .....................................................58
Hình 3.36: Cho phép NIS phản ứng lại trước những traffic bất thường ..............58
Hình 3.37: Nhập địa chỉ IP cần giám sát ............................................................59
Hình 3.38: Dữ liệu client cần giám sát được ghi nhận bởi NIS...........................59
Hình 3.39: Cấu hình phát hiện tấn công .............................................................60
Hình 3.40: Kết quả Scan...................................................................................60
Hình 3.41: Thông tin tấn công được TMG ghi nhận ..........................................61

6


DANH MỤC BẢNG

Bảng 2.1: Địa chỉ IP của các VLAN ..................................................................29
Bảng 2.2: Các thiết bị mạng...............................................................................29
Bảng 2.3: Các máy chủ của trường ....................................................................30
Bảng 2.4: Yêu cầu phần cứng ............................................................................38
Bảng 3.1: Địa chỉ máy ảo ..................................................................................39

7


DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT
Từ viết tắt

Tên đầy đủ

AD


Active Directory

ADSL

Asymmetric Digital Subscriber Line

ARP

Address Resolution Protocol

AP

Access Point

BSSs

Independent Basic Service sets

CPU

Center processing unit

DHCP

Dynamic Host Configuration Protocol

DNS

Domain Name System


HĐH

Hệ điều hành

HTTP/HTTPs

HyperText Transfer Protocol/ Hyper Text Transfer
Protocol Secure

IP

Internet Protocol

ICMP

Internet Control Message Protocol

IGMP

Internet Group Messages Protocol

LAN

Local Area Network

NTFS

New Technology File System


OU

Organizational Unit

OSI

Open Systems Interconnection

PC

Personal Computer

SAM

Security Accounts Manager

SSID

Service Set Identifier

SMTP

Simple Mail Transfer Protocol

STP

Shield Twisted Pair

UPS


Uninterruptible Power Supply

UPS

Uninterrupt Power Supply

UTP

Unshield Twisted Pair

TCP

Transmission Control Protocol

WWW

World Wide Web

8


LỜI NÓI ĐẦU
Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công
nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng,
tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách. Bảo mật mạng có thể
hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu,
thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được
việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được
cao hơn.
Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng

đầu trước khi đi xây dựng một hệ thống mạng cho người sử dụng. Vậy nên việc
sử dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an
toàn mạng là rất cần thiết. Nhằm ngăn chặn các kết nối không mong muốn, giảm
nguy cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình
và mã độc hại.
Trong bài đồ án em tìm hiểu về vấn đề “Xây dựng một số giải pháp bảo
mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft
Forefront TMG 2010”
Dù đã cố gắng rất nhiều trong quá trình tìm hiểu và viết báo cáo, nhưng
chắc chắn không thể tránh khỏi những sai lầm và thiếu sót. Em rất mong nhận
được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cô giáo giúp em hoàn
thiện bài hơn.
Thái Nguyên, ngày… tháng … năm 2016
Sinh viên thực hiện
TẠ VĂN HÙNG

9


TỔNG QUAN ĐỀ TÀI
 Lý do chọn đề tài
Ngày nay việc sử dụng Internet đã phổ biến gần như toàn bộ trong các công
ty, các doanh nghiệp, các trường học. Các ứng dụng của mạng Internet giúp công
việc của các trường học diễn ra nhanh chóng thuận tiện và hiệu quả cao hơn. Do đó
hiện nay ở các khu vực trung tâm, các trường học đều trang bị tối thiểu một đường
internet, thậm chí có thể nhiều hơn thế. Tuy nhiên bên cạnh những tiện ích và hiệu
quả mà mạng Internet đem lại thì việc quản lý sử dụng internet vẫn chưa được xem
xét và quan tâm đúng mức có thể xảy ra một số hệ quả.
- Virus từ trên internet lây lan và nhiễm vào hệ thống mạng vào máy tính.
- Dữ liệu quan trọng bị rỏ rỉ do các yếu tố con người, virus

- Cán bộ nhân viên sử dụng internet chưa đúng mục đích.
- Hacker tấn công vào hệ thống mạng nội bộ, lấy đi những tài liệu quan trọng
- Một số trang web đen, web cấm chưa được ngăn chặn
- Chưa giới hạn và phân loại được các website cần truy cập hoặc không cần
truy cập
Microsoft Forefront TMG 2010 chính là một giải pháp hữu ích giải quyết
tất cả các vấn đề trên mà các trường học đang tìm kiếm. Nhằm đáp ứng nhu cầu
bảo mật dữ liệu và quản lý việc sử dụng Internet của hệ thống mạng trường ĐH
CNTT&TT nên em đã lựa chọn đề tài “Xây dựng một số giải pháp bảo mật
cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront
TMG 2010”.
 Mục tiêu đề tài
- Nghiên cứu và nắm vững kiến thức về tường lửa TMG 2010
- Hiểu được cách thức hoạt động của tường lửa TMG 2010
- Sử dụng được phần mềm mô phỏng Vmware 11.0
- Mô phỏng được trên Vmware 11.0
- Thiết lập các Rule bảo vệ hệ thống theo yêu cầu của cho hệ thống mạng
Trường ĐH CNTT&TT.

10


 Giới hạn đề tài
- Nghiên cứu và triển khai tường lửa TMG 2010 bảo mật hệ thống mạng
cho cho hệ thống mạng Trường ĐH CNTT&TT.
- Bảo mật dữ liệu của Trường ĐH CNTT&TT, quản lý việc chia sẻ dữ liệu
trong mạng nội bộ và việc sử dụng Intrernet.
 Nội dung thực hiện
- Cơ sở lý thuyết
- Khảo sát & phân tích hệ thống mạng của Trường ĐH CNTT&TT

- Xây dựng chương trình demo
 Phương pháp tiếp cận
- Cách tiếp cận: nghiên cứu về Firewall và các tính năng của TMG 2010
- Sử dụng phương pháp nghiên cứu:
Phương pháp đọc tài liệu
Phân tích thực trạng và yêu cầu của trường học

11


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về Firewall
1.1.1 Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo
vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted
network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của
một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo
mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)
và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
1.1.2 Chức năng chính
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.
 Chức năng cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong.
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
 Các thành phần Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
- Bộ lọc packet (packet-filtering router)
- Cổng ứng dụng (application-level gateway hay proxy server)
- Cổng mạch (circuite level gateway)

12


1.1.3 Nguyên lý hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các
giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data
pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở
đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet
và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn
một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là
dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền
các packet đó ở trên mạng. Đó là:
- Địa chỉ IP nơi xuất phát (IP Source address)
- Địa chỉ IP nơi nhận (IP Destination address)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP (ICMP message type)
- Giao diện packet đến (incomming interface of packet)
- Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua
firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản
được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá
việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn
nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số
loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ
nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục
bộ.

13


1.1.4 Ưu nhược điểm của Firewall
 Ưu điểm
- Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những
ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet
đã được bao gồm trong mỗi phần mềm router.
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
 Nhược điểm
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự
lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điều khiển.

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet
không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn
có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ
xấu.
- Cổng ứng dụng (application-level getway).
1.1.5 Những hạn chế của firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp
pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chơng trình đợc chuyển theo thư điện tử, vượt qua
firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

14


Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
1.2 Giới thiệu về Forefront TMG
1.2.1 Lịch sử về TMG 2010
Khi nhắc đến tường lửa, hầu hết ai có chút kiến thức về IT đều liên tưởng
đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft. Tuy nhiên phiên bản
cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp theo của hệ thống

tường lửa này được gọi với một tên khác: Forefront Threat Management
Gateway - Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên
có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá
trình đảm nhiệm chức năng tường lửa của mình.
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là
ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ
điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server
2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:
Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ
điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng
đến một software mới của Microsoft đó là Microsoft forefront Threat
Management Gateway 2010. Một thế hệ mới của phần mềm tường lửa phát triển
trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các
tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại
khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên
bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client
Security, Forefront Security for Exchange Server và Forefront Security for
Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:
- Bảo vệ hệ thống đa dạng và hoàn thiện.
- Phát hiện virus, malware và ngăn chặn tấn công.

15


- Giao diện quản lý thân thiện và dễ dàng.
- Giám sát hệ thống mạng được tăng cường.
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa
(Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra
vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.
Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,

các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo
ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo
vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một,
TMG cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo
mật web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của
chúng ta sẽ được chia ra làm 3 phần riêng biệt:
- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: Là một bức tường ngăn cách giữa mạng chúng ta và thế giới,
chính là máy Forefront TMG
- External Network: Là mạng Internet, như vậy mạng Internet được xem
như là một phần trong mô hình Forefront TMG mà thôi

Hình 1.1: Mô hình tổng quan 3 lớp mạng của tường lửa

1.2.2 Quá trình phát triển của TMG 2010
 Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn
phát triển sau:
- 1/1997: Microsoft Proxy Server v1.0 (Catapult)

16


- 18/03/2001: Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000)
- 08/09/2004: Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004)
- 17/10/2006: Microsoft Internet Security and Acceleration Server 2006 (ISA
Server 2006)
- 17/11/2009: Microsoft Forefront Threat Management Gateway 2010
(Forefront TMG 2010)

1.3 Các tính năng của TMG 2010
1.3.1 Các chức năng chính của TMG 2010

Hình 1.2: Các chức năng chính của TMG 2010
- Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và
ngược lại.
- Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi truy
cập web.
- Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ e-mail
độc hại.
- Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng các
dịch vụ và tài nguyên mạng trong nội bộ.
- Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ
bên ngoài.

17


1.3.2 Các tính năng nổi bật của TMG 2010
- Enhanced Voice over IP: cho phép kết nối và sử dụng VoIP thông qua TMG
- ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều
đường truyền Internet.
- Web Anti-Malware: quét virus, phần mềm độc hại và các mối đe dọa
khác khi truy cập web.
- URL-Filtering: cho phép hoặc cấm truy cập các trang web theo danh
sách phân loại nội dung sẵn có
- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate
- E-Mail Protection Subscription service: tích hợp với Forefront Protection
2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát

viruses, malware, spam Email trong hệ thống Mail Exchange
- Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào
lỗ hổng bảo mật
- Network Access Protection (NAP) Integation: tích hợp với NAP để
kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.
- Security Socket Tunneling Protocol (SSTP) Integration: hỗ trợ VPNSSTP.
- Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ
điều hành Window Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác
với Windows Server 2003. Windows Server 2008 rất kén máy chủ.
- Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng
gỡ rối Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng
có thể quản trị dễ dàng TMG.
1.4 Lý do chọn TMG thay vì ISA
Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát
hành ISA Server 2006 cách đây gần mười năm. Với việc phát hành Forefront
Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta
một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư

18


an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn. Với sự hỗ trợ
chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng
cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại.
TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit của Microsoft –
TMG chạy trên Windows Server 2008 SP2 và R2. Với sự hỗ trợ 64-bit TMG có
thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA. Loại bỏ các bộ nhớ 4GB
hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả
hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó.
Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có

thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số
môi trường. Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng
như Receive Window Auto Tuning, Receive-Side Scaling (RSS), Compound
TCP và Explicit Congestion Notification (ECN). Sự thay đổi quan trọng nhất
trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho
phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các
phiên bản trước. Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình
điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hỗ
trợ VLAN và NIC.
Bảo vệ Web nâng cao - Giống như người tiền nhiệm của nó, TMG là một
hệ thống phòng thủ nhiều lớp ngoài ra còn cung cấp truy cập từ xa. Đa số các
tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy
nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài
nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ
tiên tiến:
- URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn
truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các
chính sách sử dụng của công ty
- Web antimalware: Với chức năng quét virus và phần mềm độc hại được
tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin.
Người dùng được bảo vệ khi tải tập tin.

19


- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới
với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên
giao thức. Với chữ ký được phát triển bởi Microsoft Malware Protection Center
(MMPC) NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft
được khai thác từ xa.

- HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua
tường lửa”. HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các
tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng. TMG có khả năng
chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập
đầy đủ lớp sẽ diễn ra.
- Bảo vệ E-Mail nâng cao TMG có thể tích hợp mật thiết với môi trường
Exchange 2007/2010 hiện tại của bạn. TMG hỗ trợ trong việc cài đặt vai trò
Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ
Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ
chống phần mềm độc hại.
- Cải tiến VPN: TMG hiện nay bao gồm hỗ trợ cho Secure Socket
Tunneling Protocol (SSTP). SSTP sử dụng SSL để cung cấp an toàn, thông tin
liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặcWindows 7
và tường lửa TMG.
- Cải tiến Log và Report: Cơ sở hạ tầng log trong TMG được cải thiện rất
nhiều so với các phiên bản trước của máy chủ ISA.TMG tại cài đặt SQL Server
2008 Express theo mặc định, đó là tốt hơn đáng kể so với MSDE cung cấp trên
ISA. Đối với khả năng phục hồi thêm, TMG có khả năng hàng đợi dữ liệu được
ghi vào đĩa. Với truy vấn log, TMG có thể tiếp tục logp và yêu cầu dịch vụ ngay
cả khi cơ sở dữ liệu đang offiline vì lý do nào.
- Triển khai tùy chọn mới: TMG dễ dàng hơn nhiều để thực hiện nhờ vào
việc hỗ trợ cho một kịch bản triển khai mới mảng độc lập. Bây giờ bạn có thể cấu
hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải
cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi là
máy chủ lưu trữ cấu hình, hoặc CSS).

20


- Cải tiến mạng bổ sung: TMG hiện nay bao gồm hỗ trợ cho hai nhà cung

cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi
dự phòng
Như với bất kỳ việc nâng cấp sản phẩm chính nào có nhiều cải tiến nhỏ
hơn mà có thể không chú ý được. Chúng bao gồm:
- SIP filter: Bảo vệ lưu lượng Voice over IP (VoIP) là dễ dàng hơn nhiều
với việc bổ sung củaSession Initiation Protocol (SIP) bộ lọc trong TMG
- TFTP filter: Một TFTP mới làm đơn giản hoá quá trình cung cấp truy
cập an toàn tới các máy chủ TFTP.
- Cải thiện trang thông báo lỗi: Với các gói dịch vụ mới nhất, xem và
cảm nhận của trang báo lỗi được cải thiện nhiều. Chúng cũng dễ dàng tùy biến.
- Kết hợp với SCOM: TMG bao gồm việc hỗ trợ tích hợp với System
Center Operations Manager (SCOM) 2007 và các phiên bản sau đó.
Forefront Threat Management Gateway (TMG) 2010 cung cấp bảo vệ
nhiều hơn đáng kể hơn so với người tiền nhiệm của nó với việc hỗ trợ 64-bit và
cải tiến hệ thống điều hành cơ bản ổn định, hiệu suất và khả năng mở rộng
củaTMG đến nay vượt trội hơn so bất kỳ phiên bản trước của máy chủ ISA.
TMG bao gồm khả năng bảo vệ web tiên tiến nhiều không tìm thấy trong máy
chủ ISA, bao gồm lọc URL, quét virus và phần mềm độc hại, phát hiện và phòng
chống xâm nhập tiên tiến và khả năng kiểm tra HTTPS. Mặc dù những cải tiến
được thực hiện trong TMG chủ yếu tập trung vào bảo mật gửi đi, TMG bao gồm
hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến. Ngoài ra,
TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản
Exchange 2010 và SharePoint 2010. Truy cập từ xa và VPNsite-to-site vẫn được
hỗ trợ, và với việc bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng
dựa trên VPN là mạnh mẽ hơn bao giờ hết. Đã có những cải tiến trong khai thác
và báo cáo và các tùy chọn triển khai mới. Cải tiến NAT hỗ trợ nhiều cho nhà
cung cấp dịch vụ Internet là cả hai cải thiện chào đón rằng sẽ đáp ứng nhu cầu
quan trọng đối với các quản trị viên ISA hiện tại nhiều. Đó là lý do chọn TMG.

21



1.5 Giao diện của TMG 2010
Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý
TMG sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn.
Nếu muốn hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần
nhập cụm từ “DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực
thi tìm kiếm.

Hình 1.3: Giao diện của TMG
Có một số cách để xây dựng các truy vấn. Bạn có thể chọn tên, các cặp
name: value và cặp property: value. Để có thêm thông tin, bạn có thể kích liên
kết Examples bên cạnh hộp tìm kiếm.
Web Access Policy – Nút Web Access Policy mới trong cây giao diện
hiển thị một khung nhìn hợp nhất các rule truy cập web đã được cấu hình
trong TMG.

22


Hình 1.4: Web Access Policy
Như một chức năng tìm kiếm dựa trên rule, các quản trị viên sẽ đơn giản
được đáng kể nhiệm vụ quản trị khi thực thi một số lượng lớn các rule phức tạp.
Một khung nhìn súc tích và rõ ràng cho các rule truy cập web sẽ giảm được lỗi
cấu hình. Truy cập nhanh chóng và dễ dàng vào các thiết lập trung để cho phép
truy cập web cũng có trong khung nhìn này. Các thiết lập nay gồm có cấu hình
web proxy, thẩm định, nén, thanh tra HTTPS, thanh tra malware và web caching.

23



CHƯƠNG 2:
KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG
TẠI TRƯỜNG ĐH CNTT&TT
2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT
2.1.1 Khảo sát hiện trạng
Tiền thân Trường ĐH CNTT&TT là Khoa Công nghệ thông tin là đơn vị
đào tạo thành viên thuộc Đại học Thái Nguyên được thành lập ngày 14/12/2001
theo Quyết Định số 6946/QĐ-BGD ĐT-TCCB của Bộ trưởng Bộ Giáo dục và
Đào tạo.
Khoa Công nghệ thông tin thực hiện mô hình phối hợp quản lý và đào tạo
với Viện Công nghệ thông tin thuộc Viện Khoa học và Công nghệ Việt Nam có
chức năng, nhiệm vụ đào tạo nguồn nhân lực, nghiên cứu khoa học và chuyển
giao công nghệ trong các lĩnh vực Công nghệ thông tin và truyền thông phục vụ
sự nghiệp CNH, HĐH các tỉnh trung du và miền núi phía Bắc nói riêng, cả nước
nói chung.
Sau 10 năm xây dựng và phát triển, ngày 30/3/2011, Thủ tướng Chính phủ
ký quyết định thành lập Trường Đại học Công nghệ Thông tin và Truyền thông
trên cơ sở nâng cấp Khoa CNTT thuộc Đại học Thái Nguyên.
Những năm gần đây, Trường ĐH CNTT&TT của chúng ta đã và đang có
nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt
trội trong tất cả việc dạy và học. Điều này phải kể đến sự đóng góp tích cực của
các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn
Thông – Tin Học.
Cùng với sự phát triển của trường ĐH CNTT&TT, thì những nhu cầu về
bảo mật thông tin của Trường ĐH CNTT&TT cần được nâng cao và cải thiện.
Trước những sự tấn công không ngừng của các đối tượng xấu đó thì các ứng
dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng
của trường. Vì lý do đó mà em muốn nghiên cứu ứng dụng bảo mật hệ thống
mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010 trong bảo

mật mạng.

24


 Cơ sở vật chất kỹ thuật
Trường ĐH CNTT&TT có cơ sở, vật chất khá đầy đủ và hiện đại.
Gồm một tòa nhà làm việc chính, năm giảng đường, có 12 khu nhà ký túc xá,
một thư viên đa chức năng, một sân bóng với 4 sân mini. Các phòng ban đều có
một phòng riêng để làm việc được trang bị điều hòa, máy vi tính, điện thoại và
các thiết bị chuyên dùng khác. Các khoa, phòng ban, bộ phận chuyên môn được
chia thành các vlan để đảm bảo sự bảo mật, có sự cập nhập thông tin với bên
ngoài thông qua mạng Internet.

Hình 2.1: Mô hình cơ sở hạ tầng Trường ĐH CNTT&TT

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×