MỤC LỤC
MỤC LỤC

i

DANH MỤC HÌNH ẢNH iii
LỜI CẢM ƠN

iv

LỜI CAM ĐOAN v
LỜI MỞ ĐẦU

vi

Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010
1
1.1. Tổng quan về Firewall .................................................................................1
1.1.1. Khái niệm Firewall...............................................................................1
1.1.2. Chức năng chính...................................................................................1
1.1.3. Nguyên lý hoạt động của Firewall........................................................2
1.1.4. Ưu nhược điểm của Firewall ................................................................3
1.1.5. Những hạn chế của Firewall.................................................................3
1.2. Giới thiệu về Forefront TMG 2010 ............................................................4
1.2.1. Lịch sử về Forefront TMG 2010 ..........................................................4
1.2.2. Quá trình phát triển của Forefront TMG 2010 .....................................5
1.3. Các tính năng của TMG 2010......................................................................5
1.4. Các mô hình Firewall trong TMG ...............................................................8
1.4.1. Network template .................................................................................8
1.4.2. Cấu hình các thiết lập mạng .................................................................9
1.4.3. Forefront TMG cung cấp đầy đủ các tính năng của một Firewall......11

1.5. Giao diện của TMG 2010 ..........................................................................15
1.6. Các loại TMG Client .................................................................................18
1.6.1. Web Proxy Client ...............................................................................18
1.6.3. Cấu hình Server-Side..........................................................................19
1.6.4. SecureNET Clients .............................................................................20
1


1.7. Lý do chọn TMG thay vì ISA....................................................................21
1.8. Yêu cầu hệ thống .......................................................................................25
Chương 2: KHẢO SÁT PHÂN TÍCH HỆ THỐNG MẠNG CÔNG TY

27

2.1. Công ty TNHH Huyndai Merchant Marine Việt Nam ..............................27
2.1.1. Giới thiệu công ty...............................................................................27
2.1.2. Sơ đồ bộ máy tổ chức công ty ............................................................27
2.2. Tình hình hệ thống mạng hiện tại của công ty...........................................29
2.2.1. Sơ đồ tổ chức máy tính và các phòng ban ..........................................29
2.2.2. Hiện trạng cơ sở vật chất mạng công ty .............................................30
2.2.3. Sơ đồ mạng.........................................................................................31
2.1.4. Nhận xét .............................................................................................31
2.1.5. Nhu cầu của công ty ...........................................................................32
2.3. Đề xuất giải pháp .......................................................................................34
2.4. Danh mục các server..................................................................................37
Chương 3: TRIỂN KHAI VÀ CẤU HÌNH HỆ THỐNG

38

3.1. Cài đặt TMG 2010 .....................................................................................38

3.1.1. Mô hình mô phỏng cài đặt..................................................................38
3.1.2. Cài đặt TMG 2010 trên máy TMG.....................................................39
3.1.3. Cấu hình mạng và hệ thống................................................................40
3.2. Cấu hình 1 số tính năng cơ bản của TMG 2010 ........................................43
3.2.1. DNS Query .........................................................................................43
3.2.2. Web Access ........................................................................................45
3.2.3. Malware Inspection ............................................................................46
3.2.4. HTTPS Inspection ..............................................................................48
3.2.5. Cấm vào Internet trong thời gian định sẵn .........................................51
3.2.6. Intrusion Detection .............................................................................52
3.2.7. Quản lý băng thông với Bandwidth Splitter.......................................54
3.2.8. Các dịch vụ khác ................................................................................55
2


3.3. Một số kết quả thực hiện............................................................................56
KẾT LUẬN 59
TÀI LIỆU THAM KHẢO 61

3


DANH MỤC HÌNH ẢNH

Hình 1.1. Sự phát triển của Forefront TMG 2010
4
Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010 5
Hình 1.3. Các chức năng chính của TMG 2010. 6
Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010
7

Hình 1.5. Network setup wizard 8
Hình 1.6. Edge Firewall Template 9
Hình 1.7. 3-Leg Perimeter Template
9
Hình 1.8. Back Firewall Template 10
Hình 1.9. Single Network Adapter Template
11
Hình 1.10 Giao diện hiển thị các rule đang sử dụng giao thức DNS 16
Hình 1.11. Giao diện cấu hình truy cập Web
16
Hình 1.12. Giao diện tạo một tuyến tĩnh 17
Hình 1.13. Launch Getting Started Wizard trong cây giao diện17
Hình 1.14. Giao diện tạo một nhóm Rule 18
Hình 2.1. Sơ đồ tổ chức bộ máy công ty 27
Hình 2.2. Tổ chức máy tính và các phòng ban của công ty
29
Hình 2.3. Sơ đồ mạng công ty hiện nay 31
Hình 2.4. Mô hình mạng mới cho công ty36
Hình 3.1. Mô phỏng mạng triển khai TMG
38
Hình 3.2. Giao diện cài đặt -> Tùy chọn vào Run Preparation Tool 39
Hình 3.3. Cài đặt Run Intallation Winzard
40
Hình 3.4. Giao diện quản trị Forefront TMG
43
Hình 3.5. Tạo mới Access rule
43
Hình 3.6. Đặt tên cho Access Rule44
Hình 3.7. Apply để lưu cấu hình 44
Hình 3.8. Nhấn nút Install Certificate và chấp nhận nơi lưu trữ50

Hình 3.9. IE thông báo chứng chỉ có vấn đề
51
Hình 3.10. Chọn hình thức cảnh báo.
53
Hình 3.11. Cấu hình Superscan và tiến hành scan
54
Hình 3.12. Thông báo xâm nhập bên máy TMG
54
Hình 3.19. Truy cập web nội bộ 58
LỜI CẢM ƠN
4


Em xin chân thành cảm ơn các thầy cô khoa Truyền thông & Mạng Máy Tính
đã truyền đạt vốn kiến thức quý báu cho em trong suốt quá trình học tập để em có
thêm nhiều kiến thức mới, tích lũy thêm vốn hiểu biết của mình, phục vụ cho công
việc sau này. Đặc biệt em xin gửi lời cảm ơn đến thầy Trần Duy Minh, thầy đã
giúp đỡ em rất nhiều trong quá trình quá trình thực hiện đồ án và tạo điều kiện tốt
nhất để em có thể thực hiện được đề tài này.
Trong quá trình tìm hiểu, áp dụng vào thực tế, còn nhiều hạn chế và bỡ ngỡ
cũng như kinh nghiệm thực tế, do đó không tránh khỏi những thiếu sót, em rất
mong nhận được những ý kiến đóng góp của các thầy cô để em có thể hoàn thiện hơn.
Cuối cùng, em xin kính chúc các thầy cô khoa Truyền thông & Mạng Máy
Tính và đặc biệt là thầy Trần Duy Minh dồi dào sức khỏe để có thể hướng dẫn,
truyền đạt những kinh nghiệm, kiến thức quý báu cho chúng em. Xin chân thành
cảm ơn!
Thái Nguyên, tháng 6 năm 2016
Sinh viên

Hạ Văn Hựu


5


LỜI CAM ĐOAN
Sau quá trình học tập tại trường Đại học công nghệ thông tin và truyền thông
Thái Nguyên, có sự kết hợp, vận dụng giữa lý thuyết và thực tế, em đã tìm hiểu
nghiên cứu và tập hợp các tài liệu để hoàn thành đồ án tốt nghiệp của mình.
Em xin cam đoan đồ án tốt nghiệp này là do bản thân em tự tìm hiểu,
nghiên cứu và hoàn thành dưới sự hướng dẫn của thầy giáo ThS. Trần Duy
Minh. Em xin cam đoan đồ án này chưa từng được sử dụng để bảo vệ ở bất
cứ học vị nào.
Thái Nguyên, tháng 6 năm 2016
Sinh viên

Hạ Văn Hựu

6


LỜI MỞ ĐẦU

Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều
xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các
ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích
cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành
Công nghệ thông tin – Tin học ứng dụng.
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền
đề phát triển mới của tương lại, rút ngắn khoảng cách giữa các quốc gia trên địa
cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài

nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp
muốn tồn tại và phát triển trong không gian kết nối mạng.
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng
dụng bảo mật được triển khai với nhiều hình thức nhằm giữ tính toàn vẹn thông tin
của doanh nghiệp được ra đời. Trước những sự tấn công không ngừng đó thì các
ứng dụng bảo mật hệ thống mạng là tấm khiên che chắn khá vững chắc cho mạng
doanh nghiệp và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là
chủ đề mà em đã tìm hiểu và nghiên cứu về đề tài: “Ứng dụng giải pháp bảo mật
Microsoft Forefront TMG 2010 trong thiết kế mạng cho công ty THHH
Huyndai Merchant Marine Việt Nam”.

7


Chương 1: FOREFRONT THREAT MANAGEMENT GATEWAY
(TMG) 2010

1.1. Tổng quan về Firewall
1.1.1. Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo
vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ
thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin
tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một
công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật
thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và
cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
1.1.2. Chức năng chính

 Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa
Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên
trong (Intranet) và mạng Internet. Cụ thể là:
 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

8


 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
 Các thành phần
 Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
+ Bộ lọc packet (packet-filtering router)
+ Cổng ứng dụng (application-level gateway hay proxy server)
+ Cổng mạch (circuite level gateway)
+ Bộ lọc paket (Paket filtering router)
1.1.3. Nguyên lý hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được
từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao
thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi
gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi
đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con
số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong
số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó
ở trên mạng. Đó là:
 Địa chỉ IP nơi xuất phát ( IP Source address)
 Địa chỉ IP nơi nhận (IP Destination address)
 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
9


 Dạng thông báo ICMP ( ICMP message type)
 Giao diện packet đến ( incomming interface of packet)
 Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.
Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào
hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát
các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định
vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP,
FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
1.1.4. Ưu nhược điểm của Firewall

 Ưu điểm:
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu
điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã
được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng,

vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.

 Nhược điểm.
Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự
lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điều khiển.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không
kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng (application-level getway).
1.1.5. Những hạn chế của Firewall
10


Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp
lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt
qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục
của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng
kiểm soát của firewall.

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
1.2. Giới thiệu về Forefront TMG 2010
1.2.1. Lịch sử về Forefront TMG 2010
Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức
về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft,
Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006. Phiên bản tiếp
theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat
Management Gateway, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa
Internet Security and Acceleration Server (ISA), Forefront Client Security,
Forefront Security for Exchange Server, Forefront Security for SharePoint.
Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên có thêm
nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm
nhiệm chức năng tường lửa của mình.
11


Hình 1.1. Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều
hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003
mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7,
Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như
Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software
mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010.
1.2.2. Quá trình phát triển của Forefront TMG 2010
Quá trình phát triển của MS Forefront TMG 2010 trải qua các giai đoạn
phát triển sau:
 1/1997 - Microsoft Proxy Server v1.0 (Catapult)
 18/03/2001 - Microsoft Internet Security and Acceleration Server 2000
(ISA Server 2000)

 08/09/2004 - Microsoft Internet Security and Acceleration Server 2004
(ISA Server 2004)
 17/10/2006 - Microsoft Internet Security and Acceleration Server 2006
(ISA Server 2006)
 17/11/2009 - Microsoft Forefront Threat Management Gateway 2010
(Forefront TMG 2010)
12


Hình 1.2. Sơ đồ phát triển của Forefront TMG 2010
1.3. Các tính năng của TMG 2010

 Các chức năng chính của TMG 2010.
 Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra ngoài Internet và ngược lại.
 Secure Web Gateway: Bảo vệ người dùng đối với các mối đe dọa khi
truy cập web.
 Secure E-mail Relay: Bảo vệ người dùng đối với các mối đe dọa từ email độc hại.
 Remote Access Gateway: Hỗ trợ người dùng truy cập từ xa để sử dụng
các dịch vụ và tài nguyên mạng trong nội bộ.
 Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên ngoài.

 Các tính năng nổi bật của TMG 2010.

Hình 1.3. Các chức năng chính của TMG 2010.
 Enhanced Voice over IP: Cho phép kết nối và sử dụng VoIP thông qua TMG.
 ISP Link Redundancy: Hỗ trợ load Balancing và Failover cho nhiều
đường truyền Internet.
13



 Web Anti-Malware: Quét virus, phần mềm độc hại và các mối đe dọa
khác khi truy cập web.
 URL-Filtering: Cho phép hoặc cấm truy cập các trang web theo
danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua
sắm, chat...
 HTTPS Insdection: Kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate.
 E-Mail Protection Subscription service: Tích hợp với Forefront
Protection 2010 For Exchange Server và Exchange Edge Transport Server để
kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange.
 Network Inspection System (NIS): Ngăn chặn các cuộc tấn công dựa
vào lỗ hổng bảo mật.
 Network Access Protection (NAP) Integation: Tích hợp với NAP để
kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.
 Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPNSSTP.
 Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server
2008 & Windows Server 2008 R2 64-bit.
Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều
hành Window Server 2008 64 bit. Đây là một hạn chế của TMG. Vì khác với
Windows Server 2003. Windows Server 2008 rất kén máy chủ. Nếu như Server
2003 ta hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài
đặt được, hỗ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc
tương tự.
Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối
Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thể
quản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng
14


Anh và Tiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà

không cần đến IT chuyên nghiệp can thiệp.

Hình 1.4. Bảng so sánh chức năng của ISA Server 2006 & Forefront TMG 2010
1.4. Các mô hình Firewall trong TMG
Forefront TMG sử dụng một khái niệm “multi networking”. Để định
nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG.
Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các
mạng này với nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu
network rule đó là:
 Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai
mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.
 NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất
giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn
mạng bằng địa chỉ IP của network adapter tương ứng.
15


Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule
cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.
1.4.1. Network template
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được
thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình.
Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả
những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý
TMG Management.

Hình 1.5. Network setup wizard
1.4.2. Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template cần
thiết để cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:

 Edge Firewall
16


 3-Leg perimeter
 Back firewall
 Single network Adapter
a, Edge Firewall

Hình 1.6. Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên
trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template
điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. Đây
là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp. Điều
này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng.
b, 3-Leg Perimeter

17


Hình 1.7. 3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều
network adapter. Một network adapter kết nối mạng bên trong, một network
adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ
(Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network
gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ
bởi Forefront TMG. Các dịch vụ điển hình trong một DMZ là Web Server, DNS
Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được gọi
là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích
thực chính là vùng giữa hai Firewall khác nhau.

c, Back Firewall

18


Hình 1.8. Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như
một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức
tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng
như một mặc định mạng nội bộ. Back Firewall template có thể được sử dụng bởi
Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall.
Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên
ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front
Firewall.

d, Single Network Adapter

19


Hình 1.9. Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức
tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử
dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức
khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront
TMG server với chỉ một giao diện mạng không thể được sử dụng như một
Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính
năng dưới đây:
+ Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP

(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
+ Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.
+ Web publishing để bảo vệ các máy chủ FTP và published Web
+ Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng
được gọi là Outlook Anywhere trong Exchange Server 2007).
20


1.4.3. Forefront TMG cung cấp đầy đủ các tính năng của một Firewall
a, Các tính năng mới:
 Tương thích với Windows Server 2008, 64-bit: TMG chỉ có thể chạy trên
Windows Server 2008 64-bit
 Tùy chọn Antivirus, Antimalware:
+ Quét những file bị lây nhiễm
+ Ngăn chặn những file bị nghi ngờ
+ Ngăn chặn những file tìm thấy đã bị hỏng
+ Ngăn chặn những file không thể scan
+ Ngăn chặn tất cả file đã được mã hóa
+ Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét
+ Ngăn chặn những file có kích thước lớn do admin qui định
+ Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ IP, tên domain,
các URL do admin định nghĩa
+ Kiểm soát nội dung: những sự lây nhiễm từ malware, virus có thể gây ra
sự chậm trễ trong việc truyền tải nội dung từ server đến client. TMG sẽ kiểm
sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại. Nếu
như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động
thông báo tiến trình đang quét file đến client, chẳng hạn như ”Nội dung đang
được kiểm tra”
 Cấu hình quản lý truy cập web: Cho phép cấu hình quản lý việc truy cập
web chỉ bằng 1 thao tác.

 Ngăn chặn việc truy cập đến 1 địa chỉ đã được định trước:

21


+ Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu lượng web
+ Bật tính năng Web Cache
b, Những tính năng cốt lõi:
 Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ
 Tường lửa sẽ tạo ra những form để bạn điền vào bằng cách chứng thực
theo dạng form base: Tạo ra các form được khi truy cập vào những trang Outlook
Web Access dựa trên form base. Điều này tăng cường an ninh cho việc truy cập từ
xa vào Outlook Web Access bằng cách ngăn ngừa những user không được chứng
thực liên lạc đến máy chủ Outlook Web Access.
 Remote access đến Terminal Services bằng SSL: Những máy tính chạy
HĐH Windows Server 2003 hỗ trợ RDP thông qua SSL cho phép kết nối SSL đến
Windows Server 2003 Terminal Services.
 Thi hành các kết nối RPC trong Microsoft Exchange từ Microsoft
Outlook và client dùng kết nối MAPI: Publishing Rule cho phép người sử dụng kết
nối từ xa đến Exchange Server bằng cách sử dụng đầy đủ chức năng Outlook
MAPI client thông qua Internet. Client sẽ được cấu hình để sử dụng an toàn rpc
đó. Vì thế kết nối được mã hóa - RPC policy cho phép bạn khóa tất cả những kết
nối không được mã hóa.
 Outlook Web Access Publishing:
+ Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs
+ Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access
SSL kết nối để Exchange Server của bạn
 Microsoft Office SharePoint Server Publishing: Giao diện wizard mới
hướng dẫn publishes nhiềuWindows SharePoint Services sites.


22


 Virtual Private Networking (VPN)
 Kết nối đến văn phòng chi nhánh bằng VPN: Tự động cấu hình kết nối
VPN Site to site giữa 2 văn phòng.
 Tích hợp giữa VPN với dịch vụ Microsoft Firewall: Bao gồm các chức
năng đầy đủ của VPN.
 Thanh lọc và kiểm tra cho VPN: VPN Client được cấu hình như một vùng
mạng riêng. Tạo chính sách cho các VPN client.
 SecureNAT client hỗ trợ cho VPN clients kết nối đến TMG VPN server:
+ Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT truy cập
Internet mà không yêu cầu Firewall Client cài đặt trên máy Client.
+ Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên
hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client.
 VPN Quarantine: Dùng công cụ VPN quarantine trên Windows Server
2003 cho việc thanh lọc và tích hợp vào firewall policy.
 Publishing VPN servers:
+ Publish IP protocols và PPTP servers.
+ Ứng dụng bộ lọc Smart PPTP để quản lý các kết nối phức tạp
+ Publish Windows Server 2003 NAT-T L2TP over IPSec VPN server bằng
cách sử dụng TMG 06 server publishing.
 Chế độ IPSec tunnel hỗ trợ cho kết nối site-to-site VPN links:
triển site-to-site link dùng chế độ IPSec tunnel như giao thức VPN
 Các tính năng quản lý
- Dễ dàng sử dụng các tính năng quản lý:

23

Phát



+ Bao gồm các tính năng quản lý nhằm nâng cao mức độ an ninh mạng
+ Giao diện người dùng quen thuộc với task panes, context-sensitive Help
panes, và Getting Started Wizard.
 Export và import dữ liệu đã được cấu hình: Lưu dữ liệu đã được cấu hình
thành file .xml và sau đó bạn có thể import file này vào 1 server khác.
 Ủy quyền cho firewall administrator roles: Bạn có thể gán quyền quản lý
administrative roles cho user hoặc group.
 TMG Microsoft Operations Manager (MOM) Management Pack: MOM
Management Pack cho phép doanh nghiệp xem sự kiện giám sát và củng cố cho
các bức tường lửa hoạt động.
 Mở rộng SDK: Bao gồm một bộ SDK toàn diện cho việc phát triển những
công cụ xây dựng trên TMG firewall, bộ nhớ đệm, và các tính năng quản lý.
 Mở rộng hỗ trợ các sản phẩm khác: Cung cấp các sản phẩm, chẳng hạn
như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng
và hội nhập với TMG.
 Monitoring and Reporting: Giám sát và báo cáo hiệu quả hơn
- Giám sát việc đăng nhập:
+ Xem firewall, Web Proxy, và SMTP Message Screener logs
+ TMG Server Management hiển thị thị trực quan các mục đăng nhập
giống như đang quay lại quá trình đăng nhập của người dùng.
 Xây dựng truy vấn cơ sở đăng nhập:
+ Truy vấn các tập tin log bằng cách sử dụng trong truy vấn cơ sở đăng nhập.
+ Truy vấn cho các bản ghi thông tin chứa trong bất kỳ lĩnh vực nào được
ghi trong truy vấn cơ sở đăng nhập.
24


+ Giới hạn phạm vi điều chỉnh của các truy vấn đến một khung thời gian cụ thể.

+ Kết quả sẽ được hiển thị trong TMG MBE Management, có thể được sao
chép vào Clipboard và dán vào một ứng dụng khác cho phân tích chi tiết hơn.
 Giám sát và lọc session dựa trên firewall sessions: Xem tất cả các hoạt
động kết nối đến firewall. Từ việc xem một session, bạn có thể phân loại hoặc ngắt
session của 1 cá nhân hoặc 1 group.
 Kết nối xác thực: Xác minh kết nối bằng cách thường xuyên theo dõi cụ
thể kết nối tới một máy tính hoặc URL từ TMG MBE bằng cách sử dụng kết nối
xác thực. Bạn có thể cấu hình để sử dụng phương pháp đó để xác định loại kết nối:
Ping, kết nối TCP đến một cổng cụ thể, hoặc HTTP GET.
 Tùy biến báo cáo TMG: Tuỳ biến nâng cao tính năng cho thêm thông tin
chi tiết trong firewall report
 Report publishing:
+ Cấu hình TMG báo cáo một cách tự động. Bạn có thể lưu file báo cáo
này vào folder được chỉ định.
+ Map folders hoặc file đến Web site virtual directory để người dùng có
thể xem các báo cáo.
 Thông báo bằng email sau khi tạo ra báo cáo: Cấu hình email, sau khi một
báo cáo được hoàn thành, TMG sẽ gửi email cho bạn
1.5. Giao diện của TMG 2010
Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý TMG
sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn. Nếu muốn
hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ
“DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực thi tìm kiếm.

25