Tải bản đầy đủ (.doc) (239 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Đồ án: ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010 TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (11.26 MB, 239 trang )

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Đồ án:

ỨNG DUNG MICROSOFT FOREFRONT TMG
2010 TRONG BẢO MẬT MẠNG DOANH NGHIỆP

GVHD: NGUYỄN SIÊU ĐẲNG
SVTH: - PHAN VĂN THẮNG (NT)
- LÊ THIÊN LONG
- NGUYỄN THỊ NHƯ THỦY
- CHẾ THÁI NHỰT
Chuyên ngành: QUẢN TRỊ MẠNG

MSSV: 99510010272
MSSV: 99510010141
MSSV: 99510010287
MSSV: 99510010196

Khóa: 01CCHT

Tháng 9 - 2011

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 1


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

LỜI CẢM ƠN


Lời đầu tiên, chúng em xin kính gửi lịng biết ơn chân
thành đến ông bà, cha mẹ đã nuôi dưỡng và dạy bảo để
chúng em có ngày hơm nay.
Xin cảm ơn q Thầy, Cô trường Cao Đẳng CNTT
Ispace, đặc biệt là các Thầy, Cơ Khoa Cơng Nghệ Thơng Tin
đã tận tình truyền đạt những kiến thức và kinh nghiệm cho
em trong suốt thời gian học tập tại trường.
Cảm ơn thầy Nguyễn Siêu Đẳng đã giúp đỡ chúng em
trong thời gian thực hiện đề tài thực hiện đề tài.
Xin cảm ơn các bạn trong lớp 01CCHT03 đã chia sẻ, giúp
đỡ và động viên chúng tôi trong suốt thời gian học tập tại
trường cũng như trong thời gian thực hiện đề tài.
Mặc dù chúng em đã cố gắng hoàn thành đề tài này với
tất cả nỗ lực, nhưng vẫn khơng tránh khỏi những thiếu sót
nhất định. Kính mong nhận được sự chỉ bảo của quý Thầy, Cơ
và sự góp ý chân thành của các bạn.
Kính chúc quý thầy cô mạnh khỏe, tiếp tục đạt được
nhiều thắng lợi trong giảng dạy, trong nghiên cứu khoa học
và trong sự nghiệp trồng người.
Kính chúc sức khoẻ và thịnh vượng.
Xin chân thành cảm ơn!
Nhóm sinh viên
Phan Văn Thắng
Lê Thiên Long
Chế Thái Nhựt
Nguyễn Thị Như Thủy

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 2



z
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE



LỜI MỞ ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng máy tính và Internet,
các quốc gia, các tổ chức, các công ty và tất cả mọi người đang dường như
xích lại gần nhau hơn. Từ các máy tính cá nhân PC, các mạng cục bộ LAN, các
mạng diện rộng WAN, … đều có thể kết nối vào Internet để khai thác và
truyền bá thông tin. ở Việt Nam ta hiện nay, cùng với sự gia nhập Internet,
việc ứng dụng tin học vào quản lý và công tác nghiên cứu, học tập ngày càng
phổ biến; đặc biệt là việc tra cứu, tìm kiếm và trao đổi thông tin.
Mặc dù đi sau thế giới nhưng chúng ta đã bắt đầu cảm nhận được điều
đó. Cơng việc hàng ngày bắt buộc chúng ta phải tiếp xúc và phụ thuộc nhiều
vào những phương thức thông tin hiện đại như thư tín điện tử, giao dịch trực
tuyến và hội thảo từ xa v.v. Chính phủ cũng bắt đầu tiến hành chương trình
chính phủ điện tử đưa các dịch vụ công lên mạng. Tốc độ tăng trưởng của kết
nối Internet và sử dụng Internet cũng minh chứng cho sự phát triển thơng tin
hóa đến từ cá nhân trong xã hội của chúng ta. Ngay bây giờ chúng ta phải
thừa nhận sự phụ thuộc ngày càng tăng của chúng ta vào một hệ thống phức
tạp của những máy tính và mạng máy tính.
Chúng ta cũng nhận thức rằng thơng tin trở thành một tài nguyên quí
giá cho một tổ chức hay doanh nghiệp khơng kém gì những nguồn tài ngun
truyền thống như nhân lực, vốn v.v. Chúng ta cũng bắt đầu thiết lập các hệ
thống để thu thập , kiểm sốt và phân tích thơng tin. Và đối với khơng ít tổ
chức và doanh nghiệp thông tin chính là sản phẩm.Khơng những vậy, các tổ
chức hay doanh nghiệp cịn gia tăng các kết nối thông tin với nhau và với thế

giới để đẩy mạnh việc trao đổi thông tin.
Không chỉ các tổ chức và doanh nghiệp hưởng lợi trong cuộc cách
mạng thông tin này, mạng Internet mang lại sự kết nối thông tin giữa các tổ
chức đến cá nhân và sự kết nối giữa cá nhân với cá nhân. Sự chia sẽ thông tin
trên một mạng công cộng như Internet mang lại cơ hội tiếp cận thông tin một
cách công bằng cho mọi người trên hành tinh này,
Chúng ta không thể phủ nhận mặt tích cực của sự phát triễn này và
chắc chắn rằng cũng không bước thụt lùi.Nhưng chúng ta cũng phải nhận
thức được mặt trái của vấn đề này.
Chính vì lẽ đó nên việc bảo vệ, làm trong sạch nguồn tài nguyên thông
tin trên mạng đã, đang và sẽ luôn là vấn đề rất cần thiết, thế nên việc triển
khai hệ thống an ninh mạng với tường lửa là rất quan trọng trong vấn đề bảo
mật của các doanh nghiệp và Microsoft Forefront Threat Management
Gateway 2010 là một sự lựa chọn tốt trong vấn đề bảo mật.
Nhóm sinh viên
Phan Văn Thắng
Lê Thiên Long
Chế Thái Nhựt
Nguyễn Thị Như Thủy

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 3


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

NHẬN XÉT CỦA DOANH NGHIỆP
..................................................................................................................
..................................................................................................................

..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG
DẪN

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP


Trang 4


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................

..................................................................................................................

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 5


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

KHOA CÔNG NGHỆ THÔNG TIN

MÃ ĐỀ TÀI: 503
MÃ LỚP: 01CCHT03
01

KHÓA

TÊN ĐỀ TÀI :
ỨNG DỤNG MS FOREFRONT TMG 2010 TRONG BẢO
MẬT MẠNG DOANH NGHIỆP
MỤC LỤC
Lời
Mở
Đầu
……………………………………………………………………………………………………………..
….02
Lời
Cảm
Ơn
………………………………………………………………………………………………………………

…03
Nhận
Xét
Của
Doanh
Nghiệp
……………………………………………………………………………..……...04
Nhận Xét Của Giảng Viên Hướng Dẫn ……………………………………………………….
………….….05
Mục
Lục
…………………………………………………………………………………………………..
………………...06
Mục
Lục
Hình
…………………………………………………………………………………………..…………………
09
Tài Liệu Tham Khảo …………………………………………………………………………….
…………………....12
Tổng
Quan
Đề
Tài
……………………………………………………………………………………………..……….14

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 6



TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

MỤC LỤC HÌNH
Hình 1-1.2: Chức năng của Firewall..............................................................................................................20
Hình 2-1.3 : Nguyên lí hoạt động của Firewall.............................................................................................21
Hình 3-3.1.1: Checkpoint...............................................................................................................................26
Hình 4-3.1.1: Eventia Analyzer......................................................................................................................26
Hình 5-3.1.1: Eventia Report.........................................................................................................................27
Hình 6-3.1.1: SmartCenter.............................................................................................................................27
Hình 7-3.1.1: SmartPortal..............................................................................................................................28
Hình 8-3.1.2: Cisco ASA................................................................................................................................28
Hình 9-3.2.2: pfSense.....................................................................................................................................32
Hình 10-3.2.3: Iptables...................................................................................................................................33
Hình 11-3.2.4: Kerio WinRoute Firewall.......................................................................................................34
Hình 12-7: Mô hình chung.............................................................................................................................37
Hình 13-7: Mô hình kết nối VPN đơn...........................................................................................................37
Hình 14-2.7: Mô hình site to site...................................................................................................................38
Hình 15-3.1.2: Các phiên bản của MS Forefront TMG 2010.......................................................................42
Hình 16-3.2.1.1.1: VoIP traversal...................................................................................................................42
Hình 17-3.2.1.2.2: HTTPs Traffic Inspection................................................................................................44
Hình 18-3.2.1.3:E-Mail Policy.......................................................................................................................45
Hình 19-3.2.1.3.2: Cấu hình Spam Filtering.................................................................................................45
Hình 20-3.2.1.3.3: Cấu hình Virus and Content Filtering.............................................................................46
Hình 21-3.2.1.4: Kiến trúc của NIS...............................................................................................................46
Hình 22-3.2.1.5.1: Quy trình xử lý giao thức L2TP......................................................................................48
Hình 23-3.2.1.5.2: Quy trình xử lý giao thức PPTP......................................................................................49
Hình 24-3.2.2: So sánh với ISA 2006............................................................................................................52
Hình 25-3.2.3: Getting Started Wizard của Forefront TMG.........................................................................53
Hình 26-3.2.3: Edge Firewall.........................................................................................................................54

Hình 27-3.2.3: 3-Leg Perimeter.....................................................................................................................55
Hình 28-3.2.3: Backfirewall...........................................................................................................................56
Hình 29-3.2.3: Single Network Adapter........................................................................................................57
Hình 30-3.3.1: Các tùy chọn dịng lệnh của ADAM Sites............................................................................58
Hình 31-3.3.2: Cơng cụ Auto Discovery Configuration...............................................................................58
Hình 32-3.3.3: Công cụ Cache Directory......................................................................................................59
Hình 33-3.3.4: Công cụ Cert Tool..................................................................................................................60
Hình 34-3.3.5: Công cụ DNS Cache..............................................................................................................60
Hình 35-3.3.6: Công cụ EE Single Server Conversion.................................................................................61
Hình 36-3.3.7: Cú pháp của công cụ MSDEtoText.......................................................................................62

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 7


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 37-3.3.7: Export file bản ghi Firewall...................................................................................................62
Hình 38-3.3.8: Công cụ RAQ........................................................................................................................63
Hình 39-3.3.9: Công cụ RSA Test Authentication.........................................................................................64
Hình 40-3.3.9: Tài liệu hỗ trợ của TMG SDK...............................................................................................65
Hình 41- 3.3.9: Kịch bản mẫu TMG SDK để export HTTP Filter................................................................65
Hình 42-3.3.9: Kịch bản mẫu TMG SDK để hiển thị các Active Session....................................................65
Hình 43-3.4.2: Các thành phần của Troubleshooting....................................................................................67
Hình 44-3.4.2: Cấu hình Change Tracking....................................................................................................68
Hình 45-3.4.2: Traffic Simulator....................................................................................................................68
Hình 46-3.4.2: Diagnostic Logging...............................................................................................................69
Hình 47-3.4.2: Remove Network Load Balancing Configuration................................................................69
Hình 48-3.4.2: E-mail Policy Integration Mode............................................................................................70

Hình 49-3.4.2: Connectivity Test...................................................................................................................71
Hình 50-3.4.2: Connectivity Test...................................................................................................................71
Hình 51-3.4.2: Connectivity Test...................................................................................................................72
Hình 52-3.4.2: Connectivity Test...................................................................................................................72
Hình 53-4.1.2: FPE được triển khai theo mô hình nhiều lớp trên Exchange Server....................................73
Hình 54-4.1.2: FPE có thể chặn lọc virus cho Exchange bằng 5 engines cùng lúc......................................74
Hình 55-4.1.2: Forefront Antispam Framework............................................................................................74
Hình 56-4.1.2: Chặn lọc địa chỉ gốc bằng trí tuệ nhân tạo với SenderID Filter...........................................75
Hình 57-4.1.2: Chống spam vào các Distribution Group với Recipient Filtering........................................76
Hình 58-4.1.2: Cơ chế Backscatter và content filtering trong FPE...............................................................77
Hình 59-4.1.4: Forefront Protection for SharePoint......................................................................................79
Hình 60-4.1.5: Forefront Protection Server Management Console.............................................................79
Hình 61-4.1.5- Microsoft Forefront Server Security Management Console................................................80
Hình 62-.5.1: Mô hình mạng tổng thể công ty DMA....................................................................................82
Hình 63 5.1: Mô hình mạng logic tại các trụ sở............................................................................................83
Hình 64-6.1.1: Mô hình triển khai thực tế.....................................................................................................90
Hình 65-6.1.2: Mô hình triển khai hệ thống Firewall....................................................................................91
Hình 66-6.1.3: Mô hình Internal Network.....................................................................................................92
Hình 67-6.1.4: Mô hình Perimeter Network..................................................................................................92
Hình 68-6.2.1: System....................................................................................................................................93
Hình 69-6.2.2: Server Manager......................................................................................................................93
Hình 70-6.2.2: Add role..................................................................................................................................94
Hình 71-6.2.2: Giao diện Begin.....................................................................................................................94
Hình 72-6.2.2: Server role..............................................................................................................................95
Hình 73-6.2.2: Server role..............................................................................................................................95
Hình 74-6.2.2: Server role..............................................................................................................................96
Hình 75-6.2.2: ADLDS..................................................................................................................................96

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP


Trang 8


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 76-6.2.2: Network Policy and Access Services....................................................................................97
Hình 77-6.2.2: Role Services.........................................................................................................................97
Hình 78-6.2.2: Confirmation..........................................................................................................................98
Hình 79-6.2.2: Progress..................................................................................................................................98
Hình 80-6.2.2: Results....................................................................................................................................99
Hình 81-6.3.1: Update....................................................................................................................................99
Hình 82-6.3.1: Update..................................................................................................................................100
Hình 83--6.3.1: Update.................................................................................................................................100
Hình 84-6.3.1: Update..................................................................................................................................101
Hình 85-6.3.1: Update..................................................................................................................................101
Hình 86-6.3.1: Preparation...........................................................................................................................102
Hình 87-6.3.1: Preparation...........................................................................................................................102
Hình 88-6.3.1: Preparation...........................................................................................................................103
Hình 89-6.3.1: Preparation...........................................................................................................................104
Hình 90-6.3.1: Preparation...........................................................................................................................105
Hình 91-6.3.3: Installation...........................................................................................................................105
Hình 92-6.3.3: Installation...........................................................................................................................106
Hình 93-6.3.3: Installation...........................................................................................................................106
Hình 94-6.3.3: Installation...........................................................................................................................107
Hình 95-6.3.3: Installation...........................................................................................................................107
Hình 96-6.3.3: Installation...........................................................................................................................108
Hình 97-6.3.3: Installation...........................................................................................................................108
Hình 98-6.3.3: Installation...........................................................................................................................109
Hình 99-6.3.3: Installation...........................................................................................................................109
Hình 100-6.3.3: Installation..........................................................................................................................110

Hình 101-6.3.3: Installation..........................................................................................................................110
Hình 102-6.3.3: Installation..........................................................................................................................111
Hình 103-6.3.3: Installation..........................................................................................................................111
Hình 104-6.4.1: Cài đặt EMS Server...........................................................................................................112
Hình 105-6.4.1: Cài đặt EMS Server...........................................................................................................112
Hình 106-6.4.1: Cài đặt EMS Server...........................................................................................................113
Hình 107-6.4.1: Cài đặt EMS Server...........................................................................................................113
Hình 108-6.4.1: Cài đặt EMS Server...........................................................................................................114
Hình 109-6.4.1: Cài đặt EMS Server...........................................................................................................114
Hình 110-6.4.1: Cài đặt EMS Server...........................................................................................................115
Hình 111-6.4.1: Cài đặt EMS Server...........................................................................................................115
Hình 112-6.4.1: Cài đặt EMS Server...........................................................................................................116
Hình 113-6.4.1: Cài đặt EMS Server...........................................................................................................117
Hình 114-6.4.2: Tạo Array...........................................................................................................................118

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 9


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 115-6.4.2: Tạo Array...........................................................................................................................118
Hình 116-6.4.2: Tạo Array...........................................................................................................................119
Hình 117-6.4.2: Tạo Array...........................................................................................................................119
Hình 118-6.4.2: Tạo Array...........................................................................................................................120
Hình 119-6.4.2: Tạo Array...........................................................................................................................120
Hình 120-6.4.2: Tạo Array...........................................................................................................................121
Hình 121-6.4.3: Join Array...........................................................................................................................121
Hình 122-6.4.3: Join Array...........................................................................................................................122

Hình 123-6.4.3: Join Array...........................................................................................................................122
Hình 124-6.4.3: Join Array...........................................................................................................................123
Hình 125-6.4.3: Join Array...........................................................................................................................123
Hình 126-6.4.3: Join Array...........................................................................................................................124
Hình 127-6.4.3: Join Array...........................................................................................................................124
Hình 128-6.4.4: Cấu hình Network loadbalencing......................................................................................125
Hình 129-6.4.4: Cấu hình Network loadbalencing......................................................................................125
Hình 130-6.4.4: Cấu hình Network loadbalencing......................................................................................126
Hình 131-6.4.4: Cấu hình Network loadbalencing......................................................................................126
Hình 132-6.4.4: Cấu hình Network loadbalencing......................................................................................127
Hình 133-6.4.4: Cấu hình Network loadbalencing......................................................................................127
Hình 134-6.5.1: Cấu hình Network Setting.................................................................................................128
Hình 135-6.5.1: Cấu hình Network Setting.................................................................................................129
Hình 136-6.5.1: Cấu hình Network Setting.................................................................................................129
Hình 137-6.5.1: Cấu hình Network Setting.................................................................................................130
Hình 138-6.5.1: Cấu hình Network Setting.................................................................................................131
Hình 139-6.5.1: Cấu hình Network Setting.................................................................................................132
Hình 140-6.5.1: Cấu hình Network Setting.................................................................................................132
Hình 141-6.5.1: Cấu hình Network Setting.................................................................................................133
Hình 142-6.5.1: Cấu hình Network Setting.................................................................................................133
Hình 143-6.5.1: Cấu hình Network Setting................................................................................................134
Hình 144-6.5.1: Cấu hình Network Setting.................................................................................................134
Hình 145-6.5.1: Cấu hình Network Setting.................................................................................................135
Hình 146-6.5.1: Cấu hình Network Setting.................................................................................................135
Hình 147-6.5.1: Cấu hình Network Setting.................................................................................................136
Hình 148-6.5.1: Cấu hình Network Setting.................................................................................................136
Hình 149-6.5.1: Cấu hình Network Setting.................................................................................................137
Hình 150-6.5.1: Cấu hình Network Setting.................................................................................................138
Hình 151-6.5.2: Tạo các Access Rule..........................................................................................................138
Hình 152-6.5.2: Tạo các Access Rule..........................................................................................................139

Hình 153-6.5.2: Tạo các Access Rule..........................................................................................................139

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 10


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 154-6.5.2: Tạo các Access Rule..........................................................................................................140
Hình 155-6.5.2: Tạo các Access Rule..........................................................................................................141
Hình 156-6.5.2: Tạo các Access Rule..........................................................................................................141
Hình 157-6.5.2: Tạo các Access Rule..........................................................................................................142
Hình 158-6.5.2: Tạo các Access Rule..........................................................................................................143
Hình 159-6.5.2: Tạo các Access Rule..........................................................................................................144
Hình 160-6.5.2: Tạo các Access Rule..........................................................................................................144
Hình 161-6.5.2: Tạo các Access Rule..........................................................................................................145
Hình 162-6.5.2: Tạo các Access Rule..........................................................................................................145
Hình 163-6.5.2: Tạo các Access Rule..........................................................................................................145
Hình 164-6.5.2: Tạo các Access Rule..........................................................................................................146
Hình 165-6.5.2: Tạo các Access Rule..........................................................................................................146
Hình 166-6.5.2: Tạo các Access Rule..........................................................................................................147
Hình 167-6.5.2: Tạo các Access Rule..........................................................................................................147
Hình 168-6.5.2: Tạo các Access Rule..........................................................................................................148
Hình 169-6.5.2: Tạo các Access Rule..........................................................................................................148
Hình 170-6.5.2: Tạo các Access Rule..........................................................................................................149
Hình 171-6.5.2: Tạo các Access Rule..........................................................................................................149
Hình 172-6.5.2: Tạo các Access Rule..........................................................................................................150
Hình 173-6.5.2: Tạo các Access Rule..........................................................................................................150
Hình 174-6.5.2: Tạo các Access Rule..........................................................................................................151

Hình 175-6.5.2: Tạo các Access Rule..........................................................................................................152
Hình 176-6.5.2: Tạo các Access Rule..........................................................................................................152
Hình 177-6.5.2: Tạo các Access Rule..........................................................................................................153
Hình 178-6.5.3: Cấu hình Webfiltering.......................................................................................................154
Hình 179-6.5.3: Cấu hình Webfiltering.......................................................................................................155
Hình 180-6.5.3: Cấu hình Webfiltering.......................................................................................................156
Hình 181-6.5.3: Cấu hình Webfiltering.......................................................................................................156
Hình 182-6.5.3: Cấu hình Webfiltering.......................................................................................................157
Hình 183-6.5.3: Cấu hình Webfiltering.......................................................................................................158
Hình 184-6.5.4: Cấu hình Malware - HTTPs Inspection............................................................................158
Hình 185-6.5.4: Cấu hình Malware - HTTPs Inspection............................................................................159
Hình 186-6.5.4: Cấu hình Malware - HTTPs Inspection............................................................................159
Hình 187-6.5.4: Cấu hình Malware - HTTPs Inspection............................................................................160
Hình 188-6.5.4: Cấu hình Malware - HTTPs Inspection............................................................................160
Hình 189-6.5.5: Cấu hình Webcaching........................................................................................................161
Hình 190-6.5.5: Cấu hình Webcaching........................................................................................................161
Hình 191-6.5.5: Cấu hình Webcaching........................................................................................................162
Hình 192-6.5.5: Cấu hình Webcaching........................................................................................................162

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 11


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 193-6.5.5: Cấu hình Webcaching........................................................................................................163
Hình 194-6.5.5: Cấu hình Webcaching........................................................................................................163
Hình 195-6.5.5: Cấu hình Webcaching........................................................................................................164
Hình 196-6.5.5: Cấu hình Webcaching........................................................................................................164

Hình 197-6.5.5: Cấu hình Webcaching........................................................................................................165
Hình 198-6.5.5: Cấu hình Webcaching........................................................................................................165
Hình 199-6.5.5: Cấu hình Webcaching........................................................................................................166
Hình 200-6.5.5: Cấu hình Webcaching........................................................................................................166
Hình 201-6.5.5: Cấu hình Webcaching........................................................................................................166
Hình 202-6.5.5: Cấu hình Webcaching........................................................................................................167
Hình 203-6.5.5: Cấu hình Webcaching........................................................................................................167
Hình 204-6.5.6: Publish Mail Exchange 2010.............................................................................................168
Hình 205-6.5.6: Publish Mail Exchange 2010.............................................................................................168
Hình 206-6.5.6: Publish Mail Exchange 2010.............................................................................................169
Hình 207-6.5.6: Publish Mail Exchange 2010.............................................................................................169
Hình 208-6.5.6: Publish Mail Exchange 2010.............................................................................................170
Hình 209-6.5.6: Publish Mail Exchange 2010.............................................................................................170
Hình 210 -6.5.7: Publish Outlook Web Access...........................................................................................171
Hình 211 -6.5.7: Publish Outlook Web Access............................................................................................171
Hình 212 -6.5.7: Publish Outlook Web Access...........................................................................................172
Hình 213 -6.5.7: Publish Outlook Web Access...........................................................................................172
Hình 214 -6.5.7: Publish Outlook Web Access...........................................................................................173
Hình 215 -6.5.7: Publish Outlook Web Access...........................................................................................173
Hình 216 -6.5.7: Publish Outlook Web Access...........................................................................................174
Hình 217 -6.5.7: Publish Outlook Web Access...........................................................................................174
Hình 218 -6.5.7: Publish Outlook Web Access...........................................................................................175
Hình 219 -6.5.7: Publish Outlook Web Access...........................................................................................175
Hình 220 -6.5.7: Publish Outlook Web Access...........................................................................................176
Hình 221 -6.5.7: Publish Outlook Web Access...........................................................................................176
Hình 222 -6.5.7: Publish Outlook Web Access...........................................................................................177
Hình 223 -6.5.7: Publish Outlook Web Access...........................................................................................177
Hình 224 -6.5.7: Publish Outlook Web Access...........................................................................................178
Hình 225 -6.5.7: Publish Outlook Web Access...........................................................................................178
Hình 226 -6.5.7: Publish Outlook Web Access...........................................................................................179

Hình 227-6.5.8: Configure Email Policy.....................................................................................................179
Hình 228-6.5.8: Configure Email Policy.....................................................................................................180
Hình 229-6.5.8: Configure Email Policy.....................................................................................................180
Hình 230-6.5.8: Configure Email Policy.....................................................................................................181
Hình 231-6.5.8: Configure Email Policy.....................................................................................................181

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 12


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 232-6.5.8: Configure Email Policy.....................................................................................................182
Hình 233-6.5.8: Configure Email Policy.....................................................................................................182
Hình 234-6.5.8: Configure Email Policy.....................................................................................................183
Hình 235-6.5.8: Configure Email Policy.....................................................................................................183
Hình 236-6.5.8: Configure Email Policy.....................................................................................................184
Hình 237-6.5.9: Publish Web.......................................................................................................................184
Hình 238-6.5.9: Publish Web.......................................................................................................................185
Hình 239-6.5.9: Publish Web.......................................................................................................................185
Hình 240-6.5.9: Publish Web.......................................................................................................................186
Hình 241-6.5.9: Publish Web.......................................................................................................................186
Hình 242-6.5.9: Publish Web.......................................................................................................................187
Hình 243-6.5.9: Publish Web.......................................................................................................................187
Hình 244-6.5.9: Publish Web.......................................................................................................................188
Hình 245-6.5.9: Publish Web.......................................................................................................................188
Hình 246-6.5.9: Publish Web.......................................................................................................................189
Hình 247-6.5.9: Publish Web.......................................................................................................................189
Hình 248-6.5.9: Publish Web.......................................................................................................................190

Hình 249-6.5.9: Publish Web.......................................................................................................................190
Hình 250-6.5.9: Publish Web.......................................................................................................................191
Hình 251-6.5.10.1: VPN client to site..........................................................................................................191
Hình 252-6.5.10.1: VPN client to site..........................................................................................................192
Hình 253-6.5.10.1: VPN client to site..........................................................................................................193
Hình 254-6.5.10.1: VPN client to site..........................................................................................................193
Hình 255-6.5.10.1: VPN client to site..........................................................................................................194
Hình 256-6.5.10.1: VPN client to site..........................................................................................................194
Hình 257-6.5.10.1: VPN client to site..........................................................................................................195
Hình 258-6.5.10.1: VPN client to site..........................................................................................................195
Hình 259-6.5.10.1: VPN client to site..........................................................................................................196
Hình 260-6.5.10.1: VPN client to site..........................................................................................................196
Hình 261-6.5.10.1: VPN client to site..........................................................................................................197
Hình 262-6.5.10.1: VPN client to site..........................................................................................................197
Hình 263-6.5.10.1: VPN client to site..........................................................................................................198
Hình 264-6.5.10.1: VPN client to site..........................................................................................................198
Hình 265-6.5.10.1: VPN client to site..........................................................................................................199
Hình 266-6.5.10.1: VPN client to site..........................................................................................................199
Hình 267-6.5.10.1: VPN client to site..........................................................................................................200
Hình 268-6.5.10.1: VPN client to site..........................................................................................................200
Hình 269-6.5.10.1: VPN client to site..........................................................................................................201
Hình 270-6.5.10.1: VPN client to site..........................................................................................................201

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 13


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE


Hình 271-6.5.10.1: VPN client to site..........................................................................................................202
Hình 272-6.5.10.1: VPN client to site..........................................................................................................202
Hình 273-6.5.10.1: VPN client to site..........................................................................................................203
Hình 274-6.5.10.1: VPN client to site..........................................................................................................203
Hình 275-6.5.10.1: VPN client to site..........................................................................................................204
Hình 276-6.5.10.1: VPN client to site..........................................................................................................204
Hình 277-6.5.10.1: VPN client to site..........................................................................................................205
Hình 278-6.5.10.1: VPN client to site..........................................................................................................205
Hình 279-6.5.10.1: VPN client to site..........................................................................................................206
Hình 280-6.5.10.1: VPN client to site..........................................................................................................206
Hình 281-6.5.10.2: VPN site to site.............................................................................................................207
Hình 282-6.5.10.2: VPN site to site.............................................................................................................207
Hình 283-6.5.10.2: VPN site to site.............................................................................................................208
Hình 284-6.5.10.2: VPN site to site.............................................................................................................208
Hình 285-6.5.10.2: VPN site to site.............................................................................................................209
Hình 286-6.5.10.2: VPN site to site.............................................................................................................209
Hình 287-6.5.10.2: VPN site to site.............................................................................................................210
Hình 288-6.5.10.2: VPN site to site.............................................................................................................210
Hình 289-6.5.10.2: VPN site to site.............................................................................................................211
Hình 290-6.5.10.2: VPN site to site.............................................................................................................211
Hình 291-6.5.10.2: VPN site to site.............................................................................................................212
Hình 292-6.5.10.2: VPN site to site.............................................................................................................212
Hình 293-6.5.12: Intrusion Detection..........................................................................................................215
Hình 294-6.5.12: Intrusion Detection..........................................................................................................215
Hình 295-6.5.12: Intrusion Detection..........................................................................................................216
Hình 296-6.5.12: Intrusion Detection..........................................................................................................216
Hình 297-6.5.12: Intrusion Detection..........................................................................................................217
Hình 298-6.5.13.1: Backup..........................................................................................................................217
Hình 299-6.5.13.1: Backup..........................................................................................................................218
Hình 300-6.5.13.1: Backup..........................................................................................................................218

Hình 301-6.5.13.1: Backup..........................................................................................................................219
Hình 302-6.5.13.1: Backup..........................................................................................................................219
Hình 303-6.5.13.1: Backup..........................................................................................................................220
Hình 304-6.5.13.2: Restore..........................................................................................................................220
Hình 305-6.5.13.2: Restore..........................................................................................................................221
Hình 306-6.5.13.2: Restore..........................................................................................................................221
Hình 307-6.5.13.2: Restore..........................................................................................................................222
Hình 308-6.5.13.2: Restore..........................................................................................................................222
Hình 309-6.5.13.2: Restore..........................................................................................................................223

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 14


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Hình 310-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................223
Hình 311-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................224
Hình 312-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................224
Hình 313-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................225
Hình 314-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................225
Hình 315-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................226
Hình 316-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................227
Hình 317-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................227
Hình 318-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................228
Hình 319-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................228
Hình 320-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................229
Hình 321-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................229
Hình 322-7.1: Cài đặt MS Forefront Protection for Exchange...................................................................230

Hình 323-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................232
Hình 324-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................232
Hình 325-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................233
Hình 326-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................233
Hình 327-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................234
Hình 328-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................234
Hình 329-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................235
Hình 330-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................236
Hình 331-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................236
Hình 332-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................237
Hình 333-7.3: Cài đặt MS Forefront Protection Sharepoint.......................................................................237

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 15


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

TÀI LIỆU THAM KHẢO
- Đề tài tốt nghiệp sủ dụng tài liệu tham khảo từ các Website:






/>
- Các phần mềm sử dụng trong quá trình thực hiện đề tài
 Windows Server 2008 R2 SP1

 Windows Server 2003 R2
 Windows XP Professional
 Windows 7
 Vmware Workstation 7.0
 Microsoft Visio 2007
 Edraw Network Diagram 5.1
 BB FlashBack Pro 3.0
 Microsoft Word 2010

CÁC THUẬT NGỮ SỬ DỤNG TRONG ĐỀ TÀI
 Giao thức TCP (Transmission Control Protocol( "Giao thức điều khiển
truyền vận"): là một trong các giao thức cốt lõi của bộ giao thức TCP/IP. Sử
dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các "kết
nối" với nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao
thức này đảm bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và
đúng thứ tự. TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn,
dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy
chủ.TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các
ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell.
 DNS (Domain Name System):, là Hệ thống tên miền cho Internet, chỉ một
hệ thống cho phép (thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống
tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ,
hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa
dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là,
nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân),
liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa
các thiết bị khắp thế giới.
 SMTP ( Simple Mail Transfer Protocol - giao thức truyền tải thư tín đơn giản)
là một chuẩn truyền tải thư điện tử qua mạng Internet
 UDP (User Datagram Protocol) là một trong những giao thức cốt lõi của

giao thức TCP/IP. Dùng UDP, chương trình trên mạng máy tính có thể gởi
những dữ liệu ngắn được gọi là datagram tới máy khác. UDP không cung cấp
sự tin cậy và thứ tự truyền nhận mà TCP làm; các gói dữ liệu có thể đến
khơng đúng thứ tự hoặc bị mất mà khơng có thơng báo. Tuy nhiên UDP nhanh
và hiệu quả hơn đối với các mục tiêu như kích thước nhỏ và yêu cầu khắt khe
về thời gian. Do bản chất khơng trạng thái của nó nên nó hữu dụng đối với
việc trả lời các truy vấn nhỏ với số lượng lớn người yêu cầu.

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 16


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

 Giao thức ICMP (Internetwork Control Message Protocol) cho phép việc thử
nghiệm và khắc phục các sự cố của giao thức TCP/IP. ICMP định nghĩa các các
thông điệp được dùng để xác định khi nào một hệ thống mạng có thể phân
phối các gói tin
 FTP (File Transfer Protocol)được sử dụng để chuyển các tập tin giữa các máy
tính trên mạng. có thể sử dụng FTP để trao đổi các tập tin giữa các tài khoản
máy tính, cuyển các tập tin giữa một tài khoản và máy tính để bàn, hoặc
phần mềm truy cập lưu trữ trực tuyến.
 IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một
dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính
là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với
nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích.
 VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết
nối các máy tính của các cơng ty, tập đoàn hay các tổ chức với nhau thông
qua mạng Internet công cộng.

 HTTP là chữ viết tắt từ HyperText Transfer Protocol (giao thức truyền tải siêu
văn bản). Nó là giao thức cơ bản mà World Wide Web sử dụng. HTTP xác định
cách các thông điệp (các file văn bản, hình ảnh đồ hoạ, âm thanh, video, và
các file multimedia khác) được định dạng và truyền tải ra sao, và những hành
động nào mà các Web server (máy chủ Web) và các trình duyệt Web
(browser) phải làm để đáp ứng các lệnh rất đa dạng
 Mơ hình OSI (Open Systems Interconnection Reference Model, viết ngắn là
OSI Model hoặc OSI Reference Model) - Mơ hình tham chiếu kết nối các hệ
thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu
tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức
mạng giữa chúng. Mơ hình này được phát triển thành một phần trong kế
hoạch Kết nối các hệ thống mở (Open Systems Interconnection) do ISO và
IUT-T khởi xướng. Nó cịn được gọi là Mơ hình bảy tầng của OSI
 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật q
trình truyền thơng tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực
và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet)
trong q trình truyền thơng tin. IPsec cũng bao gồm những giao thức cung
cấp cho mã hoá và xác thực.
 SSL(Secure Socket Layer) là một giao thức(protocol) cho phép bạn truyền
đạt thông tin một cách an toàn qua mạng
 IPS (Intrusion Prevention System) : hệ thống ngăn chặn xâm nhập.dùng
để thay cho IDS, nó có một đặc điểm là vừa có khả năng phát hiện vừa tự
động ngăn chặn nếu phát hiện đang bị tấn công.
 IDS (Intrusion Detection System) : hệ thống phát hiện xâm nhập,Là
những thiết bị có khả năng phát hiện ra các cuộc tấn cơng, tuy nhiên để ngăn
chặn thì phải kết hợp với những thiết bị khác như firewall, NAC...
 AD (Active Directory) Là một dịch vụ quản lý thư mục mang tính thứ bậc
được giới thiệu bởi Microsoft cùng với Windows 2000. Active Directory sử
dụng LDAP (Lightweight Directory Access Protocol) và được xây dựng trên cơ
sở Hệ thống xác định domain theo tên (DNS). Một trong những điểm ưu việt

của Active Directory là nó quản lý hệ thống mạng bằng cách tạo ra tên
domain cho workgroup, trên cơ sở đó cho phép các hệ thống mạng khác
(Unix, Mac) truy cập vào.
 PPTP (Point-to-Point Tunneling Protocol) là một công nghệ mạng hỗ trợ
mạng riêng ảo (VPN), cho phép người dùng từ xa truy cập vào mạng doanh
nghiệp an toàn. VPN tạo ra một đường hầm mã hóa giữa máy tính của bạn và
máy chủ VPN, mà sẽ cho phép bạn lướt trên Internet với an ninh.
 PPP (Point-to-Point Protocol ) là một giao thức liên kết dữ liệu, thường
được dùng để thiết lập một kết nối trực tiếp giữa 2 nút mạng. Nó có thể cung
cấp kết nối xác thực, mã hóa việc truyền dữ liệu...

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 17


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

 PAP (Password Authentication Protocol): là 1 giao thức xác thực của
công nghệ PPP sử dụng bắt tay 2 bước. Đầu tiên router cần kết nối gửi
username và password của nó tới remote router, remote router kiểm tra xem
username và password này đã có trong data của nó chưa, nếu có thì cho kết
nối, nếu khơng thì drop.
 CHAP (Challenge Handshake Authentication Protocol): cũng là giao
thức xác thực của PPP nhưng sử dụng bắt tay 3 bước (threeway hand-shake ).
Đầu tiên router cần kết nối gửi bản tin challenge tới remote router. Remote
router sẽ gửi trả bản tin Response trong đó có chứa username của nó và
password chung của 2 router và bước cuối cùng cũng là kiểm tra thông tin
như PAP.
 SSTP (Secure Socket Tunneling Protocol): là một dạng của kết nối VPN

trong Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP
đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là
một giao thức rất an toàn vì các thơng tin quan trọng của người dùng khơng
được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN
gateway. SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó
cũng có nghĩa là bạn có thể sử dụng các cơ chế.
 SSL(Secure Socket Layer): là một giao thức(protocol) cho phép bạn truyền
đạt thông tin một cách an toàn qua mạng.
 HTTPS( Secure HTTP):, là một sự kết hợp giữa giao thức HTTP và giao thức
bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên
Internet. Các kết nối HTTPS thường được sử dụng cho các giao dịch thanh
toán trên World Wide Web và cho các giao dịch nhạy cảm trong các hệ thống
thông tin công ty. HTTPS được sử dụng trong nhiều tình huống, chẳng hạn
như các trang đăng nhập cho ngân hàng, các hình thức, ích đăng nhập cơng
ty, và các ứng dụng khác.
 TMG : Theat Management Gateway

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 18


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

TỔNG QUAN ĐỀ TÀI
MỤC ĐÍCH ĐỀ TÀI
Tìm hiểu và ứng dụng các cơng nghệ, kĩ thuật bảo mật mạng với
MS Forefront TMG 2010.
Triển khai thực tế hệ thống mạng cho doanh nghiệp đảm bảo an
ninh hệ thống mạng.


TÌNH HUỐNG ĐỀ TÀI
Cơng ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer
Technology có một trụ sở tại Q.1, Tp.HCM và một trụ sở khác ở
HN với tên miền dma.vn chuyên:
o Kinh doanh các mặt hàng thiết bị điện tử máy tính
o Cung cấp các thiết bị may tính cho doanh nghiệp, trường
học.
o Tư vấn hỗ trợ khách hàng qua mạng.
Công ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer
Technology đã có sẳn hạ tầng hệ thống thơng tin. Với nhu cầu
phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả
trong kinh doanh.

NHU CẦU CỦA CÔNG TY
Tăng cường bảo mật toàn diện cho hệ thống mạng doanh
nghiệp.
Hỗ trợ người dùng làm việc hiệu quả .
Hỗ trợ kết nối an toàn giữa các site với VPN thơng qua mơi
trường Internet .
Quản lí theo dõi traffic ra vào hệ thống.
Thiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm nhập
trái phép vào hệ thống mạng .
Lọc và ngăn chặn Spam và Virus cho hệ thống Email.
Lọc và ngăn chặn Virus, Malware xâm nhập vào hệ thống mạng .

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 19



TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

I. TỔNG QUAN VỀ FIREWALL
1. Giới thiệu tổng quan về hệ thống Firewall
1.1. Firewall là gì ?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái
phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế
(mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng
không tin tưởng (Untrusted network).
1.2. Chức năng của Firewall
Chức năng chính của Firewall là kiểm sốt luồng thông tin giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng bên trong
(Intranet) và bên ngoài (Internet). Cụ thể là: Cho phép hoặc cấm những dịch
vụ truy nhập ra ngoài (từ Intranet ra Internet),cho phép hoặc cấm những dịch
vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu
mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy
nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm
sốt nội dung thơng tin, thơng tin lưu chuyển trên mạng.

Hình 1-1.2: Chức năng của Firewall

1.3. Ngun lí hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thơng qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên
các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data

pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập
lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các
packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn
một trong số các luật lệ của lọc packet hay không.Các luật lệ lọc packet này

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 20


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền
các packet đó ở trên mạng.
Bao gồm:
- Địa chỉ IP nơi xuất phát (Source) .
- Địa chỉ IP nơi nhận ( Destination).
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) .
- Cổng TCP/UDP nơi xuất phát .
- Cổng TCP/UDP nơi nhận .
- Dạng thông báo ICMP
- Giao diện packet đến .
- Giao diện packet đi .
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì
packet đó được chuyển qua, nếu khơng thỏa thì sẽ bị loại bỏ.Việc kiểm soát
các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất
định được phép mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do
việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm sốt

được nội dụng thơng tin của packet. Các packet chuyển qua vẫn có thể mang
theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường
lửa.

Hình 2-1.3 : Nguyên lí hoạt động của Firewall

1.4. Hạn chế khi dùng Firewall
Firewall khơng đủ thơng minh như con người để có thể đọc hiểu từng loại
thơng tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn
chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải
xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn
công nếu cuộc tấn cơng này khơng “đi qua” nó. Một cách cụ thể, firewall

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 21


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

không thể chống lại một cuộc tấn cơng từ một đường dial-up, hoặc sự dị rỉ
thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây. Một
ví dụ là các virus máy tính. Firewall khơng thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục
của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả
năng kiểm sốt của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
2. Các dạng Firewall
2.1. Bộ định tuyến kiểm tra

Bất cứ thiết bị nào điều khiển luồng dữ liệu trên mạng vì lý do an toàn
đều được gọi là firewall. Có nhiều người, nhiều tài liệu vì những lý do khác
nhau mà phân chia firewall ra thành nhiều loại khác nhau. Từ sự tìm hiểu các
tài liệu đó, ở đây xin chia firewall làm ba loại dùng các chiến lược khác nhau
để bảo vệ tài nguyên trên mạng.
Thiết bị firewall cơ bản nhất được xây dựng trên các bộ định tuyến và
làm việc ở các tầng thấp hơn trong ngăn xếp giao thức mạng.Chúng lọc các
gói dữ liệu và thường được gọi là bộ định tuyến kiểm tra (screening
router).Các cổng proxy server ở đầu cuối trên (high-end) vận hành ở mức cao
hơn trong ngăn xếp giao thức. Firewall loại ba dùng kỹ thuật giám sát trạng
thái.
Các bộ định tuyến thường được dùng cùng với các gateway để tạo nên
hệ thống phòng thủ nhiều tầng. Riêng với các sản phẩm firewall thương mại
có thể cung cấp tất cả các chức năng tùy theo nhu cầu.
Một gói là một chuỗi số cơ bản truyền đạt các thứ sau:
• Dữ liệu, kiến thức, yêu cầu hoặc dòng lệnh từ hệ thống bắt đầu
• Địa chỉ IP và cổng của nguồn
• Địa chỉ IP và cổng của đích
• Thơng tin về giao thức (tập các luật) điều khiển gói
• Thơng tin kiểm tra lỗi
• Có vài sự sắp xếp thơng tin về kiểu và tình trạng của dữ liệu
đang được gửi
Trong packet filtering, chỉ protocol và thông tin địa chỉ của mỗi gói được
kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ
qua.
Filtering chứa các gói vào ra và cho phép hoặc khơng cho phép việc lưu
thông của chúng hoặc chấp nhận dựa trên một tập luật nào đó, được gọi là
chính sách (policies).
Các chính sách lọc gói có thể căn cứ trên các điều sau:
• Cho phép hoặc khơng cho phép gói dựa vào địa chỉ IP nguồn

• Cho phép hoặc khơng cho phép gói dựa vào cổng đích
• Cho phép hoặc khơng cho phép gói dựa theo giao thức.
Bộ định tuyến kiểm tra nhìn vào thơng tin liên quan đến địa chỉ cứng
(hardwired) của máy tính, địa chỉ IP của nó (lớp mạng) và loại kết nối (lớp
transport), và sau đó lọc các gói dữ liệu dựa trên những thơng tin này. Bộ
định tuyến kiểm tra có thể là thiết bị định tuyến độc lập hoặc máy tính gắn

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 22


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

hai card mạng.Bộ định tuyến nối giữa hai mạng và thực hiện lọc gói dữ liệu
để điều khiển luồng lưu thông giữa các mạng.Người quản trị lập trình cho
thiết bị với các luật xác định cách lọc gói dữ liệu.
Ví dụ: Bạn có thể thường xuyên ngăn các gói của một dịch vụ nào
đó như FTP (File Transfer Protocol) hay HTTP (HyperText Transfer
Protocol). Tuy vậy, các luật bạn xác định cho bộ định tuyến có thể
không đủ để bảo vệ tài nguyên trên mạng.Những luật này có thể
rất khó cài đặt và dễ có lỗi, tạo nên những lỗ hỏng trong hệ thống
phòng thủ.Đây là kiểu cơ bản nhất của firewall.
Ưu điểm:
• Tương đối đơn giản và tính dễ thực thi.
• Nhanh và dễ sử dụng
• Chi phí thấp và ít ảnh hưởng đến performance của mạng.
• Rất hiệu quả trong việc đóng khối các kiểu riêng biệt của lưu lượng,
và đơi khi nó là một phần của hệ thống firewall tổng quan.
Ví dụ:Telnet có thể dễ dàng được đóng khối bằng cách áp dụng một

filter để đóng khối TCP cổng 23 (telnet).
Nhược điểm:
• Thơng tin địa chỉ trong một gói có thể bị xuyên tạc hoặc bị đánh lừa
bởi người gửi .
• Dữ liệu hoặc các yêu cầu chứa trong một gói cho phép có thể có điều
khơng mong muốn xảy ra, một hacker khai thác một chỗ sai sót trong một
chương trình Web server hoặc sử dụng một mật mã bất chính để thu được
quyền điều khiển hoặc truy cập.
• Packet Filter khơng thể thực hiện việc xác thực người dùng.
2.2. Proxy server gateway
Gateway là các thiết bị mức ứng dụng, cung cấp nhiều cơ hội hơn để
theo dõi và điều khiển truy cập mạng. Một fireware gateway hoạt động như
người trung gian, chuyển tiếp các thông điệp giữa khách/dịch vụ nội và
ngoại.
Dịch vụ ủy thác (proxy service) có thể “biểu diễn” người dùng nội trên
internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang
địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống nội và bảo
đảm rằng những người dùng nội không kết nối trực tiếp với hệ thống bên
ngoài.Proxy server có thể đánh giá và lọc tất cả các gói dữ liệu đến hoặc
ngăn các gói dữ liệu đi ra.
Một số proxy server được thiết kế để cho phép chỉ những người dùng
nội truy cập internet và không cho phép bất cứ người dùng ngoại nào trong
mạng.Vì mọi yêu cầu đến internet server đều tạo ra phản hồi, proxy server
phải cho phép luồng giao thơng quay về, nhưng nó thực hiện điều này bằng
cách chỉ cho phép luồng lưu thơng là một phản hồi nào đó của người dùng
nội. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả
hai chiều.
Proxy server cịn có thể cung cấp dịch vụ cache cho người dùng nội.Nó
lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn.Khi
người dùng truy cập đến những nơi này, thông tin được lấy từ vùng cache đã

lưu trữ trước đó.
Có hai loại proxy server: mức bản mạch và mức ứng dụng :
-Gateway mức mạng
Còn được gọi là “Circuit Level Gateway”, đây là hướng tiếp
cận firewall thông qua kết nối trước khi cho phép dữ liệu được trao

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 23


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

đổi.
Circuit Level Gateway (CLG) hoạt động ở lớp session của
mơ hình OSI, hoặc lớp TCP của mơ hình TCP/IP. Chúng giám sát
việc bắt tay TCP (TCP handshaking) giữa các gói để xác định rằng
một phiên u cầu là phù hợp. Thơng tin tới máy tính từ xa thơng
qua một CLG, làm cho máy tính ở xa đó nghĩ là thơng tin đến từ
gateway. Điều này che dấu được thông tin về mạng được bảo
vệ.CLG thường có chi phí thấp và che dấu được thơng tin về mạng
mà nó bảo vệ. Ngược lại, chúng khơng lọc các gói.
Firewall khơng chỉ cho phép (allow) hoặc khơng cho phép
(disallow) gói mà cịn xác định kết nối giữa hai đầu cuối có hợp lệ
theo các luật hay khơng, sau đó mở một session (phiên làm việc)
và cho phép luồng lưu thơng và có sự giới hạn thời gian. Một kết
nối được xem là hợp lệ phải dựa vào các yếu tố sau:
• Địa chỉ IP và/hoặc cổng đích
• Địa chỉ IP và/hoặc cổng nguồn
• Thời gian trong ngày (time of day)

• Giao thức (protocol)
• Người dùng (user)
• Mật khẩu (password)
Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát. Tất
cả các luồng lưu lượng đều bị cấm trừ khi một phiên được mở.
Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ
thống nội và ngoại.Có một mạch ảo giữa người dùng nội và proxy
server.Các yêu cầu internet đi qua mạch này đến proxy server, và
proxy server chuyển giao yêu cầu này đến internet sau khi thay
đổi địa chỉ IP.Người dùng ngoại chỉ thấy địa chỉ IP của proxy
server.Các phản hồi được proxy server nhận và gởi đến người
dùng thông qua mạch ảo.Mặc dù luồng lưu thông được phép đi
qua, các hệ thống ngoại không bao giờ thấy được hệ thống
nội.Loại kết nối này thường được dùng để kết nối người dùng nội
“được ủy thác” với internet.
Circuit Level Filtering có ưu điểm nổi trội hơn so với Packet
Filter. Nó khắc phục được sự thiếu sót của giao thức UDP đơn giản
và dể bị tấn công.
Bất lợi của Circuit Level Filtering là hoạt động ở lớp
Transport và cần có sự cải tiến đáng kể của việc cài đặt để cung
cấp các chức năng truyền tải (chẳng hạn như Winsock).
Gateway Mức-Ứng-Dụng (Application Gateway)
Các gateway mức ứng dụng, còn được gọi là các proxy,
tương tự như các gateway mức mạng ngoại trừ việc chỉ định các
ứng dụng.Chúng có thể lọc gói ở lớp ứng dụng của mơ hình
OSI.Các gói vào hoặc ra khơng thể truy cập các dịch vụ mà khơng
có proxy. Một gateway mức ứng dụng được cấu hình như một web
proxy sẽ khơng cho bất kỳ ftp, gopher, telnet hoặc lưu lượng khác
xuyên qua. Bởi vì chúng kiểm tra các gói ở lớp ứng dụng, chúng
có thể lọc các dịng lệnh chỉ định ứng dụng như http:post và get,

etc. Điều này không thể được thực hiện với firewall lọc gói và
firewall mức mạch, cả hai điều khơng biết gì về thơng tin lớp ứng
dụng.Các gateway mức ứng dụng cịn có thể được sử dụng để ghi
lại các hoạt động và các login của user.Chúng đề ra cấp độ bảo
mật cao, và có sự tác động mạnh về performance của mạng.Bởi vì
sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách đột
ngột.Chúng không dễ thực hiện (transparent) ở đầu cuối người
dùng và u cầu sự cấu hình thủ cơng ở mọi máy client.
Một proxy server là cách để tập trung các dịch vụ ứng
ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 24


TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

dụng thông qua một máy đơn lẻ. Nó hoạt động như một trung
gian giữa một client và một server, và được thi hành như một ứng
dụng đang chạy cùng chung với một hệ điều hành đa năng
(general-purpose OS). Một máy đơn lẻ (bastion host) hoạt động
như một proxy server với nhiều giao thức (Telnet, SMTP, FTP,
HTTP,etc.) nhưng cũng có một máy đơn lẻ chỉ hoạt động với mỗi
một dịch vụ. Thay vì kết nối trực tiếp với server bên ngoài, client
kết nối với proxy server, proxy server kết nối với server bên
ngoài.Proxy server mức ứng dụng cung cấp tất cả các chức năng
cơ bản của proxy server, cho phép các cuộc trao đổi dữ liệu với hệ
thống từ xa nhưng hệ thống này không thấy được máy ở bên
trong firewall.Nó cịn phân tích các gói dữ liệu. Khi các gói từ bên
ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định
chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay

không. Proxy server không chỉ đánh giá địa chỉ IP, nó cịn nhìn vào
dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin
trong đó. Với các proxy server, các chính sách an toàn mạnh hơn
và mềm dẻo hơn nhiều vì tất cả thơng tin trong các gói được
người điều hành sử dụng để ghi các luật xác định cách xử lý các
gói. Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server.
Các gateway mức ứng dụng được xem là loại an toàn nhất
của firewall. Chúng có những khả năng tinh vi nhất. Firewall mức
ứng dụng có khuynh hướng cung cấp các report chi tiết và có
khuynh hướng an toàn hơn các firewall mức mạng. Tuy nhiên, việc
cài đặt rất phức tạp, yêu cầu sự quan tâm chi tiết các ứng dụng
riêng lẻ sử dụng gateway.
2.3. Kĩ thuật kiểm tra trạng thái
Một trong các vấn đề với proxy server là nó phải đánh giá một lượng
lớn thông tin trong một lượng lớn các gói dữ liệu.Ngoài ra, phải cài đặt từng
proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi
phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh
với các gói “tin cậy” đã biết, do đó làm tăng hiệu suất.
Ví dụ, khi bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi
thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích.Cách “nhớ”
này được gọi là lưu trạng thái.Khi hệ thống bên ngoài phản hồi yêu cầu của
bạn, firewall so sánh các gói nhận được với trạng thái đã lưu để xác định
chúng được phép vào hay không.
3. Phân loại Firewall
3.1. Firewall cứng
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,
thêm quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport).
- Firewall cứng không thể kiểm tra được nột dung của gói tin.

3.1.1. Checkpoint
CheckPoint là một loại firewall cứng cung cấp một giải pháp toàn diện
cho việc quản lý các thiết bị an toàn bảo mật và cung cấp các tính năng:
cấu hình các chính sách bảo mật, theo dõi các thiết bị, logging, quản lý
các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức độ khác
nhau.

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×