XÂY DỰNG GIẢI PHÁP BẢO MẬT DỰA TRÊN NỀN TẢNG ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010 CHO CÔNG TY CỖ PHẦN THƯƠNG MẠI DỊCH VỤ D.M.A COMPUTER TECHNOLOGY. Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.
Trang 1XÂY DỰNG GIẢI PHÁP BẢO MẬT DỰA TRÊN NỀN TẢNG ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010
CHO CÔNG TY CỖ PHẦN THƯƠNG MẠI DỊCH VỤ
D.M.A COMPUTER TECHNOLOGY
Trang 2LỜI CẢM ƠN
gày nay chúng ta có thể nói rằng công nghệ thông tin là một thành phần không thểthiếu trong sự phát triển của xã hội bởi những tính năng và khả năng ưu việt mà nómang lại tiêu biểu là sự phát triển của mạng diện rộng đã tạo nên cuộc cách mạng mới
về công nghệ trong sự phát triển của xã hội Bên cạnh mặt tích cực đó luôn là sự xuất hiện củatiêu cực, nhiều tin tặc đã lợi dụng sự phát triển của hệ thống mạng mà chống phá sự phát triểncủa các doanh nghiệp và chính phủ Chính vì thế nhiều buổi chuyên đề, hội thảo về mạng – bảomật đã được triển khai nhằm tìm ra những giải pháp tối ưu để bảo vệ cho các hệ thống mạngtrên Trong đề tài này chúng tôi xin giới thiệu một giải pháp bảo mật cho mạng doanh nghiệpdựa trên những kiến thức đã học và những kiến thức tìm hiểu nâng cao Chúng tôi xin đượcđưa ra những giải pháp bảo mật dựa trên nền tảng tường lửa mềm của Microsoft là MicrosoftForefront Threat Managerment Gateway (TMG) 2010 cho công ty Cổ Phần Thương Mại Dịch VụD.M.A Computer Technology
N
Để hoàn thành tốt đề tài này chúng tôi xin chân thành cảm ơn ban lãnh đạo Trường Cao ĐẳngNghề CNTT Ispace cùng tất cả các giảng viên đã tạo điều kiện thuận lợi và nhiệt tình giảng dạycho chúng tôi trong suốt thời gian học vừa qua để chúng tôi có thể học tập tốt và đạt được kếtquả như ngày hôm nay Chúng tôi cũng xin chân thành gửi lời cảm ơn đến thầy Nguyễn SiêuĐẳng đã tận tình hướng dẫn cho chúng tôi về đề tài và đồng thời chúng tôi cũng xin gửi lời cảm
ơn đến các bạn thành viên ở một số webiste và diễn đàn đã cung cấp thêm một số thống tinhữu ích cho chúng tôi thực hiện tốt đề tài này
Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi những sai sót.Nhóm chúng tôi kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để chúng tôicũng cố, bổ sung và hoàn thiện thêm kiến thức cho mình
Trang 3Trân Trọng.
Trang 4LỜI NÓI ĐẦU
hững năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướngphát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành côngnghiệp cũng như nông nghiệp Điều này phải kể đến sự đóng góp tích cực của cácngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học
N
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triểnmới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợicho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuy nhiên đây cũng là thách thức tolớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng.Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mậtđược triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời
ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng đượccung cấp bở hãng Cisco ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạngtheo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấmkhiêng che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụng bảo mật hệ thống mạngdoanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận - ứngdụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp
Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này vàchính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway(Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMGchính là phiên bản tích hợp của:
Internet Security and Acceleration Server (ISA)
Forefront Client Security
Forefront Security for Exchange Server
Forefront Security for SharePoint
Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên nênForefront TMG có khả năng:
Bảo vệ hệ thống đa dạng hơn
Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả
Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management Gateway 2010
đã sớm khẳng định được vị thế của mình Rõ nét là đang được nhiều doanh nghiệp tìm hiểu và
áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp mình
Trang 5NHẬN XÉT CỦA DOANH NGHIỆP
Trang 6
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
Trang 7
MỤC LỤC
LỜI CẢM ƠN 3
LỜI NÓI ĐẦU 4
NHẬN XÉT CỦA DOANH NGHIỆP 5
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 6
MỤC LỤC 7
I GIỚI THIỆU TỔNG QUAN 14
1 TỔNG QUAN VỀ FOREFRONT TMG 2010 14
2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010 16
2.1 Lịch sử 16
2.2 Quá trình phát triển: 17
3 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010 18
4 CÁC TÍNH NĂNG CỦA TMG 2010 19
4.1 Các chức năng chính 19
4.2 Các tính năng nổi bật của TMG 2010 19
4.3 System Requirement 21
5 CÁC MÔ HÌNH FIREWALL 22
5.1 Network template 22
5.2 Cấu hình các thiết lập mạng 23
5.2.1 Edge Firewall 23
5.2.2 3-Leg Perimeter 23
5.2.3 Back Firewall 24
5.2.4 Single Network Adapter 24
II NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010 26
1 GIỚI THIÊU TMG 26
2 GIAO DIỆN QUẢN LÝ 27
3 CÁC TÍNH NĂNG MỚI 28
4 SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ? 34
4.1 Việc kích hoạt truy cập từ bất cứ nơi nào 34
4.2 Những điểm mới trong UAG 35
Trang 84.3 Thiết kế mạng bảo vệ 36
4.3.1 Triển khai UAG 36
4.3.2 Triển khai TMG? 37
4.3.2.1 Edge Firewall 38
4.3.2.2 3-Leg perimeter 39
4.3.2.3 Back Firewall 40
4.3.2.4 Single-NIC 40
5 YÊU CẦU HỆ THỐNG 41
5.1 Yêu cầu phần cứng: 41
5.2 Yêu cầu Phần mềm 42
5.3 Hạ tầng mạng 43
5.3.1 Tên phân giải 43
5.3.2 Xác thực 44
5.4 Triển khai trong các môi trường ảo 45
6 PHÂN TÍCH YÊU CẦU MẠNG 45
7 XÁC ĐỊNH HỒ SƠ TRAFFIC 45
7.1 Bản đồ mạng 46
7.2 Bản đồ ứng dụng 46
8 GIẢI QUYẾT CÁC MẠNG PHỨC TẠP 50
9 DNS TRONG TMG 50
9.1 Hệ thống giải quyết tên phân giải như thế nào ? 51
9.1.1 Edge hoặc Perimeter trong Workgroup 52
9.1.2 Edge hoặc Perimeter trong Domain 54
9.2 Ảnh hưởng của DNS 54
9.3 DNS Cache trong TMG 54
10 CHỌN NETWORK TEMPLATE 55
10.1 Edge Firewall Template 55
10.2 3-Leg Perimeter mạng Template 56
10.3 Back Firewall Template 57
10.4 Single NIC Template 58
10.5 Join Firewall TMG vào Domain hoặc Workgroup 60
11 Di trú TMG 61
12 CÁC LOẠI TMG CLIENT 62
12.1 Web Proxy Client 62
Trang 912.2 Web Proxy Client làm việc như thế nào? 63
12.3 Cấu hình Server-Side 65
12.4 Sử dụng Web Proxy Client 66
12.5 SecureNET Clients 67
12.6 SecureNet Client làm việc như thế nào? 68
12.7 SecureNet Client advantages 69
12.8 SecureNet Client Disadvantages 69
12.9 Forefront TMG Client 70
13 GIAO DIỆN TMG 73
13.1 TMG 2010 73
13.2 Monitoring 74
13.3 Firewall policy 74
13.4 Chính sách Web Access 75
13.5 E-Mail Policy 75
13.6 Intrusion Prevention System 77
14 NEW WIZARDS 80
14.1 The Getting Started Wizard 80
14.2 Network Setup Wizard 81
14.3 System Configuration Wizard 82
14.4 Deployment Wizard 82
14.5 The Web Access Policy Wizard 83
14.6 The Join Array and Disjoin Array Wizards (TMG 2010 only) 83
14.7 The Connect to Forefront Protection Manager 2010 Wizard (TMG 2010 only) 84
14.8 The Configure SIP Wizard (TMG 2010 only) 84
14.9 The Configure E-Mail Policy Wizard (TMG 2010 only) 85
14.10 The Enable ISP Redundancy Wizard (TMG 2010 only) 85
15 CẤU HÌNH TMG NETWORKS 85
15.1 Route Relationships 85
15.2 NAT Relationships 86
15.3 Mạng Rules 89
15.4 Built-In Mạng 90
15.5 Cấu hình mạng được bảo vệ của bạn 92
15.6 Chứng thực Traffic từ mạng được bảo vệ 93
16 CÂN BẰNG TẢI 94
Trang 1016.1 ISP Redundancy là gì? 94
16.2 Enabling ISP-R 94
16.3 NLB Kiến trúc 95
16.4 Sử dụng TMG Management Console 96
17 NETWORK INSPECTION SYSTEM 97
17.1 Thực hiện kiểm tra hệ thống mạng 98
17.2 Các kiểu tấn công 100
18 CACHING 101
18.1 Hiểu biết về cache Proxy 101
18.2 Công việc Caching như thế nào? 101
19 MALWARE INSPECTION 103
19.1 Tìm hiểu về Inspection Malware trong TMG 103
19.2 Các tùy chỉnh trong Malware Inspection 105
19.2.1 Inspection Settings 105
19.2.2 Content Delivery 106
19.2.3 Storage 107
19.2.4 Update Configuration 107
19.2.5 License 108
19.3 URL Filtering 109
19.3.1 How URL Filtering Works 109
19.3.2 Các thành phần Tham gia trong URL Filtering 112
19.4 E-Mail Protection 113
20 HTTP AND HTTPS INSPECTION TRONG ỨNG DỤNG LỌC WEB PROXY 115
21 PUBLISHING SERVERS 116
21.1 Làm thế nào để Publish một máy chủ Web? 116
21.2 Publishing a Web Server Using HTTPS 116
21.3 Installing Certificates on TMG 117
21.4 Creating an https Web Listener 123
21.5 Creating a Secure Web publishing rule 127
22 REMOTE ACCESS 132
22.1 khái niệm VPN 132
22.1.1 Tunnel types 133
22.1.2 Protocols 133
22.1.2.1 point-to-point tunneling protocol (pptp) 133
Trang 1122.1.2.2 Layer-two tunneling protocol Over Ipsec (L2tp/Ipsec) 134
22.1.2.3 Secure Socket Tunneling Protocol (SSTP) 134
22.1.2.4 Authentication 134
22.1.3 So sánh Công nghệ VPN 136
22.1.4 Tích hợp NAP 137
23 Giới thiệu về UAG DirectAccess 138
23.1 DirectAccess làm việc như thế nào? 138
23.2 Kết nối máy khách DirectAccess 139
III PHÂN TÍCH NỘI DUNG ĐỀ TÀI 142
1 KHÁO SÁT NHU CẦU DỰ ÁN 142
1.1 Tình huống đề tài: 142
1.2 Mô hình mạng logic tại trụ sở 143
1.3 Sơ đồ luận lý chi tiết 144
1.4 Sơ đồ tổ chức của công ty 144
1.5 Nhu cầu của cty D.M.A: 145
2 ĐỀ XUẤT GIẢI PHÁP 145
2.1 Các tính năng mới: 145
2.2 Những tính năng cốt lõi: 150
I Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ 150
II Virtual Private Networking (VPN) (Hỗ trợ người dung di động và làm việc hiệu quả, Hỗ trợ kết nối an toàn giữa các site với VPN thông ra Internet) 151
III Các tính năng quản lý 152
IV Monitoring and Reporting: 152
3 DANH MỤC THIẾT BỊ 154
3.1 Danh mục các server 154
3.2 Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG 154
3.3 Bảng báo giá thiết bị 155
IV THỰC HIỆN 156
1 Cài đặt forefront tmg 2010 156
2 Cấu hình mô hình mạng 3-Leg perimeter 158
3 Cấu hình các Access Rule 162
3.1 Web Access 162
3.2 DNS Query 167
3.3 Malware Inspection 170
3.4 HTTPS Inspection 174
Trang 123.5 Caching (tăng tốc độ truy cập web) 180
3.6 URL Filtering 186
3.7 DMZ join Domain 187
4 Cấu hình network ispection system (NIS) 191
5 Cấu hình kết nối vpn site to site 197
6 Cấu hình kết nối vpn client to site 204
7 Cấu hình Intrusion Detection 208
8 Bảo mật hệ điều hành với forefront client security 210
9 Cấu hình forefront unifiel access gateway 2010 215
10 Bảo mật máy chủ Exchange 221
11 Cấu hình ISP Redundancy (Load balancing) 223
12 Thực hiện backup và restore 227
V ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN 234
1 ĐÁNH GIÁ ĐỀ TÀI 234
1.1 Khả năng áp dụng và mở rộng: 234
1.1.1 Khả năng áp dụng của Forefront: 234
1.1.2 Khả năng mở rộng của Forefront 235
1.2 Khắc phục những mặt còn hạn chế 235
1.3 Hạn chế của giải pháp hiện tại: 236
1.3.1 Cấu hình phần cứng: 236
1.3.2 Các dịch vụ cơ sở hạ tầng 237
1.3.3 Nối mạng 237
VI TÀI LIỆU THAM KHẢO 241
VII PHỤ LỤC 242
Trang 13I GIỚI THIỆU TỔNG QUAN
1 TỔNG QUAN VỀ FOREFRONT TMG 2010
Hình I.1.1 - Forefront Threat Managerment Gateway
heo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất
cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một nguy cơchung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu
rò rỉ thông tin về tài liệu nội bộ công ty, tình hình tài chính, an ninh quốc gia… có thể gây
ra tổn thất to lớn về mặt kinh tế, chính trị… Các malware đánh cắp dữ liệu bao gồm cácdòng malware như trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật
mã và các trojan gián điệp Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt87% trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%
Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông Nam Á, phụtrách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec, năm 2011 tìnhhình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu hướng tấn công chính của năm 2010nhưng mức độ lớn hơn, độ phức tạp tăng lên và tinh vi hơn rất nhiều Đó là tấn công cómục tiêu tiếp tục nở rộ, dùng mạng xã hội và kỹ thuật xã hội để xâm nhập vào hệ thống,tăng mạnh các gói công cụ tấn công, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, cácmối nguy hại từ thiết bị di động tăng mạnh
Trang 14Hình I.1.2 - Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại
Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải pháp bảo mật,ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet Song song đó có rất nhiềucông ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị hỗ trợcho việc an ninh hệ thống mạng Trong số đó, công ty phần mềm hàng đầu thế giớiMicrosoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010, mộtthế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet SecurityAcceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấncông và lọc các mã độc hại khi truy cập Internet Hơn thế nữa, Microsoft Forefront TMG
2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront ClientSecurity, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nócung cấp các đặc điểm nổi bật về bảo mật như:
Bảo vệ hệ thống đa dạng và hoàn thiện
Phát hiện virus, malware và ngăn chặn tấn công
Giao diện quản lý thân thiện và dễ dàng
Giám sát hệ thống mạng được tăng cường
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trìnhchuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phảiqua Forefront TMG kiểm duyệt rất kỹ lưỡng Microsoft Forefront TMG 2010 cho phép thiếtlập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinhdoanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấpnhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vàomột, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mậtweb Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ đượcchia ra làm 3 phần riêng biệt:
Trang 15Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta
Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là
máy Forefront TMG
External Network - là mạng Internet, như vậy mạng Internet được xem như là
một phần trong mô hình Forefront TMG mà thôi
Hình I.1.3 - Mô hình tổng quan 3 lớp mạng của tường lửa
2 LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010
2.1.Lịch sử
Hình I.2.1.1 - Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như:Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các
hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế để cài đặtmột tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽphải sử dụng đến một software mới của Microsoft đó là Microsoft forefront ThreatManagement Gateway 2010
Trang 162.2.Quá trình phát triển:
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:
1/1997 - Microsoft Proxy Server v1.0 (Catapult)
18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server
Hình I.2.2.1 - Sơ đồ phát triển của Forefront TMG 2010
Ms Proxy Server v1.0 (Catapult)
Trang 173 PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010
Hình I.3.1 - Thông tin prices và licenses của các phiên bản Forefront
Hình I.3.2 - Thông tin Price và Licenses của Windows Server 2008
Trang 184 CÁC TÍNH NĂNG CỦA TMG 2010
4.1.Các chức năng chính
Hình I.4.1.1 - Các tính năng chính trong Forefront TMG 2010
4.2.Các tính năng nổi bật của TMG 2010
Hình I.4.2.1 Những Tính năng nổi bật của Forefront TMG 2010
Trang 19Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền
internet
Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa khác khi
truy cập web
URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh sách phân
loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống
phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010
for Exchange Server & Exchange Edge Transport Server để kiểm soát virus,malware, spam e-mail trong hệ thống Mail Exchange
Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ
hổng bảo mật
Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra
tình trạng an toàn của các client trước khi cho phép client kết nối VPN
Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server 2008 &
Windows Server 2008 R2 64-bit
Bảng I.4.2.1 So sánh các tính năng trong Forefront TMG Standard và Enterprise
Trang 20Bảng I.4.2.2 So sánh các tính năng giữa ISA 2006 và Forefront TMG
4.3.System Requirement
Bảng I.4.3.1 Yêu cầu cài đặt
Trang 215 CÁC MÔ HÌNH FIREWALL
Forefront TMG sử dụng một khái niệm “multi networking” Để định nghĩa topo mạng, đầutiên chúng ta cần tạo các mạng trong Forefront TMG Sau khi đã tất cả các mạng cần thiết,chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule.Forefront TMG hỗ trợ hai kiểu network rule đó là:
Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu
thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng
NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng,
kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IPcủa network adapter tương ứng
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tườnglửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối
5.1.Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn(Network Template) để cho phép tạo các kịch bản Firewall điển hình Bạn hoàn toàn cóthể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất cả những gì bạn cần thựchiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management
Hình I.5.1.1 Network setup wizard
Trang 225.2.Cấu hình các thiết lập mạng
Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để cấu
hình Forefront TMG cung cấp cho bạn tới 4 Network Template:
Hình I.5.2.1.1 Edge Firewall Template
Edge Firewall template là một Network Template cũ và kết nối mạng bên trong vớiInternet, được bảo vệ bởi Forefront TMG Một Edge Firewall template điển hình yêu cầutối thiểu hai network Adapter trên Forefront TMG Server Đây là tùy chọn mặc định vàmột trong những sử dụng trong đa số trường hợp Điều này sẽ tạo ra một mạng nội bộmặc định và một mặc định ngoài mạng
5.2.2 3-Leg Perimeter
Hình I.5.2.2.1 3-Leg Perimeter Template
3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều networkadapter Một network adapter kết nối mạng bên trong, một network adapter kết nối vớimạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũngđược gọi là Perimeter Network Perimeter Network gồm có các dịch vụ, nên cần có thểtruy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG Các dịch vụ điển hình
Trang 23trong một DMZ là Web Server, DNS Server hoặc WLAN network Một 3-Leg PerimeterFirewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đíchthực” Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.
5.2.3 Back Firewall
Hình I.5.2.3.1 Back Firewall Template
Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bứctường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG,một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạngnội bộ Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator,khi Forefront TMG được đặt phía sau Front Firewall Back firewall sẽ bảo vệ mạng bêntrong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượngđược phép từ các máy tính trong DMZvà từ Front Firewall
5.2.4 Single Network Adapter
Hình I.5.2.4.1 Single Network Adapter Template
Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửaTMG Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như mộtmáy chủ proxy web Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP,HTTPS và FTP Nó hỗ trợ truy cập từ xa VPN
Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉmột giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiềudịch vụ theo đó mà không có Nó chỉ có các tính năng dưới đây:
Trang 24 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.
Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty
Web publishing để bảo vệ các máy chủ FTP và published Web
Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi làOutlook Anywhere trong Exchange Server 2007)
Trang 25II NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010
1 GIỚI THIÊU TMG
Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có lớp ứng dụngthông minh và khả năng chống phần mềm độc hại có thể được sử dụng để xác định vàgiảm thiểu những mối đe dọa đối mặt với các mạng hiện đại Forefront TMG là kế thừa choMicrosoft ISA Server và bao gồm tất cả các chức năng ISA Server đồng thời nâng cao khảnăng sử dụng, bảo mật, và chức năng
Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộ sảnphẩm Forefront Edge TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngoài, chẳnghạn như những người tạo ra bởi các host trên mạng được bảo vệ; UAG chủ yếu là nhắmmục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePoint hoặcExchange, Web Publishing
Hai phiên bản của TMG là:
TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc
lập hoặc với Windows Essential Bussiness Server (EBS).1
TMG 2010 cho tất cả các triển khai khác.
Bảng II.1.1 So sánh các tính năng của TMG MBE và TMG FULL
1* TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008 TMG 2010 được phát hành vào cuối năm 2009.
Trang 262 GIAO DIỆN QUẢN LÝ
Forefront TMG Management Console được tổ chức lại để đơn giản hóa trong cấu hình vàgiám sát Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàng truycập hơn trong tab Task Ví dụ, những điều khiển ở bên trái giao diện của ISA Server 2004
và ISA 2006 được bỏ bớt, và các chức năng liên quan đó được nhóm lại bên trong tab Task
Hình II.2.1 Giao diện quản lý của Forefront TMG
Hình II.2.2 Giao diện quản lý của ISA 2006
Trang 273 CÁC TÍNH NĂNG MỚI
Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit
Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cần thiết phải cócác thiết bị để xử lý lưu lượng truy cập nhanh ISA Server là một "phần mềm" tường lửadựa trên hệ điều hành Windows Một hạn chế được biết đến của ISA Server là nó khôngthể được cài đặt trên một nền tảng 64-bit TMG không có giới hạn này, bạn phải cài đặtchúng trên hệ điều hành 64-bit Windows Server 2008 và Windows EBS cũng hỗ trợ môitrường 64-bit Với việc giới thiệu hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4gigabyte (GB) bộ nhớ RAM
Hỗ trợ Web Antivirus và Anti-Malware
Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồng thông tin HTTPtrước khi nó đến đến khách hàng Tính năng này cung cấp thêm lớp bảo vệ và tăngcường an ninh cho tất cả các host trên mạng được bảo vệ bởi TMG
Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa người dùng và máychủ Web Nội dung của luồng dữ liệu này được lưu trữ trong bộ nhớ hoặc trên đĩa, tùythuộc vào kích thước của nội dung MPEngine TMG (Microsoft Malware ProtectionEngine) quét nội dung trước khi nó được phân phối cho người dùng
Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu từ ngườidùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua để MPEngine vàcuối cùng, trả lại cho người dùng sau khi xử lý
Hình II.3.1 MPEngine và các bước xử lý
Hình II.3.1 minh họa các bước sau:
1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG
2) Yêu cầu được chuyển tiếp từ TMG đến Web Server
Trang 283) Các phản hồi từ máy chủ Web được trả lại cho TMG.
4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web
5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm tra.6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa hoặc
bộ nhớ, tùy thuộc vào kích thước
7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc
8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra
9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web
10) Dữ liệu được gửi đến xử lý đích
11) Việc xử lý đích lấy nội dung tích lũy
12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP
13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích
14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine
16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng
Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nộidung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nộidung Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đếnngười dùng cuối Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽgửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy mộtphản ứng trickled tùy thuộc vào loại nội dung được tải về Một phản ứng trickled là cùngmột loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác
Hình II.3.2 Quản lý down load với Forefront TMG
Trang 29 Giao diện người dùng, quản lý và báo cáo nâng cao
TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS) SRS cóthể tạo ra các báo cáo từ cơ sở dữ liệu SQL SRS cho phép báo cáo thiết kế và địnhnghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trìnhgiao diện, và nhiều hơn nữa SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp củaSRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý donày IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa IIS không phải làmột vai trò cần thiết cho TMG 2010.2
Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc hại,lọc URL và phòng chống xâm nhập TMG báo cáo bao gồm thông tin không có sẵn trongcác phiên bản trước của các bức tường lửa Khi Forefront Protection Manager 2010(FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giảipháp bảo vệ end-to-end Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diệnbáo cáo FPM
TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra báocáo và quản lý
Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho WindowsEssential Business Server và TMG 2010
Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010
URL Filtering
Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh Sử dụng lọc URL,bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra mộtnguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty
Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc hại.Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chínhsách đối với các loại này Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang
2 * SRS-kích hoạt mặc định của IIS lắng nghe trên cổng TCP 8008 và không phải trên TCP cổng 80 để cung cấp một bề mặt tấn công thấp hơn.
Trang 30web bị từ chối Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phépngười sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.
Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận đượcmột thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theochính sách công ty Thông báo HTML có thể được cấu hình trên TMG
HTTPS Inspection
HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động
từ các máy tính trong mạng được bảo vệ Tính năng này đóng một vai trò quan trọngtrong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựatrên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS.Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từmáy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng Trongcách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thôngqua giữa máy khách và máy chủ
Hỗ trợ E-Mail Anti-Malware và Anti-Spam
TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phầnmềm độc hại
Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sửdụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng Đối với cácgiao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện chomột liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài Mục đích các tuyếnđường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG vàInternet, giữa TMG và published mail server Giao diện người dùng mới làm cho nó dễdàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV)quét trên các tuyến đường SMTP
Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truycập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-mail
Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)
Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó cóthể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập IPS là một thiết
bị bảo vệ hệ thống Một IPS thường được coi là một phần mở rộng của IntrutionDetection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soáttruy cập, tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt độngđáng ngờ, nhưng cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và chophép được lựa chọn con đường đi qua
Trang 31TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS TMG 2010cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại.
Hình II.3.3 Giao diện Intrusion Prevention System (IPS)
The Session Initiation Protocol (SIP) Filter
Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm thanh
và video thông qua các bức tường lửa TMG và cũng cho phép người dùng chuyển cáctập tin và chia sẻ ứng dụng
TFTP Filter
TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter TFTP thường được sử dụng bởiBootP client để tải về một hệ điều hành Ngoài ra, do nhiều Voice Over IP (VoIP)điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMG cungcấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách sử dụng bộlọc TFTP Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới được triển khai.TFTP là một truyền tập tin giao thức tương tự như File Transfer Protocol (FTP), nhưnghoạt động khá khác nhau một chút và sử dụng khác nhau Bởi vì ISA Server thườngđược dùng để cô lập mạng lưới của nhau và không hiểu làm thế nào để quản lý TFTPCommunications, nên việc triển khai tự động của Windows và bằng ảnh đĩa thường bịthất bại TMG giải quyết vấn đề này bằng cách thêm một bộ lọc TFTP để cung cấp sựquản lý tốt hơn và an toàn hơn
Trang 32 Network Functionality Enhancements (Cải tiến chức năng mạng)
Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệ NetworkAddress Translation (NAT) tồn tại giữa các mạng, ISA không cho phép xác định địa chỉ
IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ IP Thay vào đó, ISA luônluôn sử dụng chính Địa chỉ IP kết hợp với giao diện, làm cho địa chỉ IP của địa chỉnguồn cho tất cả các outboud traffic Tương tự như vậy, ISA không thể làm cho việc sửdụng kết nối nhiều hơn một ISP, khiến nhiều người dùng phải mua một thiết bị riêngbiệt để đáp ứng nhu cầu này
Nat address Selection (Lựa chọn địa chỉ NAT)
Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để sử dụng chocác yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thể mạng Ngoài ra, nếuTMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địa chỉ được xem bởi các máychủ SMTP từ xa Điều này đặc biệt hữu ích nếu có hạn chế địa chỉ IP đang được để bảo
vệ thư rác tại SMTP Server từ xa Lựa chọn địa chỉ NAT được thiết lập thông qua cácNew Network Rule Wizard
Hình II.3.4 Nat address Selection wizard
ISP Sharing/Failover
TMG cũng hỗ trợ kết nối dual ISP (Liên kết bên ngoài) có thể hoạt động theo một tronghai chế độ: chuyển đổi dự phòng ISP hoặc ISP chia sẻ Trong chế độ chuyển đổi dựphòng ISP, nếu một ISP kết nối bị hỏng, TMG có thể cung cấp khả năng chịu lỗi bằngcách tự động chuyển sang kết nối ISP khác Điều này giúp TMG cung cấp cân bằng tảinăng động giữa các nhà cung cấp dịch vụ Internet với dự phòng và khả năng chuyển
Trang 33đổi dự phòng Trong chế độ nhà cung cấp dịch vụ Internet chia sẻ tải, bạn có thể chỉđịnh một tỷ lệ phần trăm tải giữa hai ISP kết nối và TMG sẽ định tuyến dựa trên lưulượng giao thông hiện tại thông qua mỗi ISP kết nối
So sánh tính năng được hỗ trợ trong TMG 2010 với TMG MBE và ISA 2006
Bảng II.3.2 so sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010
4 SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?
Vào tháng năm 2006, Microsoft chính thức công bố việc mua lại Whale Communications.LtdTại thời điểm đó, secure Sockets Layer Virtual Private Network (SSL VPN) là cổng được tăngkhả năng hiển thị cho các tổ chức thuộc mọi quy mô Tại thời điểm đó Microsoft đã không
có sản phẩm SSL VPN gateway nào và quyết định để có được giải pháp SSL VPN để cungcấp trong bộ sản phẩm Forefront Một năm sau khi việc mua lại này, Microsoft thay đổi têncủa sản phẩm thành Intelligent Application Gateway 2007 (IAG 2007)
4.1.Việc kích hoạt truy cập từ bất cứ nơi nào
Các phương pháp truyền thống của người dùng cho phép tại các địa điểm truy cập từ xavào tài nguyên nội bộ trên Internet là thông qua các lớp mạng Mạng riêng ảo (VPN).Lớp mạng công nghệ VPN truyền thống làm việc với một trong hai giao thức đường hầmchính: PPTP và L2TP Các giao thức này cho phép các đường hầm mã hóa được thiết lậpgiữa khách hàng và máy chủ hoặc giữa hai lớp mạng cổng VPN (còn được gọi là thiết bịđịnh tuyến VPN)
Trang 34Vấn đề là đôi khi khách hàng ở sau một edge firewall chỉ cho phép HTTP và HTTPSoutbound traffic, như thể hiện trong Hình II.4.1.1 Điều này thường làm thất vọng ngườidùng cuối bởi vì khi đi PPTP hoặc L2TP/IPsec kết nối bị từ chối Vì vậy, thuật ngữ “truycập từ bất cứ nơi nào” thực sự không áp dụng khi nói về kết nối lớp mạng VPN.
Hình II.4.1.1 Thực hiện kết nối VPN với UAG
Hình II.4.1.1 cho thấy rằng công nghệ SSL VPN không bị các vấn đề kết nối vốn cótrong các kết nối lớp mạng VPN Con số này cho thấy một Edge Firewall chỉ cho phépHTTP và HTTPS mới đi ra bên ngoài và hai phía sau tường lửa này Các khách hàngbằng cách sử dụng một truyền thống VPN (chẳng hạn như PPTP) để kết nối với máy chủVPN bị chặn bởi các tường lửa, trong khi các máy khách SSL VPN là không Điều nàyminh họa sự linh hoạt lớn hơn công nghệ SSL VPN, cho phép truy cập tăng cường anninh mà không cần phải đối phó với các vấn đề kết nối có thể được áp đặt bởi các hạnchế SSL VPN làm cho các máy trạm khách hàng từ xa dễ dàng kết nối với cổng thôngtin HTTPS và từ kết nối với các nguồn tài nguyên nội bộ (máy chủ, máy trạm) và nhưvậy từ một số địa điểm khác nhau mà không cần phải lo lắng về các vấn đề kết nối đãđược phổ biến gặp phải trong quá khứ
Công nghệ SSL VPN là một chuẩn cho phép truy cập từ xa Server 2008 cho phép bạncấu hình RRAS như một máy chủ SSL VPN bằng cách sử dụng Secure Socket TunnelingProtocol (SSTP) VPN mới
4.2.Những điểm mới trong UAG
Trong khi IAG là một giải pháp thiết bị, UAG mở rộng này cung cấp với một phần mềm,máy chủ triển khai tùy chọn cài đặt UAG sẽ cung cấp cho bạn hai lựa chọn: cài đặt sẵnphiên bản của UAG trên một thiết bị phần cứng OEM và một tập tin tải về Bạn có thểtriển khai UAG trong một môi trường ảo, bằng cách sử dụng Microsoft Hyper-V haySVVP (Server Virtualization Validation Program)
Trang 35Cách tốt nhất để hiểu sự khác biệt giữa IAG và UAG là thông qua một so sánh ngắn gọncủa hai sản phẩm, như minh họa trong bảng dưới.
Bảng II.4.2.1 so sánh tính năng giữa IAG và UAG
Các tính năng mới làm nên một sự khác biệt lớn khi so sánh IAG với UAG bao gồm:
UAG Native 64-bit sẽ được gửi trong một phiên bản 64-bit
Tích hợp với Network Access Protection (NAP) tích hợp này cung cấp thêm mộtlớp bảo vệ để truy cập mạng nội bộ của các thiết bị đầu cuối không có bảo đảm.Web tính năng cân bằng tải tính năng này cho phép bạn publish một Farm củacác máy chủ Web và phân phối các yêu cầu đồng đều giữa các máy chủ Đây làmột cải tiến quan trọng trong mà bạn không cần phải mua các thiết bị cân bằngtải riêng biệt để đạt được nhiệm vụ này
4.3.Thiết kế mạng bảo vệ
4.3.1 Triển khai UAG
UAG được thiết kế để cung cấp sau đây:
Truy cập vào các ứng dụng của bạn từ Internet
Hỗ trợ cơ chế single sign-on (SSO) Gia tăng trust của người sử dụng và máy tính của người dùngGia tăng nhận thức về ứng dụng và kiểm soát tăng cường hơn hành vi ứng dụngMột dải rộng các nhà cung cấp dịch vụ xác thực
SSL VPN truy cập từ xa
Trang 36UAG cho phép các mạng phục vụ nhu cầu của người sử dụng điện thoại di động để truycập nguồn lực công ty từ các địa điểm có kết nối Internet, trong khi đồng thời đáp ứngyêu cầu của công ty cần phải kiểm soát truy cập dựa trên một định nghĩa của sự tin cậy
và an ninh cho người dùng kết nối và máy tính
UAG được thiết kế và thử nghiệm để hoạt động như cổng vào Internet-Facing Đặt mộttường lửa giữa UAG và Internet có thể gây ra vấn đề không thể được giải quyết đượcbằng cách thay đổi cấu hình UAG Vì UAG lợi dụng các chức năng tường lửa của TMG.UAG cũng có thể tận dụng lợi thế của mô hình đa mạng TMG để publish ứng dụng cóthể được phân lập từ các mạng khác Điều này cho phép bạn tăng tổng thể mức độ bảomật của bạn bằng cách thực hiện một mô hình an ninh mạng nhiều lớp
4.3.2 Triển khai TMG?
TMG được thiết kế để phục vụ triển khai yêu cầu bảo mật có thể bao gồm:
Proxy và firewall ở cấp ứng dụng chungĐơn giản hoá việc truy cập vào dịch vụ ứng dụng, chẳng hạn như SMTP, POP3,
và giao thức khácĐánh giá sự tin cậy của máy tính khách hàng Được bảo vệ truy cập Internet và mạng nội bộSSTP, PPTP, và L2TP/IPsec kết nối VPN
Không giống như UAG, TMG được thiết kế để phục vụ nhu cầu lớn hơn đối với cả bênngoài và ứng dụng truy cập nội bộ Hình II.4.3.2.1 thể hiện những tính năng mới trongTMG và UAG
Hình II.4.3.2.1 Những tính năng trong TMG và UAG
Trang 37Không giống như TMG, bạn có thể triển khai gần như bất cứ nơi nào trên mạng nội bộ,UAG đã được cụ thể thiết kế để làm một mạng thiết bị cạnh Tuy nhiên, trong một sốtrường hợp chính sách gây khó khăn cho bạn đặt IAG trên các cạnh của mạng như thểhiện trong hình II.4.3.2.2, nếu chính sách mạng của bạn yêu cầu một bức tường lửacạnh ở mặt trước của UAG, bạn sẽ phải cho phép inbound TCP cổng 443 (HTTPS) đếnUAG.
Hình II.4.3.2.2 Ví dụ thiết lập UAG trong mạng Back End
Mặt khác, TMG được thiết kế để hoạt động trong bất kỳ của bốn mạng thiết kế cơ bản(và nhiều biến thể trên các chủ đề này):
Edge firewall3-leg perimeter firewallBack firewall
Single NIC Web proxy server
kế để kiểm soát Với một vài thiết bị bổ sung trong con đường mạng, TMG có khảnăng tốt hơn để đánh giá và đưa ra quyết định kiểm soát thích hợp Đây cũng làmặc định triển khai cấu hình cho UAG Hình II.4.3.2.1.1 minh họa một triển khaitường lửa điển hình
Trang 38Hình II.4.3.2.1.1 Mô hình Edge Firewall
4.3.2.2 3-Leg perimeter
Triển khai 3-Leg Perimeter như thể hiện trong Hình II.4.3.2.2.1, thường được gọi làmột Trihomed Perimeter Network vì một thiết bị duy nhất TMG trong trường hợpnày có ba NIC, mỗi NIC liên quan với một khu vực an ninh mạng khác nhau, trong
đó có một đoạn mạng vành đai TMG phù hợp với nhiệm vụ này bởi vì nó kết hợptất cả các cơ chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trongmột điểm kiểm soát mạng
Không giống như ISA 2006, TMG được giả định rằng bạn sẽ sử dụng một mối quan
hệ NAT mặc định giữa mạng nội bộ và chu vi mạng Trihomed, Trihomed TMGPerimeter Network Template nhận thức được rằng các mạng lưới được định nghĩa làchu vi và nội bộ không thể có tuyến đường được xác định trước hoặc các mối quan
hệ NAT Vì lý do này, Network Setup hướng dẫn cung cấp cho bạn cơ hội để xácđịnh các mối quan hệ như là một phần của quá trình cấu hình Ưu điểm của việctriển khai 3-Leg Perimeter tương tự như triển khai Edge Firewall: TMG có quyền truycập tự do đến lưu lượng truy cập tại tất cả các mạng
Hình II.4.3.2.2.1 Mô hình mạng 3-Leg Perimeter
Trang 394.3.2.3 Back Firewall
Back Firewall là một biến thể của mẫu Edge Firewall ngoại trừ giao diện bên ngoàicác bức tường lửa TMG được kết nối với một phân đoạn mạng vành đai giữa nó vàgiao diện nội bộ của một bức tường lửa ở thượng nguồn Như vậy, mục cấu hìnhmạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xác định các mốiquan hệ mạng giữa mạng nội bộ và Perimeter Networks là một trong hai tuyếnđường hoặc NAT Lợi thế triển Back Firewall là với một thiết bị riêng biệt xử lý cácquyết định traffic ở mức độ thấp, TMG có nhiều nguồn lực hơn để áp dụng cho kiểmsoát lọc lưu lượng truy cập cao hơn Hình II.4.3.2.3.1 minh họa việc triển khai BackFirewall
Hình II.4.3.2.3.1 Mô hình mạng Back Firewall
4.3.2.4 Single-NIC
NIC duy nhất thường được gọi như Unihomed Tùy chọn này cung cấp chức năngtường lửa cho máy tính mà trên đó TMG hoạt động Giống như ISA 2006, một TMGUnihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựa trên HTTP (CERNproxy hoặc Web Publishing) và dial-in VPN các khách hàng VPN Với ISA 2006, mạnghợp lệ cho một Unihomed TMG là:
Local host mạng này bao gồm tất cả các địa chỉ IP được gán cho máy tính
TMG, không chỉ là mạng 127/8
Internal Network bao gồm tất cả các địa chỉ IP không được giao để dial
vào một trong các VPN Client
VPN client mạng này bao gồm chỉ những địa chỉ đã được định nghĩa cho sử
dụng bởi các quản trị viên TMG
Quarantined VPN Client Mạng bao gồm chỉ có các địa chỉ IP định nghĩa
cho sử dụng bởi VPN client không đáp ứng các yêu cầu bảo mật theo quyđịnh cho kết nối VPN
Trang 40Một lợi thế của triển khai Single NIC, như thể hiện trong hình II.4.3.2.4.1 là tàinguyên TMG có thể được dành riêng để xử lý những traffic HTTP liên quan Một ưuđiểm khác của Unihomed là bạn không bao giờ cần phải ghi lại số Network để hỗtrợ một Unihomed TMG Firewall.
Hình II.4.3.2.4.1 Mô hình mạng Single NIC
UAG Forefront là một cổng SSL VPN giúp bạn an toàn hơn khi truy cập bất cứ nơi nàocho người dùng của bạn UAG SSL VPN server có lợi thế hơn RRAS mạng cấp VPN server: Nókhông bị ảnh hưởng từ các vấn đề kết nối vì hạn chế tường lửa Ngoài ra, UAG SSL VPNgateway cho phép bạn cấu hình mạnh mẽ các chính sách kiểm soát truy cập khách hàng cácmức độ tin tưởng cho phép các mức độ truy cập dựa trên cấu hình bảo mật đánh giá của họ.Một UAG SSL VPN gateway và các bức tường lửa TMG có thể tồn tại trên cùng mộtmạng Cả hai UAG SSL VPN và tường lửa TMG được thiết kế để được thiết bị bảo mật Sự kếthợp của cổng UAG SSL VPN và tường lửa TMG có thể cung cấp nhiều lớp bảo vệ cho mạngcủa bạn
5 YÊU CẦU HỆ THỐNG
5.1.Yêu cầu phần cứng:
Yêu cầu tối thiểu cho TMG 2010 là:
Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTMvới Service Pack 2 (SP2) hoặc R2
2 GB bộ nhớ RAM
Một CPU lõi kép
Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS
150 MB đĩa cứng không gian
ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp với mạng nội
bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa)
Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối
