Thiết lập Access Rule để bảo mật trên TMG Firewall 2010

Đồ án Access RuleVề tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys (http:www.linksys.com) và NetGear (http:www.netgear.com). Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.

Trang 1

TRƯỜNG CĐ CNTT HỮU NGHỊ VIÊT – HÀN

KHOA KHOA HỌC MÁY TÍNH

GIÁO VIÊN HƯỚNG DẪN : Lê Tự Thanh

Trang 2

KHOÁ HỌC: 2006 – 2009 NHẬN XÉT CỦA GIÁO VIÊN

Đà Nẵng, ngày …… tháng …… năm 2011

GIÁO VIÊN

Trang 3

LỜI NÓI ĐẦU

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứkhông còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệthông tin

Sự phát triển của internet cho phép chúng ta truy cập tới mọi nơi trên thế giớithông qua một số dịch vụ Ngồi trước máy tính của mình bạn có thể biết được thôngtin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâmnhập vào bất kỳ lúc nào mà bạn không hề được biết trước chính vì thế mà khái niệm

“Firewall” đã ra đời để giải quyết vấn đề này Firewall có thể bảo mật cho 1 máy tínhriêng lẻ cũng như 1 hệ thống máy tính trong 1 công ty lớn

Trong một hệ thống Firewall lớn, nhằm mục đích đảm bảo hiệu xuất làm việc

mà chúng ta phải phân quyền cho các máy tính Đề tài “ Thiết lập Access Rule để bảo

mật trên TMG Firewall 2010” sẽ đưa ra các biện pháp để phân quyền tốt nhất trên 1 hệ

thống Firewall lớn qua sản phẩm Firewall của Microsoft là TMG 2010

Xin chân thành cảm ơn thầy LÊ TỰ THANH đã hướng dẫn Nhóm hoàn thành

đồ án của mình

GVHD: Lê Tự Thanh Trang 3

Trang 4

Mục Lục

LỜI NÓI ĐẦU 3

CHƯƠNG I: TƯỜNG LỬA 5

1.1 Khái niệm tường lửa 5

1.1.1 Firewall cứng 5

1.1.2 Firewall mềm 6

Chương II:Lịch sử phát triển của TMG Firewall 2010 7

2.1 Lịch sử và phát triển 7

Chương III: ACCESS RULE 9

Chương IV:Kết Luận 34

Trang 5

CHƯƠNG I: TƯỜNG LỬA

1.1 Khái niệm tường lửa

Tường lửa (Firewall) hiểu một cách chung nhất, là cơ cấu để bảo vệ một mạngmáy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác Firewallbao gồm các cơ cấu nhằm:

có thể được xác định như là một tập hợp các cấu kiện đặt giữa hai mạng

Nhìn chung bức tường lửa có những thuộc tính sau :

- Thông tin giao lưu được theo hai chiều

- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua.Nhìn chung, Firewall có thể bảo vệ hệ thống máy tính chống lại những kẻ đột nhậpqua khả năng ngăn chặn những phiên làm việc từ xa (remote login)

Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khicho phép người sử dụng hợp pháp được truy nhập tự do mạng bên ngoài

Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập Nó là

“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọicuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … Firewall có thể phục vụnhư một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báokhả năng bị tấn công trước khi cuộc tấn công xẩy ra

1.1.1 Firewall cứng

Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so vớiFirewall phần mềm và dễ bảo trì hơn Firewall phần cứng cũng có một ưu điểm khác làkhông chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặcbiệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall và một bộđịnh tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ chotoàn bộ mạng Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so vớiFirewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys(http://www.linksys.com) và NetGear (http://www.netgear.com) Tính năng Firewall

Trang 6

phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ địnhtuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình.

1.1.2 Firewall mềm

Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụngFirewall phần mềm Về giá cả, Firewall phần mềm thường không đắt bằng firewallphần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PCTools Firewall Plus 3.0, ZoneAlarm Firewall 7.1, ISA Firewall 2010(phiên bản cũ làISA firewall 2006), …) và bạn có thể tải về từ mạng Internet

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất làkhi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phầncứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewallphần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫnđược bảo vệ cho dù mang máy tính đi bất kỳ nơi nào

Trong đề tài sẽ sử dụng Firewall mềm là TMG Firewall

Trang 7

Chương II:Lịch sử phát triển của TMG Firewall 2010

2.1 Lịch sử và phát triển

Microsoft Forefront Threat Management Gateway (TMG) 2010 là phiên bản

"Firewall" mới của Microsoft được phát hành để thay thế cho phiên bản cũ là ISAServer 2006

Phát hành ngày 17 tháng 11 năm 2009, sau đó ngày 23 tháng 6 năm 2010 là ServicePack 1

Các phiên bản đã phát hành:

- Microsoft Forefront TMG 2010 Standard Edition

- Microsoft Forefront TMG 2010 Enterprise Edition

- ISP Link Redundancy : Hỗ trợ tải & dự phòng cho nhiều đường truyền Internet

- Enhanced Voice Over IP : Cho phép kết nối & sử dụng VoIP thông qua TMG.

- Intrustion Prevention : Phòng chống các cuộc tấn công & xâm nhập từ bênngoài

- Web Anti-Malware : quét virus, phần mềm độc hại & các mối đe dọa khác khitruy cập web

- HTTPS Inspection : kiểm soát các gói tin được mã hóa HTTPS để phòng chốngphần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate

- E-mail protection subscription service: tích hợp với Forefront Protection 2010for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses,malware, spam e-mail trong hệ thống Mail Exchange

- Network Inspection System (NIS) : ngăn chặn các cuộc tấn công dựa vào lỗhổng bảo mật

- Network Access Protection (NAP) Integration : tích hợp với NAP để kiểm tra

tình trạng an toàn của các client trước khi cho phép client kết nối VPN

- Security Socket Tunneling Protocol (SSTP) Integration : Hỗ trợ VPN-SSTP

- Windows Server 2008 with 64-bit support : Hỗ trợ Windows Server 2008 &Windows Server 2008 R2 64-bit

- URL Filtering : cho phép hoặc cấm truy cập các trang web theo danh sách phânloại nội dung sẵn có như: web đen, chat,…

Với những tính năng bảo mật hệ thống được nâng cao hơn nhiều so với ISAServer 2006, bạn có thể yên tâm vì nhân viên trong công ty có thể truy cập internet

Trang 8

một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại các mối đe dọakhác.

Trong đề tài ứng dụng chức năng URL Filtering của TMG Firewall.

2.3 So sánh với phiên bản trước.

Firewall2006

TMGFirewall2010Kiểm soát các gói tin truy cập từ nội bộ ra Internet & ngược

phần mềm độc hại & kiểm tra tính hợp lệ của các SSL

Certificate

X

Tích hợp với Forefront Protection 2010 for Exchange Server

& Exchange Edge Transport Server để kiểm soát viruses,

malware, spam e-mail trong hệ thống Mail Exchange

X

Hỗ trợ Windows Server 2008 & Windows Server 2008 R2

64-bit

X

Tích hợp với NAP để kiểm tra tình trạng an toàn của các

client trước khi cho phép client kết nối VPN

X

Cho phép hoặc cấm truy cập các trang web theo danh sách

phân loại nội dung sẵn có như: web đen, chat,…

X

Trang 9

Chương III: ACCESS RULE

Access Rule (luật truy cập) được sử dụng để điều khiển truy cập gửi ra từ mộtmạng được bảo vệ bởi Firewall Khi bạn muốn cho phép một máy tính nằm phía sau

sự kiểm soát của Firewall truy cập một mạng khác (gồm có Internet), bạn cần tạo mộtAccess Rule để cho phép kết nối đó

Mặc định, không có Access Rule nào cho phép các kết nối qua Firewall , vì vậytrạng thái mặc định Firewall là một bức tường vững chắc bảo vệ cho mạng Trạng tháiđóng cửa mặc định này là một cấu hình an toàn, tuy nhiên nó cũng có nghĩa là nếumuốn cho phép lưu lượng qua Firewall,chúng ta cần phải thiết lập Access Rules đểgiới hạn các quyền truy cập cho những người dùng khác nhau

Trang 10

CHƯƠNG VI :Cài đặt TMG Firewall 2010 4.1 Mô hình triển khai TMG 2010 để bảo mật hệ thống mạng

Bảng 3.1 Mô hình triển khai TMG 2010

Chuẩn bị : Trong mô hình lab sử dụng 2 máy Windows Server 2008 R2

 Server01 làm chức năng TMG Server (quangtrung.c3nhom9.edu.vn)

 Server02 làm chức năng DC, DNS Server & Client

(quocvu.c3nhom9.edu.vn)

 Máy Client : Win7 ( ductin.c3nhom9.edu.vn )

Trang 11

IP : 192.168.1.150

GW : 192.168.1.100DNS : 192.168.1.200

EXT

IP: 10.21.19.10GW: 10.21.1.1 (DSL Router)

Yêu cầu máy cài đặt :

Cấu hình tối thiểu Cấu hình đề nghịProcessor 2 core ( 1 CPU x dual

core ) 64-bit processor

4 core ( 2 CPU x dual core or 1 CPU x quad core ) 64-bit processor

Đĩa cứng Ổ đĩa cục bộ phân vùng NTFS

Network 2 card mạng : 1 liên kết mạng Lan và 1 đi ra internet

Hệ điều

hành

Windown Server 2008 R2, 64 bit

Trang 12

Cấu hình Server02 làm Domain Controller & DNS Server của domain

c3nhom9.edu.vn

Join máy Server1 vào domain c3nhom9.edu.vn

Join máy client vào domain c3nhom9.edu.vn

4.2 Cài đặt TMG Firewall 2010

Chạy phần Phần mềm “TMG Firewall 2010”để Giải phóng các File

Trang 13

Sau khi các fille được giải phóng,sẽ thấy trang Welcome to Microsoft ForefrontTMG

Click next

Tiếp theo chọn đường dẩn cài đặt

Xong click vào next

Trang 14

Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Preparation Tool

Trong hộp thoại Welcome, chọn Next

Trang 15

Trong hộp thoại License Agreement, đánh dấu chọn I accept the terms of the License Agreements, chọn Nex

Trong hộp thoại Installation Type, chọn Forefront TMG services and

Management, chọn Next

Trang 16

Sau khi cài đặt thành công, chọn Finish

Trong cửa sổ cài đặt Forefront TMG 2010, chọn Run Installation Wizard

Trang 17

Trong hộp thoại License Agreement, chọn I accept the terms in the license agreement, chọn Next

Trang 18

Trong hộp thoại Customer Information, khai báo Product Serial Number, chọn Next

Trong hộp thoại Setup Scenarios, chọn Forefront TMG services andManagement

Trang 19

Trong hộp thoại Installation Path, khai báo đường dẫn cài đặt, chọn Next

Trong hộp thoại Define Internal Network, chọn Add để khai báo subnet sử dụngtrong hệ thống nội bộ

Trang 20

Trong hộp thoại Address, chọn Add Adapter

Trong hộp thoại Select Network Adapters, đánh dấu chọn card INT (Card INT

là card mạng kết nối và nội bộ), chọn OK

Trang 21

Trong hộp thoại Define Internal Network, kiểm tra subnet nội bộ là

172.16.21.0-172.16.21.255, chọn Next

Trong hộp thoại Services Warning, chọn Next

Trang 22

Trong hộp thoại Ready to Install the Program, chọn Install

Sau khi cài đặt thành công,chọn Finish

Trang 23

Vào đường dẫn cài đặt TMG mở Forefront TMG Management

Trong hộp thoại Getting Started Wizard, chọn Configure network settings

Trang 24

Trong hộp thoại Network Template Selection, chọn Edge firewall, chọn Next

Trang 25

Để chỉ định card mạng kết nối vào nội bộ, trong hộp thoại Local Area Network (LAN) Setting, chọn card INT, chọn Next

Để chỉ định card mạng kết nối ra Internet,trong hộp thoại Internet Settings, chọn card EXT, chọn Next

Tiếp theo chọn Finish

Trang 26

Trong hộp thoại Getting Started Wizard, chọn Configure system settings

Trang 27

Trong hộp thoại Host Identification, bảo đảm khai báo đúng thông tin của máy TMG Server như trong hình bên dưới, chọn Nex,

Trang 28

Chọn Finish

Trong hộp thoại Getting Started Wizard, chọn Define deployment options

Hộp thoại Welcome, chọn Next

Trang 29

Trong hộp thoại Microsoft Update Setting, chọn I do not want to use the

Microsoft Update service, chọn Next

Trong hộp thoại protection features setting, chọn next

Trang 30

Trong hộp thoại customer Feedback click “yes …”, chọn next

Trong hộp thoại Microsoft telemetry Reporting service click vào Basic, chon next

Trang 31

Trong hộp thoại conpketing the deployment wizard chọn finish để hoàn tất qúa trình cài đặt TMG

4.3 Triển khai rule access

4.3.1 Các Bước Triển Khai

o Kiểm tra Default Rule

o Tạo các Rule

1 Tạo Rule cho phép các máy trong mạng Lan kết nối được với nhau

Trang 32

2 Tạo Rule cho phép các máy trong mạng Lan kết nối Internet

3 Tạo Rule truy vần DNS để phân giải tên miền

4 Tạo Rule cho phép các User thuộc nhóm Manager truy cập internet không hạn chế

5 Tạo Rule cho phép các User thuộc nhóm Admin chỉ được phép truy cập 1 số trang Web trong giờ hành chính

6 Tạo Rule cho phép các User có thể kết nối Mail ngoài bằng WindowsLive Mail với giao thức POP3/SMTP

7 Không cho các User nghe nhạc trực tuyến

8 Không cho các User chat Yahoo Messenger

9 Không cho các User Downloads

10 Cấm truy cập 1 số trang Web, nếu truy cập sẽ tự động chuyển đến trang Web cảnh báo của công ty

4.3.2 Triển Khai

o Kiểm tra Default Rule

Từ máy client Gõ lệnh ping đến máy TMG đã đặt ip là 192.168.1.100

− Gõ lệnh Ping 192.168.1.100

− Kiểm tra trình duyệt web

− Truy cập: http://viethanit.edu.vn

Trang 33

− Vào startrungõ lệnh cmd gõ lệnh nslookup

− Gõ www.google.com kiểm tra phân giải thất bại

− Gõwww.viethanit.edu.vn kiểm tra phân giải thất bại

Phần triển khai TMG 2010 xem video demo

Trang 34

Chương IV:Kết Luận

Thông qua việc tìm hiểuvề Access Rule trong TMG Firewall 2010, chúng em

đã có một số kiến thức về vấn đề điều khiển truy cập internet của Access Rule trong TMG Firewall 2010

Với Access Rule TMG Firewall 2010 thật sự đem lại hiệu quả cao với sự thuận lợi khi Quảng trị mạng.Bên cạnh việc tìm hiểu lý thuyết, chúng em triển khai ứng dụng với mô hình trên máy ảo

Ngoài ra chúng em còn xử lý một số yêu cầu quản lí cần thiết thực tế trong công ty.Tuy nhiên, mô hình dự án vẫn còn một số khiếm khuyết vì hạn chế của thời gian và kinh nghiệm

Trang 35

Một sốTài Liệu Tham Khảo

Trong quá trình thực hiện đề tài chúng em đã sử dụng đến một số tài liệu điện

tử lien quan đến TMG Firewall 2010 sau:

TMG Firewall 2010 Một số bài lab trên mạng Tham khảo một số ý kiến thông qua internet

Sử dụng các ý kiến hướng dẫn của thầy Lê tự Thanh.

Định dạng
Số trang	35
Dung lượng	2,5 MB