Tìm hiểu và triển khai TMG cho công ty TNHH Mai Lan

Điều này phải kể đến sự đóng góp tích cực của các ngànhkhoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.Cùng với sự ra đời của mạng máy tính và các ứng d

ĐỀ CƯƠNG THỰC HIỆN ĐỒ ÁN 5

Nhóm: 03

Tên đồ án: Tìm hiểu và triển khai TMG cho công ty TNHH Mai Lan

Giáo viên hướng dẫn: Vi Hoài Nam Nhóm sinh viên thực hiện: Ngô Thị Hương

Nguyễn Văn Nghĩa

Trần Thị Minh Nguyệt

PHẦN 1:MỞ ĐẦU

1.1 Lý do chọn đề tài

Những năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xuhướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành côngnghiệp cũng như nông nghiệp Điều này phải kể đến sự đóng góp tích cực của các ngànhkhoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề pháttriển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiệnthuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuy nhiên đây cũng

là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong khônggian kết nối mạng

Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mậtđược triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được

ra đời ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nốimạng được cung cấp bở hãng Cisco ISA (Internet Sercurity Acceleration) Server - ứngdụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãngMicrosoft

Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấmkhiêng che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụng bảo mật hệ thốngmạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảoluận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp

Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này

và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management way (Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sựForefront TMG chính là phiên bản tích hợp của:

Gate- Internet Security and Acceleration Server (ISA)

 Forefront Client Security

 Forefront Security for Exchange Server

 Forefront Security for SharePoint

Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trênnên Forefront TMG có khả năng:

 Bảo vệ hệ thống đa dạng hơn

 Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quảMặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management 2010

đã sớm khẳng định được vị thế của mình Rõ nét là đang được nhiều doanh nghiệp tìm

hiểu và áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệpmình.

1.2 Đối tượng nghiên cứu

Nhóm tập trung đi sâu vào nghiên cứu:

1.5 Cấu trúc báo cáo

Báo cáo gồm các nội dung sau:

Chương 1 Tổng quan về Firewall

1.1 Khái niệm Firewall

1.2 Chức năng của Firewall

1.3 Nguyên lý hoạt động của firewall

1.4 Phân loại Firewall

1.5 Những hạn chế của firewall

Chương 2 Tổng quan về Forefront TMG 2010

2.1 Lịch sử phát triển của TMG 2010

2.2 Các mô hình Firewall( Forefront TMG 2010)

2.3 Tính năng của Forefront TMG 2010

Chương 3 Triển khai ForeFront TMG 2010 cho công ty TNHH Mai Lan

3.1 Khảo sát yêu cầu của công ty

3.1.1 Sơ đồ hệ thống mạng hiện tại

3.1.2 Yêu cầu của công ty

3.2 Phân tích yêu cầu và giải pháp

3.3 Triển khai

3.3.1 Các yêu cầu phần cứng khi cài đặt Forefront TMG 20103.3.2 Các yêu cầu phần mềm khi cài đặt Forefront TMG 20103.3.3 Cài đặt ForeFront TMG 2010

3.3.4 Triển khai dịch vụ cho hệ thống

3.3.4.1 Cấu hình các Access Rule

Web AccessDNS QueryMalware InspectionHTTPS Inspection3.3.4.2 Cấu hình network ispection system (NIS)3.3.4.3 Bảo mật hệ điều hành với forefront client security3.3.4.4 Bảo mật máy chủ Exchange

3.3.4.5 Cấu hình ISP Redundancy (Load balancing)3.3.4.6 Cấu hình forefront unifiel access gateway 20103.3.4.7 Cấu hình Intrusion Detection

3.3.4.8 Thực hiện backup và restore3.3.5 Demo trên mô hình giải lập

PHẦN 2: NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL

1.6 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hoả hoạn Trong công nghệ thông tin, Firewall là một kỹ thuậtđược tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ cácnguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng

có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trustednetwork) khỏi các mạng không tin tưởng (Untrusted network)

Hình 1.1: Mô hình firewallThông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công

ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin,ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từbên trong (Intranet) tới một số địa chỉ nhất định trên Internet

Hệ thống Firewall thường bao gồm cả phần cứng và phần mềm nhưng thường là

cả hai Về mặt cứng thì firewall có chức năng giống một router, có cho phép hiển thịcác địa chỉ IP đang kết nối qua nó Điều này cho phép bạn xác định được các địa chỉnào được phép và các địa chỉ IP nào không được phép kết nối

Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt đối xửhay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn

Nếu máy tính của bạn không được bảo vệ, khi kết nối Internet, tất cả các giaothông ra vào mạng đều được cho phép, vì thế hacker, Trojan, virus có thể truy cập vàlấy cắp thông tin cá nhân trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công

file dữ liệu trên máy tính Chúng có thể sử dụng máy tính của bạn để tấn công mộtmáy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall có thểgiúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn.

1.7 Chức năng của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo

vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập

 Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vàotrong

 Kiểm soát đại chỉ truy nhập và dịch vụ sử dụng

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin lưu chuyển trên mạng

 Ngăn ngừa khả năng tấn công từ các mạng ngoài

Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soáthầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệmạng Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộgiao tiếp với mạng bên ngoài và ngược lại

1.8 Thành phần cơ bản của Firewall và nguyên lý hoạt động

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theothuật tóan chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xáchơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thànhcác gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng,tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến cácpacket và những con số địa chỉ của chúng

Một firewall bao gồm một hay nhiều thành phần sau:

 Bộ lọc packet (packet-filtering router)

 Cổng ứng dụng (Application-level gateway hay proxy server)

 Cổng mạch(circuite level gateway)

1.8.1 Bộ lọc packet (packet-filtering router):

Hình 1.2: Packet-filtering router

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật

lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầumỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó đượcchuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall cókhả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thốngmạng cục bộ Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộlọc không kiểm soát được nội dụng thông tin của packet Các packet chuyển qua vẫn cóthể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ư u điểmcủa phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được baogồm trong mỗi phần mềm router Ngoài ra, bộ lọc packet là trong suốt đối với người

sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

1.8.2 Cổng ứng dụng (application-level getway)

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệtcài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy

code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đókhông thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấuhình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ng òi quản trị mạng cho là chấpnhận được trong khi từ chối những đặc điểm khác

Hình 1.3: Application-level getwayMột cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì

nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn(secure version) của các phần mềm hệ thống (Operating system) Các version an toànnày được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System,cũng như là đảm bảo sự tích hợp firewall Chỉ những dịch vụ mà người quản trị mạngcho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụkhông được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn cácứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặttrên bastion host Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụnhư user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhậpchỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiếtlập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống Mỗi proxy duy trìmột quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối,khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngănchặn kẻ phá hoại Mỗi proxy đều độc lập với các proxies khác trên bastion host Điềunày cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang cóvấn để

Ưu điểm:

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy nhập được bởi các dịch vụ

Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nàocho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khoá

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chéplại thông tin về truy nhập hệ thống

Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn sovới bộ lọc packet

Hạn chế:

Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trênmáy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổngứng dụng đòi hỏi hai bớc để nối với máy chủ chứ không phải là một bớc thôi Tuynhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng làtrong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụngtrên lệnh Telnet

1.8.3 Cổng vòng (circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiệnbất kỳ một hành động xử lý hay lọc packet nào

Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng.Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sựkiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợidây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bênngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall,

nó che dấu thông tin về mạng nội bộ

Hình 1.4: Circuit-Level GatewayCổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quảntrị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là mộtbastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho

những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống bức tư ờng lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhậptới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệmạng nội bộ từ những sự tấn công bên ngoài.

-1.9 Phân loại Firewall

 Có ba loại tường lửa cơ bản tùy theo:

 Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng

 Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng

 Tường lửa có theo dõi trạng thái của truyền thông hay không

 Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau:

 Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn

 Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụngđặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài) Một tường lửa thuộc loại này lọc tất cả truyền thông dữ liệu vào hoặc ra các mạng được kết nối qua nó.Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính

 Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính:

 Tường lửa tầng mạng Ví dụ iptables

 Tường lửa tầng ứng dụng Ví dụ TCP Wrappers

 Tường lửa ứng dụng Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc

dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung

cả hai

 Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tườnglửa:

 Tường lửa có trạng thái (Stateful firewall)

 Tường lửa phi trạng thái (Stateless firewall)

1.10 Hạn chế của firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin vàphân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của

những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "điqua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ mộtđường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa

mềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driventattack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall

vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trêncác dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virusmới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của

firewall

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

CHƯƠNG 2: TỔNG QUAN VỀ FOREFRONT TMG 2010

rò rỉ thông tin về tài liệu nội bộ công ty, tình hình tài chính, an ninh quốc gia… có thể gây

ra tổn thất to lớn về mặt kinh tế, chính trị… Các malware đánh cắp dữ liệu bao gồm cácdòng malware như trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật

mã và các trojan gián điệp Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt87% trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%

Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông Nam

Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec, năm

2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu hướng tấn công chính củanăm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên và tinh vi hơn rất nhiều Đó là tấncông có mục tiêu tiếp tục nở rộ, dùng mạng xã hội và kỹ thuật xã hội để xâm nhập vào hệthống, tăng mạnh các gói công cụ tấn công, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấncông, các mối nguy hại từ thiết bị di động tăng mạnh

Hình 2.2: Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại.

Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải phápbảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet Song song đó córất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị

hỗ trợ cho việc an ninh hệ thống mạng Trong số đó, công ty phần mềm hàng đầu thế giớiMicrosoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010,một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Secu-rity Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngănchặn tấn công và lọc các mã độc hại khi truy cập Internet Hơn thế nữa, Microsoft Fore-front TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006,Forefront Client Security, Forefront Security for Exchange Server và Forefront Securityfor Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:

 Bảo vệ hệ thống đa dạng và hoàn thiện

 Phát hiện virus, malware và ngăn chặn tấn công

 Giao diện quản lý thân thiện, dễ dàng

 Giám sát hệ thống mạng được tăng cường

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) làchương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng

ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng.Microsoft Forefront TMG 2010cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụngInternet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọakhác Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năngđược tích hợp vào một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức

tạp của việc bảo mật web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạngcủa chúng ta sẽ được chia ra làm 3 phần riêng biệt:

Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta

Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy

Forefront TMG

External Network - là mạng Internet, như vậy mạng Internet được xem như là một phần

trong mô hình Forefront TMG mà thôi

Hình 2.3: Mô hình tổng quan 3 lớp mạng của firewall

1.11 Lịch sử phát triển của TMG 2010

1.11.1.Lịch sử phát triển

Hình 2.4: Sự phát triển của Forefront Thread Management Gateway 2010

Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004,ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đónhư: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợtrên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế

để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefrontThreat Management Gateway 2010

1.11.2 Quá trình phát triển

Quá trình phát triển của Microsoft Forefront TMG 2010 đã trải qua các giai đoạn:

 1/1997 - Microsoft Proxy Serverv1.0 (Catapult)

 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server

 Route: Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu

thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng

 NAT: Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng,

kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IPcủa network adapter tương ứng

Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule chotường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối

1.12.1.Network Template

Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kếsẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình Bạn hoàn toàn

có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất cả những gì bạn cần thực hiện

là chạy Getting Started Wizard trong giao diện quản lý TMG Management

Hình 2.5: Network setup wizard

1.12.2.Cấu hình các thiết lập mạng

Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để

cấu hình Forefront TMG cung cấp cho bạn tới 4 Network Template:

1.12.2.1 Edge Firewall

Hình 2.6: Edge Firewall TemplateEdge Firewall template là một Network Template cũ và kết nối mạng bên trong với In-ternet, được bảo vệ bởi Forefront TMG Một Edge Firewall template điển hình yêu cầu tốithiểu hai network Adapter trên Forefront TMG Server Đây là tùy chọn mặc định và mộttrong những sử dụng trong đa số trường hợp Điều này sẽ tạo ra một mạng nội bộ mặcđịnh và một mặc định ngoài mạng

1.12.2.2. 3-Leg perimeter

Hình 2.7: 3-Leg Perimeter Template3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều networkadapter Một network adapter kết nối mạng bên trong, một network adapter kết nối vớimạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũngđược gọi là Perimeter Network Perimeter Network gồm có các dịch vụ, nên cần có thểtruy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG Các dịch vụ điển hìnhtrong một DMZ là Web Server, DNS Server hoặc WLAN network Một 3-Leg Perimeter

Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ

“đích thực” Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau

1.12.2.3 Back Firewall

Hình 2.8: Back Firewall TemplateTùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bứctường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG,một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạngnội bộ.Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khiForefront TMG được đặt phía sau Front Firewall Back firewall sẽ bảo vệ mạng bên trongđối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng đượcphép từ các máy tính trong DMZvà từ Front Firewall

1.12.2.4 Single network Adapter

Hình 2.9: Single Network Adapter TemplateTùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửaTMG Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một máychủ proxy web Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP,HTTPS và FTP Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server vớichỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiềudịch vụ theo đó mà không có Nó chỉ có các tính năng dưới đây:

 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP(HTTPS), hoặc File Transfer Protocol (FTP) cho các download.

 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty

 publishing để bảo vệ các máy chủ FTP và published Web

 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi làOutlook Anywhere trong Exchange Server 2007)

1.13 Tính năng của Forefront TMG 2010

1.13.1 Giới thiệu Forefront TMG

Microsoft Forefront Threat Management(TMG) 2010 là một tường lửa có lớp ứngdụng thông minh và khả năng chống phần mềm độc hại có thể được sử dụng để xác định

và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại Forefront TMG là kếthừa cho MicrosoftISA Server và bao gồm tất cả các chức năng ISA Server đồng thờinâng cao khả năng sử dụng, bảo mật, và chức năng

Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộsản phẩm Forefront Edge TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngoài,chẳng hạn như những người tạo ra bởi các host trên mạng được bảo vệ; UAG chủ yếu lànhắm mục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePointhoặc Exchange, Web Publishing

Hai phiên bản của TMG là:

 TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc

lập hoặc với Windows Essential Bussiness Server (EBS).1

 TMG 2010 cho tất cả các triển khai khác.

1

Bảng 2.10: So sánh các tính năng của TMG MBE và TMG FULL

1.13.2 Giao diện quản lý của Forefront TMG 2010

Forefront TMG Management Console được tổ chức lại để đơn giản hóa trongcấu hình

và giám sát Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàngtruy cập hơn trong tab Task Ví dụ, nhữngđiều khiển ở bên tráigiao diện của ISA Server

2004 và ISA 2006 được bỏ bớt,và các chức năng liên quan đó được nhóm lại bên trongtab Task

Hình 2.11: Giao diện quản lý của Forefront TMG

Hình 2.12: Giao diện quản lý của ISA 2006

1.13.3.Các tính năng của Forefront TMG 2010

 Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit:

Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nêncần thiết phảicócác thiết bị để xử lý lưu lượng truy cập nhanh ISA Server là một "phần mềm" tườnglửa dựa trên hệ điều hànhWindows Một hạn chế được biết đến của ISA Server là nókhông thể được cài đặt trên một nền tảng 64-bit TMG không có giới hạn này, bạn phảicài đặt chúng trên hệđiều hành 64-bit Windows Server 2008 và Windows EBS cũng hỗtrợ môi trường 64-bit Với việc giới thiệu hỗ trợ 64-bit, tường lửa TMG có thể sử dụnghơn 4 gigabyte (GB) bộ nhớ RAM

 Hỗ trợ Web Antivirus và Anti-Malware

Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồng thông tinHTTP trước khi nó đến đến khách hàng Tính năng này cung cấp thêm lớp bảo vệ và tăngcường an ninh cho tất cả các host trên mạng được bảo vệ bởi TMG

Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa người dùng vàmáy chủ Web Nội dung của luồng dữ liệunày được lưu trữ trong bộ nhớ hoặc trên đĩa,tùy thuộc vào kích thước của nội dung MPEngine TMG (Microsoft Malware ProtectionEngine) quét nội dung trước khi nó được phân phối cho người dùng

Để hiểu rõ hơn quá trình này, hìnhII.3.1 minh họa làm thế nào các yêu cầu từ ngườidùnglấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua để MPEngine vàcuối cùng, trả lại cho người dùng sau khi xử lý

Hình 2.13: MPEngine và các bước xử lýHình 2.13 minh họa các bước sau:

1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG

2) Yêu cầu được chuyển tiếp từ TMG đến Web Server

3) Các phản hồi từ máy chủ Web được trả lại cho TMG

4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web

5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểmtra

6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩahoặc bộ nhớ, tùy thuộc vào kích thước

7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc

8) Bộ lọc gửi nội dung đếnEdge Malware Protection (EMP) Máy quét để kiểm tra.9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web

10) Dữ liệu được gửi đến xử lý đích

11) Việc xử lý đích lấy nội dung tích lũy

12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng

15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine

16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng

Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tíchlũynội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó

kiểm tranội dung Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMGchuyểntập tin đến người dùng cuối Nếu nội dung được tải về và kiểm tra các tập tinmất hơn 10 giây, TMGsẽgửi một trang tiến độ HTML cho người dùngthể hiện tiếntrình tải về hoặc cho thấy một phản ứng trickled tùy thuộc vào loại nội dung được tải

về Một phản ứng trickled là cùng một loại phản ứng người ta sẽ thấy khi sao chép tậptin từ một thư mục khác

Hình 2.14: Quản lý down load với Forefront TMG

 Giao diện người dùng,quản lý và báo cáo nâng cao

TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS) SRS

có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL SRS cho phép báo cáo thiết kế và địnhnghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng,một dịch vụ Web có thể lập trình giaodiện, và nhiều hơn nữa SRS gồm dịch vụ cơ sở dữ liệuvà trong trường hợp của SRS

2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do này IIScũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa IIS không phải là một vaitrò cần thiết cho TMG 2010.2

Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độchại, lọc URL và phòng chống xâm nhập TMG báo cáo bao gồm thông tin không có sẵntrong các phiên bản trước của các bức tường lửa Khi Forefront Protection Manager 2010(FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giảipháp bảo vệ end-to-end Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện báocáo FPM

2

TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo rabáo cáo vàquản lý.

Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho dows Essential Business Server và TMG 2010

Win-Bảng 2.15: So sánh chức năng trong TMG MBE và TMG 2010

 URL Filtering

Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh Sử dụng lọcURL, bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra mộtnguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty

Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độchại Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chínhsách đối với các loại này Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trangweb bị từ chối Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép người

sử dụng truy cập vào các trang web này nếu có điều kiện nhất định

Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận đượcmột thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theochính sách công ty Thông báo HTML có thể được cấu hình trên TMG

 HTTPS Inspection

HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi động

từ các máy tính trong mạng được bảo vệ Tính năng này đóng một vai trò quan trọngtrong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa trêncác máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS Khimột người dung yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ máychủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng Trong cách nàytất cả lưu lượng HTTPS có thể đượcTMG kiểm tra trước khi nó được thông qua giữa máykhách và máy chủ

 Hỗ trợ E-Mail Anti-Malware và Anti-Spam

TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống

Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sửdụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng Đối với cácgiao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện chomột liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài Mục đích các tuyếnđường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và Internet,giữa TMG và published mail server Giao diện người dùng mới làm cho nó dễ dàng hơn

để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV) quét trên cáctuyến đường SMTP

Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truycập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-mail

 Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)

Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó cóthể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập IPS là một thiết bịbảo vệ hệ thống Một IPS thường được coi là một phần mở rộng của Intrution DetectionSystem (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát truy cập,tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động đáng ngờ, nhưngcũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho phép được lựa chọncon đường đi qua

TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS TMG

2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại

Hình 2.16: Giao diện Intrusion Prevention System (IPS)

 The Session Initiation Protocol (SIP) Filter

Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm thanh

và video thông qua các bức tường lửa TMG và cũng cho phép người dùng chuyển các tậptin và chia sẻ ứng dụng

 TFTP Filter

TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter TFTP thường được sửdụng bởi BootPclient để tải về một hệ điều hành Ngoài ra, do nhiều Voice Over IP(VoIP) điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMGcung cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách sử dụng

bộ lọcTFTP Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới được triển khai.TFTP là một truyền tập tin giao thức tương tự như File Transfer Protocol (FTP), nhưnghoạt động khá khác nhau một chút và sử dụng khác nhau Bởi vì ISA Server thường đượcdùng để cô lập mạng lưới của nhau và không hiểu làm thế nào để quản lý TFTP Commu-nications, nên việc triển khai tự động của Windows và bằng ảnh đĩa thường bị thất bại.TMG giải quyết vấn đề này bằng cách thêm một bộ lọc TFTP để cung cấp sự quản lý tốthơn và an toàn hơn

 Network Functionality Enhancements (Cải tiến chức năng mạng)

Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệ NetworkAddress Translation (NAT) tồn tại giữa các mạng, ISA không cho phép xác định địa chỉ

IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ IP Thay vào đó, ISA luônluôn sử dụng chính địa chỉ IP kết hợp với giao diện, làm cho địa chỉ IP của địa chỉ nguồncho tất cả các outboud traffic Tương tự như vậy, ISA không thể làm cho việc sử dụng kếtnối nhiều hơn một ISP, khiến nhiều người dùng phải mua một thiết bị riêng biệt để đápứng nhu cầu này

 Nat address Selection (Lựa chọn địa chỉ NAT)

Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để sử dụngcho các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thể mạng Ngoài ra,nếu TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địa chỉ được xem bởi cácmáy chủ SMTP từ xa Điều này đặc biệt hữu ích nếu có hạn chế địa chỉ IP đang được đểbảo vệ thư rác tại SMTP Server từ xa Lựa chọn địa chỉ NAT được thiết lập thông qua cácNew Network Rule Wizard

Hình 2.17: Nat address Selection wizard

 ISP Sharing/Failover

TMG cũng hỗ trợ kết nối dual ISP (Liên kết bên ngoài) có thể hoạt động theo mộttrong hai chế độ: chuyển đổi dự phòng ISP hoặc ISP chia sẻ Trong chế độ chuyển đổi dựphòng ISP, nếu một ISP kết nối bị hỏng, TMG có thể cung cấp khả năng chịu lỗi bằngcách tự động chuyển sang kết nối ISP khác Điều này giúp TMG cung cấp cân bằng tảinăng động giữa các nhà cung cấp dịch vụ Internet với dự phòng và khả năng chuyển đổi

dự phòng Trong chế độ nhà cung cấp dịch vụ Internet chia sẻ tải, bạn có thể chỉ định một

tỷ lệ phần trăm tải giữa hai ISP kết nối và TMG sẽ định tuyến dựa trên lưu lượng giaothông hiện tại thông qua mỗi ISP kết nối

 So sánh tính năng được hỗ trợ trong TMG 2010 với TMG MBE và ISA 2006

ISA Server

2006 TMG MBE TMG 2010 Forefront

IPSec VPN( Remote and site-to-site) Có Có Có

Cấu hình tốc độ truy cập web(Web

caching), nén HTTP

Chỉ hỗ trợ Window Server 2008 R2,

Chống virut và phần mềm độc hại khi

duyêt web (Web antivirus,

Chống xâm nhập qua mạng(Network

Tăng cường giao diện người

dùng(Enhance UI) quản

lý(Management), báo cáo( report)

Cân bằng tải( ISP Redundancy) Không Không Có

Bảng 2.18: So sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010

1.14 So sánh các tính năng giữa các phiên bản của TMG

Standard Edition Enterprise Edition

Số lượng CPU Hỗ trợ tối đa 4 CPU Không giới hạn

Chức năng cung

Không Có, cùng với khả năng bổ

sung cho WindowsEssential Bussiness Server(EBS) để quản lý ECS

Bảng 2.19: So sánh các tính năng trong Forefront TMG Standard và Enterprise

1.15 So sánh các tính năng của ISA 2006 và ForeFront TMG 2010

ISA Server

2006

Forefront TMG 2010

Tường lửa hoạt động ở tầng ứng dụng Có Có

Bảo vệ truy cập internet( proxy) Có Có

IPSec VPN( Remote and site-to-site) Có Có

Cấu hình tốc độ truy cập web(Web

caching), nén HTTP

Chỉ hỗ trợ Window Server 2008 R2, 64

Chống virut và phần mềm độc hại khi

duyêt web (Web antivirus, antimalware)

Không Có(Mới)

Lọc các URL(URL filtering) Không Có(mới)

Chống phần mềm độc hại và spam khi sử

Tăng cường giao diện người

dùng(Enhance UI) quản

lý(Management), báo cáo( report)

Không Có(mới)

Bảng 2.20: Bảng so sánh các tính năng cuat ISA 2006 và Forefront TMG 2010

1.16 Price và Licenses của từng phiên bản ForeFront TMG 2010

50% giá trị cho khách hàng, ngườimuốn TMG 2010 mở rộng kế hoạchphát triển các chi nhánh văn phòng

Forefront TMG

Web Protection

Service

1200$/ ngườidùng hoặc thiếtbị/một năm

Forefront TMG Web ProtectionService được apdate liên tục cho việclọc các mailware và khi truy cập cácURL thì được bảo vệ khỏi các đe dọa

Microsoft Forefront Protection 2010 forSharePoint tích hợp nhiều công cụ quét từcác hãng hàng đầu và bảo vệ kiểm soát

for SharePoint một năm nội dung để giúp doanh nghiệp bảo vệ

phần mềm Microsoft Office Sharepoitn

2010 và 2007 và môi trường làm việcWindow SharePoint Service 3.0 và khóamalware, các chính sách từ thư viwwn

Microsoft Forefront Protection 2010 forSharePoint Internet Site đăng kí hàngtháng cho một server, đi kèm với nó làmỗi một sản phẩm của Microsoft OfficeSharePoint Server for Internet site server

Window Server 2008 sp2 hoặc Window

Server 2008 R2 <64 bit>

Hình 2.23: Thông tin Price và Licenses của Windows Server 2008

CHƯƠNG 3: TRIỂN KHAI TMG CHO CÔNG TY TNHH MAILAN

1.17 Khảo sát yêu cầu của công ty

1.17.1.Sơ đồ hệ thống mạng của công ty

Công ty TNHH Mai Lan có một trụ sở tại Q1, Tp HCM và một trụ sở khác tại Hà Nội

với tên miền mailan.net chuyên:

 Kinh doanh các mặt hàng thiết bị điện tử máy tính

 Cung cấp thiết bị máy tính cho doanh nghiệp, trường học

 Tư vấn hỗ trợ khách hàng qua mạng

Công ty TNHH Mai Lan đã có sẵn hạ tầng hệ thống công nghệ thông tin Với nhu cầuphát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả trong kinh doanh Bộphận IT đã khảo sát tổng thể và đưa ra mô hình triển khai như sau:

Hình 3.1: Mô hình tổng quát công ty tnhh Mai Lan

Hình 3.3: Mô hình mạng logic của công ty

1.17.2.Yêu cầu của công ty

- Tăng cường bảo mật toàn diện cho hệ thông mạng doanh nghiệp

- Hỗ trợ người dùng di động làm việc hiệu quả

- Hỗ trợ làm việc giữa các site với vpn thông qua môi trường internet

- Quản lý theo dõi các traffic ra vào hệ thống

- Thiết lập các cơ chế phát hiện và ngăn chặn xâm nhập trái phép vào hệ thống

- Lọc và ngăn chặn spam, virus cho hệ thống mail

- Lọc và ngăn chặn malware xâm nhập hệ thống mạng

1.18 Phân tích yêu cầu và giải pháp

Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn, hiệu quả trongkinh doanh, chúng tôi xin đưa ra giải pháp nhằm đáp ứng những nhu cầu về bảo mậtcủa công ty với MS Forefront TMG 2010 vì đây là sản phẩm cung cấp tính bảo mậtthích hợp giữa Internet Security and Acceleration Server (ISA), Forefront ClientSecurity, ForeFront Security for Exchange Server, Forefront Security for SharePoint.Với những tính năng ưu việt đó, MS ForeFront TMG 2010 có thể đáp ứng được nhucầu sau: