LỜI CẢM ƠNSau thời gian hơn một năm học tập, được sự chỉ dẫn nhiệt tình, cũng như giúp đỡ của quý thầy cô trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc biệt là các thầy cô Khoa Côn
Trang 1LỜI CẢM ƠN
Sau thời gian hơn một năm học tập, được sự chỉ dẫn nhiệt tình, cũng như giúp đỡ của quý thầy cô trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc biệt là các thầy cô Khoa Công Nghệ Thông Tin, cùng với thời gian ba tháng nghiên cứu học tập tại nhà, em đã học được những bài học kinh nghiệm quý báu giúp ích cho bản thân, để nay em có thể hoàn thành đề tài nghiên cứu và triển khai hệ thống
tường lửa Forefront TMG 2010 Em xin chân thành cảm ơn sự giúp đỡ nhiệt tình
của các thầy, cô khoa Công Nghệ Thông Tin trường Cao Đẳng Công Nghệ Và Quản Trị SONADEZI, đặc biệt em xin gửi lời biết ơn sâu sắc đến thầy Huỳnh Phước Danh
đã trực tiếp hướng dẫn em trong suốt thời gian làm đề tài.
Tuy nhiên, do còn hạn hẹp về kiến thức và thời gian nên đề tài đồ án khó tránh được những sai sót, khuyết điểm Em rất mong nhận được sự đóng góp ý kiến của thầy, cô khoa Công Nghệ Thông Tin.
Cuối cùng em xin kính chúc quý thầy cô khoa Công Nghệ Thông Tin, thầy
Huỳnh Phước Danh dồi dào sức khỏe và luôn thành công trong công việc Em xin
chân thành cảm ơn!.
Sinh viên thực hiện Nguyễn Minh Tiến
Trang 2NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Biên hòa, ngày , tháng , năm 2015 Giáo viên hướng dẫn
(Ký và ghi rõ họ tên)
Trang 3DANH MỤC HÌNH
DANH MỤC BẢNG
DANH MỤC CÁC CHỮ VIẾT TẮT
• ADLDS: Active Directory Lightweight Directory Services
• ADSL: Asymmetric Digital Subscriber Line
• API: Application Programming Interface
• CPU: Central Processing Unit
• DNS: Domain Name System
• HDD: Hard Disk Drive
• HTTPS: Hypertext Transfer Protocol Secure
• IP: Internet Protocol
• ISA: Internet Security and Acceleration
• ISP: Internet Service Provider
• LAN: Local Area Network
• NAP: Network Access Protection
• NAT: Network Address Translation
• NDIS: Network Driver Interface Specification
• NIC: Network interface controller
• NIS: Network Information Service
• NLB: Network Load Balancing
• RDB: Remote Database
• RPC: Remote Procedure Call
• SIP: Session Initiation Protocol
• SP1: Service Pack 1
• SSL: Secure Sockets Layer
• SSTP: Secure Socket Tunneling Protocol
• TCP: Transmission Control Protocol
• TFTP: Trivial File Transfer Protocol
• TMG: Threat Management Gateway
• UI: User interface
• URL: Uniform Resource Locator
• VLAN: Virtual Local Area Network
• WAN: Wide Area Network
• VPN: Virtual Private Network
Trang 4PHẦN MỞ ĐẦU
1 Lý do chọn đề tài.
Ngày nay, máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức,
cá nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lý sẽ dể dàng bị tấn công, gây hậu quả nghiêm trọng.
Xác định được tầm quan trọng trong việc bảo mật hệ thống mạng của doanh nghiệp nên em đã chọn và nghiên cứu đề tài “Nghiên cứu và triển khai hệ thống tường lửa Forefont TMG 2010” với mục đích tìm hiểu sâu sắc về cơ chế hoạt động của nó cũng như phát hiện ra những nhược điểm và tìm giải pháp khắc phục những nhược điểm này để hệ thống mạng trong doanh nghiệp luôn được vận hành trơn tru, an toàn và hạn chế sự cố sảy ra
2 Mục đích nghiên cứu.
Nghiên cứu về hệ thống filewall với Forefront TMG 2010.
Triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa
và nhỏ.
3 Đối tượng nghiên cứu.
Nghiên cứu mô hình hệ thống filewall với Forefront TMG 2010.
Nghiên cứu triển khai hệ thống filewall với Forefront TMG 2010 cho doanh nghiệp vừa và nhỏ.
4 Phương pháp nghiên cứu.
Dưới sự hướng dẫn của giảng viên hướng dẫn.
Tìm hiểu các tài liệu liên quan về Forefront TMG 2010 và các hệ thống filewall với Forefront TMG 2010.
Triển khai thực nghiệm trên mô hình hệ thống mạng để kiểm chứng lý thuyết
đã được nghiên cứu được.
Trang 6CHƯƠNG 1: TỔNG QUAN FOREFRONT TMG 2010
1.1 Giới thiệu về Forefront TMG.
1.1.1 Giới thiệu chung.
Sự xuất hiện của Microsoft Forefront TMG 2010 đã mang lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bản Microsoft ISA Server trước đây Một trong số đó là các tính năng bảo mật mới có trong sản phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn.
1.1.2 Lịch sử về TMG 2010.
Khi nhắc đến tường lửa dành cho doanh nghiệp, hầu hết ai có chút kiến thức
về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft, tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006 Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat Management Gateway.
Tường lửa TMG bao gồm toàn bộ chức năng của ISA, tuy nhiên có thêm nhiều cải tiến đáng kể trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm chức năng tường lửa của mình.
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hổ trợ trên các thế hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hổ trợ trên các thế hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft Forefront Threat Management Gateway 2010.
1.1.3 Quá trình phát triển của Forefront TMG 2010.
Quá trình phát triển của Microsoft Forefront TMG 2010 trải qua các giai đoạn phát triển sau.
Trang 7• 1-1997: Microsoft Proxy Server v1.0 (Catapult)
• 18-03-2001: Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)
• 08-09-2004: Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004)
• 17-10-2006: Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006)
• 17-11-2009: Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010)
Hình 1.1: Sơ đồ phát triển của Forefront TMG 2010
1.2 Các chức năng chính của Forefront TMG 2010.
Firewall: Kiểm soát các gói tin truy cập từ nội bộ ra bên ngoài internet và
Remote Access Gateway: Hổ trợ người dùng truy cập từ xa để sử dụng các
dịch vụ và tài nguyên trong nội bộ.
Intrusion Prevention: Phòng chống các cuộc tấn công và xâm nhập từ bên
ngoài.
1.3 Các tính năng nổi trội của Forefront TMG 2010.
Trang 8Hình 1.2: Các tính năng của Forefront TMG 2010
Enhanced Void over IP: Cho phép kết nối & sử dụng VoIP thông qua TMG.
ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường
truyền internet.
Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác
khi truy cập web.
URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách
phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat…
HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng
chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.
E-mail protection subscription service: tích hợp với Forefront Protection
2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail trong hệ thống Mail Exchange.
Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào
lỗ hổng bảo mật.
Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm
tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN.
Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ
VPN-SSTP.
Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều hành Windows Server 2008 64 bit Đây là một hạn chế của TMG Vì khác với Windows Server 2003 Windows Server 2008 rất kén máy chủ Nếu như Server 2003
Trang 9ra hoàn toàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt được, hổ trợ Driver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc tương tự.
Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gở rối Troubleshooting Chức năng này giúp cho người dùng không chuyên cũng có thể quản trị dể dàng TMG, khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút Tiếng Anh
và Tiếng Anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không cần đến IT chuyên nghiệp can thiệp.
1.4 Giao diện của Forefront TMG 2010.
Rule Base Search: Tính năng tìm kiếm mới có trong giao diện quản lý TMG
sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn Nếu muốn hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ
“DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kình lúp để thực thi tìm kiếm.
Hình 1.3: Giao diện các rule đang sử dụng giao thức DNS
Có một số cách để xây dựng các truy vấn Ta có thể chọn tên, các cặp
name:value và cặp property:value Để có thêm thông tin, ta có thể kích liên kết Examples bên cạnh hộp tìm kiếm.
Web Access Policy: Nút Web Access Policy mới trong cây giao diện hiển thị
một khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG.
Trang 10Hình 1.4: Giao diện cấu hình truy cập web
Ở đây ta có thể tạo các tuyến tĩnh (network topology routes) Không cần kết nối đến mổi TMG firewall một cách riêng rẽ và nhập vào lệnh route từ dòng lệnh Để thêm vào một tuyến tĩnh, kích liên kết Create Network Topology Route trong panel nhiệm vụ.
Hình 1.5: Giao diện một tuyến tĩnh
Ở đây bạn sẽ được nhắc nhở cho việc cấu hình các thiết lập mạng và hệ thống, định nghĩa các tùy chọn triển khai Nếu cần tạo những thay đổi cấu hình đáng kể cho hệ thống hoặc định nghĩa lại các tùy chọn triển khai, bạn có thể chạy wizard lần nữa bằng cách kích nút trên cùng trong cây giao diện sau đó chọn tab Tasks trong panel nhiệm vụ và kích liên kết Launch Getting Started Wizard.
Trang 11Hình 1.6: Launch Getting Started Wizard trong cây giao diện
Firewall Policy Grouping: Đây là một tính năng khác mà quản trị viên với
khối lượng lớn các rule phức tạp sẽ đánh giá cao giá trị của nó Để tạo nhóm rule, chọn một hoặc nhiều rule nào đó, kích phải vào số rule đã chọn, Chọn Create Group.
Hình 1.7: Giao diện tạo nhóm rule
1.5 Lý do nên chọn TMG thay ISA
Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần chín năm ISA là một lợi thế tuyệt vời cho giải pháp tường lửa, proxy và máy chủ VPN, nhưng nó thiếu khả năng bảo vệ web tiên tiến và cần thiết để bảo vệ người dùng của chúng ta từ các cuộc tấn công trên mạng internet ngày này Với việc phát hành Forefront TMG 2010, microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo
vệ các kỹ sư an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn Với
sự hổ trợ chủ đạo cuối cùng của ISA Server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại.
Trang 12TMG là ứng dụng 64 bit chạy trên hệ điều hành 64 bit mới nhất của Microsoft Windows Server 2008 R2 Cũng được hỗ trợ cài đặt trên Windows Server 2008 R2 Với sự hỗ trợ 64 bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32 bit có nghĩa là TMG có thể
mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó
Ngoài việc truy cập vào bộ nhớ nhiều hơn, Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu xuất đáng kể trong một số môi trường Tăng cường kết nối mạng thế
hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive-Side Scaling, Compound TCP và Explicit Congestion Notification Cựu chiến binh ISA quản trị máy chủ biết rằng một số các tính năng này, bao gồm trong các mạng Scalable Networking Pack và sau đó được bao gồm trong SP1 cho Windows Server
2003, mâu thuẫn với ISA và đã được vô hiệu hóa Không còn là một vấn đề với TMG
và Windows Server 2008 R2 Ngoài ra còn có cải tiến để phát hiện cổng chết và cải tiến trong việc phát hiện lổ đen bộ định tuyến Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hổ trợ VLAN và NIC.
Giống như tiền nhiệm của nó, TMG là một hệ thống phòng thủ vành đai nhiều lớp ngoài ra còn cung cấp truy cập từ xa Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward, tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet.
TMG hiện nay bao gồm các khả năng sau đây để bảo vệ tiên tiến.
URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty.
Web antimalware: với chức năng quét virut và phần mềm độc hại được tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin Người dùng được bảo vệ khi tải tập tin.
Trang 13 Network Inspection System: NIS là một phát hiện xâm nhập mới với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức Với chữ ký được phát triễn bởi Microsoft Malware Protection Center và phát hành đồng thời với các cập nhật bảo mật vào ngày thứ ba tuần thứ 2 hàng tháng, NIS được thiết kế để ngăn chặn các lổ hổng trong phần mềm Microsoft được khai thác từ xa.
HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa” HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng TMG có khả năng chấm dứt và giải
mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diển ra.
Bảo vệ Email nâng cao và bảo vệ Email mở rộng: TMG có thể tích hợp mật thiết với môi trường Exchange hiện tại của ta TMG hổ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại Những lợi thế của kịch bản triển khai này là cũng cố
hệ thống cạnh và chính sách Email đơn giản hóa bằng cách sử dụng giao diện điều khiển quản lý TMG Sử dụng một mảng nhóm tường lửa TMG cũng cung cấp cân bằng tải và khả năng chịu lổi cho việc chuyển tiếp mail an toàn
Cải tiến VPN
Cải tiến Log và Report
Triển khai tùy chọn mới
Cải tiến mạng bổ xung
Ngoài những cải tiến để tăng cường kết nối mạng của hệ thống hệ điều hành cơ bản được nêu trước đó, TMG hiện nay bao gồm hổ trợ cho hai nhà cung cấp dịch
vụ Internet khác nhau trong một kịch bản cân bằng tải hoạch chuyển đổi dự phòng Thay đổi tới NAT trong TMG giờ đây cho phép người quản trị cấu hình chính sách NAT chi tiết hơn, bao gồm cả việc thiết lập một quy tắc NAT
SIP filter: Bảo vệ lưu lượng Voice over IP là dễ dàng hơn nhiều với việc bổ sung của SIP bộ lọc trong TMG.
TFTP filter: Một TFTP mới làm đơn giản hóa quá trình cung cấp truy cập an toàn tới các máy chủ TFTP.
Cải thiện trang thông báo lỗi với các dịch vụ mới nhất, xem và cảm nhận của trang báo lỗi được cải thiện nhiều Chúng cũng dễ dàng tùy biến.
Trang 14Hình 1.8: So sánh chức năng giữa ISA Server 2006 với Forefront 2010
1.6 Yêu cầu hệ thống để cài đặt Forefront TMG 2010.
Processor 2 core (1 CPU x dual core) 64 bit processor 4 core (2 CPU x dual core or 1 CPU x quad core) 64
bit processor
Hard Disk Space 2,5 GB dung lượng trống 2,5 GB dung lượng trống
Network 1 card mạng cho việc kết nối tới internal network Mổi network kết nối tới TMG cần có một card
mạng Bảng 1.1: Các yêu cầu phần cứng khi cài đặt Forefront TMG
Trang 151.6.2 Các yêu cầu phần mềm khi cài đặt ForeFront TMG.
Windows Roles and Features.
• Network Policy and Access Server.
• Active Directory Lightweight Directory Services (ADLDS).
• Network Load Balancing (NLB).
Microsoft® NET 3.5 Framework SP1.
Windows Web Services API.
Trang 16CHƯƠNG 2: CÀI ĐẶT VÀ CẤU HÌNH FORREFORNT TMG 2010
2003 đã lên domain và một số máy client khác.
2.3 Các bước triển khai.
Cài đặt tường lửa TMG
Cấu hình DNS trong TMG
Cấu hình Access Rule
Cấu hình chặn download file.
Trang 17Preferred DNS 172.16.1.2 172.16.1.2 8.8.8.8
Bảng 2.1: Thông số địa chỉ IP cho máy firewall và máy DC
2.4.2 Cài đặt forefront TMG trên máy firewall
Để cài đặt được chương trình Forefront TMG 2010 trên máy server 2008 thì đầu tiên ta phải cho máy server 2008 chạy các phần mềm cần thiết trong mục “Run preparation tool” Sau đó ta thực hiện các bước như sau:
Trang 18Bước 1: Chọn Run Installation Wizard
Hình 2.2: Giao diện màn hình cài đặt Forefront TMG Bước 2: Cứ để mặc định và next cho tới bước này click Add
Trang 19Hình 2.3: Màn hình define internal network Bước 3: Click Add Adapter để thêm vào card mạng để quản lí qua mạng Internal
Hình 2.4: Màn hình addresses
Trang 20Bước 4: Check vào Internal Connection -> OK-> OK -> Next -> Install
Hình 2.5: Màn hình network apdapters Bước 5: Sau khi cài đặt TMG xong, ta chọn Configure network settings -> Next
Trang 21Hình 2.6: Màn hình configure network setting Bước 6: Do máy ta cài Forefront có đến 2 card mạng, ta chọn card mạng lan
để quản lí -> Next -> OK -> Finish
