TỔNG QUAN VỀ GIẢI PHÁP ISA, CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ CHÍNH SÁCH BẢO MẬT

Cùng với những nhu cầu về bảo mật thông tin, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin được ra đời. Ví dụ: Cisco – bảo vệ mạng thông qua hạ tầng phần cứng kết nối mạng. ISA Sever ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin,...được cung cấp bởi hãng Microsoft.Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấp lên nên theo thời gian và tiến trình phát triển.Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG Threat Management Gateway 2010. Đây là một thay đổi lớn về mặt quan điểm và là một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft, Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật trong mọi giai đoạn phát triển.

MỤC LỤC

LỜI NÓI ĐẦU

CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA 3

1.1 Tổng quan về ISA Sever 3

1.1.1 Khía cạnh mạng 3

1.1.2 Khía cạnh Sever 4

1.2 ISA Server Firewall 7

1.2.1.Điều khiển các yêu cầu ra ngoài 7

1.2.2 Điều khiển các yêu cầu đến 8

1.2.3 Lọc các IP packet 8

1.2.4 Xâm nhập và báo động 9

1.2.5 SecureNAT (Secure Network Address Translation) 10

1.3 ISA Server cache 11

1.3.1 Cách thức hoạt động của ISA Server cache 11

1.3.2 Cơ chế cache của ISA Server 12

1.4 Các luật quản lý chính sách truy cập 13

1.4.1 Lọc IP Packet 13

1.4.2 Các luật về băng thông 15

1.4.3 Các luật chính sách quảng bá 15

1.5 Các tính năng nổi trội của Forefront TMG 2010 16

CHƯƠNG 2: GIẢI PHÁP FOREFRONT TMG (PHÁT TRIỂN TỪ ISA) 20

2.1 Sơ đồ tổng quan 20

2.2 Tổng quan về Firewall 20

2.2.1 Khái niệm Firewall 20

2.2.2 Chức năng chính 21

2.2.3 Nguyên lý hoạt động của Firewall 21

2.2.4 Ưu nhược điểm của Firewall 22

2.2.5 Những hạn chế của Firewall 23

2.3 Giới thiệu Windown Server 2008 23

2.4 Giới thiệu về Forefront TMG 2010 25

2.4.1 Lịch sử về Forefront TMG 2010 25

2.4.2 Quá trình phát triển của Forefront TMG 2010 25

2.4.3 Các tính năng của TMG 2010 26

2.4.4 Giao diện của TMG 2010 28

CHƯƠNG 3: CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ CHÍNH SÁCH BẢO MẬT 31

3.1 Yêu cầu hệ thống 31

3.1.1 Yêu cầu phần cứng 31

3.1.2 Yêu cầu phần mềm 32

3.2 Cài đặt TMG 2010 32

3.3 Cấu hình 1 số tính năng của TMG để quản lý nhân viên 40

3.3.1 Web acess 40

3.3.2 DNS Query 43

3.3.4 Malware Inspection 46

3.3.5 HTTP Filter 50

3.3.6 INTRUSION DETECTION 53

DANH MỤC HÌNH ẢNH

Hình 1.1 Kiến trúc của ISA Sever trên khung cảnh mạng 1

Hình 1.2 Kiến trúc chuỗi ISA Sever 3

Hình 2.1 Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010 14

Hình 2.2 Sơ đồ phát triển của Forefront TMG 2010 18

Hình 2.3 Các chức năng chính của TMG 2010 19

Hình 2.4 Giao diện hiển thị các rule đang sử dụng giao thức DNS 20

Hình 2.5 Giao diện cấu hình truy cập Web 20

Hình 2.6 Giao diện tạo một tuyến tĩnh 21

Hình 2.7 Launch Getting Started Wizard trong cây giao diện 21

Hình 2.8 Giao diện tạo một nhóm Rule 22

Hình 3.1 Tùy chọn vào Run Preparation Tool 24

Hình 3.2 Tiến trình cài đặt 25

Hình 3.3 Hoàn thành cài đặt Run Preparation Tool 25

Hình 3.4 Cài đặt Run Intallation Winzard 26

Hình 3.5 Tiến trình cài đặt Run Intallation Winzard 26

Hình 3.6 Điền thông tin 27

Hình 3.7 Chọn phương thức cài đặt 27

Hình 3.8 Tiến trình cài đặt 28

Hình 3.9 Chọn card mạng ra trong mạng lan và chọn địa chỉ cấp ra 28

Hình 3.10 Tiến trình cài đặt Run Intallation Winzard 29

Hình 3.11 Chọn card confgure network setting cấu hình 29

Hình 3.12 Địa chỉ card ra lan Inter 30

Hình 3.13 Địa chỉ card ra internet: Exter 30

Hình 3.14 Chọn môi trường cài đặt domain hay workgroup 31

Hình 3.15 Tắt chế độ update 31

Hình 3.16 Hoàn thành cài đặt Getting starter winzard 32

Hình 3.17 Giao diện mới cài đặt xong TMG 32

Hình 3.18 Tạo Access rule 33

Hình 3.19 Đặt tên cho Access rule 33

Hình 3.20 Chọn cách cài đặt 34

Hình 3.21 Chọn giao thức HTTP và HTTPS 34

Hình 3.22 Chọn giao thức 35

Hình 3.23 kết thức cấu hình access rule 35

Hình 3.24 Tạo Access rule cấu hình DNS Query 36

Hình 3.25 Đặt tên Access rule 36

Hình 3.26 Chọn giao thức 37

Hình 3.27 Hoàn thành quá trình cấu hình 37

Hình 3.39 kiểm tra việc cập nhật cho chức năng Malware Inspection 38

Hình 3.40 Giao diện Launch Getting Started Wizrd 39

Hình 3.41 Bật tính Năng updates 39

Hình 3.42 Giao diện cấu hình 40

Hình 3.43 Check for and install New Definitions và chờ đợi quá trình cập nhật .40 Hình 3.44 Check Inspect content downloaded from Web servers to clients 41

Hình 3.45 kiểm tra download trang Http 41

Hình 3.46 Thông báo khi nhấn Downloal 42

Hình 3.47 Chọn Configure HTTP cấu hình cấm download file chỉ định 43

Hình 3.48 Chọn các đuôi chỉ định cấm download 43

Hình 3.49 Kiểm tra thử download 44

Hình 3.50 Cấm post là đăng nhập vào các diễn đàn forum 45

Hình 3.51 kiểm thử đăng nhập vào Forum 45

Hình 3.52 Bật chức năng cảnh báo 46

Hình 3.53 Chọn kiểu tấn công port scan 46

Hình 3.55 Chọn chức năng thông báo 47

Hình 3.56 Chọn Intrution Detected 47

Hình 3.57 Chọn hình thức cảnh báo 48

Hình 3.58 Cấu hình Superscan 49

Hình 3.59 Tiến hành Scan 50 Hình 3.60 Thông báo xâm nhập bên máy TMG 50

LỜI NÓI ĐẦU

Cùng với những nhu cầu về bảo mật thông tin, nhiều ứng dụng bảo mật được triểnkhai với nhiều hình thức nhằm giữ toàn vẹn thông tin được ra đời Ví dụ: Cisco – bảo vệmạng thông qua hạ tầng phần cứng kết nối mạng ISA Sever - ứng dụng bảo vệ mạngtheo mô hình phân lớp mạng, lọc gói tin, được cung cấp bởi hãng Microsoft

Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấplên nên theo thời gian và tiến trình phát triển

Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG

- Threat Management Gateway 2010 Đây là một thay đổi lớn về mặt quan điểm và là

một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft,

Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật trong mọi giai đoạn phát triển

Thách thức đối với các thiết lập tường lửa TMG mới là học những vấn đề cơ bản Chúng

ta đã trải qua hàng thập kỷ làm việc với ISA và hầu hết trong mọi quản trị viên đều hiểu rất sâu về các chi tiết kỹ thuật cũng như các kịch bản triển khai phức tạp của nó Tuy nhiên có rất nhiều người gặp phải vấn đề khi truy cập cũng như cách làm việc của tường lửa TMG Rất nhiều quản trị viên TMG mới đã tập trung vào tìm hiểu cách điều khiển truy cập gửi vào (cho ví dụ, để điều khiển sự truy cập đến Exchange và SharePoint) Và lúc này họ muốn biết cách điều khiển truy cập các kết nối gửi ra Đó là lý do mà chúng tôi nghiên cứu về đề tài “Cài đặt Forefront Threat Management Sever và cấu hình một số chính sách bảo mật” Bài báo cáo gồm có :

Chương 1: Tổng quan về giải pháp ISA

Chương 2: Giải pháp Forefront TMG (phát triển từ ISA)

Chương 3: Cài đặt Forefront TMG server và cấu hình một số chính sách bảo mật

Trong quá trình làm báo cáo chắc chắn không tránh khỏi thiếu sót Mong các thầy

cô và các bạn đóng góp ý kiến để báo cáo được hoàn thiện hơn Xin chân thành cảm ơn!

CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA 1.1 Tổng quan về ISA Sever

Internet Security and Acceleration (ISA) Sever đưa ra một giải pháp kết nối chứa

cả firewall và cache ISA Sever bảo vệ mạng, cho phép cài đặt một chiến lược bảo vệnghiệp vụ bằng cách cấu hình một tập hợp lớn của những rule, chỉ ra những site, giaothức, và nội dung có thể được truyền qua máy tính ISA Sever ISA Sever giám sát cácyêu cầu và trả lời giữa các máy tính trên Internet và các máy khách nội bộ điều khiển ai

có thể truy nhập máy tính nào trên mạng phối hợp ISA Sever cũng điều khiển máy tínhnào trên Internet có thể truy nhập bởi các Client nội bộ

1.1.1 Khía cạnh mạng

Hình dưới đây là kiến trúc của ISA Server trên khung cảnh mạng

Hình 1.1 Kiến trúc của ISA Sever trên khung cảnh mạng

ISA Sever được cấu hình điển hình trên máy tính với hai giao diện mạng, một nốitrực tiếp với mạng nội bộ, một nối với Internet Các giao diện này có thể thích nghi vớinhiều kiểu giao thức Trên mạng nội bộ (LAN), ví dụ: Ethernet, Token Rin, hay ARCNet

là nói chung đều có thể hỗ trợ TCP/IP hoặc NetBEUI Một kết nối Internet có thể dùngmột modem, ISDN, hoặc một giao diện mạng gắn với một router có nối với Internet

Tại trung tâm của ISA Sever là máy tính của quản trị viên Máy tính của quản trịviên có các chức năng của ISA Sever, dịch vụ thư mục của MS Windows 2000, và đốitượng COM ISA Quản trị cũng có thể quản lý các client từ xa dùng cơ chế quản trị củaISA hoặc dùng các đoạn mã script

Các tác vụ của quản trị viên gồm có thiết lập các luật (rule) và chính sách (policy),

và cấu hình bộ nhớ cache Các luật là để xác định cách mà các client giao tiếp Internet vàkiểu thông tin được cho phép Các luật còn xác định cách mà server trong mạng nội bộ

của ta giao tiếp với client trên Internet Một điều khoản bao gồm các luật cho các site vànội dung, luật cho giao thức, luật công khai Web, và các bộ lọc các IP packet.

Một chính sách có thể được áp dụng tại một mức chuỗi hoặc mức xí nghiệp Xínghiệp bao gồm tất cả các chuỗi mạng Các chiến lược mức xí nghiệp có thể được ápdụng cho tất cả các chuỗi của xí nghiệp Thêm nữa, một chính sách mức chuỗi có thể ápdụng cho một hoặc nhiều chuỗi

Bốn ý chính có thẻ thấy trong khung cảnh mạng:

- Quản trị viên quản trị ISA Sever tại máy tính từ xa

- Chuỗi các ISA Sever, bao gồm ít nhất một sever

- Active Directory, nằm tại một máy tính riêng biệt Dịch vụ thư mục chủ động lưuthông tin về các đối tượng trên mạng, bao gồm người dùng và máy tính, enterprise vàmiền – chuỗi các thông tin đăng ký liên quan đến ISA và các mở rộng của nó ActiveDirectory phân tán các thông tin trên toàn mạng Cơ chế đăng ký trên máy ISA có thểthực thi các chức năng này khi không dùng Active Directory

- Các client và server dùng các khả năng của ISA Sever là firewall và cache

Chúng ta có thể lập trình cho các tác vụ quản trị ISA tự động bằng cách truy nhậpvào các đối tượng ISA COM

1.1.2 Khía cạnh Sever.

ISA Sever hoạt động tại nhiều tăng truyền thông khác nhau để bảo vệ mạng phốighép Tại tầng xử lý packet, ISA Sever thực hiện lọc packet Khi cơ chế lọc được chophép, ISA Sever có thể điều khiển một cách thống kê các dữ liệu ở giao diện ngoài, đánhgiá tải đến trước khi tiếp cận tới tài nguyên Nếu dữ liệu được cho phép vượt qua tầng lọcpacket này, nó sẽ đến với dịch vụ firewall và web proxy, nơi mà các luật ISA Sever được

xử lý để xác định yêu cầu phục vụ

Hình dưới đây cho thấy chi tiết về kiến trúc của chuỗi ISA Server

Hình 1.2 Kiến trúc chuỗi ISA Sever

ISA Sever có thể được dùng thành một chuỗi, để cho phép cân bằng tải và chịu lỗi.Tuy nhiên chúng ta sẽ bàn một chút về kiến trức của ISA Sever đơn Các bộ phận củasever gồm có:

- Bộ lọc IP packet

- SecureNat, Một chức năng của ISA Sever thực hiện công việc dịch địa chỉ mạngthay cho hàm NAT của Windows 2000

- Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall và các bộ lọc ứng dụng:

+ Dịch vụ Web proxy, bao gồm các bộ lọc Web và cache

+ Dịch vụ Firewall, xử lý các yêu cầu kết nối bằng dịch vụ Firewall và cácSecureNAT client Các yêu cầu http được phát tới dịch vụ Web proxy bằng bộ lọc httpredirector

+ Các bộ lọc ứng dụng, bao gồm bộ lọc http redirector, bộ lọc này địnhhướng các yêu cầu http tới dịch vụ Web proxy, và các bộ lọc giao thức khác với ISASever Các bộ lọc của các hãng thứ ba có thể được phát triển cho ISA firewall bằng cáchdùng các giao diện bộ lọc ứng dụng

ISA Sever cũng dùng bộ điều khiển băng thông của QoS trong Windows 2000.QoS là một tập hợp các thành phần quản lý việc sử dụng băng thông cho mạng ISASever dùng QoS để kết nối theo các luật được thiết lập bởi quản trị viên ISA

Có thể thấy trên hình vẽ ISA Sever bảo vệ ba loại client:

- Client ISA Firewall là các máy tính được cài đặt phần mềm ISA Firewall Cácyêu cầu từ các ISA Firewall client được gửi tới dịch vụ ISA Firewall trên máy ISA Sever

để xác định truy nhập nào là được phép Kết quả là, các yêu cầu có thể được lọc bởi các

bộ lọc ứng dụng và bởi các add-in khác Nếu các client ISA Firewall client yêu cầu mộtđối tượng http, bộ lọc http redirector sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy Dịch

vụ Web proxy cũng có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng

từ ISA Sever cache

- SecureNAT client là các máy tính không cài ISA Firewall client software Cácyêu cầu từ SecureNAT là được gửi trước hết tới NAT driver, giúp cho việc chuyển từ IPtoàn cầu sang IP nội bộ của SecureNAT client Các yêu cầu của client sau đó được gửi tớidịch vụ ISA Firewall, để xác định truy cập nào là được phép Cuối cùng, yêu cầu có thểđược lọc bởi các bộ lọc ứng dụng và các add-in khác Nếu các SecureNAT client yêu cầumột đối tượng http, bộ lọc http redirectory sẽ chuyển tiếp yêu cầu tới dịch vụ Web proxy.Dịch vụ Web proxy có thể đệm cho các đối tượng được yêu cầu, hoặc phục vụ đối tượng

từ ISA Sever cache

- Các máy khách Web proxy là các ứng dụng duyệt bất kỳ tương thích với chuẩncủa CERN ISA chuyển tiếp các yêu cầu từ Web proxy client cho các dịch vụ Web proxytrên máy tính ISA Sever để xác định truy cập nào là được phép Dịch vụ Web proxy cũng

có thể đệm cho các đối tượng được yêu cầu hoặc phục vụ các đối tượng từ ISA Servercache

Cần chú ý rằng Firewall client và các SecureNAT client là không tồn tại đồngthời Tuy nhiên, các máy khách ISA Firewall và các máy khách SecureNAT đều có thể làcác máy khách Web proxy Nếu ứng dụng Web trên máy tính là được cấu hình mục địch

để dùng ISA Sever, thì tất cả các Web request (HTTP, FTP, HTTP-S và Gopher) đượcgửi trực tiếp tới dịch vụ Web proxy Tất cả các yêu cầu khác được xử lý bởi dịch vụFirewall

1.2 ISA Server Firewall

1.2.1.Điều khiển các yêu cầu ra ngoài

Một trong những chức năng chính của ISA Server là kết nối mạng nội bộ vớiInternet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại Để đơn giản hoá,ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, xác đinh cáchclient truy nhập vào Internet

Khi ISA Server xử lý mọt yêu cầu ra ngoài, nó kiểm tra các luật dẫn đường, luậtcho nội dung và site, và các luật giao thức để xác định xem yêu cầu có được phép không.Một yêu cầu được cho phép chỉ nếu cả luật về giao thức và nội dung cho phép và không

có luật nào khác chủ đích từ chối request này

Một vài luật có thể được cấu hình để áp dụng cho các client nhất định Trongtrường hợp này, các client có thể được xác định hoặc bằng địa chỉ IP hoặc bằng tên người

dùng ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đốitượng và cách cấu hình server.

Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:

- Các luật giao thức Trước hết ISA Server kiểm tra luật giao thức ISA Server chỉcho phép yêu cầu nếu luật giao thức cho phép và không một luật nào khác từ chối

- Luật cho nội dung và site Cơ chế cũng như trên

- Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định haykhông, xác đinh xem yêu cầu có bị từ chối hay không

- Các luật dẫn đường hoặc cấu hình chuỗi Firewall, nếu một Web proxy client yêucầu đối tượng, để xác định cách mà yêu cầu được phục vụ

1.2.2 Điều khiển các yêu cầu đến

ISA Server cũng có thể tạo ra những chính sách để bảo vê an toàn cho các servernội bộ, bao gồm có các bộ lọc IP packet, các luật công khai Web, hoặc các luật công khaiserver, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra

Các luật công khai server của ISA Server:

- Luật công khai Web, công khai nội dung Web server

- Luật công khai server, công khai nội dung trên tất cả các server khác trong mạngnội bộ

- Lọc IP packet để công khai nội dung trên các server lên mạng vành đai(perimeter network hay screened subnet)

Khi một ISA Server xử lý một yêu cầu từ một client bên ngoài, nó kiểm tra các bộlọc IP packet, các luật công khai, và các luật dẫn đường để xác định xem yêu cầu có đượccho phép không và server nội bộ nào nên phục vụ yêu cầu này Thứ tự xử lý sẽ như sau:

Với các bộ lọc IP packet, ta có thể chặn hay hoặc cho phép hoặc ngăn các packetdùng cho các máy tính nhất định trên mạng phối ghép, có thể cấu hình hai loại bộ lọc IPpacket tĩnh: các bộ lọc cho phép và các bộ lọc chặn.

Các packet không được chặn được truyền tới các dịch vụ ISA tại mức ứng dụng,khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ củaWeb proxy và ISA Firewall Các cổng là được mở để truyền và nhận, và sau đó đượcđóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối

ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IPpacket đến và đi ISA Server có thể được cấu hình các luật và chính sách truy nhập, mởcổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc Cách tiếp cận này làmgiảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng

Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đemlại phương thức an toàn nhất để xử lý các cổng cấp phát động

1.2.4 Xâm nhập và báo động

ISA Server có các cơ chế kiểm tra xâm nhập, xác định khi nào mạng bị tấn công,

và thực thi một chuỗi các hành động được lập sãn trong trường hợp đó

Để dò tìm những thông tin xâm nhập, ISA Server so sánh tải và danh sách cácthông tin đầu vào liên quan đến các phương thức tấn công phổ biến Cơ chế báo động sẽđược kích hoạt khi có các hoạt động nghi ngờ, bao gồm nhiều hành động đã được địnhsẵn, gồm có kết thúc kết nối, kết thúc dịch vụ, phát email báo động, và ghi nhật ký lại

ISA Server giám sát những kiểu tấn công sau:

- Tấn công quét mọi cổng

- Tấn công quét cổng đã liệt kê sẵn

- Tấn công quét kiểu IP-half

- Tấn công kiểu ping-of-death

- Tấn công bằn UDP bomb

- Tấn công tràn cửa sổ băng thông

1.2.5 SecureNAT (Secure Network Address Translation)

SecureNAT là một mở rộng của NAT driver trong MS Windows 2000 NAT thaythế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ Cơ chế này chophép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài,nhưng vẫn chịu sự quản lý của ISA Server

Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt

về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF ISA Server tăng cường chứcnăng NAT mức thấp của Windows 2000 bằng việc cho phép điều khiển truy nhập choFTP, ICMP, H.323, và các giao thức PPTP NAT cũng cho phép tái dẫn đường cho các

HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERNproxy.

Secure NAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem vàtài khoản dịch vụ Internet SecureNAT để cho nhiều host kết nối thông qua một máy tính

có gateway nối với Internet SecureNAT cho phép một kết nối quay số hoặc kết nối kháctới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và cácmạng ghép cho việc trao đổi từ xa và các mục đích khác Mọi host trên mạng nội bộ dùngchung một hoặc nhiều địa chỉ toàn cầu

Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức,như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm

Các hạn chế của NAT:

- Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt

- NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giaothức khác mặc dù có nhúng IP trong gói

- Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP làgiống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server.Thực tế thì chúng không hẳn tương đương nhau

1.3 ISA Server cache

ISA Server hỗ trợ cả cache tập trung và cache phân tán trên nhiều ISA Server host,

có các dạng dàn hàng (array), móc xích (chain) hoặc kết hợp cả hai

1.3.1 Cách thức hoạt động của ISA Server cache

Như trên đã nói, dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệmcho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache Nếu yêu cầu nằmngoài khả năng của cache, ISA Server mới tìm một yêu cầu mới bắt đầu một yêu cầu mớithay mặt client Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response chorequest gốc và gửi response cho phía client

ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi, vàreverse caching, dùng cho các yêu cầu đến Các máy client trong cả forward caching vàreverse caching đều tận dụng cả loạt các tính năng của ISA Server

ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy kháchFirewall và SecureNAT lợi dụng được tính năng cache này khi HTTP redirector đượccho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại

ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dungcache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không

Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng

có trong cache hay không Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server,thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm

tra cache của server nào Nếu đối tượng không ở trong cache, thì ISA Server sẽ kiểm trahoạt động của luật dẫn đường để xác định đường đi cho request Nếu đối tượng nằmtrong cache, thì ISA Server sẽ thực hiện các bước sau:

- ISA Server kiểm tra xem đối tượng có hợp lệ không Đối tượng được coi làkhông hợp lệ nếu các điều kiện sau xảy ra :

+ TTL (time-to-live) được xác định từ nguồn đã hết

+ TTL xác định trong nội dung cache đã hết

+ TTL cấu hình cho đối tượng đã hết

- Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường Nếu cácthuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bảncủa đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache

- Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác địnhxem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server đượcyêu cầu

- Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISAServer sẽ kiểm tra khả năng truy nhập của Web server đó

- Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server

có được cấu hình để trả về đối tượng hết hạn từ cache hay không Nếu được thì đối tượng

sẽ được trả về cho người dùng

- Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể đượccache hay không và các thuộc tính cache của luật dẫn đường có được lưu response haykhông Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng

1.3.2 Cơ chế cache của ISA Server

Khi cấu hình một ổ đĩa cho việc cache, ISA Server tạo ra một file nội dụng trên ổđĩa đó với đuôi là cdat

Mỗi file nội dung cho cache tối đa là 10 GB Ví dụ, nếu ta cấp phát 12 GB trênmột ổ đĩa nào đó, ISA Server sẽ tạo ra hai file, một file 10 GB và một file 2 GB

Khi các đối tượng được cache, ISA Server sẽ thêm chúng vào file nội dung cache.Nếu file nội dung quá đầy để lưu các đối tượng mới, ISA Server sẽ loại bỏ các đối tượng

cũ ra khỏi cache, bằng cách dùng công thức đánh giá “tuổi”, độ thường xuyên và cỡ củađối tượng

RAM Caching

Trong ISA Server, các trang được cache là được lưu tức thì trong bộ nhớ để clienttruy nhập Một cơ chế “ghi-lười” được dùng để ghi các trang ra đĩa Kết quả là tăng khảnăng sẵn có trên cache của các trang Không có cơ chế kiểm tra xem trang đã được cachehay lưu lên đĩa hay chưa

RAM Caching cho phép nâng cao hiệu năng cache Nếu hệ thống dừng trả lời, cácđối tượng Web trong bộ nhớ chưa được ghi lên đĩa sẽ được lấy từ Internet.

1.4 Các luật quản lý chính sách truy cập

1.4.1 Lọc IP Packet.

Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server Khi chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua Chức năng này được thựchiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật quảng bá

Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục

bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các luật sao cho chúng cho phép truyền thông

Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động.Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần tử phục vụ bên trong hệ thống của chúng ta Điều này là do các bộ lọc gói tin mở các cổng không mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở các cổng mang tính đáp ứng động(khi có một yêu cầu đến) Ví dụ, giả sử chúng ta muốn cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site

HTTP Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80 Chúng ta nên tạo

ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này

Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch vụ,

số hiệu cổng dịch vụ, tên máy nguồn và máy đích Các bộ lọc gói tin IP là mang tính chấttĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừmột số loại chúng ta mong muốn nào đó Nếu chúng ta không có một bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng

đó được mở mang tính động (tuỳ biến)

Các bộ lọc đóng (block) sẽ đóng một cổng nào đó Chúng ta có thể tạo ra và cấu hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server

Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng 25 giữa cáchost bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP Sau đó chúng ta

có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server

Các luật giao thức , các luật địa chỉ và nội dung truy nhập.

Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông giữa hệ thống mạng của chúng ta và Internet Các luật giao thức được sử lý ở tầng ứng dụng Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức HTTP.

Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet

mà các máy khách được quản lý bởi ISA Server có thể truy cập đến Các luật địa chỉ và nội dung truy cập được xử lý ở tần ứng dụng Ví dụ, một luật nội dung và địa chỉ có thể cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet

Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache, hoặc chế độ kết hợp cả hai Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập của mỗi chế độ cài đặt

Luật về địa điểm và

Luật về giao thức Có Có, đối với các giao

thức HTTP, FTP, HTTPS

Có

1.4.2 Các luật về băng thông

Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn Quản lý băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng Hơn thế, nó thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức

ưu tiên cho các kết nối mạng Bất cứ kết nối nào mà nó không có một luật băng thông đi kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống Mặt khác, bất cứ một kết nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức ưu tiên cao hơn mức mặc định

Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế

độ tích hợp cả hai Các luật quản lý băng thông có ở tất cả các chế độ

1.4.3 Các luật chính sách quảng bá.

Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các luật quảng bá server và các luật quảng bá Web Các chính sách quản lý quảng bá được tạo ra mức chuỗi (array level), chứ không phải ở mức enterprise

Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống Các luật quản lýserver sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng được quản lý phía sau ISA Server

Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server tương ứng được quản lý bởi ISA Server

Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng bá

1.5 Các tính năng nổi trội của Forefront TMG 2010

Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall mới của Microsoft thay thế cho sản phẩm ISA Server 2006 Với những tính năng bảo mật hệ thống được nâng cao đáng kể, người dùng trong mạng nội bộ có thể truy cập Internet một cách hiệu quả mà không cần phải lo lắng về phần mềm độc hại (malware) và các mối đe dọa khác.

 Firewall

+ VoIP traversal

+ Enhanced NAT

+ ISP link redudancy

 Secure Web Access

 Deployment and Management

- ISP Link Redudancy: Một trong những tính năng đáng chú ý trong phiên bản TMG Firewall 2010 là khả năng cân bằng tải ISP Nếu đã từng sử dụng ISA Firewall chúng ta có thể thấy rằng những khả năng hỗ trợ cho nhiều ISP là một tính năng cần thiết

kể từ khi ISA 2004 được phát hành

- Web anti-malware: Là một thành phần của một dịch vụ bảo vệ Web của

Forefront TMG Web anti-malware chống phần mềm độc hại, nó quét các trang web virus, phầm mềm độc hại và các mối đe dọa khác

- URL filtering: Cho phép hoặc từ chối truy cập vào các trang Web dựa trên URL (chẳng hạn như ma túy, khiêu dâm, hoặc lừa đảo…)

- HTTPS inspection: Tính năng này cho phép Forefront TMG kiểm tra các gói tin được mã hóa bởi SSL để phát hiện các mã độc và các mối đe dọa khác

- E-mail protection subscription service: Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát virus, malware, spam e-mail trong hệ thống mail Exchange

- Network Access Protection (NAP) Integration: Tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối tới VPN

- Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ thiết lập VPN dựa trên SSL

Bảng so sánh chức năng của ISA Server 2006 và Forefront TMG 2010

Network layer firewall X X

Internet access protection (proxy) X X

Basic OWA and SharePoint

Exchange publishing (RPC over

IPSec VPN (remote and site-to-site) X X

Windows Server 2008 R2, 64-bit

Enhanced UI, management,

CHƯƠNG 2: GIẢI PHÁP FOREFRONT TMG (PHÁT TRIỂN TỪ ISA) 2.1 Sơ đồ tổng quan

Hình 2.1 Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010

2.2 Tổng quan về Firewall.

2.2.1 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngănchặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuậtđược tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ cácnguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng(Trusted network) khỏi các mạng không tin tưởng (Untrusted network)

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngănchặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bêntrong (Intranet) tới một số địa chỉ nhất định trên Internet

2.2.2 Chức năng chính.

- Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và

Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) vàmạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào

Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

- Các thành phần

- Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

 Bộ lọc packet (packet-filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng mạch (circuite level gateway)

 Bộ lọc paket (Paket filtering router)

2.2.3 Nguyên lý hoạt động của Firewall.

- Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcTCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được

từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên cácgiao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets)rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cầngửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và nhữngcon số địa chỉ của chúng

- Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểmtra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong

số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên cácthông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó

ở trên mạng Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện packet đến ( incomming interface of packet)

- Giao diện packet đi ( outcomming interface of packet)

- Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kếtnối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cậpvào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểmsoát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhấtđịnh vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

2.2.4 Ưu nhược điểm của Firewall.

 Ưu điểm

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm

của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã đượcbao gồm trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì

vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

 Nhược điểm.

- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi người

quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packetheader, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọccàng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điềukhiển

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm

soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mangtheo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượtqua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quétvirus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liêntục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khảnăng kiểm soát của firewall

- Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

2.3 Giới thiệu Windown Server 2008.

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server,

có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của

họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trongviệc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn cácphiên bản trước đây

Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất

cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành vàkhả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho công việccủa doanh nghiệp

Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều hành đã có trước đó là Windows Server 2003 và những cách tân có trong bản Service Pack 1 và Windows Server 2003 R2 Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn các hệ điều hành tiền nhiệm

Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho

2.4 Giới thiệu về Forefront TMG 2010.

2.4.1 Lịch sử về Forefront TMG 2010.

- Khi nhắc đến tường lửa dành cho doanh nghiệp, Hầu hết ai có chút kiếnthức về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng củaMicrosoft, Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006.Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác:Forefront Threat Management Gateway

- Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên cóthêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trìnhđảm nhiệm chức năng tường lửa của mình

- Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính làISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệđiều hành trước đó như: Windows Server 2000, Windows XP, Windows Server

2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như:Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệđiều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụngđến một software mới của Microsoft đó là Microsoft forefront Threat ManagementGateway 2010

2.4.2 Quá trình phát triển của Forefront TMG 2010.

- Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạnphát triển sau:

- 1/1997 - Microsoft Proxy Server v1.0 (Catapult)

- 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISAServer 2000)

- 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004)

- 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISAServer 2006)

- 17/11/2009-Microsoft Forefront Threat Management Gateway 2010(Forefront TMG 2010)

Hình 2.2 Sơ đồ phát triển của Forefront TMG 2010

Ms ISA 2004

MS ISA 2006

MS Forefront TMG 2010

Các tính năng nổi bật của TMG 2010.

Hình 2.3 Các chức năng chính của TMG 2010.

- Enhanced Voice over IP: cho phép kết nối và sử dụng VoIP thông qua TMG

- ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều đường truyền

Internet

- Web Anti-Malware: quét virus, phần mềm độc hại và các mối đe dọa khác khi truy

cập web

- URL-Filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân

loại nội dung sẵn có

- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống

phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate

- E-Mail Protection Subscription service: tích hợp với Forefront Protection 2010 For

Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware,spam Email trong hệ thống Mail Exchange

- Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng

bảo mật

- Network Access Protection (NAP) Integation: tích hợp với NAP để kiểm tra tình

trạng an toàn của các Client trước khi cho phép Client kết nối VPN

- Security Socket Tunneling Protocol (SSTP) Integration: hỗ trợ VPN-SSTP.

- Để cài đặt TMG Firewall các bạn cần trang bị một máy tính chạy hệ điều hành

Window Server 2008 64 bit Đây là một hạn chế của TMG Vì khác với WindowsServer 2003 Windows Server 2008 rất kén máy chủ Nếu như Server 2003 ta hoàntoàn có thể lấy một máy tính thường, cấu hình tương đối là có thể cài đặt được, hỗ trợDriver khá nhiều, thì đối với Server 2008 rất khó để thực hiện việc tương tự

25

- Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng gỡ rối

Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng có thểquản trị dễ dàng TMG, Khi gặp bất cứ trục trặc nào chỉ cần am hiểu chút tiếng Anh vàTiếng anh chuyên ngành là có thể tự gỡ rối, sửa chữa sự cố phát sinh mà không cầnđến IT chuyên nghiệp can thiệp

2.4.4 Giao diện của TMG 2010.

- Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý TMG sẽ

làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn Nếu muốn hiểnthị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ “DNS” vàohộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực thi tìm kiếm

Hình 2.4 Giao diện hiển thị các rule đang sử dụng giao thức DNS

- Có một số cách để xây dựng các truy vấn Bạn có thể chọn tên, các cặp name:

value và cặp property: value Để có thêm thông tin, bạn có thể kích liên kết Examplesbên cạnh hộp tìm kiếm

- Web Access Policy – Nút Web Access Policy mới trong cây giao diện hiển thị một

khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG

Hình 2.5 Giao diện cấu hình truy cập Web

26

- Ở đây bạn có thể tạo các tuyến tĩnh (network topology routes) Không cần kết nối

đến mỗi TMG firewall một cách riêng rẽ và nhập vào lệnh route từ dòng lệnh Đểthêm vào một tuyến tĩnh, kích liên kết Create Network Topology Route trong panelnhiệm vụ

Hình 2.6 Giao diện tạo một tuyến tĩnh

- Ở đây bạn sẽ được nhắc nhở cho việc cấu hình các thiết lập mạng và hệ thống,

định nghĩa các tùy chọn triển khai Nếu cần tạo những thay đổi cấu hình đáng kể cho

hệ thống hoặc định nghĩa lại các tùy chọn triển khai, bạn có thể chạy wizard lầnnữa bằng cách kích nút trên cùng trong cây giao diện sau đó chọn tab Tasks trongpane nhiệm vụ và kích liên kết Launch Getting Started Wizard

Hình 2.7 Launch Getting Started Wizard trong cây giao diện

- Firewall Policy Grouping – Đây là một tính năng khác mà các quản trị viên với

khối lượng lớn các rule phức tạp sẽ đánh giá cao giá trị của nó Để tạo một nhóm rule,chọn một hoặc nhiều rule nào đó, kích phải vào số rule đã chọn, chọn Create Group

27

Hình 2.8 Giao diện tạo một nhóm Rule

28