Đồ án: ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010 TRONG BẢO MẬT MẠNG DOANH NGHIỆP

LỜI CẢM ƠN Lời đầu tiên, chúng em xin kính gửi lòng biết ơn chân thành đến ông bà, cha mẹ đã nuôi dưỡng và dạy bảo để chúng em có ngày hôm nay. Xin cảm ơn quý Thầy, Cô trường Cao Đẳng CNTT Ispace, đặc biệt là các Thầy, Cô Khoa Công Nghệ Thông Tin đã tận tình truyền đạt những kiến thức và kinh nghiệm cho em trong suốt thời gian học tập tại trường. Cảm ơn thầy Nguyễn Siêu Đẳng đã giúp đỡ chúng em trong thời gian thực hiện đề tài thực hiện đề tài. Xin cảm ơn các bạn trong lớp 01CCHT03 đã chia sẻ, giúp đỡ và động viên chúng tôi trong suốt thời gian học tập tại trường cũng như trong thời gian thực hiện đề tài. Mặc dù chúng em đã cố gắng hoàn thành đề tài này với tất cả nỗ lực, nhưng vẫn không tránh khỏi những thiếu sót nhất định. Kính mong nhận được sự chỉ bảo của quý Thầy, Cô và sự góp ý chân thành của các bạn. Kính chúc quý thầy cô mạnh khỏe, tiếp tục đạt được nhiều thắng lợi trong giảng dạy, trong nghiên cứu khoa học và trong sự nghiệp trồng người. Kính chúc sức khoẻ và thịnh vượng. Xin chân thành cảm ơn Nhóm sinh viên Phan Văn Thắng Lê Thiên Long Chế Thái Nhựt Nguyễn Thị Như Thủy  LỜI MỞ ĐẦU Với sự bùng nổ ngày càng mạnh mẽ của mạng máy tính và Internet, các quốc gia, các tổ chức, các công ty và tất cả mọi người đang dường như xích lại gần nhau hơn. Từ các máy tính cá nhân PC, các mạng cục bộ LAN, các mạng diện rộng WAN, … đều có thể kết nối vào Internet để khai thác và truyền bá thông tin. ở Việt Nam ta hiện nay, cùng với sự gia nhập Internet, việc ứng dụng tin học vào quản lý và công tác nghiên cứu, học tập ngày càng phổ biến; đặc biệt là việc tra cứu, tìm kiếm và trao đổi thông tin. Mặc dù đi sau thế giới nhưng chúng ta đã bắt đầu cảm nhận được điều đó. Công việc hàng ngày bắt buộc chúng ta phải tiếp xúc và phụ thuộc nhiều vào những phương thức thông tin hiện đại như thư tín điện tử, giao dịch trực tuyến và hội thảo từ xa v.v. Chính phủ cũng bắt đầu tiến hành chương trình chính phủ điện tử đưa các dịch vụ công lên mạng. Tốc độ tăng trưởng của kết nối Internet và sử dụng Internet cũng minh chứng cho sự phát triển thông tin hóa đến từ cá nhân trong xã hội của chúng ta. Ngay bây giờ chúng ta phải thừa nhận sự phụ thuộc ngày càng tăng của chúng ta vào một hệ thống phức tạp của những máy tính và mạng máy tính. Chúng ta cũng nhận thức rằng thông tin trở thành một tài nguyên quí giá cho một tổ chức hay doanh nghiệp không kém gì những nguồn tài nguyên truyền thống như nhân lực, vốn v.v. Chúng ta cũng bắt đầu thiết lập các hệ thống để thu thập , kiểm soát và phân tích thông tin. Và đối với không ít tổ chức và doanh nghiệp thông tin chính là sản phẩm.Không những vậy, các tổ chức hay doanh nghiệp còn gia tăng các kết nối thông tin với nhau và với thế giới để đẩy mạnh việc trao đổi thông tin. Không chỉ các tổ chức và doanh nghiệp hưởng lợi trong cuộc cách mạng thông tin này, mạng Internet mang lại sự kết nối thông tin giữa các tổ chức đến cá nhân và sự kết nối giữa cá nhân với cá nhân. Sự chia sẽ thông tin trên một mạng công cộng như Internet mang lại cơ hội tiếp cận thông tin một cách công bằng cho mọi người trên hành tinh này, Chúng ta không thể phủ nhận mặt tích cực của sự phát triễn này và chắc chắn rằng cũng không bước thụt lùi.Nhưng chúng ta cũng phải nhận thức được mặt trái của vấn đề này. Chính vì lẽ đó nên việc bảo vệ, làm trong sạch nguồn tài nguyên thông tin trên mạng đã, đang và sẽ luôn là vấn đề rất cần thiết, thế nên việc triển khai hệ thống an ninh mạng với tường lửa là rất quan trọng trong vấn đề bảo mật của các doanh nghiệp và Microsoft Forefront Threat Management Gateway 2010 là một sự lựa chọn tốt trong vấn đề bảo mật. Nhóm sinh viên Phan Văn Thắng Lê Thiên Long Chế Thái Nhựt Nguyễn Thị Như Thủy NHẬN XÉT CỦA DOANH NGHIỆP NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN KHOA CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI : ỨNG DỤNG MS FOREFRONT TMG 2010 TRONG BẢO MẬT MẠNG DOANH NGHIỆP MỤC LỤC Lời Mở Đầu ……………………………………………………………………………………………………………..….02 Lời Cảm Ơn …………………………………………………………………………………………………………………03 Nhận Xét Của Doanh Nghiệp ……………………………………………………………………………..……...04 Nhận Xét Của Giảng Viên Hướng Dẫn ……………………………………………………….………….….05 Mục Lục …………………………………………………………………………………………………..………………...06 Mục Lục Hình …………………………………………………………………………………………..…………………09 Tài Liệu Tham Khảo …………………………………………………………………………….…………………....12 Tổng Quan Đề Tài ……………………………………………………………………………………………..……….14 I. TỔNG QUAN VỀ FIREWALL 15 1. Giới thiệu tổng quan về hệ thống Firewall 15 1.1.Firewall là gì ? 15 1.2. Chức năng của Firewall 15 1.3. Nguyên lí hoạt động của Firewall 15 1.4. Hạn chế khi dùng Firewall 16 2. Các dạng Firewall 17 2.1. Bộ định tuyến kiểm tra 17 2.2. Proxy server gateway 18 2.3. Kĩ thuật kiểm tra trạng thái 20 3. Phân loại Firewall 20 3.1. Firewall cứng 20 3.1.1. Checkpoint 20 3.1.2. Asa 22 3.1.3. Juniper 23 3.1.4. Cyberoam 25 3.2. Firewall mềm 25 3.2.1. Isa 2006 25 3.2.2. PFsence 26 3.2.3. Iptables 26 3.2.4. Kerio Winroute 27 4. Các khái niệm liên quan 28 4.1.Secure Nat 28 4.2.Firewall Client 28 5. Công nghệ bảo mật phổ biến hiện nay 29 6. Tấn công từ chối dịch vụ DDOS 30 7. Bảo mật mạng với VPN Firewall 31 8. Windows Server 2008 33 II. TÌM HIỂU KIẾN THỨC 34 1. Giới thiệu tổng quan về MS Forefront TMG 2010 34 1.1. Lịch sử ra đời của MS Forefront TMG 2010 34 1.2. Các phiên bản của MS Forefront TMG 2010 35 2. Tìm hiểu các tính năng 35 2.1. Các chức năng chính của MS Forefront TMG 2010 35 2.1.1. Firewall 35 32.1.1.1. VoIP traversal 35 2.1.1.2. Enhanced NAT 36 2.1.1.3. ISP redundancy 36 2.1.2. Secure Web Access 37 2.1.2.1. HTTP antivirus antispyware 37 2.1.2.2. HTTPs forward inspection 37 2.1.3. Email protection 37 2.1.3.1. Email Policy 38 2.1.3.2. Spam Filtering 38 2.1.3.3. Virus and Content Filtering 39 2.1.4. Intrusion Prevetion 39 2.1.5. Remote Access 40 2.1.5.1. VPN Layer2 Tunneling Protocol 40 2.1.5.2. VPN PointtoPoint Tunneling Protocol 42 2.1.5.3. VPN Secure Socket Tunneling Protocol 43 2.1.6. Deloyment And management 44 2.2. So sánh với ISA 2006 45 2.3. Network Template 45 3. Forefront TMG SDK 48 3.1. Công cụ ADAM Sites cho Forefront TMG Enterprise 48 3.2. Auto Discovery Configuration 49 3.3. Cache Directoy 50 3.4. Cert Tool 50 3.5. DNS Cache 51 3.6. EE Single Server Conversion 51 3.7. MSDE To Text 52 3.8. Remote Access Quarantine 53 3.9. RSA Text Authentication 53 4. Giải khắc phục sự cố 55 4.1. Backup Restore. 55 4.1.1. Backup 55 4.1.2. Restore 55 4.2. Troubleshooting 55 III. NGHIÊN CỨU MỞ RỘNG 61 1. Forefront Application Protection 61 1.1. Forefront Online Protection for Exchange 61 1.2.Forefront Protection for Exchange 61 1.3. Forefront Protection for Office Communications Server 67 1.4. Forefront Protection for SharePoint 67 1.5. Forefront Server Management Console 68 IV. PHÂN TÍCH VÀ THIẾT KẾ 71 1. Mô hình mạng của doanh nghiệp 71 2. Hệ thống mạng của doanh nghiệp 73 2.1. Nhu cầu sử dụng firewall 73 2.2. Hệ thống firewall hiện tại 73 2.3. Hướng phát triển hệ thống của doanh nghiệp 73 3. Giải pháp 73 3.1. Lập danh sách các yêu cầu cho hệ thống 73 3.1.1. Yêu cầu về hạ tầng 73 3.1.2. Yêu cầu về Server 73 3.2. Lập kế hoạch triển khai hệ thống Forefront TMG 2010 74 3.2.1. Xây dựng hệ thống Forefront 74 3.2.2. Triển khai các chính sách và xây dựng hệ thống 77 V. TRIỂN KHAI THƯC HIỆN 79 1. Sơ đồ triển khai thực tế. 79 1.1. Mô hình triển khai thực tế 79 1.2. Mô hình triển khai hệ thống Firewall 80 1.3. Mô hình Internal Network 81 1.4. Mô hình Perimeter Network 81 2. Triển khai hạ tầng 82 2.1. Triển khai AD 82 2.2. Triển khai dịch vụ Windows Roles and Features 82 3. Cài đặt MS forefront TMG 2010 88 3.1.Update 88 3.2. Preparation 91 3.3. Installation 93 4. Triển khai MS Forefront TMG 2010 100 4.1.Cài đặt EMS Server. 100 4.2. Tạo Array 105 4.3. Join Array 108 64.4. Cấu hình Network loadbalencing 112 5. Triển khai các dịch vụ trên MS Forefront TMG 2010 115 5.1. Cấu hình Network Setting. 115 5.2. Tạo các Access Rule 124 5.3. Cấu hình Webfiltering 138 5.4. Cấu hình Malware HTTPs Inspection. 141 5.5. Cấu hình Webcaching 144 5.6. Publish Mail Exchange 2010 151 5.7. Publish Outlook Web Access 154 5.8. Configure Email Policy 162 5.9. Publish Web 167 5.10. Remote Access 174 5.10.1. VPN client to site 174 5.10.2. VPN site to site 190 5.11. Monitoring 196 5.12. Intrusion Detection 196 5.13. Backup Restore 198 5.13.1. Backup 198 5.13.2. Restore 201 VI. TRIỂN KHAI MỞ RỘNG 204 1. Cài đặt MS Forefront Protection for Exchange 204 2. Cài đặt MS Forefront Protection for OCS 211 3. Cài đặt MS Forefront Protection Sharepoint 211 VII. ĐÁNH GIÁ ĐỀ TÀI 218 MỤC LỤC HÌNH Hình 11.1.2: Chức năng của Firewall 15 Hình 21.1.3 : Nguyên lí hoạt động của Firewall 16 Hình 32.3.1.1: Checkpoint 20 Hình 42.3.1.1: Eventia Analyzer 21 Hình 52.3.1.1: Eventia Report 21 Hình 62.3.1.1: SmartCenter 22 Hình 72.3.1.1: SmartPortal 22 Hình 82.3.1.2: Cisco ASA 23 Hình 92.3.2.2: pfSense 26 Hình 102.3.2.3: Iptables 27 Hình 112.3.2.4: Kerio WinRoute Firewall 27 Hình 122.7: Mô hình chung 31 Hình 132.7: Mô hình kết nối VPN đơn 31 Hình 142.7: Mô hình site to site 31 Hình 153.1.2: Các phiên bản của MS Forefront TMG 2010 35 Hình 163.2.1.1.1: VoIP traversal 36 Hình 173.2.1.2.2: HTTPs Traffic Inspection 37 Hình 183.2.1.3:EMail Policy 38 Hình 193.2.1.3.2: Cấu hình Spam Filtering 38 Hình 203.2.1.3.3: Cấu hình Virus and Content Filtering 39 Hình 213.2.1.4: Kiến trúc của NIS 39 Hình 223.2.1.5.1: Quy trình xử lý giao thức L2TP 41 Hình 233.2.1.5.2: Quy trình xử lý giao thức PPTP 42 Hình 243.2.2: So sánh với ISA 2006 45 Hình 253.2.3: Getting Started Wizard của Forefront TMG 45 Hình 263.2.3: Edge Firewall 46 Hình 273.2.3: 3Leg Perimeter 47 Hình 283.2.3: Backfirewall 47 Hình 293.2.3: Single Network Adapter 48 Hình 303.3.1: Các tùy chọn dòng lệnh của ADAM Sites 49 Hình 313.3.2: Công cụ Auto Discovery Configuration 50 Hình 323.3.3: Công cụ Cache Directory 50 Hình 333.3.4: Công cụ Cert Tool 50 Hình 343.3.5: Công cụ DNS Cache 51 Hình 353.3.6: Công cụ EE Single Server Conversion 51 Hình 363.3.7: Cú pháp của công cụ MSDEtoText 52 Hình 373.3.7: Export file bản ghi Firewall 52 Hình 383.3.8: Công cụ RAQ 53 Hình 393.3.9: Công cụ RSA Test Authentication 53 Hình 403.3.9: Tài liệu hỗ trợ của TMG SDK 54 Hình 41 3.3.9: Kịch bản mẫu TMG SDK để export HTTP Filter 54 Hình 423.3.9: Kịch bản mẫu TMG SDK để hiển thị các Active Session 55 Hình 433.4.2: Các thành phần của Troubleshooting 56 Hình 443.4.2: Cấu hình Change Tracking 57 Hình 453.4.2: Traffic Simulator 57 Hình 463.4.2: Diagnostic Logging 58 Hình 473.4.2: Remove Network Load Balancing Configuration 58 Hình 483.4.2: Email Policy Integration Mode 59 Hình 493.4.2 > 523.4.2: Connectivity Test 59 Hình 534.1.2: FPE được triển khai theo mô hình nhiều lớp trên Exchange Server 62 Hình 544.1.2: FPE có thể chặn lọc virus cho Exchange bằng 5 engines cùng lúc 63 Hình 554.1.2: Forefront Antispam Framework 63 Hình 564.1.2: Chặn lọc địa chỉ gốc bằng trí tuệ nhân tạo với SenderID Filter 64 Hình 574.1.2: Chống spam vào các Distribution Group với Recipient Filtering 65 Hình 584.1.2: Cơ chế Backscatter và content filtering trong FPE 66 Hình 594.1.4: Forefront Protection for SharePoint 68 Hình 604.1.5: Forefront Protection Server Management Console 68 Hình 614.1.5 Microsoft Forefront Server Security Management Console 69 Hình 62.5.1: Mô hình mạng tổng thể công ty DMA 71 Hình 63 5.1: Mô hình mạng logic tại các trụ sở 72 Hình 646.1.1: Mô hình triển khai thực tế 79 Hình 656.1.2: Mô hình triển khai hệ thống Firewall 80 Hình 666.1.3: Mô hình Internal Network 81 Hình 676.1.4: Mô hình Perimeter Network 81 Hình 686.2.1: System 82 Hình 696.2.2: Server Manager 82 Hình 706.2.2: Add role 83 Hình 716.2.2 > 746.2.2: Giao diện Begin 83 Hình 756.2.2: ADLDS 85 Hình 766.2.2: Network Policy and Access Services 86 Hình 776.2.2: Role Services 86 Hình 786.2.2: Confirmation 87 Hình 796.2.2: Progress 87 Hình 806.2.2: Results 88 Hình 816.3.1 > 856.3.1: Update 88 Hình 866.3.1 > 906.3.1: Preparation 91 Hình 916.3.3 > 1036.3.3: Installation 95 Hình 1046.4.1 > 1136.4.: Cài đặt EMS Server 104 Hình 1146.4.2 > 1206.4.2: Tạo Array 109 Hình 1216.4.3 > 1276.4.3: Join Array 113 Hình 1286.4.4 > 1336.4.4: Cấu hình Network loadbalencing 117 Hình 1346.5.1 > 506.5.1: Cấu hình Network Setting 118 Hình 1516.5.2 > 776.5.2: Tạo các Access Rule 118 Hình 1786.5.3 > 1836.5.3: Cấu hình Webfiltering 118 Hình 1846.5.4 > 1886.5.4: Cấu hình Malware HTTPs Inspection 118 Hình 1896.5.5 > 2036.5.5: Cấu hình Webcaching 118 Hình 2046.5.6 > 2096.5.6: Publish Mail Exchange 2010 118 Hình 210 6.5.7 > 226 6.5.7: Publish Outlook Web Access 118 Hình 2276.5.8 > 2366.5.8: Configure Email Policy 118 Hình 2376.5.9 > 2506.5.9:Publish Web 118 Hình 2516.5.10.1 > 2806.5.10.1: VPN client to site 118 Hình 2816.5.10.2 > 2926.5.10.2: VPN site to site 118 Hình 2936.5.12 > 2976.5.12: Intrusion Detection 118 Hình 2986.5.13.1 > 3036.5.13.1: Backup 118 Hình 3046.5.13.2 > 3096.5.13.2: Restore 118 Hình 3107.1 > 3227.1: Cài đặt MS Forefront Protection for Exchange 118 Hình 3237.3 > 3337.3: Cài đặt MS Forefront Protection Sharepoint 118 TÀI LIỆU THAM KHẢO Đề tài tốt nghiệp sủ dụng tài liệu tham khảo từ các Website: http:isaserver.org http:technet.microsoft.com http:ahmedhusseinonline.com http:blogs.isaserver.org http:blog.msfirewall.org.uk http:microsoftguru.com.au http:nhatnghe.vnforum http:msopenlab.com Các phần mềm sử dụng trong quá trình thực hiện đề tài  Windows Server 2008 R2 SP1  Windows Server 2003 R2  Windows XP Professional  Windows 7  Vmware Workstation 7.0  Microsoft Visio 2007  Edraw Network Diagram 5.1  BB FlashBack Pro 3.0  Microsoft Word 2010 CÁC THUẬT NGỮ SỬ DỤNG TRONG ĐỀ TÀI  Giao thức TCP (Transmission Control Protocol( Giao thức điều khiển truyền vận): là một trong các giao thức cốt lõi của bộ giao thức TCPIP. Sử dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các kết nối với nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao thức này đảm bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự. TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn, dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy chủ.TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell.  DNS (Domain Name System):, là Hệ thống tên miền cho Internet, chỉ một hệ thống cho phép (thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.  SMTP ( Simple Mail Transfer Protocol giao thức truyền tải thư tín đơn giản) là một chuẩn truyền tải thư điện tử qua mạng Internet  UDP (User Datagram Protocol) là một trong những giao thức cốt lõi của giao thức TCPIP. Dùng UDP, chương trình trên mạng máy tính có thể gởi những dữ liệu ngắn được gọi là datagram tới máy khác. UDP không cung cấp sự tin cậy và thứ tự truyền nhận mà TCP làm; các gói dữ liệu có thể đến không đúng thứ tự hoặc bị mất mà không có thông báo. Tuy nhiên UDP nhanh và hiệu quả hơn đối với các mục tiêu như kích thước nhỏ và yêu cầu khắt khe về thời gian. Do bản chất không trạng thái của nó nên nó hữu dụng đối với việc trả lời các truy vấn nhỏ với số lượng lớn người yêu cầu.  Giao thức ICMP (Internetwork Control Message Protocol) cho phép việc thử nghiệm và khắc phục các sự cố của giao thức TCPIP. ICMP định nghĩa các các thông điệp được dùng để xác định khi nào một hệ thống mạng có thể phân phối các gói tin  FTP (File Transfer Protocol)được sử dụng để chuyển các tập tin giữa các máy tính trên mạng. có thể sử dụng FTP để trao đổi các tập tin giữa các tài khoản máy tính, cuyển các tập tin giữa một tài khoản và máy tính để bàn, hoặc phần mềm truy cập lưu trữ trực tuyến.  IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích.  VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.  HTTP là chữ viết tắt từ HyperText Transfer Protocol (giao thức truyền tải siêu văn bản). Nó là giao thức cơ bản mà World Wide Web sử dụng. HTTP xác định cách các thông điệp (các file văn bản, hình ảnh đồ hoạ, âm thanh, video, và các file multimedia khác) được định dạng và truyền tải ra sao, và những hành động nào mà các Web server (máy chủ Web) và các trình duyệt Web (browser) phải làm để đáp ứng các lệnh rất đa dạng  Mô hình OSI (Open Systems Interconnection Reference Model, viết ngắn là OSI Model hoặc OSI Reference Model) Mô hình tham chiếu kết nối các hệ thống mở là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức mạng giữa chúng. Mô hình này được phát triển thành một phần trong kế hoạch Kết nối các hệ thống mở (Open Systems Interconnection) do ISO và IUTT khởi xướng. Nó còn được gọi là Mô hình bảy tầng của OSI  IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực vàhoặc mã hoá (Authenticating andor Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực.  SSL(Secure Socket Layer) là một giao thức(protocol) cho phép bạn truyền đạt thông tin một cách an toàn qua mạng  IPS (Intrusion Prevention System) : hệ thống ngăn chặn xâm nhập.dùng để thay cho IDS, nó có một đặc điểm là vừa có khả năng phát hiện vừa tự động ngăn chặn nếu phát hiện đang bị tấn công.  IDS (Intrusion Detection System) : hệ thống phát hiện xâm nhập,Là những thiết bị có khả năng phát hiện ra các cuộc tấn công, tuy nhiên để ngăn chặn thì phải kết hợp với những thiết bị khác như firewall, NAC...  AD (Active Directory) Là một dịch vụ quản lý thư mục mang tính thứ bậc được giới thiệu bởi Microsoft cùng với Windows 2000. Active Directory sử dụng LDAP (Lightweight Directory Access Protocol) và được xây dựng trên cơ sở Hệ thống xác định domain theo tên (DNS). Một trong những điểm ưu việt của Active Directory là nó quản lý hệ thống mạng bằng cách tạo ra tên domain cho workgroup, trên cơ sở đó cho phép các hệ thống mạng khác (Unix, Mac) truy cập vào.  PPTP (PointtoPoint Tunneling Protocol) là một công nghệ mạng hỗ trợ mạng riêng ảo (VPN), cho phép người dùng từ xa truy cập vào mạng doanh nghiệp an toàn. VPN tạo ra một đường hầm mã hóa giữa máy tính của bạn và máy chủ VPN, mà sẽ cho phép bạn lướt trên Internet với an ninh.  PPP (PointtoPoint Protocol ) là một giao thức liên kết dữ liệu, thường được dùng để thiết lập một kết nối trực tiếp giữa 2 nút mạng. Nó có thể cung cấp kết nối xác thực, mã hóa việc truyền dữ liệu...  PAP (Password Authentication Protocol): là 1 giao thức xác thực của công nghệ PPP sử dụng bắt tay 2 bước. Đầu tiên router cần kết nối gửi username và password của nó tới remote router, remote router kiểm tra xem username và password này đã có trong data của nó chưa, nếu có thì cho kết nối, nếu không thì drop.  CHAP (Challenge Handshake Authentication Protocol): cũng là giao thức xác thực của PPP nhưng sử dụng bắt tay 3 bước (threeway handshake ). Đầu tiên router cần kết nối gửi bản tin challenge tới remote router. Remote router sẽ gửi trả bản tin Response trong đó có chứa username của nó và password chung của 2 router và bước cuối cùng cũng là kiểm tra thông tin như PAP.  SSTP (Secure Socket Tunneling Protocol): là một dạng của kết nối VPN trong Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN gateway. SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế.  SSL(Secure Socket Layer): là một giao thức(protocol) cho phép bạn truyền đạt thông

Trang 1

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE

Đồ án:

ỨNG DUNG MICROSOFT FOREFRONT TMG

2010 TRONG BẢO MẬT MẠNG DOANH NGHIỆP

Tháng 9 - 2011

ĐỀ TÀI: ỨNG DỤNG FOREFRONT TRONG BẢO MẬT MẠNG DOANH NGHIỆP Trang 1

GVHD: NGUYỄN SIÊU ĐẲNG

SVTH: - PHAN VĂN THẮNG (NT) MSSV: 99510010272

- LÊ THIÊN LONG MSSV: 99510010141

- NGUYỄN THỊ NHƯ THỦY MSSV: 99510010287

- CHẾ THÁI NHỰT MSSV: 99510010196

Chuyên ngành: QUẢN TRỊ MẠNG

Khóa: 01CCHT

Trang 2

LỜI CẢM ƠN

Lời đầu tiên, chúng em xin kính gửi lòng biết ơn chân thành đến ông bà, cha mẹ đã nuôi dưỡng và dạy bảo để

chúng em có ngày hôm nay.

Xin cảm ơn quý Thầy, Cô trường Cao Đẳng CNTT Ispace, đặc biệt là các Thầy, Cô Khoa Công Nghệ Thông Tin

đã tận tình truyền đạt những kiến thức và kinh nghiệm cho

em trong suốt thời gian học tập tại trường.

Cảm ơn thầy Nguyễn Siêu Đẳng đã giúp đỡ chúng em trong thời gian thực hiện đề tài thực hiện đề tài.

Xin cảm ơn các bạn trong lớp 01CCHT03 đã chia sẻ, giúp

đỡ và động viên chúng tôi trong suốt thời gian học tập tại

trường cũng như trong thời gian thực hiện đề tài.

Mặc dù chúng em đã cố gắng hoàn thành đề tài này với tất cả nỗ lực, nhưng vẫn không tránh khỏi những thiếu sót

nhất định Kính mong nhận được sự chỉ bảo của quý Thầy, Cô

và sự góp ý chân thành của các bạn.

Kính chúc quý thầy cô mạnh khỏe, tiếp tục đạt được nhiều thắng lợi trong giảng dạy, trong nghiên cứu khoa học

và trong sự nghiệp trồng người.

Kính chúc sức khoẻ và thịnh vượng.

Xin chân thành cảm ơn!

Nhóm sinh viên Phan Văn Thắng

Lê Thiên Long Chế Thái Nhựt Nguyễn Thị Như Thủy

Trang 3

truyền bá thông tin ở Việt Nam ta hiện nay, cùng với sự gia nhập Internet, việc ứng dụng tin học vào quản lý và công tác nghiên cứu, học tập ngày càngphổ biến; đặc biệt là việc tra cứu, tìm kiếm và trao đổi thông tin.

Mặc dù đi sau thế giới nhưng chúng ta đã bắt đầu cảm nhận được điều

đó Công việc hàng ngày bắt buộc chúng ta phải tiếp xúc và phụ thuộc nhiều vào những phương thức thông tin hiện đại như thư tín điện tử, giao dịch trực tuyến và hội thảo từ xa v.v Chính phủ cũng bắt đầu tiến hành chương trình chính phủ điện tử đưa các dịch vụ công lên mạng Tốc độ tăng trưởng của kếtnối Internet và sử dụng Internet cũng minh chứng cho sự phát triển thông tin hóa đến từ cá nhân trong xã hội của chúng ta Ngay bây giờ chúng ta phải thừa nhận sự phụ thuộc ngày càng tăng của chúng ta vào một hệ thống phức tạp của những máy tính và mạng máy tính

Chúng ta cũng nhận thức rằng thông tin trở thành một tài nguyên quí giá cho một tổ chức hay doanh nghiệp không kém gì những nguồn tài nguyêntruyền thống như nhân lực, vốn v.v Chúng ta cũng bắt đầu thiết lập các hệ thống để thu thập , kiểm soát và phân tích thông tin Và đối với không ít tổ chức và doanh nghiệp thông tin chính là sản phẩm.Không những vậy, các tổ chức hay doanh nghiệp còn gia tăng các kết nối thông tin với nhau và với thế giới để đẩy mạnh việc trao đổi thông tin

Không chỉ các tổ chức và doanh nghiệp hưởng lợi trong cuộc cách mạng thông tin này, mạng Internet mang lại sự kết nối thông tin giữa các tổ chức đến cá nhân và sự kết nối giữa cá nhân với cá nhân Sự chia sẽ thông tintrên một mạng công cộng như Internet mang lại cơ hội tiếp cận thông tin mộtcách công bằng cho mọi người trên hành tinh này,

Chúng ta không thể phủ nhận mặt tích cực của sự phát triễn này và

chắc chắn rằng cũng không bước thụt lùi.Nhưng chúng ta cũng phải nhận thức được mặt trái của vấn đề này

Chính vì lẽ đó nên việc bảo vệ, làm trong sạch nguồn tài nguyên thông tin trên mạng đã, đang và sẽ luôn là vấn đề rất cần thiết, thế nên việc triển khai hệ thống an ninh mạng với tường lửa là rất quan trọng trong vấn đề bảo

mật của các doanh nghiệp và Microsoft Forefront Threat Management

Gateway 2010 là một sự lựa chọn tốt trong vấn đề bảo mật.

Nhóm sinh viên

Phan Văn Thắng

Lê Thiên LongChế Thái NhựtNguyễn Thị Như Thủy

Trang 4

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE NHẬN XÉT CỦA DOANH NGHIỆP

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG

DẪN

Trang 5

Trang 6

KHOA CÔNG NGHỆ THÔNG TIN

Trang 7

MỤC LỤC HÌNH

Hình 1-1.2: Chức năng của Firewall 20

Hình 2-1.3 : Nguyên lí hoạt động của Firewall 21

Hình 3-3.1.1: Checkpoint 26

Hình 4-3.1.1: Eventia Analyzer 26

Hình 5-3.1.1: Eventia Report 27

Hình 6-3.1.1: SmartCenter 27

Hình 7-3.1.1: SmartPortal 28

Hình 8-3.1.2: Cisco ASA 28

Hình 9-3.2.2: pfSense 32

Hình 10-3.2.3: Iptables 33

Hình 11-3.2.4: Kerio WinRoute Firewall 34

Hình 12-7: Mô hình chung 37

Hình 13-7: Mô hình kết nối VPN đơn 37

Hình 14-2.7: Mô hình site to site 38

Hình 15-3.1.2: Các phiên bản của MS Forefront TMG 2010 42

Hình 16-3.2.1.1.1: VoIP traversal 42

Hình 17-3.2.1.2.2: HTTPs Traffic Inspection 44

Hình 18-3.2.1.3:E-Mail Policy 45

Hình 19-3.2.1.3.2: Cấu hình Spam Filtering 45

Hình 20-3.2.1.3.3: Cấu hình Virus and Content Filtering 46

Hình 21-3.2.1.4: Kiến trúc của NIS 46

Hình 22-3.2.1.5.1: Quy trình xử lý giao thức L2TP 48

Hình 23-3.2.1.5.2: Quy trình xử lý giao thức PPTP 49

Hình 24-3.2.2: So sánh với ISA 2006 52

Hình 25-3.2.3: Getting Started Wizard của Forefront TMG 53

Hình 26-3.2.3: Edge Firewall 54

Hình 27-3.2.3: 3-Leg Perimeter 55

Hình 28-3.2.3: Backfirewall 56

Hình 29-3.2.3: Single Network Adapter 57

Hình 30-3.3.1: Các tùy chọn dòng lệnh của ADAM Sites 58

Hình 31-3.3.2: Công cụ Auto Discovery Configuration 58

Hình 32-3.3.3: Công cụ Cache Directory 59

Hình 33-3.3.4: Công cụ Cert Tool 60

Hình 34-3.3.5: Công cụ DNS Cache 60

Hình 35-3.3.6: Công cụ EE Single Server Conversion 61

Hình 36-3.3.7: Cú pháp của công cụ MSDEtoText 62

Trang 8

Hình 37-3.3.7: Export file bản ghi Firewall 62

Hình 38-3.3.8: Công cụ RAQ 63

Hình 39-3.3.9: Công cụ RSA Test Authentication 64

Hình 40-3.3.9: Tài liệu hỗ trợ của TMG SDK 65

Hình 41- 3.3.9: Kịch bản mẫu TMG SDK để export HTTP Filter 65

Hình 42-3.3.9: Kịch bản mẫu TMG SDK để hiển thị các Active Session 65

Hình 43-3.4.2: Các thành phần của Troubleshooting 67

Hình 44-3.4.2: Cấu hình Change Tracking 68

Hình 45-3.4.2: Traffic Simulator 68

Hình 46-3.4.2: Diagnostic Logging 69

Hình 47-3.4.2: Remove Network Load Balancing Configuration 69

Hình 48-3.4.2: E-mail Policy Integration Mode 70

Hình 49-3.4.2: Connectivity Test 71

Hình 53-4.1.2: FPE được triển khai theo mô hình nhiều lớp trên Exchange Server 73

Hình 54-4.1.2: FPE có thể chặn lọc virus cho Exchange bằng 5 engines cùng lúc 74

Hình 55-4.1.2: Forefront Antispam Framework 74

Hình 56-4.1.2: Chặn lọc địa chỉ gốc bằng trí tuệ nhân tạo với SenderID Filter 75

Hình 57-4.1.2: Chống spam vào các Distribution Group với Recipient Filtering 76

Hình 58-4.1.2: Cơ chế Backscatter và content filtering trong FPE 77

Hình 59-4.1.4: Forefront Protection for SharePoint 79

Hình 60-4.1.5: Forefront Protection Server Management Console 79

Hình 61-4.1.5- Microsoft Forefront Server Security Management Console 80

Hình 62-.5.1: Mô hình mạng tổng thể công ty DMA 82

Hình 63 5.1: Mô hình mạng logic tại các trụ sở 83

Hình 64-6.1.1: Mô hình triển khai thực tế 90

Hình 65-6.1.2: Mô hình triển khai hệ thống Firewall 91

Hình 66-6.1.3: Mô hình Internal Network 92

Hình 67-6.1.4: Mô hình Perimeter Network 92

Hình 68-6.2.1: System 93

Hình 69-6.2.2: Server Manager 93

Hình 70-6.2.2: Add role 94

Hình 71-6.2.2: Giao diện Begin 94

Hình 72-6.2.2: Server role 95

Trang 9

Hình 76-6.2.2: Network Policy and Access Services 97

Hình 77-6.2.2: Role Services 97

Hình 78-6.2.2: Confirmation 98

Hình 79-6.2.2: Progress 98

Hình 80-6.2.2: Results 99

Hình 81-6.3.1: Update 99

Hình 82-6.3.1: Update 100

Hình 83 6.3.1: Update 100

Hình 84-6.3.1: Update 101

Hình 85-6.3.1: Update 101

Hình 86-6.3.1: Preparation 102

Hình 91-6.3.3: Installation 105

Hình 104-6.4.1: Cài đặt EMS Server 112

Hình 114-6.4.2: Tạo Array 118

Trang 10

Hình 121-6.4.3: Join Array 121

Hình 128-6.4.4: Cấu hình Network loadbalencing 125

Hình 134-6.5.1: Cấu hình Network Setting 128

Hình 151-6.5.2: Tạo các Access Rule 138

Trang 11

Hình 178-6.5.3: Cấu hình Webfiltering 154

Hình 184-6.5.4: Cấu hình Malware - HTTPs Inspection 158

Hình 189-6.5.5: Cấu hình Webcaching 161

Trang 12

Hình 204-6.5.6: Publish Mail Exchange 2010 168

Hình 210 -6.5.7: Publish Outlook Web Access 171

Hình 227-6.5.8: Configure Email Policy 179

Trang 13

Hình 237-6.5.9: Publish Web 184

Hình 251-6.5.10.1: VPN client to site 191

Trang 14

Hình 281-6.5.10.2: VPN site to site 207

Hình 293-6.5.12: Intrusion Detection 215

Hình 298-6.5.13.1: Backup 217

Hình 299-6.5.13.1: Backup 218

Hình 300-6.5.13.1: Backup 218

Hình 301-6.5.13.1: Backup 219

Hình 302-6.5.13.1: Backup 219

Hình 303-6.5.13.1: Backup 220

Hình 304-6.5.13.2: Restore 220

Hình 305-6.5.13.2: Restore 221

Hình 306-6.5.13.2: Restore 221

Hình 307-6.5.13.2: Restore 222

Hình 308-6.5.13.2: Restore 222

Trang 15

Hình 310-7.1: Cài đặt MS Forefront Protection for Exchange 223

Hình 323-7.3: Cài đặt MS Forefront Protection Sharepoint 232

Trang 16

TÀI LIỆU THAM KHẢO

- Đề tài tốt nghiệp sủ dụng tài liệu tham khảo từ các Website:

http://isaserver.orghttp://technet.microsoft.comhttp://ahmedhusseinonline.comhttp://blogs.isaserver.org

http://blog.msfirewall.org.ukhttp://microsoftguru.com.auhttp://nhatnghe.vn/forumhttp://msopenlab.com

- Các phần mềm sử dụng trong quá trình thực hiện đề tài

CÁC THUẬT NGỮ SỬ DỤNG TRONG ĐỀ TÀI

 Giao thức TCP (Transmission Control Protocol( "Giao thức điều khiển

truyền vận"): là một trong các giao thức cốt lõi của bộ giao thức TCP/IP Sử

dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các "kết

nối" với nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin Giao

thức này đảm bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và

đúng thứ tự TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn,

dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy

chủ.TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các

ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell

 DNS (Domain Name System):, là Hệ thống tên miền cho Internet, chỉ một

hệ thống cho phép (thiết lập tương ứng giữa địa chỉ IP và tên miền Hệ thống

tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ,

hoặc bất kì nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa

dạng với tên miền được gán cho những người tham gia Quan trọng nhất là,

nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân),

liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa

các thiết bị khắp thế giới

 SMTP ( Simple Mail Transfer Protocol - giao thức truyền tải thư tín đơn giản)

là một chuẩn truyền tải thư điện tử qua mạng Internet

 UDP (User Datagram Protocol) là một trong những giao thức cốt lõi của

giao thức TCP/IP Dùng UDP, chương trình trên mạng máy tính có thể gởi

những dữ liệu ngắn được gọi là datagram tới máy khác UDP không cung cấp

sự tin cậy và thứ tự truyền nhận mà TCP làm; các gói dữ liệu có thể đến

không đúng thứ tự hoặc bị mất mà không có thông báo Tuy nhiên UDP nhanh

và hiệu quả hơn đối với các mục tiêu như kích thước nhỏ và yêu cầu khắt khe

về thời gian Do bản chất không trạng thái của nó nên nó hữu dụng đối với

Trang 17

 Giao thức ICMP (Internetwork Control Message Protocol) cho phép việc thử

nghiệm và khắc phục các sự cố của giao thức TCP/IP ICMP định nghĩa các các

thông điệp được dùng để xác định khi nào một hệ thống mạng có thể phân

phối các gói tin

 FTP (File Transfer Protocol)được sử dụng để chuyển các tập tin giữa các máy

tính trên mạng có thể sử dụng FTP để trao đổi các tập tin giữa các tài khoản

máy tính, cuyển các tập tin giữa một tài khoản và máy tính để bàn, hoặc

phần mềm truy cập lưu trữ trực tuyến

 IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh IRC là một

dạng liên lạc cấp tốc qua mạng Internet Nó được thiết kế với mục đích chính

là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với

nhau Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích

 VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết

nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông

qua mạng Internet công cộng

 HTTP là chữ viết tắt từ HyperText Transfer Protocol (giao thức truyền tải siêu

văn bản) Nó là giao thức cơ bản mà World Wide Web sử dụng HTTP xác định

cách các thông điệp (các file văn bản, hình ảnh đồ hoạ, âm thanh, video, và

các file multimedia khác) được định dạng và truyền tải ra sao, và những hành

động nào mà các Web server (máy chủ Web) và các trình duyệt Web

(browser) phải làm để đáp ứng các lệnh rất đa dạng

 Mô hình OSI (Open Systems Interconnection Reference Model, viết ngắn là

OSI Model hoặc OSI Reference Model) - Mô hình tham chiếu kết nối các hệ

thống mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu

tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức

mạng giữa chúng Mô hình này được phát triển thành một phần trong kế

hoạch Kết nối các hệ thống mở (Open Systems Interconnection) do ISO và

IUT-T khởi xướng Nó còn được gọi là Mô hình bảy tầng của OSI

 IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá

trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực

và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet)

trong quá trình truyền thông tin IPsec cũng bao gồm những giao thức cung

cấp cho mã hoá và xác thực

 SSL(Secure Socket Layer) là một giao thức(protocol) cho phép bạn truyền

đạt thông tin một cách an toàn qua mạng

 IPS (Intrusion Prevention System) : hệ thống ngăn chặn xâm nhập.dùng

để thay cho IDS, nó có một đặc điểm là vừa có khả năng phát hiện vừa tự

động ngăn chặn nếu phát hiện đang bị tấn công

 IDS (Intrusion Detection System) : hệ thống phát hiện xâm nhập,Là

những thiết bị có khả năng phát hiện ra các cuộc tấn công, tuy nhiên để ngăn

chặn thì phải kết hợp với những thiết bị khác như firewall, NAC

 AD (Active Directory) Là một dịch vụ quản lý thư mục mang tính thứ bậc

được giới thiệu bởi Microsoft cùng với Windows 2000 Active Directory sử

dụng LDAP (Lightweight Directory Access Protocol) và được xây dựng trên cơ

sở Hệ thống xác định domain theo tên (DNS) Một trong những điểm ưu việt

của Active Directory là nó quản lý hệ thống mạng bằng cách tạo ra tên

domain cho workgroup, trên cơ sở đó cho phép các hệ thống mạng khác

(Unix, Mac) truy cập vào

 PPTP (Point-to-Point Tunneling Protocol) là một công nghệ mạng hỗ trợ

mạng riêng ảo (VPN), cho phép người dùng từ xa truy cập vào mạng doanh

nghiệp an toàn VPN tạo ra một đường hầm mã hóa giữa máy tính của bạn và

máy chủ VPN, mà sẽ cho phép bạn lướt trên Internet với an ninh

 PPP (Point-to-Point Protocol ) là một giao thức liên kết dữ liệu, thường

được dùng để thiết lập một kết nối trực tiếp giữa 2 nút mạng Nó có thể cung

cấp kết nối xác thực, mã hóa việc truyền dữ liệu

Trang 18

 PAP (Password Authentication Protocol): là 1 giao thức xác thực của

công nghệ PPP sử dụng bắt tay 2 bước Đầu tiên router cần kết nối gửi

username và password của nó tới remote router, remote router kiểm tra xem

username và password này đã có trong data của nó chưa, nếu có thì cho kết

nối, nếu không thì drop

 CHAP (Challenge Handshake Authentication Protocol): cũng là giao

thức xác thực của PPP nhưng sử dụng bắt tay 3 bước (threeway hand-shake )

Đầu tiên router cần kết nối gửi bản tin challenge tới remote router Remote

router sẽ gửi trả bản tin Response trong đó có chứa username của nó và

password chung của 2 router và bước cuối cùng cũng là kiểm tra thông tin

như PAP

 SSTP (Secure Socket Tunneling Protocol): là một dạng của kết nối VPN

trong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP

đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là

một giao thức rất an toàn vì các thông tin quan trọng của người dùng không

được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN

gateway SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó

cũng có nghĩa là bạn có thể sử dụng các cơ chế

 SSL(Secure Socket Layer): là một giao thức(protocol) cho phép bạn truyền

đạt thông tin một cách an toàn qua mạng

 HTTPS( Secure HTTP):, là một sự kết hợp giữa giao thức HTTP và giao thức

bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên

Internet Các kết nối HTTPS thường được sử dụng cho các giao dịch thanh

toán trên World Wide Web và cho các giao dịch nhạy cảm trong các hệ thống

thông tin công ty HTTPS được sử dụng trong nhiều tình huống, chẳng hạn

như các trang đăng nhập cho ngân hàng, các hình thức, ích đăng nhập công

ty, và các ứng dụng khác

 TMG : Theat Management Gateway

Trang 19

HN với tên miền dma.vn chuyên:

o Kinh doanh các mặt hàng thiết bị điện tử máy tính

o Cung cấp các thiết bị may tính cho doanh nghiệp, trường học.

o Tư vấn hỗ trợ khách hàng qua mạng.

Công ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer Technology đã có sẳn hạ tầng hệ thống thông tin Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả trong kinh doanh.

NHU CẦU CỦA CÔNG TY

Tăng cường bảo mật toàn diện cho hệ thống mạng doanh nghiệp.

Hỗ trợ người dùng làm việc hiệu quả

Hỗ trợ kết nối an toàn giữa các site với VPN thông qua môi trường Internet

Quản lí theo dõi traffic ra vào hệ thống.

Thiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép vào hệ thống mạng

Lọc và ngăn chặn Spam và Virus cho hệ thống Email.

Lọc và ngăn chặn Virus, Malware xâm nhập vào hệ thống mạng

Trang 20

I TỔNG QUAN VỀ FIREWALL

1 Giới thiệu tổng quan về hệ thống Firewall

1.1 Firewall là gì ?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng

để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là

một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái

phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập

không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế

(mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng

không tin tưởng (Untrusted network)

1.2 Chức năng của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranetvà Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong

(Intranet) và bên ngoài (Internet) Cụ thể là: Cho phép hoặc cấm những dịch

vụ truy nhập ra ngoài (từ Intranet ra Internet),cho phép hoặc cấm những dịch

vụ phép truy nhập vào trong (từ Internet vào Intranet) Theo dõi luồng dữ liệu

mạng giữa Internet và Intranet Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy

nhập Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm

soát nội dung thông tin, thông tin lưu chuyển trên mạng

Hình 1-1.2: Chức năng của Firewall

1.3 Nguyên lí hoạt động của Firewall

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức

TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận

đ-ợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên

các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data

pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập

lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các

packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó

kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn

Trang 21

là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền

các packet đó ở trên mạng

Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận ( Destination)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

- Cổng TCP/UDP nơi xuất phát

- Cổng TCP/UDP nơi nhận

- Dạng thông báo ICMP

- Giao diện packet đến

- Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ.Việc kiểm soát

các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất

định được phép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do

việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát

được nội dụng thông tin của packet Các packet chuyển qua vẫn có thể mang

theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường

lửa

Hình 2-1.3 : Nguyên lí hoạt động của Firewall

1.4 Hạn chế khi dùng Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại

thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn

chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải

xác định rõ các thông số địa chỉ Firewall không thể ngăn chặn một cuộc tấn

công nếu cuộc tấn công này không “đi qua” nó Một cách cụ thể, firewall

Trang 22

không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ

thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu

(data-drivent attack) Khi có một số chương trình được chuyển theo thư điện tử,

vư-ợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây Một

ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus

trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục

của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả

năng kiểm soát của firewall Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu

đư-ợc áp dụng rộng rãi

2 Các dạng Firewall

2.1 Bộ định tuyến kiểm tra

Bất cứ thiết bị nào điều khiển luồng dữ liệu trên mạng vì lý do an toàn

đều được gọi là firewall Có nhiều người, nhiều tài liệu vì những lý do khác

nhau mà phân chia firewall ra thành nhiều loại khác nhau Từ sự tìm hiểu các

tài liệu đó, ở đây xin chia firewall làm ba loại dùng các chiến lược khác nhau

để bảo vệ tài nguyên trên mạng

Thiết bị firewall cơ bản nhất được xây dựng trên các bộ định tuyến và

làm việc ở các tầng thấp hơn trong ngăn xếp giao thức mạng.Chúng lọc các

gói dữ liệu và thường được gọi là bộ định tuyến kiểm tra (screening

router).Các cổng proxy server ở đầu cuối trên (high-end) vận hành ở mức cao

hơn trong ngăn xếp giao thức Firewall loại ba dùng kỹ thuật giám sát trạng

thái

Các bộ định tuyến thường được dùng cùng với các gateway để tạo nên

hệ thống phòng thủ nhiều tầng Riêng với các sản phẩm firewall thương mại

có thể cung cấp tất cả các chức năng tùy theo nhu cầu

Một gói là một chuỗi số cơ bản truyền đạt các thứ sau:

• Dữ liệu, kiến thức, yêu cầu hoặc dòng lệnh từ hệ thống bắt đầu

• Địa chỉ IP và cổng của nguồn

• Địa chỉ IP và cổng của đích

• Thông tin về giao thức (tập các luật) điều khiển gói

• Thông tin kiểm tra lỗi

• Có vài sự sắp xếp thông tin về kiểu và tình trạng của dữ liệu đang được gửi

Trong packet filtering, chỉ protocol và thông tin địa chỉ của mỗi gói đượckiểm tra Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ

qua

Filtering chứa các gói vào ra và cho phép hoặc không cho phép việc lưu

thông của chúng hoặc chấp nhận dựa trên một tập luật nào đó, được gọi là

chính sách (policies)

Các chính sách lọc gói có thể căn cứ trên các điều sau:

• Cho phép hoặc không cho phép gói dựa vào địa chỉ IP nguồn

• Cho phép hoặc không cho phép gói dựa vào cổng đích

• Cho phép hoặc không cho phép gói dựa theo giao thức

Bộ định tuyến kiểm tra nhìn vào thông tin liên quan đến địa chỉ cứng(hardwired) của máy tính, địa chỉ IP của nó (lớp mạng) và loại kết nối (lớp

transport), và sau đó lọc các gói dữ liệu dựa trên những thông tin này Bộ

Trang 23

hai card mạng.Bộ định tuyến nối giữa hai mạng và thực hiện lọc gói dữ liệu

để điều khiển luồng lưu thông giữa các mạng.Người quản trị lập trình cho

thiết bị với các luật xác định cách lọc gói dữ liệu

Ví dụ: Bạn có thể thường xuyên ngăn các gói của một dịch vụ nào

đó như FTP (File Transfer Protocol) hay HTTP (HyperText Transfer Protocol) Tuy vậy, các luật bạn xác định cho bộ định tuyến có thể không đủ để bảo vệ tài nguyên trên mạng.Những luật này có thể rất khó cài đặt và dễ có lỗi, tạo nên những lỗ hỏng trong hệ thống phòng thủ.Đây là kiểu cơ bản nhất của firewall

Ưu điểm:

• Tương đối đơn giản và tính dễ thực thi

• Nhanh và dễ sử dụng

• Chi phí thấp và ít ảnh hưởng đến performance của mạng

• Rất hiệu quả trong việc đóng khối các kiểu riêng biệt của lưu lượng, và đôi khi nó là một phần của hệ thống firewall tổng quan

Ví dụ:Telnet có thể dễ dàng được đóng khối bằng cách áp dụng một filter để đóng khối TCP cổng 23 (telnet)

chương trình Web server hoặc sử dụng một mật mã bất chính để thu được

quyền điều khiển hoặc truy cập

• Packet Filter không thể thực hiện việc xác thực người dùng

2.2 Proxy server gateway

Gateway là các thiết bị mức ứng dụng, cung cấp nhiều cơ hội hơn đểtheo dõi và điều khiển truy cập mạng Một fireware gateway hoạt động như

người trung gian, chuyển tiếp các thông điệp giữa khách/dịch vụ nội và

ngoại

Dịch vụ ủy thác (proxy service) có thể “biểu diễn” người dùng nội trêninternet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang

địa chỉ IP của riêng nó Kỹ thuật này về cơ bản che dấu hệ thống nội và bảo

đảm rằng những người dùng nội không kết nối trực tiếp với hệ thống bên

ngoài.Proxy server có thể đánh giá và lọc tất cả các gói dữ liệu đến hoặc

ngăn các gói dữ liệu đi ra

Một số proxy server được thiết kế để cho phép chỉ những người dùngnội truy cập internet và không cho phép bất cứ người dùng ngoại nào trong

mạng.Vì mọi yêu cầu đến internet server đều tạo ra phản hồi, proxy server

phải cho phép luồng giao thông quay về, nhưng nó thực hiện điều này bằng

cách chỉ cho phép luồng lưu thông là một phản hồi nào đó của người dùng

nội Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả

Trang 24

đổi

Circuit Level Gateway (CLG) hoạt động ở lớp session của

mô hình OSI, hoặc lớp TCP của mô hình TCP/IP Chúng giám sát việc bắt tay TCP (TCP handshaking) giữa các gói để xác định rằng một phiên yêu cầu là phù hợp Thông tin tới máy tính từ xa thông qua một CLG, làm cho máy tính ở xa đó nghĩ là thông tin đến từ gateway Điều này che dấu được thông tin về mạng được bảo vệ.CLG thường có chi phí thấp và che dấu được thông tin về mạngmà nó bảo vệ Ngược lại, chúng không lọc các gói

Firewall không chỉ cho phép (allow) hoặc không cho phép (disallow) gói mà còn xác định kết nối giữa hai đầu cuối có hợp lệ theo các luật hay không, sau đó mở một session (phiên làm việc) và cho phép luồng lưu thông và có sự giới hạn thời gian Một kết nối được xem là hợp lệ phải dựa vào các yếu tố sau:

• Địa chỉ IP và/hoặc cổng đích

• Địa chỉ IP và/hoặc cổng nguồn

• Thời gian trong ngày (time of day)

• Giao thức (protocol)

• Người dùng (user)

• Mật khẩu (password) Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát Tất

cả các luồng lưu lượng đều bị cấm trừ khi một phiên được mở

Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệthống nội và ngoại.Có một mạch ảo giữa người dùng nội và proxy server.Các yêu cầu internet đi qua mạch này đến proxy server, và

proxy server chuyển giao yêu cầu này đến internet sau khi thay đổi địa chỉ IP.Người dùng ngoại chỉ thấy địa chỉ IP của proxy server.Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo.Mặc dù luồng lưu thông được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội.Loại kết nối này thường được dùng để kết nối người dùng nội

“được ủy thác” với internet

Circuit Level Filtering có ưu điểm nổi trội hơn so với PacketFilter Nó khắc phục được sự thiếu sót của giao thức UDP đơn giản và dể bị tấn công

Bất lợi của Circuit Level Filtering là hoạt động ở lớp Transport và cần có sự cải tiến đáng kể của việc cài đặt để cung cấp các chức năng truyền tải (chẳng hạn như Winsock)

Gateway Mức-Ứng-Dụng (Application Gateway)

Các gateway mức ứng dụng, còn được gọi là các proxy, tương tự như các gateway mức mạng ngoại trừ việc chỉ định các ứng dụng.Chúng có thể lọc gói ở lớp ứng dụng của mô hình OSI.Các gói vào hoặc ra không thể truy cập các dịch vụ mà không

có proxy Một gateway mức ứng dụng được cấu hình như một web proxy sẽ không cho bất kỳ ftp, gopher, telnet hoặc lưu lượng khác xuyên qua Bởi vì chúng kiểm tra các gói ở lớp ứng dụng, chúng

có thể lọc các dòng lệnh chỉ định ứng dụng như http:post và get, etc Điều này không thể được thực hiện với firewall lọc gói và

firewall mức mạch, cả hai điều không biết gì về thông tin lớp ứng dụng.Các gateway mức ứng dụng còn có thể được sử dụng để ghi lại các hoạt động và các login của user.Chúng đề ra cấp độ bảo mật cao, và có sự tác động mạnh về performance của mạng.Bởi vì

sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách đột ngột.Chúng không dễ thực hiện (transparent) ở đầu cuối người

Trang 25

dụng thông qua một máy đơn lẻ Nó hoạt động như một trung gian giữa một client và một server, và được thi hành như một ứng dụng đang chạy cùng chung với một hệ điều hành đa năng

(general-purpose OS) Một máy đơn lẻ (bastion host) hoạt động như một proxy server với nhiều giao thức (Telnet, SMTP, FTP, HTTP,etc.) nhưng cũng có một máy đơn lẻ chỉ hoạt động với mỗi một dịch vụ Thay vì kết nối trực tiếp với server bên ngoài, client kết nối với proxy server, proxy server kết nối với server bên ngoài.Proxy server mức ứng dụng cung cấp tất cả các chức năng

cơ bản của proxy server, cho phép các cuộc trao đổi dữ liệu với hệthống từ xa nhưng hệ thống này không thấy được máy ở bên trong firewall.Nó còn phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác địnhchính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào

dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lý các gói Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server

Các gateway mức ứng dụng được xem là loại an toàn nhấtcủa firewall Chúng có những khả năng tinh vi nhất Firewall mức ứng dụng có khuynh hướng cung cấp các report chi tiết và có khuynh hướng an toàn hơn các firewall mức mạng Tuy nhiên, việccài đặt rất phức tạp, yêu cầu sự quan tâm chi tiết các ứng dụng riêng lẻ sử dụng gateway

2.3 Kĩ thuật kiểm tra trạng thái

Một trong các vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu.Ngoài ra, phải cài đặt từng

proxy cho mỗi ứng dụng Điều này ảnh hưởng đến hiệu suất và làm tăng chi

phí Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh

với các gói “tin cậy” đã biết, do đó làm tăng hiệu suất

Ví dụ, khi bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích.Cách “nhớ”

này được gọi là lưu trạng thái.Khi hệ thống bên ngoài phản hồi yêu cầu của

bạn, firewall so sánh các gói nhận được với trạng thái đã lưu để xác định

chúng được phép vào hay không

3 Phân loại Firewall

3.1 Firewall cứng

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,

thêm quy tắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và

cấu hình các chính sách bảo mật, theo dõi các thiết bị, logging, quản lý

các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức độ khác

nhau

Trang 26

Hình 3-3.1.1: Checkpoint

a Eventia Analyzer: giúp đỡ người quản trị trong việc quản

lý các sự kiện liên quan đến bảo mật Eventia Analyzer cho phépquản lý tập trung, thời gian thực các thiết bị bảo mật.Gateway củaCheckPoint và sản phẩm của các đối tác của Checkpoint Eventia tựđộng thu thập dữ liệu thông tin về các sự kiện, tình hình tấn công,tối ưu hoá cách trình báy và cung cấp cho nhà quản trị một cái nhìn

dễ nhất, đầy đủ nhất về tình hình an ninh trên mạng

Hình 4-3.1.1: Eventia Analyzer

b Eventia Report: Thu thập dữ liệu, thông tin từ các thiết bị

bảo mật trên mạng sau đó trình bày một cách có hệ thống, dướidạng báo cáo giúp cho tổ chức có thể sử dụng làm căn cứ để đánhgiá, xác định xem hiệu quả của chính sách bảo mật, tình hình antoàn bảo mật trên mạng từ đó tối ưu hóa hiệu quả đầu tư EventiaReporter tập trung hoá việc báo cáo về các hoạt động của ngườidùng, các thiết bị bảo mật và thiết bị mạng

Trang 27

Hình 5-3.1.1: Eventia Report

c SmartCenter: Để đối phó với sự tấn công của tin tặc ngày

càng phức tạp, chóng ta phải xây dụng hệ thống an ninh bảo mậttheo chiều sâu bao gồm nhiều lớp: bảo mật vòng ngoài, bảo mật bêntrong, bảo mật người dùng CheckPoint đưa ra giải pháp cho phápngười quản trị có thể quản lý được môi trường phức tạp đó Thôngqua SmartCenter, nhà quản trị có thể thực hiện được tất cả các khíacạnh quản lý liên quan đến vấn đề bảo mật

Hình 6-3.1.1: SmartCenter

d SmartPortal: Cho phép người dùng, người kiểm tra có thể

xem được các chính sách bảo mật, tình trạng các thiết bị bảo mật v2hoạt động quản lý của nhà quản trị

Trang 28

sử dụng cùng một hệ điều hành, khác biệt giữa các mô hình chủ yếuliên quan đến khả năng mở rộng và hiệu suất

Hình 8-3.1.2: Cisco ASA

Asa sản phẩm tốt nhất có thể được mô tả như là bức tường lửalai Cisco, tuy nhiên, không thích sử dụng thuật ngữ "tường lửa "mô

Trang 29

cách sử dụng bảo mật " hạn chế thiết bị, chủ yếu là do các sản phẩmASA và các sản phẩm thay thế, PIX sản phẩm, không chỉ là bứctường lửa trạng thái, họ cũng hỗ trợ nhiều tính năng bảo mậtkhác,bao gồm cả:

 Secure, real –time, proprietary operating system

 Trạng thái tường lửa bằng cách sử dụng thuật toán bảo mật của Cisco

 Chuỗi số ngẫu nhiên (SNR) để đảm bảo các kết nối TCP

 Cắt qua Proxy (CTP) chứng thực telnet, HTTP, FTP kết nối

 Mặc định chính sách an ninh để đảm bảo bảo vệ tối đa, cũng như khả năng tùy chỉnh các chính sách và xây dựng các chính sách của riêng bạn

 Mạng ảo riêng (VPN): IPSec, SSL, và L2TP

 Phát hiện xâm nhập và hệ thống phòng (IDS và IPS)

 Địa chỉ dịch bằng cách sử dụng mạng lưới năng động và tĩnh và địa chỉ cổng dịch

 trạng thái dư thừa các kết nối mạng riêng ảo giữa hai thiết bị an ninh

 Virtualization of prolicies using contexts

3.1.3 Juniper

Juniper Networks cung cấp một sự pha trộn lý tưởng bảo mậttruy cập mạng hiệu suất và linh hoạt lựa chọn kết nối mạng LAN

vàWAN cho chi nhánh từ xa, văn phòng khu vực, và cho các

doanh nghiệp lớn và nhỏ

 IDP Series Intrusion Detection and Prevention Appliances:

Juniper Networks phát hiện xâm nhập và các sản phẩm phòng chốngcung cấp an ninh toàn diện mạng lưới nội tuyến từ sâu, trojan, spyware, keylogger, và các phần mềm độc hại khác Bằng cách xác định chính xác lưu lượng ứng dụng, giải pháp an ninh mạng đảm bảotính sẵn sàng liên tục của các ứng dụng kinh doanh quan trọng

 ISG Series Integrated Security Gateways:

Mục đích-xây dựng, cổng an ninh tích hợp hiệu suất cao được thiết

kế để cung cấp khả năng mở rộng mạng lưới và an ninh truy cập ứngdụng cho doanh nghiệp lớn, tàu sân bay và mạng lưới trung tâm dữ liệu

 MAG Series Junos Pulse Gateways:

Juniper Networks MAG Dòng Junos Pulse Gateway là mô-đun, các cổng truy cập vào mục đích thiết kế đáp ứng nhu cầu truy cập từ xa và mạng LAN an toàn của các doanh nghiệp thuộc mọi quy mô

 NetScreen Series Security Systems:

Juniper Networks NetScreen Series Security Systems cung cấp một giải pháp an ninh mạng truy cập linh hoạt cho các trang web doanh nghiệp vừa và lớn ở Trung ương và các nhà cung cấp dịch vụ

 SA Series SSL VPN Appliances:

Juniper Networks dẫn đầu thị trường SA Dòng SSL VPN chuyên dụng đảm bảo rằng các nhân viên từ xa và điện thoại di động, khách hàng, và các đối tác bất cứ lúc nào, bất cứ nơi nào VPN truy cập an toàn tài nguyên mạng và các ứng dụng doanh nghiệp

Trang 30

 SRX Series Services Gateways:

Dựa trên kiến trúc dịch vụ động được hỗ trợ bởi phần mềm JUNOS, Juniper Networks SRX Series Services Gateway cung cấp kết nối mạng mạnh mẽ và an ninh mạng dịch vụ truy cập cho doanh nghiệp và cơ sở hạ tầng cung cấp dịch vụ và các ứng dụng

Các cổng dịch vụ dòng SRX được dựa trên Junos, hệ điều hành đã được chứng minh của Juniper cung cấp dịch vụ bảo vệ an ninh và

tiên tiến, nền tảng của mạng lưới lớn nhất thế giới Junos cũng hỗ trợ

khả năng định tuyến phong phú, và kiến trúc độc đáo của Junos cung cấp các hoạt động dịch vụ đáng tin cậy và khả năng quản lý, ngay cả dưới tải cao nhất

 SSG Series Secure Services Gateways:

Juniper Networks SSG Dòng Secure Services Gateway cung cấp một

sự pha trộn lý tưởng bảo mật truy cập mạng hiệu suất và linh hoạt lựa chọn kết nối mạng LAN và WAN từ xa VPN chi nhánh, văn phòng khu vực, và cho các doanh nghiệp lớn và nhỏ

 Unified Access Control:

Dựa trên tiêu chuẩn của Juniper Networks Unified Access Control cung cấp năng động, toàn diện, nhận dạng dựa trên kiểm soát truy cập bảo mật cho các lệnh chưa từng có của mạng, dữ liệu và truy cập ứng dụng

 IC6500 FIPS Unified Access Control gia dụng:

Cung cấp khả năng mở rộng, hiệu suất, dự phòng Cung cấp các hoạt động mật mã thế hệ tiếp theo và truy cập mạng tập trung kiểmsoát chính sách quản lý máy chủ lớn, các tổ chức đa quốc gia và các

cơ quan chính phủ

3.1.4 Cyberoam

Là một Firewall cứng, cung cấp trạng thái và kiểm tra gói tin sâu sắc đối với ứng dụng, mạng và người sử dụng bảo mật dựa trên nhận dạng

Cyberoam UTM Firewall do đó bảo vệ các tổ chức từ DoS, DDoS và tấn

công Spoofing IP

Cyberoam cung cấp giải pháp bảo mật toàn diện cho các doanh

nghiệp vừa và nhỏ với công nghệ Stateful Inspection Firewall (một kỹ

thuật sử dụng bảng trạng thái để theo dõi các trạng thái và hành vi của

các gói tin, kết nối đi qua thiết bị, đảm bảo an toàn trước và sau khi thiết

lập các kênh thông tin), tích hợp các tính năng VPN, Gateway Anti-virus,

Anti-Spyware, Gateway Anti-spam, hệ thống phòng chống thâm nhập trái

phép (Intrusion Prevention System - IPS), lọc nội dung (Content Filtering),

quản lý băng thông (Bandwidth Management), quản lý đa kết nối (Multiple

Link Management), hệ thống báo cáo toàn diện trên một thiết bị duy nhất

và có hệ được quản lý tập trung sử dụng thiết bị Cyberoam Center

Console

3.2 Firewall mềm 3.2.1 Isa 2006

Internet Acceleration and Security (ISA) Server 2006 Một Firewall nổitiếng của Microsoft được xây dựng dựa trên các phiên bản ISA Server

trước.Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng

Trang 31

Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPNsite to site hay remote access hỗ trợ việc truy cập từ xa vào hệthống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa vănphòng và hội sở

Đối với các công ty có những hệ thống máy chủ public nhưMail Server, Web Server, FTP Server cần có những chính sáchbảo mật riêng thì ISA Server 2006 cho phép triển khai vùngDMZ nhằm ngăn ngừ sự tương tác trực tiếp giữa người dùngbên trong và bên ngoài hệ thống

Ngoài các tính năng bảo mật thông tin trên, ISA Server

2006 bản standard còn có chức năng tạo cache cho phép rútngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ

 Enterprise Edition:

ISA Server 2006 Enterprise được sử dụng trong các môhình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của ngườidùng bên trong và ngoài hệ thống Ngoài những tính năng đã

có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập

hệ thống mảng các ISA Server cùng sử dụng một chính sách,điều này giúp dễ dàng quản lý và cung cấp tính năng LoadBalancing (cân bằng tải)

3.2.2 PFsence

Pfsense là miễn phí, mã nguồn mở tùy chỉnh phân phối của FreeBSDphù hợp cho sử dụng như một tường lửa và router Ngoài việc là một tường

lửa mạnh mẽ, linh hoạt và nền tảng định tuyến, nó bao gồm một danh

sách dài các tính năng liên quan và hệ thống một gói phần mềm cho phép

mở rộng thêm mà không cần thêm sưng lên và các lỗ hổng bảo mật tiềm

năng để phân phối cơ sở

Trang 32

Hình 9-3.2.2: pfSense

Các tính năng: pfSense bao gồm hầu hết tất cả các tính năng trong cáctường lửa thương mại đắt tiền, và nhiều hơn nữa trong nhiều trường hợp

3.2.3 Iptables

Trong môi trường Linux phần mềm firewall phổ biến và cơ bản nhất là

iptables, thông qua nó bạn có thể dễ dàng hiểu được nguyên lý hoạt động

của một hệ thống firewall nói chung

Iptables cơ bản gồm ba bảng FILTER, MANGLE, NAT và các chain trong mỗi bảng, với chúng người quản trị có thể tạo ra các rules cho phép các

gói tin vào ra hệ thống tuỳ theo ý muốn của mình

Trang 33

Hình 10-3.2.3: Iptables

Các tính năng chính:

 Stateless packet filtering (IPv4 and IPv6)

 Stateful packet filtering (IPv4 and IPv6)

 All kinds of network address and port translation, egNAT/NAPT (IPv4 only)

 Flexible and extensible infrastructure

 Multiple layers of API's for 3rd party extensions large number

of plugins/modules kept in 'patch-o-matic' repository

Trang 34

McAfee Anti-Virus, tùy biến tích hợp ISS Orange Web Filter, và người sử

dụng cụ thể truy cập Internet quản lý, Kerio WinRoute Firewall cung cấp

một kiến trúc nhiều lớp để bảo vệ mạng, máy chủ và người sử dụng

Hình 11-3.2.4: Kerio WinRoute Firewall

Kerio WinRoute Firewall đặt ra các tiêu chuẩn mới trong kiểm soáttruy cập linh hoạt, an ninh và người sử dụng Được thiết kế cho các mạng

công ty, nó bảo vệ chống lại các cuộc tấn công bên ngoài và vi rút và có

thể giới hạn truy cập đến các trang web dựa trên nội dung của họ

4 Các khái niệm liên quan:

Khái niệm:

Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server/TMG server làm web proxy server Tuy nhiên, không chỉ

trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng

ISA server/TMG server là web proxy server, ví dụ các chương trình instant

messenger (chat) hoặc trình duyệt mail

Khi client truy cập web, yêu cầu được chuyển đến firewall service trên ISA Firewall service lại chuyển yêu cầu đến bộ lọc web proxy Yêu cầu từ

Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web

proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt

Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế

hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập

web tại một thời điểm: Mở Properties của network chứa Web proxy client

(thường là network Internal) > tab Web Proxy > Advanced > chọn

Maximum và nhập số kết nối đồng thời tối đa Trên hộp thoại này, còn có

thể thiết lập các giới hạn thời gian kết nối

Triển khai:

- Cài đặt: Không cần cài đặt ứng dụng nào cả Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy

server của trình duyêt web

- Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web

- Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS

- Có thể chứng thực người dùng

4.1 Secure Nat:

- Cài đặt: Không cần cài đặt ứng dụng nào cả Thông số duy nhất cầnquan tâm là Default Gateway Phải khai báo Default Gateway sao cho mọi

Trang 35

cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết

bị định tuyến (router) nội bộ

- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP

- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng

- Không thể chứng thực người dùng

4.2 Firewall Client:

- Cài đặt: Không cần cài đặt ứng dụng nào cả Thông số duy nhất cần

quan tâm là Default Gateway Phải khai báo Default Gateway sao cho

mọi thông tin hướng ra internet phải được định tuyến đến ISA server Tuỳ

theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các

thiết bị định tuyến (router) nội bộ

- Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP

- Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng

- Không thể chứng thực người dùng

5 Công nghệ bảo mật phổ biến hiện nay

Trang 36

gian làm việc Bộ lọc có thể ngăn chặn cả những e-mail hợp pháp, vì thế

người dùng cần phải được hướng dẫn làm thế nào để sử dụng

Quản lí và lọc nội dung Web:

Các công ty cần phải chắc chắn rằng nhân viên của mình không truy cập vào những trang web hay nội dung dẫn đến những rắc rối về pháp lý

Phần mềm chống gián điệp:

Spyware trở thành một trong những nguy cơ bảo mật lớn từ nhiều năm trước Và hệ quả là những chương trình chống spyware đã trở thành

một trong những chiến lược phổ biến của doanh nghiệp

Phát hiện xâm nhập trái phép:

Phần mềm này được thiết kế để phát hiện những kẻ xâm nhập trái phép khi chúng đang cố gắng truy cập vào hệ thống và dữ liệu, cung cấp

cho mạng những công cụ bảo vệ đằng sau tường lửa, phần mềm diệt

Bằng việc gửi nhiều gói tin đến các cổng khác nhau, một kẻ tấn công

có thể định danh các dịch vụ hiện có, từ đấy phát động các cuộc tấn công

liên tiếp

Land Attack:

Nếu một kẻ tấn công gửi các gói tin giả mạo SYN chứa địa chỉ IP của nạn nhân ở cả hai trường đích và nguồn, nạn nhân sẽ tự gửi các gói SYN-

ACK, tạo nên rất nhiều kết nối không dùng chiếm dụng tài nguyên cho

đến lúc tài nguyên cạn kiệt làm hệ thống sụp đổ

Tear Drop Attack:

Khi một hoặc hai phần của một gói tin TCP chưa hoàn chỉnh bị trùng lặp, máychủ sẽ cố gắng tập hợp lại các gói tin TCP và điều này dẫn đến

việc máy chủ có thể gặp sự cố

Trang 37

Tùy chọn của IP Source Route có thể cho phép kẻ tấn công vào hệ thống với một địa chỉ IP giả và có dữ liệu gửi ngược lại địa chỉ thật của kẻ

tấn công

Malicious Java, ActiveX, ZIP, and EXE Content:

Khi download, các đoạn applet, các đoạn mãđộc hại có thể cài đặt các loại virus Trojan vào trong hệ thống

WinNuke Attack:

WinNuke là ứng dụng độc hại gửi các dữ liệu out-of-band (OOB) đến cổng 139 NetBIOS với các gói NetBIOS không hoàn chỉnh để khiến cho hệ

thống Windows gặp sự cố

7 Bảo mật mạng với VPN Firewall

Mô hình chung: Mô hình mạng riêng ảo sử dụng đường kết nối Internet

để tạo ra một đường hầm ảo trao đổi thông tin từ mạng từ xa kết nối

thành 1 mạng thống nhất

Hình 12-7: Mô hình chung

Mô hình kết nối VPN đơn: Mô hình VPN kết nối từ các máy trạm ở xa

vào mạng LAN của doanh nghiệp:

Hình 13-7: Mô hình kết nối VPN đơn

Mô hình site to site: VPN kết nối giữa 02 mạng nội bộ từ xa với nhau

(LAN – LAN)

Trang 38

Hình 14-2.7: Mô hình site to site Yêu cầu giải pháp:

- 01 máy chủ cài đặt Firewall cung cấp các kết nối VPN làm máy chủ VPN (VPN Server) , có 1 card mạng kết nối với hệ thống mạng nội

bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL để kết nối với bên ngoài (Internet)

- Máy chủ cung cấp dịch vụ tốt nhất chạy ứng dụng trên nền tảng Domain Controler của hãng Microsoft để đảm bảo an toàn, dễ quản trị

khi chia sẻ dữ liệu và chia sẻ các dịch vụ trong mạng LAN (Dịch vụ File, Email nội bộ, Email Internet, Phần mềm Nghiệp vụ: Kế toán, quản lý công văn công việc, nhân sự tiền lương, chăm sóc khách hàng, …)

b Phần mềm:

- Firewall Software: Firewall mềm chạy trên nền tảng applicant Là

Firewall bảo vệ hện thống mạng bên trong, chứng thực các kết nối từ bên ngoài vào, mã hóa dữ liệu khi truyền ra ngoài theo kênh VPN Có một quy tắc được áp đặt trên hệ thống bảo mật (Firewall) cho phép thông tin được truyền qua hệ thống bảo mật (Firewall), sau đó những thông tin này sẽ được chuyển (Pass) qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị hệ thống bảo mật (Firewall) chặn lại

Bảo mật, an toàn thông tin:

- Xác thực truy cập (User Authentication): Cung cấp cơ chế chứng

thực người dùng, chỉ cho phép người dùng hợp lệ và được phép Kết nối và

truy cập hệ thống truy cập từ xa (VPN Server)

- Quản lý phân cấp địa chỉ (Address Management): Cung cấp địa chỉ IPhợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN và khai thác

các tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN)

- Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệutrong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

- Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản

Trang 39

- Hệ thống bảo mật (Firewall): sẽ đáp ứng đựoc các cơ chế bảo mật đềra: IPSec, 3Des, Client Policy, RADIUS, LDAP theo các tiêu chuẩn bảo mật

và mã hóa của thế giới Tại phía người truy cập sẽ được đảm bảo an ninh

với các cơ chế đóng gói và mã hoá của ứng dụng VPN (VPN Client Sofware)

- Chống thất thoát dữ liệu do người dùng truyền ra ngoài thông qua các cơ chế chia sẻ file ngang hàng (P2P), chat (Yahoo, Sky, MSM…) cũng

như các phương thức truyền file khác qua mạng Internet

Dự trù giải pháp:

- Đường truyền dự phòng cho hệ thống Firewall, VPN: được cung cấp bởi một ISP khác, có IP tĩnh Khi có sự cố sẽ chuyển qua đường dự phòng

chạy Trong trường hợp bình thướng thì đường dự phòng đóng vai trò là

đường Internet để tăng băng thông cho đường truyền chính

- Hệ thống phần cứng chi Firewall cần nâng cấp mạnh hơn sau một thời gian sữ dụng để đáp ứng nhu cầu ngày càng cao của doanh nghiệp

Kết luận:

- Với công nghệ thông tin phát triển như hiện nay áp dụng các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh

nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa

- Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn

về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như

mạng Internet đang ngày càng phát triển mạnh ở nước ta như hiện nay

- Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong

quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai

thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT

tại Việt nam ngày càng mạnh Nó sẽ là nền tảng để cho các dịch vụ lớp

trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và

tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong

doanh nghiệp mình

8 Windows Server 2008:

Microsoft Windows Server 2008 tên mã “Longhorn”, với các công nghệ ảo hoá

và web tích hợp, cung cấp một cơ sở hạ tầng máy chủ tin cậy và linh hoạt hơn

các thế hệ trước đây

Web:

Với các công nghệ và tính năng mới như Server Core, PowerShell, Windows Deployment Services và các công nghệ kết nối liên mạng cao

cấp, Windows Server 2008 cung cấp một nền tảng tin cậy và linh hoạt đáp

ứng mọi yêu cầu ứng dụng doanh nghiệp

Server Manager tăng tốc thiết lập và cấu hình máy chủ, đơn giản hoá việc quản lý các tác vụ máy chủ thông qua console quản lý thống nhất

Windows PowerShell là giao tiếp dòng lệnh mới với hơn 130 công cụ và một ngôn ngữ kịch bản tích hợp cho phép người quản trị thực hiện tự

động các công việc quản trị hệ thống thường nhật, đặc biệt công việc tác

động qua nhiều máy chủ

- Server Core là tuỳ chọn cài đặt mới cho các vai trò được lựa chọn chỉ gồm

những thành phần cần thiết, không có giao diện đồ hoạ, để cung cấp máy

chủ có tính sẵn sàng cao, ít cần cập nhật và ít phải bảo dưỡng

Ảo hoá:

Với công nghệ ảo hoá máy chủ - cho phép chạy nhiều HĐH như Windows, Linux và các HĐH khác trên một máy chủ - và chính sách bản

quyền linh hoạt, Windows Server 2008 cho phép bạn giảm chi phí, tăng

Trang 40

hiệu suất sử dụng phần cứng, tối ưu cơ sở hạ tầng và cải tiến tính sẵn sàng

của máy chủ Windows Server 2008 cho phép tạo trung tâm dữ liệu linh

động để đáp ứng những nhu cầu nghiệp vụ da dạng, biến dổi

- Terminal Services Gateway và Terminal Services RemoteApp được thiết kế cho việc truy cập từ xa và tích hợp ứng dụng dễ dàng, cho phép

triển khai ứng dụng an toàn và thông suốt mà không cần đến VPN (mạng

riêng ảo)

Bảo mật:

Windows Server 2008 là HĐH máy chủ Windows an toàn nhất từ trước đến nay nhờ được gia cố và thêm những tính năng bảo mật mới như

Network Access Protection, Federated Rights Management và Read-Only

Domain Controller, cung cấp những mức độ bảo vệ chưa từng có trước đây

cho mạng, dữ liệu và doanh nghiệp

Windows Server 2008 giúp bảo vệ máy chủ, mạng, dữ liệu và tài khoản

người dùng tốt hơn

- Network Access Protection cho phép cách ly các máy tính không đápứng chính sách bảo mật của doanh nghiệp, hạn chế truy cập mạng và kiểm

tra việc tuân thủ

- Federated Rights Management Services cung cấp việc bảo vệ liên tục cho dữ liệu nhạy cảm, giảm rủi ro và tạo nền tảng bảo vệ thông tin

Cơ sở vững chắc cho ứng dụng doanh nghiệp:

Với các công nghệ và tính năng mới như Server Core, PowerShell, Windows Deployment Services và các công nghệ kết nối liên mạng cao

cấp, Windows Server 2008 cung cấp một nền tảng tin cậy và linh hoạt đáp

ứng mọi yêu cầu ứng dụng doanh nghiệp

- Server Manager tăng tốc thiết lập và cấu hình máy chủ, đơn giản hoá việc quản lý các tác vụ máy chủ thông qua console quản lý thống nhất

Windows PowerShell là giao tiếp dòng lệnh mới với hơn 130 công cụ và một

ngôn ngữ kịch bản tích hợp cho phép người quản trị thực hiện tự động các

công việc quản trị hệ thống thường nhật, đặc biệt công việc tác động qua

trên các bộ xử lý x86 (32bit), x64 và IA-64 (64bit) Theo Microsoft, đây có

thể sẽ là HĐH máy chủ Windows cuối cùng hỗ trợ 32-bit Windows Server

2008 có các phiên bản chính sau:

 Windows Server 2008 Standard Edition: Cung cấp chức năng máy

chủ then chốt, có hầu hết các tính năng và tác vụ máy chủ Nó bao gồm cả 2 lựa chọn cài đặt đầy đủ và Server Core

Windows Server 2008 Enterprise Edition: Xây dựng trên Windows

Tiêu đề	Ứng Dụng Microsoft Forefront TMG 2010 Trong Bảo Mật Mạng Doanh Nghiệp
Tác giả	Phan Văn Thắng (NT), Lê Thiên Long, Nguyễn Thị Như Thủy, Chế Thái Nhựt
Người hướng dẫn	GVHD: Nguyễn Siêu Đẳng
Trường học	Trường Cao Đẳng Nghề CNTT iSpace
Chuyên ngành	Quản Trị Mạng
Thể loại	Đồ án
Năm xuất bản	2011

Định dạng
Số trang	239
Dung lượng	19,45 MB