ung dung microsoft forefront tmg 2010 trong bao mat mang doanh nghiep

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCMWebsite: www.ispace.edu.vn Email: [email protected]

Tel: (848) 6267 8999 - Fax: (848) 6283 7867

XÂY DỰNG GIẢI PHÁP BẢO MẬT DỰA TRÊN NỀN TẢNG ỨNG DỤNG MICROSOFT FOREFRONT TMG 2010CHO CÔNG TY CỖ PHẦN THƯƠNG MẠI DỊCH VỤ

D.M.A COMPUTER TECHNOLOGY

_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 2

mailto:[email protected]

http://www.ispace.edu.vn/


Tel: (848) 6267 8999 - Fax: (848) 6283 7867

LỜI CẢM ƠN

gày nay chúng ta có thể nói rằng công nghệ thông tin là một thành phần không thể thiếu trong sự phát triển của xã hội bởi những tính năng và khả năng ưu việt mà nó mang lại tiêu biểu là sự phát triển của mạng diện rộng đã tạo nên cuộc cách mạng mới

về công nghệ trong sự phát triển của xã hội. Bên cạnh mặt tích cực đó luôn là sự xuất hiện của tiêu cực, nhiều tin tặc đã lợi dụng sự phát triển của hệ thống mạng mà chống phá sự phát triển của các doanh nghiệp và chính phủ. Chính vì thế nhiều buổi chuyên đề, hội thảo về mạng – bảo mật đã được triển khai nhằm tìm ra những giải pháp tối ưu để bảo vệ cho các hệ thống mạng trên. Trong đề tài này chúng tôi xin giới thiệu một giải pháp bảo mật cho mạng doanh nghiệp dựa trên những kiến thức đã học và những kiến thức tìm hiểu nâng cao. Chúng tôi xin được đưa ra những giải pháp bảo mật dựa trên nền tảng tường lửa mềm của Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG) 2010 cho công ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer Technology.

N

Để hoàn thành tốt đề tài này chúng tôi xin chân thành cảm ơn ban lãnh đạo Trường Cao Đẳng Nghề CNTT Ispace cùng tất cả các giảng viên đã tạo điều kiện thuận lợi và nhiệt tình giảng dạy cho chúng tôi trong suốt thời gian học vừa qua để chúng tôi có thể học tập tốt và đạt được kết quả như ngày hôm nay. Chúng tôi cũng xin chân thành gửi lời cảm ơn đến thầy Nguyễn Siêu Đẳng đã tận tình hướng dẫn cho chúng tôi về đề tài và đồng thời chúng tôi cũng xin gửi lời cảm ơn đến các bạn thành viên ở một số webiste và diễn đàn đã cung cấp thêm một số thống tin hữu ích cho chúng tôi thực hiện tốt đề tài này.

Do quy mô đề tài, thời gian và kiến thức còn hạn chế nên không tránh khỏi những sai sót. Nhóm chúng tôi kính mong quý thầy cô và các bạn nhiệt tình đóng góp ý kiến để chúng tôi cũng cố, bổ sung và hoàn thiện thêm kiến thức cho mình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Trân Trọng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

LỜI NÓI ĐẦU

hững năm gần đây, xã hội của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả các ngành công nghiệp cũng như nông nghiệp. Điều này phải kể đến sự đóng góp tích cực của các

ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học.NCùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng.

Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft.

Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.

Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và chính thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway (Forefront TMG) đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:

Internet Security and Acceleration Server (ISA) Forefront Client Security Forefront Security for Exchange Server Forefront Security for SharePoint

Chính vì là một sản phẩm ra đời sau và thừa hưởng mọi tinh hoa của các ứng dụng trên nên Forefront TMG có khả năng:

Bảo vệ hệ thống đa dạng hơn Ngăn chặn được sự lây nhiễm virus, malware trên phương diện rộng và hiệu quả

Mặc dù ra đời sau tuy nhiên ứng dụng Microsoft Forefront Threat Management Gateway 2010 đã sớm khẳng định được vị thế của mình. Rõ nét là đang được nhiều doanh nghiệp tìm hiểu và áp dụng Microsoft Forefront TMG 2010 vào mô hình mạng của doanh nghiệp mình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

NHẬN XÉT CỦA DOANH NGHIỆP

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................

.......................................................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

MỤC LỤC

LỜI CẢM ƠN....................................................................................................................................3

LỜI NÓI ĐẦU...................................................................................................................................4

NHẬN XÉT CỦA DOANH NGHIỆP........................................................................................................5

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN..........................................................................................6

MỤC LỤC.........................................................................................................................................7

I. GIỚI THIỆU TỔNG QUAN.........................................................................................................14

1. TỔNG QUAN VỀ FOREFRONT TMG 2010................................................................................14

2. LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010..............................................16

2.1. Lịch sử.........................................................................................................................16

2.2. Quá trình phát triển:.....................................................................................................17

3. PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010.................................................18

4. CÁC TÍNH NĂNG CỦA TMG 2010...........................................................................................19

4.1. Các chức năng chính.....................................................................................................19

4.2. Các tính năng nổi bật của TMG 2010..............................................................................19

4.3. System Requirement.....................................................................................................21

5. CÁC MÔ HÌNH FIREWALL......................................................................................................22

5.1. Network template.........................................................................................................22

5.2. Cấu hình các thiết lập mạng...........................................................................................23

5.2.1. Edge Firewall............................................................................................................23

5.2.2. 3-Leg Perimeter........................................................................................................23

5.2.3. Back Firewall.............................................................................................................24

5.2.4. Single Network Adapter.............................................................................................24

II. NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010............................................................26

1. GIỚI THIÊU TMG.................................................................................................................26

2. GIAO DIỆN QUẢN LÝ............................................................................................................27

3. CÁC TÍNH NĂNG MỚI...........................................................................................................28

4. SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?............................................................................34

4.1. Việc kích hoạt truy cập từ bất cứ nơi nào........................................................................34

4.2. Những điểm mới trong UAG...........................................................................................35

4.3. Thiết kế mạng bảo vệ....................................................................................................36_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 8




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4.3.1. Triển khai UAG..........................................................................................................36

4.3.2. Triển khai TMG?........................................................................................................37

4.3.2.1. Edge Firewall.........................................................................................................38

4.3.2.2. 3-Leg perimeter.....................................................................................................39

4.3.2.3. Back Firewall.........................................................................................................40

4.3.2.4. Single-NIC.............................................................................................................40

5. YÊU CẦU HỆ THỐNG............................................................................................................41

5.1. Yêu cầu phần cứng:......................................................................................................41

5.2. Yêu cầu Phần mềm.......................................................................................................42

5.3. Hạ tầng mạng...............................................................................................................43

5.3.1. Tên phân giải............................................................................................................43

5.3.2. Xác thực...................................................................................................................44

5.4. Triển khai trong các môi trường ảo.................................................................................45

6. PHÂN TÍCH YÊU CẦU MẠNG..................................................................................................45

7. XÁC ĐỊNH HỒ SƠ TRAFFIC...................................................................................................45

7.1. Bản đồ mạng................................................................................................................46

7.2. Bản đồ ứng dụng..........................................................................................................46

8. GIẢI QUYẾT CÁC MẠNG PHỨC TẠP........................................................................................50

9. DNS TRONG TMG.................................................................................................................50

9.1. Hệ thống giải quyết tên phân giải như thế nào ?.............................................................51

9.1.1. Edge hoặc Perimeter trong Workgroup........................................................................52

9.1.2. Edge hoặc Perimeter trong Domain.............................................................................54

9.2. Ảnh hưởng của DNS......................................................................................................54

9.3. DNS Cache trong TMG...................................................................................................54

10. CHỌN NETWORK TEMPLATE.............................................................................................55

10.1. Edge Firewall Template..............................................................................................55

10.2. 3-Leg Perimeter mạng Template.................................................................................56

10.3. Back Firewall Template..............................................................................................57

10.4. Single NIC Template..................................................................................................58

10.5. Join Firewall TMG vào Domain hoặc Workgroup...........................................................60

11. Di trú TMG.......................................................................................................................61

12. CÁC LOẠI TMG CLIENT.....................................................................................................62

12.1. Web Proxy Client.......................................................................................................62

12.2. Web Proxy Client làm việc như thế nào?......................................................................63





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

12.3. Cấu hình Server-Side.................................................................................................65

12.4. Sử dụng Web Proxy Client..........................................................................................66

12.5. SecureNET Clients.....................................................................................................67

12.6. SecureNet Client làm việc như thế nào?......................................................................68

12.7. SecureNet Client advantages......................................................................................69

12.8. SecureNet Client Disadvantages..................................................................................69

12.9. Forefront TMG Client.................................................................................................70

13. GIAO DIỆN TMG...............................................................................................................73

13.1. TMG 2010.................................................................................................................73

13.2. Monitoring................................................................................................................74

13.3. Firewall policy...........................................................................................................74

13.4. Chính sách Web Access..............................................................................................75

13.5. E-Mail Policy.............................................................................................................75

13.6. Intrusion Prevention System.......................................................................................77

14. NEW WIZARDS.................................................................................................................80

14.1. The Getting Started Wizard........................................................................................80

14.2. Network Setup Wizard...............................................................................................81

14.3. System Configuration Wizard......................................................................................82

14.4. Deployment Wizard...................................................................................................82

14.5. The Web Access Policy Wizard....................................................................................83

14.6. The Join Array and Disjoin Array Wizards (TMG 2010 only)...........................................83

14.7. The Connect to Forefront Protection Manager 2010 Wizard (TMG 2010 only).................84

14.8. The Configure SIP Wizard (TMG 2010 only).................................................................84

14.9. The Configure E-Mail Policy Wizard (TMG 2010 only)....................................................85

14.10. The Enable ISP Redundancy Wizard (TMG 2010 only)..................................................85

15. CẤU HÌNH TMG NETWORKS..............................................................................................85

15.1. Route Relationships...................................................................................................85

15.2. NAT Relationships.....................................................................................................86

15.3. Mạng Rules...............................................................................................................89

15.4. Built-In Mạng............................................................................................................90

15.5. Cấu hình mạng được bảo vệ của bạn..........................................................................92

15.6. Chứng thực Traffic từ mạng được bảo vệ....................................................................93

16. CÂN BẰNG TẢI.................................................................................................................94

16.1. ISP Redundancy là gì?...............................................................................................94





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

16.2. Enabling ISP-R..........................................................................................................94

16.3. NLB Kiến trúc............................................................................................................95

16.4. Sử dụng TMG Management Console............................................................................96

17. NETWORK INSPECTION SYSTEM.......................................................................................97

17.1. Thực hiện kiểm tra hệ thống mạng.............................................................................98

17.2. Các kiểu tấn công....................................................................................................100

18. CACHING.......................................................................................................................101

18.1. Hiểu biết về cache Proxy..........................................................................................101

18.2. Công việc Caching như thế nào?...............................................................................101

19. MALWARE INSPECTION..................................................................................................103

19.1. Tìm hiểu về Inspection Malware trong TMG...............................................................103

19.2. Các tùy chỉnh trong Malware Inspection....................................................................105

19.2.1. Inspection Settings..................................................................................................105

19.2.2. Content Delivery......................................................................................................106

19.2.3. Storage...................................................................................................................107

19.2.4. Update Configuration...............................................................................................107

19.2.5. License...................................................................................................................108

19.3. URL Filtering...........................................................................................................109

19.3.1. How URL Filtering Works..........................................................................................109

19.3.2. Các thành phần Tham gia trong URL Filtering............................................................112

19.4. E-Mail Protection.....................................................................................................113

20. HTTP AND HTTPS INSPECTION TRONG ỨNG DỤNG LỌC WEB PROXY.................................115

21. PUBLISHING SERVERS....................................................................................................116

21.1. Làm thế nào để Publish một máy chủ Web?...............................................................116

21.2. Publishing a Web Server Using HTTPS.......................................................................116

21.3. Installing Certificates on TMG...................................................................................117

21.4. Creating an https Web Listener.................................................................................123

21.5. Creating a Secure Web publishing rule......................................................................127

22. REMOTE ACCESS............................................................................................................132

22.1. khái niệm VPN.........................................................................................................132

22.1.1. Tunnel types...........................................................................................................133

22.1.2. Protocols.................................................................................................................133

22.1.2.1. point-to-point tunneling protocol (pptp).................................................................133

22.1.2.2. Layer-two tunneling protocol Over Ipsec (L2tp/Ipsec).............................................134





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

22.1.2.3. Secure Socket Tunneling Protocol (SSTP)...............................................................134

22.1.2.4. Authentication.....................................................................................................134

22.1.3. So sánh Công nghệ VPN...........................................................................................136

22.1.4. Tích hợp NAP..........................................................................................................137

23. Giới thiệu về UAG DirectAccess........................................................................................138

23.1. DirectAccess làm việc như thế nào?..........................................................................138

23.2. Kết nối máy khách DirectAccess................................................................................139

III. PHÂN TÍCH NỘI DUNG ĐỀ TÀI............................................................................................142

1. KHÁO SÁT NHU CẦU DỰ ÁN................................................................................................142

1.1. Tình huống đề tài:......................................................................................................142

1.2. Mô hình mạng logic tại trụ sở.......................................................................................143

1.3. Sơ đồ luận lý chi tiết....................................................................................................144

1.4. Sơ đồ tổ chức của công ty...........................................................................................144

1.5. Nhu cầu của cty D.M.A:...............................................................................................145

2. ĐỀ XUẤT GIẢI PHÁP...........................................................................................................145

2.1. Các tính năng mới:......................................................................................................145

2.2. Những tính năng cốt lõi:..............................................................................................150

I. Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ..........................150

II. Virtual Private Networking (VPN) (Hỗ trợ người dung di động và làm việc hiệu quả, Hỗ trợ kết nối an toàn giữa các site với VPN thông ra Internet).................................................................151

III. Các tính năng quản lý..................................................................................................152

IV. Monitoring and Reporting:...........................................................................................152

3. DANH MỤC THIẾT BỊ..........................................................................................................154

3.1. Danh mục các server...................................................................................................154

3.2. Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG..........................................154

3.3. Bảng báo giá thiết bị...................................................................................................155

IV. THỰC HIỆN........................................................................................................................156

1. Cài đặt forefront tmg 2010..................................................................................................156

2. Cấu hình mô hình mạng 3-Leg perimeter..............................................................................158

3. Cấu hình các Access Rule....................................................................................................162

3.1. Web Access................................................................................................................162

3.2. DNS Query.................................................................................................................167

3.3. Malware Inspection.....................................................................................................170

3.4. HTTPS Inspection........................................................................................................174

3.5. Caching (tăng tốc độ truy cập web)..............................................................................180





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3.6. URL Filtering...............................................................................................................186

3.7. DMZ join Domain........................................................................................................187

4. Cấu hình network ispection system (NIS).............................................................................191

5. Cấu hình kết nối vpn site to site...........................................................................................197

6. Cấu hình kết nối vpn client to site........................................................................................204

7. Cấu hình Intrusion Detection...............................................................................................208

8. Bảo mật hệ điều hành với forefront client security.................................................................210

9. Cấu hình forefront unifiel access gateway 2010.....................................................................215

10. Bảo mật máy chủ Exchange.............................................................................................221

11. Cấu hình ISP Redundancy (Load balancing)......................................................................223

12. Thực hiện backup và restore............................................................................................227

V. ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN.........................................................................................234

1. ĐÁNH GIÁ ĐỀ TÀI..............................................................................................................234

1.1. Khả năng áp dụng và mở rộng:....................................................................................234

1.1.1. Khả năng áp dụng của Forefront:..............................................................................234

1.1.2. Khả năng mở rộng của Forefront..............................................................................235

1.2. Khắc phục những mặt còn hạn chế...............................................................................235

1.3. Hạn chế của giải pháp hiện tại:....................................................................................236

1.3.1. Cấu hình phần cứng:...............................................................................................236

1.3.2. Các dịch vụ cơ sở hạ tầng........................................................................................237

1.3.3. Nối mạng................................................................................................................237

VI. TÀI LIỆU THAM KHẢO........................................................................................................241

VII. PHỤ LỤC............................................................................................................................242





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

I. GIỚI THIỆU TỔNG QUAN

1. TỔNG QUAN VỀ FOREFRONT TMG 2010

Hình I.1.1 - Forefront Threat Managerment Gateway

heo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu.T

Hiện nay nguy cơ này vẫn không được đánh giá đúng mức độ nguy hiểm của nó. Đối với những người sử dụng máy tính thông thường, giới tin tặc thường nhắm đến các thông tin cá nhân như mật khẩu, chi tiết tài khoản ngân hàng, số thẻ tín dụng, tài liệu riêng tư… ở các tổ chức lớn hơn như doanh nghiệp nhỏ, tập đoàn thậm chí là cơ quan chính phủ, việc rò rỉ thông tin về tài liệu nội bộ công ty, tình hình tài chính, an ninh quốc gia… có thể gây ra tổn thất to lớn về mặt kinh tế, chính trị… Các malware đánh cắp dữ liệu bao gồm các dòng malware như trojan can thiệp hoạt động giao dịch ngân hàng, trojan đánh cắp mật mã và các trojan gián điệp. Các mối hiểm họa này đang gia tăng với tốc độ chóng mặt 87% trong năm qua và đặc biệt các dòng phần mềm gián điệp tăng đến 135%.

Theo nhận định của ông Raymond Goh, Giám đốc Kỹ thuật Khu vực Đông Nam Á, phụ trách mảng thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec, năm 2011 tình hình an ninh mạng vẫn quy tụ đầy đủ quanh 5 xu hướng tấn công chính của năm 2010 nhưng mức độ lớn hơn, độ phức tạp tăng lên và tinh vi hơn rất nhiều. Đó là tấn công có mục tiêu tiếp tục nở rộ, dùng mạng xã hội và kỹ thuật xã hội để xâm nhập vào hệ thống, tăng mạnh các gói công cụ tấn công, tin tặc luôn ẩn mình và tìm kiếm cơ hội tấn công, các mối nguy hại từ thiết bị di động tăng mạnh.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình I.1.2 - Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại

Do đó, các hệ thống mạng doanh nghiệp trên toàn cầu đều cấp thiết tìm giải pháp bảo mật, ngăn chặn các mối nguy hại từ các cuộc tấn công từ Internet. Song song đó có rất nhiều công ty bảo mật trên thế giới đưa ra hàng loạt các giải pháp, sản phẩm và thiết bị hỗ trợ cho việc an ninh hệ thống mạng. Trong số đó, công ty phần mềm hàng đầu thế giới Microsoft đã trình làng Microsoft Forefront Threat Management Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:

Bảo vệ hệ thống đa dạng và hoàn thiện. Phát hiện virus, malware và ngăn chặn tấn công. Giao diện quản lý thân thiện và dễ dàng. Giám sát hệ thống mạng được tăng cường.

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Internal Network - Bao gồm tất cả máy tính có trong mạng chúng taLocal Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy Forefront TMGExternal Network - là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình Forefront TMG mà thôi

Hình I.1.3 - Mô hình tổng quan 3 lớp mạng của tường lửa

2. LỊCH SỬ, QUÁ TRÌNH PHÁT TRIỂN CỦA FOREFRONT TMG 2010

2.1.Lịch sử

Hình I.2.1.1 - Sự phát triển của Forefront TMG 2010

Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010.




http://www.gccom.net/blog/uploads/2009/01/20090117-200722-thumb.jpg


Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2.2.Quá trình phát triển:

Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:

1/1997 - Microsoft Proxy Server v1.0 (Catapult) 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server

2000) 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server

2004) 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server

2006) 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront

TMG 2010)

Hình I.2.2.1 - Sơ đồ phát triển của Forefront TMG 2010


Ms Proxy Server v1.0 (Catapult)

Ms ISA 2000

Ms ISA 2004

MS ISA 2006MS Forefront TMG

2010




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. PRICE VÀ LICENSE CỦA TỪNG PHIÊN BẢN FOREFRONT 2010

Hình I.3.1 - Thông tin prices và licenses của các phiên bản Forefront

Hình I.3.2 - Thông tin Price và Licenses của Windows Server 2008





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4. CÁC TÍNH NĂNG CỦA TMG 2010

4.1.Các chức năng chính

Hình I.4.1.1 - Các tính năng chính trong Forefront TMG 2010

4.2.Các tính năng nổi bật của TMG 2010

Hình I.4.2.1 Những Tính năng nổi bật của Forefront TMG 2010





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG.ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền internet.Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web.URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat... HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL CertificateE-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát virus, malware, spam e-mail trong hệ thống Mail ExchangeNetwork Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTPWindows Server 2008 with 64-bit support - Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit

Bảng I.4.2.1 So sánh các tính năng trong Forefront TMG Standard và Enterprise





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bảng I.4.2.2 So sánh các tính năng giữa ISA 2006 và Forefront TMG

4.3.System Requirement

Bảng I.4.3.1 Yêu cầu cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5. CÁC MÔ HÌNH FIREWALL

Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu network rule đó là:

Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng.NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của network adapter tương ứng.

Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối.

5.1.Network template.

Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management.

Hình I.5.1.1 Network setup wizard





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5.2.Cấu hình các thiết lập mạng

Launch Getting Started Wizard cho phép bạn chọn Network Template cần thiết để cấu hình. Forefront TMG cung cấp cho bạn tới 4 Network Template:

Edge Firewall 3-Leg perimeter Back firewall Single network Adapter

5.2.1. Edge Firewall

Hình I.5.2.1.1 Edge Firewall Template

Edge Firewall template là một Network Template cũ và kết nối mạng bên trong với Internet, được bảo vệ bởi Forefront TMG. Một Edge Firewall template điển hình yêu cầu tối thiểu hai network Adapter trên Forefront TMG Server. Đây là tùy chọn mặc định và một trong những sử dụng trong đa số trường hợp. Điều này sẽ tạo ra một mạng nội bộ mặc định và một mặc định ngoài mạng.

5.2.2. 3-Leg Perimeter

Hình I.5.2.2.1 3-Leg Perimeter Template

3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter. Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (Demilitarized Zone), cũng được gọi là Perimeter Network. Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG. Các dịch vụ điển hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

trong một DMZ là Web Server, DNS Server hoặc WLAN network. Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực”. Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.

5.2.3. Back Firewall

Hình I.5.2.3.1 Back Firewall Template

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoạc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ. Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall. Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZvà từ Front Firewall.

5.2.4. Single Network Adapter

Hình I.5.2.4.1 Single Network Adapter Template

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG. Điều này chỉ được sử dụng khi các bức tường lửa là có được sử dụng như một máy chủ proxy web. Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP. Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có. Nó chỉ có các tính năng dưới đây:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download.

Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty. Web publishing để bảo vệ các máy chủ FTP và published Web Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là

Outlook Anywhere trong Exchange Server 2007).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

II. NHỮNG TÍNH NĂNG MỚI CỦA FOREFRONT TMG 2010

1. GIỚI THIÊU TMG

Microsoft Forefront Threat Management (TMG) 2010 là một tường lửa có lớp ứng dụng thông minh và khả năng chống phần mềm độc hại có thể được sử dụng để xác định và giảm thiểu những mối đe dọa đối mặt với các mạng hiện đại. Forefront TMG là kế thừa cho Microsoft ISA Server và bao gồm tất cả các chức năng ISA Server đồng thời nâng cao khả năng sử dụng, bảo mật, và chức năng.

Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộ sản phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngoài, chẳng hạn như những người tạo ra bởi các host trên mạng được bảo vệ; UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePoint hoặc Exchange, Web Publishing.

Hai phiên bản của TMG là:

TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc lập hoặc với Windows Essential Bussiness Server (EBS).1

TMG 2010 cho tất cả các triển khai khác.

Bảng II.1.1 So sánh các tính năng của TMG MBE và TMG FULL

1* TMG MBE đã được phát hành với Windows EBS vào cuối năm 2008. TMG 2010 được phát hành vào cuối năm 2009.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2. GIAO DIỆN QUẢN LÝ

Forefront TMG Management Console được tổ chức lại để đơn giản hóa trong cấu hình và giám sát. Nhiều điều khiển định hướng nhiệm vụ được chuyển đến gần hơn và dễ dàng truy cập hơn trong tab Task. Ví dụ, những điều khiển ở bên trái giao diện của ISA Server 2004 và ISA 2006 được bỏ bớt, và các chức năng liên quan đó được nhóm lại bên trong tab Task.

Hình II.2.1 Giao diện quản lý của Forefront TMG

Hình II.2.2 Giao diện quản lý của ISA 2006





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. CÁC TÍNH NĂNG MỚI

Hỗ trợ Windows Server 2008, Windows Server 2008 R2 và Native 64-Bit

Bởi vì sự gia tăng số lượng người sử dụng trong cả các mạng lớn nên cần thiết phải có các thiết bị để xử lý lưu lượng truy cập nhanh. ISA Server là một "phần mềm" tường lửa dựa trên hệ điều hành Windows. Một hạn chế được biết đến của ISA Server là nó không thể được cài đặt trên một nền tảng 64-bit. TMG không có giới hạn này, bạn phải cài đặt chúng trên hệ điều hành 64-bit. Windows Server 2008 và Windows EBS cũng hỗ trợ môi trường 64-bit. Với việc giới thiệu hỗ trợ 64-bit, tường lửa TMG có thể sử dụng hơn 4 gigabyte (GB) bộ nhớ RAM.

Hỗ trợ Web Antivirus và Anti-Malware

Tường lửa TMG có thể phát hiện và cô lập nội dung độc hại trong luồng thông tin HTTP trước khi nó đến đến khách hàng. Tính năng này cung cấp thêm lớp bảo vệ và tăng cường an ninh cho tất cả các host trên mạng được bảo vệ bởi TMG.

Các bộ lọc HTTP Malware là một bộ lọc web chặn luồng dữ liệu giữa người dùng và máy chủ Web. Nội dung của luồng dữ liệu này được lưu trữ trong bộ nhớ hoặc trên đĩa, tùy thuộc vào kích thước của nội dung. MPEngine TMG (Microsoft Malware Protection Engine) quét nội dung trước khi nó được phân phối cho người dùng.

Để hiểu rõ hơn quá trình này, hình II.3.1 minh họa làm thế nào các yêu cầu từ người dùng lấy từ máy chủ Web, chặn bởi các bức tường lửa TMG, thông qua để MPEngine và cuối cùng, trả lại cho người dùng sau khi xử lý.

Hình II.3.1 MPEngine và các bước xử lý

Hình II.3.1 minh họa các bước sau:

1) Yêu cầu ban đầu từ người dùng bị chặn bởi các cơ Firewall TMG.2) Yêu cầu được chuyển tiếp từ TMG đến Web Server.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3) Các phản hồi từ máy chủ Web được trả lại cho TMG.4) Dữ liệu được chuyển tiếp từ tường lửa TMG đến bộ lọc Web.5) Dữ liệu được gửi đến xử lý giao thức để phân tích lưu lượng HTTP trước khi kiểm tra.6) Dữ liệu được gửi đến ACCUMULATOR, nơi mà nội dung được tích lũy trên đĩa hoặc

bộ nhớ, tùy thuộc vào kích thước.7) Sau khi nội dung được tích lũy nó được gửi trở lại để lọc.8) Bộ lọc gửi nội dung đến Edge Malware Protection (EMP) Máy quét để kiểm tra.9) Máy quét EMP kiểm tra lưu lượng truy cập và gửi nó trở lại với bộ lọc web.10) Dữ liệu được gửi đến xử lý đích.11) Việc xử lý đích lấy nội dung tích lũy.12) Dữ liệu được gửi đến xử lý giao thức một lần nữa để đóng gói nó lại trong HTTP.13) Một khi dữ liệu được đóng gói trong HTTP, nó được đưa trở lại để xử lý đích.14) Việc xử lý đích gửi lưu lượng truy cập đến bộ lọc Web để đáp ứng trở lại người dùng.15) Bộ lọc này sẽ gửi lưu lượng truy cập đến Firewall Engine.16) TMG Firewall Engine gửi trả lời cuối cùng lại cho người dùng.

Khi người dùng cố gắng để duyệt một trang web và tải về một tập tin, TMG tích lũy nội dung, kiểm tra nó sẽ mất bao nhiêu thời gian để hoàn tất việc tải về, và sau đó kiểm tra nội dung. Nếu nội dung được tải về và kiểm tra trong vòng 10 giây, TMG chuyển tập tin đến người dùng cuối. Nếu nội dung được tải về và kiểm tra các tập tin mất hơn 10 giây, TMG sẽ gửi một trang tiến độ HTML cho người dùng thể hiện tiến trình tải về hoặc cho thấy một phản ứng trickled tùy thuộc vào loại nội dung được tải về. Một phản ứng trickled là cùng một loại phản ứng người ta sẽ thấy khi sao chép tập tin từ một thư mục khác.

Hình II.3.2 Quản lý down load với Forefront TMG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Giao diện người dùng, quản lý và báo cáo nâng cao

TMG có các công cụ báo cáo mới đó là: SQL Server Reporting Services (SRS). SRS có thể tạo ra các báo cáo từ cơ sở dữ liệu SQL. SRS cho phép báo cáo thiết kế và định nghĩa, báo cáo lưu trữ, hiển thị ở một số định dạng, một dịch vụ Web có thể lập trình giao diện, và nhiều hơn nữa. SRS gồm dịch vụ cơ sở dữ liệu và trong trường hợp của SRS 2005, dịch vụ web được tổ chức bởi IIS, IIS yêu cầu trên máy tính TMG vì lý do này. IIS cũng được yêu cầu cho Windows EBS quản lý báo cáo từ xa. IIS không phải là một vai trò cần thiết cho TMG 2010.2

Các báo cáo mới của TMG bao gồm thông tin liên quan để kiểm tra phần mềm độc hại, lọc URL và phòng chống xâm nhập. TMG báo cáo bao gồm thông tin không có sẵn trong các phiên bản trước của các bức tường lửa. Khi Forefront Protection Manager 2010 (FPM) được khởi động, TMG 2010 sẽ tích hợp hoàn toàn với FPM cung cấp một giải pháp bảo vệ end-to-end. Báo cáo TMG có thể được xem hoặc kiểm soát từ giao diện báo cáo FPM.

TMG cũng bao gồm các tính năng giao diện người dùng mới để cải thiện việc tạo ra báo cáo và quản lý.

Bảng dưới cho thấy các chức năng bao gồm trong các bức tường lửa TMG cho WindowsEssential Business Server và TMG 2010.

Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010

URL Filtering

Các tính năng lọc URL cho phép bạn thực thi các chính sách an ninh. Sử dụng lọc URL, bạn có thể ngăn chặn truy cập của người dùng vào các trang web có thể gây ra một nguy cơ bảo mật hoặc bị cấm theo chính sách duyệt web của công ty.

Là người quản trị, bạn có thể xác định các loại URL chẳng hạn như phần mềm độc hại. Sau đó, bạn có thể sử dụng Web Access Wizard để tạo cho phép hoặc từ chối chính sách đối với các loại này. Bạn cũng có thể chỉ tùy chỉnh từ chối thông báo cho các trang

2* SRS-kích hoạt mặc định của IIS lắng nghe trên cổng TCP 8008 và không phải trên TCP cổng 80 để cung cấp một bề mặt tấn công thấp hơn.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

web bị từ chối. Bạn có thể cấu hình các quy tắc từ chối để có thể miễn trừ cho phép người sử dụng truy cập vào các trang web này nếu có điều kiện nhất định.

Khi người dùng cố gắng truy cập vào một trang web bị chặn thì người đó nhận được một thông báo HTML mà bạn cấm truy cập vào website để vào trang web bị cấm theo chính sách công ty. Thông báo HTML có thể được cấu hình trên TMG.

HTTPS Inspection

HTTPS Inspection cho phép hiển thị vào Secure Sockets Layer (SSL) phiên khởi độngtừ các máy tính trong mạng được bảo vệ. Tính năng này đóng một vai trò quan trọng trong kiểm tra phần mềm độc hại và giúp cung cấp bảo vệ từ virus tải về từ Web dựa trên các máy chủ e-mail như Outlook Web Access (OWA) và các trang web khác HTTPS. Khi một người dùng yêu cầu một trang an toàn trên Internet, TMG chặn các phản hồi từ máy chủ Web, tạo ra một giấy chứng nhận cùng tên và gửi lại cho người dùng. Trong cách này tất cả lưu lượng HTTPS có thể được TMG kiểm tra trước khi nó được thông qua giữa máy khách và máy chủ.

Hỗ trợ E-Mail Anti-Malware và Anti-Spam

TMG cung cấp một giao diện để kiểm soát mail, chống thư rác và tính năng chống phần mềm độc hại.

Đối với các máy chủ web dựa trên e-mail, nội dung có thể được kiểm tra bằng cách sử dụng kiểm tra HTTPS trước khi đáp ứng được thông qua cho người dùng. Đối với các giao thức SMTP, bạn có thể xác định một con đường SMTP, là một thực thể đại diện cho một liên kết giữa TMG và nội bộ hoặc các máy chủ thư bên ngoài. Mục đích các tuyến đường SMTP là để đơn giản hóa cấu hình và cung cấp một liên kết giữa TMG và Internet, giữa TMG và published mail server. Giao diện người dùng mới làm cho nó dễ dàng hơn để quản lý cấu hình published mail server, bạn chỉ cho phép antivirus (AV) quét trên các tuyến đường SMTP.

Sử dụng các báo cáo mới và tính năng đăng nhập, bạn có thể theo dõi lưu lượng truy cập và nhận được báo cáo cho bất kỳ nội dung thư rác hoặc mã độc được gửi qua e-mail.

Network Intrusion Prevention (Ngăn chặn xâm nhập mạng)

Intrusion Prevention System (IPS) là một công cụ rất phổ biến, chủ yếu là bởi vì nó có thể được sử dụng như một biện pháp chủ động để phát hiện xâm nhập. IPS là một thiết bị bảo vệ hệ thống. Một IPS thường được coi là một phần mở rộng của Intrution Detection System (IDS), nhưng cũng có thể được xem như là một hình thức kiểm soát truy cập, tương tự như một lớp ứng dụng tường lửa không chỉ phát hiện hoạt động đáng ngờ, nhưng cũng có các biện pháp phòng ngừa để ngăn chặn xâm nhập và cho phép được lựa chọn con đường đi qua.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

TMG sử dụng Network Intrusion System (NIS) để cung cấp chức năng IPS. TMG 2010 cũng cung cấp dựa trên đăng ký URL và lọc chữ ký phần mềm độc hại.

Hình II.3.3 Giao diện Intrusion Prevention System (IPS)

The Session Initiation Protocol (SIP) Filter

Bộ lọc Session Initiation Protocol (SIP) được đi kèm với TMG, hỗ trợ âm thanhvà video thông qua các bức tường lửa TMG và cũng cho phép người dùng chuyển các tập tin và chia sẻ ứng dụng.

TFTP Filter

TMG bao gồm Trivial File Transfer Protocol (TFTP) Filter. TFTP thường được sử dụng bởi BootP client để tải về một hệ điều hành. Ngoài ra, do nhiều Voice Over IP (VoIP)điện thoại sử dụng TFTP để download các file cấu hình, các bức tường lửa TMG cung cấp hỗ trợ TFTP tạo điều kiện thuận lợi cho những yêu cầu này bằng cách sử dụng bộ lọc TFTP. Việc sử dụng TFTP để di chuyển dữ liệu vào máy tính mới được triển khai. TFTP là một truyền tập tin giao thức tương tự như File Transfer Protocol (FTP), nhưng hoạt động khá khác nhau một chút và sử dụng khác nhau. Bởi vì ISA Server thường được dùng để cô lập mạng lưới của nhau và không hiểu làm thế nào để quản lý TFTP Communications, nên việc triển khai tự động của Windows và bằng ảnh đĩa thường bị thất bại. TMG giải quyết vấn đề này bằng cách thêm một bộ lọc TFTP để cung cấp sự quản lý tốt hơn và an toàn hơn.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Network Functionality Enhancements (Cải tiến chức năng mạng)

Trong tất cả các phiên bản trước đây của ISA Server, khi một mối quan hệ Network Address Translation (NAT) tồn tại giữa các mạng, ISA không cho phép xác định địa chỉ IP bên ngoài, ngay cả khi giao diện bên ngoài có nhiều địa chỉ IP. Thay vào đó, ISA luôn luôn sử dụng chính Địa chỉ IP kết hợp với giao diện, làm cho địa chỉ IP của địa chỉ nguồn cho tất cả các outboud traffic. Tương tự như vậy, ISA không thể làm cho việc sử dụng kết nối nhiều hơn một ISP, khiến nhiều người dùng phải mua một thiết bị riêng biệt để đáp ứng nhu cầu này.

Nat address Selection (Lựa chọn địa chỉ NAT)

Các tường lửa TMG có NAT cải tiến mới cho phép bạn chỉ định địa chỉ để sử dụng cho các yêu cầu gửi đi khi có một mối quan hệ NAT giữa các thực thể mạng. Ngoài ra, nếu TMG có nhiều địa chỉ IP bên ngoài, bạn có thể chỉ định địa chỉ được xem bởi các máy chủ SMTP từ xa. Điều này đặc biệt hữu ích nếu có hạn chế địa chỉ IP đang được để bảo vệ thư rác tại SMTP Server từ xa. Lựa chọn địa chỉ NAT được thiết lập thông qua các New Network Rule Wizard.

Hình II.3.4 Nat address Selection wizard

ISP Sharing/Failover

TMG cũng hỗ trợ kết nối dual ISP (Liên kết bên ngoài) có thể hoạt động theo một trong hai chế độ: chuyển đổi dự phòng ISP hoặc ISP chia sẻ. Trong chế độ chuyển đổi dự phòng ISP, nếu một ISP kết nối bị hỏng, TMG có thể cung cấp khả năng chịu lỗi bằng cách tự động chuyển sang kết nối ISP khác. Điều này giúp TMG cung cấp cân bằng tải năng động giữa các nhà cung cấp dịch vụ Internet với dự phòng và khả năng chuyển





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

đổi dự phòng. Trong chế độ nhà cung cấp dịch vụ Internet chia sẻ tải, bạn có thể chỉ định một tỷ lệ phần trăm tải giữa hai ISP kết nối và TMG sẽ định tuyến dựa trên lưu lượng giao thông hiện tại thông qua mỗi ISP kết nối.

So sánh tính năng được hỗ trợ trong TMG 2010 với TMG MBE và ISA 2006

Bảng II.3.2 so sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010

4. SỰ KHÁC NHAU GIỮA TMG VÀ UAG LÀ GÌ?

Vào tháng năm 2006, Microsoft chính thức công bố việc mua lại Whale Communications.Ltd Tại thời điểm đó, secure Sockets Layer Virtual Private Network (SSL VPN) là cổng được tăng khả năng hiển thị cho các tổ chức thuộc mọi quy mô. Tại thời điểm đó Microsoft đã không có sản phẩm SSL VPN gateway nào và quyết định để có được giải pháp SSL VPN để cung cấp trong bộ sản phẩm Forefront. Một năm sau khi việc mua lại này, Microsoft thay đổi tên của sản phẩm thành Intelligent Application Gateway 2007 (IAG 2007).

4.1.Việc kích hoạt truy cập từ bất cứ nơi nào

Các phương pháp truyền thống của người dùng cho phép tại các địa điểm truy cập từ xa vào tài nguyên nội bộ trên Internet là thông qua các lớp mạng Mạng riêng ảo (VPN). Lớp mạng công nghệ VPN truyền thống làm việc với một trong hai giao thức đường hầm chính: PPTP và L2TP. Các giao thức này cho phép các đường hầm mã hóa được thiết lập giữa khách hàng và máy chủ hoặc giữa hai lớp mạng cổng VPN (còn được gọi là thiết bị định tuyến VPN).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Vấn đề là đôi khi khách hàng ở sau một edge firewall chỉ cho phép HTTP và HTTPS outbound traffic, như thể hiện trong Hình II.4.1.1. Điều này thường làm thất vọng người dùng cuối bởi vì khi đi PPTP hoặc L2TP/IPsec kết nối bị từ chối. Vì vậy, thuật ngữ “truy cập từ bất cứ nơi nào” thực sự không áp dụng khi nói về kết nối lớp mạng VPN.

Hình II.4.1.1 Thực hiện kết nối VPN với UAG

Hình II.4.1.1 cho thấy rằng công nghệ SSL VPN không bị các vấn đề kết nối vốn có trong các kết nối lớp mạng VPN. Con số này cho thấy một Edge Firewall chỉ cho phép HTTP và HTTPS mới đi ra bên ngoài và hai phía sau tường lửa này. Các khách hàng bằng cách sử dụng một truyền thống VPN (chẳng hạn như PPTP) để kết nối với máy chủ VPN bị chặn bởi các tường lửa, trong khi các máy khách SSL VPN là không. Điều này minh họa sự linh hoạt lớn hơn công nghệ SSL VPN, cho phép truy cập tăng cường an ninh mà không cần phải đối phó với các vấn đề kết nối có thể được áp đặt bởi các hạn chế. SSL VPN làm cho các máy trạm khách hàng từ xa dễ dàng kết nối với cổng thông tin HTTPS và từ kết nối với các nguồn tài nguyên nội bộ (máy chủ, máy trạm) và như vậy từ một số địa điểm khác nhau mà không cần phải lo lắng về các vấn đề kết nối đã được phổ biến gặp phải trong quá khứ.

Công nghệ SSL VPN là một chuẩn cho phép truy cập từ xa. Server 2008 cho phép bạn cấu hình RRAS như một máy chủ SSL VPN bằng cách sử dụng Secure Socket Tunneling Protocol (SSTP) VPN mới.

4.2.Những điểm mới trong UAG

Trong khi IAG là một giải pháp thiết bị, UAG mở rộng này cung cấp với một phần mềm, máy chủ triển khai tùy chọn cài đặt. UAG sẽ cung cấp cho bạn hai lựa chọn: cài đặt sẵn phiên bản của UAG trên một thiết bị phần cứng OEM và một tập tin tải về. Bạn có thể triển khai UAG trong một môi trường ảo, bằng cách sử dụng Microsoft Hyper-V hay SVVP (Server Virtualization Validation Program).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cách tốt nhất để hiểu sự khác biệt giữa IAG và UAG là thông qua một so sánh ngắn gọn của hai sản phẩm, như minh họa trong bảng dưới.

Bảng II.4.2.1 so sánh tính năng giữa IAG và UAG

Các tính năng mới làm nên một sự khác biệt lớn khi so sánh IAG với UAG bao gồm:

UAG Native 64-bit sẽ được gửi trong một phiên bản 64-bit.Tích hợp với Network Access Protection (NAP) tích hợp này cung cấp thêm một lớp bảo vệ để truy cập mạng nội bộ của các thiết bị đầu cuối không có bảo đảm.Web tính năng cân bằng tải tính năng này cho phép bạn publish một Farm của các máy chủ Web và phân phối các yêu cầu đồng đều giữa các máy chủ. Đây là một cải tiến quan trọng trong mà bạn không cần phải mua các thiết bị cân bằng tải riêng biệt để đạt được nhiệm vụ này.

4.3.Thiết kế mạng bảo vệ

4.3.1. Triển khai UAG

UAG được thiết kế để cung cấp sau đây:

Truy cập vào các ứng dụng của bạn từ InternetHỗ trợ cơ chế single sign-on (SSO) Gia tăng trust của người sử dụng và máy tính của người dùngGia tăng nhận thức về ứng dụng và kiểm soát tăng cường hơn hành vi ứng dụngMột dải rộng các nhà cung cấp dịch vụ xác thựcSSL VPN truy cập từ xa





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

UAG cho phép các mạng phục vụ nhu cầu của người sử dụng điện thoại di động để truy cập nguồn lực công ty từ các địa điểm có kết nối Internet, trong khi đồng thời đáp ứng yêu cầu của công ty cần phải kiểm soát truy cập dựa trên một định nghĩa của sự tin cậy và an ninh cho người dùng kết nối và máy tính.

UAG được thiết kế và thử nghiệm để hoạt động như cổng vào Internet-Facing. Đặt một tường lửa giữa UAG và Internet có thể gây ra vấn đề không thể được giải quyết được bằng cách thay đổi cấu hình UAG. Vì UAG lợi dụng các chức năng tường lửa của TMG.

UAG cũng có thể tận dụng lợi thế của mô hình đa mạng TMG để publish ứng dụng có thể được phân lập từ các mạng khác. Điều này cho phép bạn tăng tổng thể mức độ bảo mật của bạn bằng cách thực hiện một mô hình an ninh mạng nhiều lớp.

4.3.2. Triển khai TMG?

TMG được thiết kế để phục vụ triển khai yêu cầu bảo mật có thể bao gồm:

Proxy và firewall ở cấp ứng dụng chungĐơn giản hoá việc truy cập vào dịch vụ ứng dụng, chẳng hạn như SMTP, POP3, và giao thức khácĐánh giá sự tin cậy của máy tính khách hàng Được bảo vệ truy cập Internet và mạng nội bộSSTP, PPTP, và L2TP/IPsec kết nối VPN

Không giống như UAG, TMG được thiết kế để phục vụ nhu cầu lớn hơn đối với cả bên ngoài và ứng dụng truy cập nội bộ. Hình II.4.3.2.1 thể hiện những tính năng mới trong TMG và UAG.

Hình II.4.3.2.1 Những tính năng trong TMG và UAG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Không giống như TMG, bạn có thể triển khai gần như bất cứ nơi nào trên mạng nội bộ, UAG đã được cụ thể thiết kế để làm một mạng thiết bị cạnh. Tuy nhiên, trong một số trường hợp chính sách gây khó khăn cho bạn đặt IAG trên các cạnh của mạng. như thể hiện trong hình II.4.3.2.2, nếu chính sách mạng của bạn yêu cầu một bức tường lửa cạnh ở mặt trước của UAG, bạn sẽ phải cho phép inbound TCP cổng 443 (HTTPS) đến UAG.

Hình II.4.3.2.2 Ví dụ thiết lập UAG trong mạng Back End

Mặt khác, TMG được thiết kế để hoạt động trong bất kỳ của bốn mạng thiết kế cơ bản (và nhiều biến thể trên các chủ đề này):

Edge firewall3-leg perimeter firewallBack firewallSingle NIC Web proxy server

4.3.2.1. Edge Firewall

Khi được triển khai như một edge Firewall, nhiệm vụ chính của TMG là hành động như một layer-2 và layer-3 tường lửa cho traffic được gửi đến và từ Internet. Ngay cả khi TMG cũng được triển khai để cung cấp cấp cao hơn, bảo vệ lớp ứng dụng (chẳng hạn như IDS, lọc URL, kiểm tra phần mềm độc hại) và như vậy, nhiệm vụ chính của TMG vẫn còn như một tường lửa kiểm tra gói stateful. Là một edge firewall, giao diện bên ngoài phải đối mặt với Internet và giao tiếp nội bộ phải đối mặt với mạng LAN được bảo vệ. Ưu điểm lớn nhất của việc sử dụng TMG là một bức tường lửa cạnh là nó cung cấp cho TMG truy cập trực tiếp mô hình mạng được thiết kế để kiểm soát. Với một vài thiết bị bổ sung trong con đường mạng, TMG có khả năng tốt hơn để đánh giá và đưa ra quyết định kiểm soát thích hợp. Đây cũng là mặc định triển khai cấu hình cho UAG. Hình II.4.3.2.1.1 minh họa một triển khai tường lửa điển hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.4.3.2.1.1 Mô hình Edge Firewall

4.3.2.2. 3-Leg perimeter

Triển khai 3-Leg Perimeter như thể hiện trong Hình II.4.3.2.2.1, thường được gọi là một Trihomed Perimeter Network vì một thiết bị duy nhất. TMG trong trường hợp này có ba NIC, mỗi NIC liên quan với một khu vực an ninh mạng khác nhau, trong đó có một đoạn mạng vành đai. TMG phù hợp với nhiệm vụ này bởi vì nó kết hợp tất cả các cơ chế kiểm soát mà bạn sẽ sử dụng tại các địa điểm khác nhau vào trong một điểm kiểm soát mạng.

Không giống như ISA 2006, TMG được giả định rằng bạn sẽ sử dụng một mối quan hệ NAT mặc định giữa mạng nội bộ và chu vi mạng Trihomed, Trihomed TMG Perimeter Network Template nhận thức được rằng các mạng lưới được định nghĩa là chu vi và nội bộ không thể có tuyến đường được xác định trước hoặc các mối quan hệ NAT. Vì lý do này, Network Setup hướng dẫn cung cấp cho bạn cơ hội để xác định các mối quan hệ như là một phần của quá trình cấu hình. Ưu điểm của việc triển khai 3-Leg Perimeter tương tự như triển khai Edge Firewall: TMG có quyền truy cập tự do đến lưu lượng truy cập tại tất cả các mạng.

Hình II.4.3.2.2.1 Mô hình mạng 3-Leg Perimeter





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4.3.2.3. Back Firewall

Back Firewall là một biến thể của mẫu Edge Firewall ngoại trừ giao diện bên ngoài các bức tường lửa TMG được kết nối với một phân đoạn mạng vành đai giữa nó và giao diện nội bộ của một bức tường lửa ở thượng nguồn. Như vậy, mục cấu hình mạng mẫu đã được cập nhật để cung cấp cho bạn tùy chọn để xác định các mối quan hệ mạng giữa mạng nội bộ và Perimeter Networks là một trong hai tuyến đường hoặc NAT. Lợi thế triển Back Firewall là với một thiết bị riêng biệt xử lý các quyết định traffic ở mức độ thấp, TMG có nhiều nguồn lực hơn để áp dụng cho kiểm soát lọc lưu lượng truy cập cao hơn. Hình II.4.3.2.3.1 minh họa việc triển khai Back Firewall.

Hình II.4.3.2.3.1 Mô hình mạng Back Firewall

4.3.2.4. Single-NIC

NIC duy nhất thường được gọi như Unihomed. Tùy chọn này cung cấp chức năng tường lửa cho máy tính mà trên đó TMG hoạt động. Giống như ISA 2006, một TMG Unihomed chỉ có thể cung cấp hỗ trợ cho lưu lượng truy cập dựa trên HTTP (CERN proxy hoặc Web Publishing) và dial-in VPN các khách hàng VPN. Với ISA 2006, mạng hợp lệ cho một Unihomed TMG là:

Local host mạng này bao gồm tất cả các địa chỉ IP được gán cho máy tính TMG, không chỉ là mạng 127/8.Internal Network bao gồm tất cả các địa chỉ IP không được giao để dial vào một trong các VPN Client.VPN client mạng này bao gồm chỉ những địa chỉ đã được định nghĩa cho sử dụng bởi các quản trị viên TMG.Quarantined VPN Client Mạng bao gồm chỉ có các địa chỉ IP định nghĩa cho sử dụng bởi VPN client không đáp ứng các yêu cầu bảo mật theo quy định cho kết nối VPN.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Một lợi thế của triển khai Single NIC, như thể hiện trong hình II.4.3.2.4.1 là tài nguyên TMG có thể được dành riêng để xử lý những traffic HTTP liên quan. Một ưu điểm khác của Unihomed là bạn không bao giờ cần phải ghi lại sô Network để hỗ trợ một Unihomed TMG Firewall.

Hình II.4.3.2.4.1 Mô hình mạng Single NIC

UAG Forefront là một cổng SSL VPN giúp bạn an toàn hơn khi truy cập bất cứ nơi nào cho người dùng của bạn. UAG SSL VPN server có lợi thế hơn RRAS mạng cấp VPN server: Nó không bị ảnh hưởng từ các vấn đề kết nối vì hạn chế tường lửa. Ngoài ra, UAG SSL VPN gateway cho phép bạn cấu hình mạnh mẽ các chính sách kiểm soát truy cập khách hàng các mức độ tin tưởng cho phép các mức độ truy cập dựa trên cấu hình bảo mật đánh giá của họ.

Một UAG SSL VPN gateway và các bức tường lửa TMG có thể tồn tại trên cùng một mạng. Cả hai UAG SSL VPN và tường lửa TMG được thiết kế để được thiết bị bảo mật. Sự kết hợp của cổng UAG SSL VPN và tường lửa TMG có thể cung cấp nhiều lớp bảo vệ cho mạng của bạn.

5. YÊU CẦU HỆ THỐNG 5.1.Yêu cầu phần cứng:

Yêu cầu tối thiểu cho TMG 2010 là:

Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM với Service Pack 2 (SP2) hoặc R2.

2 GB bộ nhớ RAM Một CPU lõi kép Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS 150 MB đĩa cứng không gian ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp với mạng nội

bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa) Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Đây là những yêu cầu tối thiểu. Chúng không được khuyến cáo làm việc tốt nhất như tường lửa TMG hoặc máy chủ Web proxy, cũng không giải quyết nhu cầu cho các ổ đĩa bổ sung không gian cho các file log, bộ nhớ đệm Web, và các hoạt động TMG quan trọng khác. Trong các tình huống có một số lượng lớn người dùng kết nối thông qua TMG cho Web proxy hoặc truy cập từ xa VPN, yêu cầu bộ nhớ có thể tăng lên chóng mặt. Tương tự như vậy, yêu cầu không gian đĩa có thể lớn hơn nhiều nếu bạn có kế hoạch để tận dụng khả năng bộ nhớ đệm Web TMG.

Từ một góc độ quản lý đĩa, TMG thường được cài đặt trên một đĩa cứng duy nhất với hai hoặc nhiều phân vùng hợp lý. Ở mức tối thiểu, tất cả các thành phần có thể được cài đặt trên cùng một phân vùng. Tuy nhiên, tùy thuộc vào vai trò của TMG, và để đảm bảo rằng đĩa không đầy nhanh chóng, thư mục tập tin file log và bộ nhớ cache có thể được lưu trữ trên ổ đĩa vật lý riêng biệt.

5.2.Yêu cầu Phần mềm

TMG phải được cài đặt trên một ấn bản 64-bit của Windows Server 2008. Bạn không thể cài đặt TMG trên một phiên bản 32-bit của Windows Server 2008.

Bạn nên cập nhật các hệ điều hành Windows Server 2008 bằng cách sử dụng Windows Update hoặc cơ chế cập nhật ưa thích của bạn trước khi cài đặt phần mềm TMG. Điều này giúp đảm bảo rằng các tính năng TMG sẽ làm việc với các thành phần hệ thống đã cập nhật và giảm bề mặt tấn công tổng thể trước khi cài đặt phần mềm TMG.

Khi TMG được cài đặt trên một hệ điều hành Windows Server 2008, nó được cài đặt như sau:

The Active Directory Lightweight Directory Services Server Role The Network Policy and Access Services Server Role Windows Powershell 1.0 The Web Server (IIS) Server Role (chỉ dành cho SRS 2005 ) Microsoft SQL Express (Microsoft Forefront TMG logging instance) Microsoft SQL Express (Microsoft Forefront TMG reporting instance) Microsoft SQL Server backward compatibility Microsoft SQL Server Native Client

Microsoft SQL Server Setup Support Files Microsoft SQL Server Volume Shadow Copy Service (VSS) Writer

Microsoft Office 2003 Web Components (như là một phần của bản cài đặt SQL Server Express)

Mặc định của IIS trên TMG MBE liên kết với các cổng TCP 8008. Bạn không nên sửa đổi giá trị này vì các liên kết báo cáo chuẩn được cấu hình sẵn để sử dụng cổng TCP 8008. Khi TMG được gỡ bỏ, IIS Server và các thành phần Office Web thì không được gỡ bỏ. Bạn phải loại bỏ các thành phần này một cách thủ công.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5.3.Hạ tầng mạng

Hiệu suất TMG bị ảnh hưởng bởi cơ sở hạ tầng mạng nơi mà nó hoạt động. Nếu bất kỳ thành phần cơ sở hạ tầng mạng nào thực hiện ít hơn so với hiệu quả tối ưu, TMG sẽ cố gắng để bù đắp thông qua việc sử dụng lưu lượng truy cập đệm (backlog) cơ chế được xây dựng trong TMG. Bạn cần phải giải quyết một số vấn đề khi thiết kế triển khai TMG của bạn, tất cả các điều này có thể có một tác động đáng kể trên hiệu suất TMG, ổn định và an ninh:

Phân giải tênXác thựcThiết bị kiểm soát giao thông (IDS và IPS)

5.3.1. Tên phân giải

TMG phụ thuộc nhiều vào hoạt động phân giải tên và một DNS hỗ trợ cơ sở hạ tầng.

Khi chính sách TMG đề cập tới các điểm đến như tên (thường là các trường hợp cho lưu lượng truy cập HTTP), TMG phải thực hiện tên và phân giải địa chỉ IP để đảm bảo rằng các quy tắc có thể được đánh giá cho cả hai trường hợp (địa chỉ IP hoặc tên dựa trên yêu cầu). Mặc dù TMG duy trì bộ nhớ cache tên riêng của mình để cải thiện tên và tra cứu hiệu suất địa chỉ IP, TMG phải phụ thuộc vào Windows để thực hiện các tên ban đầu hoặc phân giải địa chỉ IP. Như vậy, hiệu quả sử dụng lưu lượng truy cập tỷ lệ thuận với hiệu quả cơ chế phân giải tên của Windows.

Windows cấu hình phân giải tên TMG phụ thuộc vào cơ chế phân giải tên Windows. Bởi vì Windows được thiết kế để được triển khai trong cấu hình nhiều mạng. Vì phần lớn các lưu lượng truy cập xử lý bởi TMG HTTP-based và dành cho Internet, Windows được cấu hình như một NetBIOS mặc định. Điều này có nghĩa là nếu Windows có sẵn dịch vụ DNS và WINS cho nó và các truy vấn DNS và WINS không cung cấp thành công hoặc phản ứng thất bại, Windows sẽ rơi trở lại chương trình broadcast tên NetBIOS. Các điểm sau đây ảnh hưởng đến việc triển khai TMG:

Phần lớn yêu cầu phân giải tên TMG cho máy chủ Internet. Phân giải ngược Internet có xu hướng thất bại bởi vì ít quan tâm cập nhật Reverse Lookup Zones.Chương trình broadcast NetBIOS là cơ chế dự phòng mặc định.TMG broadcast lưu lượng truy cập theo mặc định.

Bởi vì broadcast lưu lượng truy cập không phải là chức năng trên Internet và bởi vì TMG broadcast lưu lượng truy cập bằng cách mặc định nên NetBIOS broadcast sẽ thất bại. Vì cơ chế hoạt động của NetBIOS broadcast, nó có thể mất đến một phút để báo cáo thất bại, gây ra sự chậm trễ hay thất bại rất cao để xử lý traffic TMG. Bởi TMG cũng ghi nhật ký các gói dữ liệu broadcast, thêm chi phí xử lý phát sinh cho lưu lượng truy cập đã gây ra sự chậm trễ xử lý lưu lượng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cách tốt nhất để ngăn chặn lưu lượng Broadcast đến NetBIOS (và cải thiện đáng kể hiệu suất TMG) là cấu hình Windows như một máy chủ peer-node bằng cách sử dụng sau đây để đăng ký giá trị:

Đường dẫn: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\ParametersTên: NodeTypeType: REG_DWORDGiá trị: 2

Bởi vì sự thay đổi này ảnh hưởng đến một thành phần Windows mạng kernel-mode (NetBIOS trên TCP/IP), nó không có hiệu lực cho đến khi máy tính khởi động lại.

5.3.2. Xác thực

Một trong những lợi ích chính của việc triển khai TMG là khả năng để kiểm soát lưu lượng truy cập dựa trên bối cảnh người dùng. Bởi vì tất cả các yêu cầu người dùng đã gửi ban đầu mà không có thông tin này, TMG phải yêu cầu các thông tin và sau đó tham khảo những thông tin quan trọng để một nhà cung cấp dịch vụ xác thực cho xác nhận. Sự chậm trễ hoặc lỗi gặp phải trong quá trình xác thực cũng ảnh hưởng xấu đến TMG thực hiện. Bạn nên hiểu các điểm sau đây về xác thực cho TMG:

Windows Authentication - Trong một môi trường nơi TMG phải xác thực yêu cầu bằng cách sử dụng các thông tin quan trọng của Windows, TMG phải sử dụng các phương pháp xác thực Windows. Nếu các tài khoản người sử dụng là một phần của một cấu trúc miền, TMG phải là thành viên của cùng một miền hoặc một miền tin tưởng. Nếu không, các tài khoản người dùng phải được phản ánh trong TMG - cơ sở dữ liệu local của SAM. Non-Windows Authentication - Để chứng thực lưu lượng truy cập, Web Proxy tìm nguồn cung ứng từ một mạng được bảo vệ nghe (thường gọi là outbound traffic Web proxy), TMG có thể xác thực người dùng dựa trên Windows hoặc RADIUS. Khi TMG sử dụng RADIUS xác thực, yêu cầu xác thực từ TMG cho người dùng được xem như HTTP cơ bản.Xác thực tải - Đối với Windows xác thực, thường một tên miền điều khiển. Đối với Windows không xác thực, có thể được RADIUS hoặc đăng nhập máy chủ LDAP dựa trên thư mục. Nếu thông tin không đáp ứng nhanh chóng, yêu cầu kết quả tồn đọng sẽ làm suy yếu hiệu suất TMG và tạo ra một trải nghiệm người dùng không thể chấp nhận được thường được diễn tả như "Internet là hết sức chậm".





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5.4.Triển khai trong các môi trường ảo

TMG hỗ trợ trong các môi trường ảo. Khi lập kế hoạch triển khai như vậy, bạn phải xem xét an ninh, chức năng, và các vấn đề quản lý để triển khai ảo hóa.

Network - Bởi vì mạng lưới thiết kế thường sử dụng trong môi trường ảo hóa, lưu lượng mạng ảo thường là vô hình đối với việc giám sát mạng vật lý và hệ thống quản lý.Performance - Bởi vì tất cả các máy chủ trong một môi trường ảo đang chia sẻ các nguồn tài nguyên của máy chủ, hiệu suất của một ứng dụng là không đáp được tính chất hiệu suất của triển khai vật lý. Do thay đổi thời gian vốn có trong một máy chủ ảo hóa, theo dõi hiệu suất của một máy chủ ảo hóa sử dụng thời gian riêng của mình dựa trên bộ đếm hiệu suất có thể không chính xác.Security - Nghiêm ngặt kiểm soát truy cập, chính sách quản lý thay đổi và thủ tục máy chủ ảo và các máy ảo là tối quan trọng để đảm bảo an toàn triển khai ảo. Điều này đặc biệt đúng trong trường hợp của Virtual Edge hoặc mạng vành đai, chẳng hạn như những nơi TMG sẽ hoạt động.

6. PHÂN TÍCH YÊU CẦU MẠNG

Để kiểm soát tốt hơn mạng của bạn, bạn nên biết các ứng dụng đang chạy và giao thức họ sử dụng, điều này cho phép bạn để tạo ra hồ sơ lưu lượng truy cập của bạn. Bằng việc xác định các ứng dụng, xác định những người sở hữu các ứng dụng, và xác định các giao thức và cấu trúc liên kết mạng, bạn có thể xác định tốt hơn nơi TMG nên được cài đặt và những nguyên tắc mà bạn cần để tạo ra. Xác định địa chỉ IP trên mạng của bạn là một yếu tố quan trọng cần được lưu lại trước khi cài đặt TMG. Trước khi bạn bắt đầu triển khai kích thước TMG, bạn cần phải hiểu mạng và các mẫu lưu lượng truy cập mà TMG sẽ được yêu cầu hỗ trợ. Điều này liên quan đến một vài bước, mỗi trong số đó có thể yêu cầu các chu kỳ lặp đi lặp lại kiểm tra và phân tích.

7. XÁC ĐỊNH HỒ SƠ TRAFFIC

Một Hồ Sơ Traffic là một bản đồ của các giao thức ứng dụng được sử dụng trong hệ thống của bạn. Có thể bao gồm các giao thức đơn giản như Simple Mail Transfer Protocol (SMTP) hoặc các giao thức phức tạp như Remote Procedure Call (RPC) hoặc Distributed Component Object Model (DCOM). Có lẽ điều khó khăn nhất cho bất kỳ mạng hoặc tường lửa cho quản trị viên để xác định và duy trì một danh sách chính xác, đáng tin cậy của thông tin giao thông mạng lưới của mình. Các bản đồ sau đây sẽ cung cấp các khối xây dựng của cách suy nghĩ thông qua việc triển khai TMG của bạn về lưu lượng mạng và các giao thức, đôi khi gọi tắt là hồ sơ lưu lượng truy cập mạng của bạn. Để xác định hồ sơ lưu lượng truy cập mạng của bạn, bạn sẽ thực hiện các loại sau đây của bản đồ:

lập bản đồ mạng lập bản đồ ứng dụng lập bản đồ giao thức





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

7.1.Bản đồ mạng

Điều đầu tiên bạn phải làm là đạt được một sự hiểu biết tốt hơn về cơ sở hạ tầng mạng sẽ được phục vụ bởi TMG. Ví dụ: công ty của bạn có thể là một tổ chức phân phối, với đa số của bạn văn phòng tại Houston và các văn phòng vệ tinh ở London, Eilat, và Buenos Aires. Bạn cần phải có một sự hiểu biết rõ ràng của các mạng này được kết nối, cũng như bất kỳ tuyến đường sao lưu hoặc chia định tuyến cơ sở hạ tầng. Đặc biệt, TMG có thể không xử lý được phân chia định tuyến. Hình II.7.1.1 là một ví dụ của một bản đồ mạng đơn giản.

Hình II.7.1.1 Ví dụ về bảng đồ mạng

Một đánh giá của các mạng trong Hình II.7.1.1 cho thấy rằng TMG nên được đặt gần các tuyến đường phục vụ mỗi vị trí địa lý. Những gì bạn phải xem xét triển khai làm thế nào để xử lý các trường hợp không thể tránh khỏi khi TMG không có sẵn. Ví dụ, nếu người sử dụng ở Buenos Aires truy vấn proxy local của họ để truy cập Internet và proxy đó không có, họ nên được chuyển proxy gần nhất tiếp theo là một đường dẫn sao lưu.

7.2.Bản đồ ứng dụng

Sau khi bạn đã xác định cơ sở hạ tầng mạng, bạn sử dụng nó để giúp xác định bản đồ ứng dụng cho tổ chức của bạn. Bởi vì dịch vụ line-of-business có nhiều khả năng được tập trung, bạn cần phải xem xét liệu bạn có thể triển khai TMG để giúp quản lý tải giao thông cho những ứng dụng hoặc giúp cải thiện an ninh của những ứng dụng tương tự. Tại thời điểm này bạn không nên ánh xạ các giao thức mạng được sử dụng bởi các ứng dụng này.Bởi vì nhiều ứng dụng nội bộ có xu hướng dựa trên web hoặc hỗ trợ truy cập dựa trên giao thức HTTP (ví dụ, Microsoft Exchange Server và Microsoft Office SharePoint Server), bạn có thể sử dụng TMG cung cấp bảo mật để truy cập nội bộ cũng như bên ngoài đến các ứng dụng bằng cách tạo ra một cấu trúc mạng mà tất cả các yêu cầu của người dùng cho các ứng dụng đều thông qua TMG.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Một điểm quan trọng ở đây là để xác định trường hợp các máy khách và máy chủ giao tiếp qua Internet chứ không phải bằng cách sử dụng cấu trúc mạng riêng của bạn. Bảng bản đồ ứng dụng cung cấp một ví dụ về một bảng vẽ bản đồ ứng dụng. Bản đồ này cung cấp các dữ liệu cơ bản mà từ đó bạn sẽ xây dựng các phần tiếp theo của giao thông tin cá nhân của bản đồ giao thức. Một khi bạn đã hài lòng với nội dung bản đồ ứng dụng, bạn nên lưu trữ một nơi nào đó an toàn và thiết lập một lịch trình cho nhóm của bạn để xem xét và cập nhật nó thường xuyên. Điều này đặc biệt đúng nếu tổ chức của bạn thay đổi ứng dụng thường xuyên để nâng cấp hoặc chuyển đổi ứng dụng.

Hình II.7.2.1 Bảng đồ ứng dung mạng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.7.2.2 Bản đồ giao thức mạng

Hình II.7.2.3 Bản đồ giao thức mạng (2)

1. Dyn = 1025-65535 trên win server 2k3 trờ về trước; 49152-65536 Dành cho Vista trở lên

2. Nego = cổng kết nối được thiết lập giữa Client/Server3. Chỉ cần thiết nếu server cấu hình dịch vụ LDAP-SSL4. RFC chỉ định NTP client sử dụng nguồn UDP:123, nhưng Windows thường sử dụng

cổng động5. Kết nối thứ 2 transport/protocols được thỏa thuận trong kênh điề khiển theo ứng

dụng của Client Winsock6. FWM dược dùng bởi OEM để cung cấp sự quản lý của ISA server ko cần thông qua

MMC





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

7. Việc quản lý từ xa của ISA Server sử dụng ISA Managerment MMC. Liên quan đến việc dùng cấu trúc RPC để giám sát trạng thái dịch vụ ISA

8. Việc cài đặt ISA server tạo ra một kết nối SMB tới CSS để chứng thực thồng qua lựa chọn của user

Sau khi cơ sở hạ tầng mạng và các bản đồ ứng dụng được định nghĩa, bạn cần phải xác định giao thức được sử dụng trên mạng của bạn. Hai giao thức phức và tạp khó khăn để lập bản đồ chính xác là RPC và DCOM. Thông thường, cả hai đều bắt đầu với một kết nối đến máy chủ RPC Endpoint Mapper tại cổng TCP 135. Tiếp theo là kết nối đến máy chủ của ứng dụng lắng nghe cổng. Sự phức tạp này làm cho RPC và DCOM khó theo dõi và khó khăn như nhau để vượt qua trên một bức tường lửa. TMG bao gồm một bộ lọc ứng dụng mà hiểu Giao thức RPC, nhưng vì việc ký kết gói và mã hóa được sử dụng trong hầu hết các DCOM truyền thông, TMG không thể hỗ trợ DCOM qua nó. Phức tạp hơn, các giao thức đàm phán hỗ trợ ứng dụng các bộ lọc TMG bao gồm FTP, TFTP, SIP, Media Streaming (RTSP, MMS), và PPTP. Hình II.7.2.4 minh họa ứng dụng các bộ lọc được cung cấp với TMG.

Hình II.7.2.4 Bộ lọc ứng dụng trong TMG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

8. GIẢI QUYẾT CÁC MẠNG PHỨC TẠP

Trong nhiều trường hợp, tường lửa thực sự phục vụ lưu lượng truy cập và từ các mạng mà không phải là local firewall. Một ví dụ cấu trúc liên kết mạng như vậy hiển thị trong Hình II.8.1.

Trong sơ đồ này, TMG phục vụ các host trong ba mạng: Houston, hoạt động trong subnet 192.168.1.0/24; Buenos Aires, hoạt động trong subnet 192.168.2.0/24 và London, hoạt động trong subnet 192.168.3.0/24. Tất cả các văn phòng chi nhánh đang sử dụng TMG (nằm trong trụ sở chính) là Web proxy, vì ví dụ này, cơ quan duy nhất có kết nối Internet trực tiếp là chính văn phòng tại Houston.

Giống như ISA Server, TMG xác định mạng lưới dựa trên các địa chỉ nằm phía sau cụ thể giao diện mạng. Hình II.8.1, các địa chỉ trong ba ID mạng khác nhau được đặt phía sau NIC duy nhất trong TMG trong văn phòng Houston. Bạn sẽ sử dụng tất cả các địa chỉ này khi xác định mạng TMG nằm phía sau NIC.

Hình II.8.1 Mô hình liên kế nhiều mạng

9. DNS TRONG TMG

TMG dựa trên Windows để phân giải tên và do đó bất kỳ sai lầm nào do cấu hình ở độ phân giải tên Windows sẽ ảnh hưởng xấu đến TMG.

9.1.Hệ thống giải quyết tên phân giải như thế nào ? _____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 50




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Windows phân giải tên sử dụng DNS như là phương pháp ưa thích của phân giải tên, tuy nhiên, nếu tên không thể được giải quyết bằng DNS, hệ điều hành sẽ cố gắng để thực hiện một NetBIOS phân giải tên. Đối với độ phân giải tên NetBIOS, hai phương pháp có thể được sử dụng để giải quyết một tên: Windows Internet Name Service (WINS) và broadcast. Nếu mạng của bạn không có một máy chủ WINS, Windows sẽ cố gắng để giải quyết các tên bằng cách gửi một broadcast cho NetBIOS (phần tên máy chủ của tên miền đầy đủ, hoặc FQDN). Ví dụ, khi bạn chạy các lệnh ping srv1.contoso.com, Windows sẽ cố gắng mặc định các bước:

1) Kiểm tra xem tên máy chủ local giống như tên nó để giải quyết (Srv1).2) Kiểm tra xem các tập tin local HOSTS có tên này không.3) Truy vấn DNS server đầu tiên trong ngăn xếp TCP/IP.

Các điều hành sẽ gửi một truy vấn đến máy chủ đầu tiên của bộ chuyển đổi danh sách tìm kiếm đó là lý do tại sao nó quan trọng phải có bộ chuyển đổi nội bộ ở phía trên của danh sách và chờ đợi 1 giây cho một phản ứng. Nếu hệ thống điều hành không nhận được một phản ứng từ máy chủ đầu tiên trong vòng một giây, nó sẽ gửi truy vấn đến DNS đầu tiên máy chủ trên tất cả các bộ điều hợp và chờ đợi hai giây cho một phản ứng. Quá trình này lặp đi lặp lại trong chu kỳ của hai, bốn và tám giây tương ứng.

Nếu Windows nhận được một phản ứng tích cực từ các máy chủ DNS, nó dừng lại truy vấn cho tên, cho biết thêm các phản ứng vào bộ nhớ cache DNS, và trả về đáp ứng cho người dùng. Quan trọng là Bạn có thể theo dõi số lượng thất bại phân giải tên bằng cách mở Performance Monitor, thêm các đối tượng dịch vụ Microsoft Firewall, và giám sát Failed DNS Resolutions Counter.

4) Thực hiện phân giải tên NetBIOS nếu kết hợp không được tìm thấy.

Windows sử dụng phân giải tên NetBIOS nếu mọi nỗ lực để giải quyết tên máy chủ DNS sai. Windows tương thích với RFC 1001 và 1002, trong đó xác định dịch vụ NetBIOS cho TCP và UDP. Một trong những cách thức mà hệ điều hành tương thích bằng cách thiết lập các loại nút. Mặc định, Windows sử dụng loại broadcast node (BNode), tuy nhiên, thiết lập này có thể được thay đổi trong registry. Các giá trị có thể là:

Peer Node Type (PNode) Gửi một truy vấn trực tiếp đến một máy chủ tên NetBIOS (Ví dụ, WINS).Mixed Node Type (MNode) Gửi một gói tin broadcast đầu tiên và nếu không giải quyết được tên, nó sẽ gửi một truy vấn trực tiếp đến máy chủ tên NetBIOS (WINS). Đây cũng được gọi là B+P (BNode+PNode).Hybrid Node Type (HNode) Gửi một truy vấn trực tiếp với tên NetBIOS máy chủ và nếu nó không giải quyết được, sẽ gửi một gói tin broadcast. Điều này còn được gọi là P+B.

5) Nếu Hybrid Node Type được sử dụng, quá trình phân giải tên vẫn được tiếp tục theo cách sau đây:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

a) Windows kiểm tra bộ nhớ cache Local Name NetBIOS. Lên đến 16 tên (mặc định) được tổ chức trong bộ nhớ cache này trong 10 phút.

b) Nếu Windows không thể giải quyết tên từ bộ nhớ cache local name NetBIOS, nó sẽ gửi một tên NetBIOS truy vấn máy chủ WINS chính cấu hình trong Advanced Tùy chọn TCP/IP của giao diện mạng trên đỉnh của danh sách giao diện. Nếu máy chủ WINS không đáp ứng, Windows sẽ cố gắng liên lạc với tất cả các cấu hình Các máy chủ WINS (thứ tự từ trên xuống).

c) Nếu các bước trên không thành công, Windows sẽ kiểm tra file LMHOSTS nếu LMHOSTS tra cứu được kích hoạt vào tab WINS trong các hộp thoại thuộc tính TCP/IP nâng cao. Hộp thoại này được tìm thấy trong các thuộc tính TCP/IP của một giao diện mạng trên các tường lửa.

d) Windows sẽ gửi một NetBIOS broadcast đến local segment (255.255.255.255) bởi vì, theo mặc định, các bộ định tuyến không cho phép các chương trình broadcast NetBIOS vượt qua.

Không bao giờ cấu hình TMG với một địa chỉ máy chủ DNS nhiều hơn một giao diện mạng vật lý. Nếu bạn có hai card giao diện mạng (Nội bộ và bên ngoài), địa chỉ IP máy chủ DNS phải được cấu hình trên giao diện chỉ có một và giao diện phải được trên đầu trang của danh sách các giao diện mạng.

9.1.1. Edge hoặc Perimeter trong Workgroup

Khi bạn có TMG trong một nhóm làm việc, bạn vẫn cần phải giải quyết tên cho các máy chủ nội bộ, và các khuyến nghị chung DNS vẫn như cũ: cấu hình DNS trong một giao diện, như thể hiện trong hình II.9.1.1.1. Trong trường hợp này, bạn có thể cấu hình DNS để trỏ đến một máy chủ DNS nội bộ và máy chủ DNS này được cấu hình Forwarders

Hình II.9.1.1.1 Cấu hình DNS trong work group

Mặc dù đây là kịch bản phổ biến nhất và khuyến nghị chung cho nhóm làm việc, trong một số kịch bản khác truy cập đến DNS nội bộ không cho phép bảo mật chính sách của





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

công ty. Trong những tình huống này, bạn có thể thực hiện một số phương pháp thay thế:

Sử dụng một máy chủ DNS: Cho phép phân giải tên đầy đủ cho bên trong và bên ngoài tài nguyên bằng cách thêm một máy chủ DNS có thể sử dụng Forwarders có điều kiện. Một forwarders điều kiện là một máy chủ DNS có thể được sử dụng để chuyển tiếp các truy vấn DNS theo tên miền DNS nhận được truy vấn. Ví dụ, một máy chủ DNS có thể được cấu hình để chuyển tiếp tất cả các truy vấn nhận được cho các tên kết thúc bằng contoso.com đến địa chỉ IP của một máy chủ DNS cụ thể (ví dụ, IP của DNS nội bộ).

Cài đặt dịch vụ DNS trên TMG: Trong thiết lập này, TMG có cài đặt dịch vụ DNS và có thể được cấu hình để sử dụng một Forwarders có điều kiện cho Internal Domain và Forwarders cho External Domain. Một lựa chọn khác là tạo ra một khu vực thứ 2 cho Internal Domain và sử dụng Forwarders (hoặc Root Hints) cho External Domains. Mặc dù đây là một thay thế khả thi, nó không thường được sử dụng bởi vì việc tách nhiệm vụ và chi phí hành chính tăng lên. Vì nhiều lý do, bạn không muốn thêm dịch vụ khác vào firewall của bạn. Lý do chính là bây giờ bạn sẽ có hai thành phần có thể không có cùng một cửa sổ bảo trì. Ví dụ, nếu bạn có kế hoạch để cập nhật dịch vụ DNS của bạn với các bản cập nhật bảo mật mới nhất, bạn có thể cần phải khởi động lại máy chủ, do đó, tường lửa của bạn cũng sẽ được offline trong thời gian đó. Bảng tóm tắt những lợi ích và hạn chế của mỗi tùy chọn.

Bảng II.9.1.1.1 Tóm tắt ưu và khuyết điểm của cấu hình DNS

Kịch bản khác bao gồm một network mà không có các dịch vụ DNS nội bộ và dựa trên chương trình broadcast để phân giải tên nội bộ. Trong trường hợp này, TMG dựa trên





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

một máy chủ DNS của ISP bên ngoài phân giải tên. Đây là tình huống duy nhất mà bạn cấu hình TMG sử dụng một máy chủ DNS bên ngoài.

9.1.2. Edge hoặc Perimeter trong Domain

Trong một môi trường Domain, bạn có dịch vụ DNS được sử dụng bởi cơ sở hạ tầng Active Directory của bạn. TMG nên được cấu hình để sử dụng máy chủ DNS nội bộ và các địa chỉ của máy chủ DNS nội bộ nên được cấu hình trên giao diện nội bộ của TMG.

Kịch bản có duy nhất NIC (Workgroup hoặc Domain): Trong một môi trường TMG Single NIC, bạn cần phải cấu hình Preferred DNS Server để chỉ các máy chủ DNS nội bộ của bạn và không sử dụng các máy chủ DNS bên ngoài.

9.2.Ảnh hưởng của DNS

Vấn đề phân giải tên trong TMG là giảm hiệu suất. Duyệt web chậm hơn, cũng như chứng thực người dùng. Hai vấn đề chính với phân giải tên trong TMG là:

Name Resolution Delay - Khi TMG sẽ gửi một truy vấn DNS không trả lời một cách kịp thời, TMG’s worker bị chặn trong khi chờ phản ứng DNS, làm cho số lượng các gói dữ liệu backlogged tăng.Authentication Delay - Cấu hình DNS sai cũng có thể gây ra cho TMG trì hoãn hoặc không xác thực khi các quy tắc tường lửa yêu cầu chứng thực.

9.3.DNS Cache trong TMG

TMG giữ bộ nhớ cache DNS của riêng nó trong wspsrv.exe (đó là Dịch vụ Firewall). Thành phần này được xây dựng trên đầu trang của Windows DNS Resolver và được sử dụng để giảm số lượng truy vấn DNS, TMG đã thực hiện để giải quyết một tên. Hình II.9.3.1 cho thấy Các thành phần bộ nhớ DNS Cache trong TMG.

Hình II.9.3.1 DNS cache trong TMG

TMG sử dụng một cơ chế để xác định các mục cần được loại bỏ từ DNS Cache. Cơ chế sử dụng các thông số sau đây:

DnsCacheNegativeTtl - kiểm tra TTL (được đưa ra bởi các máy chủ DNS).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

DnsCacheRecordMaxKB - kiểm tra kích thước bộ nhớ cache đến một số tối đa ngưỡng mặc định là 10.000. Nếu điều này là đúng, 25% của các mục sẽ được gỡ bỏ từ bộ nhớ cache.DnsCacheSize - TMG kiểm tra liệu hai sự kiện trước đó đã không xảy ra và sau đó các dịch vụ tường lửa quét ba cache một lần mỗi 30 phút (mặc định) loại bỏ các mục cache TTL.

Khi xử lý sự cố các vấn đề phân giải tên, chạy lệnh ipconfig/flushdns để xóa DNS cache máy tính cục bộ. Bởi vì TMG có bộ nhớ cache, bạn cần phải nhớ rằng để có một bộ nhớ cache sạch sẽ, bạn cũng cần phải khởi động lại dịch vụ Firewall. Bạn có thể làm điều này bằng cách chạy các lệnh net stop fwsrv && net start fwsrv.

10.CHỌN NETWORK TEMPLATE

10.1. Edge Firewall Template

Bằng cách sử dụng Edge Firewall network template, bạn áp dụng một cấu hình phản ánh mục tiêu chính của TMG vị trí cạnh của bạn. Mẫu này giả định rằng bạn có hai giao diện: một kết nối nội bộ mạng và một kết nối với mạng bên ngoài. Thông thường các giao diện bên ngoài là một trong những kết nối trực tiếp với Internet (thông qua một bộ định tuyến), nhưng nó cũng có thể được đặt đằng sau một thiết bị tường lửa hoặc NAT. Thông thường, giao diện bên ngoài là NIC cấu hình với một cổng mặc định.

Khi bạn chạy Getting Started Wizard, chọn mẫu Edge Firewall, như được hiển thị trong hình II.10.1.1.

Hình II.10.1.1 Edge Firewall Template

Mẫu này cung cấp những lợi ích sau đây:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

TMG chặn tất cả các truy cập trái phép vào mạng nội bộ từ Network mặc định bên ngoài.

TMG ẩn Mạng nội bộ mặc định từ bên ngoài. Bạn có khả năng cung cấp truy cập an toàn tới các máy chủ nội bộ bằng cách

publish chúng. Cấu hình dễ dàng.

10.2. 3-Leg Perimeter mạng Template

3-Leg Perimeter hỗ trợ bạn trong việc thực hiện một mạng vành đai, được gọi là khu vực phi quân sự hoặc DMZ. Mạng vành đai này được sử dụng để phơi bày an toàn tài nguyên được chia sẻ bởi những người dùng đến từ các mạng không tin cậy (chẳng hạn như Internet) và mạng đáng tin cậy (mạng bảo vệ TMG). Mẫu thiết lập TMG với ba giao diện mạng: Một card mạng được kết nối với Internet (bên ngoài mạng), một kết nối vào mạng nội bộ, và một kết nối với mạng vành đai. Tùy chọn 3-Leg Perimeter là không có sẵn nếu bạn có ít hơn ba NIC được cài đặt trên TMG. Khi bạn chạy Getting Started Wizard, bạn có thể chọn mẫu Perimeter-3 Leg, như thể hiện trong Hình II.10.2.1.

Hình II.10.2.1 3-Leg Perimeter Template

Bằng cách chọn mẫu trong Getting Started Wizard, bạn sẽ phải xác định bộ chuyển đổi được kết nối với vành đai như thể hiện trong Hình II.10.2.2.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.10.2.2 Cấu hình các lớp mạng trong mô hình 3-Leg

Trong quá trình lựa chọn này, bạn cần phải xác định xem các địa chỉ IP được sử dụng trên mạng Perimeter là public hay private. Đây là một quyết định quan trọng bởi vì nó cũng ảnh hưởng đến mối quan hệ giữa các mạng vành đai với các mạng nội bộ và bên ngoài. Mạng vành đai thường sử dụng địa chỉ IP riêng vì bạn muốn ẩn địa chỉ IP thực của nguồn tài nguyên từ Internet.


Nó bảo vệ mạng nội bộ mặc định từ các cuộc tấn công bên ngoài. Cho phép bạn publish một cách an toàn các dịch vụ Internet bằng cách đặt chúng

trong một khu vực perimeter. Người dùng bên ngoài có thể truy cập tài nguyên nằm trong mạng vành đai trong

khi vẫn đang bị ngăn chặn truy cập vào tài nguyên nội bộ.

10.3. Back Firewall Template


Kiểm soát truy cập Nhiều lớp bảo vệ Tách nhiệm vụ (Mỗi firewall chịu trách nhiệm cho các cấu hình giao thông khác

nhau)

Khi bạn chạy Getting Started Wizard,bạn có thể chọn các mẫu Back Firewall, như thể hiện trong hình II.10.3.1.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.10.3.1 Back Firewall Template

Khi bạn chọn mẫu này bằng cách sử dụng Getting Started Wizard, bạn có để xác định các bộ chuyển đổi được kết nối với mạng nội bộ mặc định và bộ chuyển đổi được kết nối với mạng perimeter.

10.4. Single NIC Template

Sử dụng mẫu Single NIC khi bạn muốn giới hạn bức tường lửa với một hoặc nhiều vai trò sau đây :

A forward Web proxy server A Web caching server A reverse Web proxy (Web publishing-HTTP/HTTPs, RPC trên HTTPS, FTP) A VPN remote-access client server

Bạn không thể sử dụng một TMG Single NIC để bảo vệ các cạnh mạng của bạn. TMG Single NIC không có khái niệm của một mạng bên ngoài, bởi vì nó chỉ có một giao diện mạng và cổng mặc định cho kết nối vượt ra ngoài mạng riêng của bạn nằm trên cùng một card mạng. Do đó, các mạng chỉ có localhost (bản thân TMG) và nội bộ. Ngoài ra, Single NIC không được hỗ trợ 1 số tính năng:

Application Filtering - Mặc dù TMG được xây dựng trong sự kiểm tra lớp ứng dụng. Sự kiểm tra lớp ứng dụng chỉ cho HTTP/HTTPS, FTP và lưu lượng truy cập qua giao thức HTTP.

Publishing Server - Các tính năng Server Publishing đòi hỏi hai giao diện mạng (NIC), mẫu này chỉ hỗ trợ một NIC duy nhất.

TMG Client - không được hỗ trợ. SecureNET Client - không được hỗ trợ.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Thậm chí nếu bạn cấu hình một bộ chuyển đổi mạng để sử dụng hai hoặc nhiều địa chỉ IP hoặc bạn thêm một bộ chuyển đổi mạng thứ hai và sau đó vô hiệu hóa nó trong một số trường hợp hạn chế một số người làm việc xung quanh, cấu hình này vẫn không hỗ trợ thêm cho các yêu cầu trên. Khi bạn chạy Getting Started Wizard, bạn có thể chọn mẫu Single NIC thể hiện trong hình II.10.4.1.

Hình II.10.4.1 Single Network Adapter Template

Sau khi bạn áp dụng mẫu Single NIC, các địa chỉ sau đây được loại trừ từ mạng:

0.0.0.0 255.255.255.255 127.0.0.0 - 127.255.255.255 224.0.0.0 - 254.255.255.255





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

10.5. Join Firewall TMG vào Domain hoặc Workgroup

Bảng Domain và Workgroup đưa ra những ưu điểm và khuyết điểm của TMG hoạt động trong Domain hoặc Workgroup.

Bảng II.10.5.1 Ưu và khuyết điểm khi cài Forefront trong Domain và Workgroup





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

11.Di trú TMG

TMG chỉ chạy trên Windows 2008 SP2 hoặc R2 x64. Bởi vì ISA Server chỉ chạy trên Windows 2000 (ISA 2004 SE) hoặc Windows 2003 x86, một máy chủ hoàn toàn xây dựng lại (hoặc thay thế nếu các bộ vi xử lý 32-bit) là bắt buộc trước khi TMG có thể được cài đặt trên nó. Bởi vì việc di trú từ ISA Server lên TMG yêu cầu một hệ điều hành hoàn toàn mới, nâng cấp tại chỗ lên TMG không hề đơn giản. Bạn phải đáp ứng các điều kiện sau đây cho các kế hoạch chuyển đổi của bạn:

Tất cả các thành viên trong mảng phải sử dụng mức độ cập nhật hệ thống điều hành tương tự, bắt đầu với Windows Server 2008 Service Pack 2.

Tất cả các thành viên trong mảng phải sử dụng cùng một phiên bản Windows. Bạn không thể kết hợp máy tính chạy hệ điều hành Windows Server 2008 (SP2) và Windows Server 2008 R2 trong cùng một mảng.

Ngoài ra, trước khi bạn bắt đầu chuyển đổi, bạn phải nâng cấp cho máy chủ ISA của bạn mới nhất, hỗ trợ mức độ cập nhật như chi tiết trong Bảng cập nhật.

Bảng II.11.1 Yêu cầu update tối thiểu để nâng cấp lên TMG 2010

Di cư từ TMG MBE trên Windows Server Essential Business Server (EBS) lên TMG 2010 không được hỗ trợ của EBS uprgrade Wizard.

Bảng patchs tóm tắt các con đường di cư được hỗ trợ bạn có thể làm theo.

Bảng II.11.2 Thông tin patch giữa các phiên bản ISA và TMG

Dấu (*) chỉ TMG 2010 Enterprise Edition Standalone Array. Dấu hiệu thăng (#) chỉ Windows Essential Business Server (EBS).

Bạn có thể nhận thấy từ Bảng patchs rằng bạn không thể di chuyển trực tiếp từ ISA Server Standard, TMG Enterprise Edition (SE), TMG Medium Business Edition (MBE), hoặc TMG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2010 SE trực tiếp lên TMG Enterprise Edition (EE) EMS-managed arrays. Điều này là do di chuyển đến một EMS-Managed Array, trước tiên bạn phải nâng cấp lên TMG Enterprise hay Standard Edition, sau đó bạn có thể join TMG đến một Enterprise Edition EMS-Managed Array. Không có nâng cấp từ TMG MBE trên Windows Essential Business Server (EBS) mà không có việc sử dụng các WEBS R2 Upgrade Wizards.

Hình II.11.1 xác định traffic profile đơn giản hóa cho ví dụ di trú. Giao thức SIP là một bổ sung cho việc triển khai các dịch vụ vì TMG hỗ trợ giao thức này trong khi ISA Server không.

SIP, từ viết tắt của Session Initiation Protocol (Giao thức Khởi tạo Phiên) là một giao thức tín hiệu điện thoại IP dùng để thiết lập, sửa đổi và kết thúc các cuộc gọi điện thoại VOIP. SIP được phát triển bởi IETF và ban hành trong tài liệu RFC 3261. SIP mô tả những giao tiếp cần có để thiết lập một cuộc điện thoại. Giao thức này giống như giao thức HTTP, là giao thức dạng văn bản, rất công khai và linh hoạt.

Hình II.11.1 Ví dụ về di trú

12.CÁC LOẠI TMG CLIENT

12.1. Web Proxy Client

Trong hệ điều hành Windows, WinInet cửa hàng cài đặt được sử dụng cho mục đích Web Proxy trong registry. Nếu bạn thay đổi các thiết lập Internet Explorer, WinInet cập nhật sau đây đăng ký:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings.

Ví dụ, đăng ký được cập nhật khi bạn thay đổi các thiết lập sau đây, như thể hiện trong Hình 41.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

ProxyEnable Nếu giá trị DWORD là 0, trình duyệt cần truy cập vào Internet trực tiếp. Nếu giá trị là 1, các trình duyệt đang sử dụng một proxy để truy cập Internet.ProxyServer giá trị REG_SZ này quy định cụ thể tên và cổng được sử dụng máy chủ Proxy.ProxyOverride Sử dụng giá trị REG_SZ để quản lý các địa chỉ địa phương và không nên vượt qua máy chủ Proxy.

INTERNET_OPEN_TYPE_DIRECT, có nghĩa là các ứng dụng sẽ không sử dụng một Web proxy và sẽ truy cập Internet trực tiếp. Ứng dụng cũng có thể sử dụng các thiết lập registry hiện tại cho proxy bằng cách sử dụng loại truy cập INTERNET_OPEN_TYPE_PRECONFIG.

Hình II.12.1.1 Thiết lập proxy cho Internet Explorer

12.2. Web Proxy Client làm việc như thế nào?

Nhiều ứng dụng có thể hoạt động như một máy khách Web proxy. Tuy nhiên, trình duyệt Web là thường sử dụng ứng dụng cấu hình để làm như vậy. Ví dụ sau đây sử dụng một trình duyệt Web để chứng minh làm thế nào một client Web proxy sẽ gửi một yêu cầu HTTP đến TMG. Trong ví dụ này, các trình duyệt Web được cấu hình để sử dụng TMG như là một Proxy Web và người dùng truy cập http://www.contoso.com.

Client gửi một HTTP GET yêu cầu TMG trên các cổng lắng nghe client Web proxy yêu cầu. Theo mặc định, TMG được cấu hình để cho phép các kết nối client Web proxy trên TCP cổng 8080. Sau khi TMG nhận được các kết nối từ máy khách Web Proxy, Microsoft Firewall kiểm tra quy tắc truy cập để xác định những quy tắc áp dụng cho HTTP được xác định trước giao thức định nghĩa (port 80). Điều này xác định xem yêu cầu được cho phép hoặc bị từ chối từ nguồn đến các máy chủ đích.

Trong khi thực hiện việc kiểm tra dịch vụ Firewall thực hiện phân giải tên DNS để xác định xem một quy tắc dựa trên địa chỉ IP này áp dụng cho yêu cầu. Nếu yêu cầu là được cho





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

phép, Firewall chuyển tiếp dịch vụ yêu cầu đến bộ lọc Web Proxy, kết nối đến máy chủ đích trên cổng quy định trong URL (mặc định cổng 80).

Nếu cần thiết, TMG cũng sẽ yêu cầu client cho các thông tin bằng cách sử dụng HTTP xác thực (NTLM, Negotiate, Basic, Digest, Kerberos)

TMG thực hiện lọc lớp ứng dụng cho các yêu cầu HTTP từ các client Web Proxy. Hình II.12.2.1 cho thấy các thành phần cốt lõi được sử dụng bởi TMG cho yêu cầu này.

Hình II.12.2.1 Thành phần cốt lõi của TMG trong xử lý HTTP request từ web proxy client

Trình tự sau đây được sử dụng khi một client Web proxy yêu cầu một nguồn tài nguyên HTTP. Tuy nhiên, nếu người dùng đang sử dụng giao thức HTTPS (HTTP trên SSL) trong một URL, trình tự là hơi khác nhau. Bất kỳ trình duyệt Web CERN tuân thủ bắt đầu yêu cầu kết nối SSL bằng cách gửi HTTP CONNECT (CONNECT host_name: cổng HTTP/1.1), tiếp theo là các bước sau:

1) Trình duyệt sẽ gửi một yêu cầu HTTP CONNECT đến Web Listener TMG proxy.2) Các dịch vụ kiểm tra chính sách để xác định xem yêu cầu có thể được gửi từ nguồn

(client) đến các điểm đến (Web Server) sử dụng giao thức HTTP.3) Giả sử rằng yêu cầu là được cho phép, Firewall chuyển tiếp dịch vụ yêu cầu bộ lọc

Web Proxy.4) Các bộ lọc Web Proxy xác định liệu các port quy định trong yêu cầu CONNECT được

bao gồm trong một phạm vi cổng đường hầm được xác định trong TMG. (Theo mặc định, chỉ có TCP port 443 cho phép các kết nối SSL). Nếu số cổng yêu cầu của client được cho phép, bộ lọc Web Proxy kết nối với các máy chủ đích trên cổng đó.

5) Yêu cầu được gửi đến các máy chủ đích.6) Khi hoạt động này thành công, TMG phản ứng với một mã trạng thái HTTP 200 để

thông báo cho client biết kết nối đã được thiết lập.

Sau đó TMG đi vào chế độ đường ngầm để tiến hành bắt tay SSL giữa các Clients và máy chủ đích. Hình II.12.2.2 minh họa các bước sau.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình 1 HTTP request từ web proxy client đến TMG

Theo mặc định chỉ có hai cổng được cho phép bởi TMG cho SSL đường hầm: cổng TCP 443 và cổng TCP 593.

12.3. Cấu hình Server-Side

Theo mặc định, TMG đã cho phép truy cập cho Web Proxy Client nằm trên mạng nội bộ mặc định. Cổng mặc định lắng nghe là TCP cổng 8080. Bạn có thể xác nhận điều này bằng cách làm theo các bước sau:

1) Mở Forefront TMG Management Console.2) Mở rộng nút Forefront TMG (Name Server) trong khung bên trái.3) Nhấp vào nút mạng ở khung bên trái và sau đó nhấp vào tab mạng ở giữa cửa sổ.

Nhấp vào mạng nội bộ.4) Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.5) Trong hộp thoại Internal Properties, nhấn vào tab Web Proxy.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.12.3.1 Cấu hình web proxy trong TMG

12.4. Sử dụng Web Proxy Client

Bảng II.12.4.1 thống kê nhu cầu với TMG client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Mặc dù sử dụng cấu hình Web proxy máy khách có nhiều ưu điểm song nó cũng có một số hạn chế. Các hạn chế chính là hỗ trợ giao thức. Web Proxy Client hỗ trợ các giao thức sau đây: Hypertext Transfer Protocol (HTTP), HTTP qua SSL (HTTPS), File Transfer Protocol (FTP) để yêu cầu tải về (Máy vi tính cấu hình là Web proxy client không hỗ trợ upload) Điều này có nghĩa rằng nếu bạn cần truy cập vào một ứng dụng sử dụng Winsock, Web Proxy Client sẽ không làm việc cho yêu cầu đó.

12.5. SecureNET Clients

Bất kỳ máy tính với một chồng mạng TCP/IP có thể được cấu hình như một client SecureNET. Yêu cầu duy nhất là cấu hình cổng mặc định để định tuyến tất cả lưu lượng truy cập đến Internet thông qua TMG. Lưu lượng truy cập có thể được chuyển thông qua một bộ định tuyến nếu máy tính có subnet khác với TMG.

Đối với TMG hỗ trợ client SecureNET, nó cần ít nhất hai card mạng. SecureNET Client tham gia vào một trong hai loại mạng:

Mạng đơn giản - trong cấu hình được hiển thị trong hình II.12.5.1, client và TMG là trên cùng một mạng con, và tất cả những gì cần phải được cấu hình trên máy khách là gateway mặc định địa chỉ IP trên giao diện mạng nội bộ của TMG.

Hình II.12.5.1 Mô hình mạng đơn giản

Mạng phức tạp - trong cấu hình được hiển thị trong Hình II.12.5.2, TMG và SecureNET Client được đặt trên các mạng con khác nhau, với một hoặc nhiều bộ định tuyến ngăn cách các SecureNET Client từ TMG. Trong mạng này, các bộ định tuyến trong chuỗi giữa client và TMG cần phải có cổng mặc định của nó chỉ đến địa chỉ IP nội bộ của TMG.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.12.5.2 Mô hình mạng phức tạp

12.6. SecureNet Client làm việc như thế nào?

Các dịch vụ Firewall xử lý các yêu cầu từ SecureNET Client. Giao thông SecureNET nhận được NDIS TMG Miniport, thông qua các bộ lọc gói tin, và sau đó thông qua các dịch vụ Firewall để xác định xem yêu cầu được cho phép hoặc bị từ chối. Tại thời điểm này, các dịch vụ Firewall xác định xem các yêu cầu nên được lưu trữ hay những nội dung cần được trả lại từ bộ nhớ cache. Nếu chính sách TMG cho phép lưu lượng truy cập này, nó được thông qua gói lọc TMG, nơi mà bản gốc SecureNET IP của client được thay thế bằng một địa chỉ IP bên ngoài.

Name resolution for SecureNet Clients

Hình II.12.6.1 Loopback DNS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1) Các client SecureNET sẽ gửi một yêu cầu truy vấn DNS đến máy chủ DNS để giải quyết tên Web của máy chủ.

2) Các máy chủ DNS trả lời với địa chỉ IP của TMG bên ngoài.3) SecureNET chuyển tiếp yêu cầu client đến địa chỉ IP nội bộ của TMG.4) Yêu cầu vòng trở lại từ địa chỉ IP TMG bên ngoài chỉ IP nội bộ của TMG.5) TMG chuyển tiếp yêu cầu đến máy chủ Web nội bộ.

Bạn có thể tránh tình hình Loopback bằng cách sử dụng một cơ sở hạ tầng DNS phân chia hoặc bằng cách bảo đảm rằng máy chủ DNS mà client SecureNET được cấu hình để sử dụng giải quyết tên của máy chủ Web Publish đến địa chỉ IP nội bộ của máy chủ web riêng của mình. Vì vậy yêu cầu đi trực tiếp đến máy chủ Web thay vì được định tuyến thông qua TMG.

12.7. SecureNet Client advantages

Các client SecureNET là lựa chọn duy nhất của bạn để hỗ trợ các giao thức không phải Web cho Non-Windows Client. Vấn đề là TMG client không được hỗ trợ client không phải Windows. Như vậy, client SecureNET là lựa chọn duy nhất của bạn hỗ trợ giao thức web cho client không phải là Windows. Các client SecureNET là loại client duy nhất có hỗ trợ giao thức Non-TCP/UDP. Hai các giao thức Non-TCP/UDP phổ biến nhất được sử dụng bởi các quản trị viên TMG là ICMP và PPTP. PPTP sử dụng một sự kết hợp của cổng TCP 1743 và Generic Routing Encapsulation (GRE), trong đó sử dụng giao thức IP 47. ICMP và GRE thay thế UDP hoặc TCP như trong phần giao thức vận chuyển của mạng stack và do đó không thể bị chặn và đánh giá bởi phần mềm máy khách TMG.

12.8. SecureNet Client Disadvantages

Nhược điểm lớn nhất của client SecureNET là không có khả năng để xác thực đến TMG. TCP/IP lớp 4 (mô hình OSI) không cung cấp xác thực người dùng và đòi hỏi một thành phần ứng dụng để gửi thông tin người dùng. Không giống như các TMG client hoặc proxy Web client có khả năng gửi thông tin người dùng, SecureNET client không thể thực thi các quy tắc dựa trên người dùng hoặc nhóm. Cách duy nhất để cung cấp hạn chế truy cập cho các client SecureNET là thiết lập các quy tắc dựa trên địa chỉ IP nguồn và địa chỉ IP đích và domains. SecureNET client yêu cầu bộ lọc ứng dụng TMG để hỗ trợ các giao thức phức tạp (giao thức đòi hỏi phải có nhiều kết nối chính hoặc thứ cấp).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.12.8.1 Ưu và nhược điểm của SecureNET Client

12.9. Forefront TMG Client

Hình II.12.9.1 cho thấy tab Forefront TMG client trong hộp thoại Default Internal Network Properties.

Hình II.12.9.1 Forefront TMG Client tab

Nhập tên vào trường Forefront TMG name or IP address để TMG xác định các thiết lập này. Nếu không, TMGC sẽ không thể để kết nối với TMG. Ngoài ra, bạn có thể nhập địa chỉ IP được sử dụng bởi TMG trong mạng này để tránh các vấn đề phân giải tên.

Hình II.12.9.2 cung cấp một ví dụ về hộp thoại TMG Forefront Client Settings.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II 12.9.2 Forefront TMG Client Setting

TMG Client Authentication sử dụng một trong hai cơ chế xác thực:

Nếu TMGC là một thành viên không thuộc domain, NTLM SSPI được sử dụng.Nếu TMGC và TMG là trong các domain tin cậy, Kerberos SSPI được sử dụng.

Bảng II.12.9.1 Độ ưu tiên khi lựa chọn TMG client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bảng II.12.9.2 Những phiên bản Client phù hợp với từng nhu cầu

SECURE NAT WEB PROXYFIREWALL

CLIENT

Cài Đặt

Không cần cài đặt ứng dụng nào

Khai báo Default gateway định tuyến đến Internal của TMG

Không cần cài đặt ứng dụng

Khai báo tên hoặc IP và port 8080 cho Proxy Server

Cài đặt chương trình Firewall Client

Hệ Điều Hành

Hỗ trợ TCP/IPHỗ trợ trình duyệt web

windows

Giao Thức

Các giao thức Multi-connections nếu TMG kích hoạt application filter tương ứng

HTTP, HTTPS, FTP & FTPS

Mọi giao thức

Chứng Thực Không Có Có

Bảng II.12.9.3 So sánh những tính năng giữa SecureNAT, Web Porxy và Firewall Client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

13.GIAO DIỆN TMG

13.1. TMG 2010

Hình II.13.1.1 cho thấy TMG chính 2010 giao diện điều khiển.

Hình 2 II.13.1.1 Giao diện chính của TMG 2010

Các khung bên trái cho thấy các nút đã được thêm vào hoặc sửa đổi từ TMG MBE, đó là:

E-Mail Policy tùy chọn này cho phép bạn cấu hình bảo vệ SMTP "Tăng cường bảo vệ E-Mail".Intrusion Prevention System Ở đây bạn có thể cấu hình bảo vệ mạng "Mạng lưới kiểm tra hệ thống."Remote Access Policy (VPN) tùy chọn này được gọi là Virtual Private Network (VPN), cho phép truy cập từ xa thông qua TMG. Logs & Reports đây không phải là một tùy chọn mới. Hình II.13.1.2 so sánh TMG MBE và TMG 2010.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.13.1.2 Những tính năng mới trong TMG 2010 so với TMG MBE

13.2. Monitoring

Các tùy chọn được hiển thị trong hình II.13.2.1.

Hình II.13.2.1 Các tab trong Monitor

Vào tab Services, cách TMG trình bày chạy dịch vụ cũng đã thay đổi. Bây giờ các dịch vụ báo cáo được chia thành các nhóm riêng. Điều này là có lợi trong việc giúp bạn hiểu thành phần nhu cầu các dịch vụ. Hình II.13.2.2 cho thấy các mục mới trong tab Services.

Hình II.13.2.2 Services tab

13.3. Firewall policy

Thanh công cụ mới bổ sung lựa chọn có thể giúp bạn nhanh chóng truy cập vào các nhiệm vụ liên quan. Hình II.13.3.1 cho thấy thanh công cụ có sẵn khi bạn click vào Firewall Policy.

Hình II.13.3.1 Thanh công cụ Firewall Policy

Những thay đổi khác được đặt trong cửa sổ nhiệm vụ và cũng có liên quan đến tính năng mới của TMG 2010, chẳng hạn như tùy chọn cấu hình Voice over Internet Protocol (VoIP).





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

13.4. Chính sách Web Access

Chính sách Web Access không thay đổi điều đó trong TMG 2010 nó đã là một tính năng mới trong TMG MBE. Chỉ thêm các tùy chọn truy cập vào lọc URL và kiểm tra HTTPS, như thể hiện trong hình II.13.4.1.

Hình II.13.4.1 Các tùy chọn trong Task web Protection

Ngoài ra, những thay đổi thanh công cụ khi bạn chọn Web Access Policy và cung cấp các phím tắt mới cho các tùy chọn khác, như thể hiện trong hình II.13.4.2.

Hình 3 II.13.4.2 Thanh công cụ Web Access

13.5. E-Mail Policy

E-mail bảo vệ là một trong những lĩnh vực chính TMG 2010 giới thiệu tập hợp các tính năng mới. Tùy chọn này được thiết kế để cung cấp truy cập dễ dàng để cấu hình chính sách E-mail, lọc thư rác, virus và lọc nội dung. Tab đầu tiên (E-Mail Policy) có các tùy chọn để tạo một hình mới chính sách và kết hợp nó đến máy chủ SMTP nội bộ. Hình II.13.5.1 cho thấy các tùy chọn cho E-Mail Policy tab.

Khi bạn nhấp vào tab E-Mail Policy, cửa sổ nhiệm vụ cho các tùy chọn được hiển thị trong Hình II.13.5.2.

Hình II.13.5.1 Tab E-mail Policy





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.13.5.2 E-mail policy task

Hình II.13.5.3 và II.13.5.4 cho thấy các tùy chọn có sẵn cho hai tab khác.

Hình II.13.5.3 Tab Spam Filtering

Hình II 13.5.4 Tab Virus and Contenfiltering





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

13.6. Intrusion Prevention System

Mạng lưới bảo vệ được cung cấp bởi TMG 2010 được cấu hình bằng cách sử dụng Network Inspection System (NIS). Tùy chọn này cho phép bạn cấu hình chữ ký và cũng có thể cấu hình hành động (phản ứng) khi TMG 2010 phát hiện mạng lưới giao thông phù hợp với một chữ ký như vậy. Hình 66 hiển thị màn hình chính của IPS, được chia thành hai tab: Network Inspection System (NIS) (hình II.13.6.1) và Behavioral Intrusion Detection (hình II.13.6.2).

Hình II.13.6.1 Network Inspection System tab

Hình II.13.6.2 Behavioral Intrusion Detection tab

Sau khi cách nhấn vào Tab Network Inspection System, bạn có các tùy chọn được hiển thị trong Hình II.13.6.3.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.13.6.3 Các thành phần cấu hình trong NIS tasks

Hình II.13.6.4 cho thấy các tab mới trong TMB 2010.

Hình 4 II.13.6.4 Tab Network Adapter and Routing

Tab Network Adapter, cho phép bạn xem cấu hình IP của giao diện mạng trên máy tính TMG. Điều này có thể giúp bạn tiết kiệm thời gian nếu bạn muốn nhanh chóng xem xét cấu hình TCP/IP của bạn bởi vì bạn không cần phải mở Control Panel của Windows và mở Network and Sharing Center. Hình II.13.6.5 cho thấy điều này.

Hình II.13.6.5 Thông tin trong tab Network Adapter

Bổ sung tuyệt vời khác là bây giờ bạn có thể xem bảng định tuyến của bạn mà không cần phải sử dụng lệnh route print từ dấu nhắc lệnh.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.13.6.6 Thông tin trong tab Routing

Tab cuối cùng, ISP Redundancy, sẽ được tắt theo mặc định, như thể hiện trong hình II.13.6.7.

Hình II.13.6.7 ISP Redundancy tab

Các tùy chọn có sẵn trong cửa sổ nhiệm vụ cho tính năng này được thể hiện trong hình II.13.6.8.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.13.6.8 Các thành phần cấu hình trong ISP Redundancy Tasks

14.NEW WIZARDS

14.1. The Getting Started Wizard

Hình II.14.1.1 Getting started wizard

Winzard này cho phép bạn xác định thiết lập TMG cơ bản bằng cách cung cấp truy cập dễ dàng đến bốn wizards khác:

Network Setup Wizard System Configuration Wizard Deployment Wizard Web Access Policy wizard

Các trình thuật sẽ giúp đơn giản hóa các nhiệm vụ cấu hình TMG để hỗ trợ các nhu cầu của việc triển khai. Mặc dù bạn có thể thực hiện Getting Started Wizard bất cứ lúc nào bạn thích. Getting Started Wizard được hiển thị trong hình II.14.1.2.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.14.1.2 Các bước cấu hình trong Getting Started Wizard

Khi bạn nhìn thấy Getting Started Wizard cho lần đầu tiên, ba nhiệm vụ chính có thể được thực hiện theo thứ tự được trình bày. Khi những công việc này đã được hoàn thành, bạn có thể sử dụng chúng trong bất kỳ thứ tự bạn muốn.

14.2. Network Setup Wizard

Network Setup Wizard là một mở rộng của ISA Server 2006 Network Template Wizard. Cũng giống như ISA Server 2006 Network Template Wizard, bạn có thể lựa chọn bốn mạng cấu hình cơ bản:

Edge Firewall3-Leg Perimeter ( bị vô hiệu hóa trong EBS)Back FirewallSingle-Network Adapter

Không giống như ISA Server 2006 hướng dẫn Network Template, TMG Network Setup Wizard cũng cho phép bạn xác định các thiết lập IP cho NIC mỗi khi bạn liên kết nó với TMG liên quan mạng.

Một cải tiến khác trên ISA Server 2006 Network Template Wizard được trình bày khi bạn chọn 3-Leg hoặc mẫu Back Firewall. Trong những trường hợp này, Network Setup Wizard cung cấp cho bạn khả năng lựa chọn các mối quan hệ mạng cho chu vi mạng. Đây là một cải tiến lớn, trên mạng ISA Server 2006 Mẫu Wizard trong không có giả định về mối quan hệ này, đó là sự lựa chọn của bạn để làm một mối liên kết NAT hoặc Route. Hình II.14.2.1 minh họa những bổ sung này.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.14.2.1 Network Setup Wizard

14.3. System Configuration Wizard

System Configuration Wizard cho phép bạn để xác định tính chất hoạt động cho TMG:

Computer nameDomain or workgroup membershipPrimary DNS suffix

14.4. Deployment Wizard

The Deployment Wizard cung cấp truy cập đến năm kiểu cấu hình:

Microsoft Update Setup Cho phép bạn chọn để sử dụng Microsoft Update hoặc một quá trình cập nhật hướng dẫn sử dụng để có được cập nhật định nghĩa phần mềm độc hại TMG. Điều này không ảnh hưởng đến quá trình cập nhật bộ lọc URL dựa trên đăng ký.TMG Protection Features Settings Cho phép bạn để xác định cấp giấy Intrusion Protection System (IPS), bảo vệ truy cập Web, bảo vệ E-mail, lọc truy cập web và E-mail.Customer Feedback cung cấp tự động trải nghiệm khách hàng phản hồi về mô hình sử dụng TMG và cấu hình.Microsoft Telemetry Service cho phép bạn chọn xem bạn có muốn tham gia chương trình bằng cách sử dụng hai thành viên lựa chọn cơ bản hoặc nâng cao hoặc không tham gia tất cả.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

14.5. The Web Access Policy Wizard

Web Access Policy Wizard có thể truy cập như là một bước tùy chọn trong Getting Started Wizard hoặc từ menu chuột phải truy cập bằng cách kích chuột phải vào Web Access Policy ở bên trái cửa sổ, như thể hiện trong hình II.14.5.1.

Hình II.14.5.1 Cấu hình Web Access Policy

Web Access Policy Wizard cung cấp một phương pháp hướng dẫn thông qua đó bạn có thể định nghĩa HTTP truy cập dựa trên quy tắc. Nó cũng cho phép bạn cấu hình chính sách này trong bối cảnh của phần mềm kiểm tra độc hại. Bạn có thể chỉnh sửa các chính sách này phù hợp với yêu cầu cụ thể của bạn.

14.6. The Join Array and Disjoin Array Wizards (TMG 2010 only)

Join Array Wizard nằm trong cửa sổ nhiệm vụ khi bạn chọn Forefront TMG (ArrayName). Hình II.14.6.1 cho thấy các mảng liên kết tham gia, trong khi đó Hình II.14.6.2 cho thấy các mảng liên kết chia rẽ.

Hình II.14.6.1 Join Array

Hình II.14.6.2 Disjoin array

Hướng dẫn này cung cấp các phương tiện để di chuyển giữa độc lập hoặc mảng doanh nghiệp hoạt động và ngược lại tương đối dễ dàng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

14.7. The Connect to Forefront Protection Manager 2010 Wizard (TMG 2010 only)

Liên kết với Forefront Protection Manager (FPM) 2010 cung cấp các phương tiện để tham gia Forefront TMG Array của hệ thống FPM 2010

Hình II.14.7.1 Forefront Protection Managerment Intergration page link

14.8. The Configure SIP Wizard (TMG 2010 only)

Wizard này cho phép bạn cấu hình TMG để hỗ trợ lưu lượng VoIP bằng cách sử dụng giao thức tính hiệu khởi xướng (SIP). Hình II.14.8.1 cho thấy các liên kết đến Configure SIP Wizard.

Hình II.14.8.1 SIP Configure





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

14.9. The Configure E-Mail Policy Wizard (TMG 2010 only)

Wizard này giúp bạn xác định Spam E-mail và phần mềm độc hại

Hình II.14.9.1 E-mail Policy Task

14.10. The Enable ISP Redundancy Wizard (TMG 2010 only)

Wizard này cho phép bạn cấu hình Forefront TMG sử dụng hai kết nối ISP có thể sử dụng một trong hai cách sau:

ISP Redundancy chế độ này cho phép TMG để sử dụng đồng thời cả hai kết nối ISP và do đó cung cấp băng thông lớn hơn.ISP Failover chế độ này cho phép TMG sử dụng một ISP kết nối tại một thời điểm và chuyển sang các kết nối khác nếu kết nối chính bị lỗi.

Hình II.14.10.1 Cấu hình ISP redundancy

15.CẤU HÌNH TMG NETWORKS

15.1. Route Relationships

Các trường địa chỉ IP như là traffic đi giữa nguồn và máy chủ đích. Về vấn đề này, TMG cư xử giống như một bộ định tuyến mạng cơ bản. Hình II.15.1.1 mô tả lưu lượng traffic cơ bản trong một mối quan hệ tuyến đường.

Hình II.15.1.1 Route Relationships





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

15.2. NAT Relationships

Một mối quan hệ NAT thông báo TMG rằng nó phải áp dụng chỉnh sửa địa chỉ IP cho traffic mạng khi nó đi giữa các máy chủ.

Một mối quan hệ NAT định nghĩa một mối quan hệ một chiều traffic qua TMG, có nghĩa là, địa chỉ IP đại diện cho các máy chủ ở phía nguồn của mối quan hệ sẽ luôn luôn được thay đổi. Các hành vi cho các địa chỉ IP máy chủ ở phía đích của mối quan hệ phụ thuộc vào loại quy tắc tường lửa được sử dụng để xử lý lưu lượng truy cập. Bạn có thể xác định hai hình thức NAT:

Full-NAT Trong trường hợp này, địa chỉ đích là thay đổi để phù hợp với địa chỉ IP các máy chủ được công bố và địa chỉ IP nguồn được thay đổi để phản ánh TMG mặc định địa chỉ IP trong mạng có liên quan. Half-NAT Trong trường hợp này, chỉ có địa chỉ đích là thay đổi để phù hợp với địa chỉ IP các máy chủ Publish. Các địa chỉ nguồn không thay đổi.

Hình II.15.2.1 và loại qui tắc danh sách sau minh họa cho hành vi lưu lượng truy cập khác nhau trên toàn một mối quan hệ NAT.

Hình II.15.2.1 NAT Relationships

Access Rules Các địa chỉ IP cho các máy chủ trong mạng đích sẽ vẫn không thay đổi cho tất cả lưu lượng truy cập. Địa chỉ IP cho các máy chủ trong mạng nguồn sẽ được thay đổi theo cấu hình mạng quy tắc mối quan hệ.Publishing Rules địa chỉ IP cho các máy chủ trong mạng đích sẽ được thay đổi theo các thiết lập được minh họa trong hình II.15.2.2 và II.15.2.3.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.15.2.2 Half NAT publishing (default)

Hình II.15.2.3 Full NAT publishing





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.15.2.4 mô tả các tùy chọn mặc định cho bất kỳ quy tắc mạng NAT

Hình II.15.2.4 Lựa chọn địa chỉ NAT mặc định

TMG cung cấp ba sự lựa chọn cho hành vi này:

Luôn luôn sử dụng địa chỉ IP mặc định tùy chọn này gây ra TMG hành vi ứng xử giống như ISA 2006. Lưu lượng có nguồn gốc từ mạng nguồn được sử dụng trong quy tắc này sẽ được nhận trong các mạng đích với một địa chỉ IP nguồn đại diện mặc định của TMG Địa chỉ IP trong mạng đích. Hình II.15.2.5 minh họa hành vi này bằng cách sử dụng 192.168.0.1 là địa chỉ IP mặc định TMG.

Hình II.15.2.5 Default NAT





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Sử dụng địa chỉ IP được lựa chọn tùy chọn này sẽ cấu hình tường lửa TMG hoặc proxy hoặc một mảng TMG kích hoạt NLB sử dụng một địa chỉ IP (IP ảo cho các cụm NLB) để đại diện cho traffic có nguồn gốc từ mạng nguồn. Hình 90 minh họa điều này hành vi cho một mảng TMG NLB cho phép sử dụng 192.168.0.3 là địa chỉ IP ảo.

Hình II.15.2.6 Single-IP (NLB) NAT

Sử dụng địa chỉ IP được lựa chọn cho mỗi mạng tùy chọn này gây ra TMG sử dụng một địa chỉ IP duy nhất cho mỗi TMG tường lửa hoặc proxy trong một mảng để đại diện cho lưu lượng truy cập có nguồn gốc từ mạng nguồn. Hình 91 minh họa hành vi này.

Hình II.15.2.7 IP riêng cho mỗi máy chủ NAT

15.3. Mạng Rules

Thứ tự các quy tắc mạng là rất quan trọng để sửa chữa đánh giá lưu lượng truy cập của TMG. Hình II.15.3.1 minh họa quy tắc mạng mặc định tạo ra cho Edge Firewall.

Hình II.15.3.1 Default Network Rules for Edge Deployment





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tất cả các quy tắc mạng hoạt động trong bối cảnh của các đối tượng mạng. Điều này có thể bao gồm hầu hết các tiêu chí gọi chung trong chính sách tường lửa như là các đối tượng mạng. Khi bạn chạy Rule Network Wizard, bạn có thể lựa chọn một tập hợp đối tượng network của chính sách Firewall, như thể hiện trong hình II.15.3.2.

Hình 5 II.15.3.2 Network Entities selection dialog box

15.4. Built-In Mạng

Khi bạn cài đặt TMG, bạn được yêu cầu xác định mạng nội bộ của bạn. Sau khi cài đặt TMG bạn sẽ nhận thấy rằng một số mạng đã được xây dựng trên tab Networks. Các mạng này khác nhau tùy thuộc vào mẫu mạng áp dụng. Trước khi chúng tôi thảo luận về các mạng lưới được tạo ra trong khi cài đặt, chúng ta hãy nhìn vào những gì mỗi mạng được xây dựng đại diện.

Local Host bao gồm bất kỳ địa chỉ IP được sử dụng bởi máy tính mà TMG được cài đặt. Internal Network mạng này được tạo ra trong quá trình cài đặt và định nghĩa một mạng bao gồm các địa chỉ được sử dụng bởi một tập hợp các Clients bảo vệ và kiểm soát bởi chính sách TMGVPN Clients Network Mạng lưới bao gồm tất cả các địa chỉ IP được gán với VPN client kết nối với máy tính TMG. Nếu định tuyến và dịch vụ truy cập từ xa trên TMG được thiết lập để phân bổ địa chỉ cho client từ một DHCP máy chủ, network này là năng động và địa chỉ được tự động thêm vào và loại bỏ khi các client VPN kết nối và ngắt kết nối. Quarantined VPN Clients Network Mạng này bao gồm tất cả các địa chỉ IP được VPN client cách ly và có thể truy cập hạn chế. Có nghĩa là một mạng Dynamic dựa trên các máy tính được cách ly và địa chỉ được thêm vào và loại bỏ như các Clients VPN được thêm vào hoặc gỡ bỏ từ danh sách cách ly.Perimeter mạng này bao gồm các địa chỉ IP của mạng Perimeter của bạn. Bạn có thể tạo ra nhiều mạng Perimeter miễn là bạn có một giao diện vật lý trên TMG phạm vi cùng một địa chỉ.External mạng bên ngoài này bao gồm tất cả các địa chỉ IP không được định nghĩa trong bất kỳ các mạng khác.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình Bảng II.15.4.1 Thông tin tóm tắt các mạng liên kết

Hình II.15.4.1 Giao diện điều khiển lớp mạng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

15.5. Cấu hình mạng được bảo vệ của bạn

Tất cả các mạng sau TMG được biết đến như mạng lưới bảo vệ. Hình II.15.5.1 cho thấy một ví dụ về các lớp mạng và phân loại.

Hình II.15.5.1 Mô hình các lớp mạng được bảo vệ

Sau khi chạy Getting Started Wizard và truy cập Web Wizard, bạn đã sẵn sàng để sử dụng TMG. Tuy nhiên, bạn có thể cấu hình một số tùy chọn bổ sung sau đó. Để truy cập vào lựa chọn cho mạng lưới bảo vệ nội bộ, thực hiện theo các bước sau:

1. Trên máy tính TMG, mở Forefront TMG Management Console.2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp vào

Internal Tab ở trong giữa Panel.4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải và bạn sẽ thấy một hộp

thoại tương tự một hiển thị trong hình II.15.5.2.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.15.5.2 Internal Properties dialog box

15.6. Chứng thực Traffic từ mạng được bảo vệ

Để truy cập vào tùy chọn xác thực cho mạng nội bộ mặc định trong Web proxy, hãy làm theo các bước sau:

1. Trên máy tính TMG, mở Forefront TMG Management Console.2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp

vào Internal tab trong panel giữa.4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.5. Nhấp vào tab Web Proxy và sau đó nhấp vào nút xác thực. Bạn sẽ thấy một hộp

thoại tương tự như thể hiện trong hình II.15.6.1.

Hình II.15.6.1 Tùy chọn xác thực cho mạng nội bộ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

16.CÂN BẰNG TẢI

16.1. ISP Redundancy là gì?

ISP Redundancy là một tính năng trong TMG cung cấp tính sẵn sàng cao hoặc chia sẻ tải trọng của kết nối Internet bằng cách sử dụng của hai link ISP. Tính năng này đảm bảo rằng nếu link ISP chính bị down, TMG sẽ di chuyển tất cả các kết nối khách hàng đến link ISP thứ cấp. Sau khi link ISP chính là trở lại, TMG di chuyển tất cả các kết nối trở lại link ISP chính, như thể hiện trong hình II.16.1.1. Có hai kịch bản khác nhau trong ISP-R:

ISP Failover Trong kịch bản này bạn có thể cấu hình chuyển đổi dự phòng từ một link ISP chính một link ISP thứ. Các link ISP thứ cấp hoặc dự phòng chỉ được sử dụng khi chính là không có. Điều này đặc biệt hữu ích khi bạn đã trả tiền cho lưu lượng truy cập kết nối như là một bản sao lưu, được sử dụng chỉ khi các ISP link là down. ISP Failover không cung cấp khả năng cân bằng tải.ISP Load Balancing Trong kịch bản này, bạn có thể cấu hình cân bằng tải giữa hai ISP link để lưu lượng truy cập có thể được cân bằng giữa chúng. ISP Load Balancing cho phép bạn sử dụng tất cả các ISP có sẵn băng thông cũng như cung cấp khả năng chuyển đổi dự phòng ISP. Với cân bằng tải ISP, bạn có thể cung cấp cho mỗi ISP sử dụng điều khiển giao thông bằng cách xác định một tỷ lệ trọng lượng tương đối để mỗi ISP kết nối.

Hình II.16.1.1 Tính năng ISP redundancy trong TMG

16.2. Enabling ISP-R

Bạn cho phép ISP-R thông qua các link có sẵn trên tab Nhiệm vụ khi các nút mạng chọn trong khung bên trái để cấu hình, như thể hiện trong hình II.16.2.1.

Hình II.16.2.1 Cấu hình ISP redundancy





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

16.3. NLB Kiến trúc

NLB hoạt động như một trình điều khiển NDIS để nó có thể xử lý lưu lượng truy cập trước khi giao thức TCP/IP nhìn thấy nó. Mỗi nút là một phần của một cụm NLB có một địa chỉ IP duy nhất, được biết đến như là địa chỉ IP chuyên dụng (DIP) địa chỉ. Tất cả các nút trong một dãy NLB chia sẻ một tập hợp các địa chỉ IP phổ biến, được gọi là địa chỉ IP ảo (VIP). Hình II.16.3.1 cho thấy sơ đồ kiến trúc cơ bản cho NLB.

Hình II.16.3.1 Kiến trúc cơ bản của NLB

NLB có ba chế độ hoạt động, được sử dụng để xác định NLB sẽ giao tiếp với khách hàng và giữa các nút trong dãy NLB. Ba chế độ unicast, multicast, và multicast với IGMP. Bất kể chế độ, các địa chỉ MAC trong giao thông để lại một máy chủ lưu trữ trong mảng NLB được thiết lập để giá trị như nhau trên tất cả các nút. NLB trên TMG có thể hoạt động trong chế độ tích hợp và không tích hợp. Khi bạn kích hoạt NLB tích hợp mặc định chế độ hoạt động là unicast. Trong chế độ unicast, các gói dữ liệu được cung cấp song song với tất cả các nút và sau đó các bộ lọc điều khiển NLB ra các gói tin không có ý định để được xử lý bởi một nút cụ thể. NLB cũng hỗ trợ chế độ multicast, có thêm một truy cập MAC multicast để bộ điều hợp của nút trên tất cả các máy chủ này là một phần của cụm NLB. Mặc dù tất cả các nút sẽ chia sẻ một phổ biến địa chỉ MAC multicast, các nút cũng giữ lại địa chỉ MAC gốc của chúng.

Hình II.16.3.2 Sự khác biệt giữa MAC unicast và multicast





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

16.4. Sử dụng TMG Management Console

Bạn có thể xem trạng thái của các dịch vụ NLB trong mảng địa phương hoặc một thành viên khác của mảng trên tab vào nút Monitoring trong phần panel bên trái của giao diện điều khiển. Trong Console TMG, Giám sát từ tab Services, bạn có thể xem các tùy chọn được hiển thị Hình II.16.4.1. Bạn có thể sử dụng các tùy chọn trong một số tình huống xử lý sự cố, chẳng hạn như những người thể hiện trong hình II.16.4.2.

Hình II.16.4.1 Tùy chọn kiểm soát NLB

Hình II.16.4.2 Ý nghĩa các tùy chọn kiểm soát NBL

Bạn có thể sử dụng các tùy chọn này khi bạn muốn để cô lập các nút NLB là có vấn đề hoặc bạn muốn để buộc người dùng phải kết nối với một thành viên NLB khác nhau. Khi TMG phát hiện cấu hình sai sót trong NLB hoặc không thống nhất giữa các thành viên NLB được hiển thị trong tab Alerts. Bạn có thể sử dụng những cảnh báo để xác định các vấn đề có thể xảy ra và bắt đầu xử lý sự cố chúng. Hình II.16.4.3 cho thấy một ví dụ về nhiều mục trên tab Alerts NLB dịch vụ.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.16.4.3 Cảnh báo trong NLB

Cảnh báo đầu tiên được chọn trong hình II.16.4.3 cho thấy một sự thất bại cấu hình gây ra NLB ngừng làm việc. Ở dưới cùng của cửa sổ, bạn có thể xem thông tin cảnh báo với các chi tiết về vấn đề này.

17.NETWORK INSPECTION SYSTEM

Kiểm tra hệ thống mạng (NIS) là một cơ chế phân tích giao thông mới có trong TMG. NIS được xây dựng trên công việc phân tích giao thức mạng được thực hiện bởi Microsoft nghiên cứu trên Generic Application-Level Protocol Analyzer (GAPA)

Khi mỗi gói tin nhận được bởi TMG, nó được lọc qua các công cụ chính sách và giao thức bộ lọc trước khi được xử lý bởi NIS. Khi được kích hoạt một chữ ký NIS, NIS có khả năng để đóng một kết nối nếu phát hiện NIS cho việc ký kết đó được thiết lập để Chặn.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.17.1 Chức năng hoạt động của NIS

Các hoạt động NIS được điều khiển bởi các định nghĩa chữ ký. Những chữ ký được tạo ra bởi Microsoft Malware Protection Center (MMPC) phân tích phần mềm độc hại bằng cách sử dụng một sự kết hợp của dữ liệu từ xa TMG và các nguồn khác và một ngôn ngữ định nghĩa giao thức. Chữ ký NIS được phát triển và thử nghiệm như phương pháp tấn công đang gặp phải và những chữ ký này được phân phối thông qua các thông tin cập nhật của Microsoft.

17.1. Thực hiện kiểm tra hệ thống mạng

cấu hình (NIS) trong TMG được chia thành ba lựa chọn chính: cấu hình chung, trường hợp ngoại lệ, và cập nhật. Trước tiên, bạn nên xác định hành vi chung từ NIS, sau đó bạn thêm ngoại lệ cho quy luật chung, và cuối cùng bạn có thể cấu hình như thế nào NIS sẽ kiểm tra các bản cập nhật chữ ký.

Để cấu hình hệ thống kiểm tra mạng, mở Console TMG và đi đến Intrusion Prevention System node trong khung bên trái của giao diện điều khiển.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.17.1.1 Network inspection system main page

Cửa sổ này cho thấy các lĩnh vực sau đây trong phần pane giữa:

Name Hiển thị tên của các bộ lọc theo quy định của Microsoft Security. Attention Hiển thị một lá cờ đỏ khi chữ ký được đánh dấu cho sự chú ý và một lá

cờ màu xám khác. Status Hiển thị trạng thái hiện tại cho chữ ký, có thể được kích hoạt hoặc Disabled. Response Hiển thị các loại hiện hành của phản ứng sẽ được thực hiện nếu chữ ký

này là trigged. Nó có thể được thiết lập phát hiện hay Block. Policy Type Hiển thị các loại chính sách đã được chọn. Thiết lập này bước đầu xác

định Getting Started Wizard. Date Published Hiển thị các ngày dễ bị tổn hại được chữ ký này Publish. Related Bulletins Hiển thị số lượng bản tin bảo mật của Microsoft kết hợp với lỗ

hổng này. CVE Number các lỗ hổng thường gặp và tiếp xúc (CVE) số liên quan với lỗ hổng

này.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

17.2. Các kiểu tấn công

Hình Bảng II.17.2.1 Thông tin về các kiểu tấn công mạng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bảng II.17.2.2 Thông tin các kiểu tấn công DNS

18.CACHING

18.1. Hiểu biết về cache Proxy

Forefront TMG 2010 cung cấp tính năng bộ nhớ đệm Web để cung cấp hiệu suất tốt hơn và thời gian đáp ứng cho các yêu cầu Web. Bạn có thể cấu hình Forefront TMG 2010 Web bộ nhớ cache đối tượng thường xuyên được yêu cầu của người dùng cuối. Khi một người sử dụng cuối cùng yêu cầu Internet, Forefront TMG 2010 có thể phục vụ các yêu cầu từ bộ nhớ cache của nó thay vì thực hiện một yêu cầu Internet. Bộ nhớ đệm Web có thể cung cấp hai lợi ích chính:

Nhanh hơn truy cập Internet Bởi vì các yêu cầu web được phục vụ từ bộ nhớ cache của địa phương thay vì được gửi đến một máy chủ Web từ xa trên Internet, bộ nhớ đệm Web cung cấp truy cập nhanh nội dung web cho người dùng cuối. Bộ nhớ đệm cung cấp truy cập nhanh hơn cho người sử dụng Internet bằng cách trả lại nội dung từ bộ nhớ cache thay vì yêu cầu từ Web Server do đó giảm tải trên máy chủ Web.

Giảm lưu lượng truy cập Internet Bởi vì thường xuyên yêu cầu nội dung có thể được phục vụ từ bộ nhớ cache, băng thông được lưu bằng cách giảm số lượng lưu lượng gửi đến Internet.

18.2. Công việc Caching như thế nào?

Forefront TMG 2010 có thể được cấu hình để duy trì một bộ nhớ cache của các đối tượng web và thực hiện Web yêu cầu từ bộ nhớ cache của nó. Nếu yêu cầu không thể được thực hiện từ bộ nhớ cache, Forefront TMG 2010 khởi tạo một yêu cầu đến máy chủ Web trên thay mặt cho khách hàng. Sau khi máy chủ Web đáp ứng yêu cầu, Forefront TMG 2010 lưu trữ các phản ứng và chuyển tiếp đáp ứng cho người dùng cuối. Theo mặc định, bộ nhớ đệm





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

là không được kích hoạt trên Forefront TMG 2010 vì không có không gian đĩa được phân bổ cho bộ nhớ đệm. Khi bộ nhớ đệm được kích hoạt, một quản trị viên có thể định nghĩa các quy tắc bộ nhớ cache xác định nội dung từ các trang web được chỉ định được lưu giữ và lấy ra từ bộ nhớ cache Forefront TMG 2010.

Nếu yêu cầu là cho phép truy cập, Forefront TMG 2010 phân tích của nó cấu hình bộ nhớ cache và các đối tượng lưu trữ để xác định xem một yêu cầu cần được phục vụ từ bộ nhớ cache hoặc lấy từ máy chủ Web. Nếu đối tượng không có mặt trong bộ nhớ cache, Forefront TMG 2010 kiểm tra các quy tắc Web Chaining để xác định xem yêu cầu cần được chuyển trực tiếp đến máy chủ Web yêu cầu, một máy chủ proxy hoặc một điểm đến thay thế. Nếu yêu cầu hiện tại trong bộ nhớ cache, Forefront TMG 2010 thực hiện các bước sau đây:

1. Forefront TMG 2010 kiểm tra xem đối tượng có giá trị. Nếu đối tượng là hợp lệ Forefront TMG 2010 lấy các đối tượng từ bộ nhớ cache và trả về cho người sử dụng. Forefront TMG 2010 xác định xem đối tượng có giá trị bằng cách thực hiện các kiểm tra sau:

Time to Live (TTL) quy định tại nguồn chưa hết hạn.TTL cấu hình trong công việc tải nội dung đã hết hạn.TTL được cấu hình cho các đối tượng đã hết hạn.

2. Nếu đối tượng không hợp lệ, Forefront TMG 2010 kiểm tra các quy tắc Web Chaining.

3. Nếu một quy tắc Web Chaining phù hợp với yêu cầu, Forefront TMG 2010 thực hiện các hành động quy định cụ thể các quy tắc Web Chaining; ví dụ, tuyến đường yêu cầu trực tiếp đến một máy chủ Web quy định, một proxy, một máy chủ thay thế quy định.

4. Nếu các quy tắc Web Chaining được cấu hình để định tuyến yêu cầu đến một máy chủ Web, Forefront TMG 2010 xác định xem máy chủ Web có thể truy cập.

5. Nếu máy chủ Web không thể truy cập, Forefront TMG 2010 xác định liệu bộ nhớ cache đã được cấu hình để trở về các đối tượng hết hạn. Nếu bộ nhớ cache đã được cấu hình để cho phép Forefront TMG 2010 để trả về một đối tượng hết hạn miễn là tối đa cụ thể hết hạn thời gian đã không được thông qua, đối tượng được trả về từ bộ nhớ cache cho người dùng cuối.

6. Nếu máy chủ Web có sẵn, Forefront TMG 2010 xác định xem đối tượng có thể được lưu trữ tùy thuộc vào việc các quy tắc bộ nhớ cache được thiết lập để bộ nhớ cache phản ứng. Nếu có, Forefront TMG 2010 lưu trữ các đối tượng và trả về đối tượng cho người dùng cuối.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

19.MALWARE INSPECTION

19.1. Tìm hiểu về Inspection Malware trong TMG

TMG Malware Inspection được thiết kế để phát hiện và ngăn chặn các bit độc hại trong HTTP được gửi cho khách hàng trong các mạng được bảo vệ trước khi các bit độc hại này có thể truy cập máy tính người dùng không nghi ngờ và lây lang thiệt hại không thể khắc phục.

Hình II.19.1.1 Web Filters tab

Vị trí của các bộ lọc trong các thiết lập bộ lọc Web là rất quan trọng. Bạn không nên thay đổi thứ tự các bộ lọc mà không có hướng dẫn cụ thể của Microsoft.

Hình II.19.1.2 Malware Inspection Filter properties dialog





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Các mục tiêu chính của Malware Inspection TMG là:

Giảm thiểu các mối đe dọa đối với Web có nguồn gốc malware Cung cấp chính sách malware cho các host trong mạng được bảo vệ TMG Giảm thiểu các tác động trên TMG Cung cấp một cơ chế đáng tin cậy và linh hoạt

Để cung cấp sự linh hoạt tối đa, Malware Inspection có thể được kích hoạt trên toàn cầu hoặc trên một quy tắc, nguồn, hoặc cơ sở đích. Bằng cách kết hợp các khía cạnh này với người sử dụng và quy định trong các quy tắc của trang web truy cập, thậm chí bạn có thể quyết định người dùng có thể có lợi hoặc miễn Malware Inspection.

Ngoài ra, bạn có thể thực hiện kiểm soát chi tiết hơn bằng cách xác định kích cỡ, kiểu, lưu trữ chiều sâu, và các tập tin được quét cũng như bất kỳ tập tin nào mà bộ lọc xác định Malware không có thể được quét sạch.

Báo cáo Specificly để Inspection Malware đến bạn một cách nhanh chóng và có thể dễ dàng xác định những mối đe dọa người dùng của bạn có thể là đối tượng cũng như tác động của các mối đe dọa này.

Hình II.19.1.3 Ví dụ về Malware Inspection





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

19.2. Các tùy chỉnh trong Malware Inspection

19.2.1. Inspection Settings

Để truy cập vào tùy chọn này, mở cửa sổ inspection malware sử dụng các bước từ 3 đến 5 trong thủ tục trước và nhấp vào Cài đặt giám sát. Hình II.19.2.1.1 cho thấy các tùy chọn được cung cấp.

Hình II.19.2.1.1 Malware Inspection Settings

Các tùy chọn sau có sẵn trong cửa sổ này:

Attempt To Clean Infected Files TMG sẽ cố gắng để làm sạch một tập tin bị nhiễm và nếu hành động này bị lỗi, TMG sẽ trình bày một trang HTML gửi đến người sử dụng cuối cùng và nói rằng tập tin đã bị chặn bởi vì nó đã bị nhiễm.

Block Files With Low And Medium Severity Threats (Higher Level Threats Are Blocked Automatically) Theo mặc định TMG khoá các mối đe dọa khi kiểm tra các phần mềm độc hại. Bằng cách chọn tùy chọn này, bạn cũng làm giảm thiểu được mối đe doạ được coi là ảnh hưởng thấp hoặc trung bình.

Block Suspicious Files tập tin được quét và bị nghi ngờ bị nhiễm sẽ bị chặn đứng khi tùy chọn này được chọn. TMG sẽ phân loại một tập tin là đáng ngờ khi nó không tìm thấy malware cụ thể nhưng kết quả kiểm tra chỉ ra rằng tập tin này có thể bị nhiễm.

Block Corrupted Files Nếu TMG xác định rằng một tập tin được quét là hỏng, TMG sẽ chặn nó.

Block Files That Cannot Be Scanned bật tùy chọn này nếu bạn muốn TMG chặn các tập tin không thể đ quét. Một ví dụ của một tập tin rằng TMG không có thể quét là một kho lưu trữ mật khẩu bảo vệ. Bởi vì các nội dung tập tin không thể được truy cập mà không có mật khẩu, TMG không có thể quét các tập tin





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

malware. Lựa chọn tùy chọn này có thể tạo ra một số hành động ngăn chặn sai cho nội dung nếu không hợp pháp. Tùy chọn này bị vô hiệu hóa theo mặc định vì lý do này.

Block Encrypted Files Chặn tập tin được mã hóa với mật khẩu bảo vệ lưu trữ, TMG không có khả năng quét các tập tin nó không thể giải mã.

Block Files If Scanning Time Exceeds (Seconds) Để tối ưu hóa người dùng cuối, TMG cho phép bạn cấu hình một thời gian chờ để quét tập tin. Giá trị mặc định là 300 giây (5 phút).

Block Files If Archive Depth Level Exceeds Tùy chọn này là một cách cho người dùng cao cấp hoặc những trang web độc hại để trốn tránh, gây ra điều kiện tràn để quét các cơ chế. Tùy chọn này cho phép bạn giảm thiểu những nỗ lực đó bằng cách thiết lập một mức độ lưu trữ độ sâu tối đa TMG sẽ tìm kiếm trước khi ngăn chặn các tập tin.

Block Files Larger Than (MB) Theo mặc định TMG khoá các tập tin lớn hơn 1.000 MB (1 GB). Thiết lập mặc định này sẽ giúp làm giảm ảnh hưởng đến hiệu suất và thời gian quét file lớn.

Block Archive Files If Unpacked Content Is Larger Than (MB) TMG sẽ giải nén tập tin lưu trữ để các nội dung có thể được quét. Để hạn chế tác động thực hiện TMG, bạn nên giữ giá trị này thấp. Theo mặc định, giới hạn này là 4.095 MB (4 GB).

19.2.2. Content Delivery

Hình II.19.2.2.1 Content Delivery tab trong Malware Inspection

Phương pháp này sử dụng giao gói tin chậm cho người dùng để giữ kết nối còn sống và do đó tránh sự thất bại ứng dụng.Phương pháp khác có sẵn cho phân phối nội dung được gọi là nhanh nhỏ giọt. Nếu bạn chọn phương pháp này TMG gửi dữ liệu cho người dùng càng nhanh càng tốt, nhưng trong phần cuối cùng của chuyển giao dữ liệu được





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

tổ chức cho đến khi TMG hoàn thành quá trình quét. Bạn cũng có thể xác định loại nội dung sẽ được loại trừ từ Malware Inspection.

19.2.3. Storage

Khi TMG kiểm tra một tập tin thì tạm thời lưu trữ tập tin này trong %systemroot%\temp\ScanStorage là thư mục mặc định. Bạn có thể thay đổi rằng cài đặt bằng cách sử dụng các tab lưu trữ, như thể hiện trong hình II.19.2.3.1.

Hình II.19.2.3.1 Storage tab trong Malware Inspection

19.2.4. Update Configuration

Theo mặc định, TMG sẽ kiểm tra và cài đặt các bản cập nhật mới tự động, đó là lựa chọn được đề nghị. Bạn có thể sử dụng trình đơn thả xuống để thay đổi các thiết lập. Ngoài ra để mặc định, các tùy chọn có sẵn là:

Only Check For Updates Tùy chọn này sẽ không cài đặt mới cập nhật, nó chỉ kiểm tra và thông báo rằng bản cập nhật mới có sẵn.

Do Nothing Automatically quản trị viên có thể tự kiểm tra các bản cập nhật mới.

Các tùy chọn tự động được 15 phút, 30 phút, 45 phút, 1 giờ, hoặc 4 giờ. Đề nghị là để lại mặc định (15 phút) để đảm bảo rằng TMG có chữ ký mới nhất.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.19.2.4.1 Defination Updates tab trong Malware Inspection

19.2.5. License

Để nhận được các định nghĩa mới thông qua dịch vụ cập nhật, bạn cần phải có một đăng ký hợp lệ với Microsoft. Bằng cách nhấn vào License Details tab, bạn có thể xác minh giấy phép và ngày hết hạn của nó, như thể hiện trong hình II.19.2.5.1.

Hình II.19.2.5.1 Malware Inspection License Detail tab





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

19.3. URL Filtering

19.3.1. How URL Filtering Works

URL filtering chính sách điều khiển truy cập các trang Web được dựa trên các thành viên loại URL. Không giống như các chính sách dựa trên bộ tên miền hoặc bộ URL, tính năng này hoạt động tự động. Các trang web được phân loại theo các Microsoft Reputation Service (MRS) được đăng Microsoft Update (MU) và tải về từ MU bởi TMG. MRS tập hợp dữ liệu từ nhiều nhà cung cấp và sử dụng từ xa để cải thiện tính chính xác của dữ liệu. Hình II.19.3.1.1 cho thấy mối quan hệ giữa hành động filtering URL và cập nhật.

Hình II.19.3.1.1 URL Filtering decision flow

Các bước sau đây cung cấp một cái nhìn tổng quan filtering URL:

1. Người dùng sẽ gửi một yêu cầu một trang web.2. TMG chặn các yêu cầu và xác định việc phân loại URL là cần thiết. TMG cần phải

xác định loại URL này được cho phép hoặc từ chối lưu lượng truy cập dựa trên các quy tắc có sẵn.

3. Nếu phân loại URL là cần thiết, độ phân giải tên được thực hiện cho URL và URL được kết hợp với một danh mục cụ thể.

4. Khi phân loại URL không cần thiết, TMG đánh dấu yêu cầu không phân loại và các bản ghi danh mục đó để được sử dụng trong trường hợp cần phải gửi một từ chối cho người sử dụng.

5. Các quy tắc cho phép các yêu cầu sau đó được phù hợp và TMG xác định liệu quy định cho phép hoặc từ chối.

6. Một yêu cầu được đánh dấu không phân loại bị chặn lại và từ chối được gửi cho người sử dụng, nếu không, nguyên tắc xác minh các thể loại phù hợp và sau đó





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

TMG cho phép hoặc từ chối hành động dựa vào việc quy định cho phép danh mục đó. Biểu đồ hiển thị trong hình 116 cũng mô tả dòng chảy quyết định tương tự cho TMG, như được thảo luận trong các bước trước khi khi nhận được yêu cầu từ khách hàng để truy cập một trang web.

Hình II.19.3.1.2 Biểu đồ xử lý của URL filtering

Để hiểu làm thế nào filtering URL, chúng ta hãy xem xét các kịch bản mẫu sau đây:

Một khách hàng trong mạng nội bộ sẽ gửi một yêu cầu một trang web với http://www.fabrikam.com/patha/pathb URL TMG. Khi nhận được URL này, TMG cần để





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

xác định loại URL này để cho phép hoặc từ chối theo các quy tắc chính sách truy cập. Để làm như vậy, TMG cắt giảm URL này vào các bộ phận được gọi là các biến thể trong thuật ngữ của MRS. Các biến thể cho URL này sẽ là:

Com fabrikam.com www.fabrikam.com www.fabrikam.com/patha www.fabrikam.com/patha/pathb

TMG sẽ gửi danh sách các biến thể MRS để xác định tên tuổi của chúng. MRS trả lời TMG với phản ứng sau đây:

Com unknown fabrikam.com “general business” www.fabrikam.com unknown www.fabrikam.com/patha “phishing” (Not inherited) www.fabrikam.com/somepath/pathb “anonymizer”

Trong phản ứng trước, không thừa kếcó nghĩa là xác định cho http://www.fabrikam.com/patha không được thừa kế Subpath như http://www.fabrikam.com/patha/pathb

Dựa trên những phản ứng, TMG biết rằng hai loại có thể áp dụng cho URL này:

General business Anonymizer

Trong ví dụ này, chúng ta có thể xem xét loại Anonymizer có thể là thể loại quan trọng nhất, có nghĩa là thể loại mà một quản trị viên có thể muốn chặn truy cập vào. Các thể loại URL thông tin thu được từ MRS sau đó được sử dụng tại các địa điểm khác nhau trong TMG như sau:

Firewall rules - Cho phép hoặc từ chối theo các thể loạiWeb Proxy Log - loại Đăng nhập này được viết trong nhật ký cho mỗi yêu cầu (sẽ được sử dụng để báo cáo)Enterprise Malware Protection (EMP) - danh sách loại trừ Danh sách loại trừ HTTPS (Ví dụ, chúng tôi không muốn kiểm tra các trang web thuộc về thể loại tài chính)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

19.3.2. Các thành phần Tham gia trong URL Filtering

Phân loại URL chỉ được gọi nếu cả hai điều kiện sau đây được đáp ứng:

URL Filtering được kích hoạt Thể loại được yêu cầu bởi các quy tắc chính sách hoặc log

URL filtering hoạt động như một phần của dịch vụ Microsoft Firewall (wspsrv exe). Thành phần categorizer có một vai trò quan trọng trong toàn bộ quá trình URL filtering, bởi vì nó là chịu trách nhiệm về tương tác với các thành phần cốt lõi TMG tham gia vào quá trình này (rules engine, malware protection exception, HTTPS exception, category query, and deny page). Các thành phần khác đóng một vai trò quan trọng trong quá trình phân loại là MRS categorizer, tập hợp thông tin từ các dịch vụ MRS cung cấp bởi Microsoft sử dụng Windows Web Services API (WWSAPI) thông qua các cuộc gọi đến WinHTTP.

Hình II.19.3.2.1 cho thấy một sơ đồ với các thành phần này.

Hình II.19.3.2.1 Các thành phần bị ảnh hưởng bởi URL filtering





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

19.4. E-Mail Protection

Cách SMTP Protection làm việc trong TMG

TMG SMTP bảo vệ dựa trên ba cơ chế:

Exchange 2007 SPAM protection Exchange 2007 cung cấp khả năng lọc mạnh mẽ, chẳng hạn như kết nối lọc, lọc người gửi, người nhận và người gửi ID. Mặc dù các tính năng này khá hiệu quả nhưng thiếu sót trong việc phát hiện phần mềm độc hại.

Forefront Protection 2010 for Exchange Server Forefront Exchange Server 2010 mở rộng cho Exchange Server 2007 khả năng lọc E-mail bằng cách thêm phần mềm bảo vệ độc hại tăng cường thông qua việc sử dụng các công cụ chống phần mềm độc hại.

TMG SMTP filter and centralized management ứng dụng bộ lọc SMTP xác nhận cuộc hội thoại SMTP bằng cách xác nhận các hành động SMTP chống lại một danh sách được xác định trước và các giao thức SMTP. TMG cũng cung cấp một nơi để quản lý các tính năng bảo vệ E-mail trong Exchange 2007 như chống thư rác, bảo vệ và chống virus.

Các bước sau đây phác thảo các dòng thư cơ bản thông qua Bảo vệ TMG SMTP cho một hành động "sạch".

Hình II.19.4.1. Các bước kiểm tra E-Mail với TMG

1. E-mail mang phần mềm độc hại được nhận tại TMG, tình trạng SMTP được xác nhận.

2. E-mail được chuyển tiếp sang Exchange Server 2007 trên máy tính địa phương.3. Phần mềm độc hại được phân lập từ e-mail.4. Làm sạch E-mail được gửi trở lại TMG.5. Làm sạch E-mail được chuyển tiếp đến máy chủ SMTP nhận, SMTP một lần nữa

được xác nhận.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Trong Exchange Server, các luồng mail hoạt động như thể hiện trong hình II.19.4.2 và mô tả trong các bước sau đây.

Hình II.19.4.2 Các bước kiểm tra E-mail

1. E-mail mang phần mềm độc hại được nhận bởi Exchange 2007.2. E-mail được gửi đến Forefront Protection 2010 for Exchange Server.3. Forefront Protection 2010 for Exchange Server cô lập các phần mềm độc hại từ

các E-mail.4. Làm sạch E-mail được gửi trở lại sang Exchange Server 2007.5. Làm sạch E-mail được chuyển tiếp đến máy chủ SMTP nhận.

Khi được triển khai với vai trò Edge Exchange 2007, TMG kết hợp Exchange 2007 và Forefront Protection 2010 for Exchange Server để cung cấp vận chuyển E-mail an toàn hơn rất nhiều hơn so với ISA Server 2006.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

20.HTTP AND HTTPS INSPECTION TRONG ỨNG DỤNG LỌC WEB PROXY

Hình II.20.1 Kiến trúc TMG

Hình II.20.2 Web Proxy Engine





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

21.PUBLISHING SERVERS

21.1. Làm thế nào để Publish một máy chủ Web?

Hình II.21.1.1 Sơ đồ mạng Contoso

Hình II.21.1.2 Bảng mô tả máy chủ web

21.2. Publishing a Web Server Using HTTPS

Phần thứ hai của yêu cầu Contoso cho việc publish các máy chủ web là làm cho biên chếhệ thống có sẵn cho người dùng bên ngoài thông qua TMG sử dụng mã hóa.Để đáp ứng yêu cầu này bạn cần để có được một giấy chứng nhận và cài đặt nó trên TMG để bạn có thể kết hợp chứng chỉ này với người nghe Web sẽ được sử dụng cho quy tắc publish máy chủ Web.Giấy chứng nhận có thể được phát hành bởi một Certificate Authority nội bộ (CA) hoặc bởi một CA thương mại bên ngoài.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Trước khi chúng ta bắt đầu cấu hình các quy tắc publish HTTPS, bạn cần phải:

Có được một chứng chỉ từ một CA bên trong hoặc bên ngoài. Cài đặt chứng chỉ mà người nghe Web của TMG sẽ sử dụng máy tính địa phương

của TMG giấy chứng nhận lưu trữ. Bạn cần phải làm cho chắc chắn rằng bạn có giấy chứng nhận với một khóa riêng.

Nếu máy tính TMG không tin tưởng gốc (và trung cấp nếu có) CA, bạn cần để cài đặt các chuỗi Giấy chứng nhận cho CA gốc trong máy tính địa phương của TMG máy tính Trusted Root Store. Đối với kịch bản này cụ thể, cả hai đều có thể chất nằm trong thư mục C:\certs thư mục trên TMG-chứng chỉ sẽ được sử dụng trong người nghe Web của TMG (biên chế. Pfx) có chứa khóa riêng và CA gốc Giấy chứng nhận (rootca. CER).

21.3. Installing Certificates on TMG

1. Trên máy tính TMG Server, click Start, gõ mmc, và sau đó nhấn Enter hoặc click OK. Một hộp thoại MMC tương tự như Hình II.21.3.1.

Hình II.21.3.1 Hộp thoại MMC

2. Nhấp vào trình đơn File và sau đó nhấp vào Add/Remove Snap-in hoặc nhấn Ctrl+M.3. Theo Snap-in có sẵn, bấm vào giấy chứng nhận và sau đó nhấn Add như thể hiện

trong hình II.21.3.2.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.3.2 Thêm Certificates Snap-in vào MMC

4. Chọn tài khoản máy tính và sau đó kích Next, như thể hiện trong hình II.21.3.3.

Hình II.21.3.3 Quản lý Certificates bằng Computer account

5. Click vào máy tính local computer và sau đó nhấn Finish, như thể hiện trong hình II.21.3.4.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.3.4 Lựa chọn nơi quản lý Certificates (local computer)

6. Kích OK trong hộp thoại Add Or Remove Snap-in, như thể hiện trong hình II.21.3.5.

Hình II.21.3.5 Add Certificates

7. Mở rộng Certificates (Local Computer), sau đó mở rộng cá nhân, và sau đó mở rộng Giấy chứng nhận. Kích chuột phải vào nút Certificates, chọn All Tasks, và sau đó chọn Yêu cầu Giấy chứng nhận mới như thể hiện trong hình II.21.3.6.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.3.6 Tạo mới Certificate

8. Hộp thoại Welcome to the Certificate Import Wizard xuất hiện. Nhấn Next.9. File Import, loại vị trí nơi mà giấy chứng nhận có vị trí như thể hiện trong hình

II.21.3.7 và kích Next.

Hình II.21.3.7 Hộp thoại chọn Import Certificate

10. Trên trang Password, gõ mật khẩu được cung cấp bởi các tổ chức phát hành này giấy chứng nhận như trong hình II.21.3.8 và kích Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình 6 II.21.3.8 Tạo Private key

11. Trên trang Certificate Store xác nhận vị trí đó là cá nhân, như trong Hình II.21.3.9. Nhấn Next.

Hình II.21.3.9 Chọn nơi lưu Certificate

12. Các Hoàn thành Giấy chứng nhận trang Import Wizard sẽ xuất hiện với một bản tóm tắt lựa chọn của bạn. Xem lại các trang và nhấn Finish.

Tại thời điểm này, giấy chứng nhận được cài đặt trong cửa hàng máy tính địa phương của TMG và snap- sẽ hiển thị các chứng chỉ mới trong khung bên phải. Để xác nhận rằng chứng chỉ này là hợp lệ, kích chuột phải vào nó và chọn Open. Nếu chứng chỉ này được ban hành dựa trên một mẫu CNG, lỗi TMG sẽ chỉ ra một loại khóa không chính xác, như thể hiện trong hình II.21.3.10.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.3.10 Lỗi khóa không chính xác

Để giải quyết vấn đề này, bạn cần để có được một giấy chứng nhận xác thực máy chủ cấp từ Windows 2000 hoặc Windows 2003 mẫu và cài đặt nó trên tất cả các máy tính TMG như được mô tả trước đó. Khi điều này được thực hiện, và giấy chứng nhận hợp lệ được lựa chọn, giấy chứng nhận lựa chọn trang sẽ xuất hiện như trong hình II.21.3.11.

Hình II.21.3.11 Chứng chỉ hợp lệ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu hình TMG của bạn sẽ được sẵn sàng cho bước tiếp theo, mà là để tạo ra một Web nghe cho HTTPS sử dụng giấy chứng nhận (pfx) được nhập khẩu. Tuy nhiên, trước khi chúng tôi di chuyển trên, điều quan trọng là đề cập đến một vài khuyến nghị về các chứng chỉ:

Nếu bạn có một mảng với nhiều nút, bạn cần phải thực hiện các thủ tục trên tất cả các các nút. Nếu không, bạn sẽ không thể tạo người nghe cho HTTPS trừ khi bạn cóchỉ có một địa chỉ IP bên ngoài trên tất cả các nút và bạn đã chọn toàn bộ địa chỉ IP trên người nghe.Nếu bạn có bất kỳ thiết bị giao thông lọc giữa TMG và các gốc URL CA CRL, bạn cần để đảm bảo rằng thiết bị này cho phép kết nối vào cổng 80 với điểm đến để TMG có thể xác nhận các CRL (Thu hồi Giấy chứng nhận Danh sách).

21.4. Creating an https Web Listener

Thực hiện theo các bước sau để tạo ra một Web listener mới TMG sử dụng HTTPS:

1. Trên máy tính TMG, mở Forefront TMG Management Console.2. Click vào Forefront TMG (mảng Name) trong khung bên trái và nhấp vào Firewall

Policy.3. Trong cửa sổ bên phải bấm vào tab Toolbox, kích chuột phải vào Web Listener

thuộc mạng Đối tượng, và sau đó nhấp vào New Web Listener như thể hiện trong hình II.21.4.1.

Hình II.21.4.1 Tạo mới Web Listener

4. Trang web Wizard Listener mới xuất hiện. Nhập tên cho Web listener này và kích Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5. Để lựa chọn tùy chọn mặc định (SSL), như thể hiện trong hình II.21.4.2, và kích Next.

Hình II.21.4.2 Chọn SSL cho Web Listener

6. Trên trang Web Listener địa chỉ IP, chọn bên ngoài như thể hiện trong hình II.21.4.3 và click Next.

Hình II.21.4.3 Chọn Interface cho Web Listerner

7. Trên trang Listener Giấy chứng nhận SSL, nhấp vào Chọn Giấy chứng nhận, giấy chứng nhận cho nghe này, và sau đó nhấp vào Chọn như trong hình II.21.4.4.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.4.4 Chọn chứng chỉ sử dụng cho web listener

8. Trên trang Listener SSL Giấy chứng nhận, xác nhận rằng chứng chỉ được chọn xuất hiện như thể hiện trong hình II.21.4.5 và kích Next.

Hình II.21.4.5 Cấp chứng chỉ cho Web Listener





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

9. Trên trang Cài đặt xác thực, chọn xác thực Form HTML từ hộp thả xuống. Để lại các tùy chọn khác tại các lựa chọn mặc định, như hình II.21.4.6, và nhấn Next.

Hình II.21.4.6 Cấu hình phương pháp chứng thực

10. Với mục đích của ví dụ này vô hiệu hóa SSO cài đặt, như thể hiện trong hình II.21.4.7. Nhấn Next.

Hình II.21.4.7 Tắt chức năng SS0





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

11. Trên các Hoàn thành trang web Hướng dẫn mới Listener, xem xét các lựa chọn nhưthể hiện trong hình II.21.4.8. Nhấn Finish và sau đó nhấn Apply để xác nhận thay đổi.

Hình II.21.4.8 Hoàn tất quá trình cài đặt

21.5. Creating a Secure Web publishing rule

Thực hiện theo các bước sau để tạo ra một quy tắc Web Publishing an toàn trên TMG bằng cách sử dụng người nghe tạo ra trước đó:

1. Mở rộng Forefront TMG (mảng Name) trong khung bên trái.2. Kích chuột phải vào Firewall Policy, chọn New, và nhấn vào Web Site Publishing Rule

như thể hiện trong Hình II.21.5.1.

Hình II.21.5.1 Tạo mới Web Publishing Rule

3. Welcome To trang Web Publishing Rule Wizard xuất hiện. Nhập tên cho nguyên tắc này publish và kích Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4. Trên trang Select Rule Action, để lại lựa chọn mặc định (Cho phép) như thể hiện trong Hình II.21.5.2 và kích Next.

Hình II.21.5.2 Chọn hành động cho rule

5. Trên trang Loại publish, để lại các tùy chọn mặc định như thể hiện trong hình II.21.5.3 và nhấn Next.

Hình II.21.5.3 Chọn kiểu publish

6. Trên trang Server bảo mật kết nối, bạn chỉ định xem TMG sẽ sử dụng SSL kết nối đến máy chủ Web được công bố. Đối với quy tắc này, để lại các tùy chọn mặc định như thể hiện trong Hình II.21.5.4 và kích Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.21.5.4 Chọn cách thức bảo mật

7. Trên trang Internal Publishing Details, gõ tên trang web nội bộ và kích Next.

Tên mà bạn chỉ định trên trang này phải phù hợp với tên chủ đề hoặc một trong San ghi trong Giấy chứng nhận được cài đặt trong các máy chủ Web mục tiêu.

8. Đối với các trang web mà chúng tôi được publish, mục tiêu là cho phép truy cập tất cả nội dung bên trong các máy chủ Web. Vì vậy, con đường nên được /* như trong hình II.21.5.5. Nhấn Next.

Hình II.21.5.5 Đường dẫn đến thư mục publish





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

9. Trên trang Thông tin chi tiết Tên công cộng, bạn cần phải chỉ định tên mà client từ xa sẽ sử dụng nối với máy chủ publish. Gõ vào payroll.contoso.com, rời khỏitùy chọn như mặc định như thể hiện trong hình II.21.5.6, và kích Next.

Hình II.21.5.6 Tạo publish name cho rule

10. Trên trang Select Web Listener, chọn HTTPS Listener (Web Listener That Was Tạo Trước đây) từ Web Listener danh sách thả xuống, như thể hiện trong hình II.21.5.7. Nhấn Next.

Hình II.21.5.7 Chọn web listener





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

11. Trên trang Authentication Đoàn, nhấp vào danh sách thả xuống và chọn BasicXác thực, như trong hình II.21.5.8. Nhấn Next.

Hình II.21.5.8 Chọn phương pháp chứng thực

Các phương pháp mà bạn chọn trên trang Đoàn xác thực, hiển thị trong hình II.21.5.8, phải phù hợp với xác thực được sử dụng bởi các máy chủ web mà bạn đang có publish. đây là thông tin mà bạn cần phải thu thập trong giai đoạn lập kế hoạch.

12. Trên trang User Sets, để lại các tùy chọn mặc định để thực thi tất cả người dùng để xác thực trước khi truy cập vào máy chủ web nội bộ như thể hiện trong hình II.21.5.9. Nhấn Next để tiếp tục.

Hình II.21.5.9 Cấu hình user truy cập





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

13. Cấu hình hoàn tất public rule, tóm tắt trong những lựa chọn cho quy tắc này. Để xác nhận rằng các quy tắc publish đang làm việc đúng, bấm vào Test Rule. Nếu tất cả mọi thứ được cấu hình đúng, kết quả sẽ tương tự như những gì thể hiện trong hình II.21.5.10. Nhấn Finish và sau đó nhấn Apply để xác nhận thay đổi.

Hình II.21.5.10 Kiểm tra rule

22.REMOTE ACCESS

22.1. khái niệm VPN

VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Các giao thức VPN được sử dụng khác nhau tùy theo khả năng của VPN client và máy chủ cũng như các yêu cầu chức năng và an ninh của tổ chức.

Bởi vì các đường hầm VPN được định để được an toàn và đáng tin cậy, cung cấp mã hóa mạnh mẽ và phương pháp xác thực. Ngoài ra, nó sử dụng quản lý đường hầm để kiểm soát lưu lượng giao thông qua đường hầm. Hình II.22.1.1 minh họa mối quan hệ giữa các chức năng VPN.

Hình II.22.1.1 Kết nối VPN





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Thay đổi gần đây trong công nghệ khác nhau đã dẫn đến sự xuất hiện của một phương pháp đường hầm an toàn gọi chung là SSL-VPN. Tùy thuộc vào thiết kế sản phẩm của nhà cung cấp, họ có thể cung cấp một giải pháp VPN hạn chế hoặc hoàn toàn. Bởi vì TMG không cung cấp một giải pháp SSL-VPN, nên chúng ta thảo luận về những giao thức và các kịch bản đối với các công nghệ VPN cổ điển.

22.1.1. Tunnel types

Nói chung, các đường hầm VPN rơi vào hai chế độ hoạt động: Transport mode và Tunnel mode. Không phải tất cả các công nghệ đường hầm VPN cung cấp cả hai chế độ. Sự khác biệt chính giữa các chế độ là cách được sử dụng:

Transport mode: Chế độ này hoạt động trong bối cảnh của hai điểm đầu cuối, nghĩa là, nó không thể được sử dụng để định tuyến lưu lượng giữa hai mạng từ xa. Đây là chế độ hoạt động thường được sử dụng cho Dial-On-Demand VPN giữa người sử dụng cá nhân và một VPN Terminator.Tunnel mode: chế độ này được thiết kế để cung cấp định tuyến giữa hai mạng cũng như giữa hai điểm đầu cuối. Chế độ hoạt động này thường được sử dụng cho các kết nối VPN Site-To-Site, nơi mà mạng lưới phân chia cần phải giao tiếp. Trong chế độ này, Non-VPN Hosts trong mỗi mạng phải sử dụng thiết bị đầu cuối VPN của họ như một con đường để kết nối từ xa của đường hầm nếu họ muốn giao tiếp với nhau.

22.1.2. Protocols

Windows Server 2008 và TMG hỗ trợ ba giao thức VPN

22.1.2.1. point-to-point tunneling protocol (pptp)

PPTP được định nghĩa trong RFC 2637 và được thực hiện hai giao thức: PPTP, hoạt động trên cổng TCP 1723, và Đóng gói định tuyến chung (GRE) giao thức IP 47 (port 47). Giao thức PPTP phục vụ như các giao thức quản lý, trong khi GRE cung cấp cho đường hầm an toàn giữa máy khách và máy chủ. NAT traversal đòi hỏi một trình soạn thảo PPTP trong thiết bị NAT giữa khách hàng và máy chủ. Các kết nối PPTP bắt đầu với các khách hàng thiết lập một kết nối PPTP kênh điều khiển đến máy chủ VPN. Khách hàng xác thực đến máy chủ và họ đàm phán các khóa mã hóa được sử dụng trên các đường hầm GRE. Khách hàng thiết lập một kết nối thứ hai đến máy chủ bằng cách sử dụng GRE. Tất cả lưu lượng truy cập của khách hàng ngoại trừ các kênh điều khiển PPTP được thực hiện trong các đường hầm GRE mã hóa cho đến khi phiên kết nối kết thúc. PPTP không cung cấp chức năng đặc biệt cho NAT traversal và phụ thuộc vào trí thông minh (hoặc thiếu của nó) trong các thiết bị NAT giữa khách hàng và máy chủ để xử lý điều này đúng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

22.1.2.2. Layer-two tunneling protocol Over Ipsec (L2tp/Ipsec)

L2TP được mô tả trong RFC 2661 và hoạt động cùng với Internet Key Exchange (IKE) và IPsec để cung cấp một đường hầm an toàn. IPsec cung cấp máy cấp chứng thực và mã hóa bằng cách sử dụng giao thức IP 50 (ESP) hoặc giao thức IP 51 (Authentication Header, hoặc AH), trong khi L2TP cung cấp quản lý đường hầm qua cổng UDP 1701. IPsec bảo vệ các đường hầm giao thông. NAT traversal được thực hiện thông qua việc sử dụng IPsec NAT-T, hoạt động có sử dụng UDP 500 và 4500. Đối với bình thường (không NAT) phiên L2TP/IPsec, khách hàng thiết lập một kết nối đến máy chủ bằng cách sử dụng UDP port 500. Các khách hàng và trao đổi các phím mã hóa máy chủ sử dụng giấy chứng nhận hoặc các phím trước khi chia sẻ. Một khi điều này được hoàn thành, khách hàng thương lượng phiên L2TP với máy chủ trong đường hầm IPsec mã hóa trên giao thức IP 50 (ESP) hoặc giao thức 51 (AH). Tất cả các giao thông giữa khách hàng và máy chủ, bao gồm cả quản lý giao thông L2TP, được thực hiện trong đường hầm IPsec. L2TP/IPsec cung cấp cho hành vi đặc biệt đối với những lần khi NAT Traversal được yêu cầu. Trong trường hợp này, khách hàng kết nối đến máy chủ VPN bằng cách sử dụng UDP cổng 500 đến thương lượng mã hóa, sau đó vượt qua L2TP và giao thông khách hàng thông qua cổng UDP 4500.

22.1.2.3. Secure Socket Tunneling Protocol (SSTP)

Giao thức này sử dụng Point-to-Point Protocol (PPP) trên HTTP, mã hóa bằng SSL. HTTP cung cấp quản lý đường hầm và đường hầm giao thông. Ưu điểm lớn nhất SSTP mang lại là khả năng của mình để sử dụng một proxy web để tiếp cận với máy chủ VPN. Đó là giá trị lưu ý rằng SSTP không có thể xác thực Web proxy, vì vậy nếu Web proxy địa phương yêu cầu xác thực, SSTP không có chức năng thông qua nó. Các khách hàng SSTP kết nối đến máy chủ VPN bằng cách thiết lập một kết nối trên cổng TCP 443, đàm phán bắt tay SSL, sau đó phát hành một yêu cầu HTTP đến máy chủ VPN chỉ ra rằng đây là một kết nối SSTP. Tất cả lưu lượng truy cập của khách hàng là thông qua thông qua đường hầm HTTPS.

22.1.2.4. Authentication

Password Authentication Protocol (PAP) Có sẵn để sử dụng trong tất cả các giao thức VPN, PAP là yếu nhất của tất cả các giao thức xác thực người dùng bởi vì người sử dụng thông tin được gửi trong văn bản gốc, có khả năng làm cho họ có sẵn để kết nối mạng. Tất nhiên, nếu đường hầm được mã hóa trước khi bắt đầu xác thực người dùng, điều này trở nên ít một vấn đề.Challenge Handshake Authentication Protocol (CHAP) CHAP sử dụng một thuật toán băm MD5 để bảo vệ các thông tin trong khi họ đang thông qua giữa khách hàng và máy chủ. Cũng giống như xác thực Digest, phương pháp xác thực yêu cầu mật khẩu người dùng trong Active Directory được lưu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

trữ bằng cách sử dụng mã hóa đảo ngược. CHAP có nhiều điểm yếu trong mạng LAN Manager (LANMAN) và NT LAN Manager (NTLM) giao thức xác thực v1.Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2) MS-CHAPv2 giải quyết nhiều trong những điểm yếu an ninh trong CHAP bằng cách mã hóa các thông tin bằng cách sử dụng một giá trị duy nhất mỗi lần như vậy các khóa mã hóa được tính, nó tạo ra một giá trị khác nhau. Điều này có hiệu quả giảm nhẹ bất kỳ mật khẩu băm dựa trên đoán các cuộc tấn công.Extensible Authentication Protocol (EAP) phương thức xác thực này là thực sự được tạo thành từ ba cơ chế xác thực khác nhau:

MD5-Challenge này là có hiệu quả giống hệt nhau để PPP-CHAP, nhưng được gửi như một EAP tin nhắn.

EAP-TLS Phương pháp này sử dụng giấy chứng nhận xác thực lẫn nhau của người gọi và máy chủ. Trao đổi giấy chứng nhận được sử dụng để đăng các tin nhắn. Điều này xác thực phương pháp là cần thiết để sử dụng thẻ thông minh cho VPN.

EAP-RADIUS Phương pháp này sử dụng một máy chủ RADIUS là cơ quan thông tin.Các thông tin thực tế được thông qua bằng cách sử dụng MD5-Challenge hoặc TLS và hài lòng thông qua một cuộc gọi đến máy chủ RADIUS quy định.

Internet Key Exchange Version 2 (IKEv2) giao thức xác thực cung cấp phương tiện cho người gọi và máy chủ để mã hóa kết nối ban đầu để tất cả các thông tin liên lạc khác có thể được gửi mà không có bất kỳ mối quan tâm rằng họ có thể được đọc ra khỏi mạng. Điều này đòi hỏi phải chia sẻ người gọi và máy chủ đáng tin cậy phổ biến CA gốc và giấy chứng nhận của họ được phát hành cho mục đích đàm phán IPsec.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

22.1.3. So sánh Công nghệ VPN

Dưới đây là hình cung cấp một so sánh của công nghệ VPN đường hầm khác nhau được hỗ trợ trong Windows Server 2008 và TMG.

Bảng II.22.1.3.1 So sánh các giao thức bảo mật VPN





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

22.1.4. Tích hợp NAP

Windows Server 2008 Network Access Protection (NAP) là một nền tảng thực thi phù hợp với yêu cầu sức khỏe máy tính để truy cập mạng. Forefront TMG tích hợp với điều đó bằng cách hành động như một máy chủ VPN, như thể hiện trong hình II.22.1.4.1.

Hình II.22.1.4.1 TMG hành động như một máy chủ VPN trong các cơ sở hạ tầng NAP

TMG vai trò quan trọng trong cơ sở hạ tầng NAP là yêu cầu các thông tin từ khách hàng VPN và gửi yêu cầu xác thực cho Network Policy Server (NPS). Nếu kết nối được chấp thuận và khách hàng là phù hợp, NPS TMG để cho phép lưu lượng truy cập từ máy chủ phù hợp với các chính sách giao thông hiện có của TMG. TMG chấp nhận kết nối và chuyển tiếp đáp ứng truy cập vào máy tính của khách hàng. Việc nâng cao được thêm vào của TMG là khả năng kiểm tra VPN giao thông và cung cấp các quy tắc truy cập để hạn chế truy cập từ khách hàng từ xa.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

23.Giới thiệu về UAG DirectAccess

DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server 2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời điểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhau mà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng công ty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cung cấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tài nguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thông qua kết nối Ethernet hoặc kết nối không dây 802.11.

Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải pháp này. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPN gateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bất cứ thứ gì – chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máy chủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắn sẽ tạo năng suất cho công việc.

Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên. Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ có khả năng kết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy khách DirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùng không cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bên trong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng để điều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có (available) đối với việc quản lý các máy tính được kết nối thông qua DirectAccess.

Hình II.23.1 Forefront UAG Directaccess Server

23.1. DirectAccess làm việc như thế nào?

Cùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp một số công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một số có





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới thì tất cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằng DirectAccess không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua.

Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất có thể triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giải pháp này tồn tại một số hạn chế so với giải pháp của UAG DirectAccess:

Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùng liên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khả năng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng trong mạng (Network Load Balancing).Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lập nhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cách riêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình theo mảng.Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4 only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủ dạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows DirectAccess, bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008 hoặc mới hơn. Ngược lại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ IPv4 trong mạng công ty.

Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất để thực hiện điều đó là sử dụng giải pháp UAG DirectAccess.

23.2. Kết nối máy khách DirectAccess

IPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý do khiến nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này. IPv6 rõ ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quả thực là một trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên gia IPv6, giải pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết.

Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnel Ipsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel và giao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sự riêng tư.

Hai kiểu tunnel ở đây là:

Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động nhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viên miền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính và xác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

riêng cho các máy khách DirectAccess. tunnel này có kết nối hai chiều và các tác nhân quản lý trên máy khách có thể gọi đến máy chủ quản lý trên mạng công ty. Máy chủ quản lý có thể khởi tạo các kết nối đến máy khách DirectAccess khi tunnel Infrastructure tunnel được thiết lập. Máy khách DirectAccess chỉ có thể kết nối thông qua tunnel này để truy cập các máy chủ mà bạn chỉ định. tunnel này không cho phép truy cập mở đối với toàn bộ mạng nội bộ.Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập. tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện bằng chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài khoản người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ tài nguyên nào nằm trong mạng nội bộ mà họ có thẩm quyền.

Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý. Chúng ta hãy đi xem xét hai kiểu này:

End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess. Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu lượng từ máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực hoặc được mã hóa ở mức mạng.End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ được mã hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy chủ DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được chuyển qua mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc định chỉ xác thực cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa để IDS mạng và các thiết bị bảo mật khác có thể đánh giá chúng trên mạng. Điều này sẽ làm giảm một số xử lý không đáng có (overhead) liên quan đến kết nối Ipsec.

Ngoài chứng chỉ máy tính, tài khoản máy tính (NTLMv2) và xác thực tài khoản người dùng được sử dụng trong quá trình tạo các tunnel DirectAccess, bạn cũng có tùy chọn buộc người dùng phải sử dụng xác thực Smart Card để thiết lập intranet tunnel, nâng cao khả năng bảo mật cho giải pháp. Nếu xác thực bằng thẻ thông minh không đủ an toàn so với yêu cầu, bạn có thể thực thi một số chính sách trên máy khách DirectAccess bằng NAP, lúc này máy khách không đủ điều kiện sẽ bị cách ly trước khi cho phép thiết lập các tunnel infrastructure tunnel và intranet tunnel.

Một điều quan trọng cần lưu ý ở đây là kết nối End to Edge hỗ trợ tất cả các mạng, điều này không bắt buộc bạn phải có các host hỗ trợ IPv6 trong mạng nội bộ. Mặc dù vậy, nếu muốn triển khai bảo mật “end to end” với chế độ IPsec tunnel và IPsec transport thì bạn cần phải có các máy chủ Windows Server 2008 phía sau máy chủ DirectAccess. Ngoài ra,





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

bạn có thể sử dụng lẫn các kiểu kết nối End to Edge và End to End; chúng không loại trừ lẫn nhau.

Tất cả lưu lượng di chuyển giữa máy khách và máy chủ DirectAccess đều là lưu lượng IPv6. Ngụ ý ở đây là rằng, dù các máy chủ phía sau UAG DirectAccess không nhận biết IPv6 (IPv6 aware) thì các ứng dụng máy khách phải hỗ trợ giao thức này. Để đáp ứng điều đó, bạn cần đảm bảo các ứng dụng máy khách tương thích IPv6 trước khi triển khai DirectAccess.

Chúng ta cần làm rõ các thuật ngữ như “IPv6 aware”, “IPv6 capable”, “IPv6 only” và “native IPv6”. Khi nói đến các mạng “native IPv6”, chúng ta cần hiểu rằng tất cả cơ sở hạ tầng mạng ở đây (routers, DNS, DHCP,…) cũng như các máy khách và máy chủ hỗ trợ IPv6 một cách hoàn chỉnh. Ngược lại, thuật ngữ “IPv6 aware” nói đến việc không sử dụng IPv6 một cách xuyên suốt, chỉ có các ứng dụng máy khách và máy chủ có thể lợi dụng ưu điểm của các kỹ thuật chuyển tiếp IPv6 để có thể làm việc trên các mạng IPv4. Trong khi đó các mạng “IPv6 capable” có các host hỗ trợ the Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) để các tin nhắn IPv6 có thể được gửi qua mạng IPv6. Khi cài đặt UAG làm máy chủ DirectAccess, nó sẽ tự cấu hình một ISATAP router để các tin nhắn IPv6 được chuyển đi bên trong một header Ipv4 qua mạng IPv4, chính vì vậy không cần nâng cấp router và switch DNS cũng như DHCP server để làm việc với kết nối IPv6.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

III. PHÂN TÍCH NỘI DUNG ĐỀ TÀI

1. KHÁO SÁT NHU CẦU DỰ ÁN

1.1.Tình huống đề tài:

Công Ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer Technology có một trụ sở tại Q1, Tp. HCM và một trụ sở khác tại HÀ Nội với tên miền dma.vn. D.M.A chuyên:

Kinh doanh các mặt hàng thiết bị điện tử máy tínhCung cấp thiết bị máy tính cho doanh nghiệp, trường họcTư vấn hỗ trợ khách hàng qua mạng

Công ty cổ phần thương mại dịch vụ D.M.A Computer Technology đã có sẵng hạ tầng hệ thống công nghệ thông tin. Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả trong kinh doanh. Bộ phận IT đã khảo sát tổng thể và đưa ra mô hình triển khai như sau:

Hình III.1.1.1 Mô hình tổng quát công ty D.M.A Computer Technology





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.2.Mô hình mạng logic tại trụ sở

Hình III.1.2.1 Mô hình logic tại các trụ sở





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.3.Sơ đồ luận lý chi tiết

Hình III.1.3.1 Sơ đồ luận lý chi tiết tại các trụ sở

1.4.Sơ đồ tổ chức của công ty

Hình III.1.4.1 Sơ đồ tổ chức của công ty D.M.A Computer Technology





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.5.Nhu cầu của cty D.M.A:

Tăng cường bảo mật toàn diện cho hệ thống mạng doanh nghiệpHỗ trợ người dùng di động làm việc hiệu quảHỗ trợ kết nối an toàn giữa các site với vpn thông qua môi trường internetQuản lý theo dõi các loại traffic ra vào hệ thốngThiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép vào hệ thống mạngLọc và ngăn chặn spam và virus cho hệ thống emailLọc và ngăn chặn virus mailware xâm nhập vào hệ thống mạng

2. ĐỀ XUẤT GIẢI PHÁP

Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn, hiệu quả trong kinh doanh, chúng tôi xin đưa ra giải pháp nhằm đáp ứng những nhu cầu về bảo mật của cty với ms forefront tmg vì đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA), Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint. Với những tính năng ưu việt đó, ms ForeFront có thể đáp ứng được nhu cầu sau:

2.1.Các tính năng mới:

Tính năng Mô tả

Tính tương thích với Windows Server 2008, 64-bit

TMG chỉ có thể chạy trên Windows Server 2008 64-bit, do đó được thừa hưởng sử dụng tất cả những đặc tính mới của Windows 2008 như:

Active Directory - đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng trong tổ chức, cung cấp những tính năng sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng một cách tập trung.

Hyper-V (Ảo hóa và Hợp nhất) - cung cấp một nền tảng ảo hóa tin cậy cho phép khách hàng ảo hóa cơ sở hệ thống của họ và giảm bớt chi phí, công nghệ ảo hóa thế hệ mới dựa trên hypervisor dành cho máy chủ, cho phép tận dụng tối đa các khoản đầu tư phần cứng máy chủ bằng cách hợp nhất nhiều vai trò máy chủ như các máy ảo riêng biệt (VM) chạy trên một máy chủ vật lý duy nhất.

Chi nhánh và văn phòng toàn cầu - Đối với các tổ chức mở rộng phạm vi hoạt động và có các văn phòng chi nhánh phân tán về mặt địa lý, việc quản trị các nguồn tài nguyên trong hệ thống hạ tầng công nghệ thông tin phân tán và việc tối ưu hóa các kênh truyền thông có thể tạo ra





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

những thách thức lớn. Với Windows Server 2008, bạn có thể duy trì những lợi ích về mặt hiệu năng, khả năng sẵn có và hiệu suất của các dịch vụ tại văn phòng chi nhánh, giúp bạn hợp lý hóa việc triển khai, đảm bảo kết nối tin cậy và tính bảo mật cao, đồng thời hạ thấp chi phí quản lý, đồng thời khắc phục được một số khó khăn gắn với việc quản lý một môi trường kết hợp của văn phòng chi nhánh và văn phòng toàn cầu.

Cơ sở hạ tầng lõi - Windows Server 2008 duy trì và tăng cường các dịch vụ cơ sở hạ tầng lõi, các dịch vụ này luôn là một phần của Windows Server, đem tới một nền tảng vững chắc cho doanh nghiệp của bạn: Các dịch vụ File và in ấn, Internet Information Server 7 (IIS 7.0), Domain Name System (DNS), Dynamic Host Control Protocol (DHCP), Windows Internet Name Service (WINS), Active Directory (AD), Sao lưu và Khôi phục.

Bảo mật và thực thi chính sách - Bảo vệ mạng là một trong những thách thức khó khăn nhất trong ngành CNTT ngày nay. Quản trị mạng cần thiết lập và thực thi các chính sách bảo mật để để để đem tới khả năng bảo vệ chắc chắn, đồng thời đủ linh hoạt để đáp ứng các nhu cầu kết nối khi số lượng người dùng bên trong và bên ngoài tổ chức, số loại thiết bị, cấu hình hệ thống và hình thức kết nối mạng ngày càng tăng. Bên cạnh nhiều tính năng nâng cao đối với Active Directory giúp quản lý Nhận dạng và Truy cập hiệu quả hơn.

Quản lý máy chủ - Để quản trị một máy chủ duy nhất, Server Manager là một Microsoft Management Console (MMC) mới, đem tới các khả năng quản lý suôn sẻ và tích hợp. Trong các doanh nghiệp có quy mô lớn hơn, có thể tự động hóa việc quản lý nhiều máy chủ bằng cách sử dụng Windows PowerShell, gồm shell kiểu dòng lệnh và ngôn ngữ kịch bản mới được thiết kế đặc biệt để tự động hóa các tác vụ quản lý đối với các vai trò máy chủ, như là Internet Information Services (IIS) và Active Directory. Bất cứ tổ chức nào cũng có thể hưởng lợi từ Windows Deployment Services, Windows Performance và Reliability Monitor.

Ảo hóa trình diễn với Terminal Services - Terminal Services trong Windows Server 2008 có thể mang lại khả năng truy cập tập trung tới các ứng dụng mà không cần cung cấp một desktop đầy đủ từ xa: Đối với người dùng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

cuối, ứng dụng xuất hiện như thể đang hoạt động trên desktop tại chỗ, trong khi đó, trên thực tế, người dùng chỉ đang thao tác với phần trình diễn của ứng dụng đang chạy từ xa này. Với Terminal Services trong Windows Server 2008, tổ chức có thể cung cấp khả năng truy cập bảo mật hơn tới các ứng dụng được tập trung hóa mà không cần một mạng riêng ảo (VPN) và không cần phải mở hết các cổng không mong muốn trên trên các tường lửa. Điều này giảm bớt tính phức tạp cần thiết để cung cấp khả năng truy cập bảo mật từ xa tới các ứng dụng và dữ liệu. Trường hợp triển khai với nhiều máy chủ, các tính năng mới về cân bằng tải đem tới một phương thức đơn giản để đảm bảo hiệu năng tối ưu bằng cách mở rộng các phiên trong các nguồn tài nguyên có sẵn, chịu tải ít nhất.

Các giải pháp Nhận dạng và Truy cập của Microsoft - Việc quản lý thông tin nhận dạng của người dùng là ưu tiên hàng đầu đối với nhiều doanh nghiệp ngày nay. Mọi người cần truy cập tới nhiều hệ thống và tài nguyên trên mạng công ty, sử dụng nhiều loại thiết bị. Tuy nhiên, nhiều hệ thống trong số này không giao tiếp được với nhau, và tình trạng một người dùng có nhiều ID là khá phổ biến. Do vậy, việc quản lý các ID dự phòng này trở nên phức tạp, mất thời gian, và làm tăng thêm các rủi ro về bảo mật do lỗi gây ra.

Hiệu năng cao - Phương thức tính toán truyền thống được thực hiện dưới hình thức một ứng dụng chạy trên một máy chủ hay một workstation.Tất cả các lệnh của một ứng dụng đều được xử lý trên hệ thống cục bộ. Trong khi đó, tính toán hiệu năng cao (HPC) lại sử dụng sức mạnh xử lý của nhiều hệ thống để xử lý các lệnh của một ứng dụng. Việc phân phối khối lượng xử lý trên nhiều hệ thống sẽ giúp tăng tốc độ xử lý dữ liệu. Lợi ích và các khoản tiết kiệm chi phí của Windows Server 2008 mở rộng tới Windows HPC Server 2008 để phục vụ cho môi trường tính toán hiệu năng cao (HPC) của bạn. Windows HPC Server 2008 được xây dựng trên nền Windows Server 2008, công nghệ 64 bit và có thể mở rộng một cách hiệu quả tới hàng nghìn lõi xử lý với tính năng có sẵn để cải thiện hiệu suất, và giảm tính phức tạp của môi trường HPC. Windows HPC Server 2008 cho phép triển khai rộng rãi hơn bằng cách đem tới cho người dùng cuối những trải nghiệm phong phú và tích hợp, mở rộng từ ứng dụng máy bàn tới các cụm





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

máy, và bao gồm một bộ trọn vẹn các công cụ triển khai, quản trị và giám sát. Các công cụ này dễ triển khai, quản lý và tích hợp với hạ tầng mạng Công ty.

Tính sẵn có cao - Việc cung cấp khả năng sẵn có cao cho các ứng dụng, dịch vụ, và dữ liệu quan trọng là mục tiêu chính mang lại thành công cho hoạt động của bộ phận CNTT. Khi dịch vụ ngừng hoạt động hoặc bị trục trặc, hoạt động kinh doanh sẽ bị gián đoạn, và có thể gây ra những tổn thất đáng kể. Windows Server 2008 hỗ trợ nhiều đặc tính then chốt, sẵn có cao để giúp các tổ chức đáp ứng được những yêu cầu riêng của mình đối với các hệ thống quan trọng, như Failover Clustering, Network Load Balancing (NLB), Shadow Copy, Windows Server Backup và một công cụ mới, Windows Recovery Environment.

Ngoài Hardware TMG, cần trang bị software Antivirus, Antimalware cho hệ thống là Kaspersky Internet Security 2012.

Kaspersky Internet Security 2012 là một giải pháp bảo mật cao cấp nhất nằm trong gói bảo mật mới Kaspersky 2012 Final của Kaspersky Lab ZAO. Kaspersky Internet Security 2012 ấn tượng hơn về giao diện chương trình, chiếm ít tài nguyên hơn, cung cấp khả năng bảo vệ cao cấp chống lại virus, Trojan, spam, hacker, … Công nghệ bảo mật tiên tiến kết hợp với công nghệ điện toán đám mây đầy sáng tạo mang đến cho người dùng tốc độ nhanh hơn và hiệu quả hơn để chống lại các mối đe dọa đầy phức tạp đang ngày càng phát triển hiện nay. Các tính năng tiêu biểu:

Quét những file bị lây nhiễm Ngăn chặn những file bị nghi ngờ Ngăn chặn những file tìm thấy đã bị hỏng Ngăn chặn những file không thể scan Ngăn chặn tất cả file đã được mã hóa Ngăn chặn những file vượt quá thời gian admin qui định

cho phép quét Ngăn chặn những file có kích thước lớn do admin qui định Loại bỏ các trang web một cách linh hoạt dựa trên địa chỉ

IP, tên domain, các URL do admin định nghĩa. Kiểm soát nội dung với TMG: những sự lây nhiễm từ

malware, virus có thể gây ra chậm trễ trong việc truyền tải nội dung từ server đến client. TMG sẽ kiểm sóat nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc hại. Nếu như việc truyền tải dữ liệu từ server đến client bị chậm trễ, TMG sẽ tự động thông báo tiến trình đang quét đến client, chẳng hạn như ”Nội dung đang được kiểm tra”

Cấu hình quản Cho phép cấu hình quản lý việc truy cập web chỉ bằng 1 thao tác.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

lý truy cập web

Một trong những tính năng nổi trội của Forefront TMG 2010 so với Microsoft ISA Server là Secure Web Gateway (SWG). SWG có chức năng lọc & kiểm soát những chương trình độc hại (malware), virus, các website độc hại.. từ những phiên kết nối internet của người sử dụng trong hệ thống mạng doanh nghiệp. Ngoài ra SWG có thể áp đặt chính sách cho phép nhân viên sử dụng tài nguyên internet một cách an toàn & hiệu quả. Trên Forefront TMG 2010, SWG bao gồm 3 thành phần chính:

URL filtering - phân loại các website được biết đến vào các nhóm, để kích hoạt báo cáo toàn diện cũng như khóa một số website, hoặc website được cho phép truy cập, nguy cơ bảo mật…

Malicious code filtering - loại bỏ tất cả mã độc và không mong muốn từ việc truy cập Web.

Web application-level control - cho phép các doanh nghiệp quản lý có phương pháp và sử dụng các ứng dụng công cộng trên nền tảng Internet, như IM, Internet telephony, lưu trữ web, peer-to-peer, web conferencing, chat,…

Forefront TMG cung cấp khả năng bảo vệ toàn diện đối với những nguy cơ từ internet, lọc URL, kiểm tra mã độc, khả năng phòng chống xâm nhập đến web client.

Forefront TMG dễ dàng triển khai với doanh nghiệp với mọi quy mô.

Cải thiện tính năng báo cáo từ ISA Server bằng cách sử dụng SQL Reporting Services để tạo các báo cáo tùy chỉnh hoặc tổng hợp báo cáo.

Người quản trị viên có thể dùng Web Access Wizard cấu hình Forefront TMG áp đặt chính sách của tồ chức cho việc truy cập Web.

Forefront TMG cung cấp việc quản lý hệ thống ở cập độ enterprise, liên kết liền mạch với Active Directory dùng cho việc chứng thực, cấp quyền.

Ngăn chặn việc truy cập đến 1 địa chỉ đã được

HTTPS Inspection: bật tính năng kiểm tra các kết nối mã hóa HTTPS chống mã độc và tấn công khai thác lỗ hổng bảo mật.

Bật tính năng kiểm tra các phần mềm độc hại và theo dõi lưu _____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 149




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

định trước lượng web

Bật tính năng Web Cache

URL filtering - cho phép hoặc từ chối truy cập dựa trên loại URL (vd: ma túy, khiêu dâm, mua sắm…) Doanh nghiệp không những cấm các nhân viên trong cty truy cập những trang web độc hại mà còn bảo vệ hiệu quả năng suất làm việc của doanh nghiệp đó.

Network Inspection System (NIS): cho phép những luồn giao thông mạng được kiểm tra,ngăn chặn khai thác lổ hổng của Microsoft. Dựa trên những phân tích các giao thức, NIS có thể khóa các lớp tấn công sai trái một cách tích cực.

2.2.Những tính năng cốt lõi:

I. Server Publishing: Bảo mật truy cập đến các server trong hệ thống nội bộ


Tường lửa sẽ tạo ra những form để bạn điền vào bằng cách chứng thực theo dạng form base

Tạo ra các form được khi truy cập vào những trang Outlook Web Access dựa trên form base. Điều này tăng cường an ninh cho việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa những user không được chứng thực liên lạc đến máy chủ Outlook Web Access.

Remote access đến Terminal Services bằng SSL

Những máy tính chạy HĐH Windows Server 2003 hỗ trợ RDP thông qua SSL cho phép kết nối SSL đến Windows Server 2003 Terminal Services.

Một trong những tính năng mới được bắt đầu với Windows Server 2008 là Remote Desktop Gateway nó cho phép Remote Desktop client thành lập kết nối remote qua https với Remote Desktop Gateway nó hoạt động như là RDP qua https proxy. Remote Desktop Getway sẽ kết nối RDP client với giao thức RDP tới Remote Desktop Session Host bên trong. Đây là một tính năng tuyệt vời bởi vì https là một giao thức sử dụng rộng rãi và nó không bị chặn bởi tường lửa hoặc các thiết bị khác. Cùng với tính năng Remote DesktopWeb Access người dùng có thể kết nối đến một trang web nó cung cấp truy cập các ứng dụng được xuất bản. Để tăng cường bảo mật truy cập máy tính từ xa bạn có thể sử dụng Forefront TMG để xuất bản Remote Desktop Web Access với Remote Desktop Getway.

Thi hành các kết nối Publishing Rule cho phép người sử dụng kết nối từ xa đến





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

RPC trong Microsoft Exchange từ Microsoft Outlook và client dùng kết nối MAPI

Exchange Server bằng cách sử dụng đầy đủ chức năng outlook MAPI client thông qua Internet. Client sẽ được cấu hình để sử dụng an toàn rpc đó. Vì thế kết nối được mã hóa

RPC policy cho phép bạn khóa tất cả những kết nối không được mã hóa.

Outlook Web Access Publishing

Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs

Tạo một bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để Exchange Server của bạn

Microsoft Office SharePoint Server Publishing

Giao diện wizard mới hướng dẫn publishes nhiềuWindows SharePoint Services sites

II. Virtual Private Networking (VPN) (Hỗ trợ người dung di động và làm việc hiệu quả, Hỗ trợ kết nối an toàn giữa các site với VPN thông ra Internet).


Kết nối đến văn phòng chi nhánh bằng VPN

Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng.

Tích hợp giữa VPN với dịch vụ Microsoft Firewall

Bao gồm các chức năng đầy đủ của VPN.

Thanh lọc và kiểm tra cho VPN

VPN Client được cấu hình như một vùng mạng riêng Tạo chính sách cho các VPN client.

SecureNAT client hỗ trợ cho VPN clients kết nối đến TMG VPN server

Mở rộng hỗ trợ VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu Firewall Client cài đặt trên máy Client.

Tăng cường an ninh mạng cho công ty, buộc người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT client.

VPN Quarantine Dùng công cụ VPN quarantine trên Windows Server 2003 cho việc thanh lọc và tích hợp vào firewall policy.

Publishing VPN servers Publish IP protocols và PPTP servers.Ứng dụng bộ lọc Smart PPTP để quản lý các kết nối phức tạp.

Publish Windows Server 2003 NAT-T L2TP over IPSec





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

VPN server bằng cách sử dụng TMG 06 server publishing.

Chế độ IPSec tunnel hỗ trợ cho kết nối site-to-site VPN links

Phát triển site-to-site link dùng chế độ IPSec tunnel như giao thức VPN

III. Các tính năng quản lý


Dễ dàng sử dụng các tính năng quản lý

Bao gồm các tính năng quản lý nhằm nâng cao mức độ an ninh mạngGiao diện người dùng quen thuộc với task panes, context-sensitive Help panes, và Getting Started Wizard.

Export và import dữ liệu đã được cấu hình

Lưu dữ liệu đã được cấu hình thành file.xml và sau đó có thể import file này vào 1 server khác

Ủy quyền cho firewall administrator roles

Bạn có thể gán quyền quản lý administrative roles cho user hoặc group.

TMG Microsoft Operations Manager (MOM) Management Pack

MOM Management Pack cho phép doanh nghiệp xem sự kiện giám sát và củng cố cho các bức tường lửa hoạt động.

Mở rộng SDK Bao gồm một bộ SDK toàn diện cho việc phát triển những công cụ xây dựng trên TMG firewall, bộ nhớ đệm, và các tính năng quản lý.

Mở rộng hỗ trợ các sản phẩm khác

Cung cấp các sản phẩm, chẳng hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng và hội nhập với TMG.

IV. Monitoring and Reporting:

Giám sát và báo cáo hiệu quả hơn (Quản lý theo dõi các traffic ra vào hệ thống, Thiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm hại trái phép vào hệ thống mang, Lọc và ngăn chặn spam, virus cho hệ thống email, Lọc và ngăn chặn virus, mailware xâm nhập hệ thống mạng)


Giám sát việc đăng nhập

Xem firewall, Web Proxy, và SMTP Message Screener logsTMG Server Management hiển thị thị trực quan các mục đăng nhập giống như đang quay lại quá trình đăng nhập của người dùng.

Xây dựng truy Truy vấn các tập tin log bằng cách sử dụng trong truy vấn cơ sở





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

vấn cơ sở đăng nhập

đăng nhập.

Truy vấn cho các bản ghi thông tin chứa trong bất kỳ lĩnh vực nào được ghi trong truy vấn cơ sở đăng nhập..

Giới hạn phạm vi điều chỉnh của các truy vấn đến một khung thời gian cụ thể.

Kết quả sẽ được hiển thị trong TMG MBE Management, có thể được sao chép vào Clipboard và dán vào một ứng dụng khác cho phân tích chi tiết hơn.

Giám sát và lọc session dựa trên firewall sessions

Xem tất cả các hoạt động kết nối đến firewall. Từ việc xem một session, bạn có thể phân loại hoặc ngắt session của 1 cá nhân hoặc 1 group.

Kết nối xác thực Xác minh kết nối bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL từ TMG MBE bằng cách sử dụng kết nối xác thực. Bạn có thể cấu hình để sử dụng phương pháp đó để xác định loại kết nối: Ping, kết nối TCP đến một cổng cụ thể, hoặc HTTP GET.

Tùy biến báo cáo TMG

Tuỳ biến nâng cao tính năng cho thêm thông tin chi tiết trong firewall report

Report publishing

Cấu hình TMG báo cáo một cách tự động. Bạn có thể lưu file báo cáo này vào folder được chỉ định.Map folders hoặc file đến Web site virtual directory để người dùng có thể xem các báo cáo.

Thông báo bằng email sau khi tạo ra báo cáo

Cấu hình email, sau khi một báo cáo được hoàn thành, TMG sẽ gửi email cho bạn





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. DANH MỤC THIẾT BỊ

3.1.Danh mục các server

STT Tên máy chủ Vị trí Chức NăngHệ Điều

Hành1 AD Server intranet Máy chủ điểu khiển

miền (domain controller), đảm nhiệm chức năng làm active directory, DHCP, DNS.

Windows Server 2008 Standard editions 64-bit

2 Mail Server Dmz Máy chủ thư tín điện tử


3 Web Server Dmz Máy chủ web Windows Server 2008 Standard editions 64-bit

4 FTP Server Dmz Máy chủ chia sẻ dữ liệu


5 File server intranet Máy chủ lưu trữ và share dữ liệu nội bộ, đồng thời làm addional domain controller


6 TMG 1 Local host Tường lửa bảo vệ hệ thống


7 TMG 2 Local host Tường lửa bảo vệ hệ thống


3.2.Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG

IBM® System® x3650M3 (7945 - L2A)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình III.3.2.1 IBM® System® x3650M3 (7945 - L2A)

Model: 7945L2A Kiểu máy chủ: Rack 2U Vi xử lý: 1 x Intel® Xeon® Six Core Processor X5660, 2.80GHz, 12M L3 Bus hệ thống: Intel QuickPath Interconnect up to 6.4 GT/s Bộ nhớ: 3 x 4GB DDR3 1333 hỗ trợ ECC Ổ cứng: 300GB SEAGATE® SAVVIO® SAS2.0 6GB/S – Hot Swap Hỗ trợ raid: 0, 1, 5, 10 Ổ đĩa quang: IBM UltraSlim Enhanced SATA DVD-ROM Card mạng: Integrated dual Gigabit Ethernet (2 ports standard, plus 2 ports optional)

hỗ trợ 10BASE-T, 100BASE-TX, and 1000BASE-T, RJ45 Nguồn: 1x Power Supply 675watt HS

3.3.Bảng báo giá thiết bị

Tên thiết bị Số lượng Tổng tiền (usd) Ghi chúIBM® System® x3650M3 (7945 - L2A)

2 41848

Windows server 2008 with services pack (sp2)

2 2058

Forefront tmg 2010 enterprise edition

2 11998





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

IV. THỰC HIỆN

1. Cài đặt forefront tmg 2010

Các bước cấu hình:

Windows Server 2008 R2 Enterprise 64-bit (đã update)Chạy Preparation Tool để cài đặt các Roles & Features cần thiết cho Forefront TMG ServerCài đặt Forefront TMG 2010

Trước khi cài đặt Forefront TMG cần thực hiện update server trước để cập nhật các bản vá lỗi cần thiết.

Hình IV.1.1 Update windows server 2008 trước khi cài đặt Forefront

Sau khi update hoàn tất, chạy run preparation tool trên trang installation wizard của Forefront TMG 2010 để cài đặt các tính năng cần thiết trước khi cài Forefront TMG.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.2 Quá trình chuẩn bị hoàn tất

Trong quá trình cài đặt, Forefront TMG yêu cầu cấu khai báo internal network

Hình IV.1.3 TMG yêu cầu khai báo internal network trong quá trình cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.4 Cài đặt hoàn tất

2. Cấu hình mô hình mạng 3-Leg perimeter

Ở lần khởi động đầu tiên sau khi cài đặt, Forefront TMG yêu cầu thiết lập hệ thống mạng thông qua Getting Started Wizard. Quá trình cấu hình gồm 3 bước chính:

Cấu hình mô hình mạng thông qua templateCấu hình hệ thốngCấu hình triển khai

1. Cấu hình mô hình mạng thông qua Template

Hình IV.2.1 Getting Started Wizard – Configure network setting





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn mô hình mạng là 3-Leg perimeter theo mô hình công ty D.M.A Computer Technology

Hình IV.2.2 3-Leg Perimeter template

2. Cấu hình cho hệ thống

Hình IV.2.3 Getting Started Wizard – Configure system setting





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Định nghĩa môi trường chạy Forefront TMG là domain dma.vn

Hình IV.2.4 Định nghĩa môi trường chạy Forefront TMG là domain dma.vn

3. Định nghĩa các phương thức triển khai

Hình IV.2.5 Getting Started Wizard – Define deployment options





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Các bước triển khai trong cấu hình này bao gồm: cấu hình dịch vụ update và các tính năng bảo vệ hệ thống.

Hình IV.2.6 Cấu hình Windows Update (mặc định)

Hình IV.2.7 Cấu hình những tính năng bảo vệ hệ thống





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.2.8 Hoàn tất 3 bước cấu hình ban đầu trong Forefront TMG

Giao diện Forefront TMG

Hình IV.2.9 Giao diện Forefront TMG

3. Cấu hình các Access Rule

3.1.Web Access

Cấn hình access rule cho phép truy cập internet

Theo mặc định khi cài đặt tường lửa thành công thì tường lửa sẽ khóa truy cập internet cho đến khi người quản trị thực hiện tạo access rule cho phép truy cập.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.1.1 Tạo mới một Access rule

Hình IV.3.1.2 đặt tên cho rule mới





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.1.3 Thiết lập điều kiện cho rule là Allow

Hình IV.3.1.4 Các giao thức được áp dụng cho rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.1.5 Tùy chọn cấu hình Malware Inspection cho rule

Hình IV.3.1.6 Cấu hình source và destination network cho rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.1.7 Thêm các user áp dụng rule

Hình IV.3.1.8 Cấu hình hoàn tất, apply để lưu cấu hình trên Forefront





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3.2.DNS Query

Cấu hình thực hiện cho phép mạng nội bộ ra ngoài internet để thực hiện phân giải tên miền.

Hình IV.3.2.1 Tạo mới Access rule

Hình IV.3.2.2 Khai báo tên và xác định hành động cho rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.2.3 Chọn giao thức là DNS

Hình IV.3.2.4 Cấu hình source và destination cho rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.2.5 Xác định user được áp dụng rule

Hình IV.3.2.6 Lưu cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3.3.Malware Inspection


Bật tính năng malware inspectionUpdate Malware InspectionCấu hình Malware InspectionKiểm tra

1. Bật chức năng Malware Inspection trong TMG

Hình IV.3.3.2 Bật tính năng Malware Inspection





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2. Cấu hình và thực hiện update các engine và signature cho việc ngăn chặn malware xâm nhập vào hệ thống.

Hình IV.3.3.3 Cấu hình tự động update cho Malware Inspection

Hình IV.3.3.4 Tiến hành update chức năng Malware Inspection





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. Cấu hình Malware Inspection cho rule Access Internet

Hình IV.3.3.5 Thực hiện cấu hình trong mục Properties

Hình IV.3.3.6 Hộp thoại cấu hình Malware Inspection





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.3.7 Các tùy chọn nâng cao của Malware Inspection với Rule Setting

4. Thực hiện kiểm tra cấu hình Malware inspection với file virus mẫu download từ trang eicar.org

Hình IV.3.3.8 Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa

Forefront chặn ngay khi chúng ta download file về





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.3.9 Forefront thực hiện block chức năng download ngay khi phát hiện virus

3.4.HTTPS Inspection

Các bước thực hiện:

bật tính năng HTTPS Inspectioncài đặt chứng chỉ nhận dạng mã độckiểm tra cấu hình

1. bật tính năng HTTPs Inspection

Hình IV.3.4.1 Cấu hình tính năng HTTPs Inspection trong Task Web Access Policy





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.4.2 Bật tính năng HTTPs Inspection

2. Cài đặt chứng chỉ dùng để xác định mã độc cho HTTPS Inspection (click “Generate…” trong hộp thoại HTTPS Outboun Inspection tab Genral )

Hình IV.3.4.3 Cấu hình cài đặt chứng chỉ nhận diện mã độc





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.4.4 Cài đăt chứng chỉ

Hình IV.3.4.5 Lưu trữ chứng chỉ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.4.6 Cài đặt chứng chỉ thành công

Hình IV.3.4.7 Triển khai chứng chỉ trên domain





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.4.8 Triển khai chứng chi trên domain dma

Hình IV.3.4.9 Triển khai chứng chỉ trên domain dma thành công





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. Thực hiện kiểm tra tính năng HTTPS vừa cấu hình với trang eicar.org

Hình IV.3.4.10 Download file từ eicar.org sử dụng giao thức bảo mật

Hình 7 IV.3.4.11 IE thông báo chứng chỉ có vấn đề

Hình IV.3.4.12 Forefront block download





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3.5.Caching (tăng tốc độ truy cập web)


Bật tính năng web cachingCấu hình dung lượng lưu trữCấu hình cache ruleCấu hình Download Job

1. Bật tính năng web caching

Hình IV.3.5.1 Cấu hình Web Caching trong Web Access Policy

2. Cấu hình dung lượng lưu trữ cho cache

Hình IV.3.5.2 Cấu hình dung lượng lưu trữ cho Web Caching





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. Cấu hình cache rule

Hình IV.3.5.3 Tạo Cache rule

Hình IV.3.5.4 Cấu hình request detination cho cache





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu hình Content Retrieval là nơi lưu trữ các đối tượng được cache. Các tùy chọn này gồm:

Chỉ chứa cách phiên bản hợp lệ đã tồn tại trong cache, nếu không có sẽ gửi yêu cầu đến serverchứa tất cả các phiên bản tồn tại của đối tượng trong cache, nếu không có sẽ gửi yêu cầu lên serverChứa bất kỳ phiên bản của đối tượng đã tồn tại trong cache , nếu ko có sẽ không gửi yêu cầu lên server

Hình IV.3.5.5 Cấu hình lưu trữ các đối tượng cache

Hình IV.3.5.6 Cấu hình cache content





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4. Cấu hình Content Download Job

Hình IV.3.5.7 Đặt tên cho job

Hình IV.3.5.8 Lập lịch và thời gian download





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.5.9 Các tùy chọn download site

Hình IV.3.5.10 Các tùy chọn trong Content Caching





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình 8 IV.3.5.11 Apply để lưu cấu hình cache

Hình IV.3.5.12 Chọn lưu và khởi động lại dịch vụ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3.6.URL Filtering

1. Thực hiện disable các URL category tương ứng trong rule Access Internet.

Hình IV.3.6.1 Add các URL catergory cần disable vào mục Exceptions

Hình IV.3.6.2 Network Objects





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2. Cấu hình thuộc tính cho đối tượng “Chat” vừa disable. Trong mục URL Catalogy Override, chọn Add, nhập vào URL: vietfun.com/* và lưu cấu hình vừa tạo.

Hình IV.3.6.3 Cấu hình cấm chat trong trang vietfun.com

3.7.DMZ join Domain

Cấu hình Access Rule cho phép máy server vùng DMZ được Join vào Domain Controllers (Internal).


Tạo rule cấu hình cho phép các giao thức: DNS, LDAP, LDAP (UDP, Global Catalog), UDP (Adm/Sec/CIFS), TCP (Sec/CIFS), NTP (UDP), RPC (All Interfaces), PING. Được lưu thông giữa vùng Perimeter và Internal để các server trong vùng internal có thể join vào domain thông qua các giao thức trên.Thực hiện join các server trong vùng perimeter vào domain dma.vn

1. Tạo rule.

Hình IV.3.7.1 Tạo New Access Rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.7.2 Đặt tên cho rule

Hình IV.3.7.3 Chọn Allow trong mục rule action





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.7.4 Thêm vào các giao thức

Hình IV.3.7.5 Xác định nguồn cho rule là Perimeter





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.7.6 Đích đến là Internal

Hình IV.3.7.7 Cấu hình chứng thực user





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.7.8 Các rule đã tạo

Kiểm tra rule: cho các máy client trong vùng perimeter join vào domain

Hình IV.3.7.9 Các Client trong vùng Perimeter join domain thành công

4. Cấu hình network ispection system (NIS)


Bật tính năng NISCấu hình NIS (Network Inspection System)Giám sát NIS

1. Bật tính năng NIS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.4.1 NIS Tasks

Hình IV.4.2 Bật tính năng NIS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2. Cấu hình NIS

Hình IV.4.3 Thêm dãy địa chỉ ip cần giám sát

Hình IV.4.4 Đưa dãy địa chỉ ip vừa cấu hình vào Managerment Server





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.4.5 Cho phép NIS phản ứng lại trước những traffic bất thường

Hình IV.4.6 Lưu cấu hình vừa tạo





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3. Giám Sát NIS

Thực hiện giám sát NIS thông qua log and report

Hình IV.4.7 Logging Tasks

Hình IV.4.8 Edit Filter





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.4.9 Nhập địa chỉ IP cần giám sát

Hình IV.4.10 Dữ liệu client cần giám sát được ghi nhận bởi NIS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

5. Cấu hình kết nối vpn site to site


Tạo user chứng thực trên cả hai chi nhánhThực hiện cấu hình kết nối VPN site to siteKiểm tra cấu hình

HCM site:

1. Tạo user chứng thực trên site HCM

Hình IV.5.1 Tạo user chứng thực trên site HCM

Hình IV.5.2 Cấu hình cho phép user access từ bên ngoài





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu hình kết nối VPN trên site HCM

Hình IV.5.3 Đặt tên cho kết nối VPN

Chọn giao thức kết nối bảo mật PPTP

Hình IV.5.4 Cấu hình kết nối bảo mật PPTP





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.5.5 Cấu hình dãy địa chỉ cho client kết nối vào

Hình IV.5.6 Cấu hình remote site gateway





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.5.7 Cấu hình chứng thực user kết nối bên site HN

Hình IV.5.8 Cấu hình dãy địa chỉ ip cho kết nối VPN





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.5.9 Tạo rule kết nối

Hình IV.5.10 Cấu rule cho phép VPN client kết nối vào





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.5.11 Hoàn tất cấu hình

HN site:

Các bước cấu hình tương tự HCM site tuy nhiên cần lưu ý user chứng thực cần phải trùng với user bên HCM site đã tạo.

Hình IV.5.12 Cấu hình chứng thực kết nối

Kiểm tra kết nối VPN





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.5.14 Kiểm tra kết nối VPN từ site HN đến HCM

Hình IV.5.15 Kiểm tra kết nối từ client site HCM đến HN





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

6. Cấu hình kết nối vpn client to site

Các bước cấu hình vpn client to site:

Tạo 1 account trên DC cho Client bên ngoài kết nối vào.Cấu hình VPN Client To Site trên TMGTạo 1 kết nối Dial in trên máy Client để VPN vào.

1. Tạo user và cho phép user đăng nhập Domain từ bên ngoài vào

Hình IV.6.1 Tạo user

Hình IV.6.2 Cấu hình cho phép user vpn1 đăng nhập domain từ bên ngoài

Trong Remote Access Policy (VPN) chọn Select Access Networks _____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 204




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.6.3 Select Access Networks

Nhập vào dãy địa chỉ ip, dãy địa chỉ các máy client sẽ được cấp khi đăng nhập từ ngoài internet vào domain

Hình IV.6.4 Hộp thoại cấu hình dãy địa chỉ ip cho kết nối vpn

Bật chức năng VPN Client Access





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.6.5 Tính năng VPN Client Access

Tạo Access Rule cho phép vpn client truy cập từ ngoài vào

Hình IV.6.6 VPN client access rule





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tại máy Client ta tạo 1 kết nối ảo đến máy chủ

Hình IV.6.7 Thực hiện kết nối thông qua VPN

VPN đã được kết nối và dưới đây là thông tin của máy VPN, địa chỉ được cấp là 192.168.10.101.

Hình IV.6.8 Kiểm tra kết nối





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

7. Cấu hình Intrusion Detection


Cấu hình phát hiện tấn côngThực hiện tấn công cơ bản và xem kết quả Forefront TMG ghi nhận

1. Cấu hình phát hiện tấn công

Trong mục “Intrusion Prevention System”, chọn Config Detection Settings for Common Network Attacks.

Hình IV.7.1 Behavioral Intrusion detection

Trong mục Common Attacks, click vào ô trống “Port Scan”

Hình IV.7.2 Cấu hình phát hiện tấn công





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

2. Thực hiện tấn công với SuperScan4

Hình IV.7.3 Giao diện SuperScan4

Tiếp đến chọn nút “Play” để chương trình bắt đầu dò, Kết quả cho thấy đã tìm được 1 host là máy TMG.

Hình IV.7.4 Kết quả Scan

Ở máy TMG01 vào mục Monitoring, TMG đã phát hiện có chương trình PortScan tấn công.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.7.5 Thông tin tấn công được TMG ghi nhận

8. Bảo mật hệ điều hành với forefront client security


Cài đặt và cấu hình cho Wsus 3.0Đồng bộ hóa và xác nhận Forefront Client Security

Cài đặt gói Wsus 3.0

Hình IV.8.1 Cài đặt WSUS 3.0

Sau khi cài đặt hoàn tất, tiến hành update trong mục” update source and proxy server”





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.8.2 Update với WSUS

Chọn những gói cài đặt cần update, ở đây là windows XP và Forefront Security Client (FCS)

Hình IV.8.3 Chọn các gói update





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cho phép tự đồng bộ hóa

Hình IV.8.4 Cấu hình đồng bộ

Hình IV.8.5 Đồng bộ hóa hoàn tất

Aproved cho những update cần thiết để cài đặt FCS_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 212




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.8.6 Tiến trình approval

Duyệt thành công cho các gói Forefront Client security

Hình IV.8.7 Hoàn tất approval





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bắt đầu cài đặt FCS

Hình IV.8.8 Thực hiện cài đặt Forefront Client Security






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

9. Cấu hình forefront unifiel access gateway 2010


Cấu hình global security groupCài đặt Forefront UAGThực hiện cấu hình.

Tạo Global Security Group

Hình IV.9.1 Tạo global security group

Hình IV.9.2 Add các máy client làm member của group DMA_DA





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tiếp theo cài đặt Forefront UAG

Hình IV.9.3 Giao diện tùy chọn cài đặt Forefront UAG

Hình IV.9.4 Cài đặt UAG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.9.5 Chọn thư mục cài đặt

Hình IV.9.6 Tiến trình cài đặt UAG





Tel: (848) 6267 8999 - Fax: (848) 6283 7867


Cấu hình Directaccess trong UAG

Hình IV.9.8 Các bước triển khai cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.9.9 Khởi động cấu hình sau khi hoàn tất

Sau khi cài đặt và hoàn thành cấu hình cơ bản trong getting started wizard, chúng ta tiến hành cấu hình UAG làm directaccess server.

Bước 1: Cấu hình Client và GPO’s

Hình IV.9.10 Cấu hình Client và GPO’s





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bước 2: Cấu hình

Hình IV.9.11 Thực hiện cấu hình DirectAccess Server

Bước 3: Cấu hình Infastructure Server

Hình IV.9.12 Cấu hình Infastructure Server





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

10. Bảo mật máy chủ Exchange

Tiến hành cài đặt Forefront Security for Exchange Server

Hình IV.10.1 Giao diện cài đặt Forefront Security for Exchange

Forefront Security cho phép tích hợp với những chương trình của hãng thứ 3 (như Kaspersky, Norman, Sophos, v.v….)

Hình IV.10.2 Cài đặt các bộ Engines đi kèm





Tel: (848) 6267 8999 - Fax: (848) 6283 7867


Sau khi cài đặt ta tiến hành cấu hình bảo mật cho hệ thống

Cấu hình cách ly virus đính kèm thư

Transport scan job

Realtime scan job

Thiết lập thời gian tối đa lưu file đính kèm trong khu vực cách ly

Cấu hình lưu file sau khi quét

Cấu hình xóa file nén có mật mã

Cấu hình manual scan job

Quét các thư đã nhận

Cấu hình background scan job

Lập lịch biẻu kích hoạt background scan job

Ngăn chặn file chỉ định





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV Giao diện Forefront security for Exchange Server

11.Cấu hình ISP Redundancy (Load balancing)


Card Wan sẽ NAT trực tiếp ra mạng Internet bằng Wifi (Dùng line 1)card DMZ sẽ dùng card Bridge với Card mạng thật của máy thật (Dùng line 2)

Vào mục Networking, chọn đến tab ISP Redundancy, Click Configure ISP Redundancy.

Màn hình Welcome, Click Next

Hình IV.11.1 Cấu hình ISP redundancy





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.11.2 Chọn Load balancing with failover capability (mặc định)

Tại ISP Connection 1

Hình IV.11.3 Cấu hình IP cho ISP connection 1





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tại ISP Connection 2, đặt tên là Line2, chọn card mạng là DMZ và Next.

Hình IV.11.4 Cấu hình cho ISP connection 2

Cấu hình cho ISP Connection 2

Hình IV.11.5 Cấu hình IP cho ISP connection 2





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.11.6 Cấu hình hoàn tất

Và Rule Load Balancing đã được tạo thành công.

Hình IV.11.7 Tạo rule load balancing





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

12.Thực hiện backup và restore

Thực hiện Backup hệ thống

Trong mục Action, chọn Export Firewall Policy

Hình IV.12.1 Thực hiện export file cấu hình

Hình IV.12.2 Trang export welcome wizard





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Check vào “export confidental infomation”

Hình IV.12.3 Tùy chọn bảo vệ file cấu hình

Nhập password để bảo vệ cho file cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.12.4 Nhập password bảo vệ file cấu hình

Click Browse để chọn nơi lưu trữ file backup

Hình IV.12.5 Chọn nơi lưu file cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.12.6 Tiến trình export file cấu hình

Restore file đã Backup của hệ thống

Vào menu Action\import firewall policy… để tiến hành các bước restore file cấu hình

Hình IV.12.7 Trang import welcome wizard





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn đến nơi đang giữ file Backup

Hình IV.12.8 Chọn nơi lưu trữ file backup

Mục Import Server để mặc định và nhập Password lúc backup ở cửa sổ Enter password

Hình IV.12.9 Xác nhận mật khẩu bảo vệ file cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.12.10 Hoàn tất import file cấu hình

Hình IV.12.11 Tiến trình import file cấu hình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Giao diện Rule sau khi tạo xong.

Hình IV.12.12 Các mục cấu hình sau khi restore





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

V. ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN

1. ĐÁNH GIÁ ĐỀ TÀI

1.1.Khả năng áp dụng và mở rộng :

1.1.1. Khả năng áp dụng của Forefront:

Microsoft Forefront cung cấp toàn diện, các giải pháp end-to-end, cả hai cơ sở và trong đám mây, để giúp bảo vệ người dùng và cho phép truy cập an toàn hầu như bất cứ nơi nào. Với danh mục đầu tư tích hợp bảo vệ của chúng tôi, nhận dạng, và các sản phẩm truy cập, bạn có thể bảo vệ môi trường của bạn và quản lý truy cập trên các dữ liệu, người sử dụng, và hệ thống.

Bảo vệ nhiều lớp Forefront cung cấp giải pháp phần mềm độc hại bảo vệ hàng đầu trên toàn nhắn tin, thiết bị đầu cuối và máy chủ ứng dụng cộng tác và cạnh mạng.Forefront Endpoint Protection 2010 Các phiên bản tiếp theo của Forefront Client Security, giúp cho phép các doanh nghiệp đơn giản hóa và cải thiện bảo vệ thiết bị đầu cuối trong khi làm giảm đáng kể chi phí cơ sở hạ tầng.Forefront Protection 2010 cho Exchange Server Kết hợp nhiều cỗ máy quét từ các đối tác hàng đầu ngành công nghiệp vào một giải pháp duy nhất để phát hiện virus và spyware nhanh hơn và hiệu quả hơn các giải pháp một động cơ.Forefront Bảo vệ trực tuyến cho Exchange Cung cấp các công nghệ lớp để tích cực giúp đỡ bảo vệ các doanh nghiệp trong và ngoài e-mail từ thư rác, virus, lừa đảo phishing, và vi phạm chính sách e-mail.Forefront Protection 2010 cho SharePoint Kết hợp nhiều công cụ quét chống phần mềm độc hại từ các đối tác an ninh ngành công nghiệp hàng đầu thế giới với tập tin và từ khóa lọc để giúp cung cấp bảo vệ toàn diện chống lại các mối đe dọa mới nhất. Forefront Threat Management Cổng 2010 Cung cấp một cổng web an toàn bảo vệ người dùng từ phần mềm độc hại và các mối đe dọa dựa trên web khác.Truy cập dựa trên nhận dạng Microsoft dựa trên nhận dạng của công nghệ truy cập và các giải pháp Forefront xây dựng dựa trên cơ sở hạ tầng Active Directory để cho phép người dùng truy cập dựa trên chính sách để các ứng dụng, thiết bị, và thông tin.Microsoft Forefront Identity Manager 2010 Cung cấp một giải pháp toàn diện cho bản sắc quản lý, thông tin, và chính sách nhận dạng truy cập dựa trên môi trường không đồng nhất.Cổng Forefront truy cập hợp nhất 2010 Cung cấp truy cập toàn diện, an toàn từ xa đến các tài nguyên công ty cho nhân viên, đối tác và nhà cung cấp trên cả hai máy tính cá nhân quản lý và không được quản lý và các thiết bị di động.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Đơn giản hóa quản lý Microsoft Forefront sản phẩm bao gồm khả năng quản lý tích hợp với môi trường hiện tại của bạn để làm cho nó dễ dàng hơn để triển khai và quản lý bảo vệ doanh nghiệp của bạn và duy trì tuân thủ.Forefront Bảo vệ Server Management Console 2010 Cung cấp máy chủ quản lý đa cho Forefront Protection 2010 cho Exchange Server và 2010 Bảo vệ Forefront dành cho SharePoint. Giao diện điều khiển quản lý cung cấp một dễ sử dụng giao diện đồ họa cho máy chủ phát hiện, cấu hình triển khai, báo cáo, quản lý kiểm dịch, động cơ và triển khai cập nhật định nghĩa và hội nhập với bảo vệ Forefront trực tuyến cho Exchange.

1.1.2. Khả năng mở rộng của Forefront

cần sử dụng các công cụ Forefront TMG SDK để mở rộng các chức năng của Forefront TMG và một số thông tin mà SDK cung cấp về cách làm việc của Forefront TMG.Forefront TMG 2010 SDK gồm có các thư viện, công cụ, các mẫu và tài liệu để trợ giúp các chuyên gia phát triển và các quản trị viên hệ thống triển khai, cấu hình, tùy chỉnh, mở rộng môi trường Forefront TMG của họ.

Công cụ ADAM Sites cho Forefront TMG EnterpriseAuto Discovery ConfigurationCache DirectoryCertToolDNS CacheEE Single Server ConversionMSDEToTextRemote Access QuarantineRSA Test Authentication Nâng cấp Security Configuration Wizard (SCW) cho Forefront TMG phiên bản Standard và EnterpriseForefront TMG 2010 SDK ISASDK.CHMThư mục Samples/Admin

1.2.Khắc phục những mặt còn hạn chế

Đơn giản hóa và cải thiện Endpoint Protection:

Forefront Endpoint Protection 2010 đơn giản hóa và cải thiện bảo vệ thiết bị đầu cuối trong khi làm giảm đáng kể chi phí cơ sở hạ tầng, được xây dựng trên hệ thống Center.

Configuration Manager 2007 cung cấp cho bạn với một giao diện duy nhất cho quản lý và bảo vệ máy tính để bàn giảm độ phức tạp và cải thiện xử lý sự cố và báo cáo những hiểu biết. Cơ sở hạ tầng được chia sẻ nàycũng giúp loại bỏ các chi phí mua và duy trì một cơ sở hạ tầng bảo mật độc lập.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Các công cụ chống phần mềm độc hại trong Endpoint Protection Forefront 2010 bảo vệ chống lại các phần mềm độc hại mới nhất và rootkit với tỷ lệ dương tính giả thấp. Động cơ này đã được xếp hạng cao trong các bài kiểm tra của bên thứ ba độc lập, chẳng hạn như những người bởi AV Comparatives và VirusBulletin. Động cơ này giúp cho nhân viên của bạn sản xuất với chức năng quét có ít ảnh hưởng tới hiệu năng hệ thống.

Với các giải pháp điểm mới an ninh nhân trong cả số lượng và phức tạp, bạn sẽ nghĩ rằng các tổ chức sẽ có tất cả các bảo vệ mà họ cần. Tuy nhiên, vấn đề an ninh kinh doanh tiếp tục phát triển, do phần lớn những thách thức hoạt động điển hình bạn phải đối mặt hàng ngày, chẳng hạn như:

Tích hợp sản phẩm bảo mật của bạn để họ làm việc tốt với nhau và thúc đẩy nhau. Tích hợp sản phẩm bảo mật của bạn vào trước cơ sở hạ tầng CNTT hiện có. Quản lý và triển khai an ninh một cách đơn giản, khắp nơi, và không có những sai

lầm. Quản lý bảo mật như là một giải pháp duy nhất thay vì một bộ sưu tập các sản

phẩm khác nhau.

Forefront cung cấp cho Công ty, doanh nghiệp toàn diện các sản phẩm bảo mật có hiệu quả cao. Bằng cách tập trung các nỗ lực của chúng tôi vào các khía cạnh hội nhập và quản lý an ninh, các sản phẩm Forefront có thể giúp ngăn ngừa sai, cho phép tổ chức triển khai sản phẩm bảo mật hơn khắp nơi, và cung cấp cho bạn một cái nhìn thống nhất vào tình trạng bảo mật của mạng của bạn. Bằng cách giải quyết vấn đề hoạt động Forefront giúp làm cho mạng của bạn an toàn hơn. Cấu hình chính xác, an ninh, được triển khai, nơi nó là cần thiết, và quản lý và báo cáo được đơn giản hóa.

1.3.Hạn chế của giải pháp hiện tại:

Một số hệ số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG: Tường lửa Forefront Threat Management Gateway (TMG) 2010 là một cổng bảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng và lớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanh tra lưu lượng lớn ứng dụng, xác thực người dùng, cho phép điều khiển dựa trên danh tiếng và thanh tra truyền thông HTTPS. Các tính năng nâng cao này tiêu tốn rất nhiều tài nguyên và có thể cản trở thông lượng và làm chậm nếu hệ thống được cấu hình không đúng hoặc được kích thước không thích hợp.

1.3.1. Cấu hình phần cứng:

Trước khi bắt đầu bất cứ thảo luận nào về tường lửa TMG và hiệu suất, một điều quan trọng cần lưu ý đó là phần cứng nằm bên dưới đối với nhiệm vụ hỗ trợ của TMG trong vai trò mà nó được triển khai. Cách tốt nhất là chúng ta nên sử dụng phần cứng lớp máy chủ chất lượng cao hoặc thiết bị bảo mật chuyên dụng. Để có kết quả tốt nhất, phần cứng cần phải được kích thước đúng cách cho môi trường của nó và có lượng tải thích hợp. Tính năng thanh tra lớp ứng dụng và lớp mạng nâng cao của TMG có thể lạm dụng đáng kể tài nguyên phụ thuộc vào hệ thống, vì vậy để có được sức mạnh xử lý





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

thỏa đáng, bộ nhớ, dung lượng ổ đĩa và mạng chính là điều quan trọng mang tính nền tảng đối với sự ổn định và hiệu suất cao của giải pháp.

Việc xác định được dung lượng phần cứng yêu cầu là bao nhiêu cho một thực thi cụ thể là hết sức khó khăn, nguyên nhân là mỗi một triển khai mang tính duy nhất và có nhiều hệ số phụ thuộc. Để hỗ trợ việc xác định các yêu cầu về phần cứng, Microsoft đã giới thiệu công cụ Forefront TMG Capacity Planning Tool. Công cụ này cho phép bạn có thể nhập vào các chi tiết cụ thể về môi trường của mình còn lại nó sẽ cung cấp lời khuyên về các chi tiết kỹ thuật phần cứng bằng cách dựa trên số lượng người dùng mong đợi và băng thông mà bạn có cũng như các tính năng bảo vệ sẽ được sử dụng. Cần có một kế hoạch dư thừa đối với CPU và bộ nhớ để bảo đảm có được hiệu suất tốt nhất, đây cũng là biện pháp dự phòng trong các trường hợp cần mở rộng sau này.

1.3.2. Các dịch vụ cơ sở hạ tầng

Tường lửa TMG dựa phần lớn vào việc hỗ trợ các dịch vụ cơ sở hạ tầng để thực hiện các nhiệm vụ của nó. Hiệu suất tổng thể của giải pháp phụ thuộc vào cách các dịch vụ chẳng hạn như Active Directory và DNS hoạt động tốt như thế nào. Nếu tồn tại các vấn đề với Active Directory hay DNS sẽ không có cách nào điều khiển TMG để khắc phục được vấn đề hiệu suất. Tuy có nhiều thứ có thể đi sai lệnh đối với Active Directory hoặc DNS nhưng chúng tôi sẽ không cung cấp một danh sách toàn diện những vấn đề mà chỉ nêu một số vấn đề chung có thể làm giảm đáng kể hiệu suất của TMG đó là:

Kết nối mạng Hiệu suất có thể bị ảnh hưởng khá tiêu cực nếu tường lửa TMG không có kết nối mạng tin cậy với Active Directory hoặc DNS. TMG cần phải được kết nối tốt với các dịch vụ này; lý tưởng khi chúng được đặt trong cùng vị trí vật lý và có kết nối tốc độ gigabit. Cần bảo đảm tất cả các thiết bị trung gian như router, switch,… đều làm việc tốt và không có xuất hiện dấu hiệu lỗi.Cấu hình site Active Directory Đôi khi hiệu suất nghèo cũng có thể do tường lửa TMG thực hiện xác thực các domain controller định vị trong các vùng địa lý khác nhau. Điều này bị gây ra bởi cách cấu hình các site Active Directory không đúng. Do đó cần bảo đảm rằng các Active Directory IP subnet phải được định nghĩa đúng và site Active Directory được cấu hình có chứa các domain controller nằm cùng với tường lửa TMG.

1.3.3. Nối mạng

Ở mức thấp nhất, TMG là một tường lửa định tuyến có tác dụng phân phối dữ liệu từ một giao diện này tới giao diện khác nếu chính sách cho phép. Như vậy cấu hình mạng đóng vai trò quan trọng trong vấn đề hiệu suất của hệ thống. Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lượng cũng như hiệu suất mạng:

Tốc độ cổng và chế độ song công - Lỗi tốc độ cổng hoặc thiết lập song công (duplex) sẽ làm giảm hiệu suất mạng một cách khủng khiếp. Để hoạt động đúng, các thiết lập này phải giống như tại các kết nối. Điều đó có nghĩa rằng nếu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

bạn thực hiện cấu hình thủ công các thiết lập trên giao diện mạng của tường lửa TMG thì bạn cũng phải thực hiện thiết lập như vậy trên switch mà nó được kết nối đến. Nếu switch mà nó kết nối đến là một switch tự do, bạn cũng phải đặt các thiết lập của giao diện mạng tường lửa TMG ở chế độ auto-negotiate (tự đồng điều đình). Bạn không thể cấu hình một phía này thủ công và phía kia để tự động. Dù bất cứ tình huống nào cũng không nên sử dụng hub trong môi trường sản xuất.Cấu hình DNS/Thứ tự liên kết giao diện mạng - Đây là một trong những lỗi cấu hình hay gặp nhất và có thể gây nên tình trạng kém hiệu suất phân giải tên cũng như hiện tượng xác thực không tin cậy. Các máy chủ DNS cần được cấu hình chỉ trên giao diện mạng bên trong. Thêm vào đó, về cơ bản giao diện mạng bên trong trên nhiều tường lửa cần được cấu hình trước trong danh sách thứ tự các giao diện mạng.Các đoạn mạng được cách ly - Một ý tưởng tuyệt vời khi đặt các giao diện mạng của tường lửa TMG trong các đoạn mạng cách ly bất cứ khi nào có thể. Bằng cách này chúng ta có thể cải thiện được cả hai vấn đề hiệu suất và bảo mật, làm giảm rủi ro của kiểu tấn công ARP cache poisoning và làm cho mạng trở nên khó bị phát hiện hơn. Nếu Network Load Balancing (NLB) được kích hoạt thì điều này thậm chí còn quan trọng hơn. Mặc định, NLB sẽ quảng bá các thông tin đồng bộ để tất cả các host trên đoạn mạng có thể thấy. Các tường lửa TMG được cấu hình trong các đoạn mạng cách ly sẽ hạn chế được sự quảng bá, nó sẽ chỉ quảng bá cho các host yêu cầu nó.Cấu hình tường lửa phía sau - Tường lửa TMG không phải là một cấu hình tối ưu dưới dạng bảo mật và hiệu suất. Các host bị lộ diện trực tiếp với Internet đều được bảo vệ bằng các bộ quét và kiểm tra. Việc cấu hình tường lửa TMG như một tường lửa phía sau cho tường lả khác có thể giảm số lượng tạp nhiễu mà nó phải xử lý. Cho ví dụ, một Cisco ASA tại network edge được cấu hình cho phép chỉ các giao thức mà TMG sẽ xử lý sẽ giải phóng được rất nhiều tài nguyên để thực hiện hành động xác thực và thanh tra lưu lượng lớp ứng dụng nâng cao. Một lợi ích nữa ở đây là giảm được sự “ô nhiễm” bản ghi, làm cho dữ liệu bản ghi trở nên trong sáng và dễ hiểu hơn, dễ nhận biết các lưu lượng bất thường.Web Proxy client - Việc cấu hình các máy client làm máy Web Proxy client mang lại khá nhiều lợi ích về hiệu suất, mặc dù nhiều quản trị viên thích cấu hình SecureNAT client vì nó không yêu cầu thay đổi phần mềm client. Các máy SecureNAT client về cơ bản sẽ tiêu tốn lượng tài nguyên trên tường lửa TMG nhiều hơn so với các máy Web Proxy client vì máy Web Proxy client sẽ thiết lập ít kết nối TCP đến các bộ lắng nghe web proxy của tường lửa TMG nhằm lấy lại nội dung web hơn. Cho ví dụ, khi kết nối đến một trang web phổ biến nào đó (trong ví dụ này là espn.com), máy SecureNAT client đã thiết lập 31 kết nối TCP để hiển thị trang chính.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình V.1.3.3.1 Ví dụ về kết nối với SecureNAT Client

Trong khi đó nếu cấu hình một Web Proxy client thì chỉ có 6 kết nối TCP được yêu cầu để hiển thị cùng trang đó.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình V.1.3.3.2 Ví dụ về kết nối với Web Proxy Client

Do đó nếu bạn có hàng nghìn người dùng, việc tăng số lượng các kết nối TCP này sẽ giải hưởng rất lớn đến hiệu suất CPU.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

VI. TÀI LIỆU THAM KHẢO

Các Website Và Các Diễn Đàn:

http://www.nhatnghe.com/forum

http://www.microsoft.com

http://technetvietnam.net/blogs/hoangho

http://quantrimangvnn.wordpress.com

http://forum.itlab.com.vn

http://technetvietnam.net/blogs/hieudd

http://msopenlab.com

http://tuonglua.net

http://quantrimaychu.vn/forum

Ebook Tham Khảo:

Microsoft Forefront Threat Managerment Gateway (TMG) Administrator’s Companion





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

VII. PHỤ LỤC

Danh mục các bảng và hình ảnh

Hình I.1.1 Forefront Threat Managerment Gateway...........................................................................13Hình I.1.2 Biểu đồ biểu thị sự tăng trưởng của các phần mềm độc hại................................................14Hình I.1.3 Mô hình tổng quan 3 lớp mạng của tường lửa....................................................................15Hình I.2.1.1 Sự phát triển của Forefront TMG 2010............................................................................15Hình I.2.2.1 Sơ đồ phát triển của Forefront TMG 2010.......................................................................16Hình I.3.1 Thông tin prices và licenses của các phiên bản Forefront....................................................17Hình I.3.2 Thông tin Price và Licenses của Windows Server 2008........................................................17Hình I.4.1.1 Các tính năng chính trong Forefront TMG 2010...............................................................18Hình I.4.2.1 Những Tính năng nổi bật của Forefront TMG 2010..........................................................18Bảng I.4.2.1 So sánh các tính năng trong Forefront TMG Standard và Enterprise.................................19Bảng I.4.2.2 So sánh các tính năng giữa ISA 2006 và Forefront TMG..................................................20Bảng I.4.3.1 Yêu cầu cài đặt............................................................................................................20Hình I.5.1.1 Network setup wizard....................................................................................................21Hình I.5.2.1.1 Edge Firewall Template..............................................................................................22Hình I.5.2.2.1 3-Leg Perimeter Template..........................................................................................22Hình I.5.2.3.1 Back Firewall Template...............................................................................................23Hình I.5.2.4.1 Single Network Adapter Template...............................................................................23Bảng II.1.1 So sánh các tính năng của TMG MBE và TMG FULL...........................................................25Hình II.2.1 Giao diện quản lý của Forefront TMG...............................................................................26Hình II.2.2 Giao diện quản lý của ISA 2006.......................................................................................26Hình II.3.1 MPEngine và các bước xử lý............................................................................................27Hình II.3.2 Quản lý down load với Forefront TMG..............................................................................28Bảng II.3.1 So sánh chức năng trong TMG MBE và TMG 2010............................................................29Hình II.3.3 Giao diện Intrusion Prevention System (IPS).....................................................................31Hình II.3.4 Nat address Selection wizard...........................................................................................32Bảng II.3.2 so sánh tính năng giữa ISA 2006 với TMG MBE và TMG 2010............................................33Hình II.4.1.1 Thực hiện kết nối VPN với UAG.....................................................................................34Bảng II.4.2.1 so sánh tính năng giữa IAG và UAG..............................................................................35Hình II.4.3.2.1 Những tính năng trong TMG và UAG..........................................................................36Hình II.4.3.2.2 Ví dụ thiết lập UAG trong mạng Back End...................................................................37Hình II.4.3.2.1.1 Mô hình Edge Firewall............................................................................................38Hình II.4.3.2.2.1 Mô hình mạng 3-Leg Perimeter...............................................................................38Hình II.4.3.2.3.1 Mô hình mạng Back Firewall....................................................................................39Hình II.4.3.2.4.1 Mô hình mạng Single NIC.......................................................................................40Hình II.7.1.1 Ví dụ về bảng đồ mạng................................................................................................45Hình II.7.2.1 Bảng đồ ứng dung mạng..............................................................................................46Hình II.7.2.2 Bản đồ giao thức mạng................................................................................................47Hình II.7.2.3 Bản đồ giao thức mạng (2)...........................................................................................47Hình II.7.2.4 Bộ lọc ứng dụng trong TMG..........................................................................................48Hình II.8.1 Mô hình liên kế nhiều mạng............................................................................................49Hình II.9.1.1.1 Cấu hình DNS trong work group.................................................................................51_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 242




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Bảng II.9.1.1.1 Tóm tắt ưu và khuyết điểm của cấu hình DNS............................................................52Hình II.9.3.1 DNS cache trong TMG..................................................................................................53Hình II.10.1.1 Edge Firewall Template..............................................................................................54Hình II.10.2.1 3-Leg Perimeter Template..........................................................................................55Hình II.10.2.2 Cấu hình các lớp mạng trong mô hình 3-Leg................................................................56Hình II.10.3.1 Back Firewall Template...............................................................................................57Hình II.10.4.1 Single Network Adapter Template...............................................................................58Bảng II.10.5.1 Ưu và khuyết điểm khi cài Forefront trong Domain và Workgroup.................................59Bảng II.11.1 Yêu cầu update tối thiểu để nâng cấp lên TMG 2010......................................................60Bảng II.11.2 Thông tin patch giữa các phiên bản ISA và TMG.............................................................60Hình II.11.1 Ví dụ về di trú..............................................................................................................61Hình II.12.1.1 Thiết lập proxy cho Internet Explorer..........................................................................62Hình II.12.2.1 Thành phần cốt lõi của TMG trong xử lý HTTP request từ web proxy client.....................63Hình HTTP request từ web proxy client đến TMG...............................................................................64Hình II.12.3.1 Cấu hình web proxy trong TMG...................................................................................65Bảng II.12.4.1 thống kê nhu cầu với TMG client................................................................................65Hình II.12.5.1 Mô hình mạng đơn giản.............................................................................................66Hình II.12.5.2 Mô hình mạng phức tạp.............................................................................................67Hình II.12.6.1 Loopback DNS...........................................................................................................67Hình II.12.8.1 Ưu và nhược điểm của SecureNET Client.....................................................................69Hình II.12.9.1 Forefront TMG Client tab............................................................................................69Hình II 12.9.2 Forefront TMG Client Setting.......................................................................................70Bảng II.12.9.1 Độ ưu tiên khi lựa chọn TMG client.............................................................................70Bảng II.12.9.2 Những phiên bản Client phù hợp với từng nhu cầu......................................................71Bảng II.12.9.3 So sánh những tính năng giữa SecureNAT, Web Porxy và Firewall Client.......................71Hình II.13.1.1 Giao diện chính của TMG 2010....................................................................................72Hình II.13.1.2 Những tính năng mới trong TMG 2010 so với TMG MBE................................................73Hình II.13.2.1 Các tab trong Monitor................................................................................................73Hình II.13.2.2 Services tab..............................................................................................................73Hình II.13.3.1 Thanh công cụ Firewall Policy.....................................................................................73Hình II.13.4.1 Các tùy chọn trong Task web Protection......................................................................74Hình II.13.4.2 Thanh công cụ Web Access........................................................................................74Hình II.13.5.1 Tab E-mail Policy.......................................................................................................74Hình II.13.5.2 E-mail policy task.......................................................................................................75Hình II.13.5.3 Tab Spam Filtering.....................................................................................................75Hình II 13.5.4 Tab Virus and Contenfiltering......................................................................................75Hình II.13.6.1 Network Inspection System tab...................................................................................76Hình II.13.6.2 Behavioral Intrusion Detection tab..............................................................................76Hình II.13.6.3 Các thành phần cấu hình trong NIS tasks....................................................................77Hình II.13.6.4 Tab Network Adapter and Routing..............................................................................77Hình II.13.6.5 Thông tin trong tab Network Adapter..........................................................................77Hình II.13.6.6 Thông tin trong tab Routing.......................................................................................78Hình II.13.6.7 ISP Redundancy tab...................................................................................................78Hình II.13.6.8 Các thành phần cấu hình trong ISP Redundancy Tasks.................................................79Hình II.14.1.1 Getting started wizard................................................................................................79Hình II.14.1.2 Các bước cấu hình trong getting started wizard...........................................................80Hình II.14.2.1 Network Setup Wizard................................................................................................81_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 243




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.14.5.1 Cấu hình web access policy........................................................................................82Hình II.14.6.1 Join Array.................................................................................................................82Hình II.14.6.2 Disjoin array..............................................................................................................82Hình II.14.7.1 Forefront Protection Managerment Intergration page link..............................................83Hình II.14.8.1 SIP Configure...........................................................................................................83Hình II.14.9.1 E-mail Policy Task......................................................................................................84Hình II.14.10.1 Cấu hình ISP redundancy..........................................................................................84Hình II.15.1.1 Route Relationships...................................................................................................84Hình II.15.2.1 NAT Relationships......................................................................................................85Hình II.15.2.2 Half NAT publishing (default)......................................................................................86Hình II.15.2.3 Full NAT publishing....................................................................................................86Hình II.15.2.4 Lựa chọn địa chỉ NAT mặc định...................................................................................87Hình II.15.2.5 Default NAT..............................................................................................................87Hình II.15.2.6 Single-IP (NLB) NAT...................................................................................................88Hình II.15.2.7 IP riêng cho mỗi máy chủ NAT....................................................................................88Hình II.15.3.1 Default Network Rules for Edge Deployment................................................................88Hình II.15.3.2 Network Entities selection dialog box...........................................................................89Bảng II.15.4.1 Thông tin tóm tắt các mạng liên kết...........................................................................90Hình II.15.4.1 Giao diện điều khiển lớp mạng....................................................................................90Hình II.15.5.1 Mô hình các lớp mạng được bảo vệ.............................................................................91Hình II.15.5.2 Internal Properties dialog box.....................................................................................92Hình II.15.6.1 Tùy chọn xác thực cho mạng nội bộ............................................................................92Hình II.16.1.1 Tính năng ISP redundancy trong TMG.........................................................................93Hình II.16.2.1 Cấu hình ISP redundancy...........................................................................................93Hình II.16.3.1 Kiến trúc cơ bản của NLB...........................................................................................94Hình II.16.3.2 Sự khác biệt giữa MAC unicast và multicast..................................................................94Hình II.16.4.1 Tùy chọn kiểm soát NLB.............................................................................................95Hình II.16.4.2 Ý nghĩa các tùy chọn kiểm soát NBL............................................................................95Hình II.16.4.3 Cảnh báo trong NLB...................................................................................................96Hình II.17.1 Chức năng hoạt động của NIS.......................................................................................97Hình II.17.1.1 Network inspection system main page.........................................................................98Bảng II.17.2.1 Thông tin về các kiểu tấn công mạng.........................................................................99Bảng II.17.2.2 Thông tin các kiểu tấn công DNS..............................................................................100Hình II.19.1.1 Web Filters tab........................................................................................................102Hình II.19.1.2 Malware Inspection Filter properties dialog.................................................................102Hình II.19.1.3 Ví dụ về Malware Inspection.....................................................................................103Hình II.19.2.1.1 Malware Inspection Settings...................................................................................104Hình II.19.2.2.1 Content Delivery tab trong Malware Inspection........................................................105Hình II.19.2.3.1 Storage tab trong Malware Inspection.....................................................................106Hình II.19.2.4.1 Defination Updates tab trong Malware Inspection....................................................107Hình II.19.2.5.1 Malware Inspection License Detail tab.....................................................................107Hình II.19.3.1.1 URL Filtering decision flow.....................................................................................108Hình II.19.3.1.2 Biểu đồ xử lý của URL filtering...............................................................................109Hình II.19.3.2.1 Các thành phần bị ảnh hưởng bởi URL filtering........................................................111Hình II.19.4.1. Các bước kiểm tra E-Mail với TMG............................................................................112Hình II.19.4.2 Các bước kiểm tra E-mail..........................................................................................113Hình II.20.1 Kiến trúc TMG............................................................................................................114_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 244




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.20.2 Web Proxy Engine.......................................................................................................114Hình II.21.1.1 Sơ đồ mạng Contoso................................................................................................115Hình II.21.1.2 Bảng mô tả máy chủ web.........................................................................................115Hình II.21.3.1 Hộp thoại MMC........................................................................................................116Hình II.21.3.2 Thêm Certificates Snap-in vào MMC...........................................................................117Hình II.21.3.3 Quản lý Certificates bằng Computer account..............................................................117Hình II.21.3.4 Lựa chọn nơi quản lý Certificates (local computer)......................................................118Hình II.21.3.5 Add Certificates.......................................................................................................118Hình II.21.3.6 Tạo mới Certificate...................................................................................................119Hình II.21.3.7 Hộp thoại chọn Import Certificate..............................................................................119Hình II.21.3.8 Tạo Private key........................................................................................................120Hình II.21.3.9 Chọn nơi lưu Certificate............................................................................................120Hình II.21.3.10 Lỗi khóa không chính xác........................................................................................121Hình II.21.3.11 Chứng chỉ hợp lệ....................................................................................................121Hình II.21.4.1 Tạo mới Web Listener..............................................................................................122Hình II.21.4.2 Chọn SSL cho Web Listener......................................................................................123Hình II.21.4.3 Chọn Interface cho Web Listerner.............................................................................123Hình II.21.4.4 Chọn chứng chỉ sử dụng cho web listener..................................................................124Hình II.21.4.5 Cấp chứng chỉ cho Web Listener...............................................................................124Hình II.21.4.6 Cấu hình phương pháp chứng thực............................................................................125Hình II.21.4.7 Tắt chức năng SS0...................................................................................................125Hình II.21.4.8 Hoàn tất quá trình cài đặt.........................................................................................126Hình II.21.5.1 Tạo mới Web Publishing Rule....................................................................................126Hình II.21.5.2 Chọn hành động cho rule.........................................................................................127Hình II.21.5.3 Chọn kiểu publish....................................................................................................127Hình II.21.5.4 Chọn cách thức bảo mật...........................................................................................128Hình II.21.5.5 Đường dẫn đến thư mục publish...............................................................................128Hình II.21.5.6 Tạo publish name cho rule........................................................................................129Hình II.21.5.7 Chọn web listener....................................................................................................129Hình II.21.5.8 Chọn phương pháp chứng thực.................................................................................130Hình II.21.5.9 Cấu hình user truy cập.............................................................................................130Hình II.21.5.10 Kiểm tra rule..........................................................................................................131Hình II.22.1.1 Kết nối VPN.............................................................................................................131Bảng II.22.1.3.1 So sánh các giao thức bảo mật VPN.......................................................................135Hình II.22.1.4.1 TMG hành động như một máy chủ VPN trong các cơ sở hạ tầng NAP........................136Hình II.23.1 Forefront UAG Directaccess Server...............................................................................137Hình III.1.1.1 Mô hình tổng quát công ty D.M.A Computer Technology..............................................141Hình III.1.2.1 Mô hình logic tại các trụ sở........................................................................................142Hình III.1.3.1 Sơ đồ luận lý chi tiết tại các trụ sở.............................................................................143Hình III.1.4.1 Sơ đồ tổ chức của công ty D.M.A Computer Technology..............................................143Hình III.3.2.1 IBM® System® x3650M3 (7945 - L2A)......................................................................154Hình IV.1.1 Update windows server 2008 trước khi cài đặt Forefront.................................................155Hình IV.1.2 Quá trình chuẩn bị hoàn tất..........................................................................................156Hình IV.1.3 TMG yêu cầu khai báo internal network trong quá trình cài đặt........................................156Hình IV.1.4 Cài đặt hoàn tất...........................................................................................................157Hình IV.2.1 Getting Started Wizard – Configure network setting........................................................157Hình IV.2.2 3-Leg Perimeter template.............................................................................................158_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 245




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.2.3 Getting Started Wizard – Configure system setting.........................................................158Hình IV.2.4 Định nghĩa môi trường chạy Forefront TMG là domain dma.vn.........................................159Hình IV.2.5 Getting Started Wizard – Define deployment options......................................................159Hình IV.2.6 Cấu hình Windows Update (mặc định)...........................................................................160Hình IV.2.7 Cấu hình những tính năng bảo vệ hệ thống...................................................................160Hình IV.2.8 Hoàn tất 3 bước cấu hình ban đầu trong Forefront TMG..................................................161Hình IV.2.9 Giao diện Forefront TMG..............................................................................................161Hình IV.3.1.1 Tạo mới một Access rule............................................................................................162Hình IV.3.1.2 đặt tên cho rule mới..................................................................................................162Hình IV.3.1.3 Thiết lập điều kiện cho rule là Allow...........................................................................163Hình IV.3.1.4 Các giao thức được áp dụng cho rule..........................................................................163Hình IV.3.1.5 Tùy chọn cấu hình Malware Inspection cho rule...........................................................164Hình IV.3.1.6 Cấu hình source và destination network cho rule.........................................................164Hình IV.3.1.7 Thêm các user áp dụng rule.......................................................................................165Hình IV.3.1.8 Cấu hình hoàn tất, apply để lưu cấu hình trên Forefront...............................................165Hình IV.3.2.1 Tạo mới Access rule..................................................................................................166Hình IV.3.2.2 Khai báo tên và xác định hành động cho rule..............................................................166Hình IV.3.2.3 Chọn giao thức là DNS..............................................................................................167Hình IV.3.2.4 Cấu hình source và destination cho rule......................................................................167Hình IV.3.2.5 Xác định user được áp dụng rule................................................................................168Hình IV.3.2.6 Lưu cấu hình............................................................................................................168Hình IV.3.3.2 Bật tính năng Malware Inspection...............................................................................169Hình IV.3.3.3 Cấu hình tự động update cho Malware Inspection........................................................170Hình IV.3.3.4 Tiến hành update chức năng Malware Inspection........................................................170Hình IV.3.3.5 Thực hiện cấu hình trong mục Properties....................................................................171Hình IV.3.3.6 Hộp thoại cấu hình Malware Inspection.......................................................................171Hình IV.3.3.7 Các tùy chọn nâng cao của Malware Inspection với Rule Setting...................................172Hình IV.3.3.8 Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa...........................................172Hình IV.3.3.9 Forefront thực hiện block chức năng download ngay khi phát hiện virus........................173Hình IV.3.4.1 Cấu hình tính năng HTTPs Inspection trong Task Web Access Policy.............................173Hình IV.3.4.2 Bật tính năng HTTPs Inspection.................................................................................174Hình IV.3.4.3 Cấu hình cài đặt chứng chỉ nhận diện mã độc.............................................................174Hình IV.3.4.4 Cài đăt chứng chỉ......................................................................................................175Hình IV.3.4.5 Lưu trữ chứng chỉ.....................................................................................................175Hình IV.3.4.6 Cài đặt chứng chỉ thành công.....................................................................................176Hình IV.3.4.7 Triển khai chứng chỉ trên domain...............................................................................176Hình IV.3.4.8 Triển khai chứng chi trên domain dma........................................................................177Hình IV.3.4.9 Triển khai chứng chỉ trên domain dma thành công.......................................................177Hình IV.3.4.10 Download file từ eicar.org sử dụng giao thức bảo mật................................................178Hình IV.3.4.11 IE thông báo chứng chỉ có vấn đề............................................................................178Hình IV.3.4.12 Forefront block download.........................................................................................178Hình IV.3.5.1 Cấu hình Web Caching trong Web Access Policy..........................................................179Hình IV.3.5.2 Cấu hình dung lượng lưu trữ cho Web Caching............................................................179Hình IV.3.5.3 Tạo Cache rule.........................................................................................................180Hình IV.3.5.4 Cấu hình request detination cho cache........................................................................180Hình IV.3.5.5 Cấu hình lưu trữ các đối tượng cache.........................................................................181Hình IV.3.5.6 Cấu hình cache content.............................................................................................181_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 246




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.3.5.7 Đặt tên cho job.........................................................................................................182Hình IV.3.5.8 Lập lịch và thời gian download...................................................................................182Hình IV.3.5.9 Các tùy chọn download site.......................................................................................183Hình IV.3.5.10 Các tùy chọn trong Content Caching.........................................................................183Hình IV.3.5.11 Apply để lưu cấu hình cache....................................................................................184Hình IV.3.5.12 Chọn lưu và khởi động lại dịch vụ............................................................................184Hình IV.3.6.1 Add các URL catergory cần disable vào mục Exceptions...............................................185Hình IV.3.6.2 Network Objects.......................................................................................................185Hình IV.3.6.3 Cấu hình cấm chat trong trang vietfun.com.................................................................186Hình IV.3.7.1 Tạo New Access Rule................................................................................................186Hình IV.3.7.2 Đặt tên cho rule........................................................................................................187Hình IV.3.7.3 Chọn Allow trong mục rule action...............................................................................187Hình IV.3.7.4 Thêm vào các giao thức............................................................................................188Hình IV.3.7.5 Xác định nguồn cho rule là Perimeter.........................................................................188Hình IV.3.7.6 Đích đến là Internal..................................................................................................189Hình IV.3.7.7 Cấu hình chứng thực user..........................................................................................189Hình IV.3.7.8 Các rule đã tạo.........................................................................................................190Hình IV.3.7.9 Các Client trong vùng Perimeter join domain thành công..............................................190Hình IV.4.1 NIS Tasks...................................................................................................................191Hình IV.4.2 Bật tính năng NIS........................................................................................................191Hình IV.4.3 Thêm dãy địa chỉ ip cần giám sát..................................................................................192Hình IV.4.4 Đưa dãy địa chỉ ip vừa cấu hình vào Managerment Server...............................................192Hình IV.4.5 Cho phép NIS phản ứng lại trước những traffic bất thường.............................................193Hình IV.4.6 Lưu cấu hình vừa tạo...................................................................................................193Hình IV.4.7 Logging Tasks.............................................................................................................194Hình IV.4.8 Edit Filter....................................................................................................................194Hình IV.4.9 Nhập địa chỉ IP cần giám sát........................................................................................195Hình IV.4.10 Dữ liệu client cần giám sát được ghi nhận bởi NIS........................................................195Hình IV.5.1 Tạo user chứng thực trên site HCM...............................................................................196Hình IV.5.2 Cấu hình cho phép user access từ bên ngoài..................................................................196Hình IV.5.3 Đặt tên cho kết nối VPN...............................................................................................197Hình IV.5.4 Cấu hình kết nối bảo mật PPTP.....................................................................................197Hình IV.5.5 Cấu hình dãy địa chỉ cho client kết nối vào.....................................................................198Hình IV.5.6 Cấu hình remote site gateway.......................................................................................198Hình IV.5.7 Cấu hình chứng thực user kết nối bên site HN................................................................199Hình IV.5.8 Cấu hình dãy địa chỉ ip cho kết nối VPN.........................................................................199Hình IV.5.9 Tạo rule kết nối...........................................................................................................200Hình IV.5.10 Cấu rule cho phép VPN client kết nối vào.....................................................................200Hình IV.5.11 Hoàn tất cấu hình......................................................................................................201Hình IV.5.12 Cấu hình chứng thực kết nối.......................................................................................201Hình IV.5.14 Kiểm tra kết nối VPN từ site HN đến HCM....................................................................202Hình IV.5.15 Kiểm tra kết nối từ client site HCM đến HN...................................................................202Hình IV.6.1 Tạo user.....................................................................................................................203Hình IV.6.2 Cấu hình cho phép user vpn1 đăng nhập domain từ bên ngoài........................................203Hình IV.6.3 Select Access Networks................................................................................................204Hình IV.6.4 Hộp thoại cấu hình dãy địa chỉ ip cho kết nối vpn...........................................................204Hình IV.6.5 Tính năng VPN Client Access.........................................................................................205_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 247




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.6.6 VPN client access rule..................................................................................................205Hình IV.6.7 Thực hiện kết nối thông qua VPN.................................................................................206Hình IV.6.8 Kiểm tra kết nối...........................................................................................................206Hình IV.7.1 Behavioral Intrusion detection.......................................................................................207Hình IV.7.2 Cấu hình phát hiện tấn công.........................................................................................207Hình IV.7.3 Giao diện SuperScan4..................................................................................................208Hình IV.7.4 Kết quả Scan...............................................................................................................208Hình IV.7.5 Thông tin tấn công được TMG ghi nhận.........................................................................209Hình IV.8.1 Cài đặt WSUS 3.0........................................................................................................209Hình IV.8.2 Update với WSUS.........................................................................................................210Hình IV.8.3 Chọn các gói update....................................................................................................210Hình IV.8.4 Cấu hình đồng bộ........................................................................................................211Hình IV.8.5 Đồng bộ hóa hoàn tất..................................................................................................211Hình IV.8.6 Tiến trình approval.......................................................................................................212Hình IV.8.7 Hoàn tất approval........................................................................................................212Hình IV.8.8 Thực hiện cài đặt Forefront Client Security.....................................................................213Hình IV.8.9 Cài đặt hoàn tất...........................................................................................................213Hình IV.9.1 Tạo global security group.............................................................................................214Hình IV.9.2 Add các máy client làm member của group DMA_DA......................................................214Hình IV.9.3 Giao diện tùy chọn cài đặt Forefront UAG......................................................................215Hình IV.9.4 Cài đặt UAG................................................................................................................215Hình IV.9.5 Chọn thư mục cài đặt...................................................................................................216Hình IV.9.6 Tiến trình cài đặt UAG..................................................................................................216Hình IV.9.7 Cài đặt hoàn tất...........................................................................................................217Hình IV.9.8 Các bước triển khai cấu hình.........................................................................................217Hình IV.9.9 Khởi động cấu hình sau khi hoàn tất..............................................................................218Hình IV.9.10 Cấu hình Client và GPO’s............................................................................................218Hình IV.9.11 Thực hiện cấu hình DirectAccess Server.......................................................................219Hình IV.9.12 Cấu hình Infastructure Server.....................................................................................219Hình IV.10.1 Giao diện cài đặt Forefront Security for Exchange.........................................................220Hình IV.10.2 Cài đặt các bộ Engines đi kèm.....................................................................................220Hình IV.10.3 Cài đặt hoàn tất.........................................................................................................221Hình IV Giao diện Forefront security for Exchange Server.................................................................222Hình IV.11.1 Cấu hình ISP redundancy............................................................................................222Hình IV.11.2 Chọn Load balancing with failover capability (mặc định)................................................223Hình IV.11.3 Cấu hình IP cho ISP connection 1................................................................................223Hình IV.11.4 Cấu hình cho ISP connection 2....................................................................................224Hình IV.11.5 Cấu hình IP cho ISP connection 2................................................................................224Hình IV.11.6 Cấu hình hoàn tất......................................................................................................225Hình IV.11.7 Tạo rule load balancing..............................................................................................225Hình IV.12.1 Thực hiện export file cấu hình.....................................................................................226Hình IV.12.2 Trang export welcome wizard.....................................................................................226Hình IV.12.3 Tùy chọn bảo vệ file cấu hình.....................................................................................227Hình IV.12.4 Nhập password bảo vệ file cấu hình.............................................................................228Hình IV.12.5 Chọn nơi lưu file cấu hình...........................................................................................228Hình IV.12.6 Tiến trình export file cấu hình.....................................................................................229Hình IV.12.7 Trang import welcome wizard.....................................................................................229_____________________________________________________________________________________Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp Trang 248




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.12.8 Chọn nơi lưu trữ file backup........................................................................................230Hình IV.12.9 Xác nhận mật khẩu bảo vệ file cấu hình.......................................................................230Hình IV.12.10 Hoàn tất import file cấu hình.....................................................................................231Hình IV.12.11 Tiến trình import file cấu hình...................................................................................231Hình IV.12.12 Các mục cấu hình sau khi restore..............................................................................232Hình V.1.3.3.1 Ví dụ về kết nối với SecureNAT Client........................................................................238Hình V.1.3.3.2 Ví dụ về kết nối với Web Proxy Client........................................................................239




ung dung microsoft forefront tmg 2010 trong bao mat mang doanh nghiep

Documents