Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer MỤC LỤC DANH SÁCH HÌNH ẢNH BẢNG BIỂU 1 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer DANH SÁCH TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ Giải thích TMG Thread Management Gateway Tên firewall mềm TMG 2010 HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DNS Domain Name System Hệ thống phân giải tên miền SMNP Simple Network Management Protocol Là một tập hợp các giao thức mạng SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản NFS Network File System Dịch vụ chia sẻ tài nguyên TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức mạng ICMP Internetwork Control Message Protocol Là giao thức mạng thuộc FTP File Transfer Protocol Giao thức truyền tập tin VPN Virtual private network Mạng riêng ảo NAT Network Address Translation Dùng để phiên dịch địa chỉ IP private sang địa chỉ IP public IP Internet Protocol Dải địa chỉ của máy LAN Local Area Network Mạng máy tính cục bộ ISA Internet Security Aceleration Chương trình firewall/security do Microsoft phát triển 2 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1. Lý do chọn đề tài Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước. Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng. Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời. ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được cung cấp bở hãng Cisco. ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft. Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là đề tài mà em lựa chọn và triển khai cài đặt - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng cho Công ty TNHH Hà Nội Computer. 1.2. Mục tiêu của đề tài - Tìm hiểu tổng quan về TMG 2010. - Lịch sử, quá trình phát triển của TMG 2010. - Tính năng mới của TMG so với các phiên bản trước là ISA 2006, ISA 2004, …. - Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh nghiệp dựa trên mô hình mạng của doanh nghiệp. - Tiến hành Remote Access các máy trong mô hình mạng của công ty. 1.3. Giới hạn và phạm vi của đề tài - Tìm hiểu lý thuyết tổng quan về TMG 2010, những tính năng mới, nổi bật hơn so với các phiên bản ISA trước đây của Microsoft . 3 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer - Đưa ra được giải pháp bảo mật cho công ty, cấu hình các luật trong TMG để tiến hành giám sát mạng , các tài khoản người dùng trong công ty, tiến hành mô phỏng giả lập trên môi trường máy ảo. 1.4. Nội dung thực hiện - Tìm hiểu lý thuyết về tổng quan TMG 2010, nắm được những tính năng nổi bật cần áp dụng cho hệ thống mạng doanh nghiệp đòi hỏi tính an toàn và bảo mật cao. - Nắm được các mô hình firewall, cấu hình thiết lập mạng. - Tiến hành cài đặt trên máy ảo, nhằm mô phỏng quá trình quản lý, giám sát bảo mật cho doanh nghiệp. - Đưa ra nhận xét. 1.5. Phương pháp tiếp cận - Cách tiếp cận: Nghiên cứu quản trị mạng với TMG 2010 - Sử dụng các phương pháp nghiên cứu: o Phương pháp đọc tài liệu; o Phương pháp phân tích mẫu; o Phương pháp thực nghiệm; 4 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer CHƯƠNG 2: CƠ SỞ LÝ THUYẾT VỀ TMG 2010 2.1. Tổng quan về Forefront TMG 2010 Hình 2-1: Forefront Threat Managerment Gateway Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt: • Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta. 5 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer • Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy Forefront TMG. • External Network - là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình Forefront TMG mà thôi. 2.2. Lịch sử, quá trình phát triển của Forefront TMG 2010 2.2.1. Lịch sử Hình 2-2: Sự phát triển của Forefront TMG 2010 Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010. 2.2.2. Quá trình phát triển: Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:  1/1997 - Microsoft Proxy Server v1.0 (Catapult).  18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000).  08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004). 6 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer  17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006).  17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010). 2.3. Bảng giá của từng phiên bản Forefront TMG 2010 Bảng 2-1: Thông tin prices và licenses của các phiên bản Forefront Bảng 2-2: Thông tin Price và Licenses của Windows Server 2008 2.4. Các tính năng của TMG 2010 • Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG. 7 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer • ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền internet. • Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập web. • URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat • HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate. • E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát virus, malware, spam e-mail trong hệ thống Mail Exchange. • Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật . • Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN. • Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN- SSTP. • Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit. 2.5. Các mô hình Firewall Forefront TMG sử dụng một khái niệm “multi networking”. Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG. Sau khi đã tất cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule. Forefront TMG hỗ trợ hai kiểu network rule đó là: 8 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer • Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng. • NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của network adapter tương ứng. Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối. 2.5.1. Network template. Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình. Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu. Ở đây tất cả những gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management. Hình 2-3: Network setup wizard 2.6. Yêu cầu hệ thống 2.6.1. Yêu cầu phần cứng: Yêu cầu tối thiểu cho TMG 2010 là: Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM với Service Pack 2 (SP2) hoặc R2. 9 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer - 2 GB bộ nhớ RAM. - Một CPU lõi kép. - Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS. - 150 MB đĩa cứng không gian. - ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp với mạng nội bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa). - Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối. 2.7. Malware Inspection 2.7.1. Tìm hiểu về Inspection Malware trong TMG TMG Malware Inspection được thiết kế để phát hiện và ngăn chặn các bit độc hại trong HTTP được gửi cho khách hàng trong các mạng được bảo vệ trước khi các bit độc hại này có thể truy cập máy tính người dùng không nghi ngờ và lây lang thiệt hại không thể khắc phục. 2.8. Remote Access 2.8.1. khái niệm VPN VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Các giao thức VPN được sử dụng khác nhau tùy theo khả năng của VPN client và máy chủ cũng như các yêu cầu chức năng và an ninh của tổ chức. Bởi vì các đường hầm VPN được định để được an toàn và đáng tin cậy, cung cấp mã hóa mạnh mẽ và phương pháp xác thực. Ngoài ra, nó sử dụng quản lý đường hầm để kiểm soát lưu lượng giao thông qua đường hầm. Hình 2.28 minh họa mối quan hệ giữa các chức năng VPN. 10 [...]... thức và các kịch bản đối với các công nghệ VPN cổ điển 11 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer CHƯƠNG 3: THIẾT KẾ VÀ CÀI ĐẶT TMG 2010 CHO CÔNG TY TNHH HÀ NỘI COMPUTER 3.1 Khảo sát nhu cầu dự án 3.1.1 Tình huống đề tài: Công Ty TNHH Máy Tính Hà Nội Computer có 2 trụ sở tại Hà Nội Địa chỉ: HANOICOMPUTER-LÊ THANH NGHỊ - 131 Lê Thanh Nghị - Hà Nội HANOICOMPUTER-THÁI HÀ... 15 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 3-5: Kiểm tra kết nối từ client site 02 đến site 01 Kiểm tra truy cập dữ liệu Hình 3-6: Truy cập dữ liệu từ máy site 01 sang máy site 02 16 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 3.7: Truy cập dữ liệu từ máy site 02 sang máy site 01 17 Nghiên cứu và triển khai ứng dụng TMG 2010. .. vào thực tế cho Công ty Trong thời gian tới sẽ triển khai và áp dụng thực tế cho mô 18 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer hình của Công ty, doanh nghiệp có nhu cầu muốn tang cường bảo mật cho hệ thống mạng Cấu hình hoàn thiện thêm các chức năng bảo mật mạnh mẽ, an toàn hơn cho hệ thống mạng doanh nghiệp hiện nay, hoàn thiện các chức năng còn chưa cấu hình, triển. .. thiện các chức năng còn chưa cấu hình, triển khai được 19 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer TÀI LIỆU THAM KHẢO [1] Ngọc Bích-Tường Thụy, Quản trị mạng-Windows Server 2008 Hà Nội, Việt Nam: Nhà xuất bản Thông Tin & Truyền Thông , 2012 [2] Tô Thanh Hải, Triển Khai Firewall Với Microsoft ISA Server 2006 Hà Nội, Việt Nam: Nhà xuất bản Lao động- Xã hội, 2011 [3] Microsoft... Tiến hành cài đặt VPN site to site - Cài đặt cân bằng tải - Bảo mật hệ thống mạng cho công ty TNHH Hà Nội Computer 13 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 3-2: Sơ đồ lab VPN site to stie 3.3 Danh mục thiết bị 3.3.1 Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG IBM® System® x3650M3 (7945 - L2A) Hình 3-3: IBM® System® x3650M3 (7945 - L2A) - Model:... trụ sở 12 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 3-1: Mô hình logic tại các trụ sở 3.1.3 Nhu cầu của công ty TNHH Hà Nội Computer: - Tăng cường bảo mật toàn diện cho hệ thống mạng doanh nghiệp - Hỗ trợ người dùng di động làm việc hiệu quả - Hỗ trợ kết nối an toàn giữa các site với vpn thông qua môi trường internet - Quản lý theo dõi các loại traffic ra vào hệ.. .Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 2-4: Kết nối VPN Thay đổi gần đây trong công nghệ khác nhau đã dẫn đến sự xuất hiện của một phương pháp đường hầm an toàn gọi chung là SSL-VPN Tùy thuộc vào thiết kế sản phẩm của nhà cung cấp, họ có thể cung cấp một giải pháp VPN hạn chế hoặc hoàn toàn Bởi vì TMG không cung cấp một giải pháp... Bus hệ thống: Intel QuickPath Interconnect up to 6.4 GT/s - Bộ nhớ: 3 x 4GB DDR3 1333 hỗ trợ ECC - Ổ cứng: 300GB SEAGATE® SAVVIO® SAS2.0 6GB/S – Hot Swap - Hỗ trợ raid: 0, 1, 5, 10 - Ổ đĩa quang: IBM UltraSlim Enhanced SATA DVD-ROM 14 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer - Card mạng: Integrated dual Gigabit Ethernet (2 ports standard, plus 2 ports optional) hỗ trợ... 2010 cho Công ty TNHH Hà Nội Computer CHƯƠNG 4: 4.1 KẾT LUẬN Kết quả đạt được của đề tài - Tìm hiểu được tổng quan về TMG 2010 Tìm hiểu được các tính năng mới của TMG so với các phiên bản trước là ISA - 2006, ISA 2004,… Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh - nghiệp dựa trên mô hình mạng của doanh nghiệp Tiến hành Remote Access được các máy trong mô hình mạng của công ty, ... HÀ - 43 Thái Hà - Hà Nội Lĩnh vực kinh doanh: • Thiết bị văn phòng • Kinh doanh các mặt hàng thiết bị điện tử máy tính, PC, Lattop,… • Cung cấp các thiết bị số: thiết bị giám sát, an ninh, bảo mật, phụ kiện,… • Tư vấn hỗ trợ khách hàng qua mạng Công ty TNHH Hà Nội Computer đã có sẵng hạ tầng hệ thống công nghệ thông tin Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả trong . Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer MỤC LỤC DANH SÁCH HÌNH ẢNH BẢNG BIỂU 1 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer DANH. 16 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer Hình 3.7: Truy cập dữ liệu từ máy site 02 sang máy site 01 17 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công. được vào thực tế cho Công ty. Trong thời gian tới sẽ triển khai và áp dụng thực tế cho mô 18 Nghiên cứu và triển khai ứng dụng TMG 2010 cho Công ty TNHH Hà Nội Computer hình của Công ty, doanh